9

BAB 2

LANDASAN TEORI

2.1 Sistem informasi

Sistem informasi merupakan sistem buatan yang pada umumnya terdiri

dari komponen-komponen berbasis komputer yang saling berhubungan dan

komponen manual yang memiliki proses mengumpulkan, mengelola data,

menyimpan, dan menyediakan keluaran berupa informasi kepada user

(Gelinas, Dull, Wheeler, 2012:14). Sedangkan menurut O’brien (2005, p29),

sistem merupakan kumpulan komponen yang berinteraksi dan bekerja sama

untuk mencapai suatu tujuan dengan menerima masukan (input) dan

menghasilkan keluaran (output) dalam proses transformasi yang terstruktur.

Dari definisi-definisi di atas dapat ditarik kesimpulan bahwa sistem

informasi merupakan suatu sistem terpadu dalam pengelolaan data yang

menggabungkan sumber daya manusia dan teknologi untuk menghasilkan

suatu informasi.

2.2 Keamanan Informasi

2.2.1. Definisi Keamanan Informasi

Informasi merupakan salah satu aset yang perlu dilindungi karena berisi

data-data penting bagi suatu pihak sehingga keamanan informasi diperlukan.

Menurut Gordon B. Davis (1974) informasi merupakan suatu data yang sudah

diolah di mana data tersebut berisi hal penting bagi penerimanya dan

memiliki nilai nyata yang dapat dirasakan dalam berbagai keputusan baik

10

sekarang ataupun yang akan datang. Sedangkan menurut Burch (1974),

informasi merupaka kumpulan dari data yang telah diolah untuk memberikan

pengetahuan yang berguna. Dari beberapa definisi tersebut dapat ditarik

kesimpulan bahwa informasi merupakan kumpulan data yang telah diolah

menjadi suatu informasi yang penting bagi penerimanya sehingga diperlukan

perlindungan melalui sistem keamanan informasi.

Keamanan informasi bertujuan untuk melindungi informasi dari segala

sumber. Terdapat 3 prinsip utama dari keamanan informasi yaitu, kerahasiaan

(confidentiality), ketersediaan (availability), dan integritas (integrity) yang

dapat dijelaskan pada gambar 2.1.

Gambar 2.1 Tiga Prinsip Utama Keamanan Sistem Informasi

Sumber: Syafrizal, 2007

Berikut ini penjelasan dari 3 prinsip utama dari keamanan informasi,

yaitu:

a. Kerahasian: mencegah adanya akses dari pihak yang tidak berhak,

melindungi informasi rahasia dan proprietary.

11

b. Ketersediaan: memastikan informasi bisa diakses dan digunakan setiap

diperlukan.

c. Integritas: menjaga informasi dari adanya perubahan atau perusakan yang

seharusnya tidak terjadi, dan memastikan aspek non repudiation dari

suatu informasi.

Informasi memiliki banyak banyak aspek yang dapat mengancam

keamananya seperti aspek teknis yaitu, virus komputer, pencurian komputer ,

atau penyadapan komunikasi. Keamanan informasi juga dapat terancam oleh

beberapa hal berikut ini:

a. Force Majeure atau bencana alam seperti kebakaran, banjir, dan gempa

bumi yang dapat secara langsung mempengaruhi atau berdampak pada

data atau sistem informasi. sistem informasi, dokumen dan layanan

lainnya mengalami kelumpuhan sehingga tidak lagi tersedia sesuai yang

dibutuhkan.

b. Terjadinya kegagalan ketika meng-update software, aplikasi menjadi

tidak berfungsi dengan baik atau tejadi modifikasi data tampa

sepengetahuan orang yang bertanggung jawab.

c. Karyawan ahli mengalami sakit atau tidak masuk sehingga proses bisnis

penting terhambat.

d. Terjadinya kebocoran informasi rahasia kepada pihak lain.

Oleh karena itu, untuk menjaga keamanan informasi sesuai dengan

prinsip utama (kerahasian, integritas, dan ketersediaan), terdapat beberapa

strategi yang bida dilakukan, yaitu:

a. Physical security

12

Strategi ini bertujuan untuk mengamankan aset-aset fisik, seperti

hardware, karyawan, dan tempat kerja.

b. Personal security

Strategi ini bertujuan untuk mengamankan individu-individu seperti

memberikan engetahuan yang dapat berupa pelatihan atau sosialisasi

mengenai keamanan informasi untuk menciptakan kesadaran pada setiap

individu betapa pentingnya menjaga keamanan informasi.

c. Operation security

Strategi ini bertujuan untuk mengamankan operasional organisasi dari

adanya gangguan yang mengganggu aktivitas operasional.

d. Communication security

Strategi ini bertujuan untuk mengamankan teknologi komunikasi dan

media komunikasi sehingga fungsi komunikasi tetap berjalan dengan

baik.

e. Network security

Strategi ini bertujuan untuk mengamankan jaringan dan infrastruktur

yang digunakan sebagai media keluar masuk informasi perusahaan.

2.3 Manajemen Risiko Keamanan Sistem Informasi

Setiap organisasi atau perusahaan baik bersifat profit atau non-profit, pasti

akan selalu berhadapan dengan berbagai pengaruh dari internal maupun

eksternal yang bisa menimbulkan suatu keadaan yang tidak pasti dimana

keadaan itu dapat mempengaruhi organisasi tersebut untuk mencapai

tujuannya. efek dari ketidakpastian itu disebut risiko. Risiko yang berkaitan

13

dengan informasi merupakan frekuensi atau seberapa sering terjadi dan

kemungkinan besarnya kehilangan kerahasian, ketersediaan, integritas, atau

akuntabilitas pada masa depan (Wheeler, 2011).

Elemen-elemen penting dalam keamanan informasi seperti kerahasian,

keakuratan, dan ketersediaan harus diperhatikan karena sangat dimungkinkan

dapat terjadi risiko. Dengan adanya risiko, keamanan sistem informasi perlu

dijaga agar proses bisnis perusahaan tetap berjalan. Oleh karena itu diperlukan

suatu pendekatan sistematis terhadap keamanan sistem informasi untuk

mengidentifikasi kebutuhan perusahaan dan menciptakan Sistem Manajemen

Keamanan Informasi (SMKI) yang efektif dan prefentif.

2.3.1. Risiko

Menurut ISO (ISO Guide 73:2009, p9) risiko merupakan suatu efek

ketidakpastian dalam mencapai suatu tujuan, dimana:

a. Efek yang timbul dalam bentuk positif atau negatif merupakan

penyimpangan dari sesuatu yang diharapkan.

b. Tujuan dapat berhubungan dengan beberapa aspek (seperti finansial,

lingkungan, dan kesehatan dan keselamatan kerja) dan bisa diterapkan

melalui tingkatan yang berbeda (seperti strategi, proyek,organisasi secara

menyeluruh, serta produk dan proses).

c. Bentuk dari risiko yang sering diketahui orang yaitu events dan

consequences yang memiliki potensi, atau gabungan dari 2 bentuk

tersebut.

d. seringkali risiko diekspresikan dalam bentuk gabungan antara

consequences dan event serta kemungkinan yang saling berhubungan.

14

e. ketidakpastian merupakan keadaan yang tidak sempurna dari suatu

informai yang saling berhubungan, pengetahuan atau pemahaman,

terhadap suatu kejadian (event), konsekuensi (consequence), atau

kemungkinan (likelihood).

ISO juga menuturkan bahwa risiko bisa menjadi sebuah kesempatan

(opportunity) jika dikelola dengan baik sebaliknya, risiko dapat menjadi

sebuah ancaman (threat) jika tidak di kelola dengan baik. Sedangkan menurut

David Vose (2000) risiko didefinisikan sebagai "kejadian secara acak yang

kemungkinan terjadi, di mana jika terjadi, akan memberikan efek negatif atau

tidak baik dari kejadian acak tersebut".

Berdasarkan beberapa definisi di atas dapat ditarik kesimpulan bahwa

definisi risiko merupakan suatu kondisi yang terjadi karena ketidakpastian

dengan seluruh konsekuensi yang bila dikelola dengan baik dapat menjadi

kesempatan dan sebaliknya bisa menjadi ancaman.

menurut kategorinya, risiko dapat dibedakan ke dalam beberapa

kagtegori, dilihat dari obyek yang terkena dampak dari risiko tersebut,

diantaranya sebagai berikut:

a. Strategic Risk, merupakan risiko yang saling terkait dengan keseluruhan

tujuan organisasi, resiko ini berada pada tingkatan tertinggi organisasi

dan bisa menyebabkan munculnya berbagai jenis resiko lainnya.

b. Compliance Risk, merupakan jenis risiko dari sanksi hukum, kerugian

keuangan, atau rusaknya reputasi dari suatu organisasi atau perusahaan

yang mungkin dapat terjadi sebagai akibat dari tidak patuhnya

perusahaan tersebut terhadap peraturan, regulasi, standar regulasi

15

organisasi hukum, dan codes of conduct yang terdapat di setiap aktivitas

perusahaan.

c. Financial Risk, merupakan risiko yang berpengaruh pada reputasi

perusahaan di mata publik. risiko ini berhubungan dengan business

practice organisasi yang bisa menyebabkan penurunan pendapatan dan

pelanggan. reputasi ini juga bisa terjadi karena perusahaan tidak bisa

mengelola berbagai risiko yang lain secara efektif.

d. Operational Risk, terjadi karena ada ketidaksesuaian sistem yang tengah

berjalan, baik pada proses internalnya, orang-orangnya, serta sistem

teknologinya.

