Hasil Pencarian  ::  Simpan CSV :: Kembali

Abstrak :
Sistem Penyelenggaraan Berbasis Elektronik (SPBE) adalah bagian penting dari transformasi digital di instansi pemerintahan, salah satunya adalah Instansi XYZ. Meskipun era digital menawarkan banyak keuntungan akan tetapi tidak lepas dari risiko, seperti ancaman siber yang mengancam keamanan nasional. Fokus penelitian ini adalah Pusat Data dan Informasi,  sebagai satuan kerja pelaksana teknologi informasi dalam upaya meningkatkan keamanan siber di Instansi XYZ. Indeks KAMI adalah salah satu alat yang dapat digunakan untuk mengukur seberapa siap dan lengkap keamanan informasi. Ini memastikan bahwa proses peningkatan kualitas keamanan informasi dapat dilakukan dengan cepat dan efisien. Indeks KAMI v 4.2 digunakan untuk mengukur tingkat kematangan keamanan informasi, selain itu digunakan untuk mengevaluasi dan memberikan rekomendasi keamanan informasi sesuai dengan kerangka kerja SNI ISO 27001:2013 untuk Instansi XYZ. Berdasarkan data tahun 2022, hasil penilaian dari sistem elektronik Instansi XYZ masuk dalam kategori “Tinggi”. Sedangkan hasil evaluasi akhirnya mendapatkan nilai total 213 dari total 645 untuk kesiapan dan kelengkapan keamanan informasi. Nilai-nilai tersebut diperoleh dari bagian Tata Kelola 35 poin, Pengelolaan Risiko 18 poin, Kerangka Kerja Keamanan Informasi 40 poin, Pengelolaan Aset 59 poin, dan Teknologi dan Keamanan Informasi 61 poin. Dengan kata lain, Instansi XYZ masih memiliki tingkat kematangan keamanan informasi pada level I hingga I+ dengan status kesiapan "Tidak Layak". Menurut Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik, Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik diwajibkan untuk menerapkan SNI ISO 27001:2013  dan atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga, yang penerapannya tergantung pada tingkat kategori Sistem Elektroniknya. Hasil analisis Instansi XYZ belum memiliki kebijakan sistem manajemen keamanan informasi yang ditetapkan, walau sudah menerapkan aspek teknis dibeberapa kategori. Hasil penelitian ini merekomendasikan penerapan kontrol keamanan serta penyusunan kebijakan sistem manajemen keamanan informasi dengan menggunakan kerangka kerja SNI ISO 27001:2013.  Rekomendasi ini diharapkan dapat diimplementasikan pada Instansi XYZ guna menjamin implementasi keamanan informasinya. ......The System of Electronic-Based Organization (SPBE) is an important part of digital transformation in government agencies, one of which is XYZ Agency. Although the digital era offers many advantages, it is not free from risks, such as cyber threats that threaten national security. The focus of this research is the Data and Information Center, as the implementing work unit for information technology in an effort to improve cybersecurity at XYZ Agency. KAMI Index is one of the tools that can be used to measure how ready and complete information security is. This ensures that the process of improving the quality of information security can be done quickly and efficiently. KAMI Index v 4.2 is used to measure the maturity level of information security, besides that it is used to evaluate and provide information security recommendations in accordance with the SNI ISO 27001: 2013 framework for XYZ Agencies. Based on 2022 data, the assessment results of the XYZ Agency's electronic system fall into the "High" category. While the final evaluation results get a total score of 213 out of a total of 645 for information security readiness and completeness. These values are obtained from the Governance section 35 points, Risk Management 18 points, Information Security Framework 40 points, Asset Management 59 points, and Technology and Information Security 61 points. In other words, XYZ Institution still has an information security maturity level at level I to I+ with a readiness status of "Not Feasible". According to BSSN Regulation Number 8 of 2020 concerning Security Systems in the Implementation of Electronic Systems, Electronic System Providers that operate Electronic Systems are required to implement SNI ISO 27001: 2013 and or other security standards related to cybersecurity set by BSSN and other security standards related to cybersecurity set by Ministries or Institutions, whose application depends on the level of the Electronic System category. The results of the analysis of XYZ Institution do not yet have a defined information security management system policy, even though they have implemented technical aspects in several categories. The results of this study recommend the implementation of security controls and the preparation of an information security management system policy using the SNI ISO 27001: 2013 framework.  This recommendation is expected to be implemented at XYZ Agency to ensure the implementation of information security.

