BAB I PENDAHULUAN

1.1 Latar Belakang

Kantor XYZ memiliki tanggung jawab besar dalam menjaga kerahasiaan,
integritas, dan ketersediaan informasi sensitif yang mereka kelola, termasuk data
pribadi penduduk seperti identitas, status pernikahan, dan informasi penting
lainnya. [1]
Kata pengukuran mengacu pada kata evaluasi. Evaluasi ini digunakan untuk
menganalisa kelayakan atau efektifitas bentuk pengamanan yang ada. Evaluasi
dilakukan terhadap berbagai area yang menjadi target penerapan keamanan
informasi dengan ruang lingkup pembahasan yang memenuhi aspek keamanan[2].
Keamanan informasi mengacu pada proses dan metode bagaimana
melindungi informasi terkait data privasi yang ada dari segala bentuk kejahatan
siber. Prinsip utama keamanan informasi terdiri dari confidentiality (kerahasiaan),
integrity (integritas) dan availability (ketersediaan) atau sering disingkat CIA.
Dalam keamanan informasi tersebut berusaha untuk menghindari dari berbagai
serangan atau ancaman yang mungkin bisa terjadi dalam sistem elektronik[3].
Informasi adalah data yang diolah menjadi bentuk yang lebih berguna dan
lebih berarti bagi yang menerimanya. Sumber dari informasi adalah data. Data
adalah kenyataan yang menggambarkan suatu kejadian-kejadian dan kesatuan
nyata. Sebuah informasi dinilai sangat penting bagi suatu perusahaan, oleh karena
itu diperlukan pengamanan terhadap informasi tersebut. Informasi penting yang
jatuh ke tangan pihak lain (misalnya: orang yang tidak bertanggungjawab, lawan
bisnis) bisa menimbulkan kerugian bagi perusahaan[3].
ISO 27001 adalah standar internasional yang diakui secara global dalam
mengelola keamanan informasi[2]. Standar ini membantu organisasi dalam
merencanakan, menerapkan, memelihara, dan memperbaiki sistem keamanan
informasi mereka, serta melindungi informasi penting dari ancaman dan
kerentanan yang mungkin terjadi.
Masih terdapat kelemahan dalam keamanan informasi yang ada di Kantor
XYZ, seperti kebijakan dan prosedur yang kurang lengkap, sistem keamanan

1
informasi yang belum terintegrasi dengan baik, dan kurangnya kesadaran pegawai
mengenai pentingnya menjaga keamanan informasi [11].
Hal ini dapat mencakup kebijakan yang tidak memadai atau tidak mengikuti
praktik terbaik dalam pengelolaan keamanan informasi, serta prosedur yang
belum terdefinisi secara jelas untuk mengatasi risiko keamanan informasi.
Untuk mengatasi permasalahan tersebut, diperlukan penelitian untuk
mengukur tingkat keamanan informasi di Kantor XYZ berdasarkan standar ISO
27001. Penelitian tersebut dapat melibatkan analisis mendalam terhadap kebijakan
dan prosedur yang ada, evaluasi sistem keamanan informasi yang sedang
digunakan, serta survei untuk mengukur tingkat kesadaran pegawai tentang
keamanan informasi.
Pada penelitian tersebut keamanan informasi yang diukur pada Kantor XYZ
berdasarkan standar ISO 27001 yaitu:
Kebijakan keamanan informasi (klausul 5), manajemen aset (klausul 7), keamanan
Fisik dan Lingkungan (klausul 9), komunikasi dan Manajemen Operasi (klausul
10), akses Control (klausul 11), pengadaan/Akuisisi, Pengembangan, dan
Pemeliharaan Sistem Informasi (klausul 12), manajemen kejadian keamanan
informasi (klausul 13).
Mengingat pentingnya keamanan informasi, untuk itu perlu dilakukan
pengukuran tingkat keamanan informasi di Kantor XYZ untuk mengetahui
bagaimana kebijakan keamanan informasi yang diterapkan oleh pengelola di
Kantor XYZ, seperti apa bentuk pengelolaan aset, keamanan fisik dan
lingkungannya, apakah sudah dikendalikan, bagaimana bentuk manajemen
komunikasi dan operasi, pengendalian akses, akuisisi pengembangan dan
pemeliharaan sistem informasi serta manajemen kejadian keamanan informasinya.
Sasaran pengendalian - pengendalian tersebut terdapat dalam standar
manajemen keamanan informasi yaitu SNI/ISO 27001. SNI/ISO 27001 dipilih
karena standar ini sangat fleksibel dikembangkan karena sangat tergantung dari
kebutuhan suatu lembaga atau organisasi.
Hasil pengukuran akan memberikan pemahaman yang lebih baik tentang
sejauh mana sistem keamanan informasi di Kantor XYZ memenuhi standar ISO

2
27001 dan di mana terdapat kelemahan, mengukur kinerja, dan meningkatkan
keamanan informasi mereka secara berkelanjutan. Rekomendasi yang diberikan
setelah penelitian tersebut akan menjadi dasar untuk meningkatkan keamanan
informasi di Kantor XYZ. Rekomendasi tersebut mencakup perbaikan kebijakan
dan prosedur, integrasi sistem keamanan informasi yang lebih baik, serta upaya
untuk meningkatkan kesadaran pegawai tentang pentingnya menjaga keamanan
informasi.

1.2 Permasalahan
Kantor XYZ merupakan lembaga pemerintah yang memiliki tugas dan fungsi
dalam hal pendataan dan pencatatan kependudukan serta penerbitan dokumen
kependudukan. Kantor XYZ juga mengelola informasi yang sangat sensitif dan
rahasia seperti data kependudukan, data keluarga, dan data kebangsaan. Oleh
karena itu, keamanan informasi di Kantor XYZ harus dijaga dengan baik untuk
mencegah kerugian dan kebocoran informasi yang tidak diinginkan.
Maka dari itu, perlu dilakukan penelitian untuk mengukur tingkat keamanan
informasi di Kantor XYZ berdasarkan standar ISO 27001, sehingga dapat
diketahui sejauh mana keamanan informasi di Kantor XYZ memenuhi standar
tersebut dan di mana terdapat kelemahan yang perlu diperbaiki. Hasil pengukuran
tersebut dapat menjadi dasar untuk memberikan rekomendasi dalam
meningkatkan keamanan informasi di Kantor XYZ.

3
1.3 Tujuan
Tujuan penelitian ini yaitu:
1. Mengidentifikasi keamanan informasi yang dimiliki oleh Kantor XYZ.
2. Menilai dan mengukur keamanan informasi serta kelemahan dalam keamanan
informasi yang ada berdasarkan standar ISO 27001 untuk mengetahui sejauh
mana keamanan informasi di Kantor XYZ.

1.4 Manfaat
Adapun manfaat dalam penelitian ini yaitu sebagai berikut:
1. Menyediakan pengukuran tingkat keamanan informasi di Kantor XYZ
berdasarkan standar ISO 27001 sehingga dapat diketahui sejauh mana
keamanan informasi di Kantor XYZ memenuhi standar tersebut dan di mana
terdapat kelemahan yang perlu diperbaiki.
2. Memberikan rekomendasi untuk meningkatkan keamanan informasi di
Kantor XYZ.
3. Menambah pengetahuan dan pemahaman mengenai standar ISO 27001 dan
keamanan informasi di Kantor XYZ.

1.5 Sistematika Penulisan

Bab I Pendahuluan
Pada Bab I Berisi latar belakang, permaslaahan, tujuan,
manfaat, dan sistematika penulisan.
Bab II Kajian Pustaka
Pada Bab II Menjelaskan tentang bagian-bagian penting
pada Kajian Pustaka.
Bab III Desain Sistem
Pada Bab III Menjelaskan tentang tahapan penelitian yang
dilakukan untuk pengukuran tingkat keamanan informasi
berbasis ISO 27001, berisi solusi dan gambaran sistem.
Bab IV Eksperimen dan Hasil
Pada Bab IV Berisi pembahasan proses dan hasil kegiatan
penelitian yang dilakukan dengan tahapan-tahapan

4
 pengukuran tingkat keamanan informasi berbasis ISO
27001.
Bab V Penutup
Pada Bab V berisikan kesimpulan, hasil, dan saran
penelitian.

5
 BAB II KAJIAN PUSTAKA

2.1 Deskripsi Permasalahan

Kantor XYZ memiliki tanggung jawab yang penting dalam pendataan dan
pencatatan kependudukan serta penerbitan dokumen kependudukan. Sebagai
lembaga pemerintah, Kantor XYZ juga bertanggung jawab untuk menjaga
keamanan informasi yang sensitif, termasuk data kependudukan, data keluarga,
dan data kebangsaan. Keamanan informasi yang baik di Kantor XYZ sangat
penting untuk mencegah kerugian dan kebocoran informasi yang dapat memiliki
dampak serius.
Meskipun Kantor XYZ dapat mengacu pada standar keamanan informasi ISO
27001, masih terdapat beberapa kelemahan dalam sistem keamanan informasi
yang ada. Salah satu permasalahan yang ditemui adalah kebijakan dan prosedur
keamanan informasi yang kurang lengkap. Hal ini dapat mencakup kebijakan
yang tidak memadai atau tidak mengikuti praktik terbaik dalam pengelolaan
keamanan informasi, serta prosedur yang belum terdefinisi secara jelas untuk
mengatasi risiko keamanan informasi.
Selain itu, sistem keamanan informasi di Kantor XYZ juga belum terintegrasi
dengan baik. Sistem yang tidak terintegrasi dengan baik dapat menyebabkan celah
keamanan dan kesulitan dalam melacak dan mengelola akses ke data yang
sensitif. Integrasi sistem keamanan informasi yang lebih baik diperlukan untuk
memastikan perlindungan yang konsisten dan holistik terhadap data
kependudukan.
Kurangnya kesadaran pegawai mengenai pentingnya menjaga keamanan
informasi juga menjadi permasalahan yang harus diatasi. Pegawai Kantor XYZ
perlu memiliki pemahaman yang baik tentang pentingnya keamanan informasi,
termasuk praktik terbaik dalam mengelola data sensitif, penggunaan kata sandi
yang kuat, dan perlindungan terhadap ancaman keamanan seperti serangan siber.
Kesadaran yang lebih tinggi akan membantu mencegah kejadian yang tidak
diinginkan akibat kecerobohan atau kekurangpahaman.

