Hasil Pencarian  ::  Simpan CSV :: Kembali

"Data dan informasi merupakan aset yang harus dilindungi dikarenakan aset berhubungan dengan kelangsungan bisnis perusahaan. Adanya pertumbuhan berbagai penipuan, virus, dan hackers dapat mengancam informasi bisnis manajemen dikarenakan adanya keterbukaan informasi melalui teknologi informasi modern. Dibutuhkan manajemen keamanan informasi yang dapat melindungi kerahasiaan, integritas, dan ketersediaan informasi. PT. XYZ sebagai perusahaan yang bergerak di bidang mobile solution tidak terlepas dari penggunaan teknologi informasi dalam penyimpanan, pengolahan data dan informasi milik perusahaan. Perusahaan diharuskan untuk dapat memberikan kemampuan mengakses dan menyediakan informasi secara cepat dan akurat. Oleh karena itu, perusahaan membutuhkan pengetahuan tentang keadaan keamanan informasi yang dimiliki saat ini, sehingga perusahaan dapat meminimalisir risiko yang akan terjadi. Tujuan penelitian ini memberikan usulan perbaikan manajemen risiko keamanan informasi dengan menggunakan standar ISO/IEC 27001:2005. Dengan menggunakan standar ISO/IEC 27001:2005, didapat kesenjangan keamanan informasi yang dimiliki oleh perusahaan. Selanjutnya, dipilih kontrol objektif yang sesuai dengan kebutuhan aset kritikal yang dimiliki oleh perusahaan. Dari kontrol objektif yang telah dipilih, selanjutnya diberikan usulan perbaikan agar perusahaan dapat menutupi kesenjangan keamanan informasi yang dimiliki. Hasil penelitian ini didapat kontrol-kontrol pengamanan informasi yang akan diimplementasikan di perusahaan dalam bentuk dokumen statemen of applicabality(SOA).

---

Data and Information are valuable assets that need to be protected for company's businesses. Rapid growth in fraud cases, virus, hackers could threat management business information by exposing them which is caused by modern information technology. Hence, it is required to have information security management which protects confidentiality, integrity, and availability of information. As a company who runs in mobile solution, PT. XYZ uses information technology in company's information and data storage and processing. In order to minimize the risk, current information security needs to be visible by the company.

This research is conducted to provide potential suggestions on risk management improvement of information security using standard ISO/IEC 270001:2005 standard. By using ISO/IEC 270001:2005 standard, this research is able to assess and obtain gap analysis checklist of company's information security. According to company asset needs, objective controls will be selected. Results of this study obtained information security controls to be implemented in the company in the form of statements of applicabality documents (SOA)."

"PT. Z adalah organisasi yang bergerak di bidang asuransi kecelakaan lalu lintas, pemanfaatan TI bagi PT. Z adalah untuk mempercepat proses bisnis dan meningkatkan kualitasi penyediaan pelayanan, PT. Z dalam pengelolaan TI harus dapat mengantisipasi risiko yang ada. Pengelolaan terhadap manajemen risiko yang baik bagi PT. Z adalah termasuk kedalam penerapan GCG, untuk BUMN GCG berpedoman kepada Permen BUMN No. PER-02/MBU/2013 yang di rekomendasikan untuk di ikuti oleh semua BUMN, pada GCG PER-02/MBU/2013 salah satu deliverable nya adalah mengenai kebijakan pengelolaan manajemen risiko yang dapat menghasilkan prosedur kerangka kerja pengelolaan risiko TI, selain itu PT. Z memang ingin mengadopsi standar keamanan TI. Dalam penelitian ini, dipilih aplikasi utama dari PT. Z untuk dilakukan perancangan manajemen risiko yang sesuai, aplikasi pelayanan adalah salah satu aplikasi utaman bagi PT. Z dalam menjalankan bisnis nya. Rancangan manajemen risiko pada aplikasi ini memakai framework ISO27005 seperti penentuan konteks, kriteria dasar pengelolaan risiko, penentuan ruang lingkup, penilaian risiko, penanganan dan penerimaan risiko itu sendiri, aset utama dan aset pendukung pada aplikasi ini semua dilakukan penilaian risiko nya dan untuk menghitung nilai risiko menggunakan NIST SP 800-30, pada tahap penanganan risiko mengaplikasikan kontrol - kontrol yang ada pada ISO 27002. Dari hasil penelitian, dapat disimpulkan bahwa terdapat 13 risiko yang akan diterima dan 48 risiko yang akan dilakukan pengurangan dengan mengaplikasikan kontrol yang di rekomendasikan berdasarkan kepada ISO 27002.

