ANALISIS MANAJEMEN RISIKO KEAMANAN LAYANAN

ONLINE DISDUKCAPIL PONTIANAK MENGGUNAKAN

NIST SP 800-30 REV 1 DAN ISO/IEC 27001:2013

LITA NOVITASARI
H1101191058

USULAN PENELITIAN

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM
UNIVERSITAS TANJUNGPURA
PONTIANAK
2023
I. Pendahuluan
1.1 Latar Belakang
Dalam era digitalisasi yang berkembang seperti sekarang ini, teknologi
informasi menjadi hal yang sangat penting dan tidak terpisahkan dari aktivitas
bisnis, organisasi, maupun masyarakat umum, sehingga membuat berbagai sektor
seperti pendidikan, kesehatan, lingkungan bahkan transportasi mulai menggunakan
teknologi informasi dengan mendukung tujuan, visi dan misi pada organisasi.
Dalam operasionalnya, teknologi informasi memiliki peran yang sangat penting
dalam menunjang kelancaran bisnis dan keberlangsungan organisasi (Putri et al.,
2022).
Penggunaan teknologi informasi yang semakin luas juga memiliki risiko
besar yang perlu dikelola dengan baik khususnya keamanan informasi. Banyak
faktor yang mempengaruhi hal tersebut, antara lain adalah kurangnya pemahaman
tentang risiko yang terkait dengan penggunaan teknologi informasi, kurangnya
sumber daya, dan minimnya dukungan dari manajemen organisasi. Hal ini menjadi
tantangan bagi organisasi untuk mewujudkan manajemen risiko teknologi
informasi dengan benar. Terlebih lagi kebijakan yang semakin ketat dan rumit
terkait dengan perlindungan data pribadi di Indonesia menuntut perusahaan,
organisasi maupun instandi pemerintah untuk memperhatikan hal ini secara serius.
Salah satu contoh instansi pemerintah adalah Dinas Kependudukan dan
Pencatatan Sipil ( DISDUKCAPIL ) Kota Pontianak. DISDUKCAPIL Kota
Pontianak berperan melakukan tugas-tugas administratif terkait pemerintahan
daerah dan pelayanan masyarakat terkait kependudukan dan pencatatan sipil.
Dalam kegiatan operasional sehari-hari DISDUKCAPIL Pontianak memanfaatkan
teknologi informasi khususnya pada penggunaan sistem informasi Pendaftaran
Antrian dan Pelayanan Online. Pendaftaran Antrian dan Pelayanan Online adalah
sebuah sistem yang digunakan DISDUKCAPIL untuk memudahkan proses
pendaftaran dan memberikan layanan administrasi kependudukan dan pencatatan
sipil kepada masyarakat secara online. Sistem ini memungkinkan masyarakat untuk
mendaftar secara online tanpa perlu mengantri dan pemberian layanan yang
dilakukan secara online. Penggunaan teknologi informasi dalam kegiatan
pendaftaran dan layanan online telah menjadi hal yang umum dan menjadi
kebutuhan penting dalam mempercepat dan mempermudah akses publik terhadap
layanan publik. DISDUKCAPIL sebagai lembaga pemerintah yang bertanggung
jawab untuk mengelola data kependudukan serta memberikan layanan publik
berkaitan dengan data tersebut, harus memastikan bahwa data pribadi yang
dikumpulkan selama proses pendaftaran dan layanan online aman dan terlindungi
dari ancaman keamanan yang mungkin terjadi. Sistem ini merupakan aset yang
sangat penting bagi DISDUKCAPIL Kota Pontianak, hanya saja masih terdapat
permasalahan seperti server down sehingga dapat menghambat kegiatan
operasional. Selain permasalahan di atas juga terdapat berbagai kemungkinan risiko
yang dapat mengancam sistem informasi ini. Karena data tersebut sangat berharga,
maka diperlukan penerapan manajemen risiko keamanan informasi yang efektif dan
