skripsi analisis sistem manajemen keamanan...
TRANSCRIPT
SKRIPSI
ANALISIS SISTEM MANAJEMEN KEAMANAN INFORMASI
MENGGUNAKAN STANDAR ISO/IEC 27001 DAN ISO/IEC 27002
PADA KANTOR PUSAT PT JASA MARGA
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh :
NURUL FADHYLAH OCTARIZA
11140930000106
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019 / 1440 H
SKRIPSI
ANALISIS SISTEM MANAJEMEN KEAMANAN INFORMASI
MENGGUNAKAN STANDAR ISO/IEC 27001 DAN ISO/IEC 27002
PADA KANTOR PUSAT PT JASA MARGA
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh :
NURUL FADHYLAH OCTARIZA
11140930000106
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019 / 1440 H
i
HALAMAN JUDUL
ANALISIS SISTEM MANAJEMEN KEAMANAN INFORMASI
MENGGUNAKAN STANDAR ISO/IEC 27001 DAN ISO/IEC 27002
PADA KANTOR PUSAT PT JASA MARGA
SKRIPSI
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh :
NURUL FADHYLAH OCTARIZA
11140930000106
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019 / 1440 H
ii
LEMBAR PENGESAHAN
ANALISIS SISTEM MANAJEMEN KEAMANAN INFORMASI
MENGGUNAKAN STANDAR ISO/IEC 27001 DAN ISO/IEC 27002
PADA KANTOR PUSAT PT JASA MARGA
SKRIPSI
Sebagai Syarat untuk Memperoleh Gelar Sarjana Komputer
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah
Oleh:
NURUL FADHYLAH OCTARIZA
11140930000106
Menyetujui,
Pembimbing I Pembimbing II
Aries Susanto HT, Ph.D Fitroh, M.Kom
NIP. 19740322 200710 1 002 NIP.19790923 200912 2 006
Mengetahui,
Ketua Prodi Sistem Informasi
Nia Kumaladewi, MMSI
NIP. 19750412 200710 2 002
iii
PENGESAHAN UJIAN
Skripsi yang berjudul “Analisis Sistem Manajemen Keamanan Informasi Menggunakan
ISO/IEC 27001 dan ISO/IEC 27002 pada Kantor Pusat PT Jasa Marga”, yang ditulis oleh
Nurul Fadhylah Octariza dengan NIM 11140930000106 telah diuji dan dinyatakan lulus
dalam sidang Munaqosah Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif
Hidayatullah Jakarta pada 21 Februari 2019. Skripsi ini telah diterima sebagai salah satu
syarat untuk memperoleh gelar Sarjana Komputer (S.Kom) Program Sistem Informasi.
Menyetujui,
Penguji I Penguji II
Yuni Sugiarti, M.Kom Suci Ratnawati, MTI
NIDN. 0206067620 NIDN. 306076904
Menyetujui,
Pembimbing I Pembimbing II
Aries Susanto HT, Ph.D Fitroh, M.Kom
NIP. 19740322 200710 1 002 NIP. 19790923 200912 2 006
Mengetahui,
Dekan Ketua
Fakultas Sains dan Teknologi Program Studi Sistem Informasi
Prof. Dr. Lily Surraya Eka Putri, M. Env.Stud. Nia Kumaladewi, MMSI
NIP. 19690404 200501 2 005 NIP. 19750412 200710 2 002
iv
LEMBAR PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR
HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN SEBAGAI
SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU
LEMBAGA MANAPUN.
Jakarta, Februari 2019
Nurul Fadhylah Octariza
11140930000106
v
ABSTRAK
Nurul Fadhylah Octariza - 11140930000106, Analisis Sistem Manajemen
Keamanan Informasi Menggunakan Standar ISO/IEC 27001 dan ISO/IEC 27002
pada Kantor Pusat PT Jasa Marga. Di bawah bimbingan ARIES SUSANTO HT,
Ph.D dan FITROH, M.Kom.
Terjadinya penyerangan pada web portal internal, belum adanya kebijakan
keamanan informasi yang telah diterapkan khususnya pada web portal internal dan
pembagian beban kerja pegawai pada bagian keamanan informasi. Penelitian ini
bertujuan untuk merencanakan Sistem Manajemen Keamanan Informasi yang dapat
digunakan sebagai pedoman kebijakan keamanan informasi pada Divisi
Information Technology. Penelitian ini membahas tentang analisis sistem
manajemen keamanan informasi dengan menggunakan ISO/IEC 27001 dan
ISO/IEC 27002 pada kantor pusat PT Jasa Marga. Adapun pada penelitian
menggunakan metode Plan, Do, Check, dan Act dalam pengumpulan, analisis, dan
pengolahan data yang telah ditemukan. Hasil dari penelitian ini adalah maturity
level ISO/IEC 27001 rata-rata berada di level satu dan maturity level ISO/IEC
27002 rata-rata berada di level dua, diharapkan hasil penelitian ini dapat membantu
dan memberikan rekomendasi untuk kontrol keamanan yang dapat digunakan
sebagai pedoman dan prosedur penerapan keamanan informasi.
Kata Kunci : Sistem Manajemen Keamanan Informasi (SMKI), ISO/IEC 27001,
ISO/IEC 27002, Plan Do Check Act (PDCA) Model.
V Bab + xxi Halaman + 268 Halaman + 41 Gambar + 157 Tabel + Daftar Pustaka
+ Lampiran
vi
KATA PENGANTAR
Assalamualaikum Warrahmatullahi Wabarakatuh,
Puji dan syukur kehadirat Allah SWT atas segala rahmat dan karunia-Nya,
akhirnya peneliti dapat menyelesaikan skripsi ini dengan baik. Shalawat serta salam
semoga senantiasa tercurah kepada Nabi Muhammad SAW yang telah memberikan
petunjuk kepada manusia hingga akhir zaman, serta keluarga dan sahabat yang
dicintainya.
Peneliti sangat menyadari bahwa dalam pembuatan skripsi ini masih banyak
kekurangan. Hal ini semata-mata karena kurangnya pengetahuan dan pengalaman
yang dimiliki peneliti. Namun demikian peneliti berharap skripsi ini dapat
memenuhi syarat dalam memperoleh gelar Sarjana (S1) dalam bidang Sistem
Informasi dari Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta.
Skripsi yang berjudul “Analisis Sistem Manajemen Keamanan Informasi
Menggunakan Standar ISO/IEC 27001 dan ISO/IEC 27002 pada Kantor Pusat PT
Jasa Marga”, akhirnya dapat diselesaikan sesuai yang diharapkan. Peneliti
menyadari bahwa terlaksananya penyusunan skripsi ini dapat diselesaikan berkat
dukungan dan bantuan dari berbagai pihak. Pada kesempatan ini peneliti
menyampaikan rasa terima kasih yang sebesar-besarnya kepada pihak yang telah
membantu, membimbing, dan mendukung selama melakukan penyusunan skripsi
ini. Peneliti mengucapkan terima kasih kepada:
1. Ibu Prof. Dr. Amany Burhanudin Umar Lubis, Lc. MA. selaku Rektor
Universitas Islam Negeri Syarif Hidayatullah Jakarta.
vii
2. Ibu Prof. Dr. Lily Surraya Eka Putri, M. Env.Stud. selaku Dekan Fakultas Sains
dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.
3. Ibu Nia Kumaladewi, MMSI selaku Ketua Program Studi Sistem Informasi
Fakultas Sains dan Teknologi dan Ibu Meinarini Catur Utami, MT selaku
Sekretaris Program Studi Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
4. Bapak Aries Susanto HT, Ph. D dan Ibu Fitroh, M.Kom selaku Dosen
Pembimbing yang selalu sabar dan telah menyediakan waktu, tenaga dan
pikiran untuk memberikan arahan, dukungan dan bimbingan kepada peneliti
dalam menyelesaikan skripsi ini.
5. Ibu Febrina Amir selaku Manajer Compliance pada Divisi Information
Technology Kantor Pusat PT. Jasa Marga yang telah memberikan arahan,
ilmu, dan dukungan kepada peneliti selama proses penelitian.
6. Bapak Fajar Willys selaku Penanggung Jawab Keamanan Informasi, Ibu
Ayudya Rizka Fauzia selaku Admin Data dan Informasi dan Bapak Dodi
Lambardo yang telah meluangkan waktunya untuk membantu peneliti
dalam proses penelitian.
7. Dosen-dosen Program Studi Sistem Informasi Universitas Islam Negeri
Syarif Hidayatullah Jakarta yang telah memberikan ilmunya selama peneliti
duduk di bangku perkuliahan.
8. Kedua orang tua penulis, Bapak Amat Kohir dan Ibu Nurmiati. Terima kasih
telah membesarkan dan mendidik peneliti dari lahir hingga saat ini, terima
kasih untuk seluruh cinta dan kasih sayang yang ibu dan ayah telah berikan.
viii
Serta adik peneliti Nurafifah Dwi Putri Aulia yang selalu menyayangi,
memberi semangat, motivasi dan doa.
9. Sahabat peneliti mulai dari awal perkuliahan Syarah Yunita, Amanda
Yulistiara, Suhartini Setia, Dimas Galuh, Anisa CM, Tari Tri, Widya Ayu.
Terima kasih untuk semua kerjasama, pelajaran, doa, motivasi, dukungan
dan tidak pernah bosan mendengar keluh kesah peneliti.
10. Semua teman-teman Sistem Informasi yang tidak bisa saya sebutkan satu
persatu dan telah memberikan banyak bantuan, semangat, ilmu, motivasi
dan doa kepada peneliti.
11. Seluruh pihak yang telah banyak berjasa terhadap proses penyelesaian
skripsi ini yang tidak dapat disebutkan satu persatu namun tidak mengurangi
sedikitpun rasa terima kasih peneliti.
Peneliti memohon kepada Allah SWT agar seluruh dukungan, bantuan dan
bimbingan dari semua pihak dibalas pahala yang berlipat ganda. Peneliti menyadari
dalam penyusunan skripsi ini masih terdapat kekurangan dan jauh dari kata
sempurna sehingga saran dan kritik yang membangun sangat peneliti harapkan, dan
dapat disampaikan melalui [email protected]. Akhir kata,
semoga penelitian ini dapat memberikan manfaat dan sekaligus menambah ilmu
bagi kita semua. Amiiin yaa Rabbal Alamin.
Jakarta, Februari 2019
Nurul Fadhylah Octariza
11140930000106
ix
DAFTAR ISI
HALAMAN JUDUL ................................................................................................ i
LEMBAR PENGESAHAN .................................................................................... ii
LEMBAR PERNYATAAN ................................................................................... iv
ABSTRAK .............................................................................................................. v
KATA PENGANTAR ........................................................................................... vi
DAFTAR ISI .......................................................................................................... ix
DAFTAR GAMBAR ........................................................................................... xiii
DAFTAR TABEL ................................................................................................. xv
BAB I PENDAHULUAN ....................................................................................... 1
1.1 Latar Belakang ......................................................................................... 1
1.2 Identifikasi Masalah ................................................................................. 5
1.3 Perumusan Masalah .................................................................................. 6
1.4 Batasan Masalah ....................................................................................... 6
1.5 Tujuan Penelitian ...................................................................................... 8
1.6 Manfaat Penelitian .................................................................................... 9
1.7 Metodologi Penelitian ............................................................................ 10
1.8 Sistematika Penulisan ............................................................................. 13
BAB II LANDASAN TEORI ............................................................................... 15
2.1 Konsep Dasar Sistem Informasi ............................................................. 15
2.1.1 Definisi Sistem ................................................................................ 15
2.1.2 Karakteristik Sistem ........................................................................ 16
2.1.3 Definisi Data dan Informasi ............................................................ 17
2.1.4 Sistem Informasi ............................................................................. 18
2.2 Definisi Analisis ..................................................................................... 19
2.3 Sistem Manajemen Keamanan Informasi ............................................... 20
2.3.1 Definisi Keamanan Informasi ......................................................... 20
2.3.2 Definisi Sistem Manajemen Keamanan Informasi ......................... 25
2.3.3 Manfaat SMKI ................................................................................ 30
x
2.4 RACI Chart ............................................................................................ 32
2.5 Manajemen Risiko .................................................................................. 34
2.5.1 Pentingnya Manajemen Risiko (Risk Management) ....................... 35
2.5.2 Penilaian Risiko (Risk Assessment) ................................................. 36
2.6 Manajemen Sumber Daya Manusia ....................................................... 44
2.6.1 Pengertian Manajemen Sumber Daya Manusia .............................. 44
2.6.2 Peranan Manajemen Sumber Daya Manusia .................................. 45
2.7 Manajemen Aset ..................................................................................... 46
2.7.1 Pengertian Aset ............................................................................... 46
2.7.2 Pengertian Manajemen Aset ........................................................... 47
2.8 Kontrol Akses ......................................................................................... 48
2.8.1 Pengertian Kontrol Akses ............................................................... 48
2.9 Keamanan Fisik dan Lingkungan ........................................................... 49
2.9.1 Kontrol Administratif ...................................................................... 51
2.9.2 Kontrol Lingkungan dan Keselamatan Hidup................................. 51
2.9.3 Kontrol Fisik dan Teknis ................................................................. 52
2.10 Manajemen Insiden ................................................................................ 52
2.10.1 Prinsip Dasar Manajemen Insiden .................................................. 52
2.10.2 Proses Manajemen Insiden .............................................................. 53
2.10.3 Faktor-faktor Keberhasilan Manajemen Insiden ............................. 57
2.11 Compliance atau Kepatuhan ................................................................... 58
2.12 Framework Sistem Manajemen Keamanan Informasi ........................... 58
2.12.1 British Standard (BS) 7799 ............................................................. 58
2.12.2 The Payment Card Industry Data Security Standard (PCIDSS) .... 60
2.12.3 The Information Technology Infrastructure Library (ITIL) ........... 61
2.12.4 The Control Objectives for Information and related Technology
(COBIT)...... ................................................................................................... 63
2.12.5 ISO/IEC 27001 ................................................................................ 65
2.12.6 ISO/IEC 27002 ................................................................................ 67
2.12.7 Perbandingan Standar Tata Kelola Keamanan Teknologi Informasi
..........................................................................................................68
2.13 ISO/IEC 27001 ....................................................................................... 74
2.13.1 Definisi ISO/IEC 27001 .................................................................. 74
xi
2.13.2 Klausul ISO/IEC 27001 .................................................................. 76
2.14 ISO/IEC 27002 ....................................................................................... 87
2.14.1 Definisi ISO/IEC 27002 .................................................................. 87
2.14.2 Klausul ISO/IEC 27002 .................................................................. 89
2.15 Plan, Do, Check, Act (PDCA) Model .................................................... 91
2.15.1 Plan ................................................................................................. 91
2.15.2 Do .................................................................................................... 91
2.15.3 Check ............................................................................................... 98
2.15.4 Act ................................................................................................... 99
2.16 Fokus Analisis SMKI ........................................................................... 100
2.17 Metode Kualitatif ................................................................................. 103
2.17.1 Pengumpulan Data Kualitatif ........................................................ 105
2.18 System Security Engineering Capability Maturity Model (SSE-CMM)
...............................................................................................................106
2.18.1 Ruang Lingkup SSE-CMM ........................................................... 108
2.18.2 Level Capability SSE-CMM ......................................................... 108
2.18.3 Keuntungan Menggunakan SSE-CMM ........................................ 110
2.18.4 Metode Perhitungan ...................................................................... 112
2.19 Teknik Pengumpulan Data ................................................................... 114
2.19.1 Klasifikasi Data ............................................................................. 115
BAB III METODOLOGI PENELITIAN............................................................ 118
3.1 Tahap Plan ........................................................................................... 118
3.1.1 Observasi ....................................................................................... 118
3.1.2 Wawancara .................................................................................... 119
3.1.3 Kuesioner ...................................................................................... 119
3.1.4 Studi Literatur ............................................................................... 130
3.1.5 Penentuan Ruang Lingkup ............................................................ 134
3.1.6 Menentukan Kebijakan ................................................................. 135
3.2 Tahap Do .............................................................................................. 135
3.3 Tahap Check ......................................................................................... 137
3.4 Tahap Act .............................................................................................. 139
3.5 Kerangka Penelitian ............................................................................. 139
xii
BAB IV HASIL DAN PEMBAHASAN ............................................................ 141
4.1 Tahap Plan ........................................................................................... 141
4.1.1 Menentukan Ruang Lingkup Keamanan Informasi ...................... 141
4.1.2 Menentukan Kebijakan Keamanan Informasi ............................... 147
4.2 Tahap Do .............................................................................................. 150
4.2.1 Mengidentifikasi Risiko ................................................................ 150
4.2.2 Menganalisis dan Evaluasi Risiko ................................................ 189
4.3 Tahap Check ......................................................................................... 207
4.3.1 Memilih Objektif Kontrol dan Kontrol Keamanan Informasi ...... 207
4.3.2 Memilih Sebagian Klausul dari ISO/IEC 27001:2013 dan ISO/IEC
27002:2013 .................................................................................................. 207
4.3.3 Penentuan Auditee ......................................................................... 209
4.3.4 Menentukan Nilai Tingkat Kemampuan untuk System Security
Engineering Capability Maturity Model (SSE-CMM) ................................. 210
4.4 Tahap Act .............................................................................................. 234
4.4.1 Rekomendasi terhadap Objektif Kontrol dan Keamanan Informasi
berdasarkan ISO/IEC 27001:2013 ............................................................... 236
4.4.2 Rekomendasi terhadap Objektif Kontrol dan Keamanan Informasi
berdasarkan ISO/IEC 27002:2013 ............................................................... 245
4.5 Rekomendasi untuk Aset ...................................................................... 253
4.6 Kesimpulan Hasil dan Pembahasan Metode PDCA ............................. 256
BAB V PENUTUP .............................................................................................. 259
5.1 Kesimpulan ........................................................................................... 259
5.2 Saran ..................................................................................................... 263
DAFTAR PUSTAKA ......................................................................................... 265
LAMPIRAN 1 WAWANCARA ........................................................................ 269
LAMPIRAN 2 DAFTAR KUESIONER ............................................................ 274
LAMPIRAN 3 DAFTAR TEMUAN KONDISI DIVISI INFORMATION
TECHNOLOGY ................................................................................................... 282
LAMPIRAN 4 SURAT DAN DOKUMEN ........................................................ 292
xiii
DAFTAR GAMBAR
Gambar 2. 1 Siklus Informasi (Sutabri, 2005) ...................................................... 18
Gambar 2. 2 Komponen Sistem Informasi (O’Brien, 2006) ................................. 19
Gambar 2. 3 Kehilangan Kerahasiaan Data (Rao & Nayak, 2014) ...................... 22
Gambar 2. 4 Kehilangan Keutuhan Data (Rao & Nayak, 2014) ........................... 22
Gambar 2. 5 Kehilangan Ketersediaan Data (Rao & Nayak, 2014) ..................... 22
Gambar 2. 6 Komponen Keamanan Informasi (Tripton & Krause, 2016) ........... 24
Gambar 2. 7 Lima (5) Poin Manajemen Proses SMKI (Chang, 2013) ................. 25
Gambar 2. 8 Plan-Do-Check-Act (PDCA) Model (ISO/IEC 27001, 2005) ......... 26
Gambar 2. 9 Framework SMKI (ISO/IEC 27001, 2013) ...................................... 30
Gambar 2. 10 RACI Chart (ISACA, 2012) ........................................................... 33
Gambar 2. 11 Analisis Risiko (Suanda, 2011) ...................................................... 36
Gambar 2. 12 Tabel Penerimaan Risiko (Suanda, 2011) ...................................... 36
Gambar 2. 13 Penilaian Risiko (Sarno & Iffano, 2009) ........................................ 37
Gambar 2. 14 Manajemen Aset (Kusumastuti dan Sugiama, 2014) ..................... 47
Gambar 2. 15 Multilevel incident categorization (Jong et al., 2008) .................... 54
Gambar 2. 16 Komponen BS 7799 (British Standard 7799, 2002) ...................... 59
Gambar 2. 17 Transaction security models of PCIDSS (Susanto, 2011).............. 60
Gambar 2. 18 PCI Security Standards Lifecycle (PCI Security Standard Council,
2011) ..................................................................................................................... 61
Gambar 2. 19 Komponen ITIL (Susanto, 2011) ................................................... 62
Gambar 2. 20 Framework COBIT 5 (ISACA, 2012) ............................................ 64
Gambar 2. 21 Proses Manajemen Risiko (Humprey, 2011) ................................. 66
Gambar 2. 22 ISO/IEC 27002 (Alcazar dan Fenz, 2012) ..................................... 68
Gambar 2. 23 Domain Persyaratan dan Kontrol Keamanan pada ISO/IEC 27001
(Park & Lee, 2014) ................................................................................................ 76
Gambar 2. 24 ISO/IEC 27002 (Saisa, 2017) ......................................................... 88
Gambar 2. 25 Siklus PDCA (Langley et al., 2009) ............................................... 91
Gambar 3. 1 Kerangka Penelitian.........................................................................140
xiv
Gambar 4. 1 Logo PT. Jasa Marga (Annual Report PT.Jasa Marga, 2016)…......144
Gambar 4. 2 Struktur Organisasi PT Jasa Marga (IT Masterplan PT Jasa Marga,
2014) ................................................................................................................... 145
Gambar 4. 3 Struktur Organisasi Divisi Information Technology (IT) (IT
Masterplan PT Jasa Marga, 2014) ....................................................................... 146
Gambar 4. 4 Representasi Nilai Maturity Level Klausul 7 Keamanan Sumber
Daya Manusia...................................................................................................... 213
Gambar 4. 5 Representasi Nilai Maturity Level Klausul 11 ............................... 216
Gambar 4. 6 Representasi Nilai Maturity Level Klausul 16 ............................... 217
Gambar 4. 7 Representasi Nilai Maturity Level Klausul 18 ............................... 219
Gambar 4. 8 Representasi Nilai Maturity Level Klausul 5 ................................. 220
Gambar 4. 9 Representasi Nilai Maturity Level Klausul 8 ................................. 223
Gambar 4. 10 Representasi Nilai Maturity Level Klausul 9 ............................... 225
Gambar 4. 11 Representasi Nilai Maturity Level Klausul 10 ............................. 226
Gambar 4. 12 Representasi Nilai Maturity Level Klausul 12 ............................. 229
Gambar 4. 13 Grafik Representasi Nilai Maturity Level pada ISO/IEC
27001:2013 .......................................................................................................... 231
Gambar 4. 14 Grafik Representasi Nilai Maturity Level pada ISO/IEC
27001:2013 .......................................................................................................... 231
Gambar 4. 15 Grafik Representasi Nilai Maturity Level pada ISO/IEC
27002:2013 .......................................................................................................... 233
Gambar 4. 16 Grafik Representasi Nilai Maturity Level pada ISO/IEC
27002:2013 .......................................................................................................... 233
Gambar 4.17 Representasi Nilai Maturity Level Klausul ISO/IEC 27001: 2013
............................................................................................................................ .235
Gambar 4.18 Representasi Nilai Maturity Level Klausul ISO/IEC 27002: 2013
............................................................................................................................ .235
xv
DAFTAR TABEL
Tabel 2. 1 Identifikasi Ancaman (Sarno & Iffano, 2009) ..................................... 38
Tabel 2. 2 Identifikasi Kelemahan (Sarno & Iffano, 2009) .................................. 39
Tabel 2. 3 Daftar Kebutuhan Keamanan (Sarno & Iffano, 2009) ......................... 40
Tabel 2. 4 Analisa Dampak (Sarno & Iffano, 2009) ............................................. 42
Tabel 2. 5 Ancaman Keamanan Berdasarkan Segitiga CIA (Rao & Nayak, 2014)
............................................................................................................................... 50
Tabel 2. 6 Prioritas Insiden (Jong et al., 2008) ..................................................... 54
Tabel 2. 7 Perbandingan Lima Standar Keamanan Informasi (Susanto et al, 2011)
............................................................................................................................... 70
Tabel 2. 8 Identifikasi Aset (Sarno & Iffano, 2009) ............................................. 92
Tabel 2. 9 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano, 2009) .. 93
Tabel 2. 10 Penilaian aset berdasarkan Integrity (Sarno & Iffano, 2009)............. 93
Tabel 2. 11 Penilaian aset berdasarkan Availability (Sarno & Iffano, 2009) ....... 93
Tabel 2. 12 Sumber dan Jenis Ancaman (Sarno & Iffano, 2009) ......................... 95
Tabel 2. 13 Kemungkinan Terjadi (Sarno & Iffano, 2009) ................................... 95
Tabel 2. 14 Kemungkinan Terjadi (Sarno & Iffano, 2009) ................................... 96
Tabel 2. 15 Skala Business Impact Analysis (BIA) (Sarno, 2009) ....................... 97
Tabel 2. 16 Level Probabilitas Ancaman (Sarno & Iffano, 2009) ........................ 98
Tabel 2. 17 Level Dampak Bisnis (Sarno & Iffano, 2009) ................................... 98
Tabel 2. 18 Pemetaan Persamaan Klausul ISO/IEC 27001 dan ISO/IEC 27002
(Sengupta, 2015) ................................................................................................. 102
Tabel 2. 19 Perbedaan ISO/IEC 27001 dan ISO/IEC 27002 (Hamzah, 2018) ... 103
Tabel 2. 20 Perbandingan SSE-CMM dengan Model lain (Abzug et al., 2003). 107
Tabel 2. 21 Nilai dan Level Kematangan (Sarno & Iffano, 2009) ...................... 113
Tabel 3. 1 Daftar Pelaksanaan Wawancara….......................................................119
Tabel 3. 2 Instrumen Kuesioner (ISO/IEC 27001, 2013) ................................... 120
Tabel 3. 3 Instrumen Pertanyaan (ISO/IEC 27002,2013) ................................... 123
xvi
Tabel 3. 4 Persamaan dan Perbedaan pada ISO/IEC 27001 dan ISO/IEC 27002
(ISO/IEC 27001 dan ISO/IEC 27002, 2013) ...................................................... 127
Tabel 3. 5 Pemilihan Klausul ISO/IEC 27001 (ISO/IEC 27001, 2013) ............. 128
Tabel 3. 6 Pemilihan Klausul ISO/IEC 27002 (ISO/IEC 27002, 2013) ............. 129
Tabel 3. 7 Studi Literatur .................................................................................... 130
Tabel 3. 8 Tingkat Kemampuan (Sarno & Iffano, 2009) .................................... 138
Tabel 3. 9 Pemilihan Klausul ISO/IEC 27001 dan tabel 3. 6 Pemilihan Klausul
ISO/IEC 27002. ................................................................................................... 207
Tabel 4. 1 Data Aset Pendukung pada Divisi Information Technology
(IT).......................................................................................................................142
Tabel 4. 2 Aset Utama PT Jasa Marga ................................................................ 150
Tabel 4. 3 Aset Pendukung PT Jasa Marga......................................................... 152
Tabel 4. 4 Nilai Aset Utama ................................................................................ 154
Tabel 4. 5 Nilai Aset Pendukung ........................................................................ 155
Tabel 4. 6 Daftar Kelemahan dan Ancaman Database Web Portal Internal ....... 156
Tabel 4. 7 Daftar Kelemahan dan Ancaman Database RQM (Risk Quality
Management)....................................................................................................... 156
Tabel 4. 8 Daftar Kelemahan dan Ancaman Database Kepegawaian ................. 157
Tabel 4. 9 Daftar Kelemahan dan Ancaman Database Lelang Jabatan .............. 157
Tabel 4. 10 Daftar Kelemahan dan Ancaman Database Legal and Compliance 157
Tabel 4. 11 Daftar Kelemahan dan Ancaman Database LPSE (Layanan Pengadaan
Secara Elektronik) ............................................................................................... 158
Tabel 4. 12 Daftar Kelemahan dan Ancaman Database Internal GCG............... 158
Tabel 4. 13 Daftar Kelemahan dan Ancaman Database JMDC (Jasa Marga
Development Center) .......................................................................................... 158
Tabel 4. 14 Daftar Kelemahan dan Ancaman Database EOPA (Electronic
Operational Performance Appraisal)................................................................... 159
Tabel 4. 15 Daftar Kelemahan dan Ancaman Database Knowledge Management
............................................................................................................................. 159
Tabel 4. 16 Daftar Kelemahan dan Ancaman Database Lalu Lintas Tol............ 159
Tabel 4. 17 Daftar Kelemahan dan Ancaman Database Jadwal Direksi............. 159
xvii
Tabel 4. 18 Daftar Kelemahan dan Ancaman Database Oracle Hyperion Planning
............................................................................................................................. 160
Tabel 4. 19 Daftar Kelemahan dan Ancaman Database JMACT (Jasa Marga
Adukan Cermati Tuntaskan) ............................................................................... 160
Tabel 4. 20 Daftar Kelemahan dan Ancaman Database Related Business
Development ....................................................................................................... 160
Tabel 4. 21 Daftar Kelemahan dan Ancaman Database PKBL (Program
Kemitraan dan Bina Lingkungan) ....................................................................... 161
Tabel 4. 22 Daftar Kelemahan dan Ancaman Database IT Service Desk .......... 161
Tabel 4. 23 Daftar Kelemahan dan Ancaman Database ERP ............................. 161
Tabel 4. 24 Daftar Kelemahan dan Ancaman Database Keuangan Anak
Perusahaan........................................................................................................... 162
Tabel 4. 25 Daftar Kelemahan dan Ancaman Database Sistem Informasi
Manajemen .......................................................................................................... 162
Tabel 4. 26 Daftar Kelemahan dan Ancaman pada Laptop ................................ 162
Tabel 4. 27 Daftar Kelemahan dan Ancaman pada Server Physical................... 162
Tabel 4. 28 Daftar Kelemahan dan Ancaman pada Windows server 2012 R.2 .. 163
Tabel 4. 29 Daftar Kelemahan dan Ancaman pada Windows 10 ....................... 163
Tabel 4. 30 Daftar Kelemahan dan Ancaman pada Microsoft Office 2016........ 163
Tabel 4. 31 Daftar Kelemahan dan Ancaman pada Microsoft SQL Server 2008 164
Tabel 4. 32 Daftar Kelemahan dan Ancaman pada Air Conditioner (AC) ......... 164
Tabel 4. 33 Daftar Kelemahan dan Ancaman pada Uninterruptible Power Supply
(UPS) ................................................................................................................... 164
Tabel 4. 34 Daftar Kelemahan dan Ancaman pada Fiber Optic ......................... 164
Tabel 4. 35 Daftar Kelemahan dan Ancaman pada CCTV ................................. 164
Tabel 4. 36 Daftar Kelemahan dan Ancaman pada Switch ................................ 165
Tabel 4. 37 Daftar Kelemahan dan Ancaman pada Wi-Fi .................................. 165
Tabel 4. 38 Daftar Kelemahan dan Ancaman pada Aplikasi IT Service Desk ... 165
Tabel 4. 39 Daftar Kelemahan dan Ancaman pada Oracle Database 11.2.0.1 ... 165
Tabel 4. 40 Daftar Kelemahan dan Ancaman pada Windows 7 ......................... 166
Tabel 4. 41 Daftar Kelemahan dan Ancaman pada Microsoft Office 2013........ 166
xviii
Tabel 4. 42 Daftar Kelemahan dan Ancaman pada Avira Antivirus 2019 ......... 166
Tabel 4. 43 Daftar Kelemahan dan Ancaman pada Kaspersky Antivirus 2018.. 166
Tabel 4. 44 Daftar Kelemahan dan Ancaman pada Server Storage .................... 166
Tabel 4. 45 Daftar Kelemahan dan Ancaman pada Server Virtual ..................... 167
Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman Database Web Portal
Internal ................................................................................................................ 168
Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Database RQM (Risk
Quality Management).......................................................................................... 168
Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Database Kepegawaian
............................................................................................................................. 169
Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lelang Jabatan
............................................................................................................................. 169
Tabel 4. 50 Hasil Rerata Probabilitas dan Nilai Ancaman Database Legal and
Compliance ......................................................................................................... 170
Tabel 4. 51 Hasil Rerata Probabilitas dan Nilai Ancaman Database LPSE
(Layanan Pengadaan Secara Elektronik) ............................................................ 170
Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Database Internal GCG
............................................................................................................................. 171
Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMDC (Jasa
Marga Development Center) ............................................................................... 171
Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Database EOPA
(Electronic Operational Performance Appraisal) ................................................ 172
Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman Database Knowledge
Management ........................................................................................................ 172
Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lalu Lintas
Tol ....................................................................................................................... 173
Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Database Jadwal Direksi
............................................................................................................................. 173
Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Database Oracle
Hyperion Planning .............................................................................................. 174
xix
Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMACT (Jasa
Marga Adukan Cermati Tuntaskan) .................................................................... 174
Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Database Related
Business Development ........................................................................................ 175
Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Database PKBL
(Program Kemitraan dan Bina Lingkungan) ....................................................... 175
Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Database IT Service
Desk .................................................................................................................... 176
Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Database ERP.......... 177
Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Database Keuangan
Anak Perusahaan ................................................................................................. 177
Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Database Sistem
Informasi Manajemen ......................................................................................... 178
Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Laptop ..................... 178
Tabel 4. 67 Hasil Rerata Probabilitas dan Nilai Ancaman Server Physical........ 179
Tabel 4. 68 Hasil Rerata Probabilitas dan Nilai Ancaman Windows server 2012
R.2 ....................................................................................................................... 179
Tabel 4. 69 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 10 ............ 180
Tabel 4. 70 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2016
............................................................................................................................. 180
Tabel 4. 71 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft SQL Server
2008 ..................................................................................................................... 180
Tabel 4. 72 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner (AC)
............................................................................................................................. 181
Tabel 4. 73 Hasil Rerata Probabilitas dan Nilai Ancaman Uninterruptible Power
Supply (UPS) ...................................................................................................... 181
Tabel 4. 74 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic .............. 182
Tabel 4. 75 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV ...................... 182
Tabel 4. 76 Hasil Rerata Probabilitas dan Nilai Ancaman Switch ..................... 182
Tabel 4. 77 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi ....................... 183
xx
Tabel 4. 78 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi IT Service
Desk .................................................................................................................... 183
Tabel 4. 79 Hasil Rerata Probabilitas dan Nilai Ancaman Oracle Database
11.2.0.1 ................................................................................................................ 184
Tabel 4. 80 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7 .............. 184
Tabel 4. 81 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2013
............................................................................................................................. 185
Tabel 4. 82 Hasil Rerata Probabilitas dan Nilai Ancaman Avira Antivirus 2019
............................................................................................................................. 185
Tabel 4. 83 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky Antivirus
2018 ..................................................................................................................... 185
Tabel 4. 84 Hasil Rerata Probabilitas dan Nilai Ancaman Server Storage ......... 186
Tabel 4. 85 Hasil Rerata Probabilitas dan Nilai Ancaman Server Virtual .......... 186
Tabel 4. 86 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset Utama
............................................................................................................................. 187
Tabel 4. 87 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset
Pendukung ........................................................................................................... 188
Tabel 4. 88 Hasil Nilai BIA pada Aset Utama .................................................... 189
Tabel 4.89 Hasil Nilai BIA pada Aset Pendukung ............................................. 190
Tabel 4. 90 Hasil Nilai Dampak Bisnis pada Aset Utama .................................. 191
Tabel 4.91 Hasil Nilai Dampak Bisnis pada Aset Pendukung ............................ 192
Tabel 4. 92 Hasil Nilai dan Level Risiko pada Aset Utama ............................... 193
Tabel 4.93 Hasil Nilai Risiko dan Level Risiko pada Aset Pendukung.............. 194
Tabel 4. 94 Analisis Risiko Keamanan Informasi pada Aset Utama .................. 195
Tabel 4.95 Analisis Risiko Keamanan Informasi pada Aset Pendukung............ 201
Tabel 4. 96 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27001,2013) ... 207
Tabel 4. 97 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27002, 2013) .. 208
Tabel 4. 98 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27001 ......... 209
Tabel 4. 99 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27002 ......... 209
Tabel 4. 100 Konversi Fungsional RACI Chart .................................................. 210
Tabel 4. 101 Kerangka Kerja Perhitungan Maturity Level Klausul 7 ................ 211
xxi
Tabel 4. 102 Hasil Maturity Level Klausul 7 ...................................................... 212
Tabel 4. 103 Kerangka Kerja Perhitungan Maturity Level Klausul 11 .............. 213
Tabel 4. 104 Hasil Maturity Level Klausul 11 .................................................... 215
Tabel 4. 105 Kerangka Kerja Perhitungan Maturity Level Klausul 16 .............. 216
Tabel 4. 106 Hasil Maturity Level Klausul 16 .................................................... 217
Tabel 4. 107 Kerangka Kerja Perhitungan Maturity Level Klausul 18 .............. 218
Tabel 4. 108 Hasil Maturity Level Klausul 18 .................................................... 218
Tabel 4. 109 Kerangka Kerja Perhitungan Maturity Level Klausul 5 ................ 219
Tabel 4. 110 Hasil Maturity Level Klausul 5 ...................................................... 220
Tabel 4. 111 Kerangka Kerja Perhitungan Maturity Level Klausul 8 ................ 221
Tabel 4. 112 Hasil Maturity Level Klausul 8 ...................................................... 222
Tabel 4. 113 Kerangka Kerja Perhitungan Maturity Level Klausul 9 ................ 223
Tabel 4. 114 Hasil Maturity Level Klausul 9 ...................................................... 224
Tabel 4. 115 Kerangka Kerja Perhitungan Maturity Level Klausul 10 .............. 225
Tabel 4. 116 Hasil Maturity Level Klausul 10 .................................................... 226
Tabel 4. 117 Kerangka Kerja Perhitungan Maturity Level Klausul 12 .............. 226
Tabel 4. 118 Hasil Maturity Level Klausul 12 .................................................... 228
Tabel 4. 119 Nilai Maturity Level pada ISO/IEC 27001:2013 ........................... 229
Tabel 4. 120 Nilai Maturity Level pada ISO/IEC 27002:2013 ........................... 232
Tabel 4.121 Hasil Maturity Level Klausul ISO/IEC 27001: 2013 ..................... 234
Tabel 4.122 Hasil Maturity Level Klausul ISO/IEC 27002: 2013 ..................... 234
Tabel 4. 123 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC 27001:2013
............................................................................................................................. 236
Tabel 4. 124 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC27002:2013
............................................................................................................................. 245
Tabel 4. 125 Rekomendasi untuk Aset Utama pada Divisi Information Technology
............................................................................................................................. 253
Tabel 4. 126 Rekomendasi untuk Aset Pendukung pada Divisi Information
Technology .......................................................................................................... 255
Tabel 4. 127 Kesimpulan Hasil dan Pembahasan Metode PDCA ...................... 256
xxii
1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Teknologi informasi merupakan sumber daya strategis, yang dapat
menyediakan informasi penting untuk membantu dalam pengambilan
keputusan pada sebuah organisasi (Galbraith, 2012). Pentingnya teknologi
informasi pada sebuah organisasi yaitu membantu dalam meningkatkan
pembelajaran, mengetahui kekuatan yang perlu diperhatikan, memberikan
nilai positif (khususnya pegawai dalam pencapaian kinerjanya) dimana hal
ini dapat diketahui dari hasil evaluasi tata kelola teknologi informasi (Jankov
et al., 2017).
Salah satu bagian yang mempengaruhi teknologi informasi adalah
keamanan informasi (Bernard, 2011). Keamanan informasi merupakan hal
yang penting untuk diperhatikan oleh pihak manajemen teknologi informasi
dan perlu dilakukan pengukuran terhadap kekuatan dari keamanan informasi
yang telah diterapkan (Disterer, 2013). Keamanan informasi khususnya pada
bagian cyber termasuk area dengan perkembangan cepat yang perlunya
evaluasi dan inovasi (Torten et al., 2018).
Kekuatan keamanan informasi dapat dikontrol menggunakan sistem
manajemen keamanan informasi, berfungsi untuk mengatur dan
mengoperasikan keamanan sistem informasi agar dapat digunakan sesuai
dengan prosedur (Sheikhpour & Modiri, 2012). Tujuan dari sistem
2
manajemen keamanan informasi adalah menjamin kerahasiaan, keutuhan,
dan ketersediaan dari data dan informasi (Sheikhpour & Modiri, 2012).
Standar ISO/IEC 27001 dan ISO/IEC 27002 dapat digunakan dalam
menerapkan sistem manajemen keamanan informasi (Disterer, 2013).
ISO/IEC 27001 merupakan standar yang dapat digunakan untuk membantu
pihak manajemen merencanakan dan menetapkan keamanan informasi sesuai
aturan, dan ISO/IEC 27002 merupakan standar yang dapat digunakan untuk
membantu kegiatan operasional dan pemeliharaan terhadap sistem (ISO /IEC
27001 & ISO/IEC 27002, 2013). Standar ISO/IEC 27001 memiliki fokus
untuk menetapkan kebijakan berdasarkan analisis risiko dan kebutuhan
pengguna dan ISO/IEC 27002 berfokus untuk menjalankan prosedur yang
telah ditetapkan secara lebih rinci (ISO/IEC 27001 dan ISO/IEC 27002,
2013).
Berdasarkan penelitian Heru Susanto et al yang berjudul Information
Security Management System Standards: A Comparative Study of the Big
Five, menerangkan bahwa informasi adalah aset organisasi di era modern saat
ini dan penting untuk melindungi aset tersebut. Namun tidak ada yang dapat
menjamin seratus persen (100%) keamanan dari informasi. Penelitian ini
menghasilkan perbandingan standar keamanan informasi menggunakan ISO
27001, BS 7799, PCIDSS, ITIL, dan COBIT yang dilihat dari sisi
penempatan dan kekhususan penggunaan setiap standar, dan negara yang
menggunakannya.
3
Penelitian yang dilakukan oleh Georg Disterer dengan judul ISO/IEC
27000, 27001 and 27002 for Information Security Management,
mengemukakan pentingnya mengukur kekuatan dari keamanan informasi,
yang merupakan salah satu inisiatif terpenting dari manajemen information
technology (IT). Standar keamanan informasi dapat digunakan untuk
mengembangkan dan memelihara kekuatan sistem manajemen keamanan
informasi. Standar ISO/IEC 27000, 27001, dan 27002 merupakan standar
yang telah diterima dan diadaptasi. Perusahaan yang menggunakan standar
ISO/IEC 27001 diberikan sertifikat ISMS/SMKI oleh pihak ketiga yang telah
mengukur keamanan dan bukti yang ada.
Penelitian oleh Anirban Sengupta yang berjudul Modeling
Dependencies of ISO/IEC 27002:2013 Security Controls, menerangkan
bahwa kontrol keamanan seperti kebijakan, prosedur, hukum dan regulasi
atau alat keamanan dan teknik-tekniknya membantu dalam mitigasi risiko
terkait sistem informasi perusahaan. Kontrol dari ISO/IEC 27002:2013
merupakan inter-dependent dan terdiri dari beberapa aspek yang berbeda
pada pengimplementasiannya. Kurang tepatnya penggunaan kontrol
merupakan salah satu kendala yang sulit ditangani oleh perusahaan.
Penelitian ini menyajikan analisis kontrol pada ISO/IEC 27001:2013 terkait
kategori penerapan tugas dan rincian kontrol yang saling bergantungan dan
memiliki hubungan.
Selanjutnya penelitian dari Natalia Miloslavskaya dan Alexander
Tolstoy yang berjudul Information Security Specialist Training on the Basis
4
of ISO/IEC 27002. Permasalahan pada penelitian ini bagaimana melakukan
analisis terhadap pengalaman training pada spesialis sistem informasi di
Moscow Engineering Physics Institute (State University) jurusan sistem
informasi, untuk mengumpulkan keperluan penelitian dilihat dari tipe dan
aktivitas lulusan pekerjaan dan memformulasikannya berdasarkan kualifikasi
karakteristik. Penelitian ini menghasilkan rumusan terkait karakteristik
berdasarkan ISO/IEC 27002.
Semakin meningkatnya kebutuhan terhadap kemudahan pengaksesan
informasi memiliki pengaruh pada penggunaan teknologi informasi yang
digunakan oleh perusahaan (Wu, 2015). PT Jasa Marga adalah salah satu
Badan Usaha Milik Negara (BUMN) yang menerapkan peranan teknologi
informasi dalam menunjang kegiatan bisnisnya.
Web portal internal adalah salah satu teknologi informasi yang
memberikan beberapa layanan yang dapat diakses melalui jaringan internet
dan membantu pegawai PT Jasa Marga dalam melakukan kegiatan
operasional sehari-hari. Layanan ini membantu Divisi Information
Technology (IT) dalam memantau dan mengendalikan aplikasi sehingga
mengurangi risiko penyerangan dari pihak yang tidak berhak. Selain
menyediakan layanan, web portal internal digunakan sebagai media
penyimpanan berkas-berkas seperti pengumuman, surat keputusan (SK), dan
file lainnya.
Berdasarkan wawancara dengan pegawai keamanan informasi, pada
tahun 2016 terjadi penyerangan pada web portal internal menyebabkan
5
hilangnya data-data perusahaan yang bersifat rahasia dan penting. Selain itu,
ditemukan kondisi terkait keamanan informasi yaitu kurangnya pegawai,
dimana pegawai yang menangani keamanan cyber juga merangkap
menangani keamanan fisik informasi yang berdampak pada kurang
maksimalnya pengawasan terhadap pengamanan data. Penempatan pegawai
berdasarkan kemampuan (capability) dan keahlian merupakan komponen
atau bagian yang diperlukan, sehingga memiliki pengaruh positif yang
signifikan terhadap proses kinerja (Giyarto, 2015).
Berdasarkan beberapa penelitian yang dijelaskan diatas dan masalah
yang ditemukan pada PT Jasa Marga, maka peneliti mengajukan judul skripsi
“Analisis Sistem Manajemen Keamanan Informasi Menggunakan
ISO/IEC 27001 dan ISO/IEC 27002 pada Kantor Pusat PT. Jasa Marga”.
1.2 Identifikasi Masalah
Berdasarkan latar belakang, maka penulis mengidentifikasi
permasalahan yang diangkat dalam penelitian ini adalah:
1. Belum adanya kebijakan yang mengatur terkait keamanan informasi
khususnya pada web portal internal.
2. Terjadinya penyerangan terhadap web portal internal yang menyebabkan
hilangnya data-data penting.
3. Terjadinya beban kerja yang melebihi kapasitas kemampuan pegawai
bagian keamanan informasi sehingga kerahasiaan data belum terjaga
dengan baik.
6
4. Belum pernah dilakukan analisis sistem manajemen keamanan informasi
menggunakan ISO/IEC 27001 dan ISO/IEC 27002 pada PT Jasa Marga.
1.3 Perumusan Masalah
Berdasarkan latar belakang dan identifikasi masalah yang dijabarkan
diatas, maka penulis membuat perumusan masalah dalam penelitian ini yaitu,
“Bagaimana melakukan analisis sistem manajemen keamanan informasi
menggunakan ISO/IEC 27001 dan ISO/IEC 27002 pada kantor pusat PT Jasa
Marga?”.
1.4 Batasan Masalah
Berdasarkan rumusan masalah diatas, maka batasan pada penelitian ini,
yaitu:
1. Analisis sistem manajemen keamanan informasi dilakukan pada Divisi
Information Technology (IT) Kantor Pusat PT Jasa Marga di Jakarta yang
beralamat di Plaza Tol Taman Mini Pinang Ranti.
2. Penelitian ini berfokus pada analisis web portal internal di PT Jasa
Marga.
3. Standar yang digunakan adalah ISO/IEC 27001 versi tahun 2013 dan
ISO/IEC 27002 versi tahun 2013.
4. Data yang digunakan adalah hasil wawancara dan analisis dokumen pada
Divisi Information Technology (IT) PT Jasa Marga.
7
5. Pada penelitian ini dilakukan analisis dengan menggunakan kuesioner
dan checklist berdasarkan panduan standar pada ISO/IEC 27001 dan
ISO/IEC 27002.
6. Penelitian ini menggunakan metodologi Plan, Do, Check, Act (PDCA)
pada ISO/IEC 27001 dan ISO/IEC 27002.
7. Analisis menggunakan kerangka kerja (framework) ISO/IEC
27001:2013 dengan sub klausul A.7.2 (during employment), A.7.3
(termination and change of employment), A.11.1 (secure areas), A.11.2
(equipment), A.16.1 (management of information security incidents and
improvements), A.18.1 (compliance with legal and contractual
requirements), dan ISO/IEC 27002:2013 dengan sub klausul B.5.1
(management direction for information security), B.8.1 (responsibility
for assets), B.9.1 (business requirements of access control), B.9.4
(system and application access control), B.10.1 (cryptographic
controls), B.12.1 (operational procedures and responsibility), B.12.2
(protection from malware), B.12.6 (technical vulnerability
management).
8. Penelitian ini mempunyai ruang lingkup pada 14 sektor utama keamanan,
yaitu during employment, termination and change of employment, secure
areas, equipment, management of information security incidents and
improvements, compliance with legal and contractual requirements,
management direction for information security, responsibility for assets,
business requirements of access control, system and application access
8
control, cryptographic controls, operational procedures and
responsibility, protection from malware, technical vulnerability
management.
9. Tools kuesioner skala pengukuran tingkat kematangan pada ISO/IEC
27001 dan ISO/IEC 27002 menggunakan risk assessment and treatment
dengan pendekatan metode kualitatif.
10. Tools yang digunakan untuk mengukur keefektivitas menggunakan
metode SSE CMM dengan pendekatan Standar ISO/IEC 27001 dan
ISO/IEC 27002.
11. Output yang dihasilkan dari penelitian ini adalah temuan dan
rekomendasi terkait keamanan sistem informasi PT Jasa Marga.
1.5 Tujuan Penelitian
Tujuan umum pada penelitian di PT Jasa Marga adalah melakukan
analisis sistem manajemen keamanan informasi menggunakan ISO/IEC
27001 dan ISO/IEC 27002 pada PT Jasa Marga.
Sedangkan tujuan khususnya adalah sebagai berikut:
1. Menganalisis standar kebijakan keamanan informasi untuk menjaga
sistem keamanan web portal internal.
2. Menganalisis manajemen insiden terkait penyerangan pada web portal
internal.
3. Menganalisis standar kebijakan terkait kapasitas kemampuan pegawai
khususnya pada bagian keamanan informasi.
9
4. Menghasilkan rekomendasi berdasarkan analisis temuan-temuan dan
gap, kendali dan bukti, dan mendokumentasikan hasil temuan.
1.6 Manfaat Penelitian
Adapun manfaat dari penelitian ini yang terbagi menjadi dua manfaat
yaitu, manfaat teoritis (bagi mahasiswa) dan manfaat praktis (bagi instansi
atau perusahaan):
1. Manfaat Teoritis
a) Melakukan identifikasi dan analisis terhadap sistem informasi yang
ada berdasarkan teori dan pengetahuan yang diperoleh selama
perkuliahan.
b) Memberikan gambaran pada organisasi mengenai tata kelola
teknologi informasi yang baik (good governance).
c) Membantu organisasi dalam mengawasi manajemen keamanan sistem
informasi yang sedang berjalan.
d) Menjadi referensi bagi penelitian berikutnya dalam bidang tata kelola
teknologi informasi.
e) Meningkatkan kreatifitas berfikir untuk menganalisa suatu masalah di
dalam sebuah proses bisnis.
f) Memberikan pengalaman kerja kepada mahasiswa dalam rangka
menerapkan atau membandingkan serta menganalisis teori dan
pengetahuan dengan kondisi yang sebenarnya di lapangan.
10
2. Manfaat Praktis
a) Membantu perusahaan untuk mengetahui kondisi dari perusahaan saat
ini terkait sistem manajemen keamanan informasi dan memberikan
gambaran terkait tindak lanjut kedepannya dalam meningkatkan
keamanan pada sistem dan teknologi informasi yang dimiliki PT Jasa
Marga.
b) Informasi yang didapat dari hasil analisis sistem, dapat dijadikan
bahan acuan untuk mengambil keputusan dalam membangun suatu
sistem informasi yang akan digunakan oleh instansi.
c) Hasil analisa dan penelitian yang dilakukan selama penelitian dapat
menjadi bahan masukan bagi pihak perusahaan untuk menentukan
kebijaksanaan perusahaan di masa yang akan datang khususnya di
bidang sistem manajemen keamanan informasi.
d) Membina kerjasama yang baik antara lingkungan akademis dengan
lingkungan kerja.
1.7 Metodologi Penelitian
Pada penelitian ini peneliti menggunakan beberapa metode untuk
mendapatkan informasi yang dibutuhkan. Berikut adalah metode-metode
yang digunakan pada penelitian ini:
1. Desain Penelitian
Pada desain penelitian peneliti menggunakan metode kualitatif,
untuk mendapatkan data deskriptif baik secara lisan (wawancara)
11
maupun tulisan (dokumen) dari objek yang diteliti pada Divisi
Information Technology (IT) PT Jasa Marga.
2. Metode Pengumpulan Data
Pada penelitian ini dilakukan pengumpulan data dengan beberapa
cara. Data yang digunakan yaitu:
a. Data primer, merupakan data yang diperoleh peneliti langsung
di Divisi Information Technology (IT) PT Jasa Marga. Data
diperoleh dengan beberapa metode yaitu:
Observasi, pada tahap ini peneliti melakukan dengan cara
melihat dan mengamati secara langsung untuk mendapatkan
data dan informasi yang dibutuhkan pada Divisi Information
Technology (IT) PT Jasa Marga.
Wawancara, pada tahap ini peneliti melakukan komunikasi
dua arah untuk mendapatkan informasi dari pegawai terkait
Divisi Information Technology (IT) PT Jasa Marga. Tahapan
ini memberikan informasi yang lebih khusus kepada
permasalahan, masukan berupa pendapat dan ide oleh
responden.
Kuesioner, merupakan tahapan dimana peneliti melakukan
pengumpulan data dengan memberikan daftar pertanyaan
kepada pegawai di Divisi Information Technology (IT) PT
Jasa Marga.
12
b. Data sekunder, merupakan data yang diperoleh dari beberapa
study literature yang terkait dengan topik dan permasalahan
pada penelitian.
Study Literature, peneliti akan melakukan kegiatan
membaca dan memahami bahan pustaka seperti buku-buku,
dokumen, mempelajari penelitian sejenis yang pernah
dilakukan orang lain, serta mempelajari mengenai topik
terkait penelitian saat ini.
3. Metode Analisis Data
Penelitian ini menggunakan teknik analisis data deskriptif kualitatif
yang menekankan pada sumber data dan fakta.
4. Metode Analisis Sistem Manajemen Keamanan Informasi
Dalam analisis penerapan sistem manajemen keamanan informasi
terdapat beberapa tahapan berdasarkan ISO/IEC 27001 dan ISO/IEC
27002 yaitu:
a. Plan
Pada tahap plan peneliti akan melakukan perencanaan dan
perancangan manajemen keamanan informasi, dimana kegiatan
implementasinya adalah dengan membangun komitmen,
kebijakan, kontrol, prosedur, instruksi kerja sehingga tercipta
manajemen keamanan informasi sesuai dengan kebutuhan dari
penggunanya.
13
b. Do
Selanjutnya pada tahap do peneliti akan melakukan
pengidentifikasian terhadap risiko yang meliputi
pengidentifikasian aset, ancaman dan kelemahan serta
menganalisis risiko.
c. Check
Kemudian pada tahap check peneliti akan melakukan
pemonitoran dari penerapan keamanan informasi dengan
memilih klausul pada ISO/IEC 27001 dan ISO/IEC 27002,
penentuan nilai kemampuan dan maturity level.
d. Act
Dan pada tahap act peneliti akan penentuan gap dan pemberian
rekomendasi berdasarkan ISO/IEC 27001 dan ISO/IEC 27002.
1.8 Sistematika Penulisan
Sistematika penulisan dan penyusunan laporan penelitian skripsi ini
dengan urutan sebagai berikut:
BAB I : PENDAHULUAN
Bab ini mendeskripsikan latar belakang penelitian, identifikasi
masalah, perumusan masalah, batasan masalah, tujuan penelitian,
ruang lingkup penelitian, manfaat penelitian, tahap dan kegiatan
serta sistematika penulisan pada penelitian.
14
BAB II : LANDASAN TEORI
Bab ini menguraikan teori-teori yang berhubungan dengan konsep
dan teori dasar materi yang terkait, seperti pengertian tata kelola
teknologi informasi, model kerangka kerja tata kelola teknologi
informasi dan penjelasan ISO/IEC 27001 dan ISO/IEC 27002 dan
materi lainnya yang digunakan selama penelitian dan yang
membantu menyusun laporan penelitian skripsi.
BAB III : METODOLOGI PENELITIAN
Bab ini membahas metodologi yang digunakan dalam penelitian
mencakup desain penelitian, metode pengumpulan data, metode
analisis data, metode penerapan tata kelola teknologi informasi dan
kerangka berpikir penelitian.
BAB IV : HASIL DAN PEMBAHASAN
Bab ini akan membahas mengenai uraian hasil analisis mengenai
tata kelola teknologi informasi, hasil kuesioner maturity level dan
rekomendasi perbaikan untuk tata kelola teknologi informasi pada
Divisi Information Technology (IT) PT Jasa Marga.
BAB V : PENUTUP
Pada bab ini berisi kesimpulan dan uraian yang sudah diterangkan
dari bab-bab sebelumnya, dan juga berisi saran-saran perbaikan.
15
BAB II
LANDASAN TEORI
2.1 Konsep Dasar Sistem Informasi
2.1.1 Definisi Sistem
Sistem diadopsi oleh banyak konteks, dimana kata sistem
merujuk kepada suatu perkumpulan dari komponen-komponen atau aturan
(Sofyanti, 2014). Sistem adalah kumpulan objek atau elemen yang saling
berkaitan dengan tujuan mencapai suatu tujuan yang telah ditetapkan
(Hariyanto, 2004). Berikut ini beberapa prinsip umum sistem:
1. Sistem selalu merupakan bagian dari sistem yang lebih besar,
sekaligus sistem tersebut dapat dipartisi menjadi subsistem-
subsistem yang lebih kecil.
2. Sistem yang lebih terspesialisasi akan kurang dapat beradaptasi
untuk menghadapi keadaan-keadaan yang berbeda.