Abstrak :
Instansi XYZ adalah lembaga non kementrian yang berada di bawah Presiden dan bertanggung jawab langsung kepada Presiden. Salah satu tugas utama Instansi XYZ selain melakukan patroli keamanan dan keselamatan di laut adalah menyelenggarakan Sistem Peringatan Dini (SPD) keamanan dan keselamatan di wilayah perairan Indonesia. Didalam UU no. 32, disebutkan bahwa Instansi XYZ memiliki tugas pokok salah satunya adalah melakukan integrasi sistem peringatan dini keamanan dan keselamatan di wilayah perairan Indonesia.. Dalam rangka melakukan tugas dan fungsinya Instansi XYZ memiliki jaringan yang menggunakan Virtual Private Network (VPN) serta aktifitas lainnya yang digunakan oleh pengguna jaringan tersebut Kualitas keamanan informasi data pada Instansi XYZ perlu dilakukan peningkatan agar terjaminnya Confidentiality (Kerahasian), Integrity (Integritas), Availability (Ketersediaan). Indeks KAMI merupakan salah satu alat untuk menentukan indeks keamanan agar proses peningkatan kualitas keamanan dapat berjalan dengan efektif dan efisien. Tujuan pengukuran menggunakan Indeks KAMI pada Instansi XYZ adalah untuk menganalisis tingkat efektifitas pengamanan data dan informasi pada Instansi XYZ. Pengumpulan data dilakukan dengan melakukan pengamatan serta melakukan lembar penilaian dan wawancara. Metode yang dilakukan dalam penelitian ini adalah dengan melakukan pengukuran tingkat kematangan keamanan informasi pada Instansi XYZ dengan menggunakan Indeks KAMI dan mengevaluasi serta memberikan rekomendasi keamanan informasi dengan kerangka kerja NIST Cybersecurity Framework ISO 27001:2013 pada Instansi XYZ. Dari hasil pengukuran yang telah dilakukan pada Instansi XYZ menggunakan Indeks KAMI, diperoleh hasil bahwa instansi tersebut dikategorikan Tinggi untuk kategori sistem elektroniknya. Sedangkan hasil evaluasi akhirnya mendapatkan nilai yang “Tidak Layak”. Peneliti memberikan rekomendasi kontrol keamanan pada instansi XYZ dengan menggunakan framework NIST Cybersecurity dan ISO 27001:2013. Penggunaan kedua framework tersebut karena keduanya memiliki fleksibilitas yang dapat diterapkan pada semua jenis instansi serta dapat disesuaikan dengan kondisi sistem manajemen keamanan informasi yang ada pada instansi saat ini. Dalam penelitian ini, rekomendasi diberikan dimasing-masing area penilaian indeks KAMI dengan menggunakan kontrol keamanan NIST CSF dan ISO 27001:2013. Dari kelima area tersebut, rekomendasi prioritas berada pada area tata kelola yaitu berupa pembuatan kebijakan tentang keamanan informasi beserta turunannya dan 6 poin lainnya untuk meningkatkan tingkat kematangan sistem keamanan informasi di Instansi XYZ. ......The Maritime Security Agency of the Republic of Indonesia (XYZ Agency) is a non-ministerial institution under the President and responsible directly to the President through the Coordinating Minister for Political Law and Human Rights (Menko Polhukam). One of XYZ Agencies main tasks apart from conducting security and safety patrols at sea is to organize a security and safety Early Warning System (SPD) in Indonesian waters. In Law no. 32, it is stated that XYZ Agency has a main task, one of which is to integrate security and safety early warning systems in Indonesian waters. In order to carry out its duties and functions XYZ Agency has a network that uses a Virtual Private Network (VPN) and other activities used by network users. The quality of data information security at XYZ Agency needs to be improved to ensure Confidentiality, Integrity, Availability. The KAMI index is one of the tools to determine the security index so that the process of improving the quality of security can run effectively and efficiently. The purpose of measurement using the KAMI Index on XYZ Agency is to analyze the level of effectiveness of data and information security at XYZ Agency. From the results of measurements that have been carried out at XYZ Agency using the KAMI Index, the results show that the agency is categorized as High for the category of its electronic system. While the results of the evaluation finally get a value of "Not Eligible". Researchers provide recommendations for security control at XYZ agencies using the NIST Cybersecurity framework and ISO 27001:2013. The use of these two frameworks is because they have flexibility that can be applied to all types of agencies and can be adapted to the conditions of the information security management system that exists in the current agency. In this study, recommendations are given in each area of ​​the WE index assessment using NIST CSF and ISO 27001:2013 safety controls. Of the five areas, priority recommendations are in the governance area, namely in the form of making policies on information security and its derivatives and 6 other points to increase the maturity level of information security systems in XYZ Agencies.

