Submitted by:
“SI-42-08”
Arifathul Fabian 1202180198
Anisah Fredella 1202183325
Elysia Estiningtyas 1202180032
Ginna Trigama 1202184234
M. Ashril Mahardika 1202184142
M. Iqsan Wahyudin 1202152167
DAFTAR ISI 1
DAFTAR GAMBAR 2
DAFTAR TABEL 3
ANALISIS FAKTOR DESAIN 4
1. Analisis Faktor Desain 1 4
2. Analisis Faktor Desain 2 4
3. Analisis Faktor Desain 3 6
4. Analisis Faktor Desain 4 7
5. Analisis Faktor Desain 5 9
6. Analisis Faktor Desain 6 10
7. Analisis Faktor Desain 7 10
8. Analisis Faktor Desain 8 11
9. Analisis Faktor Desain 9 12
10. Analisis Faktor Desain 10 12
APO13 - Managed Security 15
Rekomendasi Aspek People 25
Rekomendasi Aspek Proses 27
Rekomendasi Aspek Teknologi 28
Kesimpulan 30
1
DAFTAR GAMBAR
2
DAFTAR TABEL
3
ANALISIS FAKTOR DESAIN
Importanc
Baselin
Value e Description
e
(1-5)
Growth/Acquisition 4,30 3 Organisasi memiliki fokus pada pertumbuhan (pendapatan)
Importance
Value Baseline Description
(1-5)
EG01—Portfolio of competitive products 4,18 EG01—Portofolio produk dan layanan yang
3
and services kompetitif
EG03—Compliance with external laws 4,27 EG03—Kepatuhan pada hukum dan peraturan
3
and regulations eksternal
4
pelanggan
5
3. Analisis Faktor Desain 3
Tabel 3.Analisis Faktor Desain 3.
6
Gambar 3.Design Factor 3.
Importanc
Baselin
I&T-Related Issue e Description
e
(1-3)
Frustration between different IT entities
A. Kebingungan pada setiap entitas TI yang ada di
across the organization because of a
1,98 2 organisasi karena dipandang kontribusinya rendah terhadap
perception of low contribution to
nilai bisnis
business value
Frustration between business
departments (i.e., the IT customer) and B. Kebingungan pada unit bisnis dan unit TI karena
the IT department because of failed 2,16 2 inisiatif yang gagal atau dipandang kontribusi yang rendah
initiatives or a perception of low terhadap nilai bisnis
contribution to business value
Significant I&T-related incidents, such
C. Insiden terkait TI yang signifikan (seperti kehilangan
as data loss, security breaches, project
2,75 2 data, pelanggaran keamanan, kegagalan proyek, dan
failure and application errors, linked to
kesalahan aplikasi) dikaitkan pada unit TI saja
IT
Service delivery problems by the IT
2,11 2 D. Masalah penyediaan layanan TI oleh pihak ketiga
outsourcer(s)
Failures to meet IT-related regulatory E. Kegagalan untuk memenuhi persyaratan regulasi atau
2,14 2
or contractual requirements kontrak terkait TI
Regular audit findings or other
F. Temuan audit rutin atau laporan penilaian lainnya
assessment reports about poor IT
2,59 2 tentang rendahnya kinerja TI atau masalah kualitas atau
performance or reported IT quality or
layanan TI
service problems
Substantial hidden and rogue IT
G. Pengeluaran TI yang tersembunyi dan menipu, yakni
spending, that is, I&T spending by user
pengeluaran TI oleh unit bisnis di luar kendali mekanisme
departments outside the control of the 2,14 2
keputusan investasi TI secara umum dan anggaran yang
normal I&T investment decision
disetujui
mechanisms and approved budgets
7
Duplications or overlaps between
H. Duplikasi atau tumpang tindih antar berbagai inisiatif
various initiatives, or other forms of 2,16 2
atau sumber daya
wasted resources
Insufficient IT resources, staff with I. Sumber daya TI yang tidak mencukupi, staf dengan
inadequate skills or staff 2,25 2 keterampilan yang tidak memadai atau adanya
burnout/dissatisfaction ketidakpuasan staf
IT-enabled changes or projects J. Perubahan atau proyek yang didukung TI sering gagal
frequently failing to meet business 2,18 2 memenuhi kebutuhan bisnis dan terlambat atau melebihi
needs and delivered late or over budget anggaran
Reluctance by board members,
K. Keengganan pejabat atau manajemen senior untuk
executives or senior management to
2,14 2 terlibat dengan TI, atau kurangnya dukungan (sponsorship)
engage with IT, or a lack of committed
bisnis yang berkomitmen pada TI
business sponsorship for IT
Complex IT operating model and/or
L. Model operasi TI yang kompleks dan/atau mekanisme
unclear decision mechanisms for IT- 2,11 2
keputusan yang tidak jelas untuk keputusan terkait TI
related decisions
