Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer e-ISSN: 2548-964X

Vol. 4, No. 9, September 2020, hlm. 3014-3020 http://j-ptiik.ub.ac.id

Analisis Manajemen Risiko Keamanan Sistem Informasi pada BKPSDM

Kota Batu menggunakan Kerangka Kerja OCTAVE-S dan ISO 27001:2013
(Studi Kasus: Aplikasi E-Kinerja)
Dinda Riski Nurfadilah1, Widhy Hayuhardhika Nugraha Putra2, Aditya Rachmadi3

Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya

Email: 1dindariski@student.ub.ac.id, 2widhy@ub.ac.id, 3rachmadi.aditya@ub.ac.id

Abstrak
Badan Kepegawaian dan Pengembangan Sumber Daya Manusia (BKPSDM) Kota Batu adalah OPD
(Organisasi Perangkat Daerah) yang memanfaatkan teknologi informasi untuk proses regulasi serta
opersional dalam organisasi. Sistem E-Kinerja merupakan sebuah sistem yang dibangun BKPSDM
untuk mengukur dan menilai kinerja Aparatur Sipil Negara (ASN) secara periodik sebagai acuan untuk
pemberian tunjangan kinerja. Keberadaan sistem dan pemanfaatan teknologi informasi dapat
memberikan dampak baik sebagai alat bantu dalam operasional organisasi namun dapat memberikan
dampak buruk atau ancaman risiko jika tidak dilakukan mitigasi dengan benar. Persoalan yang terjadi
pada BKPSDM Kota Batu belum pernah dilakukan manajemen risiko dan belum ada dokumen atau
kebijakan terkait keamanan sistem informasi. Penelitian ini bertujuan untuk mengidentifikasi dan
memberikan informasi pada BKPSDM Kota Batu terkait dengan kerentanan risiko, ancaman, kelemahan
sistem, serta memberikan rekomendasi mitigasi. Penelitian ini menggunakan kerangka kerja OCTAVE-
S untuk analisa risiko dan dikombinasikan dengan standar pengendalian ISO 27001:2013. Hasil
penelitian didapatkan 3 area praktik keamanan yang memiliki status yellow stoplight yaitu pengendalian
akses fisik dan manajemen kerentanan. Serta 3 area praktik keamanan yang memiliki status red stoplight
yaitu peraturan dan kebijakan keamanan, autentikasi dan otorisasi, dan manajemen kerentanan. Enam
area praktik keamanan tersebut dipilih sebagai area untuk dilakukan mitigasi. Serta pemberian kontrol
berdasarkan standar ISO 27001:2013 agar dapat digunakan sebagai pedoman BKPSDM Kota Batu
dalam melakukan perbaikan.
Kata kunci: analisis risiko, manajemen risiko, OCTAVE-S, ISO 27001:2013
Abstract
Staffing Agency and Human Resources Development Batu City (BKPSDM) is an OPD (Regional
Institute Organization) that uses information technology for the procurement and operational processes
on the organization. E-Kinerja system is a system managed and created by BKPSDM to measure and
assess the performance of Government Employees (ASN) periodically basis as a reference for providing
performance benefits. The functional of system and information technology give good results because it
helps on the internal operations organization, in other condition also have a bad impact and security
issues that are not mitigated proceed correctlye. Problems that occur in BKPSDM Batu City never do
an assesment focused on risk management and there are no regulations or policies related to
information system security. This researcher supports to identification and provide information on
BKPSDM Batu City related to weaknesses, challenges, system weaknesses, and provide mitigation
recommendations. This study uses an OCTAVE-S work license to analyze risk and combined with
standard ISO 27001: 2013 controls. The results of the study obtained 3 areas of security practices that
have yellow traffic light status namely security management, physical access and management approval.
As well as 3 areas of security practices that have red light status namely security regulations and
policies, authentication and authorization, and security management. There are six areas of security
practice were chosen as areas for mitigation. Control guidelines according to standard ISO 27001:
2013 so that they can be used as guidelines for the BKPSDM of Batu City in making improvements.
Keywords: risk analysis, risk management, OCTAVE-S, ISO 27001: 2013

