EVALUASI MANAJEMEN RISIKO KEAMANAN

INFORMASI DENGAN MENGGUNAKAN METODE

NIST SP 800-30
(Studi Kasus: PT. X)

TUGAS AKHIR

Diajukan guna memenuhi sebagian persyaratan dalam rangka menyelesaikan

Pendidikan Sarjana Strata Satu (S1) Program Studi Teknologi Informasi

I GUSTI NGURAH MADE PUTRA ERYAWAN

NIM : 1605552008

PROGRAM STUDI TEKNOLOGI INFORMASI

FAKULTAS TEKNIK
UNIVERSITAS UDAYANA
2021
PERNYATAAN

ii
LEMBAR PENGESAHAN

iii
BERITA ACARA TUGAS AKHIR

iv
 KATA PENGANTAR

Puji dan syukur penulis panjatkan kehadapan Ida Sang Hyang Widhi
Wasa/Tuhan Yang Maha Esa, karena atas Asung Kerta Wara Nugraha-Nya,
penulis dapat menyelesaikan tugas akhir dengan judul “Evaluasi Manajemen
Risiko Keamanan Informasi Dengan Menggunakan Metode NIST 800-30”.
Selama pelaksanaan tugas akhir ini penulis mendapat banyak masukan dan
bimbingan dari berbagai pihak. Untuk itu, penulis ingin mengucapkan rasa terima
kasih kepada:
1. Bapak Prof. Ir. Ngakan Putu Gede Suardana, M.T., Ph.D., selaku Dekan
Fakultas Teknik Universitas Udayana.
2. Bapak Dr. I Made Oka Widyantara, ST., MT., selaku Program Studi
Teknologi Informasi Universitas Udayana.
3. Bapak Gusti Made Arya Sasmita, ST., MT., selaku Dosen Pembimbing I
dan Bapak Anak Agung Ketut Agung Cahyawan Wiranatha, ST, MT.,
selaku Dosen Pembimbing II yang telah banyak memberikan masukan dan
bimbingan kepada penulis dalam penyelesaian Tugas Akhir.
4. Bapak Prof. Dr. I Ketut Gede Darma Putra, S.Kom., M.T., selaku dosen
pembimbing akademik, yang telah memberikan bimbingan selama
menempuh pendidikan di Jurusan Teknologi Informasi Fakultas Teknik
Universitas Udayana.
5. Kedua orang tua dan keluarga yang telah memberikan dukungan dan
motivasi dalam pembuatan Tugas Akhir ini
6. Semua pihak yang tidak dapat disebutkan namanya satu per satu yang
telah membantu memperlancar penyusunan laporan ini.
Penulis menyadari bahwa tugas akhir ini masih jauh dari sempurna. Akhir
kata penulis memohon maaf jika ada kesalahan dalam penulisan tugas akhir ini..

Denpasar, Mei 2021

v
 Putra Eryawan

vi
 ABSTRAK

Keamanan informasi merupakan aspek vital yang harus diperhatikan dalam

penggunaan perangkat teknologi informasi oleh pengguna aktif melalui alat
komunikasi dan informasi. Perusahaan PT. X menjalankan proses bisnis untuk
mewujudkan Good Corporate Governance dengan menerapkan sistem teknologi
informasi. Aset sistem yang dimiliki meliputi infrastruktur TI, sistem informasi,
operasi prosedur, infrastruktur jaringan sebagai komponen yang terbentuk
menjadi teknologi informasi. Aset teknologi informasi memiliki potensi ancaman
risiko yang menyebabkan kerusakan menghasilkan kerugian yang berdampak
pada perusahaan PT. X. Masalah ini timbul untuk dilakukan menanggulangi pada
tindakan responsif awal dengan manajemen risiko. Pemilihan kerangka kerja
dengan menggunakan NIST SP 800-30, dipilih metode memiliki penilaian risiko
yang fleksibel disesuaikan situasi perusahaan dan telah berstandar National
Institute of Standards and Technology. Penelitian diawali tahap penilaian risiko
pada proses karakteristik sistem, identifikasi ancaman, identifikasi kerentanan,
analisis kontrol, penentuan kecenderungan, penentuan dampak, analisis risiko,
rekomendasi kontrol. Tahap mitigasi untuk menentukan proses prioritas aksi,
pemilihan opsi kontrol, analisis cost-benefit, penugasan tanggung jawab. Hasil
penelitian berdasarkan empat aset menunjukkan bahwa jumlah nilai risiko melalui
perhitungan matriks likelihood dan impact terhadap ancaman yaitu tertinggi pada
level low senilai 14, medium senilai 12, dan high senilai 4 tingkat level risiko
mendominasi pada level baik. Tahap mitigasi dan evaluasi diwujudkan
rekomendasi kontrol dalam dokumen laporan manajemen risiko.

Kata Kunci: Manajemen Risiko, Keamanan Informasi, NIST SP 800-30, Sistem

Informasi, Risk.

vii
 ABSTRACT

Information security is a vital aspect that must be considered in the use of

information technology devices by users of communication and information
devices. PT. X runs business processes to realize Good Corporate Governance by
implementing information technology systems. System assets that contain IT
infrastructure, information systems, operating procedures, network infrastructure
as components that are formed into information technology. Information
technology assets have potential risks that cause damage to the company PT. X.
This problem arises to be overcome in the initial responsive actions with risk
management. The selection of work options using NIST SP 800-30, choosing
methods that have trends that are tailored to the company and have standardized
the National Institute of Standards and Technology. The research begins with the
risk stage in the process of analyzing threats, vulnerabilities, determining trends,
impacts, risk analysis, and risk analysis. Mitigation stage to determine priority
processes, selection of control options, cost-benefit analysis, assignment of
responsibilities. The results of the research based on four assets show that the
total risk value through the calculation of the likelihood and impact matrix on the
threat is the highest at low level at 14, medium at 12, and high at 4 levels, the risk
level dominates at a good level. The mitigation and evaluation stages are
embodied in control recommendations in the risk management report document.

Keywords: Risk Management, Information Security, NIST SP 800-30, Information

Systems, Risk.

viii
 DAFTAR ISI

HALAMAN SAMPUL............................................................................................i
PERNYATAAN......................................................................................................ii
LEMBAR PENGESAHAN..................................................................................iii
BERITA ACARA TUGAS AKHIR.....................................................................iv
KATA PENGANTAR............................................................................................v
ABSTRAK.............................................................................................................vi
ABSTRACT..........................................................................................................vii
DAFTAR ISI.......................................................................................................viii
DAFTAR GAMBAR..............................................................................................x
DAFTAR TABEL.................................................................................................xi
BAB I PENDAHULUAN.......................................................................................1
1.1 Latar Belakang..................................................................................................1
1.2 Rumusan Masalah.............................................................................................3
1.3 Tujuan...............................................................................................................3
1.4 Manfaat.............................................................................................................3
1.5 Batasan Masalah...............................................................................................4
1.6 Sistematika Penulisan.......................................................................................4
BAB II TINJAUAN PUSTAKA............................................................................6
2.1 State Of The Art...............................................................................................6
2.2 Profil dan Sejarah Perusahaan........................................................................10
2.2.1 Visi dan Misi Perusahaan.....................................................................10
2.2.2 Struktur Organisasi Perusahaan...........................................................11
2.2.3 Pembagian Tugas.................................................................................12
2.3 Risiko..............................................................................................................13
2.4 Manajemen Risiko..........................................................................................14
2.3.1 Risk Assessment....................................................................................15
2.3.2 Identifikasi Risiko................................................................................15
2.3.3 Pemilihan Kontrol................................................................................15
2.3.4 Implementasi Testing...........................................................................15
2.3.5 Evaluasi Kontrol..................................................................................16
2.5 Identifikasi Ancaman......................................................................................16
2.5.1 Natural Threat......................................................................................16
2.5.2 Human Error........................................................................................16
2.6 Informasi.........................................................................................................16
2.7 Keamanan Informasi.......................................................................................17
2.8 Manajemen Risiko Keamanan Informasi........................................................18
2.9 Framework Manajemen Risiko.......................................................................18
2.9.1 NIST SP 800-30...................................................................................18
2.9.2 Perbandingan Metode Manajemen Risiko...........................................24
BAB III METODELOGI.....................................................................................26
3.1 Metodologi Penelitian.....................................................................................26
3.2 Studi Kepustakaan..........................................................................................28
3.3 Teoretis Framework........................................................................................28
3.4 Pola Tahapan Metode NIST SP 800-30..........................................................28

ix
 3.4.1 Penilaian Risiko (Risk Assessment)......................................................29
3.4.2 Mitigasi Risiko (Risk Mitigation)........................................................35
3.4.3 Laporan Akhir Manajemen Risiko.......................................................37
3.5 Jadwal Kegiatan Penelitian.............................................................................38
BAB IV PEMBAHASAN.....................................................................................39
4.1 Identifikasi Kondisi Existing Organisasi........................................................39
4.2 Penilaian Risiko..............................................................................................41
4.2.1 Karakterisasi Sistem (System Characterization)..................................41
4.2.2 Identifikasi Ancaman (Threat Identification)......................................47
4.2.3 Identifikasi Kerentanan (Vulnerability Identification).........................49
4.2.4 Analisis Kontrol (Control Analysis)....................................................54
4.2.5 Penentuan Kecenderungan (Likelihood)..............................................59
4.2.6 Penentuan Analisis Dampak (Impact Analysis)...................................63
4.2.7 Penentuan Risiko (Risk Determination)...............................................66
4.2.8 Rekomendasi Kontrol (Control Recommendations)............................70
4.3 Mitigasi Risiko................................................................................................74
4.1 Prioritas Aksi dan Pemilihan Opsi Kontrol..........................................74
4.2 Analisis Cost Benefit dan Penanggung Jawab.....................................77
4.3 Rencana Implementasi Keamanan.......................................................77
4.4 Laporan Akhir Manajemen Risiko..................................................................93
BAB V PENUTUP................................................................................................94
5.1 Kesimpulan.....................................................................................................94
5.2 Saran...............................................................................................................95
DAFTAR PUSTAKA...........................................................................................96
LAMPIRAN..........................................................................................................98

x
 DAFTAR GAMBAR

Gambar 2.1 Struktur Organisasi PT. X................................................................11

Gambar 3. 1 Tahapan Metode..............................................................................27
Gambar 3. 2 Penilaian Risiko (Risk Assessment) Framework NIST SP 800- 30.29
Gambar 3. 3 Mitigasi Risiko (Risk Mitigation) Framework NIST SP 800-30
..........................................................................................................................35YY
Gambar 4. 1 Gambaran Modul Sistem Informasi Aplikasi Zeta..........................42
Gambar 4. 2 Konsep Sistem Navision DIS dan Zeta..........................................43
Gambar 4. 3 Topologi Jaringan Kantor Perusahaan PT. X..................................46
Gambar 4. 4 Hasil Penentuan Likelihood Aset.....................................................62
Gambar 4. 5 Hasil Total Penentuan Likelihood....................................................62
Gambar 4. 6 Hasil Penentuan Impact Aset...........................................................65
Gambar 4. 7 Hasil Total Penentuan Impact..........................................................66
Gambar 4. 8 Hasil Penentuan Risk Aset...............................................................69
Gambar 4. 9 Hasil Total Penentuan Risk..............................................................70
Gambar 4. 10 Hasil Penentuan Opsi Mitigasi Aset..............................................76
Gambar 4. 11 Hasil Total Penentuan Opsi Mitigasi.............................................76
 DAFTAR TABEL

YTabel 2. 1 Topik rencana dan prosedur penilaian NIST SP 800-53A Rev. 4.........
Tabel 2. 2 Katalog Topik Kontrol NIST SP 800-53 Rev. 4..................................22
Tabel 2. 4 Perbandingan Metode Manajemen Risiko Keamanan 24

Tabel 3. 1 Penilaian Topik NIST SP 800-53A Rev. 4..........................................31

Tabel 3. 2 Level Likelihood...................................................................................32
Tabel 3. 3 Level Impact.........................................................................................33
Tabel 3. 4 Matriks Level Risk (Risk Determination).............................................33
Tabel 3. 5 Rekomendasi Topik Kontrol NIST SP 800-53A Rev. 4......................34
Tabel 3. 6 Jadwal Kegiatan Penelitian...............................................................38Y
Tabel 4. 1 Karakteristik Perangkat Keras..............................................................41
Tabel 4. 2 Privileges Member Zeta.......................................................................44
Tabel 4. 3 Klasifikasi Identifikasi Ancaman.........................................................48
Tabel 4. 4 Question List Code Self-Assessment NIST SP 800-53A Revision 4....50
Tabel 4. 5 Identifikasi Kerentanan........................................................................52
Tabel 4. 6 Analisis Kontrol Ancaman...................................................................55
Tabel 4. 7 Nilai level Kecenderungan (Likelihood)..............................................59
Tabel 4. 8 Level Likelihood Ancaman...................................................................60
Tabel 4. 9 Rekap Nilai Level Likelihood...............................................................61
Tabel 4. 10 Nilai Level Analisis Dampak (Impact Analysis)................................63
Tabel 4. 11 Tingkat Dampak Ancaman.................................................................64
Tabel 4. 12 Rekap Nilai Level Impact...................................................................65
Tabel 4. 13 Matriks Level Risk (Risk Determination)...........................................66
Tabel 4. 14 Level Tindakan Strategi Risiko..........................................................67
Tabel 4. 15 Level Risk Treat..................................................................................68
Tabel 4. 16 Rekap Nilai Level Risk.......................................................................69
Tabel 4. 17 Topik Kelompok Rekomendasi Kontrol NIST SP 800-53 Rev. 4....70
Tabel 4. 18 Rekomendasi Kontrol (Control Recommendations)..........................72
Tabel 4. 19 Rekap Opsi Kontrol Mitigasi Level Risiko........................................75
Tabel 4. 20 Rencana Implementasi Keamanan Mitigasi.......................................79
 BAB I
PENDAHULUAN

Bab I merupakan bab tentang pendahuluan yang memaparkan mengenai

latar belakang, rumusan masalah, tujuan, manfaat, batasan masalah, dan
sistematika pembahasan dari penelitian.
1.1 Latar Belakang
Informasi di era globalisasi kini yang semakin berkembang, semakin
berpacu dengan perkembangan teknologi yang terus berjalan. Penggunaan yang
dilakukan dengan serba cepat dan instan ini, manusia diharapkan mengikuti tren
dunia arus teknologi informasi untuk tidak tertinggalnya informasi yang kian
makin mudah didapatkan. Hal ini diindikasi bahwa semakin banyak individu
maupun organisasi yang mengandalkan SI/TI sebagai bagian dari kebutuhan
sehari-hari untuk menunjang berbagai macam tujuan baik untuk komunikasi,
sistem pelayanan online, bisnis online, maupun kebutuhan akan informasi.
(Purnawan, 2015) Maka faktor keamanan merupakan hal yang cukup serius
diperhatikan yang menyangkut keamanan informasi. Hal ini berlaku
diterapkannya sistem manajemen risiko keamanan informasi pada data sebagai
antisipasi utama keselamatan tata kelola pada infrastruktur penunjang teknologi
informasi serta pengguna.
Organisasi dalam suatu perusahaan diharapkan memiliki proses pelayanan
yang efektif, cepat, akuntabilitas, pertanggungjawaban, independensi, dan
kewajaran yang di tunjukan pada penguatan infrastruktur, restrukturisasi internal
yang mengarah kepada praktik terbaik, penyesuaian dan pembaharuan sistem dan
prosedur yang diperlukan untuk mendukung pelaksanaan Good Corporate
Governance (GCG). Dukungan melalui penerapan pelayanan menggunakan
sistem informasi pada setiap pelaksanaannya untuk manajemen operasional
perusahaan.
Manajemen operasional melalui infrastruktur tata kelola perusahaan
tentunya terdapat pula infrastruktur manajemen keamanan terhadap akses kontrol
yang masih minim dipantau, sehingga memungkinkan sewaktu-waktu terjadinya
ancaman secara tiba-tiba tanpa bisa diperkirakan melalui ancaman internal bahkan
eksternal. Internal dapat terjadi pada infrastruktur keamanan yang minim dengan
kebebasan orang memperoleh informasi rahasia perusahaan yang bersifat terbatas
melalui pembelajaran informasi pemahaman tentang TI, sehingga muncul para
hacker dan cracker yang berpotensi menyerang sistem publik.(David Purba, Adi
Purnawan and Agus Eka Pratama, 2018) Serta eksternal dapat terjadi dipengaruhi
oleh faktor alam maupun manusia tersendiri, hal ini pada seperti kebakaran,
gempa bumi, tanah longsor dan lain sebagainya.
Menurut Sarno dan Iffano (Herman Afandi, 2015), tidak ada acuan baku
mengenai standar apa yang akan digunakan atau dipilih untuk perusahaan dalam
pelaksanaan audit TI serupa pada hal melalui manajemen risiko keamanan
informasi sehingga dilihat berdasarkan aspek sesuai kebutuhan penyelidik.
Evaluasi dalam pemilihan kontrol manajemen keamanan informasi harus memiliki
kehandalan yang tinggi, agar dapat mengurangi dan meminimalisasi risiko atas
kerugian yang mungkin timbul, terkait dengan penggunaan data terhadap
informasi. Penentuan kebijakan sebagai penilaian tolak ukur nilai terhadap
keamanan informasi, berdasarkan manajemen risiko keamanan informasi dan
strategi untuk menurunkan risiko melalui analisis terhadap risiko itu sendiri.
(Wahyuningtyas et al., 2019)
Metode yang dapat digunakan untuk menganalisis risiko pada manajemen
keamanan informasi adalah NIST 800-30. Pilihan metode NIST 800-30
merupakan penentuan penilaian risiko dalam melakukan manajemen risiko untuk
memperoleh saran rekomendasi dari hasil temuan risiko yang cukup kompleks
dan fleksibel. Aspek hasil tahapan analisis risiko ini akan mendapatkan sebuah
temuan dan rekomendasi diharapkan yang dapat mengukur tingkat kecenderungan
risiko dari aspek keamanan guna sebagai pengembangan, perbaikan, dan evaluasi
ke depannya.
Berdasarkan latar belakang diatas, maka penelitian ini akan membahas
evaluasi manajemen risiko dengan judul “Evaluasi Manajemen Risiko Keamanan
Informasi Menggunakan Metode NIST 800-30 di studi kasus di perusahaan PT.
X”.

1.2 Rumusan Masalah

Berdasarkan uraian latar belakang di atas maka dapat diperoleh rumusan
masalah diperoleh adalah sebagai berikut.
1. Bagaimana analisis evaluasi risiko manajemen risiko keamanan informasi
dengan menggunakan metode NIST SP 800-30 di perusahaan PT. X.
2. Bagaimana mengukur penilaian level risiko terhadap sistem informasi di
perusahaan PT. X.
3. Bagaimana memberikan rekomendasi berdasarkan hasil temuan guna
evaluasi dan pengembangan keamanan informasi.

1.3 Tujuan
Tujuan yang hendak dicapai dalam pelaksanaan penelitian ini adalah
sebagai berikut.
1. Melakukan proses evaluasi manajemen risiko keamanan informasi di
perusahaan PT. X menggunakan metode kerangka kerja NIST SP 800-30.
2. Mengetahui penilaian level risiko pada temuan dari keamanan sistem
informasi di perusahaan PT. X.
3. Menyusun temuan-temuan pada proses manajemen risiko menjadi laporan
hasil manajemen risiko yang berupa kesimpulan dan rekomendasi.

1.4 Manfaat
Penelitian ini diharapkan dapat memberi manfaat bagi pihak yang
berkepentingan, adapun manfaat yang diharapkan diantara lain.
1. Bagi penulis, penelitian ini dapat menambah pengetahuan dan pengalaman
secara praktik dalam bidang analisis IT Security Audit keamanan
informasi, serta sesuatu tantangan untuk menyelesaikan ujian dari ilmu
yang diperoleh selama masa perkuliahan.
2. Bagi akademik, penelitian dapat digunakan sebagai salah satu acuan dalam
keberhasilan proses belajar mengajar pada perkuliahan sehingga dapat
digunakan sebagai referensi penelitian lebih lanjut yang berkaitan dengan
studi IT Security Audit yang dibahas pada laporan ini.
3. Bagi perusahaan, penelitian dapat dijadikan sebagai referensi
pertimbangan untuk menerapkan model keamanan informasi yang baik
pada perusahaan PT. X sehingga dapat sebagai acuan evaluasi
pengembangan dan perbaikan ke depannya dari segi sistem dan
implementasi terhadap ancaman risiko.

1.5 Batasan Masalah

Batasan masalah diperlukan agar ruang lingkup pembahasan dalam
penelitian menjadi lebih jelas, fokus, dan spesifik. Batasan masalah dalam
penelitian ini adalah sebagai berikut.
1. Pemilihan ruang lingkup manajemen risiko dilakukan berdasarkan metode
kerangka kerja NIST SP 800-30.
2. Penilaian kuesioner risiko kontrol keamanan informasi sistem terhadap
perusahaan PT. X dengan pedoman NIST SP 800-53A Revision 4.
3. Strategi rekomendasi yang diberikan mengacu pada pedoman NIST SP
800-53 dengan pertimbangan document special publication melingkupi
NIST 800-30, NIST SP 800-53 Revision 4, dan NIST SP 800-53A
Revision 4.

1.6 Sistematika Penulisan

Sistematika penulisan yang dibuat agar penyajian laporan dapat terstruktur
serta mudah dipahami. Sistematika yang dilakukan dalam penulisan laporan tugas
akhir ini diatur dalam lima bab, diantaranya sebagai berikut.
Bab I : PENDAHULUAN
BAB I menjelaskan mengenai pendahuluan yang terkait dengan
penelitian yang berisikan latar belakang permasalahan, rumusan
 masalah, tujuan, manfaat penelitian, batasan masalah dan sistematika
penulisan.
Bab II : TINJAUAN PUSTAKA
Bab II berisi uraian teori yang dijadikan pondasi dalam pembuatan
laporan ini sebagai pendukung pembahasan dari masalah yang ada.
Landasan teori ini meliputi pembahasan latar belakang institusi,
pengertian manajemen risiko, pengertian keamanan informasi, dan
uraian dari berbagai kerangka kerja manajemen risiko NIST SP 800-30
serta teori-teori yang relevan yang digunakan untuk menunjang IT
Security Audit.
Bab III : METODOLOGI PENELITIAN
Bab III menjelaskan mengenai tempat dan waktu penelitian sumber data
dan metode pengumpulan data, metode analisis, alur analisis dan jadwal
penelitian dalam pembuatan dan penyusunan Tugas Akhir.
Bab IV : PEMBAHASAN
Bab IV berisi pembahasan mengenai hasil pemilihan lingkup analisa
evaluasi manajemen risiko berdasarkan NIST SP 800-30 dengan
pengukuran level risiko dan rekomendasi evaluasi pengembangan
perbaikan dengan pertimbangan NIST Special Publication 800-30,
NIST SP 800-53 Revision 4, NIST SP 800-53A Revision 4.
Bab V : PENUTUP
Bab V menguraikan hasil kesimpulan yang diperoleh dari hasil analisis
dan saran-saran guna mendukung perbaikan penelitian di masa yang
akan datang.
 BAB II
TINJAUAN PUSTAKA

Bab II merupakan tinjauan pustaka yang berisi referensi secara umum

sebagai dasar teori dalam penelitian yang bersumber dari jurnal, buku, maupun
internet secara lugas.
2.1 State Of The Art
Penelitian ini mengacu terhadap referensi terkait dengan penelitian yang
telah ada, dimana masing-masing penulis menggunakan metode penelitian
berbeda tergantung atas permasalahan yang dikaji. Berikut pustaka penelitian
yang digunakan dalam penelitian ini.
Penelitian jurnal dari International Journal of Recent Technology and
Engineering (IJRTE) berjudul “University Information System Security Risk
Assessment using NIST 800-30” karya pada september 2019 yang dilakukan oleh
Monika Evelin Johan, Moh. Fahrur Rizqon, dan Ir. Jarot S. Suroso M. Eng dari
Universitas Bina Nusantara. Penelitian yang berlatarbelakang sistem informasi
sebagai sarana mencapai tujuan misi untuk kebutuhan pengguna kampus, namun
seiring berjalannya masih mengalami masalah dalam penggunaan yang dapat
menimbulkan risiko, hal ini dilakukan pencegahan dengan membentuk
manajemen risiko dengan menggunakan standar NIST SP 800-30 sebagai
antisipasi kerugian. Manajemen risiko melalui proses wawancara bagian IT dan
operasional terkait dengan tahapan penilaian dengan 9 proses diantaranya
karakteristik sistem, identifikasi ancaman, kerentanan, analisis kontrol, penentuan
likelihood, analisis dampak, penentuan risiko, rekomendasi kontrol. Penekanan
pada tiap proses seperti wawancara identifikasi aset tersusun 6 aset primer dan 12
aset sekunder, penggunaan dokumen pendukung pedoman NIST SP 800-26, yang
tersusun 219 pertanyaan dalam menggali kerentanan sistem kontrol, daftar
ancaman disesuaikan dengan NIST SP 800-30. Penilaian likelihood dan impact
dengan probabilitas tingkatan dengan skala 3 level yaitu low, medium, high.
Penerimaan risiko menentukan putusan arah strategi pengolahan risiko dengan
rekomendasi NIST SP 800-53. Hasil perolehan teridentifikasi 32 skenario
termasuk dalam prioritas aksi dan pengolahan risiko. (Johan, Rizqon and Suroso,
2019)
Jurnal yang berjudul “Assessment IT Risk Management at The Computer
and Network Laboratory School” dari Journal of Informatics and
Telecommunication Engineering (JITE) karya Arlin Nurliyani, Dedy Syamsuar,
dan A. Haidar Mirza dari Universitas Bina Darma yang terbit pada Juli 2019.
Penelitian berlatarbelakang laboratorium teknik komputer dan jaringan sekolah di
SMK Negeri 3 OKU yang memiliki permasalahan, hal ini dilakukan assessment
IT risk management untuk mengetahui risiko terjadi dengan framework NIST SP
800-30 Revision 1 melalui analisis kualitatif wawancara dan observasi terhadap
responden terkait. Tahapan awal dilakukan penilaian dengan 5 proses yaitu
identifikasi sumber ancaman terjadi, identifikasi kerentanan, penentuan likelihood,
penentuan impact, dan penentuan risiko dengan memperhatikan aspek prepare for
assessment, conduct assessment, communicate result, dan maintain assessment.
Penekanan melalui wawancara ancaman dari jejak 5 responden pengelola
laboratorium dengan skala yang memiliki 5 level. Penentuan skala identifikasi
sumber ancaman, skala identifikasi kerentanan, identifikasi likelihood, skala
penentuan impact, dan skala risiko mengikuti skala 5 level yaitu sangat rendah,
rendah, sedang, tinggi dan sangat tinggi berdasarkan pedoman NIST SP 800-30
Rev. 1. Risiko yang muncul berdampak serius pada aset, organisasi dan kegiatan
di Laboratorium Teknik Komputer dan Jaringan Sekolah dengan skala sedang
yang teridentifikasi 16 sumber risiko. (Arlin Nurliyani. Dedy Syamsuar. Haidar
Mirza, 2019)
Penelitian Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
(J-PTIIK) dengan judul “Analisis Manajemen Risiko Sistem Informasi E-LKPJ
pada Dinas Komunikasi dan Informatika Provinsi Jawa Timur” karya Dian Ayu
Permatasari, Widhy Hayuhardhika Nugraha Putra, dan Andi Reza Perdanakusuma
yang terbit Juni 2019 dari Universitas Brawijaya. Penelitian yang berlatarbelakang
sistem E-LKPJ yaitu sistem pemerintahan pelaporan pertanggungjawaban kepada
Dewan Perwakilan Rayak Daerah (DPRD), hal ini Dinas Kominfo memberi
jaminan keamanan dalam menentukan potensi risiko sistem melalui manajemen
risiko audit minimal setahun sekali dengan menggunakan NIST SP 800-30.
Penelitian dengan menggunakan metode kualitatif melalui wawancara dalam
observasi untuk melalui 9 proses standar NIST SP 800-30 yaitu karakteristik
sistem, identifikasi ancaman, identifikasi kerentanan, analisa kontrol, penentuan
kemungkinan, analisis dampak, penentuan risiko, rekomendasi kontrol, dan
dokumentasi hasil. Hasil identifikasi ancaman yang bersumber dari listrik,
bencana alam, kebakaran, jaringan internet, kata sandi, dan sumber daya manusia.
Sedangkan, sumber ancaman yang memiliki potensi kerentanan yaitu listrik,
jaringan internet, kata sandi, dan sumber daya manusia. Penentuan risiko
menggunakan skala 3 level yaitu rendah, sedang, tinggi. Hasil risiko yang
diperoleh dari sumber daya manusia memiliki level risiko tinggi, kata sandi
memiliki level risiko sedang, serta listrik dan jaringan internet memiliki level
risiko rendah. Rekomendasi kontrol yang dihasilkan 15 rekomendasi berdasarkan
jenisnya diambil berdasarkan ISO 27001:2013, sebab DISKOMINFO Provinsi
Jawa Timur memiliki tim Sistem Manajemen Keamanan Informasi (SMKI)
berbasis SNI/IS0 27001:2013. (Permatasari et al., 2019)
Penelitian yang berjudul “Analisis Keamanan Dan Manajemen Resiko
Aset Informasi pada Sistem Informasi Akademik di Politeknik TEDC Bandung
Menggunakan Framework NIST SP 800-30” dari jurnal E-Journal
POLTEKTEDC yang terbit pada Mei 2019 karya Shandy Tresnawati dari
Politeknik TEDC Bandung. Penelitian yang dilatarbelakangi kejadian peristiwa
gangguan serangan, virus dan kegagalan server mendominasi 3 tahun terakhir
pada Sistem Informasi Akademik (SIAKAD) Politeknik TEDC Bandung.
Peruntukan ini dilakukan manajemen risiko dengan metode NIST SP 800-30
dengan 3 pendekatan yaitu risk assessment (penilaian risiko), risk mitigation
(mitigasi risiko) dan evaluation assessment (evaluasi). Penelitian melalui
wawancara dan observasi untuk dilakukan 3 pendekatan utama tahapan utama
penilaian risiko dengan 9 proses yaitu karakteristik sistem, identifikasi ancaman,
identifikasi kerentanan, analisa kontrol, penentuan likelihood, analisa dampak,
penentuan risiko. Tahap selanjutnya dilakukan tahapan risk mitigation dan
tahapan evaluasi. Penekanan terhadap peristiwa potensi ancaman berdasarkan
threat-source dari keadaan alam, manusia, dan lingkungan dan catatan peristiwa
kejadian. Perolehan risiko yang teridentifikasi senilai 11 risiko yang ditangani
dengan rekomendasi dari hasil analisa level risk dan ketersediaan kontrol saat ini.
(Tresnawati, 2019)
Jurnal Perbendaharaan, Keuangan Negara dan Kebijakan Publik Dari
Kementerian Keuangan dengan judul “Manajemen Risiko Keamanan Informasi
Pada Sistem Aplikasi Keuangan Tingkat Instansi (Sakti) Kementerian Keuangan”
karya Eko Supristiowadi dari Direktorat Jenderal Perbendaharaan dan Yudho Giri
Sucahyo dari Universitas Indonesia yang terbit pada Maret 2018. Penelitian yang
dilatarbelakangi Sistem Aplikasi Keuangan Tingkat Instansi (SAKTI) belum
memiliki perangkat yang dapat memastikan keberlangsungan dan ketersediaan
layanan SAKTI. Penelitian menggunakan standar utama yang diusulkan yaitu
NIST SP 800-30. Keluaran penelitian ini terdapat proses identifikasi risiko,
pemilihan kontrol untuk di mitigasi risiko, dan penerimaan risiko oleh pemilik
risiko. Penelitian yang melalui wawancara dan observasi terhadap kepala bidang
terkait Penekanan pada setiap proses kerangka kerja seperti identifikasi aset yang
teridentifikasi 14 aset primer dan 27 aset, kerentanan melalui pertanyaan NIST SP
800-26 sebanyak 219 pertanyaan, dan ancaman. Hasil risiko yang teridentifikasi
36 risiko yang tersusun tingkat kritis. Penanganan risiko bersifat preventif dan
detective dengan rekomendasi dengan menetapkan pihak yang bertanggung jawab
untuk mitigasi risiko yang ada. (Supristiowadi and Sucahyo, 2018)
Hasil dari penelitian ini dapat diketahui sejauh risiko ancaman yang
dihadapi pada peranan keamanan informasi dalam infrastruktur telah menunjukan
sebagian besar manajemen risiko telah diterapkan secara konsisten,
terdokumentasikan resmi, dan efektivitas pada kerangka kerja yang sudah disadari
oleh penanggung jawab yang terlibat. Berdasarkan penelitian tersebut, diperoleh
untuk pelaksanaan penelitian menggunakan metode NIST SP 800-30 pada
perusahaan PT. X sebagai evaluasi dalam meningkatkan kewaspadaan ancaman
risiko yang dihadapi pada teknologi informasi dalam mendukung sistem
keamanan informasi yang lebih baik di masa mendatang.
2.2 Profil dan Sejarah Perusahaan
PT. X merupakan distributor terkemuka di Bali, dengan menjadi pelopor
distribusi minuman bermerek nasional dan internasional sejak 10 Oktober 1978,
dimulai dari Kota Denpasar. PT. X terus memperluas pasar sampai ke Nusa
Tenggara Barat untuk memenuhi permintaan beverages tourist mancanegara.
Perusahaan yang dirintis pada PT. X saat ini sebagai kantor pusat yang
berada di Kota Denpasar yang memiliki pasar penjualan daerah Bali dan Nusa
Tenggara. Mitra principle sebagai pemasok produk dengan PT. X saling
berkesinambungan dalam mengembangkan distribusi dan pemasaran produk.
Produk utama Bir Bintang sebagai aset dagang utama dalam bisnis juga
terdapat aset produk lainnya yaitu diantaranya Heineken, Bintang Zero, Green
Sand dan Recharge. Penguatan usaha di Bali dengan bekerja sama dengan
produsen lain yaitu PT. Mayora Indah (Bengbeng, Biskuit Roma, Kopiko), PT
Frisian Flag Indonesia (Susu Bendera), PT. ABC President (Nu Green Tea dan
Mie ABC), PT. SATP (Minyak Sovia), Air Mineral Oasis,Teh Bandulan dan
Pronas. PT. X merupakan perusahaan lokal dengan mitra skala nasional dengan
suasana cita rasa budaya lokal.

2.2.1 Visi dan Misi Perusahaan

Pandangan tentang tujuan jangka panjang yang akan dicapai oleh
perusahaan PT. X melalui misi dari aktivitas yang dilakukan untuk mendukung
instansi hingga mencapai tujuannya. Adapun visi dari perusahaan PT. X memiliki
visi serta misi tersendiri yang dapat uraikan sebagai berikut.
2.2.2.1 Visi
Visi yang dimiliki oleh perusahaan PT. X untuk mengembangkan
organisasinya adalah sebagai berikut.
“Menjadi Perusahaan yang handal di Bali dan Nusa Tenggara”
2.2.2.2 Misi
Misi yang dimiliki oleh perusahaan PT. X untuk mengembangkan
organisasinya adalah sebagai berikut.
a. Perbaikan RTM
Melakukan perbaikan Road To Market (RTM) secara berkesinambungan
untuk menjawab kebutuhan pasar
b. Menerapkan EPE
Menerapkan Efektifitas, Produktifitas, dan Efisiensi (EPE) di semua lini
perusahaan
c. Meningkatkan Profesionalisme
Meningkatkan profesionalisme perusahaan yang memberikan nilai tambah
untuk karyawan, pemangku kepentingan, mitra bisnis dan masyarakat.
Perusahaan PT. X serta memiliki sebuah motto yaitu Dueg Mekarya Sane
Becik (Work Smart, Do The Best)

2.2.2 Struktur Organisasi Perusahaan

Bentuk struktur organisasi sebagaimana hubungan wewenang yang
menggambarkan fungsi, tugas, tanggung jawab sesuai pengelompokan peran yang
saling koordinasi berkesinambungan secara formal. Struktur perusahaan di PT. X
dapat dilihat pada Gambar 2.1.
 President Director

Director

Manager

Human Resource Finance & Sales & Operation

Manager Accounting Operational Sales Manager
Manager Frisian
Manager Manager Bintang
Flag

Personal General Assiten Finance &

Affair Accounting Supervisor TI Sales Supervisor Sales Supervisor
Admin Supervisor
Manager Bintang Frisian Flag

Sales Manager Sales Manager Internal Audit

Finance Accounting Logistic ABC PI Mayora Manager
Supervisor Supervisor Supervisor

Sales Supervisor Sales Supervisor

ABC PI Mayora

Gambar 2. Struktur Organisasi PT. X

(Sumber : Profil Struktur Perusahaan PT. X)
Gambar 2.1 merupakan bentuk model struktur organisasi pada PT.X.
Pemilik dengan presiden direktur yang dibantu oleh director dan manager dengan
membawahi delapan divisi, uraian tiap kelompok divisi diuraikan sebagai berikut.

2.2.3 Pembagian Tugas

Konsep pembagian tugas berdasarkan struktur organisasi existing terdapat
dalam perusahaan diuraikan pembagian tugas sebagai berikut.
a. President Director
Presiden direktur di bawahi human resource manager, finance &
accounting, operating manager, sales manager ABC, Sales Manager Bintang,
sales manager Mayora, sales operating manager Frisian Flag, internal audit
manager, legal manager. Mekanisme tugas dijalankan sebagai peran dan tugas
tertinggi dengan menawarkan visi dan misi dalam mengambil keputusan
sebagaimana didelegasikan oleh pemegang saham atau pada situasi tertentu yang
dianggap perlu diputuskan dalam meeting.

b. Human Resource Manager

Human resource manager di bawahi oleh personal general affair yang
bertugas menyajikan laporan dan data HRD meliputi laporan masalah SDM,
mengelola, merekapitulasi, menganalisa, dan mem-validitas data-data sesuai
dengan divisi terkait.

c. Finance & Accounting Manager

Finance & accounting manager di bawahi Supervisor IT dan assistant
finance & accounting manager bertanggung jawab dari direktur perusahaan
dengan standar etika dan hukum. Finance & accounting manager tidak dapat
memberikan informasi terkait tentang perusahaan ke pihak lain yang tidak
berkepentingan atas kebijakan logistik pusat dan pelaksanaan di cabang serta
mengimplementasikan operasional logis di cabang.

d. Assistant Finance & Accounting Manager

Assistant finance & accounting manager di bawahi oleh finance
supervisor, logistic, tax supervisor, accounting supervisor bertugas melakukan
approval biaya operasional sesuai dengan standar otorisasi serta membuat laporan
keuangan yang akurat dan tepat waktu.

e. Operating Manager
Operating manager di bawahi oleh admin supervisor bertugas melakukan
konsolidasi dan inventaris kasus-kasus logistik dan administrasi penjualan dari
penemuan internal audit dan mengikuti penyelesaian kasus-kasus yang terjadi di
wilayah perusahaan.

f. Sales Manager
Sales manager dibagi menjadi tiga yaitu sales manager ABC PI yang di
bawahi oleh sales supervisor ABC PI, sales manager Bintang di bawahi oleh
assistant sales manager MT, assistant supervisor GT, sedangkan sales Mayora di
bawahi oleh sales supervisor Mayora. Bagian tugas tiap sales manager ini yaitu
memastikan pencapaian target harian, membina SDM, membuat rencana
kebutuhan barang, melakukan perawatan dan perbaikan produk.
g. Sales & Operating Manager Frisian Flag
Sales & operating manager Frisian Flag di bawahi oleh sales supervisor
Frisian Flag yang bertugas untuk efektifitas dan efisiensi operasional perusahaan.

2.3 Risiko
Risiko adalah kemungkinan akan terjadinya suatu kehilangan. Kehilangan
tersebut dapat berupa yang tampak (tangible) seperti kehilangan aset informasi
maupun yang tidak tampak (intangible) seperti potensi kehilangan pelanggan
dalam suatu organisasi bisnis. Kehilangan dapat terjadi akibat dari ancaman
eksploitasi maupun pemanfaatan sisi kerentanan (vulnerability) dalam suatu
sistem pada organisasi untuk tujuan tertentu. Organisasi bidang apapun dengan
skala besar maupun kecil memiliki potensi risiko masing-masing yang dapat
menggagalkan tujuan bisnis itu sendiri. (Pradana, 2017)
Risiko mengandung tiga unsur pembentuk yaitu kemungkinan kejadian
atau peristiwa, dampak atau konsekuensi, dan kemungkinan kejadian (Febriyanti
Aulia Cahyo, 2012). Risiko dapat dikategorikan dari risiko besar atau risiko kecil
yang berdampak bagi perusahaan. Hal ini sebagai antisipasi, untuk pengelolaan
risiko tersebut dibutuhkan manajemen risiko untuk mengidentifikasi dan
mengelompokkan serta menghindari dari potensi ancaman yang memiliki dampak
risiko besar maupun risiko kecil.

2.4 Manajemen Risiko

Manajemen risiko adalah proses pengukuran atau penilaian risiko serta
pengembangan strategi pengelolaannya. Strategi yang dapat diambil antara lain
adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi
efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko
tertentu. Menurut National Institute of Standards and Technology (NIST), dalam
publikasi NIST SP 800-30 yaitu suatu proses yang memungkinkan manajer IT
untuk menyeimbangkan biaya operasional dan biaya ekonomi dari tindakan
pengamanan dalam mencapai keuntungan dengan memiliki misi melindungi
sistem IT dan data dalam mendukung misi organisasi. (Stoneburner, Gougen and
Feringa, 2002)
Manajemen risiko merupakan sebuah proses berkelanjutan untuk menilai,
mitigasi, dan mengevaluasi risiko terdampak. Penerapan yang dilakukan untuk
meningkatkan efektivitas segi biaya yang dilakukan organisasi guna kepastian
keamanan dari sistem teknologi informasi. Sehingga potensi ancaman yang dapat
merusak, baik gangguan pihak internal maupun eksternal dapat dikendalikan.
Menurut (Stoneburner, 2002) manajemen risiko terdiri dari berbagai macam
elemen pembentuk, diantaranya sebagai berikut.
2.3.1 Risk Assessment
Manajemen risiko diawali tahap risk assessment atau analisa penilaian
risiko. Tiap langkah ini mengidentifikasi aspek-aspek dalam mempengaruhi
sistem teknologi informasi, diantaranya.
a. Identifikasi aset IT beserta nilai atau value-nya bagi organisasi, seperti
data, hardware, software, service, dan IT infrastructure.
b. Identifikasi threat dan vulnerability dari masing-masing aset yang
kemudian melakukan langkah menentukan skala prioritas.
c. Identifikasi level likelihood atau intensitas frekuensi waktu terjadinya dari
vulnerability yang dimungkinkan untuk di-exploit oleh threat.
d. Identifikasi dampak yang diakibatkan oleh risiko. Daftar risiko tersebut
diurutkan dari yang dampaknya paling tinggi hingga paling rendah.

2.3.2 Identifikasi Risiko

Tahap identifikasi risiko dalam risk assessment atau penilaian risiko, yaitu
dilakukan langkah manajemen risiko dengan melakukan pemilihan treatment
terhadap risiko yang ditemukan yaitu dengan avoid, transfer, mitigate atau accept
risiko. Penentuan kontrol tersebut berdasarkan likelihood dari risiko yang terjadi
dan dampak yang diakibatkan-nya.
2.3.3 Pemilihan Kontrol
Tahap pemilihan kontrol sangat yang diperlukan, pemilihan kontrol
disesuaikan dengan hasil identifikasi risiko sebelumnya. Kontrol metode juga
dapat diartikan juga sebagai counter measure atau bisa disebut tindakan yang
dibutuhkan guna meminimalisir vulnerabilities dan dampaknya terhadap
organisasi.

2.3.4 Implementasi Testing

Tahap ini dilakukan implementasi terhadap kontrol-kontrol yang sudah
ditentukan dan memastikan bahwa kontrol tersebut dapat memberikan
perlindungan terhadap aset yang dimiliki.

2.3.5 Evaluasi Kontrol

Tahap mengimplementasikan seluruh kegiatan dan proses manajemen
risiko dilakukan untuk menguji dari penggunaan kontrol. Evaluasi kontrol
dilakukan secara berkala apakah tiap kontrol masih dapat melindungi aset yang
dimiliki organisasi atau perlu adanya peningkatan treatment lebih terhadap
kontrol yang dimiliki saat ini.

