LAPORAN KERJA PRAKTEK

PEMBUATAN STANDAR KEAMANAN INFORMASI BERDASARKAN

ISO/IEC 27001 DAN ISO/IEC 27002 DENGAN METODE GAP ANALYSIS

SATUAN KERJA KHUSUS PELAKSANA KEGIATAN USAHA HULU

MINYAK DAN GAS BUMI (SKKMIGAS)

Oleh:

Andri Kurniawan 1201144143

Aditya Candradesta 1201144183

Dosen Pembimbing:

Dr. Ir Endang Chumaidyah, MT.

(NIP. 93650005)

PROGRAM STUDI TEKNIK INDUSTRI

FAKULTAS REKAYASA INDUSTRI
UNIVERSITAS TELKOM
BANDUNG
 LEMBAR PENGESAHAN
LAPORAN KERJA PRAKTEK

PEMBUATAN STANDAR KEAMANAN INFORMASI BERDASARKAN

ISO/IEC 27001 DAN ISO/IEC 27002 DENGAN METODE GAP ANALYSIS

SATUAN KERJA KHUSUS PELAKSANA KEGIATAN USAHA HULU

MINYAK DAN GAS BUMI (SKKMIGAS)

Oleh:

Andri Kurniawan Aditya Candradesta

1201144143 1201144183

Mengetahui,

PEMBIMBING KERJA PRAKTEK

Hadyan Ghaziani Fadli ST., MTI.

NIP. 319720

i
 LEMBAR PENGESAHAN
LAPORAN KERJA PRAKTEK

PEMBUATAN STANDAR KEAMANAN INFORMASI BERDASARKAN

ISO/IEC 27001 DAN ISO/IEC 27002 DENGAN METODE GAP ANALYSIS

SATUAN KERJA KHUSUS PELAKSANA KEGIATAN USAHA HULU

MINYAK DAN GAS BUMI (SKKMIGAS)

Oleh:

Andri Kurniawan Aditya Candradesta

1201144143 1201144183

Mengetahui,
DOSEN PEMBIMBING KOORDINATOR KERJA
PRAKTEK

Dr. Ir. Endang Chumaidiyah, MT. Murni Dwi Astuti

NIP. 93650005 NIP. 14870080

KETUA PROGRAM STUDI

TEKNIK INDUSTRI

Ari Yanuar Ridwan ST., MT.

NIP. 14780007

ii
 KATA PENGANTAR

Segala puji bagi Allah SWT, yang telah memberikan saya kelancaran dalam melaksanakan
kerja praktek ini dan dalam penyusunan laporan ini, sehingga semuanya dapat terselesaikan dengan
baik. Laporan ini disusun sebagai hasil dari kegiatan kerja praktek yang dilaksanakan di Satuan Kerja
Khusus Migas, divisi MSI. Laporan ini berisi tentang gambaran umum dan khusus dari perusahaan
serta pemecahan masalah yang ada pada perusahaan.

Dalam pelaksanaan kegiatan kerja praktek dan penulisan laporan, penulis mendapatkan
banyak bantuan, bimbingan, dan semangat dari banyak pihak baik secara langsung maupun tidak
langsung. Oleh karena itu, dalam kesempatan ini penulis ingin menyampaikan rasa terima kasih yang
sebesar-besarnya kepada pihak-pihak dibawah ini, antara lain adalah:

1. Kedua orang tua dan keluarga yang memberikan dukungan dan doa kepada penulis selama
menjalankan kegiatan kerja praktek.
2. Bapak Ari Yanuar Ridwan selaku Kepala Program Studi Teknik Industri karena telah
memberi kami kesempatan untuk melakukan pembelajaran dan pengalaman pada mata
kuliah Kerja Praktek.
3. Ibu Endang Chumaidiyah selaku pembimbing kerja praktek yang telah menyempatkan
waktu untuk memberikan bimbingan yang bermanfaat.
4. SKK Migas, Divisi Manajemen Strategis dan Informasi yang telah memberikan kesempatan
berharga untuk melaksanakan kegiatan kerja praktek.
5. Bapak Hadyan Ghaziani Fadli selaku pembimbing lapangan selama pelaksanaan kerja praktek
berlangsung, serta memberikan pengetahuan yang sangat membantu penulis dalam
memahami bidang tugas atau pekerjaan yang diberikan.

Penulis menyadari bahwa dalam pembuatan laporan kerja praktek ini masih banyak
kekurangan dan jauh dari sempurna dikarenakan oleh pengetahuan dan pengalaman penulis yang
masih terbatas. Oleh sebab itu, penulis mohon maaf atas kesalahan dalam hal penulisan. Penulis juga
mengharapkan kritik dan saran yang bersifat membangun demi perbaikan laporan ini.

3
 DAFTAR ISI

KATA PENGANTAR ......................................................................................................................... iii

DAFTAR ISI ........................................................................................................................................ iv

DAFTAR TABEL ............................................................................................................................... vii

DAFTAR GAMBAR .......................................................................................................................... vii

BAB I .....................................................................................................................................................1

PENDAHULUAN .................................................................................................................................1

I.1 Latar Belakang ...........................................................................................................................1

I.2 Rumusan Masalah ......................................................................................................................1

I.3 Batasan Masalah ........................................................................................................................1

I.4 Tujuan ........................................................................................................................................1

I.5 Manfaat ......................................................................................................................................2

I.6 Metodologi .................................................................................................................................2

I.7 Sistematika Penulisan ................................................................................................................2

BAB II ....................................................................................................................................................4

TINJAUAN UMUM PERUSAHAAN ..................................................................................................4

II.1 Teori Dasar Lingkup Kerja ........................................................................................................4

II.2 Profil Perusahaan .......................................................................................................................4

II.3 Sejarah Singkat Perusahaan .......................................................................................................5

II.4 Visi dan Misi Perusahaan ..........................................................................................................6

II.5 Lokasi Perusahaan......................................................................................................................6

II.6 Struktur Organisasi ....................................................................................................................7

BAB III ..................................................................................................................................................8