Fakultas Ilmu Komputer

Universitas Brawijaya 3014
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
1. PENDAHULUAN
Kebutuhan akan sistem informasi dan
teknologi informasi semakin tinggi, dapat dilihat
manfaat dari TI yang sering dipakai oleh banyak
perusahaan atau organisasi, tidak terkecuali pada
Organisasi Perangkat Daerah (OPD). Apabila
sistem informasi tidak dijaga keamanannya,
maka akan muncul risiko yang akan
menghambat pencapaian tujuan dari organisasi
dan dapat mengakibatkan kerugian finansial,
opportunity loss, pelanggaran hukum, bahkan
mengakibatkan kerugian reputasi (Sukma,
2013).
E-Kinerja merupakan salah satu aplikasi
yang dimiliki BKPSDM Kota Batu digunakan
untuk mengukur dan memantau kinerja Aparatur
Sipil Negara (ASN) Kota Batu secara berkala,
sebagai data untuk acuan dalam pemberian
Tunjangan Kinerja (TUKIN) untuk pegawai,
serta memetakan kinerja PNS secara merit
sistem. Berdasarkan hasil wawancara yang
dilakukan terhadap BKPSDM Kota Batu pada
Bidang Diklat selama sistem berjalan belum ada
evaluasi atau analisis risiko, serta minim
prosedur terkait keamanan teknologi informasi
dan penerapannya. Oleh sebab itu BKPSDM
Kota Batu tidak mengerti secara pasti sejauh
mana kesiapan organisasi apabila menghadapi
permasalahan atau ancaman risiko yang
kemungkinan terjadi, karena makin lama celah
keamanan tersebut diabaikan dan tidak
dilakukan tindakan yang tepat, maka
kemungkinan besar akan mengakibatkan
permasalahan yang timbul dari pihak internal
dan eksternal organisasi.
Mengingat pentingnya fungsi sistem E-
Kinerja untuk BKPSDM Kota Batu terkait
pelaporan penilaian kinerja Aparatur Sipil
Negara untuk menghindari tersebarnya
informasi yang tidak sesuai, maka suatu
manajemen risiko keamanan informasi perlu
dilakukan yaitu dengan melakukan proses
mengurangi risiko (risk mitigation) serta
penilaian risiko dan kontrol. Saat ini keamanan
informasi pada E-Kinerja terjaga hanya mengacu
pada kebutuhan operasional. Manajemen risiko
belum pernah dilakukan sehingga tidak ada
prosedur yang jelas yang dapat menjadi acuan.
Oleh karena itu manajemen risiko keamanan
informasi perlu diterapkan serta dilakukan
penilaian risiko terhadap sistem dapat dikelola
dengan baik, sesuai dengan ancaman kerawanan,
dan dampak yang mungkin muncul serta dapat
Fakultas Ilmu Komputer, Universitas Brawijaya
3015
mengganggu dalam pencapaian tujuan
organisasi.
Operationally Critically Critical Threat,
Asset, and Vulnerability Evaluation-Small
(OCTAVE-S) adalah alat bantu kerja yang bisa
difungsikan untuk melakukan identifikasi
ancaman risiko terkait TI. Framework
OCTAVE-S digunakan dalam melakukan
penilaian, analisis, dan melaksanakan rencana
strategis berdasarkan risiko tingkat keamanan
dari beberapa pandangan organisasi (Albert,
2005).
Pada penelitian ini diharapkan dapat
memberi sebuah hasil analisis manajemen risiko,
kebutuhan praktik keamanan yang menjadi
prioritas, serta penilaian risiko untuk mengetahui
dan menetapkan tingkat suatu dampak yang
berenergi menyebabkan rugi dan ancaman pada
sistem. Hasil dari analisis kemudian akan
digunakan untuk melakukan identifikasi untuk
mengurangi serta membereskan masalah selama
berlangsungnya tahap mitigasi risiko. Dengan
memahami level ancaman risiko dapat
digunakan acuan BKPSDM Kota Batu dalam
melakukan aktivitas manajemen risiko
keamanan sistem informasi yang dimilki.
2. LANDASAN KEPUSTAKAAN
2.1 Pengertian Risiko dan Manajemen Risiko
Definisi risiko dapat diartikan sebagai suatu
peluang atau kemungkinan yang dapat
mempengaruhi suatu tujuan, dan dapat
menghasilkan kerugian apabila kerugian
tersebut tidak dikelola dengan baik dan dapat
dikategorikan dalam beberapa kategori yaitu
Strategic Risk, Financial Risk, Compliance,
Reputational Risk dan Operational Risk (ISO
dikutip dalam buku Sarno, 2009).
Sedangkan menurut Stoneburner yang
dikutip pada penelitian Ayu Permatasi (2002)
menjelaskan bahwa manajemen risiko
menjelaskan 3 proses yaitu penilaian risiko atau
risk assestment,mitigasi risiko atau risk
mitigation, dan penilaian atau evaluasi
(evaluation and assessment). Fungsi dari risk
assessment yaitu memilih tingkatan ancaman
yang memiliki dampak penyebab kerugian dan
yang serupa dengan sistem teknologi informasi
di semua Software Develovpment Life Cycle.
2.2 Keamanan Informasi
Menurut Sarno dan Iffano (2009),
Keamanan data ialah penjagaan data dari segala
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 3016

