Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sebagai perusahaan yang bergerak di bidang telekomunikasi, PT. XYZ harus memastikan bahwa mereka memiliki kemampuan yang memadai untuk melindungi data sensitif perusahaan dan pelanggannya. Meskipun berbagai sistem dan proses keamanan informasi sudah tersedia, sumber daya manusia masih merupakan mata rantai terlemah dalam keamanan siber. Metode bekerja Work From Home pada era New Normal membuat ancaman siber semakin besar. Pada dasarnya, Information Security Awareness (ISA) menunjukkan apakah pengguna menyadari tujuan dari keamanan informasi atau tidak. Dengan menggunakan skenario simulasi phishing assessment, penelitian ini menguji tingkat ISA karyawan PT. XYZ dan bagaimana edukasi ISA dapat meningkatkan tingkat kesadaran mereka. Hasil simulasidibandingkan antara sebelum dan sesudah mereka menerima edukasi ISA dalam skala prosentase. Hasil penelitian menunjukkan adanya dampak yang positif setelah edukasi diberikan. Karyawan yang mengklik URL phishing sebelum edukasi mencapai 31% berkurang menjadi 11% setelah edukasi. Sementara itu, karyawan yang terkena phishing menurun dari 24% menjadi 4%.

---

As a company that is operating in the telecommunication sector, PT. XYZ must ensure that they have adequate capabilities to protect their company’s and customers’ sensitive data. Although various information security systems and processes are already in place, human resources still are the weakest link in cyber security. The new method of Work From Home in the New Normal era makes the threat even larger. Basically, Information Security Awareness (ISA) denotes whether or not users are aware of information security objectives. Using a phishing scenario, this study examined the level of ISA of PT. XYZ employees and how ISA training might improve their awareness

level. The simulation outcomes were compared to the results before and after they received ISA education on a percentage scale. The results showed that there was a positive impact after ISA education was given. Employees who clicked on phishing URLs before training reached 31% reduced to 11% after training. Meanwhile, employees affected by phishing decreased from 24% to 4%."

"Tujuan utama keamanan informasi adalah menjaga aset informasi yang dimiliki oleh suatu organisasi, seperti kerahasiaan, integritas, dan ketersediaan (dikenal sebagai CIA). Dalam memelihara aset informasi, perusahaan biasanya mengelola keamanan informasi dengan membuat dan menerapkan kebijakan Sistem Manajemen Keamanan Informasi (SMKI). Kebijakan SMKI yang banyak digunakan dan diterapkan di Indonesia adalah ISO/IEC 27001. PT ABC adalah salah satu perusahaan telekomunikasi yang telah menerapkan standar dan prosedur ISO / IEC 27001: 2013. Perusahaan melakukan audit setahun sekali untuk menjaga tingkat kepatuhan dengan ISO / IEC 27001: 2013. Namun, hanya beberapa orang yang terlibat dalam melakukan audit, dan masih belum diketahui berapa banyak karyawan yang mengetahui keamanan informasi perusahaan. Penelitian ini berfokus pada penilaian seberapa besar kesadaran keamanan informasi yang ada dalam PT ABC. Kuesioner dibagikan di dua departemen perusahaan: supply chain management dan service delivery Jakarta Operation Network. Penelitian ini juga memeriksa dokumen perusahaan dan surveillance audit pada tahun 2018, dan menilai kepatuhan PT ABC terhadap implementasi ISO 27001:2013. Para karyawan dikelompokkan berdasarkan masa kerja karyawan. Setelah pendistribusian kuisioner dilakukan, maka dapat dihitung margin kesalahan yaitu 6%. Kuisioner yang didistribusikan dapat menjadi salah satu cara untuk mempermudah pengukuran level kesadaran keamanan informasi. Data penelitian menunjukkan bahwa sebagian besar karyawan yang telah bekerja di perusahaan selama lebih dari enam tahun memahami dan menerapkan kontrol ISO 27001. Sementara itu, perusahaan masih perlu mensosialisasikan ISO kepada karyawan yang telah bekerja di perusahaan hanya selama satu atau dua tahun.

