PT PLN (Persero)
PT PLN (Persero)
PT PLN (Persero)
ABSTRACT
Most of public service agencies have not yet or are drafting information security
framework that meet the standard of SNI ISO/IEC 27001: 2009. One of them is
PT PLN (Persero) DJBB. Some cases occur related to information security
policy, physical and environmental security, and communication and operation
management. Therefore, an audit’s conducted for improvement of information
security management system, especially in the improvement and preparation of
Standard Operating Procedure (SOP) related information sercurity to be more
optimal. This research type is applied research. This research is descriptive
qualitative research. This research uses technique triangulation (structured
interview, observation, and documentation). Gap analysis is stated in a work
paper gap analysis table. This research measures the level of performace of
Information Technology that uses Capability Maturity Model Integration
(CMMI). The result of the audit indicates that level of security policy and
physical and environmental security is 4 (managed), while level of
communication and operation management is 5 (optimized).
1 Pendahuluan
IT Governance merupakan salah satu pilar utama dari GCG, maka dalam
pelaksanaan IT Governance atau tata kelola TI yang baik sangat diperlukan
standar tata kelola Tl dengan mengacu kepada standar tata kelola TI
internasional yang telah diterima secara luas dan teruji implementasinya. Tata
kelola TI termasuk di dalamnya adalah kemanan informasi [7].
201
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Terkait dengan klausul A.9 Keamanan Fisik dan Lingkungan, masih dijumpai
penataan kabel yang tidak rapi, tidak ada pengecekan ataupun larangan
penggunaan kamera photo oleh pihak ketiga, di satu sisi gedung TI sangat
memerlukan pengamanan khusus karena di dalamnya menyimpan server utama.
Oleh karena itu diperlukan audit keamanan informasi menggunakan standar SNI
ISO/IEC 27001: 2009 untuk menjawab rumusan masalah penelitian sebagai
berikut:
202
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
c. Bagaimana maturity level dan gap pada manajemen komunikasi dan operasi
Bagian Teknologi Informasi PT PLN (Persero) Distribusi Jawa Barat dan
Banten berdasarkan standar SNI ISO/IEC 27001: 2009?
2 Landasan Teori
Selain itu juga disebutkan, “Information is the stuff of paper work system just as
material is the stuff of production system.” Pendapat tersebut menunjukan
bahwa informasi merupakan komoditi yang sangat penting bagi pelaksanaan
operasional manajemen efektif [1].
203
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Audit keamanan informasi adalah suatu alat atau perangkat dalam menentukan,
mendapatkan, dan mengelola setiap level keamanan dalam suatu organisasi.
Audit keamanan informasi dimaksudkan untuk meningkatkan level keamanan
informasi, mencegah rancangan keamanan informasi yang tidak layak, dan
mengoptimalkan efisiensi benteng keamanan, dan proses keamanan informasi
itu sendiri. Audit ini akan memastikan atau menjamin berjalannya proses
operasional, reputasi dan aset suatu organisasi. Hasil dari audit keamanan
informasi adalah tersusunnya dokumen laporan audit yang terkait pada
keamanan teknologi informasi yang digunakan di lingkungan organisasi
tersebut [5].
204
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
205
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
A.5
Kebijakan
Keamanan
Model
odel kematangan untuk pengelolaan dan pengendalian pada proses teknologi
informasi didasarkan pada metode
metode evaluasi organisasi sehingga dapat
mengevaluasi sendiri dari level 0 (tidak ada) hingga level 5 (Optimis). Model
kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada
dan bagaimana menentukan prioritas peningkatan.
peningkatan [2]. Adapun tingkatan
tingkat
kematangan CMMI secara umum ditunjukkan pada Tabel 1.
206
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
5 – Optimized Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari
perbaikan berkelanjutan dan pemodelan kedewasaan dengan perusahaan lain.
