AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO. 27001

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO. 27001 ABSTRAK Manajemen keamanan sistem informasi sangatlah penting bagi perusahaan. yang terdiri dari strategi dan pembagian tanggung jawab dalam menurunkan resiko yang menjadi ancaman terhadap organisasi perusahaan. Karena semua laporan yang berasal dari kantor-kantor cabang seluruh Indonesia akan dikirim ke kantor pusat setiap hari yang memungkinkan resiko hilangnya data dan informasi rahasia perusahaan. Kerangka kerja manajemen keamanan informasi memiliki tahapan proses yaitu dari membuat tahapan persiapan,identifikasi aset, kebijakan dan dokumen pengelolaan keamanan informasi, operasional Teknologi Informasi (TI), jaringan komunikasi, pengamanan informasi. Jika tidak berdasarkan hasil analisis resiko, akan menyebabkan lemahnya strategi dalam antisipasi ancaman gangguan dan serangan terhadap aset. Dalam penyusunan rencana keamanan seharusnya didasari oleh hasil analisis dan mitigasi resiko, agar strategi keamanan yang diusulkan dapat secara efektif menurunkan resiko yang telah diidentifikasi melalui analisis dan mitigasi resiko. Standar yang digunakan yaitu ISO 27001:2005 karena sangat fleksibel tergantung pada kebutuhan organisasi yang dikembangkan dan fokus pada sistem manajemen keamanan informasi. Dari hasil penelitian menunjukkan bahwa kerangka kerja mampu mendeskripsikan secara komprehensif dengan melibatkan partisipasi seluruh penanggungjawab TI dalam mengevaluasi kelemahan dari sisi teknologi dan kebijakkan, mampu memberikan dukungan kelanjutan proses bisnis dalam rangka antisipasi ancaman dan kelemahan yang terus berkembang sampai saat ini. Kata kunci : SNI-ISO 27001, Informasi keamanan. LATAR BELAKANG Penerapan tata kelola Teknologi Informasi Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan bagi setiap instansi penyelengara pelayanan public mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitan layanan sebagai salah satu realisasi dari tata kelola perusahaan yang baik (Good Corporate Governance). DEFINISI SNI-ISO 27001 ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. SNI-ISO yang diterbitkan tahun 2009 merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar control-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai resiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan. Menurut Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/kontrol (controls). AUDIT SISTEM INFORMASI Menurut Weber dalam Sarno (2009: 28) mendefinisikan Audit Sistem Informasi sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif. PENDAHULUAN Perkembangan teknologi informasi yang semakin pesat, resiko keamanan semakin besar pula. Untuk mencapai tujuan bisnis seringkali perusahaan menggunakan Teknologi Informasi dalam mengelola informasi dalam menciptakan layanan yang berkualitas pada proses bisnis. Lemah kendali pada aset informasi memudahkan pihak yang tidak bertanggungjawab untuk mencuri atau hanya mengganggu jalannya aktivitas terkait pada aset perusahaan. Meningkatnya tingkat ketergantungan pada informasi sejalan dengan resiko yang mungkin akan timbul masalah. Tahapan dalam pembuatan keamanan informasi disusun berdasarkan gangguan yang terjadi, lokasi penyimpanan aset informasi, pemilihan perangkat keamanan yang sesuai dengan perusahaan. Resiko yang biasa timbul yaitu resiko keamanan informasi yang menjadi penting harus tersedia dan digunakan. Informasi merupakan aset yang paling penting untuk dilindungi dan diamankan. Rencana keamanan informasi merupakan susunan strategi yang harus diterapkan untuk mengurangi kelemahan dan menurunkan potensial resiko yang sedang berjalan yaitu dengan proses merendahkan resiko dan melakukan evaluasi dan kontrol. Sebuah perusahaan TUJUAN Tujuan dari audit keamanan informasi adalah memberikan panduan pengelolaan, menyediakan manajemen, dan khususnya bagi pegawai keamanan TI (Teknologi Informasi) sebagai pihak yang mendukung implementasi dan optimasi keamanan informasi. Audit IS dimaksudkan untuk meningkatkan tingkat/level keamanan informasi, mencegah rancangan keamanan informasi yang tidak layak, dan mengoptimalkan efisiensi keamanan sistem informasi itu sendiri. Audit ini akan memastikan atau menjamin berjalannya proses operasional, reputasi dan aset suatu organisasi. Hasil dari audit IS adalah tersusunnya dokumen laporan audit yang terkait pada keamanan teknologi informasi yang digunakan di lingkungan organisasi tersebut. RESEARCH PAPER SNI-ISO 27001 1. Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 Pada PT. BPR Jatim Mengingat pentingnya informasi, maka kebijakan tentang pengamanan informasi harus mencakup sekurang-kurangnya terdapat prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logical security , prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi (Direktorat Penelitian dan Pengaturan Perbankan. 