2.5 Identifikasi Ancaman

Ancaman adalah sebuah kondisi atau peristiwa yang mempunyai potensi
menimbulkan loss pada bidang kerahasiaan, integritas, ketersediaan, sehingga
dapat diartikan bahwa kegiatan yang dapat menimbulkan kehilangan atau
kerusakan tersebut diidentifikasikan sebagai bahaya bagi keberlangsungan
organisasi. Identifikasi ancaman disebabkan dari beberapa faktor diantaranya
sebagai berikut.
2.5.1 Natural Threat
Ancaman yang berasal dari alam adalah ancaman yang berkaitan dengan
bencana seperti banjir, gempa bumi, tsunami, angin topan dan lain-lain serta
ancaman yang berasal dari manusia yaitu serangkaian usaha yang dilakukan guna
mengambil alih sumber daya atau aset organisasi dengan cara ilegal. Seperti
malicious code, virus, social engineering, hacking, cracking, teroris.

2.5.2 Human Error

Kondisi ancaman yang dimiliki oleh pengguna human dengan berdasarkan
faktor intentional atau accidental. Intentional merupakan faktor kesengajaan
untuk memodifikasi Confidentially, Integrity Availability (CIA) dari suatu
organisasi dengan cara ilegal. Accidental adalah faktor kesalahan yang dilakukan
oleh seseorang atau bug pada sistem yang mengakibatkan error dalam sistem
informasi merupakan ancaman.

2.6 Informasi
Informasi adalah sekumpulan data atau fakta yang telah diproses dan
dikelola sedemikian rupa sehingga menjadi sesuatu yang mudah dimengerti dan
bermanfaat bagi penerimanya, hal ini merupakan aset yang penting yang harus
dilindungi. Informasi semakin penting jika telah berhubungan dengan keterkaitan
dengan hal lain. Bisnis lingkungan saat ini semakin berhubungan satu dengan
lainnya, sehingga informasi tumbuh akan menimbulkan jumlah ancaman dan
kerentanan terhadap informasi tersebut.
Informasi dapat berupa berbagai bentuk, seperti cetak dokumen maupun
tertulis (hardcopy), disimpan pada media elektronik, pengiriman secara pos
ataupun menggunakan media elektronik, ditampilkan pada film atau melakukan
percakapan. Bentuk apapun informasi yang diambil atau dibagi maupun disimpan,
hal ini seharusnya selalu diperhatikan aspek keamanannya.

2.7 Keamanan Informasi

Keamanan informasi adalah melindungi kumpulan data dari berbagai
ancaman untuk menjamin kelangsungan proses bisnis organisasi, meminimalisir
risiko dan memaksimalkan kinerja. Aspek keamanan informasi menentukan
keberlangsungan aktivitas operasional bisnis suatu organisasi, maka perlu
diketahui mengenai faktor yang dapat mempengaruhi keamanan informasi baik
ancaman dari attacker, faktor alam, maupun unsur yang lain. Beberapa unsur dari
keamanan informasi terdiri dari 3 aspek menurut ISO 270001, diantaranya.
(Pradana, 2017)
a. Kerahasiaan (Confidentially) merupakan suatu poin dimana informasi
tidak tersedia atau tidak boleh diungkapkan kepada individu, proses atau
entitas yang tidak memiliki hak akses.
b. Integritas (Integrity) merupakan hal yang harus dipastikan bahwa
informasi atau data tetap terjaga keutuhan-nya. Ini berarti bahwa data
seharusnya tidak dapat dimodifikasi secara tidak sah.
c. Ketersediaan (Availability) merupakan tersedia dengan jaminan untuk
setiap sistem informasi sebagai melayani tujuan, informasi harus tersedia
saat dibutuhkan. (Pradana, 2017), (RigCERT, 2018)

Sistem yang digunakan untuk menyimpan dan memproses informasi,

kontrol keamanan yang digunakan untuk melindunginya, dan saluran komunikasi
yang digunakan untuk mengakses-nya harus berfungsi dengan benar. Berdasarkan
ke tiga unsur tersebut dapat disimpulkan bahwa keamanan informasi dapat
dibentuk dengan cara menerapkan suatu set kontrol yang termasuk di dalamnya
kebijakan, proses, prosedur, struktur organisasi serta fungsi dari perangkat lunak
dan perangkat keras. Kontrol tersebut perlu ditetapkan, dilaksanakan, dipantau,
dikaji ulang dan disempurnakan demi menjamin keamanan dan tercapainya tujuan
bisnis organisasi.

2.8 Manajemen Risiko Keamanan Informasi

Manajemen risiko keamanan informasi adalah proses minimal risiko
aktivitas proses bisnis dari dampak potensi kehilangan atau kerusakan data yang
sudah dikelola dalam bentuk informasi untuk memastikan sesuai aspek keamanan
(kerahasiaan, integritas, dan ketersediaan).
Manajemen risiko keamanan informasi lebih fokus kepada salah satu
sistem teknologi informasi dan implementasinya. Secara umum ruang lingkup dari
manajemen risiko keamanan informasi yaitu tinjauan dari level ancaman (threats),
kerentanan sebuah sistem (vulnerability) dan nilai dari aset informasi.(Syafitri,
2014)

2.9 Framework Manajemen Risiko

Risiko dan dampak sebaiknya dipandang secara keseluruhan dari sudut
pandang perspektif bisnis pada hal ini keamanan sistem informasi dibutuhkan
sebuah pedoman dengan kerangka kerja yang mengatur serangkaian kebutuhan-
kebutuhan yang harus dipenuhi oleh sistem dalam mengelola keamanan informasi.
Framework yang akan digunakan, diharapkan menyediakan bentuk dasar untuk
melakukan evaluasi segala macam risiko, mulai dari insiden keamanan informasi
yang bersifat kecil hingga yang berpotensi bencana. Kontrol framework yang
digunakan dalam penelitian ini yaitu NIST SP 800-30.
2.9.1 NIST SP 800-30
NIST 800-30 adalah dokumen standar yang dikembangkan oleh National
Institute of Standards and Technology yang mana merupakan kelanjutan dari
tanggung jawab hukum di bawah undang - undang Computer Security Act tahun
1987 dan the Information Technology Management Reform Act tahun 1996. NIST
SP 800-30 terdapat tiga tahap penting yaitu penilaian risiko, mitigasi risiko dan
evaluasi risiko. (Stoneburner, Gougen and Feringa, 2002). Tahapan penilaian
risiko berdasarkan NIST SP 800-30 yaitu.
2.9.1.1 Risk Assessment
Risk assessment adalah proses pertama yang dilakukan dalam melakukan
metodologi manajemen risiko. Risk Assessment atau penilaian risiko memiliki
delapan tahapan untuk diambil dalam menentukan penilaian ancaman potensial
dan risiko terkait dengan keamanan informasi. Berikut delapan proses Risk
Assessment, diantaranya.
a. System characterization merupakan tahapan pada batas-batas dari sistem
TI harus diidentifikasi, termasuk di dalamnya sumber daya dan informasi.
Penentuan identifikasi karakteristik sistem membutuhkan informasi
mendalam dalam mengumpulkan data melingkupi identifikasi hardware,
software, mekanisme otorisasi operasional, pengguna sistem IT, arsitektur
 sistem, aset arus data informasi, topologi jaringan, kebijakan sistem,
Perlindungan keamanan, potensial ancaman kritis.
b. Threat identification yaitu pertimbangan atas kemungkinan untuk muncul
ancaman seperti sumber, potensi kerentanan dan kontrol yang ada.
Identifikasi ancaman diklasifikasi dalam tiga aspek diantaranya alam,
manusia, dan environmental.
c. Vulnerability identification merupakan identifikasi terhadap kerentanan
digunakan untuk pengembangan dari daftar kerentanan sistem yang dapat
dimanfaatkan nantinya. Analisa ancaman kerentanan terhadap IT sistem
harus mencakup analisa terhadap kerentanan terhadap sistem yang dimiliki
organisasi. Identifikasi kerentanan diperoleh dari pengumpulan
komunikasi mendalam dengan pihak berkepentingan dengan daftar
pertanyaan sesuai dengan pedoman NIST SP 800-30 melalui self-
assessment yang rilis terbaru yaitu NIST SP 800-53A Revision 4 untuk
menemukan celah kerentanan terhadap sistem sendiri yang berpedoman
NIST SP 800-30. (Rebecca M. Blank, 2013). Terdapat 18 topik rencana
dan prosedur penilaian keamanan yang dimiliki oleh NIST SP 800-53A
Revision 4 yaitu sebagai berikut.

Tabel 2. Topik rencana dan prosedur penilaian NIST SP 800-53A Rev. 4

No. Question Family Code No. Question Family Code
1. Access Control AC 10. Media Protection MP
2. Awareness And Training AT 11. Physical And Environmental PE
Protection
3. Audit And Accountability AU 12. Planning PL
4. Security Assessment And CA 13. Program Management PM
Authorization
5. Configuration Management CM 14. Personnel Security PS
6. Contingency Planning CP 15. Risk Assessment RA
7. Identification And IA 16. System And Services Acquisition SA
Authentication
8. Incident Response IR 17. System And Communications SC
Protection
9. Maintenance MA 18. System And Information Integrity SI
(Sumber: NIST SP 800-53A Revision 4)
Tabel 2.1 merupakan topik rencana dan prosedur topik penilaian
yang dimiliki pedoman NIST SP 800-53A Revision 4 yang terdapat 18
 topik. Penilaian ini melalui berbagai model topik yang diberikan oleh
responden terlibat dalam organisasi yang memiliki kewenangan
berkepentingan. Proses penilaian dengan subyek penilaian “belum” dan
“sudah” yang dilengkapi dengan keterangan alasan pihak responden serta
objektif pada keterangannya dengan data pendukung yang telah terlampir
sebagai representasi pedoman untuk memperkuat mengukur penilaian
terhadap keamanan yang dimilikinya.
d. Control analysis merupakan analisis terhadap kontrol yang telah
dilaksanakan atau direncanakan untuk implementasi oleh organisasi untuk
minimalisir atau menghilangkan kemungkinan (likelihood) dari ancaman
kerentanan sistem. Kontrol pelaksanaan saat ini atau yang direncanakan
harus dipertimbangkan.
e. Likelihood determination merupakan proses rangking terhadap potensi
dari kerentanan dapat dilaksanakan dalam lingkungan dari kerentanan
tersebut. Faktor yang menjadi pertimbangan adalah ancaman (sumber dan
kemampuan), sifat dari kerentanan serta keberadaan dan efektifitas kontrol
jika diterapkan.
f. Impact analysis merupakan tahapan yang digunakan untuk menentukan
dampak negatif yang dihasilkan dari keberhasilan penerapan kerentanan.
Dampak yang diakibatkan berdasarkan dari nilai masing - masing aset
yang dimiliki oleh perusahaan terhadap proses bisnisnya. Aspek dampak
diantaranya meliputi kehilangan integritas, kehilangan ketersediaan, dan
kehilangan kerahasiaan data.
g. Risk determination merupakan penilaian level risk pada sistem IT yang
diperoleh dengan mengalikan atau men-mapping antara kemungkinan
ancaman likelihood dengan dampak ancaman (threat impact).
h. Control recommendations merupakan tahapan ini menilai kontrol yang
dapat mengurangi atau menghilangkan risiko yang telah teridentifikasi.
Kontrol yang direkomendasikan sebaiknya harus dapat mengurangi tingkat
risiko pada sistem IT pada level risk yang diterima. (Penny Pritzker, 2014)
2.9.1.2 Risk Mitigation
Risk mitigation adalah langkah ke dua setelah risk assessment dalam
proses manajemen risiko. Langkah ini sebagai tahapan untuk menentukan rencana
implementasi kontrol melalui proses penentuan prioritas aksi, evaluasi
rekomendasi kontrol, analisis cost benefit serta penugasan tanggung jawab.
Penentuan rencana ini berdasarkan hasil kontrol oleh tahap risk assessment
sebelumnya. Rincian penentuan Risk mitigation dijabarkan sebagai berikut.
a. Prioritas aksi merupakan langkah menentukan level risiko dari hasil
penilaian risiko untuk dilaksanakan dari aksi yang prioritaskan level lebih
tinggi. Hasil tahapan untuk mengurutkan rangking dari level tinggi hingga
ke level rendah
b. Evaluasi rekomendasi kontrol merupakan penentuan opsi mitigasi kontrol
yang dipertimbangkan. Opsi mitigasi sesuai pedoman NIST SP 800-30
serta terdapat pula serupa dengan ISO 37000 yaitu risk assumption, risk
avoidance, risk limitation, risk planning, research dan acknowledgement,
risk transference. Hasil tahapan ini untuk susunan daftar pemilihan opsi
mitigasi kontrol sebagai meminimalkan risiko terhadap kasus organisasi.
(SDPPPI, 2016)
c. Analisis cost-benefit merupakan analisis penentuan biaya manfaat dari
pemilihan kontrol yang telah ditentukan. Hasil tahapan
mempertimbangkan biaya manfaat yang perlu dikeluarkan dari kontrol
yang ditentukan.
d. Pemilihan kontrol merupakan pemilihan kontrol yang direkomendasi
melalui pertimbangan kelayakan dan efektifitas pada organisasi. Hasil
pemilihan kontrol yaitu pemilihan kontrol melalui pertimbangan dengan
evaluasi rekomendasi kontrol pada opsi mitigasi serta analisis cost-benefit
untuk menentukan pilihan kontrol dengan biaya yang tepat dan efektif.
e. Penugasan tanggung jawab merupakan penentuan personil yang sesuai
dengan keahlian dan ketrampilan untuk melaksanakan tugas dan
bertanggung jawab pada pilihan kontrol yang diidentifikasikan. Hasil
tahapan ini daftar wewenang peran tanggung jawab.
f. Rencana implementasi kontrol merupakan daftar rencana manajemen
risiko yang akan dikembangkan dalam meminimalkan risiko. hasil proses
ini sebagai daftar laporan evaluasi manajemen risiko melalui analisis
tahapan prioritas aksi. (Stoneburner, Gougen and Feringa, 2002)

Penyediaan kontrol keamanan dan privasi untuk sistem dan organisasi

informasi dan proses pemilihan kontrol untuk melindungi operasi organisasi
(termasuk misi, fungsi, gambar, dan reputasi), aset organisasi, individu, organisasi
lain, dan bangsa dari beragam ancaman termasuk serangan dunia maya yang
bermusuhan, bencana alam, kegagalan struktural, dan kesalahan manusia (baik
disengaja dan tidak disengaja) diperuntukkan melalui dokumen NIST 800-53.
Katalog kontrol yang dimiliki oleh NIST 800-53 Revision 4 yaitu sebagai berikut.

Tabel 2. Katalog Topik Kontrol NIST SP 800-53 Rev. 4

No. Question Family Code No. Question Family Code
1. Access Control AC 10. Media Protection MP
2. Awareness And Training AT 11. Physical And Environmental PE
Protection
3. Audit And Accountability AU 12. Planning PL
4. Security Assessment And CA 13. Program Management PM
Authorization
5. Configuration Management CM 14. Personnel Security PS
6. Contingency Planning CP 15. Risk Assessment RA
7. Identification And IA 16. System And Services Acquisition SA
Authentication
8. Incident Response IR 17. System And Communications SC
Protection
9. Maintenance MA 18. System And Information Integrity SI
(Sumber: NIST SP 800-53 Revision 4)
Tabel 2.2 merupakan katalog topik kontrol yang dimiliki pedoman NIST
SP 800-53 Revision 4 yang terdapat 18 topik katalog. Perlindungan operasi
organisasi dengan memberikan sebuah rekomendasi dari ancaman. Rekomendasi
ini untuk memenuhi persyaratan kontrol keamanan dan privasi di organisasi
berdasarkan kebijakan, arahan, peraturan, standar, misi dan perintah eksekutif.
Pedoman yang menjelaskan cara mengembangkan set kontrol khusus, yang
dirancang perspektif keamanan yang baik pada lingkungan organisasi berdasarkan
jenis misi bisnis, teknologi, atau lingkungan operasi dalam menjamin fungsional
keamanan. Proses pemberian perlindungan disesuaikan dengan persyaratan yang
dilihat dari tipe kode kontrol yang sesuai, hal ini diharapkan profesional
keamanan harus memahami prosedur keamanan yang baik.

2.9.1.3 Risk Evaluation

Tahap Evaluasi adalah tahap dimana hasil laporan keseluruhan yang
dikerjakan pada manajemen risiko (Stoneburner, Gougen and Feringa, 2002).
Laporan berisi aspek penting yaitu penilaian risiko (risk assessment) dan mitigasi
risiko (risk assessment). Laporan evaluasi manajemen risiko diharapkan sebagai
langkah antisipasi untuk pencegahan kembali terhadap risiko yang akan datang.
Evaluasi manajemen risiko pula harus dilakukan analisa sesuai berkala, sebagai
bentuk penyesuaian perubahan relevansi zaman serta mengikuti pengembangan
ilmu dan teknologi. Ilmu dan teknologi yang termasuk seperti halnya pada
komponen hardware, pengembangan software dan aplikasi oleh versi yang lebih
up to date dan lebih baru dalam menyiapkan aspek keamanan yang handal.
(Pradana, 2017)

2.9.2 Perbandingan Metode Manajemen Risiko

Pembahasan perspektif metode pada bidang manajemen risiko terdiri dari
keempat framework yang terkait. Keempat framework memiliki karakteristik
masing-masing dalam prosesnya. Pandangan ini sebagai pertimbangan sebagai
panduan perspektif dalam metodologi penelitian. Bentuk perspektif kriteria yang
dimiliki setiap metode ditunjukkan pada Tabel 2.4.

Tabel 2. Perbandingan Metode Manajemen Risiko Keamanan

No Perspektif NIST SP 800-30 OCTAVE ISO/IEC COBIT 5
27005
1. Vendor National Institute Carnegie Mellon International Control
of standard and University, Standard Objectives for
Technology Software Organization Information
(NIST) Engineering (ISO) and Related
Institute (SEI) Technology
2. Cakupan NIST banyak Metode OCTAVE ISO 27005 COBIT 5
digunakan dengan banyak diarahkan cakupan nya mencangkup
yang berhubungan untuk lebih luas, secara luas
untuk menilai mengevaluasi yakni terkait tata
 risiko dalam organisasi oleh mencakup kelola
aspek teknologi. dirinya sendiri, SDM, Proses teknologi
arahnya hanya sumber Bisnis dan informasi
menjelaskan lebih daya organisasi Teknologi dari yang hanya
rinci tentang tersebut saja yang organisasi perspektif
masalah diperbolehkan tersebut dan manajemen
organisasi dan untuk umumnya risiko hanya
isu-isu teknis. melaksanakan diarahkan dua
Memperbolehkan proses. Artinya untuk subdomain
pihak ketiga bahwa organisasi manajemen dari lima
untuk melakukan bertanggung puncak dan domain
eksekusi. jawab untuk pemangku
menetapkan kepentingan
strategi keamanan
organisasi
3. Tim penilai NIST Orang yang Tim terdiri Orang yang
menyebutkan memiliki atas memiliki
peran dan kompetensi baik departemen IT kompetensi
tanggung jawab secara teknis dan dan pemangku baik secara
yang akan bisnis kepentingan teknis dan
melakukan bisnis di bisnis
penanganan dalam
risiko tetapi tidak organisasi
membuat tim
penilai
4. Risk Memberikan Bersifat self- Menjelaskan Bersifat audit
Metodologi panduan dan directed, yang proses tata kelola
identifikasi yang berarti bahwa manajemen informasi IT
rinci (checklist, personel dalam risiko mencangkup
grafis dan rumus organisasi keamanan Governance
matematika) bertanggung informasi dengan
dalam manajemen jawab untuk yang masih pembagian
dan penilaian menetapkan berkaitan terdapat
risiko keamanan strategi keamanan dengan ISO perspektif
informasi dan organisasi. 27001 dan bagian
berkaitan dengan ISO 27002 manajemen
Special risiko
Publication untuk
pedoman
pendukung
5. Teknik NIST OCTAVE ISO 27005 COBIT
pengumpul menggunakan menggunakan menggunakan memakai
an kuesioner, pendekatan teknik yang kuesioner,
Informasi wawancara dan dengan sama dengan wawancara,
review dokumen melakukan NIST SP800- serta review
dalam workshop untuk 30 namun pengumpulan
mengumpulkan mendapatkan data data dan
data dan
dan informasi dan informasi
informasi juga membuat
keputusan
6. Target  Pemerintahan  Small Medium  Pemerintahan  Pemerintahan
Organisasi  Perusahaan Enterprise  Perusahaan  Perusahaan
Besar (SME) besar besar
 Small Medium  Small  Small
Enterprise Medium Medium
 (SME) Enterprise Enterprise
(SME) (SME)
(Sumber : Karya Akhir-Yudha Ramdhani E, 2015-Universitas Indonesia, “telah diolah kembali”)
Perbandingan metode dari keempat framework diantaranya NIST SP 800-30,
OCTAVE, ISO/IEC 27005, COBIT 5 yang memiliki pandangan perspektif dari segi
vendor, cakupan, tim penilai, risk metodologi, teknik pengumpulan informasi, target
organisasi. Pemilihan metode NIST SP 800-30 dilakukan berdasarkan konseptual
dasar yang lebih merujuk manajemen risiko yang menyeluruh secara kompleks
dan rinci sebagai pengembangan perbaikan yang diadopsi oleh keamanan
Amerika yang selaras berdasarkan panduan dokumen yang telah tersedia dan
mengikuti standar ISO/IEC 30001/27005.(Syafitri, 2014)
 BAB III
METODELOGI

Bab III menjelaskan mengenai tempat dan waktu pelaksanaan penelitian,

data yang digunakan dalam penyusunan laporan penelitian, metode yang
digunakan dalam melakukan pengumpulan data dan kegiatan selama penelitian.
3.1 Metodologi Penelitian
Metodologi penelitian merupakan langkah atau urutan yang sudah
ditetapkan dalam melakukan penelitian. Tujuan dari metodologi penelitian ini
adalah agar proses penelitian yang dilakukan menjadi lebih teratur, sistematis,
terkontrol dan terarah. Penelitian ini mendeskripsikan bagaimana proses penilaian
risiko operasional keamanan informasi pada teknologi informasi yang terdapat
pada perusahan PT. X.
Alur analisis dalam analisa evaluasi manajemen risiko keamanan
informasi menggunakan metode NIST SP 800-30 dengan studi kasus di
perusahaan PT. X dapat digambarkan dalam bentuk aliran alur tahapan analisis
yang dapat dilihat pada Gambar 3.1.
 Tahap Perencanaan
Perumusan Masalah

Studi Literatur

Tahap Pengumpulan Data

Wawancara dan Observasi

Tahap Analisis
Metode
NIST SP 800-30
Penilaian Risiko (Risk Assessment)
1. Karakteristik Sistem
2. Identifikasi Ancaman
3. Identifikasi Kerentanan
4. Analisis Kontrol
5. Penentuan Kecenderungan
6. Analisis Dampak
7. Penentuan Risiko
8. Rekomendasi Kontrol

Mitigasi Risiko (Risk Mitigation)

1. Prioritas Aksi
2. Evaluasi Rekomendasi Opsi Kontrol
3. Analisis Cost-Benefit Kontrol
4. Pemilihan Kontrol
5. Penugasan Tanggung Jawab
6. Rencana Implementasi Keamanan

Laporan Akhir Manajemen Risiko

Tahap Penyelesaian
Gambar 3. Tahapan Metodologi

Gambar 3.1 merupakan bentuk alur analisis penelitian yang tahap awal
dilakukan perencanaan dengan perumusan masalah dalam mendefinisikan
masalah, mengumpulkan dan mempelajari melalui studi literatur dengan
pengamatan langsung. Tahap kedua dilakukan pengumpulan data melalui
wawancara pendekatan dan observasi. Tahapan tersebut dilanjutkan dengan tahap
analisis dan penyelesaian dengan metode NIST SP 800-30 yang terbagi 3 yaitu
penilaian risiko, mitigasi risiko, dan evaluasi risiko. Rincian teoritis metodologi
dijelaskan lebih lanjut dibawah.
3.2 Studi Kepustakaan
Studi kepustakaan adalah teknik pengumpulan data dengan mengadakan
studi penelaahan terhadap buku-buku, literatur, catatan-catatan, dan laporan-
laporan yang ada hubungannya dengan masalah yang dipecahkan (Nazir,1988).
Studi kepustakaan dapat diartikan sebagai suatu langkah di dalam penelitian untuk
memperoleh data dan informasi dari penelitian yang terdahulu khususnya
penelitian tentang manajemen risiko dan framework NIST SP 800-30, dimana
data dan informasi bisa didapatkan dari berbagai sumber seperti buku terkait
penelitian, jurnal ilmiah, maupun karya ilmiah, sehingga data dan informasi yang
telah dikumpulkan memperkuat dasar teori yang digunakan dalam penelitian,
yang juga memberikan dasar dan acuan bagi arah penelitian.

3.3 Teoretis Framework

Berdasarkan teori yang telah disebutkan terkait manajemen risiko, potensi
dalam melaksanakan proses tahap manajemen risiko melalui pedoman NIST SP
800-30 yaitu penilaian risiko (risk assessment) dengan mengambil delapan
tahapan yang harus dilalui, mitigasi risiko (risk mitigation) dengan enam tahapan
harus dilalui serta evaluasi risiko (risk evaluation) dengan membentuk susunan
laporan akhir ini. Pedoman teoretis framework tidak terlepas dari pedoman
manajemen risiko dengan pedoman NIST SP 800-30, daftar pertanyaan
menentukan vulnerability threat kontrol sesuai pedoman NIST 800-30 melalui
self-assessment rilis terbaru yaitu NIST SP 800-53A Revision 4 untuk
menemukan kerentanan kontrol pada sistem itu sendiri serta menentukan
rekomendasi kontrol melalui pedoman NIST SP 800-53 Revision 4 sebagai arah
rekomendasi kontrol perbaikan risiko sebagai perlindungan.

3.4 Pola Tahapan Metode NIST SP 800-30

Pembahasan pada pola NIST SP 800-30 ini meliputi proses dari tahapan
analisis data metode NIST SP 800-30. Proses utama dalam metode NIST SP 800-
30 terdiri dari tiga proses yaitu diantaranya penilaian risiko (Risk Assessment),
mitigasi risiko (Risk Mitigation), Evaluasi Risiko (Risk Evaluation). Setiap proses
memiliki aspek proses yang aspek untuk menjawab manajemen risiko. Komponen
aspek setiap model tahapan diuraikan sebagai berikut.
3.4.1 Penilaian Risiko (Risk Assessment)
Proses penilaian risiko adalah mengidentifikasikan dan mengukur risiko
berdasarkan sumber ancaman guna untuk mengontrol dalam mengurangi ataupun
menghilangkan risiko. Penilaian risiko keamanan informasi ini mengambil 8
tahapan meliputi karakterisasi sistem, identifikasi ancaman, identifikasi
kerentanan, analisis kontrol, penentuan kecenderungan, analisis dampak,
penentuan risiko, rekomendasi kontrol. Hal ini pola kerangka kerja pada penilaian
manajemen risiko keamanan informasi dapat dilihat pada Gambar 3.2.

INPUT TAHAPAN OUTPUT

1. Hardware
2. Software
3. Antarmuka Sistem 1. Karakteristik 1. Fungsi dan batasan dan sistem
4. Data dan Informasi Sistem 2. Sistem data kritis dan data senitif
5. Sumber daya Manusia
6. Misi sistem

1. Peristiwa gangguan sistem sebelumnya

2. Identifikasi
2. Dokumen dan laporan keamanan 1. Pernyataan Ancaman
Ancaman
sistem dari organisasi atau lembaga

1. Laporan risiko sebelumnya

3. Identifikasi
2. Interview terhadap individu terlibat 1. Daftar Potensial Kerentanan
Kerentanan
3. Review persyaratan misi keamanan internal

1. Kontrol saat ini 1. Daftar Kontrol saat ini dan yang

4. Analisis Kontrol
2. Kontrol yang akan direncanakan direncanakan

1. Motivasi sumber ancaman

2. Kapasitas kemungkinan terjadi 5. Penentuan
1. Nilai dan tingkat kecenderungan
3. Sifat kerentanan Kecenderungan
4. Sensitif kontrol saat ini terhadap ancaman
1. Analisis dampak misi
2. Penilaian kekritisan aset
6. Analisis Dampak 1. Nilai dan tingkat peringkat dampak
3. Sifat kerentanan kritis
4. Sensitif kontrol saat ini

1. Kecenderungan ancaman
2. Dampak pengaruh 7. Penentuan Risiko 1. Nilai, tingkat risiko dan rencana tindakan
3. Analisis tindakan rencana kontrol

8. Rekomendasi
1. Rekomendasi Kontrol
Kontrol

Gambar 3. Penilaian Risiko (Risk Assessment) Framework NIST SP 800- 30

(Sumber: NIST SP 800-30, “telah diolah kembali”)
 Gambar 3.2 merupakan bentuk analisis pola dari kerangka kerja NIST SP
800-30 bagian tahapan penilaian manajemen risiko keamanan informasi dengan
uraian rincian tahapan penjelasan sebagai berikut.
3.4.1.1 Karakteristik Sistem (System Characterization)
Karakterisasi sistem adalah menentukan ruang lingkup dari batasan dari
sistem TI yang diidentifikasi. Aspek dengan memahami lingkungan proses sistem
berjalan dalam berbagai sumbernya dalam sistem informasi. Identifikasi melalui
teknik mengumpulkan informasi melalui daftar pertanyaan secara independen
melalui komunikasi wawancara serta review terhadap dokumentasi sistem. Aspek
identifikasi hardware, software, antarmuka sistem, data dan informasi, sumber
daya manusia, dan misi sistem dalam menentukan fungi dan batasan sistem
maupun sistem data yang kritis atau sensitif.

3.4.1.2 Identifikasi Ancaman (Threat Identification)

Ancaman adalah suatu potensi tertentu yang menjadi sumber ancaman
agar dapat membuat suatu keadaan menjadi rentan. Kerentanan adalah kelemahan
yang sengaja di bentuk atau sengaja di eksploitasi. Threat Identification diperoleh
dari hasil pendekatan wawancara dan observasi untuk mendapatkan sekumpulan
peristiwa gangguan sistem maupun bentuk laporan keamanan dari perusahaan
yang kemungkinan akan terjadi sebagai sumber risiko dalam menentukan
ancaman di perusahaan PT. X. (Penny Pritzker, 2014)

3.4.1.3 Identifikasi Kerentanan (Vulnerability Identification)

Kerentanan adalah terdapatnya cacat di dalam prosedur kontrol keamanan
sistem dari implementasi atau dapat dikaitkan dengan kontrol oleh pihak internal
terhadap sistem. Identifikasi sumber kerentanan dapat dilakukan dengan cara
mengumpulkan informasi menentukan vulnerability seperti checklist wawancara
dan review terhadap dokumentasi sistem dengan pedoman NIST SP 800-30
melalui self-assessment rilis terbit edisi terbaru yaitu NIST SP 800-53A Revision
4. (Penny Pritzker, 2014). Bentuk self-assessment terdapat 18 topik rencana
prosedur penilaian keamanan yang dimiliki oleh NIST SP 800-53A Revision 4
yaitu sebagai berikut.
Tabel 3. Penilaian Topik NIST SP 800-53A Rev. 4
No. Question Family Code No. Question Family Code
1. Access Control AC 10. Media Protection MP
2. Awareness And Training AT 11. Physical And Environmental PE
Protection
3. Audit And Accountability AU 12. Planning PL
4. Security Assessment And CA 13. Program Management PM
Authorization
5. Configuration Management CM 14. Personnel Security PS
6. Contingency Planning CP 15. Risk Assessment RA
7. Identification And IA 16. System And Services Acquisition SA
Authentication
8. Incident Response IR 17. System And Communications SC
Protection
9. Maintenance MA 18. System And Information Integrity SI
(Sumber: NIST SP 800-53A Revision 4)
Tabel 3.1 merupakan topik penilaian yang dimiliki pedoman NIST SP
800-53A Revision 4 yang terdapat 18 topik. Penilaian pertanyaan kuesioner ini
diambil berdasarkan yang potensial dari representasi berbagai model topik yang
diberikan pada pedoman untuk responden yang terlibat dalam organisasi yang
memiliki kewenangan berkepentingan pada pemangku jabatan responden
Controller dan Supervisor TI. Proses penilaian dengan subjek penilaian “belum”
dan “sudah” yang dilengkapi dengan keterangan alasan pihak responden serta
objektif pada keterangannya dengan data pendukung yang telah terlampir seperti
representasi pedoman untuk memperkuat mengukur penilaian terhadap keamanan
yang dimilikinya.

3.4.1.4 Analisis Kontrol (Control Analysis)

Proses terhadap analisis kontrol yaitu pelaksanaan menganalisa kerentanan
dalam menentukan sumber ancaman dan hasil yang diperkirakan dari ancaman
tersebut pada suatu aset perusahaan. Penentuan analisa kontrol diperoleh dari
identifikasi ancaman dan identifikasi kerentanan dari pernyataan ke tiadanya
sistem kontrol yang dianjurkan, sebagai tujuan bentuk analisa kontrol mengurangi
atau menghilangkan kemungkinan terjadinya ancaman.
3.4.1.5 Penentuan Kecenderungan (Likelihood Determination)
Penentuan kecenderungan merupakan identifikasi penentuan daftar nilai
dan tingkat kecenderungan dari seberapa besar kemungkinan terjadi pada
ancaman. Hasil yang diperoleh dari identifikasi aset, kapasitas kemungkinan
terjadi, sifat kerentanan dan sensitif kontrol terhadap ancaman. Pernyataan
penentuan yang dilakukan dengan skala 3 yaitu high, medium, dan low dari
penilaian seberapa kemungkinan terjadi ancaman melalui memperhatikan aspek
peristiwa yang pernah dialami. Bentuk pernyataan penilaian dalam kecenderungan
dilihat pada Tabel 3.2.

Tabel 3. Level Likelihood

Level Likelihood
High Sumber ancaman memiliki motivasi yang tinggi untuk merusak atau mengganggu
target aset TI
Medium Sumber ancaman memiliki motivasi yang cukup untuk merusak atau mengganggu
target aset TI
Low Sumber ancaman tidak cukup motivasi dan kemampuan dalam merusak atau
mengganggu target aset TI.
(Sumber: NIST SP 800-30, “telah diolah kembali”)
Keseluruhan data pernyataan kecenderungan dilihat dari motivasi
kejadian dalam tata kelola gangguan penyesuaian dari organisasi, selanjutnya
sebagai analisa untuk memperhatikan faktor dalam menurunkan nilai
kecenderungan yang dapat menimbulkan potensi kerentanan.

3.4.1.6 Analisis Dampak (Impact Analysis)

Analisa dampak merupakan tahap analisis menentukan nilai dan tingkat
dampak dari seberapa besar pengaruh negatif yang dihasilkan dari ancaman. Hasil
yang diperoleh dari identifikasi aset, analisis tingkat pengaruh dampak negatif,
sifat kerentanan, dan sensitif kontrol terhadap ancaman. Pernyataan analisa
dampak yang dilakukan dengan skala 3 yaitu high, medium, dan low dari penilaian
seberapa besar pengaruh negatif yang dihasilkan ancaman pada perusahaan.
Bentuk pernyataan penilaian dalam dampak dilihat pada Tabel 3.3.
Tabel 3. Level Impact
Level Impact
High Rentan (1) Hilangnya aset atau sumber daya utama yang sangat mahal (2) dapat
melanggar membahayakan, menghambat dalam reputasi dan misi (3)
menyebabkan kematian atau cedera serius
Medium Rentan (1) Hilangnya aset atau sumber daya utama yang mahal (2) mungkin
melanggar membahayakan, menghambat dalam reputasi dan misi (3) dapat
menyebabkan cedera
Low Rentan (1) dapat menyebabkan kerugian (2) dapat mempengaruhi misi dan
reputasi
(Sumber: NIST SP 800-30, “telah diolah kembali”)
Data nilai pernyataan analisa dampak dilihat dari penyesuaian kerugian
yang signifikansi pada organisasi terhadap opsi yang direpresentasikan, yang
dilanjutkan sebagai analisa untuk memperhatikan faktor dalam menurunkan nilai
analisa dampak yang dapat menimbulkan potensi kerentanan.

3.4.1.7 Penentuan Risiko (Risk Determination)

Penentuan risiko merupakan tahapan menentukan nilai dan tingkat risiko
dari matriks nilai pernyataan kecenderungan (likelihood) dengan penyataan
dampak (impact) melalui matriks skala 3 yaitu high, medium, dan low. Bentuk
penilaian matriks penentuan risiko dilihat pada Tabel 3.4.

Tabel 3. Matriks Level Risk (Risk Determination)

Level Risk Level Impact
Level Likelihood Low (10) Medium (50) High (100)
High (1.0) Low Medium High
10 x 1.0 = 10 50 x 1 .0 = 50 100 x 1.0 = 100
Medium (0.5) Low Medium Medium
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Low (0.1) Low Low Low
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
(Sumber: NIST SP 800-30)
Proses penilaian dengan perkalian atau mempetakkan matriks level
likelihood dengan level impact sesuai dengan titik temu dalam menentukan level
risk. Hasil nilai skala perkalian memperoleh level risiko senilai high (>50 to 100),
medium (>10 to 50), low (1 to 10). Hasil yang diperoleh dari pernyataan
kecenderungan (likelihood) dengan penyataan dampak (impact) dan sensitif
kontrol terhadap ancaman melalui analisis tindakan strategi kontrol untuk risiko
yang dihasilkan 3 skala yaitu high, medium, dan low sebagai tindakan
pengendalian strategis awal dari risiko yang disesuaikan kontrol penyesuaian
organisasi.
3.4.1.8 Rekomendasi Kontrol
Rekomendasi kontrol merupakan tahap pengendalian saran perbaikan dari
pernyataan risiko yang dihasilkan. Rekomendasi kontrol diperoleh dari
penyesuaian saran perbaikan melalui pedoman NIST SP 800-53 Revision 4.
Katalog rekomendasi kontrol yang dimiliki oleh NIST 800-53 Revision 4, sebagai
berikut.

Tabel 3. Rekomendasi Topik Kontrol NIST SP 800-53A Rev. 4

No. Question Family Code No. Question Family Code
1. Access Control AC 10. Media Protection MP
2. Awareness And Training AT 11. Physical And Environmental PE
Protection
3. Audit And Accountability AU 12. Planning PL
4. Security Assessment And CA 13. Program Management PM
Authorization
5. Configuration Management CM 14. Personnel Security PS
6. Contingency Planning CP 15. Risk Assessment RA
7. Identification And IA 16. System And Services Acquisition SA
Authentication
8. Incident Response IR 17. System And Communications SC
Protection
9. Maintenance MA 18. System And Information Integrity SI
(Sumber: NIST SP 800-53 Revision 4)
Tabel 3.5 merupakan katalog topik kontrol yang dimiliki pedoman NIST
SP 800-53 Revision 4 yang terdapat 18 topik katalog. Perlindungan operasi
organisasi dengan memberikan sebuah rekomendasi dari ancaman. Rekomendasi
ini untuk memenuhi persyaratan kontrol keamanan dan privasi di organisasi
berdasarkan kebijakan, arahan, peraturan, standar, misi dan perintah eksekutif.
Proses pemberian perlindungan disesuaikan dengan persyaratan yang dilihat dari
tipe kode kontrol yang sesuai dan pernyataan risiko analisa perbaikan melalui
kondisi perusahaan. Rekomendasi kontrol sebagai bentuk pengendalian perbaikan
dalam mengurangi tingkat risiko pada sistem teknologi informasi pada perusahaan
melalui pertimbangan keefektifan pilihan yang direkomendasikan, regulasi,
kebijakan perusahaan, dampak operasional, keamanan, kehandalan dan
penyelarasan.

3.4.2 Mitigasi Risiko (Risk Mitigation)

Mitigasi risiko merupakan proses untuk dapat memprioritaskan opsi
kontrol yang diterapkan sesuai dengan risiko yang telah dikurangi pada proses
penilaian risiko. Mitigasi risiko keamanan informasi terdapat beberapa point yang
harus diperhatikan yaitu prioritas aksi, rekomendasi opsi kontrol, analisis cost-
benefit, pemilihan kontrol, penugasan tanggung jawab, membangun rencana
implementasi keamanan. Hal ini pola kerangka kerja pada mitigasi manajemen
risiko keamanan informasi dapat dilihat pada Gambar 3.3.

INPUT TAHAPAN OUTPUT

Level risiko dari laporan penilaian risiko 1. Prioritas Aksi Peringkat aksi dari tinggi ke rendah

2. Evaluasi
Daftar pemilihan kontrol dan opsi
Rekomendasi Opsi
kontrol
Kontrol

Laporan penilaian risiko untuk data

3. Analisis Cost-
prioritas aksi dan rekomendasi opsi Analisis Cost-Benefit
Benefit
kontrol

Kontrol yang terpilih dan opsi

4. Pemilihan Kontrol
kontrol

5. Penugasan
Penugasan tanggung jawab terlibat
Tanggung Jawab

1. Data prioritas aksi dan rekomendasi 6. Membangun

opsi kontrol Rencana
Rencana implementasi keamanan
2. Data analisis cost-benefit, kontrol Implementasi
terpilih, dan penugasan tanggung jawab Keamanan

Gambar 3. Mitigasi Risiko (Risk Mitigation) Framework NIST SP 800-30

(Sumber: NIST SP 800-30, “telah diolah kembali”)

Gambar 3.3 merupakan bentuk analisis pola dari kerangka kerja NIST SP
800-30 bagian tahapan mitigasi manajemen keamanan informasi dengan uraian
rincian tahapan penjelasan sebagai berikut.
3.4.2.1 Prioritas Aksi (Prioritize Action)
Tingkat risiko yang telah dipaparkan pada laporan penilaian risiko, maka
prioritas aksi dapat dilaksanakan. Prioritas aksi mengurutkan level risiko dari
tertinggi ke rendah dari hasil penilaian risiko. Alokasikan penentuan melalui
aspek aset, kerentanan, dampak ancaman, level risiko, rekomendasi kontrol NIST
SP 800-53 Revision 4 dan dapat menentukan pemilihan rekomendasi kontrol dan
opsi kontrol mitigasi sehingga tidak terlepas dari evaluasi rekomendasi opsi
kontrol.

3.4.2.1 Evaluasi Rekomendasi Opsi Kontrol (Evaluate Recommended Control)

Evaluasi rekomendasi terhadap opsi kontrol sangat perlu dianalisis sebagai
penyesuaian kontrol yang layak pada pelaksanaan di perusahaan PT. X. Pemilihan
dan kontrol melalui aspek rekomendasi pedoman NIST SP 800-53 dan
penyesuaian dari kelayakan kontrol pada perusahaan PT. X. Opsi mitigasi sesuai
pedoman NIST SP 800-30 yaitu risk assumption, risk avoidance, risk limitation,
risk planning, research dan acknowledgement, risk transference. Opsi kontrol
mitigasi dipilih sesuai dengan efektifitas tingkat perlindungan pernyataan risiko
beserta penilaian risiko dari opsi sesuai pedoman NIST SP 800-30.

3.4.2.2 Analisis Cost-Benefit (Conduct Cost-Benefit Analysis)

Analisis cost benefit merupakan tahapan analisis pengelolaan biaya
manfaat saran perbaikan kontrol. Analisis cost benefit tujuannya untuk membantu
para pengambil keputusan dan mengidentifikasi kontrol terhadap cost-effective
melalui analisis cost-benefit ini dapat memberikan gambaran biaya dan manfaat
jika dilaksanakan sebuah kontrol. Cost benefit disesuaikan kelayakan dan
ketepatan dari rekomendasi kontrol pada perusahaan PT. X yang harganya masih
teridentifikasi perkiraan biaya kotor konsumtif yang berlaku pada tahun 2020.
Tahapan cost benefit tidak terlepas dari laporan penilaian risiko dari data prioritas
aksi dan rekomendasi opsi kontrol
3.4.2.3 Pemilihan Kontrol (Select Control)
Pemilihan kontrol merupakan kontrol yang terpilih dari melalui aspek
rekomendasi pedoman NIST SP 800-53 dan penyesuaian dari kelayakan kontrol
pada perusahaan PT. X dan diselaraskan dengan opsi mitigasi pedoman NIST SP
800-30. Pemilihan kontrol ini diperoleh dari data penentuan prioritas aksi dan
evaluasi rekomendasi opsi kontrol

3.4.2.4 Penugasan Tanggung Jawab (Assign Responsibility)

Proses kegiatan yang berkelanjutan dan terus menerus memerlukan peran
dari personel yang bertanggung jawab dan memiliki pengetahuan dalam bidang
teknologi informasi. Kriteria dalam penugasan tanggung jawab adalah keahlian
yang tepat berdasarkan kontrol yang telah dipilih, sehingga menghasilkan daftar
orang yang akan ditugaskan sesuai tanggung jawab dalam mitigasi risiko dan
pengolahan manajemen risiko.

