Skripsi Acc
Skripsi Acc
1
informasi yang belum terintegrasi dengan baik, dan kurangnya kesadaran pegawai
mengenai pentingnya menjaga keamanan informasi [11].
Hal ini dapat mencakup kebijakan yang tidak memadai atau tidak mengikuti
praktik terbaik dalam pengelolaan keamanan informasi, serta prosedur yang
belum terdefinisi secara jelas untuk mengatasi risiko keamanan informasi.
Untuk mengatasi permasalahan tersebut, diperlukan penelitian untuk
mengukur tingkat keamanan informasi di Kantor XYZ berdasarkan standar ISO
27001. Penelitian tersebut dapat melibatkan analisis mendalam terhadap kebijakan
dan prosedur yang ada, evaluasi sistem keamanan informasi yang sedang
digunakan, serta survei untuk mengukur tingkat kesadaran pegawai tentang
keamanan informasi.
Pada penelitian tersebut keamanan informasi yang diukur pada Kantor XYZ
berdasarkan standar ISO 27001 yaitu:
Kebijakan keamanan informasi (klausul 5), manajemen aset (klausul 7), keamanan
Fisik dan Lingkungan (klausul 9), komunikasi dan Manajemen Operasi (klausul
10), akses Control (klausul 11), pengadaan/Akuisisi, Pengembangan, dan
Pemeliharaan Sistem Informasi (klausul 12), manajemen kejadian keamanan
informasi (klausul 13).
Mengingat pentingnya keamanan informasi, untuk itu perlu dilakukan
pengukuran tingkat keamanan informasi di Kantor XYZ untuk mengetahui
bagaimana kebijakan keamanan informasi yang diterapkan oleh pengelola di
Kantor XYZ, seperti apa bentuk pengelolaan aset, keamanan fisik dan
lingkungannya, apakah sudah dikendalikan, bagaimana bentuk manajemen
komunikasi dan operasi, pengendalian akses, akuisisi pengembangan dan
pemeliharaan sistem informasi serta manajemen kejadian keamanan informasinya.
Sasaran pengendalian - pengendalian tersebut terdapat dalam standar
manajemen keamanan informasi yaitu SNI/ISO 27001. SNI/ISO 27001 dipilih
karena standar ini sangat fleksibel dikembangkan karena sangat tergantung dari
kebutuhan suatu lembaga atau organisasi.
Hasil pengukuran akan memberikan pemahaman yang lebih baik tentang
sejauh mana sistem keamanan informasi di Kantor XYZ memenuhi standar ISO
2
27001 dan di mana terdapat kelemahan, mengukur kinerja, dan meningkatkan
keamanan informasi mereka secara berkelanjutan. Rekomendasi yang diberikan
setelah penelitian tersebut akan menjadi dasar untuk meningkatkan keamanan
informasi di Kantor XYZ. Rekomendasi tersebut mencakup perbaikan kebijakan
dan prosedur, integrasi sistem keamanan informasi yang lebih baik, serta upaya
untuk meningkatkan kesadaran pegawai tentang pentingnya menjaga keamanan
informasi.
1.2 Permasalahan
Kantor XYZ merupakan lembaga pemerintah yang memiliki tugas dan fungsi
dalam hal pendataan dan pencatatan kependudukan serta penerbitan dokumen
kependudukan. Kantor XYZ juga mengelola informasi yang sangat sensitif dan
rahasia seperti data kependudukan, data keluarga, dan data kebangsaan. Oleh
karena itu, keamanan informasi di Kantor XYZ harus dijaga dengan baik untuk
mencegah kerugian dan kebocoran informasi yang tidak diinginkan.
Maka dari itu, perlu dilakukan penelitian untuk mengukur tingkat keamanan
informasi di Kantor XYZ berdasarkan standar ISO 27001, sehingga dapat
diketahui sejauh mana keamanan informasi di Kantor XYZ memenuhi standar
tersebut dan di mana terdapat kelemahan yang perlu diperbaiki. Hasil pengukuran
tersebut dapat menjadi dasar untuk memberikan rekomendasi dalam
meningkatkan keamanan informasi di Kantor XYZ.
3
1.3 Tujuan
Tujuan penelitian ini yaitu:
1. Mengidentifikasi keamanan informasi yang dimiliki oleh Kantor XYZ.
2. Menilai dan mengukur keamanan informasi serta kelemahan dalam keamanan
informasi yang ada berdasarkan standar ISO 27001 untuk mengetahui sejauh
mana keamanan informasi di Kantor XYZ.
1.4 Manfaat
Adapun manfaat dalam penelitian ini yaitu sebagai berikut:
1. Menyediakan pengukuran tingkat keamanan informasi di Kantor XYZ
berdasarkan standar ISO 27001 sehingga dapat diketahui sejauh mana
keamanan informasi di Kantor XYZ memenuhi standar tersebut dan di mana
terdapat kelemahan yang perlu diperbaiki.
2. Memberikan rekomendasi untuk meningkatkan keamanan informasi di
Kantor XYZ.
3. Menambah pengetahuan dan pemahaman mengenai standar ISO 27001 dan
keamanan informasi di Kantor XYZ.
4
pengukuran tingkat keamanan informasi berbasis ISO
27001.
Bab V Penutup
Pada Bab V berisikan kesimpulan, hasil, dan saran
penelitian.
5
BAB II KAJIAN PUSTAKA
6
Untuk mengatasi permasalahan ini, diperlukan penelitian untuk mengukur
tingkat keamanan informasi di Kantor XYZ berdasarkan standar ISO 27001.
Penelitian tersebut dapat melibatkan analisis mendalam terhadap kebijakan dan
prosedur yang ada, evaluasi sistem keamanan informasi yang sedang digunakan,
serta survei untuk mengukur tingkat kesadaran pegawai tentang keamanan
informasi.
Hasil pengukuran akan memberikan pemahaman yang lebih baik tentang
sejauh mana sistem keamanan informasi di Kantor XYZ memenuhi standar ISO
27001 dan di mana terdapat kelemahan yang perlu diperbaiki. Rekomendasi yang
diberikan setelah penelitian tersebut akan menjadi dasar untuk meningkatkan
keamanan informasi di Kantor XYZ. Rekomendasi tersebut harus mencakup
perbaikan kebijakan dan prosedur, integrasi sistem keamanan informasi yang
lebih baik, serta upaya untuk meningkatkan kesadaran pegawai tentang
pentingnya menjaga keamanan informasi.