PELAKSANAAN KERJA PRAKTEK .................................................................................................8

III.1 Rencana Kegiatan ......................................................................................................................8

III.2 Pelaksanaan................................................................................................................................8

BAB IV ................................................................................................................................................10
iv
PEMBAHASAN ..................................................................................................................................10

IV.1 Identifikasi Masalah Menggunakan Analisis GAP ..................................................................10

IV.2 Penambahan Standar ................................................................................................................13

BAB V .................................................................................................................................................23

PENUTUP............................................................................................................................................23

V.I Analisis dan Usulan .....................................................................................................................23

V.2 Kesimpulan dan Saran.................................................................................................................23

DAFTAR PUSTAKA ..........................................................................................................................24

v
 DAFTAR TABEL

Tabel IV.1 1 Daftar Annex yang sudah digunakan ................................................................................10

Tabel IV.1 2 Daftar Annex yang belum digunakan ...............................................................................11
Tabel IV.1 3 Daftar Annex yang dibutuhkan .........................................................................................12

Tabel IV.2 1 STR 015 - Standar Usulan Lingkungan Kerja ..................................................................13

Tabel IV.2 2 STR 016 - Standar Usulan Pengelolaan Sumber Daya Manusia ......................................15
Tabel IV.2 3 STR 017 - Standar Usulan Instalasi Software ...................................................................17
Tabel IV.2 4 STR 018 - Standar Usulan Peninjauan Perubahan Platform .............................................19
Tabel IV.2 5 STR 019 - Standar Usulan Pengelolaan Kerentanan Teknis .............................................20
Tabel IV.2 6 STR 020 - Standar Usulan Transfer Informasi .................................................................21

DAFTAR GAMBAR

Gambar II.2. I Logo SKK Migas..............................................................................................................4

Gambar II.6. I Struktur Organisasi SKK Migas .......................................................................................7

vi
i
 BAB I
PENDAHULUAN

I.1 Latar Belakang

Kerja praktek merupakan salah satu mata kuliah yang ada di Fakultas Rekayasa
Industri, yaitu di Program Studi Teknik Industri. Kegiatan ini merupakan salah satu sarana
untuk memberikan ilmu secara informal tentang bagaimana dunia kerja sebenarnya. Dengan
melaksanakan Kerja Praktek mahasiswa dilatih untuk mengenal dan menghayati lingkup
pekerjaan di dunia nyata agar dapat mengadaptasi diri dengan lingkungan untuk melengkapi
proses belajar yang telah diperoleh dari perkuliahan.

Teknik Industri adalah sebuah ilmu yang mendesain, mengembangkan dan

menginstalasi sistem yang terintegrasi meliputi aspek manusia, mesin, material, metode dan
lingkungan. Jurusan Teknik Industri memiliki bidang cakupan yang cukup luas, dan untuk
lebih memahami aplikasi dari masing-masing bidang maka perlu sekali bagi mahasiswa
diberi kesempatan untuk mengamati kondisinya langsung di lapangan, khususnya di SKK
Migas

Penyusun melaksanakan kerja praktek di SKK Migas dan ditempatkan di Divisi

Manajemen Strategis dan Informasi. Penyusun menganalisis apa saja sekiranya kekurangan
dari standar keamanan informasi yang telah ada di lingkungan organisasi SKK Migas dengan
menggunakan ISO/IEC 27001 yaitu mengenai Information Security Management System dan
ISO 27002 mengenai best practice untuk sistem manajemen keamanan informasi guna
melengkapi standar keamanan yang sudah ada berdasarkan kajian yang telah dipelajari.

I.2 Rumusan Masalah

Rumusan masalah yang terdapat pada penelitian ini adalah sebagai berikut :
1. Bagaimana Standar Keamanan Informasi di SKK Migas berdasarkan ISO/IEC 27001
dan ISO/IEC 27002 yang disesuaikan dengan kebutuhan di SKK Migas?
I.3 Batasan Masalah
Batasan masalah yang terdapat pada penelitian ini adalah sebagai berikut :
1. Menentukan Annex yang dibutuhkan menggunakan Analisis GAP
2. Menambahkan Standar Keamanan Informasi berdasarkan ISO 27001 dan ISO 27002
3. Standar Keamanan Informasi hanya terbatas pada lingkungan divisi MSI SKK Migas
4. Standar yang diusulkan berdasarkan ruang lingkup mata kuliah yang dipelajari oleh
penulis.

I.4 Tujuan

1
 Tujuan dari penelitian ini adalah sebagai berikut:
1. Melengkapi Standar Keamanan Informasi yang ada di divisi MSI berdasarkan
ISO/IEC 27001 dan ISO/IEC 27002 agar seluruh aspek pekerjaan yang ada di Divisi
MSI memiliki standar yang harus dipatuhi.

I.5 Manfaat
Manfaat yang akan didapatkan dalam penelitian ini adalah sebagai berikut:
1. SKK MIGAS khususnya divisi MSI dapat mengetahui kekurangan Standar Keamanan
Informasi yang telah terdapat sebelumnya
2. SKK MIGAS khususnya divisi MSI dapat memperoleh Standard berdasarkan
ISO/IEC 27001 dan ISO/IEC 27002 yang disesuaikan dengan kebutuhan divisi MSI
SKK MIGAS.

