LAPORAN ANALISIS PENGGUNAAN STANDAR ISO/IEC 27001:2013 PADA

APLIKASI TIX.ID

Disusun dalam rangka memenuhi salah satu tugas mata kuliah Manajemen Risiko IT

Dosen Pengampu:

Christina Juliane, DR, M.T.

Disusun Oleh :

Dena Nur Ainiyah

1120101019

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS TEKNIK

UNIVERSITAS WIDYATAMA

2022
 KATA PENGANTAR

Puji dan syukur penulis panjatkan kepada Allah Ta’ala karena karunianya penulis
dapat menyelesaikan Laporan mata kuliah Manajemen Risiko IT. Laporan ini berjudul
“Laporan Analisis Penggunaan ISO/IEC 27001:2013 Pada Aplikasi TIX.ID” diajukan sebagai
bukti telah memenuhi tugas mata kuliah Manajemen Risiko IT.

Penulis menyadari bahwa masih banyak kesalahan dalam penyusunan laporan ini,
maka dari itu penulis sangat mengharapkan kritik dan saran seluas-luasnya dari pembaca yang
kemudian akan penulis jadikan sebagai evaluasi. Semoga laporan saya ini dapat bermanfaat
bagi pembaca dan juga untuk penulis sendiri.

Bandung, 10 Desember 2022

Penulis

2
 DAFTAR ISI

BAB I PENDAHULUAN ....................................................................................................................4

1.1 Latar Belakang ....................................................................................................................4
1.2 Rumusan Masalah ...............................................................................................................5
1.3 Tujuan Penelitian ................................................................................................................5
1.4 Manfaat Penelitian ..............................................................................................................5
BAB II METODE PENELITIAN ......................................................................................................7
2.1 Metode Pengumpulan Data ................................................................................................7
2.2 Tahapan Penelitian ..............................................................................................................7
2.3 Klausul Pada ISO/IEC 27001:2013 ....................................................................................8
BAB III PEMBAHASAN ....................................................................................................................9
3.1 Metodologi Penilaian Risiko ...............................................................................................9
3.2 Pelaksanaan Penilaian Risiko ...........................................................................................12
BAB IV PENUTUP ............................................................................................................................20
4.1 Kesimpulan.........................................................................................................................20
4.2 Saran ...................................................................................................................................20
References ...........................................................................................................................................21

3
 BAB I PENDAHULUAN

1.1 Latar Belakang

Awal Mei 2020 jagat internet dihebohkan dengan pemberitaan sebuah
perusahaan e-commerce ternama di Indonesia mengalami kebocoran data. Setidaknya
ada 15 juta data berupa email dan nama akun yang diduga bocor dari platform tersebut.
Sebelumnya pada tahun 2107 juga pernah terjadi kasus serupa dimana 13 juta data
pribadi akun diambil dari platform e-commerce lainnya akibat dari kerentanan yang
ada di website platform tersebut. Sudah tidak jarang para pengguna mendapatkan
pesan singkat atau SMS berisi jasa peminjaman online maupun jasa ilegal akibat
bocornya data pengguna dari kelalaian jasa media online.

Berbagai standar untuk keamanan telah beredar secara internasional,

pemerintah juga ikut turut serta untuk membuat regulasi yang tepat untuk
mengamankan data penduduk indonesia. Di antara standar yang paling sering
digunakan adalah ISO/IEC 27001:2013.

ISO/IEC 27001:2013 merupakan ikon sertifikasi seri ISO/IEC 27000 terbaru

yang rilis pada tahun 2013. ISO/IEC 27001:2013 adalah sebuah dokumen standar
Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security
Management System (ISMS) yang memberikan kerangka tata kelola keamanan
informasi. Standar ini menyampaikan apa saja yang harus dilakukan oleh sebuah
organisasi atau enterprise dalam rangka mengimplementasikan konsep keamanan
informasi.

ISO/IEC 27001:2013 memiliki 114 kontrol keamanan informasi. Dari seluruh

kontrol tersebut, pada pelaksanaannya perusahaan dapat memilih kontrol yang paling
relevan dengan kondisi di lapangan. ISO/IEC 27001:2013 seperti ISO pada umumnya,
memiliki basis penilaian risiko dan aset pada tahapan awal untuk kemudian
dikembangkan lebih lanjut, dalam hal ini, sebagai kontrol keamanan informasi.
Namun penerapan ISO/IEC 27001:2013 kerap kali tidak tepat, hal inilah yang
menyebabkan masih banyaknya kerentanan dari platform jasa online di Indonesia.