Fungsi umum yang digunakan untuk menghitung risiko adalah

RISK = Probability x Impact,

di mana probability merupakan kemungkinan suatu kejadian dan impact

merupakan dampak apabila hal tersebut terjadi.

2.3.2. Manajemen Risiko

Setiap aktivitas dari suatu organisasi atau perusahaan memiliki risiko.

Perusahaan mengelola risiko dengan cara melakukan antisipasi dan

memahami risiko yang kemungkinan terjadi. Menurut ISO (2009) manajemen

risiko adalah aplikasi sistematik dalam kebijakan pengelolaan, prosedur, dan

langkah-langkah dalam aktivitas komunikasi, konsultasi, menentukan ruang

lingkup, serta mengidentifikasi, menganalisa, mengevaluasi, memperlakukan,

memantau, dan meninjau risiko. Menurut carol woody (2006) manajemen

risiko merupakan suatu proses berulang yang terdiri dari proses: identifikasi,

analisa, perencanaan, implementasi, kontrol, dan pengawasan terhadap

16

kebijakan. Sedangkan menurut Emmet J. Vaughan dan Therese Vaughan

(2008) manajemen risiko merupakan “Pendekatan ilmiah untuk menghadapi

risiko murni dengan mengantisipasi kemungkinan kerugian yang tidak

disengaja dan mengimplementasikan prosedur yang meminimalisasi

terjadinya kerugian atau efek finansial dari kerugian yang terjadi”.

Proses manajemen risiko terdiri dari 4 tahap (Gallagher, 2012), yaitu:

1. Memetakan risiko

2. Menilai Risiko

3. Respon terhadap risiko

4. Pemantauan risiko

Manajemen risiko dapat diaplikasikan ke dalam keseluruhan organisasi,

di berbagai level dan area, fungsi, proyek, dan aktivitas tertentu. Manajemen

risiko juga memiliki berbagai bentuk strategi, tergantung pada jenis risiko dan

bisnis organisasi salah satunya dalam pengelolaan keamanan sistem

informasi.

Untuk mengelola risiko tersebut agar berjalan dengan efektif, diperlukan

standar dan kerangka kerja manajemen risiko keamanan sistem informasi,

salah satunya dengan SNI ISO 27001:2009 yang merupakan versi terjemahan

dari ISO/IEC 27001:2005. Di dalam standar ini, manajemen risiko

disempurnakan oleh pengembangan manajemen risiko, yang mana aset,

ancaman, dan kerentanan diidentifikasi dan mengukur risiko yang sepadan.

Dalam mendukung strategi manajemen risiko, dibutuhkan empat prinsip

dasar (Jones, 2007), yaitu:

1. Koordinasi

17

Apabila risiko telah diidentifikasi, hal itu dapat memungkinkan

berdampak terhadap bagian lain dalam organisasi atau perusahaan.

Diperlukan orang yang bertanggung jawab atas risiko tersebut untuk

diberikan kekuasaan dalam mengkoordinasikan setiap risiko yang

terjadi pada beberapa area yang berkaitan.

2. Kredibilitas

Pendekatan manajemen risiko sebisa mungkin berkualitas, kapabilitas

dan memiliki kekuatan untuk terus mendukung strategi manajemen

risiko dan ancaman yang berpotensi serta kerentanan seharusnya dapat

ditangani sebelum muncul dampaknya. Dalam mengambil tindakan

dipikirkan agar biaya berimbang dengan dampak potensial.

3. Efektivitas

Pendekatan manajemen risiko harus dapat mencakup semua aspek dari

proses. Pendekatan ini dibangun dari praktek yang berlaku umum (best

practices) dan harus berlaku bagi pengawas internal dan eksternal.

4. Transparansi

Proses manajemen risiko membutuhkan keterbukaan dari semua pihak

yang terlibat agar manajemen risiko dapat berjalan efektif. Pada risiko

yang sudah diidentifikasi, karyawan yang bertanggungjawab atau

karyawan yang terkait harus diberikan akses pada informasi terkait

sesuai dengan kebutuhan organisasi.

Dalam menjalankan strategi manajemen risiko keamanan sistem

informasi diperlukan kerangka risiko (Jones, 2007). Kerangka ini dapat

dijelaskan dalam siklus model plan-do-check-act (PDCA).

18

Gambar 2.2 Siklus PDCA pada ISO 27001

Sumber: A.T. Kearney Analysis, 2013

2.3.3. Identifikasi Risiko

Identifikasi risiko merupakan salah satu kegiatan penting dalam

manajemen risiko. Proses identifikasi dan pemetaan risiko diperlukan

perusahaan untuk memahami risiko bisnisnya dan kemudian dapat membuat

mitigasinya. Dalam membuat daftar hasil identifikasi risiko tidak ada cara

baku sehingga masing-masing perusahaan memiliki caranya sendiri.

Dalam memetakan risiko ini bertujuan untuk menghasilkan strategi

manajemen risiko yang dapat menunjukkan bagaimana organisasi bermaksud

menilai risiko, merespon risiko, dan memantau risiko (Gallagher, 2012).

Identifikasi risiko terdiri dari 5 hal, yaitu:

1. Kepatuhan terhadap standar dan regulasi

19

Setiap perusahaan memiliki suatu aturan atau regulasi yang harus

dipatuhi. Aturan yang relevan harus diidentifikasi dan persyaratannya

harus dipahami.

2. Identifikasi aset dan proses

Identifikasi aset dan proses dilakukan untuk melihat elemen mana

saja yang akan menjadi subjek penilaian risiko. Identifikasi ini

mencakup dari aset berwujud (tangible assets) dan aset tak berwujud

(intangible assets). Jika perusahaan menggunakan teknologi

informasi dalam operasinya, maka perlu menangkap pemahaman

komprehensif akan lingkungan operasi bisnis. Cara yang dapat

dilakukan untuk menangkap dan merekam sumber daya, lokasi,

konfigurasi perangkat keras dan lunak, antar muka dan saling

ketergantungan adalah dengan melakukan survey.

3. Pemetaan lingkungan teknologi informasi

Pemetaan lingkungan teknologi informasi bertujuan untuk

memperoleh pemahaman akan infrastruktur teknologi informasi di

perusahaan agar dapat mengidentifikasi secara keseluruhan

kebutuhan keamanan informasi. Cakupan dari pemetaan ini antara

lain infrastruktur yang mendukung fungsi-fungsi bisnis dan kebijakan

keamanan, standar, dan prosedur yang sedang digunakan. Teknologi

informasi terkait dengan hukum dan persyaratan yang telah diatur

juga perlu dikaji dalam proses ini.

4. Identifikasi risiko

20

Identifikasi risiko dilakukan dengan tujuan untuk mengetahu

informasi yang memadai agar dilakukan perhitungan dari setiap

ancaman (threat) dan kerentanan (vulnerabilities) yang telah

teridentifikasi. Nilai tersebut berdasarkan kemungkinan dari ancaman

mengeksploitasi kerentanan dan tingkat dampak yang muncul dari

ancaman tersebut yang terdapat pada sistem. Terdapat 3 definisi yang

menggambarkan dari dampak, yaitu kerahasian (confidentiality),

integritas (integrity), dan ketersediaan (availibility).

5. Kepemilikan risiko

Kepemilikan risiko merupakan orang yang bertanggung jawab

terhadap suatu risiko. Orang ini memastikan agar strategi

penanggulangan risiko telah memadai dan memiliki kuasa untuk

memastikan tindakan yang tepat telah dilakukan.

2.3.4. Penilaian Risiko

Penilaian risiko dilakukan dengan membentuk hubungan antara kualitatif

dan kuantitatif dari risiko-risiko yang sudah teridentifikasi. Hal-hal yang

berkaitan dengan penilaian risiko adalah sebagai berikut:

1. Peremcanaan pengurangan risiko

a. Evaluasi atas pilihan dan identifikasi solusi yang diharapkan

b. Prioritas terhadap tindakan

c. Pembuatan dan penerapan suatu rencana aksi keamanan

d. Review kebijakan dan prosedur

e. Pembangunan rencana manajemen krisis

f. Pembangunan rencana komunikasi

21

g. Pengembangan rencana pemulihan setelah krisis

2. Pemodelan risiko

Pemodelan risiko bertujuan untuk menyajikan aspek keamanan

informasi organisasi untuk mengeksplorasi sistem dengan

menggunakan pertanyaan what-if-scenario.

