Hasil Pencarian  ::  Simpan CSV :: Kembali

"Manajemen keamanan untuk rantai suplai mulai banyak dibicarakan sejak kejadian 11 september 2001. Keamanan sistem rantai suplai awalnya hanya berfokus pada antisipasi pencurian dan penyelundupan saja. Namun sejak kejadian tersebut kebutuhan kontrol akan gangguan aksi teror dan ancaman yang belum terfikirkan lainnya meningkat. Berkaitan dengan itu International Standard Organization (ISO) merumuskan suatu standard yang mengatur mengenai manajemen keamanan untuk rantai suplai dalam ISO 28000:2007. Standard ini dapat diaplikasikan pada seluruh jenis dan level perusahaan. Walaupun standard ini resmi diluncurkan pada tahun 2007 silam, namun tidak semua isi klausa standard ini adalah hal baru. Standard ini kongruen dengan ISO 9001:2000 (kualitas) dan ISO 14001:2004 (lingkungan). Sehingga bagi perusahaan yang telah mencapai setifikasi kedua ISO tersebut akan mempermudah mengaplikasikan sistem manajemen keamanan rantai suplainya yang sesuai dengan standard ISO 28000:2007. Hasil penelitian ini memperlihatkan apa saja yang perlu dilakukan oleh perusahaan yang telah mencapai sertifikasi ISO 9001:2000 (kualitas) dan ISO 14001:2004 (lingkungan) agar dapat mengaplikasikan sistem manajemen keamanan rantai suplai berdasarkan ISO 28000:2007. Lebih jauh lagi, penelitian ini juga memberikan suatu contoh system manajemen keamanan rantai suplai sesuai dengan yang disyaratkan ISO 28000:2007. Contoh ini dapat diaplikasikan secara luas oleh seluruh jenis dan level perusahaan. Untuk melengkapi pemahaman akan sistem manajemen keamanan rantai suplai, penelitian ini juga memberikan contoh kasus pelaksanaan sistem manajemen keamanan rantai suplai di sebuah perusahaan manufaktur.

---

Supply chain security has become a major concern to the world, after the disastrous event of September 11, 2001. Prior to September 11, 2001, supply chain security concerns were related to controlling theft and reducing contraband But after September 11, 2001, the threat of terrorist attacks has heightened the need to assure supply chain security. In order to respond to this challenge, the International Organization for Standardization (ISO) has developed a suite of documents that are designed to protect people, goods, infrastructure and equipment (including means of transport) against security incidents, and thereby prevent potentially devastating effects in the supply chain.

This International Standard is applicable to all sizes of organizations. This International Standard is based on the ISO format adopted by ISO 14001:2004 because of its risk based approach to management systems. However, organizations that have adopted a process approach to management systems (e.g. ISO 9001:2000) may be able to use their existing management system as a foundation for a security management system as prescribed in ISO28000:2007.

This paper demonstrate how the companies which has been achieved ISO 9001:2000 and ISO 14001:2004 certification apply security management system as prescribed in ISO28000:2007. Furthermore, this paper provides an example of design of security management system which conforms to every think required in ISO 28000:2007. In order to facilitate the understanding of security management system, this paper also provides a case study the application security management system in manufacturing company in Indonesia."

