Usulan Evaluasi Sistem Keamanan Informasi Berdasarkan Standar ISO 270012013 Pondok Kafila International Islamic Schhol

SKRIPSI
USULAN EVALUASI SISTEM KEAMANAN INFORMASI

BERDASARKAN STANDAR ISO/IEC 27002:2013 PADA PONDOK
PESANTREN KAFILA INTERNATIONAL ISLAMIC SCHOOL
JAKARTA
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana

Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
ADITYA TEGUH SEPTOAJI
1113093000054
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA
2020 M / 1441 H
SKRIPSI

BERDASARKAN STANDAR ISO/IEC 27002:2013 PADA
PONDOK PESANTREN KAFILA INTERNATIONAL ISLAMIC
SCHOOL JAKARTA

1113093000054
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA
2020 M / 1441 H
i
SKRIPSI

BERDASARKAN STANDAR ISO/IEC 27002:2013 PADA
PONDOK PESANTREN KAFILA INTERNATIONAL ISLAMIC
SCHOOL JAKARTA

Disusun Oleh:
1113093000054
FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI
SYARIF HIDAYATULLAH JAKARTA
2020 M / 1441 H
ii
LEMBAR PERSETUJUAN
iii
LEMBAR PENGESAHAN
iv
LEMBAR PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR
HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN SEBAGAI
SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU
LEMBAGA APAPUN
Ciputat, 24 Agustus 2020
Materai
Aditya Teguh Septoaji

1113093000054
v
ABSTRAK
Aditya Teguh Septoaji - 1113093000054, Usulan Sistem Keamanan Informasi

Berdasarkan Standar ISO/IEC 27002:2013 Pada Pondok Pesantren Kafila
International Islamic School Jakarta. Dibawah bimbingan Fitroh, M.Kom dan
Elsy Rahajeng, MTI.
Kafila International Islamic School (KIIS) adalah sebuah pesantren (boarding

school) yang mempunyai banyak prestasi di beberapa perlombaan dan nilai Ujian
Nasional. Sejak 2007, KIIS sudah menerapkan standar ISO 9001:2008 sebagai
standar mutu pendidikan. Namun, dengan penerapan ISO 9001:2008 belum
menutup semua celah baik kelemahan (vulnerable) atau ancaman (threat) yang
timbul ketika proses pembelajaran sekolah berlangsung.
Dalam wawancara penulis, KIIS memerlukan solusi untuk improvisasi pada
pengamananan dan dokumentasi yang lebih baik terutama dalam fasilitas informasi.
Usulan Evaluasi menggunakan ISO 27002:2013, penelitian Keamanan Sistem
Informasi ini dilakukan pada 8 klausul, pada kebijakan keamanan informasi,
keamanan informasi organisasi, keamanan sumber daya (pekerjaan), manajemen
aset, kontrol akses, keamanan fisik dan lingkungan, keamanan operasi, akusisi
sistem informasi, pembangunan dan pemeliharaan). Dalam penelitian ini, penulis
menggunakan metode pengukuran kapabilitas tingkat kedewasaan (CMM).
Kemudian dihasilkan nilai kedewasaan 4 (managed) pada klausul kebijakan
keamanan informasi, keamanan informasi organisasi, keamanan sumber daya dan
manajemen aset. Kemudian nilai kedewasaan 3 (defined) pada klausul Kontrol
Akses, Keamanan fisik dan lingkungan, Keamanan operasi, Akusisi sistem
informasi dan pembangunan dan pemeliharaan.
Kata Kunci: Sekolah, Keamanan Sistem Informasi, ISO 27002.
V Bab + 129 Halaman + 14 Gambar + 71 Tabel + Daftar Pustaka + Lampiran

Pustaka Acuan (2005 - 2019)
vi
KATA PENGANTAR
Assalamualaikum Wr.Wb.
Alhamdulillahirobbil ‘alamin, laporan skripsi sudah penulis selesaikan. Ini
semua berkat Allah yang Maha Kuasa atas karunia dan rahmat-Nya. Sholawat dan
salam senantiasa tercurah kepada baginda Nabi Besar Muhammad shollallahu
‘alaihi wasallam, berserta keluarga, para sahabat serta para pengikutnya.
Penyusunan laporan skripsi ini bertujuan sebagai syarat pengambilan mata
kuliah skripsi pada program studi sistem informasi, fakultas sains dan teknologi,
Universitas Islam Negeri Syarif Hidayatullah Jakarta. Laporan ini berjudul
“Usulan Evaluasi Sistem Keamanan Informasi Berdasarkan Standar ISO/IEC
27002:2013 Pada Pondok Pesantren Kafila International Islamic School
Jakarta”.
Penulis menyadari bahwa terlaksananya penulisan Skripsi ini dapat
diselesaikan berkat dukungan dan bantuan dari berbagai pihak. Pada kesempatan
ini penulis menyampaikan rasa terima kasih yang sebesar-besarnya kepada:
Bapak A’ang Subiyakto, Ph.D sebagai Ketua Prodi Sistem Informasi dan
sekaligus sebagai Dosen Pembimbing Praktek Kerja Lapangan penulis juga, yang
sangat sabar kepada penulis, menasehati hingga memberi masukan yang ketika
penulis mengingat PKL, pasti ingat nasehat-nasehat beliau.
Ibu Fitroh, M.Kom dan Ibu Elsy Rahajeng, M.TI sebagai dosen
pembimbing skripsi yang sabar juga dalam menasehati pada saat berjalannya
bimbingan skripsi, cepat tanggap dalam revisi dan baik.
vii
K. H. Ahmad Alwasim, Lc. sebagai Direktur Pendidikan Kafila
International Islamic School.
Bapak Sutomo Joko Santoso dan Ibu Sri Waryani, ayahanda dan ibunda
tercinta yang tidak henti-hentinya sabar kepada penulis. Do’a dan perhatian yang
tidak henti-hentinya kepada penulis.
Latifah yang selalu mengingatkan penulis akan hak dan kewajiban dalam
keseharian penulis.
Teguh Dharmawan yang sudah membantu dalam tata cara penulisan laporan
ini. Dan sahabat-sahabat penulis dalam perkuliahan, Teguh Dharmawan, Maulana
M. Iqbal, Aldino Kurniawan, M. Rayhan Firdaus, Alvin H., Gilang W. Saputra,
Muhammad Iksal, Farhan Ridho, Irvan Nasution, R. Affan. Teman-teman
seperjuangan dan seangkatan yang belum pernah penulis dapat sebelumnya.
Teman-teman Sistem Informasi angkatan 2013, terima kasih atas
kebersamaannya.
Dan seluruh pihak-pihak yang banyak berkontribusi dan membantu dalam
proses penyelesaian skripsi ini yang belum dapat penulis sebut satu per satu.
Akhir kata, semoga laporan skripsi ini dapat bermanfaat dan mohon maklum
bila ada kekurangan dalam penulisan dan penggunaaan kata yang kurang tepat.
Wassalamualaikum Wr. Wb.
Ciputat, 24 Agustus 2020
Aditya Teguh Septoaji

1113093000054
viii
DAFTAR ISI
LEMBAR PERSETUJUAN ............................................................................... III

LEMBAR PERNYATAAN ..................................................................................V
ABSTRAK ........................................................................................................... VI
KATA PENGANTAR ....................................................................................... VII
DAFTAR ISI ........................................................................................................ IX
DAFTAR TABEL ............................................................................................... XI
DAFTAR GAMBAR ........................................................................................ XIII
BAB I PENDAHULUAN ..................................................................................... 1
1.1 LATAR BELAKANG .................................................................................... 1
1.2 IDENTIFIKASI MASALAH ............................................................................ 8
1.3 RUMUSAN MASALAH ................................................................................ 9
1.4 BATASAN MASALAH ................................................................................. 9
1.5 TUJUAN DAN MANFAAT .......................................................................... 11
1.5.1 Tujuan ................................................................................................. 11
1.5.2 Manfaat ............................................................................................... 11
1.6 METODOLOGI PENELITIAN ...................................................................... 12
1.7 SISTEMATIKA PENULISAN ........................................................................ 15
BAB II LANDASAN TEORI ............................................................................ 19
2.1 SISTEM INFORMASI .................................................................................. 19
2.1.1 Sistem.................................................................................................. 19
2.1.2 Informasi ............................................................................................. 19
2.1.3 Sistem Informasi ................................................................................. 19
2.2 KEAMANAN INFORMASI .......................................................................... 20
2.2.1 Keamanan ........................................................................................... 20
2.2.2 Model Serangan .................................................................................. 20
2.2.3 Kepentingan Informasi ....................................................................... 26
2.3 SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) ........................... 26
2.3.1 Pengertian SMKI ................................................................................ 26
2.3.2 SMKI dan Teknologi Informasi .......................................................... 27
2.4 SSE-CMM .............................................................................................. 29
2.5 APLIKASI PENUNJANG KEGIATAN SEKOLAH ........................................... 30
2.5.1 MySchool ............................................................................................ 30
2.5.2 Portal PSB ........................................................................................... 31
2.5.3 Aplikasi Asrama ................................................................................. 32
2.5.4 Aplikasi Ujian Alquran ....................................................................... 32
ix
BAB III METODE PENELITIAN .................................................................... 35
3.1 METODE PENGUMPULAN DATA ............................................................... 35
3.1.1 Kuesioner ............................................................................................ 35
3.1.2 Wawancara.......................................................................................... 35
3.1.3 Studi Literatur ..................................................................................... 36
3.2 METODE ANALISIS DATA ........................................................................ 41
3.3 KERANGKA PENELITIAN .......................................................................... 45
BAB IV PEMBAHASAN.................................................................................... 48
4.1 KAFILA INTERNATIONAL ISLAMIC SCHOOL ............................................. 48
4.1.1 Gambaran Umum ................................................................................ 48
4.1.2 Ruang Lingkup Keamanan Informasi Kafila International Islamic
School ............................................................................................................ 52
4.1.3 Penentuan Kebijakan Sistem Manajemen Keamanan Informasi ........ 53
4.2 PLAN ....................................................................................................... 55
4.2.1 Infrastruktur Jaringan KIIS ................................................................. 55
4.2.2 Arsitektur IT ....................................................................................... 55
4.2.3 Penentuan Resiko (Risk Assessment) ................................................. 56
4.2.4 Identifikasi Resiko .............................................................................. 58
4.3 DO ........................................................................................................... 68
4.3.1 Analisa dan Evaluasi Resiko............................................................... 68
4.4 CHECK ..................................................................................................... 71
4.4.1 Identifikasi dan Evaluasi Pilihan Penanganan Resiko ........................ 71
4.4.2 Pemilihan Obyek Kontrol dan Kontrol untuk Pengelolaan Resiko .... 71
4.4.3 Wawancara.......................................................................................... 73
4.4.4 Mengukur Tingkat Kedewasaan SMKI .............................................. 73
4.5 ACT, USULAN PERBAIKAN SISTEM INFORMASI ....................................... 96
4.5.1 Prosedur dan Dokumentasi ............................................................... 116
4.5.2 Aplikasi Pencadangan ....................................................................... 122
BAB V PENUTUP ............................................................................................. 125
5.1 KESIMPULAN ......................................................................................... 125
5.2 SARAN ................................................................................................... 127
DAFTAR PUSTAKA ........................................................................................ 130
LAMPIRAN ....................................................................................................... 133
x
DAFTAR TABEL
Table 2. 1 Index Kriteria Nilai CMM ............................................................................... 29

Tabel 3. 1 Studi Pustaka.................................................................................................... 36
Tabel 3. 2 Level Kemampuan SSE-CMM ........................................................................... 44
Tabel 4. 1 Infrastruktur IT di KIIS .................................................................................... 55
Tabel 4. 2 Spesifikasi Aset IT ........................................................................................... 56
Tabel 4. 3 Kriteria Penerimaan Resiko ............................................................................. 56
Tabel 4. 4 Matriks Kriteria Penerimaan Resiko ................................................................ 57
Tabel 4. 5 Tabel Kebenaran Kriteria ................................................................................. 58
Tabel 4. 6 Tabel Aset Informasi KIIS ............................................................................... 59
Tabel 4. 7 Kriteria Confidentiality .................................................................................... 60
Tabel 4. 8 Kriteria Integrity .............................................................................................. 60
Tabel 4. 9 Kriteria Availability ......................................................................................... 61
Tabel 4. 10 Tabel Nilai Aset pada Fasilitas Informasi KIIS ............................................. 61
Tabel 4. 11 Contoh Tabel Kemungkinan Gangguan Keamanan....................................... 62
Tabel 4. 12 Tabel Penghitungan Nilai Ancaman Data Karyawan .................................... 62
Tabel 4. 13 Tabel Penghitungan Nilai Ancaman Data Penerimaan Siswa Baru............... 62
Tabel 4. 14 Tabel Penghitungan Nilai Ancaman Data Sekolah ........................................ 63
Tabel 4. 15 Tabel Penghitungan Nilai Ancaman Data Keasramaan ................................. 63
Tabel 4. 16 Tabel Penghitungan Nilai Ancaman Data Tahfidz ........................................ 63
Tabel 4. 17 Tabel Penghitungan Nilai Ancaman Data Laboratorium Komputer.............. 64
Tabel 4. 18 Tabel Penghitungan Nilai Ancaman Aplikasi MySchool .............................. 64
Tabel 4. 19 Tabel Penghitungan Nilai Ancaman Aplikasi PSB........................................ 64
Tabel 4. 20 Tabel Penghitungan Nilai Ancaman Aplikasi Ujian Quran ........................... 65
Tabel 4. 21 Tabel Nilai Ancaman Aplikasi Asrama ......................................................... 65
Tabel 4. 22 Tabel Penghitungan Nilai Ancaman Komputer Laboratorium ...................... 65
Tabel 4. 23 Perhitungan Nilai Ancaman Jaringan Mikrotik ............................................. 66
Tabel 4. 24 Tabel Penghitungan Nilai Ancaman Server Sekolah ..................................... 66
Tabel 4. 25 Tabel Penghitungan Nilai Ancaman Komputer Backup Server .................... 66
Tabel 4. 26 Tabel Penghitungan Nilai Ancaman Komputer Asrama................................ 66
Tabel 4. 27 Tabel Penghitungan Nilai Ancaman Komputer Tahfidz ................................ 67
Tabel 4. 28 Perhitungan Nilai Ancaman Komputer Admin .............................................. 67
Tabel 4. 29 Tabel Penghitungan Nilai Ancaman CCTV Labkom .................................... 67
Tabel 4. 30 Tabel Penghitungan Nilai Ancaman Pendingin Ruangan (AC) Labkom ...... 68
Tabel 4. 31 Nilai Ancaman Keamanan Kebakaran ........................................................... 68
Tabel 4. 32 Tabel Skala BIA............................................................................................. 68
Tabel 4. 33 Nilai BIA pada Fasilitas Informasi ................................................................ 69
Tabel 4. 34 Matriks Level Resiko ..................................................................................... 70
Tabel 4. 35 Pengukuran Tingkat Resiko ........................................................................... 70
Tabel 4. 36 Narasumber .................................................................................................... 73
Tabel 4. 37 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.5.1 ........... 73
Tabel 4. 38 Hasil Maturity Level Klausul 5...................................................................... 74
Tabel 4. 39 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.61 ............ 75
xi
Tabel 4. 52 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.11.1 ......... 86
Tabel 4. 54 Hasil Maturity Level Klausul 11.................................................................... 88
Tabel 4. 64 Hasil Nilai Kematangan Seluruh Klausul ...................................................... 97
Tabel 4. 65 Hasil Temuan Klausul 5............................................................................... 100
Tabel 4. 69 Hasil Temuan Klausul 11............................................................................. 108
xii
DAFTAR GAMBAR
Gambar 2. 1 Antarmuka My School ................................................................................. 31

Gambar 2. 2 Antarmuka Aplikasi Portal PSB KIIS .......................................................... 32
Gambar 2. 3 Antarmuka Aplikasi Tahfidz KIIS ............................................................... 33
Gambar 3. 1 Kerangka Penelitian ..................................................................................... 46
Gambar 4. 1 Struktur Organisasi Kafila International Islamic School ............................. 52
Gambar 4. 2 Logo Kafila International Islamic School .................................................... 52
Gambar 4. 3 Denah Tata Letak Aset IT ............................................................................ 55
Gambar 4. 4 Representasi Tingkat Kedewasaan Klausul 5 ............................................. 75
Gambar 4. 9 Representasi Tingkat Kedewasaan Klausul 11 ........................................... 89
Gambar 4. 10 Representasi Tingkat Kedewasaan Klausul 12 ......................................... 93
Gambar 4. 11 Representasi Tingkat Kedewasaan Klausul 14 ......................................... 96
Gambar 4. 12 Hasil Tingkat Kematangan dari Seluruh Klausul ....................................... 98
Gambar 4. 13 Bacula....................................................................................................... 123
Gambar 4. 14 Amanda .................................................................................................... 123
xiii
xiv
BAB I
PENDAHULUAN
1.1 Latar Belakang
Penggunaan teknologi informasi di berbagai organisasi saat ini sangat

dibutuhkan untuk mempermudah melakukan pendataan dan pengambilan
keputusan yang strategis (Santosa & Kuswanto, 2016). Perkembangan
teknologi informasi pada saat ini menyebabkan perubahan peran teknologi
informasi bagi organisasi, teknologi informasi tidak hanya difungsikan sebagai
pendukung (support) tetapi menjadi bagian dari organisasi dalam mecapai
kesuksesan (Saputra, 2018). Organisasi-pun pada hampir semua sektor
membutuhkan teknologi, terutama teknologi informasi untuk setiap sistem
informasi mereka. Bahkan bisa dikatakan, “teknologi informasi acapkali tidak
dapat dipisahkan dengan keperluan bisnis” (Ward & Peppard, 2002).
Perkembangan Teknologi Informasi saat ini tidak hanya berfungsi

sebagai penyedia jasa layanan saja, melainkan diharapkan dapat berperan
menjadi partner dalam menentukan strategi bisnis baru. Maka perlu
memperhatikan bagaimana tata kelola teknologi informasi supaya proses
berjalannya teknologi informasi dapat berjalan secara optimal dalam
mendukung strategi bisnis (Nugroho Saputro, Utami, & Al Fatta, 2018).
Pengelolaan Teknologi Informasi mempunyai peranan yang penting

dalam memaksimalkan teknologi informasi yang sudah diimplementasikan
oleh organisasi guna menyelaraskan strategi TI dengan strategi bisnis organisasi
(Nugroho Saputro et al., 2018). Beliau menambahkan bahwa tidak hanya tata
kelola yang baik saja yang dibutuhkan dalam memaksimalkan penggunaan
teknologi informasi, infrastruktur yang membangun juga merupakan salah
faktor penentu dalam berkembangnya kualitas pelayanan dalam proses bisnis
perusahaan/lembaga.
1
Informasi adalah aset dalam bisnis. Karena sifatnya yang penting, maka
perlu di proteksi (ISO/IEC, 2018). Informasi dapat disimpan dalam berbagai
macam media, seperti: media digital dan media cetak. Informasi dapat dikirim
menggunakan kurir, elektronik hingga komunikasi verbal. Apapun cara
penyimpanannya dan cara penyebarannya, tetap diperlukan keamanan untuk
menjamin terjaganya informasi (ISO/IEC, 2018). Menurut laporan Symantec
(2015), tercatat 312 pelanggaran keamanan informasi dan mengakibatkan
kerugian senilai 348 juta dikarenakan terbongkarnya informasi pribadi, seperti
data kartu kredit, data riwayat medis, data pribadi, ID login, dan lainnya
(Mauladani & Siahaan, 2018). Aspek Keamanan Informasi sangat penting,
terutama dalam aspek pelayanan fasilitas pendidikan, karena secara tidak
langsung mempengaruhi “income” dan “outcome” dalam bisnis prosesnya
(Venter, Blignaut, Renaud, & Venter, 2019).
Pendidikan merupakan proses sistematis. Dalam implementasinya, ada
3 dimensi kemanusiaan: afektif yang tercermin pada ketakwaan dan akhlak
yang mulia, kognitif yang tercermin pada daya pikir dan kapasitas berfikir dan
psikomotorik yang tercermin dari pengembangan ketrampilan teknis (kinestis).
Dalam pembangunan manusia Indonesia, peningkatan akses Pendidikan yang
berkualitas di Indonesia juga merupakan pesan Undang Undang Dasar (UUD)
1945 dalam rangka mencerdaskan kehidupan bangsa (Husaini, 2014).
UUD 1945 mengamanatkan pentingnya nilai Pendidikan di pada setiap
warganegara Indonesia. Seperti halnya dalam pasal 28 B Ayat 1 (satu), bahwa
setiap orang berhak melakukan kegiatan pengembangkan diri dalam pendidikan
2
dan mendapatkan manfaat dari ilmu pengetahuan, teknologi, seni, dan budaya
dalam upaya meningkatkan kualitas hidup manusia, dan pasal 31 Ayat 1 (satu)
bahwa setiap warga negara berhak mendapat Pendidikan.
Menanggapi pesan UUD pasal 28B dan pasal 31 diatas, Lembaga
Pendidikan mempunyai peran yang sangat penting dalam penyelenggaraan
proses Pendidikan. Manajemen perlu mengintegrasikan dengan perangkat
teknologi dan informasi (Sidik & Iriani, 2018). Dengan adanya teknologi
informasi, paradigma penyelenggaraan kegiatan pendidikan di sekolah berubah,
untuk mempercepat proses pemberkasan sering dilakukan dengan
memanfaatkan teknologi informasi, seperti pada Kafila International Islamic
School (KIIS).
KIIS adalah sekolah yang berprestasi, memenangkan berbagai macam
perlombaan tingkat MTs/MA, hingga pada puncak prestasinya adalah
mendapatkan nilai tertinggi nilai rata-rata UN untuk tingkat madrasah selama 8
tahun berturut-turut (2010-2018). Bentuk pendidikan di KIIS adalah
berasrama/pesantren (boarding school). Dalam manajemen pendidikannya,
setidaknya ada 3 bidang utama, yaitu: Alquran, akademik, dan asrama. Untuk
membantu pihak manajemen KIIS dalam melihat dan mengatur alur informasi,
dibuatlah beberapa aplikasi sistem informasi Kafila sebagai penunjang proses
pendidikan dan kepegawaian KIIS.
KIIS telah menerapkan standar ISO 9001:2008 manajemen mutu
pendidikan sejak tahun 2007-2008. Menggunakan ISO sebagai standar kontrol
3
manajemen mutu Pendidikan, tidak menutupi kemungkinan bahwa KIIS
banyak memperoleh manfaatnya. Menurut wawancara, rencana pada tahun
2019, KIIS sudah mulai mempersiapkan dokumentasi dan Sumber Daya
Manusia (SDM) untuk rencana pembaharuan standar manajemen mutu dari ISO
9001:2008 menjadi ISO 9001:2015.
Penulis mengadakan wawancara dengan beberapa stakeholder IT KIIS,
wawancara pertama kepada Direktur Pendidikan KIIS, Bapak Achmad
Alwasim. Beliau bahwa KIIS berencana pada Juli 2019, Kafila akan
memperbaharui ISO 9001. Dari ISO 9001:2008 ke ISO 9001:2015. Hasil dari
penelitian ini diharapkan dapan menambah nilai mutu untuk administrasi
Pendidikan yang lebih baik untuk KIIS.
Kemudian ke divisi IT bidang Alquran, menurut Bapak Abdurrohim,
Admin Bidang Alquran KIIS dan sekaligus penanggungjawab aplikasi
TahfizApp, perlu pedoman alur dan struktur data yang tepat dalam perancangan
dan pembuatan aplikasi, karena pada ujian tahfidz semester 1 tahun 2019
misalnya, ada beberapa ujian yang gagal dikarenakan kesalahan tipe data (NaN)
dalam pemrosesan input. Akibatnya, ketika sedang ujian Alquran sekitar 20
penguji ujian Alquran, hanya 15 laptop yang lancar menggunakan aplikasi ini.
Pada akhir semester 2 tahun 2018, terjadi pencurian informasi login guru tahfidz,
sehingga pencuri (si murid) dapat mengubah nilai ujian Alquran.
Wawancara dilanjutkan dengan Bapak Rifki Baisa, staf labkom spesialis
jaringan. Beliau menghimbau perlu adanya pengaturan kebijakan penataan
4
teknologi dan pencatatan aset-aset jaringan dan CCTV (control room), sering
terjadi kehilangan dan kerusakan aset dan tidak terdokumentasikan dengan baik.
Berikutnya adalah wawancara kepada Bapak Taufiqurrohman. Sebagai
kepala Laboratorium Komputer KIIS. Kepala Laboratorium Komputer
(labkom) mempunyai tanggung jawab untuk pemeliharaan data dan
pengembangan sistem aplikasi digital yang kini sudah berjalan di KIIS. Namun,
faktor dokumentasi untuk regenerasi penerus pengurus perlu dipertimbangkan.
Mengingat proses regenerasi adalah proses transfer knowledge. Beliau
menambahkan, ISO 9001 (yang sudah dilengkapi ISO 31000) mengenai
manajemen mutu sudah dirasa cukup untuk pengendalian mutu laboratorium,
namun masih ada kekurangan dalam dokumentasi Aset IT. Pada 20 Januari
2020, terjadi kehilangan data pada server sekolah (salah satu hardisk RAID
server mati) dikarenakan tidak berjalannya fungsi pengecekan pada aset-aset di
KIIS. Beliau juga menambahkan, adanya sharing informasi yang tidak pantas,
karena berdampak buruk dalam keamanan informasi, terjadi kebocoran
informasi login akun sekolah (terlampir) dan muncul berbagai kasus di asrama
mengenai sistem tiket makanan siswa.
Wawancara berikutnya kepada Manajemen Representative (MR),
Bapak Arifudin Zulzadani. Beliau berpendapat bahwa manajemen adalah alat
bantu KIIS untuk meningkatkan perencanaan dan aktivitas dari organisasi,
upaya untuk mengatur aset yang ada serta pengembangannya, hingga kepuasan
para stakeholder KIIS, kemudian beliau membuat aplikasi pengaduan layanan
daring (ehsan.kafila.sch.id). Perlu adanya standar pembuatan aplikasi yang
5
terdokumentasi dengan baik. Karena beberapa aplikasi yang KIIS pakai yaitu
aplikasi UKS, aplikasi pengaduan daring yang dibuat perorangan, bukan
aplikasi buatan labkom.
Semua masalah yang telah terjadi bukan hanya karena upaya tindakan
yang kurang baik, tetapi karena belum adanya standar dari prosedur keamanan
yang ada, standar operasional prosedur yang belum memenuhi standar
keamanan, bahkan ada beberapa standar operasional prosedur yang mengambil
dari sumber internet dan belum mengadaptasi dengan lingkungan keamanan
informasi. Misalkan ada beberapa miss fungsi dari SOP bendahara, pengurus
lab komputer dan standar pengembangan aplikasi.
Kemudian penulis membandingkan framework yang mempunyai
keterkaitan dengan standar manajemen keamanan informasi, berikut adalah
perbandingannya:
Tabel 1. 1 Perbedaan SMKI
ISO 27001 ISO 27002 COBIT
International
International Organization
Penerbit Organization for ISACA
for Standarization (ISO)
Standarization (ISO)
Berfokus pada proses Berfokus pada best Pembangunan dan
pengadaan (requirement) practice penerapan dan pemeliharaan sistem
pengembangan danb pemeliharaan sebuah secara umum dan dapat

Tujuan
pembangunan sebuah sistem manajemen pada diimplementasikan
sistem manajemen pada keamanan aset hampir pada setiap
keamanan aset informasi informasi (ISMS) bidang perusahaan
6
(ISMS) maupun nilai maupun nilai informasi
informasi perusahaan sesuai perusahaan.
dengan kebutuhan sistem
perusahaan.
4 Domain (PO AI, DS,