I.6 Metodologi
1. Studi Dokumen
Penulis melakukan studi dokumen dengan menganalisis data yang diberikan oleh
pembimbing KP.
2. Studi Literatur
Penulis melakukan studi literatur untuk mencari informasi dan data-data serta metode
yang diperlukan dalam penyelesaian masalah melalui buku-buku, artikel, open
library, jurnal, website¸dan bahan kuliah lainnya.
3. Wawancara
Penulis melakukan wawancara langsung dengan operator karyawan yang ada di lini
produksi untuk melengkapi informasi dan data yang dibutuhkan.
4. Observasi
Penulis melakukan observasi langsung ke lingkungan kerja dan mengamati hal-hal
yang perlu diperhatikan untuk membuat Standar Keamanan Informasi.
I.7 Sistematika Penulisan
Penyusunan laporan Kerja Praktek terbagi menjadi beberapa bab dan pada setiap bab terdiri dari
sub bab yang menjelaskan secara rinci dari setiap bab nya. Untuk mempermudah penyusunan
laporan, maka akan dijelaskan secara besar isi dari setiap bab pada laporan ini.
1. Bab I Pendahuluan
Bab ini berisikan latar belakang masalah, rumusan masalah, batasan masalah, tujuan
dan manfaat, metodologi penelitian dan sistematika penulisan laporan.
2. Bab II Tinjauan Umum Perusahaan
Bab ini berisi penjelasan mengenai teori dasar untuk lingkup Kerja Praktek yang
ditugaskan, profil dan sejarah singkat perusahaan, lokasi perusahaan, struktur
organisasi dan kepegawaian perusahaan.
3. Bab III Pelaksanaan Kerja Praktek
2
 Bab ini berisi penjelasan mengenai pekerjaan yang diberikan dari perusahaan.
4. Bab IV Pembahasan
Bab ini berisi penjelasan mengenai pelaksaan kerja atau pemecahan masalah yang ada
di perusahaan dan korelasi dengan keilmuan yang didapat di bangku perkuliahan.
5. Bab V.1 Analisis dan Usulan
Berisi tentang analisis permasalahan yang ditemukan di tempat kerja dan usulan
perbaikan yang diberikan.
6. Bab V.2 Kesimpulan dan Saran
Berisi tentang pernyataan singkat mengenai hasil penelitian dan analisis data yang
relevan dengan tujuan. Saran memuat ulasan mengenai pendapat mahasiswa kerja
praktek tentang mengenai pendapat mahasiswa kerja praktek tentang kemungkinan
pengembangan dan pemanfaatan hasil Kerja Praktek lebih lanjut.
7. Lampiran
a. Lembar Berita Acara Presentasi
b. Lembar Penilaian Pembimbing Lapangan

3
 BAB II
TINJAUAN UMUM PERUSAHAAN

II.1 Teori Dasar Lingkup Kerja

Didirikan pada 23 Februari 1947, ISO menetapkan standar-standar industrial dan
komersial dunia. ISO merupakan lembaga nirlaba internasional, pada awalnya dibentuk untuk
membuat dan memperkenalkan standardisasi internasional untuk apa saja. Standar yang sudah
kita kenal antara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATM Bank,
ukuran dan ketebalan kertas dan lainnya.
Dalam menetapkan suatu standar tersebut mereka mengundang wakil anggotanya dari
130 negara untuk duduk dalam Komite Teknis (TC), Sub Komite (SC) dan Kelompok Kerja
(WG). Peserta ISO termasuk satu badan standar nasional dari setiap negara dan perusahaan-
perusahaan besar.
ISO bekerja sama dengan Komisi Elektroteknik Internasional (IEC) yang bertanggung
jawab terhadap standardisasi peralatan elektronik.
ISO/IEC 27001 adalah standar information security yang memuat prinsip-prinsip dasar
Information Security Management Systems (Sistem Manajemen Keamanan Informasi –
SMKI) yang berisi kontrol-kontrol yang diperlukan untuk membuat standar keamanan
informasi, sementara untuk ISO/IEC 27002 merupakan best practice dari kontrol-kontrol yang
telah ada di ISO 27001.

II.2 Profil Perusahaan

Gambar II.2. I Logo SKK Migas

SKK MIGAS merupakan Institusi yang dibentuk oleh pemerintah Republik Indonesia
melalui Peraturan Presiden (Perpres) Nomor 9 Tahun 2013 tentang Penyelenggaraan
Pengelolaan Kegiatan Usaha Hulu Minyak dan Gas Bumi. SKK MIGAS bertugas
melaksanakan pengelolaan kegiatan usaha hulu minyak dan gas bumi berdasarkan Kontrak
Kerja Sama. Pembentukan lembaga ini dimaksudkan supaya pengambilan sumber daya alam
minyak dan gas bumi milik negara untuk dapat memberikan manfaat dan penerimaan yang
maksimal bagi negara untuk sebesar-besar kemakmuran rakyat.
SKK MIGAS memiliki fungsi institusi sebagai :

4
 1. Memberikan pertimbangan kepada Menteri Energi dan Sumber Daya Mineral atas
kebijaksanaannya dalam hal penyiapan dan penawaran Wilayah Kerja serta Kontrak
Kerja Sama
2. Melaksanakan penandatanganan Kontrak Kerja Sama
3. Mengkaji dan menyampaikan rencana pengembangan lapangan yang pertama kali
akan diproduksikan dalam suatu Wilayah Kerja kepada Menteri Energi dan Sumber
Daya Mineral untuk mendapatkan persetujuan
4. Memberikan persetujuan rencana pengembangan selain sebagaimana dimaksud dalam
poin sebelumnya
5. Memberikan persetujuan rencana kerja dan anggaran
6. Melaksanakan monitoring dan melaporkan kepada Menteri Energi dan Sumber Daya
Mineral mengenai pelaksanaan Kontrak Kerja Sama.
7. Menunjuk penjual minyak bumi dan/atau gas bumi bagian negara yang dapat
memberikan keuntungan sebesar-besarnya bagi negara.