tindakan mitigasi risiko yang disarankan. Manajemen risiko keamanan informasi
adalah suatu proses yang digunakan untuk mengidentifikasi, mengevaluasi,
meminimalkan, dan mengontrol risiko di dalam organisasi, yang membantu para
pemimpin dalam membuat keputusan dan merencanakan strategi untuk mengelola
risiko dengan menggunakan sumber daya yang tersedia.
Dalam penerapan manajemen risiko keamanan informasi, digunakan
kerangka kerja NIST 800-300 Rev 1 yang merupakan suatu panduan dalam
memahami proses tahapan manajemen risiko yang memiliki detail dalam
melakukan assessment dan memberikan rekomendasi kontrol yang luas . Selain itu,
digunakan juga Standar Internasional ISO/IEC 27001:2013 untuk mengelola risiko
keamanan informasi yang disesuaikan dengan kebutuhan organisasi.
Berdasarkan penjelasan di atas, maka perlu dilakukan penelitian untuk
menerapkan manajemen risiko keamanan informasi dengan menggunakan metode
NIST 800-30 Rev 1 dan didukung oleh ISO/IEC 27001:2013 pada studi kasus
Website Pendaftaran Antrian dan Pelayanan Online di DISDUKCAPIL. Penelitian
ini diharapkan dapat membantu DISDUKCAPIL Pontianak dalam meminimalkan
risiko dan meningkatkan keamanan informasi dengan cara yang lebih efektif dan
efisien (Putri et al., 2022).
1.2 Rumusan Masalah
Rumusan masalah dari penelitian “ ANALISIS MANAJEMEN RISIKO
KEAMANAN LAYANAN ONLINE DISDUKCAPIL PONTIANAK
MENGGUNAKAN NIST SP 800-30 REV 1 DAN ISO/IEC 27001:2013 (Studi
Kasus : Website Pendaftaran Antrian dan Pelayanan Online Disdukcapil Kota
Pontianak) ” yaitu :
1. Bagaimana mengidentifikasi aset-aset informasi pada Website Pendaftaran
Antrian dan Pelayanan Online di DISDUKCAPIL Kota Pontianak?
2. Bagaimana solusi yang dapat diterapkan untuk mengatasi risiko keamanan
pada Website Pendaftaran Antrian dan Pelayanan Online di DISDUKCAPIL
Kota Pontianak?
3. Bagaimana cara untuk mengurangi risiko yang telah teridentifikasi pada tahap
penilaian risiko keamanan dalam Webiste Pendaftaran Antrian dan Pelayanan
Online di DISDUKCAPIL Kota Pontianak?
1.3 Tujuan Penelitian
Dari rumusan masalah yang telah dijabarkan sebelumnya, maka tujuan
penelitian ini adalah sebagai berikut
1. Mengidentifikasi aset-aset informasi dengan menilai risiko menggunakan
kerangka kerja NIST SP 800-30
2. Merancang dan mendeskripsikan langkah-langkah manajemen risiko
keamanan informasi pada Pendaftaran Antrian dan Pelayanan Online
menggunakan kerangka kerja NIST SP 800-30
3. Mendeskripsikan rekomendasi mitigasi keamanan pada Pendaftaran
Antrian dan Pelayanan Online berdasarkan ISO/IEC 27001:2013
1.4 Batasan Penelitian
Untuk memfokuskan dan mengorganisir penelitian dengan lebih baik, telah
ditetapkan batasan-batasan masalah pada pelaksanaannya. Berikut adalah beberapa
batasan masalah yang menjadi fokus penelitian..
1. Penelitian ini berfokus pada manajemen risiko keamanan Website
Pendaftaran Antrian dan Pelayanan Online di DISDUKCAPIL Kota
Pontianak yang bisa diakses di https://online.disdukcapil.pontianak.go.id/
 2. Melakukan penilaian risiko keamanan pada Website Pendaftaran Antrian
dan Pelayanan Online menggunakan kerangka kerja NIST SP 800-30
3. Membuat rekomendasi mitigasi risiko keamanan pada Pendaftaran Antrian
dan Pelayanan Online berdasarkan ISO/IEC 27001:2013

