Hasil Pencarian  ::  Simpan CSV :: Kembali

"PT XYZ bergerak pada bisnis jasa pialang asuransi. Pada pelaksanaan proses bisnisnya telah terjadi beberapa kali pencurian data. Selain itu dari audit yang dilakukan oleh Departemen Keuangan menunjukan bahwa dibutuhkan evaluasi terhadap keamanan informasi perusahaan. Evaluasi kondisi Manajemen Keamanan Informasi pada penelitian ini dilakukan dari sisi tata kelola TI untuk melihat kondisi Manajemen Keamanan Informasi dari sisi strategis perusahaan.Penelitian ini menggunakan kerangka kerja ISO 27001 dan COBIT untuk mengevaluasi kondisi manajemen keamanan informasi perusahaan. Sementara itu untuk mengevaluasi kondisi strategis pencapaian manajemen keamanan informasi digunakan IT BSC. Hasil akhir yang didapatkan adalah kondisi terkini Manajemen Keamanan Informasi.

---

PT XYZ is a corporation that runs insurance brokerage business. On the implementation of business processes there was data fraud occured several times . In addition, from an audit conducted by the Ministry of Finance shows that it’s necessary to made an evaluation of coorporation’s information security. Evaluation of Information Security Management conditions in this research was carried out from the side of IT governance to evaluate the information security management of the company's strategic.

This research use the framework of ISO 27001 and COBIT to evaluate the condition of coorporation’s information security management. Meanwhile, to evaluate the condition of the achievement of the strategic information security management IT BSC was used. The final result that obtained is the current state of information security management."

"Risiko pemeriksaan mempengaruhi standar pekerjaan lapangan dan standar pelaporan dalam pemeriksaan laporan keuangan. Salah satu aspek yang dinilai paling mempengaruhi risiko pemeriksaan di era informasi sekarang ini adalah risiko keamanan informasi. Perlunya penilaian risiko keamanan informasi dari aspek TI kerana teknologi informasi sangat mempengaruhi berbagai macam aktivitas dalam organisasi diantaranya penyusunan laporan keuangan yang merupakan keluaran dari sebuah sistem yang menggunakan teknologi informasi, tidak terkecuali instansi pemerintah. Penelitian ini akan menyusun alat bantu dan kerangka kerja penilaian risiko keamanan informasi di instansi pemerintah yang berbasis ISO 27001. Narasumber yang terdiri dari pengendali teknis, auditor dan pejabat eselon I BPK RI diwawancara untuk memilih aktivitas pengendalian dalam ISO 27001 yang penting dalam penilaian risiko keamanan informasi. Hasil pemilihan aktivitas tersebut dijadikan input dalam perancangan model kerangka kerja, dimana kerangka kerja tersebut akan diuji publik di Pemerintah Kota Tangerang oleh beberapa auditor. Hasil penelitian ini dapat membentuk suatu alat bantu dan kerangka kerja untuk memudahkan para auditor di BPK dalam proses penilaian risiko keamanan informasi untuk menunjang perencanaan pemeriksaan laporan keuangan pemerintah daerah dimana terdiri dari unsur-unsur dalam program audit yakni ruang lingkup audit, tujuan audit, tahap perencanaan, tahap pelaksanaan, dan tahap penyelesaian yang dirumuskan dari aktivitas dan praktik pengendalian di ISO 27001 terpilih. Kerangka kerja dilengkapi dengan indikator dampak dan kecenderungan dari setiap risiko aktivitas yang didapat dari klausal-klausal ISO 27001.

---

Inspection risks affecting standard of field works and standards of examination report of financial statements. One aspect that is considered the most influencing risk in todays information age is a risk of information security covering aspects of IT and non IT aspects. The needs for information risk security assesment of IT aspects which due to the rapid information technology development, which greatly affects wide range of activities within organization including stated financial reports, is the output of a system that uses information technology, including government agencies. This research develop tools and frameworks in the information security risk assesment at government agencies based on ISO 27001. Resource persons consisting of technical controllers, auditor and BPK echelon I are interviewed to select the ISO 27001 control activities which are important in the information security risk assesment.