Abstrak :
Pertukaran informasi dan penyebaran informasi melalui perangkat TIK akan melahirkan era banjirnya informasi dan berujung pada munculnya isu keamanan informasi. Untuk kementerian, lembaga, dan instansi pemerintah, isu keamanan informasi mulai mengemuka setelah diterbitkannya peraturan PP No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pada peraturan tersebut terdapat kewajiban pengamanan sistem elektronik bagi penyelenggara sistem elektronik untuk pelayanan publik. Pemerintah Kabupaten X merupakan instansi pemerintah yang melayani publik. Kondisi keamanan informasi di Pemerintah Kabupaten X saat ini masih lemah, terbukti dengan adanya insiden serangan malware yang ditujukan ke situs www.xkab.go.id. Penelitian ini difokuskan pada audit kepatuhan keamanan informasi dengan menggunakan kerangka kerja ISO/IEC 27001:2013. Model audit yang digunakan adalah model Plan. Model Plan adalah salah satu model Plan-Do-Check-Act yang merupakan pendekatan dalam mengelola Sistem Manajemen Keamanan Informasi (SMKI) pada ISO/IEC 27001:2005. Audit dilakukan dengan mengidentifikasi aset, ancaman, kerawanan dan rencana kerja untuk menghasilkan rekomendasi kebijakan, prosedur, instruksi dan dokumentasi. Hasil penelitian ini terdapat 143 kebijakan, prosedur, instruksi, dan dokumentasi yang direkomendasikan. Hasil rekomendasi tersebut telah memenuhi 148 kontrol dari 163 kontrol yang ada pada ISO/IEC 27001:2013. ......Information exchange and dissemination of information with ICT will give birth to the era of the flood of information and lead to the emergence of the issue of information security. For ministries, institutions and government agencies, information security related issues started to emerge after the issuance of regulation PP 82/2012 on the Implementation of the System and Electronic Transactions. There is an obligation on the regulation of electronic security systems for organizing electronic system for public services. X Regency is a government agency that serves the public. Information security conditions in X Regency still weak, as evidenced by the incidents of malware attacks aimed to the site www.xkab.go.id. This study focused on information security compliance auditing by using the framework of ISO / IEC 27001: 2013. The audit model used is a model Plan. Model Plan is one model of Plan-Do-Check-Act which is an approach to managing an Information Security Management System (ISMS) in ISO/IEC 27001:2005. Audit carried out by identifying assets, threats, vulnerabilities and work plan to produce policy recommendations, procedures, instructions and documentation. Results of this study are 143 policies, procedures, instructions, and documentation are recommended. Results of these recommendations have met control 148 of the 163 existing controls in ISO / IEC 27001:2013.