---

PT. Z is an organization which run their business for accident insurance, IT Utilization for PT. Z is to accelerate the business processes and to improve the quality of service for their customers. A proper way to managed the risk management for PT. Z is including at implementation of Good Corporate Governance (GCG), GCG at PT. Z is guided by PERMEN BUMN No. PER-02/MBU/2013 which recommended to follow and comply by all of government companies. In PER-02/MBU/2013 one of its deliverable is about the policy of risk management that can give the result of framework IT risk management, in addition PT. Z want to adopt IT security standards.

In this study, has been choosen the main application of PT. Z to do risk management plan and design that appropriate and suitable for PT. Z, one of the key application that they had is “aplikasi pelayanan” to support their main business. Risk management plan and design for this application is using ISO27005 framework for determining the risk context, risk criteria, determining the scope, risk identification, risk estimation, risk evaluation, risk treatment and risk acceptance. Risk estimation using NIST SP 800-30 framework and for risk evaluation using control from ISO27002.

Concluding from this research is that is 13 risks that will accept and 48 risks that want to do a reduction by applied control that recommended by ISO 27002."

"Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Departemen Pertanian, sebagai lembaga pemerintahan yang bertanggungjawab pada penentu kebijakan, standarisasi, dan sosialisasi pertanian di seluruh wilayah RI tidak dapat dipungkiri juga membutuhkan informasi yang berkualitas guna menjalankan tugas pokok dan fungsi sebagaimana mestinya. Seiring dengan semakin meluasnya pemanfaatan teknologi informasi di sektor pemerintahan, maka semakin pentinglah peran informasi yang berkualitas bagi sektor ini. Keamanan informasi tidak dapat diimplementasikan dengan baik apabila faktor-faktor pendukungnya tidak dipertimbangkan. Media untuk menghasilkan informasi, menyimpan informasi dan menyebarkan informasi baik yang berupa perangkat keras, perangkat lunak dan perangkat jaringan harus diperhatikan sebagai aspek teknis dari keamanan sistem informasi. Begitu pula dengan aspek non teknis seperti kebijakan keamanan informasi, tata kelola, yang meliputi tugas dan tanggung jawab masing-masing personil juga harus diperhatikan dalam pengembangan manajemen keamanan sistem informasi yang komprehensif di Departemen Pertanian. Evaluasi sistem keamanan informasi perlu dilakukan sebagai upaya untuk menjaga keamanan asset sekaligus menjamin kegiatan pertukaran informasi dapat berjalan dengan aman dan seamless (mulus). Aspek yang dikaji meliputi aspek kebijakan dan prosedur keamanan informasi (policy) meliputi arsitektur dan model keamanan infomasi, aspek keamanan fisik, aspek teknis, aspek personil, dan aspek tata kelola sistem informasi.

---

Information security is one of the most important aspect of an information system. Unfortunately the owners and the managers of information system do not give enough attention to this aspect. Department of Agriculture that was responsible to policy makers, standardization, and socialization of agriculture development could not be ignored also needed good quality information in order to undertakes the task of the subject as it should be. The role of information in the government sector become important because of the expanding of the utilization information technology in this sector. Information security could not be implemented completely if the supporting factors were not considered. The media that produce, keep and spread the information such as hardware, software as well as network equipment must be considered as the technical aspect of the information security system. In the other hand, non technical aspect such as information security policy, information security management system , that covered the task and responsibility of each personnel must be considered into the development of the management of information security in Department of Agriculture. Evaluation of information security system at Department of Agriculture was made as efforts to maintain the security assets and simultaneously to guarantee the information exchange activity could be running safely and seamless (smooth). The aspect that was studied were the information security procedure (policy), architecture and security model, physical security aspect, technical aspect, personnel aspect, and management of information system aspect."