Election results will serve as input in designing the model framework, which then some auditors will perform public test in Tangerang city government. The results of this study can form a frameowkrs and tools to facilitate the BPK auditors in the process of information security risk assesment to support inspection planning of local government financial reports, which consist of the elements in the audit program such as audit scope, audit objectives, planning phase, stages of implementation, and completion stages of activities and practices defined in the selected ISO 27001. The framework comes with indicators of the impact and trends of each risk activity derived from ISO 27001 clauses."

"Sertifikasi di lingkungan Direktorat XYZ sebagai salah satu aktivitas utama di lingkungan Direktorat XYZ tidak lepas dari peran SI/TI untuk mendukung layanan sertifikasi secara optimal, yang pada akhirnya dapat memberikan layanan optimal sertifikasi. Agar dapat memberikan layanan prima sertifikasi, diperlukan adanya data yang berkualitas, yang dapat memenuhi kriteria, reliabilitas, integritas, dan ketersediaannya.COBIT 4.1 dan SNI ISO/IEC 27001:2009 merupakan kerangka kerja tata kelola TI dan standar keamanan informasi yang merupakan praktik terbaik. Pengkombinasian keduanya dalam penyusunan kebijakan tata kelola TI digunakan dalam penelitian sebagai dasar dalam penyusunan rancangan kebijakan dan prosedur pengelolaan data, dengan harapan dapat menghasilkan kebijakan dan prosedur yang komprehensif dan memberikan manfaat pengelolaan keamanan informasi bagi organisasi yang menerapkan keduanya.Metode yang digunakan dalam penelitian ini adalah observasi, kuisioner dan wawancara berdasarkan COBIT 4.1 dan SNI ISO/IEC 27001:2009. Selain itu, digunakan metode Delphi untuk validasi rancangan kebijakan dan prosedur. Berdasarkan hasil penilaian dan analisis risiko, dipilih kontrol-kontrol yang dapat diterapkan untuk meningkatkan keamanan informasi. Kontrol-kontrol tersebut dimasukkan dalam rancangan kebijakan dan prosedur keamanan informasi. Berdasarkan hasil kuisioner dan wawancara, dilakukan identifikasi dan analisis hasil pengukuran kematangan, analisis kesenjangan tingkat kinerja dan tingkat kematangan, analisis hasil penilaian risiko, identifikasi dan analisis dampak, identifikasi dan analisis kelemahan kontrol. Berdasarkan COBIT 4.1 dipilih proses-proses yang menghasilkan masukan (input) dalam proses pengelolaan data dan memastikan keamanan sistem sebagai aktivitas dan proses dalam rancangan kebijakan dan prosedur pengelolaan data.Hasil pengukuran kinerja berdasarkan COBIT 4.1 menunjukkan bahwa kinerja DS5 dann DS11 masih kurang. Sedangkan hasil pengukuran kematangan menunjukkan proses pengelolaan data dan memastikan keamanan sistem berada pada tingkat 2 (dua), dengan harapan tingkat kematangan berada pada tingkat 4 (empat). Berdasar hasil penilaian kematangan disusun rekomendasi tindakan perbaikan untuk peningkatan kematangan, antara lain penyusunan kebijakan dan prosedur pengelolaan data dengan memperhatikan aspek keamanan sistem serta tim/kelompok kerja yang bertugas mengevaluasi dan mengawasi pelaksanaan kebijakan dan prosedur. Pengendalian dalam kebijakan dan prosedur keamanan informasi sesuai dengan ISO/IEC 27001:2005 meliputi pengendalian: organisasi keamanan informasi,pengelolaan aset informasi, keamanan SDM, keamanan fisik dan lingkungan, pengelolaan komunikasi dan operasional, pengaturan akses, keamanan informasi dalam pengadaan dan pemeliharaan sistem informasi, pengelolaan gangguan keamanan informasi, keamanan informasi dalam pengelolaan kealngsungan kegiatan, dan kepatuhan.Dalam rancangan kebijakan dan prosedur pengelolaan data dengan memperhatikan aspek keamanan informasi, COBIT 4.1 digunakan sebagai payung kebijakan tata kelola TI khususnya pada pengelolaan data; sedangkan dan ISO/IEC 27001:2005 digunakan sebagai acuan dalam penyusunan kebijakan keamanan informasi. Keduanya saling melengkapi menghasilkan kebijakan dan prosedur yang komprehensif mencakup people, process, dan technology untuk mencapai kerahasiaan, ketersediaan, dan integritas informasi. Kerahasiaan, ketersediaan, dan integritas data dan informasi dicapai melalui aktivitas dan proses serta kontrol yang sesuai untuk diterapkan.