3. Pengujian

Pengujian bertujuan untuk mengetahui apakah perencanaan maupun

prosedur yang sudah dirancang dapat memberikan hasil sesuai

harapan. Dalam tahap ini juga dilakukan ulasan atau review mengenai

implementasi perencanaan, merumuskan kembali perencanaan, dan

melakukan kembali rencana tersebut.

Penilaian risiko merupakan bagian penting dari manajemen risiko dan

berhubungan dengan mengidentifikasi serta menilai tingkat risiko bagi

perusahaan. Menurut Peltier (2009), penilaian risiko merupakan serangkaian

proses untuk menidentifikasi ancaman secara sistematis dan menentukan

tingkat risiko berdasarkan metode spesifik. Dengan mengetahui tingkat risiko,

perusahaan dapat mengidentifikasi pengukuran engendalian untuk

mengurangi risiko yang dapat diterima. Penilaian risiko memiliki empat

tahapan utama, yaitu mengidentifikasi ancaman terhadap misi organisasi,

memprioritaskan ancaman tersebut ke tingkat risiko, mengidentifikasi

mitigasi kontrol atau perlindungan, dan membuat rencana aksi untuk

menerapkan kontrol-kontrol yang meringankan risiko.

Dalam melakukan prses penilaian risiko dilakukan analisis risiko dan

evaluasi risiko. Analisis risiko merupakan pendekatan sistematis yang

22

menaksirkan besarnya risiko. Sedangkan evaluasi risiko merupakan proses

membandingkan estimasi risiko terhadap kriteria risiko untuk menentukan

signifikansi risiko (ISO/IEC 17799:2005).

2.3.5 Analisis Risiko

Dalam mengukur risiko keamanan merupakan pekerjaan yang sulit, yang

hampir tidak mungkin dilakukan secara akuraat, untuk sebuah sistem

informasi (Munteanu, 2006). dalam literatur keamanan informasi, pengukuran

dapat dilakukan dengan metode kuantitatif dan kualitatif. Dalam metode

kuantitatif terdapat tahapan penilaian aset-aset. Dalam memperoleh nilai ini,

aset non-physical seperti informasi atau database memiliki peluang

munculnya penilaian yang sujektif. Karena dalam penilaian tersebut, terdiri

dari beberapa elemen yang harus ditaksir, diantaranya nilai dari kompetitis

aset, biaya perangkat lunak, biaya untuk melindunginya, dan lain sebagainya.

Sedangkan pada metode kualitatif untuk memperolek nilai atau fakta,

digunakan kuisioner melalui estimasi secara statisktik dengan tinkatan-

tingkatan penilaian seperti rendah, sedang, tinggi, sehingga ditemukan

kesulitan dalam menghitung kerugian finansial jika hanya berdasarkan

asumsi.

Menurut Mazareanu (2007), pendekatan kualitatif sangat didominasi oleh

pengukuran yang subjektif, sesangkan pada pendekatan kuantitatif dapat

menghilangkan sifat subjektif yang ada, sehingga akan lebih ojketif

dibandingkan metode kualitatif.

Sebaiknya dilakukan pengukuran dengan menggunakan kedua metode

baik kuantitatif dan kualitatif agar didapatkan hasil yang lebih maksimal.

23

2.3.6 Penanggulangan Risiko

Penanggulangan risiko setelah berhasil diidentifikasi memiliki empat

cara, yaitu sebagai berikut:

1. Penghindaran risiko

Penghindaran risiko merupakan tidak melakukan aktivitas apapun

yang memungkinkan adanya risiko. Dengan menghindari semua

risiko, berarti membatasi seluruh fungsional sistem atau menghindari

timbulnya biaya tambahan bila risiko diterima.

2. Pengurangan risiko

Pengurangan risiko merupakan melakukan aktivitas yang dapat

mengurangi akibat atau dampak dari risiko.

3. Penerimaan risiko

Penerimaan risiko merupakan perlakuan dimana risiko dari suatu

kejadian dapat diterima. Penerimaan risiko dapat menjadi layak

diterima ketika memiliki dampak atau kemungkinan yang kecil, atau

biaya untuk menaggulanginya lebih kecil dibanding dampak yang

dihasilkan.

4. Pengalihan risiko

Pengalihan risiko merupakan perlakuan yang mengalihkan risiko ke

pihak lain. Contoh pengalihan risiko adalah asuransi.

Menurut Krutz (2003), dengan menggunakan kontrol keamanan

informasi, diharapkan akan mampu meredam risiko yang ada, dimana kontrol

akan memiliki fungsi sebagai berikut:

1. Kontrol pencegahan

24

Kontrol ini berfungsi melakukan pencegahan dari upaya-upaya

melanggar kebijakan dan aturan keamanan informasi.

2. Kontrol pendeteksi

Kontrol ini berfungsi melakukan peringatan adanya pelanggaran yang

terjadi sebagai upaya pelanggaran kebijakan atau aturan keamanan

informasi. Beberapa kontrol pendeteksi bersinggungan dengan

kontrol pencegahan karena sebuah kontrol dapat digunakan sebagai

pencegahan untuk masa depan, dan deteksi untuk kejadian saat ini.

3. Kontrol koreksi

Kontrol yang berfungsi untuk melakukan pemulihan dari dampak

yang telah ditimbulkan oleh terjadinya risiko.

2.3.7 Monitoring dan Pelaporan Risiko

1. Monitoring risiko

Merupakan aktivitas pemantauan yang dilakukan pihak internal

dalam tiap jangka waktu tertentu. Aktivitas ini dapat berupa

identifikasi risiko baru yang mungkin terjadi, pengelolaan

dokumentasi atas accidents dan incidents yang berpengaruh terhadap

sistem informasi, pendeteksian perubahan atas risiko yang telah

teridentifikasi, menyediakan peringatan atas kerentanan dan insiden,

dan mengelola rencana manajemen risiko.

2. Pelaporan

Pelaporan yang efektif menyediakan informasi yang terpercaya dan

relevan bagi para pembaca agar pembaca memperoleh pemahaman

25

yang cukup mengenai risiko yang mengancam organisasi. Kemudian,

dari laporan tersebut digunakan untuk pengambil keputusan.

2.4 Standar dan Kerangka Kerja Keamanan Informasi

Pengelolaan keamanan informasi yang baik dan efektif adalah di mana

suatu organisasi memperhitungkan seluruh proses baik operasional dan

organisasional termasuk pihak yang terkait dengan keamanan informasi.

Hingga saat ini sudah berbagai standar dan kerangka kerja mengenai keamanan

informasi telah dikembangkan di mana menitikberatkan pada target atau area

subyek. Berbagai organisasi, perusahaan, dan pemerintahan menggunakan

standar keamanan informasi untuk meningkatkan keamanan mereka dan

memudahkan mereka dalam menentukan prosedur dan bentuk keamanan yang

harus dijalankan. Dalam penelitian ini, kerangka kerja yang digunakan adalah

International Organization for Standardization (ISO) untuk keamanan sistem

informasi, yaitu SNI ISO 27001:2009.

2.4.1 ISO 27000 Information Security Management System

ISO dan IEC (International Electrotechnical Commission) bersepakat

dalam mengembangkan standar keamanan informasi seri 2700x, diantaranya

sebagai berikut (Tofan, 2010):

1. ISO 27000:2009 - Information Security Management System - Overview and

vocabulary

2. ISO 27001:2005 - Information Security Management System - Requirements

3. ISO 27002:2005 – Code of Practise for Information Security Management

System

26

4. ISO 27003:2010 – Information Security Management System Implementation

Guidance

5. ISO 27004:2009 – Information Security Management System Measurement

6. ISO 27005:2008 – Information Security Risk Management System

7. ISO 27006:2011 – Requirements for Bodles Providing Audit and

Certification of Informastion Security Management System

8. ISO 27007:2011 – Guidelines for Information Security Management System

Auditting (Focused on the Management System).

9. ISO 27008:2011 – Guidance for Auditors on ISMS Controls (Focused on

Information Security Controls)

10. ISO 27010:2011 – Information Technology – Security Techniques –

Information Security Management for Inter-sector and Inter-Organizational

Communications

11. ISO 27011:2008 – Information Security Management Guidelines for

Telecommunication Organizational based on ISO/IEC 27002.

12. ISO 27013:2015 – Guideline on the Integrated implmentation of ISO/IEC

20000-1 and ISI/IEC 27001

13. ISO 27014 : Information Security Governance Framework

14. ISO 27015 : Information Security Management Guidelines for the Finance

and Insurances Sectors

15. ISO 27016 – Information Security Management – Organiozational

Economics [DRAFT]

16. ISO 27017 – Security in Cloud Computing [DRAFT]

27

17. ISO 27018 – Code of Practice for Data Protection Controls for Public Cloud

Computing Services [DRAFT]

18. ISO 27019 – Information Security Management Guidelines based on ISO

27002 for Process Control Systems Specific to the Energy Industry [DRAFT]

19. ISO 27031:2011 – Guidelines for Information and Communication

Technology Readiness for Business Cntinuity.