II.3 Sejarah Singkat Perusahaan

Satuan Kerja Khusus Pelaksana Kegiatan Usaha Hulu Minyak dan Gas Bumi (SKK
Migas) adalah institusi yang dibentuk oleh pemerintah Republik Indonesia melalui Peraturan
Presiden (Perpres) Nomor 9 Tahun 2013 tentang Penyelenggaraan Pengelolaan Kegiatan
Usaha Hulu Minyak dan Gas Bumi. SKK Migas bertugas melaksanakan pengelolaan kegiatan
usaha hulu minyak dan gas bumi berdasarkan Kontrak Kerja Sama.
Sebelum bernama SKK Migas, dulunya bernama BP Migas atau Badan Pengawas
Minyak dan Gas Bumi BP Migas adalah lembaga yang dibentuk Pemerintah Republik
Indonesia pada tanggal 16 Juli 2002 sebagai pembina dan pengawas Kontraktor Kontrak Kerja
Sama (KKKS) di dalam menjalankan kegiatan eksplorasi, eksploitasi dan pemasaran migas
Indonesia.
Dengan didirikannya lembaga ini melalui UU No 22/2001 tentang Minyak dan Gas
Bumi serta PP No 42/2002 tentang BP Migas, masalah pengawasan dan pembinaan kegiatan
Kontrak Kerja Sama yang sebelumnya dikerjakan oleh Pertamina selanjutnya ditangani
langsung oleh BP Migas.
Awalnya, pemerintah menerbitkan UU No. 8 pada 1971, yang menempatkan
Pertamina sebagai perusahaan migas milik negara. Berdasarkan UU ini, semua perusahaan
minyak yang hendak menjalankan usaha di Indonesia wajib bekerja sama dengan Pertamina.
Karena itu, Pertamina memainkan peran ganda yakni sebagai regulator bagi mitra yang
menjalin kerja sama melalui mekanisme Kontrak Kerja Sama (KKS) di wilayah kerja (WK)
Pertamina.
Sementara di sisi lain, Pertamina juga bertindak sebagai operator karena juga
menggarap sendiri sebagian wilayah kerjanya.
5
 Tapi, sejalan dengan dinamika industri migas di dalam negeri, Pemerintah
menerbitkan Undang-Undang Minyak dan Gas Bumi No. 22 tahun 2001. Sebagai konsekuensi
penerapan UU tersebut, Pertamina beralih bentuk menjadi PT Pertamina (Persero) dan
melepaskan peran gandanya. Peran regulator diserahkan ke lembaga pemerintah sedangkan
Pertamina hanya memegang satu peran sebagai operator murni.
Peran regulator di sektor hulu selanjutnya dijalankan oleh BP Migas yang dibentuk
pada tahun 2002. Sedangkan peran regulator di sektor hilir dijalankan oleh BPH Migas yang
dibentuk dua tahun setelahnya pada 2004.
BP Migas sendiri memiliki wewenang untuk membina kerja sama dalam rangka
terwujudnya integrasi dan sinkronisasi kegiatan operasional KKKS, merumuskan kebijakan
atas anggaran dan program kerja KKKS, mengawasi kegiatan utama operasional kontraktor
KKKS, membina seluruh aset KKKS yang menjadi milik negara dan melakukan koordinasi
dengan pihak dan/atau instansi terkait yang diperlukan dalam pelaksanaan Kegiatan Usaha
Hulu.

II.4 Visi dan Misi Perusahaan

Visi
Menjadi mitra yang proaktif dan terpercaya dalam mengoptimalkan manfaat industri hulu
minyak dan gas bumi bagi bangsa dan seluruh pemangku kepentingan serta menjadi salah satu
lokomotif penggerak aktivitas ekonomi Indonesia.
Misi
Melakukan pengawasan dan pengendalian terhadap pelaksanaan kontrak kerja sama dengan
semangat kemitraan untuk menjamin efektivitas dan efisiensi kegiatan usaha hulu minyak dan
gas bumi guna sebesar-besarnya kemakmuran rakyat.

II.5 Lokasi Perusahaan

SKK Migas bertempat di Gedung Wisma Mulia Lantai 35, Jl. Gatot Subroto Kav. 42,
RT.3/RW.2, Kuningan Barat, Mampang Perapatan, Kota Jakarta Selatan, Daerah Khusus
Ibukota Jakarta.

6
II.6 Struktur Organisasi
Berikut merupakan bagan dari struktur organisasi SKK Migas:

Gambar II.6. I Struktur Organisasi SKK Migas

7
 BAB III
PELAKSANAAN KERJA PRAKTEK

III.1 Rencana Kegiatan

Rencana kegiatan Kerja Praktek tahun 2017 dilaksanankan pada tanggal 5 Juni - 31
Juli 2017, seluruh peserta diperkenankan mengajukan Kerja Praktek pada perusahaan yang
sesuai dengan keinginan peserta.

Dalam hal ini penulis berminat untuk mengajukan Kerja Praktek pada perusahaan
SKK Migas. Setelah mengajukan proposal kepada perusahaan yang bersangkutan, penulis
menerima konfirmasi dari bagian SDM yang berisi diterimanya penulis untuk melakukan
Kerja Praktek pada perusahaan tersebut dan penulis diizinkan untuk memulai kegiatan Kerja
Praktek sejak tanggal 5 Juni - 31 Juli 2017, terhitung 40 hari kerja sesuai ketentuan yang
ditetapkan oleh Universitas Telkom.

III.2 Pelaksanaan
Berikut merupakan uraian kegiatan selama pelaksanaan Kerja Praktek:
Tabel III.2. I Uraian Kegiatan Pelaksanaan

Minggu
Uraian Kegiatan
ke-
Pengenalan Perusahaan
Penandatanganan kontrak yang berisikan aturan- aturan selama
1 kerja praktek dilaksanakan
Pengenalan Divisi yang ditempati
Pemahaman mengenai keamanan informasi
Pemberian tugas pemahan mengenai kemanan informasi
2
Pengerjaan tugas review
Presentasi tugas review
Pemahaman mengenai ISO 27001 tentang Information Seciruty
3 Management System
Pemberian tugas pembuatan Standar Keamanan Informasi
berdasarkan ISO 27001
Pengerjaan tugas pembuatan Standar Keamanan Informasi
4 berdasarkan ISO 27001
Konsultasi pengerjaan tugas

8
 Pengerjaan tugas pembuatan Standar Keamanan Informasi
5 berdasarkan ISO 27002
Konsultasi pengerjaan tugas
Pengerjaan tugas pembuatan Standar Keamanan Informasi
6 berdasarkan ISO 27002
Konsultasi pengerjaan tugas
7 Pembuatan Laporan Kerja Praktek
8 Presentasi Laporan Kerja Praktek