7
b. Personal Security, yaitu keamanan informasi yang bertujuan untuk
mengamankan personil yang berhubungan dengan ruang lingkup dari
physical security. Tujuannya untuk mengurangi resiko penyalahgunan
fasilitas, kesalahan stakeholder, atau kecurangan dan memastikan bahwa
pengguna sadar akan adanya ancaman yang dapat terjadi pada keamanan
informasi perusahaan [20] (IBISA, 2011).
c. Operation security, yaitu keamanan informasi yang bertujuan untuk
membahas strategi organisasi untuk mengamankan kemampuan organisasi
agar melakukan operasi dan kegiatan bisnis tanpa gangguan.
d. Network security, yaitu keamanan informasi untuk mengamankan data
organisasi, peralatan jaringan, jaringannya serta isinya, dan membahas
kemampuan untuk memakai jaringan dalam memenuhi fungsi komunikasi
organisasi
e. Communications security, yaitu keamanan informasi yang membahas
mengamankan teknologi komunikasi, media komunikasi serta apa yang ada
di dalamnya, dan membahas kemampuan untuk menggunakan media dan
teknologi informasi untuk tujuan organisasi.
Dari penjelasan nilai informasi di atas, penulis mengambil kesimpulan bahwa
pengertian keamanan informasi yaitu untuk melindungi segala aspek bentuk
informasi yang dimiliki oleh perusahaan atau organisasi dari berbagai ancaman-
ancaman yang muncul dan dapat mengganggu kinerja sebuah organisasi atau
perusahaan dari pihak-pihak yang tidak berwenang di dalamnya.
8
dirasakan akibatnya baik pada saat itu, atau di masa yang akan datang,
mendukung kegiatan operasional, manajerial, dan stategis organisasi dengan
memanfaatkan berbagai sumber daya yang ada dan tersedia bagi fungsi tersebut
untuk mencapai tujuan [21]
Sistem informasi merupakan suatu komponen yang terdiri dari manusia,
teknologi informasi dan prosedur kerja yang memproses, menyimpan,
menganalisis, dan menyebarkan informasi untuk mencapai suatu tujuan [22].
Menurut Kadir, Sistem informasi adalah kumpulan perangkat keras dan perangkat
lunak yang dirancang untuk mentransformasikan data ke dalam bentuk informasi
yang berguna.
Sistem informasi merupakan cara yang terorganisir untuk mengumpulkan
masukan dan memproses data dan menyimpannya, mengelola, mengontrol, dan
melaporkannya sehingga dapat mendukung suatu perusahaan atau organisasi
untuk mencapai suatu tujuan tertentu [23]. Subhan berpendapat, sistem informasi
adalah kumpulan perangkat lunak komputer dan perangkat manusia yang akan
mengolah data menggunakan perangkat keras memegang peranan yang penting
dalam sistem informasi.
Sistem informasi adalah gabungan dari teknologi informasi dan aktivitas
orang yang menggunakan teknologi untuk mendukung operasi dan manajemen di
dalamnya. Jika dilihat, sistem informasi yang saling berinteraksi dengan proses
bisnis dan melihat pada pengertian organisasi sendiri, sistem informasi adalah
kumpulan informasi pada sebuah basis data yang menggunakan model dan media
teknologi informasi yang berguna dalam pengambilan keputusan bisnis pada
sebuah organisasi [24].
9
a. Privacy, yaitu informasi pada organisasi hanya untuk pemilik data menjamin
keamanan data dan tidak diakses oleh orang lain.
b. Identification, yaitu menjamin informasi memiliki karakteristik identifikasi,
dan jika memungkinkan mengenali pengguna informasi tersebut.
c. Authentication, yaitu pada saat sistem membuktikan bahwa pemakai informasi
emmang benar pemilik yang memiliki identitas yang benar.
d. Authorization, yaitu menyediakan jaminan pemakai (manusia ataupun
komputer) sudah mendapatkan autorisasi untuk mengakses, mengubah, atau
menghapus isi informasi.
e. Accountability, yaitu jika sistem menampilkan data kegiatan terhadap
informasi yang dilakukan dan siapa saja yang melakukan kegiatan tersebut.
Keamanan informasi dalam pandangan tradisional meliputi tiga pilar
keamanan informasi, yaitu kerahasiaan (confidentiality), integritas (integrity), dan
ketersediaan (availability). Biasa dikenal dengan CIA keamanan informasi.
Kerahasiaan, integritas, dan ketersediaan adalah tujuan keamanan, dimana maksud
dari kerahasiaan untuk memastikan bahwa personil yang berwenang yang dapat
mengakses informasi, dan memastikan bahwa informasi tidak diberikan kepada
orang atau badan yang tidak berkepentingan dan berwenang.
Integritas adalah untuk menjaga terhadap modifikasi yang tidak sah atau
perusakan informasi, dengan kata lain informasi tetap dalam format pencipta
informasi yang dimaksud. Ketersediaan memastikan informasi siap digunakan.
Hilangnya ketersediaan adalah gangguan akses atau penggunaan informasi atau
teknologi informasi.
2.2.4 Pengukuran
Pengukuran adalah proses atau kegiatan untuk memperoleh informasi
kuantitatif atau kualitatif tentang suatu objek atau fenomena dengan menggunakan
alat, metode, atau teknik yang sesuai. Tujuan utama pengukuran adalah untuk
mendapatkan data yang akurat, obyektif, dan terukur yang dapat digunakan untuk
menganalisis, membandingkan, atau mengambil keputusan. Kata pengukuran
mengacu pada kata evaluasi. Evaluasi ini digunakan untuk menganalisa kelayakan
10
atau efektifitas bentuk pengamanan yang ada. Evaluasi dilakukan terhadap
berbagai area yang menjadi target penerapan keamanan informasi dengan ruang
lingkup pembahasan yang memenuhi aspek keamanan. [5]
Keamanan informasi mengacu pada proses dan metode bagaimana
melindungi informasi terkait data privasi yang ada dari segala bentuk kejahatan
siber. Prinsip utama keamanan informasi terdiri dari confidentiality (kerahasiaan),
integrity (integritas) dan availability (ketersediaan) atau sering disingkat CIA.