Ruang
14 Area Keamanan 14 Area Keamanan ME) dan 34 Proses
Lingkup
113 Kontrol Keamanan 113 Kontrol Keamanan (Domain Breakdowns)
(scope)
Dari perbandingan SMKI diatas, penulis lebih memilih ISO 27001 karena:
o ISO 27001 berfokus pada keamanan aset dan informasi.
o KIIS sudah menggunakan ISO 9001:2008 (yang dilengkapi dengan
ISO 31000) untuk setiap manajemen dokumentasi beserta SOP yang
ada dalam lingkup pesantren, maka dengan hadirnya ISO 27001
tidak membuat organisasi "belajar ulang" dengan SMKI yang baru.
o Masalah manajemen keamanan aset menjadi isu dalam masalah
keamanan fasilitas IT dalam KIIS. ISO 27001 menawarkan
manajemen keamanan yang fleksibel dan mudah dimengerti.
o Dan masalah lainnya seperti tidak sinkronnya basisdata yang
merupakan masalah tersendiri dalam hal ini, kemungkinan besar
karena tidak adanya petunjuk/panduan yang jelas. Karena SOP yang
dibuat di pesantren mengambil dari internet dan belum dicek secara
penuh apakah sudah memenuhi standar implementasi keamanan
atau belum, sehingga faktor keempat inilah yang akan diteliti lebih
7
dalam, karena berisikan sumber kebijakan yang terjadi pada proses
bisnis pesantren.
Dari hasil wawancara awal, diperlukan evaluasi pada perangkat (aset)
IT pada KIIS. Maka dari itu, penulis mengajukan sebuah judul untuk penelitian
skripsi. Berjudul: “Evaluasi Keamanan Sistem Informasi Berdasarkan Standar
SNI ISO/IEC 27002:2013 pada Pondok Pesantren Kafila International Islamic
School”.
1.2 Identifikasi Masalah
Identifikasi masalah menurut hasil wawancara sebelumnya adalah sebagai
berikut:
a. Terjadi kebocoran informasi login akun guru tahfidz dan muncul berbagai
kasus di asrama pada sistem tiket makanan siswa.
b. Terjadi ketimpangan komunikasi (miscommunication) beberapa divisi
mengenai ruang lingkup Standar Operasional Prosedur (SOP). SOP divisi
IT yang ada saat ini hanya membahas pemeliharan situs berita kafila
(kafila.sch.id), belum ditambahkan prosedur pada aplikasi-aplikasi yang
baru (akademik, asrama dan tahfidz). SOP juga tidak mencangkup
penggunaan aplikasi dan peringatan/pelanggaran maupun sanksi
penyalahgunaan informasi.
c. Pada 20 Januari 2020, terjadi kehilangan data pada server sekolah (salah
satu hardisk RAID server mati), dikarenakan kurangnya pengecekan rutin.
8
d. Tidak sinkronnya basis data aplikasi, membuat masing-masing aplikasi
mempunyai basis data yang berbeda. Pada kasus aplikasi Alquran, NaN (not
a number) terjadi karena penggunaan tipe data yang salah.
e. Sering terjadi kehilangan/kerusakan aset, namun tidak terdokumentasi
dengan baik.
1.3 Rumusan Masalah
Berdasarkan latar belakang dan identifikasi masalah diatas, maka penulis
membuat perumusan masalah dalam penelitian ini yaitu, “Bagaimana
mengevaluasi keamanan sistem informasi KIIS berdasarkan standar SNI
ISO/IEC 27001:2013 dan membuat usulan evaluasi keamanan sistem informasi
berdasarkan standar SNI ISO/IEC 27002:2013 pada Pondok Pesantren Kafila
International Islamic School?”.
1.4 Batasan Masalah
Batasan masalah pada penelitian ini adalah sebagai berikut:
a. Analisis sistem manajemen keamanan informasi dilakukan pada Divisi
Information Technology (IT) Kantor Laboratorium Komputer Kafila
International Islamic School di Jakarta yang beralamat di Jalan Raya Bogor
KM 22,5 Ciracas Jakarta Timur.
b. Obyek penelitian adalah SOP keamanan informasi, aplikasi myschool,
tahfidzapp dan aplikasi asrama serta Aset IT milik Pondok Pesantren Kafila
International Islamic School Jakarta.
9
c. Narasumber merupakan karyawan/pegawai yang berpengetahuan,
mempunyai skill dalam bidang IT (programming / networking).
d. Penelitian dilakukan dengan menggunakan pendekatan standar ISO/IEC
27002:2013, dibantu dengan ISO/IEC 27001 untuk kebutuhan sistemnya
dan ISO/IEC 27000 untuk gambaran/pengertian umum mengenai keluarga
ISO 27000.
e. Pada penelitian ini dilakukan analisis dengan menggunakan kuesioner dan
checklist berdasarkan panduan standar pada ISO/IEC 27001 dan ISO/IEC
27002.
f. Penelitian ini menggunakan metodologi Plan, Do, Check, Act (PDCA) pada
ISO/IEC 27001 dan ISO/IEC 27002.
g. Penelitian ini mempunyai ruang lingkup pada 8 sektor utama keamanan,
yaitu: information security policies, organizational of information security,
human resource security, asset management, access control, physical and
environment security, operation security, communication security ,dan
system acquisition development and maintenance,.
h. Tools kuesioner skala pengukuran tingkat kematangan pada ISO/IEC 27001
dan ISO/IEC 27002 menggunakan risk assessment and treatment.
i. Tools yang digunakan untuk mengukur efektivitas menggunakan metode
SSE-CMM dengan pendekatan Standar ISO/IEC 27001 dan ISO/IEC
27002. Output yang dihasilkan dari penelitian ini adalah temuan dan
rekomendasi keamanan sistem informasi KIIS.
10
1.5 Tujuan dan Manfaat
1.5.1 Tujuan
Adapun tujuan dari peneitian ini adalah:
a. Menganalisis tingkat keamanan dan evaluasi sistem informasi KIIS
menggunakan standar keamanan ISO 27001:2013.
b. Menghasilkan rekomendasi berdasarkan temuan yang didapat dari tahap
sebelumnya yang sesuai dengan keadaan pesantren berdasarkan kode
praktis ISO 27002:2013.
1.5.2 Manfaat
Adapun manfaat dari penelitian ini adalah sebagai berikut :
1. Bagi Kafila International Islamic School Jakarta
• Meningkatkan kualitas proses bisnis pada KIIS dengan
peningkatan keamanan.
• Memperoleh kondisi aktual dari keamanan sistem informasi
KIIS.
• Sebagai usaha dalam meningkatkan keamanan sistem informasi
di KIIS pada Standar Operasional Prosedur (SOP), aplikasi dan
server, dan aset IT lainnya.
• Berguna untuk perbaikan sistem yang baru berjalan, jika
dihasilkan temuan dan rekomendasi dari hasil audit keamanan
sistem informasi di KIIS.
2. Bagi penulis
11
• Menambah pengalaman penerapan ilmu, dalam melakukan
praktisi langsung pada obyek penelitian yang aktual.
• Memahami audit keamanan sistem informasi dengan
menggunakan standar ISO 27001:2015 yang akan diterapkan
pada pengujian sistem informasi pada KIIS.
• Sebagai ajang pengukuran supaya penulis mengetahui sejauh
mana kinerja aplikasi pada KIIS terkait proses evaluasi
keamanan menggunakan ISO 27001:2015.
3. Bagi akademik
• Dengan dilakukan dan dibuatnya laporan ini, pihak akademik
dapat menggunakan sebagai tolak ukur hasil perkuliahan yang
diberikan kepada mahasiswa selama masa pembelajaran.
• Menambah referensi untuk dijadikan arsip akademik mengenai
ISO tentang keamanan informasi aset dan informasi.
1.6 Metodologi Penelitian
Pada penelitian ini peneliti menggunakan beberapa metode untuk
mendapatkan informasi yang dibutuhkan. Berikut adalah metode-metode
yang digunakan pada penelitian ini:
1. Desain Penelitian
Pada desain penelitian peneliti menggunakan metode kualitatif,
untuk mendapatkan data deskriptif baik secara lisan (wawancara)
maupun tulisan (dokumen) dari objek yang diteliti pada Divisi
Information Technology (IT) KIIS.
12
2. Metode Pengumpulan Data
Pada penelitian ini dilakukan pengumpulan data dengan beberapa
cara. Data yang digunakan yaitu:
a. Data primer, merupakan data yang diperoleh peneliti langsung
di Divisi Information Technology (IT) KIIS. Data diperoleh
dengan beberapa metode yaitu:
▪ Observasi, pada tahap ini peneliti melakukan dengan cara
melihat dan mengamati secara langsung untuk mendapatkan
data dan informasi yang dibutuhkan pada Divisi Information
Technology (IT) KIIS.
▪ Wawancara, pada tahap ini peneliti melakukan komunikasi
dua arah untuk mendapatkan informasi dari pegawai terkait
Divisi Information Technology (IT) KIIS. Tahapan ini
memberikan informasi yang lebih khusus kepada
permasalahan, masukan berupa pendapat dan ide oleh
responden.
▪ Kuesioner, peneliti melakukan pengumpulan data dengan
memberikan daftar pertanyaan kepada bidang yang terkait
dengan keamanan informasi KIIS.
b. Data sekunder, merupakan data yang diperoleh dari beberapa
study literature yang terkait dengan topik dan permasalahan
pada penelitian.
13
▪ Study Literature, peneliti akan melakukan kegiatan
membaca dan memahami bahan pustaka seperti buku-buku,
dokumen, mempelajari penelitian sejenis, serta mempelajari
mengenai topik lainnya yang terkait penelitian saat ini.
3. Metode Analisis Data
Penelitian ini menggunakan teknik analisis data deskriptif kualitatif
yang menekankan pada sumber data dan fakta.
4. Metode Analisis Sistem Manajemen Keamanan Informasi
Dalam analisis penerapan sistem manajemen keamanan informasi
terdapat beberapa tahapan berdasarkan ISO/IEC 27001 dan ISO/IEC
27002 yaitu:
a. Plan
Pada tahap plan peneliti akan melakukan perencanaan dan
perancangan manajemen keamanan informasi, dimana kegiatan
implementasinya adalah dengan membangun komitmen,
prosedur, instruksi kerja, kebijakan dan kontrol sehingga
tercipta manajemen keamanan informasi yang aman
b. Do
Selanjutnya pada tahap do peneliti akan melakukan identifikasi
terhadap risiko yang meliputi identifikasi aset, ancaman dan
kelemahan serta menganalisis risiko.
c. Check
14
Kemudian pada tahap check peneliti akan melakukan
pemonitoran dari penerapan keamanan informasi dengan
memilih klausul pada ISO/IEC 27001 dan ISO/IEC 27002,
penentuan nilai kemampuan dan maturity level.
d. Act
Dan pada tahap act peneliti akan penentuan gap dan pemberian
rekomendasi berdasarkan ISO/IEC 27001 dan ISO/IEC 27002.
Dalam buku panduannya, ISO/IEC 27002 adalah sebuah metode khusus
terstruktur pada pengamanan informasi dan diakui dunia internasional. ISO
27002 jarang terdengar karena publik lebih mudah unutk memahami ISO
27001, ada perbedaan yang mendasar antara ISO 27001 dan ISO 27002,
yang intinya adalah pada 27001 fokus pada requirement and planning dan
27002 berfokus pada how to achive that “requirement and planning”.
Seperti dirujuk pada situs resmi ISO, ISO 27001 Information Security
Management dan ISO 27002 Informastion Technology – Security
Techniques
1.7 Sistematika Penulisan
Sistematika penulisan Skripsi ini disusun dalam lima bab yang saling
berkaitan satu sama lain. Pembagian kelima bab tersebut adalah sebagai
berikut:
15
BAB I PENDAHULUAN
Berisikan latar belakang masalah, rumusan masalah, batasan masalah dan tujuan
serta manfaat serta lainnya.
BAB II LANDASAN TEORI
Pembahasan Bab II menguraikan mengenai landasan teori yang digunakan dalam
pembahasan penelitian, sumber landasan tentang teori-teori dasar, pendapat para
ahli, konsep mengenai audit dan keamanan yang berhubungan dengan audit
keamanan sistem informasi pada KIIS.
BAB III METODOLOGI PENELITIAN
Bab ini menguraikan langkah-langkah dan metode penulis dalam pengumpulan data
dari Kafila International Islamic School (KIIS), menelaah sumber lain dengan
penelitian sejenis, dan langkah-langkah penelitian yang diperlihatkan dalam
kerangka penelitian.
BAB IV HASIL DAN PEMBAHASAN
Dalam bab ini membahas gambaran Kafila International Islamic School (profil,
sejarah, visi dan misi). Kemudian dilakukan prosedur PDCA yang meliputi proses
Plan (infrastruktur jaringan KIIS, Arsitektur IT, penentuan resiko dan identifikasi
resiko), Do (analisa dan evaluasi resiko), Check (identifikasi dan penanganan resiko,
pemilihan obyek kontrol, wawancara dan mengukur tingkat kedewasaan sistem),
dan Proses Act (usulan perbaikan sistem). Dalam pembahasan, penulis sedikit
16
banyak mengikuti penulisan/runtutan penelitian yang diberikan dalam buku
“Sistem Manajemen Keamanan Informasi” karya Riayanarto Sarno dan Irsyat
Iffano (Sarno & Iffano, 2009).
BAB V PENUTUP
Bab ini merupakan akhir penelitian, di mana terdapat kesimpulan dari penulis akan
penelitian ini serta saran penulis guna untuk pengembangan aplikasi selanjutnya.
17
18
BAB II
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Sistem
Sistem merupakan kumpulan elemen/fungsi yang saling terhubung satu sama lain
yang membentuk kesatuan dalam mencapai tujuan yang sama (Nafiudin, 2019),
misalkan dalam sebuah sekolah, yang dimaksud elemen adalah divisi internalnya
seperti guru, admin, kepala laboratorium, kepala sekolah, hingga panitia
penerimaan siswa baru (PSB) dan sebagainya yang semua itu terkait satu sama lain.
2.1.2 Informasi
Beliau, (Nafiudin, 2019) menguraikan, bahwa informasi adalah data yang telah
diklasifikasi (disekat) kemudian dipakai sebagai bahan dalam pengambilan
keputusan (decision). Sistem pengolahan informasi mengolah data dari bentuk tak
umum (raw) menjadi informasi yang berguna untuk menunjang pembuat keputusan
tersebut. Nilai informasi berhubungan erat dengan keputusan, maka kualitas
informasi yang tinggi akan membuat pembuat kebijakan (decision maker)
mengambil langkah yang lebih tepat dan rasional.
2.1.3 Sistem Informasi
Sistem Informasi adalah suatu sistem di dalam organisasi/perusahaan yang
mendukung fungsi operasi organisasi (harian, pekanan hingga rekayasa manajemen
19
lainnya) yang bersifat manajerial untuk dapat menyediakan informasi yang berguna
kepada pihak luar tertentu dengan laporan-laporan (Nafiudin, 2019).
2.2 Keamanan Informasi
2.2.1 Keamanan Informasi
Dalam kemanan informasi, ancaman (threat) adalah setiap kegiatan yang dapat
membahayakan informasi. Ancaman ini kerapkali akan menjadi negatif jika
menguak (leaking) dan memanipulasi kerahasiaan (confidentiality), integritas
(integrity), dan ketersediaan (availability) dari sebuah sistem (Bintara, 2017).
Kerentanan (vulnerabilities) merupakan suatu cara menimbulkan sebuah
ancaman (threat). Tanpa ada kerentanan, maka ancaman tidak akan mempunyai
dampak yang membahayakan organisasi (Bintara, 2017).
2.2.2 Model Serangan
A. Threat and Vulnerable (domain)
Piranti lunak sistem operasi modern sangat kompleks struktur maupun arsitekturnya.
Dengan banyaknya kebutuhan dan keberanekaragaman fungsi dan kapabilitasnya,
membuat sebuah sistem operasi harus dibangun ratusan hingga ribuan modul dan
sub-modul program guna menjalankan berbagai services, ports, dan model akses
yang berbeda-beda. Pengguna melakukan instalasi sistem operasi sesuai dengan
spesifikasi keinginannya melalui penyesuaian terhadap kebutuhannya. Namun
kemudian disini sebagai letak kerawanan sistemnya. Seorang pengguna sering kali
memilih sistem standar (default), tanpa melakukan perubahan terhadap sejumlah
parameter lainnya. Tentu saja hal ini berakibat tidak terkonfigurasinya proteksi
20
keamanan terhadap sejumlah services maupun ports, sehingga akan memudahkan
penyerang dalam melakukan penyusupan pada lubang-lubang kerawanan tersebut
(Indrajit, 2016).
• Malicious Software (Malware)
Malware merupakan program yang diciptakan untuk melakukan
penyusupan pada sebuah system. Dibuatnya program ini untuk melakukan
beranekaragam aktivitas merugikan pemilik sistem tersebut. Merugikan
disini adalah dampak negatif yang mungkin ditimbulkan mulai dari
memperlambat kinerja sistem hingga merusak bahkan menghilangkan data
penting yang tersimpan dalam perangkat korbannya. Setidaknya ada tiga
jenis malware klasik, yaitu: Worm, Virus dan Trojan Horse.
o Virus
Muncul pertama kali pada pertengahan tahun 1980an, virus
komputer telah mengundang kontroversi yang beraneka ragam.
Dengan perkembangan teknologi computer hari ini, virus
menggunakan cara-cara baru untuk menyebarkan dirinya melalui
berbagai media dan operasi. Pada dasarnya, virus merupakan
program komputer yang bersifat “malicious” dapat menginfeksi
target melalui penularan yang dipicu oleh otorasisasi maupun
keterlibatan pengguna sebagai pengguna komputer.
o Worms
Worms merupakan program malicious yang diciptakan untuk
menginfeksi komputer-komputer yang berada dalam sebuah sistem
21
jaringan. Diciptakan dengan algoritma tertentu sehingga
mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa
melalui intervensi atau bantuan maupun keterlibatan pengguna.
Karena karakteristiknya yang tidak melibatkan manusia, maka
penyebarannya sulit untuk dikendalikan. Usaha penanganan yang
salah akan membuat pergerakan worms menjadi semakin tak
terkendali.
o Trojan Horse
Adalah penggalan program yang dimasukkan ke dalam suatu sistem
melalui program atau aktivitas yang legal, seperti: melalui proses
instalasi perangkat lunak aplikasi, melalui proses pembaharuan versi
software yang baru, melalui proses download aplikasi gratis, bisa
juga melalui file-file multimedia dan lain sebagainya.
• Web Defacement
Serangan dengan tujuan utama merubah tampilan sebuah situs (halaman
utama maupun halaman lainnya). Biasanya dilakukan oleh penyerang
karena faktor ketidaksukaan pribadi, kelompok, maupun entitas tertentu.
• Denial of Services (DoS)
DoS dan DDoS (Distributed Denial of Services) merupakan aktivitas yang
bertujuan menghentikan/meniadakan layanan sistem maupun jaringan
komputer sehingga pengguna terganggu. Seperti memutus koneksi antar
dua sistem, membanjiri kanal akses dengan jutaan paket data, menghabiskan
22
memori dengan cara melakukan aktivitas yang tidak perlu dan perlakuan
lainnya.
• Robot Network (Botnet) Phishing
Pada dasarnya aktivitas botnet dipicu dari penyusupan program- program
kecil (bersifat seperti virus, worms, maupun trojan horse) ke dalam suatu
sistem komputer/server yang ada dalam jaringan tanpa sepengetahuan
pemilik komputer/server tersebut. Program malicious yang disusupkan dan
ditanamkan pada komputer korbannya ini awalnya bersifat pasif, kemudian
diatur dan diaktifkan kembali untuk mengganggu sistem, keadaan ini
membuat botnet sering dipanggil dengan sebutan “zombie”.
Dengan melakukan aktivasi terhadap PC zombies ini, serangan botnet
dilakukan secara serempak dengan beragam pengaturan yang diinginkan
dari pemilik bitnet, seperti: melakukan DDoS secara masif, mengatur sistem
komputer secara bersama-sama, menularkan dan mengaktifkan virus dan
worms secara serentak, hingga menginfeksi ribuan server dengan trojan
horse dalam waktu singkat, dan lain lainnya.
• SQL Injection
SQL Injection merupakan cara mengeksploitasi celah keamanan yang
muncul pada level (layer) database dan aplikasinya. Penyerang
memasukkan nilai string tertentu dan karakter SQL berbahaya lainnya.
Karena tipe data yang dimasukkan tidak kompatible dengan yang
seharusnya masukan kedalam program, maka akan terjadi aktivitas yang
tidak dikehendaki (biasanya berupa pengalihan hak akses). Dikatakan
23
model penyerangannya adalah “injeksi” karena aktivitasnya berupa
“memasukkan” string khusus untuk bypass filter logika hak akses pada
aplikasi korban.
Contoh-contoh celah kerawanan yang kerap terjadi dikarenakan
penyerangan menggunakan metode SQL Injection adalah (Indrajit, 2016):
o Karakter-karakter kendali, kontrol, atau filter tidak didefinisikan
dengan baik dan benar (Incorrectly Filtered Escape Characters)
o Tipe pemilihan dan penanganan variabel maupun parameter
program yang keliru (Incorrect Type Handling)
o Celah keamanan berada dalam server basis datanya (Vulnerabilities
Inside the Database Server)
o Dilakukan mekanisme penyamaran SQL Injection (Blind SQL
Injection) dan lain sebagainya.
• Cross-Site Scripting
Cross Site Scripting (CSS) adalah serangan dengan menggunakan
mekanisme ”injection” pada aplikasi web (biasanya menggunakan HTTP
GET atau HTTP POST). Cross Site Scripting biasa digunakan oleh pihak-
pihak yang berniat tidak baik dalam upaya mengacaukan konten website
dengan memasukkan naskah program (biasanya java script) sebagai bagian
dari teks masukan melalui formulir yang tersedia. Script yang menyisip di
teks yang tampil ini dapat memberi efek dramatis pada tampilan website
mulai dari menyisipkan gambar tidak baik hingga mengarahkan (linking) ke
website lain yang tentunya berbahaya.
24
Pada kenyataannya, masih banyak sekali ditemukan jenis-jenis serangan
seperti yang dikemukakan di atas, seperti: Land Attack, Man-in-the-Middle
Attack, Packet Spoofing, Password Cracking, Sessions Hijacking, dan lain
sebagainya. Pada intinya keseluruhan jenis serangan itu bervariasi
berdasarkan tipe-tipe kerawanan atau “vulnerabilities” yang terdapat pada
sistem terkait yang kurang dijaga keamanannya.
B. Social Engineering
Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau
pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara
menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau
dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi
rahasia dengan cara mengeksploitasi kelemahan manusia (Sarno & Iffano, 2009).
Contohnya kelemahan manusia adalah:
• Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau
informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya
yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
• Rasa Percaya – jika seorang individu dimintai data atau informasi dari
teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang
bersangkutan akan langsung memberikannya tanpa harus merasa curiga;
dan
• Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari
orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam,
25
menjadi korban bencana, atau berada dalam duka, biasanya yang
bersangkutan akan langsung memberikan data atau informasi yang
diinginkan tanpa bertanya lebih dahulu
Serangan-serangan tersebut dapat dilancarkan dengan beberapa media, seperti
Media Komunikasi, Media Komputer, dan jenis Social Engineering lainnya
2.2.3 Kepentingan Informasi
Pada prinsipnya ada 4 privasi yang harus dijaga (Padli, 2008), yaitu:
A. Perlindungan dari intrusi
B. Perlindungan dari pengungkapan fakta-fakta pribadi yang memalukan
kepada publik;
C. Perlindungan dari publisitas (public) mengenai privasi seseorang
D. Perlindungan dari penggunaan nama atau rupa seseorang secara ilegal
2.3 Sistem Manajemen Keamanan Informasi (SMKI)
2.3.1 Pengertian SMKI
Keberadaan dokumen “Kebijakan Keamanan” atau “Security Policies” merupakan
sebuah infrastruktur keamanan yang harus dimiliki oleh sebuah organisasi atau
perusahaan yang ingin melindungi aset informasi terpentingnya. Dokumen ini
berisikan tata cara mengamankan informasi, baik secara langsung maupun tidak
langsung. (Indrajit, 2016).
Beliau juga menambahkan bahwa secara prinsip ada 2 (dua) peranan penting dari
sebuah dokumen kebijakan keamanan, yaitu:
26
• Untuk mendefinisikan dan memetakan secara detail aset-aset informasi apa
saja yang harus dilindungi dan dikelola dengan baik keamanannya.
• Untuk mengurangi risiko yang dapat ditimbulkan karena adanya
penyalahgunaan sumber daya (baik manusia maupun alat) atau fasilitas
perusahaan terkait manajemen pengelolaan data dan informasi.
2.3.2 SMKI dan Teknologi Informasi
Sistem Manajemen Keamanan Informasi merupakan suatu proses yang disusun
berdasarkan pendekatan risiko bisnis dalam Plan, Do, Check dan Act (Perera, 2008).
Keamanan Informasi adalah suatu upaya untuk mengamankan aset Informasi
terhadap ancaman yang mungkin timbul (Sarno & Iffano, 2009). ISMS merupakan
seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang
digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan
untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity)
dan ketersediaan (availability) informasi (Dinamika Mitra Global, 2017).
A. Perlunya SMKI
Belum ada ketentuan bahwa jika penerapan SMKI, keamanan terjamin 100%.
Namun penerapan ini membantu berkurangnya kegagalan keamanan informasi
dikarenakan ancaman dari luar sistem dan kelemahan dari dalam sistem (Sarno &
Iffano, 2009).
B. SMKI Berdasarkan ISO/IEC 27001 & 27002
Manfaat terbesar Sertifikat ISO 27001 (dan 27002) adalah mengurangi biaya terkait
keamanan informasi. Berkat penilaian risiko dan pendekatan analisis untuk
27
direalisasikan dalam lingkup sistem ini, pengeluaran yang dibuat untuk teknologi
perlindungan yang mungkin tidak berfungsi akan dicegah (TÜRCERT, 2018).
Saat penentuan Sistem Manajemen Keamanan Informasi ISO 27001 di perusahaan,
elemen kunci berikut perlu diidentifikasi:
• Lingkup proyek harus ditentukan
• Manajemen puncak harus berkomitmen dan dianggarkan
• Tetapkan pihak yang berkepentingan dan persyaratan hukum, peraturan,
dan kontrak
• Penilaian risiko harus dilakukan
• Kontrol dan tindakan yang diperlukan harus diambil
• Kembangkan kompetensi karyawan di bidang ini
• Semua dokumen yang terkait dengan Sistem Manajemen Keamanan
Informasi harus disiapkan
• Karyawan harus dilatih dan keamanan informasi harus ditingkatkan
• Kegiatan harus diukur, dipantau, ditinjau dan diaudit
• Akhirnya Sertifikat ISO 27001 harus diperoleh setelah semua ini selesai
Singkatnya, penerapan standar Sistem Manajemen Keamanan Informasi ISO
27001 perusahaan mendorong penerapan pendekatan proses untuk memantau,
meninjau, memperbarui, dan meningkatkan kegiatan.
28
2.4 SSE-CMM
Adalah analisis dan interpretasi data hasil pengolahan dan wawancara dengan
pengelolaan sistem informasi akademik. CMM acapkali digunakan sebagai temuan
penelitian, kemudian melihat berdasarkan hasil perhitungan tingkat kematangannya
(melalui model grafis), gap dilihat dan ditentukan nilai dari kematangan tersebut.
Model perhitungan yang digunakan untuk mengukur tingkat kematangan
menggunakan SSE-CMM. SSE-CMM adalah Capability Maturity Model (CMM)
untuk System Security Engineering (SSE). SSE-CMM menjelaskan karakteristik
penting dari suatu proses rekayasa keamanan organisasi yang “seharusnya” ada
untuk memastikan teknik keamanan yang baik dengan tidak menganjurkan proses
yang berulang percuma, namun mengambil praktik secara umum yang dapat
diamati proses bisnis perusahaan (Kurniawan & Riadi, 2018).
Kurniawan (2018) juga mengidentifikasi tingkat kematangan suatu sistem
sebagaimana dijelaskan dalam tabel berikut ini:
Table 2. 1 Index Kriteria Nilai CMM
Kriteria Kriteria Keterangan

