Jurnal Informatika – COMPUTING Volume 06 Nomor 02, Desember 2019: 37-41

ISSN: 2656 – 3861

PERENCANAAN SISTEM MANAJEMEN KEAMANAN

INFORMASI MENGGUNAKAN STANDAR
SNI ISO/IEC 27001: 2013

Dadan Rahmat, ST., MT1

1. Dosen Pendidikan Teknologi Informasi, FKIP Universitas Muhammadiyah Sukabumi

ABSTRACT
This study discusses the planning of the Information Security Management System (ISMS) using SNI ISO / IEC
27001: 2013 standards at Muhammadiyah University, Sukabumi. Using descriptive qualitative research
methods, and data collected through survey and interview methods. The results obtained are the planning of
the ISMS using the ISO / IEC 27001: 2013 standard at the Muhammadiyah University of Sukabumi, as follows:
Designing document 1 that contains the policy, published, scope, and Statement of Applicability (SOA) to cope
with reports on external expenditure; and provide document 2 that contains information security procedures
using the Plan-Do-Check-Act (PDCA) model.

Key Word: Information Security Management System, SNI ISO / IEC 27001: 2013 standards.

ABSTRAK
Penelitian ini bertujuan untuk mengetahui Perencanaan Sistem Manajemen Keamanan Informasi (SMKI)
menggunakan Standar SNI ISO/IEC 27001:2013 di Universitas Muhammadiyah Sukabumi. Menggunakan
metode penelitian deskriptif kualitatif, dan data dikumpulkan melalui metode survey dan wawancara. Hasil yang
diperoleh yaitu perencanaan SMKI menggunakan standar SNI ISO/IEC 27001:2013 di Universitas
Muhammadiyah Sukabumi, sebagai berikut: Merancang dokumen 1 yang meliputi kebijakan, penilaian risiko,
ruang lingkup, dan Statement Of Applicability (SOA) untuk menanggulangi insiden pihak luar; dan merancang
dokumen 2 yang berisi prosedur keamanan informasi dengan menggunakan model Plan-Do-Check-Act
(PDCA).

Kata Kunci: Sistem Manajemen Keamanan Informasi, Standar SNI ISO/IEC 27001:2013

I. PENDAHULUAN informasi yang baik sehingga aspek

Latar Belakang
Universitas Muhammadiyah Sukabumi
(UMMI) merupakan salah satu Perguruan
Tinggi Swasta (PTS) yang berada di Kota
Sukabumi, menyediakan pelayanan ke
masyarakat khususnya mahasiswa
menggunakan pelayanan berupa fasilitas
Teknologi Informasi dan Komunikasi untuk
pelayanan akademik dengan menggunakan
Sistem Informasi Akademik (SIAK), Electronic
Library (E-Library), Open Journal System
(OJS) dan Open Public Acces Catalog (OPAC)
katalog yang dapat diakses oleh mahasiswa
dan dosen (di perpustakaan). Seluruh sistem
informasi tersebut berbasis website yang
dapat diakses dimana saja, kapan saja secara
realtime, dan dapat digunakan bersama-sama.
Sebagai sebuah sistem informasi SIAK, E-
library, OJS, dan OPAC dapat melakukan
proses pengelolaan, pengendalian,
pengolahan, pencarian, penyimpanan,
pemeliharaan, penghapusan, dan pembagian
data serta informasi.
Penggunaan teknologi informasi tersebut
tentunya haruslah didukung oleh keamanan
confidentiality, integrity, dan availability bisa
terjaga. Untuk menjaga hal-hal tersebut
diperlukan sebuah prosedur yang
mengaturnya. SMKI merupakan proses yang
disusun berdasarkan plan (perencanaan), do
(implementasi), check (evaluasi), dan act
(meningkatkan) terhadap keamanan informasi
perusahaan. Dengan dibangunnya SMKI,
diharapkan UMMI dapat mengurangi dampak
insiden TI, melindungi proses bisnis,
menghindari kegagalan serius, serta dapat
mengelola dan meminimalkan risiko keamanan
informasi.
SMKI digunakan untuk meminimalisir
ancaman terhadap keamanan informasi.
Pentingnya implementasi SMKI dalam suatu
institusi untuk dipahami, diupayakan, dan
dicoba supaya pengelolaan informasi
dilaksanakan dengan benar, sehingga lebih
fokus mencapai visi yang telah ditetapkan dan
dalam memberikan layanan terbaik bagi
penggunanya. Tahapan dalam merencanakan
SMKI yaitu menentukan: ruang lingkup,
kebijakan, cara penilaian risiko, identifikasi
risiko, analisa risiko, evaluasi risiko, evaluasi