1.5 Manfaat Penelitian

Diharapkan bahwa penelitian ini akan menghasilkan manfaat seperti yang
tertera di bawah ini.
1. Bagi DISDUKCAPIL Kota Pontianak
Memberikan informasi mengenai pentingnya manajemen risiko keamanan
informasi, dan dapat dijadikan sebagai referensi bagi Dinas Kependudukan
dan Pencatatan Sipil Kota Pontianak dalam meningkatkan keamanan
informasi serta mengatasi permasalahan manajemen risiko yang mungkin
terjadi baik saat ini maupun di masa depan.
2. Bagi Peneliti
Meningkatkan pengetahuan dan memperluas pemahaman di bidang
keamanan informasi, serta memberikan gambaran praktis mengenai proses
manajemen risiko keamanan pada layanan Pendaftaran Antrian dan
Pelayanan Online di DISDUKCAPIL Kota Pontianak.
3. Bagi Bidang Keamanan Informasi
Hasil penelitian ini diharapkan dapat menjadi dokumen referensi dan
rekomendasi pada penelitian selanjutnya mengenai manajemen risiko
keamanan informasi
II. Studi Literatur
2.1 Dasar Teori
2.1.1 Aset Informasi
Aset informasi adalah data atau informasi yang memiliki nilai bagi
organisasi dan disimpan dengan cara tertentu yang membutuhkan biaya, keahlian,
waktu, sumber daya dan kombinasi dari semuanya. Aset informasi juga tidak
mudah diganti dan dianggap penting bagi kelangsungan organisasi (Ranti &
Wicaksono, 2012).
2.1.2 Manajemen Risiko
Manajemen risiko adalah serangkaian tindakan untuk mengelola risiko yang
dapat mengancam kelangsungan usaha atau aktivitas perusahaan, meliputi
identifikasi, evaluasi, dan pengendalian risiko tersebut(Lembah Mahersmi dkk.,
2016). Tujuannya adalah untuk mengurangi kemungkinan terjadinya risiko dan
meminimalkan dampak negatif yang mungkin terjadi jika risiko tersebut tetap
terjadi.
2.1.3 Keamanan Informasi
Keamanan informasi merupakan serangkaian upaya yang dilakukan untuk
melindungi aset informasi dari berbagai ancaman yang mungkin datang, dengan
tujuan memastikan kelangsungan bisnis dan meminimalkan dampak negatif yang
dapat terjadi akibat dari ancaman tersebut (Lembah Mahersmi dkk., 2016).
2.1.4 NIST 800-30 Revisi 1
NIST 800-30 merupakan sebuah kerangka kerja terstandarisasi yang
digunakan untuk pengukuran risiko teknologi informasi oleh Pemerintah Pusat
Amerika Serikat. Dalam NIST 800-30, proses manajemen risiko terbagi ke dalam
3 tahapan yaitu penilaian risiko, peringanan risiko dan evaluasi risiko. Hasil akhir
dari proses ini berupa rekomendasi untuk meminimalkan risiko pada sistem
informasi (Izatri dkk., 2020). Tahapan penilaian risiko berdasarkan NIST 800-30
yaitu (Syafitri, 2016)
1. System Characterization
 Dalam tahapan ini, perlu dilakukan identifikasi terhadap batasan-batasan
dari sistem teknologi informasi yang meliputi sumber daya dan informasi.
2. Threat Identification
Pertimbangan dilakukan terhadap kemungkinan munculnya ancaman,
dengan memperhatikan faktor-faktor seperti sumber ancaman, potensi
kerentanan, serta kontrol keamanan yang telah tersedia.
3. Vulnerability Identification
Identifikasi kerentanan dilakukan untuk mengembangkan daftar
kerentanan sistem yang dapat dimanfaatkan pada tahapan selanjutnya.
4. Control Analysis
Dilakukan analisis terhadap kontrol keamanan yang telah atau akan