Abstrak :
ABSTRAK Bank XYZ berkomitmen memberikan layanan perbankan terdepan kepada nasabah dan perkembangan teknologi digital yang mendorong bank untuk bertumbuh lebih cepat melalui pengembangan layanan digital banking untuk meningkatkan pertumbuhan nasabah baru dan meningkatkan kemudahan transaksi perbankan. Dengan bertambahnya pemanfaatan teknologi informasi melalui penerapan layanan digital banking terbaru, maka bertambah juga ancaman terhadap keamanan informasi yang perlu diantisipasi untuk memastikan prinsip kerahasiaan, integritas, dan ketersediaan suatu informasi. Penelitian ini bertujuan untuk mengetahui kemungkinan risiko-risiko terhadap layanan digital banking dan merancang suatu kebijakan keamanan informasi sebagai bagian dari alat kontrol terhadap risiko keamanan informasi pada digital banking. Penelitian ini merupakan penelitian studi kasus dengan metode kualitatif dengan melakukan analisis melalui observasi secara langsung dan juga pada dokumen internal bank yang terkait dengan layanan digital banking terbaru. Penelitian ini membahas aktivitas manajemen risiko dan menentukan kontrol keamanan informasi yang tepat berdasarkan standar ISO 27001:2013. Penelitian ini menghasilkan suatu rancangan kebijakan keamanan informasi mencakup 64 kontrol keamanan dari 114 kontrol yang ada pada Annex A ISO 27001:2013 dan berdasarkan penilaian risiko pada delapan aset informasi dan juga 23 aset pendukung layanan digital banking terbaru dari Bank XYZ. Kontrol keamanan pada ISO 27001:2013 sesuai dengan kebutuhan penerapan keamanan informasi pada Bank XYZ karena dapat mencakup seluruh kerentanan yang ada pada aset digital banking. Rancangan kebijakan ini dapat digunakan bagi Bank untuk pembuatan standar dan prosedur keamanan informasi terkait layanan digital banking.

---

ABSTRACT XYZ Bank committed to provide leading banking services to customers and the development of digital technology that encourages banks to grow faster through the development of digital banking services to increase new customer growth and also improve the ease of banking transactions. With the increasing use of information technology in the application of digital banking services, it also increased the threats to the information assets that need to be anticipated to ensure the confidentiality, integrity, and availability of the information. This research aims to determine the possibility of digital banking services risks and design an information security policy as part of the information security risk control. This is a case study research with a qualitative analysis method through direct observation and also on the bank's internal documents related to digital banking services. This research discusses the risk management activities and determines the appropriate information security controls based on the standard from ISO 27001: 2013. The research produced a draft of an information security policy that includes 64 security controls from 114 security controls in Annex A of ISO 27001: 2013 and based on risk assessment from eight information assets and 23 supporting assets of digital banking services from XYZ Bank. Security controls on ISO 27001: 2013 match the requirements for implementing information security at XYZ Bank because it can cover all assets' vulnerabilities that exist in digital banking. The policy can be used as a reference to create standards and procedures related to the information security of digital banking services.