Penerapan ruang lingkup ISO/IEC 27001:2013 yang tepat merupakan kunci

dari pengendalian kerentanan yang ada di Indonesia. Pengamanan yang baik tidak
4
 hanya dibatasi menggunakan alat keamanan yang canggih, tapi juga dari budaya yang
biasa dilakukan di Indonesia. Oleh karena itu, pada penelitian kali ISO/IEC
27001:2013 akan digunakan untuk penilaian dan pemetaan permasalahan keamanan
terhadap aset informasi pada aplikasi TIX.ID.

1.2 Rumusan Masalah

Berdasarkan latar belakang masalah yang telah dikemukakan diatas, maka
pokok permasalahan yang akan dibahas dalam penelitian ini adalah:

a. Apakah aplikasi TIX.ID mudah digunakan?

b. Apakah tampilan aplikasi TIX.ID mudah dipahami ?
c. Apakah metode pembayaran menggunakan DANA mudah digunakan?
d. Apakah aplikasi TIX.ID sering mengalami eror?
1.3 Tujuan Penelitian
Tujuan penelitian ini adalah mengelola kinerja perusahaan TIX.ID untuk dapat
menciptakan nilai dengan lebih baik melalui sistem pendukung keputusan berbasis TI,
maka perusahaan TIX.ID dapat mencapai sasaran strategisnya. Kerangka kerja tata
kelola TI akan membantu mengidentifikasi mekanisme yang diperlukan untuk
menciptakan nilai dan mengelola risiko yang terkait dengan TI.

1.4 Manfaat Penelitian

Berikut beberapa manfaat dari standar ISO/IEC 27001:2013 yang dijalani
secara tepat, yaitu:

• Memberikan sebuah keyakinan dan jaminan kepada klien atau pun mitra
dagang, bahwa perusahaan telah mempunyai sistem manajemen keamanan
informasi yang baik sesuai standar internasional. Selain itu, ISO/IEC
27001:2013 juga dapat digunakan untuk memasarkan perusahaan.
• Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi
terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau
gangguan.
• Penerapan ISO/IEC 27001:2013 terus meningkatkan keamanan informasi
perusahaan. Hal ini membantu perusahaan untuk lebih menentukan jumlah
keamanan yang tepat yang dibutuhkan untuk perusahaan.

5
 Dengan menerapkan ISO/IEC 27001:2013, data lebih terkendali dan
mengurangi kemungkinan adanya kebocoran data. Sangat sesuai dengan banyaknya
data yang ada di aplikasi TIX.ID dan mudah beradaptasi dengan teknologi yang ada.

6
 BAB II METODE PENELITIAN

2.1 Metode Pengumpulan Data

Teknik pengumpulan data adalah metode yang digunakan untuk menghimpun
data-data. Teknik pengumpulan data dapat dilakukan dengan 3 cara, yaitu sebagai
berikut:

1. Interview (wawancara)
2. Kuesioner (angket)
3. Observasi (pengamatan)

2.2 Tahapan Penelitian

Berdasarkan modul yang telah dibagikan. Tahapan penelitian menggunakan
ISO/IEC 27005 adalah sebagai berikut:

7
2.3 Klausul Pada ISO/IEC 27001:2013
ISO/IEC 27001:2013 dibagi dalam dua bagian yaitu Klausul & Annex A,
Standar ini menerapkan pendekatan umum plan-do-check-act sehingga akan akrab
bagi organisasi yang telah menerapkan standar ISO 9001, ISO 14001, ISO 45001 atau
standar lain yang telah menggunakan High Level Structure.

Secara umum, ISO/IEC 27001:2013 berisi panduan terkait Information

Security Management System (ISMS) yang meliputi kebijakan, prosedur, ataupun
kontrol lainnya, dalam upaya mengelola dan mengendalikan risiko keamanan data.