3. Lebih besar ukuran sistem, maka akan memerlukan sumber daya
yang lebih banyak untuk operasi dan pemeliharaanya.
4. Sistem senantiasa mengalami perubahan, tumbuh dan berkembang.
Berdasarkan penjelasan diatas sistem terdiri dari sejumlah
komponen atau elemen yang saling terkait dan menjadi kesatuan
berdasarkan rancangan yang telah ditetapkan dengan tujuan tertentu.
Dimana sistem memiliki prinsip umum yaitu sistem merupakan bagian
dari sistem besar dan dapat menjadi subsitem, sistem dengan sifat khusus
16
akan sulit beradaptasi, sistem yang besar maka membutuhkan sumber daya
yang besar, dan sistem selalu mengalami perubahan mengikuti kebutuhan.
2.1.2 Karakteristik Sistem
Selain itu, sistem memiliki beberapa elemen untuk membentuk
sebuah sistem (Kadir, 2003), yaitu:
1. Tujuan (Goal) merupakan motivasi yang mengarahkan sistem.
Tanpa tujuan, sistem menjadi tidak terarah dan tidak terkendali.
2. Masukan (Input) adalah bahan untuk diproses baik yang berwujud
(tampak secara fisik) maupun yang tidak (berupa informasi).
3. Keluaran (Output) adalah hasil dari pemrosesan, bisa berupa
informasi, saran, cetakan laporan, dan sebagainya.
4. Proses (Process) merupakan bagian yang melakukan perubahan atau
transformasi dari masukan menjadi keluaran yang berguna, misalnya
berupa informasi dan produk.
5. Mekanisme pengendalian dan umpan balik (Control Mechanism and
Feedback) merupakan cara yang digunakan untuk mengendalikan
baik masukan maupun proses. Tujuannya adalah untuk mengatur
agar sistem berjalan sesuai dengan tujuan.
6. Batasan sistem (Boundary System) adalah pemisah antara sistem dan
daerah di luar sistem (lingkungan), yang meliputi menentukan
konfigurasi, ruang lingkup, atau kemampuan sistem. Batas sebuah
sistem dapat dikurangi atau dimodifikasi sehingga akan mengubah
perilaku sistem.
17
Terdapat enam karakteristik sistem menurut Kadir (2003) yaitu
sistem memerlukan elemen tujuan, masukan, keluaran, proses, mekanisme
pengendalian dan umpan balik, dan batasan dari sistem (ruang lingkup
sistem).
2.1.3 Definisi Data dan Informasi
Data dalam bahasa Inggris berasal dari kata datum dari bahasa
Latin yang berarti fakta (Wahyudi, 2008). Kata tersebut bersifat plural,
sebagaimana kata air, udara, dan semacamnya. Karenanya, kata data akan
salah jika disebut atau ditulis dengan data-data, banyak data, dan
semacamnya. Secara konseptual, data adalah deskripsi tentang benda,
kejadian, aktivitas, dan transaksi, yang tidak mempunyai makna dan tidak
berpengaruh secara langsung kepada pemakai (Kadir, 2003).
Fungsi utama informasi adalah menambah pengetahuan atau
mengurangi ketidakpastian bagi penerima informasi. Kualitas suatu
informasi tergantung kepada tiga hal (Jogiyanto, 2005), yaitu:
a. Akurat (accurate), informasi harus terbebas dari gangguan
(noise) yang dapat mengubah atau merusak suatu informasi.
b. Tepat Waktu (timelines), informasi tidak boleh terlambat sampai
di penerima, informasi yang sudah berlalu tidak akan mempunyai
nilai lagi karena informasi adalah landasan dalam proses
pengambilan keputusan.
c. Relevan (relevant), informasi harus mempunyai manfaat bagi
penerimanya.
18
Data adalah kondisi saat ini yang dapat mendeskripsikan terkait
benda, kejadian, aktivitas, dan transaksi, sehingga perlu dilakukan
pengolahan data menjadi informasi. Informasi adalah data yang telah
diolah atau diklasifikasi dan dapat digunakan sebagai dasar pengambilan
keputusan.
Proses (Model)
Input (Data)
Data (Dianggap)
Hasil TindakanKeputusan Tindakan
Penerima
Output (Information)
Dasar Data
Gambar 2. 1 Siklus Informasi (Sutabri, 2005)
Berdasarkan penjelasan dan gambar diatas dapat diketahui bahwa
informasi mempunyai siklus yang perlu dilakukan pembaharuan terhadap
informasi yang ada berdasarkan dasar data yang ada lalu dilakukan
pengolahan kembali dan menghasilkan informasi untuk ditindaklanjuti
pada kegiatan tindakan.
2.1.4 Sistem Informasi
Sistem informasi merupakan kumpulan dari perangkat keras dan
perangkat lunak komputer serta perangkat manusia yang akan mengolah
data menggunakan perangkat keras dan perangkat lunak tersebut, selain itu
data juga memegang peranan yang penting dalam sistem informasi, data
19
yang akan dimasukkan dalam sebuah sistem informasi dapat berupa
formulir-formulir, prosedur-prosedur, dan bentuk data lainnya (Kristanto,
2003).
Gambar 2. 2 Komponen Sistem Informasi (O’Brien, 2006)
Terkait penjelasan diatas diketahui bahwa sistem informasi
adalah keterhubungan antar perangkat keras, perangkat lunak, pengguna
(user), data (basis data), prosedur, jaringan komputer dan komunikasi data.
Terdapat lima (5) komponen sistem informasi yang terdapat pada gambar
yaitu tantangan manajemen, teknologi informasi, konsep dasar, proses
pengembangan, dan aplikasi bisnis.
2.2 Definisi Analisis
Analisis adalah kegiatan menguraikan suatu masalah menjadi
bagian-bagian (dekomposisi) sehingga membentuk susunan yang mudah
dimengerti terkait permasalahan yang dihadapi (Satori dan Komariah, 2013).
Analisis data adalah sebuah proses untuk memperoleh dan menyusun secara
sistematis data yang didapat dari hasil wawancara, catatan lapangan, dan
dokumentasi, dengan mengorganisir data, memilih satuan yang dapat diolah
20
dan mana yang penting dan akan dipelajari serta membuat kesimpulan
sehingga mudah dimengerti oleh peneliti maupun orang lain (Lestari, 2018).
Analisis menurut Kamus Besar Bahasa Indonesia (KBBI) (2019)
adalah upaya penyelidikan terhadap suatu peristiwa seperti karangan,
perbuatan dan lain sebagainya, untuk mengetahui keadaan yang sebenarnya
seperti sebab-musabab, duduk perkaranya dan lain sebagainya.
Dari penjelasan diatas analisis adalah suatu upaya atau usaha
menguraikan suatu permasalahan untuk mengetahui penyebabnya, lalu
dilakukan pengolahan terhadap data yang ditemukan baik dari wawancara,
dokumen dan kondisi yang ada untuk mendapatkan hasil dari kondisi saat ini
yang kemudian dapat diambil kesimpulan dan menjadikan pelajaran menjadi
lebih baik lagi kedepannya.
2.3 Sistem Manajemen Keamanan Informasi
2.3.1 Definisi Keamanan Informasi
Sheikhpour and Modiri (2012) keamanan informasi adalah suatu
perlindungan informasi dari berbagai ancaman untuk menjamin
keberlangsungan atau kelanjutan dari proses bisnis, mengurangi risiko
bisnis, dan meningkatkan Return of Investment (ROI) serta peluang bisnis
yang ada. Berikut ini beberapa aspek keamanan informasi yang harus
diperhatikan.
21
1. Confidentiality (Kerahasiaan)
Confidentiality atau kerahasiaan adalah aspek yang menjamin
informasi atau data hanya dapat diakses oleh pihak yang
berwenang.
2. Integrity (Keutuhan)
Integrity atau keutuhan adalah aspek yang memastikan dan
menjamin bahwa data tidak dapat dirubah tanpa adanya ijin dari
pihak yang berwenang, menjaga keutuhan informasi dan menjaga
data atau informasi dari kerusakan atau ancaman yang dapat
menyebabkan perubahan nilai pada informasi atau data asli.
3. Availability (Ketersediaan)
Availability atau ketersediaan adalah aspek yang menjamin
bahwa data akan selalu tersedia dan dapat diakses dimanapun dan
kapanpun saat user membutuhkannya tanpa adanya gangguan.
Keamanan informasi merupakan masalah yang mendasar untuk
suatu bisnis (swasta dan pemerintahan) pada saat ini sehingga audit
keamanan informasi menjadi kebutuhan untuk menjaga nilai dari
informasi (Ciptaningrum et al., 2015).
Informasi yang berkualitas didapatkan dari serangkaian proses
yang telah ditetapkan sebelumnya, dan untuk menghasilkan informasi
yang berkualitas diperlukan tindakan pengamanan agar terhindar dari
ancaman atau gangguan yang dapat merusak nilai dari informasi tersebut
22
(Whitman & Mattord, 2017). Ancaman atau gangguan terhadap informasi
dapat terjadi kapan saja dan dimana saja sehingga mengganggu kestabilan
dari proses bisnis organisasi.
Gambar 2. 3 Kehilangan Kerahasiaan Data (Rao & Nayak, 2014)
Gambar 2. 4 Kehilangan Keutuhan Data (Rao & Nayak, 2014)
Gambar 2. 5 Kehilangan Ketersediaan Data (Rao & Nayak, 2014)
23
Berikut ini beberapa aspek yang perlu diketahui untuk melakukan
pengamanan data (Whitman & Mattord, 2017).
a. Physical security
Physical security adalah tindakan pengamanan fisik terhadap
sistem yang dimiliki agar terlindung dari bahaya yang dapat
mengganggu pengolahan data yang dapat menyebabkan
menurunnya nilai (tidak sesuai harapan) dari informasi yang
dihasilkan, seperti bencana alam, pengaksesan fasilitas yang
bersifat ilegal atau tidak resmi, dan pencurian.
b. Personal security
Personal security adalah strategi yang merupakan tindakan yang
dilakukan untuk mencegah dan melindungi individu-individu di
dalam organisasi dari permasalahan yang timbul akibat ancaman
atau serangan dari pihak yang tidak bertanggung jawab yang
menyebabkan terganggunya proses yang ada.
c. Operation security
Operation security adalah strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa
adanya gangguan atapun ancaman.
d. Communication security
Communication security adalah strategi yang bertujuan untuk
melindungi media komunikasi dan teknologi komunikasi serta
memanfaatkan teknologi untuk kepentingan organisasi.
24
e. Network security
Network security adalah strategi yang berfokus mengamankan
peralatan jaringan pada data organisasi dalam rangka sharing
informasi.
Gambar 2. 6 Komponen Keamanan Informasi (Tripton & Krause, 2016)
Keamanan informasi adalah ilmu terkait bagaimana menjaga
informasi dari ancaman atau serangan yang dapat terjadi dan dapat
menjamin kelangsungan bisnis organisasi, serta mengurangi tingkatan
risiko dan mempercepat atau memaksimal pengambilan keputusan
investasi serta peluang bisnis (Tripton & Krause, 2011).
Dari teori-teori diatas diketahui keamanan informasi adalah suatu
upaya untuk melindungi informasi dan menjaga keberlangsungan proses
bisnis perusahaan, dimana terdapat tiga aspek yang perlu diperhatikan
yaitu kerahasiaan, keutuhan, dan ketersediaan dari informasi yang
dibutuhkan.
25
2.3.2 Definisi Sistem Manajemen Keamanan Informasi
Sistem Manajemen Keamanan Informasi (SMKI) atau dikenal
juga dengan sebutan Information Security Management System (ISMS)
adalah ilmu yang dirancang untuk menentukan bagian penting yang
memiliki pengaruh terhadap organisasi dan pembagian kontrol keamanan
yang dapat digunakan untuk melindungi informasi sebagai aset dan
menjamin kerahasiaan pihak lain (ISO/IEC 27001, 2005). Sebuah
organisasi seharusnya melakukan penentuan, pengimplementasian,
pengoperasian, pengawasan, peninjauan ulang, pemeliharaan dan
peningkatan pada sebuah dokumentasi SMKI dengan konteks keseluruhan
aktivitas dari organisasi dan kemungkinan dari risiko yang ada (Disterer,
2013).
Gambar 2. 7 Lima (5) Poin Manajemen Proses SMKI (Chang, 2013)
Berdasarkan tujuan dari Standar Internasional bahwa proses
SMKI berdasarkan model dari Plan-Do-Check-Act (PDCA), seperti pada
gambar di bawah ini (ISO/IEC 27001, 2005).
26
Gambar 2. 8 Plan-Do-Check-Act (PDCA) Model (ISO/IEC 27001, 2005)
Sistem manajemen keamanan informasi (SMKI) berdasarakan
ISO/IEC 27001 (2005) merupakan pendekatan proses “Plan-Do-Check-
Act” untuk penerapan SMKI dibutuhkan dukungan manajemen (Sarno &
Iffano, 2009).
Berikut ini adalah hal-hal yang dapat mendukung SMKI:
perencanaan (planning), kebijakan keamanan (security policy), program
(prosedur dan proses), penilaian risiko (risk assessment), Sumber Daya
Manusia/SDM (people) dan tanggung jawab (responsibility) (Sarno &
Iffano, 2009). Berikut ini adalah penjelasan secara rinci terkait hal-hal
pendukung SMKI.
a. Perencanaan
Perencanaan pada SMKI adalah kegiatan yang meliputi
beberapa proses seperti perancangan, pembuatan, dan
implementasi yang menghasilkan tujuan dari SMKI. Istilah dari
27
perencanaan atau planning pada suatu organisasi mencakup
beberapa hal-hal, seperti:
1. Strategic planning (rencana jangka panjang): adalah rencana
yang dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama (periode lima tahun atau lebih).
2. Tactical planning (rencana jangka pendek): adalah rencana
dengan fokus pembuatan perencanaan dan menghubungkan
sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat (satu atau dua tahun).
3. Operational planning (kegiatan rutin atau harian): adalah
kegiatan yang dilakukan dengan berfokus pada kinerja harian
organisasi.
Jika dikhususkan dengan keterkaitan SMKI, perencanaan
adalah kegiatan yang diperlukan untuk mendukung proses
perancangan, pembuatan, dan implementasi dari keamanan
informasi.
b. Kebijakan
Kebijakan merupakan peranan penting di dalam SMKI,
dimana tanpa dukungan kebijakan dari pihak manajemen
organisasi, SMKI tidak akan dapat dilakukan. Karena kebijakan
akan memberikan arahan dan dukungan sumber daya untuk
mencapai tujuan SMKI. Dalam Keamanan Informasi, kebijakan
dapat dikelompokkan ke dalam tiga kategori kebijakan yaitu:
28
1. Enterprise Information Security Policy (EISP) yaitu
kebijakan yang menentukan wewenang bagian atau
departemen Keamanan Informasi serta bagaimana
menciptakan kondisi Keamanan Informasi di setiap bagian
organisasi.
2. Issue Spesific Security Policy (ISSP) adalah suatu kebijakan
yang menentukan peraturan serta menjelaskan perilaku apa
saja yang dapat diterima atau tidak, yang terhubung dengan
Keamanan Informasi pada setiap teknologi yang digunakan,
misalnya penggunaan komputer, jaringan internet, e-mail,
dan lain sebagainya.
3. System Spesific Policy (SSP) adalah kebijakan yang dibuat
untuk mengatur pengendalian dan konfigurasi penggunaan
perangkat atau teknologi secara manajerial maupun teknikal.
c. Program
Dalam menyusun SMKI perlu didukung dengan
pembangunan suatu prosedur dan proses yang menjelaskan secara
detail tentang operasi-operasi di dalam SMKI. Salah satu
contohnya adalah program pelatihan Keamanan Informasi.
Program ini bertujuan untuk memberikan pengetahuan kepada
pegawai mengenai Keamanan Informasi dan meningkatkan
pemahaman Keamanan Informasi pekerja sehingga dicapai
peningkatan Keamanan Informasi organisasi. Hal lain misalnya
29
prosedur atau proses melakukan back-up data untuk disimpan ke
dalam media penyimpanan khusus. Serta program-program lain
yang menjelaskan prosedur dan proses SMKI.
d. Penilaian Risiko
Melalui penilaian risiko ini organisasi dapat memahami seberapa
besar dampak yang akan diterima organisasi jika terjadi kejadian
Keamanan Informasi. Penilaian risiko dilaksanakan melalui
serangkaian aktivitas manajemen risiko, meliputi penilaian risiko
(risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksi dan perangkat proteksi baik perangkat keras
maupun perangkat.
e. Sumber Daya Manusia (SDM)
Penting sekali untuk mengelola SDM dengan baik di dalam
SMKI. Aspek ini bisa meliputi keamanan personil secara individu
saat bekerja dan keamanan personil dalam organisasi.
f. Tanggung Jawab
Tanggung jawab dapat meliputi: tanggung jawab manajemen
dalam menerapkan SMKI, tanggung jawab masing-masing
individu organisasi untuk sadar akan pentingnya SMKI serta
tanggung jawab seluruh sumber daya organisasi untuk
menjalankan dan memelihara SMKI. Tanpa tanggung jawab ini
SMKI mustahil akan berjalan di dalam organisasi, serta tujuan
Keamanan Informasi tercapai.
30
Gambar 2. 9 Framework SMKI (ISO/IEC 27001, 2013)
Dari penjelasan diatas diketahui bahwa SMKI atau ISMS adalah
ilmu yang dapat digunakan untuk menentukan bagian penting dengan
pengaruh terhadap organisasi serta pembagian kontrol keamanan untuk
perlindungan terhadap informasi. SMKI memiliki pendekatan proses
Plan, Do, Check, Act terkait penganalisisan keamanan informasi.
2.3.3 Manfaat SMKI
Menurut Sarno & Iffano (2009) menerapkan teknik keamanan
saja maka akan menjamin 100% aman. Walaupun teknik-teknik keamanan
tersebut terhimpun dalam Teknologi Keamanan Informasi, belum cukup
untuk memberikan jaminan keamanan yang menyeluruh. Hal lain yang
diperlukan adalah sistem yang mengelola Teknologi Informasi dalam
31
proses-proses sekaligus penjagaan terhadap aspek Keamanan Informasi
yang disebut dengan SMKI. Kedua hal tersebut merupakan elemen penting
dalam Keamanan Informasi.
Jika ditinjau dari teori sangatlah tegas bahwa dalam penerapan
Keamanan Informasi tidak dapat dipisahkan secara parsial. Dengan
demikian secara keilmuan penerapan Teknologi Keamanan Informasi atau
SMKI tidak bisa dilakukan secara terpisah. Keamanan Informasi adalah
penerapan secara menyeluruh baik teknik keamanan yang terhimpun
dalam Teknologi Keamanan Informasi serta penjagaan aspek Keamanan
Informasi melalui proses-proses yang terhimpun dalam SMKI (Sarno &
Iffano, 2009).
Dari sisi riwayat statistik diperoleh bahwa penerapan SMKI
sangatlah penting karena ancaman (threat) terhadap aspek Keamanan
Informasi kian meningkat. Menurut penelitian United Kingdom (UK)
Department of Trade and Industry pada tahun 2000, 49% organisasi
meyakini bahwa Informasi adalah asset yang penting karena kebocoran
Informasi dapat dimanfaatkan oleh pesaing, dan 49% organisasi
menyadari bahwa penerapan Keamanan Informasi adalah untuk
memperoleh kepercayaan konsumen. Organisasi menghadapi berbagai
ancaman terhadap Informasi yang dimilikinya sehingga diperlukan
langkah-langkah yang tepat untuk mengamankan Informasi yang dimiliki
dalam SMKI. Lebih jauh lagi perlu pengembangan dan perbaikan terhadap
32
SMKI tersebut karena ancaman dan kelemahan (vulnerability) juga selalu
berkembang (Sarno & Iffano, 2009).
Penerapan teknologi keamanan informasi bersamaan dengan
aspek keamanan informasi diperlukan untuk mendukung perlindungan
pada informasi di suatu organisasi. Karena kedua hal tersebut memiliki
keterkaitan satu dengan yang lainnya, dimana proses-prosesnya terdapat
di dalam SMKI sedangkan teknologi keamanan informasi adalah teknologi
yang digunakan dalam pengamanannya.
2.4 RACI Chart
RACI Chart adalah matrik dari keseluruhan aktivitas dan
wewenang pada sebuah organisasi yang bertujuan untuk membantu dalam
proses mengambil keputusan (ISACA, 2012). Berikut ini penjelasan lebih
lanjut mengenai RACI Chart:
1. Responsible
Menjelaskan mengenai siapa yang mendapatkan tugas yang harus
dilakukan. Hal ini merujuk pada penanggung jawab pada kegiatan
operasional yang memenuhi kebutuhan dan menciptakan hasil yang
diharapkan organisasi.
2. Accountable
Menjelaskan mengenai siapa yang bertanggung jawab atas keberhasilan
tugas yang diberikan. Hal ini merujuk pada pertanggung jawaban
keseluruhan tugas.
33
3. Consulted
Menjelaskan mengenai siapa yang memberikan masukan atau
penasehat. Hal ini merujuk pada peran yang bertanggung jawab
memperoleh informasi dari unit lain atau mitra eksternal. Masukan
dipertimbangkan dan proses pengambilan tindakan dilakukan dengan
tepat.
4. Informed
Menjelaskan mengenai siapa penerima informasi. Hal ini merujuk pada
peran yang bertanggung jawab menerima informasi yang tepat untuk
mengawasi setiap tugas yang diberikan.
Gambar 2. 10 RACI Chart (ISACA, 2012)
Dapat diketahui RACI Chart adalah matrik yang dapat digunakan
untuk mengetahui wewenang pada aktivitas berdasarkan domain yang ada
34
pada COBIT. Sehingga dapat membantu mengetahui stakeholder yang
memiliki wewenang dan kesesusaian dari penempatannya.
2.5 Manajemen Risiko
Menurut Sarno & Iffano (2009) risiko merupakan peluang yang
memberikan dampak atau mengakibatkan terganggunya proses bisnis
organisasi sampai menyebabkan gagalnya tujuan bisnis organisasi. Risiko ini
diukur berdasarkan dampak atau pengaruh yang ditimbulkan terhadap
kemungkinan terjadinya risiko. Manajemen risiko adalah proses untuk
mengidentifikasi risiko, menganalisa risiko dan melakukan penanganan
untuk mengurangi risiko sampai dampaknya terhadap proses bisnis di
organisasi pada level yang dapat diterima atau dibolehkan. Manajemen risiko
meliputi aktivitas-aktivitas berikut: identifikasi informasi, identifikasi
ancaman dan kelemahan, analisa dampak bisnis serta penilaian risiko (Sarno
& Iffano, 2009).
Risiko memiliki hubungan dengan SMKI, risiko merupakan dampak
dari kejadian yang mengancam keamanan informasi di organisasi, adapun
ancaman yang mempengaruhi aspek keamanan informasi yaitu
Confidentiality, Integrity, Availability (CIA). Oleh karena itu, manajemen
risiko perlu diterapkan untuk mengetahui nilai risiko sehingga dapat
dilakukan penanganan yang tepat (Sarno & Iffano, 2009).
35
2.5.1 Pentingnya Manajemen Risiko (Risk Management)
Menurut Sarno & Iffano (2009) informasi padaorganisasi harus
dilindungi atau diamankan karena memiliki nilai dan aset dari organisasi.
Manajemen risiko bertujuan memahamkan organisasi perihal:
a. Menentukan seberapa besar dampak atau risiko yang dihadapi oleh
organisasi jika terjadi kegagalan keamanan informasi di dalam
organisasi.
b. Apa saja ancaman (threat) terhadap informasi organisasi dan juga
kelemahan (vulnerability) yang dimiliki oleh Informasi organisasi yang
dapat menyebabkan kegagalan keamanan informasi.
c. Bagaimana cara menangani risiko terhadap kegagalan keamanan
informasi yang terjadi dalam hal ini dapat dilakukan atau dipilih cara
penanganannya yaitu dengan cara:
1. Menerima dampak atau risiko (risk acceptance).
2. Mengurangi dampak atau risiko (risk reducement).
3. Menghindari atau mengalihkan risiko kepada pihak lain (risk
transfer).
d. Menentukan kontrol keamanan apa yang dibutuhkan oleh organisasi
untuk memenuhi kriteria manajemen risiko yang telah dilakukan.
Tanpa keberadaan manajemen risiko, organisasi tidak dapat
menentukan kontrol keamanan apa yang dibutuhkan dalam menerapkan
36
SMKI. Sedangkan kontrol keamanan sendiri merupakan hal yang paling
penting dalam merencanakan SMKI.
Gambar 2. 11 Analisis Risiko (Suanda, 2011)
Gambar 2. 12 Tabel Penerimaan Risiko (Suanda, 2011)
2.5.2 Penilaian Risiko (Risk Assessment)
Menurut Sarno & Iffano (2009) penilaian risiko (risk assessment)
adalah langkah atau tahap pertama dari proses manajemen risiko. Penilaian
risiko bertujuan untuk mengetahui ancaman-ancaman (threat) dari luar
yang berpotensi mengganggu keamanan informasi organisasi dan
potensial kelemahan (vulnerability) yang mungkin dimiliki oleh Informasi
di organisasi. Metode penilaian risiko terdiri dari enam (6) tahapan yaitu:
1. Identifikasi informasi
2. Identifikasi ancaman (threat).
3. Identifikasi kelemahan (vulnerability).
4. Menentukan kemungkinan ancaman (probability).
37
5. Analisa dampak (impact analysis).
6. Menentukan nilai risiko.
Tahapan dari penilaian risiko tersebut dapat digambarkan dalam
gambar dibawah. Dalam gambar tersebut dijelaskan pula input dan output
dari tiap-tiap tahapan.
INPUT
Aset
Riwayat ancaman yang pernah terjadi
Laporan penilaian terdahulu, hasil-hasil
audit
Riwayat gangguan
Aset yang kritikal dan sensitif
Besarnya dampak
TAHAPAN
TAHAP 1:Identifikasi Aset/Fasilitas Informasi
TAHAP 2:Identifikasi Ancaman
TAHAP 3:Identifikasi Kelemahan
TAHAP 4:Menentukan Kemungkinan
TAHAP 5: Analisa Dampak
TAHAP 6:Menentukan nilai
risiko
OUTPUT
Inventarisasi Aset
Daftar Ancaman (threat)
Daftar Kelemahan yang potensial
Nilai kemungkinan ancaman
Nilai dampak
Risiko dan level risiko
Gambar 2. 13 Penilaian Risiko (Sarno & Iffano, 2009)
2.13.1 Identifikasi Aset (Asset Identification)
Langkah pertama dalam penilaian risiko adalah melakukan
identifikasi dan inventarisasi aset yang terkait dengan Informasi atau
dikenal dengan fasilitas informasi. Pada tahap satu (1) ini akan dihasilkan
daftar informasi yang dimiliki organisasi serta kategorinya (Sarno &
Iffano, 2009).
38
2.13.2 Identifikasi Ancamanan (Threat Identification)
Threat atau ancaman adalah suatu potensi yang disebabkan oleh
insiden yang tidak diinginkan yang mungkin membahayakan jalannya
proses bisnis organisasi (Sarno & Iffano, 2009). Tujuannya dari
mengidentifikasi ancaman adalah agar diketahui ancaman yang mungkin
terjadi dan membahayakan sistem dalam organisasi. Contoh berbagai
jenis ancaman yang berasal dari sumber-sumber tersebut dapat dilihat
dalam table berikut.
Tabel 2. 1 Identifikasi Ancaman (Sarno & Iffano, 2009)
No Sumber Ancaman Jenis Ancaman
1 Alam Banjir, gempa bumi, angina puyuh, tornado,
serangan petir
2 Lingkungan Kegagalan sumber daya (power failure), polusi,
bahan kimia berbahaya, kebocoran (cairan)
3 Manusia
a. Hacker, Cracker
b. Computer criminal
c. Terrorist
- Hacking, penyusupan ke sistem, akses ilegal
- Penyusupan ke sistem komputer, akses ilegal,
criminal computer
- Black mail, penyerangan ke sistem, sistem
penetrasi, virus.
Hasil dari tahapan ini adalah untuk mengidentifikasikan dan
memperoleh daftar ancaman sebanyak-banyaknya yang mungkin timbul
dan membahayakan sistem organisasi. Kemampuan organisasi untuk
mengidentifikasikan seluruh ancaman yang mungkin terjadi sangat
menentukan dalam perancangan SMKI yang akan dibuat.
2.13.3 Identifikasi Kelemahan (Vulnerability Identification)
Menurut Sarno & Iffano (2009) vulnerability adalah kekurangan
atau kelemahan di dalam prosedur keamanan informasi, perencanaan,
implementasi atau kontrol internal di dalam organisasi terhadap
39
penjagaan informasi yang dimiliki, dimana kelemahan ini dapat
menimbulkan atau memicu ancaman (threat). Tujuan utama dari tahap
ini adalah organisasi memahami kelemahan yang dimiliki dalam Sistem
Manajemen Keamanan Informasi-nya. Tabel berikut memberikan contoh
gambaran daftar kelemahan yang mungkin dimiliki oleh organisasi.
Tabel 2. 2 Identifikasi Kelemahan (Sarno & Iffano, 2009)
Kelemahan (Vulnerability) Sumber Ancaman Aksi
Akses ID Karyawan yang telah berhenti
tidak dihapus dari system
Karyawan yang telah
berhenti
Aksi tanpa hak,
illegal
Administrator firewall membolehkan
guest ID
User tanpa hak
(unauthorized)
Aksi illegal
Ruang server menggunakan
penyemprot air untuk menghindari
kebakaran, tidak ada pelindung atau anti
air yang digunakan untuk untuk server
Api, orang yang iseng Penyemprot air
dapat menyala
secara tak terduga
Metode yang digunakan untuk menentukan kelemahan pada
sistem di organisasi dapat berupa pencarian sumber-sumber kelemahan
(vulnerability source), pengujian sistem keamanan (system security
testing), maupun membuat daftar kebutuhan keamanan (security
requirement check list) (Sarno & Iffano, 2009).
a. Mencari sumber-sumber kelemahan
Sumber-sumber kelemahan dapat ditemukan dengan menganalisasi
data-data berikut:
- Data teknik sistem teknologi Informasi yang digunakan
- Data kelemahan sistem software yang digunakan (dapat dilihat
dalam buku panduan yang disertakan oleh vendor)
- Dokumentasi analisa risiko
40
b. Uji sistem keamanan
Uji sistem keamanan dapat dilakukan dengan cara metode pro aktif
artinya sistem keamanan di uji secara langsung untuk menemukan
kelemahan. Cara lain adalah dengen melakukan testing atau uji
kepada seluruh pengguna sistem, apakah pengguna dapat mengakses
sistem melebihi dari yang dibolehkan dari hasil tersebut akan
ditemukan kelemahan sistem.
c. Membuat daftar kebutuhan keamanan
Berdasar daftar kebutuhan keamanan yang telah dibuat kemudian
dibandingkan dengan sistem keamanan yang telah ada, perbedaan
antara kebutuhan keamanan dan sistem keamanan yang ada dapat
ditentukan kelemahan sistem keamanan yang ada. Contoh mengenai
daftar tersebut dapat dilihat pada table di bawah ini.
Tabel 2. 3 Daftar Kebutuhan Keamanan (Sarno & Iffano, 2009)
Area Keamanan Kebutuhan Keamanan
Manajemen Kontrol akses, Manajemen aset, Penilaian risiko, Keamanan
organisasi dan lainnya
Operasional Manajemen operasional, Komunikasi, Manajemen
kelangsungan bisnis dan lainnya
Teknik Keamanan fisik, Pembangunan sistem informasi, Keamanan
SDM dan lainnya.
2.13.4 Menentukan Kemungkinan Ancaman (Probability of Threat)
Tujuan dari tahapan ini adalah mengetahui kemungkinan
ancaman yang akan timbul sesuai dengan identifikasi ancaman yang
telah didefinisikan, yaitu baik ancaman dari alam, lingkungan ataupun
manusia. Metode untuk menentukan kemungkinan ancaman yang timbul
41
dapat dilakukan dengan menyusun sebuah tabel kemungkinan ancaman
yang diistilahkan dengan table Probability of Occurrence (Sarno &
Iffano, 2009). Tabel tersebut terdiri dari:
a. Jenis Ancaman
Jenis ancaman mengacu kepada ancaman yang telah
diidentifikasikan pada tahap sebelumnya. Misalnya: alam,
lingkungan, atau manusia.
b. Detail Ancaman
Penjelasan ancaman yang bisa terjadi, misalnya: kebakaran,
kegagalan sumber daya, hacker, serangan virus, dsb.
c. Nilai Kemungkinan kejadian
Penjelasan berapa kali (frekuensi) terjadinya ancaman, hal ini bisa
ditentukan berdasarkan riwayat kejadian ancaman sebelumnya.
Atau bisa juga ditentukan berdasarkan pengamatan kondisi/jenis
ancaman (alam, lingkungan, dan manusia) dan kita tentukan
kemungkinan kejadiannya. Nilai kemungkinan kejadian ini dapat
diniliai secara kualitatif, yaitu misalnya:
LOW = Frekuensi kejadiannya rendah
MEDIUM = Frekuensi kejadiannya sedang
HIGH = Frekuensi kejadiannya tinggi
2.13.5 Analisa Dampak (Impact Analysis)
Menurut Sarno & Iffano (2009) analisa dampak adalah kegiatan
untuk menentukan seberapa besar dampak atau pengaruhnya suatu risiko
42
yang diakibatkan oleh ancaman (threat) atau kelemahan (vulnerability)
terhadap organisasi atau jalannya proses bisnis organisasi. Jika analisa
dampak ditujukan atau difokuskan kepada proses bisnis organisasi di
istilahkan dengan analisa dampak bisnis yang disingkat dengan Business
Impact Analysis (BIA). Dampak biasanya dinilai dalam suatu kriteria
dampak yang dapat dihubungkan dengan nilai risiko.
Tabel 2. 4 Analisa Dampak (Sarno & Iffano, 2009)
Risiko Nilai BIA Keterangan
LOW Minor Critical Tidak mengganggu jalannya proses bisnis,
nilai kerugian kecil
MEDIUM Critical Mengganggu jalannya proses bisnis, nilai
kerugian besar
HIGH Mayor Critical Proses bisnis terhenti, nilai kerugian sangat
besar
2.13.6 Menentukan Nilai Risiko
Nilai risiko (risk value) adalah gambaran dari seberapa besar
akibat yang akan diterima organisasi jika ancaman (threat) yang
menyebabkan kegagalan keamanan informasi terjadi. Nilai risiko dapat
ditentukan dengan dua metode, antara lain:
a. Metode kualitatif
Dilakukan dengan membuat perkiraan terhadap biaya yang akan
ditanggung atau dikeluarkan oleh organisasi akibat dari risiko yang
diterima. Nilai risikonya biasanya ditentukan dengan range:
a. LOW RISK (Risiko yang diterima kecil)
b. MEDIUM RISK (Risiko yang diterima sedang)
c. HIGH RISK (Risiko yang diterima tinggi)
43
b. Metode kuantitatif
Metode kuantitatif adalah metode penilaian risiko dengan
pendekatan matematis. Dengan metode ini nilai risiko dapat dihitung
dengan menggunakan rumus berikut.
Perhitungan nilai risiko dengan pendekatan matematis.
Risk value = NA x BIA x NT
Keterangan:
NA = Nilai aset (asset value)
BIA = Analisa dampak bisnis
NT = Nilai ancaman
Manajemen risiko adalah proses pengidentifikasian,
penganalisaan, dan penanganan terhadap risiko yang ada pada organisasi.
Manajemen risiko terdiri dari pengidentifikasian informasi, ancaman dan
kelemahan, dampak terhadap bisnis serta penilaian dari risiko. Risiko
memiliki keterkaitan dengan sistem manajemen keamanan informasi yang
mempengaruhi aspek confidentiality, integrity, dan availability. Adapun
tahapan pada penilaian risiko yaitu:
- Identifikasi informasi, tahapan ini mengidentifikasi aset yang
dimiliki organisasi khususnya fasilitas informasi (pengkategorian
aset);
44
- Identifikasi ancaman, tahapan ini mengidentifikasi potensi atau
insiden yang dapat membahayakan proses bisnis organisasi
(misalnya alam, lingkungan, manusia);
- Identifikasi kelemahan, tahapan ini mengidentifikasi kelemahan
dari perencanaan, prosedur, dan pelaksanaan keamanan informasi
pada organisasi;
- Menentukan kemungkinan ancaman;
- Analisa dampak;
- Menentukan nilai risiko.
2.6 Manajemen Sumber Daya Manusia
2.6.1 Pengertian Manajemen Sumber Daya Manusia
Manajemen sumber daya manusia adalah salah satu bidang dari
manajemen yang meliputi perencanaan, pengorganisasian, pelaksanaan,
dan pengendalian (Mulyadi & Rivai, 2009). Proses ini memiliki fungsi
pada bagian produksi, pemasaran, keuangan, maupun kepegawaian. Oleh
karena itu, sumber daya manusia (SDM) dianggap semakin penting
dalam pencapaian tujuan perusahaan, berbagai pengalaman dan hasil
penelitian dalam bidang SDM dikumpulkan secara sistematis dan disebut
manajemen sumber daya manusia.
Dessler (2015) manajemen sumber daya manusia adalah proses
untuk memperoleh, melatih, menilai, dan mengompensasi karyawan dan
45
mengurus relasi tenaga kerja, kesehatan dan keselamatan, serta hal-hal
yang berhubungan dengan keadilan.
2.6.2 Peranan Manajemen Sumber Daya Manusia
Menurut Hasibuan (2001) peranan manajemen sumber daya
manusia adalah sebagai berikut:
1. Menetapkan jumlah, kualitas dan penempatan tenaga kerja yang
efektif sesuai dengan kebutuhan perusahaan berdasarkan job
description, job spesification, job reqruitment, dan job
evaluation.
2. Menetapkan penarikan, penyeleksian, dan penempatan
karyawan berdasarkan asas the right man in the right place and
the right man in the right job.
3. Menetapkan program kesejahteraan, pengembangan, promosi,
dan pemberhentian.
4. Meramalkan penawaran dan permintaan sumber daya manusia
pada masa yang akan datang.
5. Memperkirakan keadaan perekonomian pada umumnya dan
perkembangan perusahaan pada khususnya.
6. Memonitor dengan cermat undang-undang perburuhan dan
kebijakan pemberian balas jasa perusahaan sejenis.
7. Memonitor kemajuan teknik dan perkembangan serikat pekerja.
8. Melaksanakan pendidikan, pelatihan, dan penilaian kinerja
karyawan.
46
9. Mengatur mutasi karyawan baik vertikal maupun horizontal.
10. Mengatur pensiun, pemberhentian, dan pesangonnya.
Berdasarkan teori-teori diatas diketahui bahwa manajemen
sumber daya manusia adalah kegiatan yang meliputi perencanaan,
pelaksanaan (perekrutan, penyeleksian, pemeliharaan), pengendalian
(pelatihan, penilaian) yang berhubungan dengan pengurusan terhadap
pegawai dan juga keadilan untuk mereka.
Manajemen sumber daya manusia memiliki fungsi yang terbagi
menjadi dua yaitu manajerial dan operasional. Fungsi manajerial
menangani perencanaan, pengorganisasian, pengarahan, pengendalian
sedangkan fungsi operasional menangani bagian pengadaan,
pengembangan, kompensasi, pengintegrasian, pemeliharaan, kedisiplinan
dan pemberhentian.
2.7 Manajemen Aset
2.7.1 Pengertian Aset
Aset adalah barang (thing) atau barang (anything) yang
mempunyai nilai ekonomi, nilai komersial, atau nilai tukar yang dimiliki
oleh badan usaha, instansi atau individu (Siregar, 2004).
Menurut Siregar (2004) peran konsep manajemen aset dalam
rangka pemberdayaan ekonomi daerah tercantum dalam enam langkah
manajemen aset daerah yaitu: (1)Identifikasi potensi ekonomi daerah;
(2)Optimalisasi pendapatan asli daerah; (3)Optimalisasi aset daerah;
47
(4)Peningkatan kemampuan manajemen pengelolaan kota; (5)Penilaian
kekayaan; (6)Pengembangan strategi pemasaran kota.
2.7.2 Pengertian Manajemen Aset
Manajemen aset adalah serangkaian keputusan untuk mengelola
kekayaan secara optimal, yaitu meminimalisasi biaya kepemilikan,
memaksimalisasi ketersediaan dan penggunaan aset melalui proses
perencanaan kebutuhan, pengadaan, inventarisasi, kepemilikan/legal
audit, penilaian, pengoperasian, pemeliharaan, penghapusan,
peremajaan, pengalihan, serta pengawasan aset untuk mendukung tujuan
organisasi dalam melayani masyarakat dengan sebaik-baiknya dan ramah
lingkungan (Kusumastuti dan Sugiama, 2014).
Menurut Siregar (2004) manajemen aset secara umum, yaitu
optimizing the utilization of assets in terms of services benefit and
financial return.
Gambar 2. 14 Manajemen Aset (Kusumastuti dan Sugiama, 2014)
48
Berikut ini adalah tujuan manajemen aset sebagai berikut
(Kusumastuti dan Sugiama, 2014).
1. Menyediakan layanan yang dibutuhkan organisasi publik,
pemerintah, dan masyarakat.
2. Optimalisasi potensi layanan yang dihasilkan oleh aset.
3. Maksimalisasi nilai aset
4. Kontribusi pada pertumbuhan ekonomi
5. Memenuhi tanggung jawab dan akuntabilitas
6. Kejelasan kepemilikan dan kontrol atas aset
Manajemen aset adalah kegiatan mengelola aset yang dimiliki
organisasi meliputi pengidentifikasian aset, dana, perolehan aktiva,
dukungan sistem logistik, pemeliharaan dan penghapusan atau pembaruan
terhadap aset.
2.8 Kontrol Akses
2.8.1 Pengertian Kontrol Akses
Menurut Rao dan Nayak (2014) kontrol akses merupakan aspek
penting pada keamanan informasi, yang dapat diimplementasikan
dengan berbagai cara tergantung pada lingkungannya . Kontrol akses
terdiri dari dua kompenen yaitu otentikasi dan otorisasi. Otentikasi
adalah memverifikasi identitas pengguna atau sebuah host yang
mengakses sistem atau sumber jaringan. Tujuan dari otentikasi adalah
memastikan darimana dan bagaimana sumber diakses (seperti dari
49
komputer pribadi atau komputer umum) atau pada waktu jam kerja atau
setelahnya. Otorisasi adalah mengizinkan atau menolak akses informasi
berdasarkan jenis pengguna dan peran (role) mereka (pegawai,
kontraktor, administrator atau manajer) (Rao dan Nayak, 2014).
Penggunaan kontrol akses dilakukan untuk memastikan bahwa
orang yang berhak saja yang dapat mengakses informasi tersebut, dan
akan memberikan kemampuan untuk mendikte informasi yang mana saja
boleh dilihat ataupun dimodifikasi oleh pengguna (Linares, 2010).
Berdasarkan penjelasan diatas diketahui bahwa kontrol akses
adalah pembatasan akses pengguna berdasarkan otentikasi dan otorisasi
yang telah ditetapkan sistem. Dimana pengguna akan diotentikasi
terlebih dahulu apakah berasal dari jaringan atau sumber yang aman
kemudian dilanjutkan dengan otorisasi yaitu sistem membaca peran dari
pengguna yang masuk.
2.9 Keamanan Fisik dan Lingkungan
Keamanan fisik mengacu pada penilaian dari perlindungan yang
diterapkan pada lingkungan fisik dan infrastruktur yang di dalamnya
terdapat sumber daya sistem informasi, termasuk perangkat keras,
perangkat lunak, dan perangkat jaringan lainnya yang mencegah ancaman
seperti pencurian, kebakaran, kebanjiran, dan lainnya (Rao & Nayak,
2014).
50
Tabel 2. 5 Ancaman Keamanan Berdasarkan Segitiga CIA (Rao & Nayak, 2014)
Ancaman Deskripsi
Kerusakan fisik Availability
Pencuri Confidentiality dan Availability
Masuk tanpa izin ke fasilitas Confidentiality dan Integrity
Bencana alam (kebakaran, banjir,
gempa bumi, dan lainnya)
Availability
Campur tangan manusia (sabotase,
perusakan, penyerangan)
Confidentiality dan Availability
Keadaan darurat (kebakaran, asap,
gedung rubuh/hancur, ledakan,
kebocoran air, bahan racun)
Availability
Keamanan fisik teknologi informasi harus diberikan untuk
melindungi sistem komputer dan sistem teknologi informasi lainnya
seperti (Rao & Nayak, 2014):
- Kerusakan fisik perangkat keras atau perangkat lunak dari aksi
sabotase, pencurian, akses tanpa izian (ilegal) ke ruang server atau
komputer, atau laboratorium dengan niat merusak aset fisik;
- Pencurian secara fisik seperti pada peralatan, sistem atau aksesoris
(perangkat pendukung) lainnya;
- Membawa perangkat penyimpanan secara personal dan memasukkan
virus, worms, dan malicious software lainnya ke dalam jaringan
dipercaya.
Terdapat beberapa area kontrol keamanan fisik yang secara
umum harus dengan ancaman yang terdaftar. Kontrol keamanan fisik
dibagi menjadi tiga kelompok yaitu kontrol administratif, kontrol
lingkungan dan keamanan hidup, serta kontrol fisik dan teknis (Winata,
2012).
51
2.9.1 Kontrol Administratif
Menurut Winata (2012) kontrol administratif adalah area
perlindungan keamanan fisik yang dilakukan dengan langkah-langkah
administratif, yang mencakup prosedur emergensi, kontrol personil
(dalam area sumber daya manusia), perencanaan, dan penerapan
kebijakan.
2.9.2 Kontrol Lingkungan dan Keselamatan Hidup
Menurut Winata (2012) kontrol lingkungan dan keselamatan
hidup merupakan kontrol keamanan fisik yang dibutuhkan untuk
menjamin lingkungan operasi komputer dan lingkungan operasi personil.
Berikut adalah area utama pada kontrol lingkungan (Winata, 2012).
a. Daya listrik
Sistem kelistrikan adalah hal yang penting bagi pengoperasian
komputer. Suplai listrik kontinyu yang bersih dan stabil
dibutuhkan untuk memelihara lingkungan personil layak dan
pengoperasian data.
b. Pendeteksian dan Pemadaman Kebakaran
Pendeteksian dan pemadaman kebakaran yang baik diperlukan
untuk keselamatan dan keberlangsungan sistem informasi.
Seperti jenis kebakaran, bahan-bahan yang mudah terbakar,
detektor dan metode pemadaman api harus diketahui.
52
2.9.3 Kontrol Fisik dan Teknis
Menurut Winata (2012) area yang meliputi kontrol lingkungan,
perlindungan kebakaran, daya listrik, penjaga, dan kunci. Elemen-
elemen kontrol dibahas sebagaimana kaitannya dengan area kebutuhan
kontrol fasilitas, perangkat kontrol akses fasilitas, pendeteksian
penyusupan dan alarm, kontrol inventori komputer, kebutuhan media
storage.
Diketahui keamanan fisik dan lingkungan adalah upaya
perlindungan yang diterapkan organisasi untuk melindungi aset fisik
yang dimilikinya. Terdapat tiga kontrol fisik dan lingkungan yaitu
kontrol administratif, kontrol lingkungan dan keselamatan hidup, dan
kontrol fisik dan teknis.
2.10 Manajemen Insiden
Manajemen insidem memiliki fase-fase dalam menangani
masalah dan dilakukan secara rinci dan terdokumentasi untuk menentukan
suatu insiden dianggap selesai atau dilanjutkan ke tahapan fase yang lebih
tinggi dalam esklasi insidennya (Jong et al., 2008).
2.10.1 Prinsip Dasar Manajemen Insiden
Manajemen insiden adalah proses yang bertanggung jawab untuk
mengelola siklus insiden. Insiden dapat diketahui oleh staf teknis,
terdeteksi dan alat pantau yang disediakan, laporan dari pengguna
(biasanya melalui panggilan telepon ke service desk), atau dilaporkan
53
oleh mitra pihak ketiga seperti ISP, Hosting dan lainnya (Abdulghani,
2015).
Tujuan dari manajemen insiden adalah untuk mengembalikan
operasi layanan normal secepat mungkin dan meminimalkan dampak
buruk terhadap operasi bisnis, sehingga memastikan bahwa tingkat
kualitas layanan dipertahankan (Abdulghani, 2015).
2.10.2 Proses Manajemen Insiden
Cakupan proses kegiatan yang harus dilakukan selama masih
melakukan proses manajemen insiden dan berikut cakupan langkah-
langkah dalam manajemen insiden (Jong et al., 2008):
a) Identifikasi Insiden
Dalam pekerjaan, insiden tidak bisa diterima dan harus segera
ditangani apalagi sampai berdampak terhadap proses bisnis.
Sehingga sejauh mungkin kegagalan operasi tidak terjadi, semua
komponen harus dilakukan pemantauan, atau potensi kegagalan
harus terdeteksi lebih awal.
b) Pencatatan Insiden
Semua insiden sepenuhnya harus tercatat dalam manajemen
insiden dengan memiliki tanggal, waktu dan termasuk yang
diterima oleh service desk yang dilaporkan melalui telepon dan
short message service (sms) sehingga otomatis terdeteksi melalui
pesan peringatan.
54
c) Pengkategorian Insiden
Dalam kategorisasi insiden untuk lebih tepat saat pencatatan
insiden, sehingga tidak salah saat merekomendasikan saat
penanganan. Dalam pengkategorisasian masalah ini akan
berkembang saat terjadinya insiden, sehingga hal ini dilakukan
Multilevel incident categorization.
Gambar 2. 15 Multilevel incident categorization (Jong et al., 2008)
d) Prioritas Insiden
Tabel 2. 6 Prioritas Insiden (Jong et al., 2008)
Setelah melakukan pengelompokkan insiden dan mengerti
keadaan saat ini tinggal menentukan cara menangani insiden
yang paling efisien dan paling tepat. Untuk menentukan suatu
ketepatan tindakan ini lakukan suatu analisa prioritasisasi
seperti pengkodean. Prioritas ini dilakukan jika terjadi:
55
1. Layanan tidak tersedia atau rusak selama satu jam;
2. Fungsi layanan berubah atau berbeda.
e) Insiasi Diagnosis
Jika service desk tidak bisa menyelesaikan Insiden sementara
pengguna masih di telepon, tapi ada prospek bahwa service desk
mungkin mampu melakukannya dalam batas waktu yang
disepakati tanpa bantuan dari tim pendukung lain, analis harus
menginformasikan kepada pengguna dengan memberikan nomor
laporan insiden dan berupaya untuk menemukan resolusi.
Selanjutnya penelpon dapat mengetahui perkembangan resosuli
dengan memberikan nomor pengaduan.
f) Eskalasi Insiden
Setelah service desk tidak bisa menangani insiden maka di
perlukan peningkatan terhadap tim pendukung yang lebih ahli
dan trampil. Service desk tetap bertanggung jawab terhadap
kemajuan hingga penutupan insiden.
g) Investigasi dan Diagnosis
Sebuah insiden cenderung membutuhkan beberapa tingkat
penyelidikan dan diagnosis. Setiap pendukung memberikan
catatan secara rinci dan tindakan yang sudah di lakukan dan
harus didokumentasikan sehingga catatan tindakan akan
dijadikan suatu referensi.
56
h) Resolusi dan Recovery
Ketika resolusi potensial telah diidentifikasi,ini harus
diterapkan dan diuji. Spesifik tindakan yang harus dilakukan
dan orang-orang yang akan terlibat yang bisa di lakukan oleh:
1. Menanyakan langsung ke user apakah resolusi sudah bisa
di terima atau belum.
2. Service desk melakukan implementasi resolusi seperti
reboot komputer
3. Menerapkan tindakan resolusi yang spesifik seperti
merubah konfigurasi router.
4. Meminta pihak ketiga (seperti vendor) untuk mencoba dan
menyelesaikan masalah.
i) Incident Closure
Service Desk harus melakukan tindakan pemeriksaan kemajuan
insiden sepenuhnya selesai dan insiden bisa ditutup dengan
melakukan suatu tindakan berupa:
1. Closure categorization, periksa dan konfirmasi bahwa
insiden kategorisasi awal adalah benar atau,
memperbaharui/melengkapai catatan di mana kategorisasi
yang tidak lengkap;
2. User satisfaction survey, melakukan survei kepuasan
terhadap penanganan insiden;
57
3. Incident documentation, melengkapi dan memastikan
bahwa catatan insiden sepenuhnya didokumentasikan
sehingga catatan riwayat kejadian dengan cukup detail dan
lengkap;
4. Ongoing or recurring problem, dalam tahapan ini
berhubungan dengan pelaku penyelesaian masalah untuk
menentukan insiden ini akan timbuil lagi atau tidak, atau
harus ada tindakan penanganan antisipasi;
5. Formal closure, secara resmi menutup catatan insiden.
2.10.3 Faktor-faktor Keberhasilan Manajemen Insiden
Berikut ini adalah faktor-faktor yang menentukan keberhasilan
dari manajemen insiden (Open Geospatial Consortium, 2014):
- Adanya layanan Service Desk yang baik
- Target jelas dan didefinisikan ke dalam Service Level
Agreement (SLA);
- Memberikan pengetahuan terkait aspek layanan teknologi
informasi dan pemahaman customer oriented kepada staf
atau pegawai.
Dari teori-teori diatas manajamen insiden adalah proses
penanganan secara cepat dan tepat terhadap tindakan yang menyebabkan
gangguan pada layanan operasional. Dimana tanggung jawab dan tugas
dari manajemen insiden adalah mengendalikan efisiensi layanan,
58
mengkoordinasi staf incident support, dan mendeteksi adanya problem
pada layanan.
2.11 Compliance atau Kepatuhan
Individu melakukan permintaan yang diajukan karena individu
berharap untuk mendapatkan suatu penghargaan yang spesifik dan
menghindari suatu hukuman spesifik (Cialdini & Goldstein, 2004). Teori
kepatuhan (compliance theory) merupakan kondisi dimana seseorang
taat terhadap perintah atau aturan yang diberikan (Sulistyo, 2010).
Dari penjelasan diatas diketahui compliance atau kepatuhan
adalah perubahan perilaku karena adanya permintaan dari individu atau
kelompok lain. Dimana jika dalam suatu organisasi compliance berfungsi
untuk menyesuaikan permintaan dari internal dan eksternal organisasi.
2.12 Framework Sistem Manajemen Keamanan Informasi
2.12.1 British Standard (BS) 7799
British Standard (BS) 7799 adalah sebuah standar yang aslinya
diperkenalkan oleh British Standard Institution (BSI) Group pada tahun
1995 (BS 7799, 2007). Bagian pertama, terdiri dari praktik terbaik untuk
SMKI, yang direvisi pada tahun 1998, yang sebenarnya mengadopsi
ISO/IEC 17799, “Information Technology-Code of practice for
information security management”. Bagian kedua dari BS 7799 adalah
pertama kali diperkenalkan tahun 1999 oleh BSI, yang dikenal sebagai BS
59
7799 Part, berujudul “Information Security Management Systems –
Specification with guidance for use”, BS 7799-2 berfokus kepada
bagaimana menerapkan SMKI, mengacu kepada struktur manajemen
keamanan informasi dan identifikasi kontrol, yang kemudian menjadi
ISO/IEC 27001. BS 7799-2 versi tahun 2002 memperkenalkan Plan-Do-
Check-Act (PDCA) (Deming quality assurance model), berdasarkan
standar kualitas pada ISO/IEC 9000. BS 7799 Part 2 mengadopsi ISO/IEC
27001 pada Nopember 2005 (BS 7799, 2002).
Gambar 2. 16 Komponen BS 7799 (British Standard 7799, 2002)
Berdasarkan penjabaran dan gambar diatas diketahui BS 7799
adalah standar yang berfokus pada penerapan SMKI yang mengacu pada
struktur manajemen keamanan informasi. Adapun komponen dari BS 7799
adalah (1) Keamanan fisik (physical security); (2) Keamanan komunikasi
dan operasi (communication and operational security); (3) Kontrol akses
(access control); (4) Sistem informasi (information systems); (5)
Perolehan, pengembangan dan pemeliharaan (acquistion, development
60
and maintenance); (6) Manajemen insiden (incidental management); (7)
Kelangsungan bisnis (business continuity); (8) Penyesuaian (compliance).
2.12.2 The Payment Card Industry Data Security Standard (PCIDSS)
The Payment Card Industry Data Security Standard (PCIDSS)
adalah sebuah standar keamanan informasi di seluruh dunia yang
didefinisikan oleh the Payment Card Industry Security Standard Council.
Standar ini dibuat untuk membantu proses pembayaran kartu dari industri
organisasi dan untuk mencegah penipuan pada kartu kredit melalui
meningkatnya kontrol pada data dan paparan kompromi. Standar berlaku
untuk semua organisasi yang memegang, memproses, atau bertukar
informasi pemegang kartu dari kartu apapun yang bermerek dengan logo
salah satu merek kartu (PCI Security Standard Council, 2009).
Gambar 2. 17 Transaction security models of PCIDSS (Susanto, 2011)
Validasi kepatuhan dapat dilakukan baik secara internal maupun
eksternal, tergantung pada volume transaksi kartu, tetapi terlepas dari
ukuran organisasi, kepatuhan harus dinilai setiap tahun. Organisasi yang
menangani transaksi volume besar harus memiliki kepatuhan yang dinilai
oleh penilai independen yang disebut Qualified Security Assessor (QSA)
(Susanto, 2011), sementara perusahaan yang menangani transaksi dengan
61
volume lebih kecil memiliki opsi atau pilihan untuk menunjukkan
kepatuhan melalui sebuah Self-Assessment Questionnaire (SAQ).
Gambar 2. 18 PCI Security Standards Lifecycle (PCI Security Standard Council, 2011)
Dari teori diketahui Payment Card Industry Data Security
Standard (PCIDSS) adalah standar yang dapat digunakan untuk
melindungi transaksi kartu pembayaran seperti kartu kredit dan mencegah
terjadinya penipuan dan ancaman lainnya.