6
 Untuk mengatasi permasalahan ini, diperlukan penelitian untuk mengukur
tingkat keamanan informasi di Kantor XYZ berdasarkan standar ISO 27001.
Penelitian tersebut dapat melibatkan analisis mendalam terhadap kebijakan dan
prosedur yang ada, evaluasi sistem keamanan informasi yang sedang digunakan,
serta survei untuk mengukur tingkat kesadaran pegawai tentang keamanan
informasi.
Hasil pengukuran akan memberikan pemahaman yang lebih baik tentang
sejauh mana sistem keamanan informasi di Kantor XYZ memenuhi standar ISO
27001 dan di mana terdapat kelemahan yang perlu diperbaiki. Rekomendasi yang
diberikan setelah penelitian tersebut akan menjadi dasar untuk meningkatkan
keamanan informasi di Kantor XYZ. Rekomendasi tersebut harus mencakup
perbaikan kebijakan dan prosedur, integrasi sistem keamanan informasi yang
lebih baik, serta upaya untuk meningkatkan kesadaran pegawai tentang
pentingnya menjaga keamanan informasi.

2.2 Teori Penunjang

2.2.1 Keamanan Informasi
Keamanan informasi adalah menjaga informasi dari ancaman/bahaya yang
ditakutkan atau yang mungkin terjadi untuk menjamin dan memastikan
kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce
business risk) dan memaksimalkan atau mempercepat pengambilan inventasi dan
peluang bisnis [18]
Dalam arti sederhana, keamanan adalah melindungi apa yang anda atau orang
lain miliki. Gagasan yang sama ini berlaku untuk entitas seperti departemen
pemerintah, lembaga, perusahaan dan sebagainya, terlepas dari ukuran atau fungsi
mereka [19].
keamanan informasi diperoleh dengan strategi yang dapat dilakukan dengan
mengkombinasi satu dengan lainnya. Contoh dari keamanan informasi, yaitu:
a. Physical Security, yaitu keamanan informasi yang fokus pada strategi untuk
mengupayakan agar organisasi dan semua di dalamnya tidak terkena
ancaman.

7
b. Personal Security, yaitu keamanan informasi yang bertujuan untuk
mengamankan personil yang berhubungan dengan ruang lingkup dari
physical security. Tujuannya untuk mengurangi resiko penyalahgunan
fasilitas, kesalahan stakeholder, atau kecurangan dan memastikan bahwa
pengguna sadar akan adanya ancaman yang dapat terjadi pada keamanan
informasi perusahaan [20] (IBISA, 2011).
c. Operation security, yaitu keamanan informasi yang bertujuan untuk
membahas strategi organisasi untuk mengamankan kemampuan organisasi
agar melakukan operasi dan kegiatan bisnis tanpa gangguan.
d. Network security, yaitu keamanan informasi untuk mengamankan data
organisasi, peralatan jaringan, jaringannya serta isinya, dan membahas
kemampuan untuk memakai jaringan dalam memenuhi fungsi komunikasi
organisasi
e. Communications security, yaitu keamanan informasi yang membahas
mengamankan teknologi komunikasi, media komunikasi serta apa yang ada
di dalamnya, dan membahas kemampuan untuk menggunakan media dan
teknologi informasi untuk tujuan organisasi.
Dari penjelasan nilai informasi di atas, penulis mengambil kesimpulan bahwa
pengertian keamanan informasi yaitu untuk melindungi segala aspek bentuk
informasi yang dimiliki oleh perusahaan atau organisasi dari berbagai ancaman-
ancaman yang muncul dan dapat mengganggu kinerja sebuah organisasi atau
perusahaan dari pihak-pihak yang tidak berwenang di dalamnya.

2.2.2 Pengertian Sistem Informasi

Sistem informasi merupakan sekumpulan sub-sub sistem yang saling
berhubungan, berkumpul secara bersama-sama, dan membentuk satu kesatuan
yang saling berinteraksi dan bekerja sama antara bagian yang satu dengan bagian
yang lainnya. Menggunakan cara tertentu untuk melakukan fungsi pengolahan
data, menerima masukan (input) berupa data, kemudian diolah (process), dan
menghasilkan keluaran (output). Keluaran (output) berupa informasi sebagai dasar
dari pengambilan keputusan yang berguna dan mempunyai nilai nyata yang

8
dirasakan akibatnya baik pada saat itu, atau di masa yang akan datang,
mendukung kegiatan operasional, manajerial, dan stategis organisasi dengan
memanfaatkan berbagai sumber daya yang ada dan tersedia bagi fungsi tersebut
untuk mencapai tujuan [21]
Sistem informasi merupakan suatu komponen yang terdiri dari manusia,
teknologi informasi dan prosedur kerja yang memproses, menyimpan,
menganalisis, dan menyebarkan informasi untuk mencapai suatu tujuan [22].
Menurut Kadir, Sistem informasi adalah kumpulan perangkat keras dan perangkat
lunak yang dirancang untuk mentransformasikan data ke dalam bentuk informasi
yang berguna.
Sistem informasi merupakan cara yang terorganisir untuk mengumpulkan
masukan dan memproses data dan menyimpannya, mengelola, mengontrol, dan
melaporkannya sehingga dapat mendukung suatu perusahaan atau organisasi
untuk mencapai suatu tujuan tertentu [23]. Subhan berpendapat, sistem informasi
adalah kumpulan perangkat lunak komputer dan perangkat manusia yang akan
mengolah data menggunakan perangkat keras memegang peranan yang penting
dalam sistem informasi.
Sistem informasi adalah gabungan dari teknologi informasi dan aktivitas
orang yang menggunakan teknologi untuk mendukung operasi dan manajemen di
dalamnya. Jika dilihat, sistem informasi yang saling berinteraksi dengan proses
bisnis dan melihat pada pengertian organisasi sendiri, sistem informasi adalah
kumpulan informasi pada sebuah basis data yang menggunakan model dan media
teknologi informasi yang berguna dalam pengambilan keputusan bisnis pada
sebuah organisasi [24].

2.2.3 Aspek Keamanan Informasi

Aspek keamanan informasi dipenuhi dengan melakukan perlindungan pada
informasi. Aspek keamanan informasi dikontrol, diperhatikan, dan diterapkan.
Beberapa aspek keamanan informasi yang terkait dengan user, adalah sebagai
berikut [25]:

9
a. Privacy, yaitu informasi pada organisasi hanya untuk pemilik data menjamin
keamanan data dan tidak diakses oleh orang lain.
b. Identification, yaitu menjamin informasi memiliki karakteristik identifikasi,
dan jika memungkinkan mengenali pengguna informasi tersebut.
c. Authentication, yaitu pada saat sistem membuktikan bahwa pemakai informasi
emmang benar pemilik yang memiliki identitas yang benar.
d. Authorization, yaitu menyediakan jaminan pemakai (manusia ataupun
komputer) sudah mendapatkan autorisasi untuk mengakses, mengubah, atau
menghapus isi informasi.
e. Accountability, yaitu jika sistem menampilkan data kegiatan terhadap
informasi yang dilakukan dan siapa saja yang melakukan kegiatan tersebut.
Keamanan informasi dalam pandangan tradisional meliputi tiga pilar
keamanan informasi, yaitu kerahasiaan (confidentiality), integritas (integrity), dan
ketersediaan (availability). Biasa dikenal dengan CIA keamanan informasi.
Kerahasiaan, integritas, dan ketersediaan adalah tujuan keamanan, dimana maksud
dari kerahasiaan untuk memastikan bahwa personil yang berwenang yang dapat
mengakses informasi, dan memastikan bahwa informasi tidak diberikan kepada
orang atau badan yang tidak berkepentingan dan berwenang.
Integritas adalah untuk menjaga terhadap modifikasi yang tidak sah atau
perusakan informasi, dengan kata lain informasi tetap dalam format pencipta
informasi yang dimaksud. Ketersediaan memastikan informasi siap digunakan.
Hilangnya ketersediaan adalah gangguan akses atau penggunaan informasi atau
teknologi informasi.

2.2.4 Pengukuran
Pengukuran adalah proses atau kegiatan untuk memperoleh informasi
kuantitatif atau kualitatif tentang suatu objek atau fenomena dengan menggunakan
alat, metode, atau teknik yang sesuai. Tujuan utama pengukuran adalah untuk
mendapatkan data yang akurat, obyektif, dan terukur yang dapat digunakan untuk
menganalisis, membandingkan, atau mengambil keputusan. Kata pengukuran
mengacu pada kata evaluasi. Evaluasi ini digunakan untuk menganalisa kelayakan

10
atau efektifitas bentuk pengamanan yang ada. Evaluasi dilakukan terhadap
berbagai area yang menjadi target penerapan keamanan informasi dengan ruang
lingkup pembahasan yang memenuhi aspek keamanan. [5]
Keamanan informasi mengacu pada proses dan metode bagaimana
melindungi informasi terkait data privasi yang ada dari segala bentuk kejahatan
siber. Prinsip utama keamanan informasi terdiri dari confidentiality (kerahasiaan),
integrity (integritas) dan availability (ketersediaan) atau sering disingkat CIA.
Dalam keamanan informasi tersebut berusaha untuk menghindari dari berbagai
serangan atau ancaman yang mungkin bisa terjadi dalam sistem elektronik. [6]
Seiring dengan perkembangan teknologi, penerapan tata kelola teknologi
Informasi (TI) yang baik saat ini menjadi kebutuhan dan tuntutan setiap
organisasi. Penyelenggaraan tata kelola teknologi, faktor keamanan informasi
merupakan aspek yang sangat penting untuk diperhatikan mengingat kinerja tata
kelola suatu organisasi akan terganggu jika informasi sebagai salah satu obyek
utama mengalami masalah keamanan informasi yang menyangkut kerahasiaan,
keutuhan dan ketersediaan informasi. [7]