dilaksanakan oleh organisasi untuk meminimalkan atau menghilangkan
kemungkinan pengembangan dari ancaman.
5. Likelihood Determination
Rangking potensi kerentanan dapat dilakukan di lingkungan yang relevan
dengan kerentanan tersebut, dengan mempertimbangkan faktor-faktor
seperti ancaman (sumber dan kemampuan), karakteristik kerentanan, serta
keberadaan dan efektivitas kontrol yang telah diterapkan.
6. Impact Analysis
Tahapan ini berfungsi untuk menentukan konsekuensi negatif yang
muncul apabila kerentanan tersebut dieksploitasi dengan berhasil.
7. Risk Determination
Pada tahap ini dilakukan evaluasi tingkat risiko pada sistem teknologi
informasi.
8. Control Recommendations
Tahap ini mengevaluasi kontrol yang dapat mengurangi atau
menghilangkan risiko yang telah diidentifikasi. Rekomendasi kontrol
sebaiknya dapat mengurangi risiko pada sistem dan data teknologi
informasi hingga pada tingkat risiko yang dapat diterima.
9. Results Documentation
 Tahap ini melibatkan pembuatan laporan hasil penilaian risiko yang
mencakup sumber ancaman, kerentanan, risiko yang telah dinilai, serta
rekomendasi kontrol yang disarankan.
2.1.5 ISO/IEC 27001:2013
ISO/IEC 27001:2013 adalah standar internasional yang membahas tentang
sistem manajemen keamanan informasi (Information Security Management
System/ISMS). Standar ini diterbitkan oleh International Organization for
Standardization (ISO) dan International Electrotechnical Commission (IEC).
SMKI sendiri merupakan sebuah metode yang terstruktur dalam mengelola
informasi penting dari sebuah lembaga dengan tujuan untuk menjaga keamanan
informasi tersebut. Proses manajemen risiko mencakup orang, sistem, dan
teknologi informasi dalam penerapannya. Ini berarti bahwa dalam proses
manajemen risiko, semua aspek tersebut dianggap dan dievaluasi secara holistik
untuk memastikan keamanan informasi yang dikelola (Goeritno et al., n.d.). ISO
27001:2013 juga ini memiliki 10 struktur standar dan daftar kontrol yang terdiri
dari information security policies (kebijakan keamanan informasi) sampai dengan
compliance (kepatuhan) (Yulianti et al., 2018).
2.1.6 Information System Design Science and Reseacrh
Framework Hevner, juga dikenal sebagai Design Science and Research
(Information System/IS), merupakan suatu kerangka kerja yang umunya digunakan
dalam penelitian IS. Framework Hevner adalah sebuah kerangka kerja konseptual
yang digunakan untuk memahami, melaksanakan, dan mengevaluasi penelitian IS
yang menggabungkan paradigma behavior-science dan design-science. Terdiri dari
tiga komponen, yaitu Environment, IS Research dan Knowlegde Base. Komponen
Environment mendefinisikan lingkungan masalah yang meliputi tujuan, tugas,
masalah dan peluang yang dihadapi oleh stakeholder dalam organisasi, yang
menentukan kebutuhan bisnis. Tahap-tahap dalam penelitian dijelaskan oleh IS
Reserch, sementara Knowledge Base merupakan dasar pengetahuan dan
metodologi yang digunakan dalam penelitian. Tiga komponen ini harus saling
terkait, di mana komponen dari Environment harus sesuai dengan IS Research dan
komponen Knowlegde Base harus diterapkan secara ketat terhadap IS Research
(Nurul Mutiah, Theresia Meiriati, 2020)