20. ISO 27032:2012 – Guidelines for Cyber Security

21. ISO 27033:2008 – IT Network Security, a Multi-part Standard based on

ISO/IEC 18028:2006

22. ISO 27034:2011 – Guidelines for Application Security (part 1 published rest

in DRAFT)

23. ISO 27033:2011 – Information Security Incident Management

24. ISO 27036 – Information Security for Suppler Realtionship [DRAFT]

25. ISO 27037:2012 – Guidelines for Identification, Collection, Acquisition and

Preservation of Digital Evidence.

26. ISO 27038 – Specification for Digital Redaction [DRAFT]

27. ISO 27038 – Selection, Development and Operations of Intrusion Detection

(and preventation) [DRAFT]

28. ISO 27040 – Storage Security [DRAFT]

29. ISO 27041 – Guidelines for the Analysis and Interpretation of Digital

Evidence [DRAFT]

30. ISO 27042 – Guidelines for the Analysis and Interpretation of Digital

Evidence [DRAFT]

31. ISO 27043 – Digital evidence investigation Principles and Process [DRAFT]

28

32. ISO 27799:2008 – Information Security Management in Health using

ISO/IEC 27002.

Adapun standar pada seri ISO lainnya dijelaskan sebagai berikut:

a. ISO 13335

Standar ISO 13335 merupakan standar yang digunakan untuk Management of

Information and Communications Technology Security. Standar ini berisi

arahan umum untuk menginisiasi dan mengimplementasikan proses

manajemen keamanan teknologi inforkan masi. Standar ini hanya

menyediakan instruksi untuk mengelola keamanan teknologi informasi,

bukan sebagai solusi keamanannya.

b. ISO 27001

ISO 27001 (Information Technology - Security Techniques - Information

Security Management Systems Requirement Spesification) merupakan standar

internasional pertama yang bisa di sertifikasi untuk manajemen keamanan

informasi. Standar ini berisi rekomendasi umum untuk menjalankan dan

meningkatkan dokumentasi manajemen keamana sistem informasi dengan

mempertimbangkan berbagai risiko.

c. ISO 27002

Sebelumnya ISO 27002 dikenal dengan nama ISO 17799:2005 (Information

Technology - Code of Practice for Information Security Management)

memiliki tujuan untuk menentukan kerangka kerja manajemen keamanan

informasi. Standar ini fokus terhadap langkah-langkah yang diperlukan untuk

membangun fungsionalitas sistem manajemen keamanan dan

mengimplementasikannya ke dalam organisasi. rekomendasi dari standar ini

29

khususnya untuk tingkat manajemen dan tidak banyak memiliki informasi

teknis yang spesifik.

d. ISO 27005

ISO 27005 (Information Security Risk Management) merupakan standar yang

berisi rekomendasi umum untuk manajemen risiko keamanan informasi.

Standar ini digunakan untuk mendukung implementasi ISO 27001.

e. ISO 27006

ISO 27006 (Information Technology - Security Techniques - Requirements

for The Accreditation of Bodies Providing Certification of Information

Security Management Systems) berisi penjelasan dari persyaratan yang

dibutuhkan untuk mengakreditasi sertifikasi ISMS dan detail prosesnya

secara spesifik.

2.4.2 National Institute of Standards and Technology (NIST) 800-

30

NIST 800-30 pertama kali dipublikasikan pada tahun 2002 oleh National

Institute of Standards and Technology. Standar ini merupakan publikasi khusus

mengenai Risk Guide for Information Technology System yang menyediakan 30

dasar untuk pengembangan program manajemen risiko yang efektif. Dasar-dasar

ini dapat digunakan untuk menilai dan memitigasi risiko yang teridentifikasi di

dalam suatu sistem teknologi informasi karena mengandung definisi-definisi dan

arahan praktis yang dibutuhkan. NIST 800-30 bertujuan untuk membantu

organisasi dalam mengelola risiko teknologi informasi menjadi lebih baik.

Kerangka kerja ini menyediakan informasi dengan menyeleksi kontrol keamanan

informasi yang efektif secara biaya sehingga dapat digunakan untuk memitigasi

30

risiko untuk memberikan perlindungan bagi informasi penting, sistem informasi,

dan pembawa informasi tersebut.

Dalam NIST 800-30, terdapat 3 aktivitas proses manajemen risiko seperti

gambar berikut:

Gambar 2.3 Proses Manajemen Risiko NIST 800-30

Sumber: Stoneburner, 2002

Dari gambar di atas dapat dilihat tahapan yang dilakukan adalah sebagai

berikut: (Stoneburner, 2002):

a. Penilaian Risiko

Proses ini merupakan proses pertama dalam proses manajemen risiko

menggunakan NIST 800-30. Organisasi menentukan ancaman dan risiko potensial

terkait dengan sistem teknologi informasi menggunakan penilaian risiko. pada

proses ini dilakukan identifikasi, evaluasi dan efek risiko, serta rekomendasi untuk

pengukuran pengurangan risiko.

Terdapat 9 langkah dalam penilaian risiko, yaitu:

31

System Characterization, dalam menilai risiko, perlu ditentukan ruang

lingkup dari sistem yang akan dinilai. pad tahap ini dilakukan juga

identifikasi berbagai batasan dari sistem serta sumberdaya dan informasi

yang berkaitan dengan sistem.

Threat Identification, mengidentifikasi sumber ancaman dan hal-hal lain yang

menjadi penyebab terjadinya ancaman. Penyebab terjadinya ancaman bisa

diakibatkan adanya masalah internal ataupun ekternal.

Vulnerability Identification, tahap ini dilakukan identifikasi sumber

kerentanan serta hal yang menjadi penyebab terjadinya ancaman. Kerentanan

bisa terjadi di dalam perancangan, implementasi, prosedur keamanan sistem,

atau kontrol internal yang dapat disalahgunakan.

Control Analysis, setiap kontrol yang telah atau akan diimplementasikan

perlu untuk dilakukan analisis untuk mengurangi kemungkinan terjadinya

ancaman.

Likehood Determination, menentukan tingkatan dari probabilitas suatu

kelemanan dapat disalahgunakan oleh sumber ancaman. tingkatan ini dibagi

menjadi 3 yaitu High, Medium, dan Low.

Impact Analysis, dampak dari kelemahan yang disalahgunakan dapat

dianalisis dengan mengacu pada tingkat kepentingan sistem dan data, misi

sistem, dan tingkat sensitivitas sistem dan data. Hasil dari tahap ini dapat

dinyatakan dalam 3 tahap tingkatan yaitu High, Medium, dan Low.

Risk Determination, pada tahap ini dilakukan penilain tingkat risiko pada

sistem teknologi informasi. Skala dari risiko dan matrik dari level risiko

32

digunakan untuk melakukan penilaian. Hasil dari tahap ini dapat dinyatakan

dalam 3 tahap tingkatan yaitu High, Medium, dan Low.

Control Recommendation, dua langkah terakhir adalah dengan menetukan

rekomendasi dari kontrol resiko yang relevan dengan aktivitas organisasi di

mana dapat digunakan untuk memitigasi atau menghilangkan risiko yang

teridentifikasi. Hal ini bertujuan untuk menurunkan tingkat risiko sistem

informasi dan datanya ke tingkat yang lebih baik atau dapat diterima.

Results Documentation, langkah terakhir merupakan dokumentasikan hasil

dari keseluruhan tahap.

b. Mitigasi Risiko

Proses selanjutnya setelah penilaian risiko adalah mitigasi risiko. Proses ini terdiri

dari membuat prioritas, mengimplementasikan, dan menjaga pengukuran

pengurangan risiko yang sesuai dengan hasil penilaian risiko. Terdapat 7 tahapan

yang dilakukan dalam proses mitigasi risiko, yaitu sebagai berikut:

Prioritize Action, langkah awal ini dilakukan untuk menentukan prioritas dari

kegiatan yang akan diimplementasikan berdasarkan level risiko yang didapat

dari penilaian risiko. Hasil dari tahapan ini adalah urutan prioritas kegiatan

dari yang tertinggi hingga terendah.

Evaluate Recommended Control Options, pada tahap ini dilakukan analisis

terhadap efektivitas dari rekomendasi kontrol dengan tujuan untuk memilih

kontrol yang sesuai dan berhubungan agar dapat mengurangi risiko.

Conduct Cost-Benefit Analysis, Pada tahap ini dilakukan analisis cost-benefit

dari rekomendasi kontrol yang digunakan untuk membantu pihak manajemen

33

dalam membuat keputusan kontrol apa saja yang akan digunakan dengan

melihat kontrol yang memiliki biaya lebih efektif.

Select Control, setelah dilakukan analisis biaya, langkah selanjutnya yaitu

memilih kontrol-kontrol yang akan dipakai dengan menggabungkan aspek

operasional, kontrol manajemen, dan teknis untuk memastikan keamanan

sistem teknologi informasi dan keamanan perusahaan.