Dalam keamanan informasi tersebut berusaha untuk menghindari dari berbagai
serangan atau ancaman yang mungkin bisa terjadi dalam sistem elektronik. [6]
Seiring dengan perkembangan teknologi, penerapan tata kelola teknologi
Informasi (TI) yang baik saat ini menjadi kebutuhan dan tuntutan setiap
organisasi. Penyelenggaraan tata kelola teknologi, faktor keamanan informasi
merupakan aspek yang sangat penting untuk diperhatikan mengingat kinerja tata
kelola suatu organisasi akan terganggu jika informasi sebagai salah satu obyek
utama mengalami masalah keamanan informasi yang menyangkut kerahasiaan,
keutuhan dan ketersediaan informasi. [7]
11
Dalam penelitian ini peneliti menggunakan 7 klausul untuk mengukur tingkat
keamanan informasi di Kantor XYZ yaitu:
1. Kebijakan Keamanan Informasi (klausul 5): Klausul ini mengacu pada
pentingnya memiliki kebijakan keamanan informasi yang ditetapkan dan
dikomunikasikan di seluruh organisasi. Kebijakan ini menjadi pedoman
dalam mengelola dan melindungi informasi yang sensitif. Tujuannya adalah
untuk memastikan bahwa kebijakan keamanan informasi disusun, dipelihara,
dan diterapkan secara efektif di semua tingkatan organisasi.
2. Manajemen Asset (klausul 7): Klausul ini berkaitan dengan identifikasi,
kepemilikan, dan perlindungan aset informasi yang penting bagi organisasi.
Tujuannya adalah untuk melindungi aset informasi yang berharga, termasuk
data, infrastruktur, perangkat keras, perangkat lunak, dan aset lainnya yang
relevan, dengan mengidentifikasi dan mengelola risiko terhadap aset tersebut.
3. Keamanan Fisik dan Lingkungan (klausul 9): Klausul ini mengharuskan
organisasi untuk melindungi lingkungan fisik di mana aset informasi
disimpan dan diproses. Ini melibatkan tindakan untuk mengamankan akses
fisik ke fasilitas, melindungi peralatan, mengendalikan lingkungan
operasional, dan mengatasi risiko yang terkait dengan bencana alam atau
peristiwa lain yang dapat mempengaruhi keamanan fisik.
4. Komunikasi dan Manajemen Operasi (klausul 10): Klausul ini mencakup
pengelolaan operasional yang terkait dengan keamanan informasi. Ini
melibatkan pengaturan dan implementasi prosedur yang sesuai untuk
memastikan bahwa operasi sehari-hari organisasi berjalan dengan aman dan
keamanan informasi terjaga. Ini termasuk pemantauan, pengendalian,
pemeliharaan, dan pelaporan keamanan informasi yang relevan.
5. Akses Control (klausul 11): Klausul ini menekankan perlunya mengelola
akses terhadap aset informasi secara terkendali. Tujuannya adalah untuk
memastikan bahwa akses ke sistem, jaringan, data, dan sumber daya
informasi lainnya hanya diberikan kepada individu yang sah dan sesuai
dengan kebutuhan bisnis. Ini melibatkan penerapan kebijakan, prosedur, dan
12
kontrol akses yang tepat, termasuk autentikasi, otorisasi, dan manajemen hak
akses.
6. Pengadaan/Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi
(klausul 14): Klausul ini berkaitan dengan siklus hidup sistem informasi,
termasuk pengadaan, pengembangan, dan pemeliharaannya. Tujuannya
adalah untuk memastikan bahwa aspek keamanan informasi diperhatikan
sepanjang siklus hidup sistem informasi. Ini melibatkan pengenalan kontrol
keamanan sejak awal pengembangan, pemilihan vendor yang aman,
pengujian keamanan, dan pemeliharaan rutin untuk menjaga integritas dan
keandalan sistem.
7. Pengelolaan Insiden Keamanan Informasi (klausul 16): Klausul ini
memfokuskan pada kemampuan organisasi dalam mengelola dan merespons
insiden keamanan informasi. Tujuannya adalah untuk memastikan bahwa
organisasi memiliki prosedur dan mekanisme yang efektif untuk mendeteksi,
melaporkan, mengevaluasi, dan merespons insiden keamanan. Ini melibatkan
pengembangan rencana tanggap darurat, pemulihan bencana, dan
penyelidikan serta perbaikan pasca-insiden untuk meminimalkan dampak dan
mencegah kejadian serupa di masa depan.
Dengan mengikuti dan menerapkan ketujuh klausul ini, organisasi
dapat membangun dan memelihara sistem pengelolaan keamanan informasi
yang efektif berdasarkan standar ISO 27001.
13
Penelitian yang dilaksanakan oleh Mei Lenawati dengan judul penelitian Tata
Kelola Keamanan Informasi Pada PDAM Menggunakan ISO/IEC 27001:2013
Dan Cobit 5. Penelitian ini bertujuan untuk membuat tata kelola keamanan
informasi sesuai dengan persyaratan SMKI ISO 27001:2013 dan kerangka kerja
keamanan informasi COBIT 5. Penelitian menggunakan metode mixed method
dengan strategi concurrent embedded, yaitu menggabungkan metode penelitian
kualitatif dan kuantitatif. Penelitian ini menghasilkan beberapa keluaran yaitu
model referensi proses; rekomendasi proses bisnis dan struktur organisasi; dan
langkah penerapan tata kelolanya. Kesimpulan yang diambil dari penelitian ini
yaitu perbaikan level tingkat kematanngan pada bagian langganan, dan
rekomondasi tata kelola pada variabel yang bernilai ekstrim [13].
Penelitian yang dilaksanakan oleh Lailatul Munaroh dengan judul penelitian
Pengukuran Risiko Keamanan Aset TI Menggunakan Metode FMEA dan Standar
ISO/IEC27001:2013. Hasil penelitian menunjukan bahwa terdapat terdapat 22
cause failure yang akan menyebabkan terjadinya risiko pada keamanan aset TI di
Bidang Perdagangan Dalam Negeri (PDN) Dinas Perdagangan dan Perindustrian
Pemerintah Provinsi XYZ. Terdapat 11 cause failure yang memiliki level tinggi
dengan rentan nilai 400 –175 [14].