Perusahaan tidak mengetahui sama sekali proses teknologi
0 – 0,50 Non-Existent
informasi diperusahaannya.
Terdapat bukti bahwa perusahaan mengetahui adanya hal-hal yang
perlu diperhatikan. Namun demikian belum ada standarisasi
Initial / Ad
0,51 – 1,50 proses, pendekatan dilakukan secara individual atau berdasarkan
Hoc
kasus. Pendekatan secara keseluruhan belum diorganisasikan
dengan baik.
Proses telah dikembangkan dengan adanya prosedur yang sama
dan digunakan oleh banyak orang dalam menyelesaikan tugas.
Repeatable Belum ada standarisasi prosedur untuk pelatihan secara formal
1,51 – 2.50
but intuitive ataupun komunikasi dan tangung jawab bergantung pada individu.
Tingkat kepercayaan pada kemampuan individu sangat tinggi,
sehingga kesalahan yang sama sering kali terjadi.
Terdapat standarisasi prosedur dan telah didokumentasikan serta
Define dikomunikasikan melalui pelatihan. Proses wajib ditaati sesuai
2,51 – 3.50
Process standar. Penyimpangan sulit dideteksi. Prosedur yang digunakan
belum canggih tetapi diformulasikan pada praktek.
29
Manajemen memonitor dan mengukur kepatuhan pegawai dengan
Managed prosedur dan mengambil tindakan terhadap proses yang tampaknya
3,51 – 4.50 and belum berjalan efektif. Proses berada di bawah peningkatan
Measurable konstan dan memberikan latihan yang baik. Otomatisasi dan
peralatan digunakan secara terbatas atau terfragmentasi
Proses telah disempurnakan ke tingkat praktek yang baik,
berdasarkan hasil dari perbaikan berkelanjutan dan model maturity
dari perusahaan lain. TI digunakan secara terintegrasi untuk
4,51 – 5.0 Optimized
mengotomatisasi alur kerja, menyediakan alat-alat untuk
meningkatkan kualitas dan efektivitas, membuat organisasi cepat
beradaptasi
2.5 Aplikasi Penunjang Kegiatan Sekolah
2.5.1 MySchool
MySchool adalah aplikasi administrasi Akademik di Kafila International Islamic
School, didalamnya terdapat fitur-fitur untuk kebutuhan selama kegiatan belajar
dan mengajar (KBM). Modul dalam aplikasi Myschool diantaranya:
A. Buku Induk Siswa
B. Jurnal KBM
C. Jadwal Mengajar
D. Admnistrasi Perangkat (RPP, Silabus, Protas, dan Prosem)
E. Penilaian Harian, Semester
F. Tes Online Akademik (CBT)
G. Kelas Online
H. Cetak Rapot
30
Gambar 2. 1 Antarmuka My School
2.5.2 Portal PSB
Adalah aplikasi penerimaan siswa baru, didalamnya terdapat sistem penerimaan
siswa baru dengan modul-modul sebagai berikut:
• Pendaftaran akun calon pendaftar
• Pengunggahan berkas calon siswa baru
• Tes Online Akademik (CBT) untuk calon siswa baru
• Validasi data calon peserta siswa baru
31
Gambar 2. 2 Antarmuka Aplikasi Portal PSB KIIS
2.5.3 Aplikasi Asrama
Adalah aplikasi yang digunakan oleh bidang asrama dalam memonitor kegiatan
santri selama di asrama, didalamnya berisikan modul:
• Perizinan santri keluar sekolah (boarding)
• Daftar pelangaran santri selama di KIIS
• Ceklis kebersihan dan kerapihan kamar
• Ceklis keikutsertaan santri dalam kegiatan (sholat, olahraga, dll)
• Daftar riwayat kesehatan santri selama di KIIS
• Daftar kunjungan (buku tamu) wali santri KIIS
2.5.4 Aplikasi Ujian Alquran
Adalah aplikasi penunjang bidang tahfidz dalam kegiatan halaqoh santri,
didalamnya terdapat modul:
• Manajemen halaqoh, musyrif beserta santrinya
32
• Ujian tahfidz semester
• Rekapitulasi kehadiran dan kegiatan halaqoh
• Rekapitulasi penilaian keseharian santri di dalam halaqoh
Gambar 2. 3 Antarmuka Aplikasi Tahfidz KIIS
33
34
BAB III
METODE PENELITIAN
3.1 Metode Pengumpulan Data
Pengumpulan data dimaksudkan adalah langkah penulis dalam mengambil
gambaran keadaan keamanan informasi di KIIS yang kemudian nantinya data
tersebut diolah dan menghasilkan kesimpulan pada ujung penelitian. Berikut
merupakan metode penelitian yang penulis lakukan dalam penelitian ini.
3.1.1 Kuesioner
Pengumpulan data dilakukan dengan menggunakan kuesioner. Bahan kuesioner
tersebut menggunakan best practice standar ISO/IEC 27002:2013 pada klausul
yang terpilih berdasarkan penilaian risiko keamanan informasi di Kafila
International Islamic School. Narasumber yang penulis pilih adalah Kepala HRD,
Kepala Labkom dan Kepala Logistik KIIS. Penulis menggunakan metode kuesioner
personal (ahli) dan diisi langsung oleh responden sesuai dengan keadaan sebenar-
benarnya.
3.1.2 Wawancara
Wawancara penulis lakukan dengan Direktur Pendidikan Kafila
International Islamic School yang merupakan pemimpin organisasi KIIS pada
struktur organisasi guru KIIS mengenai keamanan informasi yang sudah berjalan
maupun kendala yang dihadapi organisasi guru KIIS. Berikut adalah rincian
kegiatan wawancara:
35
Hari / Tanggal: Selasa, 1 November 2018
Tempat : Ruang Kantor Direktur Pendidikan
Narasumber : Ahmad Alwasim, Lc, MA.
Berdasarkan wawancara yang telah dilakukan penulis mendapatkan informasi
antara lain:
a. Struktur Organisasi Pegawai KIIS.
b. Kekurangan sistem sebelum dilakukan penelitian.
c. Pembuatan Surat Edaran Evaluasi Keamanan Sistem Informasi KIIS.
3.1.3 Studi Literatur
Studi literatur ini dilakukan dengan membaca, memahami serta mempelajari
berbagai sumber referensi yang berkaitan/penelitian sejenis dengan Keamanan IT
menggunakan standar ISO 27002:2013:
Tabel 3. 1 Penelitian Sejenis

Institusi
No Penulis Tahun Judul
Developing an ISO
27001 Information
Department of
Security Management
Computer Engineering,
1. (Itradat et al., 2014). 2014 System for an
Hashemite University,
Educational Institute:
Jordan.
Hashemite University as
a Case Study
36
Fokus penelitian ini adalah mengenai kesiapan aset pada obyek penelitiannya, yaitu Sistem
Informasi Akademik Universitas Hashemite. Mereka menggunakan ISO 27001:2005. Hasil
penelitiannya adalah Sistem Informasi Universitas Hashemite dalam level “Do”, dalam skala
kematangannya, SE-CMM.
Penggunaaan metode yang sama yaitu PDCA dan SE-CMM dalam menentukan level
kematangannya. Perbedaannya dengan penelitian yang dilakukan penulis adalah pada proses
PDCA-nya. Dalam jurnal ini, mereka tidak memulai dari tahap Plan, yaitu langsung pada proses
Do, dimana mereka tidak lagi mengdentifikasi kebijakan dan manajemen, karena sudah ada.
2016 IEEE
An Expert System for
International
Risk Assessment of
Conference on
(Sihwi, Andriyanto, &
2019 Information System
Anggrainingsih, 2016) Knowledge Engineering
Security Based On ISO
and Applications,
27002
ICKEA 2016
Penelitian ini berhasil menciptakan sistem pakar yang mampu untuk memprediksi posisi kondisi
keamanan di berbagai perusahaan, menentukan apakah perusahaan tersebut akan melakukan audit
2 keamanan terhadap sistem informasinya, dan juga memberikan optimalisasi pengambilan
keputusan dalam menentukan dimana risiko kritis yang harus menjadi prioritas perusahaan yang
berkaitan dengan keamanan sistem informasi. Sistem pakar memiliki hasil yang baik dalam
melakukan penilaian risiko, yaitu 87,72% tingkat kesesuaian hasil penilaian risiko dan 5,26%
terjadinya kesalahan dampak kecil, 7,02% terjadinya kesalahan non-fatal dan 0% terjadinya
kesalahan berbahaya dalam pemberian rekomendasi.
Meskipun penelitian ini berbentuk “prediksi”, namun dapat diambil kesimpulan bahwa semakin
besar perusahaan dan karyawannya, semakin tinggi tingkat kerentanan dan resiko terjadinya
kesalahan dalam sistem manajemen perusahaan.
37
Security Review Based
Proceedings of
on Iso 27000 / Iso 27001
/ Iso 27002 Standards : Researchfora 48th
International
(Tamimi, 2019) 2014 Security Review Based
Conference, Istanbul,
on Iso 27000 / Iso 27001
/ Iso 27002 Standards : Turkey
a Case Study Research
Dalam studi kasus ini, penelitian ini berkonsentrasi untuk mempraktikkan aktivitas keamanan
dalam ISO 27000 terkait dengan proses manajemen risiko, serta proses peninjauan dan audit atas
ditemukannya klausul yang tidak sesuai dengan perusahaan. Berkenaan dengan ISO 27001,
penelitian ini berkonsentrasi untuk memeriksa aktivitas keamanan untuk dokumentasi perusahaan
yang terkait dengan peran penetapan persyaratan kebijakan keamanan. Terakhir, penelitian ini
3 juga berkonsentrasi pada praktik beberapa aktivitas keamanan di ISO 27002 terkait dengan proses
peninjauan pada kode sumber yang diberikan dalam kaitannya dengan pola keamanan berbasis
kerentanan.
Penggunaan standar ISO 27000 / ISO 27001 / ISO 27002 membantu secara profesional untuk
memenuhi tingkat ISMS yang lebih tinggi dan untuk mendapatkan sertifikat. Penelitian ini
melakukan metodologi penelitian studi kasus untuk mempraktikkan dan mendemonstrasikan
jumlah aktivitas keamanan berdasarkan daftar dan pedoman standar ISO 27000 / ISO 27001 / ISO
27002. Pertama, praktik berdasarkan ISO 27000 menghasilkan terminologi yang ditinjau dari
kebijakan manajemen risiko dan sistem manajemen. Kedua, praktik berdasarkan ISO 27001
menghasilkan persyaratan keamanan yang ditinjau di dokumentasi perusahaan secara tepat untuk
menyelesaikan tanggung jawab manajemen puncak dan batas-batas penetapan ruang lingkup
proyek. Ketiga, praktik berdasarkan ISO 27002 mengakibatkan kesenjangan dalam menyertakan
skrip pencegahan dari pola keamanan berbasis kerentanan.
Digital library
(Han, Huang, Li, & Ren, Risk assessment of
4 2016
2016) digital library information security
38
information security: a
case study
Penelitian ini menggunakan metode perkalian GB/T20984-2007 untuk menilai risiko keamanan
informasi perpustakaan digital sesuai dengan prinsip ISO 27000. Tujuan dari penelitian ini adalah
untuk memberikan pembuktian tentang kelayakan metode ini dan memberikan saran untuk
meningkatkan nilai informasi.
Secara keseluruhan, 2.792 skor risiko diperoleh. Di antaranya, 282 item (terhitung 10,1 persen dari
total) mencapai tingkat risiko tinggi; 2 (0,1 persen) mencapai tingkat risiko yang sangat tinggi.
Item berisiko tinggi melibatkan 26 jenis ancaman (terhitung 44,1 persen dari semua jenis ancaman)
dan 13 jenis kerentanan (terhitung 22,1 persen dari semua jenis kerentanan). Evaluasi tersebut
mengungkapkan bahwa perpustakaan digital ini menghadapi tujuh bahaya tersembunyi utama
dalam keamanan informasi. Hasil penilaian diterima dengan baik oleh anggota staf perpustakaan
digital ini.
Penelitian ini menggunakan penilainya nilai aset sebagai bahan pertimbangan penilaian, adapun
ISO 27000 digunakan sebagai konsep utama keamanan.
ISO/IEC 27000, 27001
and 27002 for Journal of Information

2013
(Disterer, 2013)
Security
Information Security
Management
Sistem informasi dan informasi semakin dihadapkan pada risiko melalui peningkatan dukungan
5 terhadap proses bisnis yang disediakan oleh teknologi informasi serta peningkatan tingkat jaringan
dalam perusahaan dan dengan pihak eksternal. ISMS yang efektif membantu mengurangi risiko
dan mencegah pelanggaran keamanan.
Melalui studi literatur, peneliti mengungkap bagaimana ISO 2700k berkerja dan mengapa peneliti
memberikan kesimpulan bahwa keluarga ISO 27000 dapat meningkatkan proses manajemen lebih
baik dan cepat.
39
Risk-Assessment Based Proceedings of the 2nd
Academic Information International

(Jufri, Hendayun, &
2018 System Security Policy Conference on
Suharto, 2018)
Using OCTAVE Allegro Informatics and
6
and ISO 27002 Computing, ICIC 2017
Walaupun menggunakan metode yang berbeda (OCTAVE), penelitian in menggunakan alur yang
sama dengan penulis, yaitu melakukan penilaian aset pada setiap perhitungan aset IT serta
menggunakan standar yang sama, yaitu ISO 27002.
Information Security IFIP Advances in
Specialist Training on Information and

(Dodge & Futcher, 2013) 2013
the Basis of ISO/IEC Communication
27002 Technology
7
Penelitian ini berkutat pada requirement apa saja untuk menentukan kemampuan dan persyaratan
pengukuran auditee dan auditor. Di dalamnya terdapat bagaimana pengelolaan manajemen,
tindakan koreksi hingga pembangunan kepedulian, pelatihan dan edukasi terhadap manajemen dan
ISO 27002.
Towards a framework
for partnerships Proceedings of the
between higher International

(Vorster & Goosen, 2018) 2018
education institutions Conference on e-
8 and E-learning Learning, ICEL
schools
Penelitian ini menggunakan topik yang terkait dengan pengembangan dan inovasi pembelajaran
menggunakan e-sekolah (e-learning). Perlu diingat bahwa hanya lembaga pendidikan tinggi yang
mendukung adopsi teknologi sekolah e-learning, ini. Ketidakcocokan pada level dibawah
perguruan tinggi dikarenakan anak-anak lebih membutuhkan dampingan secara lagsung.
40
Measuring BIM Architectural
(Succar, Sher, & Williams,
2012 performance: Five Engineering And
2012)
metrics Design Management
9
Artikel ini berisikan mengenai pemodelan penilaian sistem, didalamnya terdapat beberapa langkah
yaitu: menghitung kapabilitas sistem -> menilai nilai kematangan (CMM) -> competency sets ->
glanurality. Metode ini sangat lengkap dalam pengembangan pemodelan sistem. Penulis
menggunakan studi ini untuk menentukan nilai kematangan sistem (CMM).
Cyber security
education is as
(Venter et al., 2019) 2019 Heliyon
essential as “the three
R's”
Penelitian ini berkutat pada tren penyerangan social engineering pada generasi muda, termasuk
10 penyerangan menggunakan smartphone. Dikarenakan smartphone adalah bukan lagi sebagai alat
komunikasi, namun alat belanja dan kebutuhan lainnya, seringkali terjadi penyerangan. Dengan
masyarakat Afrika sebagai obyek penelitian, didapatkan bahwa 60% internet diakses oleh
masyarakat yang berumur 40 tahun kebawah. Dalam hal ini, angka tersebut mendominasi trend
penyerangan. Sehingga terlihat betapa pentingnya antisipasi penyerangan yang baik. Termasuk
pembekalan pegawai mengenai bahaya keamanan pada perangkat dan rekayasa sosial (social
engneering).
3.2 Metode Analisis Data
Penulis menggunakan model siklus Plan-Do-Check-Act (PDCA).
a) Plan
Pada tahap ini, penulis menemui Direktur Pendidikan Kafila International
Islamic School, mempelajari kembali profil, visi dan misi hingga struktur
41
transformasi terbaru Kafila International Islamic School. Dengan informasi
tersebut, penulis dapat mempelajari:
i) Proses Bisnis
Proses bisnis pada Kafila International Islamic School, sebelum adanya
ISO 9001:2008, setelah adanya ISO, hingga cita-cita Kafila
ii) Alokasi Sumber Daya Organisasi
Mengidentifikasi alokasi sumber daya pada bidang-bidang dalam
organisasi, termasuk perbandingan jumlah sumber daya manusia dengan
beban dan tanggungjawab masing-masing bidang.
iii) Aset
Mengidentifikasi aset-aset Kafila International Islamic School. Aset
yang dimaksud adalah aset informasi, infrastruktur dan layanan
(produk).
iv) Teknologi
Mengidentifikasi teknologi yang dipakai dalam pembangunan
infrastruktur; kualitas perangkat dan perangkat lunak.
v) Alur
Mengidentifikasi jalur instruksi dan koordinasi pada/ke masing-masing
bidang/divisi pada kepengurusan organisasi Kafila International Islamic
School.
b) Do
42
Penulis mengamati secara langsung bagaimana manajemen berjalan pada
Kafila International Islamic School. Proses yang dilakukan adalah:
i) Mengidentifikasi risiko
Langkah dalam indentifikasi risiko adalah sebagai berikut:
(1) Identifikasi aset pada Kafila International Islamic School. Parameter
identifikasi adalah kerahasiaan informasi, keutuhan informasi dan
ketersediaan informasi (CIA triad).
(2) Identifikasi pada proses bisnis yang berjalan dan akan berjalan pada
aspek ancaman dan kelemahan.
ii) Menganalisa dan evaluasi risiko
Merupakan tindak lanjut dari identifikasi risiko. Penulis menganalisa
risiko, apakah risiko dapat diabaikan ataukah harus dilakukan tindakan
preventif untuk menghindari risiko tersebut. Langkah yang penulis
lakukan adalah:
(1) Menganalisa dampak bisnis. Penulis menggunakan metode
Bussiness Impact Analysis (BIA) dalam penentuan skala.
(2) Membuat matriks level risiko untuk menganalisa risiko yang terjadi
dan akan terjadi sehingga nilai dari matriks ini menjadi perhatian
dalam menentukan rencana kedepannya.
(3) Jika sudah ditentutan matriksnya, diberikan prioritas pengelolaan
risiko dari prioritas tinggi (darurat) hingga prioritas rendah.
c) Check
43
Proses pengecekan ini adalah pemilihan obyek kontrol dan kontrol
keamanan informasi berdasarkan kondisi dan nilai risiko yang didapat dari
langkah sebelumnya (matriks level risiko). Penulis juga mengukur
kematangan keamanan sistem. Langkah penilaian kematangan sistem
sebagai berikut:
i) Kuesioner
Penulis menggunakan klausul pada best practice ISO 27002:2013
untuk diimplementasikan dalam mengidentifikasi sistem manajerial di
Kafila International Islamic School. Kuisioner diberikan kepada 3
bagian penting organisasi: Manajemen Representatif, Kepala Labkom,
Koordinator Jaringan dan Staf Labkom dengan jumlah resonden
sebanyak 4 orang.
ii) Penilaian tingkat kematangan sistem.
Penulis menggunakan Security Engineering Capability Maturity Level
(SSE-CMM). Penjelasan penilian adalah sebagai berikut:
Tabel 3. 2 Level Kemampuan SSE-CMM
Rentang Nilai Tingkat Kematangan
0 – 0,50 0 – Non Existent
0,51 – 1,50
1 – Initial
2 – Repeteable
1,51 – 2,50
3 – Defined
2,51 – 3,50
4 – Managed
3,51 – 4,50
44
5 – Optimized
4,51 – 5,00
Penghitungan yang dipakai adalah nilai hasil level kematangan rata-rata dari
setiap kontrol obyek dan rata-rata keseluruhan klausul.
d) Act
Penulis memberikan rekomendasi dari hasil temuan penghitungan nilai
kematangan yang sudah dihitung sebelumnya sebagai bahan evaluasi proses
bisnis Kafila International Islamic School.
3.3 Kerangka Penelitian
Penulis merecanakan kerangka evaluasi keamanan sistem infomasi di Kafila
International Islamic School (KIIS) sebagai berikut:
45
Gambar 3. 1 Kerangka Penelitian
46
47
BAB IV
PEMBAHASAN
4.1 Kafila International Islamic School
4.1.1 Gambaran Umum
A. Profil Kafila Internationa Islamic School
Kafila International Islamic School (‫ )معهد كافلة اإلسالمي العالمي‬atau KIIS adalah
sebuah lembaga pendidikan yang berbasis pesantren putera. Masyarakat lebih
mengenal sebagai Pesantren Kafila, ma'had Kafila atau sekadar menyebut Kafila.
Tidak lazim sebagaimana pesantren pada umumnya, Kafila berlokasi di wilayah
perkotaan, tepatnya Jakarta Timur. Peminat pesantren ini selalu meningkat dari
tahun ke tahun. Selain karena beasiswa penuh, masyarakat tertarik dengan program
pendidikan penuh berorientasi pada sinergi akhlak- sains dan tahfidzul qur'an.
Berbagai prestasi pun telah ditorehkan oleh para santri Kafila dalam ajang
perlombaan dan nilai UN.
B. Sejarah Kafila Internationa Islamic School
Awalnya (tahun 2005) ada 2 pengusaha mendirikan sebuah lembaga pendidikan
untuk anak jalanan dan yatim piatu dan diberi nama Kafila School. Pengusaha
tersebut adalah Ir. H. Abdullah Mas'ud (pembina yayasan), Ust. Masrur Syamhari
dan dibantu oleh H. Agus. Beliau berdua mendirikan Yayasan Kafila karena
memiliki masa kecil yang kurang beruntung dalam bidang ekonomi dan pendidikan,
sehingga membuat yayasan ini sebagai cara mereka bersyukur.
48
Awalnya anak-anak binaan Kafila School yang berasal dari wilayah Jabodetabek.
Tiga santri berasal dari wilayah Bogor, tiga santri dari kawasan Kalijodo, Jakarta
Utara dan dua santri dari Cililitan, Jakarta Timur. Mereka diasuh oleh Ust.
Sudarisman Ahmad dan Ust. Saifullah sebagai pembina kepribadian dan pelajaran
diniyah (agama). Ust Sudarisman yang ditunjuk sebagai Pimpinan Kafila School
masih berstatus sebagai mahasiswa LIPIA. Selanjutnya pada akhir Desember 2005
didatangkanlah Ust Arifudin Zul Zadani yang saat itu berstatus sebagai mahasiswa
Sekolah Tinggi Ilmu Statistik (STIS) untuk membantu belajar siswa dalam bidang
mata pelajaran umum.
Agar Kafila School berjalan lebih rapi dan terstruktur, maka dibentuklah Yayasan
Kafila Thoyiba. Juli 2006, Yayasan Kafila Thoyiba memutuskan untuk membuka
pesantren yang menjadikan program Tahfidzul Qur'an dan Bahasa Arab sebagai
program unggulan dengan sebagai Mudir (Pimpinan) adalah Ust. Sudarisman
Ahmad. keputusan mendirikan Pesantren Kafila terhitung cukup mendadak.
Konsep awal pesantren didesain oleh Ust. Sudarisman Ahmad dengan dibantu oleh
Ust. Nurkhamdi sebagai Wali Asrama, Ust. Ahmad Alwasim sebagai Guru Tahfidz
dam Ust. Arifudin Zul Zadani yang berfokus mata pelajaran umum.
Pada perekrutan untuk pertama kalinya, diperoleh 15 santri dari daerah: Jakarta,
Bogor, Tasikmalaya, Bandung, Cilacap, Magelang dan Yogyakarta. Mereka adalah
santri angkatan pertama Pesantren Kafila.
Untuk lebih memberikan motivasi pada warga pesantren, pada tahun 2007
Pesantren Kafila memperkuat school identity dengan dilakukan perubahan nama
49
dari Kafila School menjadi Kafila Islamic School yang dikemudian hari
disempurnakan menjadi Kafila International Islamic School sebagaimana yang
dicita-citakan. Visi dan misi pesantren pun disederhanakan namun lebih berbobot.
Pada tahun tersebut Abah Mas'ud (panggilan akrab H. Abdullah Mas'ud )
memimpin Yayasan Kafila Thoyiba. Sementara itu Ust Masrur mendirikan
pesantren khusus Tahfidzul Qur'an Bina Madani di Bogor.
Kemudian, Abah Mas’ud membangun bebrapa unit usaha sebagai pendukung
utama keuangan operasional pesantren agar ada penyokong dana pendidikan
sebagai subsidi cost dari pesantren. Unit-unit usaha ini tergabung dalam Kafila
Group yang terdiri dari beberapa perusahaan di berbagai bidang yang berbeda:
travel umrah dan haji, koperasi simpan pinjam, layanan katering dan laundry
perusahaan, bengkel mobil, agen tiket hingga pengeboran dan distribusi migas.
Ust Sudarisman dan Ust Zul Zadani setelah menerima Sertifikat ISO-9001:2008
dari Gubernur Fauzi Bowo. Implementasi ISO-9001:2008 di lingkungan Pesantren
Kafila sebagai wujud komitmen perbaikan terus menerus menjadi program
pengembangan utama hingga disertifikasi pada Maret 2009. Di bawah
kepemimpinan Ust. Sudarisman Ahmad selaku direktur pesantren dan Ust Arifudin
Zul Zadani sebagai Management Representative (QMR) penataan organisasi terus
dilaksanakan untuk menemukan pola manajemen pesantren yang sesuai. Struktur
organisasi dirapikan dan menetapkan tiga proses utama pendidikan:
• Akhlak dan kepemimpinan di asrama
• Pengetahuan dan keterampilan di sekolah
50
• Menghafal Al Qur'an atau tahfidzul qur'an
Setiap core process tersebut di atas dipimpin oleh seorang wakil direktur. Tiga
pejabat wakil direktur pertama tersebut adalah: Ust. Nur Hamdi sebagai Wakil
Direktur Bidang Keasramaan; Ust. Arifudin Zul Zadani sebagai Wakil Direktur
Bidang Pendidikan dan Pengajaran; Ust. Ahmad Al Wasiem sebagai Wakil
Direktur Bidang Tahfidzul Qur'an. Dapat dikatakan bahwa ketiga Wakil Direktur
tersebut yang dipimpin oleh Ust Sudarisman Ahmad dan dibantu oleh Ust Muh.
Qasim Ausath merupakan peletak dasar program pendidikan Pesantren Kafila yang
sampai saat ini diimplementasikan.
Madrasah Aliyah (MA) Kafila resmi berdiri pada tahun 2010 dengan kepala sekolah
Ust. Yazid Abdul Alim yang merangkap sebagai pimpinan Pesantren Kafila,
meneruskan tongkat estafet dari Ust. Sudarisman Ahmad yang telah membidani dan
mengembangkan Pesantren Kafila selama 5 tahun dan kini melanjutkan studinya di
Riyadh, Saudi Arabia
C. Visi dan Misi Kafila International Islamic School
Visi
“Menjadi lembaga pendidikan islam internasional yang unggul, maju dan
terpandang.”
Misi
“Mencetak generasi ahlus sunnah wal jama’ah yang berjiwa wirausaha dan
berwawasan global.”
51
D. Struktur Organisasi Kafila International Islamic School
Gambar 4. 1 Struktur Organisasi Kafila International Islamic School
E. Logo Kafila International Islamic School
Gambar 4. 2 Logo Kafila International Islamic School (KIIS, 2019)
4.1.2 Ruang Lingkup Keamanan Informasi Kafila International Islamic
School
Kafila International Islamic School sudah mempunyai ISO 9001:2008 sebagai
standar manajemen pada setiap operasionalnya. Ada beberapa sistem yang berjalan
pada KIIS, yaitu:
• Sistem Informasi Penerimaan Siswa Baru
• Sistem Informasi Sekolah
• Sistem Informasi Perizinan Asrama
52
• Aplikasi Ujian Tahfidz
• Sistem Buku Tamu
• Sistem Informasi Perpustakaan
Dengan Kafila International Islamic School (KIIS) telah mendukung komitmen
dalam penerapan ISO 9001:2008, dengan adanya rencana evaluasi keamanan ISO
27001 dan ISO 27002 maka akan memberikan feedback yang lebih banyak kepada
sistem yang kini sedang berjalan di KIIS. Domain yang diteliti (setelah proses
wawancara awal) adalah Manajemen Data dan Keamanan Aset Informasi. Berikut
adalah domain fokus peneliti:
• Domainnya adalah Divisi Manajemen dan IT.
• Sistem IT Internal Organisasi dan Jaringan Komputer yang digunakan untuk
aktifitas proses bisnis sekolah, yaitu: Server Web, Data Center, dan Aplikasi
Internal KIIS.
4.1.3 Penentuan Kebijakan Sistem Manajemen Keamanan Informasi
Perlindungan aset organisasi sangat vital untuk penunjang kesuksesan proses bisnis
sekolah, kebutuhan akan sistem keamanan juga sangat penting agar data terstruktur
dan terjaga. Maka tanggapan dari Manajerial KIIS adalah kebutuhan akan
pengembangan dan pemeliharaan data organisai. Namun, KIIS belum memberikan
Surat Edaran Arahan dan Tujuan Kebijakan karena belum adanya pengertian
domain mana saja yang dibutuhkan dalam penelitian ini, maka KIIS berharap
dengan adanya penelitian ini dapat memberikan inspirasi dalam penentuan
penerapan domain mana saja yang dibutuhkan dalam dokumen kebijakan kemanan
53
informasi. Adapun dokumen yang dapat diberikan adalah Surat Edaran Penerapan
Standar Informasi (terlampir).
Arahan dan tujuan direncanakannya sistem keamanan informasi oleh direktur
pendidikan Kafila International Islamic School (KIIS) adalah:
• Semua guru dan karyawan harus mematuhi dan menjalankan kebijakan
kemanan informasi yang telah disepakati untuk melindungi kerahasiaan,
keutuhan dan ketersediaan informasi KIIS.
• Kepala Labkom KIIS memiliki tanggung jawab dalam pengelolaaan dan
pemeliharaan sistem dan kebijakan keamanan informasi serta berkontribusi
aktif dalam pengembangannya.
• Secara berkala harus dilakukan penilaian kembali peristiwa kerusakan yang
dialami KIIS dan melakukan evaluasi untuk kedepannya.
• KIIS melakukan pelatihan keamanan informasi berkala terkait untuk
melindungi aset informasi yang penting.
• Adanya prosedur baru yang direncanakan dan kontrol guna mendukung
kebijakan keamanan informasi.
54
4.2 Plan
4.2.1 Infrastruktur Jaringan KIIS
Gambar 4. 3 Infrastruktur Jaringan KIIS
4.2.2 Arsitektur IT
Tabel 4. 1 Infrastruktur IT di KIIS
Infrastruktur IT di KIIS
Location Jalan Raya Bogor KM 22,5 Ciracas Jakarta Timur
Business Application Myschool (akademik), Ehsan (feedback), TahfizApp
(alquran)
Operating System Services Server: Redhat
Desktop: Windows 7 dan Windows 10
Network Services Email & Pop
Security Firewall: default
Communication Infrastructure LAN, WAN, Mikrotik
55
Tabel 4. 2 Spesifikasi Aset IT
IT Assets Specification
Server IBM System x3650 (2016)
Operating System: Redhat RHEL 7.4 (2017)
Firewall: firewalld (default)
Labkom Backup Computer (Server) Operating System: Windows 10
Intel i5 (5th Generation)
8 GB RAM
Labkom Backup Computer (MTS) Operating System: Windows 7 SP1
8 GB RAM
Labkom Backup Computer (MA) Operating System: Windows 8
8 GB RAM
Labkom Computer (Students) Operating System: Xubuntu vers 20
4-8 GB RAM (variated)
Network OS: Mikrotik Vers 6.34 (updated on March 2016)
Switch LAN-hub TP LINK TL-SG1024D (24 PORT) -> Labkom
D-Link DES 1024D (24 Port) -> Control Room
Wifi Router Tp-link TL-WR840N
Ubiquity N2
4.2.3 Penentuan Resiko (Risk Assessment)
Penulis menentukan penilaian resiko terhadap informasi yang dimiliki oleh
organisasi. Adpaun penjelasan lebih lanjutnya adalah;
A. Metode Risk Asssessment
Metode yang penulis lakukan dalam penilaian resiko adalah metode matematis
dengan penerapan logika.
B. Kriteria Penerimaan Resiko
Kriteria penilaian yang penulis buat adalah sebagai berikut:
Tabel 4. 3 Kriteria Penerimaan Resiko
Penerimaan Resiko Keterangan