2.12.3 The Information Technology Infrastructure Library (ITIL)
Menurut Arraj (2010) dengan panduan ITIL proses layanan
manajemen telah menunjukan dorongan secara konsisten, efisien dan
sempurna ke dalam bisnis dengan mengatur layanan teknologi informasi.
The Information Technology Infrastructure Library (ITIL) adalah
konsep yang digabungkan pada tahun 1980an, ketika pemerintahan Inggris
menentukan level kualitas layanan teknologi informasi yang disediakan
mereka tidak cukup (Susanto, 2011). ITIL adalah sebuah seperangkat
konsep dan praktis dari manajemen layanan teknologi informasi atau
62
dikenal Information Technology Services Management (ITSM),
pengembang dan pengoperasi Information Technology (IT), yang
memiliki bagian fokus pada keamanan.
Gambar 2. 19 Komponen ITIL (Susanto, 2011)
ITIL berasal dari koleksi buku yang masing-masing mencakup
praktik khusus di dalamnya IT Service Management, ITIL dibangun
dengan lingkungan sebuah model proses berdasarkan sudut pandang
pengendalian dan pengelolaan operasi (Solms, 2005). Sebagai IT Services
Management Standards and Best Practices, ITIL memiliki 8 komponen
utama, yaitu: Service Support, Service Delivery, ICT Infrastructure
Management, Security Management, Application Management, Software
Asset Management, Planning to Implement Service Management, Small-
Scale Implementation (Susanto, 2011).
Dari penjelasan diatas diketahui bahwa the information
technology infrastructure library (ITIL) dapat digunakan pada
information technology service management (ITSM) untuk meningkatkan
manajemen layanan pada sebuah organisasi dan membantu dalam
63
menyelaraskan teknologi informasi dengan kebutuhan bisnis, stakeholder,
dan peranan teknologi informasi.
2.12.4 The Control Objectives for Information and related Technology
(COBIT)
The Control Objectives for Information and related Technology
(COBIT) adalah sebuah sertifikasi yang dibuat oleh ISACA dan the IT
Governance Institute (ITGI) pada tahun 1996 (IT Governance Institute,
2007). Mereka yakin bahwa COBIT adalah seperangkat praktis (kerangka
kerja) untuk manajemen teknologi informasi. COBIT adalah kerangka
kerja untuk tata kelola teknologi informasi dan perangkat pendukung yang
mengizinkan manajer untuk menjembatani perbedaan atau selisih antara
kebutuhan kontrol, permasalahan teknikal, risiko bisnis, dan permasalahan
keamanan. COBIT memiliki lima area tata kelola dan konsentrasi (ISACA,
2012):
a. Penyelarasan strategis berfokus menjamin kesesuaian bisnis dengan
rencana teknologi informasi; mendefinisikan, memelihara dan
memvalidasi proporsi nilai teknologi informasi; dan keselarasan
operasi teknologi informasi dengan operasi perusahaan.
b. Menghasilkan Nilai adalah tentang mengeksekusi proporsi nilai
melalui siklus pengiriman, menjamin teknologi informasi
menghasilkan keuntungan sesuai perjanjian, konsentrasi pada
optimalisasi biaya dan membuktikan nilai intristik teknologi
informasi.
64
c. Manajemen Sumber Daya adalah mengenai mengoptimalkan
investasi dan manajemen yang layak untuk sumber daya teknologi
informasi: penerapan atau aplikasi, informasi, infrastruktur dan
manusianya.
d. Manajemen Risiko adalah pemahaman yang jelas untuk keinginan
perusahaan terkait risiko, paham akan pemenuhan dari kebutuhan, dan
transparansi di dalam organisasi.
e. Pengukuran Kinerja menelusuri dan mengawasi penerapan strategi,
kelengkapan projek, penggunaan sumber daya, kinerja proses, dan
hasil layanan, contohnya pada balanced scorecards yang menjelaskan
aksi strategi ke dalam aksi untuk mencapai tujuan sesuai dengan
laporan.
Gambar 2. 20 Framework COBIT 5 (ISACA, 2012)
Berdasarkan penjelasan diatas diketahui COBIT merupakan
kerangka kerja yang dapat digunakan oleh manajemen teknologi
65
informasi, dimana dapat menjembatani manajer mengetahui perbedaan
kebutuhan kontrol, permasalahan teknikal, risiko bisnis, dan permasalahan
keamanan.
2.12.5 ISO/IEC 27001
The International Organization for Standarization (ISO)
ditemukan pada 23 Februari 1947, mengumumkan standar industri dan
komersial yang berlaku di seluruh dunia, memiliki kantor pusat di Jenewa,
Swiss (Murphy and Yates, 2009). Standar internasional ISO/IEC 27001
digunakan untuk menentukan, menerapkan, mengoperasikan, mengawasi,
meninjau, memelihara dan meningkatkan kebijakan dan dokumen sistem
manajemen keamanan informasi (SMKI) berdasarkan kebutuhan
organisasi (ISO/IEC 27001, 2005).
Calder dan Watkins (2008) ISO/IEC 27001 dirancang untuk
menjamin pemilihan tepat dan proporsi kontrol keamanan untuk
melindungi aset informasi. Standar ini biasanya diterapkan ke semua tipe
organisasi, baik itu organisasi pribadi ataupun milik negara (publik).
Standar ini memperkenalkan sebuah siklus yang dikenal dengan model
“Plan-Do-Check-Act” (PDCA). Tujuan dari model ini adalah untuk
menentukan, menerapkan, mengawasi, dan meningkatkan keefektifitasan
SMKI organisasi (Alfantookh, 2009).
Menurut Calder dan Watkins (2009) organisasi membutuhkan
pengawasan dan peninjauan terhadap keefektifitasan dari kinerja SMKI
jika dibutuhkan untuk menjamin pemeliharaan yang tepat pada level
66
perlindungannya. ISO/IEC 27001 adalah standar keamanan informasi
berdasarkan risiko, dengan maksud adalah organisasi membutuhkan
proses manajemen risiko (Solms, 2005). Yang diilustrasikan pada gambar
dibawah ini.
Gambar 2. 21 Proses Manajemen Risiko (Humprey, 2011)
Kontrol keamanan sistem, referensi berdasarkan ilustrasi di atas,
yang dipilih dari katalog kontrol, yang terhubung dengan Annex A
ISO/IEC 27001. Dimana penentuan SMKI organisasi membutuhkan
melakukan penilaian risiko sesuai dengan kebutuhan yang dikhususkan
pada ISO/IEC 27001. Setelah penilaian dilakukan maka sistem kontrol
harus dipilih dari Annex A untuk mengurangi seperangkat identifikasi
risiko yang teridentifikasi (Humphreys, 2011).
Dari penjelasan diatas diketahui bahwa standar ISO/IEC 27001
telah diterima dan digunakan oleh banyak negara. Standari ISO/IEC 27001
dapat digunakan oleh pihak manajemen dalam membuat kebijakan
67
keamanan terkait teknologi informasi baik dari sisi perangkat keras,
perangkat lunak, penggunanya, dan hal terkait dengan teknologi informasi.
2.12.6 ISO/IEC 27002
Kode standar praktis ISO/IEC 27002 menyediakan pengguna dan
pelaksana dan panduan tentang penerapan kontrol yang muncul di Annex
A. Saran dan panduan tersedia dalam standar lain di keluarga SMKI seperti
panduan dalam manajemen risiko (ISO/IEC 27005) dan pada pengukuran
keamanan (ISO/IEC 27004) (Humphreys, 2011).
Standar internasional ini menyediakan seperangkat praktis
terbaik kontol keamanan informasi bersama dengan saran penerapannya
untuk masing-masing kontrol. Kontrol praktis terbaik mencakup
pendukung SMKI, yaitu: kebijakan keamanan informasi; mengelola
keamanan informasi; manajemen aset; keamanan sumber daya manusia;
keamanan fisik dan lingkungan; manajemen operasi dan komunikasi;
kontrol akses; perolehan, pengembangan dan pemeliharaan sistem
informasi; manajemen kejadian keamanan informasi; manajemen
keberlanjutan bisnis; pemenuhan dengan kebutuhan peraturan dan standar
keamanan (Humphreys, 2011).
68
Gambar 2. 22 ISO/IEC 27002 (Alcazar dan Fenz, 2012)
Dapat diketahui standar ISO/IEC 27002 adalah standar yang
dapat digunakan sebagai panduan dalam menjalankan kegiatan rutin atau
operasional organisasi, sehingga tetap stabil dan terkontrol keamanan
informasinya.
2.12.7 Perbandingan Standar Tata Kelola Keamanan Teknologi Informasi
Menurut Susanto et al (2011) tata kelola keamanan teknologi
informasi memiliki beberapa standar yang digunakan untuk pengukuran
atau pengevaluasian. Adapun standar tersebut digunakan pada ISO/IEC
27001, BS 7799, PCIDS, ITIL, dan COBIT. Terdapat sebelas (11) kriteria
yang dimiliki oleh standar tata kelola keamanan teknologi informasi, yaitu:
69
1. Information Security Policy, merupakan kriteria keamanan terkait
kebijakan dari keamanan informasi yang akan dan sedang
diterapkan pada sebuah organisasi.
2. Communication & Operations Management, merupakan kriteria
terkait cara menurunkan risiko keamanan dan memastikan
penghitungan yang tepat serta prosedur operasional yang baik.
3. Access Control, merupakan kriteria terkait penerapan
pengendalian akses kontrol terhadap wilayah dan sumber daya
melalui suatu fasilitas atau sistem informasi berbasis computer.
4. Information System Acquisition, Development and Maintance,
merupakan proses yang terhubung dan menunjukkan batasan
pemeliharaan terkait sistem informasi pada sebuah org.
5. Organization of Information Security, merupakan cara organisasi
menerapkan struktur keamanan informasi, yang terdiri dari
komitmen manajemen pada keamanan informasi dan
pengkoordinasiannya.
6. Asset Management, merupakan cara organisasi mengamankan
asetnya dengan melakukan pengidentifikasian, pelacakan,
pengelompokkan dan pemberian kepemilikan.
7. Information Security Incident Management, merupakan tindakan
organisasi untuk menangani insiden, termasuk didalamnya adalah
tindakan pencegahan pada masa mendatang.
70
8. Business Continuity Incident Management, merupakan cara atau
tindakan organisasi menjaga kelangsungan bisnis dengan situasi
yang tidak normal (abnormal).
9. Human Resources Security, merupakan cara organisasi
memastikan bahwa seluruh pegawai telah mengerti tanggung
jawabnya masing-masing.
10. Physical and Environment Security, merupakan cara organisasi
menjaga sistem, bangunan dan infrastruktur pendukung yang
menyimpan informasi dan sistem TI.
11. Compliance, merupakan bagian yang menangani peraturan-
peraturan yang ada pada organisasi, yang dibagi menjadi dua
area. Area pertama berfokus pada pemenuhan terhadap hukum,
peraturan-peraturan dan persyaratan kontrak organisasi. Area
kedua melibatkan aturan-aturan keamanan, standar dan proses-
proses.
Tabel 2. 7 Perbandingan Lima Standar Keamanan Informasi (Susanto et al, 2011)
No ISO/IEC ISO/IEC
PCIDSS COBIT ITIL BS
7799 27001 27002
1 Information security
policy
2
Communications and
operations
management
3 Access control
71
4
Information systems
acquisition, Deve.
And Maintenance
5 Organization of
information security
6 Asset management
7 Information security
incident management
8 Business continuity
management
9 Human resources
security
10
Physical and
enviromental
security
11 Compliance
Pada tabel 2.5 diatas menampilkan perbedaan pada tiap-tiap
framework keamanan teknologi informasi dengan pembagian sebelas
kriteria. Framework ISO/IEC 27001, ISO/IEC 27002, The Payment Card
Industry Data Security Standard (PCIDSS), dan The Information
Technology Infrastructure Library (ITIL) merupakan framework yang
memenuhi seluruh sebelas (11) kriteria tata kelola teknologi keamanan
informasi, sedangkan The Control Objectives for Information and related
Technology (COBIT) tidak memenuhi kriteria nomor dua yaitu
Communication & Operations Management, nomor empat yaitu
Information System Acquisition, Development and Maintance, nomor
sembilan yaitu Human Resources Security, dan nomor sepuluh Physical
and Environment Security, dan untuk framework British Standard (BS)
72
7799 tidak memenuhi kriteria nomor tujuh yaitu Information Security
Incident Management.
Berdasarkan penjelasan sub bab dan tabel diatas dapat
diketahui bahwa framework terkait keamanan informasi yaitu British
Standard (BS) 7799, The Payment Card Industry Data Security Standard
(PCIDSS), The Information Technology Infrastructure Library (ITIL),
The Control Objectives for Information and related Technology (COBIT),
The International Organization for Standarization (ISO)/International
Electrotechnical Commission (IEC) 27001 dan 27002. Namun setiap
framework memiliki fungsinya masing-masing. Berikut ini fungsi dari
tiap-tiap framework:
- British Standard (BS) 7799 memiliki fungsi sebagai panduan
pengkoordinasian pada bagian keamanan data yang hanya
memiliki 10 lingkup kontrol keamanan.
- The Payment Card Industry Data Security Standard (PCIDSS)
berfokus pada penanganan proses pembayaran kartu kredit agar
tidak terjadi penyalahgunaan;
- The Information Technology Infrastructure Library (ITIL)
berfokus pada konsep dan praktik khusus manajemen pelayanan
teknologi informasi atau Information Technology Service
Management (ITSM), pengembangan dan operasi teknologi
informasi yang memiliki beberapa bagian fokus pada keamanan
73
(khususnya pada bagian ICT Infrastructure Management, Service
Delivery, Application Management).
- Selanjutnya framework The Control Objectives for Information
and related Technology (COBIT) berfokus pada praktik-praktik
untuk manajemen teknologi informasi dan sebagai perangkat
pendukung yang mengizinkan manajer untuk menjembatani
perbedaan antara kebutuhan kontrol, permasalahan teknikal, risiko
bisnis, dan permasalahan keamanan;
- The International Organization for Standarization
(ISO)/International Electrotechnical Commission (IEC) 27001
berfokus menjamin kekuatan dan proporsi kontrol keamanan untuk
melindungi aset informasi dan dapat diterapkan pada seluruh jenis
organisasi;
- Sedangkan, The International Organization for Standarization
(ISO)/International Electrotechnical Commission (IEC) 27002
digunakan untuk membantu penerapan dari penentuan kontrol
keamanan data dan sistem. ISO/IEC 27002 berfokus pada
penanganan kelemahan secara teknis dan pemeliharaan sistem.
Dalam penelitian ini penulis menggunakan ISO/IEC 27001 dan
ISO/IEC 27002 sebagai framework keamanan informasi, karena ISO/IEC
27001 dan ISO/IEC 27002 dapat digunakan di berbagai jenis organisasi,
berfokus melindungi aset informasi, membantu organisasi untuk
74
mengetahui tingkat keamanan teknologi informasi yang dimiliki dan
tahapan peningkatan yang perlu dilakukan khususnya pada bagian
keamanan informasi.
2.13 ISO/IEC 27001
2.13.1 Definisi ISO/IEC 27001
The International Organization for Standarization
(ISO)/International Electrotechnical Commission (IEC) 27001 adalah
framework yang menyediakan panduan dalam penerapan SMKI dan
memberikan sertifikat internasional melalui pihak ketiga untuk
memastikan bahwa kontrol keamanan yang beroperasi telah sesuai
dengan persyaratan standar (ISO/IEC 27001, 2013). ISO/IEC 27001
memberikan pandangan terkait SMKI, yaitu keseluruhan sistem
manajemen melalui pendekatan risiko bisnis dengan maksud untuk
menetapkan, menerapkan, mengoperasikan, memantau, dan memelihara
SMKI (Arnason & Willett, 2007). SMKI memiliki lingkup pada semua
bagian struktur organisasi, tanggung jawab, kegiatan perencanaan,
kebijakan, proses, prosedur, praktik dan sumber daya (Arnason &
Willett, 2007).
ISO/IEC 27001 merupakan framework yang menyediakan
model umum untuk pelaksanaan dan pengoperasian SMKI, dan
pemantauan serta peningkatan operasi SMKI. ISO bertujuan untuk
menyelaraskan ISO/IEC 27001 dengan standar sistem manajemen
75
lainnya seperti ISO/IEC 9001:2000 (sistem manajemen mutu), ISO/IEC
14001:2004 (sistem manajemen lingkungan). Adapun tujuan lain dari
ISO/IEC adalah memberikan implementasi yang konsisten dan terpadu
dalam pengoperasian SMKI dengan sistem manajemen lainnya dalam
organisasi (Arnason & Willett, 2007).
ISO/IEC 27001 menyediakan hal-hal yang diperlukan dalam
merencanakan SMKI. Jika suatu SMKI baik, maka akan membantu
memberikan pengamanan dan perlindungan terhadap ancaman yang
dapat mengganggu aktifitas bisnis, dan mengamankan proses bisnis yang
penting agar terlindungi dari risiko kerugian atau kegagalan pada
keamanan sistem informasi. ISO/IEC 27001 berfokus pada penerapan
Sistem Manajemen Keamanan Informasi (SMKI) di dalam suatu
organisasi, karena di dalamya terdapat persyaratan-persyaratan dalam
membangun SMKI agar sesuai dengan standar ISO/IEC 27001 (Sarno &
Iffano, 2009).
Dari penjelasan diatas diketahui ISO/IEC 27001 adalah standar
keamanan yang dapat digunakan dalam membuat kebijakan organisasi,
dengan melakukan pengidentifikasian risiko terlebih dahulu dan
pemeriksaan terhadap pelaksanaan yang telah diterapkan. Standar
ISO/IEC 27001 dapat digunakan oleh pihak manajemen divisi teknologi
informasi dalam membuat kebijakan keamanan informasi.
76
Gambar 2. 23 Domain Persyaratan dan Kontrol Keamanan pada ISO/IEC 27001
(Park & Lee, 2014)
2.13.2 Klausul ISO/IEC 27001
ISO/IEC 27001 memiliki 14 klausul, kontrol keamanan, 35
objektif kontrol dan 114 kontrol. Di bawah ini penjabaran dari klausul,
objektif kontrol dan kontrol yang terdapat dalam ISO/IEC 27001: 2013.
1. Klausul A.5 Information Security Policies
a) A.5.1 Management Direction for Information Security
Objektif Kontrol: Memberikan arahan dan dukungan pada
manajemen untuk keamanan informasi sesuai dengan persyaratan
bisnis, hukum dan peraturan yang relevan.
1) A.5.1.1 Policies for information security
2) A.5.1.2 Review of the policies for information security
2. Klausul A.6 Organization of Information Security
R.4 context of the organization
D.10 improvement
R.5 leadership R.6 planning R.7 support R.8 operationR.9 performance
evaluation
Domain for Requirements of ISO 27001
D.5 information security policies
D.11 physical and environmental
security
D.6 organization of information
security
D.12 operations security
D.7 human resource security
D.13 communications
security
D.8 asset management
D.14 system acquisition,
development and maintenance
D.9 access control
D.15 supplier relationships
D.10 cryptography
D.16 information security incident
management
Domain for security controls of ISO 27001
D.17 information security aspects
of business continuity
management
D.18 compliance
77
a) A.6.1 Internal Organization
Objektif Kontrol: Menetapkan kerangka kerja manajemen untuk
memulai dan mengendalikan pelaksanaan dan operasi keamanan
informasi dalam organisasi.
1) A.6.1.1 Information security roles and responsibilities
2) A.6.1.2 Segregation of duties
3) A.6.1.3 Contact with authorities
4) A.6.1.4 Contact with special interest groups
5) A.6.1.5 Information security in project management
b) A.6.2 Mobile Devices and Teleworking
Objektif Kontrol: Untuk memastikan keamanan teleworking dan
penggunaan perangkat mobile.
1) A.6.2.1 Mobile device policy
2) A.6.2.2 Teleworking
3. Klausul A.7 Human Resource Security
a) A.7.1 Prior to Employment
Objektif Kontrol: Untuk memastikan bahwa karyawan dan
kontraktor memahami tanggung jawab mereka dalam menjalankan
peran masing-masing.
1) A.7.1.1 Screening
2) A.7.1.2 Terms and conditions of employment
b) A.7.2 During Employment
78
Objektif Kontrol: Memastikan bahwa karyawan dan kontraktor
mengetahui dan memenuhi tanggung jawab keamanan informasinya.
1) A.7.2.1 Management responsibilities
2) A.7.2.2 Information security awareness, education and training
3) A.7.2.3 Disciplinary process
c) A.7.3 Termination and Change of Employment
Objektif Kontrol: Melindungi kepentingan organisasi sebagai bagian
dari proses perubahan atau penghentian pekerjaan.
1) A.7.3.1 Termination or change of employment responsibilities
4. Klausul A.8 Asset Management
a) A.8.1 Responsibility for Assets
Objektif Kontrol: Mengidentifikasi aset organisasi dan menentukan
tanggung jawab proteksi yang tepat.
1) A.8.1.1 Inventory of assets
2) A.8.1.2 Ownership of assets
3) A.8.1.3 Acceptable use of assets
4) A.8.1.4 Return of assets
b) A.8.2 Information Classification
Objektif Kontrol: Untuk memastikan informasi tersebut
mendapatkan tingkat perlindungan yang sesuai dengan kepentingan
organisasi.
1) A.8.2.1Classification of information
2) A.8.2.2 Labelling of information
79
3) A.8.2.3 Handling of assets
c) A.8.3 Media Handling
Objektif Kontrol: Untuk mencegah pengungkapan, modifikasi,
penghapusan atau penghancuran informasi yang disimpan di media
penyimpanan.
1) A.8.3.1 Management of removable media
2) A.8.3.2 Disposal of media
3) A.8.3.3 Physical media transfer
5. Klausul A.9 Acces Control
a) A.9.1 Bussines Requirement of Access Control
Objektif Kontrol: Membatasi akses terhadap fasilitas informasi dan
pengolahan informasi.
1) A.9.1.1 Access control policy
2) A.9.1.2 Access to networks and network services
b) A.9.2 User Access Management
Objektif Kontrol: Untuk memastikan akses pengguna yang sah dan
untuk mencegah akses tidak sah ke sistem dan layanan.
1) A.9.2.1 User registration and de-registration
2) A.9.2.2 User access provisioning
3) A.9.2.3 Management of privileged access rights
4) A.9.2.4 Management of secret authentication information of
users
5) A.9.2.5 Review of user access rights
80
6) A.9.2.6 Removal or adjustment of access rights
c) A.9.3 User Responsibilities
Objektif Kontrol: Untuk membuat pengguna bertanggung jawab
untuk melindungi informasi autentikasi mereka.
1) A.9.3.1 Use of secret authentication information
d) A.9.4 System and Application Access Control
Objektif Kontrol: Untuk mencegah akses tidak sah ke sistem dan
aplikasi.
1) A.9.4.1 Information access restriction
2) A.9.4.2 Secure log-on procedures
3) A.9.4.3 Password management system
4) A.9.4.4 Use of privileged utility programs
5) A.9.4.5 Access control to program source code
6. Klausul A.10 Cryptography
a) A.10.1 Cryptographic Controls
Objektif Kontrol: Untuk memastikan penggunaan kriptografi yang
tepat dan efektif untuk melindungi kerahasiaan, keaslian dan/atau
integritas informasi.
1) A.10.1.1 Policy on the use of cryptographic controls
2) A.10.1.2 Key management
7. Klausul A.11 Physical and Enviromental Security
a) A.11.1 Secure Areas
81
Objektif Kontrol: Mencegah akses fisik yang tidak sah, kerusakan
dan gangguan pada fasilitas pengolahan informasi dan informasi
organisasi
1) A.11.1.1 Physical security perimeter
2) A.11.1.2 Physical entry controls
3) A.11.1.3 Securing offices, rooms and facilities
4) A.11.1.4 Protecting against external and environmental threats
5) A.11.1.5 Working in secure areas
6) A.11.1.6 Delivery and loading areas
b) A.11.2 Equipment
Objektif Kontrol: Untuk mencegah kerugian, kerusakan, pencurian
atau kompromi aset dan gangguan terhadap operasi organisasi.
1) A.11.2.1 Equipment siting and protection
2) A.11.2.2 Supporting utilities
3) A.11.2.3 Cabling security
4) A.11.2.4 Equipment maintenance
5) A.11.2.5 Removal of assets
6) A.11.2.6 Security of equipment and assets off-premises
7) A.11.2.7 Secure disposal or reuse of equipment
8) A.11.2.8 Unattended user equipment
9) A.11.2.9 Clear desk and clear screen policy
8. Klausul A.12 Operations Security
a) A.12.1 Operational Procedures and Responsibilities
82
Objektif Kontrol: Untuk memastikan operasi fasilitas pengolahan
informasi yang benar dan aman.
1) A.12.1.1 Documented operating procedures
2) A.12.1.2 Change management
3) A.12.1.3 Capacity management
4) A.12.1.4 Separation of development, testing and operational
environments
b) A.12.2 Protection From Malware
Objektif Kontrol: Untuk memastikan bahwa informasi dan fasilitas
pengolahan informasi terlindungi dari malware
1) A.12.2.1 Controls against malware
c) A.12.3 Backup
Objektif Kontrol: Untuk melindungi terhadap hilangnya data.
1) A.12.3.1 Information backup
d) A.12.4 Logging and Monitoring
Objektif Kontrol: Untuk merekam kejadian dan menghasilkan bukti
1) A.12.4.1 Event logging
2) A.12.4.2 Protection of log information
3) A.12.4.3 Administrator and operator logs
4) A.12.4.4 Clock synchronisation
e) A.12.5 Control for Operational Software
Objektif Kontrol: Untuk memastikan integritas sistem operasional
1) A.12.5.1 Installation of software on operational systems
83
f) A.12.6 Technical Vulnerability Management
Objektif Kontrol: Untuk mencegah eksploitasi kerentanan teknis
1) A.12.6.1 Management of technical vulnerabilities
2) A.12.6.2 Restrictions on software installation
g) A.12.7 Information Systems Audit Considerations
Objektif Kontrol: Meminimalisir dampak kegiatan audit terhadap
sistem operasional
1) A.12.7.1 Information systems audit controls
9. Klausul A.13 Communications Security
a) A.13.1 Network Security Management
Objektif Kontrol: Memastikan perlindungan informasi dalam
jaringan dan fasilitas pengolahan informasi pendukungnya.
1) A.13.1.1 Network controls
2) A.13.1.2 Security of network services
3) A.13.1.3 Segregation in networks
b) A.13.2 Information Transfer
Objektif Kontrol: Untuk menjaga keamanan informasi yang
ditransfer dalam organisasi dan dengan apapun entitas eksternal
1) A.13.2.1 Information transferpolicies and procedures
2) A.13.2.2 Agreements on information transfer
3) A.13.2.3 Electronic messaging
4) A.13.2.4 Confidentiality or nondisclosure agreements
10. Klausul A.14 System Acquisition, Development and Maintenance
84
a) A.14.1 Security requirements of information systems
Objektif Kontrol: Untuk memastikan keamanan informasi
merupakan bagian integral dari sistem informasi di seluruh sisi, ini
juga mencakup persyaratan sistem informasi yang menyediakan
layanan melalui jaringan publik
1) A.14.1.1 Information security requirements analysis and
specification
2) A.14.1.2 Securing application services on public networks
3) A.14.1.3 Protecting application services transactions
b) A.14.2 Security in development and support processes
Objektif Kontrol: Untuk memastikan keamanan informasi dirancang
dan dilaksanakan dalam siklus pengembangan sistem informasi.
1) A.14.2.1 Secure development policy
2) A.14.2.2 System change control procedures
3) A.14.2.3 Technical review of applications after operating
platform changes
4) A.14.2.4 Restrictions on changes to software packages
5) A.14.2.5 Secure system engineering principles
6) A.14.2.6 Secure development environment
7) A.14.2.7Outsourced development
8) A.14.2.8 System security testing
9) A.14.2.9 System acceptance testing
c) A.14.3 Test data
85
Objektif Kontrol: Untuk memastikan perlindungan data yang
digunakan untuk pengujian
1) A.14.3.1 Protection of test data
11. Klausul A.15 Supplier Relationships
a) A.15.1 Information security in supplier relationships
Objektif Kontrol: Untuk memastikan perlindungan aset organisasi
yang dapat diakses oleh pemasok
1) A.15.1.1 Information security policy for supplier relationships
2) A.15.1.2 Addressing security within supplier agreements
3) A.15.1.3 Information and communication technology supply
chain
b) A.15.2 Supplier service delivery management
Objektif Kontrol: Untuk mempertahankan tingkat keamanan
informasi dan pelayanan yang disepakati sesuai dengan kesepakatan
pemasok
1) A.15.2.1 Monitoring and review of supplier services
2) A.15.2.2 Managing changes to supplier services
12. Klausul A.16 Information Security Incident Management
a) A.16.1 Management of information security incidents and
improvements
Objektif Kontrol: Memastikan pendekatan yang konsisten dan
efektif terhadap insiden pengelolaan keamanan informasi, termasuk
komunikasi mengenai kejadian keamanan dan kelemahan.
86
1) A.16.1.1 Responsibilities and procedures
2) A.16.1.2 Reporting information security events
3) A.16.1.3 Reporting information security weaknesses
4) A.16.1.4 Assessment of and decision on information security
events
5) A.16.1.5 Response to information security incidents
6) A.16.1.6 Learning from information security incidents
7) A.16.1.7 Collection of evidence
13. Klausul A.17 Information Security Aspects of Business Continuity
Management
a) A.17.1 Supplier service delivery management
Objektif Kontrol: Kesinambungan keamanan informasi harus
disematkan dalam sistem manajemen kontinuitas bisnis organisasi
1) A.17.1.1 Planning information security continuity
2) A.17.1.2 Implementing information security continuity
3) A.17.1.3 Verify, review and evaluate information security
continuity
b) A.17.2 Redundancies
Objektif Kontrol: Untuk memastikan ketersediaan fasilitas
pengolahan informasi.
1) A.17.2.1 Availability of information processing facilities
14. Klausul A.18 Compliance
a) A.18.1 Compliance with legal and contractual requirements
87
Objektif Kontrol: Untuk menghindari pelanggaran kewajiban
hukum, undang-undang, peraturan atau kontrak yang terkait dengan
keamanan informasi dan persyaratan keamanan.
1) A.18.1.1 Identification of applicable legislation and contractual
requirements
2) A.18.1.2 Intellectual property rights
3) A.18.1.3 Protection of records
4) A.18.1.4 Privacy and protection of personally identifiable
information
5) A.18.1.5 Regulation of cryptographic controls
b) A.18.2 Information security reviews
Objektif Kontrol: Untuk memastikan keamanan informasi
diimplementasikan dan dioperasikan sesuai dengan kebijakan dan
prosedur organisasi
1) A.18.2.1 Independent review of information security
2) A.18.2.2 Compliance with security policies and standard
3) A.18.2.3 Technical compliance review
2.14 ISO/IEC 27002
2.14.1 Definisi ISO/IEC 27002
ISO/IEC 27002 adalah suatu standar keamanan informasi yang
diterbitkan oleh The International Organization for Standarization (ISO)
dan The International Electrotechnical Commision (IEC), yang berjudul
88
teknologi informasi. ISO/IEC 27002 memberikan rekomendasi praktik
terbaik untuk manajemen keamanan informasi untuk digunakan oleh
mereka yang bertanggung jawab untuk memulai, menerapkan atau
mempertahankan sistem manajemen keamanan informasi (ISO/IEC
27002, 2013). Jadi ISO/IEC 27002 adalah standar keamanan yang dapat
membantu dalam penanganan operasional sehingga tetap berjalan
dengan prosedur atau kebijakan yang telah dibuat.
Gambar 2. 24 ISO/IEC 27002 (Saisa, 2017)
89
2.14.2 Klausul ISO/IEC 27002
ISO/IEC 27002 memiliki klausul yang setiap klausulnya
mendefinisikan masing-masing satu kontrol keamanan atau lebih
kategori keamanan. Ada 14 kontrol keamanan yang berisi 35 kategori
dan 114 kontrol. Setiap kontrol keamanan memiliki control objective
dimulai dari apa yang harus dicapai (ISO/IEC 27002, 2013). 14 klausul
ISO/IEC 27002 yaitu:
1. Klausul 5 (Information Security Policies): Memberikan arahan
manajerial dan dukungan untuk keamanan informasi sesuai dengan
permintaan bisnis dan hukum yang berlaku dan undang-undang.
2. Klausul 6 (Organization of Information Security): Membentuk
sebuah kerangka pengelolaan untuk memulai dan mengontrol
implementasi dan prosedur operasional dari keamanan informasi
dalam organisasi.
3. Klausul 7 (Human Resource Security): Memastikan staff dan
kontraktor mengerti tanggung jawab masing-masing dan sesuai
dengan perannya masing-masing.
4. Klausul 8 (Asset Management): Mengidentifikasi aset organisasi dan
memberikan tanggung jawab perlindungan yang sesuai.
5. Klausul 9 (Access Control); Membatasi akses terhadap informasi
dan fasilitas pengolahan informasi.
90
6. Klausul 10 (Cryptography): Memastikan kewajaran dan kefektifisan
penggunaan kriptografi untuk melindungi kerahasiaan, otentikasi
dan keutuhan dari informasi.
7. Klausul 11 (Physical and Enviromental Security): Mencegah pihak
yang tidak berwenang dalam hal akses fisik.
8. Klausul 12 (Operational Security): Memastikan pengamanan
prosedur operasional dari fasilitas pengolahan informasi.
9. Klausul 13 (Communication Security): Memastikan pengamanan
informasi dalam jaringan.
10. Klausul 14 (System Acquisition, Development and Maintenance):
Memastikan keamanan informasi merupakan bagian integral dari
sistem informasi melalui seluruh siklus keamanan informasi.
11. Klausul 15 (Supplier Relationships): Memastikan perlindungan dari
aset organisasi yang mana dapat diakses oleh supplier.
12. Klausul 16 (Information Security Incident Management):
Memastikan konsistensi dan efektivitas mengenai pengelolaan
insiden yang terkait keamanan informasi.
13. Klausul 17 (Information Security Aspects of Bussiness Continuity
Management): Keamanan informasi berkelanjutan harus terdapat
pada sistem organisasi manajemen bisnis berkelanjutan.
14. Klausul 18 (Compliance): Untuk menghindari pelanggaran
kewajiban hukum, undang-undang, peraturan atau kontrak yang
terkait dengan keamanan informasi dan persyaratan keamanan.
91
2.15 Plan, Do, Check, Act (PDCA) Model
Model PDCA adalah siklus kegiatan yang dirancang untuk
mendorong perbaikan terus menerus. Organisasi dapat menggunakan
model PDCA sebagaimana ditentukan dalam ISO/IEC 27001 untuk
menerapkan SMKI (Fomin, 2008).
Siklus PDCA terdiri dari empat komponen utama secara
berurutan, yaitu:
Gambar 2. 25 Siklus PDCA (Langley et al., 2009)
2.15.1 Plan
Langkah setelah dilakukan pengujian ide perbaikan masalah.
yang dibuat secara jelas dan terinci serta menetapkan sasaran dan target
yang harus dicapai (Sarno & Iffano, 2009).
2.15.2 Do
Rencana yang disusun diimplementasikan secara bertahap,
mulai dari skala kecil dan pembagian tugas secara merata sesuai dengan
kapasitas dan kemampuan dari setiap personil. Selama dalam
melaksanakan rencana harus dilakukan pengendalian, yaitu
92
mengupayakan agar seluruh rencana dilaksanakan dengan sebaik
mungkin agar sasaran dapat dicapai (Sarno & Iffano, 2009).
Di dalam langkah Do, terdapat beberapa langkah di dalamnya,
yaitu (Sarno & Iffano, 2009):
1. Identifikasi risiko
Identifikasi risiko merupakan cara untuk memahami
seberapa besar dan risiko apa yang diterima oleh organisasi jika
informasi di dalam organisasi mendapatkan ancaman atau gangguan
keamanan. Untuk melakukan identifikasi risiko, ada beberapa
langkah di dalamnya, yaitu (Sarno & Iffano, 2009):
a. Mengidentifikasi aset yang dimiliki sesuai dengan
organisasi. Identifikasi aset dapat dilakukan dengan
menggunakan tabel, diantaranya adalah sebagai berikut:
Tabel 2. 8 Identifikasi Aset (Sarno & Iffano, 2009)
Jenis Aset Nama Aset
Dokumen Data Penggiat Budaya
Sistem hardware Sistem Operasi
Server Data Penggiat
Budaya
Personal Komputer (PC)
b. Menghitung nilai aset, merupakan penilaian informasi yang
dimiliki oleh organisasi, dimana aset yang di hitung hanya
informasi yang termasuk di dalam ruang lingkup SMKI yang
telah didefinisikan. Cara menghitung nilai aset dapat
berdasarkan aspek keamanan Informasi yaitu: Kerahasiaan
93
(Confidentiality), Keutuhan (Intergrity), dan Ketersediaan
(Availibility) (Sarno & Iffano, 2009). Berikut ini merupakan
contoh penilaian aset berdasarkan Confidentiality.
Tabel 2. 9 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano, 2009)
Kriteria
Confidentiality
Nilai
Confidentiality(NC)
Public 0
Internal use only 1
Private 2
Confidentiality 3
Secret 4
Berikut ini merupakan contoh penilaian aset berdasarkan
Integrity.
Tabel 2. 10 Penilaian aset berdasarkan Integrity (Sarno & Iffano, 2009)
Kriteria Integrity Nilai Integrity(NI)
No impact 0
Minor incident 1
General disturbance 2
Mayor disturbance 3
Unacceptable damage 4
Berikut ini merupakan contoh penilaian aset berdasarkan
Availability.
Tabel 2. 11 Penilaian aset berdasarkan Availability (Sarno & Iffano, 2009)
Kriteria Availability Nilai Availability(NA)
Low/No avaliability 0
Office hours Availability 1
Strong Availability 2
High Availability 3
Very High Availability 4
94
Dari ketiga tabel tersebut, dapat dihitung untuk nilai asetnya
yaitu:
Nilai Aset = NC + NI + NV
Keterangan:
NC = Nilai Confidentiality
NI = Nilai Integrity
NV = Nilai Availability
c. Mengidentifikasi kelemahan, ancaman dan menilai aset
Identifikasi kelemahan
Kelemahan adalah kekurangan dari prosedur
keamanan informasi, perencanaan, implementasi, atau
kontrol internal di dalam organisasi, dan kelemahan
dapat menimbulkan atau memicu ancaman
didalamnya. Tujuannya adalah organisasi memahami
kelemahan yang dimiliki dalam sistem keamanan
informasi.
Identifikasi ancaman
Ancaman merupakan potensi yang disebabkan oleh
insiden atau kejadian yang tidak diinginkan yang akan
membahayakan proses bisnis. Identifikasi ancaman
untuk mengetahui ancaman yang mungkin terjadi.
Berbagai jenis ancaman yang terjadi adalah sebagai
berikut:
95
Tabel 2. 12 Sumber dan Jenis Ancaman (Sarno & Iffano, 2009)
No Sumber Ancaman Jenis Ancaman
1 Alam Banjir, gempa bumi, angin puyuh, tornado,
serangan petir
2 Lingkungan Kegagalan sumber daya, polusi, bahan kimia,
kebocoran
3 Manusia
Hacker, Cracker Hacking, penyusupan ke dalam sistem, akses
ilegal
Computer criminal Penyusupan ke sistem komputer, akses ilegal
Terrorist Black mail, penyerangan ke sistem, sistem
penetrasi, virus
Menilai aset
Dalam mengidentifikasi kelemahan, ancaman, dan
menilai aset yang mungkin terjadi, terdapat tabel yang
dinamakan tabel kemungkinan terjadi (Probability of
Occurrence) (Sarno & Iffano, 2009).
Tabel 2. 13 Kemungkinan Terjadi (Sarno & Iffano, 2009)
Kejadian Jenis Probabilitas Rerata
Probabilitas
Power Failure
(Gangguan Sumber
Daya)
Vulnerable Low 0.1
Hardware Failure
(Gangguan
Perangkat Keras)
Vulnerable Medium 0.4
Fire (Kebakaran) Threat Low 0.1
Virus Attack
(Serangan Virus) Threat High 0.7
Intruders
(Penyusup) Threat Medium 0.4
Data Corruption
(Kerusakan Data) Vulnerable Medium 0.4
Data Missing
Recipient
(Kesalahan
Pengiriman Data)
Vulnerable Low 0.1
96
Tabel 2. 14 Kemungkinan Terjadi (Sarno & Iffano, 2009)
Kejadian Jenis Probabilitas Rerata
Probabilitas
Lightining
(Gangguan Petir) Threat Low 0.1
Nature Disaster
(Bencana Alam) Threat Low 0.1
Unautorized
Access (Akses
Ilegal) Threat Medium 0.4
Nilai rerata probabilitas dihasilkan dengan rentang
nilai yang dapat didefinisikan:
Low: Nilai rerata probabilitas (0.1 – 0.3)
Medium: Nilai rerata probabilitas (0.4 – 0.6)
High: Nilai rerata probabilitas (0.7 – 1.0)
Untuk melakukan penilaian aset, dapat dihitung
dengan rumus (Sarno & Iffano, 2009):
𝑁𝑖𝑙𝑎𝑖 𝐴𝑛𝑐𝑎𝑚𝑎𝑛 = ∑ 𝑃𝑂 𝑥 ∑ 𝐴𝑛𝑐𝑎𝑚𝑎𝑛
Keterangan:
∑ 𝑃𝑂 = Jumlah Probability of Occurrence
∑ 𝐴𝑛𝑐𝑎𝑚𝑎𝑛 = Jumlah ancaman terhadap informasi
d. Melakukan analisa dampak bisnis, untuk melihat bagaimana
dampak terhadap organisasi jika terjadi kegagalan (Sarno &
Iffano, 2009).
2. Analisis dan evaluasi risiko
Analisa dan evaluasi risiko merupakan tahapan untuk
menganalisa dan mengevaluasi risiko yang sudah diidentifikasi pada
97
tahapan sebelumnya. Tahapan ini untuk memahami bagaimana
dampak risiko terhadap bisnis organisasi, bagaimana level risiko
yang mungkin timbul dan menentukan apakah risiko yang terjadi
akan diterima atau masih dapat dikelola untuk dapat menoleransi
risiko yang akan terjadi. Dalam analisis dan risiko terdapat beberapa
tahapan, yaitu:
a. Melakukan analisis dampak bisnis (Business Impact
Analysis), yaitu penggambaran untuk berjalannya proses
bisnis di dalam organisasi tidak terganggu. BIA memiliki skala
di dalamnya, yang dapat dirubah sesuai dengan kondisi dari
perusahaan, yaitu:
Tabel 2. 15 Skala Business Impact Analysis (BIA) (Sarno, 2009)
Batas Toleransi
Gangguan Keterangan Nilai Skala
< dari 1 minggu Not critical 0 – 20
1 hari s/d 2 hari Minor critical 21 – 40
< 1 hari Mayor critical 41 – 60
< 12 jam High critical 61 – 80
< 1 jam Very high critical 81 – 100
b. Melakukan identifikasi tingkat risiko, yaitu terjadi jika
dihubungkan dengan dampak dan probabilitas ancaman yang
mungkin ada. Dalam melakukan identifikasi tingkat risiko,
terdapat ketentuan yang diterima organisasi berdasarkan
hubungan probabilitas ancaman yang mungkin terjadi dan
dampak yang mungkin ada. Probabilitas ancaman dibagi ke
dalam tiga level, yaitu:
98
Tabel 2. 16 Level Probabilitas Ancaman (Sarno & Iffano, 2009)
0 < Low Probability < 0,1
0,1 < Medium Probability < 0,5
0,5 < High Probability < 1,0
Dampak bisnis dibagi menjadi lima level, yaitu:
Tabel 2. 17 Level Dampak Bisnis (Sarno & Iffano, 2009)
0 < Not critical impact < 20
20 < Low critical impact < 40
40 < Medium critical impact < 60
60 < High critical impact < 80
80 < Very high critical impact < 100
c. Menilai risiko, yaitu menentukan apakah risiko yang terjadi
langsung diterima atau masih perlu pengelolaan risiko
berdasarkan kriteria penerimaan risiko. Dalam melakukan
penilaian risiko dapat dihitung dengan menggunakan metode
matematis, yaitu:
Nilai Risiko = NA x BIA x NT
Keterangan:
NA = Nilai aset
BIA = Analisa dampak bisnis
NT = Nilai ancaman
2.15.3 Check
Memeriksa atau meneliti yang merujuk pada penetapan apakah
pelaksanaannya berada dalam jalur, sesuai rencana dan memantau
kemajuan perbaikan yang direncanakan (Sarno & Iffano, 2009).
99
2.15.4 Act
Penyesuaian dilakukan bila dianggap perlu, yang didasarkan
hasil analisis yang sudah ada. Penyesuaian berkaitan dengan standarisasi
prosedur baru guna menghindari timbulnya kembali masalah yang sama
atau menetapkan sasaran baru bagi perbaikan berikutnya (Sarno &
Iffano, 2009).
Dapat disimpulkan Plan, Do, Check, Act (PDCA) adalah model
yang dapat terus membantu meningkatkan perbaikan pada sistem.
- Tahap Plan dilakukan penetapan sasaran dan target;
- Tahap Do dilakukan identifikasi risiko (mengidentifikasi aset,
menghitung nilai aset, mengidentifikasi kelemahan, ancaman, dan
menilai aset, dan melakukan analisa dampak bisnis), analisis dan
evaluasi risiko;
- Tahap Check dilakukan pemeriksaan apakah pelaksanaan telah
sesuai dengan rencana;
- Tahap Act dilakukan penyesuaian baru berdasarkan gap dan
rekomendasi.
Dalam penelitian ini, peniliti membuat langkah-langkah dalam
yang mengadopsi PDCA model.
- Tahap Plan, akan mendefinisikan ruang lingkup dan perencanaan
kebijakan SMKI.
100
- Tahap Do, akan mengidentifikasi dan menilai aset, ancaman dan
kelemahan terhadap aset, dampak bisnis dan nilainya, menentukan
nilai risiko, dan pemilihan objektif kontrol dan kontrol keamanan.
- Tahap Check, peneliti akan melakukan penilaian tingkat
kematangan (maturity level) sistem manajemen keamanan
informasi menggunakan System Security Engineering Capability
Maturity Model (SSE-CMM).
- Tahap Act, peneliti melakukan perbaikan dan pengembangan SMKI
dengan memberikan rekomendasi terhadap objektif kontrol dan
kontrol keamanan.
2.16 Fokus Analisis SMKI
Adapun pada penelitian yang dilakukan berfokus analisis SMKI
khususnya di divisi Information Technology dengan menggunakan
ISO/IEC 27001 dan ISO/IEC 27002. Terdapat persamaan dan perbedaan
dalam penggunaan ISO/IEC 27001 dan ISO/IEC 27002 di dalam suatu
organisasi. Dimana ISO/IEC 27001 adalah kerangka kerja tata kelola
teknologi informasi yang berfokus pada penetapan, penerapan,
pelaksanaan, pemantauan, pengkajian, pemeliharaan, dan perbaikan
sebuah sistem manajemen keamanan informasi (ISO/IEC 27001, 2005).
Sedangkan, ISO/IEC 27002 adalah kerangka kerja yang berfokus pada
manajemen keamanan informasi yang bertanggung jawab atau berfokus
101
pada penerapan keamanan dan mempertahankan sistem manajemen
keamanan (ISO/IEC 27002, 2013).
ISO/IEC27001 dan 27002 adalah standarisasi yang dapat
digunakan untuk melakukan pengevaluasian terhadap tata kelola
keamanan informasi, dimana kedua standar ini memiliki kesamaan dalam
pengaturan namun dengan tugas yang berbeda seperti pada klausul 5.1
management direction for information security dimana untuk ISO/IEC
27001 berfokus bagaimana pihak manajemen merencanakan tahapan ini
sesuai dengan aturan dan regulasi yang ada, sedangkan untuk ISO/IEC
27002 berfokus pada bagaimana penerapan dari rencana yang telah
ditetapkan pada ISO/IEC 27001, dengan menerapkan dua standarisasi
dapat membantu perusahaan mengurangi kemungkinan risiko-risiko yang
ada atau risiko yang lebih tinggi (Sahibudin, 2008). ISO/IEC 27001 juga
melakukan tugas seperti penilaian risiko dan peninjauan keamanan.
Sedangkan ISO/IEC 27002 merupakan standarisasi yang berkaitan dengan
keamanan dan kontrol informasi yang membantu bisnis dalam penerapan
keamanan yang sesuai.
Adapun kelebihan pada ISO/IEC 27001 pada sistem manajemen
keamanan informasi yaitu pada bagian pengaturan (manajerial),
lingkungan, training dan awareness. Dimana dengan kelebihan pada
ISO/IEC 27001 ini dapat membantu perusahaan memaksimalkan
karyawannya dalam pengelolaan sistem keamanan di perusahaan tersebut.
Sedangkan ISO/IEC 27002 memiliki kelebihan yaitu di lingkup
102
pemberdayaan atau pemeliharan properti aset dan berfokus pada tingkat
keamanan yang ada di perusahaan khususnya pada bentuk fisik seperti alat
ataupun aset lainnya yang ada di proses maintenance (pemeliharaan).
Persamaan klausul ISO/IEC 27001 dan ISO/IEC 27002 pada
kedua kerangka kerja ini adalah:
Tabel 2. 18 Pemetaan Persamaan Klausul ISO/IEC 27001 dan ISO/IEC 27002
(Sengupta, 2015)
ISO/IEC 27001 ISO/IEC 27002
A.7.5 Document Information B.7 Human Resources Security
B.8 Asset Management
A.7.4 Communication B.13 Communication Security
A.8 Operation
B.16 Information Security Incident
Management
B.17 Information Security Aspect of Business
Continuity Management
A.5 Information Security Policies B.7 Human Resource Security
Pada tabel diatas ditampilkan pemetaan klausul ISO/IEC 27001
dan ISO/IEC yang diambil berdasarkan ISO/IEC (2013). Berdasarkan
tabel diatas klausul A.7.5 Document Information ISO/IEC 27001 memiliki
hubungan dengan klausul B.7 Human Resource Security dan B.8 Asset
Management ISO/IEC 27002, dimana untuk mendapatkan panduan dan
informasi lebih merinci dapat ditemukan dengan menggunakan ISO/IEC
27002 (ISO/IEC 27002, 2013) sedangkan penggunaan ISO/IEC 27001
digunakan untuk mengetahui kebutuhan pengamanan yang perlu
digunakan oleh organisasi (ISO/IEC 27001, 2013).
Kemudian perbedaan antara ISO/IEC 27001 dan ISO/IEC 27002
dalam beberapa bidang dijelaskan pada tabel berikut:
103
Tabel 2. 19 Perbedaan ISO/IEC 27001 dan ISO/IEC 27002 (Hamzah, 2018)
ISO/IEC 27001 ISO/IEC 27002
Fokus
- Membantu menemukan kebutuhan
penerapan keamanan informasi pada
organisasi.
- Berfokus pada penerapan keamanan
aset dan pendekatan manajemen
risiko.
- Memberikan panduan tentang penerapan
kontrol keamanan informasi.
- Berfokus pada penanganan kelemahan
secara teknis dan pemeliharaan sistem.
Paradigma Sistem manajemen aset keamanan
sistem informasi
Sistem manajemen kontrol keamanan
informasi
Cakupan Kebutuhan keamanan sistem
informasi.
Panduan kontrol dan access control untuk
keamanan sistem informasi
Struktur
14 Klausul Kontrol Keamanan
(Security Control Clauses) dengan 35
Objektif Kontrol (Control Objectives)
yang terbagi menjadi 114 Kontrol
(Controls)
8 Klausul (Keamanan Sumber Daya
Manusia) 9 klausul (keamanan fisik dan
lingkungan) 11 Klausul (Akses Kontrol)
12 Klausul (Pengenalan Sistem Informasi
Pembangunan dan Pemeliharaan)
Organisasi
model Manajemen, Divisi Sistem Informasi, Divisi Sistem Informasi, Manajemen
Sertifikasi Terdapat sertifikasi untuk organisasi Terdapat sertifikasi untuk organisasi
2.17 Metode Kualitatif
Menurut Kirk dan Miller (1986) metode kualitatif adalah metode
dengan bersumber pada pengamatan dengan tradisi tertentu dalam ilmu
pengetahuan sosial yang bergantung pada pengamatan manusia dan
berhubungan dengan orang-orang di dalamnya. Sedangkan menurut
Bodgan dan Taylor (1975) metode kualitatif merupakan metode dengan
data yang tidak berbentuk angka, lebih banyak berupa narasi, deskripsi,
cerita, atau dokumen tertulis dan tidak tertulis. Metode kualitatif tidak
104
menggunakan rumus atau aturan untuk mengolah dan menganalisis data.
Metode kualitatif melibatkan penggunaan dan pengumpulan berbagai
bahan empiris, yakni studi kasus, pengalaman, riwayat, wawancara,
pengamatan, interaksi dan visual yamg menggambarkan momen rutin dan
maknanya di dalam kehidupan (Gumilang, 2016).
Metode kualitatif memiliki karakteristik. Karakteristik metode
kualitatif menurut Gumilang (2016) sebagai berikut:
a. Dalam metode kualitatif memiliki pandangan hakikat realitas
bersifat personal, subjektif dan hasil dari konstruksi social.
b. Metode kualitatif bersifat induktif, yakni melahirkan teori baru dan
mengembangkan teori berdasar data yang sudah terkumpul;
c. Metode kualitatif tentang perilaku manusia yang bersifat dinamis,
mengalir, sosial, konteks, dan personal;
d. Tujuan dari kualitatif adalah deskripsi, eksplorasi;
e. Fokus dalam metode kualitatif adalah penekanan di sudut yang lebih
luas dan dalam;
f. Metode kualitatif hakikatknya yaitu meneliti objek fenomena
perilaku di dalam penelitian;
g. Alat untuk mengumpulkan penelitian di metode kualitatif adalah
wawancara, observasi, dan catatan yang datanya berbentuk kata-
kata, gambar, atau dokumen;
h. Analisa data yang digunakan dalam penelitian ini adalah prosedur
pengembangan pola, tema, dan ciri umum;
105
i. Bentuk laporan dalam metode kualitatif adalah bersifat naratif
dengan deskripsi kontekstul dan rujukan dari subjek penelitian.
2.17.1 Pengumpulan Data Kualitatif
Menurut Arikunto (2006) pengumpulan data berjalan
bersamaan dengan proses dalam menganalisis data. Analisis data
kualitatif dapat dilakukan dengan menggunakan cara manual atau dengan
bantuan dari komputer. Program komputer ditujukan untuk menulis dan
menyunting kata, mengetik, mengedit, dan menyimpan data penelitian.
Salah satu program komputer tersebut adalah word processing yang
dapat membantu dalam pembuatan grafik, mencari kata, atau yang
lainnya yang dapat mendukung dalam melakukan pengumpulan dan
analisa data kualitatif (Bazeley & Jackson, 2013).
Dalam melakukan pengumpulan data untuk metode kualitatif,
salah satu software yang digunakan adalah NVivo. NVivo merupakan
software yang bekerja seperti map-map dalam teknik analisis data
kualitatif manual, tetapi map tersebut jauh lebih cerdas. NVivo adalah
software analisa data kualitatif yang dikembangkan oleh QSR
(Qualitative Solution and Research) yang merupakan perusahaan
pertama dalam mengembangkan software analisis data kualitatif
(Bazeley & Jackson, 2013).
Dapat disimpulkan bahwa metode kualitatif adalah berupa data
yang didapatkan berdasarkan pengalaman, cerita, narasi, dengan tujuan
deskriptif dan eskplorasi. Pengumpulan data kualitatif dapat dilakukan
106
secara manual dan komputerisasi, dengan bantuk komputer
penganalisaan dan pengumpulan data menjadi lebih mudah untuk
dioorganisir. Adapun salah satu alat (tool) yang dapat digunakan pada
pengumpulan data kualitatif adalah perangkat lunak Nvivo.
2.18 System Security Engineering Capability Maturity Model (SSE-CMM)
Menurut Abzug et al. (2003) system security engineering
capability maturity model (SSE CMM) adalah sebuah referensi model
yang berfokus pada kebutuhan untuk pengimplementasian keamanan di
dalam sebuah sistem atau sistem series lainnya yang berkaitan dengan
domain keamanan teknologi informasi.
Menurut Abzug et al. (2003) SSE CMM dikembangkan untuk
mengidentifikasi sebuah framework, menyediakan jalan untuk mengukur
dan meningkatkan kinerja dalam penerapan prinsip-prinsip teknik
keamanan.
Model SSE CMM dan metode penilaian dikembangkan untuk
(Abzug et al, 2003):
- Investasi fokus kepada alat rekayasa teknik keamanan, pelatihan,
definisi proses, praktik manajemen, dan peningkatan oleh kelompok
teknik;
- Jaminan berdasarkan kemampuan yaitu kepercayaan pada
kematangan praktik dan proses keamanan;
107
- Pemilihan penyedia teknik keamanan dengan membedakan penawar
pada tingkat kemampuan dan risiko program.