2.2.5 ISO/IEC 27001

ISO/IEC 27001 merupakan salah satu metode dengan standard keamanan
informasi yang diterbitkan International Organization for Standarization dan
International Electrotecnical Comission. [8]. ISO 27001 menjadi standar
manajemen keamanan informasi yang luas digunakan oleh bisnis dan organisasi,
menyediakan referensi tertentu yang paling komprehensif untuk menajemen
keamanan informasi di dunia. [8]
Selanjutnya, ISO 27001 juga didefinisikan sebagai dokumen standar sistem
manajemen keamanan informasi, yang memberikan gambaran secara umum
mengenai apa saja yang harus dilakukan oleh sebuah institusi dalam usaha mereka
untuk mengevaluasi, mengimplementasikan, dan memelihara keamanan informasi
berdasarkan “best practice” dalam pengamanan informasi. ISO 27001 berfokus
pada pengurangan risiko terhadap informasi yang bernilai bagi organisasi. [9]

11
 Dalam penelitian ini peneliti menggunakan 7 klausul untuk mengukur tingkat
keamanan informasi di Kantor XYZ yaitu:
1. Kebijakan Keamanan Informasi (klausul 5): Klausul ini mengacu pada
pentingnya memiliki kebijakan keamanan informasi yang ditetapkan dan
dikomunikasikan di seluruh organisasi. Kebijakan ini menjadi pedoman
dalam mengelola dan melindungi informasi yang sensitif. Tujuannya adalah
untuk memastikan bahwa kebijakan keamanan informasi disusun, dipelihara,
dan diterapkan secara efektif di semua tingkatan organisasi.
2. Manajemen Asset (klausul 7): Klausul ini berkaitan dengan identifikasi,
kepemilikan, dan perlindungan aset informasi yang penting bagi organisasi.
Tujuannya adalah untuk melindungi aset informasi yang berharga, termasuk
data, infrastruktur, perangkat keras, perangkat lunak, dan aset lainnya yang
relevan, dengan mengidentifikasi dan mengelola risiko terhadap aset tersebut.
3. Keamanan Fisik dan Lingkungan (klausul 9): Klausul ini mengharuskan
organisasi untuk melindungi lingkungan fisik di mana aset informasi
disimpan dan diproses. Ini melibatkan tindakan untuk mengamankan akses
fisik ke fasilitas, melindungi peralatan, mengendalikan lingkungan
operasional, dan mengatasi risiko yang terkait dengan bencana alam atau
peristiwa lain yang dapat mempengaruhi keamanan fisik.
4. Komunikasi dan Manajemen Operasi (klausul 10): Klausul ini mencakup
pengelolaan operasional yang terkait dengan keamanan informasi. Ini
melibatkan pengaturan dan implementasi prosedur yang sesuai untuk
memastikan bahwa operasi sehari-hari organisasi berjalan dengan aman dan
keamanan informasi terjaga. Ini termasuk pemantauan, pengendalian,
pemeliharaan, dan pelaporan keamanan informasi yang relevan.
5. Akses Control (klausul 11): Klausul ini menekankan perlunya mengelola
akses terhadap aset informasi secara terkendali. Tujuannya adalah untuk
memastikan bahwa akses ke sistem, jaringan, data, dan sumber daya
informasi lainnya hanya diberikan kepada individu yang sah dan sesuai
dengan kebutuhan bisnis. Ini melibatkan penerapan kebijakan, prosedur, dan

12
 kontrol akses yang tepat, termasuk autentikasi, otorisasi, dan manajemen hak
akses.
6. Pengadaan/Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi
(klausul 14): Klausul ini berkaitan dengan siklus hidup sistem informasi,
termasuk pengadaan, pengembangan, dan pemeliharaannya. Tujuannya
adalah untuk memastikan bahwa aspek keamanan informasi diperhatikan
sepanjang siklus hidup sistem informasi. Ini melibatkan pengenalan kontrol
keamanan sejak awal pengembangan, pemilihan vendor yang aman,
pengujian keamanan, dan pemeliharaan rutin untuk menjaga integritas dan
keandalan sistem.
7. Pengelolaan Insiden Keamanan Informasi (klausul 16): Klausul ini
memfokuskan pada kemampuan organisasi dalam mengelola dan merespons
insiden keamanan informasi. Tujuannya adalah untuk memastikan bahwa
organisasi memiliki prosedur dan mekanisme yang efektif untuk mendeteksi,
melaporkan, mengevaluasi, dan merespons insiden keamanan. Ini melibatkan
pengembangan rencana tanggap darurat, pemulihan bencana, dan
penyelidikan serta perbaikan pasca-insiden untuk meminimalkan dampak dan
mencegah kejadian serupa di masa depan.
Dengan mengikuti dan menerapkan ketujuh klausul ini, organisasi
dapat membangun dan memelihara sistem pengelolaan keamanan informasi
yang efektif berdasarkan standar ISO 27001.

2.3 Penelitian Terkait

Beberapa penelitian Terkait yang relevan dengan penelitian ini yaitu
Penelitian yang dilaksanakan oleh Ritzkal dengan judul penelitian Implementasi
Iso/Iec 27001:2013 Untuk Sistem Manajemen Keamanan Informasi (SMKI) Pada
Fakultas Teknik UIKA-Bogor. Hasil penelitian nya menunjukan bahwa pengguna
hanya mempercayai tingkat keamanan sebesar 49% dan (2) pihak manajemen
hanya mempercayai tingkat keamanan sebesar 45%. Berdasarkan hal itu
ditunjukkan, bahwa SMKI pada jaringan hotspot di Fakultas Teknik kurang aman
menurut Standarisasi ISO/IEC 27001:2013 [12].

13
 Penelitian yang dilaksanakan oleh Mei Lenawati dengan judul penelitian Tata
Kelola Keamanan Informasi Pada PDAM Menggunakan ISO/IEC 27001:2013
Dan Cobit 5. Penelitian ini bertujuan untuk membuat tata kelola keamanan
informasi sesuai dengan persyaratan SMKI ISO 27001:2013 dan kerangka kerja
keamanan informasi COBIT 5. Penelitian menggunakan metode mixed method
dengan strategi concurrent embedded, yaitu menggabungkan metode penelitian
kualitatif dan kuantitatif. Penelitian ini menghasilkan beberapa keluaran yaitu
model referensi proses; rekomendasi proses bisnis dan struktur organisasi; dan
langkah penerapan tata kelolanya. Kesimpulan yang diambil dari penelitian ini
yaitu perbaikan level tingkat kematanngan pada bagian langganan, dan
rekomondasi tata kelola pada variabel yang bernilai ekstrim [13].
Penelitian yang dilaksanakan oleh Lailatul Munaroh dengan judul penelitian
Pengukuran Risiko Keamanan Aset TI Menggunakan Metode FMEA dan Standar
ISO/IEC27001:2013. Hasil penelitian menunjukan bahwa terdapat terdapat 22
cause failure yang akan menyebabkan terjadinya risiko pada keamanan aset TI di
Bidang Perdagangan Dalam Negeri (PDN) Dinas Perdagangan dan Perindustrian
Pemerintah Provinsi XYZ. Terdapat 11 cause failure yang memiliki level tinggi
dengan rentan nilai 400 –175 [14].
Penelitian yang dilakukan oleh Febryan Hari Purwanto dan Miftahul Huda,
2019 yang berjudul “Pengukuran Tingkat Keamanan Informasi Perguruan Tinggi
XYZ Menggunakan Indeks Keamanan Informasi (KAMI) Berbasis ISO/IEC-
27001:2013. Berdasarkan hasil penilaian tingkat keamanan informasi di
Perguruan Tinggi XYZ diperoleh hasil bahwa Sistem Elektronik di Perguruan
Tinggi XYZ masuk pada kategori Sistem Elektronik Rendah dan hasil penilaian
pada ke 5 area keamanan informasi pada Perguruan Tinggi XYZ seluruhnya
berada pada Tingkat kematangan I+ atau pada Tingkat Kondisi Awal dengan
tingkat penerapan standar ISO/IEC 27001:2013 berada pada nilai 179 atau pada
status Perlu Perbaikan. [15]
Penelitian yang dilakukan oleh Tri Rochmadi dan Ike Yunia Pasa, 2021 yang
berjudul “Pengukuran Risiko dan Evaluasi Keamanan Informasi Menggunakan
Indeks Keamanan Informasi DI BKD XYZ Berdasarkan ISO 27001/SNI. Dari

14
hasil penelitian yang dilakukan, bahwasanya BKD XYZ masih berada pada
tingkat tidak layak untuk benar-benar bisa menerapkan keamanan informasi yang
ideal. Sehingga dibutuhkan tindak lanjut sesuai rekomendasi perbaikan, agar BKD
XYZ bisa mencapai kesiapan sertifikasi ISO 27001/SNI [16].
Penelitian yang dilakukan oleh Hilaluddin Jauhary, Geta Eldisa Pratiwi, Ariq
Zamzami Salim dan Fitroh, 2022 yang berjudul “Penerapan ISO27001 dalam
Menjaga dan Meminimalisir Risiko Keamanan Informasi : Literatur Review”.
Prosedur penelitian berfokus pada dimensi ISO27001, Data Security, ISMS, Risk
Management. Studi yang dipilih dari database utama yakni Scopus. Metode atau
tahapan yang digunakan pada jurnal ini yaitu menggunakan Publish or Perish 7,
Mendeley, Zotero, VOSViewer dan Microsoft Excel. Proses seleksi dilakukan
menggunakan Microsoft Excel dengan melibatkan pencarian sumber literatur dan
penyaringan dan penyaringan studi berdasarkan judul, abstrak, dan bacaan teks
lengkap [17].
Penelitian yang dilakukan oleh Romy Febriawan, 2020 yang berjudul “Peran
Sistem Manajemen Keamanan Informasi (SMKI) Berstandar ISO 27001 Untuk
Meningkatkan Keamanan Informasi (Sebuah Studi Literatur)”. Selama studi
literatur dilakukan, penerapan SMKI menggunakan tata kelola keamanan sistem
informasi berdasarkan kerangka kerja ISO/IEC 27001. Dari kerangka tersebut
kemudian dilakukan evaluasi terhadap objek kontrol yang dimiliki ISO/IEC
27001. Metode penelitian ini menggunakan Sistematika review. Hasil dari review
paper ini diharapkan dapat dijadikan refensi untuk implementasi sistem
manajemen keamanan informasi (SMKI) oleh pemerintah maupun perusahaan
khususnya di Indonesia kedepannya [18].