Resiko Diterima Resiko dapat diterima organisasi dengan segala
(risk acceptable) dampaknya dan proses bisnis dapat berjalan terus
56
Resiko dapat diterima organisasi, namun organisasi
Resiko direduksi
mereduksi dampaknya dengan menggunakan kontrol
(risk reduction)
keamanannya
Organisasi perlu menghindari penyebab penyebab
timbulnya resiko dan menghentikan aktifitasnya jika gejala
Resiko dihindari atau ditolak
resiko muncul seperti mematikan manual komputer server
(risk avoidance)
jika tidak dapat dimatikan melalu command
promp/terminal komputer backup server
Organisasi menerima resiko tersebut dengan mengalihkan
Resiko dialihkan pada pihak
kepada pihak ketiga dengan kompensasi sesuai perjanjian
ketiga
dengan perusahaan seperti: vendor asuransi, garansi
(risk transfer)
prosuk dan lainnya.
C. Variabel Penilaian
Penulis menggunakan matriks 3x3 sebagai kriteria penilaian dengan variabel
sebagai berikut:
• Probabilitas ancaman (threat probability).
• Biaya ancaman (recovery cost).
• Biaya transfer resiko pada pihak ketiga (risk transfer cost).
Adapun tabel matriksnya adalah sebagai berikut;
Tabel 4. 4 Matriks Kriteria Penerimaan Resiko

Probabilitas Biaya Pemulihan (BP)
Ancaman (PA) Rendah Sedang Tinggi
Tinggi Diterima Dihindari Dialihkan
Sedang Diterima Dikurangi Dialihkan
Rendah Diterima Dikurangi Dialihkan
Tinggi Sedang Rendah
Biaya Transfer Resiko (BTR)
Matriks diatas menggunakan logika AND (nilai 0 dan 1) dan dijelaskan sebagai
berikut:
• Jika nilai variabel bernilai low, maka resiko diterima.
• Jika nilai variabel bernilai high, maka resiko ditolak.
57
• Jika nilai biaya pemulihan lebih kecil daripada biaya transfer resiko, maka
resiko dapat diterima (acceptable).
• Jika nilai biaya pemulihan lebih besar daripada biaya transfer resiko, maka
resiko diterma dengan status “transfer”/dialihkan.
• Jika nilai biaya pemulihan sama dengan biaya transfer risiko, maka
organisasi menekan biaya tersebut menggunakan kontrol keamanan sampai
pada level dapat diterima oleh organisasi. Apabila tidak, maka resiko ditolak
(avoided).
Sehingga penulis membuatkan tabel kebenaran sesuai ilustrasi diatas;

Tabel 4. 5 Tabel Kebenaran Kriteria
Probabilitas Ancaman Biaya Pemulihan Biaya Transfer Resiko

Nilai Kriteria
(PA) (BP) (BTR)
Rendah Rendah Tinggi Rendah Diterima
Sedang Rendah Tinggi Rendah Diterima
Tinggi Rendah Tinggi Rendah Diterima
Rendah Sedang Sedang Rendah Dikurangi
Sedang Sedang Sedang Sedang Dikurangi
Tinggi Sedang Sedang Sedang Dihindari
Rendah Tinggi Rendah Rendah Dialihkan
Sedang Tinggi Rendah Rendah Dialihkan
Tinggi Tinggi Rendah Rendah Dialihkan
4.2.4 Identifikasi Resiko
Penulis melakukan indentifikasi resiko untuk memberikan pemahaman seberapa
besar resiko tersebut berdampak pada organisasi dan resiko apa saja yang diterima
organisasi jika mendapat gangguan atau ancaman dalam keamanan informasi.
Langkah-langkah yang penulis lakukan adalah:
58
A. Mengidentifikasi Aset
Tabel 4. 6 Tabel Aset Informasi KIIS
Jenis Aset Nama Aset Penjelasan

Database dan dokumentasi guru
dan pegawai KIIS. Didalamnya
terdapat sistem kehadiran guru,
Data Karyawan
identitas guru dan karyawan, dan
dokumentasi jobdesk masing-
masing bidang
Database dan dokumentasi siswa
Data Penerimaan Siswa Baru saat pendaftaran, MoU pendidikan
dan hasil seleksi tes masuk
Database dan dokumentasi
pembelajaran, didalamnya terdapat
sistem kehadiran siswa, sistem
Data Sekolah
penilaian sekolah, sistem ujian
sekolah, CBT, serta aplikasi cetak
rapor.
Database dan dokumentasi
Dokumen keasramaan, didalamnya terdapat
Data Keasramaan sistem perizinan siswa, sistem UKS,
data pelanggaran siswa, serta
aplikasi cetak rapor asrama.
Database dan dokumentasi tahfidz,
didalamnya terdapat sistem ujian
Tahfidz, sistem kahadiran musyrif,
Data Tahfidz
data pelanggaran tahfidz dan
prestasi siswa, serta aplikasi cetak
rapor tahfidz.
Berbagai aplikasi di kembangkan di
labkom. Di labkom ada 2 jenis
komputer, komputer backup server
Data Laboratorium Komputer (ditujukan sebagai komputer
pengembangan aplikasi) dan
komputer praktek siswa dalam mata
pelajaran TIK.
Aplikasi yang digunakan untuk
Aplikasi MySchool
mengeola data sekolah
Aplikasi PSB
Perangkat Lunak mengeola data siswa baru
Sistem Aplikasi yang digunakan untuk
Aplikasi Ujian Quran
ujian quran
Aplikasi Asrama
pengelolaan asrama
Komputer yang digunakan siswa
Komputer Laboratorium
dalam proses KBM TIK
Mikrotik Jaringan Internet dan LAN KIIS
Perangkat Keras Sebagai alat penyimpanan aplikasi
Server
dan data lokal
Komputer yang digunakan sebagai
Komputer Backup Server
backup server dan digunakan juga
59
untuk mengembangkan aplikasi
internal
Komputer yang digunakan oleh
Komputer Asrama
bidang asrama
Komputer yang digunakan oleh
Komputer Tahfidz
bidang tahfidz
Komputer yang digunakan admin
dalam pengelolaan data surat
Komputer Admin
menyurat KIIS hingga pengelolaan
data pegawai
CCTV Labkom CCTV keamanan
Pemadam Kebakaran (fire Fitur dalam gedung sebagai
extinguisher dan sensor api dalam detektor panas dan asap, bel darurat,
gedung) dan alat pemadam kebakaran
AC khusus labkom yang harus on
24 jam untuk memastikan sebagai
Pendingin Ruangan (AC) Labkom
pendingin yang baik untuk ruangan
server
B. Penghitungan Nilai Aset
Penulis menghitung nilai aset berdasarkan pada prinsip keamanan data, yaitu Aspek
Kerahasiaan (confidentiality), Aspek keutuhan (integrity) dan aspek ketersediaan
(availability).
Berikut adalah penilaian aset berdasarkan kriteria kerahasiaan;
Tabel 4. 7 Kriteria Confidentiality
Kriteria Confidentiality Nilai Confidentiality (NC)

Public 0
Internal use only 1
Private 2
Confidential 3
Secret 4
Berikut adalah penilaian aset berdasarkan kriteria keutuhan.

Tabel 4. 8 Kriteria Integrity
Kriteria Integrity Nilai integrity (NI)

No Impact 0
Minor incident 1
General disturbance 2
Mayor disturbance 3
Unacceptable damage 4
60
Berikut adalah penilaian aset pada kriteria ketersediaan.
Tabel 4. 9 Kriteria Availability
Kriteria Availability Nilai Availability (NV)

Low/no availability 0
Office hours availability 1
Strong availability 2
High availability 3
Very high availability 4
Dari ketiga kriteria tersebut, rumus untuk mencari nilai aset adalah sebagai berikut:
Nilai Aset = Nilai Confidentiality + Nilai Integrity + Nilai Availability
Maka penghitungan nilai aset pada fasilitas informasi KIIS adalah:

Tabel 4. 10 Tabel Nilai Aset pada Fasilitas Informasi KIIS
Jenis Aset Nama Aset NC NI NV NA

Data Karyawan 4 3 2 9
Data Penerimaan Siswa Baru 4 3 2 9
Data Sekolah 4 4 4 12
Dokumen
Data Keasramaan 4 3 4 11
Data Tahfidz 4 3 4 11
Data Laboratorium Komputer 4 4 4 12
Aplikasi MySchool 4 4 4 12
Perangkat Lunak Aplikasi PSB 4 2 4 10
Sistem Aplikasi Ujian Quran 4 2 2 8
Aplikasi Asrama 4 3 4 11
Komputer Laboratorium 2 3 3 8
Mikrotik 4 4 4 12
Server 4 4 4 12
Komputer Backup Server 4 2 2 8
Komputer Asrama 4 3 3 10
Perangkat Keras Komputer Tahfidz 3 3 2 8
Komputer Admin 4 4 4 12
CCTV Labkom 4 4 4 12
Pendingin Ruangan (AC) Labkom 4 1 4 9
Pemadam Kebakaran (fire extinguisher dan
2 2 4 8
sensor api dalam gedung)
C. Identifikasi Ancaman (threat) dan Kelemahan (vulnerability) yang
dimiliki Aset.
Perlu dibuat tabel identifikasi ancaman yang mungkin akan terjadi terhadap aset
organisasi, tabel yang penulis buat adalah sebagai berikut:
61
Tabel 4. 11 Contoh Tabel Kemungkinan Gangguan Keamanan
Rerata
Kejadian Jenis Probabilitas
Probabilitas
Gangguan sumber daya Vulnerable Rendah 0,1
Gangguan perangkat keras Vulnerable Sedang 0,5
Kebakaran Threat Rendah 0,1
Serangan Virus
Threat Tinggi 0,5
(virus, trojan, dan worm)
Intruder
Threat Sedang 0,3
(penyusup/hacker/orang luar)
Kerusakan Data (corruption) Vulnerable Sedang 0,4
Data missing recipient
Vulberable Rendah 0,1
(kesalahan pengiriman data)
Gangguan Petir Threat Rendah 0,3
Bencana Alam (gempa, banjir) Threat Rendah 0,1
Akses ilegal (unautorized access) Threat Sedang 0,5
Dengan kriteria penilaian sebagai berikut:
Low = Nilai Rerata 0,1 – 0,3
Medium = Nilai Rerata 0,4 – 0,6
High = Nilai Rerata 0,7 – 1,0
Penulis menggunakan rumus berikut untuk menghitung nilai ancaman:
Nilai Ancaman (NT) = ∑ Rerata Probabilitas / Jumlah Ancaman
Maka dengan penghitungan diatas, didapat nilai ancaman;

Tabel 4. 12 Tabel Penghitungan Nilai Ancaman Data Karyawan
Rerata
Probabilitas
Data Korup Vulnerable Rendah 0,2
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
Pencurian Data Threat Sedang 0,5
Kerusakan Data (corruption) Vulnerable Tinggi 0,9
Kesalahan input Vulnerable Sedang 0,5
Bug Aplikasi Vulnerable Rendah 0,1
Jumlah Ancaman = 8 Jumlah Rerata Prob. 0,46
Tabel 4. 13 Tabel Penghitungan Nilai Ancaman Data Penerimaan Siswa Baru
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
62
Intruder
Threat Sedang 0,5
Tabel 4. 14 Tabel Penghitungan Nilai Ancaman Data Sekolah
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
Tabel 4. 15 Tabel Penghitungan Nilai Ancaman Data Keasramaan
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
Tabel 4. 16 Tabel Penghitungan Nilai Ancaman Data Tahfidz
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
63
Tabel 4. 17 Tabel Penghitungan Nilai Ancaman Data Laboratorium Komputer
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
Tabel 4. 18 Tabel Penghitungan Nilai Ancaman Aplikasi MySchool
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
Password Buruk Vulnerable Tinggi 0,8
Tabel 4. 19 Tabel Penghitungan Nilai Ancaman Aplikasi PSB
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
64
Tabel 4. 20 Tabel Penghitungan Nilai Ancaman Aplikasi Ujian Quran
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
Tabel 4. 21 Tabel Nilai Ancaman Aplikasi Asrama
Rerata
Probabilitas
Serangan Virus
Threat Sedang 0,5
Intruder
Threat Sedang 0,5
Tabel 4. 22 Tabel Penghitungan Nilai Ancaman Komputer Laboratorium
Rerata
Probabilitas
Gangguan Listrik Vulnerable Tinggi 0,9
Kerusakan perangkat keras Vulnerable Tinggi 0,9
Kebakaran (arus pendek) Vulnerable Rendah 0,1
Serangan Virus (virus, trojan, dan
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
65
Tabel 4. 23 Perhitungan Nilai Ancaman Jaringan Mikrotik
Rerata
Probabilitas
Gangguan sumber daya Vulnerable Tinggi 0,9
Gangguan perangkat keras Vulnerable Tinggi 0,9
Intruder
Threat Rendah 0,3
Bencana Alam (petir) Threat Sedang 0,5
Tabel 4. 24 Tabel Penghitungan Nilai Ancaman Server Sekolah
Rerata
Probabilitas
Kebakaran (short circuit) Vulnerable Sedang 0,6
Threat Rendah 0,1
worm)
Intruder
Threat Rendah 0,3
Bencana Alam (gempa) Threat Rendah 0,1
Tabel 4. 25 Tabel Penghitungan Nilai Ancaman Komputer Backup Server
Rerata
Probabilitas
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
Tabel 4. 26 Tabel Penghitungan Nilai Ancaman Komputer Asrama
Rerata
Probabilitas
66
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
Tabel 4. 27 Tabel Penghitungan Nilai Ancaman Komputer Tahfidz
Rerata
Probabilitas
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
Tabel 4. 28 Perhitungan Nilai Ancaman Komputer Admin
Rerata
Probabilitas
Threat Rendah 0,3
worm)
Intruder
Threat Rendah 0,3
Tabel 4. 29 Tabel Penghitungan Nilai Ancaman CCTV Labkom
Rerata
Probabilitas
Intruder
Threat Sedang 0,3
67
Tabel 4. 30 Tabel Penghitungan Nilai Ancaman Pendingin Ruangan (AC) Labkom
Rerata
Probabilitas
Kebakaran Threat Rendah 0,2
Kerusakan fisik Vulnerable Sedang 0,3
Tabel 4. 31 Nilai Ancaman Keamanan Kebakaran

Rerata
Probabilitas
Tidak mengertinya penggunaan alat Vulnerable Sedang 0,6
4.3 Do
4.3.1 Analisa dan Evaluasi Resiko
Setelah penulis melakukan identifikasi resiko pada pembahasan sebelumnya,
penulis membuat analisa dan evaluasi resiko dengan langkah-langkah sebagai
berikut;
A. Analisa Dampak Bisnis (Business Impact Analysis)
Business Impact Analysisi (BIA) menggambarkan seberapa tahan bisnis jika
terdampak gangguan pada proses bisnis. Tapi sebelum pembahasan mengenai BAI,
penulis terlebih dahulu menentukan skala pada BIA;
Tabel 4. 32 Skala BIA
Batas Toleransi Keterangan Nilai Skala

Gangguan
< dari 1 pekan Not critical 0-20
1 hari s/d 2 hari Minor critical 21-40
<1 hari Mayor critical 41-60
68
<12 jam High critical 61-80
1<1 jam Very high critical 81-100
Dengan pengalaman kerja selama lebih dari 1 tahun pada KIIS, penulis
mengasumsikan untuk nilai BIA terhadap fasilititas informasi dalam sekolah
sebagai berikut;
Tabel 4. 33 Nilai BIA pada Fasilitas Informasi
Fasilitas Informasi Impact Nilai BIA Status

Data Karyawan Data Hilang 85 Very high critical
Data Penerimaan Siswa Baru Data Hilang 25 Minor critical
Data Sekolah Data Hilang 90 Very high critical
Data Keasramaan Data Hilang 90 Very high critical
Data Tahfidz Data Hilang 90 Very high critical
Data Laboratorium Komputer Data Hilang 25 Minor critical
Aplikasi tidak dapat
Aplikasi MySchool 100 Very high critical
digunakan
Aplikasi PSB 40 Minor critical
digunakan
Aplikasi Ujian Quran 70 High critical
digunakan
Aplikasi Asrama 100 Very high critical
digunakan
Mikrotik Jaringan Terputus 100 Very high critical
Server Operasi terhenti 100 Very high critical
Komputer Laboratorium Operasi terhenti 50 Mayor critical
Komputer Backup Server Operasi terhenti 80 High critical
Komputer Asrama Operasi terhenti 100 Very high critical
Komputer Tahfidz Operasi terhenti 80 Very high critical
Komputer Admin Operasi terhenti 95 Very high critical
CCTV Labkom Operasi terhenti 90 Very high critical
Pendingin Ruangan (AC)
Operasi terhenti 95 Very high critical
Labkom
Fire Extinguisher Terjadi Kebakaran 90 Very high critical
B. Mengestimasi Level Resiko
Setelah ditemukannya nilai aset, nilai ancaman (NT) dan nilai BIA, maka kita dapat
menimbang level resiko masing-masing aset informasi di Kafila International
Islamic School. Namun sebelum perhitungan dimulai, terlebih dahulu penulis
69
membuat matriks level resiko yang variabelnya diambil dari variabel nilai aset, nilai
ancaman dan nilai BIA. Berikut adalah matriks level resiko;
Tabel 4. 34 Matriks Level Resiko
Dampak Bisnis (BIA)

Probabilits
Medium Very High
Ancaman Not Critical Low Critical High Critical
Critical Critical
(NT) (0-20) (21-40) (61-80)
(41-60) (81-100)
Low diterima diterima diterima diterima diterima
(0,1) (0 s/d 2) (21 s/d 40) (41 s/d 60) (61 s/d 80) (81 s/d 100)
Medium diterima diterima diterima diterima direduksi
(0,5) (0 s/d 100 4x0,5x3=6 6x0,5x6=18 8x0,5x9=36 10x0,5x12=60
High diterima diterima direduksi ditolak
diterima
(1) 4x1x3=12 6x1x6=36 8x1x9=72 10x1x12=120
Penulis mengubah kompabilitas range untuk menyamakan skala pada perhitungan resiko
Dengan kriteria;
• 0 s/d 40 = Low Risk

• 41 s/d 80 = Medium Risk
• >80 = High Risk
C. Menentukan Penerimaan Resiko
Penulis menilai resiko berdasarkan hitungan menggunakan metode matematis sebagai

berikut;
Risk Value = Nilai Aset x BIA x Nilai Ancaman
Berikut adalah hasil perhitungan resiko pada tiap-tiap aset informasi KIIS;
Tabel 4. 35 Pengukuran Tingkat Resiko
Nama Aset Nilai Aset BIA Nilai Ancaman Risk Value Status
Data Karyawan 9 85 0,46 496,8 High Risk
Data Penerimaan Siswa Baru 9 25 0,46 455,4 High Risk
Data Sekolah 12 90 0,46 455,4 High Risk
Data Keasramaan 11 90 0,46 138 High Risk
Data Tahfidz 11 90 0,46 660 High Risk
Data Laboratorium Komputer 12 25 0,46 220 High Risk
Aplikasi MySchool 12 100 0,55 308 High Risk
Aplikasi PSB 10 40 0,55 605 High Risk
Aplikasi Ujian Quran 8 70 0,55 720 High Risk
Aplikasi Asrama 11 100 0,55 600 High Risk
Mikrotik 12 100 0,6 168 High Risk
Server 12 100 0,5 300,8 High Risk
70
Komputer Laboratorium 8 50 0,42 420 High Risk
Komputer Backup Server 8 80 0,47 268,8 High Risk
Komputer Asrama 10 100 0,42 478,8 High Risk
Komputer Tahfidz 8 80 0,42 648 High Risk
Komputer Admin 12 95 0,42 478,8 High Risk
CCTV Labkom 12 90 0,6 432 High Risk
AC 9 95 0,56 496,8 High Risk
Fire Extinguisher 8 90 0,6 455,4 High Risk
4.4 Check
4.4.1 Identifikasi dan Evaluasi Pilihan Penanganan Resiko
Setelah penulis melakukan analisa dan evaluasi resiko apasaja yang kerap mungkin
terjadi pada fasilitas IT KIIS, penulis sudah mempunya gambaran apa saja resiko
dan pengelolaan resiko tersebut serta memberikan solusi pemeliharaan aktivitas
keamanan dalam menggunakan fasilitas IT KIIS. Berikut penanganan resiko yang
dapat direncanakan:
1. Apabila hasilnya “diterima”, maka perlu menerapkan kontrol keamanan
yang sesuai (menggunakan ISO 27001 maupun 27002).
2. Apabila hasilnya direduksi, hampir sama dengan poin 1, dengan beberapa
penambahan pasal untuk keamanan.
3. Resiko yang dapat ditransfer kepada pihak ketiga, akan diatur juga dalam
pasal poin 1.
4.4.2 Pemilihan Obyek Kontrol dan Kontrol untuk Pengelolaan Resiko
Dengan adanya beberapa kerentanan dalam data, aplikasi dan fasilitas fisik IT,
maka penulis menemukan kontrol obyek dalam ISO 27002 yang berhubungan
sesuai dengan dokumentasi ISO 27002:2013 (BSI, 2013) , yaitu:
71
A. Information security policies (klausul 5), untuk memberikan arahan
informasi oleh pihak manajemen dalam berkoordinasi. Artinya
informasi harus sesuai dengan apa yang sudah ditetapkan terbentuknya,
hingga penyebarannya.
B. Organizational of information security (klausul 6), untuk memudahkan
pengelolaan keamanan organisasi berupa kontrol terhadap koordinasi,
komitmen bersama serta pembagian tanggungjawab keamanan
informasi.
C. Human resource security (klausul 7), untuk memperjelas peranannya
dalam organisasi, sehingga tidak melampaui kewenangannya.
D. Asset management (klausul 8), untuk memudahkan divisi perlengkapan
dan sarana prasarana untuk kemudahan inventaris dan penanganan cepat
aset yang rusak/catat hingga hubungan dengan pihak ketiga.
E. Access control (klausul 9), intinya sederhana, yaitu melakukan
pembatasan terhadap informasi sesuai dengan bidang dan
kewenangannya.
F. Physical and environment security (klausul 11), untuk mencegah tidak
sah nya akses fisik, kerusakan dan gangguan terhadap aplikasi
organisasi dan pengolahan fasilitas informasi.
G. Operation security (klausul 12), untuk memastikan operasi yang benar
dan aman pada fasilitas pengolahan informasi.
72
H. System acquisition development and maintenance (klausul 14), untuk
memastikan bahwa keamanan informasi merupakan bagian yang
terintegrasi dari sistem informasi.
4.4.3 Wawancara
A. Penentuan Narasumber
Tabel dibawah menunjukkan bagian yang akan diwawancara berdasarkan klausul
yang telah ditentukan, penulis menggunakan keterangan ahli sebagai narasumber
karena penelitian ini berkaitan langsung dengan manajemen organisasi dalam
proses pengamanan keamanan informasi.
Tabel 4. 36 Narasumber
Klausul Deskripsi Bagian

5 Kebijakan keamanan informasi
6 Keamanan Informasi Organisasi Nurkhamdi (HRD)
7 Keamanan Sumber Daya
Hasan Basri
8 Manajemen Aset
(Kepala Sarana dan Prasarana)
9 Kontrol Akses Taufiqurrohman (Kepala Labkom)
Hasan Basri
11 Keamanan fisik dan lingkungan
(Kepala Sarana dan Prasarana)
12 Keamanan operasi Taufiqurrohman (Kepala Labkom)
Akusisi sistem informasi, pembangunan dan Hasan Basri (Kepala Sarana dan
14
pemeliharaan Prasarana)
B. Penentuan Jadwal Wawancara
Wawancara dilakukan pada 8 Januari 2020 di Kafila International Islamic School.
C. Pembuatan Pertanyaan
Pertanyaan wawancara penulis lampirkan pada halaman lampiran.
4.4.4 Mengukur Tingkat Kedewasaan SMKI
Tabel 4. 37 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.5.1
A.5 Kebijakan Keamanan Informasi

A.5.1 Manajemen arahan keamanan informasi
73
Pihak Manajemen KIIS memberikan arahan dan dukungan untuk keamanan
informasi
A.5.1.1 Kebijakan kontrol keamanan informasi
No Pernyataan Bobot 0 1 2 3 4 5 Nilai
Pihak Manajemen memberikan
1 implementasi visi dan misi Kafila 1 √ 4
International Islamic School
Kontrak dan aturan penerimaan
kepegawaian yang jelas dan terukur
2 1 √ 4
dibawah payung hukum (dilengkapi
materai)
Total Bobot 2 Tingkat Kemampuan 4
Berdasarkan perhitungan nilai tingkat kematangan yang diperoleh pada proses 5
tentang kebijakan keamanan informasi berada pada tingkat yang sudah teratur, nilai
posisi 4 yang berarti keamanan informasi terkini sudah baik (managed) dan dapat
ditingkatkan bukan hanya sebagai prosedur tertulis, hasil maturity ditunjukkan pada
Tabel dibawah ini;
Tabel 4. 38 Hasil Maturity Level Klausul 5
Rata-rata /
Kontrol Tingkat
Klausul Objektif Kontrol Objektif
Keamanan Kemampuan
Kontrol
5.1 Manajemen 5.1.1 Kebijakan
5. Kebijakan
Arahan Keamanan Kontrol Keamanan 4 4
Keamanan
Informasi Informasi
Informasi
Maturity Level Klausul 5 4
74
Klausul 5
5.1.1 Kebijakan kontrol

keamanan informasi
4
3,5
3
2,5
2
1,5
1
0,5
0
Gambar 4. 4 Representasi Tingkat Kedewasaan Klausul 5
Tabel 4. 39 Kerangka Kerja Perhitungan Maturity Level Objektif Kontrol A.61
A.6 Keamanan Informasi Organisasi

Internal Organisasi
A.6.1 Membangun kerangka kerja untuk memulai dan mengendalikan implementasi dan
operasi keamanan informasi KIIS.
A.6.1.1 Peran dan tanggung jawab keamanan informasi
Aset seperti peralatan-peralatan
1 1 √ 4
terdokumentasi dalam baik.
Pihak Manjemen memberikan
2 1 √ 5
Struktur Organisasi KIIS
Total Bobot 2 Tingkat Kemampuan 4,5
Perangkat seluler dan teleworking

A.6.2
Untuk memastikan keamanan teleworking dan penggunaan perangkat seluler.
Keamanan Seluler
A.6.2.1
75
No Pertanyaan Bobot 0 1 2 3 4 5 Nilai
KIIS memberikan penyuluhan
1 1 √ 4
mengenai backup data.
2 1 √ 3
mengenai malware pada smartphone.
mengenai aplikasi-aplikasi yang
3 1 √ 3
berbahaya yang dapat mengancam
penyalahgunaan data.
mengenai aplikasi-aplikasi
4 1 √ 4
keamanan/enkripsi untuk memperkuat
keamamanan data.
tentang Keamanan Informasi Organisasi berada pada tingkat yang sudah teratur,
nilai posisi 4 yang berarti keamanan informasi terkini sudah baik (managed and
measurable) Manajemen memonitor dan mengukur kepatuhan dengan prosedur
dan mengambil tindakan terhadap proses yang tampaknya tidak dapat bekerja
secara efektif. Proses berada di bawah peningkatan yang konstan dan
manajemen memberikan latihan yang baik kepada guru. Otomatisasi dan peralatan
digunakan masih terbatas, hasil maturity ditunjukkan pada Tabel dibawah ini;

Rata-rata /
Objektif Tingkat
Klausul Kontrol Keamanan Objektif
Kontrol Kemampuan
Kontrol
6.1 Internal 6.1.1 Peran dan tanggung

4,5 4,5
Organisasi jawab keamanan informasi
6. Keamanan
Informasi
6.2 Perangkat
Organisasi 6.2.1 Keamaman Perangkat
seluler dan 3,5 3,5
Seluler
teleworking
Maturity Level Klausul 6 4
76
Klausul 6
6.1.1 Peran dan tanggung
jawab keamanan
informasi
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
6.2.1 Keamaman
Perangkat Seluler
Keamanan Sumber Daya (pekerjaan)

A.7 Untuk memastikan bahwa karyawan KIIS memahami tanggung jawab sesuai peran
mereka dalam organisasi.
A.7.1 Dalam penerimaan pegawai
Verifikasi data calon pendaftar (CV)
1 sebelum wawancara penerimaan 1 √ 4
pegawai dilakukan.
Verifikasi yang lebih terperinci, seperti
2 peninjauan kredit atau peninjauan 1 √ 5
catatan kriminal.
Bahwa semua karyawan yang diberi
akses ke informasi rahasia harus
3 menandatangani perjanjian 1 √ 3
kerahasiaan atau non-pengungkapan
sebelum diberikan akses informasi.
Total Bobot 3 Tingkat Kemampuan 4
77
Ketika Bekerja
A.7.2 Untuk memastikan bahwa karyawan dan kontraktor menyadari dan memenuhi
tanggung jawab keamanan informasi mereka.
Karyawan diberi pengarahan yang
tepat tentang peran dan tanggung
1 jawab keamanan informasi mereka 1 √ 5
sebelum diberikan akses ke informasi
rahasia atau sistem informasi.
Karyawan diberikan pedoman untuk
menyatakan harapan keamanan
2 1 √ 4
informasi tentang peran mereka dalam
organisasi.
Mematuhi syarat dan ketentuan kerja,
yang mencakup kebijakan keamanan
3 1 √ 5
informasi organisasi dan metode kerja
yang sesuai
tentang Keamanan Sumber Daya Manusia berada pada tingkat yang sudah teratur,
nilai posisi 4,35 yang berarti keamanan informasi terkini sudah baik (managed and
measurable) Manajemen memonitor dan mengukur kepatuhan dengan prosedur
dan mengambil tindakan terhadap proses yang tampaknya tidak dapat bekerja
secara efektif. Proses berada di bawah peningkatan yang konstan dan
manajemen memberikan latihan yang baik kepada guru. Otomatisasi dan peralatan
digunakan masih terbatas, hasil maturity ditunjukkan pada Tabel dibawah ini;