"Keamanan informasi merupakan aspek penting dan didukung oleh laporan yang dikeluarkan oleh Internal Audit Foundation yang berjudul Risk in Focus 2024 Global Summary disebutkan bahwa risiko paling besar yang akan dihadapi di tahun 2024 adalah Cybersecurity and Data Security dengan skor 73% untuk rata-rata worldwide. Berdasarkan report yang dikeluarkan oleh International Business Machine (IBM) berjudul Cost of a Data Breach Report 2023 dibutuhkan waktu rata - rata 204 hari untuk mengetahui adanya kebocoran data yang dialami pada instansi atau organisasi terdampak, serta membutuhkan waktu 73 hari untuk menanggulangi kebocoran data tersebut. Dalam rangka mewujudkan digitalisasi tersebut dilakukan implementasi sistem Audit Management System (AMS) yang dapat mengakomodir proses audit mulai dari tahap Planning, Execution, dan Reporting serta proses tindak lanjut rekomendasi baik yang dihasilkan dari audit internal maupun audit eksternal. Penggunaan AMS tidak terlepas dari risiko, akses menuju AMS dapat dilakukan tanpa Virtual Private Network (VPN). Dalam penelitian ini dilakukan risk assessment berbasis standar ISO/IEC 27005:2022 dengan mengusulkan metode penghitungan konsekuensi berdasarkan klasifikasi data yang ada dalam sistem dan metode peghitungan kemungkinan berdasarkan proses bisnis yang memiliki dampak ke kerentanan sistem serta risiko yang perlu dimitigasi akan digunakan ISO/IEC 27002:2022 sebagai standar untuk mengantisipasi risiko yang terjadi. Hasil pemeriksaan risiko diketahui terdapat 24 risiko dengan 1 risiko level sangat tinggi, 3 risiko level tinggi, 8 risiko dengan level sedang, 11 risiko dengan level rendah, dan 1 risiko dengan level sangat rendah yang terdapat pada departemen audit internal XYZ.

---

Information security is an important aspect and supported by a report issued by the Internal Audit Foundation entitled Risk in Focus 2024 Global Summary. Biggest risk that will be faced in 2024 is Cybersecurity and Data Security with a score of 73% for the global average. Based on a report issued by International Business Machine (IBM) entitled Cost of a Data Breach Report 2023, takes an average of 204 days to find out about a data leak by an affected agency or organization, and takes 73 days to overcome the data leak. In order to realize this digitalization, an Audit Management System (AMS) system was implemented which can accommodate the audit process starting from the Planning, Execution and Reporting stages as well as follow-up process for recommendations process. Using AMS is not without risks, access to AMS can be done without a Virtual Private Network (VPN). In this research, a risk assessment was carried out based on the ISO/IEC 27005:2022 standard by proposing a method for calculating consequences based on the classification of data in the system and a method for calculating possibilities based on business processes that have an impact on system vulnerabilities and risks that need to be mitigated. ISO/IEC 27002:2022 will be used to anticipate risks. Results of the risk examination revealed that there were 24 risks with 1 very high level risk, 3 high level risks, 8 medium level risks, 11 low level risks, and 1 very low level risk in the XYZ internal audit department."

"Keamanan informasi menjadi isu yang penting bagi perusahaan, karena informasi merupakan aset vital bagi kelangsungan bisnis perusahaan, terutama untuk organisasi yang bergerak disektor energi karena sektor ini merupakan salah satu dari lima besar teratas target serangan siber.PT XYZ sebagai salah satu perusahaan bergerak dibidang energi khususnya minyak dan gas bumi memandang keamanan informasi ini sebagai salah satu prioritas utama selain untuk memenuhi persyaratan stakeholder namun juga melihat isu keamanan informasi yang terjadi di dalam organisasi, sehingga diperlukan penerapan suatu sistem manajemen keamanan informasi. Dengan penelitian ini penulis menggunakan ISO 27001 untuk membangun sistem manajemen keamanan informasi dan melihat kesenjangan yang ada dalam organisasi berdasarkan standar sehingga bisa dibangun rekomendasi sistem manajemen keamanan informasi untuk PT XYZ.

---

Information security is an important issue for the company, because information is a vital asset for business, especially for organizations in energy sector because this sector is one of the top five most targeted sectors worldwide. PT XYZ as one of the companies engaged in energy especially oil and gas, information security is one of the top priorities in addition to fulfilling the requirements of the government, but also information security problem that occur in the organization, so its needed the necessary evaluation of current condition implementation of information security compared with the standard for information security management. With this research, the author using ISO 27001 to build an information security management sistem and see the gaps that exist in the organization based on standards so that can be built recommendations information security management sistem for PT XY."