Develop a Safeguard Implementation Plan, Dalam tahap ini dilakukan

pengembangan suatu action plan yang terdiri dari informasi mengenai risiko,

rekomendasi kontrol, prioritas kegiatan, kontrol yang dipilih, sumber daya

yang dperlukan, daftar tanggung jawab personil dan tim, tanggal mulai dan

selesainya implementasi, dan kebutuhan pemeliharaan.

Implement Selected Controls, pada tahap akhir ini implementasi kontrol yang

dipilih telah dilakukan.

c. Evaluating Risiko

Setelah dilakukan dua proses sebelumnya, proses evaluasi dilakukan secara

berkelanjutan dan menjadi kunci untuk menerapkan program manajemen risiko

yang baik.

2.4.3 Control Objective for Information and Related Technology

(COBIT)

COBIT diterbitkan oleh Information Domains Audit and Control

Association (ISACA) IT Government Institute. Kerangka kerja ini digunakan

untuk mengontrol risiko penggunaan teknologi informasi yang digunakan sebagai

pendukung proses bisnis. COBIT merupakan gabungan dokumen dan kerangka

34

kerja yang dikategorisasikan dan diterima sebagai metode yang baik untuk tata

kelola teknologi informasi. Manajemen risiko dibahas khusus pada proses PO9

dalam COBIT. COBIT memiliki kerangka kerja manajemen risiko teknologi

informasi sebagai berikut: (IT Governance Institute, 2005)

a. Penetapan objektif, COBIT menyediakan kriteria informasi yang digunakan

sebagai dasar untuk mendefinisikan obyek teknologi informasi. Terdapat 7

kriteria informasi yaitu effectiveness, confidentiality, efficiency, integrity,

compliances, realibility, dan availability.

b. Identifikasi risiko, proses ini dilakukan untuk mengetahui adanya risiko yang

bisa bersumber dari proses, manusia, teknologi, baik dari dalam maupun dari

luar organisasi, dan bersumber dari bencana, kesempatan, dan ketidakpastian.

c. Penilaian risiko, proses ini digunakan untuk menilai frekuensi terjadinya

risiko dan seberapa besar dampaknya. Dampak dari risiko bisa berbentuk

finansial, kegiatan bisnis terhenti, terjadi penundaan pengambilan keputusan,

menurunnya reputasi yang disebabkan kesalahan sistem, dan kegagalan aset.

d. Respon risiko, proses ini dilakukan untuk menerapkan kontrok objektif yang

sesuai dalam implementasi manajemen risiko. COBIT memiliki beberapa

proses yang sesuai dengan manajemen risiko, yaitu:

a. PO1 (Define a Strategic IT Plan) dan PO9 (Assess and Manage Risk)

b. A16 (Manages Change)

c. DS5 (Ensure System and Security)

d. ME1 (Monitor and Evaluate IT Performance)

e. Monitor risiko, setiap tahap-tahap perlu dipantai agar risiko dan respon

terjamin untuk tetap berjalan.

35

2.4.4 Operationally Critical Threat, Asset, and Vulnerability

Evaluation (OCTAVE)

Kerangka kerja OCTAVE untuk manajemen risiko keamanan informasi

dapat dilihat seperti gambar berikut: (Alberts, 2002)

Gambar 2.4 Kerangka Kerja OCTAVE

Sumber: Alberts, 2002

Aktivitas pada gambar di atas dapat dijelaskan sebagai berikut:

a. Identifikasi, proses ini merupakan perubahan dari ketidakpastian mengenai

penilaian keamanan aset perusahaan terhadap risiko. Aktivitasnya mencakup dari

identifikasi profil risiko (aset kritis, ancaman, kebutuhan keamanan untuk aset

kritis, kebutuhan keamanan, deskripsi mengenai dampak risiko pada perusahaan,

dan komponen infrastruktur utama yang berkaitan dengan aset kritis) dan

identifikasi informasi perusahaan seperti prosedur dan kebijakan keamanan

informasi.

36

b. Analisa, proses ini untuk memprediksikan bagaimana risiko-risiko secara

menyeluruh dan menggunakan prediksi tersebut untuk membuat skala prioritas.

Dalam proses ini juga dilakukan evaluasi risiko (nilai-nilai yang digunakan untuk

pengukur risiko, dampak dan peluang) serta skala prioritas risiko (menerima atau

mengurangi risiko).

c. Perencanaan, proses ini dilakukan untuk menentukan langkah-langkah yang perlu

diambil untuk meningkatkan perlindungan keamanan aset kritis. Langkah yang

dilakukan adalan dengan mengembangkan strategi perlindung, rencana aksi,

rencana mitigasi, kriteria sukses, jadwal, biaya, ukuran-ukuran untuk mengawasi

rencana aksi, dan penetuan tugas setiap personil yang akan menerapkan rencana

aksi.

d. Implementasi, proses ini dilakukan untuk menerapkan aksi yang sudah

direncanakan untuk meningkatkan keamanan sistem sesuai dengan rencana dan

kriteria sukses yang telah diuraikan pada perencanaan risiko.

e. Monitor, langkah ini dilakukan untuk mengawasi rencana aksi yang sedang

berlangsung agar dapat menentukan statusnya dan dilakukan juga peninjauan

ulang data perusahaan sebagai tanda jika ada risiko baru atau perubahan.

f. Kontrol, proses ini dirancang agar personil melakukan adaptasi rencana aksi dan

menentukan kemungkinan yang terjadi apakaha dapat menyebabkan timbul risiko

baru jika dilakukan perubahan kondisi organisasi.

2.5 International Organization for Standarization (ISO) 27001:2009

ISO merupakan badan standar internasional yang mengembangkan dan

mempublikasikan sebuah sistem manajemen untuk menilai mutu organisasi.

37

ISO memiliki kantor pusat di Genewa, Swiss dengan beranggotakan 162 orang

yang mewakili masing-masing negara. Badan Standarisasi Nasional (BSN)

mempublikasikan Standar Nasional Indonesia (SNI) ISO/IEC 27001:2009 yang

diadopsi dari ISO/IEC 27001:2005 dalam rangka mendukung sistem keamanan

informasi bagi lembaga penyelenggara pelayanan publik. Dalam menerapkan

sistem manajemen keamanan informasi (SMKI), ISO 27001 mendefinisikan 11

klausul, 39 objektif kontrol, dan 133 kontrol (Kemenpora, 2012). ISO 27001

dikelompokkan ke dalam kebutuhan pengendalian keamanan yang

digambarkan sebagai berikut:

Gambar 2.5 Kelompok Kebutuhan Pengendalian Keamanan

Sumber: Kemenpora, 2012

Dari beberapa standar dan kerangka kerja keamanan informasi yang

dijelaskan di atas, penulis memilih menggunakan ISO 27001 khususnya SNI

ISO 27001:2009 sebagai standar dan kerangka kerja keamanan informasi pada

38

penelitian ini. ISO 27001 berisi rekomendasi umum untuk menjalankan dan

meningkatkan dokumentasi manajemen keamana sistem informasi dengan

mempertimbangkan berbagai risiko. Standar ISO 27001 dapat disertifikasikan

untuk manajemen keamanan sistem informasi yang bisa digunakan oleh

organisasi atau perusahaan. ISO 27001 memiliki kontrol objek yang dapat

disesuaikan dengan keadaan dan kebutuhan setiap organisasi atau perusahaan

sehingga tidak semua kontrol objek harus diterapkan.

2.5.1. Proses Perancangan Manajemen Keamanan Informasi

Standar ISO 27001:2009 memiliki tujuan sebagai acuan untuk

pembangunan, pengoperasian, pengimplementasian, peninjauan, pengawasan,

pemeliharaan dan perbaikan sistem manajemen keamanan informasi. ISO

27001 menggunakan siklus Plan-Do-Check-Act (PDCA) untuk

menstrukturisasi setiap proses yang digambarkan di bawah ini:

39

Gambar 2.6 Siklus PDCA pada ISO 27001

Sumber: A.T. Kearney Analysis, 2013

Dari gambar di atas dapat dijelakan siklus PDAC pada ISO 27001

sebagai berikut:

1. Plan

Pada tahap ini dilakukan penetapan tujuan, aturan, proses, dan prosedur

yang sesuai untuk mengelola risiko dan meningkatkan keamanan

informasi. Hal ini bertujuan agar dapat memberikan hasil sesuai dengan

tujuan dan kebijakan organisasi.

2. Do

Selanjutnya dilakukan penerapan dan jalannya aturan, kontrol, kebijakan,

proses dan prosedur SMKI yang sudah dipilih di tahap sebelumnya.

3. Check

Tahap selanjutnya dilakukan penilaian, pengawasan, dan peninjauan

penerapan dari SMKI dan jika memungkinkan bila dilakukan pengukuran

40

kinerja proses terhadap kebijakan SMKI, dan hasilnya akan dilaporkan

ke pihak manajemen untuk ditinjau lebih lanjut.

4. Act

Pada tahap terakhir dilakukan langkah-langkah perbaikan dan

pencegahan yang diambil berdasarkan hasil dari audit internal SMKI dan

management review atau informasi lainnya yang berhubungan untuk

mencapai perbaikan SMKI secara berkelanjutan.