37
 Jurnal Informatika – COMPUTING Volume 06 Nomor 02, Desember 2019: 37-41
ISSN: 2656 – 3861

pilihan penanganan risiko, dan memilih objek keamanan informasi yang berbasis standar
kontrol. SNI ISO/IEC 27001:2013, selain itu didapatkan
Pada dasarnya, suatu instansi dapat juga informasi bahwa telah terjadi beberapa
memilih standar yang akan digunakan dalam kali insiden deface web dan berhasil
rangka menunjang SMKI, salah satunya menembus keamanan E-Library dan OJS yang
mengadopsi standar dari International dimiliki UMMI. Hal ini tentu saja menimbulkan
Organization for Standardization (ISO) / kerugian bagi UMMI dan dikhawatirkan akan
International Electrotechnical Commission mengganggu kerahasiaan (confidentiality),
(IEC) 27001: 2013 yang memiliki sifat kontrol keutuhan (integrity), dan ketersediaannya
secara spesifik. Perancangan SMKI pada (availability) data dan informasi.
penelitian ini mengacu kepada standar SNI Berdasarkan kondisi real permasalahan
ISO/IEC 27001:2013, menggunakan dokumen TIK di UMMI langkah pertama adalah
tingkat 1 kebijakan, penilaian risiko, ruang merancang perencanaan SMKI SNI ISO/IEC
lingkup, dan Statement Of Applicability (SOA) 27001:2013, mengimplementasikan dan
dan dokumen tingkat 2 yang berisi prosedur mengukur keefektifan implementasi SNI
keamanan informasi. ISO/IEC 27001:2013 di UMMI. Sesuai dengan
Menurut Sarno dan Iffano (2009), SNI hasil observasi dan wawancara dengan
ISO/IEC 27001 merupakan standar Kepala Sistem Informasi Manajemen, UMMI
internasional yang fleksibel karena memiliki rencana di tahun 2017 untuk
pengembangannya tergantung pada membuat blueprint SMKI yang menggunakan
kebutuhan, tujuan, dan persyaratan keamanan standar SNI ISO/IEC 27001:2013, maka dari
organisasi, serta menyediakan sertifikat itu demi berjalannya rencana tersebut perlu
implementasi SMKI yang diakui secara dilakukan sebuah penelitian tentang
nasional dan internasional yang disebut perencanaan SMKI menggunakan SNI
Information Security Management System ISO/IEC 27001:2013 yang bertujuan untuk
(ISMS). Tiga unsur utama dalam konteks menghasilkan blueprint, prosedur, dan
keamanan informasi yang harus dilindungi kebijakan yang berkaitan dengan SMKI, dalam
menurut SNI ISO/IEC 27001:2013 yaitu, mencegah dan menanggulangi ancaman,
kerahasiaan (menjamin kerahasiaan data dan risiko, dan serangan yang akan mengganggu
informasi), keutuhan (menjamin data dan kerahasiaan, merusak keutuhan, dan
informasi utuh), dan ketersediaan (menjamin mengganggu ketersediaan data dan informasi
data dan informasi selalu tersedia). SMKI yang yang dimiliki UMMI.
menggunakan standar SNI ISO/IEC 27001: Tujuan dari penelitian ini yaitu untuk
2013 dapat diterapkan pada sebuah mengetahui perencanaan SMKI menggunakan
organisasi, perusahaan, instansi standar SNI ISO/IEC 27001:2013 di UMMI.
pemerintahan, dan institusi pendidikan yang
menyelenggarakan TIK. Demikian pentingnya II. METODOLOGI
SMKI ini sehingga Kominfo menerbitkan Penelitian ini deskriptif kualitatif.
Peraturan Menteri Kominfo No. 4 Tahun 2016. Pengumpulan data melalui observasi dan
Bab III tentang SMKI Pasal 7. Berdasarkan wawancara.
hasil wawancara awal dengan Kepala Sistem
Informasi Manajemen UMMI didapatkan III. HASIL DAN PEMBAHASAN
informasi, sebagai berikut: a. Bagian Sistem Informasi Manajemen
1. E-Library dan OJS yang berbasis web (SIM)
memiliki celah kebocoran yang SIM adalah bagian pelaksana teknis di
menyebabkan sering terjadinya deface bidang pengolahan data, berada di bawah
web terhadap kedua sistem informasi tanggung jawab biro administrasi umum,
tersebut. keuangan dan SDM. SIM dipimpin oleh
2. UMMI belum menggunakan seorang kepala yang diangkat diantara tenaga
standardisasi SNI ISO/IEC akademik atau tenaga ahli komputer ataupun
27001:2013. ahli teknologi informasi yang ada di lingkungan
3. UMMI belum memiliki dokumen UMMI. SIM mempunyai tugas mengumpulkan,
blueprint manajemen keamanan mengolah, menyajikan, dan menyimpan data
informasi serta tata kelola teknologi informasi serta memberikan pelayanan dalam
informasi, sehingga perencanaan bidang pendidikan, penelitian, pengabdian
keamanan dan tata kelola informasi kepada masyarakat, pelatihan dan kerjasama.
tidak terarah.
Dari hasil wawancara diatas, bahwa UMMI b. Penentuan Ruang Lingkup
belum memiliki blueprint manajemen

