Perancangan Perangkat Audit Internal untuk Sistem Keamanan Informasi pada Organisasi XYZ

Penulis

  • Arif Rahman Hakim Sekolah Tinggi Sandi Negara
  • Rizky Aditya Pratama Wijaya Sekolah Tinggi Sandi Negara

DOI:

https://doi.org/10.25126/jtiik.2020701940

Abstrak

Organisasi xyz sebagai penyelenggara sistem elektronik strategis harus mempunyai mekanisme audit internal terhadap keamanan sistem elektronik yang dimilikinya. Namun, organisasi xyz belum memiliki perangkat audit (audit tool) untuk melakukan audit internal tersebut secara berkala. Di sisi lain, perangkat audit tersebut berperan penting dalam menganalisis kerawanan yang terdapat dalam sistem. Untuk itu, organisasi xyz perlu merancang perangkat audit internal tersebut agar mekanisme audit berkala yang disyaratkan dapat dipenuhi dan risiko kegagalan akibat kerawanan sistem informasi yang dimiliki dapat dimitigasi dengan baik. Pada makalah ini dilakukan penelitian kualitatif berupa perancangan perangkat audit didasarkan pada penggunaan tiga metode dalam penentuan kriteria audit, yaitu analisis risiko menggunakan FMEA, kemudian penentuan kriteria audit berdasarkan pemetaan kontrol menggunakan Statement of Applicability (SoA) ISO/IEC 27002:2013 dan analisis proses bisnis menggunakan COBIT 5. Kriteria audit yang telah ditentukan dengan tiga metode tersebut kemudian dilakukan pembentukan perangkat audit, ujicoba impementasi, penilaian dan diakhiri dengan finalisasi perangkat audit. Berdasarkan analisis risiko dengan FMEA didapatkan 22 aset bernilai risiko tinggi, 10 aset bernilai sedang, 18 risiko bernilai rendah, dan 1 risiko bernilai sangat rendah. Selanjutnya pada proses pemetaan kontrol SoA ISO/IEC 27002:2013 dihasilkan 29 kontrol dan pada analisis proses bisnis berdasarkan COBIT 5 didapatkan 9 proses enabler yang kemudian digunakan sebagai kriteria audit. Selanjutnya hasil 29 kontrol tersebut kemudian diklasifikasikan menjadi enam kategori audit tingkat kepatuhan dan sembilan proses enabler tersebut diklasifikasikan menjadi sembilan kategori audit level pencapaian, sehingga perangkat audit yang dibentuk mengandung kategori tersebut. Hasil uji coba implementasi, penilaian dan finalisasi perangkat audit menunjukkan bahwa perangkat audit yang dihasilkan sudah sesuai dengan kebutuhan organisasi xyz.

 

Abstract

The XYZ organization as the operator of electronic systems with strategic characteristic shall have internal audit mechanisms for its electronic systems security. Unfortunately, XYZ organization does not have an internal audit tool to conduct the audit periodically. In other hand, this audit tool plays an important role in determining vulnerability of the systems. For this reason, XYZ organization needs to design the internal audit tool so that periodic audit mechanism required can be conducted and the risk of system failure due to the vulnerability of the system can be properly mitigated. In this paper, we conduct qualitative research to design audit tool using three methods in determining the audit criteria, the first is FMEA in risk analysis process, the second is ISO / IEC 27002: 2013 in control analysis process and the third is COBIT 5 in business process analysis. Our audit tool is design based on the audit criteria that obtained from those three methods. Based on risk analysis using FMEA we obtained 22 assets with high risk, 10 assets with medium risk, 18 assets with low risk, and one asset with very low risk. From control analysis based on SoA ISO/IEC 27002:2013, we obtained 29 risk-based controls and from business process analysis using COBIT 5 we obtained nine enabler processes. Then those 29 controls and nine processes are used as audit criteria. In the next step, we classify these 29 controls into six categories in compliance level and those nine processes into nine categories in achievement level in our audit tool. The results of implementation trials, assessment, and finalization of our audit tool shows that our audit tool has been consistent with the needs of XYZ organization.


Downloads

Download data is not yet available.

Referensi

R. SARNO & I. IFFANO, 2009. Sistem Manajemen Keamanan Informasi Berbasis ISO 27001. Surabaya: itspress.

F. A. SURYONO, 2013. “Perancangan Perangkat Audit Keamanan Informasi: Studi Kasus Pusat Komunikasi Kementerian Luar Negeri,” Universitas Indonesia, Depok.

R. SARNO, 2009. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.

S. GONDODIYOTO, 2007. Audit Sistem Informasi Pendekatan CobIT. Jakarta: Mitra Wacana Media.

Praxiom Reserach Group Limited, 2016. “ISO 27002 Old versus New,” [Online]. Tersedia di: <http://www.praxiom.com/iso-27002-old-new.htm> [Diakses 1 Januari 2019]

L. J. SUSILO & V. R. KAHO, 2009. Manajemen Risiko Berbasis ISO 3100 Untuk Industri Non-Perbankan. Jakarta: PPM Manajemen.

A. SHEKARI & S. FALLAHIAN, 2007. “Improvement of Learn Methodology With FMEA,” [Online]. Tersedia di: <https://www.pomsmeetings.org/ConfProceedings/007/CDProgram/Topics/full_length_papers_files/007-0520.pdf> [Diakses 1 Januari 2019]

ISACA, 2013. A Business Framework for the Governance and Management of Enterprise IT.

Undang-undang Republik Indonesia nomor 31 tahun 2014 tentang Perlindungan Saksi dan Korban. Jakarta: Kementerian Sekretariat Negara Republik Indonesia.

Peraturan Menteri Komunikasi dan Informatika Republik Indonesia nomor 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Jakarta: Kementerian Sekretariat Negara Republik Indonesia.

Peraturan Menteri Komunikasi dan Informatika Republik Indonesia nomor 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi. Jakarta: Kementerian Sekretariat Negara Republik Indonesia.

Peraturan Menteri Keuangan Republik Indonesia nomor 181 tahun 2016 tentang Penatausahaan Barang Milik Negara. Jakarta: Kementerian Sekretariat Negara Republik Indonesia.

Peraturan Menteri Kesehatan Republik Indonesia nomor 20 tahun 2016 tentang Rekam Medis. Jakarta: Kementerian Sekretariat Negara Republik Indonesia.

Diterbitkan

22-05-2020

Terbitan

Bagian

Ilmu Komputer

Cara Mengutip

Perancangan Perangkat Audit Internal untuk Sistem Keamanan Informasi pada Organisasi XYZ. (2020). Jurnal Teknologi Informasi Dan Ilmu Komputer, 7(3), 435-442. https://doi.org/10.25126/jtiik.2020701940