ancaman yang barangkali berlangsung dalam keamanan informasi yang mencontohkan

upaya untuk menetapkan maupun menjamin gambar umum tentang langkah yang harus
kelangsungan bisnis (business continuity), dilaksanakan oleh perusahaan saat melakukan
meminimalisasi resiko bisnis (reduce business penilaian dan mengevaluasi,
risk) serta mengoptimalkan alias memacu mengimpelentasikan, dan mengontrol keamanan
pengembalian investasi serta kesempatan, pada informasi di perusahaan berdasarkan “best
contoh dari keamanan data bagi Sarno dan Iffano practice” dalam pengontrolan keamanan
ialah Physical Security, Personal Security, informasi.
Operation Security, Communications Security,
Network Security. 3. METODOLOGI

2.3 OCTAVE-S
Menurut Albert (2003) Prosedur OCTAVE-
S merupakan sesuatu ancangan pada penilaian
resiko keamanan pada data yang komprehensif,
sistematik, terencana, serta dicoba sendiri.
Pendekatannya dirancang sesuai dengan kriteria
yang menjabarkan komponen utama dari
penilaian risiko keamanan data. OCTAVE- S
(The Operationally Critical Threat, Asset, and
Vulnerability Evaluation-Small) dimanfaatkan
oleh organisasi kecil (kurang dari 100 orang).
OCTAVE- S dicoba oleh sesuatu kelompok TI
dengan 3- 5 orang dalam satu kelompok. Agar
tata cara OCTAVE- S bisa berjalan dengan baik,
maka kelompok TI wajib mempunyai
pengetahuan terkait proses bisnis, serta tujuan
yang hendak dicapai organisasi, sehingga proses
manajemen risiko dengan menggunakan tata
cara OCTAVE- S dapat diimplementasikan
sendiri.
Tahapan dalam OCTAVE-S berupa tiga
fase. Fase pertama menciptakan profil ancaman
berbasis aset, kedua mengidentifikasi kelemahan
infrastruktur dan fase ketiga yaitu membuat
perencanaan dan strategi keamanan (Albert, Gambar 2. Alur Metode Penelitian
2003).
Penelitian ini mengenakan metode
kualitatif. Alur penelitian yang digunakan
pertama yaitu melaksanakan identifikasi kasus
pada BKPSDM Kota Batu, kemudian
menerapkan pengumpulan informasi.
Pengumpulan informasi melaksanakan
wawancara serta observasi. Sesudah
pengumpulan informasi dilakukan, lalu
pengelolaan informasi. Dengan melaksanakan 3
fase dalam metode OCTAVE- S. Setelah itu
membuat rekomendasi serta kontrol yang
diberikan memanfaatkan ISO 27001:2013
Gambar 1. Metode Octave-S dilakukan oleh organisasi itu sendiri.