"Indonesia telah menjadi salah satu produsen alas kaki terbesar di dunia. PT. X merupakan salah satu perusahaan manufaktur sepatu olahraga khususnya Adidas di Indonesia. Saat ini, sedang terjadi penurunan permintaan yang menyebabkan persaingan antara produsen meningkat. Tujuan dari penelitian ini adalah untuk merancang strategi mitigasi risiko yang tepat untuk mengatasi agen risiko yang termasuk dalam prioritas. Hal ini dilakukan agar perusahaan dapat mengurangi keterlambatan pengiriman sepatu sehingga penilaian performa perusahaan meningkat. Penelitian ini menggunakan metode House of Risk (HOR). Metode HOR memiliki 2 tahapan. HOR tahap 1 bertujuan untuk mencari agen risiko yang akan diprioritaskan dan HOR tahap 2 bertujuan untuk memilih strategi aksi mitigasi. Hasil penelitian pada HOR tahap 1 menunjukkan bahwa agen risiko dengan nilai aggegate risk potential (ARP) tertinggi adalah pihak produksi telat melaporkan kekurangan material (A7) dan agen risiko dengan nilai ARP terendah adalah tidak ada pengecekan rutin dari sisi leader/technical expert (A12). Berdasarkan prinsip Pareto,11 agen risiko akan diprioritaskan untuk ditangani sesuai dengan nilai ARP tertinggi. Selanjutnya, 14 aksi mitigasi diusulkan. Delapan aksi mitigasi direkomendasikan untuk mencegah agen risiko berdasarkan nilai effectiveness to difficulty ratio (ETD) dari HOR tahap 2.

---

Indonesia has become one of the largest footwear producers in the world. PT. X is a sports shoe manufacturing company, especially Adidas in Indonesia. Currently, there is a decline in demand which causes competition between producers increase. The purpose of this study is to design appropriate risk mitigation strategies to address the risk agents included in the priority. This is done so that the company can reduce delays in shoe delivery so that the company's performance rating increases. This study uses the House of Risk (HOR) method. The HOR method has 2 stages. HOR stage 1 aims to find risk agents to be prioritized and HOR stage 2 aims to select a mitigation action strategy. The results of the research on HOR stage 1 show that the risk agent with the highest aggregate risk potential (ARP) value is the production party who is late in reporting material deficiencies (A7) and the risk agent with the lowest ARP value is that there is no routine checking from the leader/technical expert's side (A12). Based on the Pareto principle, 11 risk agents will be prioritized to be handled according to the highest ARP value. Furthermore, 14 mitigation actions are proposed. Eight mitigation actions are recommended to prevent risk agents based on the effectiveness to difficulty ratio (ETD) value of HOR stage 2."

"Pertumbuhan pesat teknologi informasi dan komunikasi juga mengakibatkan peningkatan signifikan tindakan kejahatan siber. Menurut Laporan Pemantauan Keamanan Siber Tahunan oleh Badan Siber dan Sandi Negara, terjadi 495 juta kejadian anomali lalu lintas atau upaya serangan pada tahun 2020, yang meningkat menjadi 1,6 miliar pada tahun 2021 di Indonesia. Penerapan standar ISO 27001 untuk sistem manajemen keamanan informasi (SMKI) dapat membantu mengurangi upaya serangan siber tersebut. Penelitian ini berfokus pada studi kasus lembaga pemerintah, Direktorat Informasi Kepabeanan dan Cukai, yang beroperasi di bidang penerimaan bea dan cukai dan telah menerapkan SMKI serta menjalani audit internal, namun hanya sebatas kelengkapan dokumen saja. Oleh karena itu, diperlukan pemodelan penilaian SMKI yang lebih mendalam sesuai dengan standar ISO 27001. Penelitian ini mengusulkan model penilaian SMKI dengan mengintegrasikan ISO 27002 dan 27004, dimana fungsi panduan ISO 27002 diubah menjadi parameter penilaian dan ISO 27004 digunakan untuk mengukur kinerja kontrol keamanan informasi. Dengan menggunakan model ini, nilai SMKI dari studi kasus diperoleh sebesar 45,17 dari skala 100 yang jauh berbeda dengan hasil audit internal studi kasus bernilai 4,08 dari skala 5 atau 82 dari skala 100.