"ABSTRAKSistem Aplikasi Keuangan Tingkat Instansi SAKTI merupakan inisiatif Pemerintah dalam hal ini Kementerian Keuangan khususnya Direktorat Jenderal Perbendaharaan. SAKTI digagas untuk dapat membantu proses pengelolaan keuangan negara. Proses pengelolaan keuangan negara yang termasuk dalam lingkup layanan SAKTI adalah proses penganggaran, pembayaran, sampai dengan pelaporan keuangan. Berdasarkan lingkup layanan SAKTI terhadap proses pengelolaan keuangan negara, maka ketersediaan layanan SAKTI menjadi penting. Tidak tersedianya layanan SAKTI dapat menyebabkan proses pengelolaan keuangan negara tidak berjalan. Melihat dampak dari tidak tersedianya layanan SAKTI, SAKTI harus memiliki perangkat untuk menjamin layanan yang ada selalu tersedia. Penerapan manajemen risiko keamanan informasi dapat menjadi salah satu perangkat untuk menjamin layanan SAKTI selalu tersedia.Berdasarkan fakta di lapangan, SAKTI belum menerapkan manajemen risiko keamanan informasi. Oleh sebab itu, penelitian ini dilakukan dengan tujuan untuk membuat manajemen risiko keamanan informasi pada SAKTI. Kerangka kerja yang digunakan sebagai panduan pada penelitian ini adalah ISO 27005 dan NIST SP 800-30.Hasil dari penelitian ini adalah manajemen risiko keamanan informasi SAKTI. Manajemen risiko keamanan informasi SAKTI berisi mengenai identifikasi kerentanan dan ancaman yang terdapat di SAKTI, sekaligus rencana pengendalian yang perlu diterapkan untuk mengurangi dampak risiko.

---

ABSTRAKInstitutions Level Financial Application System SAKTI is an initiative of the Government in this case the Ministry of Finance in particular the Directorate General of Treasury. SAKTI initiated to help the process of management of state finances. The process of management of state finances that include in the scope of SAKTI services is start from budgeting, payment, up to financial reporting. Based on the scope of SAKTI services on the process of management of state finances, then the availability of SAKTI services become important. The unavailability of SAKTI services may cause the process of management of state finances not running. Looking at the impact of the unavailability of SAKTI services, SAKTI must have a tool to ensure the services are always available. Implementation of information security risk management can be one of the tools in order to ensure SAKTI services always available.Based on facts, SAKTI has not implemented information security risk management. Therefore, this study was conducted with the objective of making information security risk management at SAKTI. The framework that used as a guide in this study is ISO 27005 and NIST SP 800 30.The results from this study is the information security risk management of SAKTI. Information security risk management of SAKTI contain about the identification of vulnerabilities and threats that exist in SAKTI, as well as control that need to be implemented to reduce the impact of the risks."

"ABSTRAKBerkaitan dengan organisasi pemantauan keamanan Cyber nasional untuk publik, Indonesia memiliki tim insiden respon terhadap gangguan dan ancaman keamanan internet ID-SIRTII/CC (Indonesia Security Incident Response Team on Internet Infrastructure coordination centre) yang bertugas melakukan pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet di Indonesia dimana menurut Peraturan Menteri nomor 16/PER/M.KOMINFO/10/2010 yang memiliki peran mendukung terlaksananya proses penegakan hukum, menciptakan lingkungan dan pemanfaatan jaringan telekomunkasi berbasis protokol internet yang aman dari berbagai macam potensi ancaman dan gangguan, Mendukung terlaksananya koordinasi dengan pihak pihak terkait di dalam maupun luar negeri dalam upaya pencegahan, pendeteksian, peringatan dini dan mitigasi insiden pada infrastruktur strategis.ID-SIRTII/CC dalam kegiatan operasionalnya mengandalkan TI untuk menunjang fungsi dan tugasnya dalam pelayanan publik. Tingginya tingkat ketergantungan organisasi terhadap TIK diperlukan manajemen risiko TI untuk mengurangi atau memperkecil risiko risiko yang terjadi. Sesuai dengan permen kominfo no.41 tahun 2007 bahwa dalam melakukan tata kelola TI oleh institusi pemerintahan diperlukan manajemen risiko atas keberlangsungan layanan.Pada Karya akhir ini disusun evaluasi terhadap manajemen risiko sistem monitoring ID-SIRTII/CC dengan menggunakan kerangka kerja NIST sp800-30. Perancangannya dimulai dari identifikasi Risiko,Mitigasi Risiko dan Evaluasi terhadap risiko yang ada untuk kemudian mendapatkan rekomendasi kontrol yang diperlukan untuk sistem monitoring ID-SIRTII/CC.

