KUESIONER SURVEY

Penilaian Capability Level APO 13 Cobit 2019

Kuesioner survey ini disampaikan untuk mengetahui tingkat kemampuan /

Capability Level proses APO 13 Managed Security. Kuesioner dibuat
berdasarkan panduan Cobit 2019 - Governance & Management Objectives.
Responden diminta menilai tingkat kemampuan aktivitas yang dilakukan dengan
memberi tanda (√) pada tempat yang tersedia. Penilaian didasarkan atas kondisi
berikut:
 N jika tingkat kemampuan yang dicapai kurang dari 15%.
 P jika tingkat kemampuan yang dicapai antara 15% hingga 50%.
 L jika tingkat kemampuan yang dicapai antara 50% hingga 85%.
 F jika tingkat kemampuan yang dicapai lebih dari 85%.
Kuesioner diberikan secara bertahap, sesuai dengan tingkat kemampuan yang
dinilai. Pada kuesioner ini, penilaian dilakukan untuk tingkat kemampuan 1, 2, 3,
dan 4.

Identitas Responden
Nama Responden
email
Unit Kerja
Organisasi / Perusahaan

1
 Bagian 1. Penilaian Tingkat Kemampuan /Capability Level 1
Aktivitas yang dilakukan kurang lebih telah mencapai tujuannya melalui penerapan
serangkaian kegiatan yang tidak lengkap, yang dapat dikategorikan sebagai kegiatan awal
atau kegiatan yang bersifat intuitif - tidak terlalu terorganisir.

Temuan
No Aktivitas Tata Kelola
N P L F
APO13.01 Establish and maintain an information security management system
(ISMS)
Melakukan penentuan ruang lingkup dan batasan sistem
manajemen keamanan informasi (ISMS) dalam hal karakteristik
1 perusahaan, organisasi, lokasi, aset, dan teknologinya. Sertakan
rincian, dan alasan untuk, pengecualian apa pun dari ruang
lingkup.
Menentukan ISMS sesuai dengan kebijakan perusahaan dan
2
konteks di mana perusahaan beroperasi enterprise.
Menyejajarkan ISMS dengan pendekatan perusahaan secara
3
keseluruhan untuk manajemen keamanan.
Mendapatkan otorisasi manajemen untuk menerapkan dan
4
mengoperasikan atau mengubah ISMS.
Menyiapkan dan memelihara pernyataan penerapan yang
5
menggambarkan ruang lingkup ISMS.
Mendefinisikan dan mengkomunikasikan peran dan tanggung
6
jawab manajemen keamanan informasi.
Komunikasikan pendekatan ISMS.
7

APO13.02 Define and manage an information security and privacy risktreatment

plan.
Merumuskan dan memelihara rencana penanganan risiko
keamanan informasi yang selaras dengan tujuan strategis dan
arsitektur perusahaan. Pastikan bahwa rencana tersebut
1 mengidentifikasi praktik manajemen dan solusi keamanan yang
tepat dan optimal, dengan sumber daya, tanggung jawab, dan
prioritas terkait untuk mengelola risiko keamanan informasi yang
teridentifikasi.
Mempertahankan sebagai bagian dari arsitektur perusahaan,
2 inventaris komponen solusi yang ada untuk mengelola risiko terkait
keamanan
Mengembangkan proposal untuk mengimplementasikan rencana
penanganan risiko keamanan informasi, didukung oleh kasus
3
bisnis yang sesuai yang mencakup pertimbangan pendanaan dan
alokasi peran dan tanggung jawab.

2
 Memberikan masukan untuk desain dan pengembangan praktik
4 manajemen dan solusi yang dipilih dari rencana penanganan risiko
keamanan informasi.
Menerapkan program pelatihan dan kesadaran keamanan
5
informasi dan privasi
Mengintegrasikan perencanaan, desain, implementasi dan
pemantauan keamanan informasi dan prosedur privasi dan kontrol
6
lain yang mampu memungkinkan pencegahan cepat, deteksi
peristiwa keamanan, dan respons terhadap insiden keamanan.
Menentukan bagaimana mengukur efektivitas praktik manajemen
yang dipilih. Tentukan bagaimana pengukuran ini akan digunakan
7
untuk menilai efektivitas untuk menghasilkan hasil yang sebanding
dan dapat direproduksi.