Dalam merancang SMKI di perusahaan, perlu dilakukan beberapa hal

sebagai berikut:

1. Menentukan ruang lingkup dan batasan dari SMKI yang berhubungan

dengan karakteristik bisnis, organisasi, aset, teknologi, dan lokasi,

termasuk rincian dan justifikasi untuk hal-hal diluar ruang lingkup.

2. Menentukan kebijakan SMKI yang berhubungan dengan bisnis,

organisasi, aser, teknologi, dan lokasi.

3. Menentukan pendekatan penilaian risiko organisasi.

4. Mengindentifikasi risiko aset, ancaman, kerawanan, dan dampak dari

hilangnya kerahasiaan, ketersediaan, dan integritas yang mungkin terjadi

terhadap aset.

5. Menganalisa dan mengevaluasi risiko, dan mengestimasi level risiko

serta menetukan apakah risiko-risiko tersebut bisa diterima atau

membutuhkan perlakuan khusus.

6. Mengidentifikasi dan mengevaluasi pilihan untuk perlakuan terhadap

risiko seperti untuk menghindari risiko, menjalankan kontrol yang sesuai,

41

mengirim risiko bisnis ke pihak lain, menerima risiko, dan menghindari

risiko.

7. Memilih kontrol dan kontrol objektif untukperlakuan terhadap risiko.

8. Mendapatkan persetujuan dari pihak manajemen terhadap perlakuan

risiko.

9. Mendapatkan otoritas manajemen untuk menerapkan dan menjalankan

SMKI.

10. Menyiapkan Statement of Applicability, yang terdiri dari kontrol dan

kontrol objektif yang sedang diterapkan, dan pengecualian terhadap

kontrol dan kontrol objektif serta justifikasi terhadap pengecualian

tersebut.

Setelah menentukan perencanaan SMKI, selanjutnya dilakukan tahapan

untuk menerapkan dan menjalankan SMKI, berikut langkah-langkah yang

perlu dilakukan sebagai berikut:

1. Merumuskan perencanaan tindak lanjut risiko untuk menentukan

tindakan yang sesuai bagi manajemen, tanggung jawab dan prioritas serta

sumber daya untuk mengelola risiko keamanan informasi.

2. Menerapkan perencanaan tindak lanjut risiko untuk mencapai kontrol

objektif dimana dilakukan juga pertimbangan pendanaan dan alokasi

peran dantanggung jawab.

3. Menerapkan kontrol yang sudah dipilih untuk mencapai objektif kontrol.

4. Menentukan cara mengukur efektifitas kontrol yang sudah dipilih dan

menentukan juga apakah dapat digunakan untuk menilai efektivitas

kontrol untuk didapatkan hasil yang bisa dibandingkan.

42

5. Menerapkan program pelatihan dan kesadaran terhadap keamanan

informasi.

6. Mengelola operasional SMKI.

7. Mengelola sumber daya SMKI.

8. Menerapkan langkah-langkah dan kontrol lainnya yang bisa menemukan

dan merespon jika terjadi kejadian yang berhubungan dengan keamanan

sistem.

Tahap selanjutnya dilakukan pengawasan dan peninjauan SMKI yang

tengah berjalan. Berikut langkah-langkah yang perlu dilakukan sebagai

berikut:

1. Menjalankan langkah-langkah pengawasan dan peninjauan serta kontrol

lainnya.

2. Melakukan tinjauan secara berkala terhadap efektivitas SMKI dengan

melihat hasil dari audit keamanan, hasil dari efektivitas pengukuran,

insiden, saran, dan masukan dari berbagai pihak yang berkaitan.

3. Mengukur efektivitas kontrol untuk memastikan kebutuhan keamanan

telah terpenuhi.

4. Meninjau penilaian risiko pada jangka waktu tertentu dan sisa risiko serta

level risiko yang sudah diidentifikasi dengan mempertimbangkan

teknologi, ancaman, perubahan di organisasi, tujuan dan proses bisnis,

efektivitas dari kontrol yang sedang berjalan, dan perubahan eksternal

seperti perubahan pada peraturan hukum atau regulasi,perubahan iklim

sosisal, dan perubahan kontrak kewajiban.

43

5. Menjalankan audit internal SMKI sesuai dengan jangka waktu yang telah

ditetapkan.

6. Meninjau pihak manajemen terhadap SMKI untuk memastikan ruang

lingkup terpenuhi dan proses perbaikan SMKI dapat dikenali.

7. Melakukan perbaharuan rencana dengan mempertimbangkan hal-hal

yang ditemui dalam kegiatan pengawasan dan peninjauam SMKI.

8. Mendokumentasikan semua kegiatan dan kejadian yang bisa berdampak

pada efektivitas dan kinerja SMKI.

Tahap terakhir dari siklus PDCA adalah menjaga dan meningkatkan

SMKI. Langkah-langkah yang perlu dilakukan oleh organisasi secara berkala

adalah sebagai berikut:

1. Menerapkan perbaikan yang teridentifikasi di SMKI.

2. Mengambil tindakan perbaikan dan pencegahan. Kemudian menerapkan

pelajaran yang didapat dari pengalaman di dalam maupun luar organisasi

yang terkait dengan keamanan.

3. Mengkomunikasikan tindakan dan perbaikan kepada semua pihak yang

terkait.

4. Memastikan perbaikan tersebut sudah memenuhi sasaran yang

diharapkan.

2.5.2. Kontrol dan Kontrol Objektif SNI ISO 27001:2009

SNI ISO 27001:2009 memiliki 11 domain, 39 kontrol objektif dan 133

kontrol yang bisa dijadikan acuan untuk implementasi manajemen risiko

keamanan sistem informasi yang didapat dari hasil penilaian risiko.

44

Penerapan kontrol-kontrol ini digunakan untuk menurunkan tingkat risiko

keamanan informasi ke tingkat yang bisa diterima.

Dari semua kontrol yang terdapat di SNI ISO 27001:2009 tidak semuanya

harus diterapkan oleh organisasi atau perusahaan. Setiap organisasi memiliki

karakteristik yang berbeda-beda, sehingga tidak semua kontrol SNI ISO

27001:2009 bisa diterapkan di organisasi tersebut. Kontrol yang dipakai harus

berhubungan atau sesuai dengan kebutuhan organisasi tersebut. Semua

kontrol yang tidak sesuai di masukan ke dalam Statement of Applicability,

yang berisi kontrol yang mau diterapkan dan yang tidak diterapkan. Semua

kontrol yang tidak diterapkan tidak perlu dimasukkan ke dalam ruang lingkup

pada saat audit. SNI ISO 27001:2009 memiliki domain dan kontrol objektif

yang dapat dilihat pada tabel berikut:

Tabel 2.1 Domain dan Kontrol Objektif SNI ISO 27001:2009

Sumber: SNI ISO 27001:2009

Ref.

Annex A

Domain & Kontrol Objektif

A.5 Kebijakan keamanan

A5.1 Kebijakan keamanan informasi

A.6 Organisasi keamanan informasi

A6.1 Organisasi internal

A6.2 Pihak eksternal

A.7 Pengelolaan aset

A7.1 Tanggung jawab terhadap aset

A7.2 Klasifikasi informasi

45

Ref.

Annex A

Domain & Kontrol Objektif

A.8 Keamanan sumberdaya manusia

A8.1 Belum dipekerjakan

A8.2 Selama bekerja

A8.3 Pengakhiran atau perubahan pekerjaan

A.9 Keamanan fisik dan lingkungan

A9.1 Area yang aman

A9.2 Keamanan peralatan

A.10 Manajemen komunikasi dan informasi

A10.1 Prosedur operasional dan tanggung jawab

A10.2 Manajemen pelayanan jasa pihak ketiga

A10.3 Perencanaan dan keberterimaan sistem

A10.4 Perlindungan terhadap malicious dan mobile code

A10.5 Back-up

A10.6 Anajemen keamanan jaringan

A10.7 Penanganan media

A10.8 Pertukaran informasi

A10.9 Layanan electronic commerce

A10.10 Pemantauan

A.11 Pengendalian akses

A11.1 Persyaratan bisnis untuk pengendalian akses

A11.2 Manajemen akses pengguna

46

Ref.

Annex A

Domain & Kontrol Objektif

A11.3 Tanggung jawab pengguna

A11.4 Pengendalian akses jaringan

A11.5 Pengendalian akses sistem informasi

A11.6 Pengendalian akses aplikasi dan informasi

A11.7 Mobile computing dan kerja jarak jauh (teleworking)

A.12 Akuisisi, pengembangan dan pemeliharaan sistem informasi

A12.1 Persyaratan keamanan dari sistem informasi

A12.2 Pengelolaan yang benar dalam aplikasi

A12.3 Pengendalian dengan cara kriptografi

A12.4 Keamanan system files

A12.5 Keamanan dalam proses pengembangan dan pendukung

A12.6 Manajemen kerawanan teknis

A13 Manajemen insiden keamanan informasi

A13.1 Pelaporan kejadian dan kelemahan keamanan informasi

A13.2 Manajemen insiden keamanan informasi dan perbaikan

A.14

Manajemen keberlanjutan bisnis (Business continuity

management)

A14.1

Aspek keamanan informasi dari manajemen keberlanjutan

bisnis

A.15 Kesesuaian

A15.1 Sesuaian dengan persyaratan hukum

47

Ref.