3.4.2.5 Rencana Implementasi Keamanan (Develop Safeguard Implementation

Plan)
Rencana implementasi kontrol merupakan membangun rencana
perlindungan minimal yang dilaksanakan sesuai evaluasi manajemen risiko dari
penilaian risiko dan mitigasi risiko. Rencana implementasi keamanan diputuskan
terhadap opsi implementasi terhadap kontrol yang dapat diambil maupun tidak,
sehingga dapat menganalisa risiko yang dihadapi yang membantu melancarkan
proses pengurangan risiko pada sistem informasi terkait aspek keamanan
informasi sebagai rencana implementasi yang aman diterapkan.

3.4.3 Laporan Akhir Manajemen Risiko

Tahap ini merupakan hasil penulisan keseluruhan dari penilaian risiko dan
mitigasi untuk diterapkan atau direncanakan kontrol keamanan informasi pada
perusahaan PT. X. Rangkaian hasil melalui bentuk perencanaan implementasi
kontrol keamanan yang akan diputuskan sebagai implementasi manajemen risiko
untuk organisasi perusahaan di masa mendatang meliputi draft sekumpulan
risiko, rekomendasi saran dan masukan evaluasi manajemen risiko keamanan
informasi sebagai peninjauan ulang dari rekomendasi pertimbangan untuk
manajemen personel di masa mendatang.

3.5 Jadwal Kegiatan Penelitian

Pelaksanaan kegiatan jadwal kerja manajemen risiko ditentukan
penyusunan jadwal kerja sehingga proses penelitian manajemen risiko dapat
berjalan secara efektif dan efisien dan tujuan yang diinginkan dapat segera
tercapai sesuai dengan waktu yang telah ditentukan. Berikut ini perincian jadwal
kegiatan penelitian.

Tabel 3. Jadwal Kegiatan Penelitian

No Kegiatan Bulan ke- Keterangan
8 9 10 11 12 1 2 3 4
1. Studi literatur dan analisa Data
2. Pengumpulan Data dan
Analisis Risiko Keamanan
Informasi
3. Analisis Penilaian Manajemen
Risiko
4. Analisis Mitigasi Manajemen
Risiko
6. Rekomendasi Manajemen
Risiko Keamanan Informasi
7. Dokumentasi dan pelaporan
Tabel 3.1 merupakan bentuk tabel jadwal kegiatan penelitian yang di
kelompokan menjadi tujuh diantaranya studi literatur dan analisa, pengumpulan
data dan analisis risiko keamanan informasi, analisis penilaian manajemen risiko
analisis mitigasi manajemen risiko, rekomendasi manajemen risiko, dan
dokumentasi pelaporan
 BAB IV
PEMBAHASAN

Bab IV berisi penjelasan mengenai kondisi saat ini perusahaan untuk

identifikasi dalam melanjutkan ke tahapan evaluasi manajemen risiko keamanan
informasi dalam kerangka kerja NIST SP 800-30.
4.1 Identifikasi Kondisi Existing Organisasi
Kegiatan aktivitas perusahaan PT. X dapat dilihat dari visi, misi dan tujuan
melalui model produk bisnis yang diperdagangkan kepada masyarakat sebagai
pihak konsumen dalam memenuhi kebutuhan primer maupun sekunder. Aktivitas
bisnis melalui kesinambungan modular dari Enterprise Resource Planning (ERP),
PT. X selaku perusahaan yang melakukan peran mengintegrasikan jasa dari
perusahaan manufaktur dan mengotomatiskan proses bisnis yang berkaitan dalam
aspek operasional dan distribusi ke masyarakat yang sebagai konsumen.
Sistem yang ter-modular dalam menangani aktivitas bisnis melalui proses
logistik, distribusi, persediaan (inventory), invoice, dan akuntansi perusahaan. Hal
ini sistem ini nanti akan membantu mengontrol aktivitas bisnis seperti penjualan,
pengiriman, produksi, manajemen persediaan, manajemen kualitas, dan sumber
daya manusia. PT. X sebagai penyedia logistik supply dengan wilayah daerah
sesuai pasar ditentukan. Sistem proses bisnis yang telah ditentukan oleh
perusahaan manufaktur dan principle sebagai mitranya. Hakikatnya aktivitas
sistem pada beberapa perusahaan manufaktur dan PT. X telah bersinergi untuk
menggapai, misi dan tujuan untuk bersama membangun perusahaan produk yang
bereputasi baik dan tanggung jawab dan terkemuka.
Aktivitas unit pengawas pelaksana sistem dari manajemen sistem
informasi infrastruktur TI sebagai Supervisor IT dalam struktur organisasi yang
ada saat ini yang masih terbatas, dengan jumlah petugas terdiri satu orang dengan
tugas unit yang memiliki pengalaman sejak perusahaan PT. X menerapkan
kebijakan kesadaran teknologi pada sistem informasi manajemen dari perusahaan
manufaktur atau principle.
 Sistem teknologi informasi yang diterapkan pada divisi Supervisor IT
yang merupakan operasional aktivitas utama dari pelaksanaan bisnis. Fungsi
utama divisi Supervisor IT berkaitan dengan rencana strategi teknologi informasi
yang telah dimiliki oleh PT. X. Rencana strategi teknologi informasi sesuai misi
pada perusahaan PT. X diantaranya mencangkup.
1. Memberikan operasional yang berjalan efektif dan efisien dalam
peningkatan distribusi logistik bisnis.
2. Peningkatan produksi logistik pemasaran secara terstruktur dengan cepat
dan mudah sebagai pelayanan optimal pada calon konsumen.
3. Penyediaan pengembalian investasi yang baik dari bisnis yang
dibangkitkan dengan pemanfaatan teknologi informasi.
4. Pengelolaan minimal risiko bisnis dengan pemanfaatan teknologi
informasi.
5. Penawaran produk dan jasa operasional yang kompetitif secara cepat,
akurat, dan efektif dalam menangani ketersediaan dan kelancaran bisnis
terhadap calon konsumen.
6. Relevansi ketangkasan untuk menjawab permintaan bisnis yang berubah
dalam tantangan global.
7. Pencapaian optimalisasi biaya atau penurunan biaya proses dari
penyampaian maupun penggunaan layanan sistem.
8. Penyediaan kepatutan terhadap hukum internal perusahaan, regulasi dan
kontrak terhadap sinergi perusahaan manufaktur principle.
9. Perolehan dan pemeliharaan pegawai yang cakap dan termotivasi dalam
target bisnis menggunakan sistem yang dibangun teknologi informasi.

Saat ini divisi Supervisor IT yang tergabung dalam perusahaan PT. X telah
memiliki dua buah sistem informasi yaitu sistem informasi Navision DIS, dan
sistem informasi Zeta. Sistem informasi Zeta merupakan aplikasi inti dari proses
bisnis yang dijalankan oleh perusahaan PT. X secara internal, namun yang
didukung oleh sistem informasi Navision Dis sebagai sistem informasi
operasional kendali utama yang dikendalikan oleh perusahaan manufaktur
principle atas sinergi mitra dengan PT. X melalui distribusi logistik bisnis yang
berhubungan dengan regulasi dan kebijakan bisnis produknya.

4.2 Penilaian Risiko

Panduan yang dimiliki oleh NIST SP 800-30 dalam kerangka kerja
manajemen risiko, melalui tahapan proses yang dijalankan diantaranya
karakteristik sistem, identifikasi ancaman, identifikasi kerentanan, analisis
kontrol, penentuan kecenderungan, analisis dampak, penentuan risiko,
rekomendasi kontrol dan dokumentasi kontrol.
4.2.1 Karakterisasi Sistem (System Characterization)
Karakteristik sistem yang terdapat pada perusahaan PT. X melalui divisi
Supervisor IT sebagai pengendaliannya dengan karakteristik terbagi atas
perangkat keras, lunak, infrastruktur, dan sistem informasi. Karakteristik dibahas
yang akan diuraikan sebagai berikut.
4.2.1.1 Karakteristik Perangkat Keras
Perangkat keras yang dimiliki oleh perusahaan PT. X di Kota Denpasar
secara umum terbagi atas beberapa komponen sebagai penopang kinerja sistem
operasional perusahaan. Daftar perangkat keras dari karakteristiknya dapat dilihat
pada Tabel 4.1.

Tabel 4. Karakteristik Perangkat Keras

Nama Fungsi
No Jumlah Spesifikasi Detail
Perangkat Piranti
1. CPU Rakitan Server Zeta 1 Chipset CPU Intel Core i5-3470
@3.2Ghz
Motherboard Intel
Memori 2GB
Storage SSD OCZ Vertez 128 Gb
Seagate 1TB
System Operation Windows 7 Pro

2. CPU Rakitan Komputer 25 Chipset minimal CPU 2.4Ghz

/Paket CPU User Motherboard Intel
User Memori minimal 2GB
Storage minimal HDD 500GB
System Operation Windows 7 Proferional
minimal
3. Switch Distribusi 2 TP-Link Lantai 1 Distribusi 6 PC
 jaringan PC SL5428E Lantai 2 Distribusi 15 PC
4. Router Distribusi 2 TP-Link Distribusi Lantai 1
Wireless jaringan WR841ND Distribusi Lantai 2
nirkabel
5. Modem Internet 2 ZTE F609 Telkom 50 Mbps
(Provider) CBN 25 Mbps
6. APC Smart- UPS 1 APC Smart-UPS Voltase Daya 2200VA
UPS RT BR2200
26 APC Smart-UPS Voltase Daya 800VA
BR800
Tabel 4.1 merupakan komponen–komponen utama yang membentuk
perangkat teknologi informasi di perusahaan PT. X yang membantu operasional
bisnis perusahaan.

4.2.1.2 Karakteristik Perangkat Lunak

Perusahaan PT. X telah melakukan inovasi pengembangan sebagai
tuntutan relevansi tantangan global melalui pelaksanaan pembangunan dengan
mengoperasionalkan penggunaan sistem informasi TI. Adapun daftar perangkat
lunak sistem informasi utama yang digunakan dalam layanan penunjang
operasional bisnis internal yaitu sistem informasi aplikasi Zeta
Sistem informasi Zeta merupakan sistem internal sebagai aplikasi utama
internal yang didukung pada aplikasi Navision DIS yang menjalankan operasional
perusahaan yang bergerak dibidang distribusi yang membantu kinerja operasional
perusahaan pada sisi internal yang mempermudah proses bisnis dari pemasaran
terhadap pelanggan. Sistem informasi aplikasi menyediakan paket layanan dengan
berbagai modul. Paket modul sistem informasi aplikasi Zeta secara keseluruhan
tersedia terdapat 15 modul yang terlihat pada Gambar 4.1.

ZETA

MODUL MODUL LAPORAN MODUL

MODUL INFO MODUL KAS MODUL OTORISASI MODUL SYSTEM MODUL REPORT
ACCOUNTING PENAGIHAN PENJUALAN

MODUL DAFTAR MODUL MODUL

MODUL LAIN-LAIN MODUL MASTER MODUL P RINT ALL MODUL TOOLS
BUKU BESAR INVENTORY PEMBELIAN

Gambar 4. Gambaran Modul Sistem Informasi Aplikasi Zeta

(Sumber : Wawancara Supervisor IT dan Sistem Aplikasi Zeta)
 Gambar diatas merupakan bentuk gambaran sistem modul terdapat pada
diantaranya modul accounting, modul daftar buku besar, modul info, modul
inventory, modul kas, modul lain-lain, modul laporan penagihan, modul master,
modul otorisasi, modul pembelian, modul penjualan, modul print all, modul
report, modul system, dan modul tools. Sistem informasi aplikasi zeta merupakan
sistem yang menggerakkan operasional distribusi perusahaan di PT. X yang telah
berkesinambungan dengan sistem eksternal yaitu sistem informasi aplikasi
Navision DIS yang membentuk lingkungan sistem enterprise resource planning.
Pengembangan sistem informasi aplikasi Zeta yang dibangun dengan program
bahasa program Delphi7 dan database menggunakan SQL Server 2005.
Layanan yang disediakan pada kedua aplikasi sistem informasi di PT. X
yang mempunyai layanan sistem yang berbeda, namun memiliki mekanisme yang
berkesinambungan pada proses bisnis dalam pengolahan data dan informasi.
Konsep gambaran dari kedua sistem yang dimiliki dapat dilihat pada Gambar 4.2.

Navision DIS ZETA

Parsial

Toko
Tradisional
PT. X Order BALI-LOMBOK
Pemesanan - Retail Besar
Principle (Distributor) - Retail Menengah Konsumen
- PT. Multi Bintang Indonesia - Cabang Sempidi - Retail Kecil
Staff - Cabang Unggasan
- PT. Mayora Indah Tbk. - Mini-market
- PT. Frisian Flag Indonesia - Cabang Klungkung Kecil/Medium
- PT. Sari Agrotama Persada - Cabang Singaraja - Grosir
- PT. ABC President Indonesia - Cabang Lombok

Pengiriman

Pengiriman

Gudang

Gambar 4. Konsep Sistem Navision DIS dan Zeta

(Sumber : Wawancara Supervisor IT)

Gambar 4.2 merupakan bentuk kedua sistem yang selaras dalam

mekanisme penyaluran pengolahan data dan informasi yang memiliki tugas
berbeda. Perbedaan ini dikaitkan dengan kewenangan perusahaan yang telah
dipetakan sesuai aturan dalam mengelola bisnis sebagai pihak produksi dan
distributor untuk mejalankan bisnis yang sehat dan adil. Perusahaan principle
yang terdiri berbagai perusahaan sebagai pihak pengendalian mengelola produksi
sebuah produk jadi dari bahan mentah untuk di kirim ke logistik pemasaran
berdasarkan permintaan, sehingga manajemen ini sebagai kegiatan rantai pasokan
sebagaimana terjadi sistem supply chain management pada sistem Navision DIS
dan PT.X merupakan sebagai pihak penyalur komoditas produk dari principle ke
customer atau toko yang merupakan bagian dari konsep sistem customer
relationship management melalui sistem Zeta.
Mekanisme keterhubungan kedua sistem masih menggunakan secara sistem
paralel yaitu memanfaatkan eksekusi/operasi secara bersamaan terhadap sistem
masing-masing, namun memiliki struktur data yang dinamis terhadap kedua
sistem tersebut.
Pengguna layanan user yang dimiliki terlibat dalam sistem informasi
aplikasi Zeta sebagai hak akses istimewa untuk mengelola bagian tugas sesuai
kewenangan yang dapat dilihat pada tabel 4.2.

Tabel 4. Privileges Member Zeta

No. Kode Nama Member
1 IT Admin IT Admin 9
2 Sales Sales Departemen 6
3 Kasir Kasir 8
4 Admin. Gudang Admin Gudang 6
5 SPV. Invent SPV. Inventory 15
6 SPV. Admin SPV. Admin Sales 8
7 SPV. Accounting Supervisor Accounting 7
8 IT Support IT Support 1
9 Check Admin Check Admin Sales 12
10 Faktur Pajak Faktur Pajak 4
11 AR Keeper AR Keeper 7
12 Direksi Direksi 1
13 Marketing Marketing 1
14 Staf Perpajakan Staf Perpajakan 3
15 AP Pembelian 5
16 SPV. Sales Supervisor Sales 2
17 Staff Accounting Staff Accounting 0
18 AR Admin AR Admin 2
19 Reviewer Reviewer 1
20 Report ADM Report Admin 1
21 IT Support Assistant IT Support Assistant 0
22 Sales Manager Sales Manager 1
23 Produk & Harga Master Produk dan Harga 1
24 Auditor Internal Audit 1
 25 MGR Entry Manager Entry Return - 1
Blank
(Sumber : Sistem Informasi Aplikasi Zeta)
Tabel 4.2 merupakan bentuk hak akses privileges yang dimiliki sebanyak
25 dengan jumlah total member 103 pengguna untuk terlibat dalam penggunaan
sistem informasi aplikasi Zeta. Hak akses istimewa ini menentukan setiap tugas
dalam kewenangan akun pengguna serta pengelolaan read, insert, update, delete,
print dalam pengolahan sistem aplikasi Zeta.

4.2.1.3 Karakteristik Infrastruktur

Pengembangan infrastruktur pada perusahaan PT. X dibangun dengan
fasilitas penunjang untuk operasi bisnis dalam mendukung kinerja sistem
infrastruktur yang ada. Hal ini dijelaskan dalam model alokasi topologi jaringan.
a. Lokasi Jaringan
Lokasi infrastruktur sistem ini berpusat di Kota Denpasar sebagai pusat
manajemen kontrol. Infrastruktur terkait yaitu aplikasi sistem informasi melalui
data center, aplikasi manajemen operasional serta penataan ruang lingkup
pemasaran wilayah Provinsi Bali dan Nusa Tenggara dalam mengintegrasikan ke
dalam sistem data center.

b. Topologi Jaringan
Topologi jaringan yang dibangun pada perusahaan PT. X melalui
implementasi perusahaan dengan data yang diperoleh dari wawancara dengan
Supervisor IT. Kemudahan antar komunikasi lintas jaringan melalui sumber daya
yang dioptimalkan demi mewujudkan visi, misi dan tujuan perusahaan PT. X.
Topologi jaringan yang berada di Kota Denpasar dengan infrastruktur data center
dan operasional bisnis. Topologi jaringan kantor perusahaan PT. X dapat dilihat
pada Gambar 4.3.
 LANTAI 2 Keterangan

Internet
Telkom &
DATA CENTER CBN

Firewall

Modem

Server Application Zeta, Server Switch

DC+Stroage
LANTAI 1
Router
Wireless

Server/
Client PC Super
Client PC
Lantai 1 Lantai 2 Computer

Personal
Computer

Wirelless

Kabel LAN

Gambar 4. Topologi Jaringan Kantor Perusahaan PT. X

(Sumber: Wawancara Supervisor IT)
Gambar 4.3 merupakan bentuk topologi jaringan kantor perusahaan
PT. X yang memiliki bangunan dengan dua lantai. Topologi yang diterapkan
menggunakan model topologi star. Topologi star ini meliputi dari pangkalan data
di ruang data center dengan kedua server dalam aplikasi terdapat sistem control
domain dan sistem informasi aplikasi Zeta untuk dibagi dengan lintas komunikasi
pengguna PC internal perusahaan dari kedua lantai yang di tempatkan sesuai
divisi bidang masing-masing sesuai peran tanggung jawab pegawai serta dengan
dilengkapi penunjang Wi-Fi melalui 2 provider Indihome dan CBN akses internet
untuk optimalisasi peningkatan kemudahan proses bisnis di kedua lantai tersebut.
Dilengkapi adanya firewall dari bawaan modem untuk membatasi akses tidak sah
dari internal maupun sisi eksternal.

c. Alokasi Internet
Akses internet menggunakan layanan dari PT. Telekomunikasi Indonesia
dengan kapasitas bandwidth sebesar 50 Mbps melalui produk Indihome sebagai
penyokong utama akses internet dan menggunakan layanan produk provider CBN
dari PT Cyberindo Aditama dengan kapasitas bandwidth 25 Mbps sebagai
pendukung dari layanan akses internet. Layanan akses kedua internet ini dibagi
secara merata sesuai tingkat pemangku kepentingan dan layanan sistem.
d. Perangkat Keamanan
Perangkat keamanan yang diterapkan dalam dikategorikan menjadi dua
yaitu fisik dan sistem. Perangkat keamanan fisik yaitu diletakkan-nya data center
dalam ruangan dengan dilengkapi keamanan fisik berupa kunci pintu yang hanya
dikendalikan oleh Pimpinan Operasional perusahaan dan Supervisor IT.
Sedangkan keamanan sistem dilengkapi-nya keamanan CCTV pemantauan data
center selama 24 jam yang disimpan di dalam data center serta dilengkapi akses
firewall umum melalui model untuk membatasi akses tidak sah dari sisi internal
perusahaan maupun eksternal.

4.2.2 Identifikasi Ancaman (Threat Identification)

Pembahasan dari identifikasi ancaman pada sistem informasi di
perusahaan PT. X diambil melalui rekaman peristiwa dan rekaman permasalahan
serta kondisi situasi ancaman. Pembahasan melingkupi permasalahan yang timbul
dari internal ataupun eksternal terhadap sistem informasi di perusahaan PT. X.
4.2.2.1 Rekaman Peristiwa Permasalahan
Peristiwa yang terjadi pada sistem telah terdapat tiga peristiwa yang cukup
sering terjadi saat ini dari sisi internal maupun eksternal, yakni peristiwa sisi
eksternal yang pernah dialami dengan kategori cukup parah yaitu terjadinya
sistem kegagalan sistem akibat ditimbulkan dari matinya sumber daya listrik,
sebab kurangnya antisipasi dengan tidak adanya mem-backup listrik melalui
genset sebagai aliran daya pendukung. Kedua yaitu peristiwa dari sisi internal
yaitu kegagalan sistem yang kecil dialami pengguna PC karena kerusakan
beberapa hardware perangkat yang tidak dapat diprediksi, hal ini terjadi gangguan
tidak tersinkronisasi dengan mekanisme lintas komunikasi tahapan dari tim kerja
antar pengguna komputer pegawai. Peristiwa ketiga dari sisi internal yaitu
terjadinya kelalaian dari sisi pegawai yang tidak mengikuti SOP dan ketelitian
melakukan entri data yang tidak sesuai, hal ini sistem mengalami
ketidakseimbangan data yang ada serta meng-input entri bukan orang yang
berwenang.
 Rekam peristiwa terhadap sisi serangan dari luar berdasarkan user maupun
environment, saat ini belum terdampak secara signifikasi. Sisi pandangan
serangan dari user cukup waspada dilihat pada lingkup internal perusahaan, sebab
sistem pengelolaan yang dibangun hanya dikelola oleh pihak internal perusahaan,
tanpa adanya pengguna sisi publik serta data perusahaan yang sebatas kepentingan
perusahaan. Sisi environment dilihat lokasi perusahaan berdiri dimana terletak di
tengah Kota Denpasar dengan pemukiman padat penduduk dan jauh dari sisi
pantai maupun dataran tinggi gunung, namun ancaman environment tidak dapat
diprediksi seperti banjir, kebakaran, maupun gempa bumi yang sewaktu-waktu
dapat terjadi, hal ini perusahaan PT. X telah mengantisipasi dengan data center
berada dilantai dua dilengkapi alat pemadam kebakaran pada ruangan utama data
center serta telephone penting yang telah disediakan.

4.2.2.2 Klasifikasi Ancaman

Klasifikasi ancaman yang dapat berpeluang dapat terjadi yang disesuaikan
kondisi terhadap sistem informasi di perusahaan PT. X yang berpedoman pada
NIST SP 800-30 aspek threat sources maka identifikasi ancaman berpeluang
dapat dilihat pada Tabel 4.3.

Tabel 4. Klasifikasi Identifikasi Ancaman

Sumber
No Klausa Deskripsi Ancaman
Ancaman
1. Manusia Individu atau Information disclosure, malware,
kelompok di luar tindakan sengaja, virus, social
perusahaan engineering, interupsi sistem dan
Individu atau akses sistem yang tidak sah,
kelompok di peretasan, sabotase.
dalam perusahaan
2. Infrastruktur Penyimpanan Gagal fungsi media penyimpanan,
TI terlambat recovery system, tidak
ketersediaan informasi.
Pemprosesan Kegagalan sistem informasi yang
tidak berkesinambungan.
Komunikasi Serangan Wireless, perusakan
secara langsung perangkat atau
jalur komunikasi data, pemutusan
 jaringan komunikasi.
Operasional Kegagalan sistem, terlambat
Infrastruktur TI recovery system, tidak ketersediaan
informasi, terganggunya aktivitas
manajemen, kegagalan sistem rasio
antisipasi waktu tidak terjamin.
3. Lingkungan Gempa Bumi Sistem mati, data hilang dan
Banjir infrastruktur IT rusak.
Kebakaran
Tsunami
Kegagalan
Infrastruktur TI
Tabel 4.3 merupakan bentuk model klasifikasi ancaman yang memiliki
peluang dalam risiko yang dihadapi oleh perusahaan PT. X menyangkut sistem
informasi keamanan informasi.

4.2.3 Identifikasi Kerentanan (Vulnerability Identification)

Proses pelaksanaan dalam identifikasi kerentanan pada perusahaan PT. X
dilakukan dengan assessment control yaitu pertanyaan kontrol keamanan
informasi yang berpedoman pada NIST 800-53A Revision 4 (Security Self-
Assessment Guide for Information Technology System). Responden yang terlibat
dalam assessment control meliputi Controller dan Supervisor TI sebagai
pemangku pejabat kepentingan pada pengelolaan teknologi informasi dari segi
keamanan informasi. Identifikasi kerentanan melalui kuesioner pertanyaan kontrol
keamanan memiliki lingkup kebijakan proses bisnis information security untuk
mengetahui beberapa kerentanan di dalam sistem di perusahaan PT. X.
4.2.3.1 Kerentanan Self-Assessment NIST SP 800-53A R. 4
Penilaian kerentanan diperoleh melalui komunikasi wawancara dengan
beberapa pertanyaan pendekatan. Pertanyaan yang didukung dokumen pedoman
NIST SP 800-53A Revision 4 dengan aspek tingkat penilaian ketersediaan kontrol
yaitu ada dan belum ada dengan deskripsi bentuk ketersediaan kontrol. Dokumen
pedoman yang berisikan panduan dalam menggali informasi yang lebih dalam
mengetahui aspek keamanan informasi. Berikut daftar question list self-
assessment untuk kepada pihak responden Controller dan Supervisor IT yang
dapat dilihat pada Tabel 4.4.
Tabel 4. Question List Code Self-Assessment NIST SP 800-53A Revision 4
Question Family Code Question List Code Jumlah Pertanyaan
Access Control AC AC-1(a)(1)[1] 11
AC-2(a)[2]
AC-3
AC- 4
AC-7(a)[3]
AC-9
AC-10[3]
AC-16(8)[1]
AC-17(a)[1]
AC-17(6)
AC-20
Awareness And AT AT-1(a)(1)[1] 3
Training AT-3(a)
AT-3(2) [1]
Audit And AU AU-1(a)(1)[1] 7
Accountability AU- 3 (2)[1]
AU-4.1
AU-5(a)[1]
AU-5(3)[1]
AU-8.1
AU-14
Security Assessment CA CA-1.1 4
And Authorization CA- 2(2)[1]
CA- 5(a)[1]
CA- 9(1)
Configuration CM CM-1(a)(2)[ 1] 6
Management CM-2(1)(a)[2]
CM-2(3)[1]
CM-3(b)
CM-6(1)[1][a]
CM-7(2)[1]
Contingency Planning CP CP-2(a)(1) 4
CP-6[1]
CP-10[4]
CP-13
Identification And IA IA-4(4)[2] 4
Authentication IA-5(1)[1]
IA-7
IA-11[1]
Incident Response IR IR-4(7) 2
IR-7[1]
Maintenance MA MA-1(a)(1)[1] 3
MA-5(2)
MA-6[2]
Media Protection MP MP-1(a)(1)[3] 2
MP-7(1)
Physical And PE PE-1(a)(1)[1] 7
Environmental PE-3(3)
Protection PE-8(a)[2]
PE-9
PE-12
PE-13[1]
 Question Family Code Question List Code Jumlah Pertanyaan
PE-20(a)[3]
Planning PL PL-1(a)(1)[1] 3
PL-4(1)
PL-8(a)(1)
Program Management PM PM-8 3
PM-9(a)
PM-14
Personnel Security PS PS-4(a)[1] 3
PS-7(a)
PS-8(a)
Risk Assessment RA RA-5(a)[3] 2
RA-6[2]
System And Services SA SA-3(a)[1] 3
Acquisition SA-4(8)[1]
SA-12(7)
System And SC SC-1(a)(1) 4
Communications SC-5(2)
Protection SC-13
SC-26
System And Information SI SI-2(5) 3
Integrity SI-3(9)[1]
SI-4(a)(1)[1]
Tabel 4.4 merupakan daftar pertanyaan dengan kode berdasarkan panduan
dari NIST SP 800-53A Revision 4. Pertanyaan yang diambil sebanyak 74 yang
dipilih melalui proses kecenderungan pertanyaan yang potensial berpengaruh
dalam mencari kerentanan dan seleksi hasil melalui pertanyaan komunikasi
wawancara sebelumnya secara umum kepada Controller dan Supervisor IT di
perusahaan PT. X.

4.2.3.2 Kondisi Kerentanan (Predisposing Conditions)

Pengukuran dengan melihat dari sisi potensial ancaman yang mengacu
pada aspek self-assessment melalui NIST SP 800-53A Revision 4 dan aspek
temuan karakteristik sistem aset yang teridentifikasi yang mengancam. Pertanyaan
yang telah terjawab memperoleh data yang menghasilkan titik temuan kerentanan
yang terdampak potensial yang belum diterapkan, perolehan ancaman sendiri
melalui proses pengetahuan dan kesadaran dalam mengenali, dan mendeteksi
kerentanan yang disesuaikan kondisi spesifik organisasi perusahaan. Bentuk
kondisi kerentanan dapat dilihat pada Tabel 4.5.
Tabel 4. Identifikasi Kerentanan
Code
Identifikasi Sumber Jenis Aset
No. Self- Ketersediaan Kontrol
Kerentanan Terdampak
Assessment
1. Sistem tidak menerapkan AC-17(a)[1] Belum ada Sistem
modul keamanan CA-2(2)[1] informasi Zeta
khusus/alternatif/kritis CP-13
(kriptografi) IA-7
SC-13
2. Belum memiliki AC-17(6) Hanya pemantauan Infrastruktur
pemantauan jarak jauh SI-4(a)(1)[1] berdasarkan kendala atau TI,
sebagai perlindungan hambatan kinerja PC Infrastruktur
informasi untuk dengan Microsoft remote jaringan
memastikan potensi desktop dan pemantauan
serangan pada sistem pada event log untuk
informasi serangan jaringan
internal tetapi jarang
dilakukan .hanya saat
insiden
3. Belum memiliki dokumen AT-1(a)(1) Komunikasi dengan Infrastruktur
formal kebijakan kesadaran [1] menegur dan TI
dan pelatihan keamanan memberikan saran atas
kesalahan perilaku
4. Tidak terdapat pelatihan AT-3(2)[1] Pemilihan personel Sistem
awal kepada pegawai untuk dipilih berdasarkan informasi Zeta
bekerja sesuai peran dan pengalaman, seperti
tugas serta pelatihan basic IT Personal
security awareness
terhadap sistem informasi
5. Tidak memiliki kebijakan AU-1(a)(1) Hanya audit internal Infrastruktur
audit TI dan akuntabilitas [1] perusahaan yang TI
TI dalam frekuensi waktu dijalankan principle
tertentu dalam bidang SDM segi
operasional finance.
6. Tidak menetapkan personel AU-5(a)[1] Personel peran siaga Infrastruktur
atau peran yang akan belum ada, masih TI, PC user,
disiagakan jika terjadi mengandalkan satu Infrastruktur
kegagalan pemrosesan personel. Jaringan
7. Tidak terdapat pengelolaan AU-5(3)[1] Belum ada Infrastruktur
besaran pengolahan SC-5(2) jaringan
penggunaan bandwidth
8. Tidak memiliki alternatif CP-6[1] Alternatif storage site Sistem
storage site terpisah dalam dengan satu tempat ruang informasi Zeta
mekanisme backup server yang sama
storage
9. Tidak terdapat pemeriksaan CA-9(1) Keamanan komponen Infrastruktur
kepatuhan aspek standar berdasarkan model TI
keamanan yang baku pada arsitektur penyusun yang
pegawai sudah dipertimbangkan
secara matang oleh
konsultan sistem sesuai
kebutuhan perusahaan
10. Konfigurasi sistem yang CM-2(3)[1] Sistem dengan Sistem
lama dan siap dipakai pengaturan design sudah informasi
 Code
Identifikasi Sumber Jenis Aset
No. Self- Ketersediaan Kontrol
Kerentanan Terdampak
Assessment
(rollback system) bila di-default, dan data Zeta,
terjadi suatu kegagalan sudah disiapkan oleh Infrastruktur
informasi (reset) backup storage. Jaringan
11. Belum memiliki kebijakan CM-7(2)[1] Belum ada PC User
batasan penggunaan
program perangkat lunak
terhadap sistem
12. Tidak terdapat dokumentasi CP-2(a)(1) Pencatatan berdasarkan Infrastruktur
manajemen rencana darurat pengalaman yang TI
atau insiden pada sistem mengandalkan satu
informasi dalam personel.
contingency plan.
13. Tidak memiliki dokumen MA-1(a)(1) Pemeliharaan dilakukan Sistem
manajemen maintenance [1] oleh internal, apabila informasi Zeta
pemeliharaan sistem sesuai kendala cukup besar
petunjuk vendor dilakukan dengan pihak
ketiga
14. Belum memiliki MA-6[2] Pergantian suku cadang Infrastruktur
penjadwalan yang rutin dilihat dari situasi TI, Sistem
terhadap maintenance insiden keadaan informasi
sistem hanya terhadap komponen. Apabila Zeta, PC User
insiden kerusakan dampak yang
ditimbulkan tinggi,
segera dilakukan
pergantian
15. Tidak memiliki dokumen MP-1(a)(1) Kebijakan pembatasan PC User
kebijakan perlindungan [3] pelindungan media
media batasan penggunaan terhadap personel masih
terhadap pegawai secara situasional secara
komunikatif.
16. Tidak memiliki PE-9 Belum ada, hanya Infrastruktur
perlindungan atau menyediakan UPS TI
pecadangan atau
perlengkapan dini daya
listrik
17. Tidak memiliki PE-12 Belum ada Infrastruktur
percahayaan darurat dan TI
perlengkapan dini
percahayaan
18. Tidak memiliki deteksi dan PE-13[1] Alat pemadam dan Infrastruktur
perlengkapan dini deteksi masih minim, TI
kebakaran dikatakan cukup kurang
19. Tidak terdapat kebijakan PL-1(a)(1) Disesuaikan dengan sisi Infrastruktur
perencanaan keamanan [1] perusahaan principle dan TI
berkelanjutan sisi konsultan
20. Belum menangani PM-8 Belum ada Infrastruktur
manajemen pengembangan TI
rencana keamanan
informasi infrastruktur
berkelanjutan
21. Tidak memiliki PM-9(a) Strategi komprehensif Infrastruktur
dokumentasi strategi risiko risiko terhadap aset TI, Sistem
 Code
Identifikasi Sumber Jenis Aset
No. Self- Ketersediaan Kontrol
Kerentanan Terdampak
Assessment
mengelola operasi dan aset dokumentasi telah Informasi Zeta
pembentuk infrastruktur TI dilakukan dengan
memperhatikan
ketentuan kebijakan serta
22. Tidak terdapat manajemen PM-14 Produk sistem sudah siap Sistem
pengujian, pelatihan, dan RA-5(a)[3] pakai ketika digunakan Informasi Zeta
pemantauan terdapat sistem dan perbaikan
informasi yang diterapkan berdasarkan insiden
berlangsung ditindak
23. Dokumentasi sistem PL-8(a)(1) Pencatatan input Sistem
informasi tidak terintegrasi dilakukan mengulang informasi Zeta
dengan baik melalui ketika tidak
dokumentasi input terpisah tersinkronisasi dengan
satu sama lain baik ketika outlet yang
belum membayar tagihan
dengan rekapitulasi
permintaan barang
24. Tidak terdapat penilaian SA-12(7) Penilaian tidak secara Sistem
fungsionalitas arus lintas tertulis, hanya informasi Zeta
komunikasi terhadap sistem komunikatif terhadap
informasi, komponen hambatan terhadap
sistem, atau layanan sistem konsultan TI
informasi ketika diterapkan
oleh perusahaan
25. Tidak terdapat teknologi SC-26 Belum ada Infrastruktur
keamanan dalam sistem TI
informasi maupun
pencegahan pendeteksian
atau membelokkan
serangan
Tabel 4.5 merupakan salah satu dari beberapa pertanyaan yang
teridentifikasi permasalahan kerentanan terjadinya ancaman. Identifikasi kondisi
kerentanan senilai 25 kerentanan dengan 32 aspek indikator penilaian yang
berpengaruh pada aset perusahaan yang memiliki potensial dibagi menjadi empat
aspek yang terdampak yaitu infrastruktur TI, infrastruktur jaringan, sistem
informasi aplikasi Zeta, dan PC User.
4.2.4 Analisis Kontrol (Control Analysis)
` Konsep analisa kontrol merupakan pendekatan pendeteksian ancaman
terhadap sumber ancaman pada penilaian kerentanan kontrol yang dihasilkan pada
setiap aset. Analisa terhadap beberapa kerentanan yang terjadi, melalui self-
assessment NIST SP 800-53A Revision 4 untuk kerentanan kontrol dalam
menentukan ancaman yang berdasarkan sumbernya dalam pedoman NIST SP
800-30. Proses penilaian ancaman maupun sumber ancaman ini berdasarkan dari
proses analisa NIST SP 800-30 dan dasar pada pengetahuan dan kesadaran dari
pustakawan dalam mengenali dampak ancaman terhadap nilai kerentanan. Bentuk
analisis kontrol ancaman terhadap kerentanan terhadap sumbernya dapat dilihat
pada Tabel 4.6.

Tabel 4. Analisis Kontrol Ancaman

Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST SP 800-30)
1. Infrastruktur Belum memiliki  Individu atau Kebocoran informasi,
TI pemantauan jarak kelompok di luar kerusakan sistem,
jauh sebagai perusahaan kegagalan sistem
perlindungan untuk  Individu atau informasi, terlambat
memastikan potensi kelompok di dalam recovery system
serangan pada sistem perusahaan
informasi  Infrastruktur
Komunikasi
Tidak memiliki  Individu atau Tidak ketersediaan
kebijakan audit TI kelompok di luar informasi, kegagalan
dan akuntabilitas TI perusahaan sistem informasi,
dalam frekuensi  Individu atau terlambat recovery
waktu tertentu kelompok di dalam system, tidak memiliki
perusahaan pengembangan
 Infrastruktur peningkatan sistem
Pemprosesan
Tidak menetapkan  Individu atau Tidak ketersediaan
personel atau peran kelompok di dalam layanan, kerusakan
yang akan disiagakan perusahaan sistem, kegagalan
jika terjadi kegagalan  Infrastruktur sistem informasi,
pemrosesan Pemprosesan terlambat recovery
system
Tidak terdapat  Individu atau Pelanggaran hak akses
pemeriksaan kelompok di dalam dari user yang tidak
kepatuhan aspek perusahaan memahami aspek
standar keamanan  Infrastruktur keamanan informasi
yang baku pada Pemprosesan dengan
pegawai ketidakdisiplinan yang
dapat merugikan sistem
Tidak terdapat  Individu atau Tidak ketersediaan
dokumentasi kelompok di luar layanan, terlambat
manajemen rencana perusahaan recovery system,
darurat atau insiden  Individu atau kegagalan sistem rasio
pada sistem informasi kelompok di dalam antisipasi waktu tidak
dalam contingency perusahaan terjamin, Sistem mati
plan.  Operasional
Infrastruktur TI
Belum memiliki  Individu atau Tidak ketersediaan
penjadwalan yang kelompok di dalam layanan, terlambat
rutin terhadap perusahaan recovery system,
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST SP 800-30)
maintenance sistem  Operasional kegagalan sistem rasio
hanya terhadap Infrastruktur TI antisipasi waktu tidak
insiden terjamin
Tidak memiliki  Infrastruktur TI Tidak ketersediaan
perlindungan atau  Lingkungan layanan, kegagalan
pencadangan atau Operasional aktivitas sistem
perlengkapan dini Infrastruktur TI
daya listrik
Tidak memiliki  Infrastruktur TI Terganggunya aktivitas
percahayaan darurat  Lingkungan manajemen, kerusakan
dan perlengkapan dini Operasional komponen
percahayaan Infrastruktur TI

Tidak memiliki  Infrastruktur TI Tidak ketersediaan

deteksi dan  Lingkungan layanan, kegagalan
perlengkapan dini Operasional sistem informasi,
kebakaran Infrastruktur TI terlambat recovery
system, data crash,
sistem informasi crash
Tidak terdapat  Individu atau Keterlambatan recovery
kebijakan kelompok di dalam system, kegagalan
perencanaan perusahaan sistem informasi,
keamanan  Operasional perangkat sistem
berkelanjutan Infrastruktur TI informasi tidak
terkontrol, tidak
memiliki
pengembangan
peningkatan sistem
Belum menangani  Individu atau keterlambatan recovery
manajemen kelompok di dalam system, kegagalan
pengembangan perusahaan sistem informasi,
rencana keamanan  Operasional perangkat sistem
informasi dalam Infrastruktur TI informasi tidak
infrastruktur yang terkontrol, tidak
berkelanjutan memiliki
pengembangan
peningkatan sistem
Tidak terdapat  Individu atau Kebocoran informasi,
teknologi keamanan kelompok di luar kerusakan sistem,
dalam sistem perusahaan kegagalan sistem
informasi maupun  Individu atau informasi, terlambat
pencegahan kelompok di dalam recovery system
pendeteksian atau perusahaan
membelokkan  Infrastruktur TI
serangan
2. Sistem Sistem tidak  Individu atau Kebocoran informasi
Informasi menerapkan modul kelompok di luar dan data informasi tidak
Zeta keamanan khusus/ perusahaan terkontrol
alternatif/kritis  Individu atau
(kriptografi) kelompok di dalam
perusahaan
 Infrastruktur TI
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST SP 800-30)
Tidak terdapat  Individu atau Pelanggaran hak akses
pelatihan awal kepada kelompok di dalam dari user yang tidak
pegawai untuk perusahaan memahami aspek
bekerja sesuai peran  Operasional keamanan informasi
dan tugas serta Infrastruktur TI dengan ketidak disiplin
pelatihan security yang dapat merugikan
awareness terhadap perusahaan
sistem informasi
Tidak memiliki  Individu atau Database crash, data
alternatif storage site kelompok di dalam informasi tidak
terpisah dalam perusahaan terkontrol, tidak
mekanisme backup  Infrastruktur ketersediaan informasi
storage Penyimpanan dan dan layanan, kegagalan
pemprosesan sistem informasi
Konfigurasi sistem  Individu atau Tidak ketersediaan
yang lama dan siap kelompok di dalam layanan, kerusakan
dipakai (rollback perusahaan sistem, kegagalan
system) bila terjadi  Infrastruktur sistem informasi,
suatu kegagalan Penyimpanan dan terlambat recovery
informasi (reset) pemprosesan system
Tidak memiliki  Individu atau Tidak ketersediaan
dokumen manajemen kelompok di dalam informasi, kegagalan
maintenance perusahaan sistem informasi,
pemeliharaan sistem  Operasional terlambat recovery
baku sesuai standar Infrastruktur TI system, tidak memiliki
pengembangan
peningkatan sistem
Belum memiliki  Individu atau Tidak ketersediaan
penjadwalan yang kelompok di dalam layanan, terlambat
rutin terhadap perusahaan recovery system,
maintenance sistem  Operasional kegagalan sistem rasio
hanya terhadap Infrastruktur TI antisipasi waktu tidak
insiden terjamin
Tidak memiliki  Individu atau Tidak ketersediaan
dokumentasi strategi kelompok di dalam informasi, kegagalan
risiko mengelola perusahaan sistem informasi,
operasi dan aset  Operasional terlambat recovery
pembentuk Infrastruktur TI system, tidak memiliki
infrastruktur TI pengembangan
peningkatan sistem
Tidak terdapat  Individu atau Tidak ketersediaan
manajemen kelompok di dalam informasi, kegagalan
pengujian, pelatihan, perusahaan sistem informasi, sistem
dan pemantauan  Operasional tidak
terdapat sistem Infrastruktur TI berkesinambungan,
informasi yang tidak memiliki
diterapkan pengembangan
peningkatan sistem
Dokumentasi sistem  Individu atau Sistem informasi tidak
informasi tidak kelompok di dalam terkontrol, tidak
terintegrasi dengan perusahaan ketersediaan informasi,
baik melalui  Infrastruktur kegagalan sistem
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST SP 800-30)
dokumentasi input Penyimpanan dan informasi, terlambat
terpisah satu sama pemprosesan recovery system
lain
Tidak terdapat  Individu atau Tidak ketersediaan
dokumentasi kelompok di dalam informasi, kegagalan
penilaian sistem perusahaan sistem informasi, tidak
informasi ketika  Operasional berkesinambungan,
diterapkan oleh Infrastruktur TI tidak memiliki
perusahaan pengembangan
peningkatan sistem
3. PC User Belum memiliki  Individu atau Terciptanya serangan
kebijakan batasan kelompok di dalam virus, malware,
penggunaan program perusahaan kerusakan sistem,
perangkat lunak  Operasional terganggunya aktivitas
terhadap sistem Infrastruktur TI sistem, kebocoran
informasi
Tidak memiliki  Individu atau Kerusakan komponen,
dokumen kebijakan kelompok di dalam kebocoran data,
perlindungan media perusahaan kegagalan sistem
batasan penggunaan  Operasional informasi, terlambat
terhadap pegawai Infrastruktur TI recovery system, tidak
ketersediaan layanan
Belum memiliki  Individu atau Tidak ketersediaan
penjadwalan yang kelompok di dalam layanan, terlambat
rutin terhadap perusahaan recovery system,
maintenance sistem  Operasional kegagalan sistem rasio
hanya terhadap Infrastruktur TI antisipasi waktu tidak
insiden terjamin
Baterai UPS hanya  Individu atau Tidak ketersediaan
bertahan beberapa kelompok di dalam layanan, keterlambatan
saat atau terkadang perusahaan recovery system, data
tidak berfungsi sama  Infrastruktur TI crash, perangkat sistem
sekali informasi tidak
terkontrol
4. Infrastruktur Tidak  Individu
terdapat atau Terdapat malware,
Jaringan pemantauan jarakkelompok di luar botnet masuk ke dalam
jauh sebagaiperusahaan sistem, remote access
perlindungan untuk  Individu atau desktop atau trojan
memastikan potensi kelompok di dalam
serangan pada sistem perusahaan
informasi  Infrastruktur TI
Tidak menetapkan Individu atau Tidak ketersediaan
personel atau peran kelompok di dalam layanan, kerusakan
yang akan disiagakan perusahaan sistem, kegagalan
jika terjadi kegagalan
 Operasional sistem informasi,
pemrosesan Infrastruktur TI dan terlambat recovery
komunikasi system
Tidak terdapat  Individu atau Tidak ketersediaan
pengelolaan besaran kelompok di dalam layanan, kegagalan
pengolahan perusahaan sistem informasi,
penggunaan  Infrastruktur keterlambatan
bandwidth Komunikasi komunikasi sistem,
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST SP 800-30)
kegagalan recovery
system, sistem
informasi tidak
terkontrol
Konfigurasi sistem  Individu atau Tidak ketersediaan
yang lama dan siap kelompok di dalam layanan, keterlambatan
dipakai (rollback perusahaan komunikasi sistem,
system) bila terjadi  Infrastruktur kegagalan recovery
suatu kegagalan Penyimpanan dan system
informasi (reset) pemprosesan
Tabel 4.6 merupakan bentuk analisis kontrol yang berisi penilaian kontrol
kerentanan dengan menghasilkan dampak ancaman yang sebanyak 30 ancaman
ditimbulkan terhadap empat aset perangkat komponen yang terdampak. Proses
selanjutnya bentuk penilaian dampak ancaman dalam penentuan probabilitas
kecenderungan risiko.