---

The main purpose of information security is to safeguard information assets owned by an organization, such as confidentiality, integrity and availability (known as the CIA). In maintaining information assets, companies usually manage information security by creating and implementing an Information Security Management System (ISMS) policy. The ISMS policy that is widely used and applied in Indonesia is ISO/IEC 27001. PT ABC is one of the telecommunication companies in Jakarta that has implemented ISO/IEC 27001:2013 standards and procedures. The company conducts audits once a year to maintain compliance with ISO/IEC 27001: 2013. However, only a few people are involved in conducting audits, and it is still unknown how many employees are aware of company information security.

This study focuses on assessing how much information security awareness exists in PT ABC. Questionnaires were distributed in two company departments: supply chain management and service delivery Jakarta Operation Network. This study also examined company documents and surveillance audits in 2018, and assessed PT ABC`s compliance with the implementation of ISO 27001: 2013. Employees are grouped based on their length of work. The results of the questionnaire, with a margin of error of 6%. The distributed questionnaire can be one way to facilitate the measurement of the level of information security awareness.

Research data shows that most employees who have worked in the company for more than six years understand and implement ISO 27001 controls. Meanwhile, companies still need to socialize ISO to employees who have worked for the company for only one or two years."

"Sebagai Instansi pemerintah di bidang pengelolaan manajemen Aparatur Sipil Negara (ASN), Instansi XYZ mengelola 4,4 juta data pegawai yang tersebar di seluruh Indonesia yang perlu dijaga keamanannya. Berdasarkan laporan BSSN, terjadi peningkatan potensi ancaman yang signifikan dalam beberapa tahun terakhir dan diperkirakan akan terus berlanjut di tahun 2024, salah satunya adalah ancaman phishing. Penelitian ini dilakukan untuk mengukur tingkat kesadaran keamanan informasi Information Security Awareness (ISA) pegawai di Instansi XYZ. Pada Simulasi Phishing dan kuesioner digunakan untuk mengukur tingkat ISA dan pemberian edukasi ISA dapat meningkatkan level ISA pegawai. Pada pengisian kuesioner menggunakan metode HAIS-Q dengan pengembangan 8 fokus area menjadi 25 sub area yang diturunkan menjadi 75 pertanyaan. Jumlah pegawai dalam simulasi phishing ini berjumlah 266 pegawai yang tersebar diseluruh wilayah Indonesia. Hasil simulasi akan dibandingkan sebelum dan sesudah pemberian edukasi ISA. Hasil dari pemberian edukasi memberikan dampak positif bagi pegawai. Simulasi sebelum pemberian edukasi terdapat 21% pegawai yang mengeklik url phising dan setelah edukasi ISA terjadi penurunan menjadi 6%. Sedangkan pegawai yang memasukkan data sensitif pada laman palsu sebelum edukasi ISA sebanyak 31% dan setelah edukasi ISA terjadi penurunan menjadi 16%. Selain itu, kuesioner yang diisi oleh 150 pegawai menunjukkan hasil dengan nilai 86,54% untuk tingkat ISA pegawai yang masuk dalam kategori baik.

---

As a government agency in the field of managing the management of the State Civil Servant, XYZ Agency manages 4.4 million employee data spread throughout Indonesia which needs to be kept safe. Based on the BSSN report, there has been a significant increase in potential threats in recent years and is expected to continue in 2024, one of which is the threat of phishing. This research was conducted to measure the level of information security awareness (ISA) of employees at XYZ Institution. Phishing simulations and questionnaires are used to measure the level of ISA and providing ISA education can increase the level of ISA employees. In filling out the questionnaire using the HAIS-Q method with the development of 8 focus areas into 25 sub-areas which were reduced to 75 questions. The number of employees in this phishing simulation is 266 employees spread throughout Indonesia. The simulation results will be compared before and after the provision of ISA education. The results of providing education have a positive impact on employees. Simulations before providing education there were 21% of employees who clicked on phishing urls and after ISA education there was a decrease to 6%. While employees who entered sensitive data on fake pages before ISA education were 31% and after ISA education there was a decrease to 16%. In addition, a questionnaire filled out by 150 employees showed results with a value of 86.54% for the ISA level of employees who fell into the good category."