Rata-rata /
Objektif Kontrol Tingkat
Klausul Objektif
Kontrol Keamanan Kemampuan
Kontrol
7. Keamanan 7.1 Dalam 7.1 Dalam
Sumber Daya Penerimaan Penerimaan 4 4
(pekerjaan) Pegawai Pegawai
78
7.2 Ketika 7.2 Ketika
4,7 4,7
Bekerja Bekerja
Maturity Level Klausul 7 4,35
KLAUSUL 7
7.1 Dalam Penerimaan
Pegawai
4,8
4,6
4,4
4,2
4
3,8
3,6
7.2 Ketika Bekerja
A.8 Manajemen Aset

Pertanggungjawaban Aset
A.8.1 Mengidentifikasi aset organisasi dan menetapkan tanggung jawab perlindungan yang
sesuai
A.8.1.1 Inventarisasi Pengendalian aset

Adanya nomor seri (bagian sarana dan
1 1 √ 4
prasarana) terhadap setiap aset di KIIS
79
Adanya perbaikan dan pemeliharaan
2 berkala terhadap semua aset di KIIS. 1 √ 3
Misalkan per semester/per bulan.
A.8.1.2 Kepemilikan Aset

Aset peralatan/fasilitas diharuskan
1 1 √ 5
dimiliki sendiri oleh KIIS.
Langsung diadakan tindakan
2 (penganggaran atau beli baru) apabila 1 √ 3
aset hilang atau rusak.
Berdasarkan perhitungan nilai tingkat kematangan yang diperoleh pada proses 8 tentang
Manajemen Aset berada pada tingkat yang sudah teratur, nilai posisi 3,75 yang berarti
keamanan informasi terkini sudah baik (managed and measurable) Manajemen memonitor
dan mengukur kepatuhan dengan prosedur dan mengambil tindakan terhadap proses
yang tampaknya tidak dapat bekerja secara efektif. Proses berada di bawah peningkatan
yang konstan dan manajemen memberikan latihan yang baik kepada guru. Otomatisasi
dan peralatan digunakan masih terbatas, hasil maturity ditunjukkan pada Tabel dibawah
ini;
Rata-rata /
Kontrol Tingkat
Klausul Objektif Kontrol Objektif
Keamanan Kemampuan
Kontrol
8.1
8. 8.1.1 Inventarisasi
Pertanggungjawaban 3.75 3.75
Manajemen Pengendalian aset
Aset
Aset
Maturity Level Klausul 8 3.75
80
Klausul 8
8.1.1 Inventarisasi
Pengendalian aset
4
3,5
3
2,5
2
1,5
1
0,5
0
A.9 Kontrol Akses

Persyaratan Akses
A.9.1
Membatasi akses ke informasi dan fasilitas pemrosesan informasi.
A.9.1.1 Kebijakan Akses

Pembatasan akses aplikasi bagi setiap
aplikasi yang ada di KIIS (seperti:
aplikasi perizinan, hanya bagian
1 1 √ 4
asrama yang boleh mengakses,
aplikasi musyrif hanya musyrif yang
boleh akses)
2 Konsistensi dari poin 1 diatas 1 √ 4
Harus ada izin formal (resmi) untuk
3 divisi yang berbeda mengakses 1 √ 2
aplikasi
Perlunya evaluasi berkala semua log
4 1 √ 1
akses pada aplikasi
A.9.1.2 Akses Jaringan
81
Adanya SOP akses jaringan (internet
1 1 √ 2
maupun LAN) di KIIS
Adanya manajemen untuk mengontrol
2 siapa saja yang dapat mengakses 1 √ 2
jaringan
Adanya prosedur tertulis penggunaan
jaringan KIIS pada pihak yang
3 diharuskan tidak mengakses (seperti 1 √ 2
orang luar, maupun yang bukan
termasuk keluarga besar KIIS dll)
Adanya laman login untuk otentikasi
4 setiap pengguna yang mengakses 1 √ 2
jaringan
Manajemen akses pengguna (user)

A.9.2 Untuk memastikan akses pengguna yang sah dan untuk mencegah akses ilegal ke
dalam sistem dan layanan KIIS
A.9.2.1 Pengelolaan akun

Menggunakan akun dengan ID yang
1 1 √ 4
berbeda;
Langsung menghapus ID pengguna
2 yang baru saja keluar dari 1 √ 3
kepegawaian KIIS
Secara periodik, mengidentifikasi dan
3 menghilangkan ID yang sama 1 √ 4
(redudan)
Memastikan akun redudan TIDAK
4 1 √ 4
dipakai oleh pengguna lain
A.9.2.2 Ketentuan akses pengguna
Memverifikasi bahwa tingkat akses
pengguna sesuai dengan kebijakan
1 1 √ 4
akses dan sesuai dengan persyaratan
lain seperti pemisahan tugas.
Memastikan bahwa hak akses tidak
2 aktif sebelum prosedur otorisasi 1 √ 4
selesai.
Melakukan penyesuaian hak akses dari
pengguna yang peran atau pekerjaan
3 berubah dan segera menghapus hak 1 √ 4
akses pengguna yang meninggalkan
organisasi.
Secara rutin meninjau ulang hak akses
4 dengan pemilik sistem informasi atau 1 √ 2
layanan.
A.9.2.3 Manajemen hak akses master
82
Adanya identifikasi terhadap
1 pengguna yang memiliki hak akses 1 √ 4
master (istimewa)
Pengecekan otorisasi dan catatan
2 1 √ 4
seluruh pemberian hak akses istimewa.
Penerapan ID pengguna hak akses
3 istimewa berbeda dengan ID pengguna 1 √ 4
yang digunakan pada akun biasa.
Memastikan secara berkala
4 penggunaan hak akses istimewa 1 √ 4
TIDAK disalahgunakan.
Adanya prosedur yang spesifik dalam
5 penggunaan akun master (siapa dan 1 √ 4
kapan saja boleh dipakai).
A.9.2.6 Pengelolaan hak akses
Adanya aturan terkait penghapusan
1 1 √ 3
atau pengubahan mengenai hak akses.
Adanya dokumen yang
2 mengidentifikasi hak akses pegawai 1 √ 3
dan kontraktor.
Tanggung jawab pengguna

A.9.3 Untuk membuat setiap karyawan KIIS bertanggung jawab terhadap perlindungan
informasi terhadap otentikasi akun mereka sendiri.
A.9.3.1 Penggunaan informasi rahasia otentikasi
Pengguna menyimpan kerahasiaan
informasi akun dan tidak
1 1 √ 3
membocorkannya kepada pihak/orang
lain.
Merubah informasi rahasia otentikasi
2 ketika ada perubahan/perintah yang 1 √ 3
telah disetujui bersama.
Memastikan perlidungan yang tepat
pada password ketika password
3 1 √ 4
digunakan sebagai informasi rahasia
otentikasi.

Kontrol akses sistem dan aplikasi
A.9.4
Untuk mencegah akses dari pihak yang tidak berewenang ke sistem dan aplikasi
A.9.4.1 Pembatasan akses informasi
83
Adanya kebijakan pengendalian akses
yang membatasi akses sesuai dengan
1 perannya dalam aplikasi (tidak boleh 1 √ 3
membagikan informasi akun antar
divisi).
Adanya pengendalian hak akses
2 pengguna (seperti read, write, delete 1 √ 4
dan execute).
Menyediakan pengendalian akses fisik
3 dan logical untuk pemisahan aplikasi 1 √ 4
yang sensitif, data aplikasi atau sistem.
A.9.4.2 Prosedur keamanan akses sistem (aplikasi)
Menggunakan teknik otentikasi yang
1 1 √ 4
sesuai untuk mengidentifikasi user.
Adanya aturan yang berguna untuk
meminimalisir akses dari pihak yang
2 tidak berwenang, seperti tidak 1 √ 4
menampilkan password saat diinput ke
aplikasi.
A.9.4.3 Sistem manajemen password
Adanya menu manajemen password di
1 1 √ 4
akun pengguna.
Adanya fitur manajemen password
2 yang memungkinkan pengguna untuk 1 √ 4
mengubah password mereka sendiri.
Adanya fitur yang menguji kualitas
3 1 √ 0
password.
Adanya fitur yang berisi peraturan
4 tentang pengguna harus merubah 1 √ 0
password ketika PERTAMA log-in.
Adanya fitur yang bersisi perubahan
5 password secara teratur dan sesuai 1 √ 0
kebutuhan.
Adanya fitur yang tidak dibolehkannya
6 menampilkan password dilayar 1 √ 0
monitor.
tentang kontrol akses berada pada tingkat yang sudah teratur, nilai posisi 3,03 yang
berarti keamanan informasi sudah sudah berbentuk prosedur yang jelas dan
terdokumentasi (defined), Terdapat standarisasi prosedur dan telah
didokumentasikan serta dikomunikasikan melalui pelatihan. Proses wajib ditaati
sesuai standar. Penyimpangan agak sulit dideteksi. Prosedur yang digunakan
84
belum canggih tetapi sudah dipraktikan, hasil maturity ditunjukkan pada Tabel
dibawah ini;
Rata-rata
Tingkat
Klausul Objektif Kontrol Kontrol Keamanan / Objektif
Kemampuan
Kontrol
9.1.1 Kebijakan Akses 2,75
9.1 Persyaratan Akses 2,4
9.1.2 Akses Jaringan 2
9.2.1 Pengelolaan akun 3,75
9.2.2 Ketentuan akses

2
pengguna
9.2 Manajemen akses
pengguna (user) 3,2
9.2.3 Manajemen hak
4
akses master
9. Kontrol
Akses
9.2.6 Pengelolaan hak
3
akses
9.3.1 Penggunaan
9.3 Tanggung jawab
informasi rahasia 3,3 3,5
pengguna
otentikasi
9.4.1 Pembatasan akses

3,6
informasi
9.4 Kontrol akses sistem 9.4.2 Prosedur keamanan

4 3
dan aplikasi akses sistem (aplikasi)
9.4.3 Sistem manajemen

1,3
password
85
Klausul 9
9.1.1 Kebijakan Akses

4
9.4.3 Sistem manajemen 3,5 9.1.2 Akses Jaringan
password 3
2,5
2
9.4.2 Prosedur keamanan 1,5
9.2.1 Pengelolaan akun
akses sistem (aplikasi) 1
0,5
0
9.4.1 Pembatasan akses 9.2.2 Ketentuan akses

informasi pengguna
9.3.1 Penggunaan
9.2.3 Manajemen hak
informasi rahasia
akses master
otentikasi
9.2.6 Pengelolaan hak
akses
A.11 Keamanan fisik dan lingkungan

Area aman
A.11.1 Untuk mencegah tidak sahnya akses fisik, kerusakan dan gangguan terhadap
aplikasi organisasi dan pengolahan fasilitas informasi.
A.11.1.1 Pembatas keamanan fisik
Adanya kebijakan terkait pembatas
keamanan pada aset, misal area khusus
1 1 √ 1
untuk ruang server yang mempunyai
keamanan khusus.
Adanya pembatasan akses ke ruangan
2 atau bangunan dan hanya untuk 1 √ 2
karyawan yang berwenang.
A.11.1.3 Keamanan kantor, ruangan dan fasilitas
86
Fasilitas jaringan dan data ditempatkan
1 pada lokasi yang sesuai untuk 1 √ 2
menghindari akses oleh publik.
Melakukan pengaturan fasilitas untuk
mencegah informasi atau kegiatan
2 1 √ 3
rahasia diketahui oleh pihak luar
sekolah.
Adanya peraturan terkait penyimpanan
3 internal didalam server (data dalam 1 √ 1
server sensitif).
A.11.1.4 Pengamanan terhadap ancaman dan lingkungan eksternal
Mengadakan penyuluhan dari ahli
tentang bagaimana cara untuk
menghindari kerusakan dari
1 kebakaran, banjir, gempa bumi, 1 √ 5
ledakan dan dari
bentuk lain dari bencana alam atau
buatan manusia.
Tingkat
Total Bobot 6 2,3
Kemampuan
Keamanan Peralatan
A.11.2 Untuk mencegah kerugian, kerusakan, pencurian atau kompromi aset dan gangguan
terhadap proses bisnis organisasi.
A.11.2.1 Penempatan peralatan dan perlindungannya
Peralatan ditempatkan pada lokasi
yang seharusnya untuk meminimalisir
1 1 √ 4
penggunaan yang tidak berwenang
dalam area kerja.
Adanya pengamanan pada fasilitas
2 1 √ 3
penyimpanan (server).
Melakukan pemantauan terhadap
kondisi lingkungan yang dapat
3 1 √ 4
mempengaruhi pengoperasian fasilitas
pengolahan informasi.
Menerapkan perlindungan antibanjir
4 dan antipetir pada semua bangunan 1 √ 5
dan semua jalur komunikasi.
A.11.2.4 Pemeliharaan Peralatan
Adanya aturan mengenai peralatan
1 yang harus dipelihara sesuai dengan 1 √ 4
jadwal waktu service (AC, PC, dll).
Perawatan dan perbaikan peralatan
2 hanya dilakukan oleh personel yang 1 √ 4
berwenang.
Adanya aturan yang berisi tentang
3 1 √ 4
sebelum meletakkan peralatan
87
kembali ke dalam operasi setelah
dilakukan perawatan atau service,
peralatan harus ada pemeriksaan ulang
sebelum diinventariskan lagi.
Tingkat
Total Bobot 7 4
Kemampuan
tentang kontrol akses berada pada tingkat yang sudah teratur, nilai posisi 2,9 yang
berarti keamanan informasi sudah sudah berbentuk prosedur yang jelas dan
terdokumentasi (defined), Terdapat standarisasi prosedur dan telah
didokumentasikan serta dikomunikasikan melalui pelatihan. Proses wajib ditaati
sesuai standar. Penyimpangan sulit dideteksi. Prosedur yang digunakan belum
canggih tetapi sudah dipraktikan, hasil maturity ditunjukkan pada Tabel dibawah
ini;
Rata-rata /
Objektif Tingkat
Klausul Kontrol Keamanan Objektif
Kontrol Kemampuan
Kontrol
11.1.1 Pembatasan
1,5
keamanan fisik
11.1
Pembatas 11.1.3 Keamanan kantor,
2 2,5
keamanan ruangan dan fasilitas
fisik
11.1.4 Pengamanan
11. Keamanan
terhadap ancaman dan 5
fisik dan
lingkungan eksternal
lingkungan
11.2.1 Penempatan
peralatan dan 4
11.2 perlindungannya
Keamanan 3,35
Peralatan
11.2.4 Pemeliharaan
2,7
Peralatan
88
Klausul 11
11.1.1 Pembatasan
keamanan fisik
5
4,5
4
3,5
3
2,5
11.2.4 Pemeliharaan 2 11.1.3 Keamanan kantor,
Peralatan 1,5 ruangan dan fasilitas
1
0,5
0
11.2.1 Penempatan 11.1.4 Pengamanan

peralatan dan terhadap ancaman dan
perlindungannya lingkungan eksternal
A.12 Keamanan operasi

Prosedur dan tanggung jawab operasional
A.12.1
Memastikan operasi yang benar dan aman pada fasilitas pengolahan informasi.
A.12.1.1 Dokumen prosedur operasi
Adanya dokumen prosedur untuk
aktivitas operasional yang berkaitan
1 1 √ 4
dengan pemprosesan informasi dan
fasilitas komunikasi.
Adanya prosedur pengoperasian yang
2 menjelaskan instruksi operasional 1 √ 4
secara spesifik (buku manual).
Prosedur operasi dan dokumen
prosedur untuk aktivitas sistem
merupakan formal dokumen dan
3 1 √ 4
perubahan hanya dapat dilakukan oleh
manajemen atau pemegang otoritas
(kepala labkom).
A.12.1.4 Pemisahan lingkungan pengembangan, testing dan operasional
89
Adanya aturan untuk pemindahan
1 software dari status beta ke status 2 √ 4
normal aman dipakai.
Software dalam masa pengembangan
2 dan operasional dijalankan dalam 1 √ 4
sistem yang berbeda.
Perubahan pada sistem dan aplikasi
operasional sudah di uji pada
3 1 √ 4
lingkungan testing sebelum diterapkan
pada sistem operasional.
Penggunaan user profiles yang
4 berbeda untuk sistem operasional dan 1 √ 4
sistem testing
Tingkat
Total Bobot 8 3,5
Kemampuan
Perlindungan dari Malware

A.12.2 Untuk memastikan bahwa informasi dan fasilitas pengolahan informasi dilindungi
terhadap malware.
A.12.2.1 Pengendalian melawan malware
Adanya kebijakan yang melarang
instalasi software yang tidak
1 1 √ 4
dikenal/tidak digunakan secara resmi
oleh organisasi.
Mengimplementasikan kontrol yang
mencegah atau mendeteksi
2 1 √ 4
penggunaan software yang tidak
dikenal.
Adanya kebijakan resmi untuk
perlindungan terhadap risiko yang
terkait dengan pertukaran file dan
3 1 √ 4
perangkat lunak, baik melalui jaringan
eksternal ataupun melalui media
lainnya.
Melakukan peninjauan rutin pada
perangkat lunak dan konten data dari
4 1 √ 4
sistem yang mendukung proses bisnis
organisasi.
Menginstal dan melakukan update
rutin perangkat lunak yang berfungsi
untuk mendeteksi malware.
5 (karena labkom memakai linux, 1 √ 4
pertanyaan ini diganti dengan
melakukan update rutin OS dengan
perintah apt-update dan apt-upgrade)
Adanya prosedur dalam perlindungan
sistem terhadap malware seperti
6 1 √ 1
pelatihan pengguna, pelaporan dan
pemulihan dari serangan malware.
90
Tingkat
Total Bobot 6 3,5
Kemampuan
Backup
A.12.3
Untuk melindungi hilangnya data.
A.12.3.1 Informasi Pencadangan
Adanya catatan (log) yang akurat dan
1 lengkap dari salinan backup dan 1 √ 2
dokumentasi prosedur pemulihan.
Pelaksanaan backup data berkala pada
2 1 √ 2
setiap bidang/divisi.
Data backup disimpan pada lokasi
yang berbeda (partisi maupun hdd)
3 1 √ 2
untuk menghindari kerusakan seperti
kerusakan pada lokasi utama.
Melakukan pengujian secara teratur
4 pada media backup untuk memastikan 1 √ 2
kehandalannya (system checking).
5 Data backup dienkripsi. 1 √ 0
Tingkat
Total Bobot 5 1,6
Kemampuan
Pengaturan operasional perangkat lunak

A.12.5
Untuk memastikan integritas dari sistem operasi pada komputer kantor.
Adanya prosedur untuk pengendalian
1 instalasi perangkat lunak pada sistem 1 √ 2
operasi.
Pengimplementasian perangkat lunak
aplikasi dan sistem operasi dilakukan
2 1 √ 2
setelah melalui tahap pengujian yang
sukses.
Adanya sistem kontrol konfigurasi
yang digunakan untuk menjaga kontrol
3 1 √ 3
semua perangkat lunak yang
diimplementasikan.
Adanya catatan atau log terkait semua
4 pembaruan aplikasi atau sistem yang 1 √ 2
dilakukan.
Tingkat
Total Bobot 4 2,25
Kemampuan

A.12.6 Manajemen teknik vulnerability
91
Untuk mencegah pemanfaatan teknik vulnerability dan perusakan lainnya.
A.12.6.1 Manajemen teknik vulnerability
Adanya aturan terkait peran dan
tanggung jawab yang berhubungan
1 dengan manajemen teknik 1 √ 1
vulnerability seperti penilain risiko
vulnerability.
Melakukan identifikasi terhadap aset
informasi yang dimiliki untuk
2 1 √ 2
mengetahui potensi teknik
vulnerability pada aset yang dimiliki
Melakukan pengamatan dan evaluasi
pada manajemen teknik vulnerability
3 1 √ 2
untuk memastikan prosesnya berjalan
dengan efektif dan efisien.
Tingkat
Total Bobot 3 1,7
Kemampuan
tentang Keamanan Operasi berada pada tingkat yang sudah teratur, nilai posisi 2,34
yang berarti keamanan informasi terkini sudah mulai berjalan (repeatable). Proses
telah dikembangkan dengan adanya prosedur yang sama (redudansi) dan
digunakan oleh banyak orang dalam menyelesaikan tugas. Belum ada
standarisasi prosedur untuk pelatihan secara formal ataupun komunikasi dan
tangung jawab bergantung pada individu. Tingkat kepercayaan pada
kemampuan individu sangat tinggi, sehingga kesalahan yang sama sering kali
terjadi. Otomatisasi dan peralatan digunakan masih terbatas, hasil maturity
ditunjukkan pada Tabel dibawah ini;
Rata-rata /
Tingkat
Klausul Objektif Kontrol Kontrol Keamanan Objektif
Kemampuan
Kontrol
12.1.1 Pemisahan
12. 12.1 Prosedur dan
lingkungan
Keamanan tanggung jawab 4 2,65
pengembangan, testing
operasi operasional
dan operasional Informasi
92
12.1.4 Dokumen prosedur
1,3
operasi
12.2 Perlindungan 12.2.1 Pengendalian

3,5 3,5
dari malware melawan malware
1,6
12.3 Backup 12.3.1 Informasi backup 1,6
12.5 Pengaturan
12.5.1 Dokumen prosedur
operasional 2,25 2,25
operasi
perangkat lunak
12.6 Manajemen
12.6.1 Manajemen teknik
teknik 1,7 1,7
vulnerability
vulnerability
Klausul 12
12.1.1 Pemisahan
lingkungan
pengembangan, testing
dan operasional
Informasi
4
3,5
3
12.6.1 Manajemen teknik 2,5 12.1.4 Dokumen
vulnerability 2 prosedur operasi
1,5
1
0,5
0
12.5.1 Dokumen 12.2.2 Perlindungan

prosedur operasi Malware
12.3.1 Informasi backup
93
A.14 Akusisi sistem informasi, pembangunan dan pemeliharaan

Persyaratan keamanan untuk sistem informasi
A.14.1 Untuk memastikan bahwa keamanan informasi merupakan bagian yang
terintegrasi dari sistem informasi.
A.14.1.1 Analisis dan spesifikasi persyaratan keamanan informasi
aktivitas operasional yang terhubung
1 1 √ 3
dengan pengolahan informasi dan
2 menjelaskan instruksi operasional 1 √ 4
secara spesifik.
3 merupakan formal dokumen dan 1 √ 5
manajemen.
Tingkat
Total Bobot 3 4
Kemampuan
Keamanan dalam proses pengembangan dan bantuan

A.14.2 Untuk memastikan bahwa keamanan informasi dirancang dan diimplementasikan
dalam siklus hidup pengembangan sistem informasi.
A.14.2.1 Kebijakan keamanan pengembangan
Adanya kebijakan pengembangan
1 yang aman pada saat pengembanagan 1 √ 2
sistem (Open Beta).
Adanya panduan tentang keamanan
2 1 √ 2
dalam aplikasi.
Mengidentifikasi persyaratan
3 keamanan dalam fase perancangan 1 √ 4
(Early Access, Beta dll).
Developer aplikasi memiliki
kemampuan untuk menghindari,
4 menemukan dan memperbaiki 1 √ 2
kerentanan pada aplikasi yang mereka
ciptakan.
A.14.2.3 Pemeriksaan teknis dari aplikasi setelah perubahan platform operasi
Melakukan tinjauan kembali pada
kontrol aplikasi dan prosedur integritas
1 untuk memastikan bahwa perubahan 1 √ 2
pada platform operasi dapat berjalan
dengan baik.
94
Adanya pemberitahuan perubahan
platform operasi yang tepat waktu
2 1 √ 2
sehingga dapat dilakukan testing dan
review sebelum implementasi.
A.14.2.9 Menguji penerimaan sistem
Melakukan pengujian penerimaan
1 sistem yang mencakup pengujian 1 √ 3
persyaratan keamanan informasi.
Melakukan pengujian dalam
lingkungan yang realistis sehingga
2 1 √ 2
dapat diketahui ancaman yang
dihadapi oleh sistem.
Tingkat
Total Bobot 8 2,35
Kemampuan
tentang Akusisi sistem informasi, pembangunan dan pemeliharaan berada pada
tingkat yang sudah teratur, nilai posisi 3,5 yang berarti keamanan informasi terkini
sudah baik (managed and measurable) Manajemen memonitor dan mengukur
kepatuhan dengan prosedur dan mengambil tindakan terhadap proses yang
tampaknya tidak dapat bekerja secara efektif. Proses berada di bawah
peningkatan yang konstan dan manajemen memberikan latihan yang baik kepada
guru. Otomatisasi dan peralatan digunakan masih terbatas, hasil maturity
ditunjukkan pada Tabel dibawah ini;

Rata-rata
Tingkat
Klausul Objektif Kontrol Kontrol Keamanan / Objektif
Kemampuan
Kontrol
14.1.1 Analisis dan
14.1 Persyaratan
spesifikasi
keamanan untuk 4 4
14. Akusisi sistem persyaratan
sistem informasi
informasi, keamanan informasi
pembangunan dan
14.2 Kebijakan 14.2.2 Kebijakan
pemeliharaan
keamanan keamanan 2,5 3
pengembangan pengembangan
95
14.2.3 Pemeriksaan
teknis dari aplikasi
2
setelah perubahan
platform operasi
14.2.9 Menguji
2,5
penerimaan sistem
Klausul 14
14.1.1 Analisis dan

spesifikasi persyaratan
keamanan informasi
4
3,5
3
2,5
2
1,5
1
0,5 14.2.2 Kebijakan
14.2.9 Menguji
0 keamanan
penerimaan sistem
pengembangan
14.2.3 Pemeriksaan
teknis dari aplikasi
setelah perubahan
platform operasi
4.5 Act, Usulan Perbaikan Sistem Informasi
Pada tahapan ini, penulis akan mengusulkan perbaikan dan rekomendasi
berdasarkan pada hasil observasi sistem keamanan di KIIS, baik melalui wawancara,
96
penyebaran kuisioner dan penilaian langsung pada maturity level setiap objektif
kontrol dan kontrol keamanan berdasarkan ISO 27002:2013 ketika dalam tahapan
sebelumnya telah dilakukan penilaian maturity level. Berikut adalah perolehan dari
seluruh klausul:
Tabel 4. 64 Hasil Nilai Kematangan Seluruh Klausul
Maturity
Klausul
Level
5. Kebijakan Keamanan Informasi 4
6. Keamanan Informasi Organisasi 4
7. Keamanan Sumber Daya (pekerjaan) 4
8. Manajemen Aset 4,35
9. Kontrol Akses 3,75
11. Keamanan fisik dan lingkungan 3,03
12. Keamanan operasi 2,9
14. Akusisi sistem informasi, pembangunan dan pemeliharaan 3,5
Berikut adalah representasi dari hasil maturity level seluruh klausul pada penelitian
ini.
97
5. Kebijakan Keamanan
Informasi
4,5
4
14. Akusisi sistem
3,5 6. Keamanan Informasi
informasi, pembangunan
3 Organisasi
dan pemeliharaan
2,5
2
1,5
1
0,5
7. Keamanan Sumber
12. Keamanan operasi 0
Daya (pekerjaan)
11. Keamanan fisik dan

8. Manajemen Aset
lingkungan
9. Kontrol Akses
Gambar 4. 12 Hasil Tingkat Kematangan dari Seluruh Klausul
Pada klausul 5 terkait kebijakan keamanan informasi (umum) setelah dilakukan
penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 4 dan berada
pada tingkat managed, ini menunjukan bahwa pihak manajemen sudah memonitor
dan mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
sudah dapat mengambil tindakan terhadap proses-proses yang tidak dapat bekerja
secara efektif. Otomasi proses masih berjalan sesuai prosedur dan peraturan yang
berlaku dan disepakati.
Pada klausul 6 terkait kebijakan Keamanan Informasi Organisasi setelah dilakukan
penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 4 dan berada
98
pada tingkat managed, ini menunjukan bahwa pihak manajemen sudah memonitor
dan mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
secara efektif. Otomatisasi proses masih berjalan sesuai prosedur dan peraturan
yang berlaku dan disepakati.
Pada klausul 7 terkait kebijakan keamanan sumber daya (pekerjaan) setelah
dilakukan penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 4
dan berada pada tingkat managed, ini menunjukan bahwa pihak manajemen sudah
memonitor dan mengukur proses-proses dalam KIIS sesuai prosedur yang telah
disepakati dan sudah dapat mengambil tindakan terhadap proses-proses yang tidak
dapat bekerja secara efektif. Otomatisasi proses masih berjalan sesuai prosedur dan
peraturan yang berlaku dan disepakati.
Pada klausul 8 terkait kebijakan manajemen aset setelah dilakukan penilaian
maturity level, KIIS memperoleh nilai maturity level sebesar 4,35 dan berada pada
tingkat managed, ini menunjukan bahwa pihak manajemen sudah memonitor dan
mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
Pada klausul 9 terkait kebijakan akses kontrol setelah dilakukan penilaian maturity
level, KIIS memperoleh nilai maturity level sebesar 3,75 dan berada pada tingkat
managed, ini menunjukan bahwa pihak manajemen sudah memonitor dan
99
mengukur proses-proses dalam KIIS sesuai prosedur yang telah disepakati dan
Pada klausul 11 terkait kebijakan keamanan fisik dan lingkungan setelah dilakukan
penilaian maturity level, KIIS memperoleh nilai maturity level sebesar 3,03 dan
berada pada tingkat defined process, ini menunjukan bahwa Terdapat standarisasi
prosedur dan telah didokumentasikan serta dikomunikasikan melalui pelatihan.
Proses wajib ditaati sesuai standar. Penyimpangan sulit dideteksi. Prosedur yang
digunakan belum canggih tetapi diformulasikan pada praktek.
Tabel 4. 65 Hasil Temuan Klausul 5
5.1 Persyaratan Bisnis untuk Kontrol Akses