4.2.5 Penentuan Kecenderungan (Likelihood)

Proses penentuan kecenderungan yaitu analisa terhadap tingkat seberapa
mungkin ancaman dapat mengekspose kerentanan dalam sistem yang dimiliki
yang mengakibatkan dampak pada sistem informasi. Penilaian berdasarkan
peristiwa analisa probabilitas jumlah insiden kejadian di masa lalu hingga
sekarang, proses penentuan kecenderungan berdasarkan tiga level skala penilaian
dengan probabilitas jumlah kejadian kegagalan fungsi layanan. Bentuk skala level
kecenderungan (likelihood) dapat dilihat pada Tabel 4.7.

Tabel 4. Nilai level Kecenderungan (Likelihood)

Nilai Semi
Kuantitatif
Level Deskripsi
Nilai Nilai Jumlah
Skala Kejadian
High Terjadi kegagalan fungsi sama lebih dari 6 kali dalam satu
1,0 > = 6 kali
tahun
Mediu Terjadi kegagalan fungsi 3 - 5 kali dalam satu tahun
0,5 3-5 Kali
m
Low Terjadi kegagalan fungsi sama kurang dari 2 kali dalam
0,1 = < 2 kali
satu tahun
(Sumber: NIST SP 800-30, “telah diolah kembali”)
Tabel 4.7 merupakan bentuk penentuan dari skala penilaian diantaranya
high, medium, low. Nilai tingkatan melalui proses jumlah terjadinya kegagalan
fungsi layanan berlangsung di masa waktu sistem dioperasikan pada lingkungan
perusahaan di PT. X.
Berdasarkan penilaian ancaman yang terdapat 30 ancaman dengan
melingkupi empat aspek aset perangkat TI dari analisa tidak ketersediaan dari
mekanisme kontrol. Beberapa bentuk probabilitas kecenderungan nilai potensi
tingkat kejadian terhadap ancaman dari kerentanan dapat dilihat pada Tabel 4.8.

Tabel 4. Level Likelihood Ancaman

Nilai Level
N Dampak Nilai
Aset Kerentanan Skala Likelihoo
o Ancaman Kecenderungan
d
1. Infrastruktur Tidak Tidak Aktivitas
TI menetapkan ketersediaan hingga saat ini,
personel atau layanan, kebutuhan
peran yang akan kerusakan service dalam
disiagakan jika sistem, personel secara
terjadi kegagalan langsung (tiba- 1,0 High
kegagalan sistem tiba) hingga
pemrosesan informasi, lebih dari 6 kali
terlambat kejadian dalam
recovery setahun
system
2. Sistem Tidak terdapat Pelanggaran Aktivitas
Informasi pelatihan awal hak akses dari hingga saat ini,
Zeta kepada pegawai user yang pelanggaran
untuk bekerja tidak pengguna tidak
sesuai peran dan memahami sah sesuai peran
tugas serta aspek dan aspek
pelatihan keamanan keamanan
0,5 Medium
security informasi sistem, dengan
awareness dengan rentang 1-4 kali
terhadap sistem ketidak kejadian
informasi disiplin yang
dapat
merugikan
perusahaan
3. PC User Belum memiliki Terciptanya Aktivitas
kebijakan serangan hingga saat ini,
batasan virus, gangguan PC
penggunaan malware, pengguna
program kerusakan akibat batasan
perangkat lunak sistem, kepatuhan
terhadap sistem terganggunya software 0,5 Medium
aktivitas dengan service
sistem, lebih dari 6 kali
kebocoran kejadian dalam
informasi setahun di
semua
komputer
 Nilai Level
N Dampak Nilai
Aset Kerentanan Skala Likelihoo
o Ancaman Kecenderungan
d
4. Infrastruktur Tidak terdapat Tidak Aktivitas
Jaringan pengelolaan ketersediaan hingga saat ini,
besaran layanan, setiap tahun
penggunaan kegagalan jarang terjadi
bandwidth sistem dan tidak
informasi, pernah
keterlambatan
komunikasi
sistem, 0,1 Low
kegagalan
recovery
system,
perangkat
sistem
informasi
tidak
terkontrol
Tabel 4.8 merupakan bentuk beberapa dari salah satu dari probabilitas
tingkat kecenderungan sebanyak 30 ancaman terhadap kerentanan yang ada dalam
setiap empat aset. Nilai likelihood disesuaikan dengan skala rentang level
likelihood berdasarkan penyesuaian situasi peristiwa probabilitas kejadian yang
dialami oleh perusahaan sebelumnya. Hasil rekap tingkat keseluruhan ancaman
dari kerentanan pada level likelihood dapat dilihat pada Tabel 4.9.

Tabel 4. Rekap Nilai Level Likelihood

Nilai Level Likelihood
Pernyataan Likelihood
Low Medium High
Infrastruktur TI 6 3 3
Sistem informasi Zeta 5 3 2
PC user 0 3 1
Infrastruktur jaringan 3 0 1
Jumlah hasil pernyataan setiap tingkat kecenderungan 14 9 7
Tabel 4.9 merupakan rekap nilai level likelihood dari semua pernyataan
ancaman dari daftar kerentanan yang berdasarkan empat aspek aset. Penilaian
likelihood ini lebih mendominasi ke level low sebesar 14, terutama terendah pada
aspek Infrastruktur TI dengan nilai level low sebesar 6. Hasil keempat aspek
likelihood ini dapat divisualisasikan pada Gambar 4.4.
 Gambar 4. Hasil Penentuan Likelihood Aset

Gambar 4.4 merupakan visualisasi chart bar yang menghasilkan

penentuan likelihood dari seluruh aspek infrastruktur TI, sistem informasi aplikasi
Zeta, PC user, infrastruktur jaringan. Sedangkan hasil penentuan untuk hasil total
berdasarkan level likelihood dapat dilihat pada Gambar 4.5.

Gambar 4. Hasil Total Penentuan Likelihood

Gambar 4.5 merupakan visualisasi model chart column yang

menghasilkan penentuan keseluruhan tingkal level likelihood yaitu low, medium,
high dari seluruh keempat aspek. Level low senilai 14, medium senilai 9, high
senilai 7.
4.2.6 Penentuan Analisis Dampak (Impact Analysis)
Proses penentuan analisis dampak merupakan langkah selanjutnya dari
penentuan kecenderungan. Analisa dampak diperoleh dari seberapa besar dampak
yang ditimbulkan akibat dari ancaman yang mengeksploitasi kerentanan tersebut.
Tingkat nilai dampak diperoleh berdasarkan tiga level dengan nilai skala jumlah
terlibat yang terkena pengaruh dari gangguan fungsi layanan yang dihadapi.
Bentuk skala level analisa dampak yang ditimbulkan (impact) dapat dilihat pada
Tabel 4.10.

Tabel 4. Nilai Level Analisis Dampak (Impact Analysis)

Nilai Semi Kuantitatif
Level Nilai Nilai Jumlah Pengaruh Dampak Ancaman
Skala Pengaruh Dampak
Pengaruh dampak ancaman melibatkan
4 Terlibat operasional perusahaan, aset perusahaan,
individu, perusahaan lain
Pengaruh dampak ancaman melibatkan
operasional perusahaan, aset perusahaan,
High 100
individu.
Pengaruh dampak ancaman melibatkan
3 Terlibat
operasional perusahaan, aset perusahaan,
perusahaan lain.
Pengaruh dampak ancaman melibatkan
operasional perusahaan, perusahaan lain, individu
Pengaruh dampak ancaman melibatkan
Medium 50 2 Terlibat
operasional perusahaan, aset perusahaan.
Pengaruh dampak ancaman melibatkan
1 Terlibat operasional perusahaan yang tidak dapat
Low 10 diabaikan
Pengaruh dampak ancaman melibatkan
0
operasional perusahaan yang dapat diabaikan
(Sumber: NIST SP 800-30, “telah diolah kembali”)
Tabel 4.10 merupakan bentuk penentuan dari skala penilaian dampak
terdiri dari high, medium, dan low dengan jumlah pengaruh terlibat dampak. Nilai
tingkatan melalui proses pengaruh dampak korban yang mengancam atau
kerugian bahaya yang terjadinya oleh kegagalan fungsi layanan berdasarkan
dalam beberapa aset dampak yang ditimbulkan pada sistem informasi di
perusahaan PT. X.
 Berdasarkan penilaian ancaman yang terdapat 30 ancaman dengan
melingkupi empat aspek aset dari analisa tidak ketersediaan yang berdampak
pengaruh kerugian. Beberapa bentuk nilai potensi besaran dampak terhadap
ancaman dari kerentanan dapat dilihat pada Tabel 4.11.

Tabel 4. Tingkat Dampak Ancaman

Pengaruh
Dampak Nilai Level
No Aset Kerentanan Dampak
Ancaman Skala Impact
Bahaya
1. Infrastruktur Tidak Tidak Gangguan
TI menetapkan ketersediaan operasi internal,
personel atau layanan, kerusakan aset
peran yang kerusakan sistem, (arus data
100 High
akan disiagakan kegagalan sistem informasi dan
jika terjadi informasi, komponen),
kegagalan terlambat bahaya pada
pemrosesan recovery system individu
2. Sistem Tidak terdapat Pelanggaran hak Gangguan
Informasi pelatihan awal akses dari user operasi internal,
Zeta kepada pegawai yang tidak kerusakan aset
untuk bekerja memahami aspek (arus data
sesuai peran keamanan informasi dan
dan tugas serta informasi dengan komponen), 100 High
pelatihan ketidak disiplin bahaya pada
security yang dapat individu
awareness merugikan pegawai
terhadap sistem perusahaan
informasi
3. PC User Belum Terciptanya Gangguan
memiliki serangan virus, operasi internal,
kebijakan malware, kerusakan aset
batasan kerusakan sistem, (arus data Mediu
50
penggunaan terganggunya informasi dan m
program aktivitas sistem, komponen)
perangkat lunak kebocoran
terhadap sistem informasi
4. Infrastruktur Tidak terdapat Tidak Gangguan
Jaringan pengelolaan ketersediaan operasi internal,
besaran layanan, Gangguan
pengolahan kegagalan sistem terhadap arus
penggunaan informasi, informasi
bandwidth keterlambatan dengan Mediu
50
komunikasi perusahaan lain m
sistem, kegagalan
recovery system,
perangkat sistem
informasi tidak
terkontrol
Tabel 4.11 merupakan bentuk salah satu tingkat analisis dampak dari
beberapa 30 ancaman terhadap kerentanan yang ada untuk empat aspek aset. Nilai
impact analysis disesuaikan dengan skala rentang level impact analysis
berdasarkan penyesuaian situasi analisis potensial pengaruh terlibat bahaya dari
kerugian oleh ancaman yang ditimbulkan. Hasil rekap tingkat dampak untuk
keseluruhan ancaman dari kerentanan pada level impact dapat dilihat pada Tabel
4.12.
Tabel 4. Rekap Nilai Level Impact
Nilai Level Impact
Pernyataan Impact
Low Medium High
Infrastruktur TI 1 2 9
Sistem informasi Zeta 0 3 7
PC user 0 4 0
Infrastruktur jaringan 0 2 2
Jumlah hasil pernyataan setiap tingkat dampak 1 11 18
Tabel 4.12 merupakan rekap nilai level impact dari semua pernyataan
ancaman dari daftar kerentanan yang berdasarkan empat aspek aset. Penilaian
impact ini lebih mendominasi ke level high sebesar 18 dan cenderung nilai level
tertinggi pada aspek infrastruktur TI dengan impact level high senilai 9. Hasil
keempat aspek keempat ini dapat divisualisasikan pada Gambar 4.6.

Gambar 4. Hasil Penentuan Impact Aset

Gambar 4.6 merupakan visualisasi chart bar yang menghasilkan

penentuan impact dari seluruh aspek infrastruktur TI, sistem informasi aplikasi
Zeta, PC user, infrastruktur jaringan. Sedangkan hasil penentuan untuk hasil total
berdasarkan level impact dapat dilihat pada Gambar 4.7.

Gambar 4. Hasil Total Penentuan Impact

Gambar 4.7 merupakan visualisasi model chart column yang

menghasilkan penentuan keseluruhan tingkal level impact yaitu low, medium,
high dari seluruh keempat aspek. Level low senilai 1, medium senilai 11, high
senilai 18.

4.2.7 Penentuan Risiko (Risk Determination)

Proses penentuan risiko merupakan langkah selanjutnya dari penentuan
dampak. Penentuan risiko diperoleh dari pemetaan skala risiko melalui mapping
level likelihood dengan level dampak yang akan menghasilkan nilai level risk.
Level risk ini sesuai dengan pedoman dengan metode NIST SP 800-30 dalam
aspek identifikasi risk determination. Nilai level risiko ini berpengaruh sebagai
nilai inheren, yaitu tingkat risiko aslinya yang sedang berjalan atau teridentifikasi
sebelum dilakukan pengendalian risiko. Bentuk skala level penentuan risiko yang
ditimbulkan melalui pemetaan risk determination dapat dilihat pada Tabel 4.13.

Tabel 4. Matriks Level Risk (Risk Determination)

Level Risk Level Impact
Level Likelihood Low (10) Medium (50) High (100)
High (1.0) Low Medium High
 10 x 1.0 = 10 50 x 1 .0 = 50 100 x 1.0 = 100
Medium (0.5) Low Medium Medium
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Low (0.1) Low Low Low
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
(Sumber: NIST SP 800-30)
Tabel 4.13 merupakan nilai penentuan level risk. Proses penilaian dengan
perkalian atau mempetakkan matriks level likelihood dengan tingkat dampak
sesuai dengan titik temu dalam menentukan level risk. Hasil nilai skala perkalian
memperoleh level risiko senilai high (>50 to 100), medium (>10 to 50), low (1 to
10). Hasil penentuan risiko ini dilakukan sebagai pengendalian tindakan strategi
risiko sebagai bentuk nilai saat ini (inheren), dalam klasifikasi pengendalian
tindakan kontrol sebagai tindakan korektif risiko. Bentuk skala tindakan korektif
risiko terhadap penilaian penentuan inheren dapat dilihat pada Tabel 4.14.

Tabel 4. Level Tindakan Strategi Risiko

Level Risk Tindakan Korektif Risiko
High Tindakan perbaikan segera dengan implementasi korektif
Tindakan korektif untuk dikembangkan dalam tindakan rencana
Medium
berjangka waktu tertentu
Tindakan dapat ditangguhkan dengan keputusan dalam menerima
Low
risiko untuk dikembangkan
(Sumber: NIST SP 800-30, “telah diolah kembali”)
Tabel 4.14 merupakan nilai level dalam menentukan tindakan korektif
risiko terhadap level inheren. Penentuan tindakan korektif ini menentukan langkah
pengendalian tindakan strategi kontrol yang dilakukan terhadap risiko yang ada.
Berdasarkan penilaian ancaman yang terdapat 30 ancaman dengan melingkupi
empat aspek aset perangkat TI dari pemetaan level likelihood dan level impact
untuk menentukan analisa penentuan risiko dan tindakan korektif risiko inheren.
Bentuk penilaian penentuan risiko dari beberapa bentuk nilai potensi
kecenderungan dan dampak dapat dilihat pada Tabel 4.15.
Tabel 4. Level Risk Treat
Level Level Tindakan Korektif Risiko
Level
No Aset Kerentanan Dampak Ancaman Likelihoo Risk
Impact
d
1. Infrastruktur TI Tidak menetapkan Tidak ketersediaan
personel atau peran yang layanan, kerusakan sistem, Tindakan perbaikan segera
High High High
akan disiagakan jika kegagalan sistem dengan implementasi
1,0 100 100
terjadi kegagalan informasi, terlambat korektif
pemrosesan recovery system
2. Sistem Tidak terdapat pelatihan Pelanggaran hak akses dari
Informasi Zeta awal kepada pegawai user yang tidak memahami Tindakan korektif untuk
untuk bekerja sesuai peran aspek keamanan informasi Medium High Medium dikembangkan dalam
dan tugas serta pelatihan dengan ketidak disiplin 0,5 100 50 tindakan rencana berjangka
security awareness yang dapat merugikan waktu tertentu
terhadap sistem informasi perusahaan
3. PC User Belum memiliki kebijakan Terciptanya serangan
Tindakan korektif untuk
batasan penggunaan virus, malware, kerusakan
Medium Medium Medium dikembangkan dalam
program perangkat lunak sistem, terganggunya
0,5 50 25 tindakan rencana berjangka
terhadap sistem aktivitas sistem, kebocoran
waktu tertentu
informasi
4. Infrastruktur Tidak terdapat Tidak ketersediaan
Jaringan pengelolaan besaran layanan, kegagalan sistem
Tindakan dapat
pengolahan penggunaan informasi, keterlambatan
Low Medium Low ditangguhkan dengan
bandwidth komunikasi sistem,
0,1 50 5 keputusan dalam menerima
kegagalan recovery
risiko untuk dikembangkan
system, perangkat sistem
informasi tidak terkontrol
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13 (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14.
 Tabel 4.15 merupakan bentuk salah satu tingkat hasil penentuan risiko dari
beberapa 30 ancaman terhadap kerentanan yang ada untuk empat aspek melalui
pemetaan level likelihood dan level impact. Hasil rekap tingkat keseluruhan
ancaman dari kerentanan pada level risk dari hasil penentuan level likelihood dan
level impact dapat dilihat pada Tabel 4.16.

Tabel 4. Rekap Nilai Level Risk

Nilai Level Risk
Pernyataan Risk
Low Medium High
Infrastruktur TI 6 3 3
Sistem Informasi Zeta 5 5 0
PC User 0 4 0
Infrastruktur Jaringan 3 0 1
Jumlah hasil pernyataan setiap tingkat dampak 14 12 4
Tabel 4.16 merupakan rekap nilai level risk dari semua pernyataan
mapping level likelihood dan level impact pada ancaman dari daftar kerentanan
yang berdasarkan keempat aspek aset. Penilaian risk ini lebih mendominasi ke
tingkat Low sebesar 14, namun lebih cenderung nilai tinggi pada aspek
infrastruktur TI dengan risiko level high senilai 3. Hasil keempat aspek risk ini
dapat divisualisasikan pada Gambar 4.8.

Gambar 4. Hasil Penentuan Risk Aset

Gambar 4.8 merupakan visualisasi chart bar yang menghasilkan

penentuan risk dari seluruh aspek infrastruktur TI, sistem informasi aplikasi Zeta,
PC user, infrastruktur jaringan sedangkan hasil penentuan untuk hasil total
berdasarkan level risk dapat dilihat pada Gambar 4.9.
 Gambar 4. Hasil Total Penentuan Risk

Gambar 4.9 merupakan visualisasi model chart column yang

menghasilkan penentuan keseluruhan tingkal level risk yaitu low, medium, high
dari seluruh keempat aspek. Level low senilai 14, medium senilai 12, high senilai
4.

4.2.8 Rekomendasi Kontrol (Control Recommendations)

Proses tindakan dalam rekomendasi kontrol berdasarkan acuan dari NIST
SP 800-53 R. 4 (Security and Privacy Controls for Federal Information Systems
and Organizations) sebagaimana pedoman menentukan pengelompokan topik
keamanan secara umum dalam memberikan rekomendasi kontrol. Rekomendasi
kontrol ini berguna untuk menentukan strategi mitigasi. Terdapat 18 rekomendasi
kontrol berdasarkan NIST SP 800-53 R. 4, bentuk model topik rekomendasi
kontrol pada pedoman NIST SP 800-53 Revision 4 dapat dilihat pada Tabel 4.17.

Tabel 4. Topik Kelompok Rekomendasi Kontrol NIST SP 800-53 Rev. 4

No. Question Family Code No. Question Family Code
1. Access Control AC 10. Media Protection MP
2. Awareness And Training AT 11. Physical And Environmental PE
Protection
3. Audit And Accountability AU 12. Planning PL
4. Security Assessment And CA 13. Program Management PM
Authorization
5. Configuration Management CM 14. Personnel Security PS
6. Contingency Planning CP 15. Risk Assessment RA
7. Identification And IA 16. System And Services Acquisition SA
 No. Question Family Code No. Question Family Code
Authentication
8. Incident Response IR 17. System And Communications SC
Protection
9. Maintenance MA 18. System And Information Integrity SI
Tabel 4.17 merupakan bentuk topik kelompok rekomendasi kontrol pada
pedoman NIST SP 800-53 Revision 4, terdapat 18 topik kelompok diantaranya
kontrol akses, kesadaran dan pelatihan, audit dan pertanggungjawaban, penilaian
keamanan dan otorisasi, manajemen konfigurasi, perencanaan untuk keadaan
darurat, identifikasi dan otentikasi, respon terhadap insiden, maintenance,
perlindungan terhadap media, perlindungan terhadap aset fisik dan lingkungan,
perencanaan, personnel keamanan, penilaian risiko, akuisisi sistem dan layanan,
perlindungan terhadap sistem dan komunikasi, integritas sistem dan informasi.
Berdasarkan penilaian kerentanan terdapat 25 kerentanan dengan 32 aspek
indikator dengan melingkupi empat aspek aset perangkat TI untuk menentukan
rekomendasi kontrol melalui pedoman NIST SP 800-53 Revision 4 dalam
pengendalian risiko dalam mengurangi, menghindari, menghapus, dan
meminimalkan dengan pengembangan sistem keamanan yang baik. Beberapa
bentuk nilai level rekomendasi kontrol risiko terhadap ancaman kerentanan
terdampak dapat dilihat pada Tabel 4.18
Tabel 4. Rekomendasi Kontrol (Control Recommendations)
Level Level Level Rekomendasi
No. Aset Kerentanan Ancaman
Likelihood Impact Risk (NIST SP 800-53 R. 4)
1. Infrastruktur Tidak Tidak MA-5 Maintenance Personnel
TI menetapkan ketersediaan Organisasi menetapkan proses otorisasi akses pegawai
personel atau layanan, pemeliharaan sesuai peran berwenang dengan kesesuaian teknis
peran yang kerusakan kompetensi dalam pemeliharaan sistem informasi
akan sistem,
High High High
disiagakan kegagalan AU-5 Response To Audit Processing Failures
jika terjadi sistem Sistem informasi memberikan peringatan terhadap pegawai
kegagalan informasi, sesuai peran untuk mengambil tindakan dalam audit tanggapan
pemrosesan terlambat kegagalan pemprosesan
recovery system
2. Sistem Tidak Pelanggaran hak AT-3 Security Awareness and Training Policy and Procedures
Informasi terdapat akses dari user Organisasi mengembangkan dan mendokumentasikan kebijakan
Zeta pelatihan yang tidak dan prosedur pemberlakuan edukasi security awareness pada tiap
awal kepada memahami pegawai mengenai keamanan dalam mengoperasikan sistem
pegawai aspek keamanan operasi, menumbuhkan sikap patuh terhadap peran dan tanggung
untuk bekerja informasi jawab di dalamnya
sesuai peran dengan
dan tugas ketidakdisiplina Medium High Medium AT-3 Security Awareness Training
serta n yang dapat Organisasi menyediakan security awareness training berbasis
pelatihan merugikan peran kepada pegawai masing-masing pemangku jabatan sesuai
security perusahaan peran dan tanggung jawab terhadap setiap perubahan sistem
awareness informasi
terhadap
sistem
informasi
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13 (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).

3. PC User Belum Terciptanya Medium Medium Medium CM-7 Least Functionality

 memiliki serangan virus, Organisasi menetapkan konfigurasi sistem informasi dalam
kebijakan malware, menyediakan kemampuan penting serta melarang atau membatasi
batasan kerusakan penggunaan fungsi, port, protokol dan layanan yang ditentukan
penggunaan sistem, sesuai otoritas peran pemangku jabatan
program terganggu nya MP-2 Media Access
perangkat aktivitas sistem, Organisasi membatasi akses segala jenis media digital dan media
lunak kebocoran non-digital dalam melindungi aset sistem informasi yang
terhadap informasi dilakukan sesuai peran otorisasi
sistem
MP-1 Media Protection Policy And Procedures
Organisasi mengembangkan, mendokumentasikan, mengontrol
dan melindungi media sistem informasi menyimpan dengan aman
hingga secara fisik
4. Infrastruktur Tidak Tidak AU-2 Audit Events
Jaringan terdapat ketersediaan Organisasi melakukan review dan meng-update terhadap rule
pengelolaan layanan, firewall terhadap kejadian dalam log-system yang memicu
besaran kegagalan potensi pintu masuk ancaman serangan malware dengan
pengolahan sistem penetapan periode yang disepakati
penggunaan informasi,
bandwidth keterlambatan
Low Medium Low
komunikasi
sistem,
kegagalan
recovery system,
perangkat
sistem informasi
tidak terkontrol
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13 (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Tabel 4.18 merupakan bentuk salah satu tingkat analisis rekomendasi
kontrol dari 25 kerentanan dengan 32 aspek indikator yang ada dalam empat
aspek yaitu infrastruktur TI, Sistem informasi Zeta, User PC, dan infrastruktur
Jaringan. Informasi lengkap terkait rekomendasi kontrol dapat dilihat pada
Lampiran 7.

4.3 Mitigasi Risiko

Tahapan mitigasi yaitu proses manajemen risiko dari hasil penilaian risiko
diantaranya dengan memperhatikan sisi kerentanan, ancaman, dampak dan risiko
akhir yang menghasilkan penilaian risiko untuk dilakukan peringanan risiko
melalui mitigasi risiko. Mitigasi risiko memiliki beberapa proses diantaranya
prioritas aksi, evaluasi rekomendasi opsi kontrol, analisis cost-benefit, pemilihan
kontrol, penugasan tanggung jawab, membangun rencana implementasi.
4.1 Prioritas Aksi dan Pemilihan Opsi Kontrol
Risiko yang diperoleh dari hasil analisis penilaian risiko, hal ini
dilakukannya langkah mitigasi dengan prioritas aksi yang diikuti oleh
penyesuaian pemilihan kontrol terhadap PT.X untuk memperoleh opsi mitigasi
yang akan dilakukan. Prioritas aksi melalui pemeringkatan dari level risk tertinggi
ke rendah, sebagai level risk tertinggi menjadi prioritas pertama dengan nilai aset
menjadi pertimbangan. Penyesuaian pemilihan kontrol, dipilih melalui
rekomendasi kontrol pedoman NIST SP 800-53 R. 4 yang layak untuk
dilaksanakan dengan model opsi kontrol dengan berbagai pilihan yang dipilih
untuk diterapkan berdasarkan level risk, pilihan opsi mitigasi diantaranya sebagai
berikut.
1. Risk assumption yaitu menerima risiko potensial dengan terus menjalankan
program atau dengan menerapkan kontrol untuk menurunkan risiko ke
tingkat yang dapat diterima
2. Risk avoidance yaitu menghindari risiko dengan menghilangkan penyebab
risiko dan konsekuensinya.
3. Risk limitation yaitu membatasi risiko tertentu dengan menerapkan
evaluasi dan monitoring yang dapat meminimalkan dampak merugikan
dari risiko yang terjadi.
4. Risk planning yaitu mengelola risiko dengan membangun suatu rencana
mitigasi risiko yang sistematis di setiap tahapan program
5. Research and acknowledgment yaitu mengurangi risiko kegagalan dengan
menyadari kelemahan program dan meneliti upaya penanganannya untuk
memperbaiki kerentanan atas kegagalan program akibat timbulnya risiko.
6. Risk transference yaitu melakukan transfer risiko dengan menggunakan
jasa pihak ketiga untuk mengganti kerugian akibat timbulnya risiko.

Pemilihan pilihan opsi kontrol mitigasi ditentukan berdasarkan

penerimaan risiko dari penilaian risiko dalam mengurangi risiko. Hasil
rekapitulasi pilihan opsi kontrol mitigasi dapat dilihat pada Tabel 4.19.

Tabel 4. Rekap Opsi Kontrol Mitigasi Level Risiko

Opsi mitigasi
Jumlah Risk Risk
No. Aspek Aset Level risiko Risk Risk
risiko Assum Trans
Avoidanc Limitatio
p ferenc
e n
tion e
1. Infrastruktur High 3 - 1 2 -
TI Medium 3 - 1 2 -
Low 6 - 3 3 -
2. Sistem High 0 - - - -
Informasi Zeta Medium 5 2 3 -
Low 5 - 1 3 1
3. PC User High 0 - - - -
Medium 4 - 1 3 -
Low 0 - - - -
4. Infrastruktur High 1 - 1 - -
jaringan Medium 0 - - - -
Low 3 - 3 - -
Jumlah 30 13 16 1
Tabel 4.19 berisi nilai pemetaan opsi mitigasi dari level risiko setiap aset.
Penyataan risiko sebanyak 30 risiko dengan tingkatan level risiko tiga skala
melalui empat opsi kontrol mitigasi yang dilakukan sebagai opsi pernyataan
penerimaan risiko terhadap penilaian risiko. Dominasi yang tertinggi pada opsi
risk limitation dengan jumlah 16, dilanjutkan risk avoidance sebanyak 13, dan
risk transfer sebanyak 1. Rincian daftar prioritas aksi dengan penyesuaian
pemilihan kontrol dan model opsi kontrol yang dipilih dapat dilihat pada
Lampiran 8. Hasil keempat aspek aset risk ini dalam menentukan opsi mitigasi
dapat divisualisasikan pada Gambar 4.10.

Gambar 4. Hasil Penentuan Opsi Mitigasi Aset

Gambar 4.10 merupakan visualisasi chart bar yang menghasilkan

penentuan opsi kontrol mitigasi dari hasil rekomendasi seluruh aspek infrastruktur
TI, sistem aplikasi Zeta, PC user, infrastruktur jaringan. Hasil penentuan untuk
total hasil pemilihan opsi kontrol mitigasi yang menghasilkan 3 opsi yang dapat
dilihat pada Gambar 4.11.

Gambar 4. Hasil Total Penentuan Opsi Mitigasi

Gambar 4.11 merupakan visualisasi model chart pie yang menghasilkan

identifikasi jumlah opsi mitigasi keseluruhan diantaranya risk avoidance, risk
limitation, risk transference dari seluruh keempat aspek aset. Opsi mitigasi risk
avoidance senilai 13 dengan 44%, risk limitation senilai 16 dengan 53%, risk
transference senilai 1 dengan 3%.

4.2 Analisis Cost Benefit dan Penanggung Jawab

Analisis cost-benefit pada proses menentukan alokasi sumber daya yang
menerapkan identifikasi kontrol hemat biaya dari risiko yang dibebankan.
Identifikasi kontrol dengan meninjau kelayakan dan efektivitas dari penyesuaian
pilihan kontrol untuk item kontrol yang dipilih sebagai diusulkan sesuai dengan
kondisi lapangan dan penerimaan risiko. Analisis cost-benefit dapat bersifat
kualitatif maupun kuantitatif dengan syarat sebagai biaya yang sesuai untuk
pengurangan risiko, hal ini sebagai gambaran biaya untuk melaksanakan kontrol
maupun dampak menghindari atau mengurangi risiko.
Pernyataan risiko sebanyak 30 risiko teridentifikasi mendapatkan 17
pilihan kontrol. Pilihan kontrol melalui pertimbangan dari rekomendasi kontrol
pada pedoman NIST SP 800-53 R.4, yang selanjutnya disatukan dari pernyataan
30 risiko untuk ditanggulangi yang memiliki cara sama atau dapat dikatakan
memiliki cara kontrol aspek yang menyatu yaitu model pilihan rekomendasi
kontrol dalam segi pembiayaan. Pilihan rekomendasi kontrol yang teridentifikasi,
terdapat 17 pilihan kontrol yang diusulkan yang memiliki persamaan atau
kesatuan yang dapat mengurangi risiko dari segi aspek kerentanan pada aspek
yang sama. Kesatuan kontrol ini sebagai langkah analisis cost-benefit dalam
mengurangi biaya manfaat untuk dalam mengurangi risiko yang dibebankan.
Cost-benefit ditinjau pula dengan item pelaksanaan, aspek opsi mitigasi dan
pemegang kewenangan penugasan tanggung jawab untuk mengelola mengurangi
risiko. Analisis cost-benefit secara keseluruhan dapat dilihat pada Lampiran 9.

4.3 Rencana Implementasi Keamanan

Pelaksanaan rencana implementasi keamanan merupakan daftar dari tahap
mitigasi melalui prioritas aksi, evaluasi rekomendasi opsi kontrol, cost benefit,
pemilihan kontrol, dan penugasan tanggung jawab. Rencana implementasi
keamanan terdapat 17 kendali kontrol berdasarkan pernyataan 30 risiko sebagai
usulan mengurangi risiko atau menghapus risiko. Pelaksanaan yang berdasarkan
prioritas aksi dengan kontrol level sebanyak high 4, medium 12, low 14.
Penyesuaian jadwal pelaksanaan implementasi diputuskan sesuai
kehendak pimpinan perusahaan melalui dukungan oleh pegawai bidang TI.
Rencana implementasi ini diharapkan segara ditindaklanjuti untuk menentukan
periode manajemen risiko dalam mengolah risiko mengantisipasi dari dampak
yang sedang berlangsung maupun yang akan datang. Perusahaan dapat meninjau
besar-kecil penurunan risiko dari hasil residu melalui dua parameter likelihood
dan impact. Implementasi hasil residu kontrol keamanan dapat berupa
menghilangkan kerenatanan, mengurangi kapasitas risiko, mengurangi besar
dampak yang dihasilkan. Rincian detail perencanaan implementasi keamanan
dapat dilihat pada Tabel 4.20
Tabel 4. Rencana Implementasi Keamanan Mitigasi