Penelitian yang dilakukan oleh Febryan Hari Purwanto dan Miftahul Huda,
2019 yang berjudul “Pengukuran Tingkat Keamanan Informasi Perguruan Tinggi
XYZ Menggunakan Indeks Keamanan Informasi (KAMI) Berbasis ISO/IEC-
27001:2013. Berdasarkan hasil penilaian tingkat keamanan informasi di
Perguruan Tinggi XYZ diperoleh hasil bahwa Sistem Elektronik di Perguruan
Tinggi XYZ masuk pada kategori Sistem Elektronik Rendah dan hasil penilaian
pada ke 5 area keamanan informasi pada Perguruan Tinggi XYZ seluruhnya
berada pada Tingkat kematangan I+ atau pada Tingkat Kondisi Awal dengan
tingkat penerapan standar ISO/IEC 27001:2013 berada pada nilai 179 atau pada
status Perlu Perbaikan. [15]
Penelitian yang dilakukan oleh Tri Rochmadi dan Ike Yunia Pasa, 2021 yang
berjudul “Pengukuran Risiko dan Evaluasi Keamanan Informasi Menggunakan
Indeks Keamanan Informasi DI BKD XYZ Berdasarkan ISO 27001/SNI. Dari
14
hasil penelitian yang dilakukan, bahwasanya BKD XYZ masih berada pada
tingkat tidak layak untuk benar-benar bisa menerapkan keamanan informasi yang
ideal. Sehingga dibutuhkan tindak lanjut sesuai rekomendasi perbaikan, agar BKD
XYZ bisa mencapai kesiapan sertifikasi ISO 27001/SNI [16].
Penelitian yang dilakukan oleh Hilaluddin Jauhary, Geta Eldisa Pratiwi, Ariq
Zamzami Salim dan Fitroh, 2022 yang berjudul “Penerapan ISO27001 dalam
Menjaga dan Meminimalisir Risiko Keamanan Informasi : Literatur Review”.
Prosedur penelitian berfokus pada dimensi ISO27001, Data Security, ISMS, Risk
Management. Studi yang dipilih dari database utama yakni Scopus. Metode atau
tahapan yang digunakan pada jurnal ini yaitu menggunakan Publish or Perish 7,
Mendeley, Zotero, VOSViewer dan Microsoft Excel. Proses seleksi dilakukan
menggunakan Microsoft Excel dengan melibatkan pencarian sumber literatur dan
penyaringan dan penyaringan studi berdasarkan judul, abstrak, dan bacaan teks
lengkap [17].
Penelitian yang dilakukan oleh Romy Febriawan, 2020 yang berjudul “Peran
Sistem Manajemen Keamanan Informasi (SMKI) Berstandar ISO 27001 Untuk
Meningkatkan Keamanan Informasi (Sebuah Studi Literatur)”. Selama studi
literatur dilakukan, penerapan SMKI menggunakan tata kelola keamanan sistem
informasi berdasarkan kerangka kerja ISO/IEC 27001. Dari kerangka tersebut
kemudian dilakukan evaluasi terhadap objek kontrol yang dimiliki ISO/IEC
27001. Metode penelitian ini menggunakan Sistematika review. Hasil dari review
paper ini diharapkan dapat dijadikan refensi untuk implementasi sistem
manajemen keamanan informasi (SMKI) oleh pemerintah maupun perusahaan
khususnya di Indonesia kedepannya [18].
15
BAB III DESKRIPSI SISTEM
16
efektif. Standar ini mencakup aspek seperti analisis risiko, pengelolaan
kebijakan keamanan, implementasi pengendalian, pemantauan, serta
peninjauan dan perbaikan berkelanjutan.
5. Maturity Level: Evaluasi maturity level dilakukan untuk
mengetahui sejauh mana tingkat kedewasaan sistem keamanan informasi
di Kantor XYZ. Maturity level mengukur kemampuan sistem dalam
menghadapi ancaman keamanan, kesiapan dalam mengelola insiden
keamanan, dan kesesuaian dengan standar keamanan yang berlaku.
Evaluasi ini membantu mengidentifikasi area-area yang perlu
ditingkatkan untuk mencapai tingkat keamanan informasi yang lebih
tinggi.
6. Hasil Rekomendasi: Setelah survei, identifikasi tingkat keamanan
informasi, dan penilaian maturity level, langkah selanjutnya adalah
menghasilkan rekomendasi perbaikan. Rekomendasi ini berdasarkan
temuan dari survei dan analisis yang telah dilakukan. Rekomendasi dapat
mencakup peningkatan kebijakan keamanan informasi, penerapan kontrol
teknis tambahan, peningkatan kesadaran keamanan informasi melalui
pelatihan, dan pengembangan prosedur yang lebih baik. Rekomendasi
tersebut ditujukan untuk meningkatkan keamanan informasi secara
keseluruhan di Kantor XYZ. Rekomendasi ini berisi langkah-langkah dan
tindakan perbaikan yang harus diambil untuk mengatasi celah keamanan,
meningkatkan kepatuhan terhadap standar ISO 27001, dan meningkatkan
maturity level sistem keamanan informasi.
7. Finish: Tahap "finish" mencakup implementasi rekomendasi yang
dihasilkan. Ini melibatkan penerapan perubahan kebijakan, peningkatan
kontrol keamanan, pengembangan prosedur baru, pelatihan karyawan
terkait keamanan informasi, serta penerapan teknologi dan alat keamanan
yang diperlukan. Setelah implementasi selesai, dilakukan pengujian dan
evaluasi ulang untuk memastikan bahwa sistem keamanan informasi
telah mencapai tingkat keamanan yang diharapkan.
17
Dengan mengikuti langkah-langkah ini, solusi keamanan informasi untuk
Kantor XYZ dapat meningkatkan perlindungan terhadap data kependudukan,
mematuhi standar ISO 27001, mencapai tingkat maturity level yang lebih
tinggi, serta meningkatkan kemampuan menghadapi ancaman keamanan yang
ada.
Maturity level
Hasil (rekomendasi)
Finish
18
dengan menganalisis data survei dan mengevaluasi kepatuhan terhadap
praktik keamanan informasi yang relevan. Identifikasi ini membantu untuk
mengukur sejauh mana organisasi menjaga kerahasiaan, integritas, dan
ketersediaan informasi.
Pada penelitian ini keamanan informasi yang diukur pada Kantor XYZ
yaitu:
a. Kebijakan keamanan informasi (klausul 5) terdiri dari 10 pertanyaan
b. Manajemen aset (klausul 7) terdiri dari 11 pertanyaan
c. Keamanan Fisik dan Lingkungan (klausul 9) terdiri dari 24 pertanyaan
d. Komunikasi dan Manajemen Operasi (klausul 10) terdiri dari 17
pertanyaan.
e. Akses Control (klausul 11) terdiri dari 8 pertanyaan.
f. Pengadaan/Akuisisi, Pengembangan, dan Pemeliharaan Sistem
Informasi. (klausul 12) terdiri dari 15 pertanyaan.
g. Manajemen kejadian keamanan informasi (klausul 13) terdiri dari 12
pertanyaan.