---

ABSTRACTIn connection with the organization of national cyber security monitoring to the public, Indonesia has incident response team to interference and internet security threats named ID-SIRTII/CC (Indonesia Security Incident Response Team on Internet Infrastructure coordination centers). which aims to safeguard the use of internet protocol based telecommunications network in Indonesia where, according to Regulation No. 16 / PER / M.KOMINFO / 10/2010 which has the role of support the implementation of the law enforcement process, creating environmental and utilization of telecommunication networks based on Internet protocols that are safe from various kinds of potential threats and disturbances, Supports implementation in coordination with the relevant parties at home and abroad in the prevention, detection, early warning and mitigation of incidents in strategic infrastructure.ID-SIRTII/CC in its operations rely on IT to support the functions and duties in the publik service. The high level of dependence on ICT organizations IT risk management is needed to reduce or minimize the risk of the risk. In accordance with Kominfo regulation no.41 of 2007 that in performing IT governance by government institutions necessary risk management on the sustainability of the service.At the end of the work is structured evaluation of risk management monitoring system with the ID-SIRTII/CC using sp800-30 NIST framework. Its design starting from risk identification, Risk Mitigation and evaluation of the risks that exist to then get recommendations necessary controls for monitoring systems Of ID-SIRTII/CC."

"Tren digitalisasi yang semakin meningkat pada situasi pandemi Covid-19 saat ini telah mempengaruhi gaya hidup masyarakat baik individu maupun organisasi dan mengubah perilaku konvensional menjadi digital. Era digital menawarkan berbagai kemudahan, namun disisi lain terdapat tantangan berupa ancaman siber yang mempengaruhi keamanan siber suatu negara. Dalam rangka meningkatkan keamanan siber secara lebih efektif dan efisien pada salah satu Instansi Pemerintah di Indonesia, Pusat Data dan Teknologi Informasi Komunikasi (TIK) yang merupakan salah satu unsur pendukung di Badan XYZ menjadi obyek penelitian dalam rencana implementasi pengukuran kematangan keamanan siber. Berdasarkan kondisi saat ini, dapat diketahui bahwa implementasi pengelolaan keamanan TIK belum diterapkan secara optimal. Mengacu hal tersebut, maka dibutuhkan kerangka kerja keamanan secara komprehensif yang akan membantu dalam pengelolaan TIK secara lebih aman dalam mengantisipasi adanya ancaman siber yang semakin meningkat. Dalam penelitian ini, akan melakukan perancangan kerangka kerja kematangan keamanan siber dengan melakukan integrasi berdasarkan kerangka kerja, standar NIST CSF, ISO 27002 dan COBIT 2019. Hasil dari penelitian ini diantaranya: Kerangka kerja (framework) kematangan keamanan siber yang dihasilkan terdiri dari 201 aktivitas yang dapat diimplementasikan oleh organisasi, dan terbagi dalam 38 kategori pada framework kematangan keamanan siber. Selain itu, distribusi aktivitas dalam framework terdiri dari 21.56% berasal dari NIST CSF Model, 14.59% berasal dari ISO 27002, dan 63.85% berasal dari COBIT 2019 Model. Melalui konsep kerangka kerja kematangan keamanan siber yang dihasilkan diharapkan dapat menjadi masukan dalam penyusunan instrumen tingkat kematangan keamanan siber dan sandi secara organisasi.

---

The increasing trend of digitization in the current Covid-19 pandemic situation has affected the lifestyles of both individuals and organizations and changed conventional behavior to digital. The digital era offers various conveniences, but on the other hand, there are challenges in the form of cyber threats that affect the cybersecurity of a country. To improve cybersecurity more effectively and efficiently at one of the Government Agencies in Indonesia, the Center for Data and Information and Communication Technology (ICT), one of the XYZ Agency’s supporting elements, is the research object in implementing cybersecurity maturity. Based on current conditions, it can be seen that the implementation of ICT security management has not been implemented optimally. A comprehensive security framework is needed that will assist in managing ICT more securely in anticipating the increasing cyber threats. This research/ will design a cybersecurity maturity framework by integrating based on the framework, the NIST CSF standard, ISO 27002, and COBIT 2019. The results of this study include: The resulting cybersecurity maturity framework consists of 201 activities that can be implemented by the organization/ and is divided into 38 categories in the cybersecurity maturity framework. In addition, the distribution of activities in the frameworks consists of 21.56% derived from the NIST CSF Model, 14.59% comes from ISO 27002, and 63.85% comes from the COBIT 2019 Model. Through the concept of cybersecurity maturity framework produced, it is hoped that it becomes an input for preparing an organizational cybersecurity maturity level instrument. "