Level Cost-Benefit Opsi Penanggung

No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
1. Infrastruktu Tidak Tidak Perusahaan Pelaksanaan
r TI menetapkan ketersediaan menentukan kebijakan dan
personel atau layanan, tugas peran tanggung dokumentasi
peran yang kerusakan jawab tiap sektor formal
akan sistem, individu yang terbagi kebijakan
disiagakan jika kegagalan sistem tiap sub-divisi dengan membentuk
terjadi informasi, kemampuan individu. peran tanggung
kegagalan terlambat Seperti penanggung jawab dibagi Rp. 8.310.000 Pimpinan ,
pemrosesan recovery system jawab IT Support tiap sub bagian Risk
High (Lampiran 9-No. Controller,
terbagi dalam jaringan dalam divisi Avoidance
1) Supervisor IT
komunikasi, yaitu
pengembangan  1 pegawai
aplikasi, bid. jaringan
pengembangan data  1 pegawai
aset bid. aset data
 1 pegawai
bid. aplikasi
2 Infrastruktu Tidak terdapat Tidak High Perusahaan Pelaksanaan Rp. 1.275.000 Risk Controller,
r TI dokumentasi ketersediaan menentukan skenario dan (Lampiran 9-No. Limitation Supervisor IT
manajemen layanan, dengan dokumentasi dokumentasi 2)
rencana terlambat kebijakan/SOP kebijakan
darurat atau recovery system, maintenance TI secara maintenance TI
insiden pada kegagalan sistem formal yang berisi perihal
sistem rasio antisipasi perihal pemeliharaan  Penanggung
informasi waktu tidak sistem, penugasan jawab
dalam terjamin tanggung jawab  Pemeliharaan
contingency peran, rencana darurat sistem
plan. yang dikelola secara  Rencana
berkala berdasarkan darurat
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
dokumen manajemen
risiko yang ditetapkan
sebagai prosedur yang
valid dalam suatu
insiden.
3. Infrastruktu Belum Tidak Perusahaan Pelaksanaan
r TI memiliki ketersediaan menentukan skenario dan
penjadwalan layanan, dengan dokumentasi dokumentasi
yang rutin terlambat kebijakan/SOP kebijakan
terhadap recovery system, maintenance TI secara maintenance TI
maintenance kegagalan sistem formal yang berisi perihal
sistem hanya rasio antisipasi perihal pemeliharaan  Penanggung
terhadap waktu tidak sistem, penugasan jawab Rp. 1.275.000
Risk Controller,
insiden terjamin High tanggung jawab  Pemeliharaan (Lampiran 9-No.
Limitation Supervisor IT
peran, rencana darurat sistem 2)
yang dikelola secara  Rencana
berkala berdasarkan darurat
dokumen manajemen
risiko yang ditetapkan
sebagai prosedur yang
valid dalam suatu
insiden.
4. Infrastruktu Tidak Tidak High Perusahaan Pelaksanaan Rp. 8.310.000 Risk Pimpinan ,
r Jaringan menetapkan ketersediaan menentukan kebijakan dan (Lampiran 9-No. Avoidance Controller,
personel atau layanan, tugas peran tanggung dokumentasi 1) Supervisor IT
peran yang kerusakan jawab tiap sektor formal
akan sistem, individu yang terbagi kebijakan
disiagakan jika kegagalan sistem tiap sub-divisi dengan membentuk
terjadi informasi, kemampuan individu. peran tanggung
kegagalan terlambat Seperti penanggung jawab dibagi
pemrosesan recovery system jawab IT Support tiap sub bagian
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
terbagi dalam jaringan dalam divisi
komunikasi, yaitu
pengembangan  1 pegawai
aplikasi, bid. jaringan
pengembangan data  1 pegawai
aset bid. aset data
 1 pegawai
bid. aplikasi
5. Infrastruktu Tidak terdapat Pelanggaran hak Perusahaan membuat Menegakkan
r TI pemeriksaan akses dari user pemberitahuan aturan sanksi
kepatuhan yang tidak informasi aturan di disipliner dan
aspek standar memahami setiap sudut diketahui pemberitahuan
keamanan aspek keamanan oleh pegawai dan informasi di
yang baku informasi sanksi disipliner  Ruangan
pada pegawai dengan ditegakkan. Seperti terbatas
Rp. 390.000
ketidakdisiplinan Mediu dilarang masuk (Dilarang Risk
(Lampiran 9-No. Supervisor IT
yang dapat m kecuali petugas, Masuk) Limitation
3)
merugikan aturan penggunaan  Ruangan
sistem komputer di setiap umum (Tata
komputer. tertib/aturan)
Meja komputer
(Aturan
penggunaan
PC)
6. Infrastruktu Tidak Tidak Mediu Perusahaan Genset sebesar Rp. 55.000. Risk Pimpinan ,
r TI memiliki ketersediaan m menyiapkan voltase 15Kva dan 000.000 Avoidance Controller,
perlindungan layanan, cadangan listrik yaitu pemeliharaan (Lampiran 9-No. Supervisor IT
atau kegagalan genset dan UPS secara 4)
pencadangan aktivitas sistem pemeliharaan UPS periode 2 tahun
atau secara berkala.
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
perlengkapan
dini daya
listrik
7. Infrastruktu Belum Keterlambatan Perusahaan Pelaksanaan
r TI menangani recovery system, menentukan dan kebijakan
manajemen kegagalan sistem menetapkan kebijakan review kajian
pengembangan informasi, program masterplan pengembang
rencana perangkat sistem secara periode 5 tahun infrastruktur TI
keamanan informasi tidak sebagai dengan Rp. 1.275.000
Mediu Risk Controller,
informasi terkontrol, pengembangan pegawai bidang (Lampiran 9-No.
m Limitation Supervisor IT
dalam rekam aktivitas infrastruktur yang TI 5)
infrastruktur tidak memiliki update sesuai jaman
yang pengembangan secara independen dan
berkelanjutan peningkatan sebagai pembanding
sistem dengan rujukan sistem
dari pusat.
8. Sistem Tidak terdapat Pelanggaran hak Perusahaan Menetapkan
Informasi pelatihan awal akses dari user menetapkan pelatihan sharing
Zeta kepada yang tidak pengembangan secara discussion
pegawai untuk memahami formal terhadap koordinasi
bekerja sesuai aspek keamanan pembaruan sistem antar pegawai
peran dan informasi teknologi informasi dan pelatihan Rp. 2.775.000
Mediu Risk Controller,
tugas serta dengan serta koordinasi berkala terkait (Lampiran 9-No.
m Avoidance Supervisor IT
pelatihan ketidakdisiplinan sharing discussion kepatuhan 6)
security yang dapat antar divisi atau keamanan
awareness merugikan individu lainnya disiplin
terhadap perusahaan
sistem
informasi
9. Sistem Tidak Tidak Mediu Perusahaan Pelaksanaan Rp. 1.275.000 Risk Controller,
Informasi memiliki ketersediaan m menentukan skenario dan (Lampiran 9-No. Limitation Supervisor IT
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
Zeta dokumen informasi, dengan dokumentasi dokumentasi
manajemen kegagalan sistem kebijakan/SOP kebijakan
maintenance informasi, maintenance TI secara maintenance TI
pemeliharaan terlambat formal yang berisi perihal
sistem baku recovery system, perihal pemeliharaan  Penanggung
sesuai standar rekam aktivitas sistem, penugasan jawab
tidak memiliki tanggung jawab  Pemeliharaan
pengembangan peran, rencana darurat sistem 2)
peningkatan yang dikelola secara  Rencana
sistem berkala berdasarkan darurat
dokumen manajemen
risiko yang ditetapkan
sebagai prosedur yang
valid dalam suatu
insiden.
10. Sistem Belum Pelanggaran hak Mediu Perusahaan Pelaksanaan Rp. 1.275.000 Risk Controller,
Informasi memiliki akses dari user m menentukan skenario dan (Lampiran 9-No. Limitation Supervisor IT
Zeta penjadwalan yang tidak dengan dokumentasi dokumentasi 2)
yang rutin memahami kebijakan/SOP kebijakan
terhadap aspek keamanan maintenance TI secara maintenance TI
maintenance informasi formal yang berisi perihal
sistem hanya dengan perihal pemeliharaan  Penanggung
terhadap ketidakdisiplinan sistem, penugasan jawab
insiden yang dapat tanggung jawab  Pemeliharaan
merugikan peran, rencana darurat sistem
sistem yang dikelola secara  Rencana
berkala berdasarkan darurat
dokumen manajemen
risiko yang ditetapkan
sebagai prosedur yang
valid dalam suatu
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
insiden.
11. Sistem Tidak Tidak Perusahaan Pelaksanaan
Informasi memiliki ketersediaan mengembang dan dan
Zeta dokumentasi informasi, menetapkan dokumentasi
strategi risiko kebocoran dokumentasi manajemen
mengelola informasi, manajemen risiko risiko
Rp. 2.975.000
operasi dan kegagalan sistem Mediu secara formal yang dilakukan oleh Risk Controller,
(Lampiran 9-No.
aset dengan rasio m diperoleh dari pegawai bidang Limitation Supervisor IT
8)
pembentuk antisipasi waktu kebijakan audit TI TI
infrastruktur tidak terjamin,
TI perangkat sistem
informasi tidak
terkontrol
12. Sistem Dokumentasi Sistem informasi Mediu Perusahaan Optimalisasi ± Rp. 50.000.000 Risk Supervisor IT
Informasi sistem tidak terkontrol, m menetapkan dan sistem ERP (Lampiran 9-No. Avoidance
Zeta informasi tidak mengkaji penggunaan dengan OSS 7)
tidak ketersediaan aplikasi Enterprise oleh konsultan
terintegrasi. informasi, Resource Planning diperhatikan
Update kegagalan sistem (ERP) dengan layanan oleh pegawai
dokumentasi informasi, One Stop Service bidang IT
terpisah satu terlambat (OSS) secara optimal,
sama lain recovery system diantaranya
mencangkup area
fungsional supplier
management,
inventory
management,
production,
engineering, finance,
human resource
management,
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
delivery, sales
marketing dan
customer support.
13. PC User Belum Terciptanya Perusahaan membuat Menegakkan
memiliki serangan virus, pemberitahuan aturan sanksi
kebijakan malware, informasi aturan di disipliner dan
batasan kerusakan setiap sudut diketahui pemberitahuan
penggunaan sistem, oleh pegawai dan informasi di
program terganggunya sanksi disipliner  Ruangan
perangkat aktivitas sistem, ditegakkan. Seperti terbatas
lunak terhadap kebocoran dilarang masuk (Dilarang Rp. 390.000
sistem informasi Mediu kecuali petugas, Risk
Masuk) (Lampiran 9-No. Supervisor IT
m aturan penggunaan Limitation
 Ruangan 3)
komputer di setiap umum (Tata
komputer. tertib/aturan)
 Meja
komputer
(Aturan
penggunaan
PC)
14. PC User Tidak Kerusakan Mediu Perusahaan membuat Menegakkan Rp. 390.000 Risk Supervisor IT
memiliki komponen, m pemberitahuan aturan sanksi (Lampiran 9-No. Limitation
dokumen kebocoran data, informasi aturan di disipliner dan 3)
kebijakan kegagalan sistem setiap sudut diketahui pemberitahuan
perlindungan informasi, oleh pegawai dan informasi di
media batasan terlambat sanksi disipliner  Ruangan
penggunaan recovery system, ditegakkan. Seperti terbatas
terhadap tidak dilarang masuk (Dilarang
pegawai ketersediaan kecuali petugas, Masuk)
layanan aturan penggunaan  Ruangan
komputer di setiap
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
komputer. umum (Tata
tertib/aturan)
 Meja
komputer
(Aturan
penggunaan
PC)
15. PC User Belum Tidak Perusahaan Pelaksanaan
memiliki ketersediaan menentukan skenario dan
penjadwalan layanan, dengan dokumentasi dokumentasi
yang rutin terlambat kebijakan/SOP kebijakan
terhadap recovery system, maintenance TI secara maintenance TI
maintenance kegagalan sistem formal yang berisi perihal
sistem hanya rasio antisipasi perihal pemeliharaan  Penanggung
terhadap waktu tidak sistem, penugasan jawab Rp. 1.275.000
Mediu Risk Controller,
insiden terjamin tanggung jawab  Pemeliharaan (Lampiran 9-No.
m Limitation Supervisor IT
peran, rencana darurat sistem 2)
yang dikelola secara  Rencana
berkala berdasarkan darurat
dokumen manajemen
risiko yang ditetapkan
sebagai prosedur yang
valid dalam suatu
insiden.
16. PC User Baterai UPS Tidak Mediu Perusahaan Review Rp. 0 Risk Pimpinan ,
hanya ketersediaan m menyiapkan voltase pemeliharaan (Lampiran 9-No. Avoidance Controller,
bertahan layanan, cadangan listrik yaitu UPS secara 4) Supervisor IT
beberapa saat keterlambatan genset dan periode 2 tahun
atau terkadang recovery system, pemeliharaan UPS
tidak berfungsi data crash, secara berkala.
sama sekali perangkat sistem
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
informasi tidak
terkontrol
17. Infrastruktu Belum Kebocoran Perusahaan Pelaksanaan
r TI memiliki informasi, membangun sistem review berkala
pemantauan kerusakan perangkat honeypots terhadap rule
jarak jauh sistem, maupun review firewall,
sebagai kegagalan sistem berkala terhadap rule update event
Rp. 8.000.000
perlindungan informasi, firewall, update event log system dan Risk
Low (Lampiran 9-No. Supervisor IT
untuk terlambat log system dan terhadap Limitation
12)
memastikan recovery system terhadap koneksi lokal koneksi lokal
potensi dalam mendeteksi serta oleh
serangan pada pemicu serangan pegawai bidang
sistem IT
informasi
18. Infrastruktu Tidak Tidak Low Perusahaan Pelaksanaan Rp. 2.975.000 Risk Controller,
r TI memiliki ketersediaan mengembang dan dan (Lampiran 9-No. Avoidance Supervisor IT
kebijakan informasi, menetapkan dokumentasi 9)
audit TI dan kegagalan sistem dokumentasi audit TI oleh
akuntabilitas informasi, kebijakan audit TI pegawai bidang
TI dalam terlambat secara formal yang TI
frekuensi recovery system, berisi perihal strategi
waktu tertentu rekam aktivitas kebijakan, prosedur
tidak memiliki keamanan lingkup
pengembangan peran, tanggung
peningkatan jawab, komitmen
sistem manajemen,
koordinasi antara
entitas organisasi, dan
kepatuhan pada
kebijakan dan kontrol
audit TI secara
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
periode pada
organisasi internal.
19. Infrastruktu Tidak Terganggunya Perusahaan Penggunaan
r TI memiliki aktivitas menyiapkan lampu lampu led
percahayaan manajemen cadangan mekanisme emergency Rp 2.480.000
Risk
darurat dan Low baterai (Lampiran 9-No. Supervisor IT
Avoidance
perlengkapan 10)
dini
percahayaan
20. Infrastruktu Tidak Tidak Perusahaan Penggunaan
r TI memiliki ketersediaan melengkapi alat alat deteksi
deteksi dan layanan, pemadam kebakaran kebakaran yang
perlengkapan kegagalan sistem dengan kebutuhan dan rawan
Rp. 2.700.000
dini kebakaran informasi, deteksi suhu Risk Controller,
Low (Lampiran 9-No.
terlambat Avoidance Supervisor IT
11)
recovery system,
data crash,
sistem aplikasi
crash
21. Infrastruktu Tidak terdapat keterlambatan Low Perusahaan Pelaksanaan Rp. 1.275.000 Risk Controller,
r TI kebijakan recovery system, menentukan dan kebijakan (Lampiran 9-No. Limitation Supervisor IT
perencanaan kegagalan sistem menetapkan kebijakan review kajian 5)
keamanan informasi, program masterplan pengembang
berkelanjutan perangkat sistem secara periode 5 tahun infrastruktur TI
informasi tidak sebagai dengan
terkontrol, pengembangan pegawai bidang
rekam aktivitas infrastruktur yang TI
tidak memiliki update sesuai jaman
pengembangan secara independen dan
peningkatan sebagai pembanding
sistem dengan rujukan sistem
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
dari pusat.
22. Infrastruktu Tidak terdapat Kebocoran Perusahaan Pelaksanaan
r TI teknologi informasi, membangun sistem review berkala
keamanan kerusakan perangkat honeypots terhadap rule
dalam sistem sistem, maupun review firewall,
informasi kegagalan sistem berkala terhadap rule update event Rp. 8.000.000
Risk
maupun informasi, Low firewall, update event log system dan (Lampiran 9-No. Supervisor IT
Limitation
pencegahan terlambat log system dan terhadap 12)
pendeteksian recovery system terhadap koneksi lokal koneksi lokal
atau dalam mendeteksi serta oleh
membelokkan pemicu serangan pegawai bidang
serangan IT
23. Sistem Sistem tidak Kebocoran Perusahaan Pelaksanaan
Informasi menerapkan informasi dan mengembangkan dan kriptografi di
Zeta modul data informasi mengimplementasikan masing aset
Rp. 1.350.000
keamanan tidak terkontrol kriptografi pada krusial Risk
Low (Lampiran 9-No. Supervisor IT
khusus/ storage database dan  Database Limitation
13)
alternatif/kritis pengiriman pesan Storage
(kriptografi) laporan ke pusat  Paket file
enkripsi
24. Sistem Tidak Database crash, Perusahaan Penggunaan
Informasi memiliki data informasi membangun penyimpanan
Zeta alternatif tidak terkontrol, pencadangan storage Google cloud
storage site tidak dengan mekanisme Rp. 2.000.000 Risk
terpisah dalam ketersediaan Low cloud (Lampiran 9-No. Transferenc Supervisor IT
mekanisme informasi dan 14) e
backup layanan,
storage kegagalan sistem
informasi
25. Sistem Konfigurasi Tidak Low Perusahaan Penggunaan Rp. 15.000.000 Risk Supervisor IT
Informasi sistem yang ketersediaan mengembangkan pengembangan (Lampiran 9-No. Avoidance
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
Zeta lama dan siap layanan, sistem teknis back-up sistem save
dipakai kerusakan konfigurasi atau configuration
(rollback sistem, system checkpoint application
system) bila kegagalan sistem dimana bila ada suatu oleh konsultan
terjadi suatu informasi, kesalahan konfigurasi didampingi
15)
kegagalan terlambat atau insiden dapat pegawai bidang
informasi recovery system segera melakukan IT
(reset) rollback ke posisi
system sebelum error
tersebut
26. Sistem Tidak terdapat Tidak Perusahaan Pelaksanaan
Informasi manajemen ketersediaan mendokumentasikan pengujian
Zeta pengujian, informasi, penilaian sistem sistem berkala
pelatihan, dan kegagalan sistem dengan melakukan oleh white hat  Peran white
pemantauan informasi, pengujian sistem didamping oleh hat : ± Rp.
terdapat sistem terlambat secara independen pegawai bidang 25.000.000.000
informasi yang recovery system, dengan menggunakan TI dan  Aplikasi pihak Risk
Low Supervisor IT
diterapkan rekam aktivitas pihak white hat secara penggunaan ketiga : ± Rp. Limitation
tidak memiliki statis dan dinamis aplikasi pihak 2.000.000
pengembangan maupun dengan ketiga (Lampiran 9-No.
peningkatan membeli lisensi digunakan oleh 16)
sistem aplikasi pihak ketiga pegawai bidang
terhadap sistem. TI

27. Sistem Tidak terdapat Tidak Low Perusahaan Pelaksanaan  Peran white Risk Supervisor IT
Informasi dokumentasi ketersediaan mendokumentasikan pengujian hat : ± Rp. Limitation
Zeta penilaian informasi, penilaian sistem sistem berkala 25.000.000.000
sistem kegagalan sistem dengan melakukan oleh white hat  Aplikasi pihak
informasi informasi, pengujian sistem didamping oleh ketiga : ± Rp.
ketika terlambat secara independen pegawai bidang 2.000.000
diterapkan recovery system, dengan menggunakan TI dan (Lampiran 9-No.
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
oleh rekam aktivitas pihak white hat secara penggunaan
perusahaan tidak memiliki statis dan dinamis aplikasi pihak
pengembangan maupun dengan ketiga
16)
peningkatan membeli lisensi digunakan oleh
sistem aplikasi pihak ketiga pegawai bidang
terhadap sistem. TI
28. Infrastruktu Tidak terdapat Terdapat Perusahaan Pelaksanaan
r Jaringan pemantauan malware, botnet membangun sistem review berkala
jarak jauh masuk ke dalam perangkat honeypots terhadap rule
sebagai sistem, remote maupun review firewall,
perlindungan access Trojan berkala terhadap rule update event Rp. 8.000.000
Risk
untuk Low firewall, update event log system dan (Lampiran 9-No. Supervisor IT
Limitation
memastikan log system dan terhadap 12)
potensi terhadap koneksi lokal koneksi lokal
serangan pada dalam mendeteksi serta oleh
sistem pemicu serangan pegawai bidang
informasi IT
29. Infrastruktu Tidak terdapat Tidak Perusahaan mengatur Pelaksanaan
r Jaringan pengelolaan ketersediaan bandwidth control configuration
besaran layanan, rule terbagi dalam bandwidth
pengolahan kegagalan sistem tiap koneksi dan control rule
penggunaan informasi, membagi dan limits oleh
bandwidth keterlambatan mengatur mekanisme pegawai bidang Rp. 0
Risk
komunikasi Low jenis saluran IT (Lampiran 9- Supervisor IT
Avoidance
sistem, komunikasi, seperti No.17)
kegagalan pada Wi-Fi dan
recovery system, jaringan LAN.
perangkat sistem
informasi tidak
terkontrol
30. Infrastruktu Konfigurasi Tidak Low Perusahaan Penggunaan Rp. 15.000.000 Risk Supervisor IT
 Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
r Jaringan sistem yang ketersediaan mengembangkan pengembangan
lama dan siap layanan, sistem teknis back-up sistem save
dipakai keterlambatan konfigurasi atau configuration
(rollback komunikasi system checkpoint application
system) bila sistem, dimana bila ada suatu oleh konsultan
(Lampiran 9-No.
terjadi suatu kegagalan kesalahan konfigurasi didampingi Avoidance
15)
kegagalan recovery system atau insiden dapat pegawai bidang
informasi segera melakukan IT
(reset) rollback ke posisi
system sebelum error
tersebut
 Tabel 4.19 merupakan rincian rencana implementasi keamanan dalam
pengendalian risiko melalui mengurangi risiko, menghilangkan risiko yang
sedang berlangsung, bahkan menerima risiko. Rencana implementasi keamanan
terdiri dari 30 kontrol dari pernyataan masing-masing 30 risiko yang berisi aset,
kerentanan, dampak, level risk, pilihan kontrol, cost-benefit, opsi mitigasi dan
penugasan tanggung jawab. Pelaksanaan yang berdasarkan prioritas aksi dengan
kontrol level sebanyak high 4, medium 12, low 14. Jadwal pelaksanaan yang
dilakukan melalui penyesuaian keputusan dari pimpinan dengan dukungan
pegawai bidang IT.

4.4 Laporan Akhir Manajemen Risiko

Hasil pelaksanaan diharapkan memperoleh hasil residu yang optimal,
namun evaluasi dan penilaian ini ditinjau kembali secara berkala serta
berkelanjutan. Tinjauan dilihat melalui perubahan penyesuaian tren standar
keamanan seiring waktu mengikuti perubahan risiko-risiko yang baru.
Penyesuaian meliputi setiap aset kebijakan keamanan, komponen hardware
maupun software mencangkup infrastruktur TI dalam mencapai visi dan misi
bisnis. Pelaksanaan manajemen risiko tidak terlepas kunci sukses mencapai visi
dan misi bisnis yaitu dari praktik keamanan yang baik didukung oleh seluruh
pihak, komitmen senior manajemen, kompetensi dan keahlian, dan kesadaran
kerjasama tim.
 BAB V
PENUTUP

Bab V membahas kesimpulan yang diperoleh dari hasil penelitian yang

dilakukan beserta saran-saran yang dapat dijadikan sebagai bahan pertimbangan
dalam melakukan peningkatan.
5.1 Kesimpulan
Penelitian yang dapat ditarik dari hasil penelitian yang dilakukan adalah
sebagai berikut.
1. NIST SP 800-30 merupakan panduan manajemen risiko dalam menilai
keamanan informasi melalui serangkaian penilaian risiko dan mitigasi
risiko yang menghasilkan rencana kontrol risiko periode berkelanjutan.
Selaras pendukung manajemen risiko ini, didukung dengan NIST SP 800-
53A sebagai penilaian identifikasi kerentanan terhadap kontrol keamanan
informasi dengan 18 katalog dan NIST SP 800-53 sebagai rekomendasi
kontrol keamanan informasi dengan 18 katalog.
2. Penilaian risiko keamanan informasi pada PT. X teridentifikasi 4 aset vital
diantaranya infrastruktur TI, sistem informasi aplikasi Zeta, PC user, dan
infrastruktur jaringan. Risiko yang dihasilkan terdapat 30 risiko dengan
memiliki nilai level risiko bervariasi berdasarkan indikasi kerentanan dan
ancaman. Tingkatan level risiko yang dihasilkan yaitu high senilai 4,
medium senilai 12, dan low senilai 14. Tingkatan risiko terhadap aset yaitu
infrastruktur TI senilai 12, sistem informasi aplikasi Zeta senilai 10, PC
user senilai 4, dan infrastruktur jaringan senilai 4. Kategori tertinggi risiko
terhadap aset infrastruktur TI senilai 3 dan terendah pada infrastruktur
jaringan senilai 1.
3. Tingkat level risiko berada lebih dominan level low senilai 14 dari ketiga
nilai level skala dari seluruh aset vital. Secara umum, tingkat level risiko
terhadap dimaksudkan terdapat sistem keamanan yang telah terdefinisikan
secara baik, namun pelaksanaan perlu ditingkatkan kembali. Harapan agar
tujuan kualitas ditentukan kapabilitas dapat tercapai secara berkelanjutan.
4. Strategi rekomendasi kontrol perbaikan terhadap penilaian risiko didukung
dari penyelarasan dari pedoman NIST SP 800-30 yaitu NIST SP 800-53
dengan penyesuaian harmonisasi kapabilitas pada instansi PT. X.

5.2 Saran
Adapun saran yang dapat penulis berikan pada penelitian ini adalah
sebagai berikut.
1. Manajemen risiko keamanan informasi menggunakan metode NIST SP
800-30 di PT. X mengikuti pedoman sesuai persyaratan dalam
penyelarasan dengan pendukung pedoman yang mengikutinya, diharapkan
pengembangan dengan kombinasi metode lain untuk pembanding dari
penelitian ini dan dikembangkan secara luas terhadap sistem lainnya.
2. Rekomendasi kontrol keamanan yang telah diberikan dari hasil
manajemen risiko yang dilakukan diharapkan dapat digunakan sebagai
salah satu bahan referensi untuk peningkatan kualitas sistem TI untuk
mencapai hal yang diharapkan
 DAFTAR PUSTAKA

Arlin Nurliyani. Dedy Syamsuar. Haidar Mirza (2019) ‘Assessment ITRisk

Management at The Computer and Network Laboratory School’, Journal
of Informatics and Telecommunication Engineering, 2(2), pp. 62–68.
David Purba, A., Adi Purnawan, I. K. and Agus Eka Pratama, I. P. (2018) ‘Audit
Keamanan TI Menggunakan Standar ISO/IEC 27002 dengan COBIT 5’,
Jurnal Ilmiah Merpati (Menara Penelitian Akademika Teknologi
Informasi), 6(3), p. 148. doi: 10.24843/jim.2018.v06.i03.p01.
Febriyanti Aulia Cahyo (2012) ‘Manajemen Resiko pada Pengelolaan Data di
Bagian Pengolahan Data PT.Petrokimia Gresik’, Jurnal Teknik Pomits,
1(1), pp. 1–6.
Herman Afandi, A. D. (2015) ‘Audit Kemanan Informasi Menggunakan Iso
27002 Pada Data Center Pt.Gigipatra Multimedia’, Jurnal Teknologi
Informasi Magister Darmajaya, 1(02), pp. 175–191.
Johan, M. E., Rizqon, M. F. and Suroso, I. J. S. (2019) ‘University information
system security risk assessment using NIST 800-30’, International
Journal of Recent Technology and Engineering, 8(3), pp. 8380–8385.
doi: 10.35940/ijrte.C6511.098319.
Penny Pritzker (2014) ‘NIST SP 800-53A, R4: Assessing Security and Privacy
Controls in Federal Information Systems and Organizations: Building
Effective Assessment Plans’, NIST Special Publication 800-53A,
Revision 4, (December 2014), pp. 1–487. doi: 10.6028/NIST.SP.800-
53Ar4.
Permatasari, D. A. et al. (2019) ‘Analisis Manajemen Risiko Sistem Informasi E-
LKPJ pada Dinas Komunikasi dan Informatika Provinsi Jawa Timur’,
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer, 3(6).
Pradana, A. A. (2017) Evaluasi manajemen risiko..., Achmad Arthur Pradana R,
FASILKOM, 2017. Univeritas Indonesia.
Purnawan, I. K. A. (2015) ‘Pedoman Tata Kelola Teknologi Informasi
Menggunakan It Governance Design Frame Work (Cobit) Pada PT. X’,
Lontar Komputer : Jurnal Ilmiah Teknologi Informasi, 6(3), p. 200. doi:
10.24843/lkjiti.2015.v06.i03.p07.
Rebecca M. Blank (2013) ‘NIST Special Publication 800-53: Security and
Privacy Controls for Federal Information Systems and Organizations’,
NIST SP-800-53 Ar4, p. 400+. doi: 10.6028/NIST.SP.800-53Ar4.
RigCERT (2018) ISO/IEC 27001 - INFORMATION SECURITY. Available at:
www.rigcert.org/iso_iec_27001-12.htm (Accessed: 20 December 2019).
SDPPPI, T. P. (2016) Pengelolaan Risiko Pengembangan Desa Broadband di
Indonesia Pengelolaan Risiko Pengembangan Desa Broadband di
Indonesia. Yogyakarta.
Stoneburner, G. F. (2002) ‘Risk Management Guide for Information Technology
System Recommendations of National Institute of Standards and
Technology’, in.
Stoneburner, G., Gougen, A. and Feringa, A. (2002) NIST SP 800-30 - Risk
Management Guide for Information Technology Systems, Computer
Security Division. doi: 10.6028/NIST.SP.800-30r1.
Supristiowadi, E. and Sucahyo, Y. G. (2018) ‘Manajemen Risiko Keamanan
Informasi pada Sistem Aplikasi Keuangan Tingkat Instansi (SAKTI)
Kementerian Keuangan’, Indonesian Treasury Review: Jurnal
Perbendaharaan, Keuangan Negara dan Kebijakan Publik, 3(1), pp. 23–
33. doi: 10.33105/itrev.v3i1.20.
Syafitri, W. (2014) Perancangan Manajemen Risiko Keamanan Informasi
Dengan Menggunakan Metode NIST 800-30:Studi Kasus Sistem
Informasi Akademik (SIMAK) Universitas Islam Negeri Sultan Syarif
Kasim Riau. Universitas Indonesia.
Tresnawati, S. (2019) ‘Analisis Keamanan Dan Manajemen Resiko Aset
Informasi Pada Sistem Informasi Akademik Di Politeknik Tedc Bandung
Menggunakan Framework NIST 800-30’, E-Journal POLTEK TEDC,
13(2).
Wahyuningtyas, C. A. et al. (2019) ‘Audit Tata Kelola TI Perusahaan X Dengan
COBIT 5’, 7(3), pp. 244–252.
 LAMPIRAN

LAMPIRAN 1 Pertanyaan Pendekatan.............................................................99

LAMPIRAN 2 Data Assessment NIST SP 800-53A Revision 4......................111
LAMPIRAN 3 Control Analysis Self-Assessment NIST 800-53A Revision 4 132
LAMPIRAN 4 Penentuan Kecenderungan (Likelihood)................................137
LAMPIRAN 5 Penentuan Analisis Dampak (Impact Analysis).....................143
LAMPIRAN 6 Penentuan Risiko (Risk Determination)..................................149
LAMPIRAN 7 Rekomendasi Kontrol (Control Recommendations)..............158
LAMPIRAN 8 Prioritas Aksi dan Pemilihan Opsi Kontrol...........................172
LAMPIRAN 9 Analisis Cost Benefit, Pemilihan Kontrol dan Penanggung
Jawab.........................................................................................181
LAMPIRAN 10 Dokumentasi Observasi.........................................................191

98
 LAMPIRAN 1
Pertanyaan Pendekatan

Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
1. Karakteristik a. Sejarah PT. X merupakan distributor terkemuka di Bali, dengan menjadi Controller
Perusahaan perusahaan ? pelopor distribusi minuman bermerek nasional dan internasional sejak
b. Profil 10 Oktober 1978, dimulai dari Kota Denpasar. PT. X terus
perusahaan ? memperluas pasar sampai ke Nusa Tenggara Barat untuk memenuhi
c. Gambaran permintaan beverages tourist mancanegara.
perusahaan ? Perusahaan yang dirintis pada PT. X saat ini sebagai kantor pusat
d. Visi dan misi yang berada di Kota Denpasar yang memiliki pasar penjualan daerah
perusahaan ? Bali dan Nusa Tenggara. Mitra principle sebagai pemasok produk
e. Tujuan dan dengan PT. X saling berkesinambungan dalam mengembangkan
sasaran distribusi dan pemasaran produk.
perusahaan ? Produk utama Bir Bintang sebagai aset dagang utama dalam bisnis
f. Struktur juga terdapat aset produk lainnya yaitu diantaranya Heineken, Bintang
organisasi Zero, Green Sand dan Recharge. Penguatan usaha di Bali dengan
perusahaan ? bekerja sama dengan produsen lain yaitu PT. Mayora Indah
g. Tugas wewenang (Bengbeng, Biskuit Roma, Kopiko), PT Frisian Flag Indonesia (Susu
sumber daya Bendera), PT. ABC President (Nu Green Tea dan Mie ABC), PT.
organisasi dan SATP (Minyak Sovia), Air Mineral Oasis,Teh Bandulan dan Pronas.
khususnya Bagian PT. X merupakan perusahaan lokal dengan mitra skala nasional
IT ? dengan suasana cita rasa budaya lokal.

99
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian

Apakah misi dari

Misi dari bidang IT untuk menyelaraskan dan membantu operasional
divisi IT untuk
bisnis yang efektif dan efisien dalam perusahaan PT. X
perusahaan ?

2. Karakteristik Apa saja aplikasi a. Navision DIS yaitu Aplikasi sistem informasi penjualan dan Supervisor
sistem sistem tersedia dan principle yang dimiliki oleh Multi Bintang Indonesia (MBI) yang IT
informasi dan konsep layanan layanan utama mencangkup ;
jaringan gambaran aplikasi  Manajemen gudang
sistemnya ?  Pricing
 Diskon
 Reporting untuk keperluan internal perusahaan dan principle,
dll.
b. Zeta yaitu aplikasi sistem informasi pengembangan bagian dari
Enterprise Resource Planning (ERP) untuk keperluan internal
perusahaan distributor yang mencangkup
 Manajemen Piutang
 Manajemen Pelunasan Piutang
 Finance dan Accounting
 Manajemen penjualan (master outlet, master produk)
 Laporan keuangan (Neraca, Laba/Rugi)

100
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Informasi apa yang a. Sistem aplikasi informasi Navision DIS yaitu aplikasi yang
dihasilkan (input, dikelola oleh principle yang mempunyai kewenangan memantau
proses, dan output) stok penjualan terhadap sistem internal perusahaan (sistem
oleh sistem ? aplikasi informasi Zeta) sebagai pengendalian harga dan produksi
principle pabrik sendiri. Sistem layanan utama input yaitu nominal
harga dan stok produksi pengiriman, output-nya dari ini kendali
harga dan stok sesuai market produknya untuk perusahaan internal
b. Sistem aplikasi informasi zeta yaitu aplikasi yang dikelola oleh Supervisor
perusahaan internal PT. X sebagai sistem ERP dalam segi bisnis IT
penjualan ke toko/retail melalui harga dan stok barang yang sudah
ditentukan oleh sistem aplikasi Navision DIS (principle/pabrik).
Sistem layanan utama input yaitu harga dan produk yang sudah
ditentukan untuk dipasarkan ke retail toko, prosesnya melalui
manajemen gudang, finansial, delivery, order sales. layanan utama
output-nya menghasilkan laporan penjualan internal bisnis
penjualan market produk
Apakah aplikasi Iya, di aplikasi internal. Zeta memiliki seperti history log sistem apa
sistem menggunakan yang dilakukan oleh user. Tetapi tidak pada Navision DIS sebab
fitur internal clock aplikasi tersebut dikelola seluruhnya oleh principle MBI
Supervisor
untuk menyalakan
IT
sistem auto
record/log system ?

Apakah sistem ada Untuk perawatan berkala sistem dalam menerapkan perkembangan Controller
perubahan berkala teknologi sesuai zaman belum ada. Bergantung pada kerusakan saja, dan
(evolusi)/perawatan dan masih belum ada pencatatan. Supervisor
berkala sistem dan IT
apakah ada
pencatatan/dokument
asi internal dan
berapa periode kali 101
perawatan sistem ?
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian

Lokasi server Lokasi server (data center) pusatnya ada dikantor Kota Denpasar
pangkalan data
aplikasi sistem yang
tersedia terletak Supervisor
dilokasi mana ? IT

Berapa server yang Ada 2 Server yaitu

ada yang ditangani a. 1 server DC dan database aplikasi Navision DIS
oleh aplikasi sistem b. 1 server database dan aplikasi zeta
di pangkalan data ? Supervisor
IT

Bagaimana bentuk Spesifikasi server diantaranya Supervisor

identifikasi a. Domain controller dan Navision DIS = HP ML 110 (2017) IT
spesifikasi server b. Zeta = Server rakitan core i5 (2008)
pangkalan data ?

102
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Bagaimana bentuk
konsep infrastruktur
jaringan dan LANTAI 2 Keterangan
mekanisme-nya yang Internet

terhubung dengan Telkom &

DATA CENTER CBN

pangkalan data di Firewall

perusahaan ini ? Modem

Server Application Zeta, Server Switch

LANTAI 1
DC+Stroage

Router
Supervisor
Wireless
IT
Server/
Client PC Super
Client PC
Lantai 1 Lantai 2 Computer

Personal
Computer

Wirelless

Kabel LAN

Berapa penggunaan Provider yang di kaitkan ada 2 yaitu Supervisor

bandwidth dan  Telkom/Indihome dengan bandwidth 50 Mbps IT
menggunakan  CBN dengan bandwidth 25 Mbps
provider apa ?

103
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian

Berapa jumlah PC Operator aplikasi Navision DIS 3 orang

yang ada di Zeta
perusahaan PT. X ?  CEO-Director 1 orang
 Manager 4 orang
 Admin penjualan 4 orang
 Admin Piutang 4 orang Supervisor
 Admin Finance 2 orang IT
 Admin Accounting 2 orang
 Admin Pajak 2 Orang
 Admin Kasir 2 Oranng
 Supervisor IT 1 orang
Totalnya 25 Buah komputer
Apakah sistem Aplikasi sistem telah menerapkan batas gagal login sebanyak 5 kali Supervisor
informasi yang jarang terjadi dan pemutusan sesi waktu tidak digunakan selama IT
memberlakukan 30 menit.
batas jumlah upaya
log-on tidak sah
berturut-turut selama
periode waktu dan
pemutusan sesi
batasan lama koneksi
tidak ada aktivitas
yang dilakukan oleh
104
user ?
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Apakah organisasi Aplikasi sistem dalam mekanisme batas session eksternal sudah
menentukan batas tersedia dengan maksimal 6 kali user sedangkan pada internal tidak
maksimal session memiliki batasan.
atau single session Supervisor
yang diperbolehkan IT
ketika user aktif
dengan perangkat
berbeda ?
Apakah sistem Mekanisme pencatatan aktivitas di server internal sistem informasi
informasi memberi Zeta terdapat sudah ada, sedangkan di eksternal sistem informasi
tahu pengguna, Navision DIS oleh principle tidak ada pada perusahaan kami atau
setelah berhasil dikendalikan karena dikelola oleh perusahaan pabrik/principle. Supervisor
masuk (akses) ke IT
sistem, tercatat
tanggal dan waktu
akses ?
3. Keamanan Apa persyaratan Komponen perangkat dan pengetahuan tanggung jawab pengguna
ketersediaan dan yang terjamin dari segi keamanan yang tepat disesuaikan kebutuhan Supervisor
Wawancara Lisan
integritas sistem ? kepentingan tersebut, sehingga data dalam ketersediaan dan integritas IT
terjamin
Kontrol keamanan Saat ini hanya model akun pengguna username dan password yang Supervisor
yang sudah sudah didata entri di sistem IT
diterapkan ?

105
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Model password Model keamanan digunakan yaitu model password variasi (alfabetis,
pengguna akun numeric, huruf kapitalisasi)
menggunakan model
apa (fingerprint/ Supervisor
captcha/ password) IT
atau variasi ?

Pegawai Menerapkan suspend, dengan ditahan akun pengguna tersebut. Tidak

resign/keluar dengan menghapus, sebab suatu saat data dapat dibutuhkan oleh
Supervisor
pekerjaan, perusahaan
IT
bagaimana akun
pengguna datanya ?
Apakah aplikasi Saat ini belum ada model enkripsi
sistem menggunakan
enkripsi dalam
pengolahan
Supervisor
data/transmisi Wawancara Lisan
IT
pengiriman data ?,
jika ada
menggunakan model
apa
4. Ancaman Apa saja ancaman Ancaman yang paling sering diantaranya Supervisor
permasalahan yang a. Infeksi virus komputer kelalaian dari sisi pengguna yang kurang IT
pernah terjadi/yang memahami aspek virus, solusi yang dilakukan scanning real-time
berlangsungnya saat antivirus di semua PC Client dengan ESET NOD
ini pada sistem b. Gangguan kinerja berhenti ketika listrik padam yang terjadi 3-4
aplikasi (Tiap sistem kali dalam setahun. Solusi melindungi penyimpanan data melalui
Wawancara Lisan
aplikasi) yang UPS
dialami dan solusi c. Kerusakan komponen tiba-tiba, karena komponen tidak mampu
yang pernah berkerja lagi atau rusak yang kejadian lebih dominan di setiap 106
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
ditangani serta perangkat. Solusi yang ditangani masih seketika kerusakan terjadi
rentang kejadian ? untuk langsung ditindak
d. Validitas entry data yang mudah dialihkan oleh pihak bukan
penanggung jawab (integritas pengguna) meskipun pengguna dari
individu pegawai perusahaan sendiri. Kejadian cukup sering
terjadi ketika pegawai tidak bekerja/dialihkan tanpa persetujuan
pimpinan. Solusinya dengan peringatan integritas personel
Apakah ada backup Ada, untuk saat ini hanya back-up server di data center. Media yang
data ?, jika ada digunakan satu tempat, namun beda disk dengan mencangkup
dimana ? (Link, Data, keamanan sisi internal di database server dengan backup database
Aplikasi, Jaringan) secara berkala (harian) seperti Navision DIS dengan penggunaan
mekanisme RAID untuk storage database

Supervisor
IT

Apakah ada Hingga saat ini serangan belum ada, karena sistem kami lebih di
semacam jenis peruntukan sisi penggunaan internal, tanpa pemakaian dari
Supervisor
serangan dari luar/eksternal Wawancara Lisan
IT
eksternal ke dalam
sistem ?
Berapa banyak Downtime yang pernah terjadi 1 kali terhitung hingga saat ini dengan Supervisor Wawancara Lisan
downtime sistem rentang 6 jam paling lama yang terjadi tahun 2014, karena ada IT
yang dapat kerusakan untuk diganti komponen
ditoleransi organisasi 107
dan kejadian telah
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
berapa kali ?
Apabila sistem ada Rata-rata sering terjadinya gangguan skala rendah itu 1 atau 2 kali ke
gangguan/kerusakan, bawah, medium-nya antara 3-5 kali kejadian, dan untuk skala tinggi
bagaimana nilai lebih 6 kali kejadian itu untuk satu peristiwa kejadian yang sama
Supervisor
parameter rata-rata ditempat yang sama, seperti kendala virus, input kesalahan, gangguan Wawancara Lisan
IT
peristiwa terjadinya perangkat printer, dan lain-lain
dengan skala high,
medium, low ?
Penilaian dampak Biaya dampaknya kerugian yang dihasilkan gangguan hanya
kerugian dari mengenai nominal kerusakan komponen tidak sampai mendapatkan
perusahaan untuk kerugian yang besar dari pendapatan, kecuali kegagalan sistem server
gangguan/kerusakan keseluruhan dan kegagalan sistem saat ini belum terjadi yang tidak
Supervisor
nilai untuk kerugian kami harapkan pula. Jadi dampak yang berpotensi paling berpengaruh Wawancara Lisan
IT
biaya apakah dari sistem ini jangan sampai menghambat penyaluran dari principle,
signifikan tinggi ? ke perusahaan kami ke retail atau toko hingga konsumen yang berarti
jangan membuat klien toko/retail hingga konsumen kecewa dari tidak
ketersediaan produk di pasaran.
Apakah ada ancaman Ada, risiko yang berpotensial tegangan daya listrik karena kita
yang berisiko yang bekerja bidang IT berurusan dengan perangkat listrik juga dan jatuh
menyebabkan dari ketinggian terkait kerusakan atau gangguan kabel
kecelakaan individu Supervisor
terhadap pegawai ? IT

Sistem atau data apa Data paling kritis adalah database dari aplikasi principle Navision
yang paling DIS dan data aplikasi internal sistem informasi Zeta, dimana data
kritis/sensitif yang terkait penjualan, toko serta akun pengguna
Supervisor
dimiliki yang perlu
IT
dijaga dari berbagai
macam risiko atau
ancaman sistem ? 108
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
5. Prosedur Informasi apa yang Informasi yang boleh diinformasikan publik mengenai produk dan
ditangani oleh atau harga market yang dijual cara pembelian barang, namun yang tidak
tentang sistem tidak dapat diakses bahkan dari pegawai, kecuali memiliki kewenangan Supervisor
boleh diungkapkan penanggung jawab yang ditentukan untuk laporan harga produk IT
dan kepada siapa ? pabrik, stok, laporan penjualan, akun pengguna, sistem manajemen
perusahaan, yang berkaitan sisi internal perusahaan
Apakah ada Saat ini belum ada prioritas aksi, hanya saling koordinasi sesuai
perencanaan darurat keadaan lapangan
yang harus dilakukan
jika berlangsung Supervisor
Wawancara Lisan
ancaman/akan IT
berlangsungnya
ancaman ? (Prioritas
Aksi)
Apakah ada prosedur Belum ada. Untuk saat ini hanya ada kerusakan dilakukan
permasalahan penanganan untuk diperbaiki dan biaya sudah ada sesuai operasional
infrastruktur TI oleh controller Supervisor
Wawancara Lisan
dicatat dalam bentuk IT
pembukuan/pencatat
an ?
Apakah ada Untuk saat ini belum, karena belum ada pembaruan, dan umumnya
pelatihan prosedur pembaruan cukup mudah dimengerti, tanpa perlu lagi pelatihan.
keamanan TI secara Tergantung lagi jika pembaruan mencangkup operasional perusahaan Supervisor
Wawancara Lisan
berkala dan sesuai principle dari MBI IT
bagaimana apabila
ada pembaruan ?
Apakah ada Untuk saat ini belum ada, karena aplikasi sistem informasi yang
pelatihan dalam disediakan sudah siap pakai dari perusahaan principle MBI dan dari Supervisor
Wawancara Lisan
menguji sistem pihak internal yang memiliki konsultan sendiri dulu IT
aplikasi ?
Apakah ada Ada, pelatihan ketika pertama kali pemakaian aplikasi diluncurkan, Supervisor Wawancara Lisan 109
 Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
pelatihan awal dan mengenai pegawai baru akan diajarkan oleh pegawai yang resign
sebelum dari pekerjaan sesuai tanggung jawabnya.
IT
menggunakan
aplikasi sistem ?
Apakah memiliki Ada, untuk jumlah tidak terlalu banyak hanya disesuaikan tempat
alat antisipasi tertentu yang dapat potensial timbul ancaman kebakaran, namun Supervisor
pemadam kebakaran untuk deteksi belum ada. IT
atau deteksi ?

110
 LAMPIRAN 2
Data Assessment NIST SP 800-53A Revision 4

Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
A. Access Control
1. Kebijakan Dan Apakah perusahaan Sudah Perusahaan sudah mengembangkan
Prosedur mengembangkan dan akses kontrol peran dan tugas pada
Pengendalian Akses mendokumentasikan secara sistem dengan otorisasi yang
AC-1(a)(1)[1] tertulis mengenai akses dilakukan dengan kewenangan
kontrol peran dan tugas pada
sistem ?

Supervisor IT

2. Manajemen Akun Apakah perusahaan dalam Sudah Sistem telah menerapkan user access
AC-2(a)[2] mengakses sistem telah privileges yang sudah sesuai tugas
dipetakan user (access dan tanggung jawabnya sejak awal
Supervisor IT
privileges) sesuai dengan dimulai kerja, jika pun perubahan
peran dan tugas ? posisi akan diatur sesuai peran
tugasnya 111
3. Penegakan Akses Apakah sistem informasi Belum Sistem saat ini belum dapat otorisasi Supervisor IT Wawancara Lisan
 Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
AC-3 menerapkan otorisasi otomatis ketika dengan aplikasi
otomatis sesuai peran dan pihak ketiga, dan belum dibutuhkan
tugas terhadap ketika akses saat ini. Karena otorisasi akun hanya
kontrol logis terhadap untuk mengerjakan tugas di sistem
aplikasi pihak ketiga ? internal
4. Penegakan arus Apakah perusahaan sudah Sudah Rules sistem sudah ada ketentuan
informasi memberi batasan atau mengenai batasan kriteria
AC-4 kriteria parameter tipe data mengunggah parameter tipe data.
tertentu saja yang boleh di Karena kriteria entry file dan batasan
unggah ke sistem ? entri data telah sesuai prosedur yang
ditetapkan Supervisor IT

5. Upaya masuk yang Apakah sistem informasi
gagal memberlakukan batas jumlah
AC-7(a)[3] upaya log-on tidak sah
berturut-turut selama periode
waktu dan pemutusan sesi
batasan lama koneksi tidak
ada aktivitas yang dilakukan
oleh user ?
Sudah Aplikasi sistem telah menerapkan
batas gagal login sebanyak 5 kali
yang jarang terjadi dan pemutusan
sesi waktu tidak digunakan selama
30 menit.
Supervisor IT

112
 Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
6. Pemberitahuan Apakah sistem informasi Mekanisme pencatatan aktivitas di
masuk (akses) memberi tahu pengguna, server internal terdapat sudah ada,
sebelumnya setelah berhasil masuk sedangkan di eksternal tidak ada
AC-9 (akses) ke sistem, tercatat pada perusahaan karena dikelola oleh Supervisor IT
tanggal dan waktu akses ? perusahaan pabrik.

7. Kontrol sesi Apakah perusahaan Sudah Aplikasi sistem dalam mekanisme

bersamaan menentukan batas maksimal batas session eksternal sudah tersedia
AC-10[3] session atau single session dengan maksimal 6 kali user
Supervisor IT Wawancara Lisan
yang diperbolehkan ketika sedangkan pada internal tidak
user aktif dengan perangkat memiliki batasan.
berbeda ?
8. Atribut keamanan Apakah perusahaan Sudah Saat ini perlindungan secara umum
AC-16 menerapkan teknologi yang dibutuhkan seperti keamanan
Klausa : keamanan dalam sistem pada segi user account dengan
Teknik teknologi informasi maupun username dan password yang Supervisor IT
asosiasi pencegahan dalam dipertanggungjawabkan oleh
AC-16(8)[1] melindungi terhadap pengguna.
kejahatan TI ?
9. Akses jarak jauh Apakah sistem informasi Belum Saat ini perlindungan kriptografi
AC-17(a)[1] menerapkan kriptografi belum ada diterapkan dalam sistem,
untuk melindungi namun untuk dari segi masa
coincidentally dan integritas mendatang akan pertimbangan jika
Supervisor IT Wawancara Lisan
pada remote access session ? dibutuhkan. Namun kurang tahu
apabila menggunakan dari pihak
aplikasi ketiganya itu terdapat
kriptografi
10. Akses jarak jauh Apakah perusahaan Belum Sistem saat ini belum ada 113
Supervisor IT
AC-17(a)[1] menerapkan pemantauan pemantauan secara tidak secara jarak
 Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
Klausa : jarak jauh sebagai jauh maupun dalam me-monitoring
Perlindungan perlindungan untuk aktivitas secara langsung pengguna,
informasi memastikan pengakses tidak namun dapat memantau secara jauh
AC-17(6) sah dalam kegiatan aktivitas jika ada kendala/hambatan oleh
oleh pengunjung ? pengguna dengan Microsoft Remote
Desktop
11. Penggunaan sistem Apakah perusahaan Sudah Manajemen saat ini masih
informasi eksternal menetapkan dengan pihak mengandalkan pihak internal (TI
AC- 20 eksternal dalam internal) apabila ada mengoperasikan
mengoperasikan atau bahkan pemeliharaan infrastruktur
Supervisor IT Wawancara Lisan
memelihara infrastruktur TI TI, namun untuk kerusakan yang
khususnya sistem tidak diatasi menggunakan pihak
informasi ? eksternal (Penghubung) melalui
pertimbangan pimpinan/controller
B. Awareness and Training
1. Kesadaran Apakah perusahaan Belum Perusahaan masih menggunakan
keamanan dan mengembangkan dan secara komunikasi dengan kesadaran diri
Controller dan
kebijakan serta formal mendokumentasikan sendiri seperti menegur atau perilaku Wawancara Lisan
Supervisor IT
prosedur pelatihan kebijakan kesadaran dan yang cukup kesalahan yang
AT-1(a)(1)[1] pelatihan keamanan? disampaikan terlebih dahulu
2. Pelatihan keamanan Apakah perusahaan Sudah Manajemen saat ini telah Controller dan Wawancara Lisan
berbasis peran memberikan pelatihan menerapkan pelatihan saat mereka Supervisor IT
AT-3(a) keamanan tiap individu memulai kerja, apabila terjadi
dengan peran dan tanggung perubahan posisi jabatan akan
jawab keamanan yang menyesuaikan kemampuan mereka.
ditugaskan sebelum Namun sebagian besar pegawai baru
menggunakan sistem telah memahami tanggung jawab
informasi sebagai pelatihan keamanan umum dan hanya info
kontingensi awal ? yang diberitahu sistem model yang 114
 Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
khusus
3. Klausa Pelatihan Apakah perusahaan memberi Belum Sistem manajemen masih
keamanan berbasis pelatihan awal kepada menggunakan pengalaman dari
peran pegawai untuk bekerja sesuai pegawai pada pengetahuan individu Controller dan
AT-3(a) peran dan tugas untuk masing-masing. Sehingga salah Supervisor IT Wawancara Lisan
Kontrol keamanan mengoperasikan segi kontrol satunya IT dipilih pegawai yang
fisik keamanan fisik ? memiliki kriteria pengetahuan basic
AT-3(2)[1] dalam IT (Berpengalaman)
C. .Audit and Accountability
1. Kebijakan dan Apakah perusahaan secara Belum Perusahaan belum terdapat secara
prosedur audit dan formal telah formal mendokumentasikan
akuntabilitas mendokumentasikan kebijakan audit TI dan akuntabilitas
AU- 1(a)(1)[1] kebijakan audit TI dan TI dari keamanan informasi dengan
akuntabilitas TI dalam frekuensi waktu tertentu. Hanya Supervisor IT Wawancara Lisan
frekuensi waktu tertentu ? audit internal perusahaan atas dari
principle yang menyangkut
pendapatan perusahaan segi
operasional.
2. Isi catatan audit Apakah perusahaan Sudah Beberapa komponen informasi masih Supervisor IT
AU-3 menetapkan komponen ada dikelola terpusat oleh pabrik
Klausa : sistem informasi yang (principle) seperti harga produk,
Manajemen terpusat menghasilkan catatan audit stabilitas stok, produk baru.
dari konten catatan yang isinya dikelola secara Sedangkan belum dikelola seperti
perencanaan terpusat dan laporan untung rugi, neraca, akses
AU-3(2)[1] dikonfigurasikan oleh sistem kontrol, dan lain sebagainya.
informasi ?