15
 BAB III DESKRIPSI SISTEM

3.1 Deskripsi Solusi

Deskripsi solusi keamanan informasi dari Kantor XYZ yang melibatkan
survei, identifikasi tingkat keamanan informasi, standar ISO 27001, maturity
level, hasil rekomendasi adalah sebagai berikut:
1. Kantor XYZ: Kantor XYZ bertanggung jawab atas pengelolaan
data kependudukan di suatu wilayah atau negara. Data yang disimpan
oleh Kantor XYZ termasuk informasi sensitif dan rahasia, seperti data
personal penduduk, status perkawinan, dan data lain yang bersifat
pribadi.
2. Survei: Survei dilakukan untuk memperoleh pemahaman
menyeluruh tentang sistem keamanan informasi yang ada di Kantor
XYZ. Hal ini melibatkan pengumpulan informasi melalui wawancara
dengan staf terkait, tinjauan dokumen kebijakan keamanan informasi,
serta penilaian terhadap infrastruktur dan sistem yang digunakan. Survei
ini membantu mengidentifikasi kelemahan, celah keamanan, dan praktik
yang perlu ditingkatkan.
3. Identifikasi Tingkat Keamanan Informasi: Setelah survei
dilakukan, langkah berikutnya adalah mengidentifikasi tingkat keamanan
informasi yang ada di Kantor XYZ. Ini melibatkan analisis terhadap
praktik keamanan yang diterapkan, kontrol teknis yang ada, dan tingkat
kepatuhan terhadap kebijakan dan standar keamanan informasi.
Identifikasi ini membantu menilai kelemahan dan kekuatan dalam
keamanan informasi serta mengidentifikasi area yang memerlukan
perbaikan.
4. Standar ISO 27001: Standar ISO 27001 adalah standar
internasional yang menyediakan kerangka kerja komprehensif untuk
pengelolaan keamanan informasi. Dalam konteks solusi keamanan
informasi untuk Kantor XYZ, implementasi standar ISO 27001 menjadi
acuan untuk membangun sistem manajemen keamanan informasi yang

16
 efektif. Standar ini mencakup aspek seperti analisis risiko, pengelolaan
kebijakan keamanan, implementasi pengendalian, pemantauan, serta
peninjauan dan perbaikan berkelanjutan.
5. Maturity Level: Evaluasi maturity level dilakukan untuk
mengetahui sejauh mana tingkat kedewasaan sistem keamanan informasi
di Kantor XYZ. Maturity level mengukur kemampuan sistem dalam
menghadapi ancaman keamanan, kesiapan dalam mengelola insiden
keamanan, dan kesesuaian dengan standar keamanan yang berlaku.
Evaluasi ini membantu mengidentifikasi area-area yang perlu
ditingkatkan untuk mencapai tingkat keamanan informasi yang lebih
tinggi.
6. Hasil Rekomendasi: Setelah survei, identifikasi tingkat keamanan
informasi, dan penilaian maturity level, langkah selanjutnya adalah
menghasilkan rekomendasi perbaikan. Rekomendasi ini berdasarkan
temuan dari survei dan analisis yang telah dilakukan. Rekomendasi dapat
mencakup peningkatan kebijakan keamanan informasi, penerapan kontrol
teknis tambahan, peningkatan kesadaran keamanan informasi melalui
pelatihan, dan pengembangan prosedur yang lebih baik. Rekomendasi
tersebut ditujukan untuk meningkatkan keamanan informasi secara
keseluruhan di Kantor XYZ. Rekomendasi ini berisi langkah-langkah dan
tindakan perbaikan yang harus diambil untuk mengatasi celah keamanan,
meningkatkan kepatuhan terhadap standar ISO 27001, dan meningkatkan
maturity level sistem keamanan informasi.
7. Finish: Tahap "finish" mencakup implementasi rekomendasi yang
dihasilkan. Ini melibatkan penerapan perubahan kebijakan, peningkatan
kontrol keamanan, pengembangan prosedur baru, pelatihan karyawan
terkait keamanan informasi, serta penerapan teknologi dan alat keamanan
yang diperlukan. Setelah implementasi selesai, dilakukan pengujian dan
evaluasi ulang untuk memastikan bahwa sistem keamanan informasi
telah mencapai tingkat keamanan yang diharapkan.

17
 Dengan mengikuti langkah-langkah ini, solusi keamanan informasi untuk
Kantor XYZ dapat meningkatkan perlindungan terhadap data kependudukan,
mematuhi standar ISO 27001, mencapai tingkat maturity level yang lebih
tinggi, serta meningkatkan kemampuan menghadapi ancaman keamanan yang
ada.

3.2 Desain Sistem

Berikut adalah desain sistem pengukuran tingkat keamanan informasi
di Kantor XYZ berbasis ISO 27001:

Kantor XYZ Survei

Identifikasi tingkat Keamanan Informasi

Standar ISO 27001

Maturity level

Hasil (rekomendasi)

Finish

Gambar 2.1 Desain Penelitian

1. Survei
Tahap ini melibatkan pengumpulan data tentang keamanan informasi
melalui metode seperti wawancara dan observasi. Tujuan survei adalah untuk
mendapatkan pemahaman menyeluruh tentang praktik keamanan informasi
yang ada di Kantor XYZ.
2. Identifikasi Tingkat Keamanan Informasi
Setelah data terkumpul, tahap selanjutnya adalah mengidentifikasi
tingkat keamanan informasi yang ada di Kantor XYZ. Hal ini dilakukan

18
 dengan menganalisis data survei dan mengevaluasi kepatuhan terhadap
praktik keamanan informasi yang relevan. Identifikasi ini membantu untuk
mengukur sejauh mana organisasi menjaga kerahasiaan, integritas, dan
ketersediaan informasi.
Pada penelitian ini keamanan informasi yang diukur pada Kantor XYZ
yaitu:
a. Kebijakan keamanan informasi (klausul 5) terdiri dari 10 pertanyaan
b. Manajemen aset (klausul 7) terdiri dari 11 pertanyaan
c. Keamanan Fisik dan Lingkungan (klausul 9) terdiri dari 24 pertanyaan
d. Komunikasi dan Manajemen Operasi (klausul 10) terdiri dari 17
pertanyaan.
e. Akses Control (klausul 11) terdiri dari 8 pertanyaan.
f. Pengadaan/Akuisisi, Pengembangan, dan Pemeliharaan Sistem
Informasi. (klausul 12) terdiri dari 15 pertanyaan.
g. Manajemen kejadian keamanan informasi (klausul 13) terdiri dari 12
pertanyaan.

3. Standar ISO 27001

ISO 27001 adalah standar internasional yang mengatur manajemen
keamanan informasi. Dalam tahap ini, standar ISO 27001 digunakan sebagai
acuan untuk mengevaluasi praktik keamanan informasi. Kantor XYZ dapat
membandingkan praktik mereka dengan persyaratan yang ditetapkan dalam
standar tersebut untuk menilai sejauh mana mereka mematuhi standar
keamanan informasi yang diakui secara internasional. Pada penelitian ini
keamanan informasi yang diukur pada Kantor XYZ menggunakan beberapa
klausul dan setiap klausul memiliki kuesionernya masing-masing sesuai
dengan standar yang ditetapkan oleh ISO 27001.

4. Maturity Level
Tingkat kematangan (maturity level) mengacu pada tingkat kesiapan dan
kemampuan Kantor XYZ dalam mengelola keamanan informasi. Dalam
konteks ini, maturity level digunakan untuk menilai sejauh mana organisasi

19
telah mengembangkan dan menerapkan praktik keamanan informasi yang
efektif. Biasanya, maturity level diukur dengan menggunakan kerangka kerja
yang menggambarkan tahap perkembangan dari awal (level 1) hingga tingkat
kematangan yang tinggi (level 5) [10].

Tabel 3.1 Maturity Level

Maturity Index Maturity Level
0 – 0.49 0 – Non Existent
0.51 – 1.50 1 – Initial/Adhoc
1.51 – 2.50 2 – Repeatable But Intutive
2.51 – 3.50 3 – Defined Process
3.51 – 4.50 4 – Managed and Measurable
4.51 – 5.00 5 - Optimized

Tabel 3.2 Deskripsi Maturity Level

Level Deskripsi
0 (Non Belum adanya permasalahan yang harus diatasi. Perusahaan
Existent) merasa tidak membutuhkan mekanisme proses keamanan.
Sehingga tidak ada pengawasan sama sekali.
1 (Initial/ Sudah adanya bukti bahwa perusahaan mengetahui adanya
Ad Hoc) permasalahan yang harus diatasi. Perusahaan sudah memiliki
inisiatif untuk melakukan keamanan. Namun sifatnya masih
non formal.
2 Sudah adanya perencanaan, pengelolaan, dan implementasi
(Repeatable sistem berbasis komputer yang lebih terarah. Perusahaan
but memiliki kebiasaan terpola untuk merencanakan keamanan
Intuitive) yang dilakukan secara berulang namun belum melibatkan
dokumen formal.
3 (Defined) Sudah memiliki proses keamanan yang sudah
didokumentasikan dengan baik kemudian dikomunikasikan
melalui pelatihan. Perusahaan juga menyadari perlunya
proses keamanan sehingga adanya aturan yang menunjukkan
untuk perusahaan secara rutin melakukan keamanan
4 (Managed Sudah adanya proses komputerisasi dengan baik,
and pengembangan sistem sudah terarah dan dijalankan secara
Measurable) terorganisir. Proses keamanan sudah secara formal dilakukan
dan secara terus menerus dievaluasi untuk meningkatkan
layanan perusahaan.
5 Sudah mengikuti best practice yang ditandai dengan adanya
(Optimised) proses otomatisasi pada sistem dengan metodologi yang
tepat.