"Pada bulan September 2021, dilaporkan adanya dugaan pembobolan dan penyusupan hacker kedalam 10 Kementerian, Lembaga dan Instansi Pemerintah. Instansi XYZ adalah salah satunya. Instansi XYZ merupakan badan pengawas pemerintah yang belum menerapkan dan merancang kebijakan keamanan informasi dengan baik. Adanya peraturan dari Kementerian Kominfo dan BSSN terkait dengan keamanan informasi, membuat Instansi XYZ berinisiatif untuk memperbaiki kebijakan keamanan informasi sesuai dengan standar yang ditentukan oleh Kementerian Kominfo dan BSSN, yakni dengan menggunakan standar SNI ISO/IEC 27001:2013 Kebijakan keamanan informasi di Instansi XYZ dirancang sebagai acuan dalam mengidentifikasi dan memahami penilaian aset, ancaman, kerentanan, kemungkinan terjadinya gangguan, dan dampak yang didapatkan terhadap keamanan informasi. Penelitian ini dibuat dengan tujuan untuk merancang kebijakan keamanan informasi di Instansi XYZ menggunakan standar SNI ISO/IEC 27001:2013. Pengumpulan data dan uji validasi rancangan kebijakan keamanan informasi dilakukan dengan menggunakan metode wawancara dengan pihak terkait, antara lain: Kepala TI, sub koordinator keamanan informasi TI sub koordinator informasi, sub koordinator tata kelola TI dan manajemen risiko TI, dan sub koordinator infrastruktur. Selain itu, pengumpulan data juga dilakukan dengan melakukan analisis dokumen internal organisasi, studi literatur, dan mengkaji penelitian-penelitian yang dilakukan sebelumnya. Adapun penelitian ini dilakukan dengan beberapa tahapan, yaitu identifikasi aset, ancaman dan kerentanan; identifikasi risiko; penilaian risiko; penentuan kontrol risiko. Hasil penelitian ini memberikan rancangan kebijakan keamanan informasi yang sesuai dengan Instansi XYZ.

---

In September 2021, it was reported that there were allegations of hacking and cyber-attack on 10 ministries, institutions, and government in Indonesia. XYZ Institute is one of them. XYZ Institute is a government supervisory that has not implemented and designed information security policies properly. Following regulations from the Ministry of Communications and Informatics and BSSN related to information security, made XYZ Institute take the initiative to improve information security policies in accordance with the standards set by the Ministry of Communications and Informatics and BSSN using SNI ISO/IEC 27001:2013 The information security policy at XYZ Institute is designed as a reference in identifying and understanding the assessment of assets, threats, vulnerabilities, the possibility of interference, and the impact on information security. This study aims to design an information security policy at XYZ Institute, using the SNI ISO/IEC 27001:2013 as the standard. The data collection and validation test of the information security policy design was created by interviewing related parties, including head of IT, IT information security sub-coordinator, information sub-coordinator, IT governance and IT risk management sub-coordinator, and infrastructure sub-coordinator. In addition, data collection was performed by analyzing the organization's internal documents, literature studies and reviewing previous studies. The stages carried out in this research are the identification of assets, threats, and vulnerabilities; risk identification; risk assessment; risk control determination. The results of this study provide an information security policy design that is in accordance with XYZ Institute."