Annex A

Domain & Kontrol Objektif

A15.2

Pemenuhan terhadap kebijakan keamanan dan standar, dan

pemenuhan teknis

A15.3 Pertimbangan audit sistem informasi

11 klausul kontrol keamanannya dapat dijelaskan sebagai berikut:

1. Kebijakan keamanan: komitmen Manajemen dan dukungan untuk kebijakan

keamanan informasi ditujukan dalam domain ini.

2. Organisasi keamanan informasi: koordinasi dan pengelolaan usaha

informasi organisasi keamanan secara keseluruhan adalah rinci dalam domain

ini. Tanggung jawab keamanan informasi didefinisikan dalam domain ini.

3. Pengelolaan aset: semua aset kritis dan sensitif didefinisikan dalam domain.

4. Keamanan sumberdaya manusia: domain ini membahas kesadaran

pengguna dan pelatihan. Pengguna kesadaran dan pelatihan dapat mengurangi

risiko pencurian, penipuan, dan kesalahan.

5. Keamanan fisik dan lingkungan: domain ini membatasi akses ke fasilitas ke

petugas yang berwenang. Selain itu, alamat domain membatasi jumlah

kerusakan yang terjadi pada bangunan fisik dan informasi organisasi.

6. Manajemen komunikasi dan operasi: domain ini membahas risiko

kegagalan dan konsekuensi yang dihasilkan. Hal ini dicapai dengan

memastikan penggunaan yang tepat dan aman dari fasilitas pengolahan

informasi.

48

7. Pengendalian akses: domain ini memastikan akses ke sistem masing-masing

dan informasi dibatasi untuk petugas yang berwenang. Deteksi kegiatan yang

tidak sah juga dibahas dalam domain ini.

8. Akuisisi, pengembangan dan pemeliharaan sistem informasi: domain ini

membahas kerugian dan penyalahgunaan informasi dalam aplikasi yang

digunakan dalam perusahaan.

9. Manajemen insiden keamanan informasi: peristiwa dan kelemahan

keamanan harus dilaporkan. Domain ini membahas definisi tanggung jawab

dan prosedur pengelolaan insiden keamanan dan perbaikan, serta

mengumpulkan bukti-bukti untuk insiden keamanan.

10. Manajemen keberlanjutan bisnis: domain ini membahas kemampuan

organisasi untuk secara cepat merespon setiap gangguan sistem bisnis penting.

Gangguan sistem ini dapat disebabkan oleh kegagalan hardware, insiden, dan

bencana alami.

11. Kesesuaian: domain ini membahas kepatuhan hukum oleh bisnis. Selain itu,

domain ini memastikan bahwa tujuan yang ditetapkan oleh manajemen tingkat

atas sedang diikuti dan bertemu.

2.6 Indeks Keamanan Informasi

Dalam mengidentifikasi maturity level atau tingkat kesiapan dari

implementasi keamanan informasi dengan standar SNI ISO 27001:2009,

metode yang digunakan adalah Indeks keamanan informasi (Indeks KAMI).

Indeks KAMI merupakan salah satu alat untuk mengevaluasi dan menganalisis

tingkat kesiapan atau kematangan SMKI. Alat evaluasi ini disusun oleh Tim

49

Direktorat Keamanan Informasi Kementrian Komunikasi dan Informatika.

Indeks ini digunakan untuk memberikan gambaran kondisi kematangan dari

kerangka kerja keamanan informasi. Indeks ini mengevaluasi semua area yang

menjadi target penerapan keamanan informasi dengan ruang lingkup

pembahasan yang memenuhi aspek keamanan pada SNI ISO 27001:2009.

Evaluasi menggunakan Indeks KAMI mencakup hal-hal sebagai berikut:

1. Peran atau tingkat kepentingan teknologi informasi dan komunikasi

2. Tata kelola keamanan informasi

3. Pengelolaan risiko keamanan informasi

4. Kerangka kerja keamanan informasi

5. Pengelolaan aset informasi

6. Teknologi dan keamanan informasi

Hasil evaluasi indeks KAMI menunjukkan gambaran dari tingkat

kematangan, tingkat kelengkapan SNI ISO 27001:2009 dan peta area tata kelola

keamanan sistem informasi di instansi pemerintah. Dalam menghitung indeks

KAMI digunakan metode kuesioner yang berisi table checklist pengukuran yang

terdiri dari beberapa pertanyaan pada masing-masing bagian indeks KAMI untuk

mendapatkan gambaran dari tingkat keamanan informasi pada suatu organisasi

atau perusahaan. Dalam menghitung indeks KAMI dimulai dari mengukur peran

TIK pada institusi untuk menilai kesiapan keamanan informasi di suatu organisasi

atau perusahaan yang dimulai dari tata kelola hingga teknologi. Pertanyaan pada

bagian kesiapan keamanan informasi dikelompokkan menjadi dua bagian, yaitu:

1. Pertanyaan dikategorikan berdasarkan tingkat kesiapan penerapan

pengamanan sesuai dengan kelengkapan kontrol yang terdapat di SNI ISO

50

27001:2009. Dalam pengelompokan ini responden diminta untuk

memberikan tanggapannya mulai dari area yang terkait dalam bentuk

kerangka kerja dasar keamanan informasi, efektifitas dan konsistensi

penerapannya dan kemampuan untuk selalu meningkatkan kinerja

keamanan informasi. Tingkat terakhir sesuai dengan kesiapan minimum

yang dipersyaratkan oleh standar SNI ISO 27001:2009.

Tabel 2.2 Ukuran Kerja Keamanan Informasi

Sumber: Indeks KAMI

Status Pengamanan

Kategori

Pengamanan

1 2 3

Tidak dilakukan 0 0 0

Dalam perencanaan 1 2 3

Dalam penerapan atau diterapkan

sebagian

2 4 6

Diterapkan secara menyeluruh 3 6 9

Adapun matriks peran TIK dan hubungannya dengan status kesiapan di

dalam suatu organisasi atau perusahaan dijelaskan pada tabel 2.4 di bawah

ini.

Tabel 2.3 Matriks Peran TIK dan Status Kesiapan

Sumber: Indeks KAMI

51

2. Pengelompokan kedua dilakukan berdasarkan tingkat kematangan

penerapan pengamanan dengan kategori yang mengacu pada tingkatan

kematangan yang digunakan pada kerangka kerja COBIT. Tingkat

kematangan ini akan digunakan sebagai alat untuk memberikan informasi

pemetaan dan pengukuran tingkat mengenai kesiapan keamanan di suatu

organisasi atau perusahaan. Pada penilaian menggunakan Indeks KAMI,

tingkat kematangan dijelaskan sebagai berikut:

1. Tingkat I : Kondisi awal

2. Tingkat I+: Penerapan kerangka kerja dasar

3. Tingkat II : Terdefinisi dan konsisten

4. Tingkat II+ : Terkelola dan terukur

5. Tingkat III : Optimal

Gambar 2.7 Bar Chart Tingkat Kematangan dan Tingkat

Kelengkapan Penerapan Standar ISO 27001

Sumber: Indeks KAMI

2.7 Pengukuran Tingkat Kematangan (Maturity Level)

Pengukuran tingkat kematangan atau maturity level pada COBIT Menurut

(Tambotoh & Latuperissa, 2014) adalah pengukuran yang dilakukan pada

tingkat kematangan menggunakan aturan COBIT untuk mengetahui bagaimana

pengelolaan dan proses-proses teknologi informasi di organisasi tersebut

sehingga dapat diketahui pada tingkat pengelolaannya. Pengukuran ini

ditujukan untuk tingkat manajemen dan manager di perusahaan yang ingin

52

dievaluasi tingkat kematangannya menggunakan COBIT. Model kematangan

atau maturity Model menggunakan COBIT adalah alat yang digunakan untuk

mengukur seberapa baik proses pengelolaan teknologi informasi yang

berhubungan pada kontrol internal teknologi informasi dan berkaitan dengan

tujuan bisnis suatu organisasi atau perusahaan. Model kematangan pada proses

teknologi informasi menggunakan COBIT dibuat berdasarkan metode evaluasi

suatu organisasi yang dibagi menjadi 6 tingkat, yaitu mulai dari 0 (non-

existent) hingga 5 (optimised). Tingkatannya sebagai berikut:

a. 0 (Non-Existent)

Tingkat ini merupakan tingkatan paling kecil dimana sama sekali tidak

terdapat proses yang terkait sama sekali.

b. 1 (Intial/Ad hoc)

Pada tingkat ini pihak manajemen mulai sadar akan pentingnya proses

yang terkait, akan tetapi implementasi yang terjadi masih bersifat reaktif,

sesuai dengan kebutuhan mendadak yang ada dan tidak terorganisir.

c. 2 (Repeatable but Intuitive)

Pada tingkat ini pihak manajemen telah memiliki pola untuk mengelola

proses terkait berdasarkan pengalaman yang berulang dan pernah

dilakukan sebelumnya namun, pola tersebut belum terstandarisasi.