Gambar 2.1 Framework Hevner (Hevner et al., 2004)

2.2 Tinjauan Pustaka

Kajian pustaka menjadi salah satu acuan bagi penulis untuk melakukan
penelitian, tinjauan pustaka merupakan referensi jurnal penelitian sejenis yang telah
dilakukan oleh peneliti lainnya sebelumnya.
Tabel 2.1 Tinjauan Pustaka

No Penelitian Isi

1 Judul Penelitian Penilaian Risiko Sistem Informasi Keamanan Data

Karyawan Dengan Menggunakan Framework Nist Sp
800-30 pada Perusahaan XYZ Institut Teknologi
Nasional Bandung (Syafitri, 2016)
Tahun 2022
Metode Penelitian NIST SP 800-30
 Hasil Penelitian Dalam proses penilaian risiko pada sistem informasi,
telah diidentifikasi berbagai ancaman yang kemudian
dikelompokkan ke dalam kategori tertentu dengan
tingkat risiko yang berbeda-beda. Setelah dilakukan
penilaian risiko, diperoleh rekomendasi kontrol yang
disarankan untuk mengatasi ancaman risiko yang telah
teridentifikasi. Berdasarkan hasil tersebut, risiko
rendah ditemukan sebanyak 29%, sedangkan risiko
sedang ditemukan sebanyak 71%, dan tidak
ditemukan risiko tinggi.
Persamaan - Merupakan topik manajemen risiko keamanan
informasi
- Menggunakan metode NIST SP 800-30
Perbedaan - Studi kasus yang berbeda
- Tidak menggunaka n metode ISO 27001:2013
2 Judul Penelitian Analisa Manajemen Risiko E-Learning Edlink
Menggunakan Metode NIST SP 800-30 Revisi 1
(Putro et al., 2021)
Tahun 2021
Metode Penelitian NIST SP 800-30
Hasil Penelitian Berdasarkan hasil penelitian yang telah dilakukan
dapat diketahui terdapat tujuh risiko dengan rincian
tiga tingkat very high dan empat tingkat high. Peneliti
telah memberikan tujuh rekomendasi kontrol untuk
risiko dengan tingkat very high dan high.
Persamaan - Merupakan topik manajemen risiko keamanan
informasi
- Menggunakan metode NIST SP 800-30
Perbedaan - Studi kasus yang berbeda
- Tidak menggunakan metode ISO 27001:2013
3 Judul Penelitian Analisis Manajemen RisikoKeamanan Sistem
Informasi pada BKPSDM Kota Batu menggunakan
Kerangka Kerja OCTAVE-S dan ISO
27001:2013(Studi Kasus: Aplikasi E-Kinerja)
(Nurfadilah et al., 2020)
Tahun 2020
Metode Penelitian Kerangka Kerja OCTAVE-S dan ISO 27001:2013
Hasil Penelitian Hasil penelitian didapatkan 3 area praktik keamanan
yang memiliki status yellow stoplight yaitu
pengendalian akses fisik dan manajemen kerentanan.
Serta 3 area praktik keamanan yang memiliki status
red stoplight yaitu peraturan dan kebijakan keamanan,
autentikasi dan otorisasi, dan manajemen kerentanan.
Enamarea praktik keamanan tersebut dipilih sebagai
area untuk dilakukan mitigasi. Serta pemberian
kontrol berdasarkan standar ISO 27001:2013 agar
dapat digunakan sebagai pedoman BKPSDM Kota
Batu dalam melakukan perbaikan.
Persamaan - Merupakan topik manajemen risiko keamanan
informasi
- Menggunakan metode ISO 27001:2013
Perbedaan - Studi kasus yang berbeda
- Tidak menggunakan metode NIST SP 800-30
III. Metodologi Penelitian
3.1 Kerangka Kerja Penelitian
Penelitian ini menggunakan metodologi Information System Design Science
and Research atau yang dikenal dengan metodologi Is Research sebagai acuan
untuk penelitian ini dari awal hingga akhir, metodologi ini mengharuskan sebuah
sistem informasi memiliki dua sisi yang relevan antara pengetahuan dan
lingkungannya.