---

Certification in Directorate XYZ as one of the main activities of the Directorate XYZ can’t be separated from the role of IS / IT to support optimal certification services, which in turn can provide excellent service in certification. In order to provide excellent service certification, that is required a high-quality data, which can meet the criteria, reliability, integrity, and availability.

COBIT 4.1 and ISO / IEC 27001:2009 is an IT governance framework and information security standards that are best practices. Combine both in policy making IT governance is used in this research as a basis for drafting policies and procedures of data management, with the hope of producing a comprehensive policy and procedures and provide the benefits of information security management for organizations that implement them. The method used in this study is the observation, questionnaires and interviews based on COBIT 4.1 and ISO / IEC 27001:2009. In addition, the Delphi method was used to validate the design of policies and procedures. Based on the results of risk assessment and analysis, controls that can be applied to improve information security are selected. The controls are incorporated in the draft of information security policies and procedures. Based on the results of questionnaires and interviews, to identify and analyze the results of the measurement of maturity, gap analysis and the maturity level of performance, analysis of the results of risk assessment, identification and impact analysis, identification and analysis of control weaknesses. This selection is based on COBIT 4.1 processes that produce inputs to the data management process and ensure the security of the system as activities and processes in the design of data management policies and procedures.

The results of performance measurements based on COBIT 4.1 shows that the performance of DS5 and DS11 is still lacking. While the results of measurements show the maturity of data management and ensure the security of the system is at the level of 2 (two), in the hope of maturity level is at level 4 (four). Based on maturity assessments prepared recommendations for the improvement of the maturity of remedial actions, including design of policies and procedures for data management by taking into account the security aspects of the system and the team / work group charged with evaluating and overseeing the implementation of policies and procedures. Control the information security policies and procedures in accordance with ISO/IEC 27001:2005 covers control: the organization of information security, asset management information, human resources security, physical and environmental security, communications and operations management, access arrangements, the security of information in the procurement and maintenance of information systems, management of information security threats, business continuity management, and compliance.

In the design of policies and procedures with respect to data management aspects of information security, COBIT 4.1 is used as a reference policy governance of IT especially in data management; while and ISO / IEC 27001:2005 is used as a reference for information security policy. Both complement each other producing a comprehensive policy and procedures covering people, process, and technology to achieve confidentiality, availability, and integrity of information. Confidentiality, availability and integrity of data and information are achieved through the activities and processes and controls that are appropriate to be applied."