Tabel 2. 20 Perbandingan SSE-CMM dengan Model lain (Abzug et al., 2003)
Effort Goal Approach Scope Status
SSE-CMM Define, improve and
assess security
engineering capability
Continuous security
engineering maturity model and
appraisal method
Security
engineering
organizations
Version
3.0
SE-CMM Improve system or
product engineering
process
Continuous maturity model of
systems engineering practices
and appraisal method
System
engineering
organizations
See
EIA731
SEI CMM
for Software
Improve the
management of software
development
Staged maturity model of
software engineering and
management practices
Software
engineering
organizations
Now in
CMMI
Trusted
CMM
Improve the process of
high integrity software
development and its
environment
Staged maturity model of
software engineering and
management practices including
security
High integrity
software
organizations
Unknown
CMMI Combine existing
process improvement
models into a single
architectural framework
Sort, combine and arrange
process improvement building
blocks to form tailored models
Engineering
organizations
Partial
draft
released
System
Engineering
CM
(EIA731)
Define, improve and
assess system
engineering capability
Continuous system engineering
maturity model and appraisal
method
System
engineering
organizations
Released
Common
Criteria
Improve security by
enabling reusable
protection profiles for
classes of technology
Set of functional and assurance
requirements for security, along
with an evaluation process
Information
technology
Version
2.0
CISSP Make security
professional a
recognized discipline
Security body of knowledge and
certification tests for security
profession
Security
practitioners
In use
Assurance
Frameworks
Improve security
assurance by enabling a
broad range of evidence
Structure approach for creating
assurance arguments and
efficiently producing evidence
Security
engineering
organizations
Research
papers
ISO 9001 Improve organizational
quality management
Specific requirements for quality
management practices
Service
organizations
In wide use
ISO 15504 Software process
improvement and
assessment
Software process improvement
model and appraisal
methodology
Software
engineering
organizations
All 9 parts
published
ISO 13335 Improvement of
management of
information technology
security
Guidance on process used to
achieve and maintain
appropriate levels security for
information and services
Security
engineering
organizations
3 of 5 parts
published
108
2.18.1 Ruang Lingkup SSE-CMM
Ruang lingkup SSE-CMM meliputi beberapa hal dibawah ini, yaitu
(Abzug et al., 2003):
a. SSE-CMM ditujukan untuk kegiatan rekayasa keamanan yang
meliputi produk yang terpercaya atau siklus hidup keamanan sistem,
termasuk definisi konsep, analisa kebutuhan, perancangan,
pengembangan, integrasi, instalasi, operasi, perawatan dan
pengawasan.
b. SSE-CMM diterapkan untuk mengamankan pengembangan produk,
keamanan pengembangan sistem dan integrator dan organisasi yang
menyediakan jasa keamanan dan rekayasa keamanan.
c. SSE-CMM diterapkan untuk semua jenis dan ukuran rekayasa
keamanan organisasi, seperti komersial, pemerintah dan akademisi.
2.18.2 Level Capability SSE-CMM
Menurut Sarno & Iffano (2009) penilaian harus dilakukan untuk
menentukan tingkat kemampuan masing-masing daerah proses. Hal ini
menunjukkan bahwa area proses yang berbeda dapat dan mungkin akan
ada pada berbagai tingkat kemampuan. Organisasi kemudian akan dapat
menggunakan informasi-informasi tertentu ini sebagai sarana untuk
fokus perbaikan prosesnya. Prioritas dan urutan kegiatan organisasi
untuk meningkatkan proses yang harus memperhitungkan tujuan
bisnisnya.
109
Tujuan bisnis adalah pendorong utama dalam menafsirkan
model seperti SSE-CMM. Tapi, ada urutan dasar kegiatan dan prinsip-
prinsip dasar yang mendorong urutan logis dari upaya perbaikan yang
khas. Agar kegiatan ini dinyatakan dalam fitur-fitur umum dan praktik
generik sisi tingkat kemampuan arsitektur SSE-CMM (Sarno & Iffano,
2009). Adapun tingkatan Capability Level dari SSE-CMM, yaitu (Abzug,
2003):
a. Level 1 “Performed Informally”
Praktik dasar yang umumnya harus dilakukan. Kinerja praktik dasar ini
belum sepenuhnya direncanakan dan dilacak. Kinerja tergantung pada
pengetahuan individu dan organisasi. Hasil kerja dari level ini adalah
memberi hasil kinerja organisasi. Individu dalam organisasi menyadari
bahwa tindakan harus dilakukan, dan ada kesepakatan bahwa tindakan
ini dilakukan jika diperlukan. Hasil dari kinerja diidentifikasi untuk
proses selanjutnya.
b. Level 2 “Planned and Tracked”
Kinerja sesuai prosedur yang sudah diverifikasi. Hasil kerja sesuai
dengan standar yang ditetapkan dan sesuai dengan persyaratan.
Pengukuran ini digunakan untuk melacak kinerja dari area proses,
sehingga memungkinkan organisasi untuk mengelola kegiatannya
berdasarkan kinerja yang sesungguhnya. Perbedaannya dengan kinerja
level 1 adalah bahwa pada kinerja level 2 proses kinerja telah
direncanakan dan dikelola.
110
c. Level 3 “Well Defined”
Kinerja pada level ini dengan menggunakan persetujuan, sesuai dengan
standari yang telah ada, dan proses telah didokumentasikan. Perbedaan
utama kinerja level 3 dengan level 2 adalah bahwa proses kinerja ini
direncanakan dan dikelola menggunakan proses standar organisasi.
d. Level 4 “Quantitatively Controlled”
Langkah-langkah detail pada proses kinerja dikumpulkan dan
dianalisis. Ini mengarah ke pemahaman kuantitatif terhadap
kemampuan proses dan kemampuan untuk meningkatkan kinerja.
Kinerja secara objektif dikelola, dan kualitas hasil kerja secara
kuantitatif diketahui. Perbedaan dengan kinerja level 3 adalah, bahwa
proses kinerja level 4 didefinisikan, dipahami dan dikendalikan secara
kuantitatif.
e. Level 5 “Continously Improving”
Proses perbaikan secara berkesinambungan ada karena umpan balik
kuantitatif dari melakukan proses yang telah didefinisikan dan dari uji
coba ide-ide serta teknologi yang inovatif. Perbedaan utama dari kinerja
proses level 4 adalah bahwa proses didefinisikan dan proses yang telah
sesuai standar menjalani perbaikan terus menerus dan dilakukan
peningkatan, didasarkan pada pemahaman kuantitatif dari dampak
perubahan proses tersebut.
2.18.3 Keuntungan Menggunakan SSE-CMM
111
Keuntungan menggunakan SSE-CMM adalah sebagai berikut (Abzug et
al., 2003):
- Untuk Organisasi Engineering
Organisasi engineering meliputi Sistem Integrator, Pengembang
Aplikasi, Vendor Produk, dan Penyedia Layanan. Manfaat dari SSE-
CMM untuk organisasi ini meliputi:
a. Menyelamatkan tanpa harus bekerja terus menerus dalam proses
memprediksi dan praktik.
b. Kelayakan dalam kemampuan untuk kinerja, khususnya dalam
pemilihan sumber.
c. Berfokus pada kompetensi organisasi yang diukur dan diperbaiki
- Untuk Organisasi Acquiring
Acquirer termasuk organisasi yang memperoleh sistem, produk, dan
layanan dari eksternal/sumber internal dan pengguna akhir. Manfaat
dari SSE-CMM untuk organisasi ini meliputi:
a. Standar permintaan yang dapat digunakan kembali untuk bahasa
pengajuan dan cara evaluasi.
b. Mengurangi risiko (kinerja, biaya dan jadwal) dalam memilih
risiko yang tidak memenuhi syarat.
c. Lebih sedikit protes yang diakibatkan oleh penilaian yang sama
berdasarkan standar industri.
112
d. Dapat memprediksi tingkat kepercayaan dalam produk atau
layanan.
- Untuk Evaluasi Organiasasi
Evaluasi organisasi meliputi sistem sertifikasi, sistem akreditasi,
produk evaluator, dan produk penilai. Manfaat dari SSE-CMM untuk
organisasi meliputi:
a. Proses penilaian yang dapat digunakan kembali, kebebasan dari
sistem atau perubahan produk.
b. Keyakinan dalam rekayasa keamanan dan integrasi dengan
disiplin ilmu yang lain.
c. Kepercayaan berbasis kemampuan dalam bukti, mengurangi
beban kerja evaluasi keamanan.
2.18.4 Metode Perhitungan
Hasil dari perhitungan kuesioner yang dibuat rekapitulasi untuk
dapat mempresentasikan presentase dan maturity level (Surendro, 2009).
Rumus penilaian untuk tingkat kematangan adalah sebagai berikut:
1. Menghitung Rekapitulasi Jawaban Kuesioner
𝐶 = 𝐻
𝐽𝑅 𝑥 100%
Keterangan:
C: Rekapitulasi jawaban kuesioner Maturity Level (dalam bentuk
persentase pada masing-masing jawaban, a, b, c, d, e atau f di
masing-masing aktivitas).
113
H: Jumlah jawaban kuesioner Maturity Level pada masing-masing
pilihan jawaban a, b, c, d, e atau f di setiap aktivitas.
JR: Jumlah responden/narasumber.
2. Menghitung Nilai dan Level Kematangan
𝑁𝐾 = (𝐿𝑃𝑥𝑁𝑘𝑎) + (𝐿𝑃𝑥𝑁𝑘𝑏) + (𝐿𝑃𝑥𝑁𝑘𝑐) + (𝐿𝑃𝑥𝑁𝑘𝑑) + (𝐿𝑃𝑥𝑁𝑘𝑒) + (𝐿𝑃𝑥𝑁𝑘𝑓)
100
Keterangan:
NK: Nilai kematangan pada proses TI
LP: Nilai kematangan yang tertera pada tabel pemetaan jawaban, nilai
dan tingkat kematangan.
Dalam penelitian ini pembedaan istilah antara nilai
kematangan dan tingkat kematangan. Nilai kematangan dapat bernilai
tidak bulat (desimal), yang mempresentasikan proses pencapaian
menuju suatu tingkat kapabilitas tertentu. Sedangkan tingkat
kapabilitas lebih menunjukkan tahapan atau kelas yang dicapai dalam
proses kapabilitas yang dinyatakan dalam bilangan bulat (Surendro,
2009).
Tabel 2. 21 Nilai dan Level Kematangan (Sarno & Iffano, 2009)
Tingkat
Kemampuan Deskripsi
1 Performed Informally (Dilakukan Informal)
2 Planned and Tracked (Direncanakan dan Dilacak)
3 Well Defined (Didefinisikan dengan Baik)
4 Quantitatively Controlled (Dikendalikan secara
kuantitatif)
5 Continously Improving (Ditingkatkan terus
menerus)
114
Dari penjabaran teori diatas terkait System Security Engineering Capability
Maturity Model (SSE-CMM) adalah model yang dapat digunakan untuk
penerapan keamanan di dalam sistem teknologi informasi. Adapun
kelebihan dari SSE CMM dibandingkan model lainnya adalah tujuan
berfokus pada pendifinisian, peningkatan dan penilaian keamanan pada
kemampuan teknik dengan pendekatan model kematangan keamanan pada
keberlangsungan teknik dan metode penilaian. Tingkat kemampuan pada
SSE CMM dibagi menjadi lima bagian yaitu performed informally, planned
and tracked, well defined, quantitatively controlled, dan continuously
improving.
2.19 Teknik Pengumpulan Data
Pengumpulan data adalah prosedur yang bersifat sistematis dan
standar untuk memperoleh data yang diperlukan (Fathoni, 2006). Berikut
ini beberapa metode pengumpulan data penelitian, yaitu:
a. Wawancara
Wawancara adalah salah satu metode yang banyak digunakan dalam
penelitian eksploratif dan studi lapangan, pada prinsipnya tidak jauh
berbeda dengan kuesioner yang menggunakan format pertanyaan
terbuka. Wawancara bertujuan untuk mendapatkan informasi secara
langsung dari responden atau partisipan (Fathoni, 2006).
b. Kuesioner atau angket
115
Kuesioner merupakan metode pengumpulan data primer
menggunakan sejumlah beberapa pertanyaan atau pertanyaan
dengan format khusus. Metode pengumpulan data dengan kuesioner
ini paling umum digunakan dalam studi lapangan atau survei
(Fathoni, 2006).
c. Observasi
Observasi adalah metode pengumpulan data yang banyak dilakukan
dalam desain eksperimentasi (laboratorium dan lapangan) dan studi
kualitatif. Metode ini tepat digunakan ketika metode kuesioner dan
wawancara tidak mampu mengungkap data dan informasi
sesungguhnya dan data yang digali tersebut justru diragukan
validitasnya (Fathoni, 2006).
d. Studi Pustaka
Studi pustaka adalah teknik survei terhadap data yang telah ada
dengan menggali teori-teori yang telah berkembang dalam bidang
ilmu yang berkepentingan, mencari metode-metode serta teknik
penelitian baik dalam mengumpulkan data atau dalam menganalisis
data yang telah pernah digunakan oleh peneliti-peneliti terdahulu
(Fathoni, 2006).
2.19.1 Klasifikasi Data
Menurut Hasan (2009) data dapat diklasifikasikan berdasarkan
beberapa kriteria, yaitu berdasarkan susunan, sifat, waktu pengumpulan
dan sumbernya. Berikut ini penjelasannya.
116
Klasifikasi data menurut susunannya:
- Data acak atau data tunggal, merupakan data yang belum
tersusun atau dikelompokkan ke dalam kelas-kelas interval.
- Data berkelompok, merupakan data yang sudah tersusun atau
dikelompokkan ke dalam kelas-kelas interval. Data kelompok
disusun dalam bentuk distribusi frekuensi atau table frekuensi.
Klasifikasi data menurut sifatnya:
- Data kuantitatif, merupakan data yang berhubungan dengan
bilangan, dapat dilihat secara statistik.
- Data kualitatif, merupakan data yang tidak berhubungan
dengan bilangan, berwujud kata-kata dan kalimat.
Klasifikasi data menurut waktu pengumpulan:
- Data berkala, merupakan data yang terkumpul dari waktu ke
waktu untuk memberikan gambaran perkembangan suatu
kegiatan.
- Data cross section, merupakan data yang terkumpul pada suatu
waktu tertentu untuk memberikan gambaran perkembangan
keadaan atau kegiatan pada waktu itu.
Klasifikasi data menurut sumbernya:
- Data primer, merupakan data yang diperoleh atau
dikumpulkan oleh orang yang melakukan penelitian atau yang
bersangkutan yang memerlukannya, biasa disebut juga data
asli atau data baru.
117
- Data sekunder, merupakan data yang diperoleh atau
dikumpulkan dari sumber-sumber yang telah ada. Data itu
biasanya diperoleh dari perpustakaan atau laporan-laporan
penelitian terdahulu. Data sekunder disebut juga data tersedia.
Dari penjelasan maka diketahui pengumpulan data adalah
prosedur untuk mendapatkan data dengan metode wawancara, kuesioner
atau angket, observasi, studi pustaka. Adapun klasifikasi data dibagi
menurut susunannya (data acak atau tunggal dan data berkelompok), sifat
(kuantitatif dan kualitatif), dan waktu pengumpulan (data berkala dan data
cross section).
118
BAB III
METODOLOGI PENELITIAN
3.1 Tahap Plan
3.1.1 Observasi
Metode observasi dilakukan dengan pengamatan secara langsung
di Kantor Pusat PT Jasa Marga Divisi Information Technology (IT) Kota
DKI Jakarta, dengan melihat proses sistem keamanan informasi dan
proses untuk mendapatkan data yang dibutuhkan pada Divisi Information
Technology (IT) PT Jasa Marga Kota DKI Jakarta. Kegiatan observasi
dimulai pada bulan Mei sampai dengan bulan Agustus tahun 2018 yang
beralamat di Kampung Dukuh, Plaza Tol Taman Mini Jakarta Timur.
Dari kegiatan observasi didapatkan data berupa tugas dan fungsi dari PT
Jasa Marga, Visi dan Misi, serta struktur organisasi. Selain itu juga
melihat dan mengamati langsung aset-aset yang berada di Divisi
Information Technology (IT) PT Jasa Marga, serta mengamati sistem
keamanan informasi yang berjalan di Divisi Information Technology (IT)
Kantor Pusat PT Jasa Marga Kota DKI Jakarta.
119
3.1.2 Wawancara
Kegiatan wawancara dilakukan dengan melakukan tanya jawab
kepada beberapa staf ahli Divisi Information Technology (IT) untuk
mengetahui penerapan sistem keamanan informasi dan permasalahan apa
yang sering ditemui. Wawancara dilaksanakan pada:
Tabel 3. 1 Daftar Pelaksanaan Wawancara
No Hari/Tanggal Tempat Narasumber Jabatan
1 Kamis, 30 Mei
2018
Ruang Divisi
Information Technology
(IT)
Febrina Amir Manager Compliance
2 Kamis, 30 Mei
2018
Ruang Divisi
Information Technology
(IT)
Fajar Willys Penanggung Jawab
Keamanan Informasi
3 Kamis, 30 Mei
2018
Ruang Divisi
Information Technology
(IT)
Ayudya Rizka
Fauzia
Admin Data dan
Informasi
4 Kamis, 30 Mei
2018
Ruang Divisi Risk and
Quality Management
Dodi Lambardo Manager Risk and
Quality Management
3.1.3 Kuesioner
Pada penyebaran kuesioner penulis menyebarkan daftar
pertanyaan berdasarkan standar yang ada pada ISO/IEC 27001 dan
ISO/IEC 27002 tentang petunjuk kebutuhan dan pelaksanaan sistem
manajemen keamanan informasi, klausa yang dipilih dalam pembuatan
kuesioner berdasarkan nilai dari risiko keamanan informasi Divisi
Information Technology (IT) Kantor Pusat PT Jasa Marga Kota DKI
Jakarta. Adapun alasan penelitian ini menggunakan ISO/IEC 27001 dan
ISO/IEC 27002 adalah karena ISO/IEC 27001 dapat membantu
menentukan nilai risiko, menentukan kebutuhan pengamanan informasi
yang tepat yang lebih mengarah kepada manajerial, dan ISO/IEC 27002
120
membantu dalam penerapan kontrol keamanan informasi lebih merinci
yang mengarah kepada pengaturan operasional. Berdasarkan penelitian
diatas maka peneliti menarik kesimpulan bahwa, ISO/IEC 27001 dan
ISO/IEC 27002 dapat digunakan untuk membantu meningkatkan
keamanan informasi pada suatu organisasi baik dari sisi manajerial
maupun operasional. Berikut ini adalah daftar pertanyaan berdasarkan
ISO/IEC 27001:2013 dan ISO/IEC 27002:2013.
Tabel 3. 2 Instrumen Kuesioner (ISO/IEC 27001, 2013)
7 Keamanan Sumber Daya Manusia
7.2 Selama Bekerja
7.2.1 Tanggung Jawab Manajemen
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pihak manajemen menyediakan panduan sesuai dengan
keamanan informasi negara yang disesuaikan dengan
peran organisasi.
2 Pihak manajemen memberikan motivasi untuk
memenuhi kebijakan keamanan informasi organisasi.
3 Pihak manajemen melanjutkan persiapan kemampuan
yang tepat dan pengkualifikasian serta pembelajaran
pada kemampuan dasar.
7.2.2 Kesadaran, Pendidikan dan Pelatihan Keamanan Informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pendidikan dan pelatihan harus menyatakan komitmen
terhadap keamanan informasi di seluruh organisasi.
2
Terdapat prosedur dasar keamanan informasi (seperti
laporan insiden keamanan informasi) dan baseline
controls (seperti keamanan password, malware controls,
& clear desk).
3 Accountability pribadi untuk tindakan dan kelambanan
seseorang dan tanggung jawab untuk mengamankan atau
melindungi kepemilikan informasi organisasi atau pihak
luar.
7.2.3 Proses Tata Tertib
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Proses tata tertib bersifat formal dan komunikatif terkait
tindakan pelanggaran karyawan pada keamanan
informasi.
2
Proses tata tertib menjadi sebuah motivasi atau sebuah
insentif jika sanksi positif terkait perilaku pada
keamanan informasi.
7.3 Pemutusan Hubungan Kerja dan Perubahan Pekerjaan
121
7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja dan Perubahan Pekerjaan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Mengkomunikasikan tanggung jawab pemberhentian
termasuk kebutuhan tanggung jawab hukum keamanan
informasi saat ini.
2 Mengkomunikasikan syarat dan ketentuan bekerja.
3 Tanggung jawab dan tugas tetap sah setelah
pemberhentian bekerja dimana tertera pada syarat dan
ketentuan bekerja.
11 Keamanan Fisik dan Lingkungan
11.1 Area Aman
11.1.1 Lingkup Keamanan Fisik
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Lingkup keamanan harus didefinisikan dan penempatan
serta kekuatan lain pada lingkup berdasarkan kebutuhan
keamanan aset & hasil dari penilaian risiko.
2
Lingkup lokasi yang termasuk fasilitas pemrosesan
informasi harus dapat berbunyi (seperti pintu atau
jendela).
3 Tersedianya area penerima tamu untuk mengontrol
akses fisik (membatasi otorisasi, hanya untuk pegawai).
11.1.2 Kontrol Masuk Fisik
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Waktu dan tanggal dari masuk dan keberangkatan atau
kepergian pengunjung harus terekam dan semua
pengunjung harus diawasi kecuali akses mereka sudah
disetujui sebelumnya.
2
Semua pegawai, kontraktors dan pihak luar harus
menggunakan tanda pengenal yang terlihat dan
diketahui oleh divisi keamanan.
3 Akses ke area dimana kerahasiaan informasi diproses
harus dibatasi dan dilakukan otorisasi individual dengan
menerapkan kontrol akses yang tepat.
11.1.5 Bekerja di Area Aman
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Personil menyadari keberadaan, atau kegiatan dalam
sebuah wilayah yang aman pada kebutuhan untuk
mengetahui dasarnya.
2 Bekerja tanpa pengawasan di daerah-daerah yang harus
dihindari baik untuk alasan keamanan dan mencegah
peluang untuk kegiatan berbahaya.
3 Daerah-daerah yang kosong harus secara fisik terkunci
dan ditinjau secara berkala.
4
Pengambilan gambar, video, suara atau peralatan
perekam lainnya seperti kamera di perangkat mobile
tidak diperkenankan, kecuali telah di otorisasi.
11.2 Peralatan
11.2.1 Perlindungan dan Penempatan Peralatan
No Pernyataan Bobot 1 2 3 4 5 Nilai
122
1 Fasilitas yang menangani data sensitif pada pemrosesan
informasi diletakkan dengan hati-hati untuk mengurangi
risiko yang dihindari
2 Kontrol diterapkan untuk meminimalikan potensi
ancaman risiko fisik dan lingkungan
3 Menerapkan perlindungan khusus seperti selaput pada
keyboard
4 Perlindungan pada peralatan pengolahan informasi
rahasia untuk meminimalkan risiko kebocoran informasi
11.2.2 Keperluan Pendukung
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Peralatan sesuai dengan spesifikasi pabrik dan
persyaratan hukum setempat
2 Dilakukan penilaian secara berkala untuk mengetahui
kapasitas apakah sesuai dengan pertumbuhan bisnis
3 Dilakukan pemeriksaan dan pengujian secara teratur
untuk memastikan fungsinya
11.2.3 Keamanan Pengkabelan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Posisi saluran listrik dan telekomunikasi yang terhubung
dengan fasilitas pemrosesan informasi berada di bawah
tanah atau perlindungan alternatif
2 Pemisahan kabel daya dan kabel komunikasi
11.2.9 Kebijakan Meja dan Layar Bersih
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Penyimpanan informasi bisnis yang sensitif atau bersifat
kritis harus terkunci (seperti kertas atau media
penyimpanan elektronik)
2
Komputer and terminals ditinggalkan dalam keadaan
terkunci atau terlindungi dengan layar dan keyboard
dengan kontrol penguncian seperti password atau proses
authentication
3 Media yang berisi informasi sensitif atau rahasia harus
segera dihapus dari printer
16 Manajemen Insiden Keamanan Informasi
16.1 Manajemen Insiden Keamanan Informasi dan Peningkatan
16.1.1 Tanggung Jawab dan Prosedur
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur untuk perencanaan dan persiapan tanggap
insiden
2
Prosedur untuk memantau, mendeteksi, menganalisis
dan melaporkan kejadian dan insiden keamanan
informasi
3
Prosedur yang ditetapkan memastikan bahwa personel
yang menangani masalah memiliki kompeten terkait
insiden tersebut
4
Prosedur pelaporan mencakup proses umpan balik yang
sesuai untuk memastikan bahwa orang-orang yang
melaporkan kejadian keamanan informasi diberitahu
tentang hasil setelah masalah tersebut telah ditangani
dan ditutup
123
16.1.2 Laporan Kejadian Keamanan Informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pelaporan kontrol keamanan yang tidak efektif
2 Pelaporan pelanggaran keutuhan, kerahasiaan, dan
ketersediaan informasi
3 Pelaporan pelanggaran pengaturan keamanan fisik
16.1.7 Kumpulan Bukti
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur mempertimbangkan keamanan bukti
2 Prosedur mempertimbangkan keamanan personel
3 Prosedur mempertimbangkan keamanan dokumentasi
18 Penyesuaian
18.1 Penyesuaian dengan Hukum dan Kebutuhan Kontraktual/Perjanjian
18.1.2 Hak Kekayaan Intelektual
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Mengeluarkan kebijakan kepatuhan hak kekayaan
intelektual yang mendefinisikan penggunaan sah
perangkat lunak dan produk informasi
2
Mendapatkan perangkat lunak melalui sumber yang
diketahui dan memiliki reputasi baik, untuk memastikan
hak cipta tidak dilanggar
3
Menjaga kesadaran kebijakan untuk melindungi hak
kekayaan intelektual dan memberikan pemberitahuan
tentang niat untuk mengambil tindakan disipliner
terhadap personel yang melanggar mereka
Tabel 3. 3 Instrumen Pertanyaan (ISO/IEC 27002,2013)
5 Kebijakan keamanan informasi
5.1 Arahan manajemen untuk keamanan informasi
5.1.1 Kebijakan untuk keamanan informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Kebijakan keamanan informasi berdasarkan atau sesuai
dengan strategi bisnis
2 Kebijakan keamanan informasi berdasarkan atau sesuai
dengan peraturan, undang-undang, dan kontrak perjanjian
3 Kebijakan untuk keamanan informasi sesuai kebutuhan saat
ini dan proyeksi keamanan informasi terhadap ancaman
lingkungan
4 Kebijakan keamanan informasi mendukung prinsip kontrol
akses, hak akses dan pembatasan untuk peran pengguna
tertentu
5 Kebijakan keamanan informasi mendukung keamanan fisik
dan lingkungan
8 Manajemen aset
8.1 Tanggung jawab terhadap aset
8.1.1 Inventarisasi aset
124
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi harus mengidentifikasi aset yang relevan pada
siklus informasi (pembuatan, pemrosesan, penyimpanan,
penyampaian, penghapusan, dan penghancuran) dan
dokumen yang penting
2 Dokumentasi aset dipelihara dalam pendedikasian atau
penyimpanan yang tepat
8.1.2 Kepemilikan Aset
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi dapat menentukan aset yang diinventariskan
2 Organisasi dapat menentukan pengklasifikasian aset dan
perlindungan yang tepat
3 Penanganan yang tepat bila aset dihapus atau dihancurkan
8.1.3 Penggunaan aset yang dapat diterima
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pegawai dan pihak eksternal atau pengguna yang memiliki
akses pada aset organisasi harus memiliki kesadaran
kebutuhan keamanan informasi dan fasilitas pemrosesan
informasi dan sumber daya lainnya
2 Tanggung jawab terhadap penggunaan pengolahan sumber
daya informasi dan penggunaan tersebut dilakukan
berdasarkan tanggung jawab yang dimiliki.
8.1.4 Pengembalian Aset
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Proses penghentian atau pemberhentian pegawai atau pihak
luar harus disahkan termasuk pengembalian semua aset yang
diberikan sebelumnya baik aset fisik dan elektronik oleh
organisasi.
2 Pegawai atau pengguna dari pihak luar yang membeli
peralatan organisasi atau menggunakan peralatan mereka
secara pribadi, prosedur harus diikuti untuk menentukan
bahwa semua informasi yang terkait telah dipindahkan atau
dialihkan ke organisasi dan dihapus dengan aman dari
peralatan atau perangkat.
3 Pengetahuan dan kemampuan pegawai atau pengguna pihak
luar yang memiliki peran penting pada kegiatan selanjutnya,
perlu dilakukan dokumentasi terkait informasi tersebut dan
diberikan ke organisasi.
4 Selama periode pemberitahuan penghentian, organisasi harus
mengontrol penyalinan yang tidak sah terkait informasi yang
relevan (seperti intelektual) oleh karyawan dan kontraktor
yang telah berhenti
9 Kontrol akses
9.1 Persyaratan bisnis kontrol akses
9.1.1 Kebijakan kontrol akses
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Kebijakan harus mempertimbangkan kebutuhan keamanan
dari aplikasi bisnis
2 Kebijakan dari penyebaran dan otorisasi informasi (seperti
kebutuhan untuk tahu prinsip dan informasi tingkat
keamanan dan klasifikasi informasi)
125
3 Konsistensi antara hak-hak akses dan informasi klasifikasi
kebijakan sistem dan jaringan
4 Perundangan yang relevan dan kewajiban kontrak apapun
terkait dengan pembatasan akses ke data atau layanan
5 Menentukan aturan-aturan terkait "segala sesuatu yang
umumnya dilarang kecuali diizinkan secara tersurat"
6 Aturan khusus yang dibutuhkan terkait sebelum berlakunya
persetujuan dan tidak disetujui
9.4 Kontrol akses sistem dan aplikasi
9.4.1 Pembatasan akses informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Menyediakan menu untuk akses kontrol terhadap fungsi
sistem aplikasi
2 Mengontrol data yang dapat diakses oleh pengguna pribadi
3 Mengontrol hak akses pengguna
4 Mengontrol hak akses dari aplikasi lain
5 Menyediakan akses kontrol fisik atau logis untuk isolasi
aplikasi sensitif, seperti data atau sistem.
9.4.2 Prosedur Keamanan Log-on
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Upaya melindungi login terhadap serangan brute force
2 Upaya memberitahu log berhasil atau sebaliknya
3 Upaya peningkatan keamanan jika terdeteksi kemungkinan
atau ancaman yang masuk pada kontrol login
4 Tidak mengirimkan password pada teks yang jelas pada
sebuah jaringan
5 Menghentikan session yang telah berakhir atau tidak aktif
setelah pemberitahuan periode, khusus lokasi berisiko tinggi
seperti lingkungan umum atau diluar organisasi atau pada
perangkat mobile
6 Membatasi waktu koneksi untuk penambahan penyediaan
keamanan pada aplikasi berisiko tinggi dan mengurangi
window/celah dari kesempatan akses yang tidak berhak.
10 Kriptografi
10.1 Kontrol Kriptografi
10.1.1 Kebijakan tentang penggunaan kontrol Kriptografi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pendekatan manajemen menggunakan kontrol kriptografi di
seluruh lingkup organisasi (termasuk prinsip umum yang
melingkupi informasi bisnis harus dilindungi)
2 Berdasarkan penilaian risiko, dibutuhkan tingkatan
perlindungan yang dapat mengidentifikasi jenis, kekuatan,
kualitas kebutuhan algoritma enkripsi
3 Penggunaan enkripsi untuk melindungi perpindahan
informasi ke mobile atau removable media devices atau
seluruh jaringan komunikasi
12 Keamanan Operasi
12.1 Tanggung jawab dan Prosedur Operasional
126
12.1.1 Prosedur Dokumentasi Operasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur dokumentasi terkait instalasi dan konfigurasi sistem
2 Prosedur dokumentasi terkait pengolahan dan penanganan
informasi baik secara otomatis dan manual
3 Dilakukan pembackup-an
4 Kebutuhan penjadwalan termasuk ketergantungan dengan
sistem lain, awal waktu pekerjaan dimulai (job start) dan
pekerjaan terbaru selesai
5 Prosedur sistem restart dan pemulihan untuk digunakan
dalam hal kegagalan sistem
6 Manajemen jejak (rekam jejak) audit dan log sistem
informasi
7 Prosedur pemantauan (monitoring)
12.1.2 Manajemen Perubahan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Mengidentifikasi dan merekam perubahan yang signifikan
atau berarti
2 Mengontrol perencanaan dan pengujian perubahan
3 Mengukur dampak kemungkinan perubahan (dampak pada
keamanan informasi)
12.2 Perlindungan terhadap malware
12.2.1 Kontrol terhadap malware
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Membuat sebuah kebijakan resmin yang melarang
penggunaan perangkat lunak yang tidak sah
2 Menerapkan kontrol yang mencegah atau mendeteksi
penggunaaan perangkat lunak yang tidak sah
3 Kontrol penerapan untuk mencegah atau mendeteksi
penggunaan dugaan atau pelanggaran situs web berbahaya
4 Mendefinisikan prosedur dan tanggung jawab untuk
berurusan dengan perlindungan malware pada sistem,
pelatihan dalam penggunaannya, pelaporan dan pemulihan
dari serangan malware
5 Menyiapkan rencana keberlanjutan bisnis untuk pemulihan
dari serangan malware, termasuk semua data yang
dibutuhkan dan perangkat lunak cadangan, pengaturan
pemulihan
12.6 Manajemen Kelemahan Teknikal
12.6.1 Manajemen dari Kelemahan Teknikal
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi harus mendefinisikan dan menetapkan peran dan
tanggung jawab asosiasi dengan manajemen kerentanan
teknis, termasuk pemantauan (monitoring), pengukuran
kerentanan risiko, penelusuran aset dan dibutuhkan
tanggungjawab koordinasi
2 Sebuah kronologi (timeline) harus didefinisikan untuk
mereaksi pemberitahuan terkait potensi kerentanan teknis
3 Catatan/log audit harus disimpan untuk semua prosedur yang
dilakukan
127
4 Keefektifitasan proses manajemen kerentanan teknis harus
sesuai dengan kegiatan manajemen insiden untuk
mengkomunikasikan data dalam kerentanan terhadap fungsi
tanggapan insiden dan menyediakan prosedur teknikal yang
harus dilakukan saat insiden terjadi
5 Sistem dengan risiko tinggi harus diutamakan
6 Manajemen kerentanan teknis harusnya dipantau secara
teratur dan dievaluasi dengan maksud untuk menjamin
keefektifitasan dan keefisiensiannya
Berikut ini beberapa persamaan dan perbedaan dari ISO/IEC 27001
dan ISO/IEC 27002.
Tabel 3. 4 Persamaan dan Perbedaan pada ISO/IEC 27001 dan ISO/IEC 27002
(ISO/IEC 27001 dan ISO/IEC 27002, 2013)
Persamaan Perbedaan
ISO/IEC
27001
1. Merupakan bagian
ISO/IEC 27000 series;
2. Standar yang menangani
sistem manajemen
keamanan informasi;
3. Merupakan standar
yang dapat digunakan
untuk kepentingan
organisasi dan
memberikan layanan untuk
pelanggannya
1. Standar yang digunakan dalam menentukan kebutuhan
keamanan informasi;
2. Standar yang dapat digunakan dalam berbagai aspek
manajemen;
3. Standar yang merinci tugas manajerial yaitu, penilaian
risiko dan meninjau keamanan;
4. Standar yang memberitahukan persyaratan pada
manajemen keamanan informasi dalam organisasi;
5. Standar yang mencakup daftar kontrol manajemen untuk
organisasi;
6. Standar yang dapat digunakan untuk mengaudit dan
mengesahkan Sistem Manajemen Keamanan Informasi
(SMKI) organisasi.
ISO/IEC
27002
1. Standar yang menangani kontrol keamanan sistem
dengan tindakan yang lebih merinci atau mendetail;
2. Seperangkat standar dan prosedur untuk mengamankan
informasi;
3. Standar yang memberikan dukungan dan panduan untuk
pengguna yang bertanggung jawab dalam memulai,
menerapkan atau memelihara Sistem Manajemen
Keamanan Informasi (SMKI);
4. Panduan penerapan berdasarkan saran praktik terbaik;
5. Standar yang memiliki daftar kontrol operasional untuk
organisasi;
6. Standar yang digunakan untuk menilai kelengkapan
Program Keamanan Informasi organisasi.
Berikut adalah tabel pemilihan klausul pada penelitian ini.
128
Tabel 3. 5 Pemilihan Klausul ISO/IEC 27001 (ISO/IEC 27001, 2013)
Klausul ISO/IEC 27001 Alasan
7 Keamanan Sumber Daya Manusia - Sub klausul 7.2.1 memberikan arahan kepada
manajemen untuk menerapkan keamanan
informasi kepada seluruh karyawan sesuai
kebijakan dan prosedur;
- Sub klausul 7.2.2 kontrol yang membantu
seluruh karyawan untuk mendapatkan
kesadaran pendidikan dan pelatihan secara
berkala sesuai dengan pekerjaan mereka;
- Sub klausul 7.2.3 kontrol yang mengarahkan
kepada proses pendisiplinan pegawai.
7.2 Selama Bekerja
7.2.1 Tanggung Jawab Manajemen
7.2.2 Kesadaran, Pendidikan dan Pelatihan
Keamanan Informasi
7.2.3 Proses Tata Tertib
7.3 Pemutusan Hubungan Kerja dan Perubahan
Pekerjaan - Sub klausul 7.3.1 kontrol terkait tanggung
jawab keamanan informasi untuk menangani
keabsahan pegawai setelah berhenti atau terjadi
perubahan.
7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja
dan Perubahan Pekerjaan
11 Keamanan Fisik dan Lingkungan - Sub klausul 11.1.1 kontrol yang menetapkan
pertahanan atau perlindungan untuk area
informasi sensitif atau kritis serta fasilitasnya;
- Sub klausul 11.1.2 kontrol yang menangani
otorisasi pegawai pada keamanan area;
- Sub klausul 11.1.5 merancang dan menerapkan
kontrol untuk prosedur bekerja.
11.1 Area Aman
11.1.1 Lingkup Keamanan Fisik
11.1.2 Kontrol Masuk Fisik
11.1.5 Bekerja di Area Aman
11.2 Peralatan - Sub klausul 11.2.1 kontrol yang menangani
penempatan dan perlindungan terhadap
peralatan untuk mengurangi risiko dari
ancaman lingkungan;
- Sub klausul 11.2.2 kontrol yang melindungi
dari kegagalan sumber daya atau gangguan
lainnya;
- Sub klausul 11.2.3 kontrol yang menangani
perlindungan terhadap daya dan kabel
telekomunikasi atau layanan pendukung
informasi;
- Sub klausul 11.2.9 kontrol terkait kebijakan
kebersihan meja dari kertas dan removable
storage dan kebijakan layar dari pemrosesan
informasi.
11.2.1 Perlindungan dan Penempatan Peralatan
11.2.2 Keperluan Pendukung
11.2.3 Keamanan Pengkabelan
11.2.9 Kebijakan Meja dan Layar Bersih
16 Manajemen Insiden Keamanan Informasi - Sub klausul 16.1.1 kontrol terkait penetapan
tanggung jawab manajemen dan prosedur untuk
respon cepat dan efektif terhadap insiden
keamanan;
- Sub klausul 16.1.2 kontrol untuk pelaporan
kejadian keamanan informasi;
- Sub klausul 16.1.7 kontrol yang membantu
pendefinisian dan penerapan prosedur untuk
memberikan bukti.
16.1 Manajemen Insiden Keamanan Informasi dan
Peningkatan
16.1.1 Tanggung Jawab dan Prosedur
16.1.2 Laporan Kejadian Keamanan Informasi
16.1.7 Kumpulan Bukti
18 Penyesuaian - Sub klausul 18.1.2 kontrol untuk menerapkan
prosedur yang tepat terhadap penyesuaian
dengan legislatif, peraturan yang terkait dengan
hak kekayaan intelektual dari produk perangkat
lunak.
18.1 Penyesuaian dengan Hukum dan Kebutuhan
Kontraktual/Perjanjian
18.1.2 Hak Kekayaan Intelektual
129
Tabel 3. 6 Pemilihan Klausul ISO/IEC 27002 (ISO/IEC 27002, 2013)
Klausul ISO/IEC 27002 Alasan
5 Kebijakan keamanan informasi - Sub klausul 5.1.1 kontrol yang mendefinisikan
kebijakan keamanan informasi dan disetujui oleh
manajemen, dan diberitahukan keseluruh pegawai
dan pihak eskternal;
5.1 Arahan manajemen untuk keamanan
informasi
5.1.1 Kebijakan untuk keamanan informasi
8 Manajemen aset - Sub klausul 8.1.1 kontrol yang membantu
mengidentifikasi dan menginventariskan aset yang
dibuat dan memeliharanya;
- Sub klausul 8.1.2 kontrol yang menangani aset yang
dipertahankan;
- Sub klausul 8.1.3 kontrol yang menangani aturan
terkait penggunaan informasi yang diterima, aset,
dan fasilitas dilakukan pengidentifikasian,
pendokumentasian, dan penerapan;
- Sub klausul 8.1.4 kontrol yang menangani
pengembalian aset oleh pegawai setelah
pemberhentian, habis masa kontrak atau sesuai
pernyataan.
8.1 Tanggung jawab terhadap aset
8.1.1 Inventarisasi aset
8.1.2 Kepemilikan Aset
8.1.3 Penggunaan aset yang dapat diterima
8.1.4 Pengembalian Aset
9 Kontrol akses - Sub klausul 9.1.1 kontrol terkait penetapan,
pendokumentasian, dan peninjauan kebijakan akses
berdasarkan bisnis dan kebutuhan keamanan
informasi.
9.1 Persyaratan bisnis kontrol akses
9.1.1 Kebijakan kontrol akses
9.4 Kontrol akses sistem dan aplikasi - Sub klausul 9.4.1 kontrol terkait pembatasan akses
informasi dan fungsi sistem berdasarkan kebijakan
kontrol akses;
- Sub klausul 9.4.2 kontrol yang menangani prosedur
log on yang aman jika diperlukan kebijakan kontrol
akses.
9.4.1 Pembatasan akses informasi
9.4.2 Prosedur Keamanan Log-on
10 Kriptografi - Sub klausul 10.1.1 kontrol terkait kebijakan
penggunaaan kriptografi yang dikembangkan dan
diterapkan.
10.1 Kontrol Kriptografi
10.1.1 Kebijakan tentang penggunaan kontrol
Kriptografi
12 Keamanan Operasi - Sub klausul 12.1.1 kontrol yang menangani
penyediaan prosedur pengoperasian yang tersedia
untuk seluruh pegawai;
- Sub klausul 12.1.2 kontrol yang menangani segala
perubahan di organisasi seperti proses bisnis,
fasilitas pemrosesasn informasi dan sistem yang
mempengaruhi informasi.
12.1 Tanggung jawab dan Prosedur
Operasional
12.1.1 Prosedur Dokumentasi Operasi
12.1.2 Manajemen Perubahan
12.2 Perlindungan terhadap malware - Sub klausul 12.2.1 kontrol untuk perlindungan
terhadap malware dengan pendeteksian, pencegahan,
dan pemulihan kontrol yang dikombinasikan secara
tepat.
12.2.1 Kontrol terhadap malware
12.6 Manajemen Kelemahan Teknikal - Sub klausul 12.6.1 kontrol untuk mengetahui
kerentanan teknis yang diperoleh secara tepat waktu
dari sistem informasi.
12.6.1 Manajemen dari Kelemahan Teknikal
130
3.1.4 Studi Literatur
Dalam penyusunan tugas akhir (skripsi) ini, metode studi literatur
dilakukan dengan membaca, mempelajari dan memahami berbagai
sumber bacaan, baik itu buku, e-book, jurnal dan skripsi-skripsi terdahulu
yang mempunyai hubungan dengan permasalahan yang didapat dan
dapat dijadikan sebagai dasar dari penulisan skripsi ini. Penelitian ini
menggunakan referensi berupa jurnal dan skripsi terdahulu yang
membahas tentang penelitian dengan menggunakan ISO/IEC 27001,
ISO/IEC 27002 dan menilai tingkat kematangan keamanan informasi
menggunakan System Security Engineering Capability Maturity Model
(SSE-CMM). Adapun daftar buku yang menjadi referensi dalam
penelitian ini dapat dilihat pada daftar pustaka.
Tabel 3. 7 Studi Literatur
1 Peneliti Heru Susanto et al
Judul Penelitian Information Security Management System Standards: A
Comparative Study of the Big Five
Tahun Penelitian 2011
Institusi FBEPS, University of Brunei Information System Group
Tool ISO/IEC 27001, BS 7799, PCIDSS, ITIL, COBIT
Kelebihan - Penelitian ini membandingkan standar sistem manajemen
keamanan informasi yaitu ISO/IEC 27001, BS 7799,
PCIDSS, ITIL dan COBIT.
- Metode yang digunakan adalah dengan membandingkan
negara yang menginisiasi dan menerapkan standar, dan
posisi standar pada keamanan informasi.
Kekurangan Penelitian dilakukan dengan membandingkan dari sisi
fungsi secara umum tanpa adanya penerapan langsung pada
studi kasus.
Hasil Penelitian ini menghasilkan ISO/IEC 27001 dan BS 7799
fokus utamanya pada sistem manajemen keamanan
informasi, PCIDSS berfokus pada keamanan transaksi
bisnis dan kartu pintar, sedangkan ITIL dan COBIT
berfokus keamanan informasi dengan keterkaitannya pada
manajemen projek dan tata kelola teknologi informasi.
2 Peneliti Georg Disterer
131
Judul Penelitian ISO/IEC 27000, 27001 and 27002 for Information Security
Management
Tahun Penelitian 2013
Institusi University of Applied Sciences and Arts, Hannover,
Germany
Tool ISO/IEC 27000, 27001, 27002
Kelebihan - Penelitian ini menggunakan ISO/IEC 27000, 27001, dan
27002.
- Metode yang digunakan adalah dengan menganalisa
dokumen PD 0003A A Code of Practice for Information
Security Management.
Kekurangan Penelitian hanya dilakukan dengan menganalisa dokumen
tanpa pengimplementasian langsung.
Hasil Hasil pada penelitian ini adalah standar ISO/IEC 27000,
27001, 27002 dapat membentuk kerangka kerja untuk
merancang dan mengoperasikan Sistem Manajemen
Keamanan Informasi (SMKI), serta untuk memastikan
tingkat keamanan informasi yang memadai dengan standar
internasional.
3 Peneliti J. Mejia et al
Judul Penelitian Proposal of a Hybrid Process to Manage Vulnerabilities in
Web Applications
Tahun Penelitian 2016
Institusi Centro de Investigación en Matemáticas, Av. Universidad
Tool ISO/IEC 27002
Kelebihan - Membantu mengidentifikasi dan mengatur kelemahan
pada aplikasi
- Metode menggunakan CERT-CMM Model
Kekurangan Standar yang digunakan hanya ISO/IEC 27002
Hasil Hasil pada penelitian ini adalah proporsi kerentanan pada
lapisan aplikasi masuk kategori tinggi.
4 Peneliti Anirban Sengupta
Judul Penelitian Modeling Dependencies of ISO/IEC 27002:2013 Security
Controls
Tahun Penelitian 2015
Institusi Jadavpur University, Kolkata, India
Tool ISO/IEC 27002
Kelebihan - ISO/IEC 27002 yang digunakan versi 2013
- Membantu manajer menerapkan kontrol yang tepat.
Kekurangan Standar yang digunakan hanya ISO/IEC 27002
Hasil Penelitian ini menganalisis ketergantungan kontrol
ISO/IEC 27002:2013, dengan pengkategorian penerapan
tugas dan kontrol.
5 Peneliti Natalia Miloslavskaya dan Alexander Tolstoy
Judul Penelitian Information Security Specialist Training on the Basis of
ISO/IEC 27002
Tahun Penelitian 2013
Institusi Moscow Engineering Physics Institute (State University),
Russia
Tool ISO/IEC 27002
Kelebihan Metode yang digunakan adalah dengan menganalisa
pengalaman dan kemampuan staf berdasarkan ISO/IEC
27002
Kekurangan Standar yang digunakan hanya ISO/IEC 27002
132
Hasil Penelitian ini menghasilkan beberapa daftar yang harus
diketahui (should-know), bisa dilakukan (be able), dan
dapat memberikan solusi atau ide (have an idea)
6 Peneliti Ferry Febrianto dan Dana Indra Sensuse
Judul Penelitian Evaluasi Keamanan Informasi Menggunakan ISO/IEC
27002: Studi Kasus pada STIMIK Tunas Bangsa
Banjarnegara
Tahun Penelitian 2017
Institusi Universitas AMIKOM Yogyakarta
Tool ISO/IEC 27002
Kelebihan - Mengetahui tingkat keamanan pengelolaan informasi.
- Metode penelitian kualitatif dan pengukurannya
menggunakan metode maturity level
Kekurangan Standar yang digunakan hanya ISO/IEC 27002
Hasil Hasil penelitian ini adalah tingkat kematangan sebesar 2,6.
7 Peneliti Euis Shobariah
Judul Penelitian Perencanaan Sistem Manajemen Keamanan Sistem
Informasi Berdasarkan Standar ISO/IEC 27001:2013 (Studi
Kasus Dinas Komunikasi dan Informatika Kota Depok)
Tahun Penelitian 2015
Institusi Universitas Islam Negeri UIN Syarif Hidayatullah Jakarta
Tool ISO/IEC 27001
Kelebihan - Menggunakan standar ISO/IEC 27001:2013
- Pemilihan klausul berdasarkan nilai dan risiko keamanan
informasi di Bidang Data dan Informasi DISKOMINFO
Kota Depok
Kekurangan Standar yang digunakan hanya ISO/IEC 27001
Hasil Penelitian ini menemukan level resiko keamanan
menggunakan 3 level matriks resiko yaitu high risk, medium
risk dan low risk.
8 Peneliti Riawan Arbi Kusuma
Judul Penelitian Audit Keamanan Sistem Informasi Berdasarkan Standar
ISO 27001 Pada Sistem Informasi Akademik Universitas
Islam Negeri Sunan Kalijaga Yogyakarta
Tahun Penelitian 2014
Institusi Universitas Islam Negeri Sunan Kalijaga Yogyakarta
Tool SNI ISO 27001
Kelebihan Menggunakan standar SNI ISO 27001 terhadap faktor
keamanan informasi, dan membantu mengetahui tingkat
keamanan pada Sistem Informasi Akademik.
Kekurangan Standar yang digunakan hanya ISO/IEC 27001
Hasil Penelitian ini menghasilkan tingkatan keamanan pada
sistem informasi akademik berada pada skala kematangan
dalam skala model 2 (Repeatable but Intuitive)
9 Peneliti Indah Kusuma Dewi
Judul Penelitian Usulan Manajemen Risiko Berdasarkan SNI ISO
27001:2009 Menggunakan indeks KAMI (Keamanan
Informasi) Studi Kasus: Badan Nasional Penempatan dan
Perlindungan Tenaga Kerja Indonesia (BNP2TKI)
Tahun Penelitian 2014
Institusi Universitas Islam Negeri UIN Syarif Hidayatullah Jakarta
Tool SNI ISO 27001:2009
Kelebihan Metode penilaian menggunakan indeks KAMI
Kekurangan Standar yang digunakan hanya SNI ISO 27001
133
Hasil Hasil evaluasi peran dan tingkat kepentingan teknologi
informasi dan komunikasi (TIK) mendapat skor 31 yaitu
kategori Tinggi, hasil evaluasi kelengkapan penerapan
keamanan informasi berada di kategori Kesiapan Dalam
Perbaikan, sedangkan untuk tingkat kematangan informasi
berada pada kategori tingkat I yaitu Kondisi Awal (Reaktif).
10 Peneliti Lusi Anggarini
Judul Penelitian Audit Keamanan Sistem Informasi Perpustakaan Kota
Yogyakarta Berdasarkan Standar ISO/IEC 27001
Tahun Penelitian 2016
Institusi Universitas Islam Negeri Sunan Kalijaga Yogyakarta
Tool SNI/ISO 27001
Kelebihan Metode penilaian menggunakan pendekatan maturity model
dengan 6 tahapan skala kematangan.
Kekurangan Standar yang digunakan hanya ISO/IEC 27001
Hasil Hasil penelitian ini menunjukkan tingkat kematangan
keamanan sistem informasi berada pada level defined
process yaitu 2,6 (Baik).
Alasan utama penggunaan ISO/IEC 27001 dan ISO/IEC 27002
pada penelitian ini adalah karena standar yang berfokus pada sistem
manajemen keamanan informasi. Pada penelitian sebelumnya ada yang
menggunakan ISO/IEC 27001 sebagai perbandingan dengan standar
lainnya yang berdasarkan fungsi secara umum dan penerapan dari
ISO/IEC 27002. Berdasarkan penelitian-penelitian diatas, peneliti
menyimpulkan bahwa ISO/IEC 27001 dapat digunakan untuk membantu
penetapan kebijakan keamanan informasi pada organisasi, sedangkan
ISO/IEC 27002 mambantu pelaksanaan dari kebijakan yang telah dibuat.
Adapun kelebihan yang diberikan pada penelitian ini adalah penggunaan
ISO/IEC 27001 dan ISO/IEC 27002 untuk mengetahui kondisi
penerapan fungsi keamanan informasi saat ini, baik dari sisi manajerial
maupun operasional.
134
3.1.5 Penentuan Ruang Lingkup
Pada tahap ini, peneliti, kepala Divisi Information Technology,
penanggung jawab keamanan sistem, dan manajer compliance
melakukan pertemuan untuk membicarakan tentang manajemen
keamanan informasi yang akan dibangun. Pada tahap ini hal yang harus
diprioritaskan adalah adanya keterlibatan antara dua belah pihak, hal
yang dibutuhkan dalam menentukan ruang lingkup setelah melakukan
pengumpulan data adalah sebagai berikut:
1. Karakteristik yang dimiliki oleh PT Jasa Marga pusat, yang
bertujuan untuk mempelajari profil, visi dan misi.
2. Lokasi PT Jasa Marga pusat dan seberapa besar Divisi Information
Technology, bertujuan untuk mengetahui tugas dan struktur bidang
data dan informasi.
3. Aset-aset yang dimiliki, bertujuan untuk mengidentifikasi aset
apa saja yang dimiliki oleh Divisi Information Technology PT Jasa
Marga. Aset yang dimiliki yaitu, aset informasi, aset infrastruktur,
dan aset layanan yang berlokasi di ruang Information Technology.
4. Teknologi yang digunakan bertujuan untuk mengidentifikasi
teknologi apa saja yang digunakan dalam menjalani proses bisnis
sehari-hari. Contoh teknologi yang dipakai pada Divisi Information
Technonlogy kantor PT Jasa Marga pusat adalah server,
uninterruptible power supply (UPS), fiber optic, switch, kabel local
area network (LAN), dan lain-lain.
135
3.1.6 Menentukan Kebijakan
Adapun penentuan kebijakan berisi pernyataan sebagai berikut:
1. Definisi keamanan informasi, tinjauan dan prinsip-prinsip untuk
memandu semua kegiatan yang berkaitan dengan keamanan
informasi yang akan diterapkan Divisi Information Technonlogy
kantor PT Jasa Marga pusat.
2. Tanggung jawab, tugas umum dan khusus manajemen keamanan
informasi harus didefinisikan sehingga dapat dijalankan pada Divisi
Information Technonlogy kantor PT Jasa Marga pusat.
3.2 Tahap Do
Tahap ini merupakan pengimplementasian dari hasil tahap plan,
dilakukan dengan cara menanyakan kepada Divisi Information
Technonlogy kantor PT Jasa Marga pusat dan melihat keadaan disana
secara langsung. Tahap Do ini dilakukan dengan serangkaian aktivitas
sebagai berikut:
1. Mengidentifikasi risiko yang terjadi di Divisi Information
Technonlogy kantor PT Jasa Marga pusat, langkah untuk
mengidentifikasi risiko adalah sebagai berikut:
a) Mengidentifikasi aset yang dimiliki oleh Divisi Information
Technonlogy kantor pusat PT Jasa Marga, setelah
mengidentifikasi aset-aset tersebut kemudian dinilai
berdasarkan aspek keamanan informasi yaitu: kerahasiaan
136
(confidentiality), keutuhan (integrity), dan ketersediaan
(availability).
b) Mengidentifikasi ancaman dan kelemahan yang dimiliki oleh
aset pada Divisi Information Technonlogy kantor PT Jasa
Marga pusat yang dapat mengganggu proses bisnis pada Divisi
Information Technonlogy kantor PT Jasa Marga pusat, setelah
itu menghitung nilai dari ancaman tersebut.
2. Melakukan analisis dan evaluasi risiko berdasarkan hasil
identifikasi yang sudah dilakukan pada tahap sebelumnya, untuk
memahami level risiko Divisi Information Technonlogy kantor PT
Jasa Marga yang mungkin terjadi dan menentukan apakah risiko
yang terjadi langsung diterima atau masih dilakukan pengelolaan
(treatment) agar risiko dapat diterima dengan dampak yang bisa
ditoleransi. Langkah untuk menganalisis dan mengevaluasi risiko
adalah sebagai berikut:
a) Melakukan analisis dampak bisnis (Business Impact
Analysis) pada Divisi Information Technonlogy PT Jasa
Marga, analisis dampak bisnis ini dilakukan dengan
menentukan skala nilai BIA.
b) Mengidentifikasi level risiko (risk level) Divisi Information
Technonlogy kantor PT Jasa Marga pusat tahapan ini bertujuan
untuk menilai tingkat risiko yang terjadi jika dihubungkan
dengan dampak dan probabilitas ancaman yang mungkin
137
terjadi. Untuk mengidentifikasi level risiko Divisi Information
Technonlogy PT Jasa Marga dapat membuat matriks level
risiko.
c) Menentukan risiko diterima atau perlu pengelolaan risiko pada
Divisi Information Technonlogy kantor PT Jasa Marga, tahap
ini berdasarkan pada kriteria penerimaan risiko. Langkah ini
melakukan penilaian terhadap risiko dari informasi yang
dimiliki untuk mengetahui berapa nilai risiko dari informasi
yang ada pada Divisi Information Technonlogy PT Jasa Marga.
3.3 Tahap Check
Dari hasil yang didapat pada tahap do, tahap selanjutnya adalah
tahap check, yaitu memilih objektif kontrol dan kontrol keamanan
informasi yang akan diterapkan di Divisi Information Technonlogy kantor
PT Jasa Marga pusat berdasarkan nilai dari risiko informasi yang sudah
dilakukan penilaian pada tahap sebelumnya. Pada tahap ini dilakukan
pemantauan, ulasan dan audit internal pada Divisi Information
Technonlogy kantor PT Jasa Marga pusat dengan melakukan tingkat
kematangan (maturity level) dengan menggunakan System Security
Engineering Capability Maturity Model (SSE-CMM). Langkah-langkah
dalam menentukan maturity level adalah sebagai berikut:
1. Pembuatan Pernyataan
138
Setelah ditentukan objektif kontrol dan kontrol keamanan
informasi apa saja yang akan diterapkan dari pengukuran risiko,
kemudian dibuat pernyataan berdasarkan kontrol keamanan dari
setiap objektif kontrol yang dipilih untuk diterapkan di Divisi
Information Technonlogy kantor PT Jasa Marga pusat. Pernyataan
ini dibuat dan disesuaikan berdasarkan standar ISO/IEC
27002:2013.