4. Maturity Level
Tingkat kematangan (maturity level) mengacu pada tingkat kesiapan dan
kemampuan Kantor XYZ dalam mengelola keamanan informasi. Dalam
konteks ini, maturity level digunakan untuk menilai sejauh mana organisasi
19
telah mengembangkan dan menerapkan praktik keamanan informasi yang
efektif. Biasanya, maturity level diukur dengan menggunakan kerangka kerja
yang menggambarkan tahap perkembangan dari awal (level 1) hingga tingkat
kematangan yang tinggi (level 5) [10].
20
Untuk mengetahui tingkat kematangan (Maturity Level) Klausul
menggunakan rumus maturity level:
Index Maturity = %
21
BAB IV EKSPERIMEN DAN HASIL
4.1 Eksperimen
ISO 27001 menyediakan panduan untuk menerapkan ISMS, serta untuk
memperoleh sertifikat internasional pihak ketiga untuk membuktikan bahwa
kontrol keamanan yang ada dan beroperasi sesuai dengan persyaratan standar.
ISO 27001 menggambarkan ISMS sebagai sistem manajemen secara
keseluruhan dari pendekatan risiko bisnis yang bertujuan untuk menetapkan,
menerapkan, mengoperasikan, memantau, dan memelihara ISMS.
ISMS harus membahas semua aspek struktur organisasi, tanggung
jawab, kegiatan perencanaan, kebijakan, proses, prosedur, praktek dan
sumber daya. ISO 27001 menyediakan model umum untuk melaksanakan dan
mengoperasikan ISMS, dan pemantauan serta meningkatkan operasi SMKI.
Tujuan dari ISO adalah untuk menyelaraskan ISO 27001 dengan
standar sistem manajemen lainnya seperti ISO/IEC 9001: 2000, yang
membahas sistem manajemen mutu, dan ISO/IEC 14001: 2004, yang
membahas sistem manajemen lingkungan. Tujuan lainnya dari ISO adalah
untuk memberikan implementasi yang konsisten dan terpadu dalam operasi
SMKI dengan sistem manajemen lainnya dalam organisasi.
ISO/IEC 27001 menyediakan hal-hal yang diperlukan dalam
merencanakan SMKI. Jika suatu SMKI baik, maka akan membantu
memberikan pengamanan dan perlindungan terhadap ancaman yang dapat
mengganggu aktifitas bisnis, dan mengamankan proses bisnis yang penting
agar terlindungi dari risiko kerugian atau kegagalan pada keamanan sistem
informasi. ISO/IEC 27001 berfokus pada penerapan Sistem Manajemen
Keamanan Informasi (SMKI) di dalam suatu organisasi, karena di dalamya
terdapat persyaratan-persyaratan dalam membangun SMKI di standar
ISO/IEC 27001 agar sesuai dengan standar ISO/IEC 27001. ISO/IEC 27001
memiliki 14 klausul, kontrol keamanan, 35 objektif kontrol dan 144 kontrol.
22
Berikut data hasil penelitian yang terdiri dari uji keamanan dari 7
klausul yang digunakan.
1. Kebijakan keamanan informasi (klausul 5)
Klausul 5, berfokus pada kepemimpinan dari ISO 27001 yang
menekankan pentingnya keamanan informasi yang didukung, baik secara
kasat mata maupun material, oleh manajemen senior. Klausul ini
mengidentifikasi aspek-aspek spesifik dari sistem manajemen di mana
manajemen puncak diharapkan dapat menunjukkan kepemimpinan dan
komitmen. Dari hasil wawancara yang dilakukan, diperoleh data kebijakan
keamanan informasi sebagai berikut:
Tabel 4.1 Kebijakan Keamananan Informasi
Question Answer Score Maturity
23
pengembangan dari
sebelumnya (guna memenuhi
kebutuhan dan efektif dalam
pelaksanaan)?
Apakah kebijakan yang Iya 3 Defined
diterapkan sudah sesuai Process
dengan aturan yang berlaku?
Siapakah yang bertanggung Semua pegawai 4 Defined
jawab terhadap kebijakan Process
keamanan informasi?
Score Maturity 3,2
Index Defined Process
Sumber : Data Penelitian (2023)
24
Tabel 4.2 Manajemen Aset
Item Pertanyaan Jawaban Skor Maturity
Apakah semua inventaris aset Sudah dan harus 3 Defined
(informasi, perangkat lunak, memenuhi kriteria Process
fisik dan layanan) sudah yang ditetapkan
diidentifikasi dan dicatat?
Apakah inventaris aset Dijaga dan 3 Defined
tersebut dijaga dan dipelihara? dipelihara Process
Apakah sudah diterapkan Sudah 3 Defined
kebijakan pengelolaan aset? Process
Apakah kebijakan pengelolaan Sudah 3 Defined
inventaris aset tersebut sudah Process
didokumentasikan?
Apakah ada pegawai / Ada 3 Defined
petugas yang menjaga Process
(mengontrol dan memelihara)
keamanan informasi inventaris
aset?
Siapa yang bertanggung Bendahara barang 3 Defined
jawab mengontrol dan Process
memelihara terhadap
pemrosesan informasi
tersebut?
Apakah ada jangka waktu Ada dan biasnaya 3 Defined
pengecekan inventaris aset dilakukan setiap Process
secara berkala? tahun
Apakah sudah diidentifikasi Sudah 3 Defined
nilai dan tingkat kepentingan Process
aset?
Apakah terdapat aturan dalam Iya 3 Defined
menggunakan informasi yang Process
berhubungan dengan fasilitas
pemrosesan informasi (misal
hardware server)?
Apakah aturan dalam Sudah 3 Defined
menggunakan aset informasi Process
tersebut sudah
diimplementasikan?
Adakah dokumentasi Ada 3 Defined
mengenai informasi Process
pengelolaan aset?
Apakah informasi aset sudah Sudah 3 Defined
diklasifikasikan dengan Process
tingkat perlindungan yang
tepat?
Apakah ada prosedur yang Ada 3 Defined
25
baik berupa pemberian tanda Process
pelabelan dan penanganan
informasi?