---

The rapid growth of information and communication technology has led to a significant increase in cybercrime. According to the Annual Cybersecurity Monitoring Report by the National Cyber and Cryptography Agency, there were 495 million instances of traffic anomalies or attempted attacks in 2020, which rose to 1.6 billion in 2021 in Indonesia. The implementation of the ISO 27001 standard for Information Security Management Systems (ISMS) can help mitigate these cyberattack efforts. This research focuses on a case study of a government institution, the Directorate of Customs and Excise Information, operating in customs duty collection, which has implemented ISMS and undergone internal audits, but only to the extent of document completeness. Therefore, a more in-depth ISMS assessment model is needed in accordance with ISO 27001 standards. This study proposes an ISMS assessment model by integrating ISO 27002 and 27004, wherein the functions of ISO 27002 guidelines are transformed into assessment parameters, and ISO 27004 is utilized to measure the performance of information security controls. Using this model, the ISMS score for the case study is determined to be 45.17 on a scale of 100, which significantly differs from the internal audit results of the case study, valued at 4.08 on a scale of 5 or 82 on a scale of 100."

"Tesis ini mengusulkan kerangka keamanan informasi untuk Sistem Manajemen Mutu (SMM) Sertifikasi Kompetensi Sumber Daya Manusia Pengadaan di Indonesia. Sertifikasi Pengadaan Barang/Jasa (PBJ) Pemerintah telah diterapkan sejak tahun 2008 dan beralih ke sertifikasi berbasis komputer pada tahun 2015. Namun penggunaan teknologi informasi telah menimbulkan masalah keamanan informasi yang perlu dibenahi seperti akses ilegal dan praktek perjokian melalui akses secara remote terhadap aplikasi ujian berbasis komputer. SMM yang ada saat ini belum memuat secara khusus tentang area keamanan informasi dalam proses sertifikasi PBJ. Untuk mengatasi tantangan ini, diperlukan sebuah kerangka kerja keamanan informasi yang komprehensif. Dalam studi ini, dilakukan perbandingan antara SMM Sertifikasi dengan Standar ISO 27001:2022 untuk mengembangkan kerangka khusus yang dapat diimplementasikan dalam pembaruan SMM Sertifikasi selanjutnya. Hasil penelitian menunjukkan bahwa terdapat 11 kontrol pada ISO 27001:2022 yang sudah tertuang pada SMM Sertifikasi, 24 kontrol yang sudah diimplementasikan namun belum tertuang pada SMM Sertifikasi, 13 kontrol yang tidak perlu dimasukkan dalam SMM karena berada di luar kewenangan Direktorat Sertifikasi Profesi pada Lembaga XYZ, dan sebanyak 45 kontrol pada ISO 27001:2022 yang belum terdapat pada SMM Sertifikasi. Banyaknya kontrol yang tidak ada ini menjadi penyebab kurangnya keamanan informasi dan terjadinya masalah keamanan siber dalam pelaksanaan sertifikasi PBJ. Berdasarkan temuan ini, dikembangkan kerangka kerja khusus pada area keamanan informasi dalam pelaksanaan sertifikasi PBJ. Kerangka kerja yang direkomendasikan bertujuan untuk memfasilitasi penerapan keamanan informasi pada sertifikasi kompetensi PBJ oleh Lembaga XYZ sebagai lembaga pembuat regulasi dan pelaksana sistem sertifikasi pengadaan.