2. Penentuan Nilai Tingkat Kemampuan
Untuk menilai level kemampuan keamanan pada Divisi
Information Technonlogy kantor PT Jasa Marga pusat pada tiap
pernyataan digunakan System Security Engineering Capability
Maturity Level (SSE-CMM).
Tabel 3. 8 Tingkat Kemampuan (Sarno & Iffano, 2009)
Tingkat
Kemampuan Deskripsi
1 Performed Informally (Dilakukan Informal)
2 Planned and Tracked (Direncanakan dan Dilacak)
3 Well Defined (Didefinisikan dengan Baik)
4 Quantitatively Controlled (Dikendalikan secara
kuantitatif)
5 Continously Improving (Ditingkatkan terus-
menerus)
3. Penentuan Maturity Level
Penentuan maturity level adalah rata-rata dari seluruh control
keamanan yang telah dihitung level kemampuannya, setiap klausul
mempunyai beberapa objektif kontrol, dan setiap objektif kontrol
mempunyai beberapa kontrol kemanan informasi rata-rata yang
139
diambil setiap objektif kontrol dan rata-rata keseluruhan klausul
yang menghasilkan nilai maturity level pada klausul tersebut.
3.4 Tahap Act
Setelah didapatkan hasil dari tahap check, selanjutnya adalah tahap
act. Tahap ini dilakukan langkah perbaikan dan pengembangan
manajemen keaman informasi Divisi Information Technonlogy kantor PT
Jasa Marga pusat dengan memberikan rekomendasi terhadap objektif
kontrol dan kontrol keamanan informasi yang sudah di nilai tingkat
kemampuan nya pada tahap sebelumnya. Rekomendasi yang diberikan
mengacu pada ISO/IEC 27001 dan ISO/IEC 27002.
3.5 Kerangka Penelitian
140
Metode Observasi
Metode Wawancara
Kusioner
Studi Literatur
Mulai
Tahap Plan
Penentuan ruang lingkup
Menentukan kebijakan ISO 27001 dan ISO
27002
Tahap DoMengidentifikasi
Risiko
Mengidentifikasi Aset dan Menilai Aset
Mengidentifikasi Ancaman dan Kelemahan, Menghitung Nilai Ancaman
Menganalisis dan Mengevaluasi Resiko
Menganalisis Dampak Bisnis
Mengidentifikasi Level Resiko
Menilai Resiko
Tahap Check
Memilih Objektif Kontrol dan Kontrol Keamanan Informasi
Berdasarkan ISO 27001: 2013 dan ISO
27002:2013
Penentuan Nilai Tingkat Kemampuan Menggunakan SSE-
CMM
Pembuatan Pernyataan
Penentuan Nilai Tingkat Kemampuan
Penentuan Maturity Level
Tahap Act
Rekomendasi terhadap objektif kontrol dan kontrol keamanan
informasi yang sudah di nilai tingkat kemampuannya mengacu pada ISO
27001:2013 dan ISO 27002:2013
Implementasi Akses Kontrol yang mengacu pada ISO/IEC 27002:2013
Kesimpulan dan Saran
Selesai
Metode Evaluasi Menggunakan
PDCA
Gambar 3. 1 Kerangka Penelitian
141
BAB IV
HASIL DAN PEMBAHASAN
4.1 Tahap Plan
4.1.1 Menentukan Ruang Lingkup Keamanan Informasi
4.1.1.1 Gambaran Umum Organisasi
4.1.1.1.1 PT Jasa Marga
Melalui Peraturan Pemerintah No.04 Tahun 1978, pada
tanggal 01 Maret 1978 Pemerintah mendirikan PT Jasa Marga
(Persero) Tbk. Tugas utama Jasa Marga adalah merencanakan,
membangun, mengoperasikan dan memelihara Jalan Tol serta sarana
kelengkapannya agar Jalan Tol dapat berfungsi sebagai jalan bebas
hambatan yang memberikan manfaat lebih tinggi daripada jalan
umum bukan tol. Berdasarkan hal tersebut diatas dan dan
sebagaimana yang tercermin dalam Visi dan Misi, maka Jasa Marga
menawarkan jasa layanan Jalan Tol yang meliputi pengembangan dan
pengoperasian Jalan Tol. Berikut ini adalah jumlah aset pendukung
yang ada pada Divisi Information Technology (IT).
142
142
Tabel 4. 1 Data Aset Pendukung pada Divisi Information Technology (IT)
No Nama Aset Jenis Jumlah
Item
1 Laptop Hardware 20
2 Server Physical Hardware 8
3 Windows server 2012 R.2 Software 1
4 Windows 10 Software 1
5 Microsoft Office 2016 Software 1
6 Microsoft SQL Server 2008 Software 1
7 Air Conditioner (AC) Fasilitas Pendukung 6
8 Uninterruptible Power
Supply (UPS)
Jaringan 1
9 Fiber Optic Jaringan 1
10 CCTV Fasilitas Pendukung 3
11 Switch Fasilitas Pendukung 2
12 Wi-Fi Fasilitas Pendukung 1
13 Aplikasi IT Service Desk Fasilitas Pendukung 1
14 Oracle Database 11.2.0.1 Software 1
15 Windows 7 Software 1
16 Microsoft Office 2013 Software 1
17 Avira Antivirus 2019 Software 1
18 Kaspersky Antivirus 2018 Software 1
19 Server Storage Hardware 1
20 Server Virtual Software 33
4.1.1.1.2 Sejarah PT Jasa Marga
Untuk mendukung gerak pertumbuhan ekonomi, Indonesia
membutuhkan jaringan jalan yang andal. PT Jasa Marga (Persero) Tbk
dibentuk berdasarkan Peraturan Pemerintah Republik Indonesia No.04
tahun 1978 tentang Penyertaan Modal Negara Republik Indonesia
dalam pendirian Perusahaan Perseroan (Persero) di bidang pengelolaan,
pemeliharaan, dan pengadaan jaringan jalan tol, serta ketentuan-
ketentuan pengusahaannya (Lembaran Negara Republik Indonesia No.
04 tahun 1978 juncto Surat Keputusan Menteri Keuangan Republik
143
Indonesia No. 90/KMK.06/1978 tentang Penetapan Modal Perusahaan
Perseroan (Persero) PT Jasa Marga tanggal 27 Februari 1978.
4.1.1.1.3 Visi, Misi, dan Logo PT Jasa Marga
4.1.1.1.3.1 Visi
Adapun Visi PT Jasa Marga adalah sebagai berikut:
- Memiliki keuntungan finansial (financial soundness) yang relatif
tinggi di industrinya dan memberikan nilai investasi dalam jangka
panjang (long-term investment value).
- Menjadi market leader di industrinya.
- Selalu melakukan inovasi sehingga mempunyai kualitas produk dan
layanan yang ekselen, melalui inovasi yang terus-menerus.
- Memiliki tanggung jawab sosial kepada masyarakat dan lingkungan.
- Mempunyai Manajemen Perusahaan yang berkualitas.
- Menjadi panutan dalam pengelolaan Human Capital bagi
perusahaan lain dan pilihan untuk berkarier bagi orang-orang yang
bertalenta.
4.1.1.1.3.2 Misi
Berikut ini adalah Misi dari PT Jasa Marga:
- Mewujudkan Percepatan Pembangunan Jalan Tol.
- Menyediakan Jalan Tol yang Efisiensi dan Andal.
- Meningkatkan Kelancaran Distribusi Barang dan Jasa.
144
4.1.1.1.3.3 Logo
Sejak tahun 1978, logo Perseroan telah dua kali mengalami
perubahan, yaitu pada tahun 1993 dan 2007.
Logo Perseroan yang digunakan sejak tahun 2007 memperlihatkan
perubahan yang merupakan cerminan atas komitmen yang kuat
untuk tumbuh menjadi perusahaan yang bercitra sebagai pemimpin,
modern, dan profesional di industrinya.
Adapun arti dari logo PT Jasa Marga adalah sebagai berikut:
- Konfigurasi jalan membentuk huruf “J” merupakan cermin
perjalanan historis Perseroan, mencitrakan Perseroan yang
semakin dinamis.
- Warna biru dan kuning pada logo mencerminkan harapan dan
masa depan, serta semangat dan komitmen.
- Bola berwarna biru menunjukkan bahwa Jasa Marga menuju
perusahaan yang memiliki standar global. Pelayanan jalan tol
terus dikembangkan untuk memenuhi standar tersebut.
Gambar 4. 1 Logo PT. Jasa Marga (Annual Report PT.Jasa Marga, 2016)
145
4.1.1.1.4 Divisi Information Technology PT Jasa Marga
Divisi Information and Technology merupakan divisi yang
memastikan tersedianya rencana strategis bidang teknologi dan
komunikasi perusahaan dan mengarahkan, memimpin dan
mengendalikan pelaksanaan serta kegiatan dan program kerja di
bidang pengoperasian Jalan Tol Anak Perusahaan.
4.1.1.1.5 Struktur Organisasi PT Jasa Marga
Gambar 4. 2 Struktur Organisasi PT Jasa Marga (IT Masterplan PT Jasa Marga, 2014)
146
4.1.1.1.6 Struktur Divisi Information Technology (IT) PT Jasa Marga
Divisi Information
Technology (IT)
Departemen IT
Planning
Departemen IT
Development
Departemen IT
Operation
Departemen IT
Control and
Monitoring
Seksi IT System
Analyst & Portfolio
Seksi IT Platform &
Architecture
Seksi IT Decision
Support and EIS
Seksi Toll Collection
Devices
Seksi Traffic
Infocomm Devices
Seksi IT
Infrastructure
Seksi IT Application
and Database
Seksi IT Operation
Management
Seksi IT Compliance
Seksi IT Quality
Assurance and
Security
Gambar 4. 3 Struktur Organisasi Divisi Information Technology (IT) (IT
Masterplan PT Jasa Marga, 2014)
4.1.1.2 Ruang Lingkup Keamanan Informasi
Adapun ruang lingkup pada keamanan informasi dilakukan
pada proses dan kegiatan perencanaan di divisi Information
Technology (IT) dengan berfokus pada perencanaan keamanan
informasi karena sesuai dengan fungsi divisi IT yang berfokus pada
pengendalian informasi, sehingga perlu dilakukan upaya
perlindungan secara maksimal.
147
4.1.2 Menentukan Kebijakan Keamanan Informasi
Perencanaan Sistem Manajemen Keamanan Informasi (SMKI)
berdasarkan standar ISO/IEC 27001:2013. Standar ISO/IEC 27001:2013
dapat digunakan untuk serangkaian proses dalam pengoperasian keamanan
teknologi informasi yang akan menjadi kebijakan dan dasar dari
pelaksanaan SMKI serta ISO/IEC 27002:2013 yang berkaitan dengan
keamanan dan kontrol akses keamanan informasi yang memungkinkan
bisnis untuk menerapkan keamanan yang tepat.
Demi kelancaran proses bisnis pada Divisi Information
Technology diperlukan perlindungan aset organisasi dan membutuhkan
SMKI yang akan diimplementasikan. Kebutuhan bisnis dari Divisi
Information Technology selalu berubah sesuai dengan perkembangan,
sehingga Divisi Information Technology harus mampu mengembangkan
dan memelihara SMKI yang sesuai dengan kebutuhan untuk
perkembangan bisnis.
Berikut adalah arahan dan tujuan penerapan SMKI yang sesuai
dengan kebijakan dan kontrol akses keamanan informasi memungkinkan
bisnis untuk menerapkan keamanan yang tepat.
1. Tujuan
Kebijakan keamanan informasi dan kontrol akses keamanan informasi
adalah bagian dari keseluruhan SMKI yang harus diikuti oleh semua
pegawai Divisi Information Technology PT Jasa Marga. Kebijakan
keamanan informasi bertujuan melindungi:
148
a. Integritas yaitu keutuhan atau kualitas informasi yang aman dan
benar.
b. Kerahasiaan yaitu informasi hanya dapat diakses orang yang
berkepentingan.
c. Ketersediaan yaitu informasi atau teknologi informasi telah siap
untuk digunakan.
Kebijakan keamanan informasi digunakan untuk melindungi informasi
organisasi dan teknologi informasi pada Divisi Information Technology.
Kontrol akses keamanan informasi berfokus pada teknis pemberdayaan,
pemeliharaan aset, dan tingkat keamanan khususnya pada kondisi fisik
untuk pemeliharaan pada Divisi Information Technology.
2. Kebijakan Keamanan Informasi
Divisi Information Technology PT Jasa Marga menerapkan
perlindungan aset informasi secara tepat, yang ingin terlepas dari nilai
ancaman dan kerentanan akan keamanan informasi yang dapat terjadi.
Untuk itu, Ketua Divisi Information Technology PT Jasa Marga akan
memastikan seluruh sistem memiliki kinerja yang baik. Tujuan
kebijakan ini adalah untuk membangun SMKI sesuai dengan standar
ISO/IEC 27001:2013 pada Divisi Information Technology PT Jasa
Marga, agar tidak terjadi penghambatan akses yang tidak sah, transfer
data, perubahan data, kerusakan data, dan pencurian aset informasi.
Divisi Information Technology memiliki tujuan mengajak para pegawai
untuk mengikuti kebijakan, kontrol, dan pedoman, dengan melakukan
149
pelatihan keamanan informasi kepada seluruh pegawai. Dalam hal ini,
Ketua Divisi Information Technology berperan dan bertanggung jawab
dalam pengelolaan proses SMKI dan saran dalam bimbingan
pelaksanaan untuk Divisi Information Technology. Penilaian risiko
dilakukan oleh Divisi Information Technology secara berkala untuk
menentukan tindaklanjut yang diperlukan.
3. Kontrol Akses Keamanan Informasi
Divisi Information Technology PT Jasa Marga memiliki kontrol akses
keamanan informasi bertujuan untuk fokus pada teknis pemberdayaan,
pemeliharaan aset, dan tingkat keamanan yang dimiliki, khusus dalam
kondisi fisik untuk pemeliharaannya. Standar ini merupakan referensi
lengkap dan sesuai untuk PT Jasa Marga yang belum pernah di
standarisasi sebelumnya oleh ISO/IEC 27001 dan ISO/IEC 27002.
Diharapkan memberikan dampak baik setelah melakukan prosedur ini,
agar dapat melakukan pengontrolan terhadap keamanan informasi.
Standar ini dapat dilihat sebagai praktik terbaik dalam pemilihan kontrol
keamanan informasi, dan pemilihan kontrol keamanan ini sesuai dengan
kebutuhan masing-masing di dalam organisasi untuk diberlakukan
dilingkungan bisnis organisasi tersebut.
150
4.2 Tahap Do
4.2.1 Mengidentifikasi Risiko
4.2.1.1 Mengidentifikasi dan Menghitung Nilai Aset
Tahap pertama dalam pengidentifikasian risiko adalah dengan
mengidentifikasi aset pada Divisi Information Technology (IT) yang
terkait dengan inforrmasi. Terdapat dua jenis aset yaitu:
1. Aset Utama
Berikut ini merupakan identifikasi aset utama yang dimiliki PT
Jasa Marga yang peneliti temukan pada divisi Information Technology
(IT):
Tabel 4. 2 Aset Utama PT Jasa Marga
No Nama Aset Jenis Penjelasan Lokasi
1 Database Web Portal
Internal
Informasi Database berisi data-data Surat
Keputusan (SK), Kuesioner,
Pengumuman, Galeri Foto dan
Video
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
2 Database RQM (Risk
Quality Management)
Informasi Database berisi data-data sistem
RQM (Risk Quality Management)
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
3 Database
Kepegawaian
Informasi Database berisi data aplikasi cuti,
aplikasi lembur, aplikasi absensi,
aplikasi e-payslip, aset, SK Online,
E-CV, dan SMKK
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
4 Database Lelang
Jabatan
Informasi Database berisi data jabatan
pegawai dan posisi jabatan yang
kosong
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
5 Database Legal and
Compliance
Informasi Database berisi data bagian
persuratan hukum dan izin
perusahaan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
6 Database LPSE
(Layanan Pengadaan
Secara Elektronik)
Informasi Database berisi data terkait layanan
pegadaan elektronik yang
dibutuhkan dan digunakan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
7 Database Internal
GCG
Informasi Database berisi data internal GCG
yang digunakan untuk penilaian
atau telah dilakukan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
151
8 Database JMDC (Jasa
Marga Development
Center)
Informasi Database berisi data terkait sistem
yang perlu dikembangkan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
9 Database EOPA
(Electronic
Operational
Performance
Appraisal)
Informasi Database berisi data kegiatan
operasional pada khususnya lokasi
lapangan di jalan tol
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
10 Database Knowledge
Management
Informasi Database berisi data dari sistem
knowledge management berupa
sharing ilmu dan pengalaman antar
pegawai
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
11 Database Lalu Lintas
Tol
Informasi Database berisi data kondisi lalu
lintas pada jalan tol
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
12 Database Jadwal
Direksi
Informasi Database berisi jadwal direksi
berupa pertemuan, konferensi, dan
rapat direksi
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
13 Database Oracle
Hyperion Planning
Informasi Database berisi data
pengembangan pada sistem
Hyperion Planning
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
14 Database JMACT
(Jasa Marga Adukan
Cermati Tuntaskan)
Informasi Database berisi data pengaduan
pada PT Jasa Marga
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
15 Database Related
Business
Development
Informasi Database berisi data
pengembangan bisnis terkait pada
PT Jasa Marga
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
16 Database PKBL
(Program Kemitraan
dan Bina
Lingkungan)
Informasi Database berisi data programan
kemitraan dan bina lingkungan
yang dilakukan oleh PT Jasa Marga
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
17 Database IT Service
Desk
Informasi Database berisi data layanan yang
dilakukan oleh divisi Information
Technology (IT) kepada divisi lain
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
18 Database ERP Informasi Database berisi data sistem ERP Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
19 Database Keuangan
Anak Perusahaan
Informasi Database berisi data keuangan
anak perusahaan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
20 Database Sistem
Informasi Manajemen
Informasi Database berisi data dari sistem
informasi manajemen
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
2. Aset Pendukung
152
Berikut ini merupakan identifikasi aset pendukung yang dimiliki
PT Jasa Marga yang peneliti temukan pada divisi Information
Technology (IT):
Tabel 4. 3 Aset Pendukung PT Jasa Marga
No Nama Aset Jenis Penjelasan Lokasi
1 Laptop Hardware Komputer yang dipakai oleh
pegawai divisi Information
Technology (IT) Kantor Pusat
PT Jasa Marga
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
2 Server Physical Hardware Digunakan untuk mengakses
Web dan aplikasi pada kantor
pusat PT Jasa Marga: Type
IBM x3620
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
3 Windows server 2012
R.2
Software Sistem operasi yang digunakan
pada komputer Server
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
4 Windows 10 Software Sistem operasi yang digunakan
pada komputer pegawai
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
5 Microsoft Office 2016 Software Aplikasi yang digunakan pada
komputer pegawai untuk
mengolah data
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
6 Microsoft SQL Server
2008
Software Aplikasi database yang
digunakan oleh pegawai
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
7 Air Conditioner (AC) Fasilitas
Pendukung
Perangkat Pendingin Ruangan Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
8 Uninterruptible Power
Supply (UPS)
Jaringan Alat yang digunakan untuk
pencadangan listrik jika terjadi
kehilangan energi dari sumber
utamanya
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
9 Fiber Optic Jaringan Kabel jaringan yang dapat
mentransmisi data melalui
media cahaya.
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
10 CCTV Fasilitas
Pendukung
Alat perekam berupa kamera
yang mengawasi kegiatan yang
dapat merekam gambar dan
suara
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
11 Switch Fasilitas
Pendukung
Untuk membagi jaringan
internet dari Internet Service
Provider (ISP) kepada seluruh
pegawai
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
12 Wi-Fi Fasilitas
Pendukung
Berfungsi untuk komunikasi
atau transfer program dan data
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
153
13 Aplikasi IT Service
Desk
Fasilitas
Pendukung
Aplikasi yang digunakan oleh
pegawai apabila menemukan
permasalahan pada aplikasi
lain, atau masalah terkait
teknologi informasi
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
14 Oracle Database
11.2.0.1
Software Aplikasi database yang
digunakan oleh pegawai
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
15 Windows 7 Software Sistem operasi yang digunakan
pada komputer pegawai
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
16 Microsoft Office 2013 Software Aplikasi yang digunakan pada
komputer pegawai untuk
mengolah data
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
17 Avira Antivirus 2019 Software Aplikasi antivirus yang
digunakan oleh pegawai untuk
mengetahui serangan dari
pihak yang tidak diinginkan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
18 Kaspersky Antivirus
2018
Software Aplikasi antivirus yang
digunakan oleh pegawai untuk
mengetahui serangan dari
pihak yang tidak diinginkan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
19 Server Storage Hardware Media yang digunakan untuk
menyimpan data perusahaan
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
20 Server Virtual Software Digunakan untuk mengakses
layanan dan aplikasi yang ada
pada PT Jasa Marga
Divisi Information
Technology (IT) Kantor
Pusat PT Jasa Marga
Setelah semua aset divisi Information Technology (IT) PT Jasa
Marga teridentifikasi, selanjutnya adalah dilakukan perhitungan untuk
mengetahui seberapa nilai dari masing masing aset yang dimiliki.
Peneliti melakukan penghitungan nilai aset berdasarkan pada aspek
keamanan informasi adalah: kerahasiaan (confidentiality), keutuhan
(integrity) dan ketersediaan (availability). Di bawah ini merupakan
tabel hasil penilaian aset dari masing-masing aspek keamanan
informasi yang dimiliki oleh divisi Information Technology (IT) PT
Jasa Marga, penilaian aset ini dilakukan oleh Manajer Compliance
divisi Information Technology (IT) PT Jasa Marga.
1. Aset Utama
154
Tabel 4. 4 Nilai Aset Utama
No Nama Aset
Nilai
Confidentiality
(NC)
Nilai
Integrity
(NI)
Nilai
Availability
(NA) Nilai Aset
1 Database Web Portal Internal 1 3 4 8
2 Database RQM (Risk Quality
Management)
3 3 3 9
3 Database Kepegawaian 3 3 3 9
4 Database Lelang Jabatan 4 3 2 9
5 Database Legal and
Compliance
4 3 4 11
6 Database LPSE (Layanan
Pengadaan Secara Elektronik)
4 3 3 10
7 Database Internal GCG 4 3 3 10
8 Database JMDC (Jasa Marga
Development Center)
4 3 3 10
9 Database EOPA (Electronic
Operational Performance
Appraisal)
3 3 3 9
10 Database Knowledge
Management
3 3 3 9
11 Database Lalu Lintas Tol 0 4 4 8
12 Database Jadwal Direksi 4 4 3 11
13 Database Oracle Hyperion
Planning
4 3 4 11
14 Database JMACT (Jasa Marga
Adukan Cermati Tuntaskan)
3 4 4 11
15 Database Related Business
Development
4 4 3 11
16 Database PKBL (Program
Kemitraan dan Bina
Lingkungan)
3 3 3 9
17 Database IT Service Desk 3 4 4 11
18 Database ERP 3 4 4 11
19 Database Keuangan Anak
Perusahaan
4 4 3 11
20 Database Sistem Informasi
Manajemen
4 3 3 10
155
2. Aset Pendukung
Tabel 4. 5 Nilai Aset Pendukung
No Nama Aset
Nilai
Confidentiality
(NC)
Nilai
Integrity
(NI)
Nilai
Availability
(NA) Nilai Aset
1 Laptop 1 1 3 5
2 Server Physical 2 2 2 6
3 Windows server 2012 R.2 2 1 3 6
4 Windows 10 1 3 3 7
5 Microsoft Office 2016 1 3 3 7
6 Microsoft SQL Server 2008 2 1 2 5
7 Air Conditioner (AC) 1 0 2 3
8 Uninterruptible Power Supply
(UPS)
2 0 1 3
9 Fiber Optic 2 0 2 4
10 CCTV 1 2 3 6
11 Switch 2 2 1 5
12 Wi-Fi 1 2 3 6
13 Aplikasi IT Service Desk 1 1 1 3
14 Oracle Database 11.2.0.1 1 2 1 4
15 Windows 7 1 2 2 5
16 Microsoft Office 2013 1 2 2 5
17 Avira Antivirus 2019 1 3 2 6
18 Kaspersky Antivirus 2018 1 2 2 5
19 Server Storage 1 3 2 6
20 Server Virtual 1 2 2 5
4.2.1.2 Mengidentifikasi Kelemahan, Ancaman, dan Menilai terhadap Aset
Kelemahan merupakan salah satu ancaman pada prosedur
keamanan informasi, perencanaan, implementasi atau kontrol di Divisi
Information Technology (IT) terhadap perlindungan informasi yang
dimiliki, dan pada dasarnya kelemahan mempunyai kerentanan yang
berbeda.
156
Ancaman adalah kejadian yang dapat merugikan proses bisnis di
Divisi Information Technology (IT). Tujuan dari tahapan ini adalah untuk
mengetahui ancaman yang mungkin terjadi yang dapat membahayakan
sistem pada Divisi Information Technology (IT). Hasil dari tahap ini
adalah daftar kelemahan dan ancaman yang mungkin dapat
membahayakan Divisi Information Technology (IT).
Selanjutnya diidentifikasi kelemahan dan ancaman menggunakan
ISO/IEC 27001:2013 dan ISO/IEC 27002:2013 sebagai code practice
untuk memaksimalkan pemeliharaan aset selanjutnya juga kontrol akses
pada keamanannya.
1. Aset Utama
1. Database Web Portal Internal
Tabel 4. 6 Daftar Kelemahan dan Ancaman Database Web Portal Internal
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
2. Database RQM (Risk Quality Management)
Tabel 4. 7 Daftar Kelemahan dan Ancaman Database RQM (Risk Quality
Management)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
157
7 Hackers Threat
8 Cracker Threat
3. Database Kepegawaian
Tabel 4. 8 Daftar Kelemahan dan Ancaman Database Kepegawaian
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
4. Database Lelang Jabatan
Tabel 4. 9 Daftar Kelemahan dan Ancaman Database Lelang Jabatan
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
5. Database Legal and Compliance
Tabel 4. 10 Daftar Kelemahan dan Ancaman Database Legal and Compliance
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
158
6. Database LPSE (Layanan Pengadaan Secara Elektronik)
Tabel 4. 11 Daftar Kelemahan dan Ancaman Database LPSE (Layanan Pengadaan
Secara Elektronik)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
7. Database Internal GCG
Tabel 4. 12 Daftar Kelemahan dan Ancaman Database Internal GCG
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
8. Database JMDC (Jasa Marga Development Center)
Tabel 4. 13 Daftar Kelemahan dan Ancaman Database JMDC (Jasa Marga
Development Center)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
159
9. Database EOPA (Electronic Operational Performance Appraisal)
Tabel 4. 14 Daftar Kelemahan dan Ancaman Database EOPA (Electronic Operational
Performance Appraisal)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
10. Database Knowledge Management
Tabel 4. 15 Daftar Kelemahan dan Ancaman Database Knowledge Management
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
11. Database Lalu Lintas Tol
Tabel 4. 16 Daftar Kelemahan dan Ancaman Database Lalu Lintas Tol
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
12. Database Jadwal Direksi
Tabel 4. 17 Daftar Kelemahan dan Ancaman Database Jadwal Direksi
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
160
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
13. Database Oracle Hyperion Planning
Tabel 4. 18 Daftar Kelemahan dan Ancaman Database Oracle Hyperion Planning
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
14. Database JMACT (Jasa Marga Adukan Cermati Tuntaskan)
Tabel 4. 19 Daftar Kelemahan dan Ancaman Database JMACT (Jasa Marga Adukan
Cermati Tuntaskan)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
15. Database Related Business Development
Tabel 4. 20 Daftar Kelemahan dan Ancaman Database Related Business Development
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
161
16. Database PKBL (Program Kemitraan dan Bina Lingkungan)
Tabel 4. 21 Daftar Kelemahan dan Ancaman Database PKBL (Program Kemitraan
dan Bina Lingkungan)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
17. Database IT Service Desk
Tabel 4. 22 Daftar Kelemahan dan Ancaman Database IT Service Desk
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
18. Database ERP
Tabel 4. 23 Daftar Kelemahan dan Ancaman Database ERP
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
162
19. Database Keuangan Anak Perusahaan
Tabel 4. 24 Daftar Kelemahan dan Ancaman Database Keuangan Anak Perusahaan
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
20. Database Sistem Informasi Manajemen
Tabel 4. 25 Daftar Kelemahan dan Ancaman Database Sistem Informasi Manajemen
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
2. Aset Pendukung
1. Laptop
Tabel 4. 26 Daftar Kelemahan dan Ancaman pada Laptop
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Gangguan Listrik Threat
6 Pencuri Threat
2. Server Physical
Tabel 4. 27 Daftar Kelemahan dan Ancaman pada Server Physical
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
163
3 Data Corruption (Kerusakan Data) Vulnerable
4 Software Bug Vulnerable
5 Bot-network Operation Threat
6 Pencuri Threat
7 Hackers Threat
8 Cracker Threat
9 Pegawai Internal Threat
10 Spammers Threat
11 Virus Attack Threat
12 Virus Author Threat
13 Gangguan Listrik Threat
14 Gangguan Jaringan Komunikasi dari Vendor Threat
3. Windows server 2012 R.2
Tabel 4. 28 Daftar Kelemahan dan Ancaman pada Windows server 2012 R.2
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
4. Windows 10
Tabel 4. 29 Daftar Kelemahan dan Ancaman pada Windows 10
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
5. Microsoft Office 2016
Tabel 4. 30 Daftar Kelemahan dan Ancaman pada Microsoft Office 2016
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
164
6. Microsoft SQL Server 2008
Tabel 4. 31 Daftar Kelemahan dan Ancaman pada Microsoft SQL Server 2008
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
7. Air Conditioner (AC)
Tabel 4. 32 Daftar Kelemahan dan Ancaman pada Air Conditioner (AC)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat Keras) Vulnerable
3 Gangguan Listrik Threat
8. Uninterruptible Power Supply (UPS)
Tabel 4. 33 Daftar Kelemahan dan Ancaman pada Uninterruptible Power Supply (UPS)
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat
Keras)
Vulnerable
9. Fiber Optic
Tabel 4. 34 Daftar Kelemahan dan Ancaman pada Fiber Optic
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Environment Threat
10. CCTV
Tabel 4. 35 Daftar Kelemahan dan Ancaman pada CCTV
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat
Keras)
Vulnerable
3 Dara Corruption (Kerusakan Data) Vulnerable
4 Gangguan Listrik Threat
5 Gangguan Jaringan Komunikasi Internal Threat
165
11. Switch
Tabel 4. 36 Daftar Kelemahan dan Ancaman pada Switch
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Gangguan Listrik Threat
12. Wi-Fi
Tabel 4. 37 Daftar Kelemahan dan Ancaman pada Wi-Fi
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat
Keras)
Vulnerable
3 Software Bug Vulnerable
4 Gangguan Listrik Threat
5 Bot-network Operation Threat
6 Hacker Therat
7 Pegawai Internal Threat
8 Spammer Threat
9 Virus Author Threat
10 Gangguan Jaringan Komunikasi dari Vendor Threat
11 Gangguan Jaringan Komunikasi Internal Threat
13. Aplikasi IT Service Desk
Tabel 4. 38 Daftar Kelemahan dan Ancaman pada Aplikasi IT Service Desk
No Kejadian Jenis
1 Hardware Failure (Gangguan Perangkat
Keras)
Vulnerable
2 Data Corruption (Kerusakan Data) Vulnerable
3 Virus Attack Threat
14. Oracle Database 11.2.0.1
Tabel 4. 39 Daftar Kelemahan dan Ancaman pada Oracle Database 11.2.0.1
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
166
15. Windows 7
Tabel 4. 40 Daftar Kelemahan dan Ancaman pada Windows 7
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
16. Microsoft Office 2013
Tabel 4. 41 Daftar Kelemahan dan Ancaman pada Microsoft Office 2013
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
17. Avira Antivirus 2019
Tabel 4. 42 Daftar Kelemahan dan Ancaman pada Avira Antivirus 2019
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
18. Kaspersky Antivirus 2018
Tabel 4. 43 Daftar Kelemahan dan Ancaman pada Kaspersky Antivirus 2018
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Kurang Kesadaran Pengguna Vulnerable
3 Software Bug Vulnerable
4 Virus Attack Threat
19. Server Storage
Tabel 4. 44 Daftar Kelemahan dan Ancaman pada Server Storage
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat
Keras)
Vulnerable
167
3 Software Bug Vulnerable
4 Gangguan Listrik Threat
5 Bot-network Operation Threat
6 Hacker Therat
7 Pegawai Internal Threat
8 Spammer Threat
9 Virus Author Threat
10 Gangguan Jaringan Komunikasi dari Vendor Threat
11 Gangguan Jaringan Komunikasi Internal Threat
20. Server Virtual
Tabel 4. 45 Daftar Kelemahan dan Ancaman pada Server Virtual
No Kejadian Jenis
1 Power Failure (Gangguan Sumber Daya) Vulnerable
2 Hardware Failure (Gangguan Perangkat
Keras)
Vulnerable
3 Software Bug Vulnerable
4 Gangguan Listrik Threat
5 Bot-network Operation Threat
6 Hacker Therat
7 Pegawai Internal Threat
8 Spammer Threat
9 Virus Author Threat
10 Gangguan Jaringan Komunikasi dari Vendor Threat
11 Gangguan Jaringan Komunikasi Internal Threat
Setelah melakukan mengetahui kelemahan dan ancaman pada aset
yang ada di Divisi Information Technology (IT), selanjutnya akan
dilakukan penentuan kemungkinan kejadian terhadap aset di Divisi
Information Technology (IT) yang dilakukan peneliti bersama Manajer
Compliance.
Berikut ini merupakan hasil dari identifikasi Manajer Compliance
dalam menilai kelemahan dan ancaman yang terjadi terhadap aset yang
dimiliki oleh divisi Information Technology (IT).
1. Aset Utama
168
1. Database Web Portal Internal
Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman Database Web Portal
Internal
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure (Gangguan
Sumber Daya)
Vulnerable Low 0,1
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable High 0,7
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Medium 0,4
7 Hackers Threat Medium 0,4
8 Cracker Threat Medium 0,4
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,9
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,36
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,36 dan termasuk ke dalam kategori Medium.
2. Database RQM (Risk Quality Management)
Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Database RQM (Risk
Quality Management)
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure (Gangguan
Sumber Daya)
Vulnerable Medium 0,5
2 Hardware Failure (Gangguan
Perangkat Keras)
Vulnerable Medium 0,4
3 Data Corruption (Kerusakan
Data)
Vulnerable Low 0,2
4 Software Bug Vulnerable Low 0,1
5 Bot-network operation Threat Low 0,1
6 Pencuri Threat Medium 0,4
7 Hackers Threat Medium 0,4
8 Cracker Threat Medium 0,4
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,1
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,26
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,26 dan termasuk ke dalam kategori Low.
169
3. Database Kepegawaian
Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Database Kepegawaian
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,5
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,2
4 Software Bug Vulnerable Medium 0,6
5 Bot-network operation Threat Low 0,2
6 Pencuri Threat Medium 0,4
7 Hackers Threat Medium 0,4
8 Cracker Threat Medium 0,4
Jumlah Kejadian = 8 Jumlah Rerata Prob. 3,0
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,38
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,38 dan termasuk ke dalam kategori Medium.
4. Database Lelang Jabatan
Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lelang Jabatan
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,5
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,2
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable Medium 0,6
5 Bot-network operation Threat Low 0,2
6 Pencuri Threat Low 0,1
7 Hackers Threat Low 0,1
8 Cracker Threat Low 0,1
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2.1
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,26
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,26 dan termasuk ke dalam kategori Low.
170
5. Database Legal and Compliance
Tabel 4. 50 Hasil Rerata Probabilitas dan Nilai Ancaman Database Legal and
Compliance
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,2
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Medium 0,4
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,5
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,31
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,31 dan termasuk ke dalam kategori Low.
6. Database LPSE (Layanan Pengadaan Secara Elektronik)
Tabel 4. 51 Hasil Rerata Probabilitas dan Nilai Ancaman Database LPSE
(Layanan Pengadaan Secara Elektronik)
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure (Gangguan
Sumber Daya)
Vulnerable High 0,7
2 Hardware Failure
(Gangguan Perangkat Keras)
Vulnerable Medium 0,4
3 Data Corruption (Kerusakan
Data)
Vulnerable Medium 0,4
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,2
6 Pencuri Threat Medium 0,4
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 3,1
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,39
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,39 dan termasuk ke dalam kategori Medium.
171
7. Database Internal GCG
Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Database Internal GCG
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Low 0,2
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Data Corruption
(Kerusakan Data)
Vulnerable Medium 0,5
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,2
6 Pencuri Threat Low 0,2
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,4
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
8. Database JMDC (Jasa Marga Development Center)
Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMDC (Jasa
Marga Development Center)
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable Low 0,3
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Low 0,1
7 Hackers Threat Low 0,1
8 Cracker Threat Low 0,1
Jumlah Kejadian = 8 Jumlah Rerata Prob. 1,8
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,22
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,22 dan termasuk ke dalam kategori Low.
172
9. Database EOPA (Electronic Operational Performance Appraisal)
Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Database EOPA
(Electronic Operational Performance Appraisal)
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,5
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Medium 0,4
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Medium 0,4
7 Hackers Threat Medium 0,4
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 3,0
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,38
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,38 dan termasuk ke dalam kategori Medium.
10. Database Knowledge Management
Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman Database Knowledge
Management
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Low 0,2
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,2
3 Data Corruption
(Kerusakan Data)
Vulnerable Medium 0,4
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Low 0,3
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,4
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
173
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
11. Database Lalu Lintas Tol
Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Database Lalu Lintas Tol
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable High 0,7
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable High 0,7
3 Data Corruption
(Kerusakan Data)
Vulnerable Medium 0,6
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Low 0,2
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 3,5
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,44
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,44 dan termasuk ke dalam kategori Medium.
12. Database Jadwal Direksi
Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Database Jadwal Direksi
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,2
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,2
4 Software Bug Vulnerable Low 0,2
5 Bot-network operation Threat Low 0,1
6 Pencuri Threat Low 0,1
7 Hackers Threat Low 0,1
174
8 Cracker Threat Low 0,1
Jumlah Kejadian = 8 Jumlah Rerata Prob. 1,3
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,16
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,16 dan termasuk ke dalam kategori Low.
13. Database Oracle Hyperion Planning
Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Database Oracle
Hyperion Planning
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,4
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Medium 0,6
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable Low 0,1
5 Bot-network operation Threat Low 0,2
6 Pencuri Threat Low 0,1
7 Hackers Threat Low 0,1
8 Cracker Threat Low 0,1
Jumlah Kejadian = 8 Jumlah Rerata Prob. 1,9
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,24
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,24 dan termasuk ke dalam kategori Low.
14. Database JMACT (Jasa Marga Adukan Cermati Tuntaskan)
Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman Database JMACT (Jasa
Marga Adukan Cermati Tuntaskan)
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,4
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,2
3 Data Corruption
(Kerusakan Data)
Vulnerable Medium 0,4
175
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Low 0,3
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,6
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,33
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,33 dan termasuk ke dalam kategori Low.
15. Database Related Business Development
Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Database Related
Business Development
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,5
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Medium 0,4
3 Data Corruption
(Kerusakan Data)
Vulnerable Medium 0,4
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Low 0,3
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,9
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,36
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,36 dan termasuk ke dalam kategori Medium.
16. Database PKBL (Program Kemitraan dan Bina Lingkungan)
Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Database PKBL
(Program Kemitraan dan Bina Lingkungan)
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,6
176
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Data Corruption
(Kerusakan Data)
Vulnerable Medium 0,4
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,2
6 Pencuri Threat Low 0,2
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,7
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,34
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,34 dan termasuk ke dalam kategori Low.
17. Database IT Service Desk
Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Database IT Service Desk
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat Keras)
Vulnerable Low 0,2
3 Data Corruption (Kerusakan
Data)
Vulnerable Low 0,2
4 Software Bug Vulnerable Low 0,2
5 Bot-network operation Threat Low 0,1
6 Pencuri Threat Low 0,2
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,1
Jumlah Kejadian = 8 Jumlah Rerata Prob. 1,6
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,2
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,2 dan termasuk ke dalam kategori Low.
177
18. Database ERP
Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Database ERP
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,4
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,2
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable Low 0,2
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat Low 0,1
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,1
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,26
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,26 dan termasuk ke dalam kategori Low.
19. Database Keuangan Anak Perusahaan
Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Database Keuangan
Anak Perusahaan
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Medium 0,5
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Medium 0,4
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable Low 0,3
5 Bot-network operation Threat Low 0,3
6 Pencuri Threat High 0,7
7 Hackers Threat High 0,7
8 Cracker Threat High 0,7
Jumlah Kejadian = 8 Jumlah Rerata Prob. 3,9
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,49
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,49 dan termasuk ke dalam kategori Medium.
178
20. Database Sistem Informasi Manajemen
Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Database Sistem
Informasi Manajemen
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failiure
(Gangguan Sumber
Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
4 Software Bug Vulnerable Medium 0,4
5 Bot-network operation Threat Low 0,2
6 Pencuri Threat Low 0,3
7 Hackers Threat Low 0,3
8 Cracker Threat Low 0,3
Jumlah Kejadian = 8 Jumlah Rerata Prob. 2,4
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
2. Aset Pendukung
1. Laptop
Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Laptop
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,2
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,2
3 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,2
4 Software Bug Vulnerable Medium 0,4
5 Gangguan Listrik Threat Low 0,2
6 Pencuri Threat Low 0,3
Jumlah Kejadian = 6 Jumlah Rerata Prob. 1,5
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,25
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,25 dan termasuk ke dalam kategori Low.
179
2. Server Physical
Tabel 4. 67 Hasil Rerata Probabilitas dan Nilai Ancaman Server Physical
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,2
2 Hardware Failure (Gangguan
Perangkat Keras)
Vulnerable Low 0,2
3 Data Corruption (Kerusakan
Data)
Vulnerable Low 0,2
4 Software Bug Vulnerable Medium 0,4
5 Bot-network Operation Threat Low 0,2
6 Pencuri Threat Low 0,2
7 Hackers Threat Medium 0,4
8 Cracker Threat Medium 0,4
9 Pegawai Internal Threat Medium 0,4
10 Spammers Threat Medium 0,4
11 Virus Attack Threat Medium 0,4
12 Virus Author Threat Medium 0,4
13 Gangguan Listrik Threat Low 0,3
14 Gangguan Jaringan
Komunikasi dari Vendor
Threat Low 0,3
Jumlah Kejadian = 14 Jumlah Rerata Prob. 4,4
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,4
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,4 dan termasuk ke dalam kategori Medium.
3. Windows server 2012 R.2
Tabel 4. 68 Hasil Rerata Probabilitas dan Nilai Ancaman Windows server 2012 R.2
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Medium 0,4
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Medium 0,4
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,4
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,35
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,35 dan termasuk ke dalam kategori Low.
180
4. Windows 10
Tabel 4. 69 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 10
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,1
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,0
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,25
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,25 dan termasuk ke dalam kategori Low.
5. Microsoft Office 2016
Tabel 4. 70 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2016
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,1
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,0
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,25
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,25 dan termasuk ke dalam kategori Low.
6. Microsoft SQL Server 2008
Tabel 4. 71 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft SQL Server
2008
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
181
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,2
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
7. Air Conditioner (AC)
Tabel 4. 72 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner (AC)
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Hardware Failure (Gangguan
Perangkat Keras)
Vulnerable Low 0,3
3 Gangguan Listrik Threat Medium 0,5
Jumlah Kejadian = 3 Jumlah Rerata Prob. 1,1
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,37
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,37 dan termasuk ke dalam kategori Medium.
8. Uninterruptible Power Supply (UPS)
Tabel 4. 73 Hasil Rerata Probabilitas dan Nilai Ancaman Uninterruptible Power
Supply (UPS)
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Hardware Failure (Gangguan
Perangkat Keras)
Vulnerable Low 0,3
Jumlah Kejadian = 2 Jumlah Rerata Prob. 0,6
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
182
9. Fiber Optic
Tabel 4. 74 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan Sumber
Daya)
Vulnerable Low 0,3
2 Environment Threat Low 0,3
Jumlah Kejadian = 2 Jumlah Rerata Prob. 0,6
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
10. CCTV
Tabel 4. 75 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Hardware Failure (Gangguan
Perangkat Keras)
Vulnerable Low 0,3
3 Data Corruption (Kerusakan
Data)
Vulnerable Medium 0,4
4 Gangguan Listrik Threat Medium 0,4
5 Gangguan Jaringan Komunikasi
Internal
Threat Medium 0,4
Jumlah Kejadian = 5 Jumlah Rerata Prob. 1,8
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,36
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,36 dan termasuk ke dalam kategori Medium.
11. Switch
Tabel 4. 76 Hasil Rerata Probabilitas dan Nilai Ancaman Switch
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Gangguan Listrik Threat Medium 0,4
Jumlah Kejadian = 2 Jumlah Rerata Prob. 0,7
183
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,35
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,35 dan termasuk ke dalam kategori Low.
12. Wi-Fi
Tabel 4. 77 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Medium 0,4
3 Software Bug Vulnerable Low 0,3
4 Gangguan Listrik Threat Medium 0,4
5 Bot-network Operation Threat Low 0,3
6 Hacker Therat Medium 0,4
7 Pegawai Internal Threat Medium 0,4
8 Spammer Threat Medium 0,4
9 Virus Author Threat Medium 0,4
10 Gangguan Jaringan
Komunikasi dari Vendor
Threat Low 0,3
11 Gangguan Jaringan
Komunikasi Internal
Threat Low 0,3
Jumlah Kejadian = 11 Jumlah Rerata Prob. 3,9
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,35
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,35 dan termasuk ke dalam kategori Medium.
13. Aplikasi IT Service Desk
Tabel 4. 78 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi IT Service Desk
No Kejadian Jenis Probabilitas
Rerata
Probabilitas
1 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
2 Data Corruption
(Kerusakan Data)
Vulnerable Low 0,3
3 Virus Attack Threat Low 0,3
Jumlah Kejadian = 3 Jumlah Rerata Prob. 0,9
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
184
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
14. Oracle Database 11.2.0.1
Tabel 4. 79 Hasil Rerata Probabilitas dan Nilai Ancaman Oracle Database 11.2.0.1
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,2
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
15. Windows 7
Tabel 4. 80 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,2
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
185
16. Microsoft Office 2013
Tabel 4. 81 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2013
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,2
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
17. Avira Antivirus 2019
Tabel 4. 82 Hasil Rerata Probabilitas dan Nilai Ancaman Avira Antivirus 2019
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,2
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
18. Kaspersky Antivirus 2018
Tabel 4. 83 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky Antivirus 2018
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Kurang Kesadaran Pengguna Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
4 Virus Attack Threat Low 0,3
Jumlah Kejadian = 4 Jumlah Rerata Prob. 1,2
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
186
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
19. Server Storage
Tabel 4. 84 Hasil Rerata Probabilitas dan Nilai Ancaman Server Storage
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
4 Gangguan Listrik Threat Low 0,3
5 Bot-network Operation Threat Low 0,3
6 Hacker Therat Low 0,3
7 Pegawai Internal Threat Low 0,3
8 Spammer Threat Low 0,3
9 Virus Author Threat Low 0,3
10 Gangguan Jaringan
Komunikasi dari Vendor
Threat Low 0,3
11 Gangguan Jaringan
Komunikasi Internal
Threat Low 0,3
Jumlah Kejadian = 11 Jumlah Rerata Prob. 3,3
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
20. Server Virtual
Tabel 4. 85 Hasil Rerata Probabilitas dan Nilai Ancaman Server Virtual
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Power Failure (Gangguan
Sumber Daya)
Vulnerable Low 0,3
2 Hardware Failure
(Gangguan Perangkat
Keras)
Vulnerable Low 0,3
3 Software Bug Vulnerable Low 0,3
4 Gangguan Listrik Threat Low 0,3
5 Bot-network Operation Threat Low 0,3
6 Hacker Therat Low 0,3
187
7 Pegawai Internal Threat Low 0,3
8 Spammer Threat Low 0,3
9 Virus Author Threat Low 0,3
10 Gangguan Jaringan
Komunikasi dari Vendor
Threat Low 0,3
11 Gangguan Jaringan
Komunikasi Internal
Threat Low 0,3
Jumlah Kejadian = 11 Jumlah Rerata Prob. 3,3
Nilai ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0,3
Dari hasil perhitungan nilai ancaman, didapatkan nilai ancaman pada
aset ini sebesar 0,3 dan termasuk ke dalam kategori Low.
Berikut ini adalah kesimpulan dari identifikasi hasil rerata probabilitas
dan nilai ancaman pada aset utama dan aset pendukung. Penilaian
dilakukan berdasarkan pembulatan desimal diatas 0,5 untuk setiap
kategori nilai ancaman pada aset.
Aset Utama
Tabel 4. 86 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset Utama
No Nama Aset Nilai
Ancaman Low Medium High
1 Database Web Portal Internal 0,36 2 Database RQM (Risk Quality
Management) 0,26 3 Database Kepegawaian 0,38 4 Database Lelang Jabatan 0,26 5 Database Legal and Compliance
0,31 6 Database LPSE (Layanan Pengadaan
Secara Elektronik) 0,39 7 Database Internal GCG 0,3 8 Database JMDC (Jasa Marga
Development Center) 0,22 9 Database EOPA (Electronic
Operational Performance Appraisal)
0,38 10 Database Knowledge Management
0,3 11 Database Lalu Lintas Tol 0,44
188
12 Database Jadwal Direksi 0,16 13 Database Oracle Hyperion Planning
0,24 14 Database JMACT (Jasa Marga
Adukan Cermati Tuntaskan) 0,33 15 Database Related Business
Development 0,36 16 Database PKBL (Program Kemitraan
dan Bina Lingkungan)
0,34 17 Database IT Service Desk 0,2 18 Database ERP 0,26 19 Database Keuangan Anak Perusahaan
0,49 20 Database Sistem Informasi
Manajemen 0,3
Aset Pendukung
Tabel 4. 87 Kesimpulan Hasil Rerata Probabilitas dan Nilai Ancaman Aset
Pendukung
No Nama Aset Nilai
Ancaman Low Medium High
1 Laptop 0,25 2 Server Physical 0,4 3 Windows server 2012 R.2 0,35 4 Windows 10 0,25 5 Microsoft Office 2016 0,25 6 Microsoft SQL Server 2008 0,3 7 Air Conditioner (AC) 0,37 8 Uninterruptible Power Supply (UPS) 0,3 9 Fiber Optic 0,3
10 CCTV 0,36 11 Switch 0,35 12 Wi-Fi 0,35 13 Aplikasi IT Service Desk 0,3 14 Oracle Database 11.2.0.1 0,3 15 Windows 7 0,3 16 Microsoft Office 2013 0,3 17 Avira Antivirus 2019 0,3 18 Kaspersky Antivirus 2018 0,3 19 Server Storage 0,3
189
20 Server Virtual 0,3
4.2.2 Menganalisis dan Evaluasi Risiko
Setelah mengidentifikasi risiko yang terdapat di divisi Information
Technology (IT) PT Jasa Marga, akan didapatkan risiko yang nantinya
akan dihadapi oleh divisi Information Technology (IT) jika terjadi
kegagalan di keamanan informasi. Selanjutnya adalah melakukan analisis
dan evaluasi terhadap risiko yang sudah diidentifikasi sebelumnya. Berikut
ini merupakan analisis dan evaluasi risiko yang dijelaskan oleh peneliti.
4.2.2.1 Menganalisis Dampak dan Risiko
Analisa dampak dan Risiko yang digunakan peneliti adalah
Business Impact Analysis (BIA) untuk menentukan besar besar pengaruh
atau dampak dan Risiko yang terjadi akibat kelemahan dan ancaman
ketika proses bisnis dijalankan, penilaian dari analisa dampak dan risiko
dilakukan oleh peneliti berdasarkan analisa dokumen dan konfirmasi ke
Penanggung Jawab Keamanan Informasi. Berikut ini merupakan hasil
BIA yang didapatkan oleh peneliti pada divisi Information Technology
(IT):
1. Aset Utama
Tabel 4. 88 Hasil Nilai BIA pada Aset Utama
No Nama Aset Nilai BIA Keterangan
1 Database Web Portal Internal 95 Very high critical
2 Database RQM (Risk Quality Management) 95 Very high critical
3 Database Kepegawaian 90 Very high critical
4 Database Lelang Jabatan 50 Mayor critical
5 Database Legal and Compliance 98 Very high critical
190
6 Database LPSE (Layanan Pengadaan Secara
Elektronik)
80 High critical
7 Database Internal GCG 80 High critical
8 Database JMDC (Jasa Marga Development
Center)
83 Very high critical
9 Database EOPA (Electronic Operational
Performance Appraisal)
90 Very high critical
10 Database Knowledge Management 85 Very high critical
11 Database Lalu Lintas Tol 95 Very high critical
12 Database Jadwal Direksi 83 Very high critical
13 Database Oracle Hyperion Planning 80 High critical
14 Database JMACT (Jasa Marga Adukan Cermati
Tuntaskan)
93 Very high critical
15 Database Related Business Development 82 Very high critical
16 Database PKBL (Program Kemitraan dan Bina
Lingkungan)
60 Mayor critical
17 Database IT Service Desk 95 Very high critical
18 Database ERP 95 Very high critical
19 Database Keuangan Anak Perusahaan 83 Very high critical
20 Database Sistem Informasi Manajemen 83 Very high critical
2. Aset Pendukung
Tabel 4.89 Hasil Nilai BIA pada Aset Pendukung
No Nama Aset Nilai BIA Keterangan
1 Laptop 85 Very high critical
2 Server Physical 90 Very high critical
3 Windows server 2012 R.2 90 Very high critical
4 Windows 10 90 Very high critical
5 Microsoft Office 2016 90 Very high critical
6 Microsoft SQL Server 2008 90 Very high critical
7 Air Conditioner (AC) 94 Very high critical
8 Uninterruptible Power Supply (UPS) 89 Very high critical
9 Fiber Optic 97 Very high critical
10 CCTV 95 Very high critical
11 Switch 95 Very high critical
12 Wi-Fi 98 Very high critical
13 Aplikasi IT Service Desk 84 Very high critical
14 Oracle Database 11.2.0.1 90 Very high critical
15 Windows 7 90 Very high critical
16 Microsoft Office 2013 90 Very high critical
17 Avira Antivirus 2019 90 Very high critical
18 Kaspersky Antivirus 2018 90 Very high critical
19 Server Storage 90 Very high critical
191
20 Server Virtual 90 Very high critical
4.2.2.2 Mengidentifikasi Tingkat Risiko Divisi Information Technology (IT)
Setelah menentukan nilai BIA yang ada pada proses bisnis di divisi
Information Technology (IT) PT Jasa Marga, tahapan selanjutnya adalah
melakukan identifikasi level risiko untuk mengetahui tingkat risiko
dengan dampak bisnis yang ada. Dalam melakukan identifikasi level
risiko yang ada pada divisi Information Technology (IT) PT Jasa Marga,
peneliti menggunakan matriks level risiko dengan nilai probabilitas
ancaman dan nilai BIA yang sudah ditentukan sebelumnya. Matriks
digunakan untuk memberikan gambaran besaran dari risiko jika terjadi
kegagalan pada keamanan informasi di divisi Information Technology
(IT) PT Jasa Marga.
Berdasarkan nilai BIA yang didapatkan, selanjutnya peneliti
melakukan identifikasi level probabilitas ancaman yang terjadi pada aset
divisi Information Technology (IT) PT Jasa Marga, dan selanjutnya
menghitung nilai dampak bisnis terhadap aset yang ada. Berikut ini
merupakan hasil penghitungan nilai dampak dan risiko terhadap aset
yang ada di Information Technology (IT) PT Jasa Marga yang sudah
didiskusikan peneliti bersama dengan Manajer Compliance:
1. Aset Utama
Tabel 4. 90 Hasil Nilai Dampak Bisnis pada Aset Utama
No Nama Aset Nilai BIA
(a)
Nilai
Ancaman (b)
Dampak Bisnis
(a x b)
1 Database Web Portal Internal 95 0,36 34,2
192
2 Database RQM (Risk Quality
Management) 95 0,26 24,7
3 Database Kepegawaian 90 0,38 34,2
4 Database Lelang Jabatan 50 0,26 13
5 Database Legal and Compliance 98 0,31 30,38
6 Database LPSE (Layanan
Pengadaan Secara Elektronik) 80 0,39 31,2
7 Database Internal GCG 80 0,3 24
8 Database JMDC (Jasa Marga
Development Center) 83 0,22 18,26
9 Database EOPA (Electronic
Operational Performance
Appraisal) 90 0,38 34,2
10 Database Knowledge Management 85 0,3 25,5
11 Database Lalu Lintas Tol 95 0,44 41,8
12 Database Jadwal Direksi 83 0,16 13,28
13 Database Oracle Hyperion
Planning 80 0,24 19,2
14 Database JMACT (Jasa Marga
Adukan Cermati Tuntaskan) 93 0,33 30,69
15 Database Related Business
Development 82 0,36 29,52
16 Database PKBL (Program
Kemitraan dan Bina Lingkungan) 60 0,34 20,4
17 Database IT Service Desk 95 0,2 19
18 Database ERP 95 0,26 24,7
19 Database Keuangan Anak
Perusahaan 83 0,49 40,67
20 Database Sistem Informasi
Manajemen 83 0,3 24,9
2. Aset Pendukung
Tabel 4.91 Hasil Nilai Dampak Bisnis pada Aset Pendukung
No Nama Aset Nilai BIA Nilai
Ancaman (b)
Dampak Bisnis
(a x b)
1 Laptop 85 0,25 21,25
2 Server Physical 90 0,4 36
3 Windows server 2012 R.2 90 0,35 31,5
4 Windows 10 90 0,25 22,5
5 Microsoft Office 2016 90 0,25 22,5
6 Microsoft SQL Server 2008 90 0,3 27
7 Air Conditioner (AC) 94 0,37 34,78
193
8 Uninterruptible Power Supply
(UPS) 89 0,3 26,7
9 Fiber Optic 97 0,3 29,1
10 CCTV 95 0,36 34,2
11 Switch 95 0,35 33,25
12 Wi-Fi 98 0,35 34,3
13 Aplikasi IT Service Desk 84 0,3 25,2
14 Oracle Database 11.2.0.1 90 0,3 27
15 Windows 7 90 0,3 27
16 Microsoft Office 2013 90 0,3 27
17 Avira Antivirus 2019 90 0,3 27
18 Kaspersky Antivirus 2018 90 0,3 27
19 Server Storage 90 0,3 27
20 Server Virtual 90 0,3 27
4.2.2.3 Menilai Risiko Divisi Information Technology (IT) PT Jasa Marga
Setelah melakukan perhitungan nilai dampak dan risiko di divisi
Information Technology (IT) PT Jasa Marga, peneliti melakukan tahapan
penilaian risiko untuk menentukan risiko yang terjadi dan diterima.