20
Untuk mengetahui tingkat kematangan (Maturity Level) Klausul
menggunakan rumus maturity level:

Index Maturity = %

Pada rumus diatas menjelaskan tentang cara mengetahui tingkat

kematangan Klausal, yaitu dengan cara menjumlahkan score pertanyaan
yang dijawab oleh responden dibagi dengan total pertanyaan kemudian dikali
100%. Dengan mengikuti langkah-langkah ini, solusi keamanan informasi
untuk Kantor XYZ dapat meningkatkan perlindungan terhadap data
kependudukan, mematuhi standar ISO 27001, mencapai tingkat maturity level
yang lebih tinggi, serta meningkatkan kemampuan menghadapi ancaman
keamanan yang ada.
5. Hasil Rekomendasi
Berdasarkan hasil evaluasi keamanan informasi dan maturity level yang
teridentifikasi, tahap terakhir adalah menyusun rekomendasi. Rekomendasi
ini berfungsi untuk memberikan arahan tentang tindakan yang perlu
dilakukan untuk memperbaiki keamanan informasi. Rekomendasi dapat
mencakup perubahan kebijakan, peningkatan infrastruktur teknologi,
pelatihan dan kesadaran, serta langkah-langkah lain yang diperlukan untuk
meningkatkan tingkat keamanan informasi di organisasi.
Melalui desain sistem ini, Kantor XYZ dapat memastikan keamanan
informasi yang lebih baik, meminimalkan risiko kebocoran data, dan
melindungi informasi sensitif yang diolah dan disimpan dalam sistem.

21
 BAB IV EKSPERIMEN DAN HASIL

4.1 Eksperimen
ISO 27001 menyediakan panduan untuk menerapkan ISMS, serta untuk
memperoleh sertifikat internasional pihak ketiga untuk membuktikan bahwa
kontrol keamanan yang ada dan beroperasi sesuai dengan persyaratan standar.
ISO 27001 menggambarkan ISMS sebagai sistem manajemen secara
keseluruhan dari pendekatan risiko bisnis yang bertujuan untuk menetapkan,
menerapkan, mengoperasikan, memantau, dan memelihara ISMS.
ISMS harus membahas semua aspek struktur organisasi, tanggung
jawab, kegiatan perencanaan, kebijakan, proses, prosedur, praktek dan
sumber daya. ISO 27001 menyediakan model umum untuk melaksanakan dan
mengoperasikan ISMS, dan pemantauan serta meningkatkan operasi SMKI.
Tujuan dari ISO adalah untuk menyelaraskan ISO 27001 dengan
standar sistem manajemen lainnya seperti ISO/IEC 9001: 2000, yang
membahas sistem manajemen mutu, dan ISO/IEC 14001: 2004, yang
membahas sistem manajemen lingkungan. Tujuan lainnya dari ISO adalah
untuk memberikan implementasi yang konsisten dan terpadu dalam operasi
SMKI dengan sistem manajemen lainnya dalam organisasi.
ISO/IEC 27001 menyediakan hal-hal yang diperlukan dalam
merencanakan SMKI. Jika suatu SMKI baik, maka akan membantu
memberikan pengamanan dan perlindungan terhadap ancaman yang dapat
mengganggu aktifitas bisnis, dan mengamankan proses bisnis yang penting
agar terlindungi dari risiko kerugian atau kegagalan pada keamanan sistem
informasi. ISO/IEC 27001 berfokus pada penerapan Sistem Manajemen
Keamanan Informasi (SMKI) di dalam suatu organisasi, karena di dalamya
terdapat persyaratan-persyaratan dalam membangun SMKI di standar
ISO/IEC 27001 agar sesuai dengan standar ISO/IEC 27001. ISO/IEC 27001
memiliki 14 klausul, kontrol keamanan, 35 objektif kontrol dan 144 kontrol.

22
 Berikut data hasil penelitian yang terdiri dari uji keamanan dari 7
klausul yang digunakan.
1. Kebijakan keamanan informasi (klausul 5)
Klausul 5, berfokus pada kepemimpinan dari ISO 27001 yang
menekankan pentingnya keamanan informasi yang didukung, baik secara
kasat mata maupun material, oleh manajemen senior. Klausul ini
mengidentifikasi aspek-aspek spesifik dari sistem manajemen di mana
manajemen puncak diharapkan dapat menunjukkan kepemimpinan dan
komitmen. Dari hasil wawancara yang dilakukan, diperoleh data kebijakan
keamanan informasi sebagai berikut:
Tabel 4.1 Kebijakan Keamananan Informasi
Question Answer Score Maturity

Sudah adakah kebijakan Sudah 3 Defined

keamanan informasi? Process
Apakah kebijakan keamanan Sudah 3 Defined
tersebut sudah Process
didokumentasikan?
Apabila sudah, apakah Sudah 3 Defined
dokumen kebijakan keamanan Process
informasi itu sudah disetujui
oleh pihak manajemen?
Apakah dokumen kebijakan Sudah 4 Maneged
tersebut sudah di publikasikan Sesuai dengan and
kepada semua pihak terkait? undang-undang Measurabl
tahun 2013 no.24 e
Apakah kebijakan tersebut Sudah 3 Defined
sudah dikomunikasikan? Process
Apakah sudah dilakukan Sudah 3 Defined
tinjauan ulang terhadap Dilakukan oleh Process
kebijakan keamanan informasi dirjen
(untuk antisipasi perubahan
yang mempengaruhi analisa
resiko)?
Apakah tinjauan ulang Tinjauan ulang 3 Defined
kebijakan dilakukan secara dilakukan Process
berkala dan terjadwal ? terjadwal
pertahun
Apabila terjadi perubahan Iya 3 Defined
mengenai kebijakan, apakah Process
kebijakan tersebut merupakan

23
 pengembangan dari
sebelumnya (guna memenuhi
kebutuhan dan efektif dalam
pelaksanaan)?
Apakah kebijakan yang Iya 3 Defined
diterapkan sudah sesuai Process
dengan aturan yang berlaku?
Siapakah yang bertanggung Semua pegawai 4 Defined
jawab terhadap kebijakan Process
keamanan informasi?
Score Maturity 3,2
Index Defined Process
Sumber : Data Penelitian (2023)

Dari hasil pengujian kebijakan keamanan informasi, dapat diketahui

bahwa jumlah kebijakan keamanan informasi memiliki indeks maturity level
3,2 dari 10 pertanyaan yang diajukan. Sehingga dapat diketahui bahwa
kebijakan keamanan informasi sudah memiliki proses keamanan yang sudah
didokumentasikan dengan baik kemudian dikomunikasikan melalui pelatihan.
Perusahaan juga menyadari perlunya proses keamanan sehingga adanya
aturan yang menunjukkan untuk perusahaan secara rutin melakukan
keamanan.

2. Manajemen Aset (klausul 7) terdiri dari 14 pertanyaan

Persyaratan ISO 27001 adalah untuk menyediakan sumber daya yang
cukup untuk penerapan, pemeliharaan, penetapan, dan peningkatan
berkelanjutan dari sistem manajemen keamanan informasi. Dari hasil
wawancara yang dilakukan, diperoleh data kebijakan keamanan informasi
sebagai berikut:

24
Tabel 4.2 Manajemen Aset
Item Pertanyaan Jawaban Skor Maturity
Apakah semua inventaris aset Sudah dan harus 3 Defined
(informasi, perangkat lunak, memenuhi kriteria Process
fisik dan layanan) sudah yang ditetapkan
diidentifikasi dan dicatat?
Apakah inventaris aset Dijaga dan 3 Defined
tersebut dijaga dan dipelihara? dipelihara Process
Apakah sudah diterapkan Sudah 3 Defined
kebijakan pengelolaan aset? Process
Apakah kebijakan pengelolaan Sudah 3 Defined
inventaris aset tersebut sudah Process
didokumentasikan?
Apakah ada pegawai / Ada 3 Defined
petugas yang menjaga Process
(mengontrol dan memelihara)
keamanan informasi inventaris
aset?
Siapa yang bertanggung Bendahara barang 3 Defined
jawab mengontrol dan Process
memelihara terhadap
pemrosesan informasi
tersebut?
Apakah ada jangka waktu Ada dan biasnaya 3 Defined
pengecekan inventaris aset dilakukan setiap Process
secara berkala? tahun
Apakah sudah diidentifikasi Sudah 3 Defined
nilai dan tingkat kepentingan Process
aset?
Apakah terdapat aturan dalam Iya 3 Defined
menggunakan informasi yang Process
berhubungan dengan fasilitas
pemrosesan informasi (misal
hardware server)?
Apakah aturan dalam Sudah 3 Defined
menggunakan aset informasi Process
tersebut sudah
diimplementasikan?
Adakah dokumentasi Ada 3 Defined
mengenai informasi Process
pengelolaan aset?
Apakah informasi aset sudah Sudah 3 Defined
diklasifikasikan dengan Process
tingkat perlindungan yang
tepat?
Apakah ada prosedur yang Ada 3 Defined

25
 baik berupa pemberian tanda Process
pelabelan dan penanganan
informasi?
Apakah prosedur pelabelan Iya 3 Defined
dan penanganan informasi Process
harus sesuai dengan skema
klasifikasi informasi?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)

Dari hasil pengujian manajemen aset, dapat diketahui bahwa jumlah

kebijakan keamanan informasi memiliki maturity indeks sebesar 3 dari 14
pertanyaan yang diajukan. Sehingga dapat diketahui bahwa kebijakan
keamanan informasi pengujian manajemen aset sudah memiliki proses
keamanan yang sudah didokumentasikan dengan baik kemudian
dikomunikasikan melalui pelatihan. Perusahaan juga menyadari perlunya
proses keamanan sehingga adanya aturan yang menunjukkan untuk
perusahaan secara rutin melakukan keamanan.