---

This thesis proposes an information security framework for Quality Management System (QMS) Competency Certification of Human Resources for Procurement in Indonesia. The Government's Goods/Services Procurement Certification (PBJ) has been implemented since 2008 and switched to computer-based certification in 2015. However, the use of information technology has created information security problems that need to be addressed, such as illegal access and the practice of jockeying through remote access to application-based exams. computer. The existing QMS does not specifically contain the area of information security in the PBJ certification process. To address this challenge, a comprehensive information security framework is needed. In this study, a comparison is made between Certification QMS and ISO Standard 27001:2022 to develop a specific framework that can be implemented in the next Certification QMS renewal. The results showed that there were 11 controls on ISO 27001:2022 that had been included in the QMS for Certification, 24 controls that had been implemented but not included in the QMS for Certification, 13 controls that did not need to be included in the QMS because they were outside the authority of the XYZ Institute, and as many as 45 controls on ISO 27001:2022 which are not yet available in the Certification QMS. The number of controls that do not exist is the cause of the lack of information security and the occurrence of cybersecurity problems in the implementation of PBJ certification. Based on these findings, a special framework was developed in the area of information security in implementing PBJ certification. The recommended framework aims to facilitate the implementation of information security in PBJ competency certification by XYZ institute as the regulatory body and implementer of the procurement certification system."

"PT. Z adalah organisasi yang bergerak di bidang asuransi kecelakaan lalu lintas, pemanfaatan TI bagi PT. Z adalah untuk mempercepat proses bisnis dan meningkatkan kualitasi penyediaan pelayanan, PT. Z dalam pengelolaan TI harus dapat mengantisipasi risiko yang ada. Pengelolaan terhadap manajemen risiko yang baik bagi PT. Z adalah termasuk kedalam penerapan GCG, untuk BUMN GCG berpedoman kepada Permen BUMN No. PER-02/MBU/2013 yang di rekomendasikan untuk di ikuti oleh semua BUMN, pada GCG PER-02/MBU/2013 salah satu deliverable nya adalah mengenai kebijakan pengelolaan manajemen risiko yang dapat menghasilkan prosedur kerangka kerja pengelolaan risiko TI, selain itu PT. Z memang ingin mengadopsi standar keamanan TI. Dalam penelitian ini, dipilih aplikasi utama dari PT. Z untuk dilakukan perancangan manajemen risiko yang sesuai, aplikasi pelayanan adalah salah satu aplikasi utaman bagi PT. Z dalam menjalankan bisnis nya. Rancangan manajemen risiko pada aplikasi ini memakai framework ISO27005 seperti penentuan konteks, kriteria dasar pengelolaan risiko, penentuan ruang lingkup, penilaian risiko, penanganan dan penerimaan risiko itu sendiri, aset utama dan aset pendukung pada aplikasi ini semua dilakukan penilaian risiko nya dan untuk menghitung nilai risiko menggunakan NIST SP 800-30, pada tahap penanganan risiko mengaplikasikan kontrol - kontrol yang ada pada ISO 27002. Dari hasil penelitian, dapat disimpulkan bahwa terdapat 13 risiko yang akan diterima dan 48 risiko yang akan dilakukan pengurangan dengan mengaplikasikan kontrol yang di rekomendasikan berdasarkan kepada ISO 27002.

---

PT. Z is an organization which run their business for accident insurance, IT Utilization for PT. Z is to accelerate the business processes and to improve the quality of service for their customers. A proper way to managed the risk management for PT. Z is including at implementation of Good Corporate Governance (GCG), GCG at PT. Z is guided by PERMEN BUMN No. PER-02/MBU/2013 which recommended to follow and comply by all of government companies. In PER-02/MBU/2013 one of its deliverable is about the policy of risk management that can give the result of framework IT risk management, in addition PT. Z want to adopt IT security standards.

In this study, has been choosen the main application of PT. Z to do risk management plan and design that appropriate and suitable for PT. Z, one of the key application that they had is “aplikasi pelayanan” to support their main business. Risk management plan and design for this application is using ISO27005 framework for determining the risk context, risk criteria, determining the scope, risk identification, risk estimation, risk evaluation, risk treatment and risk acceptance. Risk estimation using NIST SP 800-30 framework and for risk evaluation using control from ISO27002.

Concluding from this research is that is 13 risks that will accept and 48 risks that want to do a reduction by applied control that recommended by ISO 27002."