Abstrak :
Penelitian ini bertujuan untuk menganalisis serta mengidentifikasi dampak kepemilikan sertifikasi ISO 27001:2013 terhadap peningkatan pendapatan, retensi pelanggan, dan keamanan sistem informasi dalam konteks scale-up business pada perusahaan startup delman.io. Metode penelitian yang digunakan adalah studi kasus dengan pendekatan kualitatif. Hasil penelitian menunjukkan bahwa peningkatan pendapatan delman.io lebih dipengaruhi oleh strategi bisnis yang diimplementasikan, seperti kualitas layanan, target pasar yang jelas, inovasi produk, pemasaran digital, strategi pertumbuhan, serta penghematan biaya. Meskipun demikian, penerapan ISO 27001:2013 memberikan dampak positif terhadap retensi pelanggan. Kepemilikan sertifikasi ini membantu delman.io dalam menarik dan mempertahankan pelanggan dengan meningkatkan kepercayaan dan menunjukkan komitmen terhadap keamanan informasi yang ada. Selain itu, sertifikasi ISO 27001:2013 juga memberikan keunggulan kompetitif bagi delman.io dalam memenangkan penawaran. Penerapan ISO 27001:2013 juga berdampak signifikan terhadap keamanan sistem informasi yang ada pada delman.io. Standar ini membantu perusahaan dalam mengidentifikasi dan mengevaluasi risiko keamanan informasi serta mengembangkan kebijakan dan prosedur keamanan yang terstruktur. Secara keseluruhan, penelitian ini menyimpulkan bahwa kepemilikan sertifikasi ISO 27001:2013 memiliki peran penting dalam meningkatkan keamanan informasi dan retensi pelanggan bagi delman.io, meskipun tidak memiliki dampak langsung yang signifikan terhadap peningkatan pendapatan. ......This study aims to assess the influence of ISO 27001:2013 certification ownership on revenue growth, customer retention, and information system security in the business development of the startup company delman.io. A case study approach with a qualitative methodology was employed. The qualitative approach facilitated in-depth insights through interviews. The findings indicate that delman.io's revenue growth was predominantly driven by effective business strategies such as service quality, targeted and digital marketing, product innovation, growth strategies, and cost savings. However, the possession of ISO 27001:2013 certification positively impacted customer retention. The certification enhanced customer trust, demonstrating the company's commitment to information security and providing a competitive edge in securing contracts. Furthermore, implementing ISO 27001:2013 significantly improved information system security at delman.io by identifying and evaluating information security risks and establishing comprehensive security policies and procedures. In conclusion, this study highlights the crucial role of ISO 27001:2013 certification in improving information security and customer retention at delman.io, although its impact on revenue growth remains limited.

Abstrak :
Tingkat keberhasilan implementasi dan pengembangan manajemen proyek infrastruktur TI di area industri farmasi sangat dipengaruhi oleh kesiapan pengelolaan proyek. Salah satu aspek yang kurang mendapat perhatian dalam pelaksanaan proyek adalah pengendalian keamanan informasi. Aspek ini merupakan poin critical yang harus dikelola organisasi untuk menjaga confidentiality (C), integrity (I), dan availability (A). Dari data tim keamanan TI farmasi pada 2021 juga menunjukkan bahwa ada potensi insiden yang disebabkan oleh ancaman internal dan eksternal sebanyak 2928 setiap bulan serta 35.04% memiliki korelasi erat dengan proyek Infrastruktur TI dalam 3 tahun terakhir. Sehingga dalam penelitian ini akan dilakukan perencanaan dan tata kelola penerapan kontrol keamanan informasi pada salah satu proyek infrastruktur TI yaitu “Teknologi Agile Networking SD-WAN” dengan pendekatan ITIL V4 dan ISO 27001:2013. Dengan melakukan analisis risiko berbasis ITIL V4 diharapkan dapat menerapkan kontrol keamanan yang tepat dari ISO 27001 : 2013 sehingga dapat mengurangi atau menurunkan potensi insiden dari ancaman yang ada. Dari analisis dan pengujian dengan pendekatan ITIL V4 dan ISO 27001:2013 melalui metode kualitatif didapatkan tingkat kesenjangan dengan gap sebesar 34.2% dan 32.3% terhadap prasyarat yang telah diajukan. Untuk mencapai target yang diinginkan diperlukan pemetaan keterlibatan pelaku proyek dan penambahan kontrol keamanan di fase manajemen proyek SD-WAN. Kerangka kerja yang telah disusun juga dapat menjadi rekomendasi dan referensi organisasi untuk menyusun keamanan informasi dari setiap manajemen proyek khususnya infrastruktur TI sehingga dapat mengatasi kerentanan terhadap ancaman keamanan yang dapat mempengaruhi proses bisnis di masa depan. ......The success rate of implementation and development of IT infrastructure project management in the pharmaceutical industry area is greatly influenced by project management readiness. One aspect that received little attention in implementing the project was information security control. This aspect is a critical point that the instance must manage to maintain confidentiality (C), integrity (I), and availability (A). From the data of the pharmaceutical IT security team in 2021 it also shows that there are potential incidents caused by internal and external threats of 2928 each month and 35.04% have a close correlation with the IT Infrastructure project in the last 3 years. In this study, planning and managing the implementation of information security controls on one of the IT infrastructure projects “SD-WAN Agile Networking Technology” with the approach of ITIL V4 and ISO 27001:2013. By conducting ITIL V4 based risk analysis it is expected to implement appropriate security controls from ISO 27001: 2013 so that it is predicted to reduce or decrease potential incidents from existing threats. From analysis and testing with the approaches of ITIL V4 and ISO 27001:2013 through qualitative methods, a gap of 34.2% and 32.3% was obtained with respect to the proposed requirements. To achieve the desired target requires mapping the involvement of project participants and additional security controls in the SD-WAN project management phase. A structured framework can also serve as an agency recommendation and reference for compiling the information security of any project management in particular IT infrastructure so that it can address vulnerabilities to security threats that may affect future business processes.