3. Keamanan fisik dan lingkungan (klausul 9) terdiri dari 24 pertanyaan

ISO 27001 klausul menjelaskan bahwa organisasi diharuskan untuk
mengevaluasi bagaimana kinerja SMKI
a. Apa yang telah diputuskan untuk diukur dan dipantau, bukan hanya
tujuannya, tetapi juga proses dan pengendaliannya
b. Bagaimana memastikan hasil yang valid dalam pengukuran, pemantauan,
analisis dan evaluasi?
c. Kapan pemantauan, pengukuran, analisis dan evaluasi itu dilakukan dan
siapa yang melakukannya?
d. Bagaimana hasilnya digunakan

26
Berikut hasil wawancara klausul 9:
Tabel 4.3 Keamanan fisik dan lingkungan
Question Answer Score Maturity
Level
Apakah terdapat petugas yang Ada 3 Defined
berjaga dipintu masuk , guna Process
meminimalisir resiko pencurian
atau kesalahan dalam
penggunaan fasilitas?
Apakah terdapat aturan tertentu Ada 3 Defined
ketika memasuki ruang Process
pemrosesan informasi?
Apakah ada kontrol akses fisik Ada 3 Defined
atau ruang /wilayah sebagai Process
tempat menerima tamu?
Pernahkah meninggalkan Pernah 1 Initial/
komputer dalam keadaan Adhoc
menyala dan ada pegawai lain di
dalamnya?
Adakah ruangan khusus atau Ada 3 Defined
pembatas seperti dinding bagi Process
pemegang kendali sistem
informasi?
Apakah tembok terluar Sudah 3 Defined
bangunan sudah terbuat dari Process
konstruksi kuat dan terlindungi
dari akses tanpa izin?
Apakah orang yang Iya hanya 2 Repeatabl
m a s u k / datang diawasi dan dibagian tertentu e But
menulis tanggal datang dibuku Intutive
tamu?
Apakah hak akses ke ruang Iya 3 Defined
informasi dan fasilitas Process
pemrosesan informasi selalu
dikontrol dan dibatasi?
Apakah semua pegawai dan Iya di bagian- 2 Repeatabl
karyawan diwajibkan memakai bagian tertentu e But
tanda pengenal? Intutive
Apakah sudah diidentifikasi Sudah 3 Defined
siapa saja yang berhak masuk Process
ruangan kantor, guna
memastikan keamanan kantor
tetap terjaga?
Apakah sudah ada perlindungan Ada 3 Defined
fisik terhadap kerusakan akibat Process

27
dari ledakan, banjir dan bencana
alam lainnya?
Apakah bahan yang berbahaya Sudah 3 Defined
dan mudah meledak sudah Process
disimpan diwilayah aman?
Apakah penempatan ruang Sudah 3 Defined
sistem informasi / server sudah Process
termasuk dalam area yang aman?
Apakah terdapat kebijakan Iya 3 Defined
mengenai makan, minum dan Process
merokok disekitar fasilitas
pemrosesan informasi?
Apakah kabel listrik sudah Sudah 3 Defined
dipisahkan dari kabel Process
komunikasi untuk mencegah
gangguan (interferensi)?
Apakah komputer server dan Sudah 3 Defined
peralatan informasi sudah Process
dicek dan ditempatkan pada
tempat yang aman?
Apakah tata letak hardware Sudah 3 Defined
sudah ditempatkan dengan tepat Process
guna memastikan tidak ada
peluang akses oleh pihak yang
tidak berwenang?
Apakah peralatan sudah Sudah 3 Defined
dilindungi dari kegagalan daya Process
listrik?
Apakah sudah tersedia Sudah 3 Defined
peralatan pendukung cadangan Process
seperti genset atau UPS?
apakah utilitas pendukung Iya 3 Defined
seperti sumber daya listrik, Process
UPS, genset selalu dicek
keamanannya?
Apakah kabel daya dan Sudah 3 Defined
telekomunikasi kebutuhan data Process
sudah dilindungi dari ancaman
kerusakan atau penyadapan
misal pencurian listrik /
menggunakan pipa pengaman ?
Apakah peralatan hardware Iya 3 Defined
selalu dijaga dan dipelihara Process
dengan baik?
Apakah ada prosedur dalam Iya 3 Defined
menggunakan peralatan / Process

28
 hardware?
Apakah waktu pengecekan Sudah 3 Defined
peralatan / hardware sudah Process
sesuai dengan prosedur yang
ada?
Score Maturity 2,83
Index Defined Process
Sumber : Data Penelitian (2023)

Dari hasil pengujian manajemen aset, dapat diketahui bahwa jumlah

kebijakan keamanan fisik dan lingkungan memiliki maturity indeks sebesar
2,83 dari 24 pertanyaan yang diajukan. Sehingga dapat diketahui bahwa
kebijakan keamanan fisik dan lingkungan sudah adanya perencanaan,
pengelolaan, dan implementasi sistem berbasis komputer yang lebih terarah.
Perusahaan memiliki kebiasaan terpola untuk merencanakan keamanan yang
dilakukan secara berulang namun belum melibatkan dokumen formal.

4. Komunikasi dan Manajemen Operasi (klausul 10) terdiri dari 17 pertanyaan.

Klausul 10 adalah bagian dari persyaratan peningkatan dalam ISO
27001 yang menyangkut tentang tindakan yang diambil oleh organisasi untuk
mengatasi ketidak sesuaian yang berorientasi pada keamanan informasi.
Tindakan korektif yang mengikuti bentuk ketidak sesuaian juga bagian
penting dari proses peningkatan SMKI yang harus dibuktikan bersama
dengan konsekuensi lain yang disebabkan oleh ketidaksesuaian.
Tabel 4.4 Komunikasi dan Manajemen Operasi
Question Answer Score Maturity
Level
Apakah terdapat prosedur Sudah 3 Defined
pengoprasian dalam Process
pemrosesan informasi (guna
memastikan keamanan
operasi)?
Jika ada, apakah prosedur Sudah 3 Defined
tersebut sudah di Process
dokumentasikan dan tersedia
bagi pengguna?
Apakah pengoperasian fasilitas Sudah 3 Defined
pengolahan informasi Process

29
(Maintenance Server ) sudah
dilakukan secara benar dan
aman?
Apakah setiap data penting Iya 3 Defined
dilakukan back-up? Process
Jika ada perubahan terhadap Iya 3 Defined
fasilitas dan sistem pengolahan Process
informasi, apakah akan
dikomunikasikan kepada pihak
terkait?
Apakah pegawai di ruang Sudah 3 Defined
sistem informasi sudah Process
dipisahkan menurut tugas dan
tanggung jawabnya masing-
masing?
Apakah ada pengawasan dan Ada 3 Defined
pemantauan terhadap sistem Process
untuk mengurangi resiko /
insiden penyalahgunaan atau
modifikasi tanpa ijin?
Apakah perangkat lunak / Iya 3 Defined
software dilakukan uji secara Process
berkala?
Apakah setiap data berupa Iya, terjadwal 3 Defined
informasi dilakukan back-up Process
guna mencegah terjadinya
kehilangan atau kegagalan?
Apakah salinan back-up dan Iya, di 3 data 3 Defined
prosedur pemulihan yang center dan 3 data Process
terdokumentasi disimpan di center itu berbeda
lokasi terpisah? kota
Apakah media back-up Sudah 3 Defined
tersebut sudah diuji secara Process
berkala untuk memastikan bisa
digunakan pada situasi darurat?
Apakah sudah menerapkan Sudah 3 Defined
kontrol jaringan untuk Process
memastikan keamanan sistem
dan data dalam jaringan?
Apakah kontrol tersebut Sudah 3 Defined
dilakukan secara berkala, guna Process
melindungi hak akses tanpa ijin
pada jaringan / serangan?
Sejauh ini, apakah terdapat titik Belum 3 Defined
jaringan yang rawan terhadap Process
serangan?

30
 Apakah ada petugas atau Ada 3 Defined
pegawai yang khusus menangani Process
keamanan jaringan?
Apakah sudah terdapat Sudah 3 Defined
mekanisme pengamanan Process
jaringan sebagai upaya
pencegahan serangan ?
Apabila serangan telah terjadi, Ada 3 Defined
adakah mekanisme recovery Process
jaringan yang diterapkan ?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)

Dari hasil pengujian komunikasi dan manajemen operasi, dapat diketahui

bahwa jumlah kebijakan komunikasi dan manajemen operasi memiliki
maturity indeks sebesar 3 dari 17 pertanyaan yang diajukan. Sehingga dapat
diketahui bahwa kebijakan keamanan fisik dan lingkungan sudah memiliki
proses keamanan yang sudah didokumentasikan dengan baik kemudian
dikomunikasikan melalui pelatihan. Perusahaan juga menyadari perlunya
proses keamanan sehingga adanya aturan yang menunjukkan untuk
perusahaan secara rutin melakukan keamanan.