115
 Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi

3. Klausa : Apakah sudah dilakukan Sudah Manajemen pengecekan storage

Kontrol monitor pengecekan dan monitoring setiap bulan, namun untuk backup
AU-4.1 terhadap kapasitas storage data rutin dilakukan sehari sekali
secara rutin/berkala ? dipantau saat sinkron data. Supervisor IT

4. Menanggapi Apakah perusahaan Belum Personel peran siaga belum ada,

kegagalan menetapkan personel atau masih mengandalkan satu.
pemrosesan audit peran yang akan disiagakan Controller dan
AU-5(a)[1] jika terjadi kegagalan Supervisor IT
pemrosesan?

5. Menanggapi Apakah sistem informasi Belum Sistem belum memiliki pengaturan Supervisor IT Wawancara Lisan
kegagalan memberlakukan ambang pengolahan bandwidth, yang saat ini
pemrosesan audit pengelolaan besaran semua rata-rata memiliki besaran 116
AU-5(a)[1] penggunaan bandwidth yang sama.
 Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
Klausa : berdasarkan volume
Ambang batas monitoring network traffic
volume lalu lintas pada kebutuhan ?
konfigurasi
AU-5(3)[1]
6. Perangko waktu Apakah sistem informasi Sudah Sistem telah diatur secara manual
AU-8.1 menggunakan internal clock kebutuhan time stamp untuk log time
untuk menjalankan time record dan mem-backup ke media
stamp untuk log time record yang berbeda namun tetap satu Supervisor IT
dan mem-backup ke media media server.
yang berbeda ?

7. Audit Sesi Apakah sistem informasi
AU-14 menyediakan kemampuan
untuk menangkap/merekam
dan mencatat semua konten
yang berhubungan dengan
sesi pengguna dengan setiap
catatan waktu ?
Sudah Sistem monitoring maupun merekam
aktivitas pengguna setiap waktu
sudah diterapkan oleh aplikasi
internal, sedangkan untuk sistem
Supervisor IT
eksternal dilakukan oleh pabrik
(principle) dengan pihak internal
memantau melalui menggunakan
remote desktop.

D. Security Assessment and Authorization

117
1. Kebijakan dan Apakah perusahaan dari Sudah Perusahaan mendokumentasi
prosedur penilaian bidang TI secara resmi security assessment melalui
keamanan dan mendokumentasikan pencatatan pergantian komponen,
otorisasi pencatatan security namun masih menerapkan kebijakan
CA-1.1 assessment dan kebijakan otorisasi secara komunikatif apabila
otorisasi terhadap sistem ada perubahan menggeser user sesuai
informasi ? situasi lapangan sesuai keputusan
dari pimpinan atau controller dari Controller dan
rekam jejak yang ditugaskan masih Supervisor IT
berdasarkan situasional

2. Penilaian keamanan Apakah perusahaan memiliki Belum Organisasi belum memiliki bentuk
CA-2 bentuk penilaian keamanan model sistem keamanan khusus
Klausa : khusus sebagai kontrol selain kontrol akses username dan
Penilaian khusus keamanan sistem ? password Supervisor IT
CA-2(2)[1]

3. Rencana aksi dan Apakah perusahaan Sudah Pengembangan catatan tindakan

tonggak sejarah mengembangkan rencana perbaikan dengan dokumentasi bukti
CA-5(a)[1] aksi/aksi otomatis terkait pembiayaan komponen
insiden kejadian dengan
mendokumentasikan Supervisor IT
pencatatan tindakannya
dalam perbaikan selama
penilaian kontrol keamanan
secara berkelanjutan ?
4. Koneksi sistem Apakah sistem informasi Belum Sistem informasi pada kepatuhan Supervisor IT Wawancara Lisan 118
 internal melakukan pemeriksaan standar masih menyesuaikan
CA-9 kepatuhan standar keamanan kebutuhan dari sisi internal
Klausa : pada komponen sistem perusahaan.
Pemeriksaan penyusun internal ?
kepatuhan
keamanan
CA-9(1)
E. Configuration Management
1. Kebijakan dan Apakah perusahaan secara Sudah Perusahaan menerapkan
prosedur formal mendokumentasikan dokumentasi kebijakan konfigurasi
manajemen kebijakan manajemen pemeliharaan sistem dalam
konfigurasi konfigurasi sistem informasi inventaris pencatatan aset oleh Supervisor IT
CM- 1(a)(2)[ 1] termasuk dalam memelihara bagian controller khususnya
sistem inventaris pencatatan keuangan dengan bukti biaya
aset ?
2. Konfigurasi dasar Apakah sistem dilakukan Sudah Peninjauan dan perbarui konfigurasi
CM-2(1) peninjauan dan memperbarui dasar sistem informasi secara
Klausa : konfigurasi dasar sistem berkelanjutan masih mengikuti
Ulasan dan informasi secara sesuai aspek dari pabrik (principle). Supervisor IT Wawancara Lisan
pembaruan berkelanjutan ? Namun untuk skala dalam
CM-2(1)(a)[2] manajemen pegawai masih dapat
ditanggani oleh internal
3. Penyimpanan Apakah perusahaan Belum Perusahaan menentukan konfigurasi
konfigurasi menyimpan konfigurasi tertentu, biasanya bila terjadinya
sebelumnya sistem yang lama dan siap kegagalan sistem data akan
Supervisor IT Wawancara Lisan
CM-2(3)[1] dipakai (rollback system) tersimpan di masing-masing
bila terjadi suatu kegagalan pengguna PC sebelum di migrasi ke
informasi (reset) ? pangkalan server sebagai antisipasi.
4. Konfigurasi Apakah perusahaan saat Sudah Perusahaan sebelum melakukan
perubahan kontrol melakukan perubahan perubahan konfigurasi awal sudah di
CM-3(b) konfigurasi kontrol terhadap planning sejak awal sistem dibentuk
Supervisor IT Wawancara Lisan
sistem selalu pada melihat aspek dampak yang
mempertimbangkan analisis ditimbulkan. 119
dampak keamanan?
5. Pengaturan Apakah perusahaan Sudah Sistem pengelolaan mekanisme
konfigurasi mengelola komponen sistem konfigurasi komponen terpusat
CM- 6 informasi menggunakan masih diterapkan pada sistem
Klausa : mekanisme otomatis untuk eksternal, namun untuk sistem
Supervisor IT
Manajemen/ pengaturan konfigurasi internal hanya mengikuti kebijakan
aplikasi / verifikasi komponen secara terpusat ? dari pusat dalam menjalankan
pusat otomatis operasional perusahaan
CM-6(1)[1][a]
6. Guna fungsionalitas Apakah perusahaan Belum Perusahaan belum ada kebijakan
CM-7 menetapkan kebijakan penggunaan maupun pembatasan
Klausa : mengenai penggunaan dan program perangkat lunak, masih Controller dan
Mencegah eksekusi pembatasan program bebas tetapi tidak menyalahi aturan Supervisor IT
program perangkat lunak terhadap dalam privasi perusahaan.
CM-7(2)[1] sistem ?
F. Contingency Planning
1. Rencana cadangan Apakah perusahaan Belum Perusahaan tidak mendokumentasi
CP-2(a)(1) mengembangkan dan rencana darurat, namun masih
mendokumentasikan rencana menerapkan kebijakan contingency
darurat untuk sistem plan secara komunikatif dengan
Supervisor IT Wawancara Lisan
informasi dalam memperhatikan kerusakan yang
mengidentifikasi misi krusial untuk ditindak
penting dan kebijakan
contingency plan ?
2. Situs penyimpanan Apakah perusahaan Belum Perusahaan telah menetapkan lokasi Supervisor IT Wawancara Lisan
alternatif menetapkan lokasi maupun komponen untuk alternatif
CP-6[1] penyimpanan/telekomunikasi cadangan penyimpanan data dalam 2
alternatif dengan pihak skenario, dari back-up server dan
internal/eksternal untuk dari penyimpanan setiap PC
pemulihan cadangan ataupun pengguna sementara apabila terjadi
kerentanan ancaman ? ancaman kegagalan
sistem/pemulihan. Namun tidak pada
penyimpanan terpisah tempat lain,
halnya oleh pihak ketiga atau awan 120
 (cloud).
3 Pemulihan dan Apakah perusahaan Sudah Perusahaan masih menerapkan
rekonstitusi sistem menetapkan periode waktu penyesuaian waktu perbaikan
informasi tertentu untuk memulihkan kerusakan secara langsung ditindak
CP-10 rekonstitusi komponen dengan skala prioritas kerusakan
Supervisor IT Wawancara Lisan
Klausa : sistem informasi dalam yang krusial
Pulihkan periode melindungi keadaan
waktu operasional ?
CP-10[4]
4. Mekanisme Apakah perusahaan Belum Perusahaan menetapkan mekanisme
keamanan alternatif menetapkan mekanisme keamanan alternatif seperti back-up
CP-13 keamanan alternatif atau data dengan ketentuan waktu sekali
Supervisor IT Wawancara Lisan
tambahan atau khusus yang dalam sehari namun lokasi alternatif
digunakan pada satu tempat lokasi data center yang
penyimpanan ? sama dengan media yang berbeda.
G. Identification and Authentication
1. Manajemen Apakah perusahaan Sudah Setiap pengguna mendaftarkan
pengidentifikasian mengelola identitas untuk mendapatkan akses
IA-4 pengidentifikasian individu terhadap sistem informasi sesuai
Klausa : dengan unik peran status dengan kebijakan
Identifikasi status mengidentifikasi setiap kontrol yang dilakukan otorisasi Supervisor IT
pengguna individu sebagai satu status tertinggi pengguna yaitu Supervisor
IA-4(4)[2] individual mengidentifikasi TI dan Pimpinan
karakteristik perusahaan
yang ditetapkan ?
2. Manajemen Apakah perusahaan Sudah Persyaratan kerumitan password Supervisor IT
authenticator mendefinisikan persyaratan cukup kompleks dilakukan oleh
IA-5 kerumitan password pengguna sendiri, dimana user
Klausa : minimum yang harus mendaftarkan akun kepada otorisasi
Otentikasi berbasis diberlakukan untuk tertinggi yang selanjutnya diberi oleh
kata sandi sensitivitas kasus, jumlah user yang dapat dimodifikasi
IA-5(1)[1] karakter, dan campuran password-nya, namun tetap hanya
huruf besar, huruf kecil, diketahui oleh pengguna otorisasi 121
angka, dan karakter khusus tertinggi dan pengguna akun-nya.
 termasuk persyaratan
minimum untuk setiap jenis
3. Otentikasi modul Apakah sistem informasi Belum Sistem informasi belum menetapkan
kriptografis menerapkan mekanisme mekanisme otentikasi kriptografi
IA-7 otentikasi dengan modul sesuai persyaratan standar keamanan.
kriptografi yang telah
memenuhi persyaratan Supervisor IT Wawancara Lisan
(hukum, perintah eksekutif,
arahan, kebijakan, peraturan,
standar, dan panduan) pada
setiap otentikasi yang ada ?
4. Otentikasi ulang Apakah perusahaan Sudah Aplikasi sistem telah menerapkan
IA-11[1] menerapkan batasan atau otentikasi batas ulang sebanyak 5
pemutusan pada situasi saat kali yang saat ini jarang terjadi.
otentikasi ulang maksimum ? Supervisor IT

H. Incident Response
1. Penanganan insiden Apakah perusahaan Sudah Personel pegawai TI masih
IR-4(1) menggunakan kemampuan mengandalkan satu orang yang sudah
Klausa : penanganan insiden dari mengetahui sejak sistem dibentuk.
Ancaman orang pihak internal yang Supervisor IT Wawancara Lisan
dalam - koordinasi ditentukan sesuai peran dan
intra-organisasi tanggung jawab terhadap
IR-4(7) insiden respon ?
2. Bantuan respons Apakah perusahaan Sudah Rekomendasi memperhatikan situasi Supervisor IT
insiden menyediakan sumber pengguna dalam memahami insiden
IR-7[1] dukungan respon insiden problem untuk pelaporan keamanan
yang menawarkan saran dan sistem informasi. Penanganannya
bantuan kepada pengguna terkait sistem jika masih dilakukan 122
sistem informasi untuk jarak jauh menggunakan remote
 penanganan dan pelaporan desktop, namun turun kelapangan
insiden keamanan ? mengenai kerusakan komponen
I. Maintenance
1. Kebijakan dan Apakah perusahaan Belum Perusahaan menerapkan
prosedur mengembangkan dan secara dokumentasi kebijakan pemeliharaan
pemeliharaan sistem formal mendokumentasikan sistem dengan memperhatikan
MA-1(a)(1)[1] kebijakan pemeliharaan pemeliharaan kerusakan seketika Supervisor IT
sistem dengan frekuensi terjadi maupun pembaruan otomatis
waktu ditentukan sesuai melalui pegawai TI internal terlebih
petunjuk spesifikasi/vendor? dahulu.
2. Personel Apakah perusahaan Sudah Pembatasan dalam
pemeliharaan memastikan/membatasi pemeliharaan/perawatan sistem
MA-5 personel/perusahaan yang informasi dicek oleh pegawai TI
Klausa : melakukan pemeliharaan internal terlebih dahulu bilamana
Izin keamanan perawatan terhadap sistem rekomendasi pemeliharaan dari
Supervisor IT Wawancara Lisan
untuk sistem rahasia informasi yang memproses, pihak perusahaan lain dibutuhkan
MA-5(2) menyimpan, atau dengan masalah cukup besar
mentransmisikan informasi diperlukan izin pimpinan perusahaan
rahasia memiliki izin sesuai dan sebaliknya jika permasalahan
peran wewenang ? kecil.
3. Perawatan tepat Apakah perusahaan Belum Pergantian suku cadang dilihat dari
waktu menerapkan periode waktu situasi keadaan komponen, bukan
MA-6[2] untuk dukungan pergantian waktu. Apabila kerusakan dampak
Supervisor IT Wawancara Lisan
suku cadang komponen ? yang ditimbulkan tinggi, segera
dilakukan pergantian. Karena
meminimalkan biaya keluar.
J. Media Protection
1. Kebijakan dan Apakah perusahaan memiliki Belum Kebijakan pembatasan pelindungan Controller dan Wawancara Lisan
prosedur kebijakan formal atau aturan media terhadap personel masih Supervisor IT
perlindungan media fisik perlindungan media secara situasional secara
MP-1(a)(1)[3] (batasan penggunaan media) komunikatif, seperti larangan
kepada personel atau peran penggunaan media di luar ketentuan
yang telah ditetapkan ? 123
2. Penggunaan media Apakah perusahaan Sudah Perusahaan telah melarang
MP-7 melarang penggunaan penyimpanan portable untuk sistem
Melarang perangkat penyimpanan informasi bahkan untuk komputer
penggunaan tanpa portabel dalam sistem pegawai, sebab perusahaan telah Supervisor IT
pemilik informasi perusahaan hingga menyediakan media penyimpanan
MP-7(1) pemiliknya tidak ketahui ? portable sendiri untuk keperluan
perusahaan.
K. Physical and Protection Environment
1. Kebijakan dan Apakah perusahaan Sudah Perusahaan telah mengembangkan
prosedur mengembangkan kebijakan kebijakan dalam perlindungan fisik
perlindungan fisik perlindungan fisik dan dalam strategi mitigasi risiko, seperti
dan lingkungan lingkungan dari strategi akses data center yang telah Supervisor IT
PE-1(a)(1)[1] mitigasi risikonya ? ditentukan dengan kunci pintu,
perlindungan data center
menggunakan CCTV.
2. Kontrol akses fisik Apakah perusahaan memiliki Sudah Ruangan telah diawasi CCTV
PE-3 alarm ataupun pemantau termasuk data center selama 24 jam.
Klausa : fasilitas setiap jalur akses
Penjaga/pemantauan fisik dengan pengawasan 24 Supervisor IT
berkelanjutan jam per hari, 7 hari per
PE-3(3) minggu ?

3. Catatan akses Apakah perusahaan Sudah Ruang data center telah dilindungi
pengunjung menerapkan catatan akses dengan kunci ruangan yang hanya
PE-8(a)[2] pengunjung ke fasilitas dipegang oleh pimpinan perusahaan
sistem informasi (kecuali dan Pegawai TI, serta dengan
area di dalam fasilitas yang perlindungan CCTV 24 jam melalui Supervisor IT
secara resmi ditetapkan persetujuan bidang IT berwenang di
sebagai dapat diakses publik) posisinya.
secara tertulis maupun tidak
(CCTV) ?
124
4. Peralatan listrik dan Apakah perusahaan Belum Secara khusus untuk jalur khusus
kabel melindungi peralatan listrik catu daya maupun jaringan masih
PE-9 dan pemasangan kabel daya menggunakan standar umum yang
dari kerusakan dan dilindungi oleh pipa sesuai fungsinya
Supervisor IT
kehancuran serta penyediaan dan tempat tanpa jalur yang ada dan
catu daya tak terputus dalam tidak memiliki penyediaan listrik
jangka panjang untuk sistem cadangan.
informasi ?
5. Lampu darurat Apakah perusahaan Belum Perusahaan belum memiliki
PE-12 menggunakan pencahayaan percahayaan darurat atau lampu
darurat otomatis untuk baterai maupun penyediaan listrik
Supervisor IT Wawancara Lisan
perangkat sistem informasi cadangan seperti genset.
jika terjadi pemadaman
listrik atau gangguan ?
6. Proteksi kebakaran Apakah perusahaan Belum Perusahaan belum memiliki
PE-13 menggunakan perangkat dan perangkat deteksi kebakaran/suhu
Sistem deteksi sistem deteksi kebakaran dan maupun kontrol mitigasi kebakaran,
PE-13[1] kontrol suhu maupun tetapi memiliki peralatan antisipasi
Supervisor IT Wawancara Lisan
kelembapan mencegah tabung pemadam kebakaran sesuai
ancaman terhadap sistem ? tempat yang rawan serta suhu
kelembapan diatur oleh AC dalam
menyelaraskan suhu ruangan
7. Pemantauan dan Apakah perusahaan telah Sudah Pemantauan hanya
pelacakan aset menerapkan pengendalian kendala/hambatan oleh pengguna
PE-20(a)[3] melacak dan memantau aset dengan Microsoft Remote Desktop Supervisor IT
yang ditentukan perusahaan dan data center menggunakan
dalam jarak jauh ? remote desktop dengan VPN.
L. Planning
1. Kebijakan dan Apakah perusahaan Belum Perusahaan belum mengembangkan Supervisor IT Wawancara Lisan
prosedur mengembangkan dan dokumen kebijakan perencanaan
perencanaan mendokumentasikan terkait keamanan.
keamanan kebijakan perencanaan
PL-1(a)(1)[ 1 ] keamanan secara 125
 berkelanjutan ?
2. Aturan perilaku Apakah perusahaan Sudah Perusahaan membatasi eksplisit
PL-4 menerapkan aturan perilaku tentang penggunaan situs media
Klausa Pembatasan pembatasan eksplisit tentang sosial terhadap sistem informasi
Controller dan
media sosial dan penggunaan situs media apabila menyalahi aturan dalam Wawancara Lisan
Supervisor IT
jejaring sosial terhadap sistem privasi perusahaan yang disampaikan
PL-4(1) informasi ? secara komunikatif/teguran atas
kesadaran individu.
3. Arsitektur Apakah perusahaan Belum Komponen sistem telah melengkapi
keamanan informasi mengembangkan arsitektur dalam melindungi data sesuai
PL-8(a)(1) keamanan (komponen dibutuhkan perusahaan, karena
sistem) dengan relevansi sistem berhubungan atas susunan
update penyusun sistem serta secara internal tanpa adanya
informasi untuk sistem publikasi untuk umum. Berhubungan
informasi yang pengembangan keamanan mengikuti
Supervisor IT Wawancara Lisan
menggambarkan keseluruhan jaman masih belum ada, perlu
filosofi, persyaratan, dan menyesuaikan dari pihak pabrik
pendekatan yang harus (principle) meskipun dari pihak kami
diambil sehubungan dengan sepihak sistem seharusnya seperti
melindungi kerahasiaan, demikian
integritas, dan ketersediaan
informasi perusahaan?
M. Program Management
1. Rencana Apakah perusahaan Belum Pengembangan maupun perbarui
infrastruktur kritis menangani masalah keamanan masih belum, hanya
PM-8 keamanan informasi dalam secara lingkup kecil dan disesuaikan
pengembangan, kebutuhan gangguan berpotensi di
mendokumentasi, masa mendatang Supervisor IT Wawancara Lisan
memperbarui infrastruktur
rencana perlindungan
sumber daya utama ?

2. Strategi manajemen Apakah perusahaan memiliki Belum Dokumen pengembangan belum ada, Supervisor IT Wawancara Lisan 126
risiko dokumentasi formal pada namun hanya sebatas pengembangan
 PM-9(a) pengembangan strategi strategi komprehensif risiko terhadap
komprehensif untuk aset dokumentasi telah dilakukan
mengelola risiko terhadap dengan memperhatikan ketentuan
operasi dan aset perusahaan, kebijakan umum lisan serta
individu, perusahaan lain, situasional. Seperti otorisasi user,
yang terkait dengan operasi pelatihan, aturan penggunaan
dan penggunaan sistem komputer, kerusakan krusial lebih
informasi ? ditindak dahulukan.
3. Pengujian, Apakah perusahaan Belum Pemantauan ancaman dalam
pelatihan, dan menerapkan proses pengujian tidak dilakukan, hanya
pemantauan memastikan atau kesadaran dilakukan proses aktivitas
PM-14 ancaman bahwa dalam berlangsung. Apabila terjadi
Supervisor IT Wawancara Lisan
melakukan pengujian dampaknya, sehingga langsung
keamanan, pelatihan, dan ditindak.
pemantauan terkait terhadap
sistem informasi ?
N. Personel Security
1. Pemutusan Apakah perusahaan Sudah Penghentian akun akses pegawai
hubungan kerja menghentikan akses sistem yang telah resign menerapkan
PS-4(a)[1] informasi untuk pegawai suspend, dengan ditahan akun
yang telah resign ? pengguna tersebut. Tidak dengan
menghapus, sebab suatu saat data
dapat dibutuhkan oleh perusahaan Supervisor IT

127
2. Keamanan personel Apakah perusahaan Sudah Persyaratan keamanan sistem
PS-7(a) menetapkan persyaratan informasi masih menggunakan
keamanan personel, pegawai TI hanya satu orang dalam
Controller dan
termasuk peran dan bidang TI yang mempunyai
Supervisor IT
tanggung jawab keamanan ? kemampuan tanggung jawab dengan
peran otorisasi tertinggi.

3. Sanksi personel Apakah perusahaan Sudah Prosedur penyalahan aturan dengan

PS-8(a) menggunakan proses sanksi sanksi formal telah dilakukan sesuai
formal untuk individu yang kebijakan prosedur keamanan lintas
gagal mematuhi kebijakan disiplin berdasarkan situasional Controller dan
Wawancara Lisan
dan prosedur keamanan secara tahapan proses lisan Supervisor IT
informasi yang ditetapkan komunikatif yang saat ini belum
atau program ancaman orang terjadi hanya berupa teguran dengan
dalam (lintas disiplin) ? sanksi mengeluarkan surat SP.
O. Risk Assessment
1. Pemindaian Apakah perusahaan secara Rutinitas pemindaian kerentanan
kerentanan rutin melakukan pemindaian dalam antivirus telah dilakukan
RA-5[2] kerentanan otomatis di belakang layar selama
Klausa : (pentest/antivirus/ komputer dihidupkan dan kerentanan
Perbarui pendeteksian ancaman) pada dalam pemindaian pentest maupun Controller dan
Belum Wawancara Lisan
berdasarkan sistem informasi pada pendeteksian ancaman tidak ada Supervisor IT
frekuensi / sebelum aplikasi yang diterapkan ? karena terlalu berisiko, namun
pemindaian baru / apabila ada kerusakan dari tersebut,
ketika diidentifikasi untuk diperbaiki secara langsung
RA-5(a)[3] untuk ditindak agar tidak terulang
2. Survei Apakah perusahaan Sudah Perusahaan menerapkan penyesuaian
penanggulangan menerapkan analisa waktu perbaikan kerusakan secara
pengawasan teknis pengawasan teknis langsung ditindak dengan skala
RA-6[2] penanggulangan ancaman kerusakan prioritas yang krusial Supervisor IT Wawancara Lisan
berdasarkan rekontruksi dalam keadaan situasi lapangan,
jenjang waktu untuk di bagaimana sistem bisa berjalan.
selesaikan ? 128
 P. System and Services Acquisition
1. Siklus hidup Apakah perusahaan Sudah Sejak awal sistem informasi dibentuk
pengembangan mengelola sistem informasi berdasarkan beberapa konsultan TI
sistem menggunakan system dengan memperhatikan kebutuhan
SA-3(a)[1] development life cycle internal perusahaan yang diikuti
methodology yang mencakup aspek terhubung ke sistem informasi
pertimbangan keamanan pabrik dalam pengelolaan mencapai Supervisor IT
informasi yang akan strategi bisnis yang efektif dan
digunakan untuk mengelola efisien serta mempertimbangkan
sistem informasi ? aspek keamanan saat itu dan saat ini
tidak ada masalah dari keamanan
terhadap kedua sistem.
2. proses akuisisi Apakah perusahaan Sudah Kemungkinan sudah oleh pihak
SA-4(8) menetapkan tingkat konsultan TI sendiri, sebab terkait
Klausa : perincian yang diperlukan masalah keamanan tidak terlalu
Rencana pengembang untuk signifikan. Seperti pengendaliannya
pemantauan menyediakan sistem sistem dikhususkan untuk pihak
berkelanjutan informasi, komponen sistem, internal tanpa dunia luar, dan data
Supervisor IT Wawancara Lisan
SA-4(8)[1] atau layanan sistem server ada di pihak internal. Namun
informasi ketika membuat pengembangan layanan jangka
rencana pemantauan panjang, perlu penyesuaian dengan
berkelanjutan untuk sistem pabrik (principle).
efektivitas pengendalian
keamanan ?
3. Perlindungan rantai Apakah perusahaan Belum Penilaian bersifat tidak tertulis dari
pasokan melakukan penilaian internal perusahaan, sebab sistem
SA-12(7) fungsionalitas arus lintas informasi yang dibentuk telah diuji
komunikasi terhadap sistem oleh pihak konsultan TI dalam
informasi, komponen sistem, pengembangan disesuaikan Supervisor IT Wawancara Lisan
atau layanan sistem kebutuhan perusahaan. Sehingga
informasi ketika diterapkan ? perusahaan hanya siap pakai
penggunaan sistem informasi,
komponen sistem maupun layanan 129
Q. System and Communications Protection
1. Kebijakan dan Apakah perusahaan Belum Penyebaran informatif kebijakan
prosedur menyebarkan kebijakan melindungi sistem komunikasi telah
perlindungan sistem dokumentasi secara formal dilakukan pada setiap unsur peran
dan komunikasi dan kebijakan perlindungan dan tugasnya secara komunikatif
Controller dan
SC-1(a)(1) komunikasi ke elemen pendekatan. Wawancara Lisan
Supervisor IT
perusahaan yang memiliki
peran dan tanggung jawab
untuk melindungi sistem dan
komunikasi ?
2. Penolakan layanan Apakah sistem informasi Belum Sistem telah mengolah batas ambang
proteksi tion mengelola batas ambang bandwidth secara terbuka dengan
SC-5(2) kapasitas, bandwidth, atau provider Telkom/Indihome sebesar
Kelebihan redundansi lainnya untuk 50 Mbps dan
kapasitas / membatasi dampak CBN sebesar 25 Mbps, namun untuk
bandwidth / penumpukan informasi serangan denial of service (Dos)
redundansi sebagai pengendalian belum terjadi, karena sistem masih Supervisor IT
SC-5(2) batasan jenis serangan bersifat internal (aplikasi desktop),
denial of service (Dos) ? bukan untuk informasi publik.

3. Perlindungan Apakah sistem informasi Belum Saat ini perlindungan kriptografi

kriptografi mengimplementasikan
SC-13 penggunaan jenis kriptografi
pada sistem informasi yang
ditentukan perusahaan untuk
diperlukan sesuai
penggunaan ?
4. Honey pots Apakah sistem informasi
SC-26 memiliki komponen yang
dirancang khusus untuk
menjadi target serangan
berbahaya dalam tujuan
belum ada diterapkan dalam sistem,
namun untuk dari segi masa
mendatang akan pertimbangan jika Supervisor IT Wawancara Lisan
dibutuhkan dan penyesuaian dengan
sistem pabrik (principle)
Belum Sistem informasi masih bersifat Supervisor IT Wawancara Lisan
internal (aplikasi desktop), bukan
untuk informasi publik. Sehingga
mendeteksi serangan belum terjadi 130
saat ini.
 mendeteksi, menganalisis
dan membelokkan
serangan ?
R. System And Information Integrity Policy and Procedures
1. Flaw remediation Apakah perusahaan Perusahaan menerapkan pembaruan
SI-2 menerapkan pembaruan Sudah perangkat lunak sesuai kebutuhan
Klausa : perangkat lunak yang yang relevan dalam
Automatic relevan untuk sistem perkembangannya. Seperti antivirus,
software / firmware keamanan komputer yang sistem operasi pengguna, pengolahan Wawancara Lisan
Supervisor IT
updates diinstal secara otomatis ke data, komponen driver, dll.
SI-2(5) komponen sistem informasi
yang telah ditentukan
perusahaan?
2. Malicious code Apakah perusahaan Belum Sistem belum terdapat model
protection menetapkan perlindungan keamanan otentikasi perintah jarak
SI-3 keamanan yang akan jauh, namun sebatas kesadaran dari
diterapkan oleh sistem kerahasiaan terhadap user dengan
Klausa : Supervisor IT Wawancara Lisan
informasi untuk akun privileges tertinggi. Karena
Authenticate remote mengotentikasi perintah sistem berbasis internal dengan
commands jarak jauh yang ditentukan pengguna akun yang sudah terdaftar
SI-3(9)[1] perusahaan? jadi tanpa perlu otentikasi
3. Pemantauan sistem Apakah perusahaan Belum Sistem belum ada pemantauan
informasi menetapkan tujuan deteksi serangan potensi terhadap
SI-4(a)(1) [1] pemantauan untuk sistem informasi.
Supervisor IT Wawancara Lisan
mendeteksi serangan dan
indikator potensi serangan
pada sistem informasi ?

131
 LAMPIRAN 3
Control Analysis Self-Assessment NIST 800-53A Revision 4

Kerentanan Sumber Ancaman

No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
1. Infrastruktur TI Belum memiliki pemantauan  Individu atau kelompok di luar Kebocoran informasi, kerusakan sistem, kegagalan
jarak jauh sebagai perlindungan perusahaan sistem informasi, terlambat recovery system
untuk memastikan potensi  Individu atau kelompok di dalam
serangan pada sistem informasi perusahaan
 Infrastruktur Komunikasi
Tidak memiliki kebijakan audit  Individu atau kelompok di luar Tidak ketersediaan informasi, kegagalan sistem
TI dan akuntabilitas TI dalam perusahaan informasi, terlambat recovery system, rekam
frekuensi waktu tertentu  Individu atau kelompok di dalam aktivitas tidak memiliki pengembangan
perusahaan peningkatan sistem
 Infrastruktur Pemprosesan
Tidak menetapkan personel atau  Individu atau kelompok di dalam Tidak ketersediaan layanan, kerusakan sistem,
peran yang akan disiagakan jika perusahaan kegagalan sistem informasi, terlambat recovery
terjadi kegagalan pemrosesan  Infrastruktur Pemprosesan system

Tidak terdapat pemeriksaan  Individu atau kelompok di dalam Pelanggaran hak akses dari user yang tidak
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
kepatuhan aspek standar perusahaan memahami aspek keamanan informasi dengan
keamanan yang baku pada  Infrastruktur Pemprosesan ketidakdisiplinan yang dapat merugikan sistem
pegawai
Tidak terdapat dokumentasi  Individu atau kelompok di luar Tidak ketersediaan layanan, terlambat recovery
manajemen rencana darurat atau perusahaan system, kegagalan sistem rasio antisipasi waktu
insiden pada sistem informasi  Individu atau kelompok di dalam tidak terjamin, Sistem mati
dalam contingency plan. perusahaan
 Operasional Infrastruktur TI
Belum memiliki penjadwalan  Individu atau kelompok di dalam Tidak ketersediaan layanan, terlambat recovery
yang rutin terhadap perusahaan system, kegagalan sistem rasio antisipasi waktu
maintenance sistem hanya  Operasional Infrastruktur TI tidak terjamin
terhadap insiden
Tidak memiliki perlindungan  Infrastruktur TI Tidak ketersediaan layanan, kegagalan aktivitas
atau pencadangan atau  Lingkungan Operasional Infrastruktur TI sistem
perlengkapan dini daya listrik
Tidak memiliki percahayaan  Infrastruktur TI Terganggunya aktivitas manajemen, kerusakan
darurat dan perlengkapan dini  Lingkungan Operasional Infrastruktur TI komponen
percahayaan
Tidak memiliki deteksi dan  Infrastruktur TI Tidak ketersediaan layanan, kegagalan sistem
perlengkapan dini kebakaran  Lingkungan Operasional Infrastruktur TI informasi, terlambat recovery system, data crash,
sistem aplikasi crash
Tidak terdapat kebijakan  Individu atau kelompok di dalam Keterlambatan recovery system, kegagalan sistem
perencanaan keamanan perusahaan informasi, perangkat sistem informasi tidak
berkelanjutan  Operasional Infrastruktur TI terkontrol, rekam aktivitas tidak memiliki
pengembangan peningkatan sistem
Belum menangani manajemen  Individu atau kelompok di dalam keterlambatan recovery system, kegagalan sistem
pengembangan rencana perusahaan informasi, perangkat sistem informasi tidak
keamanan informasi dalam  Operasional Infrastruktur TI terkontrol, rekam aktivitas tidak memiliki
infrastruktur yang berkelanjutan pengembangan peningkatan sistem
Tidak terdapat teknologi  Individu atau kelompok di luar Kebocoran informasi, kerusakan sistem, kegagalan 133
keamanan dalam sistem sistem informasi, terlambat recovery system
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
informasi maupun pencegahan perusahaan
pendeteksian atau membelokkan  Individu atau kelompok di dalam
serangan perusahaan
 Infrastruktur TI
2. Sistem Informasi Sistem tidak menerapkan modul  Individu atau kelompok di luar Kebocoran informasi dan data informasi tidak
Zeta keamanan khusus/ perusahaan terkontrol
alternatif/kritis (kriptografi)  Individu atau kelompok di dalam
perusahaan
 Infrastruktur TI
Tidak terdapat pelatihan awal  Individu atau kelompok di dalam Pelanggaran hak akses dari user yang tidak
kepada pegawai untuk bekerja perusahaan memahami aspek keamanan informasi dengan
sesuai peran dan tugas serta  Operasional Infrastruktur TI ketidakdisiplinan yang dapat merugikan
pelatihan security awareness perusahaan
terhadap sistem informasi
Tidak memiliki alternatif  Individu atau kelompok di dalam Database crash, data informasi tidak terkontrol,
storage site terpisah dalam perusahaan Tidak ketersediaan informasi dan layanan,
mekanisme backup storage  Infrastruktur Penyimpanan dan kegagalan sistem informasi
pemprosesan
Konfigurasi sistem yang lama  Individu atau kelompok di dalam Tidak ketersediaan layanan, kerusakan sistem,
dan siap dipakai (rollback perusahaan kegagalan sistem informasi, terlambat recovery
system) bila terjadi suatu  Infrastruktur Penyimpanan dan system
kegagalan informasi (reset) pemprosesan
Tidak memiliki dokumen  Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
manajemen maintenance perusahaan informasi, terlambat recovery system, rekam
pemeliharaan sistem baku sesuai  Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
standar peningkatan sistem
Belum memiliki penjadwalan  Individu atau kelompok di dalam Tidak ketersediaan layanan, terlambat recovery
yang rutin terhadap perusahaan system, kegagalan sistem rasio antisipasi waktu
maintenance sistem hanya  Operasional Infrastruktur TI tidak terjamin
terhadap insiden
134
Tidak memiliki dokumentasi  Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
strategi risiko mengelola operasi perusahaan informasi, terlambat recovery system, rekam
dan aset pembentuk  Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
infrastruktur TI peningkatan sistem
Tidak terdapat manajemen  Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
pengujian, pelatihan, dan perusahaan informasi, sistem tidak berkesinambungan, rekam
pemantauan terdapat sistem  Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
informasi yang diterapkan peningkatan sistem
Dokumentasi sistem informasi  Individu atau kelompok di dalam Sistem informasi tidak terkontrol, tidak
tidak terintegrasi dengan baik perusahaan ketersediaan informasi, kegagalan sistem
melalui dokumentasi input  Infrastruktur Penyimpanan dan informasi, terlambat recovery system
terpisah satu sama lain pemprosesan

Tidak terdapat dokumentasi  Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
penilaian sistem informasi perusahaan informasi, sistem tidak berkesinambungan, rekam
ketika diterapkan oleh  Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
perusahaan peningkatan sistem
3. PC User Belum memiliki kebijakan  Individu atau kelompok di dalam Terciptanya serangan virus, malware, kerusakan
batasan penggunaan program perusahaan sistem, terganggu-nya aktivitas sistem, kebocoran
perangkat lunak terhadap sistem  Operasional Infrastruktur TI informasi
Tidak memiliki dokumen  Individu atau kelompok di dalam Kerusakan komponen, kebocoran data, kegagalan
kebijakan perlindungan media perusahaan sistem informasi, terlambat recovery system, tidak
batasan penggunaan terhadap  Operasional Infrastruktur TI ketersediaan layanan
pegawai
Belum memiliki penjadwalan  Individu atau kelompok di dalam Tidak ketersediaan layanan, terlambat recovery
yang rutin terhadap perusahaan system, kegagalan sistem rasio antisipasi waktu
maintenance sistem hanya  Operasional Infrastruktur TI tidak terjamin
terhadap insiden
Baterai UPS hanya bertahan  Individu atau kelompok di dalam Tidak ketersediaan layanan, keterlambatan
beberapa saat atau terkadang perusahaan recovery system, data crash, perangkat sistem
tidak berfungsi sama sekali  Infrastruktur TI informasi tidak terkontrol 135
4. Infrastruktur Tidak terdapat pemantauan  Individu atau kelompok di luar Terdapat malware, botnet masuk ke dalam sistem,
 Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
Jaringan jarak jauh sebagai perlindungan perusahaan remote access desktop atau trojan
untuk memastikan potensi  Individu atau kelompok di dalam
serangan pada sistem informasi perusahaan
 Infrastruktur TI
Tidak menetapkan personel atau  Individu atau kelompok di dalam Tidak ketersediaan layanan, kerusakan sistem,
peran yang akan disiagakan jika perusahaan kegagalan sistem informasi, terlambat recovery
terjadi kegagalan pemrosesan  Operasional Infrastruktur TI dan system
komunikasi
Tidak terdapat pengelolaan  Individu atau kelompok di dalam Tidak ketersediaan layanan, kegagalan sistem
besaran pengolahan penggunaan perusahaan informasi, keterlambatan komunikasi sistem,
bandwidth  Infrastruktur Komunikasi kegagalan recovery system, perangkat sistem
informasi tidak terkontrol
Konfigurasi sistem yang lama  Individu atau kelompok di dalam Tidak ketersediaan layanan, keterlambatan
dan siap dipakai (rollback perusahaan komunikasi sistem, kegagalan recovery system
system) bila terjadi suatu  Infrastruktur Penyimpanan dan
kegagalan informasi (reset) pemprosesan

136

Penentuan Kecenderungan (Likelihood)
No Aset Kerentanan
1. Infrastruktur TI Belum memiliki pemantauan
jarak jauh sebagai perlindungan
untuk memastikan potensi
serangan pada sistem informasi
Tidak memiliki kebijakan audit
TI dan akuntabilitas TI dalam
frekuensi waktu tertentu
Tidak menetapkan personel atau
peran yang akan disiagakan jika
terjadi kegagalan pemrosesan
Tidak terdapat pemeriksaan
kepatuhan aspek standar
keamanan yang baku pada
pegawai
Tidak terdapat dokumentasi
manajemen rencana darurat atau
insiden pada sistem informasi
dalam contingency plan
Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
LAMPIRAN 4
Dampak Ancaman
Kebocoran informasi, kerusakan
sistem, kegagalan sistem
informasi, terlambat recovery
system
Tidak ketersediaan informasi,
kegagalan sistem informasi,
terlambat recovery system,
rekam aktivitas tidak memiliki
pengembangan peningkatan
sistem
Tidak ketersediaan layanan,
kerusakan sistem, kegagalan
sistem informasi, terlambat
recovery system
Pelanggaran hak akses dari user
yang tidak memahami aspek
keamanan informasi dengan
ketidakdisiplinan yang dapat
merugikan sistem
Tidak ketersediaan layanan,
terlambat recovery system,
kegagalan sistem rasio
antisipasi waktu tidak terjamin
Nilai Kecenderungan Nilai Skala Level Likelihood
Aktivitas hingga saat ini,
setiap tahun jarang terjadi
0,1 Low
dan tidak pernah
Aktivitas hingga saat ini,
kegagalan layanan paling
signifikan terjadi 1 kali
0,1 Low
dalam setahun dengan tahun
tertentu mengenai kerusakan
komponen
Aktivitas hingga saat ini,
kebutuhan service dalam
personel secara langsung 1,0 High
(tiba-tiba) hingga lebih dari 6
kali kejadian dalam setahun
Aktivitas hingga saat ini,
pengguna tidak sah sesuai
peran masuk ke sistem, 0,5 Medium
paling kecil 3-5 kali kejadian
Aktivitas hingga saat ini,
kebutuhan service dalam
personel secara langsung
1,0 High
hanya terhadap insiden
langsung hingga lebih dari 6
kali kejadian dalam setahun
 No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
Belum memiliki penjadwalan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
yang rutin terhadap terlambat recovery system, kebutuhan service tanpa
maintenance sistem hanya kegagalan sistem rasio penjadwalan rutin
1,0 High
terhadap insiden antisipasi waktu tidak terjamin mengandalkan insiden
langsung hingga lebih dari 6
kali kejadian dalam setahun
Tidak memiliki perlindungan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
atau pencadangan atau kegagalan aktivitas sistem Setiap tahun jarang terjadi, 0,5 Medium
perlengkapan dini daya listrik paling kecil 1-5 kali kejadian
Tidak memiliki percahayaan Terganggunya aktivitas Aktivitas hingga saat ini,
darurat dan perlengkapan dini manajemen setiap tahun jarang terjadi 0,1 Low
percahayaan dan tidak pernah
Tidak memiliki deteksi dan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
perlengkapan dini kebakaran kegagalan sistem informasi, setiap tahun jarang terjadi
0,1 Low
terlambat recovery system, data dan tidak pernah
crash, sistem aplikasi crash
Tidak terdapat kebijakan keterlambatan recovery system, Aktivitas hingga saat ini,
perencanaan keamanan kegagalan sistem informasi, tidak terlalu signifikan
berkelanjutan perangkat sistem informasi terjadi 1-2 kali dalam
tidak terkontrol, rekam aktivitas setahun dengan tahun 0,1 Low
tidak memiliki pengembangan tertentu mengenai kerusakan
peningkatan sistem terhadap perbaikan
keamanan
Belum menangani manajemen keterlambatan recovery system, Aktivitas hingga saat ini,
pengembangan rencana kegagalan sistem informasi, hanya mengikuti arahan dari
keamanan informasi dalam perangkat sistem informasi principle dan mengikuti
infrastruktur yang berkelanjutan tidak terkontrol, rekam aktivitas pendukung perbaikan
tidak memiliki pengembangan penyesuaian saat 0,5 Medium
peningkatan sistem berlangsung dengan kejadian
awal 3-4 kali ketika
menerapkan teknologi sisi
keamanan tersebut 138

Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
 No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
Tidak terdapat teknologi Kebocoran informasi, kerusakan Aktivitas hingga saat ini,
keamanan dalam sistem sistem, kegagalan sistem setiap tahun jarang terjadi
informasi maupun pencegahan informasi, terlambat recovery dan tidak pernah 0,1 Low
pendeteksian atau membelokkan system
serangan
2. Sistem Informasi Sistem tidak menerapkan modul Kebocoran informasi dan data Aktivitas hingga saat ini,
Zeta keamanan khusus/ informasi tidak terkontrol setiap tahun jarang terjadi 0,1 Low
alternatif/kritis (kriptografi) dan tidak pernah
Tidak terdapat pelatihan awal Pelanggaran hak akses dari user Aktivitas hingga saat ini,
kepada pegawai untuk bekerja yang tidak memahami aspek pelanggaran pengguna tidak
sesuai peran dan tugas serta keamanan informasi dengan sah sesuai peran dan aspek
0,5 Medium
pelatihan security awareness ketidakdisiplinan yang dapat keamanan sistem, dengan
terhadap sistem informasi merugikan perusahaan rentang 1-4 kali kejadian

Tidak memiliki alternatif Database crash, data informasi Aktivitas hingga saat ini,
storage site terpisah dalam tidak terkontrol, tidak Setiap tahun jarang terjadi
mekanisme backup storage ketersediaan informasi dan kegagalan signifikan, paling 0,1 Low
layanan, kegagalan sistem kecil 1-2 kali kejadian
informasi
Konfigurasi sistem yang lama Tidak ketersediaan layanan, Aktivitas hingga saat ini,
dan siap dipakai (rollback kerusakan sistem, kegagalan setiap tahun jarang terjadi
0,1 Low
system) bila terjadi suatu sistem informasi, terlambat dan tidak pernah
kegagalan informasi (reset) recovery system
Tidak memiliki dokumen Tidak ketersediaan informasi, Aktivitas hingga saat ini 0,5 Medium
manajemen maintenance kegagalan sistem informasi, pada sistem informasi Zeta.
pemeliharaan sistem baku sesuai terlambat recovery system, Manajemen service kejadian
standar rekam aktivitas tidak memiliki yang cukup sering terjadi,
pengembangan peningkatan maksimal 5 kali service
sistem maintenance dengan
kerusakan tidak signifikan 139

Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
 dan tanpa dokumentasi.