Abstrak :
ABSTRAK Informasi merupakan aset vital bagi suatu organisasi, oleh karena itu maka diperlukan suatu mekanisme yang terstruktur untuk melindungi informasi yang dimiliki suatu organisasi. Perguruan tinggi merupakan salah satu sektor yang berisiko sangat tinggi terhadap keamanan informasinya. Perguruan tinggi dihadapkan pada tantangan menyeimbangkan antara kultur keterbukaan informasi dengan penjaminan perlindungan aset informasinya. Universitas XYZ merupakan salah satu perguruan tinggi yang memiliki aset informasi yang perlu dilindungi. Berdasarkan hasil wawancara dapat diketahui bahwa telah terjadi beberapa masalah yang menyangkut insiden keamanan informasi yang menimbulkan kerugian berupa kerugian finansial, kerugian operasional dan kerugian reputasi atau citra Universitas XYZ. Penelitian ini bertujuan untuk mengidentifikasi aset, risiko dan memberikan kontrol keamanan informasi yang sesuai dengan keadaan di Direktorat Akademik Universitas XYZ. Kontrol keamanan informasi yang digunakan berbasis ISO 27001:2013. Penelitian ini merupakan penelitian studi kasus dengan metode penelitian semi kuantitatif. Penelitian ini membahas mengenai serangkaian kegiatan manajemen risiko dan menerapkan kontrol keamanan informasi yang tepat yang terdapat pada ISO 27001:2013. Hasil penelitian ini adalah rancangan kebijakan keamanaan informasi bagi Direktorat Akademik Universitas XYZ. Rancangan kebijakan keamanan informasi digunakan sebagai acuan dalam meminimalisir risiko keamanan informasi.

---

ABSTRACT Information is a vital assets for organization, therefor a structured mechanism is needed to protect organization information assets. Higher education is one of the highest sector that have high risk in their information security area. Higher education are faced with the challenge of balancing between the culture of information opennes and protection of information assets. XYZ University also have information assets that needs to be protected. Based on interview, there are several information security incidents causing financial, reputation and operational loss for XYZ University. This research aims to identify assets, risk, and appropriate information security control suitable for XYZ University Academic Directorate. Information security control based on ISO 27001:2013. This is a case study research with a semi quantitative method. This research discuss about a set of risk management activity and implement appropriate information security control based on ISO 27001:2013. Result of this research is an information security policy design suitable for Academic Directorate University of XYZ. Information security policy is used as a reference to minimize the risk of information security.