"Layanan cloud merupakan sumber daya infrastruktur yang efisien, fleksibel dan memiliki skalabilitas serta performa yang lebih baik. PT. Bank XYZ saat ini menggunakan layanan infrastruktur public cloud untuk 22 aplikasi non-transaksional namun menyimpan data pribadi nasabah. Meningkatnya tren serangan siber mendorong Bank XYZ untuk menetapkan indikator kinerja kunci zero incident data breach yang menjadi acuan dalam melakukan pengamanan informasi pada Bank XYZ. Namun, pada kenyataannya terdapat temuan kerentanan pada aplikasi Bank XYZ yang terletak di public cloud dan kebocoran kredensial akses public cloud yang menyebabkan terjadinya penyalahgunaan resource cloud. Kedua masalah ini dapat memberikan dampak terjadinya insiden kebocoran data yang pada akhirnya menimbulkan kerugian finansial dan reputasi bagi Bank XYZ. Salah satu penyebab utama dari masalah ini adalah belum adanya tata kelola keamanan informasi public cloud yang mendefinisikan secara jelas penentuan wewenang dan tanggung jawab perusahaan maupun penyedia layanan cloud. Oleh karena itu penelitian ini bertujuan untuk melakukan perancangan tata kelola keamanan informasi public cloud pada Bank XYZ. Framework yang digunakan dalam menyusun rancangan tata kelola keamanan informasi yaitu ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27017:2015. Selain itu ketentuan regulator POJK No.11/OJK.03/2022 dan Undang-Undang Perlindungan Data Pribadi (UU PDP) No.27 Tahun 2022 juga menjadi landasan teori dalam penyusunan tata kelola keamanan informasi public cloud. Pelaksanaan penelitian ini dilakukan dengan metode kualitatif yaitu melalui wawancara, Focus Group Discussion (FGD), dan analisis dokumen internal dan ketentuan terkait dengan tata kelola cloud. Wawancara, FGD, dan analisis dokumen yang dilakukan pada penelitian ini menghasilkan daftar risiko dan kontrol risiko yang harus diterapkan dalam pengamanan public cloud, yang kemudian digunakan sebagai dasar dalam menyusun rancangan tata kelola keamanan informasi public cloud pada Bank XYZ. Luaran dari penelitian ini adalah rancangan tata kelola keamanan informasi public cloud pada Bank XYZ.

---

Cloud services offer efficient, more scalability, better performance, and adaptable infrastructure resources. PT. Bank XYZ presently uses public cloud infrastructure services for 22 non-transactional applications that store customer data. The increasing cyber-attack trend has driven Bank XYZ to set a key performance indicator of a zero-incident data breach as the reference for securing information at Bank XYZ. However, system vulnerabilities were detected in the Bank XYZ application that uses public cloud infrastructure and leaks of cloud access credentials, leading to misuse of cloud resources. This problem may impact the occurrence of data leakage incidents that end up causing financial and reputational losses to Bank XYZ. One of the main causes of this problem is the absence of public cloud information security governance that clearly defines the authority and responsibility of companies and cloud service providers. Therefore, this research aims to establish public cloud information security governance for Bank XYZ. ISO/IEC 27001:2022, ISO/IEC 27002:2022, and ISO/IEC 27017:2015 were utilized to create the public cloud information security governance design. Regulatory compliance, such as POJK No.11/OJK.03/2022 and personal data protection law (UU PDP) No.27 of 2022, also provides a theoretical basis for developing public cloud information security governance. This study utilized qualitative approaches such as interviews, Focus Group Discussions (FGD), and an analysis of internal documentation and cloud governance compliance. The interviews, focus groups, and document analysis conducted for this study result in a list of risk controls that must be used in the public cloud, which is then used to establish public cloud information security governance for Bank XYZ. The outcome of this research is the design of Bank XYZ's public cloud information security governance."

"Keamanan informasi menjadi sebuah permasalahan tersendiri dari perkembangan Teknologi Informasi dan Komunikasi (TIK) dimana terdapat berbagai kerentanan pada penerapan TIK yang mengancam keamanan informasi organisasi, sehingga organisasi berusaha untuk melindungi aset informasi yang dimilikinya dengan menerapkan Sistem Manajemen Keamanan Informasi (SMKI). Instansi XYZ sebagai salah satu lembaga pemerintah yang memberikan layanan terkait TIK juga perlu menerapkan SMKI mengingat adanya indikasi kerentanan dalam penerapan TIK yang mengakibatkan permasalahan baik itu jaringan maupun sistem informasi. Penelitian ini bertujuan untuk melakukan evaluasi terhadap SMKI yang dimiliki Instansi XYZ dengan mengacu pada Indeks KAMI untuk mengukur tingkat kematangan keamanan informasi di Instansi XYZ sebagai dasar dalam memberikan saran dalam menyusun SMKI serta rekomendasi penerapan keamanan informasi di lingkungan Instansi XYZ. Hasil dari evaluasi Keamanan Informasi, Instansi XYZ berada pada level sistem elektronik strategis dengan status tidak layak. Oleh karenanya, dalam penelitian ini direkomendasikan 18 rencana kerja dan roadmap program kerja Instansi XYZ.