2.4 ISO 27001:2013 4. HASIL

Menurut Sarno (2009), ISO/IEC 27001:2013 Pengumpulan data dan informasi mengenai
merupakan arsip standar sistem tata laksana manajemen risiko sistem informasi berdasarkan

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 3017

framework OCTAVE-S. Terdapat tiga fase yang Sistem

dilakukan yaitu membuat profil ancaman 10. Pemantauan dan Audit Hijau
Keamanan TI
berbasis aset, melakukan identifikasi kelemahan 11. Autentikasi dan Otorisasi Merah
infrastruktur, serta mengembangkan strategi 12. Manajemen Kerentanan Kuning
perlindungan rencana keamanan. 13. Enkripsi Hijau
14. Perancangan dan Arsitektur Hijau
4.1 Identifikasi Aset Keamanan
15. Manajemen Insiden Merah
Pada kerangka kerja OCTAVE-S
mengidentifikasi aset organisasi dibagi dalam Dari tabel hasil evaluasi dan rating pada 15
dua jenis yaitu pertama asset informasi, sistem area praktik keamanan organisasi telah
dan aplikasi penting yang dibutuhkan atau didapatkan status stoplight pada masing-masing
digunakan organisasi, kedua aset manusia area. Didapatkan 9 area yang memperoleh status
(people) yaitu orang-orang yang memiliki lampu hijau (Green stoplight) yang
keterampilan atau pengetahuan khusus dan mencerminkan bahwa organisasi telah
penting bagi organisasi. Berikut adalah hasil dari menjalankan praktik keamanan di area tersebut
identifikasi subtansi organisasi yang dijalankan artinya sudah tidak membutuhkan perbaikan.
pada Badan Kepegawaian dan Pengembangan Kemudian didapatkan 3 area yang memperoleh
Sumber Daya Manusia Kota Batu. status lampu kuning (Yellow Stoplight) yang
Tabel 1. Identifikasi Aset mencerminkan bahwa organisasi hanya
melaksanakan sebagian praktik keamanan pada
No. Kategori Aset
area tersebut. Selanjutnya yang terakhir
1. Informasi, E-Kinerja didapatkan 3 area yang memperoleh status
Sistem Server lampu merah (Red Stoplight) yang
dan Standar Operasional Prosedur (SOP) mencerminkan bahwa organisasi tersebut tidak
Aplikasi melakukan praktik pada area tersebut sehingga
2. People Kepala Bidang Diklat
(Manusia) Kepala Sub Bidang Diklat
membutuhkan kontrol yang signifikan pada area
Kepala Sub Bidang Kesejahteraan keamanan tersebut.
Kepala Sub Bidang Pembinaan
Pengelola Penilaian Kinerja Pegawai 4.3 Memilih Aset Kritis