No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
Belum memiliki penjadwalan Tidak ketersediaan informasi, Aktivitas hingga saat ini
yang rutin terhadap kegagalan sistem informasi, pada sistem informasi Zeta,
maintenance sistem hanya terlambat recovery system, kebutuhan lebih dari 6 kali
terhadap insiden rekam aktivitas tidak memiliki service dengan 1,0 High
pengembangan peningkatan membutuhkan dokumentasi
sistem sebelumnya pada
dokumentasi tidak baku
Tidak memiliki dokumentasi Tidak ketersediaan informasi, Aktivitas hingga saat ini,
strategi risiko mengelola operasi kebocoran informasi, kegagalan kebutuhan rentang 2-3 kali
dan aset pembentuk sistem dengan rasio antisipasi service dengan
0,5 Medium
infrastruktur TI waktu tidak terjamin, perangkat membutuhkan dokumentasi
sistem informasi tidak sebelumnya pada
terkontrol dokumentasi tidak baku
Tidak terdapat manajemen Tidak ketersediaan informasi, Aktivitas hingga saat ini,
pengujian, pelatihan, dan kegagalan sistem informasi, setiap tahun jarang terjadi
pemantauan terdapat sistem terlambat recovery system, dan tidak pernah
0,1 Low
informasi yang diterapkan rekam aktivitas tidak memiliki
pengembangan peningkatan
sistem
Dokumentasi sistem informasi Sistem informasi tidak Aktivitas hingga saat ini,
tidak terintegrasi dengan baik terkontrol, tidak ketersediaan pengisian beberapa manual
melalui dokumentasi input informasi, kegagalan sistem berulang akibat tidak
terpisah satu sama lain informasi, terlambat recovery tersinkronisasi secara baik. 1,0 High
system Tanpa terintegrasi refresh
yang kejadiannya dari 6 kali
kejadian setiap tahunnya
Tidak terdapat dokumentasi Tidak ketersediaan informasi, Aktivitas hingga saat ini, 1,0 Low
penilaian sistem informasi kegagalan sistem informasi, kebutuhan rentang 1-2 kali
ketika diterapkan oleh terlambat recovery system, service dengan
perusahaan rekam aktivitas tidak memiliki membutuhkan dokumentasi 140
pengembangan peningkatan sebelumnya pada

Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
 sistem dokumentasi tidak baku

No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
3. PC User Belum memiliki kebijakan Terciptanya serangan virus, Aktivitas hingga saat ini,
batasan penggunaan program malware, kerusakan sistem, gangguan PC pengguna
perangkat lunak terhadap sistem terganggunya aktivitas sistem, akibat batasan kepatuhan
kebocoran informasi software dengan service 0,5 Medium
lebih dari 6 kali kejadian
dalam setahun di semua
komputer
Tidak memiliki dokumen Kerusakan komponen, Aktivitas hingga saat ini,
kebijakan perlindungan media kebocoran data, kegagalan gangguan PC pengguna
batasan penggunaan terhadap sistem informasi, terlambat akibat batasan kepatuhan
pegawai recovery system, tidak media perangkat dengan 0,5 Medium
ketersediaan layanan, service lebih dari 2-5 kali
kejadian dalam setahun di
semua komputer
Belum memiliki penjadwalan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
yang rutin terhadap terlambat recovery system, kebutuhan service tanpa
maintenance sistem hanya kegagalan sistem rasio penjadwalan rutin
1,0 High
terhadap insiden antisipasi waktu tidak terjamin mengandalkan insiden
langsung hingga lebih dari 6
kali kejadian dalam setahun
Baterai UPS hanya bertahan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
beberapa saat atau terkadang keterlambatan recovery system, gangguan mengenai
tidak berfungsi sama sekali data crash, perangkat sistem bergantung catu ketersediaan
0,5 Medium
informasi tidak terkontrol daya listrik secara tidak
langsung kejadian
berdampak 2-4 kali kejadian
4. Infrastruktur Tidak terdapat pemantauan Terdapat malware, botnet Aktivitas hingga saat ini,
Jaringan jarak jauh sebagai perlindungan masuk ke dalam sistem, remote setiap tahun jarang terjadi
0,1 Low
untuk memastikan potensi access trojan dan tidak pernah
serangan pada sistem informasi 141

Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
 No Aset Kerentanan Dampak Ancaman
Tidak menetapkan personel atau Tidak ketersediaan layanan,
peran yang akan disiagakan jika kerusakan sistem, kegagalan
terjadi kegagalan pemrosesan sistem informasi, terlambat
recovery system
Tidak terdapat pengelolaan Tidak ketersediaan layanan,
besaran penggunaan bandwidth kegagalan sistem informasi,
keterlambatan komunikasi
sistem, kegagalan recovery
system, perangkat sistem
informasi tidak terkontrol
Konfigurasi sistem yang lama Tidak ketersediaan layanan,
dan siap dipakai (rollback keterlambatan komunikasi
system) bila terjadi suatu sistem, kegagalan recovery
kegagalan informasi (reset) system
Nilai Kecenderungan Nilai Skala Level Likelihood
Aktivitas hingga saat ini,
kebutuhan service dalam
personel secara langsung 1,0 High
(tiba-tiba) hingga lebih dari 6
kali kejadian dalam setahun
Aktivitas hingga saat ini,
setiap tahun jarang terjadi
dan tidak pernah
0,1 Low
Aktivitas hingga saat ini,
setiap tahun jarang terjadi
dan tidak pernah terdampak 0,1 Low
signifikan

142

Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
 LAMPIRAN 5
Penentuan Analisis Dampak (Impact Analysis)

No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
1. Infrastruktur TI Belum memiliki pemantauan Kebocoran informasi, Gangguan operasi internal,
jarak jauh sebagai kerusakan sistem, kegagalan kerusakan aset (data informasi)
perlindungan untuk sistem informasi, terlambat 50 Medium
memastikan potensi serangan recovery system
pada sistem informasi
Tidak memiliki kebijakan Tidak ketersediaan informasi, Gangguan operasi internal,
audit TI dan akuntabilitas TI kegagalan sistem informasi, kerusakan aset (data informasi
dalam frekuensi waktu terlambat recovery system, dan komponen), buruk reputasi
100 High
tertentu rekam aktivitas tidak memiliki terhadap pengaruh eksternal
pengembangan peningkatan
sistem
Tidak menetapkan personel Tidak ketersediaan layanan, Gangguan operasi internal,
atau peran yang akan kerusakan sistem, kegagalan kerusakan aset (data informasi
100 High
disiagakan jika terjadi sistem informasi, terlambat dan komponen), bahaya pada
kegagalan pemrosesan recovery system individu
Tidak terdapat pemeriksaan Pelanggaran hak akses dari Gangguan operasi internal,
kepatuhan aspek standar user yang tidak memahami kerusakan aset (data informasi
keamanan yang baku pada aspek keamanan informasi dan komponen), bahaya pada 100 High
pegawai dengan ketidakdisiplinan yang individu
dapat merugikan sistem
Tidak terdapat dokumentasi Tidak ketersediaan layanan, Gangguan operasi internal,
manajemen rencana darurat terlambat recovery system, kerusakan aset (data informasi
atau insiden pada sistem kegagalan sistem rasio dan komponen), buruk reputasi 100 High
informasi dalam contingency antisipasi waktu tidak terjamin terhadap pengaruh eksternal dan
plan. bahaya pada individu pegawai

Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
 No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Belum memiliki penjadwalan Tidak ketersediaan layanan, Gangguan operasi internal,
yang rutin terhadap terlambat recovery system, kerusakan aset (data informasi
100 High
maintenance sistem hanya kegagalan sistem rasio dan komponen), buruk reputasi
terhadap insiden antisipasi waktu tidak terjamin terhadap pengaruh eksternal
Tidak memiliki perlindungan Tidak ketersediaan layanan, Gangguan operasi internal,
atau pencadangan atau kegagalan aktivitas sistem kerusakan aset, buruk reputasi 100 High
perlengkapan dini daya listrik terhadap pengaruh eksternal
Tidak memiliki percahayaan Terganggunya aktivitas Gangguan operasi internal
darurat dan perlengkapan dini manajemen 10 Low
percahayaan
Tidak memiliki deteksi dan Tidak ketersediaan layanan, Gangguan operasi internal,
perlengkapan dini kebakaran kegagalan sistem informasi, kerusakan aset, buruk reputasi
terlambat recovery system, terhadap pengaruh eksternal dan 100 High
data crash, sistem aplikasi bahaya pada individu pegawai
crash
Tidak terdapat kebijakan keterlambatan recovery Gangguan operasi internal,
perencanaan keamanan system, kegagalan sistem kerusakan aset (data informasi
berkelanjutan informasi, perangkat sistem dan komponen), buruk reputasi
informasi tidak terkontrol, terhadap pengaruh eksternal dan 100 High
rekam aktivitas tidak memiliki bahaya pada individu pegawai
pengembangan peningkatan
sistem
Belum menangani manajemen keterlambatan recovery Gangguan operasi internal,
pengembangan rencana system, kegagalan sistem kerusakan aset (arus data
keamanan informasi dalam informasi, perangkat sistem informasi dan komponen), buruk
infrastruktur yang informasi tidak terkontrol, reputasi terhadap pengaruh 100 High
berkelanjutan rekam aktivitas tidak memiliki eksternal dan bahaya pada
pengembangan peningkatan individu pegawai
sistem

144
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
 No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Tidak terdapat teknologi Kebocoran informasi, Gangguan operasi internal,
keamanan dalam sistem kerusakan sistem, kegagalan kerusakan aset (arus data
informasi maupun pencegahan sistem informasi, terlambat informasi) 50 Medium
pendeteksian atau recovery system
membelokkan serangan
2. Sistem Sistem tidak menerapkan Kebocoran informasi, data Gangguan operasi internal,
Informasi Zeta modul keamanan khusus/ informasi tidak terkontrol kerusakan aset (data informasi),
100 High
alternatif/kritis (kriptografi) buruk reputasi terhadap pengaruh
eksternal
Tidak terdapat pelatihan awal Pelanggaran hak akses dari Gangguan operasi internal,
kepada pegawai untuk bekerja user yang tidak memahami kerusakan aset (arus data
sesuai peran dan tugas serta aspek keamanan informasi informasi dan komponen), 100 High
pelatihan security awareness dengan ketidakdisiplinan yang bahaya pada individu pegawai
terhadap sistem informasi dapat merugikan perusahaan
Tidak memiliki alternatif Database crash, data Gangguan operasi internal,
storage site terpisah dalam informasi tidak terkontrol, kerusakan aset (arus data
mekanisme backup storage tidak ketersediaan informasi informasi dan komponen), buruk
dan layanan, kegagalan sistem reputasi terhadap pengaruh 100 High
informasi eksternal

Konfigurasi sistem yang lama Tidak ketersediaan layanan, Gangguan operasi internal,
dan siap dipakai (rollback kerusakan sistem, kegagalan Gangguan terhadap arus
50 Medium
system) bila terjadi suatu sistem informasi, terlambat informasi dengan perusahaan
kegagalan informasi (reset) recovery system lain
Tidak memiliki dokumen Tidak ketersediaan informasi, Gangguan operasi internal,
manajemen maintenance kegagalan sistem informasi, kerusakan aset (arus data
pemeliharaan sistem baku terlambat recovery system, informasi dan komponen), buruk
100 High
sesuai standar rekam aktivitas tidak memiliki reputasi terhadap pengaruh
pengembangan peningkatan eksternal
sistem

145
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
 Belum memiliki penjadwalan Pelanggaran hak akses dari Gangguan operasi internal,
yang rutin terhadap user yang tidak memahami kerusakan aset (arus data
maintenance sistem hanya aspek keamanan informasi informasi dan komponen) 50 Medium
terhadap insiden dengan ketidakdisiplinan yang
dapat merugikan sistem
Tidak memiliki dokumentasi Tidak ketersediaan informasi, Gangguan operasi internal,
strategi risiko mengelola kebocoran informasi, kerusakan aset (data informasi
operasi dan aset pembentuk kegagalan sistem dengan rasio dan komponen), buruk reputasi
100 High
infrastruktur TI antisipasi waktu tidak terhadap pengaruh eksternal
terjamin, perangkat sistem
informasi tidak terkontrol
Tidak terdapat manajemen Tidak ketersediaan informasi, Gangguan operasi internal,
pengujian, pelatihan, dan kegagalan sistem informasi, kerusakan aset (data informasi
pemantauan terdapat sistem terlambat recovery system, dan komponen), buruk reputasi
100 High
informasi yang diterapkan rekam aktivitas tidak memiliki terhadap pengaruh eksternal, dan
pengembangan peningkatan personel pegawai
sistem
Dokumentasi sistem informasi Sistem informasi tidak Gangguan operasi internal,
tidak terintegrasi dengan baik terkontrol, tidak ketersediaan kerusakan aset (arus data
melalui dokumentasi input informasi, kegagalan sistem informasi) 50 Medium
terpisah satu sama lain informasi, terlambat recovery
system
Tidak terdapat dokumentasi Tidak ketersediaan informasi, Gangguan operasi internal,
penilaian sistem informasi kegagalan sistem informasi, kerusakan aset (data informasi
ketika diterapkan oleh terlambat recovery system, dan komponen), buruk reputasi 100 High
perusahaan rekam aktivitas tidak terdapat terhadap pengaruh eksternal, dan
peningkatan sistem personel pegawai

146
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
 3. PC User Belum memiliki kebijakan Terciptanya serangan virus, Gangguan operasi internal,
batasan penggunaan program malware, kerusakan sistem, kerusakan aset (data informasi
50 Medium
perangkat lunak terhadap terganggunya aktivitas sistem, dan komponen)
sistem kebocoran informasi
Tidak memiliki dokumen Kerusakan komponen, Gangguan operasi internal,
50
kebijakan perlindungan media kebocoran data, kegagalan kerusakan aset (data informasi
batasan penggunaan terhadap sistem informasi, terlambat dan komponen). Medium
pegawai recovery system, tidak
ketersediaan layanan
Belum memiliki penjadwalan Tidak ketersediaan layanan, Gangguan operasi internal,
yang rutin terhadap terlambat recovery system, kerusakan aset komponen
50 Medium
maintenance sistem hanya kegagalan sistem rasio perangkat
terhadap insiden antisipasi waktu tidak terjamin
Baterai UPS hanya bertahan Tidak ketersediaan layanan, Gangguan operasi internal,
beberapa saat atau terkadang keterlambatan recovery kerusakan aset komponen
tidak berfungsi sama sekali system, data crash, perangkat perangkat 50 Medium
sistem informasi tidak
terkontrol
4. Infrastruktur Tidak terdapat pemantauan Terdapat malware, botnet Gangguan operasi internal,
Jaringan jarak jauh sebagai masuk ke dalam sistem, pencurian data aset (data
perlindungan untuk remote access trojan informasi), dan buruk reputasi 100 High
memastikan potensi serangan terhadap pengaruh eksternal
pada sistem informasi
Tidak menetapkan personel Tidak ketersediaan layanan, Gangguan operasi internal,
atau peran yang akan kerusakan sistem, kegagalan kerusakan aset (data informasi
disiagakan jika terjadi sistem informasi, terlambat dan komponen), bahaya pada 100 High
kegagalan pemrosesan recovery system individu dan buruk reputasi
terhadap pengaruh eksternal

No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact 147
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
 Tidak terdapat pengelolaan Tidak ketersediaan layanan, Gangguan operasi internal,
besaran pengolahan kegagalan sistem informasi, Gangguan terhadap arus
penggunaan bandwidth keterlambatan komunikasi informasi dengan perusahaan
50 Medium
sistem, kegagalan recovery lain
system, perangkat sistem
informasi tidak terkontrol
Konfigurasi sistem yang lama Tidak ketersediaan layanan, Gangguan operasi internal,
dan siap dipakai (rollback keterlambatan komunikasi Gangguan terhadap arus
50 Medium
system) bila terjadi suatu sistem, kegagalan recovery informasi dengan perusahaan
kegagalan informasi (reset) system lain

148
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
 LAMPIRAN 6
Penentuan Risiko (Risk Determination)

Nilai Nilai Nilai Tindakan Korektif

N Level Level Level
Aset Kerentanan Dampak Ancaman Skala Likelihoo Skala Skala Risiko
o Likelihoo
d
Impact Risk
d
Impact Risk
1. Infrastruktur Belum memiliki Kebocoran informasi, Tindakan dapat
TI pemantauan jarak kerusakan sistem, ditangguhkan
jauh sebagai kegagalan sistem dengan keputusan
perlindungan untuk informasi, terlambat dalam menerima
0,1 Low 50 Medium 5 Low
memastikan recovery system risiko untuk
potensi serangan dikembangkan
pada sistem
informasi
Tidak memiliki Tidak ketersediaan Tindakan dapat
kebijakan audit TI informasi, kegagalan ditangguhkan
dan akuntabilitas sistem informasi, dengan keputusan
TI dalam frekuensi terlambat recovery dalam menerima
0,1 Low 100 High 10 Low
waktu tertentu system, rekam aktivitas risiko untuk
tidak memiliki dikembangkan
pengembangan
peningkatan sistem
Tidak menetapkan Tidak ketersediaan Tindakan perbaikan
personel atau peran layanan, kerusakan segera dengan
yang akan sistem, kegagalan implementasi
1,0 High 100 High 100 High
disiagakan jika sistem informasi, korektif
terjadi kegagalan terlambat recovery
pemrosesan system
.
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 Nilai Nilai Nilai
Level Level Level Tindakan Korektif
No Aset Kerentanan Dampak Ancaman Skala Likelihoo Skala Skala
Likelihoo d
Impact Risk Risiko
d
Impact Risk
Tidak terdapat Pelanggaran hak Tindakan korektif
pemeriksaan akses dari user yang untuk dikembangkan
kepatuhan aspek tidak memahami dalam tindakan
standar keamanan aspek keamanan rencana berjangka
0,5 Medium 100 High Medium
yang baku pada informasi dengan waktu tertentu
50
pegawai ketidakdisiplinan
yang dapat
merugikan sistem
Tidak terdapat Tidak ketersediaan Tindakan perbaikan
dokumentasi layanan, terlambat segera dengan
manajemen rencana recovery system, implementasi
darurat atau insiden kegagalan sistem 1,0 High 100 High 100 High korektif
pada sistem rasio antisipasi
informasi dalam waktu tidak terjamin
contingency plan.
Belum memiliki Tidak ketersediaan Tindakan perbaikan
penjadwalan yang layanan, terlambat segera dengan
rutin terhadap recovery system, implementasi
1,0 High 100 High 100 High
maintenance sistem kegagalan sistem korektif
hanya terhadap rasio antisipasi
insiden waktu tidak terjamin
Tidak memiliki Tidak ketersediaan Tindakan korektif
perlindungan atau layanan, kegagalan untuk dikembangkan
pencadangan atau aktivitas sistem 0,5 Medium 100 High 50 Medium dalam tindakan
perlengkapan dini rencana berjangka
daya listrik waktu tertentu
150
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 Nilai Nilai Nilai
Level Level Level Tindakan Korektif
No Aset Kerentanan Dampak Ancaman Skala Likelihoo Skala Skala
Likelihoo
d
Impact Risk Risiko
d
Impact Risk
Tidak memiliki Terganggunya Tindakan dapat
percahayaan aktivitas manajemen ditangguhkan
darurat dan dengan keputusan
0,1 Low 10 Low 1 Low
perlengkapan dini dalam menerima
percahayaan risiko untuk
dikembangkan
Tidak memiliki Tidak ketersediaan Tindakan dapat
deteksi dan layanan, kegagalan ditangguhkan
perlengkapan dini sistem informasi, dengan keputusan
0,1 Low 100 High 10 Low
kebakaran terlambat recovery dalam menerima
system, data crash, risiko untuk
sistem aplikasi crash dikembangkan
Tidak terdapat keterlambatan Tindakan dapat
kebijakan recovery system, ditangguhkan
perencanaan kegagalan sistem dengan keputusan
keamanan informasi, perangkat dalam menerima
berkelanjutan sistem informasi risiko untuk
0,1 Low 100 High 10 Low
tidak terkontrol, dikembangkan
rekam aktivitas tidak
memiliki
pengembangan
peningkatan sistem

No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif 151
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 Skala Likelihoo Skala Skala
Likelihoo d
Impact Risk Risiko
d
Impact Risk
Belum menangani keterlambatan Tindakan korektif
manajemen recovery system, untuk dikembangkan
pengembangan kegagalan sistem dalam tindakan
rencana keamanan informasi, perangkat rencana berjangka
informasi dalam sistem informasi waktu tertentu
0,5 Medium 100 High 50 Medium
infrastruktur yang tidak terkontrol,
berkelanjutan rekam aktivitas tidak
memiliki
pengembangan
peningkatan sistem
Tidak terdapat Kebocoran Tindakan dapat
teknologi informasi, kerusakan ditangguhkan
keamanan dalam sistem, kegagalan dengan keputusan
sistem informasi sistem informasi, dalam menerima
maupun terlambat recovery 0,1 Low 50 Medium 5 Low risiko untuk
pencegahan system dikembangkan
pendeteksian atau
membelokkan
serangan
3. Sistem Sistem tidak Kebocoran informasi Tindakan dapat
Informasi menerapkan modul dan data informasi ditangguhkan
Zeta keamanan khusus/ tidak terkontrol dengan keputusan
0,1 Low 100 High 10 Low
alternatif/kritis dalam menerima
(kriptografi) risiko untuk
dikembangkan

152
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif
Skala Likelihoo Skala Impact Skala Risk Risiko
Likelihoo d Impact Risk
d
Tidak terdapat Pelanggaran hak Tindakan korektif
pelatihan awal akses dari user yang untuk dikembangkan
kepada pegawai tidak memahami dalam tindakan
untuk bekerja aspek keamanan rencana berjangka
sesuai peran dan informasi dengan 0,5 Medium 100 High 50 Medium waktu tertentu
tugas serta ketidakdisiplinan
pelatihan security yang dapat
awareness terhadap merugikan
sistem informasi perusahaan
Tidak memiliki Database crash, data Tindakan dapat
alternatif storage informasi tidak ditangguhkan
site terpisah dalam terkontrol, tidak dengan keputusan
mekanisme backup ketersediaan 0,1 Low 100 High 10 Low dalam menerima
storage informasi dan risiko untuk
layanan, kegagalan dikembangkan
sistem informasi
Konfigurasi sistem Tidak ketersediaan Tindakan dapat
yang lama dan siap layanan, kerusakan ditangguhkan
dipakai (rollback sistem, kegagalan dengan keputusan
0,1 Low 50 Medium 5 Low
system) bila terjadi sistem informasi, dalam menerima
suatu kegagalan terlambat recovery risiko untuk
informasi (reset) system dikembangkan

153
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 Nilai Nilai Nilai
Level Level Level Tindakan Korektif
No Aset Kerentanan Dampak Ancaman Skala Likelihoo Skala Skala
Likelihoo
d
Impact Risk Risiko
d
Impact Risk
Tidak memiliki Tidak ketersediaan Tindakan korektif
dokumen informasi, kegagalan untuk dikembangkan
manajemen sistem informasi, dalam tindakan
maintenance terlambat recovery rencana berjangka
pemeliharaan system, rekam 0,5 Medium 100 High 50 Medium waktu tertentu
sistem baku sesuai aktivitas tidak
standar memiliki
pengembangan
peningkatan sistem
Belum memiliki Pelanggaran hak Tindakan korektif
penjadwalan yang akses dari user yang untuk dikembangkan
rutin terhadap tidak memahami dalam tindakan
maintenance sistem aspek keamanan rencana berjangka
1,0 High 50 Medium 50 Medium
hanya terhadap informasi dengan waktu tertentu
insiden ketidakdisiplinan
yang dapat
merugikan sistem
Tidak memiliki Tidak ketersediaan Tindakan korektif
dokumentasi informasi, kebocoran untuk dikembangkan
strategi risiko informasi, kegagalan dalam tindakan
mengelolah operasi sistem dengan rasio rencana berjangka
dan aset pembentuk antisipasi waktu 0,5 Medium 100 High 50 Medium waktu tertentu
infrastukrur TI tidak terjamin,
perangkat sistem
informasi tidak
terkontrol

154
No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 Skala Likelihoo Skala Skala
Likelihoo d
Impact Risk Risiko
d
Impact Risk
Tidak terdapat Tidak ketersediaan Tindakan dapat
manajemen informasi, kegagalan ditangguhkan
pengujian, sistem informasi, dengan keputusan
pelatihan, dan terlambat recovery dalam menerima
pemantauan system, rekam 0,1 Low 100 High 10 Low risiko untuk
terdapat sistem aktivitas tidak dikembangkan
informasi yang memiliki
diterapkan pengembangan
peningkatan sistem
Dokumentasi Sistem informasi Tindakan korektif
sistem informasi tidak terkontrol, untuk dikembangkan
tidak terintegrasi. tidak ketersediaan dalam tindakan
Update informasi, kegagalan 1,0 High 50 Medium 50 Medium rencana berjangka
dokumentasi sistem informasi, waktu tertentu
terpisah satu sama terlambat recovery
lain system
Tidak terdapat Tidak ketersediaan Tindakan dapat
dokumentasi informasi, kegagalan ditangguhkan
penilaian sistem sistem informasi, dengan keputusan
informasi ketika terlambat recovery dalam menerima
diterapkan oleh system, rekam 0,1 Low 100 High 10 Low risiko untuk
perusahaan aktivitas tidak dikembangkan
memiliki
pengembangan
peningkatan sistem

No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif
Skala Likelihoo Skala Impact Skala Risk Risiko 155
Likelihoo d Impact Risk
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 d
4. PC User Belum memiliki Terciptanya serangan Tindakan korektif
kebijakan batasan virus, malware, untuk dikembangkan
penggunaan kerusakan sistem, dalam tindakan
0,5 Medium 50 Medium 25 Medium
program perangkat terganggunya rencana berjangka
lunak terhadap aktivitas sistem, waktu tertentu
sistem kebocoran informasi
Tidak memiliki Kerusakan Tindakan korektif
dokumen kebijakan komponen, untuk dikembangkan
perlindungan media kebocoran data, dalam tindakan
batasan kegagalan sistem rencana berjangka
0,5 Medium 50 Medium 25 Medium
penggunaan informasi, terlambat waktu tertentu
terhadap pegawai recovery system,
tidak ketersediaan
layanan,
Belum memiliki Tidak ketersediaan Tindakan korektif
penjadwalan yang layanan, terlambat untuk dikembangkan
rutin terhadap recovery system, dalam tindakan
1,0 High 50 Medium 50 Medium
maintenance sistem kegagalan sistem rencana berjangka
hanya terhadap rasio antisipasi waktu tertentu
insiden waktu tidak terjamin
Baterai UPS hanya Tidak ketersediaan Tindakan korektif
bertahan beberapa layanan, untuk dikembangkan
saat atau terkadang keterlambatan dalam tindakan
tidak berfungsi recovery system, rencana berjangka
0,5 Medium 50 Medium 25 Medium
sama sekali data crash, waktu tertentu
perangkat sistem
informasi tidak
terkontrol

Level 156
No Aset Kerentanan Dampak Ancaman Nilai Nilai Level Nilai Level Tindakan Korektif
Likelihoo
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 Skala Skala Skala
Likelihoo d Impact Risk Risiko
d
Impact Risk
5. Infrastruktur Tidak terdapat Terdapat malware, Tindakan dapat
Jaringan pemantauan jarak botnet masuk ke ditangguhkan
jauh sebagai dalam sistem, remote dengan keputusan
perlindungan untuk access trojan 0,1 Low 100 High 10 Low dalam menerima
memastikan potensi risiko untuk
serangan pada dikembangkan
sistem informasi
Tidak menetapkan Tidak ketersediaan Tindakan perbaikan
personel atau peran layanan, kerusakan segera dengan
yang akan sistem, kegagalan implementasi
1,0 High 100 High 100 High
disiagakan jika sistem informasi, korektif
terjadi kegagalan terlambat recovery
pemrosesan system
Tidak terdapat Tidak ketersediaan Tindakan dapat
pengelolaan layanan, kegagalan ditangguhkan
besaran pengolahan sistem informasi, dengan keputusan
penggunaan keterlambatan dalam menerima
bandwidth komunikasi sistem, 0,1 Low 50 Medium 5 Low risiko untuk
kegagalan recovery dikembangkan
system, perangkat
sistem informasi
tidak terkontrol
Konfigurasi sistem Tidak ketersediaan Tindakan dapat
yang lama dan siap layanan, ditangguhkan
dipakai (rollback keterlambatan dengan keputusan
0,1 Low 50 Medium 5 Low
system) bila terjadi komunikasi sistem, dalam menerima
suatu kegagalan kegagalan recovery risiko untuk
informasi (reset) system dikembangkan
157
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
 LAMPIRAN 7
Rekomendasi Kontrol (Control Recommendations)

Dampak Level Level Level Rekomendasi

No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
1. Infrastruktur Belum memiliki Kebocoran AC-17 Remote Access
TI pemantauan informasi, Organisasi menetapkan dan dokumentasi pembatasan
jarak jauh kerusakan penggunaan, persyaratan konfigurasi, dan pedoman
sebagai sistem, implementasi akses kontrol jarah jauh yang diizinkan
perlindungan kegagalan sistem melalui otorisasi akses jarak jauh.
untuk informasi,
memastikan terlambat SA-4 Acquisition Process
potensi serangan recovery system Organisasi menetapkan persyaratan, kriteria sistem
pada sistem Low Medium Low informasi sesuai kesepakatan pedoman akses aset data yang
informasi dibutuhkan sebagai jaminan keamanan pada setiap persn
lingkungan

SI-4 Information System Monitoring

Organisasi menerapkan monitor sistem informasi dalam
mendeteksi serangan potensial untuk melindungi aset data
dari secara tidak sah dengan pendekatan analisa frekuensi
waktu ditentukan
Tidak memiliki Tidak Low High Low AU-1 Audit And Accountability Policy And Procedures
kebijakan audit ketersediaan Organisasi mengembangkan dan mendokumentasikan
TI dan informasi, strategi kebijakan dan prosedur keamanan lingkup peran,
akuntabilitas TI kegagalan sistem tanggung jawab, komitmen manajemen, koordinasi antara
dalam frekuensi informasi, entitas organisasi, dan kepatuhan pada kebijakan dan
waktu tertentu terlambat kontrol audit.
recovery system,
rekam aktivitas
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
tidak memiliki AU-2 Audit Events
pengembangan Organisasi menentukan kemampuan audit sistem informasi
peningkatan melalui penugasan koordinasi sesuai entitas dengan
sistem persyaratan batasan yang disepakati dalam mendukung
investigasi pada suatu peristiwa

AU-15 Alternate Audit Capability

Organisasi menetapkan kemampuan audit alternatif jika
terjadi kegagalan dalam hal primer yang kemampuan
disediakan sebagai jangka pendek
Tidak Tidak MA-5 Maintenance Personnel
menetapkan ketersediaan Organisasi menetapkan proses otorisasi akses pegawai
personel atau layanan, pemeliharaan sesuai peran berwenang dengan kesesuaian
peran yang akan kerusakan teknis kompetensi dalam pemeliharaan sistem informasi
disiagakan jika sistem, High High High
terjadi kegagalan kegagalan sistem AU-5 Response To Audit Processing Failures
pemrosesan informasi, Sistem informasi memberikan peringatan terhadap pegawai
terlambat sesuai peran untuk mengambil tindakan dalam audit
recovery system tanggapan kegagalan pemprosesan
Tidak terdapat Pelanggaran hak Medium High Medium PS-1 Personnel Security Policy And Procedures
pemeriksaan akses dari user Organisasi menetapkan, mengembangkan
kepatuhan aspek yang tidak mendokumentasikan dan menyebarkan kebijakan
standar memahami lingkungan peran koordinasi kepatuhan prosedur dalam
keamanan yang aspek keamanan implementasi keamanan personel
baku pada informasi
pegawai dengan PS-8 Personnel Sanctions
ketidakdisiplinan Organisasi menerapkan sanksi formal terhadap individu
yang dapat yang gagal mematuhi kebijakan dan prosedur keamanan
merugikan informasi melalui analisa pelanggaran untuk sanksi yang
sistem ditentukan. 159
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
CA-9 Internal System Connections
Organisasi menetapkan otorisasi terhadap koneksi internal
kepatuhan persyaratan keamanan informasi yang
dikomunikasikan intra sistem
Tidak terdapat Tidak CP-1 Contingency Planning Policy And Procedures
dokumentasi ketersediaan Organisasi mengembangkan, mendokumentasikan,
manajemen layanan, menyebar melalui kebijakan dan prosedur Contingency
rencana darurat terlambat lingkup peran, tanggung jawab, komitmen manajemen,
atau insiden recovery system, koordinasi antara entitas organisasi, dan kepatuhan pada
pada sistem kegagalan sistem manajemen operasi dan aset di lingkungan organisasi
High High High
informasi dalam rasio antisipasi
contingency waktu tidak CP-2 Contingency Plan
plan. terjamin Organisasi mengembangkan rencana darurat dalam
kemungkinan terjadi yang dilakukan pemantauan perbarui
secara berkala dalam sesuai situasi organisasi dalam
melindungi perubahan Contingency secara sah
Belum memiliki Tidak MA-2 Controlled Maintenance
penjadwalan ketersediaan Organisasi menentukan penjadwalan, menerapkan,
yang rutin layanan, mendokumentasikan, meninjau catatan pemeliharaan dan
terhadap terlambat perbaikan komponen sistem informasi sesuai dengan
maintenance recovery system, spesifikasi persyaratan organisasi serta mengendalikan jenis
sistem hanya kegagalan sistem pemeliharaan, baik dilakukan di lokasi maupun dari jarak
terhadap insiden rasio antisipasi High High High jauh dan apakah peralatan diservis di tempat atau
waktu tidak dipindahkan ke lokasi lain
terjamin
MA-6 Timely Maintenance
Organisasi menentukan dukungan perawatan terhadap suku
cadang komponen sistem informasi sesuai penugasan peran
melalui penetapan periode waktu yang ditentukan
Tidak memiliki Tidak Medium High Medium PE-9 Power Equipment And Cabling 160
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
perlindungan ketersediaan Organisasi menentukan perlindungan peralatan listrik dan
atau layanan, pemasangan kabel daya untuk sistem informasi dari
pencadangan kegagalan kerusakan sistem dan kehancuran melalui pemasangan
atau aktivitas sistem kabel listrik yang aman dan otomatisasi kontrol voltase
perlengkapan daya cadangan seperti genset maupun UPS.
dini daya listrik
PE-11 Emergency Power
Organisasi menyediakan catu daya jangka pendek yang
tidak terputus untuk memfasilitasi terjadi kehilangan
sumber daya utama dengan pembelian UPS baru atau
genset
Tidak memiliki Terganggunya PE-12 Emergency Lighting
percahayaan aktivitas Organisasi menetapkan penyediaan percahayaan darurat
darurat dan manajemen Low Low Low untuk fasilitas pendukung fungsi misi dan bisnis dengan
perlengkapan lampu baterai
dini percahayaan
Tidak memiliki Tidak PE-13 Fire Protection
deteksi dan ketersediaan Organisasi menetapkan pendeteksian otomatis/alat
perlengkapan layanan, dini/kemampuan pemakaian kebakaran sebagai pencegahan
dini kebakaran kegagalan sistem kerusakan sistem informasi secara independen di ruangan
informasi, tertentu yang penting dalam fungsi misi dan bisnis
Low High Low
terlambat
recovery system,
data crash,
sistem aplikasi
crash
Tidak terdapat keterlambatan Low High Low PL-1 Security Planning Policy And Procedures
kebijakan recovery system, Organisasi mengembangkan dan mendokumentasikan
perencanaan kegagalan sistem strategi kebijakan dan prosedur keamanan lingkup peran,
keamanan informasi, tanggung jawab, komitmen manajemen, koordinasi antara 161
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
berkelanjutan perangkat sistem entitas organisasi, dan kepatuhan pada perencanaan
informasi tidak keamanan secara berkelanjutan
terkontrol,
rekam aktivitas PM-9 Risk Management Strategy
tidak memiliki Menerapkan dan mengembangkan strategi manajemen
pengembangan risiko secara konsisten diseluruh elemen peran instansi
peningkatan organisasi sesuai kebutuhan dalam mengatasi perubahan
sistem organisasi

Belum Keterlambatan Medium High Medium PM-8 Critical Infrastructure Plan

menangani recovery system, Organisasi membuat rencana pengembangan dokumentasi
manajemen kegagalan sistem dan pembaruan infrastruktur penting dan rencana
pengembangan informasi, perlindungan sumber daya utama melalui strategi
rencana perangkat sistem perlindungan aset kritis dan sumber daya
keamanan informasi tidak
informasi dalam terkontrol, PM-1 Information Security Program Plan
infrastruktur rekam aktivitas Organisasi mengembangkan rencana program keamanan
yang tidak memiliki informasi melalui tinjauan persyaratan dan kontrol program
berkelanjutan pengembangan keamanan pada personel peran dan tanggung jawab yang
peningkatan saling berkoordinasi disesuaikan keputusan pimpinan
sistem
PM-9 Risk Management Strategy
Menerapkan strategi dalam mengelola dalam meninjau dan
memperbarui manajemen risiko operasi dan aset
perusahaan, personel, organisasi luar.

RA-3 Risk Assessment

Organisasi melakukan pembaruan penilaian risiko terhadap
kemungkinan dan dampak dari kontrol akses tidak sah,
gangguan, modifikasi, dan penghancuran dalam 162
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
menentukan pengembangan rencana keamanan sistem
informasi
Tidak terdapat Kebocoran SC-26 Honeypots
teknologi informasi, Sistem informasi dirancang khusus menjadi target serangan
keamanan dalam kerusakan berbahaya untuk tujuan mendeteksi, membelokkan, dan
sistem informasi sistem, menganalisis serangan melalui honeypot sebagai umpan.
maupun kegagalan sistem
pencegahan informasi, SC-30 Concealment And Misdirection
pendeteksian terlambat Organisasi melakukan sistem informasi penyembunyian
atau recovery system (teknik salah arah) dalam menargetkan peluang musuh
membelokkan untuk mendeteksi kemampuan musuh
serangan Low Medium Low
SI-3 Malicious Code Protection
Sistem menerapkan mekanisme malicious code protection
secara berkala dari titik masuk dan keluar sistem informasi
untuk mendeteksi dan membasmi malicious code

SI-4 Information System Monitoring

Organiasi menerapkan monitor sistem informasi dalam
mendeteksi serangan potensial untuk melindungi aset data
dari secara tidak sah
2. Sistem Sistem tidak Kebocoran Low High Low CA-2 Security Assessments
Informasi menerapkan informasi dan Organisasi mengembangkan rencana penilaian keamanan
Zeta modul keamanan data informasi dalam ruang lingkup kontrol keamanan peningkatan operasi
khusus/ tidak terkontrol sesuai peran dan tanggung jawab
alternatif/kritis
(kriptografi) IA-7 Cryptographic Module Authentication
Sistem informasi mengimplementasikan mekanisme otentik
asi modul kriptografi sesuai persyaratan berlaku
163
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
SC-12 Cryptographic Key Establishment And
Management
Organisasi menetapkan dan mengelola kunci kriptografi
yang diperlukan dalam sistem informasi sesuai persyaratan
misi dan bisnis organisasi.