Dalam implementasi ISO/IEC 27001:2013, terdapat 14 kontrol dari Annex A

mengenai ISO/IEC 27001:2013, yaitu;

1. A.5: Information Security Policies

2. A.6: Organisation of Information Security
3. A.7: Human Resource Security
4. A.8: Asset Management
5. A.9: Access Control
6. A.10: Cryptography
7. A.11: Physical and Environmental Security
8. A.12: Operations Security
9. A.13: Communications Security
10. A.14: System Acquisition, Development and Maintenance
11. A.15: Supplier Relationships
12. A.16: Information Security Incident Management
13. A.17: Information Security Aspects of Business Continuity Management
14. A.18: Compliance

8
 BAB III PEMBAHASAN

3.1 Metodologi Penilaian Risiko

Data berhasil dikumpulkan melalui kuesioner yang dibagikan pada tanggal 10
Desember 2022 sampai dengan 11 Desember 2022 mencapai 36 responden. Hasil
kuesioner dapat dilihat pada Gambar dibawah ini.

Kuesioner diatas terdiri dari 5 (lima) pertanyaan yang diajukan kepada

responden. Pertanyaan yang diajukan berdasarkan risiko pada aplikasi TIX.ID. Berikut
ini beberapa pertanyaan di kuesioner.

9
10
11
3.2 Pelaksanaan Penilaian Risiko
3.2.1 Penetapan Konteks

Penetapan konteks dibagi menjadi 2 (dua) konteks yakni, konteks internal dan
eksternal. Konteks internal mencakup ruang lingkup perusahaan TIX.ID, sedangkan
konteks eksternal berasal dari pihak ketiga diluar ruang lingkup perusahaan TIX.ID.

Tabel 1. Penetapan konteks pada aplikasi TIX.ID

No. Komponen Sistem Ruang Lingkup Batasan

Informasi
1. Komponen Technoware Internal Software, Hardware
2. Komponen Infoware Internal dan Eksternal Data, Informasi
3. Komponen Organiware Internal Prosedur
4. Komponen Humanware Internal dan Eksternal Manusia

3.2.2 Analisis Risiko

Pada tahapan analisis risiko terdiri dari identifikasi risiko, estimasi risiko, dan
evaluasi risiko.

3.2.2.1 Identifikasi Risiko

Tahap identifikasi risiko mencakup identifikasi aset, identifikasi

ancaman dan identifikasi kerentanan. Berikut ini daftar aset yang telah
teridentifikasi secara global.

Tabel 2. Daftar aset global

Aset ID Nama Aset

A1 Berkas Dokumen Sertifikat Pertanahan dan Peta Pertanahan
A2 Data Digital Dokumen Sertifikat Pertanahan dan Peta
Pertanahan
A3 Program Larasita
A4 Database OLTP BPN, Warehouse Database OLAP, dan
Database Konsolidasi
A5 Hardware
A6 Software
A7 Lingkungan Situs

12
Aset ID Nama Aset
A8 Jaringan
A9 Pegawai
A10 Organisasi

Berdasarkan tabel diatas, maka akan dilakukan identifikasi aset dengan

memberikan Aset ID pada risiko berdasarkan daftar aset global.

Tabel 3. Identifikasi aset pada aplikasi TIX.ID

No. Aset ID Nama Aset

1. A4 Database
2. A5 Hardware
3. A6 Software
4. A10 Organisasi

Tabel 4. Identifikasi ancaman pada aplikasi TIX.ID

No. Aset ID Nama Aset Ancaman

1. A4 Database • Informasi kurang akurat
• Layanan terbatas
2. A5 Hardware • Proses pemeliharaan perangkat lunak
kurang optimal
• Server down
3. A6 Software • Proses maintenance tak terjadwal
• Update sistem terlambat
• Web service tidak berjalan dengan baik
4. A10 Organisasi • Prosedur rumit
• Standar operasional tidak berjalan dengan
baik

Tabel 5. Identifikasi kerentanan pada aplikasi TIX.ID

13
No. Aset ID Nama Aset Kerentanan
1. A4 Database Kesalahan data pribadi dan kebocoran data
pengguna
2. A5 Hardware Kerusakan pada sistem menyebabkan gangguan
pada server
3. A6 Software Aplikasi eror dan tidak bisa digunakan
4. A10 Organisasi Penetapan prosedur gagal dilakukan

3.2.2.2 Estimasi Risiko

Tahap estimasi risiko berisi penilaian kemungkinan dan penilaian

konsekuensi serta tingkat estimasi risiko pada aplikasi TIX.ID. Penilaian
kemungkinan dan penilaian konsekuensi sebelumnya telah dijelaskan pada bab
konsep risiko.