Excessively high cost of IT 2,14 2 M. Biaya TI yang terlalu tinggi
Obstructed or failed implementation of
N. Implementasi inisiatif atau inovasi baru yang terhambat
new initiatives or innovations caused
2,16 2 atau gagal, disebabkan oleh arsitektur dan sistem TI saat
by the current IT architecture and
ini
systems
Gap between business and technical
knowledge, which leads to business O. Kesenjangan antara pengetahuan bisnis dan teknis, yang
users and information and/or 2,20 2 menyebabkan pengguna bisnis dan spesialis informasi
technology specialists speaking dan/atau teknologi yang berbicara dalam berbagai bahasa
different languages
Regular issues with data quality and
P. Masalah umum pada kualitas data dan integrasi data di
integration of data across various 2,48 2
berbagai hal
sources
High level of end-user computing,
creating (among other problems) a lack Q. Komputasi pengguna (end-user) tingkat tinggi,
of oversight and quality control over 2,09 2 membuat kurangnya pengawasan dan kontrol kualitas atas
the applications that are being aplikasi yang sedang dikembangkan dan dioperasikan
developed and put in operation
Business departments implementing
their own information solutions with
R. Unit bisnis menerapkan solusi informasinya sendiri
little or no involvement of the
dengan sedikit atau tanpa keterlibatan unit TI (terkait
enterprise IT department (related to 2,02 2
dengan komputasi pengguna, yang seringkali berasal dari
end-user computing, which often stems
ketidakpuasan terhadap solusi dan layanan TI yang ada)
from dissatisfaction with IT solutions
and services)
Ignorance of and/or noncompliance S. Ketidaktahuan dan/atau ketidakpatuhan terhadap
2,57 2
with privacy regulations regulasi kerahasiaan data
Inability to exploit new technologies or T. Ketidakmampuan untuk memanfaatkan teknologi baru
2,14 2
innovate using I&T atau berinovasi menggunakan TI
8
Gambar 4.Design Factor 4.
9
6. Analisis Faktor Desain 6
Tabel 6.Analisis Faktor Desain 6.
Importance
Value Baseline Description
(100%)
Importance (1-
Value Baseline Description
5)
TI tidak penting untuk keberjalanan dan keberlangsungan proses dan
Support 3,64 3
layanan bisnis, maupun inovasi organisasi.
10
Gambar 7.Design Factor 7.
Insourced 24% 34% Organisasi menyediakan staf dan layanan TI oleh mereka sendiri
11
9. Analisis Faktor Desain 9
Tabel 9.Analisis Faktor Desain 9.
Slow
2% 15% Organisasi terlambat melakukan adopsi untuk teknologi barunya.
adopter
12
Gambar 10.Design Factor 10.
Summary : Setelah melalui pengisian survey dan pengolahan data dapat kami simpulkan bahwa
analisis desain faktor di atas menghasilkan Governance and Management Objective Importance dari
rendah hingga ke tinggi. Berikut Diagram hasil analisis desain faktor.
13
14
APO13 - Managed Security
APO13.01 Establish and maintain an information security management system (ISMS).
Establish and maintain an information security management system (ISMS) that provides a standard, formal and continuous approach to information security
management, enabling secure technology and business processes that are aligned with business requirements.
Activitie Answ Capability
Description
s er Score Comment Evidence Level
Berdasarkan
dokumen Terdapat
penjelasan
mengenai
pengelolaan
Keamanan dan
Keselamatan 2
Perusahaan adalah
proses KD 37_2010_Pengelolaan
Define an ISMS in accordance with enterprise policy and the context in which
2 Yes 1 pengembangan dan Keamanan & Keselamatan
the enterprise operates.
pemeliharaan Perusahaan
kerangka kerja
yang didukung
oleh struktur serta
proses manajemen
untuk memastikan
bahwa strategi
Keamanan dan
Keselamatan
15
Perusahaan sejalan
dengan tujuan
bisnis Perusahaan,
sesuai dengan
peraturan yang
berlaku, melalui
pelaksanaan
kebijakan,
pengendalian
internal dan
penetapan
tanggung jawab
yang terintegrasi
ke dalam suatu
proses manajemen
Risiko;
Berdasarkan
dokumen
Pengelolaan
Keamanan terdapat KD 37_2010_Pengelolaan
Align the ISMS with the overall enterprise approach to the management of
3 Yes 1 pembahsan Keamanan & Keselamatan
security.
mengenai Perusahaan
keselarasan
manajemen
kemanan
Terdapat otoritas
16
Keamanan dan
Keselamatan
Perusahaan yang
efektif dan efisien.