Berikut ini merupakan hasil nilai risiko terhadap informasi pada divisi
Information Technology (IT) PT Jasa Marga yang sudah didiskusikan
peneliti bersama dengan Manajer Compliance:
1. Aset Utama
Tabel 4. 92 Hasil Nilai dan Level Risiko pada Aset Utama
No Nama Aset Nilai
Aset (a)
Nilai
Ancaman
(b)
Nilai
BIA (c)
Nilai
Risiko (a x
b x c)
Level
Risiko
1 Database Web Portal Internal 8 0,36 95 273,6 High Risk
2 Database RQM (Risk Quality
Management) 9 0,26 95 222,3 High Risk
3 Database Kepegawaian 9 0,38 90 307,8 High Risk
4 Database Lelang Jabatan 9 0,26 50 117 High Risk
5 Database Legal and Compliance 11 0,31 98 334,18 High Risk
6 Database LPSE (Layanan
Pengadaan Secara Elektronik) 10 0,39 80 312 High Risk
194
7 Database Internal GCG 10 0,3 80 240 High Risk
8 Database JMDC (Jasa Marga
Development Center) 10 0,22 83 182,6 High Risk
9 Database EOPA (Electronic
Operational Performance
Appraisal)
9
0,38 90 307,8 High Risk
10 Database Knowledge
Management 9
0,3 85 229,5 High Risk
11 Database Lalu Lintas Tol 8 0,44 95 334,4 High Risk
12 Database Jadwal Direksi 11 0,16 83 146,08 High Risk
13 Database Oracle Hyperion
Planning 11
0,24 80 211,2 High Risk
14 Database JMACT (Jasa Marga
Adukan Cermati Tuntaskan) 11 0,33 93 337,59 High Risk
15 Database Related Business
Development 11
0,36 82 324,72 High Risk
16 Database PKBL (Program
Kemitraan dan Bina Lingkungan) 9 0,34 60 183,6 High Risk
17 Database IT Service Desk 11 0,2 95 209 High Risk
18 Database ERP 11 0,26 95 271,7 High Risk
19 Database Keuangan Anak
Perusahaan 11
0,49 83 447,37 High Risk
20 Database Sistem Informasi
Manajemen 10
0,3 83 249 High Risk
2. Aset Pendukung
Tabel 4.93 Hasil Nilai Risiko dan Level Risiko pada Aset Pendukung
No Nama Aset Nilai
Aset (a)
Nilai
Ancaman
(b)
Nilai
BIA (c)
Nilai
Risiko (a x
b x c)
Level
Risiko
1 Laptop 5 0,25 85 106,25 High Risk
2 Server Physical 6 0,4 90 216 High Risk
3 Windows server 2012 R.2 6 0,35 90 189 High Risk
4 Windows 10 7 0,25 90 157,5 High Risk
5 Microsoft Office 2016 7 0,25 90 157,5 High Risk
6 Microsoft SQL Server 2008 5 0,3 90 135 High Risk
7 Air Conditioner (AC) 3 0,37 94 104,34 High Risk
8 Uninterruptible Power Supply
(UPS) 3 0,3 89 80,1 High Risk
9 Fiber Optic 4 0,3 97 116,4 High Risk
10 CCTV 6 0,36 95 205,2 High Risk
11 Switch 5 0,35 95 166,25 High Risk
12 Wi-Fi 6 0,35 98 205,8 High Risk
13 Aplikasi IT Service Desk 3 0,3 84 75,6 High Risk
14 Oracle Database 11.2.0.1 4 0,3 90 108 High Risk
15 Windows 7 5 0,3 90 135 High Risk
195
16 Microsoft Office 2013 5 0,3 90 135 High Risk
17 Avira Antivirus 2019 6 0,3 90 162 High Risk
18 Kaspersky Antivirus 2018 5 0,3 90 135 High Risk
19 Server Storage 6 0,3 90 162 High Risk
20 Server Virtual 5 0,3 90 135 High Risk
Selanjutnya peneliti menentukan level risiko pada Divisi
Information Technology (IT) untuk mengetahui matriks level risiko.
Berikut ini merupakan hasil analisis risiko, dimana keamanan aset
memiliki risiko yang besar, dengan semakin tinggi nilai risiko, maka
akan mendapatkan prioritas untuk ditangani untuk peningkatan
kemananan.
1. Aset Utama
Tabel 4. 94 Analisis Risiko Keamanan Informasi pada Aset Utama
No Nama Aset Nilai
Aset Vulnerabilitity Threat
Nilai
Ancaman
Dampak
Bisnis
Nilai
BIA
Nilai
Risiko
Level
Risiko
1 Database Web
Portal Internal 8
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,36 34,2 95 273,6 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
2
Database RQM
(Risk Quality
Management)
9
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,26 24,7 95 222,3 High
Risk
196
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
3 Database
Kepegawaian 9
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,38 34,2 90 307,8 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
4 Database
Lelang Jabatan 9
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,26 13 50 117 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
5 Database Legal
and
Compliance
11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,31 30,38 98 334,18 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
197
Software Bug Cracker
6
Database LPSE
(Layanan
Pengadaan
Secara
Elektronik)
10
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,39 31,2 80 312 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
7 Database
Internal GCG 10
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,3 24 80 240 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
8
Database
JMDC (Jasa
Marga
Development
Center)
10
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,22 18,26 83 182,6 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
9
Database
EOPA
(Electronic
Operational
Performance
Appraisal)
9
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,38 34,2 90 307,8 High
Risk Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
198
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
10
Database
Knowledge
Management
9
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,3 25,5 85 229,5 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
11 Database Lalu
Lintas Tol 8
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,44 41,8 95 334,4 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
12 Database
Jadwal Direksi 11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,16 13,28 83 146,08 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
13 Database
Oracle 11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,24 19,2 80 211,2 High
Risk
199
Hyperion
Planning
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
14
Database
JMACT (Jasa
Marga Adukan
Cermati
Tuntaskan)
11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,33 30,69 93 337,59 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
15
Database
Related
Business
Development
11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,36 29,52 82 324,72 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
16
Database
PKBL
(Program
Kemitraan dan
Bina
Lingkungan)
9
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,34 20,4 60 183,6 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
200
17 Database IT
Service Desk 11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,2 19 95 209 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
18 Database ERP 11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,26 24,7 95 271,7 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
19
Database
Keuangan
Anak
Perusahaan
11
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,49 40,67 83 447,37 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
20
Database
Sistem
Informasi
Manajemen
10
Power Failure
(Gangguan
Sumber Daya)
Bot-
network
Operation
0,3 24,9 83 249 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencuri
Data
Corruption
(Kerusakan
Data)
Hackers
201
Software Bug Cracker
2. Aset Pendukung
Tabel 4.95 Analisis Risiko Keamanan Informasi pada Aset Pendukung
No Nama Aset Nilai
Aset Vulnerabilitity Threat
Nilai
Ancam
an
Dampa
k
Bisnis
Nilai
BIA
Nilai
Risiko
Level
Risik
o
1 Laptop 5
Power Failure
(Gangguan
Sumber Daya)
Gangguan
Listrik
0,25 21,25 85 106,25 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Data
Corruption
(Kerusakan
Data) Pencuri
Software Bug
2 Server Physical 6
Power Failure
(Gangguan
Sumber Daya)
Bot-network
Operation
0,4 36 90 216 High
Risk
Pencuri
Hardware
Failure
(Gangguan
Perangkat
Keras)
Hackers
Cracker
Pegawai
Internal
Data
Corruption
(Kerusakan
Data)
Spammers
Virus Attack
Virus Author
Software Bug
Gangguan
Listrik
Gangguan
Jaringan
Komunikasi
dari Vendor
3
Windows
server 2012
R.2
6
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,35 31,5 90 189 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
202
4 Windows 10 7
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,25 22,5 90 157,5 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
5 Microsoft
Office 2016 7
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,25 22,5 90 157,5 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
6 Microsoft SQL
Server 2008 5
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,3 27 90 135 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
7
Air
Conditioner
(AC)
3
Power Failure
(Gangguan
Sumber Daya)
Gangguan
Listrik 0,37 34,78 94 104,34
High
Risk Hardware
Failure
(Gangguan
Perangkat
Keras)
8
Uninterruptible
Power Supply
(UPS)
3
Power Failure
(Gangguan
Sumber Daya)
- 0,3 26,7 89 80,1 High
Risk Hardware
Failure
(Gangguan
Perangkat
Keras)
9 Fiber Optic 4
Power Failure
(Gangguan
Sumber Daya)
Environment 0,3 29,1 97 116,4 High
Risk
10 CCTV 6
Power Failure
(Gangguan
Sumber Daya)
Gangguan
Listrik
0,36 34,2 95 205,2 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Gangguan
Jaringan
Komunikasi
Internal Data
Corruption
203
(Kerusakan
Data)
11 Switch 5
Power Failure
(Gangguan
Sumber Daya)
Gangguan
Listrik 0,35 33,25 95 166,25
High
Risk
12 Wi-Fi 6
Power Failure
(Gangguan
Sumber Daya)
Gangguan
Listrik
0,35 34,3 98 205,8 High
Risk
Bot-network
Operation
Hacker
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pegawai
Internal
Spammer
Virus Author
Gangguan
Jaringan
Komunikasi
dari Vendor
Software Bug
Gangguan
Jaringan
Komunikasi
Internal
Pegawai
Internal
Environment
13 Aplikasi IT
Service Desk 3
Hardware
Failure
(Gangguan
Perangkat
Keras) Virus Attack 0,3 25,2 84 75,6 High
Risk Data
Corruption
(Kerusakan
Data)
14
Oracle
Database
11.2.0.1
4
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,3 27 90 108 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
15 Windows 7 5
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,3 27 90 135 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
204
16 Microsoft
Office 2013 5
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,3 27 90 135 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
17 Avira Antivirus
2019 6
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,3 27 90 162 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
18 Kaspersky
Antivirus 2018 5
Power Failure
(Gangguan
Sumber Daya)
Virus Attack 0,3 27 90 135 High
Risk Kurang
Kesadaran
Pengguna
Software Bug
19 Server Storage 6
Power Failure
(Gangguan
Sumber Daya)
Gangguan
Listrik
0,3 27 90 162 High
Risk
Bot-network
Operation
Hacker
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pegawai
Internal
Spammer
Virus Author
Software Bug
Gangguan
Jaringan
Komunikasi
dari Vendor
Gangguan
Jaringan
Komunikasi
Internal
20 Server Virtual 5
Power Failure
(Gangguan
Sumber Daya)
Gangguan
Listrik
0,3 27 90 135 High
Risk
Bot-network
Operation
Hacker
Hardware
Failure
(Gangguan
Pegawai
Internal
Spammer
205
Perangkat
Keras) Virus Author
Software Bug
Gangguan
Jaringan
Komunikasi
dari Vendor
Gangguan
Jaringan
Komunikasi
Internal
Dari hasil identifikasi terhadap kelemahan dan ancaman pada divisi
Information Technology (IT) PT Jasa Marga diperoleh temuan
berdasarkan ISO/IEC 27001 bahwa kelemahan yang paling sering terjadi
berkaitan dengan kegagalan dari hardware (baterai laptop tidak terisi,
laptop sering hang, crash), kerusakan data, kegagalan terhadap daya
listrik, dan kurangnya kesadaran pengguna (kelalaian dalam menaruh,
menyimpan dan menggunakan aset) terhadap aset yang dimiliki.
Penemuan ancaman didapatkan dari dalam atau luar organisasi. Misalnya
dari dalam organisasi yaitu pegawai internal, gangguan listrik, dan
gangguan jaringan komunikasi internal dan dari vendor, sedangkan dari
luar organisasi yaitu hackers, crackers, spammer, pencuri, virus attack,
virus author, dan bot-network operation.
Analisis risiko yang dilakukan pada divisi Information Technology
(IT) PT Jasa Marga mendapatkan beberapa hasil, yaitu pada seluruh
database yang menjadi aset utama dan aset pendukung yang telah dijabarkan
diatas. Analisis risiko ini masuk pada aset berisiko tinggi yang perlu
mendapatkan penanganan keamanan yang lebih dibandingkan dengan
aset yang lainnya. Aset yang memiliki risiko tinggi sering mendapatkan
206
ancaman dengan kemungkinan kejadian yang sering terjadi, dengan
risiko besar jika aset ini mengalami gangguan.
Setelah melakukan analisis risiko berdasarkan ISO/IEC 27001,
berikutnya adalah melakukan identifikasi risiko yang mungkin terjadi
pada divisi Information Technology (IT), diantaranya adalah sebagai
berikut:
1. Risiko bisnis yang terjadi, yaitu vendor terlalu lama mengatasi
perbaikan yang telah diajukan, mempengaruhi Bussiness Impact
Analysis (BIA).
2. Risiko kehilangan data keamanan informasi, jika terjadi modifikasi,
kerusakan data, pencurian data, terdapat hackers dan crackers.
3. Risiko yang masuk ke dalam perencanaan setelah penerapan ini yaitu
terjadinya bencana alam yang tidak dapat diprediksi.
Setelah dilakukan pengukuran terhadap besaran risiko pada aset
keamanan informasi, selanjutnya melakukan tindakan atau kontrol yang
dapat mengurangi risiko yang terjadi. Pemilihan kontrol dan objektif
kontrol berdasarkan pada ISO/IEC 27001 dan ISO/IEC 27002, dengan
menyesuaikan pada hasil penilaian risiko yang terjadi. Tahapan untuk
pemilihan kontrol dan objektif kontrol dilakukan pada tahapan Check.
207
4.3 Tahap Check
4.3.1 Memilih Objektif Kontrol dan Kontrol Keamanan Informasi
Setelah melakukan pengukuran terhadap aset keamanan
informasi, peneliti melakukan tindakan atau kontrol yang dapat
mengurangi adanya risiko. Tindakan pemilihan objektif kontrol dan
kontrol keamanan pada penelitian ini berdasarkan objektif kontrol dan
kontrol keamanan dari ISO/IEC 27001 dan ISO/IEC 27002, dengan
melakukan penyesuaian pada hasil penilaian risiko yang didapatkan pada
aset keamanan informasi pada divisi Information Technology (IT) PT Jasa
Marga. Pemilihan klausul dilakukan oleh peneliti telah dijelaskan pada bab
tiga, sub bab tahap Plan pada tabel 3. 9 Pemilihan Klausul ISO/IEC 27001
dan tabel 3. 6 Pemilihan Klausul ISO/IEC 27002.
4.3.2 Memilih Sebagian Klausul dari ISO/IEC 27001:2013 dan ISO/IEC
27002:2013
Berikut ini merupakan pemetaan yang dilakukan peneliti
berdasarkan klausul dari ISO/IEC 27001 dan ISO/IEC 27002.
Tabel 4. 96 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27001,2013)
Klausul Objektif Kontrol Kontrol Keamanan
7. Keamanan Sumber
Daya Manusia
7.2 Selama Bekerja
7.2.1 Tanggung Jawab Manajemen;
7.2.2 Kesadaran, Pendidikan dan
Pelatihan Keamanan Informasi;
7.2.3 Proses Tata Tertib.
7.3 Pemutusan
Hubungan Kerja dan
Perubahan Pekerjaan
7.3.1 Tanggung Jawab Pemutusan
Hubungan Kerja dan Perubahan
Pekerjaan.
208
11. Keamanan Fisik
dan Lingkungan
11.1 Area Aman
11.1.1 Lingkup Keamanan Fisik;
11.1.2 Kontrol Masuk Fisik;
11.1.5 Bekerja di Area Aman.
11.2 Peralatan
11.2.1 Perlindungan dan Penempatan
Peralatan;
11.2.2 Keperluan Pendukung;
11.2.3 Keamanan Pengkabelan;
11.2.9 Kebijakan Meja dan Layar Bersih.
16. Manajemen
Insiden Keamanan
Informasi
16.1 Manajemen Insiden
Keamanan Informasi dan
Peningkatan
16.1.1 Tanggung Jawab dan Prosedur;
16.1.2 Laporan Kejadian Keamanan
Informasi;
16.1.7 Kumpulan Bukti.
18. Penyesuaian
18.1 Penyesuaian dengan
Hukum dan Kebutuhan
Kontraktual/Perjanjian
18.1.2 Hak Kekayaan Intelektual.
Berikut ini merupakan pemetaan yang dilakukan peneliti
berdasarkan klausul dari ISO/IEC 27002.
Tabel 4. 97 Objektif Kontrol dan Kontrol Keamanan (ISO/IEC 27002, 2013)
Klausul Objektif Kontrol Kontrol Keamanan
5. Kebijakan
keamanan informasi
5.1 Arahan manajemen
untuk keamanan informasi
5.1.1 Kebijakan untuk keamanan
informasi.
8. Manajemen aset 8.1 Tanggung jawab
terhadap aset
8.1.1 Inventarisasi aset;
8.1.2 Kepemilikan Aset;
8.1.3 Penggunaan aset yang dapat
diterima;
8.1.4 Pengembalian Aset.
9. Kontrol akses
9.1 Persyaratan bisnis
kontrol akses 9.1.1 Kebijakan kontrol akses.
9.4 Kontrol akses sistem
dan aplikasi
9.4.1 Pembatasan akses informasi;
9.4.2 Prosedur Keamanan Log-on;
10. Kriptografi 10.1 Kontrol Kriptografi 10.1.1 Kebijakan tentang penggunaan
kontrol Kriptografi.
12. Keamanan
Operasi
12.1 Tanggung jawab dan
Prosedur Operasional
12.1.1 Prosedur Dokumentasi Operasi;
12.1.2 Manajemen Perubahan.
12.2 Perlindungan
terhadap Malware 12.2.1 Kontrol Terhadap Malware.
12.6 Manajemen
Kelemahan Teknikal
12.6.1 Manajemen dari Kelemahan
Teknikal.
209
4.3.3 Penentuan Auditee
Penentuan auditee dalam ISO/IEC 27001 dan ISO/IEC 27002 masih
kurang jelas. Oleh karena itu, peneliti menggunakan RACI (Responsible,
Accountable, Consulted and Informed) Chart dari COBIT. Penentuan
auditee berdasarkan korelasi antara COBIT dan ISO/IEC 27001.
Tabel 4. 98 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27001
Tabel 4. 99 Mapping Domain COBIT 5 dengan Klausul ISO/IEC 27002
Di tahap ini menghasilkan output berupa hasil konversi fungsional
struktur domain COBIT yang ada pada table di bawah ini.
COBIT 5 ISO/IEC 27001
APO07 (Manage Human Resources) Klausul 7 (Keamanan Sumber Daya
Manusia)
APO13 (Manage Security) Klausul 11 (Keamanan Fisik dan
Lingkungan)
DSS02 (Manage Service Requests and
Incidents) Klausul 16 (Manajemen Insiden
Keamanan Informasi)
MEA03 (Monitor, Evaluate and Assess
Compliance with External Requirements) Klausul 18 (Penyesuaian)
COBIT 5 ISO/IEC 27002
MEA02 (Monitor, Evaluate and Assess the
System of Internal Control) Klausul 5 (Kebijakan keamanan
informasi)
BAI09 (Manage Assets) Klausul 8 (Manajemen aset)
BAI10 (Manage Configuration) Klausul 9 (Kontrol akses)
DSS05 (Manage Security Services) Klausul 10 (Kriptografi)
DSS01 (Manage Operations) Klausul 12 (Keamanan Operasi)
210
Tabel 4. 100 Konversi Fungsional RACI Chart
4.3.4 Menentukan Nilai Tingkat Kemampuan untuk System Security
Engineering Capability Maturity Model (SSE-CMM)
Penentuan nilai tingkat kemampuan untuk melakukan penentuan
tingkat kedewasaaan yang dapat menggambarkan pengukuran sejauh
mana Divisi Information Technology (IT) PT Jasa Marga dapat memenuhi
standar proses pengelolaan keamanan informasi dengan baik, dimana
penilaian maturity level dilakukan kepada setiap masing-masing kontrol
sesuai dengan audit yang dilakukan.
Fungsional Struktur COBIT
terkait Penelitian
Fungsional Divisi Information
Technology
Compliance Manager Compliance Divisi
Information Technology
Information security manager Penanggung Jawab Keamanan
Informasi Divisi Information
Technology
Head IT Operations Admin Data dan Informasi Divisi
Information Technology
Chief Risk Officer Manager Risk and Quality
Management Divisi Information
Technology
211
Daftar pertanyaan yang dibuat pada penelitian ini dibuat
berdasarkan kontrol keamanan dari setiap objektif kontrol yang dipilih dan
diterapkan pada divisi Information Technology (IT) PT Jasa Marga. Daftar
pertanyaan yang dibuat berdasarkan standar ISO/IEC 27001: 2013 dan
ISO/IEC 27002: 2013. Penelitian ini menggunakan maturity level dengan
System Security Engineering Capability Maturity Level (SSE-CMM).
Berikut ini merupakan kerangka kerja berdasarkan penghitungan nilai
maturity level dan hasil perhitungan tingkat kemampuan dari masing-
masing kontrol keamanan:
ISO/IEC 27001: 2013
1. Klausul 7 Tanggung Jawab Manajemen
Tabel 4. 101 Kerangka Kerja Perhitungan Maturity Level Klausul 7
7.2.1 Tanggung Jawab Manajemen
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Pihak manajemen menyediakan panduan sesuai
dengan keamanan informasi negara yang disesuaikan
dengan peran organisasi.
1 2
2 Pihak manajemen memberikan motivasi untuk
memenuhi kebijakan keamanan informasi organisasi. 1 1
3
Pihak manajemen melanjutkan persiapan kemampuan
yang tepat dan pengkualifikasian serta pembelajaran
pada kemampuan dasar.
1 2
Total Bobot 3 Tingkat
Kemampuan 1,7
7.2.2 Kesadaran, Pendidikan dan Pelatihan Keamanan Informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pendidikan dan pelatihan harus menyatakan komitmen
terhadap keamanan informasi di seluruh organisasi. 1 2
2
Terdapat prosedur dasar keamanan informasi (seperti
laporan insiden keamanan informasi) dan baseline
controls (seperti keamanan password, malware
controls, & clear desk).
1 1
3
Accountability pribadi untuk tindakan dan kelambanan
seseorang dan tanggung jawab untuk mengamankan
atau melindungi kepemilikan informasi organisasi
atau pihak luar.
1 1
212
Total Bobot 3 Tingkat
Kemampuan 1,3
7.2.3 Proses Tata Tertib
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Proses tata tertib bersifat formal dan komunikatif
terkait tindakan pelanggaran karyawan pada
keamanan informasi.
1 1
2
Proses tata tertib menjadi sebuah motivasi atau sebuah
insentif jika sanksi positif terkait perilaku pada
keamanan informasi.
1 1
Total Bobot 2 Tingkat
Kemampuan 1
7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja dan Perubahan Pekerjaan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Mengkomunikasikan tanggung jawab pemberhentian
termasuk kebutuhan tanggung jawab hukum
keamanan informasi saat ini.
1 2
2 Mengkomunikasikan syarat dan ketentuan bekerja. 1 2
3
Tanggung jawab dan tugas tetap sah setelah
pemberhentian bekerja dimana tertera pada syarat dan
ketentuan bekerja.
1 2
Total Bobot 3 Tingkat
Kemampuan 2
Tabel 4. 102 Hasil Maturity Level Klausul 7
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
7.
Keamanan
Sumber
Daya
Manusia
7.2 Selama Bekerja
7.2.1 Tanggung Jawab
Manajemen 3 1,7
7.2.2 Kesadaran, Pendidikan dan
Pelatihan Keamanan Informasi 3 1,3
7.2.3 Proses Tata Tertib 2 1
7.3 Pemutusan
Hubungan Kerja dan
Perubahan Pekerjaan
7.3.1 Tanggung Jawab
Pemutusan Hubungan Kerja dan
Perubahan Pekerjaan
3 2
Maturity Level Klausul 7 1,5
Hasil yang diperoleh dari perhitungan Klausul 7 tentang
Keamanan Sumber Daya Manusia adalah nilai maturity level sebesar 1,5
berada di level satu (1) Performed Informally. Berikut merupakan
representasi grafik dari nilai maturity level klausul 7 Keamanan Sumber
Daya Manusia.
213
Gambar 4. 4 Representasi Nilai Maturity Level Klausul 7 Keamanan Sumber Daya Manusia
2. Klausul 11 Keamanan Fisik dan Lingkungan
Tabel 4. 103 Kerangka Kerja Perhitungan Maturity Level Klausul 11
11.1.1 Lingkup Keamanan Fisik
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Lingkup keamanan harus didefinisikan dan
penempatan serta kekuatan lain pada lingkup
berdasarkan kebutuhan keamanan aset & hasil dari
penilaian risiko.
1 1
2 Lingkup lokasi yang termasuk fasilitas pemrosesan
informasi harus dapat berbunyi (seperti pintu atau
jendela).
1 1
3 Tersedianya area penerima tamu untuk mengontrol
akses fisik (membatasi otorisasi, hanya untuk
pegawai).
1 2
Total Bobot 3 Tingkat Kemampuan 1,3
11.1.2 Kontrol Masuk Fisik
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Waktu dan tanggal dari masuk dan keberangkatan atau
kepergian pengunjung harus terekam dan semua
pengunjung harus diawasi kecuali akses mereka sudah
disetujui sebelumnya.
1 2
2
Semua pegawai, kontraktors dan pihak luar harus
menggunakan tanda pengenal yang terlihat dan
diketahui oleh bagian keamanan.
1 1
0
0,5
1
1,5
2
7.2.1 Tanggung
Jawab Manajemen
7.2.2 Kesadaran,
Pendidikan dan
Pelatihan Keamanan
Informasi
7.2.3 Proses Tata
Tertib
7.3.1 Tanggung
Jawab Pemutusan
Hubungan Kerja dan
Perubahan Pekerjaan
Representasi Nilai Maturity Level Klausul 7 Keamanan
Sumber Daya Manusia
214
3
Akses ke area dimana kerahasiaan informasi diproses
harus dibatasi dan dilakukan otorisasi individual
dengan menerapkan kontrol akses yang tepat.
1 2
Total Bobot 3 Tingkat Kemampuan 1,7
11.1.5 Bekerja di Area Aman
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Personil menyadari keberadaan, atau kegiatan dalam
sebuah wilayah yang aman pada kebutuhan untuk
mengetahui dasarnya.
1 1
2 Bekerja tanpa pengawasan di daerah-daerah yang
harus dihindari baik untuk alasan keamanan dan
mencegah peluang untuk kegiatan berbahaya.
1 2
3 Daerah-daerah yang kosong harus secara fisik terkunci
dan ditinjau secara berkala. 1 2
4 Pengambilan gambar, video, suara atau peralatan
perekam lainnya seperti kamera di perangkat mobile
tidak diperkenankan, kecuali telah di otorisasi.
1 1
Total Bobot 4 Tingkat Kemampuan 1,5
11.2.1 Perlindungan dan Penempatan Peralatan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Fasilitas yang menangani data sensitif pada
pemrosesan informasi diletakkan dengan hati-hati
untuk mengurangi risiko yang dihindari
1 2
2 Kontrol diterapkan untuk meminimalikan potensi
ancaman risiko fisik dan lingkungan 1 1
3 Menerapkan perlindungan khusus seperti selaput pada
keyboard 1 1
4
Perlindungan pada peralatan pengolahan informasi
rahasia untuk meminimalkan risiko kebocoran
informasi
1 1
Total Bobot 4 Tingkat Kemampuan 1,25
11.2.2 Keperluan Pendukung
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Peralatan sesuai dengan spesifikasi pabrik dan
persyaratan hukum setempat 1 3
2 Dilakukan penilaian secara berkala untuk mengetahui
kapasitas apakah sesuai dengan pertumbuhan bisnis 1 2
3 Dilakukan pemeriksaan dan pengujian secara teratur
untuk memastikan fungsinya 1 1
Total Bobot 3 Tingkat Kemampuan 2
11.2.3 Keamanan Pengkabelan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Posisi saluran listrik dan telekomunikasi yang
terhubung dengan fasilitas pemrosesan informasi
berada di bawah tanah atau perlindungan alternatif
1 1
2 Pemisahan kabel daya dan kabel komunikasi 1 1
Total Bobot 2 Tingkat Kemampuan 1
11.2.9 Kebijakan Meja dan Layar Bersih
215
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Penyimpanan informasi bisnis yang sensitif atau
bersifat kritis harus terkunci (seperti kertas atau media
penyimpanan elektronik)
1 1
2
Komputer and terminals ditinggalkan dalam keadaan
terkunci atau terlindungi dengan layar dan keyboard
dengan kontrol penguncian seperti password atau
proses authentication
1 2
3 Media yang berisi informasi sensitif atau rahasia harus
segera dihapus dari printer 1 1
Total Bobot 3 Tingkat Kemampuan 1,3
Tabel 4. 104 Hasil Maturity Level Klausul 11
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
11.
Keamanan
Fisik dan
Lingkungan
11.1 Area Aman
11.1.1 Lingkup Keamanan
Fisik; 3 1,3
11.1.2 Kontrol Masuk Fisik 3 1,7
11.1.5 Bekerja di Area Aman 4 1,5
11.2 Peralatan
11.2.1 Perlindungan dan
Penempatan Peralatan 4 1,25
11.2.2 Keperluan Pendukung 3 2
11.2.3 Keamanan
Pengkabelan 2 1
11.2.9 Kebijakan Meja dan
Layar Bersih 3 1,3
Maturity Level Klausul 11 1,4
Hasil yang diperoleh dari perhitungan Klausul 11 tentang
Keamanan Fisik dan Lingkungan adalah nilai maturity level sebesar 1,4
berada di level satu (1) Performed Informally. Berikut merupakan
representasi grafik dari nilai maturity level klausul 11 Keamanan Fisik
dan Lingkungan.
216
Gambar 4. 5 Representasi Nilai Maturity Level Klausul 11
3. Klausul 16 Manajemen Insiden Keamanan Informasi
Tabel 4. 105 Kerangka Kerja Perhitungan Maturity Level Klausul 16
16.1.1 Tanggung Jawab dan Prosedur
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur untuk perencanaan dan persiapan tanggap
insiden 1 1
2 Prosedur untuk memantau, mendeteksi, menganalisis
dan melaporkan kejadian dan insiden keamanan
informasi
1 2
3 Prosedur yang ditetapkan memastikan bahwa personel
yang menangani masalah memiliki kompeten terkait
insiden tersebut
1 2
4
Prosedur pelaporan mencakup proses umpan balik
yang sesuai untuk memastikan bahwa orang-orang
yang melaporkan kejadian keamanan informasi
diberitahu tentang hasil setelah masalah tersebut telah
ditangani dan ditutup
1 2
Total Bobot 4 Tingkat Kemampuan 1,75
16.1.2 Laporan Kejadian Keamanan Informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pelaporan kontrol keamanan yang tidak efektif 1 2
2 Pelaporan pelanggaran keutuhan, kerahasiaan, dan
ketersediaan informasi 1 1
3 Pelaporan pelanggaran pengaturan keamanan fisik 1 1
0
0,5
1
1,5
2
11.1.1 Lingkup
Keamanan Fisik
11.1.2 Kontrol Masuk
Fisik
11.1.5 Bekerja di Area
Aman
11.2.1 Perlindungan dan
Penempatan Peralatan
11.2.2 Keperluan
Pendukung
11.2.3 Keamanan
Pengkabelan
11.2.9 Kebijakan Meja
dan Layar Bersih
Representasi Nilai Maturity Level Klausul 11 Keamanan Fisik dan
Lingkungan
217
Total Bobot 3 Tingkat Kemampuan 1,3
16.1.7 Kumpulan Bukti
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur mempertimbangkan keamanan bukti 1 2
2 Prosedur mempertimbangkan keamanan personel 1 2
3 Prosedur mempertimbangkan keamanan dokumentasi 1 1
Total Bobot 3 Tingkat Kemampuan 1,7
Tabel 4. 106 Hasil Maturity Level Klausul 16
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
16. Manajemen
Insiden
Keamanan
Informasi
16.1 Manajemen
Insiden Keamanan
Informasi dan
Peningkatan
16.1.1 Tanggung Jawab
dan Prosedur 4 1,75
16.1.2 Laporan Kejadian
Keamanan Informasi 3 1,3
16.1.7 Kumpulan Bukti 3 1,7
Maturity Level Klausul 16 1,58
Hasil yang diperoleh dari perhitungan Klausul 16 tentang
Manajemen Insiden Keamanan Informasi adalah nilai maturity level
sebesar 1,58 berada di level satu (1) Performed Informally. Berikut
merupakan representasi grafik dari nilai maturity level klausul 16
Manajemen Insiden Keamanan Informasi.
Gambar 4. 6 Representasi Nilai Maturity Level Klausul 16
00,5
11,5
2
16.1.1 Tanggung
Jawab dan Prosedur
16.1.2 Laporan
Kejadian Keamanan
Informasi
16.1.7 Kumpulan
Bukti
Representasi Nilai Maturity Level Klausul 16 Manajemen
Insiden Keamanan Informasi
218
4. Klausul 18 Penyesuaian
Tabel 4. 107 Kerangka Kerja Perhitungan Maturity Level Klausul 18
18.1.2 Hak Kekayaan Intelektual
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Mengeluarkan kebijakan kepatuhan hak
kekayaan intelektual yang mendefinisikan
penggunaan sah perangkat lunak dan
produk informasi
1 2
2
Mendapatkan perangkat lunak melalui
sumber yang diketahui dan memiliki
reputasi baik, untuk memastikan hak cipta
tidak dilanggar
1 3
3
Menjaga kesadaran kebijakan untuk
melindungi hak kekayaan intelektual dan
memberikan pemberitahuan tentang niat
untuk mengambil tindakan disipliner
terhadap personel yang melanggar mereka
1 2
Total Bobot 3 Tingkat Kemampuan 2,3
Tabel 4. 108 Hasil Maturity Level Klausul 18
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
18.
Penyesuaian
18.1 Penyesuaian
dengan Hukum dan
Kebutuhan
Kontraktual/Perjanjian
18.1.2 Hak Kekayaan
Intelektual 3 2,3
Maturity Level Klausul 18 2,3
Hasil yang diperoleh dari perhitungan Klausul 18 tentang
Penyesuaian adalah nilai maturity level sebesar 2,3 berada di level satu (2)
Planned and Tracked. Berikut merupakan representasi grafik dari nilai
maturity level klausul 18 Penyesuaian.
219
Gambar 4. 7 Representasi Nilai Maturity Level Klausul 18
ISO/IEC 27002: 2013
1. Klausul 5 Kebijakan Keamanan Informasi
Tabel 4. 109 Kerangka Kerja Perhitungan Maturity Level Klausul 5
5.1.1 Kebijakan untuk keamanan informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Kebijakan keamanan informasi berdasarkan atau
sesuai dengan strategi bisnis 1
2
2 Kebijakan keamanan informasi berdasarkan atau
sesuai dengan peraturan, undang-undang, dan
kontrak perjanjian
1
2
3 Kebijakan untuk keamanan informasi sesuai
kebutuhan saat ini dan proyeksi keamanan
informasi terhadap ancaman lingkungan 1
2
4 Kebijakan keamanan informasi mendukung
prinsip kontrol akses, hak akses dan pembatasan
untuk peran pengguna tertentu
1
2
5 Kebijakan keamanan informasi mendukung
keamanan fisik dan lingkungan 1
2
Total Bobot 5 Tingkat
Kemampuan 2
00,5
11,5
22,5
18.1.2 Hak Kekayaan
Intelektual
x
Representasi Nilai Maturity Level Klausul 18 Penyesuaian
220
Tabel 4. 110 Hasil Maturity Level Klausul 5
Klausul Objektif Kontrol Kontrol
Keamanan
Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
5. Kebijakan
keamanan
informasi
5.1 Arahan
manajemen untuk
keamanan
informasi
5.1.1 Kebijakan
untuk keamanan
informasi. 5 2
Maturity Level Klausul 5 2
Hasil yang diperoleh dari perhitungan Klausul 5 tentang
Kebijakan Keamanan Informasi adalah nilai maturity level sebesar 2
berada di level satu (2) Planned and Tracked. Berikut merupakan
representasi grafik dari nilai maturity level klausul 5 Kebijakan Keamanan
Informasi.
Gambar 4. 8 Representasi Nilai Maturity Level Klausul 5
0
0,5
11,5
2
5.1.1 Kebijakan untuk
keamanan informasi
x
Representasi Nilai Maturity Level Klausul 5 Kebijakan
Keamanan Informasi
221
2. Klausul 8 Manajemen Aset
Tabel 4. 111 Kerangka Kerja Perhitungan Maturity Level Klausul 8
8.1.1 Inventarisasi asset
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi harus mengidentifikasi aset yang
relevan pada siklus informasi (pembuatan,
pemrosesan, penyimpanan, penyampaian,
penghapusan, dan penghancuran) dan dokumen
yang penting
1
2
2 Dokumentasi aset dipelihara dalam pendedikasian
atau penyimpanan yang tepat 1
2
Total Bobot 2 Tingkat
Kemampuan 2
8.1.2 Kepemilikan Aset
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi dapat menentukan aset yang
diinventariskan 1
3
2 Organisasi dapat menentukan pengklasifikasian
aset dan perlindungan yang tepat 1
2
3 Penanganan yang tepat bila aset dihapus atau
dihancurkan 1
2
Total Bobot 3 Tingkat
Kemampuan 2,3
8.1.3 Penggunaan aset yang dapat diterima
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pegawai dan pihak eksternal atau pengguna yang
memiliki akses pada aset organisasi harus memiliki
kesadaran kebutuhan keamanan informasi dan
fasilitas pemrosesan informasi dan sumber daya
lainnya
1
2
2 Tanggung jawab terhadap penggunaan pengolahan
sumber daya informasi dan penggunaan tersebut
dilakukan berdasarkan tanggung jawab yang
dimiliki
1
2
Total Bobot 2 Tingkat
Kemampuan 2
8.1.4 Pengembalian Aset
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Proses penghentian atau pemberhentian pegawai
atau pihak luar harus disahkan termasuk
pengembalian semua aset yang diberikan
sebelumnya baik aset fisik dan elektronik oleh
organisasi
1
2
222
2 Pegawai atau pengguna dari pihak luar yang
membeli peralatan organisasi atau menggunakan
peralatan mereka secara pribadi, prosedur harus
diikuti untuk menentukan bahwa semua informasi
yang terkait telah dipindahkan atau dialihkan ke
organisasi dan dihapus dengan aman dari peralatan
atau perangkat
1
2
3 Pengetahuan dan kemampuan pegawai atau
pengguna pihak luar yang memiliki peran penting
pada kegiatan selanjutnya, perlu dilakukan
dokumentasi terkait informasi tersebut dan
diberikan ke organisasi
1
2
4 Selama periode pemberitahuan penghentian,
organisasi harus mengontrol penyalinan yang tidak
sah terkait informasi yang relevan (seperti
intelektual) oleh karyawan dan kontraktor yang
telah berhenti
1
2
Total Bobot 4 Tingkat
Kemampuan 2
Tabel 4. 112 Hasil Maturity Level Klausul 8
Klausul Objektif
Kontrol Kontrol Keamanan
Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
8. Manajemen
asset
8.1
Tanggung
jawab
terhadap aset
8.1.1 Inventarisasi asset 2 2
8.1.2 Kepemilikan Aset 3 2,3
8.1.3 Penggunaan aset
yang dapat diterima 2 2
8.1.4 Pengembalian Aset 4 2
Maturity Level Klausul 8 2,07
Hasil yang diperoleh dari perhitungan Klausul 8 tentang
Manajemen Aset adalah nilai maturity level sebesar 2,07 berada di level
satu (2) Planned and Tracked. Berikut merupakan representasi grafik dari
nilai maturity level klausul 8 Manajemen Aset.
223
Gambar 4. 9 Representasi Nilai Maturity Level Klausul 8
3. Klausul 9 Kontrol Akses
Tabel 4. 113 Kerangka Kerja Perhitungan Maturity Level Klausul 9
9.1.1 Kebijakan kontrol akses
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Kebijakan harus mempertimbangkan
kebutuhan keamanan dari aplikasi bisnis 1
2
2 Kebijakan dari penyebaran dan otorisasi
informasi (seperti kebutuhan untuk tahu
prinsip dan informasi tingkat keamanan dan
klasifikasi informasi)
1
2
3 Konsistensi antara hak-hak akses dan
informasi klasifikasi kebijakan sistem dan
jaringan
1
2
4 Perundangan yang relevan dan kewajiban
kontrak apapun terkait dengan pembatasan
akses ke data atau layanan
1
2
5 Menentukan aturan-aturan terkait "segala
sesuatu yang umumnya dilarang kecuali
diizinkan secara tersurat"
1
2
6 Aturan khusus yang dibutuhkan terkait
sebelum berlakunya persetujuan dan tidak
disetujui
1
2
Total Bobot 6 Tingkat
Kemampuan 2
9.4.1 Pembatasan akses informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Menyediakan menu untuk akses kontrol
terhadap fungsi sistem aplikasi 1
3
1,81,9
22,12,22,3
8.1.1 Inventarisasi aset
8.1.2 Kepemilikan
aset
8.1.3 Penggunaan aset
yang dapat diterima
8.1.4 Pengembalilan
aset
Representasi Nilai Maturity Level Klausul 8 Manajemen Aset
224
2 Mengontrol data yang dapat diakses oleh
pengguna pribadi 1
3
3 Mengontrol hak akses pengguna 1
3
4 Mengontrol hak akses dari aplikasi lain 1
2
5 Menyediakan akses kontrol fisik atau logis
untuk isolasi aplikasi sensitif, seperti data
atau sistem
1 1
Total Bobot 5 Tingkat
Kemampuan 2,4
9.4.2 Prosedur Keamanan Log-on
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Upaya melindungi login terhadap serangan
brute force 1
3
2 Upaya memberitahu log berhasil atau
sebaliknya 1
3
3 Upaya peningkatan keamanan jika terdeteksi
kemungkinan atau ancaman yang masuk pada
kontrol login
1
2
4 Tidak mengirimkan password pada teks yang
jelas pada sebuah jaringan 1
3
5 Menghentikan session yang telah berakhir
atau tidak aktif setelah pemberitahuan
periode, khusus lokasi berisiko tinggi seperti
lingkungan umum atau diluar organisasi atau
pada perangkat mobile
1
2
6 Membatasi waktu koneksi untuk penambahan
penyediaan keamanan pada aplikasi berisiko
tinggi dan mengurangi window/celah dari
kesempatan akses yang tidak berhak.
1
2
Total Bobot 6 Tingkat
Kemampuan 2,5
Tabel 4. 114 Hasil Maturity Level Klausul 9
Klausul Objektif Kontrol Kontrol
Keamanan
Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
9. Kontrol
akses
9.1 Persyaratan
bisnis kontrol
akses
9.1.1 Kebijakan
kontrol akses. 6 2
9.4 Kontrol akses
sistem dan
aplikasi
9.4.1 Pembatasan
akses informasi 5 2,4
9.4.2 Prosedur
Keamanan Log-
on 6 2,5
Maturity Level Klausul 9 2,3
225
Hasil yang diperoleh dari perhitungan Klausul 9 tentang Kontrol
Akses adalah nilai maturity level sebesar 2,3 berada di level satu (2)
Planned and Tracked. Berikut merupakan representasi grafik dari nilai
maturity level klausul 9 Kontrol Akses.
Gambar 4. 10 Representasi Nilai Maturity Level Klausul 9
4. Klausul 10 Kriptografi
Tabel 4. 115 Kerangka Kerja Perhitungan Maturity Level Klausul 10
10.1.1 Kebijakan tentang penggunaan kontrol Kriptografi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pendekatan manajemen menggunakan
kontrol kriptografi di seluruh lingkup
organisasi (termasuk prinsip umum yang
melingkupi informasi bisnis harus
dilindungi)
1
2
2 Berdasarkan penilaian risiko, dibutuhkan
tingkatan perlindungan yang dapat
mengidentifikasi jenis, kekuatan, kualitas
kebutuhan algoritma enkripsi
1
2
3 Penggunaan enkripsi untuk melindungi
perpindahan informasi ke mobile atau
removable media devices atau seluruh
jaringan komunikasi
1 1
Total Bobot 3 Tingkat
Kemampuan 1,67
00,5
11,5
22,5
9.1.1 Kebijakan
kontrol akses
9.4.1 Pembatasan
akses informasi
9.4.2 Prosedur
Keamanan Log-on
Representasi Nilai Maturity Level Klausul 9 Kontrol Akses
226
Tabel 4. 116 Hasil Maturity Level Klausul 10
Klausul Objektif Kontrol Kontrol
Keamanan
Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
10. Kriptografi
10.1 Kontrol
Kriptografi
10.1.1 Kebijakan
tentang
penggunaan
kontrol
Kriptografi.
3 1,67
Maturity Level Klausul 10 1,67
Hasil yang diperoleh dari perhitungan Klausul 10 tentang
Kriptografi adalah nilai maturity level sebesar 1,67 berada di level satu (1)
Performed Informally. Berikut merupakan representasi grafik dari nilai
maturity level klausul 10 Kriptografi.
Gambar 4. 11 Representasi Nilai Maturity Level Klausul 10
5. Klausul 12 Keamanan Operasi
Tabel 4. 117 Kerangka Kerja Perhitungan Maturity Level Klausul 12
12.1.1 Prosedur Dokumentasi Operasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur dokumentasi terkait instalasi dan
konfigurasi sistem 1
2
2 Prosedur dokumentasi terkait pengolahan dan
penanganan informasi baik secara otomatis dan
manual
1 1
1,51,61,71,81,9
2
10.1.1 Kebijakan
tentang penggunaan
kontrol Kriptografi
x
Representasi Nilai Maturity Level Klausul 10 Kriptografi
227
3 Dilakukan pembackup-an 1 1
4 Kebutuhan penjadwalan termasuk ketergantungan
dengan sistem lain, awal waktu pekerjaan dimulai
(job start) dan pekerjaan terbaru selesai
1 1
5 Prosedur sistem restart dan pemulihan untuk
digunakan dalam hal kegagalan sistem 1
1
6 Manajemen jejak (rekam jejak) audit dan log
sistem informasi 1
1
7 Prosedur pemantauan (monitoring) 1 1
Total Bobot 7 Tingkat
Kemampuan 1,14
12.1.2 Manajemen Perubahan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Mengidentifikasi dan merekam perubahan yang
signifikan atau berarti 1
1
2 Mengontrol perencanaan dan pengujian perubahan 1 1
3 Mengukur dampak kemungkinan perubahan
(dampak pada keamanan informasi) 1
1
Total Bobot 3 Tingkat
Kemampuan 1
12.2.1 Kontrol terhadap malware
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Membuat sebuah kebijakan resmi yang melarang
penggunaan perangkat lunak yang tidak sah 1
2
2 Menerapkan kontrol yang mencegah atau
mendeteksi penggunaaan perangkat lunak yang
tidak sah
1 1
3 Kontrol penerapan untuk mencegah atau
mendeteksi penggunaan dugaan atau pelanggaran
situs web berbahaya
1
2
4 Mendefinisikan prosedur dan tanggung jawab
untuk berurusan dengan perlindungan malware
pada sistem, pelatihan dalam penggunaannya,
pelaporan dan pemulihan dari serangan malware
1
2
5 Menyiapkan rencana keberlanjutan bisnis untuk
pemulihan dari serangan malware, termasuk
semua data yang dibutuhkan dan perangkat lunak
cadangan, pengaturan pemulihan
1
2
Total Bobot 5 Tingkat
Kemampuan 1,8
12.6.1 Manajemen dari Kelemahan Teknikal
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi harus mendefinisikan dan menetapkan
peran dan tanggung jawab asosiasi dengan
manajemen kerentanan teknis, termasuk
pemantauan (monitoring), pengukuran kerentanan
risiko, penelusuran aset dan dibutuhkan
tanggungjawab koordinasi
1 1
228
2 Sebuah kronologi (timeline) harus didefinisikan
untuk mereaksi pemberitahuan terkait potensi
kerentanan teknis
1 1
3 Catatan/log audit harus disimpan untuk semua
prosedur yang dilakukan 1
2
4 Keefektifitasan proses manajemen kerentanan
teknis harus sesuai dengan kegiatan manajemen
insiden untuk mengkomunikasikan data dalam
kerentanan terhadap fungsi tanggapan insiden dan
menyediakan prosedur teknikal yang harus
dilakukan saat insiden terjadi
1 1
5 Sistem dengan risiko tinggi harus diutamakan 1
2
6 Manajemen kerentanan teknis harusnya dipantau
secara teratur dan dievaluasi dengan maksud untuk
menjamin keefektifitasan dan keefisiensiannya
1
2
Total Bobot 6 Tingkat
Kemampuan 1,5
Tabel 4. 118 Hasil Maturity Level Klausul 12
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
12. Keamanan
Operasi
12.1 Tanggung
jawab dan
Prosedur
Operasional
12.1.1 Prosedur
Dokumentasi Operasi 7 1,14
12.1.2 Manajemen
Perubahan. 3 1
12.2 Perlindungan
terhadap malware
12.2.1 Kontrol
terhadap malware. 5 1,8
12.6 Manajemen
Kelemahan
Teknikal
12.6.1 Manajemen dari
Kelemahan Teknikal. 6 1,5
Maturity Level Klausul 12 1,36
Hasil yang diperoleh dari perhitungan Klausul 12 tentang
Keamanan Operasi adalah nilai maturity level sebesar 1,36 berada di level
satu (1) Performed Informally. Berikut merupakan representasi grafik dari
nilai maturity level klausul 12 Keamanan Operasi.
229
Gambar 4. 12 Representasi Nilai Maturity Level Klausul 12
Berikut ini adalah tabel yang memuat keseluruhan dari nilai
maturity level yang telah dijabarkan diatas.
ISO/IEC 27001:2013
Tabel 4. 119 Nilai Maturity Level pada ISO/IEC 27001:2013
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
7.
Keamanan
Sumber
Daya
Manusia
7.2 Selama Bekerja
7.2.1 Tanggung Jawab
Manajemen 3 1,7
7.2.2 Kesadaran, Pendidikan
dan Pelatihan Keamanan
Informasi
3 1,3
7.2.3 Proses Tata Tertib 2 1
7.3 Pemutusan
Hubungan Kerja dan
Perubahan Pekerjaan
7.3.1 Tanggung Jawab
Pemutusan Hubungan Kerja
dan Perubahan Pekerjaan
3 2
Maturity Level Klausul 7 1,5
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
11.
Keamanan
Fisik dan
Lingkungan
11.1 Area Aman
11.1.1 Lingkup Keamanan
Fisik; 3 1,3
11.1.2 Kontrol Masuk Fisik 3 1,7
11.1.5 Bekerja di Area Aman 4 1,5
11.2 Peralatan 11.2.1 Perlindungan dan
Penempatan Peralatan 4 1,25
00,5
11,5
2
12.1.1 Prosedur
Dokumentasi Operasi
12.1.2 Manajemen
Perubahan
12.2.1 Kontrol
terhadap malware
12.6.1 Manajemen
dari kelemahan
teknikal
Representasi Nilai Maturity Level Klausul 12 Keamanan
Operasi
230
11.2.2 Keperluan Pendukung 3 2
11.2.3 Keamanan
Pengkabelan 2 1
11.2.9 Kebijakan Meja dan
Layar Bersih 3 1,3
Maturity Level Klausul 11 1,4
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
16.
Manajemen
Insiden
Keamanan
Informasi
16.1 Manajemen
Insiden Keamanan
Informasi dan
Peningkatan
16.1.1 Tanggung Jawab dan
Prosedur 4 1,75
16.1.2 Laporan Kejadian
Keamanan Informasi 3 1,3
16.1.7 Kumpulan Bukti 3 1,7
Maturity Level Klausul 16 1,58
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
18.
Penyesuaian
18.1 Penyesuaian
dengan Hukum dan
Kebutuhan
Kontraktual/Perjanjian
18.1.2 Hak Kekayaan
Intelektual 3 2,3
Maturity Level Klausul 18 2,3
Berikut ini adalah representasi nilai dalam bentuk grafik.
231
Gambar 4. 13 Grafik Representasi Nilai Maturity Level pada ISO/IEC 27001:2013
Gambar 4. 14 Grafik Representasi Nilai Maturity Level pada ISO/IEC 27001:2013
0
0,5
1
1,5
2
2,5
7. Keamanan Sumber
Daya Manusia7.2.1 Tanggung Jawab
Manajemen7.2.2 Kesadaran,
Pendidikan dan…
7.2.3 Proses Tata Tertib
7.3.1 Tanggung Jawab
Pemutusan Hubungan…
11. Keamanan Fisik dan
Lingkungan
11.1.1 Lingkup Keamanan
Fisik
11.1.2 Kontrol Masuk
Fisik
11.1.5 Bekerja di Area
Aman11.2.1 Perlindungan dan
Penempatan Peralatan
11.2.2 Keperluan
Pendukung
11.2.3 Keamanan
Pengkabelan
11.2.9 Kebijakan Meja dan
Layar Bersih
16 Manajemen Insiden
Keamanan Informasi
16.1.1 Tanggung Jawab
dan Prosedur
16.1.2 Laporan Kejadian
Keamanan Informasi
16.1.7 Kumpulan Bukti
18. Penyesuaian
18.1.2 Hak Kekayaan
Intelektual
Representasi Nilai Maturity Level pada ISO 27001:2013
0
0,5
1
1,5
2
2,5
7. Keamanan Sumber
Daya
11. Keamanan Fisik dan
Lingkungan
16. Manajemen Insiden
dan Keamanan
Informasi
18. Penyesuaian
Representasi Nilai Maturity Level Klausul ISO/IEC 27001: 2013
232
ISO/IEC 27002:2013
Tabel 4. 120 Nilai Maturity Level pada ISO/IEC 27002:2013
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
5. Kebijakan
keamanan
informasi
5.1 Arahan
manajemen untuk
keamanan informasi
5.1.1 Kebijakan untuk
keamanan informasi. 5 2
Maturity Level Klausul 5 2
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
8.
Manajemen
aset
8.1 Tanggung jawab
terhadap aset
8.1.1 Inventarisasi aset 2 2
8.1.2 Kepemilikan Aset 3 2,3
8.1.3 Penggunaan aset yang
dapat diterima 2 2
8.1.4 Pengembalian Aset 4 2
Maturity Level Klausul 8 2,07
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
9. Kontrol
akses
9.1 Persyaratan bisnis
kontrol akses 9.1.1 Kebijakan kontrol akses. 6 2
9.4 Kontrol akses
sistem dan aplikasi
9.4.1 Pembatasan akses
informasi 5 2,4
9.4.2 Prosedur Keamanan
Log-on 6 2,5
Maturity Level Klausul 9 2,3
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
10.
Kriptografi
10.1 Kontrol
Kriptografi
10.1.1 Kebijakan tentang
penggunaan kontrol
Kriptografi. 3 1,67
Maturity Level Klausul 10 1,67
Klausul Objektif Kontrol Kontrol Keamanan Tingkat
Kemampuan
Rata-Rata/
Objektif Kontrol
12.
Keamanan
Operasi
12.1 Tanggung jawab
dan Prosedur
Operasional
12.1.1 Prosedur Dokumentasi
Operasi 7 1,14
12.1.2 Manajemen Perubahan. 3 1
12.2 Perlindungan
terhadap malware
12.2.1 Kontrol terhadap
malware. 5 1,8
233
12.6 Manajemen
Kelemahan Teknikal
12.6.1 Manajemen dari
Kelemahan Teknikal. 6 1,5
Maturity Level Klausul 12 1,36
Berikut ini adalah representasi nilai dalam bentuk grafik.
Gambar 4. 15 Grafik Representasi Nilai Maturity Level pada ISO/IEC 27002:2013
Gambar 4. 16 Grafik Representasi Nilai Maturity Level pada ISO/IEC 27002:2013
0
0,5
1
1,5
2
2,55. Kebijakan…
5.1.1 Kebijakan…
8. Manajemen aset
8.1.1 Inventarisasi aset
8.1.2 Kepemilikan…
8.1.3 Penggunaan…
8.1.4 Pengembalian…
9. Kontrol akses
9.1.1 Kebijakan…9.4.1 Pembatasan…
9.4.2 Prosedur…
10. Kriptografi
10.1.1 Kebijakan…
12. Keamanan Operasi
12.1.1 Prosedur…
12.1.2 Manajemen…
12.2.1 Kontrol…
12.6.1 Manajemen…
Representasi Nilai Maturity Level pada ISO 27002:2013
0
0,5
1
1,5
2
2,5
5. Kebijakan
keamanan informasi
8. Manajemen aset
9. Kontrol akses10. Kriptografi
12. Keamanan Operasi
Representasi Nilai Maturity Level Klausul ISO 27002: 2013
234
4.4 Tahap Act
Setelah melakukan penilaian terhadap maturity level pada
objektif kontrol dan kontrol keamanan informasi pada Divisi Information
Technology (IT), peneliti melakukan penentuan untuk rekomendasi yang
akan digunakan untuk perbaikan kontrol keamanan. Rekomendasi yang
dihasilkan berasal dari observasi dan wawancara yang dilakukan peneliti
pada Divisi Information Technology (IT) PT Jasa Marga. Nilai maturity
level dari rata-rata seluruh nilai klausul akan didapatkan setelah seluruh
penilaian selesai dilakukan. Berikut ini merupakan hasil dari penilaian
maturity level dari rata-rata keseluruhan nilai klausul.