APO13.03 Monitor and review the information security management system (ISMS)
Melakukan tinjauan rutin terhadap efektivitas SMKI. Termasuk
1 memenuhi kebijakan dan tujuan SMKI dan meninjau praktik
keamanan dan privasi.
Melakukan audit ISMS pada interval yang direncanakan.
2

Melakukan tinjauan manajemen ISMS secara teratur untuk

3 memastikan bahwa ruang lingkup tetap memadai dan perbaikan
dalam proses ISMS diidentifikasi
Merekam tindakan dan peristiwa yang dapat berdampak pada
4 efektivitas atau kinerja ISMS.

Memberikan masukan untuk pemeliharaan rencana keamanan

dengan memperhitungkan temuan kegiatan pemantauan dan
5 peninjauan.

3
 Bagian 2. Penilaian Capability Level 2
Aktivitas yang dilakukan telah mencapai tujuannya melalui penerapan serangkaian kegiatan
dasar yang lengkap dan dapat dikategorikan sebagai telah berjalan secara operasional.

Temuan
No Aktivitas Tata Kelola
N P L F
APO13.01 Establish and maintain an information security management system
(ISMS)
Melakukan penentuan ruang lingkup dan batasan sistem
manajemen keamanan informasi (ISMS) dalam hal karakteristik
1 perusahaan, organisasi, lokasi, aset, dan teknologinya. Sertakan
rincian, dan alasan untuk, pengecualian apa pun dari ruang
lingkup.
Menentukan ISMS sesuai dengan kebijakan perusahaan dan
2
konteks di mana perusahaan beroperasi enterprise.
Menyejajarkan ISMS dengan pendekatan perusahaan secara
3
keseluruhan untuk manajemen keamanan.
Mendapatkan otorisasi manajemen untuk menerapkan dan
4
mengoperasikan atau mengubah ISMS.
Menyiapkan dan memelihara pernyataan penerapan yang
5
menggambarkan ruang lingkup ISMS.
Mendefinisikan dan mengkomunikasikan peran dan tanggung
6
jawab manajemen keamanan informasi.
Komunikasikan pendekatan ISMS.
7

APO13.02 Define and manage an information security and privacy risktreatment

plan.
Merumuskan dan memelihara rencana penanganan risiko
keamanan informasi yang selaras dengan tujuan strategis dan
arsitektur perusahaan. Pastikan bahwa rencana tersebut
1 mengidentifikasi praktik manajemen dan solusi keamanan yang
tepat dan optimal, dengan sumber daya, tanggung jawab, dan
prioritas terkait untuk mengelola risiko keamanan informasi yang
teridentifikasi.
Mempertahankan sebagai bagian dari arsitektur perusahaan,
2 inventaris komponen solusi yang ada untuk mengelola risiko terkait
keamanan
Mengembangkan proposal untuk mengimplementasikan rencana
penanganan risiko keamanan informasi, didukung oleh kasus
3
bisnis yang sesuai yang mencakup pertimbangan pendanaan dan
alokasi peran dan tanggung jawab.
Memberikan masukan untuk desain dan pengembangan praktik
4 manajemen dan solusi yang dipilih dari rencana penanganan risiko
keamanan informasi.

4
 Menerapkan program pelatihan dan kesadaran keamanan
5
informasi dan privasi
Mengintegrasikan perencanaan, desain, implementasi dan
pemantauan keamanan informasi dan prosedur privasi dan kontrol
6
lain yang mampu memungkinkan pencegahan cepat, deteksi
peristiwa keamanan, dan respons terhadap insiden keamanan.
Menentukan bagaimana mengukur efektivitas praktik manajemen
yang dipilih. Tentukan bagaimana pengukuran ini akan digunakan
7
untuk menilai efektivitas untuk menghasilkan hasil yang sebanding
dan dapat direproduksi.

APO13.03 Monitor and review the information security management system (ISMS)
Melakukan tinjauan rutin terhadap efektivitas SMKI. Termasuk
1 memenuhi kebijakan dan tujuan SMKI dan meninjau praktik
keamanan dan privasi.
Melakukan audit ISMS pada interval yang direncanakan.
2

Melakukan tinjauan manajemen ISMS secara teratur untuk

3 memastikan bahwa ruang lingkup tetap memadai dan perbaikan
dalam proses ISMS diidentifikasi
Merekam tindakan dan peristiwa yang dapat berdampak pada
4 efektivitas atau kinerja ISMS.