5.1.1 Manajemen arahan keamanan informasi
Kontrol Petunjuk Dilakukan Bukti Gap
Penggunaan Ya Tidak
Pihak Manajemen Pihak Manajemen √ Presentasi setiap Sesuai
KIIS memberikan memberikan rapat kerja awal dengan
arahan dan implementasi visi dan semester mengenai Standar
dukungan untuk misi Kafila visi-misi, program
keamanan International Islamic kerja, sop,
informasi School pj.tahunan dan RAK
Kontrak dan aturan √ Admin mempunyai Sesuai
penerimaan master data pegawai dengan
kepegawaian yang jelas dan semua data Standar
dan terukur dibawah dalam bentuk scan
payung hukum
(dilengkapi materai)
Hasil temuan pada KIIS objektif kontrol 5 tentang persyaratan bisnis untuk kontrol
akses, diperoleh hasil semua proses sudah didokumentasikan, artinya sudah
maksimalnya usaha KIIS dalam pengamanan.
100
6. Keamanan Informasi Organisasi

6.1 Organisasi Internal
6.1.1 Peran dan tanggung jawab keamanan informasi
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Terdapat
dokumen log
barang masuk
Aset seperti
Membangun (pengajuan)
peralatan-peralatan Sesuai dengan
kerangka kerja √ dan barang
terdokumentasi Standar
untuk memulai rusak dan
dalam baik.
dan dilaporkan ke
mengendalikan yaysan setiap
implementasi dan bulan
operasi Struktur
keamanan Organisasi
Pihak Manajemen
informasi KIIS. dicetak besar Sesuai dengan
memberikan Struktur √
dan Standar
Organisasi KIIS
ditempelkan
di ruang guru
6.2 Perangkat seluler dan teleworking
6.2.1 Mobile device policy Control
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Berdasarkan
klausul 6.2.1
bahwa penyuluhan
KIIS memberikan
perlu untuk
penyuluhan
√ memberikan
mengenai backup
dampak positif dan
data.
rasa ingin tahu
akan keamanan
informasi
Berdasarkan
klausul 6.2.1
Untuk bahwa penyuluhan
memastikan perlu untuk
KIIS memberikan
keamanan memberikan
penyuluhan
teleworking dan √ Tidak ada pengetahuan
mengenai malware
penggunaan bahaya akan
pada smartphone.
perangkat aplikasi-aplikasi
seluler. yang berbahaya
untuk perangkat
komunikasi
Berdasarkan
KIIS memberikan
klausul 6.2.1
penyuluhan
bahwa penyuluhan
mengenai aplikasi-
perlu untuk
aplikasi yang
√ memberikan
berbahaya yang
pengetahuan
dapat mengancam
bahaya akan
penyalahgunaan
aplikasi-aplikasi
data.
yang advertising
101
dan permintaan
hak akases ilegal
pada perangkat
pada perangkat
komunikasi yang
menimbulkan
kerugian data pada
korbannya
Berdasarkan
KIIS memberikan klausul 6.2.1
penyuluhan bahwa penyuluhan
mengenai aplikasi- perlu untuk
aplikasi √ memberikan rasa
keamanan/enkripsi aman terhadap
untuk memperkuat penguncian data
keamamanan data. sehingga tersimpan
dengan baik
Hasil temuan pada KIIS objektif kontrol 6 tentang keamanan informasi organisasi,
diperoleh hasil 4 dari 6 proses belum didokumentasikan oleh KIIS, terlihat dalam
klausul 6 KIIS belum memiliki dokumentasi yang baik, yang berakibat keamanan
teleworking dan penggunaan perangkat seluler mempunyai prosentase besar untuk
terganggu keamanannya.
7. Keamanan Sumber Daya (pekerjaan)

7.1 Penyaringan
Dilakukan
Kontrol Petunjuk Penggunaan Bukti Gap
Ya Tidak
Verifikasi data calon Adanya SOP
Sesuai
pendaftar (CV) sebelum penerimaan guru
√ dengan
wawancara penerimaan dan karyawan
Standar
pegawai dilakukan. baru
Verifikasi yang lebih
Untuk memastikan Adanya SOP
terperinci, seperti Sesuai
bahwa karyawan penerimaan guru
peninjauan kredit atau √ dengan
KIIS memahami dan karyawan
peninjauan catatan Standar
tanggung jawab baru
kriminal.
sesuai peran
Bahwa semua karyawan
mereka dalam
yang diberi akses ke Adanya
organisasi.
informasi rahasia harus penyekatan Sesuai
menandatangani perjanjian √ informasi antara dengan
kerahasiaan atau non- pihak manajemen Standar
pengungkapan sebelum dan guru biasa.
diberikan akses informasi.
102
7.2 Ketika Bekerja
Dilakukan
Ya Tidak
Karyawan diberi
pengarahan yang tepat Adanya
tentang peran dan pembatasan
Sesuai
tanggung jawab keamanan informasi antara
√ dengan
informasi mereka sebelum pihak divisi yang
Standar
diberikan akses ke satu dengan
Untuk memastikan informasi rahasia atau lainnya.
bahwa karyawan sistem informasi.
dan kontraktor Karyawan diberikan Terdapat rapat
menyadari dan pedoman untuk manajemen
Sesuai
memenuhi menyatakan harapan setiap pekan
√ dengan
tanggung jawab keamanan informasi untuk
Standar
keamanan tentang peran mereka penyampaian
informasi mereka. dalam organisasi. informasi
Mematuhi syarat dan
ketentuan kerja, yang Adanya dokumen
Sesuai
mencakup kebijakan rekam jejak dan
√ dengan
keamanan informasi penilaian guru
Standar
organisasi dan metode oleh sesama guru
kerja yang sesuai
Hasil temuan pada KIIS objektif kontrol 7 tentang keamanan sumber daya,
diperoleh hasil semua proses sudah didokumentasikan, artinya KIIS sudah berusaha
maksimal dalam dokumentasi proses ini artinya keamanan karyawan (guru) sudah
sangat baik.
9. Kontrol Akses
9.1 Kontrol Akses Kebutuhan Bisnis
Dilakukan
Ya Tidak
Pembatasan akses
aplikasi bagi setiap
Terdapat status
aplikasi yang ada di
hak akses pada
Membatasi KIIS (seperti: aplikasi
setiap aplikasi. Sesuai dengan
akses ke perizinan, hanya bagian √
Pada divisi apa Standar
informasi pada asrama yang boleh
akun mereka
fasilitas mengakses, aplikasi
itu.
informasi dan musyrif hanya musyrif
jaringan. yang boleh akses)
Belum pernah Kontrol 9.1.1
Harus ada izin formal
√ terjadi difungsikan
(resmi) untuk divisi
pengaksesan sebagai limitasi
103
yang berbeda ilegal pada agar pengguna
mengakses aplikasi aplikasi yang lain tidak
melakukan
diluar hak
aksesnya
Kontrol 9.1.1
difungsikan
sebagai limitasi
Belum ada
Adanya SOP akses agar admin
dalam SOP
jaringan (internet √ dapat me-
pemeliharaan
maupun LAN) di KIIS review siapa
aplikasi
saja yang telah
mengakses
sistem
Adanya manajemen
untuk mengontrol siapa Laporan log Sesuai dengan
√
saja yang dapat jaringan Standar
mengakses jaringan
Adanya prosedur Kontrol 9.1.2
tertulis penggunaan mengontrol agar
jaringan KIIS pada KIIS dapat
pihak yang diharuskan mereview log
Tidak ada
tidak mengakses √ akses, karena
dokumen
(seperti orang luar, akan timbul
maupun yang bukan ancaman baru
termasuk keluarga besar jika tidak
KIIS dll) diantisipasi
Adanya laman login
Ada login akses
untuk otentikasi setiap Sesuai dengan
√ pada setiap
pengguna yang Standar
akses jaringan
mengakses jaringan
Kontrol 9.1.2
mengontrol agar
KIIS dapat
Adanya SOP akses mereview log
Tidak ada
jaringan (internet √ akses, karena
dokumen
maupun LAN) di KIIS akan timbul
ancaman baru
jika tidak
diantisipasi
9.2 Manajemen Akses Pengguna
Dilakukan
Ya Tidak
Menggunakan akun Manajemen
Sesuai dengan
Untuk dengan ID yang √ Akun pada
Standar
memastikan berbeda; Aplikasi
akses pengguna Langsung menghapus
yang sah dan ID pengguna yang baru Sesuai dengan
√
untuk saja keluar dari Standar
mencegah akses kepegawaian KIIS
ilegal ke dalam Secara periodik,
sistem dan mengidentifikasi dan Sesuai dengan
√
layanan KIIS menghilangkan ID yang Standar
sama (redudan)
104
Memastikan akun
Sesuai dengan
redudan TIDAK dipakai √
Standar
oleh pengguna lain
Memverifikasi bahwa
tingkat akses pengguna
sesuai dengan kebijakan Sesuai dengan
√
akses dan sesuai dengan Standar
persyaratan lain seperti
pemisahan tugas.
Memastikan bahwa hak
akses tidak aktif
√
sebelum prosedur
otorisasi selesai.
Melakukan penyesuaian
hak akses dari pengguna
yang peran atau
pekerjaan berubah dan Sesuai dengan
√
segera menghapus hak Standar
akses pengguna yang
meninggalkan
organisasi.
Secara rutin meninjau
ulang hak akses dengan Sesuai dengan
√
pemilik sistem Standar
informasi atau layanan.
Kontrol 9.2
diharapkan
Adanya identifikasi dapat me-
terhadap pengguna yang review
√ -
memiliki hak akses keamanan
master (istimewa) sistem dengan
lebih baik pada
log-log aplikasi
Kontrol 9.2
diharapkan
Pengecekan otorisasi dapat me-
dan catatan seluruh review
√ -
pemberian hak akses keamanan
istimewa. sistem dengan
lebih baik pada
log-log aplikasi
Kontrol 9.2
Penerapan ID pengguna diharapkan
hak akses istimewa dapat me-
berbeda dengan ID review
√ -
pengguna yang keamanan
digunakan pada akun sistem dengan
biasa. lebih baik pada
log-log aplikasi
Memastikan secara
berkala penggunaan hak Sesuai dengan
√
akses istimewa TIDAK Standar
disalahgunakan.
Adanya prosedur yang Diterapkannya
√
spesifik dalam manajemen
105
penggunaan akun akses kontrol
master (siapa dan kapan 9.2 diharapkan
saja boleh dipakai). dapat membuat
dokumentasi
lebih baik
Diterapkannya
manajemen
Adanya aturan terkait
akses kontrol
penghapusan atau
√ 9.2 diharapkan
pengubahan mengenai
dapat membuat
hak akses.
dokumentasi
lebih baik
Diterapkannya
manajemen
Adanya dokumen yang
akses kontrol
mengidentifikasi hak
√ 9.2 diharapkan
akses pegawai dan
dapat membuat
kontraktor.
dokumentasi
lebih baik
9.3 Tanggung jawab pengguna
9.3.1 Penggunaan informasi rahasia otentikasi
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Pengguna
menyimpan
kerahasiaan
informasi akun dan F.A.Q
Untuk √ Sesuai dengan Standar
tidak Aplikasi
membuat
membocorkannya
setiap
kepada pihak/orang
karyawan
lain.
KIIS
Merubah informasi
bertanggung
rahasia otentikasi
jawab
ketika ada F.A.Q
terhadap √ Sesuai dengan Standar
perubahan/perintah Aplikasi
perlindungan
yang telah disetujui
informasi
bersama.
terhadap
Memastikan
otentikasi
perlidungan yang
akun mereka
tepat pada password
sendiri. F.A.Q
ketika password √ Sesuai dengan Standar
Aplikasi
digunakan sebagai
informasi rahasia
otentikasi.
9.4 Tanggung jawab pengguna
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Untuk Akses Kontrol 9.4
Adanya kebijakan
mencegah mencegah akses dari
pengendalian akses
akses dari pihak yang tidak
yang membatasi
pihak yang berewenang masuk
akses sesuai dengan √
tidak kedalam aplikasi secara
perannya dalam
berewenang tertulis, sehingga
aplikasi (tidak
ke sistem dan dokumen tersebut dapat
boleh membagikan
aplikasi dipertanggungjawabkan
106
informasi akun
antar divisi).
Adanya
pengendalian hak Menu
akses pengguna √ Pengguna Sesuai dengan Standar
(seperti read, write, pada aplikasi
delete dan execute).
Adanya
Menyediakan
aturan siapa
pengendalian akses
saja yang
fisik dan logical
dapat masuk
untuk pemisahan √ Sesuai dengan Standar
dan
aplikasi yang
menggunakan
sensitif, data
ruang kepala
aplikasi atau sistem.
labkom
Menggunakan
teknik otentikasi
yang sesuai untuk √ Sesuai dengan Standar
mengidentifikasi
user.
Adanya aturan yang
berguna untuk
meminimalisir
akses dari pihak
yang tidak √ Sesuai dengan Standar
berwenang, seperti
tidak menampilkan
password saat
diinput ke aplikasi.
Adanya menu
Menu
manajemen
√ Pengguna Sesuai dengan Standar
password di akun
pada aplikasi
pengguna.
Adanya fitur
manajemen
password yang
Menu
memungkinkan
√ Pengguna Sesuai dengan Standar
pengguna untuk
pada aplikasi
mengubah
password mereka
sendiri.
Akses Kontrol 9.4
memastikan keamanan
Adanya fitur yang password benar-benar
menguji kualitas √ terjaga dengan
password. meminimalisir
terjadinya ancaman dari
luar
Adanya fitur yang
berisi peraturan
tentang pengguna
√ Sesuai dengan Standar
harus merubah
password ketika
PERTAMA log-in.
107
Adanya fitur yang
bersisi perubahan
password secara √ Sesuai dengan Standar
teratur dan sesuai
kebutuhan.
Adanya fitur yang
tidak
dibolehkannya
√ Sesuai dengan Standar
menampilkan
password dilayar
monitor.
Hasil temuan pada KIIS objektif kontrol 9 tentang akses kontrol, diperoleh hasil
23 dari 36 proses sudah didokumentasikan, artinya sebagian proses sudah
didokumentasikan oleh KIIS, namun belum maksimal karena ada 13 proses yang
belum didokumantasikan, akibat dari belum terdokumentasi kebijakan ini yaitu
Akses jaringan yang masih bisa terancam dan masuknya pengguna yang tidak sah
kedalam sistem dan layanan KIIS.
11. Keamanan fisik dan lingkungan

11.1 Area aman
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Adanya kebijakan
terkait pembatas
Labkom bersifat
keamanan pada aset, Sesuai
tertutup, hanya teknisi
misal area khusus √ dengan
dan staf labkom yang
untuk ruang server Standar
dapat masuk ke dalam
yang mempunyai
Untuk mencegah
keamanan khusus.
tidak sahnya akses
Adanya pembatasan
fisik, kerusakan Labkom bersifat
akses ke ruangan atau Sesuai
dan gangguan tertutup, hanya teknisi
bangunan dan hanya √ dengan
terhadap aplikasi dan staf labkom yang
untuk karyawan yang Standar
organisasi dan dapat masuk ke dalam
berwenang.
pengolahan
Lokasi Labkom
fasilitas informasi
Fasilitas jaringan dan ruangan lantai 4 dan
data ditempatkan pada paling pojok, lebih Sesuai
lokasi yang sesuai √ susah untuk diakses dengan
untuk menghindari (jauh dari gedung Standar
akses oleh publik. perkumpulan dan
kelas)
108
Melakukan pengaturan
fasilitas untuk Labkom bersifat
Sesuai
mencegah informasi tertutup, hanya teknisi
√ dengan
atau kegiatan rahasia dan staf labkom yang
Standar
diketahui oleh pihak dapat masuk ke dalam
luar sekolah.
Adanya peraturan
Semua data aplikai
terkait penyimpanan Sesuai
internal wajib
internal didalam server √ dengan
disimpan dalam server
(data dalam server Standar
lokal
sensitif).
Mengadakan
penyuluhan dari ahli
tentang bagaimana
cara untuk
menghindari Meski tidak setiap
Sesuai
kerusakan dari waktu, minimal setiap
√ dengan
kebakaran, banjir, setahun sekali KIIS
Standar
gempa bumi, ledakan mengadakan acara P3
dan dari
bentuk lain dari
bencana alam atau
buatan manusia.
11.2 Keamanan Peralatan
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Peralatan ditempatkan
Adanya gudang
pada lokasi yang
khusus peralatan yang
seharusnya untuk Sesuai
sudah tidak dipakai
meminimalisir √ dengan
namun masih dapat
penggunaan yang tidak Standar
digunakan kembali
berwenang dalam area
(tidak rusak)
Untuk mencegah kerja.
kerugian, Adanya ruangan
kerusakan, khusus, AC 24 jam dan
Adanya pengamanan Sesuai
pencurian atau kunci lab yang hanya
pada fasilitas √ dengan
kompromi aset dipegang oleh
penyimpanan (server). Standar
dan gangguan beberapa orang saja
terhadap proses dan tidak dipinjamkan
bisnis organisasi. Melakukan
pemantauan terhadap
kondisi lingkungan Sesuai
yang dapat √ Ceklis Logistik dengan
mempengaruhi Standar
pengoperasian fasilitas
Menerapkan
Untuk mencegah
perlindungan
kerugian, Antipetir sudah Sesuai
antibanjir dan antipetir
kerusakan, √ dipasang pada setiap dengan
pada semua bangunan
pencurian atau gedung Standar
dan semua jalur
kompromi aset
komunikasi.
dan gangguan
Adanya aturan Sesuai
terhadap proses
mengenai peralatan √ Ceklis Logistik dengan
bisnis organisasi.
yang harus dipelihara Standar
109
sesuai dengan
jadwal waktu service
(AC, PC, dll).
Adanya Pelayanan
Satu Pintu (PSP) yang
Perawatan dan sudah berjalan,
perbaikan peralatan sehingga semua Sesuai
hanya dilakukan oleh √ masalah akan di dengan
personel yang simpulkan pada divisi Standar
berwenang. tertentu dan informasi
tidak menyebar ke
divisi yang lain
Adanya aturan yang
berisi tentang
sebelum meletakkan
peralatan
kembali ke dalam Sesuai
operasi setelah √ Ceklis Logistik dengan
dilakukan perawatan Standar
atau service, peralatan
harus ada pemeriksaan
ulang sebelum
diinventariskan lagi.
Hasil temuan pada KIIS objektif kontrol 11 tentang keamanan fisik dan lingkungan,
diperoleh hasil semua proses sudah didokumentasikan artinya KIIS sudah maksimal
dalam dokumentasi keamanan fisik dan lingkungan.
12. Keamanan operasi

12.1 Prosedur dan tanggung jawab operasional
Dilakukan
Ya Tidak
Kontrol 12.1
Adanya dokumen
membantu
prosedur untuk aktivitas
pengadaaan
operasional yang
√ dokumen prosedur
berkaitan dengan
Memastikan untuk memastikan
pemprosesan informasi
operasi yang bahwa fasilitas
dan fasilitas komunikasi.
benar dan beroperasi dan aman
aman pada Adanya prosedur
fasilitas pengoperasian yang
Sesuai dengan
pengolahan menjelaskan instruksi √
Standar
informasi. operasional secara
spesifik (buku manual).
Prosedur operasi dan Kontrol 12.1
dokumen prosedur untuk √ membantu prosedur
aktivitas sistem operasi dan
110
merupakan formal dokumen prosedur
dokumen dan perubahan untuk aktivitas
hanya dapat dilakukan sistem untuk
oleh manajemen atau memastikan bahwa
pemegang otoritas fasilitas beroperasi
(kepala labkom). dan aman
Adanya aturan untuk
pemindahan software Sesuai dengan
√
dari status beta ke status Standar
Software dalam masa
pengembangan dan
Sesuai dengan
operasional dijalankan √
Standar
dalam sistem yang
berbeda.
Perubahan pada sistem
dan aplikasi operasional
sudah di uji pada Sesuai dengan
√
lingkungan testing Standar
sebelum diterapkan pada
sistem operasional.
Penggunaan user profiles
yang berbeda untuk Sesuai dengan
√
sistem operasional dan Standar
sistem testing
12.2 Perlindungan dari Malware
Dilakukan
Ya Tidak
Adanya kebijakan yang
melarang instalasi
software yang tidak Sesuai dengan
√
dikenal/tidak digunakan Standar
secara resmi oleh
organisasi.
Mengimplementasikan
kontrol yang mencegah
Sesuai dengan
atau mendeteksi √
Untuk Standar
penggunaan software
memastikan
yang tidak dikenal.
bahwa
Adanya kebijakan resmi
informasi dan
untuk perlindungan
fasilitas
terhadap risiko yang
pengolahan
terkait dengan pertukaran Sesuai dengan
informasi √
file dan perangkat lunak, Standar
dilindungi
baik melalui jaringan
terhadap
eksternal ataupun
malware.
melalui media lainnya.
Melakukan peninjauan
rutin pada perangkat
lunak dan konten data Ceklis Sesuai dengan
√
dari sistem yang Labkom Standar
mendukung proses bisnis
organisasi.
Menginstal dan Sesuai dengan
√
melakukan update rutin Standar
111
perangkat lunak yang
berfungsi untuk
mendeteksi malware.
(karena labkom memakai
linux, pertanyaan ini
diganti dengan
melakukan update rutin
OS dengan perintah apt-
update dan apt-upgrade)
Kontrol 12.1
membantu prosedur
Adanya prosedur dalam
operasi dan
perlindungan sistem
dokumen prosedur
terhadap malware seperti
√ untuk aktivitas
pelatihan pengguna,
sistem untuk
pelaporan dan pemulihan
memastikan bahwa
dari serangan malware.
fasilitas beroperasi
dan aman
12.3 Backup
Dilakukan
Ya Tidak
Adanya catatan (log)
yang akurat dan lengkap
Sesuai dengan
dari salinan backup dan √
Standar
dokumentasi prosedur
pemulihan.
Pelaksanaan backup data
Sesuai dengan
berkala pada setiap √
Standar
bidang/divisi.
Data backup disimpan
pada lokasi yang berbeda
(partisi maupun hdd)
Sesuai dengan
untuk menghindari √
Standar
kerusakan seperti
kerusakan pada lokasi
utama.
Untuk
Kontrol 12.3
melindungi
Melakukan pengujian membantu dalam
hilangnya
secara teratur pada media melakukan
data.
backup untuk pengujian secara
√
memastikan teratur pada media
kehandalannya (system backup untuk
checking). melindungi
hilangnya data
Kontrol 12.3
membantu dalam
Data backup dienkripsi. √ enkripsi pada media
backup untuk
melindungi data
Adanya catatan (log) Kontrol 12.3
yang akurat dan lengkap membantu
dari salinan backup dan √ pencatatan log
dokumentasi prosedur backup untuk
pemulihan. dokumentasi catatan
112
dalam proses
backup
12.5 Pengaturan operasional perangkat lunak
Dilakukan
Ya Tidak
Adanya prosedur untuk
pengendalian instalasi Manual Sesuai dengan
√
perangkat lunak pada Aplikasi Standar
sistem operasi.
Pengimplementasian
perangkat lunak aplikasi
dan sistem operasi Sesuai dengan
√
dilakukan setelah melalui Standar
Untuk
tahap pengujian yang
memastikan
sukses.
integritas dari
Adanya sistem kontrol
sistem
konfigurasi yang
operasi pada
digunakan untuk Sesuai dengan
komputer √
menjaga kontrol semua Standar
kantor.
perangkat lunak yang
diimplementasikan.
Biasanya
Adanya catatan atau log disampaikan
terkait semua pembaruan secara Sesuai dengan
√
aplikasi atau sistem yang langsung Standar
dilakukan. (presentasi)
ke guru
12.6 Pengaturan operasional perangkat lunak
Dilakukan
Ya Tidak
Adanya aturan terkait Kontrol 12.6
peran dan tanggung diimplementasikan
jawab yang berhubungan sebagai bentuk
dengan manajemen √ pencegahan
teknik vulnerability perusakan sistem
seperti penilain risiko dengan penilaian
vulnerability. resiko
Untuk
Melakukan identifikasi Kontrol 12.6
mencegah
terhadap aset informasi diimplementasikan
pemanfaatan
yang dimiliki untuk sebagai bentuk
teknik √
mengetahui potensi pencegahan
vulnerability
teknik vulnerability pada perusakan sistem
dan
aset yang dimiliki secara formatif
perusakan
Kontrol 12.6
lainnya. Melakukan pengamatan
diimplementasikan
dan evaluasi pada
sebagai bentuk
manajemen teknik
pencegahan
vulnerability untuk √
perusakan sistem
memastikan prosesnya
dan memastikan
berjalan dengan efektif
proses berjalan
dan efisien.
efisien
113
Hasil temuan pada KIIS objektif kontrol 12 tentang keamanan operasi diperoleh
hasil 17 dari 26 proses sudah dilaksanakan artinya sebagian besar proses sudah
didokumentasikan oleh KIIS, namun akan lebih maksimal jika semua
terdokumentasi, karena akibat dari belum terdokumentasi 9 kebijakan ini yaitu
kurang maksimalnya pengamanan data dan fasilitas informasi.
14. Akusisi sistem informasi, pembangunan dan pemeliharaan