5. Akses Control (klausul 11)

Kebijakan pengendalian akses harus ditetapkan, didokumentasikan, dan
ditinjau secara berkala dengan mempertimbangkan persyaratan bisnis untuk
aset yang dicakup. Aturan, hak dan pembatasan pengendalian akses serta
kedalaman pengendalian yang digunakan harus mencerminkan risiko
keamanan informasi di sekitar informasi dan keinginan organisasi untuk
mengelolanya. Sederhananya kontrol akses adalah tentang siapa yang perlu
mengetahui, siapa yang perlu menggunakan dan seberapa banyak mereka
dapat mengaksesnya. Kontrol akses dapat bersifat digital dan fisik, misalnya
pembatasan izin pada akun pengguna serta pembatasan siapa yang dapat
mengakses lokasi fisik tertentu.
Tabel 4.5 Akses Control
Questin Answer Score Maturity Level

31
 Apakah sudah di terapkan Sudah 3 Defined Process
prosedur log-on pada
sistem informasi?
Apakah sistem sudah Sudah 3 Defined Process
membatasi kegagalan
percobaan log- on?
Apakah seluruh pengguna Iya 3 Defined Process
(termasuk staf pendukung
teknis) memiliki user ID
yang berbeda ?
Apakah user ID tersebut Iya 3 Defined Process
disyaratkan agar
mempunyai ID yang unik
seperti menggabungkan
huruf dan angka?
Ada 3 Defined Process
Apakah sudah ada sistem
manajemen password dan
sistem pengelola password
untuk memastikan kualitas
password?
Apakah terdapat prosedur Tidak ada 1 Initial /Ad Hoc
batasan jangka waktu
pemakaian akun user?
Sudah adakah prosedur Ada 3 Defined Process
penonaktifan akun user
(seperti password) guna
memastikan tidak adanya
pemakaian ulang?
Apakah sudah Sudah 3 Defined Process
menggunakan sesi time-
out?
Score Maturity 2,75
Index Defined Process
Sumber : Data Penelitian (2023)

Dari hasil pengujian akses control, dapat diketahui bahwa jumlah akses
control memiliki maturity indeks sebesar 2,75 dari 8 pertanyaan yang
diajukan. Sehingga dapat diketahui bahwa akses control Sudah adanya
perencanaan, pengelolaan, dan implementasi sistem berbasis komputer yang
lebih terarah. Perusahaan memiliki kebiasaan terpola untuk merencanakan

32
 keamanan yang dilakukan secara berulang namun belum melibatkan
dokumen formal.

6. Pengadaan/Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi.

(klausul 12)
Sistem informasi merupakan aset organisasi yang penting karena
manfaat yang diberikannya dan tingginya biaya yang dikeluarkan. Organisasi
harus bersiap untuk jangka panjang ketika membeli sistem informasi dan
layanan yang mendukung tujuan organisasi. Berdasarkan strategi organisasi
jangka panjang dan kebutuhan semua orang mulai dari staf data hingga
Kepala Bidang, aplikasi penting dan prioritas proyek ditetapkan. Suatu sistem
informasi yang spesifik harus diperoleh setelah kebutuhannya diketahui.
Dalam kebanyakan kasus, hal ini dilakukan dalam konteks arsitektur sistem
informasi organisasi. Baik sumber eksternal atau pengembangan atau
modifikasi internal dapat digunakan untuk memperoleh sistem informasi.
Ketika kebutuhan akan sistem tertentu telah diketahui, pengembangan sistem
dapat dimulai.
Tabel 4.6 Pengadaan/Akuisisi, Pengembangan, dan Pemeliharaan Sistem
Informasi
Question Answer Score Maturity
Level
Apakah sudah ada prosedur Ada 3 Defined
validasi data ketika akan Process
memasukan data ke sistem
informasi?
Apakah terdapat prosedur untuk Ada 3 Defined
merespon kesalahan validasi? Process
Apakah cek validasi harus Iya, sudah 3 Defined
disediakan kedalam aplikasi / terintegrasi Process
sistem guna mendeteksi adanya
kerusakan (corrupt) informasi
dalam kesalahan atau proses
pengiriman?
Ketika ada kerusakan informasi Iya, dapat 3 Defined
karena ada kesalahan terdeteksi Process
pengolahan apakah dapat
terdeteksi oleh sistem?

33
 Untuk memastikan bahwa Iya penting 3 Defined
pemroresan informasi yang Process
disimpan adalah benar, apakah
validasi data keluaran penting?
Apakah sudah ada prosedur Ada 3 Defined
mengenai pengendalian Process
perubahan kontrol?
Apakah pengendalian perubahan Defined
kontrol tersebut sudah Process
diimplementasikan?
Bila sistem operasi di ubah, Iya 3 Defined
apakah sistem informasi Process
ditinjau dan diuji ulang untuk
memastikan tidak ada dampak
yang merugikan?
Apakah penting menjaga Iya 3 Defined
keamanan sistem informasi Process
ketika dilakukan perubahan
sistem operasi?
Apakah perangkat lunak / Iya 3 Defined
software selalu diperbaharui / Process
update?
Apakah ada jangka waktu Ada 3 bulan 3 Defined
perbaharuan terhadap sekali Process
perangkat lunak tersebut?
Apakah setiap kali melakukan Iya 3 Defined
perubahan sudah di kendalikan Process
(untuk memastikan supaya tidak
terjadi hal yang tidak
diinginkan)?
Apakah sudah dilakukan Sudah 3 Defined
pencegahan terhadap peluang Process
kebocoran informasi?
Apakah ada prosedur Ada 3 Defined
pencegahannya? Process
Apakah sudah dilakukan Sudah 3 Defined
pantauan terhadap Process
pengembangan perangkat
lunak?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)

Dari hasil pengujian pengadaan/akuisisi, pengembangan, dan

pemeliharaan sistem informasi, memiliki maturity indeks sebesar 3 dari 15

34
 pertanyaan yang diajukan. Sehingga dapat diketahui bahwa pengujian
pengadaan/akuisisi, pengembangan, dan pemeliharaan sistem informasi sudah
memiliki proses keamanan yang sudah didokumentasikan dengan baik
kemudian dikomunikasikan melalui pelatihan. Perusahaan juga menyadari
perlunya proses keamanan sehingga adanya aturan yang menunjukkan untuk
perusahaan secara rutin melakukan keamanan.
7. Manajemen kejadian keamanan informasi (klausul 13) terdiri dari 12
pertanyaan.
Keamanan informasi merupakan hal penting dalam penyelenggaraan
layanan. Dengan semakin meningkatnya risiko dan insiden keamanan
informasi dalam penyelenggaraan sistem elektronik, upaya pengamanan
terhadap sistem elektronik yang memiliki data dan informasi strategis dan
penting wajib segera dilakukan. Keamanan informasi yang handal, akan
meningkatkan kepercayaan masyarakat terhadap penyelenggaraan sistem
elektronik untuk pelayanan publik.
Tabel 4.7 Manajemen kejadian keamanan informasi
Question Answer Score Maturity
Level
Apakah setiap kejadian Iya 3 Defined
keamanan sistem / layanan Process
sudah dilaporkan dengan
cepat?
Apakah pelaporan kejadian Sudah 3 Defined
tersebut sudah sesuai dengan Process
mekasnisme yang ditentukan?
Apakah staf/petugas selalu Ada 3 Defined
melaporkan apabila Process
menemukan kelemahan
keamanan sistem?
Apakah setiap pelaporan Iya 3 Defined
mengenai temuan / dugaan Process
kelemahan keamanan tersebut
dicatat?
Apakah sudah dibentuk Ada 3 Defined
manjemen penanggung jawab Process
dalam penanganan
keamanan informasi?
Apakah sudah ada prosedur Ada 3 Defined

35
 untuk penanganan kejadian Process
kemanan informasi tersebut
(guna memastikan kecepatan
dan keefektivitasan
penanganan) ?
Apakah pihak manajemen Iya 3 Defined
memberikan respon yang Process
cepat terhadap laporan
keamanan sistem informasi?
Apakah ada petugas yang Ada 3 Defined
memonitor terhadap Process
penanganan keamanan
informasi (untuk memastikan
pennganan tersebut sesuai
prosedur) ?
Apakah sudah dilakukan Ada 3 Defined
pembaharuan terhadap tata Process
cara (mekanisme) penanganan
keamanan informasi?
Apakah perlu adanya tindak Iya 3 Defined
lanjut setelah penanganan Process
insiden?
Apabila terjadi insiden, Iya 3 Defined
apakah perlu dikumpulkan Process
bukti - bukti tersebut?
Apakah bukti- bukti tersebut Iya 3 Defined
didokumentasikan dan Process
dilaporkan kepada pihak
yang berwajib (untuk
dilakukannya tindak lanjut)?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)

Dari hasil pengujian Manajemen kejadian keamanan informasi, memiliki

maturity indeks sebesar 3 dari 12 pertanyaan yang diajukan. Sehingga dapat
diketahui bahwa pengujian manajemen kejadian keamanan informasi sudah
memiliki proses keamanan yang sudah didokumentasikan dengan baik
kemudian dikomunikasikan melalui pelatihan. Perusahaan juga menyadari
perlunya proses keamanan sehingga adanya aturan yang menunjukkan untuk
perusahaan secara rutin melakukan keamanan.

36
4.2 Hasil Eksprimen
Dari keseluruhan hasil perhitungan klausul yang diperoleh dari proses
wawancara, dapat direkapitulasi hasil uji keamanana pada kantor XYZ sebagai
berikut:
Tabel 3.9 Rekapitulasi Klausul Keamanan pada kantor XYZ
Klausul Score Maturity
1. Kebijakan keamanan informasi (klausul 3,2
5) terdiri dari 10 pertanyaan
2. Manajemen aset (klausul 7) terdiri dari 3
11 pertanyaan
3. Keamanan Fisik dan Lingkungan 2,83
(klausul 9) terdiri dari 24 pertanyaan
4. Komunikasi dan Manajemen Operasi 3
(klausul 10) terdiri dari 17 pertanyaan.
5. Akses Control (klausul 11) terdiri dari 8 2,75
pertanyaan.
6. Pengadaan/Akuisisi, Pengembangan, 3
dan Pemeliharaan Sistem Informasi.
(klausul 14) terdiri dari 15 pertanyaan.
7. Pengelolaan Insiden Keamanan 3
Informasi (klausul 16) terdiri dari 12
pertanyaan.
Rata-Rata 2.96
Sumber : Data Penelitian (2023)

Berdasarkan hasil perhitungan klausul penelitian, maka dapat diketahui

bahwa index maturity keamananan pada kantor XYZ sebesar 2.96 dan
dikateorikan defined process, yang berarti sudah memiliki proses keamanan yang
sudah didokumentasikan dengan baik kemudian dikomunikasikan melalui
pelatihan. Perusahaan juga menyadari perlunya proses keamanan sehingga adanya
aturan yang menunjukkan untuk perusahaan secara rutin melakukan keamanan.
Grafik masing-masing klausul pada perhitungan di atas, dapat digambarkan
sebagai berikut:

37
 Gambar 4.1 Maturity Level Design
Dari keseluruhan hasil pengujian keamanana pada kantor XYZ, diketahui
bahwa yang belum terlaksana yaitu keadaan komputer masih dalam keadaan
menyala dan ada pegawai lain di dalamnya, sehingga memungkinkan bocornya
informasi data keamaan pada kantor XYZ. Selain itu tidak adanya batas waktu
penggunaan user pada sebuah id pengoperasian perangkat lunak, sehingga akan
menjadi kendala ketika user berhalangan hadir atau tidak dapat dihubungi.
Solusi dari permasalahan yang ada dengan membuat standar operasional
prosedur terhadap personalia yang bekerja di bagian data, terutama dalam jam
operasional, keamanan data dan saat meninggalkan ruang kerja untuk jangka
waktu tertentu, serta memperketat penjagaan di luar ruang kerja.