Apakah prosedur pelabelan Iya 3 Defined
dan penanganan informasi Process
harus sesuai dengan skema
klasifikasi informasi?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)
26
Berikut hasil wawancara klausul 9:
Tabel 4.3 Keamanan fisik dan lingkungan
Question Answer Score Maturity
Level
Apakah terdapat petugas yang Ada 3 Defined
berjaga dipintu masuk , guna Process
meminimalisir resiko pencurian
atau kesalahan dalam
penggunaan fasilitas?
Apakah terdapat aturan tertentu Ada 3 Defined
ketika memasuki ruang Process
pemrosesan informasi?
Apakah ada kontrol akses fisik Ada 3 Defined
atau ruang /wilayah sebagai Process
tempat menerima tamu?
Pernahkah meninggalkan Pernah 1 Initial/
komputer dalam keadaan Adhoc
menyala dan ada pegawai lain di
dalamnya?
Adakah ruangan khusus atau Ada 3 Defined
pembatas seperti dinding bagi Process
pemegang kendali sistem
informasi?
Apakah tembok terluar Sudah 3 Defined
bangunan sudah terbuat dari Process
konstruksi kuat dan terlindungi
dari akses tanpa izin?
Apakah orang yang Iya hanya 2 Repeatabl
m a s u k / datang diawasi dan dibagian tertentu e But
menulis tanggal datang dibuku Intutive
tamu?
Apakah hak akses ke ruang Iya 3 Defined
informasi dan fasilitas Process
pemrosesan informasi selalu
dikontrol dan dibatasi?
Apakah semua pegawai dan Iya di bagian- 2 Repeatabl
karyawan diwajibkan memakai bagian tertentu e But
tanda pengenal? Intutive
Apakah sudah diidentifikasi Sudah 3 Defined
siapa saja yang berhak masuk Process
ruangan kantor, guna
memastikan keamanan kantor
tetap terjaga?
Apakah sudah ada perlindungan Ada 3 Defined
fisik terhadap kerusakan akibat Process
27
dari ledakan, banjir dan bencana
alam lainnya?
Apakah bahan yang berbahaya Sudah 3 Defined
dan mudah meledak sudah Process
disimpan diwilayah aman?
Apakah penempatan ruang Sudah 3 Defined
sistem informasi / server sudah Process
termasuk dalam area yang aman?
Apakah terdapat kebijakan Iya 3 Defined
mengenai makan, minum dan Process
merokok disekitar fasilitas
pemrosesan informasi?
Apakah kabel listrik sudah Sudah 3 Defined
dipisahkan dari kabel Process
komunikasi untuk mencegah
gangguan (interferensi)?
Apakah komputer server dan Sudah 3 Defined
peralatan informasi sudah Process
dicek dan ditempatkan pada
tempat yang aman?
Apakah tata letak hardware Sudah 3 Defined
sudah ditempatkan dengan tepat Process
guna memastikan tidak ada
peluang akses oleh pihak yang
tidak berwenang?
Apakah peralatan sudah Sudah 3 Defined
dilindungi dari kegagalan daya Process
listrik?
Apakah sudah tersedia Sudah 3 Defined
peralatan pendukung cadangan Process
seperti genset atau UPS?
apakah utilitas pendukung Iya 3 Defined
seperti sumber daya listrik, Process
UPS, genset selalu dicek
keamanannya?
Apakah kabel daya dan Sudah 3 Defined
telekomunikasi kebutuhan data Process
sudah dilindungi dari ancaman
kerusakan atau penyadapan
misal pencurian listrik /
menggunakan pipa pengaman ?
Apakah peralatan hardware Iya 3 Defined
selalu dijaga dan dipelihara Process
dengan baik?
Apakah ada prosedur dalam Iya 3 Defined
menggunakan peralatan / Process
28
hardware?
Apakah waktu pengecekan Sudah 3 Defined
peralatan / hardware sudah Process
sesuai dengan prosedur yang
ada?
Score Maturity 2,83
Index Defined Process
Sumber : Data Penelitian (2023)
29
(Maintenance Server ) sudah
dilakukan secara benar dan
aman?
Apakah setiap data penting Iya 3 Defined
dilakukan back-up? Process
Jika ada perubahan terhadap Iya 3 Defined
fasilitas dan sistem pengolahan Process
informasi, apakah akan
dikomunikasikan kepada pihak
terkait?
Apakah pegawai di ruang Sudah 3 Defined
sistem informasi sudah Process
dipisahkan menurut tugas dan
tanggung jawabnya masing-
masing?
Apakah ada pengawasan dan Ada 3 Defined
pemantauan terhadap sistem Process
untuk mengurangi resiko /
insiden penyalahgunaan atau
modifikasi tanpa ijin?
Apakah perangkat lunak / Iya 3 Defined
software dilakukan uji secara Process
berkala?
Apakah setiap data berupa Iya, terjadwal 3 Defined
informasi dilakukan back-up Process
guna mencegah terjadinya
kehilangan atau kegagalan?
Apakah salinan back-up dan Iya, di 3 data 3 Defined
prosedur pemulihan yang center dan 3 data Process
terdokumentasi disimpan di center itu berbeda
lokasi terpisah? kota
Apakah media back-up Sudah 3 Defined
tersebut sudah diuji secara Process
berkala untuk memastikan bisa
digunakan pada situasi darurat?
Apakah sudah menerapkan Sudah 3 Defined
kontrol jaringan untuk Process
memastikan keamanan sistem
dan data dalam jaringan?
Apakah kontrol tersebut Sudah 3 Defined
dilakukan secara berkala, guna Process
melindungi hak akses tanpa ijin
pada jaringan / serangan?
Sejauh ini, apakah terdapat titik Belum 3 Defined
jaringan yang rawan terhadap Process
serangan?
30
Apakah ada petugas atau Ada 3 Defined
pegawai yang khusus menangani Process
keamanan jaringan?
Apakah sudah terdapat Sudah 3 Defined
mekanisme pengamanan Process
jaringan sebagai upaya
pencegahan serangan ?
Apabila serangan telah terjadi, Ada 3 Defined
adakah mekanisme recovery Process
jaringan yang diterapkan ?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)
31
Apakah sudah di terapkan Sudah 3 Defined Process
prosedur log-on pada
sistem informasi?
Apakah sistem sudah Sudah 3 Defined Process
membatasi kegagalan
percobaan log- on?
Apakah seluruh pengguna Iya 3 Defined Process
(termasuk staf pendukung
teknis) memiliki user ID
yang berbeda ?