"Proses bisnis Badan Pusat Statistik (BPS) menggunakan Teknologi Informasi dan Komunikasi (TIK) secara ekstensif terutama dalam pengolahan data dan diseminasi hasil kegiatan statistik. Hal tersebut membutuhkan sistem keamanan informasi yang andal sesuai harapan. Namun, masih ditemukan insiden-insiden yang diindikasikan karena kurangnya kesadaran pegawai terhadap keamanan informasi. Faktor manusia selalu menjadi titik terlemah dalam sistem keamanan informasi. Oleh sebab itu, penelitian ini fokus pada aspek manusia tersebut dengan melakukan evaluasi kesadaran keamanan informasi pegawai BPS. Evaluasi dilakukan dengan pendekatan survei menggunakan kuesioner pada dimensi pengetahuan dan perilaku pegawai dalam 8 area kesadaran keamanan informasi. Sampel survei diambil secara probalistik dengan metode acak sistematis. Hasilnya, dari 231 responden yang merespons disimpulkan bahwa tingkat kesadaran keamanan informasi pegawai BPS masih kurang baik. Terdapat area-area yang perlu mendapatkan prioritas perbaikan, tiga area paling butuh perbaikan yaitu: penggunaan internet, pelaporan insiden, dan keamanan komputer kerja. Hasil analisis juga mengungkapkan bahwa tidak ada perbedaan yang signifikan tingkat kesadaran keamanan informasi berdasarkan jenis kelamin, kelompok umur, maupun satuan kerja pegawai.

---

The business process of the Statistics Indonesia (BPS) uses Information and Communication Technology (ICT) extensively, especially in data processing and dissemination. This requires a reliable information security system as expected. However, incidents were still found that were indicated due to a lack of employees information security awareness (ISA). Human factors have always been the weakest point in information security systems. Therefore, this study focuses on the human aspect by conducting an evaluation of employees information security awareness. A survey approach using a questionnaire was used to evaluate on employees knowledge and behavior in 8 areas of information security awareness. Survey samples were taken with a systematic random sampling method. As a result of 231 response, concluded that the level of employees information security awareness at BPS is not good enought. There are areas that need to be prioritized for improvement, the top three areas that need for improvement are: internet usage, incident reporting, and workstation security. Analysis also revealed that there was no significant difference in the level of information security awareness based by gender, age group, or employee working unit."

"PT XYZ bergerak pada bisnis jasa pialang asuransi. Pada pelaksanaan proses bisnisnya telah terjadi beberapa kali pencurian data. Selain itu dari audit yang dilakukan oleh Departemen Keuangan menunjukan bahwa dibutuhkan evaluasi terhadap keamanan informasi perusahaan. Evaluasi kondisi Manajemen Keamanan Informasi pada penelitian ini dilakukan dari sisi tata kelola TI untuk melihat kondisi Manajemen Keamanan Informasi dari sisi strategis perusahaan.Penelitian ini menggunakan kerangka kerja ISO 27001 dan COBIT untuk mengevaluasi kondisi manajemen keamanan informasi perusahaan. Sementara itu untuk mengevaluasi kondisi strategis pencapaian manajemen keamanan informasi digunakan IT BSC. Hasil akhir yang didapatkan adalah kondisi terkini Manajemen Keamanan Informasi.

---

PT XYZ is a corporation that runs insurance brokerage business. On the implementation of business processes there was data fraud occured several times . In addition, from an audit conducted by the Ministry of Finance shows that it’s necessary to made an evaluation of coorporation’s information security. Evaluation of Information Security Management conditions in this research was carried out from the side of IT governance to evaluate the information security management of the company's strategic.

This research use the framework of ISO 27001 and COBIT to evaluate the condition of coorporation’s information security management. Meanwhile, to evaluate the condition of the achievement of the strategic information security management IT BSC was used. The final result that obtained is the current state of information security management."