4.2 Evaluasi Praktik Keamanan Organisasi BKPSDM Kota Batu mempunyai banyak aset,
adapun kurang lebih aset kritis yang ada di
Praktik keamanan merupakan tindakan yang BKPSDM Kota Batu antara lain E-Kinerja dan
dipakai untuk mendukung awalan, Server. E-Kinerja dipilih karena merupakan
mengamalkan dan melakukan pengamanan aplikasi BKPSDM Kota Batu yang berfungsi
dalam suatu organisasi. Dalam aktivitas ini untuk pengelolaan penilaian kinerja pegawai. E-
dilaksanakan pemeriksaan afirmasi pada setiap Kinerja dinilai sangat penting untuk memberikan
area praktik keamanan dan security practice informasi yang akurat terkait dengan penilaian
worksheet, serta memberi rating dengan kriteria hasil kinerja pegawai yang dapat digunakan
Very Much, Some What, Not at All. sebagai acuan pemberian tunjangan kinerja.
Tabel 2. Aspek Keamanan Server dinilai bagaikan peninggalan kritis
yang wajib dilindungi dari ancaman resiko yang
No Aspek Keamanan Stoplight
.
bisa jadi berlangsung pada BKPSDM Kota Batu.
1. Kesadaran dan Pelatihan Hijau Sebab server memiliki kerentanan yang lumayan
Keamanan besar terhadap resiko karena semua informasi
2. Strategi Keamanan Hijau diproses dan disimpan di dalam server dalam
3. Manajemen Keamanan Kuning bentuk database apabila terjadi masalah dalam
4. Peraturan dan Kebijakan Merah
server maka akan berpengaruh terhadap layanan
Keamanan
5. Manajemen Keamananl Hijau yang diberikan.
Kolaboratif
6. Perencanaan Contingency/ Hijau 4.4 Identifikasi Ancaman Aset Kritis
Pemulihan Bencana
7. Pengendalian Akses Fisik Kuning Pada proses ini melakukan identifikasi
8. Pemantauan dan Audit Hijau ancaman pada aset kritis yaitu menentukan
Keamanan Fisik worksheet yang sesuai dengan seluruh aset kritis,
9. Manajemen Jaringan dan Hijau

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 3018

Selanjutnya merapikan seluruh skema ancaman sehingga perlu ditingkatkan atau diperbaiki,
atau threat tree yang tepat pada seluruh aset-aset sedangkan pada area yang memiliki status warna
penting dengan merencanakan cabang mana merah menunjukkan bahwa organisasi tidak
yang mempunyai kemungkinan ancaman melaksanakan praktik keamanan di area itu atau
terhadap aset yang tak berfungsi dan cabang masih dilakukan dengan buruk sehingga perlu
mana yang mempunyai kemungkinan ancaman melakukan perbaikan yang serius pada area
terdapat aset yang bisa dilalui atau tidak ada nilai keamanan tersebut. Area mitigasi dijelaskan
ancaman terhadap aset tersebut. Kemudian pada tabel berikut.
mengidentifikasi lajur akses yang digunakan Tabel 4. Area Mitigasi