38
 BAB V PENUTUP

5.1 Kesimpulan
Dari hasil penyajian dan analisa data, maka dapat disimpulkan hasil di dalam
penelitian ini sebagai berikut:
Peneliti mengambil data pada kantor XYZ dengan malakukan beberapa
tahapan untuk pengambilan data yang pertama peneliti melakukan wawancara
menggunakan kusioner yang di kutip dari standar ISO 27001 dengan mengajukan
beberapa pertanyaan terkait keamanan informasi kepada responden dan
melakukan penilaian dari setiap kusioner yang di berikan jawaban sesuai dengan
aturan standar ISO 27001. Setalah dilakukan penilaian dan perhitungan di
dapatkan hasil untuk pengukuran tingkat Keamanan informasi yang dimiliki oleh
Kantor XYZ dikateorikan Defined Process dengan persentase 2,96 yang berarti
bahwa Sudah memiliki proses keamanan yang sudah didokumentasikan dengan
baik kemudian dikomunikasikan melalui pelatihan. Perusahaan juga menyadari
perlunya proses keamanan sehingga adanya aturan yang menunjukkan untuk
perusahaan secara rutin melakukan keamanan.
Kelemahan dalam keamanan informasi yang ada berdasarkan standar ISO
27001 yaitu ancaman keamaan ketika komputer masih dalam keadaan menyala
dan masih terdapat orang di dalamnya serta tidak ada batasan waktu penggunaan
sebuah id atau user pada suatu program yang ada di kantor XYZ. Dari hasil
penelitian yang telah dilakukan oleh penulis, maka diberikan suatu rekomendasi
untuk Implementasikan kebijakan keamanan yang ketat terkait dengan
penggunaan komputer saat masih dalam keadaan menyala dan ada orang di
dalamnya. Seperti mengatur kebijakan untuk mengunci komputer ketika pengguna
meninggalkan meja mereka. Menerapkan kebijakan manajemen identitas dan
akses yang ketat. Seperti Menetapkan batasan waktu penggunaan ID atau user
pada program-program kritis di kantor XYZ. Misalnya, setelah jam kerja berakhir,
akses terhadap program-program tertentu dapat dibatasi atau dihapus.

39
5.2 Saran
Berdasarkan hasil penelitian pada tugas skripsi ini, maka saran untuk
penelitian selanjutnya adalah Melakukan monitoring dan evaluasi tata kelola
keamanan informasi untuk ditingkatkan terus menerus serta adanya proses
perbaikan secara berkesinambungan untuk mencapai maturity level yang lebih
tinggi (level 4 atau level yang paling tinggi yaitu level 5). Evaluasi Tata kelola
Keamanan Informasi ini menggunakan framework ISO 27001:2013 dan penilaian
maturity level dengan menggunakan model SSE-CMM, maka untuk
pengembangan penelitian selanjutnya disarankan dapat menggunakan penilaian
maturity level dengan model lain, yaitu Capability Maturity Model for Integration
(CMMI) COBIT sebagai bahan perbandingan.

40
 DAFTAR PUSTAKA

[1].Utomo, Kaban M. Pembuatan Tata Kelola Keamanan Informasi Kontrol

Akses berbasis ISO/IEC 27001:27005 . No. 1, , s.l. : Jurnal Teknik
ITS, , September, 2012, Vol. Vol. 1.
[2].Azuwa. Technical Security Metrics Model in Compliance with ISO/IEC 27001
Standart. . : International Journal of Cyber-Security and Digital
Forensics (IJCSDF), 2012, Vol. Vol 1(4):. 280-288.. .\
[3]Bulu, Hariawan, Nur. Analisis Keamanan Jaringan STMIK AMIKOM
Yogyakarta Berdasarkan ISO/IEC 27001:2005 Standar A.11.4.4.
Yogyakarta : STMIK AMIKOM , 2013.
[4].Amin, Mukhlis. Pengukuran Tingkat Kesadaran Keamanan Informasi
Menggunakan Multiple Criteria Decision Analysis (MCDA). 1 Juli -
Oktober 2014, Makasar : Balai Besar Pengkajian dan Pengembangan
Komunikasi dan Informatika (BBPPKI) Makassar, 2014, Vol. 5.
[5].Farroh, Sakinah, Indeks Penilaian Kematangan (Maturity) Manajemen
Keamanan Layanan TI.. No. 2, 2014, s.l. : Jurnal Teknik Pomits, Vol.3,
[6]. Najib, W. Tata Kelola Keamanan Informasi pada Institusi Pendidikan Tinggi
Berdasarkan COBIT 5 dan ISO/IEC 27001:2013, Studi Kasus :
Universitas Padjajaran. 2013.
[7].ISO, ISO/IEC 27005:2008 Information technology – Security techniques –
Information Security Risk Management. 2013.
[8].ISO/IEC 27002:2013 Information technology – Security techniques –
Information Security Management systems – Code of Practice for
Information Security Control. ISO. 2013.
[9].Abdul, Hakim, Evaluasi Tata Kelola Teknologi Informasi dengan Framework
COBIT 5 di Kmenterian ESDM.. Issue 2, October 2014, s.l. : Journal Of
Information Systems, Vol. 10.
[10].Priyandoyo, Vulnerability Assesment untuk.. s.l. : Jurnal Sistem Informasi,
2006.
[11].Ritzkal. Implementasi Iso/Iec 27001:2013 Untuk Sistem Manajemen
Keamanan Informasi (Smki) Pada Fakultas Teknik Uika-Bogor. p-ISSN
: 2407 – 1846, Bogor : jurnal.umj.ac.id/index.php/semnastek, 2016.
[12].Lenawati, Mei. Tata Kelola Keamanan Informasi Pada PDAM
Menggunakan ISO/IEC 27001:2013 Dan Cobit 5. No 1 - 2017, s.l. :
Journal Speed – Sentra Penelitian Engineering dan Edukas, 2017, Vol.
Volume 9 .
[13].Munaroh, Lailatul. Pengukuran Risiko Keamanan Aset TI Menggunakan
Metode FMEA dan Standar ISO/IEC27001:2013. No.2 , Universitas
Islam Negeri Sunan Ampel SurabayaSurabaya, Jawa Timur : TMJ
(Technomedia Journal), Edisi Februari2021, Vol. Vol.5.
[14].F. Purwanto, M. Huda, Pengukuran Tingkat Keamanan Informasi Perguruan
Tinggi XYZ Menggunakan Indeks Keamanan Informasi (KAMI)
Berbasis ISO/IEC-27001:2013.. 2019.

41
[15].Rochmadi, Tri. Pengukuran Risiko Dan Evaluasi Keamanan Informasi
Menggunakan Indeks Keamanan Informasi Di Bkd XYZ Berdasarkan
ISO 27001 / SNI. No. 1, s.l. : CyberSecurity dan Forensik Digital, 31
Mei 2021, Vol. Vol. 4. hlm. 38-43.
[16].Jauhary, Hilaluddin, Penerapan ISO27001 dalam Menjaga dan
Meminimalisir Risiko Keamanan.. No.1, S.l. : Media Jurnal
Informatika, Juni 2022, Vol. Vol. 14, .
[17].Febriawan, Romy, Peran Sistem Manajemen Keamanan Informasi (SMKI)
Berstandar ISO 27001 Untuk Meningkatkan Keamanan Informasi
(Sebuah Studi Literatur). S.l. : Sistem informasi universitas trunojoyo
madura, 2020.
[18]Arnason, S.T., Willet, K.D. (2007). How to Achieve 27001 Certification: An
Example of Applied Compliance Management Vol 28
[19]Kingsley, (2017). ISO 27001 Implementation Checklist Information Security
Management System (ISMS)
[20]Park, S., Lee, K. (2014). Advanced Approach to Information Security
Management System Model for Industrial Control System Vol. 2014
[21]Sarno, R., Iffano, I. (2009). Sistem Manajemen Keamanan Informasi Berbasis
ISO 27001. Surabaya: ITS Press
[24]Surendro, K. (2009). Implementasi Tata Kelola Teknologi Informasi.
Informatika: Bandung.
[25] V. Firlia, “Audit Human Resources Security, Access Control, Physical and
Environmental Security Pada Sistem Informasi Pt. Taspen (Persero)
Kcu Bandung Menggunakan Iso 27001 Audit df Human Resources
Security, Access Control, And Physical and Environmental S,” 2013

42
 LAMPIRAN

Lampiran 1: Surat izin wawancara dan pengambilan data diKantor XYZ

Bengkalis

43
Lampiran 2: Dokumentasi Wawancara

44
Lampiran 4: Daftar Kuesioner Berdasarkan Standar ISO 27001

45
46
47
48
49
50
51
52
53
54
55