14.1 Persyaratan keamanan untuk sistem informasi
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Kontrol 14.1
Adanya dokumen digunakan
prosedur untuk untuk
aktivitas memastikan
operasional yang adanya
terhubung dengan √ prosedur yang
pengolahan jelas, shingga
informasi dan memudahkan
fasilitas integrasi
komunikasi. keamanan
Untuk memastikan informasi
bahwa keamanan Adanya prosedur
informasi merupakan pengoperasian yang
bagian yang menjelaskan SOP dan Sesuai dengan
√
terintegrasi dari instruksi Manual Standar
sistem informasi. operasional secara
spesifik.
Prosedur operasi
dan dokumen
prosedur untuk
aktivitas sistem
SOP dan Sesuai dengan
merupakan formal √
Manual Standar
dokumen dan
perubahan hanya
dapat dilakukan
oleh manajemen.
14.2 Keamanan dalam proses pengembangan dan bantuan
Petunjuk Dilakukan
Kontrol Bukti Gap
Penggunaan Ya Tidak
Untuk memastikan Adanya kebijakan
bahwa keamanan pengembangan
informasi dirancang yang aman pada Manual Sesuai dengan
√
dan saat Aplikasi Standar
diimplementasikan pengembanagan
dalam siklus hidup sistem (Open Beta).
114
pengembangan Adanya panduan
sistem informasi. tentang keamanan √ F.A.Q Aplikasi
dalam aplikasi.
Kontrol 14.2
memastikan
bahwa
Mengidentifikasi identifikasi
persyaratan keamanan
keamanan dalam dalam fase
√
fase perancangan perancangan
(Early Access, Beta dapat
dll). membantu
memastikan
keamanan
aplikasi
Melakukan tinjauan
kembali pada
kontrol bahwa
Sesuai dengan
perubahan pada √
Standar
platform operasi
dapat berjalan
dengan baik.
Adanya
pemberitahuan
perubahan platform
operasi yang tepat
Sesuai dengan
waktu sehingga √
Standar
dapat dilakukan
testing dan review
sebelum
implementasi.
Kontrol 14.2
Melakukan memastikan
pengujian bahwa
penerimaan sistem pengujian
yang mencakup penerimaan
√
pengujian sistem dapat
persyaratan membantu
keamanan memastikan
informasi. keamanan
aplikasi
Melakukan
pengujian dalam
Pengujian
lingkungan yang
dalam server
realistis sehingga Sesuai dengan
√ lokal sebelum
dapat diketahui Standar
dipublikasikan
ancaman yang
daring
dihadapi oleh
sistem.
Hasil temuan pada KIIS objektif kontrol 14 tentang keamanan pada proses
keamanan dalam proses pengembangan dan bantuan diperoleh hasil 7 dari 10 proses
115
sudah dilaksanakan artinya sebagian proses sudah didokumentasikan oleh KIIS,
namun masih perlu ditingkatkan, karena akibat dari belum adanya 3 kebijakan yang
belum didokumentasikan ini yaitu kurangnya kepastian keamanan informasi dalam
siklus hidup pengembangan sistem informasi.
Berdasarkan hasil penelitian pada tahap pengukuran maturity level dan identifikasi
hasil temuan, ada beberapa klausul yang belum didokumentasikan, yang ditaksir
mengakibatkan terjadinya masalah dalam kegiatan Kafila International Islamic
School nantinya. Berikut adalah beberapa rekomendasi yang dapat disimpulkan
oleh penulis sebagai best practice dalam perbaikan keamanan informasi pada Kafila
4.5.1 Prosedur dan Dokumentasi
Secara garis besar, klausul yang bermasalah adalah: klausul 6.2 pada Perangkat
seluler dan teleworking, klausul 9 pada Kontrol Akses, klausul 12.3 pada prosedur
Backup dan klausul 12.6 pada Pengaturan operasional perangkat lunak. Berikut
adalah rekomendasi penulis mengenai klausul yang bermasalah sesuai pada best
practice ISO 27002:
A. Klausul 6.2 pada Perangkat Seluler dan Teleworking
Perhatian harus diambil saat menggunakan perangkat seluler di tempat
umum, ruangan kerja dan area lain yang tidak terlindungi. Perlindungan
harus ada untuk menghindari akses ilegal dan pengungkapan informasi
(information leak) yang disimpan dalam perangkat genggam.
116
Perangkat seluler juga harus dilindungi secara fisik terhadap pencurian.
Prosedur khusus yang mempertimbangkan persyaratan hukum, asuransi
perangkat, dan keamanan lainnya dari organisasi harus diperhitungan
mengingat banyaknya kasus pencurian atau kehilangan perangkat seluler.
Perangkat yang berisikan konten informasi bisnis yang penting dan sensitif
tidak boleh ditinggalkan tanpa pengawasan dan jika perlu harus diamankan
secara fisik.
Pelatihan harus direncanakan untuk guru-guru yang menggunakan
perangkat seluler. Perangkat seluler umumnya berbagi fitur/fungsi pada
umumnya, misalkan pada jaringan, akses internet, e-mail dan penanganan
file. Pengguna biasanya tidak sadar akan rekayasa sosial yang sering terjadi,
hingga peretasan terhadap media komunikasi.
Pedoman dan pengaturan mengenai telekomukasi harus mencakup:
• Penyediaan peralatan khusus kegiatan teleworking oleh kantor,
dimana penggunaan peralatan kantor hanya digunakan untuk
keperluan kantor.
• Penyediaan peralatan komunikasi yang sesuai, termasuk metode
untuk mengamankan akses jarak jauh.
• Keamanan fisik perangkat keras.
• Penyediaan dukungan dan pemeliharaan perangkat keras dan
perangkat lunak (asuransi dan bantuan service)
• Prosedur untuk backup data.
• Audit dan pemantauan keamanan;
117
• Pencabutan wewenang dan hak akses, dan pengembalian peralatan
saat kegiatan teleworking dihentikan/sudah waktunya diambil
kembali oleh sekolah.
B. Klausul 9 pada Kontrol Akses
Pada klausul 9.1 mengenai Kontrol Akses Kebutuhan Bisnis, KIIS harus
menentukan aturan kontrol akses yang sesuai, misalkan saja pada hak akses
dan pembatasan untuk peran guru-guru tertentu terhadap informasi penting
(aset) mereka, sesuai dengan bidang yang dijalaninya.
Kebijakan mengenai hal tersebut harus mempertimbangkan:
• Persyaratan keamanan aplikasi sekolah yang dipakai oleh guru
(MySchool, Kafiqu dan EMIS).
• Konsistensi antara hak akses dan kebijakan akses pada informasi
sistem dan jaringan.
• Pengelolaan hak akses yang tepat sesuai bidang dalam sekolah, pada
semua jenis koneksi yang disediakan KIIS, dalam hal ini adalah
akses Mikrotik.
• Pemisahan peran kontrol akses, misalkan permintaan akses,
otorisasi akses, administrasi akses kepada kepala labkom selaku
administrator.
• Persyaratan untuk otorisasi harus resmi dari administrator dan
didokumentasikan.
• Peninjauan berkala akan hak-hak akses semua guru agar akses
informasi sesuai dengan bidangnya.
118
• Pengarsipan catatan semua peristiwa penting terkait dalam
penggunaan hak akses (semua log tersimpan).
• Tidak di-share-nya informasi hak akses administrator kecuali hanya
pada bidang yang berwenang.
Pada klausul 9.2 mengenai Manajemen Akses Pengguna, mengatur
dokumentasi proses registrasi dan de-registrasi pengguna dalam penetapan
hak akses, proses penyediaan akses atau pencabutan hak akses untuk semua
jakun dalam sistem informasi KIIS, alokasi dan penggunaan hak akses
istimewa (admin) yang harus dibatasi dan dikendalikan, pemberian
otentikasi rahasia harus melalui proses resmi (ada dokumentasinya) hingga
pada evaluasi akun-akun yang nantinya akan tetap dipelihara atau bahkan
dihapus dari sistem. Nah, ini merupakan proses yang sangat panjang. KIIS
perlu mendokumentasikan setiap akun pada masa bidang tersebut menjabat.
Hal yang sering terjadi adalah ketika sudah menjalani tahun ajaran baru,
akun guru pada kepengurusan sebelumnya tidak diperbaharui, maka perlu
kebijakan dan dokumentasi secara berkala.
Proses untuk mengelola ID pengguna harus mencakup:
• Menggunakan ID pengguna unik untuk memungkinkan pengguna
untuk ditautkan dan bertanggung jawab atas tindakan mereka dan
penggunaan ID bersama hanya diizinkan jika diperlukan untuk
keperluan bisnis atau operasional dan harus disetujui dan
didokumentasikan;
119
• Segera menonaktifkan atau menghapus ID pengguna dari pengguna
yang telah meninggalkan organisasi (seperti pada klausul 9.2.6)
• Secara berkala mengidentifikasi dan menghapus atau
menonaktifkan ID pengguna yang berlebihan (id ganda);
• Memastikan bahwa ID pengguna yang berlebihan tidak diberikan
kepada pengguna lain.
C. Klausul 12.3 pada Prosedur Backup
Salinan cadangan informasi, perangkat lunak, dan gambar sistem harus
diatur secara teratur sesuai dengan kebijakan mengenai pencadangan media
yang disepakati.
Kebijakan cadangan harus dilakukan, fasilitas cadangan yang memadai
harus disediakan untuk memastikan bahwa semua data & informasi penting
dapat dipulihkan setelah terjadi kejadian yang tidak diinginkan, hal-hal
berikut harus dipertimbangkan merencanakan prosedur pencadangan:
• Data/informasi harus utuh, tidak parsial;
• Tingkat dan frekuensi cadangan harus dijadwalkan teratur;
• Cadangan harus disimpan di lokasi khusus, tidak pada lokasi-lokasi
umum. Dalam hal ini, KIIS sudah melakukan dengan penempatan
server yang jauh dari tempat umum.
• Media cadangan (hdd server) harus diuji (chkdisk) secara berkala
untuk memastikan bahwa perangkay penyimpanan tersebut dapat
diandalkan untuk penggunaan darurat. Ini harus dilengkapi dengan
120
uji restorasi data. Melakukan backup tanpa overwrite data yang
lama, dalam artian jika ada kegagalan dalam pencadangan, cadangan
data yang sebelumnya masih tersedia;
• Pada data yang sangat penting, cadangan harus dilindungi dengan
cara enkripsi.
D. Klausul 12.6 pada Pengaturan Operasional Perangkat Lunak
Inventarisasi aset saat ini adalah adalah langkah untuk suksesnya klausul
ini. Tindakan yang tepat dan tepat waktu harus diambil dalam menanggapi
identifikasi potensi kerentanan (vulnerability).
Panduan berikut harus diikuti dan didokumentasikan untuk menerapkan
prosedur yang baik:
• Organisasi harus menetapkan peran dan tanggung jawab yang terkait
dengan kerentanan (vulnerability), termasuk ceklis pemantauan
kerentanan, penilaian risiko kerentanan, perbaikan, log dokumentasi
aset, dan koordinasi tanggung jawab pada bidangnya masing-
masing;
• Log ceklis evaluasi harus disimpan untuk semua prosedur yang
dilakukan;
• Proses manajemen kerentanan teknis harus secara teratur dipantau
dan dievaluasi untuk memastikan efektivitas dan efisiensinya;
• Sistem yang berisiko tinggi harus ditangani terlebih dahulu, dalam
hal ini fungsi aplikasi MySchool harus mendapat perhatia lebih
mengingat ini adalah aplikasi pusat kegiatan KBM sekolah;
121
• Proses manajemen kerentanan teknis ini harus diselaraskan dengan
kegiatan manajemen insiden, untuk mengformulasikan tentang
kerentanan data sebelum terjadi insiden;
• Menetapkan prosedur antisipasi jika timbul kerentanan risiko dan
mengawasinya sehingga dapat membantu menentukan tindakan
korektif yang cepat dan tepat.
4.5.2 Aplikasi Pencadangan
Aplikasi yang dikembangkan KIIS sudah cukup aman dan multifungsi, sudah
sangat terintegrasi dengan baik, namun belum menyentuh mengenai backup data.
Mengingat data yang banyak memerlukan penyimpanan yang banyak, penulis tetap
menganjurkan bahwa aplikasi backup yang dipakai adalah aplikasi linux server dan
mempunyai fitur backup secara berkala. Linux mempunyai sistem sekuriti yang
sangat baik, Amanda (http://www.amanda.org/) dan Bacula
(https://www.bacula.org/) dapat menjadi alternatif aplikasi pencadangan selain dari
aplikasi bawaan.
122
Gambar 4. 13 Bacula
Gambar 4. 14 Amanda
123
124
BAB V
PENUTUP
5.1 Kesimpulan
Berdasarkan penguraian pada bab sebelumnya, penulis menyimpulkan
penelitian pada Keamanan Sistem Informasi di Kafila International Islamic School
ini yaitu:
a. Penulis telah melakukan penelitian evaluasi keamanan sistem informasi
Kafila International Islamic School dengan Standar ISO 27002:2013
menggunakan klausul 5 mengenai Kebijakan Keamanan Informasi, klausul
6 mengenai Keamanan Informasi Organisasi, klausul 7 mengenai
Keamanan Sumber Daya, klausul 8 mengenai Manajemen Aset, klausul 9
mengenai Kontrol Akses, klausul 11 mengenai Keamanan Fisik dan
Lingkungan, klausul 12 mengenai Keamanan Informasi dan klausul 14
mengenai Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan.
b. Pada pengukuran tingkat resiko, semua aset yang diukur mempunyai high
risk, artinya hampir semua aset sangat penting dan berpengaruh pada
kelangsungan kegiatan organisasi.
c. Namun berbeda dengan setelah dilakukan penelitian, KIIS sudah
mempunyai dokumentasi (log) yang cukup baik. Hanya ada 3 klausul yang
mempunyai nilai rendah yaitu keamanan fisik/lingkungan, keamanan
operasi dan Akusisi sistem informasi, pembangunan dan pemeliharaan.
d. Adapun pasal yang paling rendah dari poin c diatas adalah:
125
- pada klausul keamanan fisik/lingkungan, sangat kurang pada kebijakan
pembatasan masuk ruangan, masih terjadi keluar/masuk ruangan penting
(seperti ruang labkom dan ruang kontrol) tanpa izin dan belum adanya
sanksi pelanggaran jika ada SDM yang melakukan hal tersebut.
- pada klausul keamanan operasi, sangat lemah terhadap proteksi data,
termasuk di dalamnya belum ada prosedur backup data server, prosedur
penggunaan aplikasi hingga belum adanya log yang rapih dan pengawasan
akses secara berkala terhadap aplikasi-aplikasi yang digunakan KIIS.
- pada klausul pemeliharaan sistem aplikasi, sangat kurang pada proses
testing, belum ada pembuatan panduan penggunaan aplikasi, belum adanya
tester aplikasi hingga pada peninjauan kembali aplikasi secara berkala.
Perbaikan terjadi jika/hanya ditemukan bug/error saja.
e. Kekurangan dokumentasi terjadi, mengingat tidak disebutnya dokumentasi
tersebut pada ISO 9001:2008 yang diterapkan di Kafila International
Islamic School.
f. Rata-rata penilaian dari semua klausul yang diteliti adalah managed, artinya
Kafila International Islamic School sudah hampir menjalankan dokumentasi
keamanann sistem informasi (sebagian dokumentasi terbantu oleh
implementasi dokumentasi ISO 9001:2008). Walaupun belum maksimal,
namun dapat disimpulkan sangat baik mengingat belum diadakannya
penelitian tentang keamanan informasi sebelumnya.
g. Diharapkan dengan temuan yang sudah penulis lakukan pada sistem
manajamen IT KIIS, KIIS mempunyai ide baru untuk pembuatan SOP-SOP
126
yang berhubungan dengan Aset IT dan Aplikasi KIIS, seperti pada
pembuatan SOP pada pembuatan dan pemakaian aplikasi, pencatatan dan
pemeliharaan aset yang lengkap dan teratur, pelatihan-pelatihan keamanan
dan aplikasi keamanan hingga pada sanksi terhadap pelanggaran
penggunaan aset IT dan aplikasi untuk tujuan yang tidak semestinya.
5.2 Saran
Berikut beberapa saran yang dapat penulis berikan kepada penelitian
Keamanan Sistem Informasi di Kafila International Islamic School untuk
pengembangan selanjutnya (further development).
1. Dapat menggunakan standar yang lain, karena dalam penelitian keamanan
ini ketika KIIS memberlakukan ISO 9001:2008 tidak mudah menemukan
celah karena sudah terbantu pada pasal-pasal ISO 9001.
2. Dikarenakan skala masih sekolah dan belum terlalu besar populasinya,
pengembangan aplikasi tidak harus menggunakan implementasi testing.
Namun proses testing sangat diperlukan, mengingat pernah terjadi
kegagalan Ujian Alquran karena database Aplikasi Kafiqu rusak sehingga
ujian semester ditunda 2 hari.
3. Penelitian selanjutnya dapat menggunakan klausul lainnya. Dikarenakan
belum adanya evaluasi keamanan sebelumya, penulis tidak memasukan
klasul tentang kriptografi, dikarenakan pengembangan aplikasi belum
menilai sampai sejauh itu (gap pasti akan sangat jauh). Diharapkan dengan
adanya penelitian ini, kepala labkom mempunyai inspirasi dalam
pengembangan sehingga klausul kriptografi dapat dilakukan.
127
4. Penggunaan model juga bisa ditingkatkan menggunakanan CMMI atau
RACI Chart untuk memodelkan sistem agar lebih beragam dan terlihat
kompleksitas keamanannya.
128
129
DAFTAR PUSTAKA
Bintara, H. (2017). Mengenal Threats dan Vulnerabilities. Retrieved from

Netsec.id website: https://netsec.id/threats-vulnerabilities/
BSI. (2013). BS ISO/IEC Standards Publication Information technology —
Security techniques — Code of practice for information security control s.
Retrieved from www.iso.org
Dinamika Mitra Global. (2017). Sistem Manajemen Keamanan Informasi – SNI
ISO/IEC 27001:2013. Retrieved June 10, 2020, from
https://dinamikaconsulting.com/sistem-manajemen-keamanan-informasi-sni-
iso-iec-270012013/
Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security
Management. Journal of Information Security, 4, 92–100.
https://doi.org/10.5555/uri:pii:0022214357900999
Dodge, R. C., & Futcher, L. (2013). Information assurance and security education
and training. IFIP Advances in Information and Communication Technology,
406(October 2015), 29–31. https://doi.org/10.1007/978-3-642-39377-8
Han, Z., Huang, S., Li, H., & Ren, N. (2016). Risk assessment of digital library
information security: A case study. Electronic Library, 34(3), 471–487.
https://doi.org/10.1108/EL-09-2014-0158
Husaini, M. (2014). PEMANFAATAN TEKNOLOGI INFORMASI DALAM
BIDANG PENDIDIKAN (E-education). Jurnal Mikrotik, 2(1).
Indrajit, R. E. (2016). Keamanan Informasi dan Internet. Journal of Chemical
Information and Modeling, 8(9), 150.
https://doi.org/10.1017/CBO9781107415324.004
ISO/IEC. (2018). Information technology-Security techniques-Information
security management systems-Overview and vocabulary ISO/IEC
27000:2018(E) ii COPYRIGHT PROTECTED DOCUMENT. 2018.
Retrieved from www.iso.org
Itradat, A., Sultan, S., Al-Junaidi, M., Qaffaf, R. A., Mashal, F. A., & Daas, F.
(2014). Developing an ISO27001 Information Security Management System
for an Educat...: ‫חיפוש‬. Jordan Journal of Mechanical and Industrial
Engineering, 8(2), 102. Retrieved from
http://eds.b.ebscohost.com.proxy1.athensams.net/eds/detail/detail?sid=ad4bb
a9d-557d-49d2-8718-
6d9c1103c571%40sessionmgr115&crlhashurl=login.aspx%253fdirect%253d
true%2526profile%253dehost%2526scope%253dsite%2526authtype%253dc
rawler%2526jrnl%253d19956665%25
130
Jufri, M. T., Hendayun, M., & Suharto, T. (2018). Risk-assessment based
academic information System security policy using octave Allegro and ISO
27002. Proceedings of the 2nd International Conference on Informatics and
Computing, ICIC 2017, 2018-Janua, 1–6.
https://doi.org/10.1109/IAC.2017.8280541
Kurniawan, E., & Riadi, I. (2018). Analisis Tingkat Keamanan Sistem Informasi
Akademik Berdasarkan Standard ISO/IEC 27002:2013 Menggunakan SSE-
CMM. INTENSIF: Jurnal Ilmiah Penelitian Dan Penerapan Teknologi
Sistem Informasi, 2(1), 12. https://doi.org/10.29407/intensif.v2i1.11830
Mauladani, F., & Siahaan, D. O. (2018). Perancangan SMKI Berdasarkan SNI
ISO/IEC27001:2013 dan SNI ISO/IEC27005:2013 (Studi Kasus DPTSI-
ITS). CSRID (Computer Science Research and Its Development Journal),
10(1), 32. https://doi.org/10.22303/csrid.10.1.2018.32-43
Nafiudin, S. (2019). Sistem Informasi Manajemen. Penerbit Qiara Media.
Nugroho Saputro, F. E., Utami, E., & Al Fatta, H. (2018). Konferensi Nasional
Sistem Informasi 2018 STMIK Atma Luhur Pangkalpinang. 8–9.
Padli, M. I. (2008). Urgensi Keamanan Dalam Sistem Informasi. Iqra’, 2(2).
Perera, D. (2008). ISO / IEC 27001 Information Security Management System.
31(Dec 2007), 9–10.
Santosa, I., & Kuswanto, D. (2016). Analisa Manajemen Resiko Keamanan
Informasi pada Kantor Pelayanan Pajak Pratama XYZ. Rekayasa, 9(2), 108.
https://doi.org/10.21107/rekayasa.v9i2.3347
Saputra, G. W. (2018). Usulan Tata Kelola Keamanan Informasi Berdasarkan
Standar ISO 27001:2013 pada Instalasi Sistem Informasi Rumah Sakit RSUP
Fatmawati (UIN Syarif Hodayatullah Jakarta; Vol. 10).
https://doi.org/10.1542/peds.2006-2099
Sarno, R., & Iffano, I. (2009). Sistem Manajemen Keamanan Informasi (A.
Herdiyanti, Ed.). Surabaya: ITSPress.
Sidik, M., & Iriani, A. (2018). Audit Manajemen Keamanan Teknologi Informasi
Menggunakan Standar ISO 27001 : 2005 Di PerguruanTinggi XYZ. 3(2), 99–
106.
Sihwi, S. W., Andriyanto, F., & Anggrainingsih, R. (2016). An expert system for
risk assessment of information system security based on ISO 27002. 2016
IEEE International Conference on Knowledge Engineering and Applications,
ICKEA 2016, (September 2017), 56–61.
https://doi.org/10.1109/ICKEA.2016.7802992
Succar, B., Sher, W., & Williams, A. (2012). Measuring BIM performance : Five
metrics. ARCHITECTURAL ENGINEERING AND DESIGN
MANAGEMENT, 8, 120–142.
131
Tamimi, M. (2019). SECURITY REVIEW BASED ON ISO 27000 / ISO 27001 /
ISO 27002 STANDARDS : SECURITY REVIEW BASED ON ISO 27000 /
ISO 27001 / ISO 27002 STANDARDS : A CASE STUDY RESEARCH.
Proceedings of Researchfora 48th International Conference, Istanbul,
Turkey, (August).
TÜRCERT. (2018). Apa itu Sistem Manajemen Keamanan Informasi ISO 27001.
Retrieved June 10, 2020, from ISO website:
https://www.belge.com/id/belgelendirme/sistem/iso-27001/
Venter, I. M., Blignaut, R. J., Renaud, K., & Venter, M. A. (2019). Cyber security
education is as essential as “the three R’s.” Heliyon, 5(12), 0–7.
https://doi.org/10.1016/j.heliyon.2019.e02855
Vorster, J., & Goosen, L. (2018). Towards a framework for partnerships between
higher education institutions and E-learning schools. Proceedings of the
International Conference on E-Learning, ICEL, 2018-July(July), 525–533.
Ward, J., & Peppard, J. (2002). Strategic Planning for Information Systems John
Ward and Joe Peppard Wiley, 2002, 3.
132
LAMPIRAN
133
LAMPIRAN 1
WAWANCARA
134
Wawancara 1
Pewawancara: Aditya Teguh Septoaji
Narasumber: Ahmad Alwasiem
Jabatan Narasumber: Direktur Pendidikan
Hari / Tanggal: Kamis / 3 Oktober 2019
• Assalamu’alaikum Warahmatullahi Wabarakatuh
Jawaban :
Wa’alaikumsalam
• Perkenalkan, saya Aditya Teguh S, mahasiswa semester 13 jurusan sistem
informasi di UIN Syarif Hidayatullah Jakarta, dengan bapak Ahmad, apakah
bersedia mengikuti wawancara?
Jawaban :
Salam kenal, silahkan.
• Untuk peralatan Aset IT Kafila Intenational Islamic School, siapakah yang
bertanggungjawab dalam pemeliharaannya atau maintenance-nya, bapak?
Jawaban:
Kami ada pak Hassan sebagai di bidang peralatan dan pengadaaan aset, ada pak
Taufiq sebagai kepala Labkom, beliau yang biasanya membuat aplikasi-aplikasi
begitu. Ada juga pak Abdurrahim yang mengurus aplikasi tahfidz, ada pak Teguh yang
mengurus aplikasi MySchool buat sekolahan. Nanti saya kasih kontaknya saja ya,
supaya bisa langsung ke mereka jika bahas-bahas tentang IT.
• Menurut Bapak, apakah menggunakan ISO 9001:2008 mengurangi resiko
kesalahan dan membantu manajemen dalam pengaturan organisasi?
135
Jawaban:
Jika pertanyaannya tentang ISO, bisa bertanya kepada Bapak Dhani, beliau adalah
Management Representative (MR), mengurus aplikasi Ehsan Kafila (sebuah aplikasi
pengaduan pelanggan), tapi untuk kedepannya, kira-kira bulan oktober atau
November, kita berniat melakukan pembaharuan ISO, dari 9001:2008 menjadi
9001:2013 dan karena beberapa waktu ini divisi IT sedang ada masalah, kami juga
berniat untuk melakukan tambahan prosedur baru untuk penerapan ISO 27001, itu
kata MR. Tapi ya nanti dilihat lagi kebutuhan kita, tapi surat edaran sudah dibuat
beberapa waktu lalu.
• Boleh saya lihat surat edaran tersebut?
Jawaban:
Boleh silahkan, tapi hanya boleh hasil scan hitam putih.
• Terima kasih bapak, apakah dalam surat edaran ini juga diberitahu juga mengenai
siapa aktor yang berperan dalam mengaplikasikan manajemen ini?
Jawaban:
Sementara hanya tim IT dan tim peralatan saja.
• Baik, jika berkenan, dapatkah bapak menyebutkan beberapa masalah IT saat ini?
Jawaban:
Ya kemarin ada masalah di aplikasi tahfidz, terus juga penggunaan yang salah di
aplikasi myschool. Untuk lebih teknisnya bisa langsung ke PJ IT saja ya. Baik, mungkin
cukup dulu ya mas, saya ada rapat dengan Yayasan setelah ini. Langsung hubungi
kontak yang saya berikan saja.
• Baik, terima kasih atas waktunya Pak, saya undur diri, Assalamu’alaikum
warohmatullah
136
Jawaban:
Wa’alaikumsalam warohmatullah.
137
Wawancara 2
Narasumber: Abdurrohim
Jabatan Narasumber: Divisi IT bidang Alquran
Hari / Tanggal: Jumat / 7 Agustus 2020
Jawaban :
Wa’alaikumsalam, ada yang bisa saya bantu?
• Perkenalkan, saya Aditya Teguh S, mahasiswa semester 13 jurusan sistem informasi
di UIN Syarif Hidayatullah Jakarta, dengan bapak Abdurrohim, apakah bersedia saya
wawancarai?
Jawaban :
Iya , silahkan.
• Apakah benar bapak yang mengurus aplikasi Alquran (TahfidzApp)?
Jawaban:
Betul, kebetulan memang saya selain menjadi admin tahfidz, saya juga ikut
berpartisipasi dalam develop aplikasinya.
• Apakah dalam perjalanannya, aplikasi ini bermasalah? Kemarin saya melakukan
wawancara dengan Pak Ahmad, bahwa ada beberapa masalah yang terjadi ketika
dipakainya aplikasi tersebut?
Jawaban:
Betul, beberapa semester ini memang terjadi banyak masalah, tapi sudah di cover
semua, yang pertama itu kesalahan pembuatan database ,error dimana-mana
138
karena memang aplikasi yang di convert dengan electron punya library yang harus di
custom ulang, tidak semua bisa otomatis. Nah, kemarin aplikasi Tahfidz berantakan.
Di beberapa komputer normal, ada juga yang tidak. Kalau dihitung, ada 20
laptop/komputer yang dipakai ujian, 5 komputer belum bisa dipakai karena error,
Not a Number (NAN). Ada juga masalah tentang pencurian data oleh salah satu siswa,
mencuri data login guru untuk merubah nilai ujiannya.
• Saya tertarik dengan yang kedua, bagaimana informasi login bisa dicuri?
Jawaban:
Sebenarnya bukan dicuri, lebih pada kelalaian guru tidak menclose aplikasi tahfidz.
• Artinya aplikasi tahfidz tidak punya fitur close/clear cache jika sudah tidak dipakai?
Jawaban:
Itu fitur yang canggih, kami belum sampai kesana, karena memang kejadian itu
terjadi ketika aplikasi baru-baru jadi, dan memang pada saat itu aplikasi tahfidz
belum mempunyai fitur keamanan, login saja tidak menggunakan password.
• Menurut bapak, bagaimana itu semua bisa terjadi?
Jawaban:
Perlu pedoman alur dan struktur data yang tepat dalam perancangan dan
pembuatan aplikasi,.
• Baik, terima kasih atas waktunya Pak, saya cukupkan wawancaranya,
Assalamu’alaikum warohmatullah
Jawaban:
139
Wawancara 3
Narasumber: Rikki Baisa
Jabatan Narasumber: Divisi IT bidang Jaringan dan CCTV
Jawaban :
Wa’alaikumsalam, silahkan.
• Perkenalkan, saya Aditya Teguh S, mahasiswa semester 13 jurusan sistem informasi
di UIN Syarif Hidayatullah Jakarta, dengan bapak Rifki Baisa, apakah bersedia saya
wawancarai mengenai jaringan dan keamanan CCTV?
Jawaban :
Silahkan, tapi mungkin ada hal yang tidak 100% saya utarakan jika berhubungan
dengan privasi dan keamanan, karena memang saya orang keamanan mas.
• Apakah benar bapak yang mengurus jalur komunikasi internet dan CCTV?
Jawaban:
Betul, saya orangnya. Ada sih beberapa staf.
• Apakah dalam perjalanannya terjadi tindak kejahatan dalam jaringan? Misal
hacking atau cracking?
Jawaban:
Jika memang hacking dari luar belum ada, karena memang data kita tidak terlalu
dibutuhkan orang luar, tapi jika dari dalam, banyak. Kemarin aja baru ada satu siswa
yang memanipulasi nilai ujiannya. Ada juga karyawan yang memakai akun orang lain
140
untuk usil mungkin karena password belum diganti dari password default-nya, Untuk
jaringan aman sih, tapi kalau Labkom kemarin bermasalah di server, listrik stop, aliran
listrik ke server mati, kondisi UPS rusak, yasudah server sempet rusak, hdd error.
• Itu terjadi sekali atau berulang kali, pak?
Jawaban:
Sekali sih, Alhamdulillah, setelah itu aman. Tapi sebenarnya menurut saya bukan itu
yang terpenting.
• Maksud bapak?
Jawaban:
Begini perlu adanya pengaturan kebijakan penataan teknologi dan pencatatan
aset-aset jaringan dan CCTV (control room), sering terjadi kehilangan dan
kerusakan aset dan tidak terdokumentasikan dengan baik. Itu sering banget alat
kita rusak, hilang kabur entah kemana.
• Artinya perlu peraturan manajerial yang mengatur pendataan dan pengecekan aset
pak?
Jawaban:
Persis, perlu itu kita terrapin disini
• Baik, terima kasih atas waktunya Pak, saya cukupkan wawancaranya, saya
cukupkan, Assalamu’alaikum warohmatullah
Jawaban:
141
Wawancara 4
Narasumber: Taufiqurrahman
Jabatan Narasumber: Kepala Labkom
Jawaban :
Wa’alaikumsalam, apa kabar?
• Alhamdulillah, baik pak. Perkenalkan, saya Aditya Teguh S, mahasiswa semester 13
jurusan sistem informasi di UIN Syarif Hidayatullah Jakarta, dengan bapak
Taufiqurrohman, apakah bersedia saya wawancarai mengenai aplikasi-aplikasi yang
dipakai di KIIS, saya dengar bapak yang mendevelop aplikasi-aplikasi KIIS?
Jawaban :
Betul, bukan cuma saya develop, tapi tim juga. Saya bantu-bantu dan koordinir
pembuatannya aplikasi. (labkom) juga mempunyai tanggung jawab untuk
pemeliharaan data dan pengembangan sistem aplikasi digital yang kini sudah
berjalan di KIIS.
• Apakah ISO 9001 sudah cukup untuk manajemen pemeliharaan aset labkom?
Jawaban:
ISO 9001 (yang sudah dilengkapi ISO 31000) mengenai manajemen mutu
sudah dirasa cukup untuk pengendalian mutu laboratorium, namun masih ada
kekurangan dalam dokumentasi Aset IT.
• Dapat disebutkan contohnya, pak?
142
Jawaban:
Pada 20 Januari 2020, terjadi kehilangan data pada server sekolah (salah satu
hardisk RAID server mati) dikarenakan tidak berjalannya fungsi pengecekan
pada aset-aset di KIIS. Beliau juga menambahkan, adanya sharing informasi
yang tidak pantas, karena berdampak buruk dalam keamanan informasi, terjadi
kebocoran informasi login akun sekolah (terlampir) dan muncul berbagai kasus
di asrama mengenai sistem tiket makanan siswa
• Apakah dalam perjalanannya terjadi tindak kejahatan dalam aplikasi? Missal
hacking atau cracking?
Jawaban:
Dari luar belum, dari dalam iya, karena belum adanya SOP atau peraturan, atau
sistem yang mengatur pengecekan aset berkala gitu.
• Sebelumnya bapak menyebutkan tentang kebocoran informasi login, apakah
memang sering terjadi yang demikian?
Jawaban:
Sesekali sih, kita memang men-develop aplikasi, kita juga yang coba testing sendiri
dan coba sendiri, namanya juga aplikasi internal. Ada kalanya fitur belum maksimal,
terutama keamanannya.
• Baik, terima kasih atas waktunya Pak, saya cukupkan wawancaranya, saya
cukupkan, Assalamu’alaikum warohmatullah
Jawaban:
Wa’alaikumsalam warohmatullah, sesekali main kesini.
143
Wawancara 5
Narasumber: Ariffudin Zulzadani
Jabatan Narasumber: Management Representative
Hari / Tanggal: Jumat / 5 Oktober 2019
Jawaban :
Wa’alaikumsalam, apa kabar?
• Alhamdulillah, baik pak. Perkenalkan, saya Aditya Teguh S, mahasiswa semester 13
jurusan sistem informasi di UIN Syarif Hidayatullah Jakarta, dengan bapak Dhani,
apakah bersedia saya wawancarai mengenai proses jalannya manajemen di KIIS?
Jawaban :
Manajemen menurut saya adalah alat bantu KIIS untuk meningkatkan
perencanaan awal kita dan catatan-catatan aktivitas dari organisasi dalam
upaya untuk mengatur aset yang saat ini, makanya saya membuat aplikasi
pengaduan layanan daring, namanya Ehsan Kafila (ehsan.kafila.sch.id).
• Apakah ISO 9001 sudah cukup untuk seluruh manajemen KIIS?
Jawaban:
Hehehe, sepertinya belum, karena konsepnya nambah aset, nambah aturan, kan
seperti itu. Missal kita sekarang tidak punya apa-apa, pasti gak punya aturan
apa-apa, jika kita punya barang, mulai tuh mikirin apdetan, aksersoris dan lain-
lain lah.
• Artinya memang dibutuhkan suatu standar manajemen yang baru pak?
144
Jawaban:
Maksudnya bagaimana? Jika memang diperlukan standar lain sih saya kira ISO
sudah cukup. Paling standar buat SOP aplikasi sih, Perlu adanya standar
pembuatan aplikasi yang terdokumentasi dengan baik. Karena beberapa
aplikasi yang KIIS pakai yaitu aplikasi UKS, aplikasi pengaduan daring yang
dibuat perorangan, bukan aplikasi buatan Labkom.
• Baik, terima kasih atas waktunya Pak Dhani, saya kira cukup untuk wawancaranya,
saya haturkan terimakasih, Assalamu’alaikum warohmatullah
Jawaban:
Wa’alaikumsalam warohmatullah, sama-sama
145
LAMPIRAN 2
FORMULIR EVALUASI
146
KUESIONER
Analisis Tingkat Kematangan Tata Kelola Keamanan Informasi
Pada Sistem Informasi Kafila International Islamic School
System Security Engineering - Capability Maturity Model (SSE-CMM)
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem Informasi,
Universitas Islam Negeri Syarif Hidayatullah Jakarta, tujuan kuesioner ini adalah untuk
memperoleh data dari para staff Instalasi Sistem Informasi Kafila International Islamic School.
Kuesioner Maturity level ini dikembangkan dari standar ISO 27001:2013 untuk mengetahui
tingkat kematangan pada proses pengelolaan keamanan informasi padda kondisi yang saat ini (as
is) yang selanjutnya dapat dijadikan dasar yang cukup untuk identifikasi prioritas peningkatan
(improvement).
Petunjuk Pengisian
Untuk jawaban responded, diberikan 6 (enam) pilihan jawaban yang menunjukan tingkat
kematangan terhadap atribut tertentu pada proses Pengelolaan Keamanan Informasi. Pilihan
pilihan jawaban tersebut dari 0 sampai 5, yang secara berturut-turut merepresentasikan tingkat
kapabilitasnya, dimana (0) Non-Existent, (1) Initial, (2) Repeatable, (3) Defined, (4) Managed,
dan (5) Optimised.
Pada kolom “Tanggapan”, responden dapat memilih salah satu jawaban yang dianggap bisa
mewakili kondisi kondisi saat ini, dengan memberikan tanda ( ) pada tempat yang tersedia.
Dengan mengetahui kondisi kematangan saat ini (as is) selanjutnya akan dilakukan analisa untuk
menjadi dasar dalam rancangan solusi dalam rangka perbaikan proses pengelolaan keamanan
informasi.
Untuk kebutuhan informasi, diharapkan Bapak/Ibu sebagai responden dapat memberikan
tanggapan atas pertanyaan-pertanyaan yang diberikan dalam kuesioner ini.
Level kemampuan System Security Engineering-Capability Maturity Model (SSE-CMM)
dijelaskan sebagai berikut:
Level 0
Non-Existent artinya terdapat kekurangan menyeluruh terhadap proses tersebut. Sekolah bahkan
tidak mengetahui bahwa masalah tersebut harus diatasi.
147
Level 1
Initial artinya terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang harus
diatasi. Bagaimanapun juga tidak terdapat proses standar, namun menggunakan pendekatan ad
hoc yang cenderung diperlakukan secara individu/ per kasus.
Level 2
Repeatable artinya proses dikembangkan ke dalam tahapan di mana prosedur serupa diikuti oleh
pihak-pihak yang berbeda untuk pekerjaan yang sama. Tidak terdapat pelatihan
formal/pengkomunikasian prosedur, standar, dan tanggung jawab diserahkan kepada individu
masing-masing. Terdapat tingkat kepercayaan yang tinggi terhadap individu sehingga
memungkinkan terjadi error sangat besar.
Level 3
Defined artinya prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan
melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus diikuti. Namun
penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah
menformalkan praktek yang berjalan.
Level 4
Managed artinya manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan
mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. Proses
berada dibawah peningkatan konstan (sedikit/banyak namun teratur) dan penyediaan praktek
yang baik.
Level 5
Optimised artinya proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari
perbaikan berkelanjutan dan pemodelan kedewasaan dengan perusahaan lain. Teknologi
informasi digunakan sebagai cara terintegrasi untuk mengotomatisasi alur kerja, penyediaan alat
untuk peningkatan kualitas dan efektivitas serta membuat perusahaan cepat beradaptasi.
Nama Responden
148
Jabatan Responden
Bidang
A.5 Kebijakan Keamanan Informasi