untuk melakukan akses aset kritis dapat melalui
lajur jaringan maupun fisik. Aspek Keamanan Status Stoplight
Tabel 1. Aset Kritis Manajemen Keamanan Kuning
Pengendalian Akses Fisik Kuning
i. E-Kinerja Manajemen Kerentanan Kuning
Jalur Aktor Motif Tingkat Motif Peraturan dan Kebijakan Merah
Akses Keamanan
Autentikasi dan Otorisasi Merah
Jaringan Internal Tidak Rendah Manajemen Insiden Merah
Sengaja
Sengaja Rendah 5.2 Rekomendasi Kontrol
Fisik Internal Tidak Rendah Berdasarkan hasil analisis penilaian risiko dan
Sengaja
penetapan area mitigasi kemudian akan dibuat
Masalah Sistem Macet (System Rendah rencana untuk rekomendasi kontrol untuk
sistem Crashes) memberikan saran yang bisa digunakan acuan
Kerusakan software Sedang dalam tahapan mitigasi risiko. Yang mana
kontrol keamanan teknis dan prosedur telah
disarankan, dievaluasi, ditelaah, dan
ii. Server diimplementasikan. Pada tahap ini planning
Jalur Aktor Motif Tingkat mitigasi risiko dibuat dengan mengambil kontrol
Akses Motif – kontrol pengendalian yang terdapat pada ISO
Jaringan Internal Sengaja Rendah – 270001:2013. Rekomendasi kontrol berfungsi
Sedang untuk meminimalkan tingkat risiko yang
Ekstenal Sengaja Sedang
diperoleh saat ini hingga ke tingkat yang dapat
diterima oleh organisasi.
Fisik Internal Tidak Rendah Tabel 5. Rekomendasi Kontrol
Sengaja
Masalah Power Supply (Sumber Sedang Pengendalian
lainnya Daya Listrik) Aspek Menurut ISO Rekomendasi
27001:2013
 Membuat prosedur
5. PEMBAHASAN  Parimeter operasi yang
Keamanan mengatur otorisasi
5.1 Penentuan Area Mitigasi Fisik semua staf atau pihak
(A.11.1.1) ke tiga yang berada
Kerangka Kerja OCTAVE-S mempunyai Manajemen  Melapor pada tempat informasi
sebagian area praktik keamanan yang harus Keamanan peristiwa penting.
dilaksanakan oleh organisasi untuk keamanan  Melakukan sosialisasi
memantapkan strategi yang digunakan untuk informasi Standar Operasional
keamanan organisasi. Berdasarkan hasil evaluasi (A.16.1.2) Prosedur yang sudah
terhadap praktik keamanan yang dilakukan pada disetujui, kepada
seluruh pegawai.
BKPSDM Kota Batu telah didapatkan hasil
bahwa terdapat beberapa dari area yang kurang  Bekerja di
pemantauan sehingga perlu diperbaiki. Area area yang
 Membuat prosedur
Pengendali- aman
tersebut didapatkan dari status stoplight yang an Akses (A.11.1.5)
keamanan fasilitas
memiliki status warna kuning yang menandakan serta setiap area yang
Fisik
bahwa intansi baru melakukan sebagian  Mengaman- terlarang.
kan kantor,
keamanan praktik kerja pada area tersebut ruangan, dan