Teknologi informasi digunakan sebagai cara terintegrasi untuk
mengotomatisasi alur kerja, penyediaan alat untuk peningkatan kualitas dan
efektivitas serta membuat perusahaan cepat beradaptasi.
0– 0,49 0 - Non-Existent
207
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
3 Metode Penelitian
208
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
209
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Pada tabel work paper gap analysis terdapat kolom jawaban untuk status
perseroan dalam menerapkan tiap sasaran pengendalian, kolom temuan, kolom
evidence, dan kolom gap. Sebanyak 105 pertanyaan dari 121 pertanyaan atau
sekitar 86,78% memberikan jawaban “ya”, sedangkan hanya 16 pertanyaan atau
sekitar 13,22% memberikan jawaban “tidak”.
210
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
A.5 Kebijakan
Keamanan
5.1 Kebijakan
Keamanan Informasi
5.1.1 Dokumen
Kebijakan Keamanan
Informasi
5.1.2 Kajian
Kebijakan Keamanan
Informasi
1. Cakupan
2. Peninjauan ulang
9.1.3 Mengamankan
Kantor, Ruangan, dan
Fasilitas
9.1.4 Perlindungan
terhadap Ancaman
Eksternal dan
211
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Rata-Rata Rata-Rata
Klausul/ Pengendalian/
0 1 2 3 4 5 indeks/ indeks/ Maturity Level
Sasaran Pengendalian Pengendalian Klausul
Lingkungan
9.2 Keamanan
Peralatan
9.2.2 Sarana
Pendukung
9.2.4 Pemeliharaan
Peralatan
9.2.5 Keamanan
Peralatan di Luar
Lokasi
9.2.6 Pembuangan
atau Penggunaan
Kembali Peralatan
secara Aman
9.2.7 Pemindahan
Barang
A.10 Manajemen
Komunikasi dan
Operasi
10.3 Perencanaan
5 Optimized
dan Penerimaan
Sistem
5
10.3.1 Manajemen
Kapasitas
212
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
Rata-Rata Rata-Rata
Klausul/ Pengendalian/
0 1 2 3 4 5 indeks/ indeks/ Maturity Level
Sasaran Pengendalian Pengendalian Klausul
10.3.2 Penerimaan
Sistem
10.4 Perlindungan
terhadap Malicious
& Mobile Code
10.4.1 Kontrol 5
terhadap Malicious
Code dan 10.4.2
Kontrol terhadap
Mobile Code
10.6 Manajemen
Keamanan Jaringan
10.6.1 Kontrol 5
Jaringan dan 10.6.2
Keamanan dalam
Layanan Jaringan
Analisis maturity level menggunakan grafik maturity level model dilakukan agar
mengetahui posisi maturity level tiap klausul organisasi dalam menerapkan
keamanan informasi berdasarkan SNI ISO/IEC 27001: 2009 dibandingkan
dengan rata-rata maturity level industri dan maturity level yang ditargetkan
perseroan. Berdasarkan Peraturan Menteri BUMN Nomor: PER-02/MBU/2013
menyatakan target maturity level dari tata kelola TI BUMN adalah minimal
maturity level 3. Sedangkan menurut Deputi Manager TI, maturity level yang
213
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
214
Audit Keamanan Informasi Bagian Teknologi Informasi PT PLN (Persero) DJBB
Menggunakan SNI ISO/IEC 27001: 2009
(Rizki Komalasari, Ilham Perdana)
Berdasarkan kesimpulan, maka saran yang dapat diberikan untuk penelitian ini
adalah sebagai berikut:
215
Jurnal Sistem Informasi, Vol. 9 No. 2, September 2014: 201 - 216
Daftar Pustaka
[1] Darmawan, Deni dan Kunkun Nur Fauzi.(2013). Sistem Informasi Manajemen.
Bandung: PT Remaja Rosdakarya Offset.
[7] Menteri Negara BUMN RI.(2013). Salinan Peraturan Menteri BUMN Nomor:
PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan TI BUMN.
Jakarta: Kementrian BUMN.
216