Tabel 6. Penilaian probabilitas dan konsekuensi

Probabilitas Konsekuensi
H / 10 M/4 L/1
H / 10 H / 100 H / 40 M / 10
M/4 H / 40 M / 16 L/4
L/1 M / 10 L/4 L/1

Berdasarkan tabel diatas, maka estimasi risiko pada aplikasi TIX. ID

adalah sebagai berikut.

Tabel 7. Estimasi risiko pada aplikasi TIX.ID

No. Aset ID Risiko Probabilitas Konsekuensi Estimasi

(P) (C)
1. A4 Aplikasi TIX.ID M/4 M/4 M / 16
memiliki sedikit
tayangan film
2. A5 Aplikasi TIX.ID sering M/4 H / 10 H / 40
eror

14
No. Aset ID Risiko Probabilitas Konsekuensi Estimasi
(P) (C)
3. A6 Aplikasi TIX.ID sulit M/4 H / 10 H / 40
digunakan
4. A6 Tampilan aplikasi M/4 H / 10 H / 40
TIX.ID sulit dipahami
5. A10 Aplikasi TIX.ID M/4 M/4 M / 16
memiliki biaya layanan
terlalu besar

3.2.2.3 Evaluasi Risiko

Berikut ini evaluasi risiko pada aplikasi TIX.ID

Tabel 8. Evaluasi risiko pada aplikasi TIX.ID

No. Aset Nama Risiko Probabilitas Konsekuensi Estimasi

ID Aset (P) (C)
1. A4 Database Aplikasi M/4 M/4 M / 16
TIX.ID
memiliki sedikit
tayangan film
2. A5 Hardware Aplikasi M/4 H / 10 H / 40
TIX.ID sering
eror
3. A6 Software Aplikasi M/4 H / 10 H / 40
TIX.ID sulit
digunakan
4. A6 Software Tampilan M/4 H / 10 H / 40
aplikasi TIX.ID
sulit dipahami
5. A10 Organisasi Aplikasi M/4 M/4 M / 16
TIX.ID
memiliki biaya

15
 No. Aset Nama Risiko Probabilitas Konsekuensi Estimasi
ID Aset (P) (C)
layanan terlalu
besar

3.2.3 Penilaian Risiko

Penilaian risiko menghasilkan daftar risiko yang akan dinilai berdasarkan

kuesioner yang telah dibagikan kepada 36 responden. Penilaian dilakukan dengan
menghitung frekuensi risiko dan skala risiko.

Rentang frekuensi didapatkan dari hasil pembagian jumlah responden dengan 3

(tiga) level risiko (low, moderate, high), sehingga menghasilkan rentang frekuensi
yakni sebesar 12.

Tabel 9. Frekuensi dan rentang frekuensi

Frekuensi Rentang Frekuensi Level Risiko

1 1 - 12 Low
2 13 - 25 Moderate
3 26 - 39 High

Pada penelitian ini juga diperoleh rentang skala sebesar 33%. Rentang skala
dapat dilihat pada tabel dibawah ini.

Tabel 10. Skala dan rentang skala

Skala Rentang Skala Level Risiko

1 1% - 33% Low
2 34% - 67% Moderate
3 68% - 100% High

Setelah menentukan rentang frekuensi dan rentang skala, maka kemudian

penulis menentukan tingkat risiko. Berikut ini tingkat risiko yang dibagi kedalam 3
(tiga) tingkat.

16
 Tabel 11. Tingkat risiko

Nilai Tingkat Risiko

1-3 Low
4 - 10 Moderate
11 - 16 High

Kemudian, menentukan klausa dan kontrol berdasarkan ISO/IEC 27001:2013

serta frekuensi dan skala yang didapatkan. Berikut ini tingkat risiko pada aplikasi
TIX.ID.