Manajemen arahan keamanan informasi
A.5.1
Pihak Manajemen KIIS memberikan arahan dan dukungan untuk keamanan informasi
A.5.1.1 Kebijakan kontrol keamanan informasi
Pihak Manajemen memberikan
1 implementasi visi dan misi Kafila 1
International Islamic School
Kontrak dan aturan penerimaan
kepegawaian yang jelas dan terukur
2 1
dibawah payung hukum (dilengkapi
materai)
A.6 Keamanan Informasi Organisasi
Organisasi Internal
A.6.1 Membangun kerangka kerja untuk memulai dan mengendalikan implementasi dan
operasi keamanan informasi KIIS.
A.6.1.1 Peran dan tanggung jawab keamanan informasi
Aset seperti peralatan-peralatan
1 1
terdokumentasi dalam baik.
Pihak Manjemen memberikan Struktur
2 1
Organisasi KIIS
Perangkat seluler dan teleworking
A.6.2
Untuk memastikan keamanan
A.6.2.1 teleworking dan penggunaan perangkat
seluler.
No Pertanyaan Bobot 0 1 2 3 4 5 Nilai
KIIS memberikan penyuluhan mengenai
1 1
backup data.
2 1
malware pada smartphone.
3 aplikasi-aplikasi yang berbahaya yang 1
dapat mengancam penyalahgunaan data.
4 aplikasi-aplikasi keamanan/enkripsi 1
untuk memperkuat keamamanan data.
Keamanan Sumber Daya (pekerjaan)
A.7 Untuk memastikan bahwa karyawan KIIS memahami tanggung jawab sesuai peran
mereka dalam organisasi.
A.7.1 Penyaringan
Verifikasi data calon pendaftar (CV)
1 sebelum wawancara penerimaan 1
pegawai dilakukan.
149
Verifikasi yang lebih terperinci, seperti
2 peninjauan kredit atau peninjauan 1
catatan kriminal.
Bahwa semua karyawan yang diberi
akses ke informasi rahasia harus
3 menandatangani perjanjian kerahasiaan 1
atau non-pengungkapan sebelum
diberikan akses informasi.
Ketika Bekerja
A.7.2 Untuk memastikan bahwa karyawan dan kontraktor menyadari dan memenuhi
tanggung jawab keamanan informasi mereka.
Karyawan diberi pengarahan yang tepat
tentang peran dan tanggung jawab
1 keamanan informasi mereka sebelum 1
diberikan akses ke informasi rahasia
atau sistem informasi.
Karyawan diberikan pedoman untuk
menyatakan harapan keamanan
2 1
informasi tentang peran mereka dalam
organisasi.
Mematuhi syarat dan ketentuan kerja,
yang mencakup kebijakan keamanan
3 1
informasi organisasi dan metode kerja
yang sesuai
A.8 Manajemen Aset
Pertanggungjawaban Aset
A.8.1 Mengidentifikasi aset organisasi dan menetapkan tanggung jawab perlindungan yang
sesuai
A.8.1.1 Inventarisasi Pengendalian aset

Adanya nomor seri (bagian sarana dan
1 1
prasarana) terhadap setiap aset di KIIS
Adanya perbaikan dan pemeliharaan
2 berkala terhadap semua aset di KIIS. 1
Misalkan per semester/per bulan.
A.8.1.2 Kepemilikan Aset

Aset peralatan/fasilitas diharuskan
1 1
dimiliki sendiri oleh KIIS.
Langsung diadakan tindakan
2 (penganggaran atau beli baru) apabila 1
aset hilang atau rusak.
A.9 Kontrol Akses
Persyaratan Akses
A.9.1
Membatasi akses ke informasi dan fasilitas pemrosesan informasi.
A.9.1.1 Kebijakan Akses
150
Pembatasan akses aplikasi bagi setiap
aplikasi yang ada di KIIS (seperti:
1 aplikasi perizinan, hanya bagian asrama 1
yang boleh mengakses, aplikasi musyrif
hanya musyrif yang boleh akses)
2 Konsistensi dari poin 1 diatas 1
Harus ada izin formal (resmi) untuk
3 1
divisi yang berbeda mengakses aplikasi
Perlunya evaluasi berkala semua log
4 1
akses pada aplikasi
A.9.1.2 Akses Jaringan

Adanya SOP akses jaringan (internet
1 1
maupun LAN) di KIIS
Adanya manajemen untuk mengontrol
2 siapa saja yang dapat mengakses 1
jaringan
Adanya prosedur tertulis penggunaan
jaringan KIIS pada pihak yang
3 diharuskan tidak mengakses (seperti 1
orang luar, maupun yang bukan
termasuk keluarga besar KIIS dll)
Adanya laman login untuk otentikasi
4 setiap pengguna yang mengakses 1
jaringan
Manajemen akses pengguna (user)
A.9.2 Untuk memastikan akses pengguna yang sah dan untuk mencegah akses ilegal ke
dalam sistem dan layanan KIIS
A.9.2.1 Pengelolaan akun

Menggunakan akun dengan ID yang
1 1
berbeda;
Langsung menghapus ID pengguna
2 yang baru saja keluar dari kepegawaian 1
KIIS
Secara periodik, mengidentifikasi dan
3 1
menghilangkan ID yang sama (redudan)
Memastikan akun redudan TIDAK
4 1
dipakai oleh pengguna lain
A.9.2.2 Ketentuan akses pengguna
Memverifikasi bahwa tingkat akses
pengguna sesuai dengan kebijakan akses
1 1
dan sesuai dengan persyaratan lain
seperti pemisahan tugas.
Memastikan bahwa hak akses tidak aktif
2 1
sebelum prosedur otorisasi selesai.
151
Melakukan penyesuaian hak akses dari
pengguna yang peran atau pekerjaan
3 berubah dan segera menghapus hak 1
akses pengguna yang meninggalkan
organisasi.
Secara rutin meninjau ulang hak akses
4 dengan pemilik sistem informasi atau 1
layanan.
A.9.2.3 Manajemen hak akses master
Adanya identifikasi terhadap pengguna
1 yang memiliki hak akses master 1
(istimewa)
Pengecekan otorisasi dan catatan
2 1
seluruh pemberian hak akses istimewa.
Penerapan ID pengguna hak akses
3 istimewa berbeda dengan ID pengguna 1
yang digunakan pada akun biasa.
Memastikan secara berkala penggunaan
4 hak akses istimewa TIDAK 1
disalahgunakan.
Adanya prosedur yang spesifik dalam
5 penggunaan akun master (siapa dan 1
kapan saja boleh dipakai).
A.9.2.6 Pengelolaan hak akses
Adanya aturan terkait penghapusan atau
1 1
pengubahan mengenai hak akses.
Adanya dokumen yang mengidentifikasi
2 1
hak akses pegawai dan kontraktor.
Tanggung jawab pengguna
A.9.3 Untuk membuat setiap karyawan KIIS bertanggung jawab terhadap perlindungan
informasi terhadap otentikasi akun mereka sendiri.
A.9.3.1 Penggunaan informasi rahasia otentikasi
Pengguna menyimpan kerahasiaan
informasi akun dan tidak
1 1
membocorkannya kepada pihak/orang
lain.
Merubah informasi rahasia otentikasi
2 ketika ada perubahan/perintah yang 1
telah disetujui bersama.
Memastikan perlidungan yang tepat
pada password ketika password
3 1
digunakan sebagai informasi rahasia
otentikasi.
Kontrol akses sistem dan aplikasi
A.9.4
Untuk mencegah akses dari pihak yang tidak berewenang ke sistem dan aplikasi
A.9.4.1 Pembatasan akses informasi
Adanya kebijakan pengendalian akses
1 1
yang membatasi akses sesuai dengan
152
perannya dalam aplikasi (tidak boleh
membagikan informasi akun antar
divisi).
Adanya pengendalian hak akses
2 pengguna (seperti read, write, delete dan 1
execute).
Menyediakan pengendalian akses fisik
3 dan logical untuk pemisahan aplikasi 1
yang sensitif, data aplikasi atau sistem.
A.9.4.2 Prosedur keamanan akses sistem (aplikasi)
Menggunakan teknik otentikasi yang
1 1
sesuai untuk mengidentifikasi user.
Adanya aturan yang berguna untuk
meminimalisir akses dari pihak yang
2 tidak berwenang, seperti tidak 1
menampilkan password saat diinput ke
aplikasi.
A.9.4.3 Sistem manajemen password
Adanya menu manajemen password di
1 1
akun pengguna.
Adanya fitur manajemen password yang
2 memungkinkan pengguna untuk 1
mengubah password mereka sendiri.
Adanya fitur yang menguji kualitas
3 1
password.
Adanya fitur yang berisi peraturan
4 tentang pengguna harus merubah 1
password ketika PERTAMA log-in.
Adanya fitur yang bersisi perubahan
5 password secara teratur dan sesuai 1
kebutuhan.
Adanya fitur yang tidak dibolehkannya
6 1
menampilkan password dilayar monitor.
A.11 Keamanan fisik dan lingkungan

Area aman
A.11.1 Untuk mencegah tidak sahnya akses fisik, kerusakan dan gangguan terhadap aplikasi
organisasi dan pengolahan fasilitas informasi.
A.11.1.1 Pembatas keamanan fisik
Adanya kebijakan terkait pembatas
keamanan pada aset, misal area khusus
1 1
untuk ruang server yang mempunyai
keamanan khusus.
Adanya pembatasan akses ke ruangan
2 atau bangunan dan hanya untuk 1
karyawan yang berwenang.
A.11.1.3 Keamanan kantor, ruangan dan fasilitas
153
Fasilitas jaringan dan data ditempatkan
1 pada lokasi yang sesuai untuk 1
menghindari akses oleh publik.
Melakukan pengaturan fasilitas untuk
mencegah informasi atau kegiatan
2 1
rahasia diketahui oleh pihak luar
sekolah.
Adanya peraturan terkait penyimpanan
3 internal didalam server (data dalam 1
server sensitif).
A.11.1.4 Pengamanan terhadap ancaman dan lingkungan eksternal
Mengadakan penyuluhan dari ahli
tentang bagaimana cara untuk
menghindari kerusakan dari
1 kebakaran, banjir, gempa bumi, 1
ledakan dan dari
bentuk lain dari bencana alam atau
buatan manusia.
Keamanan Peralatan
A.11.2 Untuk mencegah kerugian, kerusakan, pencurian atau kompromi aset dan gangguan
terhadap proses bisnis organisasi.
A.11.2.1 Penempatan peralatan dan perlindungannya
Peralatan ditempatkan pada lokasi
yang seharusnya untuk meminimalisir
1 1
penggunaan yang tidak berwenang
dalam area kerja.
Adanya pengamanan pada fasilitas
2 1
penyimpanan (server).
Melakukan pemantauan terhadap
kondisi lingkungan yang dapat
3 1
mempengaruhi pengoperasian fasilitas
Menerapkan perlindungan antibanjir
4 dan antipetir pada semua bangunan dan 1
semua jalur komunikasi.
A.11.2.4 Pemeliharaan Peralatan
Adanya aturan mengenai peralatan
1 yang harus dipelihara sesuai dengan 1
jadwal waktu service (AC, PC, dll).
Perawatan dan perbaikan peralatan
2 hanya dilakukan oleh personel yang 1
berwenang.
Adanya aturan yang berisi tentang
sebelum meletakkan peralatan
kembali ke dalam operasi setelah
3 1
dilakukan perawatan atau service,
peralatan harus ada pemeriksaan ulang
sebelum diinventariskan lagi.
154
A.12 Keamanan operasi
Prosedur dan tanggung jawab operasional
A.12.1
Memastikan operasi yang benar dan aman pada fasilitas pengolahan informasi.
aktivitas operasional yang berkaitan
1 1
dengan pemprosesan informasi dan
2 menjelaskan instruksi operasional 1
secara spesifik (buku manual).
merupakan formal dokumen dan
3 1
manajemen atau pemegang otoritas
(kepala labkom).
A.12.1.4 Pemisahan lingkungan pengembangan, testing dan operasional
Adanya aturan untuk pemindahan
1 software dari status beta ke status 2
Software dalam masa pengembangan
2 dan operasional dijalankan dalam 1
sistem yang berbeda.
Perubahan pada sistem dan aplikasi
operasional sudah di uji pada
3 1
lingkungan testing sebelum diterapkan
pada sistem operasional.
Penggunaan user profiles yang
4 berbeda untuk sistem operasional dan 1
sistem testing
Perlindungan dari Malware
A.12.2 Untuk memastikan bahwa informasi dan fasilitas pengolahan informasi dilindungi
terhadap malware.
A.12.2.1 Pengendalian melawan malware
Adanya kebijakan yang melarang
instalasi software yang tidak
1 1
dikenal/tidak digunakan secara resmi
oleh organisasi.
Mengimplementasikan kontrol yang
mencegah atau mendeteksi
2 1
penggunaan software yang tidak
dikenal.
Adanya kebijakan resmi untuk
perlindungan terhadap risiko yang
terkait dengan pertukaran file dan
3 1
perangkat lunak, baik melalui jaringan
eksternal ataupun melalui media
lainnya.
155
Melakukan peninjauan rutin pada
perangkat lunak dan konten data dari
4 1
sistem yang mendukung proses bisnis
organisasi.
Menginstal dan melakukan update
rutin perangkat lunak yang berfungsi
untuk mendeteksi malware.
5 (karena labkom memakai linux, 1
pertanyaan ini diganti dengan
melakukan update rutin OS dengan
perintah apt-update dan apt-upgrade)
Adanya prosedur dalam perlindungan
sistem terhadap malware seperti
6 1
pelatihan pengguna, pelaporan dan
pemulihan dari serangan malware.
Backup
A.12.3
Untuk melindungi hilangnya data.
A.12.3.1 Informasi Pencadangan
Adanya catatan (log) yang akurat dan
1 lengkap dari salinan backup dan 1
dokumentasi prosedur pemulihan.
Pelaksanaan backup data berkala pada
2 1
setiap bidang/divisi.
Data backup disimpan pada lokasi
yang berbeda (partisi maupun hdd)
3 1
untuk menghindari kerusakan seperti
kerusakan pada lokasi utama.
Melakukan pengujian secara teratur
4 pada media backup untuk memastikan 1
kehandalannya (system checking).
5 Data backup dienkripsi. 1
Pengaturan operasional perangkat lunak
A.12.5
Untuk memastikan integritas dari sistem operasi pada komputer kantor.
Adanya prosedur untuk pengendalian
1 instalasi perangkat lunak pada sistem 1
operasi.
Pengimplementasian perangkat lunak
aplikasi dan sistem operasi dilakukan
2 1
setelah melalui tahap pengujian yang
sukses.
Adanya sistem kontrol konfigurasi
yang digunakan untuk menjaga kontrol
3 1
semua perangkat lunak yang
diimplementasikan.
Adanya catatan atau log terkait semua
4 pembaruan aplikasi atau sistem yang 1
dilakukan.
Manajemen teknik vulnerability
A.12.6
Untuk mencegah pemanfaatan teknik vulnerability dan perusakan lainnya.
A.12.6.1 Manajemen teknik vulnerability
156
Adanya aturan terkait peran dan
tanggung jawab yang berhubungan
1 dengan manajemen teknik 1
vulnerability seperti penilain risiko
vulnerability.
Melakukan identifikasi terhadap aset
informasi yang dimiliki untuk
2 1
mengetahui potensi teknik
vulnerability pada aset yang dimiliki
Melakukan pengamatan dan evaluasi
pada manajemen teknik vulnerability
3 1
untuk memastikan prosesnya berjalan
dengan efektif dan efisien.
A.14 Akusisi sistem informasi, pembangunan dan pemeliharaan

Persyaratan keamanan untuk sistem informasi
A.14.1 Untuk memastikan bahwa keamanan informasi merupakan bagian yang terintegrasi
dari sistem informasi.
A.14.1.1 Analisis dan spesifikasi persyaratan keamanan informasi
aktivitas operasional yang terhubung
1 1
dengan pengolahan informasi dan
2 menjelaskan instruksi operasional 1
secara spesifik.
3 merupakan formal dokumen dan 1
manajemen.
Keamanan dalam proses pengembangan dan bantuan
A.14.2 Untuk memastikan bahwa keamanan informasi dirancang dan diimplementasikan
dalam siklus hidup pengembangan sistem informasi.
A.14.2.1 Kebijakan keamanan pengembangan
Adanya kebijakan pengembangan
1 yang aman pada saat pengembanagan 1
sistem (Open Beta).
Adanya panduan tentang keamanan
2 1
dalam aplikasi.
Mengidentifikasi persyaratan
3 keamanan dalam fase perancangan 1
(Early Access, Beta dll).
Developer aplikasi memiliki
kemampuan untuk menghindari,
4 menemukan dan memperbaiki 1
kerentanan pada aplikasi yang mereka
ciptakan.
A.14.2.3 Pemeriksaan teknis dari aplikasi setelah perubahan platform operasi
157
Melakukan tinjauan kembali pada
kontrol aplikasi dan prosedur integritas
1 untuk memastikan bahwa perubahan 1
pada platform operasi dapat berjalan
dengan baik.
Adanya pemberitahuan perubahan
platform operasi yang tepat waktu
2 1
sehingga dapat dilakukan testing dan
review sebelum implementasi.
A.14.2.9 Menguji penerimaan sistem
Melakukan pengujian penerimaan
1 sistem yang mencakup pengujian 1
persyaratan keamanan informasi.
Melakukan pengujian dalam
lingkungan yang realistis sehingga
2 1
dapat diketahui ancaman yang
dihadapi oleh sistem.
158
LAMPIRAN 3
SURAT-SURAT
159
160
161
162
163
LAMPIRAN 4
FOTO DOKUMENTASI
164
Gambar 1 Control Room Gambar 2 Server
Gambar 3 Kantor Gambar 4 Labkom
165
166

Usulan Evaluasi Sistem Keamanan Informasi Berdasarkan Standar ISO 270012013 Pondok Kafila International Islamic Schhol

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Usulan Evaluasi Sistem Keamanan Informasi Berdasarkan Standar ISO 270012013 Pondok Kafila International Islamic Schhol

Diunggah oleh

Hak Cipta:

Format Tersedia

SKRIPSI

USULAN EVALUASI SISTEM KEAMANAN INFORMASI

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana

ADITYA TEGUH SEPTOAJI

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA

USULAN EVALUASI SISTEM KEAMANAN INFORMASI

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana

ADITYA TEGUH SEPTOAJI

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA

USULAN EVALUASI SISTEM KEAMANAN INFORMASI

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana

ADITYA TEGUH SEPTOAJI

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI

SYARIF HIDAYATULLAH JAKARTA

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR

HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN SEBAGAI

SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU

Ciputat, 24 Agustus 2020

Aditya Teguh Septoaji

Aditya Teguh Septoaji - 1113093000054, Usulan Sistem Keamanan Informasi

Kafila International Islamic School (KIIS) adalah sebuah pesantren (boarding

V Bab + 129 Halaman + 14 Gambar + 71 Tabel + Daftar Pustaka + Lampiran

Alhamdulillahirobbil ‘alamin, laporan skripsi sudah penulis selesaikan. Ini

salam senantiasa tercurah kepada baginda Nabi Besar Muhammad shollallahu

‘alaihi wasallam, berserta keluarga, para sahabat serta para pengikutnya.

Penyusunan laporan skripsi ini bertujuan sebagai syarat pengambilan mata

Universitas Islam Negeri Syarif Hidayatullah Jakarta. Laporan ini berjudul

“Usulan Evaluasi Sistem Keamanan Informasi Berdasarkan Standar ISO/IEC

27002:2013 Pada Pondok Pesantren Kafila International Islamic School

Penulis menyadari bahwa terlaksananya penulisan Skripsi ini dapat

ini penulis menyampaikan rasa terima kasih yang sebesar-besarnya kepada:

penulis mengingat PKL, pasti ingat nasehat-nasehat beliau.

bimbingan skripsi, cepat tanggap dalam revisi dan baik.

International Islamic School.

tidak henti-hentinya kepada penulis.

ini. Dan sahabat-sahabat penulis dalam perkuliahan, Teguh Dharmawan, Maulana

M. Iqbal, Aldino Kurniawan, M. Rayhan Firdaus, Alvin H., Gilang W. Saputra,

Muhammad Iksal, Farhan Ridho, Irvan Nasution, R. Affan. Teman-teman

seperjuangan dan seangkatan yang belum pernah penulis dapat sebelumnya.

Teman-teman Sistem Informasi angkatan 2013, terima kasih atas

Dan seluruh pihak-pihak yang banyak berkontribusi dan membantu dalam

Wassalamualaikum Wr. Wb.

Ciputat, 24 Agustus 2020

Aditya Teguh Septoaji

LEMBAR PERSETUJUAN ............................................................................... III

Table 2. 1 Index Kriteria Nilai CMM ............................................................................... 29

Gambar 2. 1 Antarmuka My School ................................................................................. 31

1.1 Latar Belakang

Penggunaan teknologi informasi di berbagai organisasi saat ini sangat

Perkembangan Teknologi Informasi saat ini tidak hanya berfungsi

Pengelolaan Teknologi Informasi mempunyai peranan yang penting

perlu di proteksi (ISO/IEC, 2018). Informasi dapat disimpan dalam berbagai

menggunakan kurir, elektronik hingga komunikasi verbal. Apapun cara

penyimpanannya dan cara penyebarannya, tetap diperlukan keamanan untuk

menjamin terjaganya informasi (ISO/IEC, 2018). Menurut laporan Symantec

(2015), tercatat 312 pelanggaran keamanan informasi dan mengakibatkan

kerugian senilai 348 juta dikarenakan terbongkarnya informasi pribadi, seperti

(Mauladani & Siahaan, 2018). Aspek Keamanan Informasi sangat penting,

terutama dalam aspek pelayanan fasilitas pendidikan, karena secara tidak