Apakah user ID tersebut Iya 3 Defined Process
disyaratkan agar
mempunyai ID yang unik
seperti menggabungkan
huruf dan angka?
Ada 3 Defined Process
Apakah sudah ada sistem
manajemen password dan
sistem pengelola password
untuk memastikan kualitas
password?
Apakah terdapat prosedur Tidak ada 1 Initial /Ad Hoc
batasan jangka waktu
pemakaian akun user?
Sudah adakah prosedur Ada 3 Defined Process
penonaktifan akun user
(seperti password) guna
memastikan tidak adanya
pemakaian ulang?
Apakah sudah Sudah 3 Defined Process
menggunakan sesi time-
out?
Score Maturity 2,75
Index Defined Process
Sumber : Data Penelitian (2023)
Dari hasil pengujian akses control, dapat diketahui bahwa jumlah akses
control memiliki maturity indeks sebesar 2,75 dari 8 pertanyaan yang
diajukan. Sehingga dapat diketahui bahwa akses control Sudah adanya
perencanaan, pengelolaan, dan implementasi sistem berbasis komputer yang
lebih terarah. Perusahaan memiliki kebiasaan terpola untuk merencanakan
32
keamanan yang dilakukan secara berulang namun belum melibatkan
dokumen formal.
33
Untuk memastikan bahwa Iya penting 3 Defined
pemroresan informasi yang Process
disimpan adalah benar, apakah
validasi data keluaran penting?
Apakah sudah ada prosedur Ada 3 Defined
mengenai pengendalian Process
perubahan kontrol?
Apakah pengendalian perubahan Defined
kontrol tersebut sudah Process
diimplementasikan?
Bila sistem operasi di ubah, Iya 3 Defined
apakah sistem informasi Process
ditinjau dan diuji ulang untuk
memastikan tidak ada dampak
yang merugikan?
Apakah penting menjaga Iya 3 Defined
keamanan sistem informasi Process
ketika dilakukan perubahan
sistem operasi?
Apakah perangkat lunak / Iya 3 Defined
software selalu diperbaharui / Process
update?
Apakah ada jangka waktu Ada 3 bulan 3 Defined
perbaharuan terhadap sekali Process
perangkat lunak tersebut?
Apakah setiap kali melakukan Iya 3 Defined
perubahan sudah di kendalikan Process
(untuk memastikan supaya tidak
terjadi hal yang tidak
diinginkan)?
Apakah sudah dilakukan Sudah 3 Defined
pencegahan terhadap peluang Process
kebocoran informasi?
Apakah ada prosedur Ada 3 Defined
pencegahannya? Process
Apakah sudah dilakukan Sudah 3 Defined
pantauan terhadap Process
pengembangan perangkat
lunak?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)
34
pertanyaan yang diajukan. Sehingga dapat diketahui bahwa pengujian
pengadaan/akuisisi, pengembangan, dan pemeliharaan sistem informasi sudah
memiliki proses keamanan yang sudah didokumentasikan dengan baik
kemudian dikomunikasikan melalui pelatihan. Perusahaan juga menyadari
perlunya proses keamanan sehingga adanya aturan yang menunjukkan untuk
perusahaan secara rutin melakukan keamanan.
7. Manajemen kejadian keamanan informasi (klausul 13) terdiri dari 12
pertanyaan.
Keamanan informasi merupakan hal penting dalam penyelenggaraan
layanan. Dengan semakin meningkatnya risiko dan insiden keamanan
informasi dalam penyelenggaraan sistem elektronik, upaya pengamanan
terhadap sistem elektronik yang memiliki data dan informasi strategis dan
penting wajib segera dilakukan. Keamanan informasi yang handal, akan
meningkatkan kepercayaan masyarakat terhadap penyelenggaraan sistem
elektronik untuk pelayanan publik.
Tabel 4.7 Manajemen kejadian keamanan informasi
Question Answer Score Maturity
Level
Apakah setiap kejadian Iya 3 Defined
keamanan sistem / layanan Process
sudah dilaporkan dengan
cepat?
Apakah pelaporan kejadian Sudah 3 Defined
tersebut sudah sesuai dengan Process
mekasnisme yang ditentukan?
Apakah staf/petugas selalu Ada 3 Defined
melaporkan apabila Process
menemukan kelemahan
keamanan sistem?
Apakah setiap pelaporan Iya 3 Defined
mengenai temuan / dugaan Process
kelemahan keamanan tersebut
dicatat?
Apakah sudah dibentuk Ada 3 Defined
manjemen penanggung jawab Process
dalam penanganan
keamanan informasi?
Apakah sudah ada prosedur Ada 3 Defined
35
untuk penanganan kejadian Process
kemanan informasi tersebut
(guna memastikan kecepatan
dan keefektivitasan
penanganan) ?
Apakah pihak manajemen Iya 3 Defined
memberikan respon yang Process
cepat terhadap laporan
keamanan sistem informasi?
Apakah ada petugas yang Ada 3 Defined
memonitor terhadap Process
penanganan keamanan
informasi (untuk memastikan
pennganan tersebut sesuai
prosedur) ?
Apakah sudah dilakukan Ada 3 Defined
pembaharuan terhadap tata Process
cara (mekanisme) penanganan
keamanan informasi?
Apakah perlu adanya tindak Iya 3 Defined
lanjut setelah penanganan Process
insiden?
Apabila terjadi insiden, Iya 3 Defined
apakah perlu dikumpulkan Process
bukti - bukti tersebut?
Apakah bukti- bukti tersebut Iya 3 Defined
didokumentasikan dan Process
dilaporkan kepada pihak
yang berwajib (untuk
dilakukannya tindak lanjut)?
Score Maturity 3
Index Defined Process
Sumber : Data Penelitian (2023)
36
4.2 Hasil Eksprimen
Dari keseluruhan hasil perhitungan klausul yang diperoleh dari proses
wawancara, dapat direkapitulasi hasil uji keamanana pada kantor XYZ sebagai
berikut:
Tabel 3.9 Rekapitulasi Klausul Keamanan pada kantor XYZ
Klausul Score Maturity
1. Kebijakan keamanan informasi (klausul 3,2
5) terdiri dari 10 pertanyaan
2. Manajemen aset (klausul 7) terdiri dari 3
11 pertanyaan
3. Keamanan Fisik dan Lingkungan 2,83
(klausul 9) terdiri dari 24 pertanyaan
4. Komunikasi dan Manajemen Operasi 3
(klausul 10) terdiri dari 17 pertanyaan.