9
 BAB IV
PEMBAHASAN

IV.1 Identifikasi Masalah Menggunakan Analisis GAP

IV.1.1 Pengertian Analisis GAP
Analisa GAP dapat diartikan sebagai perbandingan kinerja aktual dengan kinerja
potensial atau yang diharapkan. Sebagai metoda, analisa gap digunakan sebagai alat
evaluasi bisnis yang menitikberatkan pada kesenjangan kinerja perusahaan saat ini
dengan kinerja yang sudah ditargetkan sebelumnya.
Analisis ini juga mengidentifikasi tindakan-tindakan apa saja yang diperlukan
untuk mengurangi kesenjangan atau mencapai kinerja yang diharapkan pada masa datang.
Lebih dari itu analisis ini juga memperkirakan waktu, biaya, dan sumberdaya yang
dibutuhkan untuk mencapai keadaan perusahaan yang diharapkan.

IV.1.2 Pembuatan Analisis GAP

1. Berikut meruakan hasil identifikasi dari file SOP dan Standar mengenai ISO 27001
dan didapatkan data Annex yang sudah digunakan:
Tabel IV.1 1 Daftar Annex yang sudah digunakan

A6.1.3 Contact with authorities

A6.2 Mobile devices and teleworking
A7.1.1 Screening
A7.2 Supplier management
A8.1 Responsibility for assets
A8.1.3 Acceptable use of assets
A8.2.2 Labelling of information
A8.2.3 Handling of assets
A8.3.2 Disposal of media
A9.1 Business requirements of access control
A9.2 User access management
A9.2.3 Management of priviliged access right
A9.3.1 Use of secret authenti- cation information
A9.4 System and application access control
A10 kriptografi
A10.7.1 Management of removable media
A11.1 Secure areas
A11.2.5 Removal of assets

10
 A11.2.9 Clear desk and clear screen policy
A12.1.2 Change management
A12.1.3 Capacity management
A12.1.4 separation of development. Testing and operational environments
A12.2 Equipment
A12.3 Backup
A12.7.1 Information systems audit controls
A13.2 Information transfer
A13.2.4 confidentially or non-disclosure
A14.2.2 System change control procedures
A15 Supplier relationship
A16 Information security incident management
A17 Information security aspects of business continuity management
A18.1.3 Protection of records

2. Setelah didapatkan data diatas, berikut merupakan data Annex yang belum ada pada
SOP maupun Standar:
Tabel IV.1 2 Daftar Annex yang belum digunakan

A.5.1.1 Policies for information security

A.5.1.2 Review of the policies for information security
A.6.1.1 Information security roles and responsibilities
A.6.1.2 Segregation of duties
A.6.1.4 Contact with special interest groups
A.6.1.5 Information security in project management
A.7.1.2 Terms and Conditions of Employment
A.7.2.1 Management Responsibilities
A.7.2.2 Information Security Awareness, Education and Training
A.7.2.3 Disciplinary Process
A.7.3.1 Termination or Change of Employment Responsibilities
A.8.2.1 Classification of information
A.11.2.1 Equipment siting and protection
A.11.2.3 Cabling security
A.11.2.2 Supporting utilities
A.11.2.8 Unattended user equipment
A.12.1.1 Documented operating procedures
A.12.2.1 Controls against malware
A.12.4.1 Event logging
11
 A.12.4.2 Protection of log information
A.12.4.3 Administrator and operator logs
A.12.4.4 Clock synchronisation
A.12.5.1 Installation of software on operational systems
A.12.6.1 Management of technical vulnerabilities
A.12.6.2 Restrictions on software installation
A.13.1.1 Network controls
A.13.1.2 Security of network services
A.13.1.3 Segregation in networks
A.13.2.1 Information transfer policies and procedures
A.13.2.2 Agreements on information transfer
A.13.2.3 Electronic messaging
A.14.1.3 Protecting application services transactions
A.14.2.1 Secure development policy
A.14.2.3 Technical review of applications after operating platform changes
A.14.2.4 Restrictions on changes to software packages
A.14.2.5 Secure system engineering principles
A.14.2.6 Secure development environment
A.14.2.7 Outsourced development
A.14.2.8 System security testing
A.14.2.9 System acceptance testing
A.14.3.1 Protection of test data
A.18.1.1 Identification of applicable legislation and contractual requirements
A.18.1.2 Intellectual property rights
A.18.1.4 Privacy and protection of personally identifiable information
A.18.1.5 Regulation of cryptographic controls
A.18.2.1 Independent review of information security
A.18.2.2 Compliance with security policies and standards
A.18.2.3 Technical compliance review

3. Setelah melakukan konsultasi, berikut merupakan data Annex yang dibutuhkan

untuk menjadi Standar:
Tabel IV.1 3 Daftar Annex yang dibutuhkan

A.11.2.1 Equipment siting and protection STR 015

A.11.2.3 Cabling security STR 015
A.11.2.2 Supporting utilities STR 015
A.11.2.8 Unattended user equipment STR 015
12
 A.7.1.2 Terms and Conditions of Employment STR 016
A.7.2.1 Management Responsibilities STR 016
A.7.2.2 Information Security Awareness, Education and Training STR 016
A.7.2.3 Disciplinary Process STR 016
A.7.3.1 Termination or Change of Employment Responsibilities STR 016
A.14.2.4 Restrictions on changes to software packages STR 017
A.12.5.1 Installation of software on operational systems STR 017
A.12.6.2 Restrictions on software installation STR 017
A.14.1.3 Protecting application services transactions STR 018
Technical review of applications after operating platform
A.14.2.3 STR 018
changes
A.12.6.1 Management of technical vulnerabilities STR 019
A.13.2.1 Information transfer policies and procedures STR 020
A.13.2.2 Agreements on information transfer STR 020
A.13.2.3 Electronic messaging STR 020
A.8.2.1 Classification of information STR 020

IV.2 Penambahan Standar

IV.2.1 STR 015 - Standar Usulan Lingkungan Kerja
Berikut merupakan isi dari STR 015 - Standar Usulan Lingkungan Kerja:
Tabel IV.2 1 STR 015 - Standar Usulan Lingkungan Kerja

Pendahuluan Kondisi lingkungan kerja yg aman dan nyaman akan membuat

karyawan fokus dalam melakukan pekerjaan mereka dan juga
informasi yang ada dapat di tersimpan dengan aman.