Memberikan masukan untuk pemeliharaan rencana keamanan

dengan memperhitungkan temuan kegiatan pemantauan dan
5 peninjauan.

5
 Bagian 3. Penilaian Capability Level 3
Aktivitas yang dilakukan telah mencapai tujuannya dengan cara yang jauh lebih terorganisir
menggunakan aset organisasi. Aktivitas biasanya telah didefinisikan dengan baik.

Temuan
No Aktivitas Tata Kelola
N P L F
APO13.02 Define and manage an information security and privacy risktreatment
plan.
Merumuskan dan memelihara rencana penanganan risiko
keamanan informasi yang selaras dengan tujuan strategis dan
arsitektur perusahaan. Pastikan bahwa rencana tersebut
1 mengidentifikasi praktik manajemen dan solusi keamanan yang
tepat dan optimal, dengan sumber daya, tanggung jawab, dan
prioritas terkait untuk mengelola risiko keamanan informasi yang
teridentifikasi.
Mempertahankan sebagai bagian dari arsitektur perusahaan,
2 inventaris komponen solusi yang ada untuk mengelola risiko terkait
keamanan
Mengembangkan proposal untuk mengimplementasikan rencana
penanganan risiko keamanan informasi, didukung oleh kasus
3
bisnis yang sesuai yang mencakup pertimbangan pendanaan dan
alokasi peran dan tanggung jawab.
Memberikan masukan untuk desain dan pengembangan praktik
4 manajemen dan solusi yang dipilih dari rencana penanganan risiko
keamanan informasi.
Menerapkan program pelatihan dan kesadaran keamanan
5
informasi dan privasi
Mengintegrasikan perencanaan, desain, implementasi dan
pemantauan keamanan informasi dan prosedur privasi dan kontrol
6
lain yang mampu memungkinkan pencegahan cepat, deteksi
peristiwa keamanan, dan respons terhadap insiden keamanan.
Menentukan bagaimana mengukur efektivitas praktik manajemen
yang dipilih. Tentukan bagaimana pengukuran ini akan digunakan
7
untuk menilai efektivitas untuk menghasilkan hasil yang sebanding
dan dapat direproduksi.

APO13.03 Monitor and review the information security management system (ISMS)
Melakukan tinjauan rutin terhadap efektivitas SMKI. Termasuk
1 memenuhi kebijakan dan tujuan SMKI dan meninjau praktik
keamanan dan privasi.
Melakukan audit ISMS pada interval yang direncanakan.
2

Melakukan tinjauan manajemen ISMS secara teratur untuk

3 memastikan bahwa ruang lingkup tetap memadai dan perbaikan
dalam proses ISMS diidentifikasi

6
 Merekam tindakan dan peristiwa yang dapat berdampak pada
4 efektivitas atau kinerja ISMS.

Memberikan masukan untuk pemeliharaan rencana keamanan

dengan memperhitungkan temuan kegiatan pemantauan dan
5 peninjauan.

7
 Bagian 4. Penilaian Capability Level 4
Aktivitas yang dilakukan telah mencapai tujuannya, didefinisikan dengan baik, dan kinerjanya
dapat diukur secara kuantitatif.

Temuan
No Aktivitas Tata Kelola
N P L F
APO13.02 Define and manage an information security and privacy risktreatment
plan.
Menentukan bagaimana mengukur efektivitas praktik manajemen
yang dipilih. Tentukan bagaimana pengukuran ini akan digunakan
1
untuk menilai efektivitas untuk menghasilkan hasil yang sebanding
dan dapat direproduksi.

APO13.03 Monitor and review the information security management system (ISMS)
Melakukan tinjauan rutin terhadap efektivitas SMKI. Termasuk
1 memenuhi kebijakan dan tujuan SMKI dan meninjau praktik
keamanan dan privasi.
Melakukan audit ISMS pada interval yang direncanakan.
2

Melakukan tinjauan manajemen ISMS secara teratur untuk

3 memastikan bahwa ruang lingkup tetap memadai dan perbaikan
dalam proses ISMS diidentifikasi
Merekam tindakan dan peristiwa yang dapat berdampak pada
4 efektivitas atau kinerja ISMS.

Memberikan masukan untuk pemeliharaan rencana keamanan

dengan memperhitungkan temuan kegiatan pemantauan dan
5 peninjauan.