"Indonesia merupakan negara dengan jumlah penduduk dan pengguna internet terbesar keempat di dunia membuat kemungkinan serangan siber semakin besar. Oleh karena itu, dalam mempertimbangkan banyak potensi serangan siber yang dapat terjadi, perusahaan harus memiliki pemahaman yang mendalam tentang kualitas keamanan infrastruktur teknologi informasi (TI) yang dimilikinya. Penelitian ini mengevaluasi kualitas keamanan infrastruktur TI yang dimiliki PT XYZ saat ini dan membandingkannya dengan kualitas keamanan infrastruktur TI yang diharapkan PT XYZ menggunakan perluasan model kematangan keamanan siber yaitu Cybersecurity Capability Maturity Model (C2M2). Peneliti mengadopsi 10 (sepuluh) domain C2M2 dan 2 (dua) domain lain yang bersumber dari Center for Internet Security (CIS) Controls sehingga jumlah domain yang diuji pada model konseptual adalah 12 domain. Perluasan model ini menyesuaikan dengan kondisi dalam masa pandemi COVID-19. Metode yang digunakan dalam penelitian ini adalah in-depth interview dan kuesioner self-evaluation assessment. Data kemudian diolah dan dianalisis menggunakan gap analysis dan importance-performance analysis. Berdasarkan hasil penelitian, 10 domain C2M2 dan 2 domain CIS yang diujikan terhadap PT XYZ memiliki gaps pada Maturity Indicator Level (MIL) di masing-masing domain. Hampir seluruh domain yang diujikan berada di kuadran A pada matriks importance-performance analysis dimana tingkat kinerja rendah namun tingkat kepentingan tinggi. Skala prioritas dibuat agar PT XYZ dapat fokus memperbaiki domain yang memiliki selisih gaps besar dan tingkat kepentingan tinggi. Prioritas I atau prioritas utama domain yang harus segera dibenahi oleh PT XYZ adalah asset, change, and configuration management (ACM); identity and access management (IAM); dan event and incident response, continuity of operations (IR). Kemudian, prioritas II yaitu domain threat and vulnerability management (TVM). Lalu, prioritas III yaitu domain risk management (RM) dan situational awareness (SA). Kemudian, prioritas IV yaitu domain workforce management (WM) dan data protection (PR). Lalu, prioritas V yaitu domain information sharing and communications (ISC) dan cybersecurity program management (CPM). Terakhir, prioritas VI yaitu domain supply chain and dependencies management (EDM). Hal ini menunjukkan bahwa secara keseluruhan kualitas keamanan infrastruktur TI di PT XYZ belum mampu mengatasi risiko keamanan yang ada sehingga membutuhkan banyak perbaikan dan perlu dievaluasi secara menyeluruh.

---

Indonesia is a country with the fourth largest population and internet users in the world, making the possibility of cyberattacks even greater. Therefore, in considering the many potential cyberattacks that can occur, companies must have a deep understanding of the security quality of their information technology (IT) infrastructure. This research evaluates the security quality of PT XYZ's current IT infrastructure and compares it with the quality of IT infrastructure security expected by PT XYZ using a framework’s expansion of Cybersecurity Capability Maturity Model (C2M2). The researcher adopted 10 (ten) C2M2 domains and 2 (two) other domains sourced from the Center for Internet Security (CIS) Controls so that the number of domains tested in the conceptual model is 12 domains. The expansion of this model adapts to conditions during the COVID-19 pandemic. The methods used in this research are in-depth interviews and self-evaluation assessment questionnaires. The data is then processed and analyzed using gap analysis and importance-performance analysis. Based on the research results, 10 C2M2 domains and 2 CIS domains tested against PT XYZ have gaps in the Maturity Indicator Level (MIL) in each domain. Almost all of the tested domains are in quadrant A in the importance-performance analysis matrix where the level of performance is low but the level of importance is high. The priority scale is made so that PT XYZ can focus on improving domains that have large gaps and high levels of importance. Priority I or the main priority domains that must be addressed by PT XYZ are asset, change, and configuration management (ACM); identity and access management (IAM); and event and incident response, continuity of operations (IR). Then, priority II is the threat and vulnerability management (TVM) domain. Then, priority III is the domain of risk management (RM) and situational awareness (SA). Then, priority IV is the domain of workforce management (WM) and data protection (PR). Then, priority V is the domain of information sharing and communications (ISC) and cybersecurity program management (CPM). Finally, priority VI is the supply chain and dependencies management (EDM) domain. This shows that the overall security quality of PT XYZ’s IT infrastructure has not been able to overcome the existing security risks so that it requires a lot of improvements and needs to be evaluated thoroughly. "