Tujuan Memastikan bahwa ruangan dan kondisi lingkungan kerja di SKK

Migas sudah aman untuk informasi dan data organisasi serta
nyaman bagi para karyawan.

Ruang Standar ini berlaku untuk seluruh ruangan kerja yang ada di SKK
Lingkup Migas.

Pengertian Sabotase adalah tindakan pengerusakan yang dilakukan secara

Istilah terencana, disengaja dan tersembunyi terhadap peralatan, personel
dan aktivitas dari bidang sasaran yang ingin dihancurkan yang
berada di tengah-tengah organisasi.

13
Ketentuan 1. Ruangan dalam kondisi yang bersih dan nyaman.
Kondisi
2. Kabel-kabel dari perangkat harus di rapikan jika perlu
Ruangan
gunakan Cable ties.

3. Pastikan kabel-kabel tidak ada yang terkelupas.

4. Suhu dan kelembapan:

a. Suhu : 18 – 28 0C

b. Kelembapan : 40% - 60%

Ketentuan 1. Peralatan kantor seperti PC dan lain-lain yang berfungsi

Kondisi sebagai penunjang pekerjaan harus dalam kondisi yang
Peralatan optimal

2. Peralatan kantor yang tidak dipakai disimpan di dalam ruang

inventori

3. Peralatan yang di simpan didalam ruang inventori harus di

maintenance sesuai dengan aturan yang telah berlaku.

4. Peralatan yang ada di meja yang tidak terpakai harap di

simpan ke bagian inventori untuk menghindari adanya
sabotase dari pihak luar maupun dalam terhadap system.

5. Non aktifkan perangkat-perangkat di ruangan yang tidak

bertuan / tidak digunakan.

6. Clean desk policy : idak ada dokumen rahasia, kerapihan,

ridak menuliskan password / informasi rahasia lainnya di meja
kerja dll

7. Hapus / singkirkan informasi yang tidak dibutuhkan yang ada

di tempat umum,(contoh hapus papan tulis setelah
digunakan), catatan-catatan rahasia.

Referensi 1. Panduan Tata Kerja Teknologi Informasi dan Komunikasi

SKMIGAS

2. ISO 27001:2013 Annex.11.2.1 – Equipment Siting and

Protection

3. ISO 27001:2013 Annex.11.2.2 – Supporting Utilities

4. ISO 27001:2013 Annex.11.2.3 – Cabling Security

14
 5. ISO 27001:2013 Annex.11.2.8 – Unattended User Equipment

IV.2.2 STR 016 - Standar Usulan Pengelolaan Sumber Daya Manusia

Berikut merupakan isi dari STR 016 - Standar Usulan Pengelolaan Sumber Daya
Manusia:
Tabel IV.2 2 STR 016 - Standar Usulan Pengelolaan Sumber Daya Manusia

Pendahuluan Salah satu ancaman bagi organisasi terkait keamanan

data/informasi adalah kemungkinan terjadinya kebocoran atau
penyalahgunaan data dan informasi dari pihak dalam seperti
karyawan yang telah berakhir kontraknya ataupun karena
pemecatan.

Tujuan  Standar ini bertujuan untuk memastikan bahwa karyawan

dan kontraktor memahami dan memenuhi tanggung jawab
dan tanggung jawab keamanan informasi mereka

 Standar ini bertujuan agar infomasi ataupun data-data

rahasia dari organisasi yang bersifat rahasia yang
dikerjakan oleh karyawan yang bersangkutan tidak bocor
ke pihak luar ketika masa kerjanya telah selesai.

Ruang Lingkup Standar ini berlaku untuk seluruh pegawai tetap, pegawai kontrak
dan outsource di SKK Migas.

Syarat dan Standar ini merupakan tambahan spesifik untuk pengamanan

Kondisi Kerja informasi di SKK Migas dan tetap mengikuti prosedur yang telah
ditetapkan oleh Divisi SDM SKK Migas.

Kesadaran  Pegawai level pimpinan atas SKK Migas harus menyadari

Keamanan pentingnya keamanan informasi
Informasi
 Pegawai level pimpinan atas SKK Migas membuat
kebijakan- kebijakan mengenai keamanan informasi

 Pemberian pelatihan yang bersifat teknis kepada seluruh

pegawai level pimpinan menegah

 Pegawai level pimpinan menegah memformulasikan

strategi taktis dari sistem keamanan informasi yang sejalan
dengan kebutuhan proses bisnis organisasi

15
  Pemberian pelatihan hingga pendidikan tingkat lanjut
mengenai keamanan informasi kepada seluruh pegawai
level pimpinan bawah, staf dan penunjang.

Proses Berikut merupakan pedoman disiplin yang adil dalam pendisiplinan

Pendisiplinan atau menghukum seorang pegawai karena melanggar aturan
perusahaan:

1. Menyelidiki masalah dengan adil dan dapat diterima

sebelum melaksanakan disiplin dengan cara yang telah
ditentukan

2. Memberikan bukti- bukti berupa fakta

3. Memastikan bukti yang diberikan mendukung bahwa

karyawan itu telah melakukan kesalahan

4. Melindungi hak- hak karyawan, tidak merampas harga

diri bawahan dan tidak bertindak saat marah

5. Hukuman yang diberikan harus berkaitan dengan

kesalahan dan sejarah pekerjaan karyawan yang lalu.