2007: 52). Menurut Sarno dan Iffano (2009: 89) dalam hubungannya dengan SMKI. resiko adalah Dampak yang ditimbulkan atas terjadinya sesuatu yang mengancam keamanan informasi di organisasi. yang di maksud adalah ancaman terhadap aspek keamanan informasi yaitu CIA (Confidentiality, Integrity, Availability). Sehingga setiap pernyataan akan diberikan bobot sesuai dengan nilai resiko yang akan terjadi apabila akan diterapkan. 2. Audit Keamanan Informasi Bagian Teknologi Informasi PT. PLN (Persero) menggunakan Standar ISO 27001: 2005 ISO/IEC 27001: 2005. ISO/IEC 2700: 2005 adalah standar keamanan informasi (information security) yang diterbitkan pada Oktober 2005 oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission). ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa, dan memelihara serta mendokumentasikan standar sistem manajemen keamanan informasi 3. Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 Pada PT. Indosat Tbk Indosat menyatakan telah memiliki audit atas sistem keamanan jaringannya. Sistem tersebut juga sudah berstandar internasional yakni ISO 27001 Menurut Alexander Rusli, President Director & CEO Indosat Kami mempunyai manajemen tata laksana kebijakan dan pengendalian operasional dalam bentuk penerapan sistem manajemen standard ISO 27001 (Information Security Management) yang juga menyangkut audit keamanan sistem jaringan. Indosat juga mematuhi ketentuan lawful interception sesuai ketetuan dan Indosat menyatakan dengan tegas tidak memiliki kerjasama dengan pihak asing yang bertujuan untuk melakukan penyadapan. 4. Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 Pada PT. BPR Karya Jatnika Sadaya Perencanaan audit di PT. BPR Karyajatnika Sadaya terdiri dari enam tahapan utama dan masingmasing tahapan dibagi menjadi beberapa langkah. Tahapan-tahapan perencanaan audit di PT. BPR Karyajatnika Sadaya meliputi penentuan ruang lingkup dan survey, persiapan audit, pelaksanaan proses audit, analisis hasil audit, pelaporan audit dan penutupan kegiatan audit untuk mempelajari dan membuat panduan audit sistem manajemen keamanan informasi berdasarkan ISO/IEC 27001, membuat dokumen kerja serta daftar periksa (checklist) untuk mempermudah pelaksanaan audit dan mempelajari contoh penggunaan dokumen-dokumen tersebut pada proses audit yang sesungguhnya. 5. Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 Pada Biro Teknologi Informasi Menurut Bundesamt fur Sicherheit in der information stechnik (2008) “BSI-Standard 100-1 : Information Security Management System (ISMS)” bahwa SMKI (Sistem Manajemen Keamanan Informasi) menentukan instrumen dan metode yang digunakan harus jelas dalam pengelolaan (merencanakan, mengadopsi, menerapkan, mengawasi, dan meningkatkan) tugas dan kegiatan yang ditujukan untuk mencapai keamanan informasi[2]. Keamanan informasi secara tidak langsung menjadi salah satu perhatian bagi perusahaan jika ingin melanjutkan bisnisnya. Oleh karena itu, perlu adanya standarisasi yang diterapkan atau diimplementasikan dalam perusahaan sebagai panduan yang memberikan arahan dalam menjaga aset penting seperti informasi yang dianggap sensitive bagi perusahaan tersebut. Dalam analisis teknologi informasi terdapat beberapa framework atau kerangka kerja yang mengacu kepada referensi tata kelola teknologi informasi internasional yang telah diterima secara luas dan teruji implementasinya yaitu ISO 27001, COBIT dan ITIL, yang dapat diimplemetasikan sesuai dengan kondisi perusahaan yang berbeda-beda. Untuk membantu organisasi dalam menganalisa sistem keamanan informasi, standar yang digunakan adalah standar ISO 27001. Hal yang dijadikan pertimbangan mengapa standar ISO/IEC 27001 dipilih karena di PT. XYZ membuat Standar Operasional Prosedur (SOP) dengan menggunakan standar ISO 27001 tetapi belum dilakukan tinjauan ulang / update, sehingga masih terjadi gangguan keamanan pada pengelolaan keamanan informasi. Sehubungan dengan alasan tersebut, diperlukan adanya analisis tingkat kematangan keamanan informasi terhadap pengelolaan keamanan informasi pada PT. XYZ untuk mengetahui penyebab permasalahan keamanan informasi yang selama ini terjadi. Tujuan dari penelitian ini adalah melakukan pengukuran tingkat kematangan (maturity level) keamanan informasi pada PT. XYZ menggunakan ISO 27001.   DAFTAR PUSAKA Sarno. R dan Iffano. I. 2009. Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press. Direktorat Penelitian dan Pengaturan Perbankan.2007. Pedoman Penerapan Manajemen Resiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Jakarta. Bank Indonesia. https://indosatooredoo.com/id/investor-relation/about-indosat/corporate-profile/press-release/indosat-sudah-miliki-audit-sistem-keamanan http://www.elektro.undip.ac.id/el_kpta/wp-content/uploads/2012/05/L2F008071_MKP.pdf http://eprints.dinus.ac.id/13527/1/jurnal_14212.pdf