38
 Jurnal Informatika – COMPUTING Volume 06 Nomor 02, Desember 2019: 37-41
ISSN: 2656 – 3861

Universitas Muhammadiyah Penilaian risiko (risk assesment)

berkomitmen untuk mengelola, menjaga merupakan langkah dari proses manajemen
dan melindungi aset perangkat TI risiko dengan bertujuan untuk mengetahui
yang merupakan bagian dari proses ancaman (threat) dari luar yang berpotensi
sistem informasi dari berbagai insiden mengganggu keamanan informasi pada
maupun ancaman yang mungkin terjadi. Universitas dan potensial kelemahan
Universitas Muhammadiyah menyetujui (vulnerability).
untuk membangun SMKI berbasis Nilai dari masing-masing aset yang
Manajemen Risiko dengan mengacu diperoleh dari hasil wawancara dan observasi,
kepada standar S N I ISO/IEC 27001 disajikan pada tabel berikut.
dan S N I ISO/IEC 27005. Adapun Tabel 1. Kategori Aset
ruang lingkup perancangan SMKI No. Kategori Aset Nama Aset
mencakup pengelolaan keamanan aset 1 Informasi • Data akademik
dan Infrastruktur Teknologi Informasi yang • Topologi jaringan
terdiri dari : • Platform hardware & software
a. Data dan Dokumen • Aplikasi
Meliputi data atau file penting yang • Data karyawan & dosen
tersimpan di komputer dan basis • SDM
data, maupun berkas fisik lainnya 2 Layanan dan • Internet (Asti Net)
yang terdokumentasi secara real. aplikasi • Sistem informasi akademik
b. Perangkat keras (Hardware) dan • Server (Mail, Web, Elearning,
Jaringan Database, DNS, Proxy,
Meliputi perangkat komputer, Firewall, RADIUS, FTP,
Repository)
perangkat jaringan dan komunikasi,
• PHP, Mysql
dan perangkat pendukung lainnya. • Sistem Operasi (Linux, Free
c. Perangkat lunak (Software) BSD, Windows)
Meliputi perangkat sistem operasi, 3 Sumber Daya • Rektor
perangkat lunak sistem aplikasi dan Manusia (SDM) • Dekan
basis data serta perangkat bantu • Direktur
pengembangan sistem. • Kepala Program Studi
d. Sumber daya manusia • Kepala Bagian
Meliputi personil (karyawan) • Dosen
perusahaan, pihak mitra ketiga dan • Karyawan
pihak umum yang menjadi user • Programmer
pengguna aplikasi. • Network Administrator
Aset informasi pada Universitas • Pengembang
Muhammadiyah Sukabumi meliputi: • Maintenance
Organisasi dan lokasi, Asset (data dan
informasi, software, hardware, perangkat Tabel 2. Nilai Aset
jaringan dan komunikasi, fasilitas pendukung, Kriteria Nilai Aset
dan sumber daya manusia). No Aset (NC+NI+NV)
NC NI NV 3
Kebijakan pengendalian hak akses
meliputi: akses logic dan fisik terhadap 1 Server 1 3 3 2,3
informasi dan fasilitas sistem informasi yang Software 1 1 1 1
2
dikelola UMMI dalam menyelenggarakan
pendidikan dan pengaksesan melalui media 3 Hardware 1 1 1 1
teknologi informasi dan sistem informasi. Jaringan 1 1 1 1
Proses manajemen risiko yang akan 4
diberlakukan secara berkelanjutan Data 2 1 1,3
5
menggunakan siklus Plan-Do-Check-Act Akademik
(PDCA) pada SNI ISO/IEC 27001, yaitu: . Sistem
Plan (Establish the Management System), Do 6 Informasi 1 1 1 1
Akademik
(Implement and Operate the Management
7 SDM 2 1 1 1,3
System), Check (Monitor and Review the
Manajemen System), dan Act (Maintain and 8 Aplikasi 1 3 3 2,3
Improve the Management System).
Data
9 Karyawan 2 1 1 1,3
c. Penilaian Risiko dan Dosen