Gambar 3.1 Kerangka Kerja Penelitian

 DAFTAR PUSTAKA
Fti-, D., Susanto, A. N., & Fitrianti Fahrudin, N. (t.t.). Penilaian Risiko Keamanan
Data Karyawan Pada Sistem Informasi Dengan Menggunakan Framework
Nist Sp 800-30 pada Perusahaan XYZ Penilaian Risiko Sistem Informasi
Keamanan Data Karyawan Dengan Menggunakan Framework Nist Sp 800-
30 pada Perusahaan XYZ Institut Teknologi Nasional Bandung.
Izatri, D. I., Rohmah, N. I., & Dewi, R. S. (2020). Identifikasi Risiko pada
Perpustakaan Daerah Gresik dengan NIST SP 800-30. JURIKOM (Jurnal
Riset Komputer), 7(1), 50. https://doi.org/10.30865/jurikom.v7i1.1756
Lembah Mahersmi, B., Artowini Muqtadiroh, F., & Cahyo Hidayanto, B. (2016).
PADA DISHUBKOMINFO KABUPATEN TULUNGAGUNG. Dalam
Seminar Nasional Sistem Informasi Indonesia.
Nurfadilah, D. R., Hayuhardhika, W., Putra, N., & Rachmadi, A. (2020). Analisis
Manajemen Risiko Keamanan Sistem Informasi pada BKPSDM Kota Batu
menggunakan Kerangka Kerja OCTAVE-S dan ISO 27001:2013 (Studi Kasus:
Aplikasi E-Kinerja) (Vol. 4, Nomor 9). http://j-ptiik.ub.ac.id
Syafitri, W. (2016). Penilaian Risiko Keamanan Informasi Menggunakan Metode
NIST 800-30 (Studi Kasus: Sistem Informasi Akademik Universitas XYZ).
Dalam Jurnal CoreIT (Vol. 2, Nomor 2).

Goeritno, A., Hendri Hendrawan, A., Bogor Jl Sholeh Iskandar KM, K. K., Badak,
K., Sereal, T., Bogor, K., & Barat, J. (n.d.). UNTUK SISTEM MANAJEMEN
KEAMANAN INFORMASI (SMKI) PADA FAKULTAS TEKNIK UIKA-
BOGOR.
Hevner, A. R., March, S. T., Park, J., & Ram, S. (2004). Essay in Information
Design Science systems. Management Information Systems, 28(1), 75–105.
Nurfadilah, D. R., Hayuhardhika, W., Putra, N., & Rachmadi, A. (2020). Analisis
Manajemen Risiko Keamanan Sistem Informasi pada BKPSDM Kota Batu
menggunakan Kerangka Kerja OCTAVE-S dan ISO 27001:2013 (Studi Kasus:
Aplikasi E-Kinerja) (Vol. 4, Issue 9). http://j-ptiik.ub.ac.id
Nurul Mutiah, Theresia Meiriati, A. S. S. (2020). Tata Kelola Manajemen Aset Ti
Menggunakan Framework Cobit 5 Dan Itam. Coding Jurnal Komputer Dan
Aplikasi, 8(2). https://doi.org/10.26418/coding.v8i2.41264
Putri, T. S., Mutiah, N., & Prawira, D. (2022). ANALISIS MANAJEMEN RISIKO
KEAMANAN INFORMASI MENGGUNAKAN NIST CYBERSECURITY
FRAMEWORK DAN ISO/IEC 27001:2013 (Studi Kasus: Badan Pusat
Statistik Kalimantan Barat) 1Tasha. Coding : Jurnal Komputer Dan Aplikasi,
10(2), 237–248.
Putro, A. A., Ambarwati, A., Setiawan, E., Rahman, J. A., & 51 Surabaya, H. N.
(2021). Analisa Manajemen Risiko E-Learning Edlink Menggunakan Metode
NIST SP 800-30 Revisi 1. Jurnal Teknologi Dan Informasi (JATI), 11(2).
https://doi.org/10.34010/jati.v11i2
Ranti, B., & Wicaksono, M. T. (2012). Kajian Profilisasi Aset Informasi
Menggunakan Information Asset Profiling Dan Kuantifikasi Nilai
Ekonomisnya Berdasarkan Analisis Risiko Pada Industri Rumah Sakit. Jurnal
Sistem Informasi, 7(2), 88. https://doi.org/10.21609/jsi.v7i2.298
Syafitri, W. (2016). Penilaian Risiko Keamanan Informasi Menggunakan Metode
NIST 800-30 (Studi Kasus: Sistem Informasi Akademik Universitas XYZ). In
Jurnal CoreIT (Vol. 2, Issue 2).
Yulianti, A., Rudianto, C., & Wijaya, A. F. (2018). Analisis dan Perancangan Tata
Kelola Persandian Pengamanan Informasi Menggunakan Standar ISO
27001:2013 (Studi Kasus di Diskominfo Kota Salatiga). In Jurnal Sistem
Informasi Indonesia (JSII) (Vol. 3, Issue 1).