---

Information security is an important issue of the development of Information and Communication Technology (ICT) where there are various vulnerabilities that threaten the organization's information, so the organization tries to protect their information by implementing an Information Security Management System (ISMS). XYZ Agency as one of the government institutions that provides ICT services also needs to implement an ISMS considering the indications of vulnerability in the ICT applications that causes some problems both networks and information systems. This study aims to evaluate the ISMS for XYZ Agency that use KAMI Index to measure the maturity level of information security at XYZ Agency as a basis to review and give some recommendation for the information security implementation. Based on the results of the Information Security Evaluation, the XYZ Agency is at the level of the strategic electronic system with an inappropriate status. Therefore, in this research, there are 18 work plans and roadmaps for the work program of the XYZ Agency."

"In this era of digital age where considerable business activities are powered by digital and telecommunication technologies, deriving customer loyalty and satisfaction through delivering high quality services, driven by complex and sophisticated Information Technology (IT) systems, is one of the main services objectives of the Bank towards its customers. From customer services perspective, "availability" is a degree of how closed the Bank is to its customers so that they can "consume" the Bank"s services easily and in preference to its competitors. "Reliability" is the degree of how adequate and responsive the Bank is in meeting its customers" needs. "Confidentiality" is the trust the customers have in the Bank in that their confidential information will not fall into the wrong hands.Information Technology is one of the means that Bank uses to achieve quality service objectives. Reliance on IT requires an understanding of the importance of IT Security within the IT environments. As business advantages are derived from the use of IT to deliver quality services, critical IT security issues related to the use of IT should be understood and addressed. Safeguarding and protecting security Information systems and assets are prominent issues that all responsible IT users must address. Information is the most valuable assets of the Bank. Adequate resources must be allocated to carry out the safeguarding of Bank"s information assets through enforcing a defined IT Security Policies, Standards and Procedures.Compliance with international and national standards designed to facilitate the Interchange of data between Banks should be considered by the Bank"s management as part of the strategy for IT Security which helps to enforce and strengthen IT security within an organization."

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi.Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002.Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."

"Perusahaan sektor air Kota XYZ atau disebut perusahaan ABC adalah perusahaan negara yang memiliki perjanjian kerjasama (PKS) dengan dua mitra swasta selama 25 tahun sejak tahun 1998 dalam hal mendistribusikan air minum ke seluruh warga kota. PKS tersebut berakhir pada tahun 2023 sehingga perusahaan ABC kembali mengelola 100% operasional air minum tanpa swastanisasi melalui transisi operasional selama 6 bulan. Fokus pada penelitian ini adalah berdasarkan hasil konsultan transisi operasional bahwa kerangka kerja informasi dan siber yang dirujuk tidak mencakup seluruh proses bisnis serta organisasi dan tata kelola TI tidak cukup kuat mendukung proses bisnis perusahaan. Metode pemecahan masalah dalam penelitian ini adalah membuat desain kerangka kerja keamanan informasi dan siber yang sesuai dengan lingkup industri utilitas (C2M2 dan ISO 27019) dan memenuhi ketentuan pemerintah Republik Indonesia dalam PP 71:2019. Kerangka kerja ini menjadi acuan dalam penentuan langkah-langkah keamanan informasi dan siber serta penentuan prioritas berdasarkan kerangka SWOT dan Matrix Einsenhower. Selanjutnya kerangka kerja ini dijadikan acuan untuk perencanaan implementasi pada perusahaan ABC. Hasil dari penelitian ini adalah Kerangka Kerja (framework) keamanan informasi dan siber menghasilkan 73 sub-domain, selain itu juga menghasilkan 16 rekomendasi rencana kegiatan yang dapat diimplementasikan oleh organisasi. Melalui hasil tersebut diharapkan dapat menjadi masukan dalam penyusunan Key Performance Indicator (KPI) dalam mewujudkan keamanan informasi dan siber secara organisasi.