Terdapat
penetapan tata
kelola security and
safety, kepatuhan
terhadap ruang
lingkup ISMS,
Penerapan
Rencana
Keamanan dan
Keselamatan
KD 37_2010_Pengelolaan
Prepare and maintain a statement of applicability that describes the scope of the Perusahaan melalui
5 Yes 1 Keamanan & Keselamatan
ISMS. kebijakan/ bisnis Perusahaan
proses/
prosedur kerja/
bentuk dokumen
lainnya dilakukan
Perusahaan
KD 37_2010_Pengelolaan
Terdapat peran dan Keamanan dan Keselamatan
Define and communicate Information security management roles and
6 Yes 1 tanggung jawab Perusahaan &
responsibilities.
stakeholder ISMS PR_146_tahun_2018_Standar_P
engelolaan Kontrol Akses
17
Sistem Informasi
APO13.02 Define and manage an information security and privacy risk treatment plan.
Maintain an information security plan that describes how information security risk is to be managed and aligned with enterprise strategy and enterprise architecture.
Activiti Answe Capability
Description
es r Score Comment Evidence Level
4 Provide input to the design and development of management Yes 1 Terdapat Pengelolaan PR_146_tahun_2018_Standar_Pengel
practices and solutions selected from the information security risk Akses ke Source Code olaan Kontrol Akses Sistem Informasi
18
treatment plan. Program
Terdapat program
Implement information security and privacy training and KD 37_2010_Pengelolaan Keamanan
5 Yes 1 pelatihan terkait
awareness programs. & Keselamatan Perusahaan
keamanan & keselamatan
19
APO13.03 Monitor and review the information security management system (ISMS).
Maintain and regularly communicate the need for, and benefits of, continuous improvement in information security.
Activitie Answe Capability
Description
s r Score Comment Evidence Level
4
Sistem harus dapat menyajikan
reporting untuk keperluan audit PR_146_tahun_2018_Standar_
2 Conduct ISMS audits at planned intervals. Yes 1 atau review, yang dilakukan oleh Pengelolaan Kontrol Akses
BPO, internal audit atau Sistem Informasi
eksternai audit.
Undertake a management review of the ISMS on a regular basis Terdapat identifikasi dan KD 37_2010_Pengelolaan
3 to ensure that the scope remains adequate and improvements in Yes 1 Perbaikan Keamanan dan Keselamatan
the ISMS process are identified. Kelemahan Sistem Keamanan Perusahaan
20
auditability dari sistem
pengendalian akses dan
effectiveness or performance of the ISMS. memungkinkan untuk tindak Sistem Informasi
lanjut yang sesuai dalam kasus
penyalahgunaan sistem.
21
Rekomendasi Aspek People
Practice- People Aspect
No Gap
Activity Type Potential Improvement
22
Melakukan meeting terhadap
inovasi baru terkait
Communication
penyambungan dengan
enterprise architecture
23
Rekomendasi Aspek Proses
Menetapkan kebijakan,
standar, dan pedoman
tentang bagaimana
Policy
organisasi melakukan
pengembangan strategi dan
perencanaan
Membuat tahapan
ISMS belum menjadi bagian penyelarasan ISMS dengan
2 APO13.02.2 Procedure enterprise architecture
daripada enterprise architecture
(penyusunan requirement
hingga keterkaitan artefak)
24
Laporan hasil evaluasi
Record penyelarasan ISMS dengan
enterprise architecture
Menambahkan kebijakan
Policy terkait pengukuran
efektivitas
Tools -
ISMS belum
menjadi bagian
2 APO13.02.2 daripada Feature -
enterprise
architecture
25
Belum adanya Tools Memerlukan Dashboard
pengukuran
yang akan
digunakan Feature Terdapat matriks untuk
untuk menilai pengukuran efektivitas, chart
APO13.02- efektivitas yang jelas, real time dan dapat
3
7 untuk diakses dari website oleh top
menghasilkan level management dan bagian
hasil yang bagian yang terkait
sebanding dan
dapat
direproduksi
Kesimpulan
26
evidence yaitu KD37_2010_Pengelolaan Keamanan & Keselamatan Perusahaan
danPR_146_tahun_2018_Standar_Pengelolaan Kontrol Akses Sistem Informasi. Perlu ada
improvement yang harus ditingkatkan berupa people aspect, process aspect dan technology
aspect.
27