Cara membuat crystal Report sederhana menggunakan VB.NET 2008

Assalamuallaikum teman-teman pembaca setia KUMALA BLOG
Pada kesempatan ini saya akan membagikan sedikit pengalaman saya ketika di kasih tugas oleh dosen, ketika itu saya di kasih 3 tugas untuk membuat crystal report mungkin saya bagikan satu aja karena tugas ke 2 dan ke 3 hampir sama caranya.
langsung saya ke pembahasan, di baca yang serius, teliti dan langsung di praktekan kalau teman-teman di rumah punya laptop hehehe

  

  Langkah pertama klik kanan pada project (BengkelMotorPanji), kemudian pilih add dan pilih New Item.

 

1.      Kemudian klik Reportin dan pilih Crystal Report,  beri nama pada kolom Name. Selanjutnya klik Add, sehingga seperti gambar di bawah ini.

        

1.      Selanjutnya muncul Crystal Report Document, pilih From an Existing Report, kemudian pilih Ok.

Pilih teamplate pada folder project yang disimpan (Saya akan memakai CrystalReportTeamplate), selanjutnya klik Open.

 

1.   Buatlah koneksi database kemudian Drag field (Kode_Barang, Nama_Barang, Satuan, Harga, Stock) pada Database Fields kemudian letakkan pada section 3, sehingga hasilnya seperti di bawah ini.

1.    Selanjutnya menambahkan filed dengan menggunakan formula.

Klik kanan pada Formula Fields, klik New kemudian akan muncul window baru untuk menentukan nama formula tersebut (ex: JUMLAH) kemudian klik use editor sehingga seperti gambar dibawah ini.

1.     kita akan menghitung JUMLAH dengan mengkalikan Harga Barang dengan Stock.

langkah pertama double klik HARGA_BRG pada Report Fields (nomor 1), kemudian akan muncul seperti pada (nomor 2), ketik (*) dan double klik lagi untuk STOCK. Lakukan Check (nomor 3) apakah langkah (nomor 2) sudah benar atau belum, apabila sudah terdapat  pesan “No Error Found”, maka rumus untuk formula tersebut secara program sudah benar. Kemudian Save and Close (nomor 4).

1.      Tambahkan formula JUMLAH yang sudah dibuat sebelumnya ke dalam report (main report) dengan cara drag formula tersebut kedalam bagian report (section 3) sehingga seperti gambar dibawah ini.

Demikian langkah-langkah membuat crystal report sederhana ini, mungkin teman-teman punya ide lain silahkan saja saya tak melarang, semoga bermanfaat buat teman-teman yang sedang mendapatkan tugas kuliah seperti saya, jangan bosen-bosennya membaca isi blog saya hehehe kurang lebihnya mohon maaf , saya ucapkan terima kasih