---

Since 1998, the XYZ City water sector firm, also known as company ABC, has had a 25-year cooperation agreement (PKS) with two private partners to deliver drinking water to the entire city's people. The Agreement has been end in 2023, after which company ABC retake complete management of the drinking water operations through a 6-month operational transition. The findings of the operational transition consultant, which indicate that the referenced information and cybersecurity framework does not encompass the entire business processes and organization, and IT governance is insufficient to support the company's business operations, are the focus of this research. The problem-solving strategy is to construct an information and cybersecurity framework that fits with the utilities sector scope (using C2M2 and ISO 27019) and complies with the government regulation of the Republic of Indonesia in PP 71:2019. Based on the SWOT framework and the Eisenhower Matrix, this framework serves as a guide for determining information and cybersecurity measures and prioritizing tasks. Furthermore, this framework serves as a roadmap for putting the action plan within company ABC. The study produces a complete information and cybersecurity framework with 73 sub-domains and 16 suggestions for actions plan that enterprises can implement. These findings are likely to be used to produce Key Performance Indicators Indicators (KPIs) to achieve organizational information and cybersecurity."

"PT XYZ merupakan salah satu Badan Usaha Milik Pemerintah (BUMN) Republik Indonesia yang bergerak pada bidang agribisnis. PT XYZ sudah memiliki sistem manajemen keamanan informasi (SMKI), namun masih ditemukan beberapa kendala seperti atensi personil terhadap keamanan informasi yang rendah, kebutuhan untuk tetap patuh dengan peraturan pemerintah, hingga kendala teknis yang muncul, sehingga PT XYZ ingin meningkatkan kapabilitas terkait keamanan informasi yang mereka miliki. Penelitian ini bertujuan untuk mengetahui kondisi terkini dari SMKI yang ada pada PT XYZ dan memberikan rekomendasi peningkatan SMKI. Penelitian ini menggunakan kontrol keamanan informasi berdasarkan standar ISO/IEC 27001:2022 untuk mendapatkan gap kondisi keamanan informasi, dan kemudian melakukan penilaian risiko yang memakai data hasil gap yaitu kontrol keamanan informasi yang terpilih. Setelah itu dilakukan rekomendasi yang disusun berdasarkan standar ISO/IEC 27002:2022. Temuan dari penelitian ini adalah ditemukannya 22 aktivitas kontrol ISO/IEC 27001:2022 yang hasil nilainya belum maksimal. 22 kontrol ini kemudian dibagi menjadi 3 kategori rekomendasi berdasarkan urgensi peningkatan yang sesuai dari hasil penilaian risiko.

---

PT XYZ is one of the government-owned enterprises of the Republic of Indonesia that engaged in agribusiness. PT XYZ already has an information security management system (ISMS), but there are still several obstacles that are found, such as low personnel attention to information security, the need to remain compliant with government regulations, to technical constraints that arise, so PT XYZ wants to improve its information security-related capabilities. This study aims to determine the current condition of the existing ISMS at PT XYZ and provide recommendations for improving the ISMS. This research uses information security controls based on the ISO/IEC 27001: 2022 standard to get the information security condition gap, and then conduct a risk assessment using the gap result data, namely the selected information security controls. After that, recommendations were made based on the ISO / IEC 27002: 2022 standard. The findings of this study were the discovery of 22 ISO/IEC 27001:2022 control activities whose value results were not maximised. These 22 controls are then divided into 3 categories of recommendations based on the urgency, from the results of the risk assessment."