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 3019

fasilitas  Menciptakan prosedur atau kelompok yang

(A.11.1.3) dan kebijakan untuk tidak berwenang.
mengelola asset fisik
 Kontrol entri  Melakukan sosialisasi
fisik  Membuat prosedur mengenai kebijakan
(A.11.1.2) kebijakan untuk dan prosedur yang
melakukan kontrol telah di buat dan
akses fisik di area disetujui kepada
kerja serta media seluruh pegawai.
(hardware dan
software)
 Melakukan sosialisasi  Membuat prosedur
keamanan insiden
mengenai prosedur
kebijakan yang sudah yang dapat ditinjau
dibuat dan disetujui dan diperbarui secara
kepada seluruh berkala
pegawai.  Membuat prosedur
 Membuat prosedur  Tanggung untuk
jawab dan mengidentifikasi,
pengelolaan
prosedur melaporkan, dan
 Pengelolaan kerentanan
(A.16.1.1) menanggapi adanya
Manajemen kerentanan  Melakukan sosialisasi dugaan insiden
Kerentanan teknis terkait prosedur yang  Melaporkan keamanan dan
(A.12.6.1) sudah dibuat dan kelemahan pelanggaran.
disetujui kepada keamanan
Manajemen
semua pegawai informasi
Insiden
(A.16.1.3)  Membuat peraturan
 Membuat kebijakan dan sanksi untuk
mengenai keamanan  Tanggapan
terhadap pelanggar kebijakan
yang dapat ditinjau yang ditanda tangani
dan diperbarui secara insiden
keamanan oleh manajemen
berkala. tertinggi
 Kebijakan informasi
untuk  Membuat (A.16.1.5)
keamanan dokumentasi terkait
informasi proses evaluasi serta  Melakukan sosialisasi
(A.5.1.1) memastikan mengenai kebijakan
kepatuhan pada dan peraturan yang
 Meninjau kebijakan terkait telah dibuat dan
Peraturan
kebijakan keamanan yang disetujui kepada
dan
untuk berlaku. seluruh pegawai.
Kebijakan
keamanan
Keamanan  Membuat peraturan
informasi
(A.5.1.2) dan sanksi untuk
pelanggar kebijakan
 Tinjauan yang ditandatangani 6. KESIMPULAN DAN SARAN
kepatuhan oleh manajemen
teknis tertinggi. Berdasarkan dari hasil dari penelitian yang
(A.18.2.3) mana dilaksanakan pada BKPSDM Kota Batu
 Melakukan sosialisasi
mengenai prosedur
dapat diperoleh ringkasan sebagai berikut:
yang telah dibuat dan 1. Aset-aset kritis yang teridentifikasi pada
disetujui kepada BKPSDM Kota Batu antara lain aplikasi E-
seluruh pegawai Kinerja dan server.
 Membuat kebijakan 2. Hasil dari analisis risiko yang dijalankan
terhadap kontrol akses pada sistem E-Kinerja BKPSDM Kota
 Kebijakan untuk pengguna ke Batu, dimana dari 15 area praktik keamanan
kontrol akses sistem, aplikasi,
(A.9.1.1) yang ada pada framework OCTAVE-S,
Autentikasi koneksi jaringan, dan
dan layanan yang berisi ditemukan 3 area praktik keamanan yang
 Provisioning
Otorisasi informasi sensitif. mendapatkan status stoplight warna kuning
akses
penggun dan 3 area praktik keamanan yang
 Membuat prosedur
(A.9.2.2) kebijakan dalam mendapatkan status stoplight warna merah.
menghentikan hak 3. Terdapat 19 rekomendasi kontrol yang
akses kepada individu mengacu pada standar ISO 27001:2013
dalam 6 area praktik keamanan yang dapat

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 3020

digunakan oleh BKPSDM Kota Batu

sebagai tindakan dan saran perbaikan guna
mencapai status stoplight hijau.

Adapun saran yang dapat diberikan dari

penelitian ini yaitu untuk peneliti selanjutnya
dapat melanjutkan penelitian ke tahap
implementasi dari rekomendasi yang telah
diberikan. Saran lain untuk peneliti selanjutnya
dapat menggunakan metode ISO 27002 karena
metode ini memberikan contoh penerapan
keamanan informasi agar mencapai sasaran
kontrol yang ditetapkan.

7. DAFTAR PUSTAKA
Albert, C. &. (2003). Managing Information
Security Risks: The OCTAVESM
Approach. USA: Addison Wesley.
Alberts, C., Dorofee, A., Stevens, J., Woody, C.
(2005). OCTAVE®-S Implementation
Guide, Version 1.0. USA: Carnegie
Mellon University.
Ega Lestari Sukma. 2013. "Evaluasi Manajemen
Risiko Keamanan Informasi Sistem
Provisioning Gateway Telkom Flexi".
Karya Akhir. Fakultas Ilmu Komputer
Program Studi Magister Teknologi
Informasi. Universitas Indonesia Jakarta.
Gordon, D. 1974. Management Information
System: Conceptual Foundation,
Structure, and Development, McGraw-
Hill International Book Company.
Gui, Anderes, et al. 2008. Pengukuran Teknologi
Informasi (TI) dengan Metode Octave-S,
Communication and Information
Technology Journal, Vol. 2, no. 1, pp. 33–
38.
Sarno, R., & Iffano, I., 2009. Sistem manajemen
keamanan informasi. Surabaya: ITSPress.
Stephanus. 2014. Implementation Octave-S and
ISO 27001 control in Risk Management
Information System. ComTech, Vol.5,
No.2, pp. 685-693.

Fakultas Ilmu Komputer, Universitas Brawijaya