Tabel 12. Hasil penilaian risiko

Klausa Kontrol Risiko Frekuensi Skala Tingkat

Risiko
A.8 Asset A.8.2 Aplikasi 2/M 2/M 4/M
Management Information TIX.ID
Classification memiliki
sedikit
tayangan film
A.12 A.12.3 Aplikasi 2/M 2/M 4/M
Operations Backup TIX.ID sering
Security eror
A.12 A.12.5 Control Aplikasi 2/M 2/M 4/M
Operations of Operational TIX.ID sulit
Security Software digunakan
A.12 A.12.5 Control Tampilan 2/M 2/M 4/M
Operations of Operational aplikasi
Security Software TIX.ID sulit
dipahami
A.12 A.12.1 Aplikasi 2/M 2/M 4/M
Operations Operational TIX.ID
Security Procedures and memiliki biaya
Responsibilities

17
 Klausa Kontrol Risiko Frekuensi Skala Tingkat
Risiko
layanan terlalu
besar

3.2.4 Penanganan Risiko

Penanganan risiko dilakukan dengan memberikan respon risiko (accept, avoid,

mitigate, dan transfer) serta penanganan risiko berupa tindakan yang harus diambil oleh
perusahaan berdasarkan Aset ID yang sebelumnya telah ditetapkan.

Tabel 13. Penanganan risiko pada aplikasi TIX.ID

Klausa Kontrol Risiko Tingkat Respon Penanganan Risiko

Risiko Risiko
A.8 Asset A.8.2 Aplikasi 4/M Mitigate • Menambah jumlah
Management Information TIX.ID tayangan film
Classification memiliki • Menjalin kerja sama
sedikit dengan berbagai
tayangan pihak
film
A.12 A.12.3 Aplikasi 4/M Mitigate • Melakukan
Operations Backup TIX.ID pemeliharaan sistem
Security sering eror secara berkala
• Menyelesaikan
masalah dengan
kebijakan
manajemen risiko
A.12 A.12.5 Control Aplikasi 4/M Accept • Melakukan
Operations of Operational TIX.ID perbaikan sistem
Security Software sulit • Menyelesaikan
digunakan masalah dengan
kebijakan
manajemen risiko

18
 Klausa Kontrol Risiko Tingkat Respon Penanganan Risiko
Risiko Risiko
A.12 A.12.5 Control Tampilan 4/M Transfer • Memperbaharui
Operations of Operational aplikasi tampilan aplikasi
Security Software TIX.ID sesuai dengan
sulit kebutuhan
dipahami pengguna
• Memperbaiki fitur
yang sulit
digunakan
A.12 A.12.1 Aplikasi 4/M Transfer • Mengurangi biaya
Operations Operational TIX.ID layanan yang
Security Procedures and memiliki dibebankan kepada
Responsibilities biaya pengguna
layanan • Mengalihkan biaya
terlalu layanan sesuai
besar dengan kebijakan
manajemen risiko

19
 BAB IV PENUTUP

4.1 Kesimpulan
Kesimpulan manajemen risiko teknologi informasi pada aplikasi TIX.ID
dengan menggunakan ISO/IEC 27001:2013 serta kuesioner yang dibagikan kepada 36
responden pengguna aplikasi TIX.ID. pada penelitian ini diketahui bahwa aplikasi
TIX.ID memiliki tingkat risiko yang masih tergolong sedang.

4.2 Saran
Saran pada penelitian ini adalah perusahaan dapat melakukan perbaikan dari sisi
kepuasan pengguna seperti menambah fitur yang lebih berguna untuk mendapatkan
lebih banyak kepuasan untuk meningkatkan kualitas pada aplikasi TIX.ID.

20
References

[1] I. D. P. Angraini, "ANALISA PENGELOLAAN RISIKO PENERAPAN TEKNOLOGI

INFORMASI MENGGUNAKAN ISO 31000," Jurnal Ilmiah Rekayasa dan Manajemen
Sistem Informasi, Vols. Vol. 3, No. 2, pp. 70-76, Agustus 2017.

[2] R. E. G. Fajar Ilham Satria Yudha, "RISK ASSESSMENT PADA MANAJEMEN

RESIKO KEAMANAN INFORMASI MENGACU PADA BRITISH STANDARD
ISO/IEC 27005 RISK MANAGEMENT," Jurnal Algoritma, p. 340, 2016.

[3] A. Q. R. B. A. P. W Yustanti, "Strategi Identifikasi Resiko Keamanan Informasi Dengan

Kerangka Kerja ISO 27005:2018," (Journal Information Engineering and Educational
Technology), vol. Volume 03 Nomor 02.

[4] A. A. M. N. A. A. Syukron Salahuddin, "IDENTIFIKASI RISIKO KEAMANAN

INFORMASI MENGGUNAKAN ISO 27005 PADA SEBUAH PERGURUAN TINGGI
SWASTA DI SURABAYA".

21