SC-13 Cryptographic Protection

Sistem informasi yang me-implementasikan mekanisme
kunci kriptografi sesuai dengan hukum federal yang
berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan,
dan standar
Tidak terdapat Pelanggaran hak AT-1 Security Awareness And Training Policy And
pelatihan awal akses dari user Procedures
kepada pegawai yang tidak Organisasi mengembangkan dan mendokumentasikan
untuk bekerja memahami kebijakan dan prosedur pemberlakuan edukasi security
sesuai peran dan aspek keamanan awareness pada tiap pegawai mengenai keamanan dalam
tugas serta informasi mengoperasikan sistem operasi, menumbuhkan sikap patuh
pelatihan dengan Medium High Medium terhadap peran dan tanggung jawab di dalamnya
security ketidakdisiplinan
awareness yang dapat AT-3 Security Awareness Training
terhadap sistem merugikan Organisasi menyediakan security awareness training
informasi perusahaan berbasis peran kepada pegawai masing-masing pemangku
jabatan sesuai peran dan tanggung jawab terhadap setiap
perubahan sistem informasi
Tidak memiliki Database crash, Low High Low CP-6 Alternate Storage Site
alternatif data informasi Organisasi membangun Storage cadangan dengan
storage site tidak terkontrol, membackup data ke media lain secara terpisah untuk
terpisah dalam tidak keperluan recovery jika data utama hilang atau rusak
mekanisme ketersediaan dengan perlindungan setara dengan kemampuan storage
backup storage informasi dan sebelumnya 164
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
layanan,
kegagalan sistem
informasi
Konfigurasi Tidak CM-2 Baseline Configuration
sistem yang ketersediaan Organisasi mengembangkan dan mendokumentasikan
lama dan siap layanan, kendali konfigurasi backup dari konfigurasi dasar untuk
dipakai kerusakan standar ketentuan system check point dimana bila ada
(rollback system) sistem, Low Medium Low sesuatu kesalahan konfigurasi atau insiden dapat segera
bila terjadi suatu kegagalan sistem melakukan rollback ke posisi system sebelum error
kegagalan informasi, tersebut
informasi (reset) terlambat
recovery system
Tidak memiliki Tidak MA-1 System Maintenance Policy And Procedures
dokumen ketersediaan Organisasi mengembangkan, mendokumentasikan
manajemen informasi, kebijakan dan prosedur melalui lingkup, peran, tanggung
maintenance kegagalan sistem jawab, komitmen manajemen, koordinasi antara entitas
pemeliharaan informasi, organisasi, dan kepatuhan pada pemeliharaan kontrol sistem
sistem baku terlambat informasi
Medium High Medium
sesuai standar recovery system,
rekam aktivitas PM-9 Risk Management Strategy
tidak memiliki Menerapkan dan mengembangkan strategi manajemen
pengembangan risiko secara konsisten diseluruh elemen peran instansi
peningkatan organisasi sesuai kebutuhan dalam mengatasi perubahan
sistem organisasi
Belum memiliki Pelanggaran hak High Medium Medium MA-2 Controlled Maintenance
penjadwalan akses dari user Organisasi menentukan penjadwalan, menerapkan,
yang rutin yang tidak mendokumentasikan, meninjau catatan pemeliharaan dan
terhadap memahami perbaikan komponen sistem informasi sesuai dengan
maintenance aspek keamanan spesifikasi persyaratan organisasi serta mengendalikan jenis
sistem hanya informasi pemeliharaan, baik dilakukan di lokasi maupun dari jarak 165
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
terhadap insiden dengan jauh dan apakah peralatan diservis di tempat atau
ketidakdisiplinan dipindahkan ke lokasi lain
yang dapat
merugikan MA-6 Timely Maintenance
sistem Organisasi menentukan dukungan perawatan terhadap suku
cadang komponen sistem informasi sesuai penugasan peran
melalui penetapan periode waktu yang ditentukan
Tidak memiliki Tidak RA-2 Security Categorization
dokumentasi ketersediaan Memetakan dokumentasi kategorisasi rencana keamanan
strategi risiko informasi, pada setiap peran terhadap aset teknologi informasi melalui
mengelola kebocoran keputusan yang berwenang.
operasi dan aset informasi,
pembentuk kegagalan sistem PM-9 Risk Management Strategy
Medium High Medium
infrastruktur TI dengan rasio Menerapkan dan mengembangkan strategi manajemen
antisipasi waktu risiko secara konsisten diseluruh elemen peran instansi
tidak terjamin, organisasi sesuai kebutuhan dalam mengatasi perubahan
perangkat sistem organisasi
informasi tidak
terkontrol
Tidak terdapat Tidak Low High Low PM-14 Testing, Training, And Monitoring
manajemen ketersediaan Organisasi menerapkan proses untuk rencana melakukan
pengujian, informasi, pengujian keamanan, pelatihan dan kegiatan pemantauan
pelatihan, dan kegagalan sistem yang terkait dengan sistem informasi untuk dikembangkan
pemantauan informasi, dan dieksekusi dalam strategi manajemen dan prioritas dari
terdapat sistem terlambat tindakan respons risiko
informasi yang recovery system,
diterapkan rekam aktivitas RA-5 Vulnerability Scanning
tidak memiliki Organisasi memindai kerentanan dalam sistem informasi
pengembangan dan aplikasi yang terhubung internet dengan tools
peningkatan automated vulnerability yang memfasilitasi interoperabilitas 166
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
sistem performa dampak untuk membantu kerentanan dalam
meningkatkan sistem yang baik
Dokumentasi Sistem informasi PL-8 Information Security Architecture
sistem informasi tidak terkontrol, Organisasi menetapkan keseluruhan arsitektur berdasarkan
tidak tidak filosofi, persyaratan, dan pendekatan yang harus diambil
terintegrasi. ketersediaan sehubungan dengan melindungi kerahasiaan, integritas, dan
update informasi, ketersediaan informasi organisasi dalam dan mendukung
dokumentasi kegagalan sistem arsitektur perusahaan
terpisah satu informasi,
sama lain terlambat CM-1 Configuration Management Policy And Procedures
recovery system Organisasi mengembangkan dan mendokumentasikan
mengenai manajemen konfigurasi yang mengatur tentang
High Medium Medium
ruang lingkup, tujuan, scope, roles dan tanggung jawab,
komitmen manajemen, koordinasi antara tim dalam
mendokumentasikan konfigurasi system Informasi dan
control di dalamnya

SA-3 System Development Life Cycle

Organisasi mengelola sistem informasi dalam
mempertimbangkan memasukan keamanan informasi
melalui System Development Life Cycle dalam tanggung
jawab keamanan informasi pada manajemen risiko
Tidak terdapat Tidak Low High Low SA-12 Supply Chain Protection
dokumentasi ketersediaan Organisasi melakukan penilaian terhadap sistem informasi,
penilaian sistem informasi, komponen sistem, atau layanan sistem informasi sebelum
informasi ketika kegagalan sistem pemilihan, penerimaan, atau pembaruan melaui pihak
diterapkan oleh informasi, personel organisasi dalam mengungkapkan kerentanan yang
perusahaan terlambat disengaja dan tidak disengaja melalui analisis statis,
recovery system, dinamis, uji white hat, maupun penetrasi dengan bukti
rekam aktivitas keamanan yang lampirkan 167
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
tidak memiliki
pengembangan
peningkatan
sistem
3. PC User Belum memiliki Terciptanya CM-7 Least Functionality
kebijakan serangan virus, Organisasi menetapkan konfigurasi sistem informasi dalam
batasan malware, menyediakan kemampuan penting serta melarang atau
penggunaan kerusakan membatasi penggunaan fungsi, port, protokol dan layanan
program sistem, yang ditentukan sesuai otoritas peran pemangku jabatan
perangkat lunak terganggunya
terhadap sistem aktivitas sistem, MP-2 Media Access
kebocoran Medium Medium Medium Organisasi membatasi akses segala jenis media digital dan
informasi media non digital dalam melindungi aset sistem informasi
yang dilakukan sesuai peran otorisasi

MP-1 Media Protection Policy And Procedures

Organisasi mengembangkan, mendokumentasikan,
mengontrol dan melindungi media sistem informasi
menyimpan dengan aman hingga secara fisik
Tidak memiliki Kerusakan MP-1 Media Protection Policy And Procedures
dokumen komponen, Organisasi mengembangkan, mendokumentasikan,
kebijakan kebocoran data, mengontrol dan melindungi media sistem informasi
perlindungan kegagalan sistem menyimpan dengan aman hingga secara fisik
media batasan informasi,
Medium Medium Medium
penggunaan terlambat MP-2 Media Access
terhadap recovery system, Organisasi membatasi akses segala jenis media digital dan
pegawai tidak media non digital dalam melindungi aset sistem informasi
ketersediaan yang dilakukan sesuai peran otorisasi
layanan,
Belum memiliki Tidak High Medium Medium MA-2 Controlled Maintenance 168
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
penjadwalan ketersediaan Organisasi menentukan penjadwalan, menerapkan,
yang rutin layanan, mendokumentasikan, meninjau catatan pemeliharaan dan
terhadap terlambat perbaikan komponen sistem informasi sesuai dengan
maintenance recovery system, spesifikasi persyaratan organisasi serta mengendalikan jenis
sistem hanya kegagalan sistem pemeliharaan, baik dilakukan di lokasi maupun dari jarak
terhadap insiden rasio antisipasi jauh dan apakah peralatan diservis di tempat atau
waktu tidak dipindahkan ke lokasi lain
terjamin
MA-6 Timely Maintenance
Organisasi menentukan dukungan perawatan terhadap suku
cadang komponen sistem informasi sesuai penugasan peran
melalui penetapan periode waktu yang ditentukan
Baterai UPS Tidak Medium Medium Medium PE-11 Emergency Power
hanya bertahan ketersediaan Organisasi menyediakan catu daya jangka pendek yang
beberapa saat layanan, tidak terputus untuk memfasilitasi terjadi kehilangan
atau terkadang keterlambatan sumber daya utama dengan pembelian UPS baru
tidak berfungsi recovery system,
sama sekali data crash, PE-9 Power Equipment And Cabling
perangkat sistem Organisasi menentukan perlindungan peralatan listrik untuk
informasi tidak sistem informasi dari kerusakan sistem dan kehancuran
terkontrol dengan otomatisasi kontrol voltase daya cadangan seperti
maupun UPS.

MA-2 Controlled Maintenance

Organisasi menentukan penjadwalan, menerapkan,
mendokumentasikan, meninjau catatan pemeliharaan dan
perbaikan komponen sistem informasi sesuai dengan
spesifikasi persyaratan organisasi serta mengendalikan jenis
pemeliharaan, baik dilakukan di lokasi maupun dari jarak
jauh dan apakah peralatan diservis di tempat atau 169
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
dipindahkan ke lokasi lain
4. Infrastruktur Tidak terdapat Terdapat AU-2 Audit Events
Jaringan pemantauan malware, botnet Organisasi melakukan review dan meng-update terhadap
jarak jauh masuk ke dalam rule firewall terhadap kejadian dalam log system yang
sebagai sistem, remote memicu potensi pintu masuk ancaman serangan malware
perlindungan access trojan dengan penetapan periode yang disepakati
Low High Low
untuk
memastikan
potensi serangan
pada sistem
informasi
Tidak Tidak MA-5 Maintenance Personnel
menetapkan ketersediaan Organisasi menetapkan proses otorisasi akses pegawai
personel atau layanan, pemeliharaan sesuai peran berwenang dengan kesesuaian
peran yang akan kerusakan teknis kompetensi dalam pemeliharaan sistem informasi
disiagakan jika sistem, High High High
terjadi kegagalan kegagalan sistem AU-5 Response To Audit Processing Failures
pemrosesan informasi, Sistem informasi memberikan peringatan terhadap pegawai
terlambat sesuai peran untuk mengambil tindakan dalam audit
recovery system tanggapan kegagalan pemprosesan
Tidak terdapat Tidak Low Medium Low AU-5 Response To Audit Processing Failures
pengelolaan ketersediaan Sistem informasi memberikan peringatan terhadap pegawai
besaran layanan, sesuai peran untuk mengambil tindakan dalam audit
pengolahan kegagalan sistem tanggapan kegagalan pemprosesan
penggunaan informasi,
bandwidth keterlambatan SC-5 Denial Of Service Protection
komunikasi Sistem informasi melindungi atau membatasi dalam
sistem, memfilter peningkatan kapasitas bandwidth dengan
kegagalan kombinasi redundansi layanan untuk mengurangi ancaman
recovery system, terhadap penolakan serangan layanan 170
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 Dampak Level Level Level Rekomendasi
No. Aset Kerentanan
Ancaman Likelihood Impact Risk (NIST SP 800-53 R. 4)
perangkat sistem
informasi tidak
terkontrol
Konfigurasi Tidak CM-2 Baseline Configuration
sistem yang ketersediaan Organisasi memastikan dalam mengendalikan untuk
lama dan siap layanan, memiliki backup dari konfigurasi dasar untuk standar
dipakai keterlambatan ketentuan system check point dimana bila ada sesuatu
Low Medium Low
(rollback system) komunikasi kesalahan konfigurasi atau insiden dapat segera melakukan
bila terjadi suatu sistem, rollback ke posisi system sebelum error tersebut
kegagalan kegagalan
informasi (reset) recovery system

171
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
 LAMPIRAN 8
Prioritas Aksi dan Pemilihan Opsi Kontrol

Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
1. Infrastruktur Tidak Tidak ketersediaan  MA-5 Maintenance Perusahaan menentukan kebijakan tugas
TI menetapkan layanan, kerusakan Personnel peran tanggung jawab tiap sektor individu
personel atau sistem, kegagalan  AU-5 Response To yang terbagi tiap sub-divisi dengan
peran yang sistem informasi, Audit Processing kemampuan individu. Seperti penanggung
Risk
akan terlambat recovery High Failures jawab IT Support terbagi dalam jaringan
Avoidance
disiagakan jika system komunikasi, pengembangan aplikasi,
terjadi pengembangan data aset
kegagalan
pemrosesan
2. Infrastruktur Tidak terdapat Tidak ketersediaan  CP-1 Contingency Perusahaan menentukan skenario dengan
TI dokumentasi layanan, terlambat Planning Policy And dokumentasi kebijakan/SOP maintenance
manajemen recovery system, Procedures TI secara formal yang berisi perihal
rencana darurat kegagalan sistem  CP-2 Contingency pemeliharaan sistem, penugasan tanggung
atau insiden rasio antisipasi Plan jawab peran, rencana darurat yang Risk
High
pada sistem waktu tidak terjamin dikelola secara berkala berdasarkan Limitation
informasi dokumen manajemen risiko yang
dalam ditetapkan sebagai prosedur yang valid
contingency dalam suatu insiden.
plan.
3. Infrastruktur Belum Tidak ketersediaan High  MA-2 Controlled Perusahaan menentukan skenario dengan Risk
TI memiliki layanan, terlambat Maintenance dokumentasi kebijakan/SOP maintenance Limitation
penjadwalan recovery system,  MA-6 Timely TI secara formal yang berisi perihal
yang rutin kegagalan sistem Maintenance pemeliharaan sistem, penugasan tanggung
terhadap rasio antisipasi jawab peran, rencana darurat yang
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
maintenance waktu tidak terjamin dikelola secara berkala berdasarkan
sistem hanya dokumen manajemen risiko yang
terhadap ditetapkan sebagai prosedur yang valid
insiden dalam suatu insiden.
4. Infrastruktur Tidak Tidak ketersediaan  MA-5 Maintenance Perusahaan menentukan kebijakan tugas
Jaringan menetapkan layanan, kerusakan Personnel peran tanggung jawab tiap sektor individu
personel atau sistem, kegagalan  AU-5 Response To yang terbagi tiap sub-divisi dengan
peran yang sistem informasi, Audit Processing kemampuan individu. Seperti penanggung
Risk
akan terlambat recovery High Failures jawab IT Support terbagi dalam jaringan
Avoidance
disiagakan jika system komunikasi, pengembangan aplikasi,
terjadi pengembangan data aset
kegagalan
pemrosesan
5. Infrastruktur Tidak terdapat Pelanggaran hak  PS-1 Personnel Perusahaan membuat pemberitahuan
TI pemeriksaan akses dari user yang Security Policy And informasi aturan di setiap sudut diketahui
kepatuhan tidak memahami Procedures oleh pegawai dan sanksi disipliner
aspek standar aspek keamanan Medium  PS-8 Personnel ditegakkan. Seperti dilarang masuk Risk
keamanan yang informasi dengan Sanctions kecuali petugas, aturan penggunaan Limitation
baku pada ketidakdisiplinan  CA-9 Internal System komputer di setiap komputer.
pegawai yang dapat Connections
merugikan sistem
6. Infrastruktur Tidak memiliki Tidak ketersediaan  PE-9 Power Perusahaan menyiapkan voltase cadangan
TI perlindungan layanan, kegagalan Equipment And listrik yaitu genset dan pemeliharaan UPS
atau aktivitas sistem Cabling secara berkala.
Medium Risk
pencadangan  PE-11 Emergency Avoidance
atau Power
perlengkapan
dini daya listrik
7. Infrastruktur Belum Keterlambatan Medium  PM-8 Critical Perusahaan menentukan dan menetapkan Risk
TI menangani recovery system, Infrastructure Plan kebijakan program masterplan secara Limitation
manajemen kegagalan sistem  PM-1 Information periode 5 tahun sebagai pengembangan 173
pengembangan informasi, perangkat infrastruktur yang update sesuai jaman
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
rencana sistem informasi Security Program Plan secara independen dan sebagai
keamanan tidak terkontrol,  PM-9 Risk pembanding dengan rujukan sistem dari
informasi rekam aktivitas tidak Management Strategy pusat.
dalam memiliki  RA-3 Risk Assessment
infrastruktur pengembangan
yang peningkatan sistem
berkelanjutan
8. Sistem Tidak terdapat Pelanggaran hak  AT-1 Security Perusahaan menetapkan pelatihan
Informasi pelatihan awal akses dari user yang Awareness And pengembangan secara formal terhadap
Zeta kepada tidak memahami Training Policy And pembaruan sistem teknologi informasi
pegawai untuk aspek keamanan Procedures serta koordinasi sharing discussion antar
bekerja sesuai informasi dengan  AT-3 Security divisi atau individu lainnya
Risk
peran dan tugas ketidakdisiplinan Medium Awareness Training Avoidance
serta pelatihan yang dapat
security merugikan
awareness perusahaan
terhadap sistem
informasi
9. Sistem Tidak memiliki Tidak ketersediaan  MA-1 System Perusahaan menentukan skenario dengan
Informasi dokumen informasi, kegagalan Maintenance Policy dokumentasi kebijakan/SOP maintenance
Zeta manajemen sistem informasi, And Procedures TI secara formal yang berisi perihal
maintenance terlambat recovery  PM-9 Risk pemeliharaan sistem, penugasan tanggung
Risk
pemeliharaan system, rekam Medium Management Strategy jawab peran, rencana darurat yang
Limitation
sistem baku aktivitas tidak dikelola secara berkala berdasarkan
sesuai standar memiliki dokumen manajemen risiko yang
pengembangan ditetapkan sebagai prosedur yang valid
peningkatan sistem dalam suatu insiden.
10. Sistem Belum Pelanggaran hak Medium  MA-2 Controlled Perusahaan menentukan skenario dengan Risk
Informasi memiliki akses dari user yang Maintenance dokumentasi kebijakan/SOP maintenance Limitation
Zeta penjadwalan tidak memahami  MA-6 Timely TI secara formal yang berisi perihal
yang rutin aspek keamanan Maintenance pemeliharaan sistem, penugasan tanggung 174
terhadap informasi dengan jawab peran, rencana darurat yang
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
maintenance ketidakdisiplinan dikelola secara berkala berdasarkan
sistem hanya yang dapat dokumen manajemen risiko yang
terhadap merugikan sistem ditetapkan sebagai prosedur yang valid
insiden dalam suatu insiden.
11. Sistem Tidak memiliki Tidak ketersediaan  RA-2 Security Perusahaan mengembang dan menetapkan
Informasi dokumentasi informasi, Categorization dokumentasi manajemen risiko secara
Zeta strategi risiko kebocoran  PM-9 Risk formal yang diperoleh dari kebijakan
mengelola informasi, kegagalan Management Strategy audit TI
operasi dan sistem dengan rasio Risk
Medium
aset pembentuk antisipasi waktu Limitation
infrastruktur TI tidak terjamin,
perangkat sistem
informasi tidak
terkontrol
12. Sistem Dokumentasi Sistem informasi  PL-8 Information Perusahaan menetapkan dan mengkaji
Informasi sistem tidak terkontrol, Security Architecture penggunaan aplikasi Enterprise Resource
Zeta informasi tidak tidak ketersediaan  CM-1 Configuration Planning (ERP) dengan layanan One Stop
terintegrasi. informasi, kegagalan Management Policy Service (OSS) secara optimal, diantaranya
Risk
Update sistem informasi, Medium And Procedures mencangkup area fungsional supplier
Avoidance
dokumentasi terlambat recovery  SA-3 System management, inventory management,
terpisah satu system Development Life production, engineering, finance, human
sama lain Cycle resource management, delivery, sales
marketing dan customer support.
13. PC User Belum Terciptanya  CM-7 Least Perusahaan membuat dokumen kebijakan
memiliki serangan virus, Functionality penggunaan PC dan pemberitahuan
kebijakan malware, kerusakan  MP-2 Media Access informasi aturan di setiap sudut diketahui
batasan sistem, terganggu  MP-1 Media oleh pegawai dan sanksi disipliner
Risk
penggunaan nya aktivitas sistem, Medium Protection Policy And ditegakkan. Seperti dilarang masuk
Limitation
program kebocoran informasi Procedures kecuali petugas, aturan penggunaan
perangkat komputer di setiap komputer.
lunak terhadap 175
sistem
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
14. PC User Tidak memiliki Kerusakan  MP-1 Media Perusahaan membuat dokumen kebijakan
dokumen komponen, Protection Policy And penggunaan PC dan pemberitahuan
kebijakan kebocoran data, Procedures informasi aturan di setiap sudut diketahui
perlindungan kegagalan sistem  MP-2 Media Access oleh pegawai dan sanksi disipliner Risk
Medium
media batasan informasi, terlambat ditegakkan. Seperti dilarang masuk Limitation
penggunaan recovery system, kecuali petugas, aturan penggunaan
terhadap tidak ketersediaan komputer di setiap komputer.
pegawai layanan
15. PC User Belum Tidak ketersediaan  MA-2 Controlled Perusahaan menentukan skenario dengan
memiliki layanan, terlambat Maintenance dokumentasi kebijakan/SOP maintenance
penjadwalan recovery system,  MA-6 Timely TI secara formal yang berisi perihal
yang rutin kegagalan sistem Maintenance pemeliharaan sistem, penugasan tanggung
Risk
terhadap rasio antisipasi Medium jawab peran, rencana darurat yang
Limitation
maintenance waktu tidak terjamin dikelola secara berkala berdasarkan
sistem hanya dokumen manajemen risiko yang
terhadap ditetapkan sebagai prosedur yang valid
insiden dalam suatu insiden.
16. PC User Baterai UPS Tidak ketersediaan  PE-11 Emergency Perusahaan menyiapkan voltase cadangan
hanya bertahan layanan, Power listrik yaitu genset dan pemeliharaan UPS
beberapa saat keterlambatan  PE-9 Power secara berkala.
atau terkadang recovery system, Equipment And Risk
Medium
tidak berfungsi data crash, Cabling Avoidance
sama sekali perangkat sistem  MA-2 Controlled
informasi tidak Maintenance
terkontrol
17. Infrastruktur Belum Kebocoran Low  AC-17 Remote Access Perusahaan membangun sistem perangkat Risk
TI memiliki informasi, kerusakan  SA-4 Acquisition honeypots maupun review berkala Limitation
pemantauan sistem, kegagalan Process terhadap rule firewall, update event log
jarak jauh sistem informasi,  SI-4 Information system dan terhadap koneksi lokal dalam
sebagai terlambat recovery System Monitoring mendeteksi pemicu serangan
perlindungan system 176
untuk
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
memastikan
potensi
serangan pada
sistem
informasi
18. Infrastruktur Tidak memiliki Tidak ketersediaan  AU-1 Audit And Perusahaan mengembang dan menetapkan
TI kebijakan audit informasi, kegagalan Accountability Policy dokumentasi kebijakan audit TI secara
TI dan sistem informasi, And Procedures formal yang berisi perihal strategi
akuntabilitas TI terlambat recovery  AU-2 Audit Events kebijakan, prosedur keamanan lingkup
Risk
dalam system, rekam Low  AU-15 Alternate Audit peran, tanggung jawab, komitmen
Avoidance
frekuensi aktivitas tidak Capability manajemen, koordinasi antara entitas
waktu tertentu memiliki organisasi, dan kepatuhan pada kebijakan
pengembangan dan kontrol audit TI secara periode pada
peningkatan sistem organisasi internal.
19. Infrastruktur Tidak memiliki Terganggu nya  PE-12 Emergency Perusahaan menyiapkan lampu cadangan
TI percahayaan aktivitas manajemen Lighting mekanisme baterai
darurat dan Risk
Low
perlengkapan Avoidance
dini
percahayaan
20. Infrastruktur Tidak memiliki Tidak ketersediaan  PE-13 Fire Protection Perusahaan melengkapi alat pemadam
TI deteksi dan layanan, kegagalan kebakaran dengan kebutuhan dan deteksi
perlengkapan sistem informasi, suhu. Risk
Low
dini kebakaran terlambat recovery Avoidance
system, data crash,
sistem aplikasi crash
21. Infrastruktur Tidak terdapat keterlambatan Low  PL-1 Security Perusahaan menentukan dan menetapkan Risk
TI kebijakan recovery system, Planning Policy And kebijakan program masterplan secara Limitation
perencanaan kegagalan sistem Procedures periode 5 tahun sebagai pengembangan
keamanan informasi, perangkat  PM-9 Risk infrastruktur keamanan yang update
berkelanjutan sistem informasi Management Strategy sesuai jaman secara independen dan 177
tidak terkontrol, sebagai pembanding dengan rujukan
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
rekam aktivitas tidak sistem dari pusat.
memiliki
pengembangan
peningkatan sistem

22. Infrastruktur Tidak terdapat Kebocoran  SC-26 Honeypots Perusahaan membangun sistem perangkat
TI teknologi informasi, kerusakan  SC-30 Concealment honeypots maupun review berkala
keamanan sistem, kegagalan And Misdirection terhadap rule firewall, update event log
dalam sistem sistem informasi,  SI-3 Malicious Code system dan terhadap koneksi lokal dalam
informasi terlambat recovery Protection mendeteksi pemicu serangan
Risk
maupun system Low  SI-4 Information Limitation
pencegahan System Monitoring
pendeteksian
atau
membelokkan
serangan
23. Sistem Sistem tidak Kebocoran informasi  CA-2 Security Perusahaan mengembangkan dan
Informasi menerapkan dan data informasi Assessments mengimplementasikan kriptografi pada
Zeta modul tidak terkontrol  IA-7 Cryptographic storage database dan pengiriman pesan
keamanan Module Authentication laporan ke pusat
khusus/ Risk
Low  SC-12 Cryptographic
alternatif/kritis Limitation
Key Establishment And
(kriptografi) Management
 SC-13 Cryptographic
Protection
24. Sistem Tidak memiliki Database crash, data Low  CP-6 Alternate Perusahaan membangun pencadangan Risk
Informasi alternatif informasi tidak Storage Site storage dengan mekanisme cloud Transference
Zeta storage site terkontrol, tidak
terpisah dalam ketersediaan
mekanisme informasi dan
backup layanan, kegagalan 178
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
storage sistem informasi
25. Sistem Konfigurasi Tidak ketersediaan  CM-2 Baseline Perusahaan mengembangkan sistem
Informasi sistem yang layanan, kerusakan Configuration teknis back-up konfigurasi atau system
Zeta lama dan siap sistem, kegagalan checkpoint dimana bila ada suatu
dipakai sistem informasi, kesalahan konfigurasi atau insiden dapat
(rollback terlambat recovery segera melakukan rollback ke posisi Risk
Low
system) bila system system sebelum error tersebut Avoidance
terjadi suatu
kegagalan
informasi
(reset)
26. Sistem Tidak terdapat Tidak ketersediaan  PM-14 Testing, Perusahaan mendokumentasikan penilaian
Informasi manajemen informasi, kegagalan Training, And sistem dengan melakukan pengujian
Zeta pengujian, sistem informasi, Monitoring sistem secara independen dengan
pelatihan, dan terlambat recovery  RA-5 Vulnerability menggunakan pihak white hat secara
Risk
pemantauan system, rekam Low Scanning statis dan dinamis maupun dengan
Limitation
terdapat sistem aktivitas tidak membeli lisensi aplikasi pihak ketiga
informasi yang memiliki terhadap sistem.
diterapkan pengembangan
peningkatan sistem
27. Sistem Tidak terdapat Tidak ketersediaan  SA-12 Supply Chain Perusahaan mendokumentasikan penilaian
Informasi dokumentasi informasi, kegagalan Protection sistem dengan melakukan pengujian
Zeta penilaian sistem informasi, sistem secara independen dengan
sistem terlambat recovery menggunakan pihak white hat secara
Risk
informasi system, rekam Low statis dan dinamis maupun dengan
Limitation
ketika aktivitas tidak membeli lisensi aplikasi pihak ketiga
diterapkan oleh memiliki terhadap sistem.
perusahaan pengembangan
peningkatan sistem
28. Infrastruktur Tidak terdapat Terdapat malware, Low  AU-2 Audit Events Perusahaan membangun sistem perangkat Risk
Jaringan pemantauan botnet masuk ke honeypots maupun review berkala Avoidance 179
jarak jauh dalam sistem, terhadap rule firewall, update event log
 Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
sebagai remote access trojan system dan terhadap koneksi lokal dalam
perlindungan mendeteksi pemicu serangan
untuk
memastikan
potensi
serangan pada
sistem
informasi
29. Infrastruktur Tidak terdapat Tidak ketersediaan  AU-5 Response To Perusahaan mengatur bandwidth control
Jaringan pengelolaan layanan, kegagalan Audit Processing rule terbagi dalam tiap koneksi dan
besaran sistem informasi, Failures membagi dan mengatur mekanisme jenis
pengolahan keterlambatan  SC-5 Denial Of saluran komunikasi, seperti pada Wi-Fi
Risk
penggunaan komunikasi sistem, Low Service Protection dan jaringan LAN.
Avoidance
bandwidth kegagalan recovery
system, perangkat
sistem informasi
tidak terkontrol
30. Infrastruktur Konfigurasi Tidak ketersediaan  CM-2 Baseline Perusahaan mengembangkan sistem
Jaringan sistem yang layanan, Configuration teknis back-up konfigurasi atau system
lama dan siap keterlambatan checkpoint dimana bila ada suatu
dipakai komunikasi sistem, kesalahan konfigurasi atau insiden dapat
(rollback kegagalan recovery Low segera melakukan rollback ke posisi Risk
system) bila system system sebelum error tersebut Avoidance
terjadi suatu
kegagalan
informasi
(reset)

180
 LAMPIRAN 9
Analisis Cost Benefit, Pemilihan Kontrol dan Penanggung Jawab

Cost Benefit Opsi Penangg

Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
1. Perusahaan menentukan Infrastruktur Tidak menetapkan Pelaksanaan dan Upah tambah
kebijakan tugas peran tanggung TI personel atau peran yang dokumentasi pegawai bidang
jawab tiap sektor individu yang akan disiagakan jika formal kebijakan TI 3 x Rp.
terbagi tiap sub-divisi dengan terjadi kegagalan membantukan 2.770.000 =
kemampuan individu. Seperti pemrosesan peran tanggung Rp. 8.310.000 Pimpinan
penanggung jawab IT Support Infrastruktur Tidak menetapkan jawab dibagi tiap Harga ,
terbagi dalam jaringan sub bagian dalam mengikuti Menyesuai
Jaringan personel atau peran yang Risk Controll
komunikasi, pengembangan divisi yaitu UMK kan
akan disiagakan jika Avoidance er,
review
aplikasi, pengembangan data aset terjadi kegagalan  1 pegawai bid. Denpasar Supervis
Tahun 2021 kebutuhan
pemrosesan jaringan or IT
 1 pegawai bid. (Keputusan
aset data Gubernur Bali
 1 pegawai bid. No. 532/03-
aplikasi M/HK/2020)
2. Perusahaan menentukan skenario Infrastruktur Tidak terdapat Pelaksanaan dan Pelaksanaan
dengan dokumentasi TI dokumentasi manajemen dokumentasi dokumentasi
kebijakan/SOP maintenance TI rencana darurat atau kebijakan kebijakan
secara formal yang berisi perihal insiden pada sistem maintenance TI maintenance TI
Controll
pemeliharaan sistem, penugasan informasi dalam perihal rincian biaya, Menyesuai
Risk er,
tanggung jawab peran, rencana contingency plan.  Penanggung diantaranya kan dan
Limitation Supervis
darurat yang dikelola secara Belum memiliki jawab  Konsumsi : minimal 2
or IT
berkala dokumen manajemen penjadwalan yang rutin  Pemeliharaan Rp. tahun
risiko yang ditetapkan sebagai terhadap maintenance sistem 25.000/oran
prosedur yang valid dalam suatu sistem hanya terhadap  Rencana darurat g x 5 orang
insiden. insiden 181
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
Sistem Tidak memiliki dokumen
Informasi manajemen maintenance
Zeta pemeliharaan sistem
baku sesuai standar

Belum memiliki
penjadwalan yang rutin
terhadap maintenance
sistem hanya terhadap = ± Rp.
insiden 125.000
PC User Belum memiliki  Lain-lain : ±
penjadwalan yang rutin Rp.
terhadap maintenance 300.000/hari
sistem hanya terhadap Total : Rp.
insiden 125.000 + Rp.
300.000 x
3. Perusahaan membuat Infrastruktur Tidak terdapat Menegakkan Biaya kontrol Risk Supervis
pemberitahuan informasi aturan TI pemeriksaan kepatuhan aturan sanksi item, Menyesuai Limitation or IT
di setiap sudut diketahui oleh aspek standar keamanan disipliner dan diantaranya: kan
pegawai dan sanksi disipliner yang baku pada pegawai pemberitahuan  Papan kerusakan
ditegakkan. Seperti dilarang PC User Belum memiliki informasi aturan di: dilarang dan aturan
masuk kecuali petugas, aturan kebijakan batasan  Ruangan terbatas masuk : 5 baru
penggunaan komputer di setiap penggunaan program (Dilarang pcs x Rp.
komputer. perangkat lunak terhadap Masuk) 22.000 = ±
sistem  Ruangan umum Rp. 110.00
Tidak memiliki dokumen (Tata  Papan tata
kebijakan perlindungan tertib/aturan) tertib : 2 x
media batasan  Pengumuman Rp. 100.000
penggunaan terhadap info di meja = ± Rp.
pegawai komputer 200.000 182
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
(Aturan
penggunaan PC)

 Kertas aturan
penggunaan
PC : 40 x Rp.
2.000 = ±
Rp. 80.000
Total : ± Rp.
390.000
Link :
4. Perusahaan menyiapkan voltase Infrastruktur Tidak memiliki Genset sebesar  Genset
cadangan listrik yaitu genset dan TI perlindungan atau 15Kva dan 15Kva : ±
pemeliharaan UPS secara pencadangan atau pemeliharaan UPS Rp.
berkala. perlengkapan dini daya secara periode 55.000.000 Pimpinan
listrik  Review Genset ,
PC User Baterai UPS hanya UPS : 0 menyesuai Risk Controll
bertahan beberapa saat Total : ± Rp. kan dan Avoidance er,
atau terkadang tidak 55.000.000 UPS 5 Supervis
berfungsi sama sekali Link : Tahun or IT
https://www.tok
opedia.com/ener
gidayadiesel/ge
nset-15-kva-
mitsubishi
5. Perusahaan menentukan dan Infrastruktur Belum menangani Pelaksanaan Pelaksanaan Controll
menetapkan kebijakan program TI manajemen kebijakan review review dan Risk
Menyesuai er,
masterplan secara periode 5 pengembangan rencana kajian pengembang dokumentasi Limitation 183
kan dan Supervis
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
tahun sebagai pengembangan keamanan informasi infrastruktur TI kebijakan
infrastruktur yang update sesuai dalam infrastruktur yang dengan pegawai kajian, dengan
jaman secara independen dan berkelanjutan bidang TI rincian biaya:
sebagai pembanding dengan Tidak terdapat kebijakan  Konsumsi :
rujukan sistem dari pusat. perencanaan keamanan Rp.
berkelanjutan 25.000/oran
g x 5 orang
= ± Rp.
125.000 maksimal
or IT
 Lain-lain : ± 5 tahun
Rp.
300.000/hari
Total : Rp.
125.000 + Rp.
300.000 x
pelaksanaan 3
hari = ± Rp.
1.275.000
6. Perusahaan menetapkan Sistem Tidak terdapat pelatihan Menetapkan Biaya Risk Controll
pelatihan pengembangan secara Informasi awal kepada pegawai sharing discussion pelaksanaan Menyesuai Avoidance er,
formal terhadap pembaruan Zeta untuk bekerja sesuai koordinasi antar kontrol yaitu: kan dan Supervis
sistem teknologi informasi serta peran dan tugas serta pegawai dan  Sharing minimal 5 or IT
koordinasi sharing discussion pelatihan security pelatihan berkala discussion : tahun
antar divisi atau individu lainnya awareness terhadap terkait kepatuhan Rp. 0
sistem informasi keamanan disiplin  Pelatihan
Kepatuhan
disiplin
keamanan,
dengan
rincian biaya 184
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
- Konsumsi :
Rp.
25.000/oran
g x 25 orang
= ± Rp.
625.000
- Lain-lain : ±
Rp.
300.000/hari
Total : Rp.
625.000 + Rp.
300.000 x
pelaksanaan 3
hari = ± Rp.
2.775.000
7. Perusahaan menetapkan dan Sistem Dokumentasi sistem Optimalisasi sistem Biaya
mengkaji penggunaan aplikasi Informasi informasi tidak ERP dengan OSS pelaksanaan
Enterprise Resource Planning Zeta terintegrasi update oleh konsultan kontrol
(ERP) dengan layanan One Stop dokumentasi terpisah diperhatikan oleh Software
Service (OSS) secara optimal, satu sama lain pegawai bidang IT aplikasi Sistem
diantaranya mencangkup area ERP dengan Risk Supervis
Menyesuai
fungsional supplier management, OSS : biaya Avoidance or IT
kan review
inventory management, disesuaikan
production, engineering, finance, jasa konsultan
human resource management, ± Rp.
delivery, sales marketing dan 50.000.000
customer support.
8. Perusahaan mengembang dan Sistem Tidak memiliki Pelaksanaan dan Pelaksanaan Risk Controll
menetapkan dokumentasi Informasi dokumentasi strategi dokumentasi dan Menyesuai Limitation er,
manajemen risiko secara formal Zeta risiko mengelola operasi manajemen risiko dokumentasi kan dan Supervis 185
yang diperoleh dari kebijakan dan aset pembentuk dilakukan oleh Manajemen minimal 3 or IT
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
audit TI. infrastruktur TI pegawai bidang TI Risiko, dengan
rincian biaya:
 Konsumsi :
Rp.
25.000/oran
g x 5 orang
= ± Rp.
125.000
 Lain-lain : ± tahun
Rp.
300.000/hari
Total : Rp.
125.000 + Rp.
300.000 x
pelaksanaan 7
hari = ± Rp.
2.975.000
9. Perusahaan mengembang dan Infrastruktur Tidak memiliki Pelaksanaan dan Pelaksanaan Menyesuai Risk Controll
menetapkan dokumentasi TI kebijakan audit TI dan dokumentasi audit dan kan dan Avoidance er,
kebijakan audit TI secara formal akuntabilitas TI dalam TI oleh pegawai dokumentasi minimal 3 Supervis
yang berisi perihal strategi frekuensi waktu tertentu bidang TI Audit TI, tahun or IT
kebijakan, prosedur keamanan dengan rincian
lingkup peran, tanggung jawab, biaya:
komitmen manajemen,  Konsumsi :
koordinasi antara entitas Rp.
organisasi, dan kepatuhan pada 25.000/oran
kebijakan dan kontrol audit TI g x 5 orang
secara periode pada organisasi = ± Rp.
internal. 125.000
 Lain-lain : ± 186
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
Rp.
300.000/hari
Total : Rp.
125.000 + Rp.
300.000 x
pelaksanaan 7
hari = ± Rp.
2.975.000
10. Perusahaan menyiapkan lampu Infrastruktur Tidak memiliki Penggunaan lampu Biaya kontrol
cadangan mekanisme baterai TI percahayaan darurat dan led emergency Lampu Led
perlengkapan dini Emergency 5
percahayaan watt : Rp.
155.000 x 16
pcs = ± Rp Menyesuai
2.480.000 Risk Supervis
kan
Link : Avoidance or IT
pemakaian
https://www.tok
opedia.com/ning
nang/led-
emergency-
model-philips-
5-watt-3-watt-
nyala-saat-
listrik-padam
11. Perusahaan melengkapi alat Infrastruktur Tidak memiliki deteksi Penggunaan alat Biaya kontrol Menyesuai Risk Controll
pemadam kebakaran dengan TI dan perlengkapan dini deteksi kebakaran Smoke kan Avoidance er,
kebutuhan dan deteksi suhu. kebakaran yang rawan Detector review Supervis
Multi : Rp. or IT
450.000 x 6
pcs = ± Rp.
2.700.000
Link :
https://www.tok 187
opedia.com/movi
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
nsolusindo/hong
-chang-hc-206e-
photoelectric-
smoke-detector
12. Perusahaan membangun sistem Infrastruktur Belum memiliki Pelaksanaan Biaya kontrol,
perangkat honeypots maupun TI pemantauan jarak jauh review berkala dengan rincian,
review berkala terhadap rule sebagai perlindungan terhadap rule yaitu:
firewall, update event log system untuk memastikan firewall, update  Review rule
dan terhadap koneksi lokal dalam potensi serangan pada event log system firewall dan
mendeteksi pemicu serangan sistem informasi dan terhadap update event
Tidak terdapat teknologi koneksi lokal serta log system
keamanan dalam sistem oleh pegawai terhadap Menyesuai
informasi maupun bidang IT koneksi kan Risk Supervis
pencegahan pendeteksian lokal : Rp. 0 review Limitation or IT
atau membelokkan  Penggunaan 1 Bulan
serangan komputer
Infrastruktur Tidak terdapat honeypots :
Jaringan pemantauan jarak jauh ± Rp.
sebagai perlindungan 8.000.000
untuk memastikan Total Biaya : ±
potensi serangan pada Rp. 8.000.000
sistem informasi
13. Perusahaan mengembangkan dan Sistem Sistem tidak menerapkan Pelaksanaan Biaya kontrol
mengimplementasikan Informasi modul keamanan khusus/ kriptografi di  Enkripsi
kriptografi pada storage Zeta alternatif/kritis masing aset krusial MySql : Rp.
database dan pengiriman pesan (kriptografi)  Database 0 Menyesuai
laporan ke pusat Storage  Aplikasi kan review Risk Supervis
 Paket file paket dan Limitation or IT
enkripsi enkripsi penyewaan
business- 1 tahun
axcrypt : ± 188
Rp.
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
1.350.000/ta
hun
Link :
https://www.ax
crypt.net/pricin
g/
14. Perusahaan membangun Sistem Tidak memiliki alternatif Penggunaan Google cloud
pencadangan storage dengan Informasi storage site terpisah penyimpanan cloud kapasitas 1TB :
mekanisme cloud Zeta dalam mekanisme ± Rp.
Risk
backup storage 2.000.000 Menyesuai Supervis
Transfere
Link : kan or IT
nce
https://cloud.go storage
ogle.com/stora
ge/pricing
15. Perusahaan mengembangkan Sistem Konfigurasi sistem yang Penggunaan Biaya
sistem teknis back-up Informasi lama dan siap dipakai pengembangan pelaksanaan
konfigurasi atau system Zeta (rollback system) bila sistem save kontrol layanan
checkpoint dimana bila ada suatu terjadi suatu kegagalan configuration save
kesalahan konfigurasi atau informasi (reset) application oleh configuration
insiden dapat segera melakukan konsultan application
Menyesuai
rollback ke posisi system didampingi pengembang Risk Supervis
kan review
sebelum error tersebut pegawai bidang IT sistem Avoidance or IT
Infrastruktur Konfigurasi sistem yang disesuaikan
Jaringan lama dan siap dipakai jasa
(rollback system) bila konsultan/peng
terjadi suatu kegagalan embang sistem
informasi (reset) ± Rp.
15.000.000
16. Perusahaan mendokumentasikan Sistem Tidak terdapat Pelaksanaan Biaya
Risk Supervis
penilaian sistem dengan Informasi manajemen pengujian, pengujian sistem pelaksanaan Menyesuai 189
Limitation or IT
melakukan pengujian sistem Zeta pelatihan, dan berkala oleh white kontrol kan review
 Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
secara independen dengan pemantauan terdapat hat didamping oleh  Peran white
menggunakan pihak white hat sistem informasi yang pegawai bidang TI hat : ± Rp.
secara statis dan dinamis maupun diterapkan dan penggunaan 25.000.000.
dengan membeli lisensi aplikasi Tidak terdapat aplikasi pihak 000
pihak ketiga terhadap sistem. dokumentasi penilaian ketiga digunakan  Aplikasi
sistem informasi ketika oleh pegawai pihak
diterapkan oleh bidang TI ketiga : ±
perusahaan Rp.
2.000.000
17. Perusahaan mengatur bandwidth Infrastruktur Tidak terdapat Pelaksanaan Konfigurasi
control rule terbagi dalam tiap Jaringan pengelolaan besaran configuration bandwidth
Menyesuai
koneksi dan membagi dan pengolahan penggunaan bandwidth control control rule Risk Supervis
kan
mengatur mekanisme jenis bandwidth rule limits oleh limits oleh Avoidance or IT
review
saluran komunikasi, seperti pada pegawai bidang IT bidang TI : Rp.
Wi-Fi dan jaringan LAN. 0

190
 LAMPIRAN 10
Dokumentasi Observasi

Wawancara dengan Supervisor IT Wawancara dengan Controller

Ruang Kantor Depan Kantor

Meja Komputer Ruang Data Center

191
 192

Komponen Switch Komponen Router dan Switch

Antarmuka Sistem Zeta Sistem Zeta Privileges User

Alat Pemadam Kebakaran Data Server Zeta