"PT XYZ adalah pelaku industri teknologi finansial yang kegiatan bisnisnya menyediakan sistem layan uang elektronik bernama AUE. Dengan lebih dari 500 ri bu 􀀇pengguna􀀇 dan lebih dari 20 ribu transaksi per hari, AUE adalah produk utama dalam bisnis PT XYZ. Oleh karena itu sangat penting bagi PT XYZ untuk menjaga kenyamanan dan keamanan dari layanan uang elektronik ini untuk menjaga reputasi dan kepercayaan pemangku kepentingan. Namun, adanya insiden keamanan informasi yang mengganggu bisnis, serta munculnya dorongan persyaratan pengamanan informasi dari regulator dan mitra bisnis, membuat PT XYZ merasa perlu untuk meningkatkan standar pengamanan informasinya. Berdasarkan pertimbangan tersebut, manajemen internal menetapkan salah satu sasaran perusahaan yaitu untuk meningkatkan pengamanan informasi. Berangkat dari sasaran tersebut, ditemukan salah satu area kekurangan dalam pengelolaan pengamanan informasi PT XYZ adalah belum dilakukan aktivitas manajemen risiko keamanan informasi yang menyeluruh terhadap AUE. Maka dari itu, penelitian ini bertujuan untuk melakukan analisis risiko terhadap aplikasi uang elektronik PT XYZ. Penelitian ini adalah penelitian kualitatif dengan jenis studi kasus evaluatif dan eksploratif. Hasil dari penelitian ini adalah analisis terhadap kondisi risiko keamanan informasi aplikasi uang elektronik PT XYZ. Adapun manfaat dari penelitian ini adalah dihasilkannya rekomendasi pengendalian keamanan informasi berdasarkan hasil analisis risiko keamanan informasi, untuk meningkatkan kondisi keamanan informasi PT XYZ serta memenuhi persyaratan standar pengamanan informasi yang tersertifikasi."

"Data dan informasi merupakan aset yang harus dilindungi dikarenakan aset berhubungan dengan kelangsungan bisnis perusahaan. Adanya pertumbuhan berbagai penipuan, virus, dan hackers dapat mengancam informasi bisnis manajemen dikarenakan adanya keterbukaan informasi melalui teknologi informasi modern. Dibutuhkan manajemen keamanan informasi yang dapat melindungi kerahasiaan, integritas, dan ketersediaan informasi. PT. XYZ sebagai perusahaan yang bergerak di bidang mobile solution tidak terlepas dari penggunaan teknologi informasi dalam penyimpanan, pengolahan data dan informasi milik perusahaan. Perusahaan diharuskan untuk dapat memberikan kemampuan mengakses dan menyediakan informasi secara cepat dan akurat. Oleh karena itu, perusahaan membutuhkan pengetahuan tentang keadaan keamanan informasi yang dimiliki saat ini, sehingga perusahaan dapat meminimalisir risiko yang akan terjadi. Tujuan penelitian ini memberikan usulan perbaikan manajemen risiko keamanan informasi dengan menggunakan standar ISO/IEC 27001:2005. Dengan menggunakan standar ISO/IEC 27001:2005, didapat kesenjangan keamanan informasi yang dimiliki oleh perusahaan. Selanjutnya, dipilih kontrol objektif yang sesuai dengan kebutuhan aset kritikal yang dimiliki oleh perusahaan. Dari kontrol objektif yang telah dipilih, selanjutnya diberikan usulan perbaikan agar perusahaan dapat menutupi kesenjangan keamanan informasi yang dimiliki. Hasil penelitian ini didapat kontrol-kontrol pengamanan informasi yang akan diimplementasikan di perusahaan dalam bentuk dokumen statemen of applicabality(SOA).

---

Data and Information are valuable assets that need to be protected for company's businesses. Rapid growth in fraud cases, virus, hackers could threat management business information by exposing them which is caused by modern information technology. Hence, it is required to have information security management which protects confidentiality, integrity, and availability of information. As a company who runs in mobile solution, PT. XYZ uses information technology in company's information and data storage and processing. In order to minimize the risk, current information security needs to be visible by the company.

This research is conducted to provide potential suggestions on risk management improvement of information security using standard ISO/IEC 270001:2005 standard. By using ISO/IEC 270001:2005 standard, this research is able to assess and obtain gap analysis checklist of company's information security. According to company asset needs, objective controls will be selected. Results of this study obtained information security controls to be implemented in the company in the form of statements of applicabality documents (SOA)."