5. Akses Control (klausul 11) terdiri dari 8 2,75
pertanyaan.
6. Pengadaan/Akuisisi, Pengembangan, 3
dan Pemeliharaan Sistem Informasi.
(klausul 14) terdiri dari 15 pertanyaan.
7. Pengelolaan Insiden Keamanan 3
Informasi (klausul 16) terdiri dari 12
pertanyaan.
Rata-Rata 2.96
Sumber : Data Penelitian (2023)
37
Gambar 4.1 Maturity Level Design
Dari keseluruhan hasil pengujian keamanana pada kantor XYZ, diketahui
bahwa yang belum terlaksana yaitu keadaan komputer masih dalam keadaan
menyala dan ada pegawai lain di dalamnya, sehingga memungkinkan bocornya
informasi data keamaan pada kantor XYZ. Selain itu tidak adanya batas waktu
penggunaan user pada sebuah id pengoperasian perangkat lunak, sehingga akan
menjadi kendala ketika user berhalangan hadir atau tidak dapat dihubungi.
Solusi dari permasalahan yang ada dengan membuat standar operasional
prosedur terhadap personalia yang bekerja di bagian data, terutama dalam jam
operasional, keamanan data dan saat meninggalkan ruang kerja untuk jangka
waktu tertentu, serta memperketat penjagaan di luar ruang kerja.
38
BAB V PENUTUP
5.1 Kesimpulan
Dari hasil penyajian dan analisa data, maka dapat disimpulkan hasil di dalam
penelitian ini sebagai berikut:
Peneliti mengambil data pada kantor XYZ dengan malakukan beberapa
tahapan untuk pengambilan data yang pertama peneliti melakukan wawancara
menggunakan kusioner yang di kutip dari standar ISO 27001 dengan mengajukan
beberapa pertanyaan terkait keamanan informasi kepada responden dan
melakukan penilaian dari setiap kusioner yang di berikan jawaban sesuai dengan
aturan standar ISO 27001. Setalah dilakukan penilaian dan perhitungan di
dapatkan hasil untuk pengukuran tingkat Keamanan informasi yang dimiliki oleh
Kantor XYZ dikateorikan Defined Process dengan persentase 2,96 yang berarti
bahwa Sudah memiliki proses keamanan yang sudah didokumentasikan dengan
baik kemudian dikomunikasikan melalui pelatihan. Perusahaan juga menyadari
perlunya proses keamanan sehingga adanya aturan yang menunjukkan untuk
perusahaan secara rutin melakukan keamanan.
Kelemahan dalam keamanan informasi yang ada berdasarkan standar ISO
27001 yaitu ancaman keamaan ketika komputer masih dalam keadaan menyala
dan masih terdapat orang di dalamnya serta tidak ada batasan waktu penggunaan
sebuah id atau user pada suatu program yang ada di kantor XYZ. Dari hasil
penelitian yang telah dilakukan oleh penulis, maka diberikan suatu rekomendasi
untuk Implementasikan kebijakan keamanan yang ketat terkait dengan
penggunaan komputer saat masih dalam keadaan menyala dan ada orang di
dalamnya. Seperti mengatur kebijakan untuk mengunci komputer ketika pengguna
meninggalkan meja mereka. Menerapkan kebijakan manajemen identitas dan
akses yang ketat. Seperti Menetapkan batasan waktu penggunaan ID atau user
pada program-program kritis di kantor XYZ. Misalnya, setelah jam kerja berakhir,
akses terhadap program-program tertentu dapat dibatasi atau dihapus.
39
5.2 Saran
Berdasarkan hasil penelitian pada tugas skripsi ini, maka saran untuk
penelitian selanjutnya adalah Melakukan monitoring dan evaluasi tata kelola
keamanan informasi untuk ditingkatkan terus menerus serta adanya proses
perbaikan secara berkesinambungan untuk mencapai maturity level yang lebih
tinggi (level 4 atau level yang paling tinggi yaitu level 5). Evaluasi Tata kelola
Keamanan Informasi ini menggunakan framework ISO 27001:2013 dan penilaian
maturity level dengan menggunakan model SSE-CMM, maka untuk
pengembangan penelitian selanjutnya disarankan dapat menggunakan penilaian
maturity level dengan model lain, yaitu Capability Maturity Model for Integration
(CMMI) COBIT sebagai bahan perbandingan.
40
DAFTAR PUSTAKA
41
[15].Rochmadi, Tri. Pengukuran Risiko Dan Evaluasi Keamanan Informasi
Menggunakan Indeks Keamanan Informasi Di Bkd XYZ Berdasarkan
ISO 27001 / SNI. No. 1, s.l. : CyberSecurity dan Forensik Digital, 31
Mei 2021, Vol. Vol. 4. hlm. 38-43.
[16].Jauhary, Hilaluddin, Penerapan ISO27001 dalam Menjaga dan
Meminimalisir Risiko Keamanan.. No.1, S.l. : Media Jurnal
Informatika, Juni 2022, Vol. Vol. 14, .
[17].Febriawan, Romy, Peran Sistem Manajemen Keamanan Informasi (SMKI)
Berstandar ISO 27001 Untuk Meningkatkan Keamanan Informasi
(Sebuah Studi Literatur). S.l. : Sistem informasi universitas trunojoyo
madura, 2020.
[18]Arnason, S.T., Willet, K.D. (2007). How to Achieve 27001 Certification: An
Example of Applied Compliance Management Vol 28
[19]Kingsley, (2017). ISO 27001 Implementation Checklist Information Security
Management System (ISMS)
[20]Park, S., Lee, K. (2014). Advanced Approach to Information Security
Management System Model for Industrial Control System Vol. 2014
[21]Sarno, R., Iffano, I. (2009). Sistem Manajemen Keamanan Informasi Berbasis
ISO 27001. Surabaya: ITS Press
[24]Surendro, K. (2009). Implementasi Tata Kelola Teknologi Informasi.
Informatika: Bandung.
[25] V. Firlia, “Audit Human Resources Security, Access Control, Physical and
Environmental Security Pada Sistem Informasi Pt. Taspen (Persero)
Kcu Bandung Menggunakan Iso 27001 Audit df Human Resources
Security, Access Control, And Physical and Environmental S,” 2013
42
LAMPIRAN
43
Lampiran 2: Dokumentasi Wawancara
44
Lampiran 4: Daftar Kuesioner Berdasarkan Standar ISO 27001
45
46
47
48
49
50
51
52
53
54
55