Abstrak :
Keamanan informasi menjadi sebuah permasalahan tersendiri dari perkembangan Teknologi Informasi dan Komunikasi (TIK) dimana terdapat berbagai kerentanan pada penerapan TIK yang mengancam keamanan informasi organisasi, sehingga organisasi berusaha untuk melindungi aset informasi yang dimilikinya dengan menerapkan Sistem Manajemen Keamanan Informasi (SMKI). Instansi XYZ sebagai salah satu lembaga pemerintah yang memberikan layanan terkait TIK juga perlu menerapkan SMKI mengingat adanya indikasi kerentanan dalam penerapan TIK yang mengakibatkan permasalahan baik itu jaringan maupun sistem informasi. Penelitian ini bertujuan untuk melakukan evaluasi terhadap SMKI yang dimiliki Instansi XYZ dengan mengacu pada Indeks KAMI untuk mengukur tingkat kematangan keamanan informasi di Instansi XYZ sebagai dasar dalam memberikan saran dalam menyusun SMKI serta rekomendasi penerapan keamanan informasi di lingkungan Instansi XYZ. Hasil dari evaluasi Keamanan Informasi, Instansi XYZ berada pada level sistem elektronik strategis dengan status tidak layak. Oleh karenanya, dalam penelitian ini direkomendasikan 18 rencana kerja dan roadmap program kerja Instansi XYZ. ......Information security is an important issue of the development of Information and Communication Technology (ICT) where there are various vulnerabilities that threaten the organization's information, so the organization tries to protect their information by implementing an Information Security Management System (ISMS). XYZ Agency as one of the government institutions that provides ICT services also needs to implement an ISMS considering the indications of vulnerability in the ICT applications that causes some problems both networks and information systems. This study aims to evaluate the ISMS for XYZ Agency that use KAMI Index to measure the maturity level of information security at XYZ Agency as a basis to review and give some recommendation for the information security implementation. Based on the results of the Information Security Evaluation, the XYZ Agency is at the level of the strategic electronic system with an inappropriate status. Therefore, in this research, there are 18 work plans and roadmaps for the work program of the XYZ Agency.

Abstrak :
Kementerian Kesehatan Republik Indonesia merencanakan percepatan digitalisasi di sektor kesehatan, yang salah satunya adalah penerapan rekam medis elektronik di seluruh fasilitas kesehatan. Namun, seperti yang kita ketahui dengan semakin berkembangnya proses digitalisasi di dunia kesehatan, semakin besar pula ancaman terhadap kebocoran data medis. Hingga saat ini belum ada suatu standar terkait praktik keamanan sistem informasi rumah sakit yang diatur dalam regulasi. Pada penelitian ini, standar ISO 27001:2013 digunakan sebagai alat evaluasi penilaian praktik keamanan sistem informasi rumah sakit RSIA Bina Medika. Didapatkan pada hasil penelitan bahwa dari 6 kontrol ISO 27001:2013 yang dipilih (manajemen aset, kontrol akses, perlindungan fisik dan lingkungan, keamanan operasional, keamanan komunikasi dan keamanan sumber daya manusia), 4 diantaranya sudah sesuai dengan standar dan 2 masih belum lengkap. Belum adanya kebijakan terkait pelabelan informasi serta belum adanya pelatihan rutin terkait praktik keamanan sistem informasi kepada pegawai menjadi poin yang belum dilaksanakan oleh rumah sakit. Hal ini membuka risiko ancaman kebocoran data medis terutama terkait dengan pengelolaan data medis secara internal rumah sakit. ......Indonesia’s Ministry of Health is currently enacting a plan to further accelerate the digitalization of the healthcare sector. One of the plans is to ensure the application of Electronic Medical Record (EMR) in all healthcare facilities across Indonesia. Though it is known that the further we accelerate digitalization, the higher the risk of data breaches. The current regulations do not state any standard to adopt as a framework for hospital cybersecurity. Thus, this research aims to implement ISO 27001:2013 standards as one of the means to evaluate the practice of hospital cybersecurity at Bina Medika Maternal and Children Hospital. The results are, according to 6 controls chosen in this research (asset management, access control, physical and environmental security, operational security, communication security, and human resources security), that 4 of the controls are practiced according to the standards. 2 controls that are still not practiced according to the standards, lack the practice and regulation regarding information labeling and routine training of the employees regarding the practice hospital cybersecurity. This opens a risk of medical data breach particularly from inside the organization due to the mishandling of medical information by employees.