Dari tabel di atas, didapatkan representasi hasil maturity level
seluruh klausul sebagai berikut:
Tabel 4.121 Hasil Maturity Level Klausul ISO/IEC 27001: 2013
Klausul ISO/IEC 27001:2013 Maturity Level
7. Keamanan Sumber Daya 1,5
11. Keamanan Fisik dan Lingkungan 1,4
16. Manajemen Insiden dan Keamanan
Informasi 1,58
18. Penyesuaian 2,3
Tabel 4.122 Hasil Maturity Level Klausul ISO/IEC 27002: 2013
Klausul ISO/IEC 27002:2013 Maturity Level
5. Kebijakan keamanan informasi 2
8. Manajemen aset 2,07
9. Kontrol akses 2,3
10. Kriptografi 1,67
12. Keamanan Operasi 1,37
235
Hasil maturity level dari representasi hasil seluruh klausul, yaitu
sebagai berikut:
Hasil maturity level ISO/IEC 27001: 2013
Gambar 4.17 Representasi Nilai Maturity Level Klausul ISO/IEC 27001: 2013
Hasil maturity level ISO/IEC 27002: 2013
Gambar 4.18 Representasi Nilai Maturity Level Klausul ISO/IEC 27002: 2013
00,5
11,5
22,5
7. Keamanan Sumber
Daya
11. Keamanan Fisik dan
Lingkungan
16. Manajemen Insiden
dan Keamanan
Informasi
18. Penyesuaian
Representasi Nilai Maturity Level Klausul ISO 27001: 2013
0
0,5
1
1,5
2
2,5
5. Kebijakan keamanan
informasi
8. Manajemen aset
9. Kontrol akses10. Kriptografi
12. Keamanan Operasi
Representasi Nilai Maturity Level Klausul ISO/IEC 27002: 2013
236
4.4.1 Rekomendasi terhadap Objektif Kontrol dan Keamanan Informasi
berdasarkan ISO/IEC 27001:2013
Setelah dilakukan penilaian maturity level, analisa, dan evaluasi,
selanjutnya adalah penentuan kondisi pada Divisi Information Technology
(IT) apakah sudah sesuai dengan standar ISO/IEC 27001: 2013 dan
ISO/IEC 27002: 2013 serta pemberian rekomendasi. Rekomendasi dapat
digunakan untuk perbaikan pada Divisi Information Technology (IT) PT
Jasa Marga. Berikut ini adalah kondisi sekaligus usulan yang diberikan
oleh peneliti:
Tabel 4. 123 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC 27001:2013
7. Keamanan Sumber Daya Manusia
7.2.1 Tanggung Jawab Manajemen
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Seluruh pegawai
dan pihak lain yang
berkaitan dengan
organisasi
menerapkan
keamanan
informasi sesuai
dengan kebijakan
dan prosedur
Tersedianya panduan
keamanan informasi
organisasi yang
disesuaikan dengan
keamanan informasi
negara
Berdasarkan kontrol 7.2.1
pihak manajemen
seharusnya menyediakan
panduan terkait keamanan
informasi organisasi
Adanya pemberian
motivasi, program
pembelajaran
peningkatan
kemampuan dan
pengkualifikasian
terhadap kemampuan
dasar terkait keamanan
informasi
Berdasarkan kontrol 7.2.1
pihak manajemen
seharusnya menyediakan
kegiatan yang dapat
memotivasi dan
meningkatkan kemampuan
pegawai terkait keamanan
informasi
Rekomendasi:
1. Pihak manajemen perlu menyediakan panduan yang sesuai dengan ketentuan negara terkait keamanan
informasi pada organisasi.
2. Pihak Manajemen perlu menyediakan kegiatan untuk memotivasi pegawai dan mengembangkan
kemampuan dasar terkait keamanan informasi.
7.2.2 Kesadaran, Pendidikan dan Pelatihan Keamanan Informasi
237
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Pendidikan dan
pelatihan rutin
untuk seluruh
pegawai dan pihak
eksternal yang
disesuaikan
jobdesk masing-
masing,
berdasarkan
kebijakan yang
telah diperbaharui
dan prosedur
organisasi
Perjanjian terhadap
keamanan informasi
saat pendidikan dan
pelatihan.
Berdasarkan kontrol 7.2.2
pihak manajemen
seharusnya menyediakan
perjanjian pendidikan dan
pelatihan keamanan
informasi.
Prosedur dasar
keamanan informasi
dan baseline controls
(keamanan password,
malware controls, &
clear desk).
Berdasarkan kontrol 7.2.2
pihak manajemen
seharusnya menyediakan
prosedur dasar keamanan
informasi dan baseline
controls (seperti keamanan
password, malware
controls, & clear desk).
Pihak manajemen dan
pegawai memiliki
tanggung jawab
pribadi terkait
perlindungan
kepemilikan informasi
organisasi
Berdasarkan kontrol 7.2.2
seharusnya pihak
manajemen dan pegawai
bertanggung jawab untuk
mengamankan atau
melindungi kepemilikan
informasi organisasi atau
pihak luar.
Rekomendasi:
1. Pihak manajemen perlu menyediakan fasilitas pendidikan dan pelatihan keamanan informasi.
2. Pihak manajemen perlu menyediakan prosedur dasar keamanan informasi dan baseline control.
3. Pihak manajemen dan pegawai memiliki tanggung jawab untuk melindungi informasi yang dimiliki
organisasi.
7.2.3 Proses Tata Tertib
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Proses disipliner
formal dan
pengkomunikasian
terhadap tindakan
pegawai terkait
pelanggaran
keamanan
informasi
Proses tata tertib
bersifat formal dan
komunikatif terkait
tindakan pelanggaran
pegawai pada
keamanan informasi.
Berdasarkan kontrol 7.2.3
pihak manajemen
seharusnya memiliki
proses tata tertib bersifat
formal dan komunikatif
terkait tindakan
pelanggaran pegawai pada
keamanan informasi.
Proses tata tertib
menjadi sebuah
motivasi atau sebuah
insentif jika sanksi
positif terkait perilaku
pada keamanan
informasi.
Berdasarkan kontrol 7.2.3
pihak manajemen
seharusnya menyiapkan
proses tata tertib agar
menjadi sebuah motivasi
atau sebuah insentif jika
sanksi positif terkait
perilaku pada keamanan
informasi.
Rekomendasi:
238
1. Perlunya proses tata tertib bersifat formal dan komunikatif terkait tindakan pelanggaran pegawai pada
keamanan informasi.
2. Proses tata tertib menjadi motivasi atau sebuah insentif jika sanksi positif terkait perilaku pada keamanan
informasi.
7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja dan Perubahan Pekerjaan
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Tanggung jawab
terhadap keamanan
informasi tetap
berlaku setelah
pengakhiran atau
perubahan
pekerjaan
Memberitahukan
tanggung jawab
bekerja dan saat
pemberhentian
termasuk tanggung
jawab hukum
keamanan informasi
saat ini.
Berdasarkan kontrol 7.3.1
pihak manajemen
seharusnya
mengkomunikasikan
tanggung jawab
pemberhentian termasuk
kebutuhan tanggung jawab
hukum keamanan
informasi saat ini.
Syarat dan ketentuan
bekerja terkait
tanggung jawab dan
tugas tetap sah setelah
pemberhentian
bekerja.
Terdapat pasal
di dalam surat
perjanjian
Sesuai dengan standar
Rekomendasi:
1. Perlunya sosialisasi terkait tanggung jawab pemberhentian trerkait tanggung jawab hukum keamanan
informasi.
11. Keamanan Fisik dan Lingkungan
11.1.1 Lingkup Keamanan Fisik
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Parameter
keamanan harus
didefinisikan dan
digunakan untuk
melindungi area
fasilitas pemrosesan
informasi yang
berisi informasi
sensitif
Lingkup keamanan
harus didefinisikan
dan penempatan serta
kekuatan lain (dapat
berbunyi) pada
lingkup berdasarkan
kebutuhan keamanan
aset & hasil dari
penilaian risiko.
Berdasarkan kontrol 11.1.1
lingkup keamanan
seharusnya didefinisikan
dan penempatan serta
kekuatan lain pada lingkup
berdasarkan kebutuhan
keamanan aset & hasil dari
penilaian risiko.
Area penerima tamu
untuk mengontrol
akses fisik.
Adanya
customer
service. Sesuai dengan standar
Rekomendasi:
1. Perlunya penjelasan untuk penempatan serta kekuatan lain pada lingkup sesuai dengan kebutuhan
keamanan aset & hasil dari penilaian risiko.
2. Fasilitas pemrosesan informasi dapat berbunyi (seperti pintu atau jendela).
11.1.2 Kontrol Masuk Fisik
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
239
Area aman
dilindungi oleh
kontrol entri untuk
memastikan bahwa
hanya pegawai
yang berwenang
dapat mengakses
Waktu dan tanggal
dari masuk dan
keberangkatan atau
kepergian pengunjung
harus terekam kecuali
akses mereka sudah
disetujui sebelumnya.
Berdasarkan kontrol 11.1.2
seharusnya waktu dan
tanggal dari masuk dan
keberangkatan atau
kepergian pengunjung
harus terekam dan semua
pengunjung harus diawasi
kecuali akses mereka
sudah disetujui
sebelumnya.
Semua pegawai,
kontraktors dan pihak
luar harus
menggunakan tanda
pengenal yang terlihat
dan diketahui oleh
bagian keamanan.
Berdasarkan kontrol 11.1.2
seharusnya semua
pegawai, kontraktors dan
pihak luar harus
menggunakan tanda
pengenal yang terlihat dan
diketahui oleh bagian
keamanan.
Penerapan kontrol
akses ke area dimana
kerahasiaan informasi
diproses harus dibatasi
dan dilakukan otorisasi
individual
Berdasarkan kontrol 11.1.2
seharusnya dilakukan
penerapan kontrol akses ke
area dimana kerahasiaan
informasi diproses harus
dibatasi dan dilakukan
otorisasi individual
Rekomendasi:
1. Perlunya pengawasan terhadap waktu dan tanggal dari masuk dan keberangkatan atau kepergian
pengunjung yang terekam dan semua pengunjung kecuali akses mereka sudah disetujui sebelumnya.
2. Semua pegawai, kontraktors dan pihak luar harus menggunakan tanda pengenal yang terlihat dan
diketahui oleh bagian keamanan.
3. Perlunya penerapan kontrol akses ke area dimana kerahasiaan informasi diproses harus dilakukan
pembatasan dan otorisasi individual.
11.1.5 Bekerja di Area Aman
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Prosedur untuk
bekerja di area
aman harus
dirancang dan
diterapkan
Pegawai menyadari
keberadaan, atau
kegiatan dalam sebuah
wilayah yang aman.
Berdasarkan kontrol 11.1.5
seharusnya personil
menyadari keberadaan,
atau kegiatan dalam
sebuah wilayah yang
aman.
Bekerja tanpa
pengawasan di daerah-
daerah yang harus
dihindari baik untuk
alasan keamanan dan
mencegah peluang
untuk kegiatan
berbahaya.
Berdasarkan kontrol 11.1.5
seharusnya bekerja tanpa
pengawasan di daerah-
daerah yang harus
dihindari baik untuk alasan
keamanan dan mencegah
peluang untuk kegiatan
berbahaya.
240
Daerah-daerah yang
kosong harus secara
fisik terkunci dan
ditinjau secara berkala.
Dilakukan
penguncian
untuk ruang
direksi dan
vice president
jika kosong
Sesuai dengan standar
Pengambilan gambar,
video, suara atau
peralatan perekam
lainnya seperti kamera
di perangkat mobile
tidak diperkenankan,
kecuali telah di
otorisasi.
Berdasarkan kontrol 11.1.5
seharusnya pengambilan
gambar, video, suara atau
peralatan perekam lainnya
seperti kamera di
perangkat mobile tidak
diperkenankan, kecuali
telah di otorisasi.
Rekomendasi:
1. Perlunya peningkatan kesadaran personil terkait kegiatan dalam sebuah wilayah yang aman.
2. Pegawai dapat bekerja tanpa pengawasan di daerah-daerah yang harus dihindari baik untuk alasan
keamanan dan mencegah peluang untuk kegiatan berbahaya.
3. Perlunya aturan terkait pengambilan gambar, video, suara atau peralatan perekam lainnya seperti kamera
di perangkat mobile.
11.2.1 Perlindungan dan Penempatan Peralatan
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Penempatan
terhadap peralatan
disesuaikan dengan
tingkat risikonya
dan dilindungi dari
ancaman dan
bahaya lingkungan.
Fasilitas yang
menangani data
sensitif pada
pemrosesan informasi
diletakkan dengan
hati-hati untuk
mengurangi risiko
yang dihindari.
Berdasarkan kontrol 11.2.1
seharusnya fasilitas yang
menangani data sensitif
pada pemrosesan informasi
diletakkan dengan hati-hati
untuk mengurangi risiko
yang dihindari
Perlindungan pada
peralatan pengolahan
informasi rahasia
untuk meminimalkan
risiko kebocoran
informasi.
Berdasarkan kontrol 11.2.1
seharusnya dilakukan
perlindungan pada
peralatan pengolahan
informasi rahasia untuk
meminimalkan risiko
kebocoran informasi
Rekomendasi:
1. Penempatan fasilitas yang menangani data sensitif pada pemrosesan informasi dilakukan dengan hati-hati
untuk mengurangi risiko yang dihindari.
2. Perlunya penerapan perlindungan pada peralatan pengolahan informasi rahasia untuk meminimalkan
risiko kebocoran informasi.
12.2.2. Keperluan Pendukung
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
241
Peralatan harus
dilindungi dari
gangguan listrik
dan gangguan lain
yang disebabkan
oleh kegagalan
dalam mendukung
utilitas
Peralatan sesuai
dengan spesifikasi
pabrik dan persyaratan
hukum setempat
Peralatan
disediakan
oleh pihak
ketiga yang
telah
memenuhi
hukum
setempat
Sesuai dengan standar
Dilakukan penilaian
secara berkala untuk
mengetahui kapasitas
apakah sesuai dengan
pertumbuhan bisnis
Adanya
tinjauan ulang
terkait
kebutuhan dan
pertumbuhan
organisasi
Sesuai dengan standar
Dilakukan
pemeriksaan dan
pengujian secara
teratur untuk
memastikan fungsinya
Dilakukan
oleh pihak
ketiga
berdasarkan
kontrak
perjanjian
kerjasama
Sesuai dengan standar
11.2.3 Keamanan Pengkabelan
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Kabel listrik dan
telekomunikasi
yang membawa
data atau layanan
informasi
pendukung harus
dilindungi dari
intersepsi,
interferensi atau
kerusakan
Posisi saluran listrik
dan telekomunikasi
yang terhubung
dengan fasilitas
pemrosesan informasi
berada di bawah tanah
atau perlindungan
alternatif
Berdasarkan kontrol 11.2.3
seharusnya posisi saluran
listrik dan telekomunikasi
yang terhubung dengan
fasilitas pemrosesan
informasi berada di bawah
tanah atau perlindungan
alternatif
Pemisahan kabel daya
dan kabel komunikasi
Berdasarkan kontrol 11.2.3
seharusnya dilakukan
pemisahan kabel daya dan
kabel komunikasi
Rekomendasi:
1. Penempatan posisi saluran listrik dan telekomunikasi yang terhubung dengan fasilitas pemrosesan
informasi harus berada di bawah tanah atau dengan perlindungan alternatif.
2. Perlu dilakukan pemisahan kabel daya dan kabel komunikasi.
11.2.9 Kebijakan Meja dan Layar Bersih
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Pengadopsian
kebijakan
keamanan
informasi terkait
media penyimpanan
kertas dan
removable serta
Penyimpanan
informasi sensitif atau
bersifat kritis harus
terkunci (seperti kertas
atau media
penyimpanan
elektronik)
Berdasarkan kontrol 11.2.9
seharusnya penyimpanan
informasi sensitif atau
bersifat kritis harus
terkunci (seperti kertas
atau media penyimpanan
elektronik)
242
layar pengolahan
informasi
Komputer and
terminals ditinggalkan
dalam keadaan
terkunci atau
terlindungi dengan
layar dan keyboard
dengan kontrol
penguncian seperti
password atau proses
authentication
Layar
Komputer atau
Laptop
terkunci
otomatis
apabila tidak
digunakan
beberapa saat
Sesuai dengan standar
Media yang berisi
informasi sensitif atau
rahasia harus segera
dihapus dari printer
Berdasarkan kontrol 11.2.9
seharusnya media yang
berisi informasi sensitif
atau rahasia harus segera
dihapus dari printer
Rekomendasi:
1. Penyimpanan informasi sensitif atau bersifat kritis harus terkunci (seperti kertas atau media penyimpanan
elektronik)
2. Media yang berisi informasi sensitif atau rahasia harus segera dihapus dari printer.
16. Manajemen Insiden Keamanan Informasi dan Peningkatan
16.1.1 Tanggung Jawab dan Prosedur
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Prosedur terkait
insiden keamanan
informasi harus
ditetapkan untuk
respon yang
diberikan
Prosedur untuk
perencanaan dan
persiapan tanggap
insiden
Berdasarkan kontrol 16.1.1
seharusnya pihak
manajemen menyediakan
prosedur untuk
perencanaan dan persiapan
tanggap insiden
Prosedur yang
memastikan bahwa
personel yang
menangani masalah
memiliki kompeten
terkait insiden tersebut
Berdasarkan kontrol 16.1.1
seharusnya pihak
manajemen menyediakan
prosedur yang memastikan
bahwa personel yang
menangani masalah
memiliki kompeten terkait
insiden tersebut.
Prosedur pelaporan
mencakup proses
umpan balik untuk
memastikan bahwa
orang-orang yang
melaporkan kejadian
keamanan informasi
diberitahu tentang
hasil setelah masalah
tersebut telah
ditangani dan ditutup
Berdasarkan kontrol 16.1.1
seharusnya pihak
manajemen menyediakan
prosedur pelaporan
mencakup proses umpan
balik untuk memastikan
bahwa orang-orang yang
melaporkan kejadian
keamanan informasi
diberitahu tentang hasil
setelah masalah tersebut
telah ditangani dan ditutup.
Rekomendasi:
1. Pihak manajemen perlu menyediakan prosedur untuk perencanaan dan persiapan tanggap insiden
243
2. Pihak manajemen perlu menyediakan prosedur yang memastikan bahwa personel yang menangani
masalah memiliki kompeten terkait insiden tersebut.
3. Pihak manajemen perlu menyediakan prosedur pelaporan mencakup proses umpan balik yang sesuai
untuk memastikan bahwa orang-orang yang melaporkan kejadian keamanan informasi diberitahu tentang
hasil setelah masalah tersebut telah ditangani dan ditutup.
16.1.2 Laporan Kejadian Keamanan Informasi
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Kejadian keamanan
informasi harus
dilaporkan melalui
saluran manajemen
Pelaporan kontrol
keamanan yang tidak
efektif
Berdasarkan kontrol 16.1.2
seharusnya dilakukan
pelaporan kontrol
keamanan yang tidak
efektif
Pelaporan pelanggaran
pengaturan keamanan
fisik
Berdasarkan kontrol 16.1.2
seharusnya dilakukan
pelaporan pelanggaran
pengaturan keamanan fisik
Rekomendasi:
1. Perlu dilakukan pelaporan kontrol keamanan yang tidak efektif.
2. Perlu dilakukan pelaporan pelanggaran pengaturan keamanan fisik.
16.1.7 Kumpulan Bukti
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Prosedur untuk
identifikasi,
pengumpulan,
perolehan, dan
pelestarian
informasi yang
dapat berfungsi
sebagai bukti
Prosedur
mempertimbangkan
keamanan bukti
Berdasarkan kontrol 16.1.7
pihak manajemen
seharusnya menyediakan
prosedur yang
mempertimbangkan
keamanan bukti.
Prosedur
mempertimbangkan
keamanan personil
Disediakan
bagian
keamanan
pada masing-
masing lantai
dan CCTV
Sesuai dengan standar
Prosedur
mempertimbangkan
keamanan
dokumentasi
Berdasarkan kontrol 16.1.7
pihak manajemen
seharusnya menyediakan
prosedur yang
mempertimbangkan
keamanan dokumentasi
Rekomendasi:
1. Pihak manajemen perlu menyediakan prosedur yang mempertimbangkan keamanan bukti.
2. Pihak manajemen perlu menyediakan prosedur yang mempertimbangkan keamanan dokumentasi.
18. Penyesuaian
18.1.2 Hak Kekayaan Intelektual
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
244
Prosedur yang
memastikan
kepatuhan dengan
persyaratan
legislatif, peraturan
dan kontrak yang
terkait dengan hak
kekayaan
intelektual dan
penggunaan produk
perangkat lunak
berpemilik
Mengeluarkan
kebijakan kepatuhan
hak kekayaan
intelektual yang
mendefinisikan
penggunaan sah
perangkat lunak dan
produk informasi
Berdasarkan kontrol 18.1.2
pihak manajemen
seharusnya mengeluarkan
kebijakan kepatuhan hak
kekayaan intelektual yang
mendefinisikan
penggunaan sah perangkat
lunak dan produk
informasi
Mendapatkan
perangkat lunak
melalui sumber yang
diketahui dan memiliki
reputasi baik, untuk
memastikan hak cipta
tidak dilanggar
Dilakukan
perjanjian
kontrak
kerjasama
dengan pihak
yang
mengeluarkan
perangkat
lunak
Sesuai dengan standar
Menjaga kesadaran
kebijakan untuk
melindungi hak
kekayaan intelektual
dan memberikan
pemberitahuan tentang
niat untuk mengambil
tindakan disipliner
terhadap personel yang
melanggar mereka
Berdasarkan kontrol 18.1.2
pihak manajemen
seharusnya menjaga
kesadaran kebijakan untuk
melindungi hak kekayaan
intelektual dan
memberikan
pemberitahuan tentang niat
untuk mengambil tindakan
disipliner terhadap
personel yang melanggar
mereka
Rekomendasi:
1. Perlunya kebijakan kepatuhan hak kekayaan intelektual yang mendefinisikan penggunaan sah perangkat
lunak dan produk informasi.
2. Perlu menjaga kesadaran kebijakan untuk melindungi hak kekayaan intelektual dan memberikan
pemberitahuan tentang tindakan disipliner terhadap personel yang melanggar.
245
4.4.2 Rekomendasi terhadap Objektif Kontrol dan Keamanan Informasi
berdasarkan ISO/IEC 27002:2013
Tabel 4. 124 Hasil Temuan dan Rekomendasi berdasarkan ISO/IEC27002:2013
5.1 Kebijakan Keamanan Informasi
5.1.1 Kebijakan untuk keamanan informasi
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Kebijakan terkait
keamanan
informasi yang
disetujui dan
diterbitkan oleh
pihak manajemen
Kebijakan keamanan
informasi
berdasarkan atau
sesuai dengan strategi
bisnis, undang-
undang dan
perjanjian
Berdasarkan kontrol 5.1.1
terdapat kebijakan
keamanan informasi
namun pelaksanaannya
belum sesuai dengan
strategi bisnis, undang-
undang dan perjanjian.
Kebijakan keamanan
informasi mendukung
prinsip kontrol akses,
hak akses dan
pembatasan untuk
peran pengguna
Berdasarkan kontrol 5.1.1
kebijakan keamanan
informasi sudah ada
namun belum mendukung
prinsip kontrol akses, hak
akses dan pembatasan
untuk peran pengguna.
Rekomendasi:
1. Perlunya pengimbauan dan contoh penerapan agar kebijakan dapat dilaksanakan oleh seluruh pegawai.
2. Perlunya kebijakan keamanan informasi yang mendukung prinsip kontrol akses, hak akses dan
pembatasan untuk peran pengguna.
8. Manajemen Aset
8.1.1 Inventarisasi Aset
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Pengidentifikasian,
inventarisasi dan
pemeliharaan aset
terkait dengan
informasi dan
fasilitas pemrosesan
informasi
Mengidentifikasi aset
terkait siklus
informasi
(pembuatan,
pemrosesan,
penyimpanan,
penyampaian,
penghapusan, dan
penghancuran) dan
dokumen yang
penting
Berdasarkan kontrol 8.1.1
seharusnya dilakukan
peengidentifikasian aset
terkait siklus informasi
(pembuatan, pemrosesan,
penyimpanan,
penyampaian,
penghapusan, dan
penghancuran) dan
dokumen yang penting.
246
Dokumentasi aset
dipelihara dalam
penjagaan atau
penyimpanan yang
tepat
Berdasarkan kontrol 8.1.1
seharusnya dilakukan
pendokumentasian aset
dipelihara dalam
penjagaan atau
penyimpanan yang tepat
Rekomendasi:
1. Organisasi perlu mengidentifikasi aset terkait siklus informasi (pembuatan, pemrosesan, penyimpanan,
penyampaian, penghapusan, dan penghancuran) dan dokumen yang penting.
2. Perlunya dilakukan pendokumentasian aset dipelihara dalam penjagaan atau penyimpanan yang tepat.
8.1.2 Kepemilikan Aset
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Aset yang ada
diinventariskan
Organisasi dapat
menentukan aset
yang diinventariskan
Terdapat pada
dokumen
referensi
Sesuai standar
Organisasi dapat
menentukan
pengklasifikasian aset
dan perlindungan
yang tepat
Berdasarkan kontrol 8.1.2
seharusnya organisasi
dapat menentukan
pengklasifikasian aset dan
perlindungan yang tepat
Penanganan yang
tepat bila aset
dihapus atau
dihancurkan
Berdasarkan kontrol 8.1.2
seharusnya dilakukan
penanganan yang tepat bila
aset dihapus atau
dihancurkan
Rekomendasi:
1. Organisasi perlu menentukan pengklasifikasian aset dan perlindungan yang tepat.
2. Perlu dilakukan penanganan yang tepat bila aset dihapus atau dihancurkan.
8.1.3 Penggunaan aset yang dapat diterima
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Pengidentifikasian,
pendokumentasian
dan
pengimplentasian
terhadap peraturan
penerimaan dan
penggunaan aset
informasi
Adanya kesadaran
keamanan informasi
pada pegawai dan
pihak eksternal atau
pengguna yang
memiliki akses pada
aset organisasi
Berdasarkan kontrol 8.1.3
seharusnya pegawai dan
pihak eksternal atau
pengguna yang memiliki
kesadaran keamanan
informasi pada aset
organisasi
Tanggung jawab
terhadap penggunaan
pengolahan sumber
daya informasi
Berdasarkan kontrol 8.1.3
seharusnya tanggung
jawab terhadap
penggunaan pengolahan
sumber daya informasi
Rekomendasi:
1. Perlu kesadaran pegawai dan pihak eksternal atau pengguna yang memiliki akses pada aset organisasi.
247
2. Tanggung jawab terhadap penggunaan pengolahan sumber daya informasi.
8.1.4 Pengembalian Aset
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Pengembalian
seluruh aset setelah
akhir masa kontrak
oleh semua pegawai
dan pihak eksternal
berdasarkan
perjanjian
Pemberhentian
pegawai atau pihak
eksternal harus
disahkan
(pengembalian aset
fisik dan elektronik)
oleh organisasi
Berdasarkan kontrol 8.1.4
seharusnya pemberhentian
pegawai atau pihak
eksternal harus disahkan
(pengembalian aset fisik
dan elektronik) oleh
organisasi
Pegawai atau pihak
eksternal yang
membeli peralatan
organisasi atau
menggunakan
peralatan mereka
secara pribadi, harus
mengikuti prosedur
bahwa semua
informasi telah
dialihkan ke
organisasi dan
dihapus dengan aman
Berdasarkan kontrol 8.1.4
seharusnya pegawai atau
pihak eskternal yang
membeli peralatan
organisasi atau
menggunakan peralatan
mereka secara pribadi,
harus mengikuti prosedur
bahwa semua informasi
telah dialihkan ke
organisasi dan dihapus dari
peralatan atau perangkat
Pendokumentasian
terkait pengetahuan
dan kemampuan
pegawai atau pihak
eksternal terkait
tanggung jawab pada
kegiatan selanjutnya.
Berdasarkan kontrol 8.1.4
seharusnya dilakukan
pendokumentasian
pengetahuan dan
kemampuan pegawai atau
pihak eskternal terkait
tanggung jawab pada
kegiatan selanjutnya.
Rekomendasi:
1. Perlunya pengesahan pengembalian semua aset yang diberikan sebelumnya baik aset fisik dan elektronik
oleh organisasi pada saat proses penghentian atau pemberhentian pegawai atau pihak luar.
2. Perlu mengikuti prosedur untuk menentukan bahwa semua informasi yang terkait telah dipindahkan atau
dialihkan ke organisasi dan dihapus dengan aman dari peralatan atau perangkat.
3. Perlu dilakukan dokumentasi terkait pengetahuan dan kemampuan pegawai atau pengguna pihak luar
yang memiliki peran penting pada kegiatan selanjutnya dan diberikan ke organisasi.
9. Kontrol Akses
9.1.1 Kebijakan kontrol akses
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Penetapan,
pendokumentasian,
dan peninjauan
terhadap kebijakan
kontrol akses
Kebijakan terkait
keamanan dari
aplikasi bisnis
Berdasarkan kontrol 9.1.1
seharusnya kebijakan
mempertimbangkan
keamanan dari aplikasi
bisnis
248
berdasarkan
persyaratan
keamanan bisnis
dan informasi
Kebijakan
penyebaran dan
otorisasi informasi
Berdasarkan kontrol 9.1.1
seharusnya terdapat
kebijakan penyebaran dan
otorisasi informasi.
Kebijakan terkait hal
yang dilarang dan
pemberian izin secara
tersurat
Berdasarkan kontrol 9.1.1
seharusnya terdapat
kebijakan untuk hal yang
dilarang dan pemberian
izin secara tersurat
Rekomendasi:
1. Perlunya kebijakan akan pertimbangan kebutuhan keamanan dari aplikasi bisnis.
2. Perlunya kebijakan untuk penyebaran dan otorisasi informasi.
3. Perlunya kebijakan terkait hal yang dilarang dan pemberian izin yang berlaku.
9.4.1 Pembatasan akses informasi
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Penerapan
kebijakan kontrol
akses terhadap
informasi dan
fungsi sistem
aplikasi
Menyediakan menu
untuk akses kontrol
terhadap fungsi
sistem aplikasi
Adanya fitur
single sign on
Sesuai dengan standar
Mengontrol hak akses
pengguna
Pembagian
hak akses
berdasarkan
jabatan dan
tugas
Sesuai dengan standar
Terdapat akses
kontrol fisik atau
logis terkait isolasi
aplikasi sensitif (data
atau sistem)
Berdasarkan kontrol 9.4.1
seharusnya menyediakan
akses kontrol fisik atau
logis untuk isolasi aplikasi
sensitif, (data atau sistem)
Rekomendasi:
1. Perlunya menyediakan akses kontrol fisik atau logis untuk isolasi aplikasi sensitif, seperti data atau
sistem.
9.4.2 Prosedur Keamanan Log-on
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Kebijakan kontrol
akses oleh prosedur
Log on yang aman
Upaya peningkatan
keamanan jika
terdeteksi ancaman
yang masuk pada
kontrol login
Admin
melakukan
penolakan
akses terhadap
internet
protocol (IP)
pengguna
Sesuai dengan standar
249
Menghentikan
session yang telah
berakhir atau tidak
aktif setelah
pemberitahuan
periode
Berdasarkan kontrol 9.4.2
seharusnya dilakukan
penghentian session yang
telah berakhir atau tidak
aktif setelah
pemberitahuan periode
Membatasi waktu
koneksi untuk
penambahan
penyediaan
keamanan pada
aplikasi berisiko
tinggi
Berdasarkan kontrol 9.4.2
seharusnya dilakukan
pembatasan waktu koneksi
untuk penambahan
penyediaan keamanan
pada aplikasi berisiko
tinggi
Rekomendasi:
1. Perlu dilakukan penghentian session yang telah berakhir atau tidak aktif setelah pemberitahuan periode,
khusus lokasi berisiko tinggi seperti lingkungan umum atau diluar organisasi atau pada perangkat mobile.
2. Perlu dilakukan pembatasan waktu koneksi untuk penambahan penyediaan keamanan pada aplikasi
berisiko tinggi dan mengurangi window/celah dari kesempatan akses yang tidak berhak.
10. Kriptografi
10.1.1 Kebijakan tentang penggunaan kontrol Kriptografi
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Kebijakan
penggunaan kontrol
kriptografi harus
dikembangkan dan
diimplementasikan
Pihak manajemen
menerapkan kontrol
kriptografi di seluruh
lingkup organisasi
(informasi bisnis)
Berdasarkan kontrol 10.1.1
seharusnya pihak
manajemen menerapkan
kontrol kriptografi di
seluruh lingkup organisasi
(informasi bisnis)
Dibutuhkan tingkatan
perlindungan yang
dapat
mengidentifikasi
jenis, kekuatan,
kualitas kebutuhan
algoritma enkripsi
Berdasarkan kontrol 10.1.1
dibutuhkan tingkatan
perlindungan yang dapat
mengidentifikasi jenis,
kekuatan, kualitas
kebutuhan algoritma
enkripsi
Penerapan enkripsi
untuk melindungi
perpindahan
informasi dari
berbagai media yang
membawanya
Berdasarkan kontrol 10.1.1
seharusnya penerapan
enkripsi dilakukan untuk
melindungi perpindahan
informasi
Rekomendasi:
1. Perlunya pendekatan oleh pihak manajemen terkait penerapan kontrol kriptografi di seluruh lingkup
organisasi (termasuk prinsip umum yang melingkupi informasi bisnis harus dilindungi).
2. Dibutuhkan tingkatan perlindungan yang dapat mengidentifikasi jenis, kekuatan, kualitas kebutuhan
algoritma enkripsi.
3. Perlunya penggunaan enkripsi untuk melindungi perpindahan informasi ke mobile atau removable media
devices atau seluruh jaringan komunikasi.
12. Keamanan Operasi
250
12.1.1 Prosedur Dokumentasi Operasi
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Prosedur operasi
harus
didokumentasikan
dan tersedia bagi
semua pengguna
yang
membutuhkannya
Prosedur
dokumentasi terkait
pengolahan dan
penanganan
informasi baik
(otomatis dan
manual)
Berdasarkan kontrol 12.1.1
seharusnya terdapat
prosedur dokumentasi
terkait pengolahan dan
penanganan informasi
(otomatis dan manual)
Dilakukan
pembackup-an Adanya
penjadwalan
pada sistem
Sesuai dengan standar
Manajemen jejak
(rekam jejak) audit
dan log sistem
informasi
Berdasarkan kontrol 12.1.1
seharusnya dilakukan
manajemen jejak (rekam
jejak) audit dan log sistem
informasi
Rekomendasi:
1. Perlu prosedur dokumentasi terkait pengolahan dan penanganan informasi baik secara otomatis dan
manual.
2. Perlu dilakukan manajemen jejak (rekam jejak) audit dan log sistem informasi.
12.1.2 Manajemen Perubahan
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Pengontrolan
terhadap perubahan
proses bisnis,
fasilitas pemrosesan
informasi, dan
sistem yang
mempengaruhi
keamanan
informasi
Mengidentifikasi dan
merekam perubahan
yang signifikan atau
berarti
Berdasarkan kontrol 12.1.2
seharusnya dilakukan
pengidentifikasian dan
perekaman perubahan
yang signifikan atau berarti
Mengontrol
perencanaan dan
pengujian perubahan
Berdasarkan kontrol 12.1.2
seharusnya dilakukan
pengontrolan perencanaan
dan pengujian perubahan
Mengukur dampak
kemungkinan
perubahan (dampak
pada keamanan
informasi)
Berdasarkan kontrol 12.1.2
seharusnya dilakukan
pengukuran dampak
kemungkinan perubahan
(dampak pada keamanan
informasi)
Rekomendasi:
1. Perlu dilakukan pengidentifikasian dan perekaman perubahan yang signifikan atau berarti.
2. Perlu dilakukan pengontrolan perencanaan dan pengujian perubahan.
3. Perlu dilakukan pengukuran dampak kemungkinan perubahan (dampak pada keamanan informasi).
12.2.1 Kontrol terhadap malware
251
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Penerapan terhadap
pendeteksian,
pencegahan dan
pemulihan kontrol
terhadap kesadaran
pengguna untuk
melindungi dari
malware
Kebijakan yang
melarang penggunaan
perangkat lunak yang
tidak sah
Berdasarkan kontrol 12.2.1
seharusnya terdapat
kebijakan yang melarang
penggunaan perangkat
lunak yang tidak sah
Prosedur dan
tanggung jawab
terkait perlindungan,
pelatihan, pelaporan
dan pemulihan dari
serangan malware
Berdasarkan kontrol 12.2.1
seharusnya terdapat
prosedur dan tanggung
jawab terkait perlindungan,
pelatihan, pelaporan dan
pemulihan dari serangan
malware
Perencanaan bisnis
terkait pemulihan
dari serangan
malware (semua data
yang dibutuhkan,
perangkat lunak
cadangan, pengaturan
pemulihan)
Berdasarkan kontrol 12.2.1
seharusnya ada
perencanaan bisnis untuk
pemulihan dari serangan
malware (semua data yang
dibutuhkan, perangkat
lunak cadangan,
pengaturan pemulihan)
Rekomendasi:
1. Perlunya kebijakan resmi yang melarang penggunaan perangkat lunak yang tidak sah.
2. Perlunya prosedur dan tanggung jawab yang terkait dengan perlindungan malware pada sistem, pelatihan
dalam penggunaannya, pelaporan dan pemulihan dari serangan malware.
3. Perlunya persiapan rencana keberlanjutan bisnis untuk pemulihan dari serangan malware, termasuk
semua data yang dibutuhkan dan perangkat lunak cadangan, pengaturan pemulihan.
12.6.1 Manajemen dari Kelemahan Teknikal
Kontrol Petunjuk
Penggunaan
Dilakukan Bukti GAP
Ya Tidak
Informasi terkait
kerentanan sistem
harus diketahui
secara cepat,
kemudian
dievaluasi dan
ditindaklanjuti
untuk mengurangi
risiko
Penetapan peran dan
tanggung jawab
terkait kerentanan
teknis (pemantauan
atau monitoring,
pengukuran risiko,
penelusuran aset dan
koordinasinya)
Berdasarkan kontrol 12.6.1
seharusnya organisasi
menetapkan peran dan
tanggung jawab terkait
kerentanan teknis
(pemantauan atau
monitoring, pengukuran
risiko, penelusuran aset
dan koordinasinya)
252
Sebuah kronologi
(timeline)
digambarkan untuk
mengetahui aksi dari
kerentanan teknis
Berdasarkan kontrol 12.6.1
seharusnya sebuah
kronologi (timeline) harus
digambarkan untuk
mengetahui aksi dari
kerentanan teknis
Manajemen
kerentanan teknis
dipantau secara
teratur dan dievaluasi
untuk menjamin
keefektifitasan dan
keefisiensiannya
Berdasarkan kontrol 12.6.1
seharusnya manajemen
kerentanan teknis dipantau
secara teratur dan
dievaluasi untuk menjamin
keefektifitasan dan
keefisiensiannya
Catatan/log audit
disimpan untuk
semua prosedur yang
dilakukan
Referensi
laporan
verifikasi
indeks
keamanan
informasi
Sesuai dengan standar
Rekomendasi:
1. Perlunya penetapan peran dan tanggung jawab terkait kerentanan teknis (pemantauan atau monitoring,
pengukuran risiko, penelusuran aset dan koordinasinya).
2.Perlunya penggambaran dari sebuah kronologi (timeline) yang mungkin terjadi untuk mengetahui kondisi
dari kerentanan teknis yang ada.
3. Perlunya dilakukan pemantauan teratur dan pengevaluasi terhadap manajemen kerentanan teknis untuk
menjamin keefektifitasan dan keefiensiannya.
Dari hasil penelitian dapat diketahui bahwa ISO/IEC 27001:2013
berfokus pada kebijakan bagi perusahaan atau instansi yang belum
menerapkan kebijakan teknologi informasi sebelumnya, sedangkan
ISO/IEC 27002:2013 berfokus kepada kebijakan yang lebih khusus seperti
pada bagian pengoperasian atau penerapan dari kebijakan yang telah
ditentukan sebelumnya.
253
4.5 Rekomendasi untuk Aset
a. Rekomendasi untuk Aset Utama pada Divisi Information Technology
Tabel 4. 125 Rekomendasi untuk Aset Utama pada Divisi Information Technology
No Nama Aset Risiko yang Diterima Nilai
Risiko
Level
Risiko
Diterima/
Ditolak Mitigasi Rekomendasi
1 Database Web
Portal Internal
- Akses illegal atau user tanpa hak
(unautorized)
- Bencana alam
- Hacker dan cracker
- Memastikan letak server aman dari aman
dari berbagai macam risiko lain (short
circuit, float)
- Memastikan tidak masuknya pengguna yang
tidak memiliki hak akses ke dalam server
273,6 High
Risk Diterima
Pihak Divisi
Information
Technology
(IT) telah
menyediakan
generator set
dan cloud
computing
- Melakukan auto backup
- Perlunya melakukan
defragment
- Memasang UPS atau
stabilizer untuk melindungi
ketika listrik padam
- Membuat batasan hak akses
level untuk setiap aktor yang
menggunakan sistem
2 Database
Kepegawaian
- Akses illegal atau user tanpa hak
(unautorized)
- Bencana alam
- Hacker dan cracker
- Memastikan letak server aman dari aman
dari berbagai macam risiko lain (short
circuit, float)
- Memastikan tidak masuknya pengguna yang
tidak memiliki hak akses ke dalam server
307,8 High
Risk Diterima
Pihak Divisi
Information
Technology
(IT) telah
menyediakan
generator set
dan cloud
computing
- Melakukan auto backup
- Perlunya melakukan
defragment
- Memasang UPS atau
stabilizer untuk melindungi
ketika listrik padam
- Membuat batasan hak akses
level untuk setiap aktor yang
menggunakan sistem
3
Database
Knowledge
Management
- Akses illegal atau user tanpa hak
(unautorized)
- Bencana alam
- Hacker dan cracker
- Memastikan letak server aman dari aman
dari berbagai macam risiko lain (short
circuit, float)
229,5 High
Risk Diterima
Pihak Divisi
Information
Technology
(IT) telah
menyediakan
generator set
- Melakukan auto backup
- Perlunya melakukan
defragment
- Memasang UPS atau
stabilizer untuk melindungi
ketika listrik padam
254
- Memastikan tidak masuknya pengguna yang
tidak memiliki hak akses ke dalam server
dan cloud
computing
- Membuat batasan hak akses
level untuk setiap aktor yang
menggunakan sistem
4
Database
Lalu Lintas
Tol
- Akses illegal atau user tanpa hak
(unautorized)
- Bencana alam
- Hacker dan cracker
- Memastikan letak server aman dari aman
dari berbagai macam risiko lain (short
circuit, float)
- Memastikan tidak masuknya pengguna yang
tidak memiliki hak akses ke dalam server
334,4 High
Risk Diterima
Pihak Divisi
Information
Technology
(IT) telah
menyediakan
generator set
dan cloud
computing
- Melakukan auto backup
- Perlunya melakukan
defragment
- Memasang UPS atau
stabilizer untuk melindungi
ketika listrik padam
- Membuat batasan hak akses
level untuk setiap aktor yang
menggunakan sistem
5
Database
PKBL
(Program
Kemitraan dan
Bina
Lingkungan)
- Akses illegal atau user tanpa hak
(unautorized)
- Bencana alam
- Hacker dan cracker
- Memastikan letak server aman dari aman
dari berbagai macam risiko lain (short
circuit, float)
- Memastikan tidak masuknya pengguna yang
tidak memiliki hak akses ke dalam server
183,6 High
Risk Diterima
Pihak Divisi
Information
Technology
(IT) telah
menyediakan
generator set
dan cloud
computing
- Melakukan auto backup
- Perlunya melakukan
defragment
- Memasang UPS atau
stabilizer untuk melindungi
ketika listrik padam
- Membuat batasan hak akses
level untuk setiap aktor yang
menggunakan sistem
6 Database
ERP
- Akses illegal atau user tanpa hak
(unautorized)
- Bencana alam
- Hacker dan cracker
- Memastikan letak server aman dari aman
dari berbagai macam risiko lain (short
circuit, float)
- Memastikan tidak masuknya pengguna yang
tidak memiliki hak akses ke dalam server
271,7 High
Risk Diterima
Pihak Divisi
Information
Technology
(IT) telah
menyediakan
generator set
dan cloud
computing
- Melakukan auto backup
- Perlunya melakukan
defragment
- Memasang UPS atau
stabilizer untuk melindungi
ketika listrik padam
- Membuat batasan hak akses
level untuk setiap aktor yang
menggunakan sistem
255
b. Rekomendasi untuk Aset Pendukung pada Divisi Information Technology
Tabel 4. 126 Rekomendasi untuk Aset Pendukung pada Divisi Information Technology
No Nama Aset Risiko yang Diterima Nilai
Risiko
Level
Risiko
Diterima/
Ditolak Mitigasi Rekomendasi
1
Windows
Server
2012 R.2
- Memastikan letak server
aman dari berbagai
macam risiko (short
circuit, float)
- Memastikan tidak
masuknya pengguna
yang tidak memiliki hak
akses ke dalam server
189 High
Risk Diterima
Pihak Divisi Information
Technology (IT) telah
menyediakan backup data
berupa cloud computing
dan sistem penyimpanan
di tempat lain
- Perlunya penempatan server pada
posisi yang aman
- Perlunya auto backup database pada
server
- Membuat hak akses level untuk
ruangan server dengan
menggunakan security door dan
finger print
2 Fiber Optic
- Memastikan pemasangan
kabel sesuai dengan
kekuatan bandwithnya
agar tidak terjadi
bottleneck
116,4 High
Risk Ditolak
Pihak Divisi Information
Technology (IT) belum
mempunyai perangkat
khusus untuk menangani
masalah di bagian kabel
fiber optic
- Melakukan pengecekan manhole /
handhole untnuk mengindari
gangguan pada titik sambung
- Diadakan pengecekan kabel serta
optic untuk menelusuri rute kabel
optic
256
4.6 Kesimpulan Hasil dan Pembahasan Metode PDCA
Berikut ini adalah tabel yang memuat kesimpulan hasil penelitian.
Tabel 4. 127 Kesimpulan Hasil dan Pembahasan Metode PDCA
Metode
Evaluasi
Hasil
ISO/IEC 27001: 2013 ISO/IEC 27002:2013
Plan 1. Berdasarkan hasil analisis peneliti, ditemukan
struktur organisasi Divisi Information Technology
(IT) yang berisi 20 bagian dimana setiap bagian
memiliki satu sampai dua pegawai, namun untuk
bagian keamanan informasi hanya ada satu orang
yang menangani.
2. Menganalisis visi misi perusahaan, dengan visi
menjadi perusahaan dengan finansial yang tinggi
dan menjadi panutan khususnya human capital
namun dengan permasalahan yang ditemukan
maka visi belum sepenuhnya berjalan sesuai
dengan harapan. Dan analisis dari misi yaitu
meningkatkan dan melancarkan distribusi barang
dan jasa namun dengan permasalahan seperti
serangan cyber yang dapat mengganggu kegiatan
perusahaan.
3. Penentuan kebijakan yaitu tujuan dari pelaksanaan
SMKI melibatkan seluruh pegawai PT Jasa Marga,
Ketua Divisi Information Technology sebagai
pengawas dari jalannya kebijakan SMKI, dan
kontrol keamanan sistem informasi dilakukan
secara bertahap.
4. Terdapat 20 daftar aset dengan jenis perangkat
keras, perangkat lunak, dan fasilitas pendukung
-
Do 1. Mengidentifikasi risiko:
- Berdasarkan pengidentifikasian dan
perhitungan nilai aset ditemukan nilai aset
utama dengan nilai 8-11 dan nilai aset
pendukung dengan nilai 3-7,
- Hasil dari pengidentifikasian kelemahan,
ancaman, dan nilai pada aset yaitu aset
utama dan pendukung berada di kategori
Low-Medium.
2. Menganalisis dan evaluasi risiko:
- Hasil dari menganalisis dampak dan risiko
pada aset utama dan pendukung yaitu nilai
Business Impact Analysis (BIA) berada
pada kategori very high critical yaitu aset
yang memiliki pengaruh besar terhadap
proses kerja perusahaan,
- Mengidentifikasi tingkat risiko pada aset
utama dan pendukung dengan nilai BIA 80-
95,
- Hasil menilai risiko pada divisi IT yaitu
risiko bisnis dapat terjadi karena vendor
-
257
lama menanganinya, risiko kehilangan data,
dan bencana alam.
Check 1. Memilih objektfif kontrol
2. Memilih sebagian klausul ISO/IEC 27001:2013
3. Menentukan maturity level pada:
Klausul 7 Keamanan Sumber Daya
Manusia dengan hasil 1,5 (dilakukan
informal);
Klausul 11 Keamanan Fisik dan
Lingkungan dengan hasil 1,4 (dilakukan
informal);
Klausul 16 Manajemen Insiden Keamanan
Informasi dan Peningkatan dengan hasil
1,58 (dilakukan informal);
Klausul 18 Penyesuaian dengan hasil 2,3
(direncanakan dan dilacak).
1. Memilih objektfif kontrol
2. Memilih sebagian klausul ISO/IEC
27002:2013
3. Menentukan maturity level pada:
Klausul 5 Kebijakan Keamanan
Informasi dengan hasil 2
(direncanakan dan dilacak)
Klausul 8 Manajemen Aset dengan
hasil 2,08 (direncanakan dan
dilacak)
Klausul 9 Kontrol Akses dengan
hasil 2,3 (direncanakan dan dilacak)
Klausul 10 Kriptografi dengan hasil
1,67 (dilakukan informal)
Klausul 12 Keamanan Operasi
dengan hasil 1,36 (dilakukan
informal)
Act 1. Menentukan GAP/celah dan;
2. Memberikan rekomendasi dari hasil tahap check.
a. Klausul 7 Keamanan Sumber Daya Manusia:
- Perlunya panduan keamanan informasi
sesuai dengan peran organisasi
berdasarkan ketentuan negara;
- Perlunya fasilitas pendidikan dan
pelatihan guna meningkatkan
kemampuan pegawai terkait keamanan
informasi.
b. Klausul 11 Keamanan Fisik dan
Lingkungan:
- Perlu dilakukannya penempatan sesuai
dengan kebutuhan keamanan aset;
- Perlunya pengawasan terhadap
pengunjung yang datang, dan kesadaran
pegawai terhadap penggunaan kartu
pengenal;
- Perlunya peningkatan kesadaran personil
terkait wilayah bekerja.
c. Klausul 16 Manajemen Insiden Keamanan
Informasi dan Peningkatan:
- Perlunya prosedur untuk perencanaan
dan persiapan tanggap insiden;
- Perlunya pelaporan kontrol keamanan
dan pelanggaran fisik;
- Perlunya prosedur untuk keamanan bukti
dan dokumentasi.
d. Klausul 18 Penyesuaian:
- Perlunya kebijakan kepatuhan HAKI
terhadap penggunaan perangkat lunak
dan produk informasi yang sah.
1. Menentukan GAP/celah dan;
2. Memberikan rekomendasi dari hasil tahap
check.
a. Klausul 5 Kebijakan Keamanan
Informasi:
- Perlunya kebijakan terkait
keamanan informasi yang
sesuai strategi bisnis, undang-
undang, dan yang mendukung
prinsip kontrol akses pengguna.
b. Klausul 8 Manajemen Aset:
Perlu dilakukan pengidentifikasian,
pengklasifikasian dan
pendokumentasian terhadap
tanggung jawab aset organisasi.
c. Klausul 9 Kontrol Akses:
Perlunya kebijakan untuk keamanan
aplikasi bisnis dan;
Perlunya otorisasi informasi yang
diberikan.
d. Klausul 10 Kriptografi:
Perlunya penerapan kontrol
kriptografi di seluruh lingkup
organisasi.
e. Klausul 12 Keamanan Operasi:
Perlunya prosedur
pendokumentasian operasi;
Dilakukannya pengidentifikasian
dan perekaman perubahan yang
signifikan;
Perlunya prosedur dan tanggung
jawab perlindungan terhadap
malware;
258
Perlunya penetapan peran dan
tanggung jawab terkait kerentanan
teknis.
Berdasarkan tabel diatas dapat diketahui bahwa pengevaluasian
ISO/IEC 27001 menggunakan empat (4) klausul yaitu klausul 7
(keamanan sumber daya manusia), klausul 11 (keamanan fisik dan
lingkungan), klausul 16 (manajemen insiden), dan klausul 18
(penyesuaian). Dari keempat klausul tersebut diketahui bahwa klausul 18
berada pada level dua dibandingkan klausul lainnya yang masih di level
satu. Selanjutnya diketahui ISO/IEC 27002 pengevaluasiannya
menggunakan lima klausul yang berbeda yaitu klausul 5 (kebijakan
keamanan informasi), klausul 8 (manajemen aset), klausul 9 (akses
kontrol), klausul 10 (kriptografi), dan klausul 12 (keamanan operasi). Dari
kelima klausul tersebut terdapat tiga klausul yang berada pada level dua
yaitu klausul 5, 8 dan 9 sedangkan klausul 10 dan 12 berada pada level
satu. Dari penjelasan ISO/IEC 27001 diatas dapat diketahui bahwa masih
kurangnya perhatian pihak manajerial terkait penentuan dan penetapan
kebijakan pada keamanan informasi, sedangkan hasil dari ISO/IEC 27002
dapat diketahui bahwa kegiatan operasional sudah dalam tahap
perencanaan dan dilacak. Dimana dari dua standar ini diketahui bahwa
kegiatan operasional berjalan dengan perencanaan namun masih
kurangnya penentuan dan penetapan kebijakan yang ada terkait keamanan
informasi pada Divisi Information Technology (IT) PT Jasa Marga.
259
BAB V
PENUTUP
5.1 Kesimpulan
Berdasarkan hasil dan pembahasan yang telah dibahas pada bab
sebelumnya dapat disimpulkan bahwa laporan dari hasil analisis dapat
digunakan untuk mencapai standar sistem manajamen keamanan informasi
(SMKI) dengan menggunakan ISO/IEC 27001 dan ISO/IEC 27002
sebagai rekomendasi dan peningkatan keamanan informasi. Berikut adalah
hasil dari penelitian ini dengan menggunakan metode Plan, Do, Check,
Act.
1. Tahap Plan
Pada tahap ini menghasilkan penentuan ruang lingkup penelitian
yaitu Divisi Information Technology PT Jasa Marga khususnya pada web
portal internal yang digunakan sebagai gerbang utama untuk masuk ke
sistem masing-masing divisi. Penentuan arahan dan tujuan dari kebijakan
keamanan informasi berdasarkan ISO/IEC 27001 dan ISO/IEC 27002
yaitu seluruh pegawai harus mengikuti keseluruhan SMKI untuk
membantu dalam melindungi aset informasi dan teknis pemberdayaan
maupun pemeliharaan aset secara fisik, Ketua Divisi Information
Technology bertanggung jawab dalam pengelolaan proses SMKI dan
penilaian risiko dilakukan secara berkala, dan untuk kontrol akses
260
keamanan informasi berfokus pada teknis pemberdayaan, pemeliharaa aset
dan tingkat keamanan yang dimiliki khususnya pada kondisi fisik.
2. Tahap Do
Tahapan ini menghasilkan analisis terkait kondisi aset terkait dengan
web portal internal yaitu nilai aset utama berada di range nilai 8-11 dengan
kategori Medium, dan nilai aset pendukung berada di range nilai 3-7
dengan kategori Low, dengan rata-rata hasil analisis risiko pada aset utama
dan aset pendukung berada di level risiko high risk.
3. Tahap Check
a. Menghasilkan penilaian maturity level ISO/IEC 27001 rata-rata
berada di level satu yaitu belum adanya kebijakan yang mengatur
aktivitas tersebut sehingga pegawai bertindak berdasarkan kesadaran
diri sendiri dan ISO/IEC 27002 rata-rata berada level dua yaitu kinerja
sudah dijalankan dan dikelola dengan cukup baik.
b. Berdasarkan hasil pemilihan klausul dari ISO/IEC 27001 dan
ISO/IEC 27002, peneliti merekomendasikan beberapa klausul untuk
menjawab identifikasi masalah, yaitu:
- Penggunaan ISO/IEC 27001 pada objek kontrol 16.1 (Manajemen
Insiden Keamanan Informasi dan Peningkatannya) tentang web
portal internal berada pada level kematangan 1,58 (Performed
Informally) yaitu belum adanya kebijakan yang mengatur kegiatan
pegawai terhadap manajemen insiden pada web portal internal
sehingga pegawai bertindak sendiri atau berdasarkan kesadaran diri
261
dengan ditemukannya hasil bukti bahwa saat ini PT. Jasa Marga
belum memiliki standarisasi kebijakan terkait permasalahan
tersebut.
- Hasil penggunaan ISO/IEC 27002 pada objek kontrol 8.1 (Tanggung
Jawab terhadap Aset) tentang web portal internal berada pada level
kematangan 2,08 (Planned and Tracked) yaitu proses kinerja telah
direncanakan dan dikelola dengan cukup baik dengan ditemukannya
hasil saat ini bahwa PT Jasa Marga sudah mengidentifikasi ancaman
dan kelemahan terkait aset informasi.
- Penggunaan ISO/IEC 27001 pada objek kontrol 7.2 (Keamanan
Sumber Daya Manusia Selama Bekerja) tentang beban kerja
pegawai berada pada level kematangan 1,3 (Performed Informally)
yaitu belum adanya kebijakan yang mengatur beban kerja pegawai
selama masih bekerja sehingga pegawai bertindak sendiri atau
berdasarkan kesadaran diri dengan ditemukannya hasil bukti bahwa
saat ini PT Jasa Marga belum memiliki standarisasi kebijakan terkait
permasalahan tersebut.