Kurangnya prosedur yang tidak dikomunikasikan dan tidak terstandarisasi

serta keterbatasan staf ahli dapat menyebabkan terjadinya penyimpangan.

d. 3 (Defined Process)

Pada tingkat ini pihak manajemen sudah berhasil menciptakan standar

baku pengelolaan proses terkait walaupun belum dilakukan secara

53

terintegrasi. Walaupun telah diharuskan dalam pelaksanaannya, namun

belum ada pengawasan terhadap pelaksanaannya.

e. 4 (Managed and Measurable)

Pada tingkat ini pihak manajemen mengawasi dan mengukur nilai

kepatuhan terhadap prosedur dan mengambil tindakan dimana proses

tampaknya tidak berjalan dengan efektif serta kegiatan dan standar yang

ada telah terintegrasi dan diterapkan secara formal.

f. 5 (Optimised)

tingkat ini merupakan tingkat paling tinggi di mana pihak manajemen

telah berkomitmen terhadap proses yang ada agar menjadi sebuah baku

yang terstandar atau best practice yang dapat selalu dikembangkan.

Berdasarkan hasil pemodelan perbaikan dan pematangan yang

berkelanjutan, proses yang dioptimalkan telah disempurnakan ketingkat

best practice. Teknologi informasi digunakan secara terpadu untuk

mengotomatisasi alur kerja dan menyediakan alat untuk meningkatkan

kualitas dan efektivitas agar perusahaan dapat dengan cepat beradaptasi.

2.8 Penelitian Sebelumnya

Dalam upaya penelitian mengenai manajemen risiko keamanan sistem

informasi menggunakan SNI ISO 27001:2009, dilakukan studi pustaka sebagai

salah satu penerapan metode penelitian yang dilakukan. Penelitian sebelumnya

yang menjadi bahan studi pustaka penulis dapat dilihat sebagai berikut:

54

Tabel 2.4 Tabel Penelitian sebelumnya

Sumber: Penelitian Terdahulu

No. Nama Metode Judul

penelitian

Hasil Penelitian

1. Arief Budi

Winarto

(2012)

Cobit 4.1 Evaluasi

Kinerja

Manajemen

Risiko

Keamanan

Informasi

Charging

System: Studi

Kasus PT XYZ

Dalam penelitian ini

dilakukan evaluasi kinerja

manajemen risiko terhadap

Charging System. Kemudian

evaluasi juga dilakukan

terhadap kinerja tata kelola

teknologi informasi yang

berhubungan dengan

keamanan informasi yang

mengacu pada Cobit4.1.

Hasil dari penelitian ini

adalah nilai analisis

kesenjangan domain ISO

dan rekomendasi strategi

manajemen risiko keamanan

informasi pada Charging

System perusahaan tempat

penelitian dilakukan yaitu

berupa 14 rancangan kerja

dan 5 kebijakan dan

55

No. Nama Metode Judul

penelitian

Hasil Penelitian

prosedur-prosedur yang

berhubungan dengan

peningkatan kinerja kontrol

objektif dalam upaya

pengamanan aset infomasi

Charging System.

2. Iqbal

Soenardi

dan M.

Ichsan

(2013)

ISO 27001 Analisis

Kematangan

Sistem

Manajemen

Keamanan

Informasi

Badan

Pendidikan dan

Pelatihan

Keuangan

Diukur

Menggunakan

Indeks

Keamanan

Informasi

Penelitian dilakukan untuk

menganalisis tingat

kematangan sistem

manajemen keamanan

informasi menggunakan

indeks KAMI di Badan

Pendidikan dan Pelatihan

Keuangan (BPPK).

Pengukuran tingkat

kematangan ini disusun

berdasarkan ISO 27001.

Dari penelitian ini

didapatkan hasil bahwa

SMKI di BPPK masih

rendah yang disebabkan

oleh kurangnya pemahaman

56

No. Nama Metode Judul

penelitian

Hasil Penelitian

mengenai SMKI, belum

terdapat kebijakan mengenai

SMKI, dan

pengembangannya belum

dijadikan sebuah prioritas.

Saran dari penelitian ini agar

dilakukan awareness

mengenai SMKI kepada

seluruh karyawan,

menyempurnakan SOP dan

menyusun dan

mengembangkan ICT

blueprint BPPK.

3. Agus

Pramudiono

(2013)

OCTAVE

ALLEGRO

Evaluasi

Manajemen

Risiko

Pengembangan

Software

Aplikasi

Berbasis

OCTAVE

ALLEGRO di

Tujuan dari penelitian ini

adalah mendapatkan hasil

penilaian terhadap risiko-

risiko yang muncul di

pengembangan software

aplikasi. Adapun hasil dari

penelitian ini menghasilkan

19 aset kritis, dengan 10 aset

memiliki angka risiko besar

57

No. Nama Metode Judul

penelitian

Hasil Penelitian

PT. Sigma Cipta

Caraka

terhadap pengembangan

software di PT. Sigma Cipta

Caraka. Adapun saran dari

penelitian ini yakni

membuat SLA untuk setiap

proses, audit secara berkala,

dan membuat database

risiko dari seluruh proyek.

4. Vinici

Vasquera

Silitonga

(2012)

NIST 800-

300

Perancangan

Manajemen

Risiko pada PT.

XYZ dengan

menggunakan

Metode NIST

800-30

Penelitian dilakukan

terhadap sistem SAP

perusahaan serta lingkungan

pendukung layanan sistem

tersebut. Perusahaan ini

sudah menerapkan sistem

SAP namun belum memiliki

keamanan sistem informasi

yang berisiko terhadap

bisnis perusahaan dan

berpotensi menimbulkan

kerugian. Peneliti

menggunakan metode NIST

800-30 untuk penilaian

58

No. Nama Metode Judul

penelitian

Hasil Penelitian

risiko dan mitigasi,

sedangkan fase

implementasi dan evaluasi

risiko tidak termasuk dalam

cakupan penelitian.

Penelitian dilakukan dengan

8 tahapan untuk penilaian

risiko, sedangkan mitigasi

risiko dilakukan dengan 5

tahap. Hasil dari penelitian

ini adalah draft kebijakan

keamanan sistem informasi

untuk sistem SAP, yaitu

berupa 10 kontrol kebijakan

dan standar keamanan

sistem informasi yang bisa

menjadi acuan bagi PT.

XYZ untuk mengelola 14

risiko yang ditemukan

dalam penelitian.

5. Ega

Lestaria

ISO

27001:2005

Evaluasi

Manajemen

Penelitian dilakukan

terhadap sistem

59

No. Nama Metode Judul

penelitian

Hasil Penelitian

Sukma

(2013)

Risiko

Keamanan

Informasi

Sistem

Provisioning

Gateway

Telkom Flexi

Provisioning Gateway

Telkom Flexi menggunakan

ISO 27001:2005. Tujuan

dari penelitian ini untuk

mengevaluasi risiko

keamanan informasi dan

membuat rekomendasi

kerangka kerja yang sesuai

dengan SMKI yang ada.

Pada penulisan dihasilkan

13 kontrol objektif ISO

27001:2005yang

direkomendasikan untuk

perbaikan terhadap

manajemen risiko keamanan

sistem provisioning gateway

Telkom Flexi. Saran yang

didapatkan yaitu dapat

dilakukan analisis manfaat

dan biaya dengan

melakukan kuantitatif

terhadap dampak dari

60

No. Nama Metode Judul

penelitian

Hasil Penelitian

diimplementasikan atau

tidak kontrol yang

disarankan, sehingga kontrol

yg dipilih merupakan

kontrol yang paling efektif.

6. Ferdyansah

(2014)

OCTAVE Mitigasi Risiko

Sistem

Informasi

dengan

Menggunakan

Metode

OCTAVE Guna

Mendukung

Manajemen

Risiko pada

Bank BSM

Tujuan penelitian ini untuk

mengetahui ancaman dan

risiko yang terdapat di Bank

Syarian Mandiri (BSM).

Dengan mengetahui

kerentanan yang terdapat di

sistem, peneliti merumuskan

strategi perlindungan dan

pengelolaan terhadap risiko

dan ancaman pada BSM.

Hasil dari penelitian ini

bahwa server merupakan

aset paling kritis di BSM,

selanjutnya database dan

media penyimpanan serta

data dan informasi

perusahaan. Kemudian

61

No. Nama Metode Judul

penelitian

Hasil Penelitian

tingkat dampaknya juga

dimulai dari server,

database, dan data informasi

perusahaan. Selain itu

penelitian ini juga

menghasilkan rumusan

strategi mitigasi risiko

sistem informasi dengan

menerapkan Disaster

Recovery Planning (DRP).

62