Aturan Berikut merupakan kebijakan yang berlaku apabila pekerja telah

Pemberhentian diberhentikan atau habis kontrak:
atau Kontrak
1. Mengembalikan seluruh fasilitas kantor
Kerja yang
2. Menyerahkan data milik perusahaan yang dimiliki selama
Telah Habis
masa kerja

3. Menghapus seluruh informasi pada perangkat pribadi yang

menjadi milik perusahaan

4. Menonaktifkan seluruh akses akun yang dimiliki pekerja

tersebut

5. Seluruh admin dan pengolah perangkat memastikan hal

diatas sudah dilakukan dengan benar

6. Mengikuti prosedur yang berlaku di perusahaan terkait

terminasi.

Referensi 1. Panduan Tata Kerja Teknologi Informasi dan Komunikasi

SKMIGAS

16
 2. ISO 27001:2013 Annex.7.1.2 – Terms and Conditions of
Employment

3. ISO 27001:2013 Annex.7.2.1 – Management

Responsibilities

4. ISO 27001:2013 Annex.7.2.2 – Information Security

Awareness, Education and Training

5. ISO 27001:2013 Annex.7.2.3 – Disciplinary Process

6. ISO 27001:2013 Annex.7.3.1 – Termination or Change of

Employment Responsibilities

IV.2.3 STR 017 - Standar Usulan Instalasi Software

Berikut merupakan isi dari STR 017 - Standar Usulan Instalasi Software:
Tabel IV.2 3 STR 017 - Standar Usulan Instalasi Software

Pendahuluan Penginstalasian Software terbaru ataupun update dari versi

sebelumnya harus dikendalikan dan dievaluasi agar menghindari
terjadinya penyebaran malware, virus dan hal yang tidak diinginkan
pada sistem jaringan organisasi

Tujuan Sebagai pedoman dalam penginstalasian software untuk mencegah

adanya eksploitasi kerentanan teknis.

Ruang Standar ini harus diterapkan pada setiap individu yang bekerja di
Lingkup SKK Migas yang menggunakan PC/laptop perusahaan yang
terhubung ke dalam sistem organisasi.

Pengertian Software adalah istilah khusus untuk data yang diformat, dan
Istilah disimpan secara digital, termasuk program komputer,
dokumentasinya, dan berbagai informasi yang bisa dibaca, dan
ditulis oleh komputer. Dengan kata lain, bagian sistem komputer
yang tidak berwujud.

Update adalah perintah yang digunakan untuk mendapatkan

pembaharuan terbaru dan melakukan sinkronisasi dengan versi
yang ada

Critical Path adalah kondisi dimana software membutuhkan

perubahan atau update, apabila tidak dilkukan perubahan maka

17
 akan membuat software tidak bekerja atau terdapat bugs yang
berbahaya.

Instalasi  Software yang terinstal pada peralatan yang menyimpan

Software informasi organisasi harus aman dan orisinil.

 Software yang terinstal pada PC organisasi bersangkutan

bisnis, operasional dan kepentingan organisasi.

 Instalasi harus mendapat persetujuan oleh pengelola

layanan TI.

 Software source didapatkan dari sumber terpercaya seperti:

a. Situs resmi

b. File orisinil

c. CD orisinil

 Software telah di uji terlebih dahulu terhadap :

a. Kompabilitas terhadap sistem yang terkait

b. Standar konfigurasi infrastruktur TI

c. Potensi lubang keamanan

Update  Software harus di update apabila versi yang sudah ada pada
Software perangkat sebelumnya sudah tidak memadai.

 Software harus diupdate apabila:

a. Terdapat kebutuhan bisnis untuk melakukan

update.

b. Terdapat kebutuhan integrasi atau teknis untuk

melakukan update.

c. Terdapat critical patch.

 Proses update dilakukan sesuai dengan prosedur change

management yang berlaku.

Referensi 1. Panduan Tata Kerja Teknologi Informasi dan Komunikasi

SKMIGAS

2. ISO 27001:2013 Annex.12.6.2 – Restrictions on Software

Installation

18
 3. ISO 27001:2013 Annex.14.2.4 – Resctrictions on Changes
to Software Packages

4. ISO 27001:2013 Annex.12.5.1 – Installation of Software on

Operational Systems

IV.2.4 STR 018 - Standar Usulan Peninjauan Perubahan Platform

Berikut merupakan isi dari STR 018 - Standar Usulan Peninjauan Perubahan Platform:
Tabel IV.2 4 STR 018 - Standar Usulan Peninjauan Perubahan Platform

Pendahuluan
Saat platform operasi diubah, aplikasi penting harus ditinjau dan
diuji untuk memastikan bahwa seluruh sistem terintegrasi dan
tidak ada malfunction ataupun bug.

Tujuan Untuk memastikan bahwa platform yang digunakan baik

software maupun hardware sudah terintegrasi dan berjalan
dengan baik.

Ruang Standar ini harus diterapkan pada setiap individu yang bekerja di
Lingkup SKK Migas yang menggunakan PC yang terhubung ke dalam
sistem organisasi.

Pengertian Bug adalah kesalahan pada komputer baik disebabkan oleh

Istilah perangkat lunak ataupun perangkat keras sehingga komputer
tidak bekerja dengan semestinya

Aturan  Platform memiliki tingkat keamanan yang tinggi, agar

Peninjauan tidak mudah di ubah dan duplikasi tanpa adanya otorisasi
Platform
 Platform yang digunakan adalah versi resmi dan aman dari
bug

 Platform tidak mengalami malfunction yang akan

berakibat terganggunya kinerja organisasi

 Platform mudah untuk dioperasikan

 Seluruh pegawai sudah bisa mengoperasikan platform

tersebut.