- Hasil penggunaan ISO/IEC 27002 pada objek kontrol 5.1 (Arahan
Manajemen untuk Keamanan Informasi) tentang beban kerja
pegawai berada pada level kematangan 2,0 (Planned and Tracked)
yaitu proses kinerja telah direncanakan dan dikelola dengan cukup
baik dengan ditemukannya hasil bukti bahwa saat ini PT Jasa Marga
262
telah menyusun kebijakan dan prosedur terkait peran dan
tanggungjawab pihak-pihak yang berwenang untuk menerapkannya.
4. Tahap Act
Berdasarkan analisis dengan menggunakan ISO/IEC 27001 dapat
diketahui bahwa PT Jasa Marga perlu:
a. Menyediakan kebijakan keamanan informasi seperti menanamkan
kesadaran (awareness) keamanan informasi pada level pimpinan
maupun pegawai.
b. Menyediakan kebijakan terkait peningkatan dan kepatuhan
penggunaan terhadap fasilitas keamanan fisik seperti kebijakan
pemakaian id card untuk mengakses ruangan.
c. Menyediakan kebijakan terkait manajemen insiden seperti
pengidentifikasian kondisi yang membahayakan keamanan informasi
dan menetapkannya sebagai insiden untuk ditindaklanjuti sesuai
prosedur yang ditetapkan.
Sedangkan dengan menggunakan ISO/IEC 27002 dapat diketahui bahwa PT
Jasa Marga perlunya perhatian terhadap:
d. Kontrol keamanan operasi perlu kebijakan terkait prosedur
operasional untuk seluruh pegawai dan manajemen perubahan yang
terjadi di dalam perusahaan seperti perubahan proses bisnis, fasilitas
pemrosesan informasi dan sistem yang mempengaruhi informasi.
5. Dari hasil analisis penelitian, ISO/IEC 27001 berfokus pada bagaimana
menentukan standarisasi kebijakan bagi perusahaan dan manajemen risiko
263
yang belum menerapkan kebijakan IT khususnya pada bagian keamanan
informasi, sedangkan ISO/IEC 27002 berfokus pada pemeliharaan aset
perusahaan dan manajemen operasional, yang disesuaikan dengan
kebutuhan perusahaan.
6. Hasil dalam penelitian ini dapat diketahui bagaimana menetapkan tujuan,
kebijakan, dan arahan kontrol keamanan informasi yang dilanjutkan
dengan analisis nilai aset dan risiko yang digunakan untuk menentukan
penggunaan klausul pada ISO/IEC 27001 dan ISO/IEC 27002 yang
menghasilkan rekomendasi penetapan kebijakan keamanan informasi pada
web portal internal yaitu pengidentifikasian kondisi yang membahayakan
dan keamanan sumber daya manusia terkait awareness pada keamanan
informasi.
5.2 Saran
Berdasarkan penelitian yang telah dilakukan peneliti yaitu evaluasi
tata kelola teknologi informasi dengan fokus manajemen keamanan
informasi menggunakan framework ISO 27001 dan ISO 27002 pada PT
Jasa Marga memiliki cakupan yang luas untuk dikembangkan lagi. Oleh
karena itu, peneliti mencoba memberikan saran untuk penelitian
selanjutnya sebagai berikut:
1. Bagi para peneliti selanjutnya dapat mengukur tingkat keamanan
khususnya SMKI menggunakan indeks KAMI yang telah dikeluarkan
oleh KOMINFO pada PT Jasa Marga.
264
2. Peneliti selanjutnya dapat menggunakan framework ITIL untuk
mengetahui kondisi kesiapan manajemen insiden yang ada pada PT
Jasa Marga.
3. Peneliti selanjutnya dapat menggunakan framework COBIT 5 untuk
melakukan evaluasi khususnya pada bagian keamanan.
4. Peneliti selanjutnya dapat mengevaluasi dengan ISO 27001 dan 27002
dengan menambahkan responden dan klausul yang berbeda.
5. Peneliti selanjutnya dapat mengevaluasi kembali klausul yang masih
berada di level satu menggunakan framework jenis lain.
265
DAFTAR PUSTAKA
A, O’Brien, James. (2006). Introducing to Information System. Jakarta: Salemba
Empat.
Abdulghani, Tarmin. (2015). Manajemen Insiden dan Manajemen Problem
Teknologi Informasi Perguruan Tinggi. Bandung: Universitas
Langlangbuana
Abzug et al. (2003). System Security Engineering Capability Maturity Model (SSE-
CMM) Model Description Document Version 3.0. Pennsylvania.
Carnegie Mellon University.
Bernard, Pierre. (2011). Foundations of ITIL 2011 Edition. Zaltbommel: Van Haren
Publishing.
British Standard 7799-2. (2002). Information Security Management Systems –
Specification with Guidance for Use.
Bygstad & Hanseth. (2010). IT Governance through Regulatory Modalities. Health
Care Information Infrastructure and The “Blue Fox” Project.
Cialdini & Goldstein. (2004). Social Influence: Compliance and Conformity. US
National Library of Medicine National Institutes of Health. doi:
https://doi.org/10.1146/annurev.psych.55.090902.142015
Ciptaningrum et al. (2015). Audit Keamanan Sistem Informasi pada Kantor
Pemerintah Kota Yogyakarta Menggunakan COBIT 5. Seminar Nasional
Teknologi Informasi dan Komunikasi. Yogyakarta.
Dessler, Gary. (2015). Human Resource Management, 14th Edition. Florida
International University.
Disterer, Georg. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security
Management. Journal of Information Security, 4, 92-100. doi:
http://dx.doi.org/10.4236/jis.2013.42011
266
Fitroh & Rustamaji. (2017). Determining Evaluated Domain Process Through
Problem Identification Using COBIT 5 Framework. Conference Paper.
doi: 10.1109/CITSM.2017.8089281
Galbraith, J. R. (2012). The Evolution of Enterprise Organization Designs.
Giyarto. (2015). Pengaruh Analisis Jabatan terhadap Pencapaian Kinerja
Organisasi di Universitas Muhammadiyah Surakarta.
Hamzah, M. R. (2018). Skripsi Audit Keamanan Sistem Informasi dengan
Menggunakan Standar ISO/IEC 27001:2013 dan ISO/IEC 27002:2013
pada Sub Bagian Data dan Informasi Direktorat Jenderal Kebudayaan
Republik Indonesia. Jakarta: UIN Syarif Hidayatullah.
Hariyanto, Bambang. (2004). Sistem Manajemen Basis Data. Bandung:
Informatika
Hasibuan, Malayu. (2001). Manajemen Sumber Daya Manusia: Pengertian Dasar,
Pengertian dan Masalah. Jakarta: PT. Toko Gunung Agung.
ISACA. (2012). COBIT 5: Process Reference Guide Exposure Draft. Rolling
Meadows, USA.
ISO/IEC 27001. (2005). Information Technology - Security Techniques -
Information Security Management System. Switzerland.
ISO/IEC 27001. (2013). Information Technology - Security Techniques -
Information Security Management System Second Edition. Switzerland.
ISO/IEC 27002. (2013). Information Technology - Security Techniques - Code of
Practice for Information Security Controls Second Edition. Switzerland.
IT Governance Institute. (2011). Global Status Report on the Governance of
Enterprise IT (GEIT).
Jankov et al. (2017). The Impact of Information Technologies on Commincation
Satisfaction and Organizational Learning in Companies in Serbia.
Computers in Human Behavior. doi:10.1016/j.chb.2017.07.012
Jogiyanto, H.M. (2005). Analisa dan Desain Sistem Informasi: Pendekatan
Terstruktur Teori dan Praktik Aplikasi Bisnis. Yogyakarta: ANDI.
Jong et al. (2008). ITIL V3 Foundation Exam – The Study Guide. Zaltbommel: Van
Haren Publishing.
267
Kadir, A. (2003). Pengenalan Sistem Informasi. Yogyakarta: ANDI.
Kristanto, Andri. (2003). Perancangan Sistem Informasi dan Aplikasinya. Jakarta:
Gava Media.
Kusumastuti & Sugiama. (2014). Manajemen Aset. Bandung: AN-Polban.
Lampiran Keputusan Direksi. (2014). Master Plan Teknologi Informasi 2014-2018.
Jakarta. PT Jasa Marga.
Lestari, Putri. (2018). Skripsi Analisis Faktor-Faktor yang Mempengaruhi
Kepercayaan dalam Bertransaksi Online Shopping pada Mahasiswa
UIN Syarif Hidayatullah Jakarta.
Menezes et al. (1996). Handbook of Applied Cryptography. Middletown: AT&T
Laboratories.
Mulyadi & Rivai. (2009). Manajemen Sumber Daya Manusia. Jakarta.
Open Geospatial Consortium. (2014). OGC Testbed 10 Cross Community
Interoperability (CGI) Ontology Engineering Report. Public Engineering
Report.
Rao & Nayak. (2014). The InfoSec Handbook An Introduction to Information
Security. Apress Open.
Sarno & Iffano. (2009). Sistem Manajemen Keamanan Informasi. Surabaya: ITS
Press.
Satori, D. dan. Komariah, A. (2013). Metodologi Penelitian Kualitatif. Bandung:
Alfabeta.
Sheikhpour & Modiri. (2012). A Best Practice Approach for Integration of ITIL
and ISO/IEC 27001 Services for Information Security Management.
Indian journal of science and technology, Vol. 5, No. 2.
Siregar, D. D. (2004). Manajemen Aset, Strategi Penataan Konsep Pembagunan
Berkelanjutan Secara Nasional dalam Konteks Kepala Daerah Sebagai
CEO’s pada Era Globalisasi dan Otonomi Daerah. PT Gramedia
Pustaka Utama.
Sofyanti. (2014). Skripsi Rancang Bangun Sistem Informasi Penerimaan Karyawan
Berbasis WEB (Studi Kasus: PT Desalite Esbang Jaya). Jakarta:
Universitas Islam Negeri Syarif Hidayatullah.
268
Susanto, A., Lee, H., Zo, H dan Ciganek, A. P. (2012). Usser Acceptaptance of
Internet Banking in Indonesia : Initial Trust Formation. Information
Development, Vol. 20, No.4, pp. 309-322.
Susanto, Arief. (2003). Pengenalan Komputer, dilihat 11 Desember 2018,
IlmuKomputer.com.
Susanto et al. (2012). A Novel Method on ISO 27001 Reviews : ISMS Compliance
Readiness Level Measurement. Computer Science Journal, Volume 2,
Issue 1.
Susanto et al. (2012). Information Security Challenge and Breaches: Novelty
Approach on Measuring ISO 27001 Readiness Level. International
Journal of Engineering & Technology, Volume 2, No. 1.
Susanto et al. (2011). Information Security Management System Standards: A
Comparative Study of the Big Five. International Journal of Electrical &
Computer Sciences IJECS-IJENS, Vol:11, No:05.
Susanto, Tri. (2012). Manajemen Insiden dalam Pengelolaan Infrastruktur
Teknologi Informasi (Studi Kasus UPT Laboratorium STMIK AMIKOM
Yogyakarta). Jurnal Telematika, Vol. 5, No.2.
Sutabri, Tata. (2005). Sistem Informasi Manajemen. Jakarta.
Torten et al. (2018). The Impact of Security Awarness on Information Technology
Professionals’ Behavior. Computers & Security. doi:
https://doi.org/10.1016/j.cose.2018.08.007
Tripton & Krause. (2011). Information Security Management Handbook, Volume
5, 6th Edition. Boca Raton: CRC Press.
Whitman & Mattord. (2017). Management of Information Security 5th Edition.
Winata, Hendryan. (2012). Pemeliharaan Keamanan Fisik Atas Kontrol Fasilitas
Sistem Komputer. Medan: Sekolah Tinggi Manajemen Ilmu Komputer.
Wu et al. (2015). How Information Technology Governance Mechanisms and
Strategic Alignment Influence Organizational Performance: Insights
From A Matched Survey of Business and IT Managers. MIS Quarterly,
Vol. 39, No. 2, pp 497-516.
269
LAMPIRAN 1
WAWANCARA
Hari/Tanggal : 30 Mei 2018
Tempat : Ruang Divisi Information Technology (IT)
Narasumber : Febrina Amir
Jabatan : Manajer Compliance
Nurul Sistem apakah yang berperan penting dalam kegiatan harian kantor pusat
PT.Jasa Marga?
Mba Rina Web Portal Internal (WPI), karena di dalamnya terdapat semua aplikasi yang
digunakan oleh seluruh unit kerja. Seperti informasi mengenai kepegawaian
dan macam-macam informasi lainnya.
Nurul Bagaimana sejarah sistem terdahulu sehingga menerapkan sistem yang
sekarang?
Mba Rina Karena meningkatnya kebutuhan dari perusahaan dan didorong banyaknya
aplikasi di unit kerja yang perlu untuk dipantau dan diawasi, sehingga terjadi
kesulitan untuk menghapal aplikasi apa saja yang sudah ada di perusahaan
khususnya pada bagian IT yang melakukan pengawasan dan pemeliharaan
terhadap aplikasi-aplikasi tersebut.
Dimana dengan adanya sistem portal internal ini memudahkan dalam
memberikan informasi seperti surat keputusan (SK) terbaru atau kuesioner
yang perlu diisi oleh pegawai dan menghubungkan semua aplikasi-aplikasi
yang digunakan oleh perusahaan.
Nurul Apa saja fitur-fitur yang dimiliki sistem ini?
Mba Rina Fitur-fiturnya yaitu penambahan konten yang dapat diisi oleh setiap unit
kerja, terdapat kalender, informasi kontak pegawai, forum diskusi, menu
berita, menu pengumuman (SK) terbaru, galeri, aplikasi-aplikasi unit kerja.
Nurul Kenapa sistem ini memiliki peranan penting?
Mba Rina Karena web portal internal memiliki fungsi untuk menghubungkan semua
aplikasi yang ada pada PT Jasa Marga (kantor pusat dan cabang). Dimana
sebelum pegawai masuk ke aplikasi unit kerja terlebih dahulu login ke web
portal internal kemudian baru dapat memasuki aplikasi unit kerja yang dituju
sesuai dengan hak akses yang diberikan.
Di dalam web portal internal terdapat kebijakan-kebijakan atau SK yang
dikeluarkan oleh perusahaan sehingga sangat penting untuk dilindungi,
dimana SK dapat diunduh pada menu Download pada web portal internal,
namun untuk menu ini masih perlu dikembangkan lagi (pemisahan SK
bersifat publik, yaitu ditujukan ke seluruh pegawai dan private, yaitu
ditujukan ke pegawai atau divisi tertentu).
Nurul Bagaimana proses bisnis pada web portal internal?
Mba Rina Proses bisnisnya yaitu login terlebih dahulu untuk bisa masuk ke web portal
internal, kemudian akses aplikasi unit kerja sesuai dengan unit kerja.
Pegawai biasa hanya memiliki akses pada web portal internal yaitu melihat
fitur seperti mencari dokumen atau kontak pegawai, untuk penambahan atau
perubahan konten dapat dilakukan oleh admin masing-masing unit kerja.
Sedangkan divisi IT bertugas sebagai super admin yang mengawasi dan
memelihara kinerja dari web portal internal.
Nurul Apakah web portal internal dapat diakses melalui jaringan publik?
270
Mba Rina Bisa, karena sistem ini telah menggunakan perlindungan seperti HTTPS://
Nurul Siapa saja yang dapat mengakses web portal internal?
Mba Rina Seluruh pegawai perusahaan baik di kantor pusat, unit kerja dan cabang.
Sedangkan untuk anak perusahaan tidak bisa, karena entitasnya beda.
Nurul Apa saja kelebihan dari web portal internal?
Mba Rina Kelebihan dari web portal internal dapat dilihat dari dua sisi yaitu fungsional
dan teknis. Dari sisi fungsional yaitu dapat menampilkan informasi berbagai
unit kerja dan kantor cabang, dan dari sisi teknisnya yaitu penggunaan
platformnya menggunakan sharepoint yang memiliki license untuk terus
pembaharuan (update) sehingga bisa diakses menggunakan jaringan publik.
Pada platform ini terdapat fitur Configuration Management System (CMS)
memudahkan pengelolaan seperti data pegawai, dan fitur Document
Management System (DMS) yang membantu dalam pengelolaan dokumen-
dokumen yang ada.
Nurul Apa perbedaan dari sistem ini dibandingkan yang lainnya yang sudah ada
atau yang terdahulu?
Mba Rina Aplikasi yang lama sulit untuk dilakukan pemeliharaan (maintenance) sistem
dan pengembangan menggunakan bahasa PHP Native sehingga terjadi
kebobolan pada sistem, aplikasi yang digunakan pada setiap unit kerja dan
kantor cabang berdiri sendiri dan tidak terintegrasi sehingga sulit diawasi dan
dipelihara, tampilan sistem (user interface) tidak user friendly dan tidak
mendukung fungsi CMS dan DMS.
Nurul Apa yang dirasakan pengguna dengan penerapan sistem ini?
Mba Rina Mempermudah mendapatkan informasi, mengetahui aplikasi apa saja yang
digunakan oleh perusahaan dan membantu pengintegrasian data.
Nurul Apakah ada dukungan dari pihak manajemen untuk pengembangan teknologi
informasi ke dalam anggaran keuangan?
Mba Rina Ada, biaya yang dianggarkan besar, namun belum adanya kebijakan yang
terdokumentasi hanya dibahas pada persetujuan agenda rapat diskusi saja.
Nurul Bagaimana kondisi jaringan internet yang digunakan oleh sistem?
Mba Rina Stabil, karena menggunakan 2 link dengan kecepatan 50Mbps, jika terjadi
masalah dapat ditangani oleh link satunya lagi.
Nurul Bagaimana kewenangan dalam pengelolaan sumber dana dan fasilitas
ruangan? Atau sumber lainnya?
Mba Rina Dilakukan pengalokasian dana khususnya pada bagian development dan
pembayaran license setiap tahun.
Nurul Ada berapa jumlah sumber daya manusia berbasis kompetensi teknologi
informasi? Apa saja bagian-bagiannya?
Mba Rina Jumlah ada 20 orang. Terdapat tiga (3) departemen utama yaitu Departement
Planning Development, IT Architecture and Portfolio Management, dan
Departement Operation and Control.
Nurul Apakah ada job description pada bagian IT?
Mba Rina Ada, namun tidak boleh di publish.
Nurul Apa saja hasil dari penerapan sistem ini?
Mba Rina Memudahkan user dalam mengetahui seluruh informasi yang ada pada
PT.Jasa Marga.
Nurul Bagaimana proses pemeliharaan (maintenance) dan pembaharuan (update)
dari sistem yang diterapkan sekarang?
Mba Rina Jika terjadi masalah langsung ditangani oleh vendor dan untuk update
dilakukan secara otomatis dari vendor.
Nurul Adakah tuntutan dari pihak luar ataupun pihak internal terhadap pelayanan
web portal internal?
Mba Rina Divisi IT melakukan dengan inisiatif sendiri, dikarenakan banyaknya aplikasi
yang dimiliki sehingga sulit dikontrol dan dipelihara (maintenanced).
271
Nurul Apa saja risiko-risiko yang dihadapi dalam penerapan web portal internal?
Mba Rina Kendala yang ditemukan adalah saat pengenalan web portal internal dan
sosialisasi ke seluruh pegawai (3 bulan).
Nurul Faktor-faktor apa yang dapat membahayakan web portal internal?
Mba Rina Serangan eksternal seperti hacker yang berusaha membobol sistem dan faktor
cuaca yang mempengaruhi perangkat seperti server dan manusianya sendiri
seperti sharing password.
Nurul Bagaimana tindakan-tindakan yang dilakukan dalam menangulangi atau
menghindari dari risiko yang mungkin terjadi?
Mba Rina Menerapkan penggunaan SSL pada web portal internal, identification login,
firewall (server), pemasangan antivirus pada laptop user dengan brand
Kaspersky dan security awareness untuk people (faktor yang sulit ditindak).
Nurul Apa alasannya sistem perlu dilakukan evaluasi?
Mba Rina Perlu, karena untuk mengetahui seefektif apa informasi bisa sampai ke user
unit kerja dan kantor cabang apakah sampai goal-nya. Sistem portal internal
digunakan untuk menghubungkan semua aplikasi di unit kerja dan kantor
cabang.
Nurul Apakah ada kebijakan terkait keamanan informasi pada kantor pusat PT.Jasa
Marga?
Mba Rina Belum ada, namun sudah dimasukkan ke dalam agenda rapat diskusi. Proses
keamanan yang diterapkan berdasarkan kebutuhan perusahaan saat ini.
Hari/Tanggal : 30 Mei 2018
Tempat : Ruang Divisi Information Technology (IT)
Narasumber : Fajar Willys
Jabatan : Penanggung Jawab Keamanan Informasi
Nurul Bagaimana kondisi keamanan informasi pada web portal internal ?
Mas Willy Secara keseluruhan keamanan dibagi menjadi beberapa layer, pada end point
diberi antivirus pada server, proxy, firewall. Sedangkan untuk keamanan
gedung ditangani oleh pihak manajerial.
Nurul Apakah ada kebijakan terkait keamanan informasi pada kantor pusat PT Jasa
Marga?
Mas Willy Dilakukannya penerapan web detection pada server.
Nurul Pernahkah ada permasalahan yang terjadi (misalnya ancaman atau insiden)
terkait dengan keamanan informasi?
Mas Willy Pernah, salah satunya terjadi kebobolan pada web portal internal yang
mengakibatkan hilangnya seluruh data yang tersimpan terjadi pada tahun
2016.
Nurul Bagaimana rencana kantor pusat PT Jasa Marga terkait pendokumentasian
terhadap standar keamanan informasi?
Mas Willy Pendokumentasian baru dilakukan setelah insiden tersebut dan ini dilakukan
berdasarkan inisiatif dari saya sendiri. Untuk kebijakan keamanan informasi
terkait web portal internal belum ada.
Nurul Apakah ada job description dalam pengelolaan keamanan informasi?
Mas Willy Tidak ada. Saya melakukan semuanya sendiri.
Nurul Sudah adakah selama ini pencatatan terkait insiden keamanan pada kantor
pusat PT Jasa Marga yang dapat digunakan sebagai analisis penyebab
kejadian keamanan informasi?
Mas Willy Belum dilakukan sepenuhnya. Baru dimulai pada tahun 2017 setelah kejadian
kebobolannya web portal internal pada tahun 2016.
272
Hari/Tanggal : 30 Mei 2018
Tempat : Ruang Divisi Information Technology (IT)
Narasumber : Ayudya Rizka Fauzia
Jabatan : Admin Data dan Informasi
Nurul Apa saja aset-aset teknologi informasi yang dimiliki oleh Divisi Information
Technology (IT) pada kantor pusat PT. Jasa Marga?
Mba Ayu Asetnya terdiri dari aplikasi, infrastruktur, manusianya, license software,
seperti SAP, office 365, web server XAMPP, Tomcat, Database HANA,
Oracle, MySQL, SQL Server, Postgree. Berdasarkan aplikasi web based ada
aplikasi Lelang Jabatan, Nota Elektronik, Portal Internal, KMS (Knowledge
Management System), Portal Divisi (setiap divisi, totalnya ada 9 divisi),
EOPA, LPSE (Layanan Pengadaan Sistem Elektronik), IT Service Desk,
SILAPMEN (sistem informasi laporan manajemen), Jasa Marga Award
(dikelola bagian CORSEC digunakan untuk pemetaan kompetensi atau
pengukuran kinerja), Aplikasi Informasi Kondisi Lalu Lintas (ditangani oleh
pegawai kantor cabang), Info Tol (ditangani oleh pegawai kantor cabang),
Sport Online (digunakan untuk monitoring peralatan tol), Oracle BI (Business
Intellegent).
Nurul Menurut Anda seberapa besar peran teknologi informasi dan komunikasi?
Mba Ayu Berperan penting karena membantu dalam menunjang kegiatan operasional
dan strategis perusahaan secara keseluruhan
Nurul Bagaimana cara manajemen risiko yang sudah atau akan diterapkan?
Mba Ayu Dengan menggunakan aplikasi sistem manajemen risiko, divisi IT bertugas
setiap tahun input risiko dan me-monitoring setiap 3 bulan sekali.
Nurul Apakah kantor pusat PT Jasa Marga memiliki rencana kedepan untuk dapat
meningkatkan sistem keamanan informasi?
Mba Ayu Iya ada, tertuang di masterplan divisi IT.
Nurul Sejauh ini pernakah kantor pusat PT Jasa Marga di evaluasi tata kelola
informasi oleh framework yang ada?
Mba Ayu Iya sudah dengan Cobit 4.1 dan ISO 27001 menggunakan Indeks KAMI.
Nurul Kalau SMKI ini berjalan ruang lingkupnya akan ditempatkan dibagian mana?
Mba Ayu Kantor cabang dan pusat.
Nurul Sudahkah ada aturan mengenai siapa saja yang diperbolehkan mengakses ke
ruang-ruang yang memiliki informasi penting?
Mba Ayu Belum ada.
Nurul Apakah ada jejak audit elektronik atau buku masuk fisik dari semua akses
yang harus diamati?
Mba Ayu Ada. Desember 2017 terakhir menggunakan cobit 4.1, dan awal tahun 2017
awal menggunakan Indeks KAMI.
Nurul Apakah para pegawai sudah melakukan tanggung jawabnya untuk
melaporkan kejadian terkait keamanan?
Mba Ayu Dapat dilakukan melalui helpdesk atau telepon.
273
Hari/Tanggal : 30 Mei 2018
Tempat : Ruang Divisi Risk and Quality Management
Narasumber : Dodi Lambardo
Jabatan : Manager Risk and Quality Management
Nurul Bagaimana menurut bapak dengan sistem web portal internal ?
Pak Dodi Membantu pengguna mengetahui informasi terbaru apa saja yang ada di
perusahaan dan dengan fungsi sekali login dapat langsung masuk ke sistem
divisi risk and quality management.
Nurul Dengan fungsinya yang sekali login memudahkan untuk langsung mengakses
sistem setiap divisi, apakah ada batas durasi untuk login-nya pak?
Pak Dodi Untuk sekarang ini belum ada.
Nurul Apa saja fungsi dari sistem divisi yang terhubung dengan web portal
internal ?
Pak Dodi Fungsinya memudahkan dalam penyampaian informasi dari divisi ke seluruh
stakeholder perusahaan dengan web portal internal.
Nurul Apa saja keterkaitan sistem risk and quality management dengan divisi IT ?
Pak Dodi Sistem risk and quality management digunakan untuk penilaian risiko yang
ada di perusahaan salah satunya pada divisi IT. Namun tetap dilakukan
diskusi terlebih dahulu untuk dapat mengetahui kemungkinan dari risiko yang
akan terjadi.
Nurul Bagaimana risiko yang mungkin dihadapi oleh sistem web portal internal?
Pak Dodi Risiko yang mungkin dihadapi adalah kekuatan kemampuan dari sistem
menangani jumlah permintaan dari pengguna. Dan pembatasan durasi login
jika tidak ada aktivitas pada web portal internal untuk menghindari kejadian
yang tidak diinginkan.
274
LAMPIRAN 2
DAFTAR KUESIONER
a. Kuesioner Berdasarkan Standar ISO 27001
7 Keamanan Sumber Daya Manusia
7.2 Selama Bekerja
7.2.1 Tanggung Jawab Manajemen
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pihak manajemen menyediakan panduan sesuai dengan
keamanan informasi negara yang disesuaikan dengan
peran organisasi.
2 Pihak manajemen memberikan motivasi untuk
memenuhi kebijakan keamanan informasi organisasi.
3 Pihak manajemen melanjutkan persiapan kemampuan
yang tepat dan pengkualifikasian serta pembelajaran
pada kemampuan dasar.
7.2.2 Kesadaran, Pendidikan dan Pelatihan Keamanan Informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pendidikan dan pelatihan harus menyatakan komitmen
terhadap keamanan informasi di seluruh organisasi.
2
Terdapat prosedur dasar keamanan informasi (seperti
laporan insiden keamanan informasi) dan baseline
controls (seperti keamanan password, malware controls,
& clear desk).
3 Accountability pribadi untuk tindakan dan kelambanan
seseorang dan tanggung jawab untuk mengamankan atau
melindungi kepemilikan informasi organisasi atau pihak
luar.
7.2.3 Proses Tata Tertib
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Proses tata tertib bersifat formal dan komunikatif terkait
tindakan pelanggaran karyawan pada keamanan
informasi.
2
Proses tata tertib menjadi sebuah motivasi atau sebuah
insentif jika sanksi positif terkait perilaku pada
keamanan informasi.
7.3 Pemutusan Hubungan Kerja dan Perubahan Pekerjaan
7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja dan Perubahan Pekerjaan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Mengkomunikasikan tanggung jawab pemberhentian
termasuk kebutuhan tanggung jawab hukum keamanan
informasi saat ini.
2 Mengkomunikasikan syarat dan ketentuan bekerja.
275
3 Tanggung jawab dan tugas tetap sah setelah
pemberhentian bekerja dimana tertera pada syarat dan
ketentuan bekerja.
11 Keamanan Fisik dan Lingkungan
11.1 Area Aman
11.1.1 Lingkup Keamanan Fisik
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Lingkup keamanan harus didefinisikan dan penempatan
serta kekuatan lain pada lingkup berdasarkan kebutuhan
keamanan aset & hasil dari penilaian risiko.
2
Lingkup lokasi yang termasuk fasilitas pemrosesan
informasi harus dapat berbunyi (seperti pintu atau
jendela).
3 Tersedianya area penerima tamu untuk mengontrol
akses fisik (membatasi otorisasi, hanya untuk pegawai).
11.1.2 Kontrol Masuk Fisik
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Waktu dan tanggal dari masuk dan keberangkatan atau
kepergian pengunjung harus terekam dan semua
pengunjung harus diawasi kecuali akses mereka sudah
disetujui sebelumnya.
2
Semua pegawai, kontraktors dan pihak luar harus
menggunakan tanda pengenal yang terlihat dan
diketahui oleh divisi keamanan.
3 Akses ke area dimana kerahasiaan informasi diproses
harus dibatasi dan dilakukan otorisasi individual dengan
menerapkan kontrol akses yang tepat.
11.1.5 Bekerja di Area Aman
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Personil menyadari keberadaan, atau kegiatan dalam
sebuah wilayah yang aman pada kebutuhan untuk
mengetahui dasarnya.
2 Bekerja tanpa pengawasan di daerah-daerah yang harus
dihindari baik untuk alasan keamanan dan mencegah
peluang untuk kegiatan berbahaya.
3 Daerah-daerah yang kosong harus secara fisik terkunci
dan ditinjau secara berkala.
4
Pengambilan gambar, video, suara atau peralatan
perekam lainnya seperti kamera di perangkat mobile
tidak diperkenankan, kecuali telah di otorisasi.
11.2 Peralatan
11.2.1 Perlindungan dan Penempatan Peralatan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Fasilitas yang menangani data sensitif pada pemrosesan
informasi diletakkan dengan hati-hati untuk mengurangi
risiko yang dihindari
2 Kontrol diterapkan untuk meminimalikan potensi
ancaman risiko fisik dan lingkungan
276
3 Menerapkan perlindungan khusus seperti selaput pada
keyboard
4 Perlindungan pada peralatan pengolahan informasi
rahasia untuk meminimalkan risiko kebocoran informasi
11.2.2 Keperluan Pendukung
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Peralatan sesuai dengan spesifikasi pabrik dan
persyaratan hukum setempat
2 Dilakukan penilaian secara berkala untuk mengetahui
kapasitas apakah sesuai dengan pertumbuhan bisnis
3 Dilakukan pemeriksaan dan pengujian secara teratur
untuk memastikan fungsinya
11.2.3 Keamanan Pengkabelan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Posisi saluran listrik dan telekomunikasi yang terhubung
dengan fasilitas pemrosesan informasi berada di bawah
tanah atau perlindungan alternatif
2 Pemisahan kabel daya dan kabel komunikasi
11.2.9 Kebijakan Meja dan Layar Bersih
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Penyimpanan informasi bisnis yang sensitif atau bersifat
kritis harus terkunci (seperti kertas atau media
penyimpanan elektronik)
2
Komputer and terminals ditinggalkan dalam keadaan
terkunci atau terlindungi dengan layar dan keyboard
dengan kontrol penguncian seperti password atau proses
authentication
3 Media yang berisi informasi sensitif atau rahasia harus
segera dihapus dari printer
16 Manajemen Insiden Keamanan Informasi
16.1 Manajemen Insiden Keamanan Informasi dan Peningkatan
16.1.1 Tanggung Jawab dan Prosedur
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur untuk perencanaan dan persiapan tanggap
insiden
2
Prosedur untuk memantau, mendeteksi, menganalisis
dan melaporkan kejadian dan insiden keamanan
informasi
3
Prosedur yang ditetapkan memastikan bahwa personel
yang menangani masalah memiliki kompeten terkait
insiden tersebut
4
Prosedur pelaporan mencakup proses umpan balik yang
sesuai untuk memastikan bahwa orang-orang yang
melaporkan kejadian keamanan informasi diberitahu
tentang hasil setelah masalah tersebut telah ditangani
dan ditutup
16.1.2 Laporan Kejadian Keamanan Informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pelaporan kontrol keamanan yang tidak efektif
277
2 Pelaporan pelanggaran keutuhan, kerahasiaan, dan
ketersediaan informasi
3 Pelaporan pelanggaran pengaturan keamanan fisik
16.1.7 Kumpulan Bukti
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur mempertimbangkan keamanan bukti
2 Prosedur mempertimbangkan keamanan personel
3 Prosedur mempertimbangkan keamanan dokumentasi
18 Penyesuaian
18.1 Penyesuaian dengan Hukum dan Kebutuhan Kontraktual/Perjanjian
18.1.2 Hak Kekayaan Intelektual
No Pernyataan Bobot 1 2 3 4 5 Nilai
1
Mengeluarkan kebijakan kepatuhan hak kekayaan
intelektual yang mendefinisikan penggunaan sah
perangkat lunak dan produk informasi
2
Mendapatkan perangkat lunak melalui sumber yang
diketahui dan memiliki reputasi baik, untuk memastikan
hak cipta tidak dilanggar
3
Menjaga kesadaran kebijakan untuk melindungi hak
kekayaan intelektual dan memberikan pemberitahuan
tentang niat untuk mengambil tindakan disipliner
terhadap personel yang melanggar mereka
b. Kuesioner Berdasarkan Standar ISO 27002
5 Kebijakan keamanan informasi
5.1 Arahan manajemen untuk keamanan informasi
5.1.1 Kebijakan untuk keamanan informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Kebijakan keamanan informasi berdasarkan atau sesuai
dengan strategi bisnis
2 Kebijakan keamanan informasi berdasarkan atau sesuai
dengan peraturan, undang-undang, dan kontrak perjanjian
3 Kebijakan untuk keamanan informasi sesuai kebutuhan saat
ini dan proyeksi keamanan informasi terhadap ancaman
lingkungan
4 Kebijakan keamanan informasi mendukung prinsip kontrol
akses, hak akses dan pembatasan untuk peran pengguna
tertentu
5 Kebijakan keamanan informasi mendukung keamanan fisik
dan lingkungan
8 Manajemen aset
8.1 Tanggung jawab terhadap aset
8.1.1 Inventarisasi aset
No Pernyataan Bobot 1 2 3 4 5 Nilai
278
1 Organisasi harus mengidentifikasi aset yang relevan pada
siklus informasi (pembuatan, pemrosesan, penyimpanan,
penyampaian, penghapusan, dan penghancuran) dan
dokumen yang penting
2 Dokumentasi aset dipelihara dalam pendedikasian atau
penyimpanan yang tepat
8.1.2 Kepemilikan Aset
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi dapat menentukan aset yang diinventariskan
2 Organisasi dapat menentukan pengklasifikasian aset dan
perlindungan yang tepat
3 Penanganan yang tepat bila aset dihapus atau dihancurkan
8.1.3 Penggunaan aset yang dapat diterima
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pegawai dan pihak eksternal atau pengguna yang memiliki
akses pada aset organisasi harus memiliki kesadaran
kebutuhan keamanan informasi dan fasilitas pemrosesan
informasi dan sumber daya lainnya
2 Tanggung jawab terhadap penggunaan pengolahan sumber
daya informasi dan penggunaan tersebut dilakukan
berdasarkan tanggung jawab yang dimiliki.
8.1.4 Pengembalian Aset
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Proses penghentian atau pemberhentian pegawai atau pihak
luar harus disahkan termasuk pengembalian semua aset yang
diberikan sebelumnya baik aset fisik dan elektronik oleh
organisasi.
2 Pegawai atau pengguna dari pihak luar yang membeli
peralatan organisasi atau menggunakan peralatan mereka
secara pribadi, prosedur harus diikuti untuk menentukan
bahwa semua informasi yang terkait telah dipindahkan atau
dialihkan ke organisasi dan dihapus dengan aman dari
peralatan atau perangkat.
3 Pengetahuan dan kemampuan pegawai atau pengguna pihak
luar yang memiliki peran penting pada kegiatan selanjutnya,
perlu dilakukan dokumentasi terkait informasi tersebut dan
diberikan ke organisasi.
4 Selama periode pemberitahuan penghentian, organisasi harus
mengontrol penyalinan yang tidak sah terkait informasi yang
relevan (seperti intelektual) oleh karyawan dan kontraktor
yang telah berhenti
9 Kontrol akses
9.1 Persyaratan bisnis kontrol akses
9.1.1 Kebijakan kontrol akses
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Kebijakan harus mempertimbangkan kebutuhan keamanan
dari aplikasi bisnis
2 Kebijakan dari penyebaran dan otorisasi informasi (seperti
kebutuhan untuk tahu prinsip dan informasi tingkat
keamanan dan klasifikasi informasi)
279
3 Konsistensi antara hak-hak akses dan informasi klasifikasi
kebijakan sistem dan jaringan
4 Perundangan yang relevan dan kewajiban kontrak apapun
terkait dengan pembatasan akses ke data atau layanan
5 Menentukan aturan-aturan terkait "segala sesuatu yang
umumnya dilarang kecuali diizinkan secara tersurat"
6 Aturan khusus yang dibutuhkan terkait sebelum berlakunya
persetujuan dan tidak disetujui
9.4 Kontrol akses sistem dan aplikasi
9.4.1 Pembatasan akses informasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Menyediakan menu untuk akses kontrol terhadap fungsi
sistem aplikasi
2 Mengontrol data yang dapat diakses oleh pengguna pribadi
3 Mengontrol hak akses pengguna
4 Mengontrol hak akses dari aplikasi lain
5 Menyediakan akses kontrol fisik atau logis untuk isolasi
aplikasi sensitif, seperti data atau sistem.
9.4.2 Prosedur Keamanan Log-on
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Upaya melindungi login terhadap serangan brute force
2 Upaya memberitahu log berhasil atau sebaliknya
3 Upaya peningkatan keamanan jika terdeteksi kemungkinan
atau ancaman yang masuk pada kontrol login
4 Tidak mengirimkan password pada teks yang jelas pada
sebuah jaringan
5 Menghentikan session yang telah berakhir atau tidak aktif
setelah pemberitahuan periode, khusus lokasi berisiko tinggi
seperti lingkungan umum atau diluar organisasi atau pada
perangkat mobile
6 Membatasi waktu koneksi untuk penambahan penyediaan
keamanan pada aplikasi berisiko tinggi dan mengurangi
window/celah dari kesempatan akses yang tidak berhak.
10 Kriptografi
10.1 Kontrol Kriptografi
10.1.1 Kebijakan tentang penggunaan kontrol Kriptografi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Pendekatan manajemen menggunakan kontrol kriptografi di
seluruh lingkup organisasi (termasuk prinsip umum yang
melingkupi informasi bisnis harus dilindungi)
2 Berdasarkan penilaian risiko, dibutuhkan tingkatan
perlindungan yang dapat mengidentifikasi jenis, kekuatan,
kualitas kebutuhan algoritma enkripsi
3 Penggunaan enkripsi untuk melindungi perpindahan
informasi ke mobile atau removable media devices atau
seluruh jaringan komunikasi
12 Keamanan Operasi
12.1 Tanggung jawab dan Prosedur Operasional
280
12.1.1 Prosedur Dokumentasi Operasi
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Prosedur dokumentasi terkait instalasi dan konfigurasi sistem
2 Prosedur dokumentasi terkait pengolahan dan penanganan
informasi baik secara otomatis dan manual
3 Dilakukan pembackup-an
4 Kebutuhan penjadwalan termasuk ketergantungan dengan
sistem lain, awal waktu pekerjaan dimulai (job start) dan
pekerjaan terbaru selesai
5 Prosedur sistem restart dan pemulihan untuk digunakan
dalam hal kegagalan sistem
6 Manajemen jejak (rekam jejak) audit dan log sistem
informasi
7 Prosedur pemantauan (monitoring)
12.1.2 Manajemen Perubahan
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Mengidentifikasi dan merekam perubahan yang signifikan
atau berarti
2 Mengontrol perencanaan dan pengujian perubahan
3 Mengukur dampak kemungkinan perubahan (dampak pada
keamanan informasi)
12.2 Perlindungan terhadap malware
12.2.1 Kontrol terhadap malware
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Membuat sebuah kebijakan resmin yang melarang
penggunaan perangkat lunak yang tidak sah
2 Menerapkan kontrol yang mencegah atau mendeteksi
penggunaaan perangkat lunak yang tidak sah
3 Kontrol penerapan untuk mencegah atau mendeteksi
penggunaan dugaan atau pelanggaran situs web berbahaya
4 Mendefinisikan prosedur dan tanggung jawab untuk
berurusan dengan perlindungan malware pada sistem,
pelatihan dalam penggunaannya, pelaporan dan pemulihan
dari serangan malware
5 Menyiapkan rencana keberlanjutan bisnis untuk pemulihan
dari serangan malware, termasuk semua data yang
dibutuhkan dan perangkat lunak cadangan, pengaturan
pemulihan
12.6 Manajemen Kelemahan Teknikal
12.6.1 Manajemen dari Kelemahan Teknikal
No Pernyataan Bobot 1 2 3 4 5 Nilai
1 Organisasi harus mendefinisikan dan menetapkan peran dan
tanggung jawab asosiasi dengan manajemen kerentanan
teknis, termasuk pemantauan (monitoring), pengukuran
kerentanan risiko, penelusuran aset dan dibutuhkan
tanggungjawab koordinasi
2 Sebuah kronologi (timeline) harus didefinisikan untuk
mereaksi pemberitahuan terkait potensi kerentanan teknis
3 Catatan/log audit harus disimpan untuk semua prosedur yang
dilakukan
281
4 Keefektifitasan proses manajemen kerentanan teknis harus
sesuai dengan kegiatan manajemen insiden untuk
mengkomunikasikan data dalam kerentanan terhadap fungsi
tanggapan insiden dan menyediakan prosedur teknikal yang
harus dilakukan saat insiden terjadi
5 Sistem dengan risiko tinggi harus diutamakan
6 Manajemen kerentanan teknis harusnya dipantau secara
teratur dan dievaluasi dengan maksud untuk menjamin
keefektifitasan dan keefisiensiannya
282
LAMPIRAN 3
DAFTAR TEMUAN KONDISI DIVISI INFORMATION TECHNOLOGY
c. ISO 27001, 2013
7. Keamanan Sumber Daya Manusia
7.2.1 Tanggung Jawab Manajemen
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Seluruh pegawai dan
pihak lain yang
berkaitan dengan
organisasi
menerapkan
keamanan informasi
sesuai dengan
kebijakan dan
prosedur
Tersedianya panduan
keamanan informasi
organisasi yang disesuaikan
dengan keamanan informasi
negara
Adanya pemberian motivasi,
program pembelajaran
peningkatan kemampuan
dan pengkualifikasian
terhadap kemampuan dasar
terkait keamanan informasi
7.2.2 Kesadaran, Pendidikan dan Pelatihan Keamanan Informasi
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Pendidikan dan
pelatihan rutin untuk
seluruh pegawai dan
pihak eksternal yang
disesuaikan jobdesk
masing-masing,
berdasarkan
kebijakan yang telah
diperbaharui dan
prosedur organisasi
Perjanjian terhadap
keamanan informasi saat
pendidikan dan pelatihan.
Prosedur dasar keamanan
informasi dan baseline
controls (keamanan
password, malware controls,
& clear desk).
Pihak manajemen dan
pegawai memiliki tanggung
jawab pribadi terkait
perlindungan kepemilikan
informasi organisasi
7.2.3 Proses Tata Tertib
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Proses disipliner
formal dan
pengkomunikasian
terhadap tindakan
pegawai terkait
Proses tata tertib bersifat
formal dan komunikatif
terkait tindakan pelanggaran
pegawai pada keamanan
informasi.
283
pelanggaran
keamanan informasi
Proses tata tertib menjadi
sebuah motivasi atau sebuah
insentif jika sanksi positif
terkait perilaku pada
keamanan informasi.
7.3.1 Tanggung Jawab Pemutusan Hubungan Kerja dan Perubahan Pekerjaan
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Tanggung jawab
terhadap keamanan
informasi tetap
berlaku setelah
pengakhiran atau
perubahan pekerjaan
Memberitahukan tanggung
jawab bekerja dan saat
pemberhentian termasuk
tanggung jawab hukum
keamanan informasi saat ini.
Syarat dan ketentuan bekerja
terkait tanggung jawab dan
tugas tetap sah setelah
pemberhentian bekerja.
11. Keamanan Fisik dan Lingkungan
11.1.1 Lingkup Keamanan Fisik
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Parameter keamanan
harus didefinisikan
dan digunakan untuk
melindungi area
fasilitas pemrosesan
informasi yang berisi
informasi sensitif
Lingkup keamanan harus
didefinisikan dan
penempatan serta kekuatan
lain (dapat berbunyi) pada
lingkup berdasarkan
kebutuhan keamanan aset &
hasil dari penilaian risiko.
.
Area penerima tamu untuk
mengontrol akses fisik.
11.1.2 Kontrol Masuk Fisik
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Area aman dilindungi
oleh kontrol entri
untuk memastikan
bahwa hanya pegawai
yang berwenang
dapat mengakses
Waktu dan tanggal dari
masuk dan keberangkatan
atau kepergian pengunjung
harus terekam kecuali akses
mereka sudah disetujui
sebelumnya.
284
Semua pegawai, kontraktors
dan pihak luar harus
menggunakan tanda
pengenal yang terlihat dan
diketahui oleh bagian
keamanan.
Penerapan kontrol akses ke
area dimana kerahasiaan
informasi diproses harus
dibatasi dan dilakukan
otorisasi individual
11.1.5 Bekerja di Area Aman
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Prosedur untuk
bekerja di area aman
harus dirancang dan
diterapkan
Pegawai menyadari
keberadaan, atau kegiatan
dalam sebuah wilayah yang
aman.
Bekerja tanpa pengawasan
di daerah-daerah yang harus
dihindari baik untuk alasan
keamanan dan mencegah
peluang untuk kegiatan
berbahaya.
Daerah-daerah yang kosong
harus secara fisik terkunci
dan ditinjau secara berkala.
Pengambilan gambar, video,
suara atau peralatan perekam
lainnya seperti kamera di
perangkat mobile tidak
diperkenankan, kecuali telah
di otorisasi.
11.2.1 Perlindungan dan Penempatan Peralatan
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Penempatan terhadap
peralatan disesuaikan
dengan tingkat
risikonya dan
dilindungi dari
ancaman dan bahaya
lingkungan.
Fasilitas yang menangani
data sensitif pada
pemrosesan informasi
diletakkan dengan hati-hati
untuk mengurangi risiko
yang dihindari.
Perlindungan pada peralatan
pengolahan informasi
rahasia untuk meminimalkan
risiko kebocoran informasi.
12.2.2. Keperluan Pendukung
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
285
Peralatan harus
dilindungi dari
gangguan listrik dan
gangguan lain yang
disebabkan oleh
kegagalan dalam
mendukung utilitas
Peralatan sesuai dengan
spesifikasi pabrik dan
persyaratan hukum setempat
Dilakukan penilaian secara
berkala untuk mengetahui
kapasitas apakah sesuai
dengan pertumbuhan bisnis
Dilakukan pemeriksaan dan
pengujian secara teratur
untuk memastikan fungsinya
11.2.3 Keamanan Pengkabelan
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Kabel listrik dan
telekomunikasi yang
membawa data atau
layanan informasi
pendukung harus
dilindungi dari
intersepsi,
interferensi atau
kerusakan
Posisi saluran listrik dan
telekomunikasi yang
terhubung dengan fasilitas
pemrosesan informasi
berada di bawah tanah atau
perlindungan alternatif
Pemisahan kabel daya dan
kabel komunikasi
11.2.9 Kebijakan Meja dan Layar Bersih
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Pengadopsian
kebijakan keamanan
informasi terkait
media penyimpanan
kertas dan removable
serta layar
pengolahan informasi
Penyimpanan informasi
sensitif atau bersifat kritis
harus terkunci (seperti kertas
atau media penyimpanan
elektronik)
Komputer and terminals
ditinggalkan dalam keadaan
terkunci atau terlindungi
dengan layar dan keyboard
dengan kontrol penguncian
seperti password atau proses
authentication
Media yang berisi informasi
sensitif atau rahasia harus
segera dihapus dari printer
16. Manajemen Insiden Keamanan Informasi dan Peningkatan
16.1.1 Tanggung Jawab dan Prosedur
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Prosedur terkait
insiden keamanan
informasi harus
ditetapkan untuk
respon yang
diberikan
Prosedur untuk perencanaan
dan persiapan tanggap
insiden
286
Prosedur yang memastikan
bahwa personel yang
menangani masalah
memiliki kompeten terkait
insiden tersebut
Prosedur pelaporan
mencakup proses umpan
balik untuk memastikan
bahwa orang-orang yang
melaporkan kejadian
keamanan informasi
diberitahu tentang hasil
setelah masalah tersebut
telah ditangani dan ditutup
16.1.2 Laporan Kejadian Keamanan Informasi
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Kejadian keamanan
informasi harus
dilaporkan melalui
saluran manajemen
Pelaporan kontrol keamanan
yang tidak efektif
Pelaporan pelanggaran
pengaturan keamanan fisik
16.1.7 Kumpulan Bukti
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Prosedur untuk
identifikasi,
pengumpulan,
perolehan, dan
pelestarian informasi
yang dapat berfungsi
sebagai bukti
Prosedur
mempertimbangkan
keamanan bukti
Prosedur
mempertimbangkan
keamanan personil
Prosedur
mempertimbangkan
keamanan dokumentasi
18. Penyesuaian
18.1.2 Hak Kekayaan Intelektual
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP Ya Tidak
Prosedur yang
memastikan
kepatuhan dengan
persyaratan legislatif,
peraturan dan kontrak
yang terkait dengan
Mengeluarkan kebijakan
kepatuhan hak kekayaan
intelektual yang
mendefinisikan penggunaan
sah perangkat lunak dan
produk informasi
287
hak kekayaan
intelektual dan
penggunaan produk
perangkat lunak
berpemilik
Mendapatkan perangkat
lunak melalui sumber yang
diketahui dan memiliki
reputasi baik, untuk
memastikan hak cipta tidak
dilanggar
Menjaga kesadaran
kebijakan untuk melindungi
hak kekayaan intelektual dan
memberikan pemberitahuan
tentang niat untuk
mengambil tindakan
disipliner terhadap personel
yang melanggar mereka
d. ISO 27002, 2013
5.1 Kebijakan Keamanan Informasi
5.1.1 Kebijakan untuk keamanan informasi
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Kebijakan terkait
keamanan
informasi yang
disetujui dan
diterbitkan oleh
pihak manajemen
Kebijakan keamanan informasi
berdasarkan atau sesuai dengan
strategi bisnis, undang-undang
dan perjanjian
Kebijakan keamanan informasi
mendukung prinsip kontrol akses,
hak akses dan pembatasan untuk
peran pengguna
8. Manajemen Aset
8.1.1 Inventarisasi Aset
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Pengidentifikasian,
inventarisasi dan
pemeliharaan aset
terkait dengan
informasi dan
fasilitas pemrosesan
informasi
Mengidentifikasi aset terkait
siklus informasi (pembuatan,
pemrosesan, penyimpanan,
penyampaian, penghapusan, dan
penghancuran) dan dokumen yang
penting
288
Dokumentasi aset dipelihara
dalam penjagaan atau
penyimpanan yang tepat
8.1.2 Kepemilikan Aset
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Aset yang ada
diinventariskan
Organisasi dapat menentukan aset
yang diinventariskan
Organisasi dapat menentukan
pengklasifikasian aset dan
perlindungan yang tepat
Penanganan yang tepat bila aset
dihapus atau dihancurkan
8.1.3 Penggunaan aset yang dapat diterima
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Pengidentifikasian,
pendokumentasian
dan
pengimplentasian
terhadap peraturan
penerimaan dan
penggunaan aset
informasi
Adanya kesadaran keamanan
informasi pada pegawai dan pihak
eksternal atau pengguna yang
memiliki akses pada aset
organisasi
Tanggung jawab terhadap
penggunaan pengolahan sumber
daya informasi
8.1.4 Pengembalian Aset
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Pengembalian
seluruh aset setelah
akhir masa kontrak
oleh semua pegawai
dan pihak eksternal
berdasarkan
perjanjian
Pemberhentian pegawai atau
pihak eksternal harus disahkan
(pengembalian aset fisik dan
elektronik) oleh organisasi
Pegawai atau pihak eksternal
yang membeli peralatan
organisasi atau menggunakan
peralatan mereka secara pribadi,
harus mengikuti prosedur bahwa
semua informasi telah dialihkan
ke organisasi dan dihapus dengan
aman
289
Pendokumentasian
terkait pengetahuan dan
kemampuan pegawai atau pihak
eksternal terkait tanggung jawab
pada kegiatan selanjutnya.
9. Kontrol Akses
9.1.1 Kebijakan kontrol akses
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Penetapan,
pendokumentasian,
dan peninjauan
terhadap kebijakan
kontrol akses
berdasarkan
persyaratan
keamanan bisnis
dan informasi
Kebijakan terkait keamanan dari
aplikasi bisnis
Kebijakan penyebaran dan
otorisasi informasi
Kebijakan terkait hal yang
dilarang dan pemberian izin
secara tersurat
9.4.1 Pembatasan akses informasi
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Penerapan
kebijakan kontrol
akses terhadap
informasi dan
fungsi sistem
aplikasi
Menyediakan menu untuk akses
kontrol terhadap fungsi sistem
aplikasi
Mengontrol hak akses pengguna
Terdapat akses kontrol fisik atau
logis terkait isolasi aplikasi
sensitif (data atau sistem)
9.4.2 Prosedur Keamanan Log-on
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Kebijakan kontrol
akses oleh prosedur
Log on yang aman
Upaya peningkatan keamanan jika
terdeteksi ancaman yang masuk
pada kontrol login
Menghentikan session yang telah
berakhir atau tidak aktif setelah
pemberitahuan periode
Membatasi waktu koneksi untuk
penambahan penyediaan
keamanan pada aplikasi berisiko
tinggi
10. Kriptografi
10.1.1 Kebijakan tentang penggunaan kontrol Kriptografi
Kontrol Petunjuk Penggunaan Dilakukan Bukti GAP
290
Ya Tidak
Kebijakan
penggunaan kontrol
kriptografi harus
dikembangkan dan
diimplementasikan
Pihak manajemen menerapkan
kontrol kriptografi di seluruh
lingkup organisasi (informasi
bisnis)
Dibutuhkan tingkatan
perlindungan yang dapat
mengidentifikasi jenis, kekuatan,
kualitas kebutuhan algoritma
enkripsi
Penerapan enkripsi untuk
melindungi perpindahan
informasi dari berbagai media
yang membawanya
12. Keamanan Operasi
12.1.1 Prosedur Dokumentasi Operasi
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Prosedur operasi
harus
didokumentasikan
dan tersedia bagi
semua pengguna
yang
membutuhkannya
Prosedur dokumentasi terkait
pengolahan dan penanganan
informasi baik (otomatis dan
manual)
Dilakukan pembackup-an Manajemen jejak (rekam jejak)
audit dan log sistem informasi
12.1.2 Manajemen Perubahan
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Pengontrolan
terhadap perubahan
proses bisnis,
fasilitas pemrosesan
informasi, dan
sistem yang
mempengaruhi
keamanan
informasi
Mengidentifikasi dan merekam
perubahan yang signifikan atau
berarti
Mengontrol perencanaan dan
pengujian perubahan
Mengukur dampak kemungkinan
perubahan (dampak pada
keamanan informasi)
12.2.1 Kontrol terhadap malware
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Penerapan terhadap
pendeteksian,
pencegahan dan
pemulihan kontrol
Kebijakan yang melarang
penggunaan perangkat lunak yang
tidak sah
291
terhadap kesadaran
pengguna untuk
melindungi dari
malware
Prosedur dan tanggung jawab
terkait perlindungan, pelatihan,
pelaporan dan pemulihan dari
serangan malware
Perencanaan bisnis terkait
pemulihan dari serangan malware
(semua data yang dibutuhkan,
perangkat lunak cadangan,
pengaturan pemulihan)
12.6.1 Manajemen dari Kelemahan Teknikal
Kontrol Petunjuk Penggunaan Dilakukan
Bukti GAP
Ya Tidak
Informasi terkait
kerentanan sistem
harus diketahui
secara cepat,
kemudian
dievaluasi dan
ditindaklanjuti
untuk mengurangi
risiko
Penetapan peran dan tanggung
jawab terkait kerentanan teknis
(pemantauan atau monitoring,
pengukuran risiko, penelusuran
aset dan koordinasinya)
Sebuah kronologi (timeline)
digambarkan untuk mengetahui
aksi dari kerentanan teknis
Manajemen kerentanan teknis
dipantau secara teratur dan
dievaluasi untuk menjamin
keefektifitasan dan
keefisiensiannya
Catatan/log audit disimpan untuk
semua prosedur yang dilakukan
292
LAMPIRAN 4
SURAT DAN DOKUMEN
293
294
295