"Sistem Penyelenggaraan Berbasis Elektronik (SPBE) adalah bagian penting dari transformasi digital di instansi pemerintahan, salah satunya adalah Instansi XYZ. Meskipun era digital menawarkan banyak keuntungan akan tetapi tidak lepas dari risiko, seperti ancaman siber yang mengancam keamanan nasional. Fokus penelitian ini adalah Pusat Data dan Informasi,  sebagai satuan kerja pelaksana teknologi informasi dalam upaya meningkatkan keamanan siber di Instansi XYZ. Indeks KAMI adalah salah satu alat yang dapat digunakan untuk mengukur seberapa siap dan lengkap keamanan informasi. Ini memastikan bahwa proses peningkatan kualitas keamanan informasi dapat dilakukan dengan cepat dan efisien. Indeks KAMI v 4.2 digunakan untuk mengukur tingkat kematangan keamanan informasi, selain itu digunakan untuk mengevaluasi dan memberikan rekomendasi keamanan informasi sesuai dengan kerangka kerja SNI ISO 27001:2013 untuk Instansi XYZ. Berdasarkan data tahun 2022, hasil penilaian dari sistem elektronik Instansi XYZ masuk dalam kategori “Tinggi”. Sedangkan hasil evaluasi akhirnya mendapatkan nilai total 213 dari total 645 untuk kesiapan dan kelengkapan keamanan informasi. Nilai-nilai tersebut diperoleh dari bagian Tata Kelola 35 poin, Pengelolaan Risiko 18 poin, Kerangka Kerja Keamanan Informasi 40 poin, Pengelolaan Aset 59 poin, dan Teknologi dan Keamanan Informasi 61 poin. Dengan kata lain, Instansi XYZ masih memiliki tingkat kematangan keamanan informasi pada level I hingga I+ dengan status kesiapan "Tidak Layak". Menurut Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik, Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik diwajibkan untuk menerapkan SNI ISO 27001:2013  dan atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga, yang penerapannya tergantung pada tingkat kategori Sistem Elektroniknya. Hasil analisis Instansi XYZ belum memiliki kebijakan sistem manajemen keamanan informasi yang ditetapkan, walau sudah menerapkan aspek teknis dibeberapa kategori. Hasil penelitian ini merekomendasikan penerapan kontrol keamanan serta penyusunan kebijakan sistem manajemen keamanan informasi dengan menggunakan kerangka kerja SNI ISO 27001:2013.  Rekomendasi ini diharapkan dapat diimplementasikan pada Instansi XYZ guna menjamin implementasi keamanan informasinya.

---

The System of Electronic-Based Organization (SPBE) is an important part of digital transformation in government agencies, one of which is XYZ Agency. Although the digital era offers many advantages, it is not free from risks, such as cyber threats that threaten national security. The focus of this research is the Data and Information Center, as the implementing work unit for information technology in an effort to improve cybersecurity at XYZ Agency. KAMI Index is one of the tools that can be used to measure how ready and complete information security is. This ensures that the process of improving the quality of information security can be done quickly and efficiently. KAMI Index v 4.2 is used to measure the maturity level of information security, besides that it is used to evaluate and provide information security recommendations in accordance with the SNI ISO 27001: 2013 framework for XYZ Agencies. Based on 2022 data, the assessment results of the XYZ Agency's electronic system fall into the "High" category. While the final evaluation results get a total score of 213 out of a total of 645 for information security readiness and completeness. These values are obtained from the Governance section 35 points, Risk Management 18 points, Information Security Framework 40 points, Asset Management 59 points, and Technology and Information Security 61 points. In other words, XYZ Institution still has an information security maturity level at level I to I+ with a readiness status of "Not Feasible". According to BSSN Regulation Number 8 of 2020 concerning Security Systems in the Implementation of Electronic Systems, Electronic System Providers that operate Electronic Systems are required to implement SNI ISO 27001: 2013 and or other security standards related to cybersecurity set by BSSN and other security standards related to cybersecurity set by Ministries or Institutions, whose application depends on the level of the Electronic System category. The results of the analysis of XYZ Institution do not yet have a defined information security management system policy, even though they have implemented technical aspects in several categories. The results of this study recommend the implementation of security controls and the preparation of an information security management system policy using the SNI ISO 27001: 2013 framework.  This recommendation is expected to be implemented at XYZ Agency to ensure the implementation of information security."