"Sebagai salah satu perusahaan yang bergerak di bidang teknologi, bisnis dari PT XYZ sangat bergantung pada teknologi dan keamanan informasi. Dalam mengamankan informasi, data, dan aset penting perusahaan, PT XYZ menerapkan pengamanan fisik yaitu Physical Access Control System (PACS). Sistem ini diimplementasi untuk melindungi bisnis dan aset perusahaan dari vandalisme, pencurian, dan pelanggaran, khususnya membatasi akses ke fasilitas organisasi yang memerlukan tingkat keamanan dan perlindungan yang lebih tinggi. Namun tingginya kasus insiden yang terjadi pada PACS menjadi kekhawatiran pihak manajemen perusahaan. Padahal tingkat ketergantungan organisasi terhadap keamanan fisik terutama pada PACS sangat tinggi. Insiden-insiden terkait PACS dengan sumber ancaman yang sama kerap terjadi berulang kali tanpa ada pemantauan yang memadai. Maka dari itu, penelitian ini bertujuan untuk melakukan evaluasi manajemen risiko terhadap Physical Access Control System PT XYZ. Pada penelitian ini digunakan beberapa seri standar ISO/IEC 27000 yang dapat membantu penelitian dalam menganalisis risiko dan melengkapi proses dalam mengevaluasi manajemen risiko di organisasi. Standar yang digunakan antara lain ISO/IEC 27001, ISO/IEC 27002, dan ISO/IEC 27005. Penelitian ini merupakan penelitian kualitatif dengan metode pengumpulan data secara studi literatur, dokumen, wawancara, observasi dan Focus Group Discussion. Hasil yang diperoleh dari penelitian ini adalah profil risiko dari PACS dengan total 54 skenario risiko keamanan informasi yang terdiri dari 44 skenario yang tidak diterima, dan 10 skenario risiko diterima. Adapun manfaat dari penelitian ini adalah dihasilkannya rekomendasi penanganan risiko keamanan informasi berdasarkan hasil evaluasi risiko keamanan informasi yang mengacu pada rekomendasi kontrol berdasarkan ISO/IEC 27002 dan diimplementasikan dalam bentuk dokumen Statement of Applicability (SoA).

---

As a technology company, the business of PT XYZ is highly dependent on technology and information security. In securing information, data, and important company assets, PT XYZ applies a physical security system, namely the Physical Access Control System (PACS). This system is implemented to protect the company’s business and assets from vandalism, theft, and breaches, specifically by restricting access to organizational facilities that require a higher level of security and protection. However, the high occurrence of incidences in PACS is a concern for company management, due to the organization's high level of dependence on physical security, especially PACS. Incidents related to PACS with the same source of threat often occur repeatedly without adequate monitoring. Therefore, this study aims to evaluate the risk management of PT XYZ's Physical Access Control System. In this research, several series of ISO/IEC 27000 standards are used to assist the study in analyzing risk and completing the process of risk management evaluation in organizations. The standards used include ISO/IEC 27001, ISO/IEC 27002, and ISO/IEC 27005. This research is qualitative research with data collection methods of literature studies, documents, interviews, observations, and Focus Group Discussions. The result of this study is the risk profile of PACS with a total of 54 information security risk scenarios consisting of 44 unacceptable scenarios and 10 acceptable risk scenarios. The benefit of this research is the production of recommendations for handling information security risks based on the results of the evaluation of information security risks that refer to control recommendations based on ISO/IEC 27002 and implemented in the form of a Statement of Applicability (SoA) document."

"Abstract:"Effective security rules and procedures do not exist for their own sake-they are put in place to protect critical assets, thereby supporting overall business objectives. Recognizing security as a business enabler is the first step in building a successful program.Information Security Fundamentals allows future security professionals to gain a solid understanding of the foundations of the field and the entire range of issues that practitioners must address. This book enables students to understand the key elements that comprise a successful information security program and eventually apply these concepts to their own efforts. The book examines the elements of computer security, employee roles and responsibilities, and common threats. It examines the need for management controls, policies and procedures, and risk analysis, and also presents a comprehensive list of tasks and objectives that make up a typical information protection program.The volume discusses organizationwide policies and their documentation, and legal and business requirements. It explains policy format, focusing on global, topic-specific, and application-specific policies. Following a review of asset classification, the book explores access control, the components of physical security, and the foundations and processes of risk analysis and risk management. Information Security Fundamentals concludes by describing business continuity planning, including preventive controls, recovery strategies, and ways to conduct a business impact analysis""