39
 Jurnal Informatika – COMPUTING Volume 06 Nomor 02, Desember 2019: 37-41
ISSN: 2656 – 3861

Berdasarkan dari tabel diatas dapat diperlukan manajemen keamanan informasi

disimpulkan bahwa semua aset memerlukan dan penentuan kontrol akses yang tepat guna
perlindungan menyeluruh. Akan tetapi, menunjang pencapaian tujuan yang telah
kebutuhan keamanan yang paling dominan ditetapkan oleh Universitas Muhammadiyah
terdapat pada aset server, aset jaringan, dan Sukabumi.
sistem akademik dengan skor nilai aset (NA) 3 Berdasarkan hasil observasi didapat
paling tinggi, sehingga harus dijamin aspek bahwa semua aset memerlukan perlindungan
keamanan informasi yang meliputi menyeluruh. Akan tetapi, kebutuhan
kerahasiaan, keutuhan, dan ketersediaan. keamanan yang paling dominan terdapat pada
d. Identifikasi Risiko aset server, aset jaringan, dan sistem
Tabel 3. Identifikasi Risiko akademik yang mengharuskan adanya
Rata-rata jaminan untuk aspek keamanan informasi.
No. Kejadian Jenis Probabilitas Probabilita
s IV. KESIMPULAN DAN SARAN
Gangguan Vulnerab KESIMPULAN
1 Low 0,1
Sumber Daya le
Berdasarkan hasil penelitian, maka dapat
Gangguan Vulnerab ditarik kesimpulan sebagai berikut:
2 Medium 0,4
Hardware le 1. Universitas Muhammadiyah telah
Gangguan Vulnerab melakukan dokumentasi terhadap
3 Medium 0,4
Software le kebijakan dan keamanan informasi
4 Virus Attack Threat High 0,7 untuk menanggulangi insiden pihak
luar, tetapi pencatatan tersebut belum
5 Hacker Threat Medium 0,4 mencakup penerapan Kontrol
Keamanan Informasi organisasi.
6 Akses illegal Threat Medium 0,4 2. Pembuatan SMKI menghasilkan 2
(dua) dokumen, yaitu dokumen yang
7 Fault logging Threat Medium 0,4
meliputi kebijakan, penilaian risiko,
Jumlah ruang lingkup, dan Statement Of
Jumlah Ancaman 7 Rata-rata 2,8 Applicability (SOA) serta dokumen 2
Probabilitas (dua) yang berisi prosedur keamanan
informasi.
Berdasarkan hasil dari perhitungan SARAN
nilai ancaman diperoleh nilai rerata Berdasarkan kesimpulan, maka saran
probabilitas yaitu 0,4 yang diklasifikasikan yang dapat diberikan untuk penelitian ini
dengan nilai Medium. adalah sebagai berikut:
Universitas Muhammadiyah Sukabumi 1. Universitas Muhammadiyah hendaknya
belum menyusun kebijakan keamanan memelihara dan tetap melakukan
informasi sehingga diperlukannya evaluasi terhadap kontrol keamanan
perencanaan security policy. Selain itu, pada informasi yang sudah ada.
organizational security belum ada kerjasama 2. Harus ada operator khusus untuk di
terhadap pihak ketiga. Pada Physical perpustakaan, untuk menginput Jurnal.
Environmental Security belum diterapkan 3. Klausul yang digunakan dalam
otorisasi manajemen tertulis untuk membawa penelitian ini adalah klausul kelompok
peralatan, data, atau software ke luar lokasi. teknikal yang ditentukan berdasarkan
Sedangkan pada Communication and abstraksi permasalahan yang
Operations Management belum menerapkan ditemukan di lingkungan perusahaan,
prosedur untuk merekam Logging Fault yang oleh karena itu diharapkan pada
dilaporkan oleh user tentang masalah yang pengembangan penelitian selanjutnya
mereka temukan pada komputer atau sistem dapat lebih dilengkapi dengan
komunikasi. Pada access control belum ada menggunakan Klausul lainnya yang
manajemen password resmi untuk mengontrol mencakup pembahasan yang lengkap.
password yang bisa mengancam kerahasiaan .
informasi. Selain itu belum disusun kebijakan
mengenai mobile computing dan teleworking. DAFTAR PUSTAKA
Pada system development dan maintenance Andi Rafiandi, M. Hadi Cahyono. 2010. Jurus
belum tersedia kontrol modifikasi software dari Sukses Sertifikasi ISO 27001, Andita
pihak vendor dan terbukanya jalur gelap Publishing.
(convert channel). Dari masing-masing Aprian, Rosmiani, Syahril Rizal, Muhammad
assessment checklist yang diperoleh maka Sobri. 2015. Perencanaan Sistem