Referensi 1. Panduan Tata Kerja Teknologi Informasi dan Komunikasi

SKMIGAS
19
 2. ISO/IEC 27001:2013 Annex.14.1.3 – Protecting
Application Services Transactions

3. ISO/IEC 27001:2013 Annex.14.2.3 – Technical review of

applications after operating platform changes

IV.2.5 STR 019 - Standar Usulan Pengelolaan Kerentanan Teknis

Berikut merupakan isi dari STR 019 - Standar Usulan Pengelolaan Kerentanan Teknis:
Tabel IV.2 5 STR 019 - Standar Usulan Pengelolaan Kerentanan Teknis

Pendahuluan
Kerentanan muncul saat ancaman menemukan kelemahan yang
bisa di eksploitasi. Secara umum, kelemahan adalah cacat yang
terjadi selama perancangan, implementasi, konfigurasi, atau
pengoperasian aset atau kontrol. Kelemahan bisa tercipta
karena kecerobohan, atau sengaja. Ada yang mudah dikenali
atau diperbaiki atau dieksploitasi, sementara yang lain
membutuhkan waktu, tenaga, dan sumber daya.

Tujuan Standar ini bertujuan untuk mencegah eksploitasi kerentanan

teknis.

Ruang Lingkup Standar ini berlaku untuk seluruh pegawai tetap, pegawai
kontrak dan outsource di SKK Migas.

Pengelolaan Berikut merupakan kebijakan dalam menerapkan kontrol

Kerentanan keamanan:
Teknis
 Membuat daftar inventaris aset yang berisikan informasi
yang relevan

 Menentukan penanggung jawab yang akan melakukan

pengelolaan kerentanan

 Membuat daftar sumber referensi yang berisikan situs

produsen, forum khusus dan kelompok kepentingan
khusus

 Menangani kerentanan melalui prosedur yang ditetapkan

 Membuat catatan untuk analisis pasca acara dan

melakukan analisis tersebut

20
  Melakukan pemantauan terhadap sumber referensi yang
didefinisikan dalam inventarisasi aset.

Referensi 1. Panduan Tata Kerja Teknologi Informasi dan

Komunikasi SKMIGAS

2. ISO 27001:2013 Annex.12.6.1 – Management of

Technical Vulnerabilities

IV.2.6 STR 020 - Standar Usulan Transfer Informasi

Berikut merupakan isi dari STR 020 - Standar Usulan Transfer Informasi:
Tabel IV.2 6 STR 020 - Standar Usulan Transfer Informasi

Pendahuluan
Informasi atau dokumen yang dikirimkan oleh karyawan perlu di
atur dan di proteksi karena sangat rentan untuk di ubah yang akan
berdampak pada terganggunya sistem kerja yang ada pada
organisasi.

Tujuan Untuk menjaga keamanan informasi yang ditransfer dalam

organisasi dan dengan entitas eksternal manapun

Ruang Standar ini berlaku untuk seluruh pegawai tetap, pegawai kontrak
Lingkup dan outsource di SKK Migas.

Pengertian Enkripsi adalah proses mengamankan suatu informasi dengan

Istilah membuat informasi tersebut tidak dapat dibaca tanpa bantuan
pengetahuan khusus.

Pengelolaan 1. Mengetahui klasifikasi informasi, dokumen, ataupun

Transfer data yang akan di transfer
Informasi
2. Setiap klasifikasi informasi memiliki aturan yang
berbeda dalam penanganannya.

3. Informasi yang memiliki klasifikasi rahasia terkait

dengan K3S dan pemerintah memerlukan proteksi
khusus untuk di transfer.

4. Informasi harus di enkripsi dan harus disertai otorisasi

dari piahk terkait.

21
 5. Pengiriman harus menggunakan email organisasi apabila
dalam bentuk Email, jika dalam bentuk dokumen harus
menggunakan kop surat SKK Migas.

6. Informasi yang telah didapat harus di simpan dan di

backup untuk menghindari hilangnya file tersebut.

Referensi 1. Panduan Tata Kerja Teknologi Informasi dan

Komunikasi SKMIGAS

2. ISO 27001:2013 Annex.8.2.1 – Classification of

information

3. ISO 27001:2013 Annex.13.2.1 – Information transfer

policies and procedures

4. ISO 27001:2013 Annex.13.2.2 – Agreements on

information transfer

5. ISO 27001:2013 Annex.13.2.3 – Electronic messaging

22
 BAB V
PENUTUP

V.I Analisis dan Usulan

Terdapat 14 standar keamanan yang telah di buat oleh pihak divisi MSI dimana ke 14
standar tersebut di analisis berdasarkan ISO/IEC 27001 dan ISO/IEC 27002, tetapi ke 14 standar
keamanan informasi yang telah dibuat belum sepenuhnya mengaplikasikan kontrol yang telah ada
di ISO 27001, masih terdapat beberapa kekurangan di beberapa aspek terkait sistem keamanan
informasi. Setelah dilakukannya analisis standar yang telah ada berdasarkan ISO/IEC 27001 dan
ISO/IEC 27002 dan observasi terhadap lingkungan kerja SKK Migas, dibutuhkan 6 standar baru
untuk melengkapi standar yang telah ada sebelumnya.

V.2 Kesimpulan dan Saran

Standar Keamanan Informasi yang ada di SKK Migas sangat penting untuk diketahui
dipahami dan diaplikasikan oleh pekerja di SKK Migas baik pegawai tetap, pegawai kontrak
maupun outsource agar proses kerja berjalan lancar. Oleh karena itu, perlu diadakan sosialisasi
mendalam tentang standar yang telah dibuat karena hampir seluruh informasi-informasi yang ada
di dalam organisasi bersifat rahasia, dan dokumen standar juga perlu di letakkan di lokasi-lokasi
strategis di lingkungan kerja agar pekerja dapat dengan mudah menemukan dokumen tersebut
apabila dibutuhkan. Kami juga berharap standar usulan yang kami buat ini untuk ditindak lanjuti
lebih dalam.

23
 DAFTAR PUSTAKA

ISO/IEC 27001:2013 Information Security Management System

ISO/IEC 27002:2013 Information Technology – Security Techniques Code of Practice For
Information Security Controls
SKK Migas. (t.thn) profil. Dipetik July 29, 2017, dari SKK Migas: http://skkmigas.go.id/tentang-
kami/profil
https://plus.google.com/+HumasSKKMigas/posts/3gcYFBGPRSE
http://www.kontraktorspbu.com/sejarah-terbentuknyabp-migas/

30