"Data center merupakan salah satu komponen yang penting dalam menunjang keberhasilan bisnis perusahaan karena perannya sebagai pusat pengolahan dan penyimpanan informasi. Data center memerlukan pengamanan sistem informasi yang menyeluruh yang meliputi aspek confidentiality, integrity dan availability. Ketiga aspek tersebut terdapat dalam sebuah Sistem Manajemen Keamanan Informasi (SMKI). Salah satu standar SMKI yang diterima secara luas saat ini adalah ISO 27001. Dalam tesis ini dikembangkan kontrol dan alat bantu ukur tingkat kematangan (maturity level) SMKI pada data center berdasarkan standar ISO 27001 dengan metode COBIT 4.1. Alat bantu ukur tingkat kematangan tersebut berbentuk excel sheet, aplikasi web maupun android. Kontrol dan alat bantu ukur tersebut telah diujicobakan untuk mengukur tingkat kematangan pada tiga data center PT. XYZ dengan hasil masing-masing 3.94, 3.93 dan 3.92 dari skala 5 menurut metode COBIT 4.1. Kontrol dan alat bantu ukur dapat digunakan oleh kalangan industri untuk melakukan self assessment pada data center yang dimiliki agar diketahui tingkat kematangannya terhadap standar ISO 27001.

---

Data center is one of the important components that is needed to support the success of the company's business because of its role as a center for processing and storing information. Data centers require comprehensive security protection which includes aspects of confidentiality, integrity and availability. These three aspects are included in an Information Security Management System (ISMS). One of the widely accepted ISMS standards nowadays is ISO 27001. In this thesis, we develop controls and tools to measure maturity level of ISMS for data center based on the ISO 27001 standard and the COBIT 4.1 method. The controls and tools have been tested to measure the level of maturity in three data centers of PT XYZ. The test result of each data center has the maturity level of 3.94, 3.93 and 3.92 from a scale of 5 according to the COBIT 4.1 method. The controls and measuring tools can be used by industry to conduct self-assessments of their own data center so that its maturity levels are known in accordance with ISO 27001."

"Risiko pembiayaan sebagai salah satu risiko terbesar dalam industri pembiayaan dan memberikan eksposur yang semakin besar di tengah ketidakstabilan perekonomian. Pada studi kasus ini peneliti melihat risiko pembiayaan secara Enterprise Risk Management (ERM) dengan pendekatan model the Three Lines of Defence dan proses manajemen risiko berdasarkan ISO 31000. Berdasarkan peran dalam the Three Lines of Defence, penerapan proses manajemen risiko pembiayaan di unit bisnis PT XYZ saat ini sebenarnya sudah efektif namun belum sesuai karena dilakukan oleh divisi Risk dan menyebabkan risk owner menjadi kurang merasa bertanggung jawab atas risikonya. Kemudian, Audit Internal belum dapat menggunakan hasil manajemen risiko tersebut dalam meningkatkan sistem pengendalian intern perusahaan. Selain itu, penerapan manajemen risiko pembiayaan masih terpisah dari risiko lainnya dan tidak dilihat secara ERM.

---

Financing risk is one of the biggest risk in financial industry and give more exposure in the economic instability. In this case study researcher views financing risk in Entreprise Risk Management (ERM) way with the Three Lines of Defence model as approach and risk management process based on ISO 31000. Based on function in the Three Lines of Defence, implementation of financing risk management process in business unit PT XYZ for now is effective enough practically but not appropriate because it is implemented by Risk division and leads risk owner become irresponsible with their own risk. Afterwards, Internal Audit had not utilized risk management result for improving company?s internal control system. Furthermore, implementation of financing risk management is still detached from other risks and not observed with ERM."