40
 Jurnal Informatika – COMPUTING Volume 06 Nomor 02, Desember 2019: 37-41
ISSN: 2656 – 3861

Manajemen Keamanan Informasi Sarno, R. dan Irsyat Iffano. 2009. Sistem

Menggunakan Standar ISO Manajemen Keamanan Informasi
27001:2013 Studi Kasus: Universitas Berbasis ISO 27001. Surabaya: ITS
Bina Darma Palembang. Palembang: Press.
Jurnal Informatika, Universitas Bina Sugiyono. Edisi 16. 2013. Metode Penelitian
Darma Palembang. Pendidikan Pendekatan Kuantitatif,
Badan Standarisasi Nasional Indonesia. Kualitatif, dan R&D. Bandung:
Teknologi Informasi - Teknik Alfabeta.
Keamanan - Sistem Manajemen Undang-Undang Republik Indonesia Nomor 11
Keamanan Informasi - Persyaratan. Tahun 2008 Jo Undang-Undang
(SNI ISO/IEC 27001:2013. IDT). Nomor 19 Tahun 2016 Tentang
Badan Standarisasi Nasional Indonesia. Informasi dan Transaksi Elektronik.
Teknologi Informasi - Teknik Utomo, Ali, dan Affandi 2012. Pembuatan Tata
Keamanan - Manajemen Risiko Kelola Keamanan Informasi Kontrol
Keamanan Informasi. (SNI ISO/IEC Akses Berbasis SNI ISO/IEC
27005:2011. IDT). 27001:2005.
Direktorat Keamanan Informasi. 2011. Wheeler, E., 2011. Security Risk Mangement,
Panduan Penerapan Tata Kelola Elsevier, Inc.
Keamanan Informasi Bagi Widodo, Isnanto, dan Rochim. 2013.
Penyelenggara Pelayanan Publik : Perencanaan dan Implementasi
Edisi 2.0, Direktorat Keamanan Sistem Manajemen Keamanan
Informasi Kementrian Komunikasi Informasi Berdasarkan Standar
dan Informatika Republik Indonesia. ISO/IEC 27001:2005.
Elia Setiana. 2015. Perancangan Keamanan
Sistem Jaringan Pada Perusahaan
Efek (Studi Kasus: PT. Reliance
Securities)
http://perpustakaan.ummi.ac.id
Downloaded at Februari, 7 2017,
20:20 AM.
http://perpustakaan.ummi.ac.id/layanan/detail/
6-ejournal
Downloaded at Februari, 7 2017,
20:30 AM.
https://www.edrawsoft.com/template-pdca-
cycle-model.php
Downloaded at Januari, 24 2017, 9:30
AM.
Hutahaean Jeperson. 2014. Konsep Sistem
Informasi. Penerbit Deepublish.
Yogyakarta.
Jayawardhana, R., & Tamura, M., Substellar
Objects in Nearby Young Clusters
(SONYC). V. New Brown Dwarfs in
Ophiuchi, ApJ, 744, 134 (01/2012).
Kominfo (2016). Peraturan Menteri Komunikasi
dan Informatika Republik Indonesia
Nomor 4 Tahun 2016 tentang Sistem
Manajemen Keamanan Informasi.
Jakarta: Tim Direktorat Keamanan
Informasi.
Ratna, Nyoman Kutha. 2010. Metodologi
Penelitian: Kajian Budaya dan Ilmu
Sosial Humaniora Pada Umumnya.
Pustaka Pelajar : Yogyakarta.
Richardus Eko Indrajit, Kerangka Standar
Keamanan Infomasi [online].
Available:http://www.idsirtii.or.id/doc/ID
SIRTII-Artikel-pengantar_ISO.pdf

41