Hasil Pencarian  ::  Simpan CSV :: Kembali

"Keamanan informasi, terutama di sektor pemerintahan seperti Instansi XYZ, menjadi isu penting di era digital saat ini. Pusat Jaringan Komunikasi sebagai pengelola TIK Instansi XYZ menghadapi tantangan dalam mengimplementasikan sistem manajemen keamanan informasi sesuai dengan standar ISO/IEC 27001. Tantangan utama yang dihadapi saat ini ialah kesiapan upgrade pengimplementasian sistem manajemen keamanan informasi mengikuti standar ISO/IEC 27001 yang terbaru yaitu versi 2022. Oleh karena itu, penelitian ini bertujuan untuk melakukan analisis kesenjangan dan memberikan rekomendasi untuk penerapan ISO/IEC 27001:2022 pada layanan VSAT, LAN, Website Utama, dan Email di Pusat Jaringan Komunikasi Instansi XYZ. Penelitian ini merupakan penelitian kualitatif dimana pengumpulan data akan dilakukan dengan wawancara, studi dokumen dan observasi. Seluruh data yang telah terkumpul akan dilakukan analisis kesesuaian berdasarkan framework ISO/IEC 27001:2022. Hasil dari penelitian berdasarkan gap analysis menunjukkan adanya 23 kesenjangan yang terdiri dari 10 kesenjangan pada klausul dan 13 pada kontrol annex sehingga direkomendasikan pembaruan maupun perumusan kebijakan, prosedur, atau proses pada masing-masing klausul dan kontrol tersebut. Selain itu, dihasilkan rekomendasi penerapan kontrol ISO/IEC 27001:2022 dan jadwal implementasi. Rekomendasi penerapan kontrol sesuai dengan proses bisnis organisasi yaitu 85 kontrol diterapkan pada ruang lingkup LAN dan email, 90 kontrol pada ruang lingkup website utama, dan 84 kontrol pada ruang lingkup VSAT. Pelaksanaan keseluruhan rekomendasi penerapan ini diharapkan dapat membantu proses transisi dari implementasi ISO/IEC 27001:2013 ke ISO/IEC 27001:2022 di Pusjarkom.

---

Information security, especially in the government sector such as XYZ Agency, is an important issue in today's digital era. The Communication Network Center, as the ICT manager of the XYZ Agency, faces challenges in implementing an information security management system in accordance with the ISO/IEC 27001 standard. The main challenge faced at this time is the readiness to upgrade the implementation of information security management system following the latest ISO/IEC 27001 standard, namely version 2022. Therefore, this research aims to conduct a gap analysis and provide recommendations for the implementation of ISO/IEC 27001: 2022 on VSAT, LAN, Main Website, and Email services at the XYZ Agency Communication Network Center. This research is qualitative research where data collection will be carried out by interviews, document study and observation. All data that has been collected will be analyzed for suitability according to the ISO / IEC 27001: 2022 framework. The results of the research based on the gap analysis showed 23 gaps consisting of 10 gaps in the clauses and 13 in the annex controls so that it is recommended to update or formulate policies, procedures, or processes in each of these clauses and controls. In addition, recommendations for the implementation of ISO/IEC 27001:2022 controls and implementation schedules were produced. Recommendations for implementing controls in accordance with the organization's business processes, namely 85 controls applied to the scope of LAN and email, 90 controls to the scope of the main website, and 84 controls to the scope of VSAT. The fulfillment of all implementation recommendations is expected to help the transition process from ISO/IEC 27001:2013 to ISO/IEC 27001:2022 implementation in Pusjarkom."

"Pengelolaan informasi yang baik dapat menjaga keberlanjutan bisnis perusahaan, memanfaatkan peluang bisnis, dan memaksimalkan nilai return dari investasi. Pengelolaan keamanan informasi dilakukan perusahaan dengan membuat Sistem Manajemen Keamanan Informasi (SMKI) untuk mengantisipasi setiap ancaman terhadap aset informasi. Standar SMKI yang banyak diadopsi adalah ISO/IEC 27001:2005. Standar versi 2005 ini mengalami revisi pada tahun 2013. Dengan adanya revisi tersebut, maka perusahaan yang telah memiliki sertifikasi ISO/IEC 27001 harus melakukan penyesuaian SMKI agar tetap selaras dengan versi 2013. PT. XYZ sebagai operator selular dengan jumlah pelanggan terbanyak di Indonesia mengelola aset informasinya dengan menerapkan SMKI berbasis ISO/IEC 27001:2005. PT. XYZ harus menyesuaikan SMKI dengan versi 2013 agar pengelolaan keamanan informasi yang dilakukan tetap sesuai dengan best practices terbaru dalam mengatasi risiko informasi terkini. Penyesuaian ini juga menunjukkan komitmen PT. XYZ dalam melindungi data pelanggan, meningkatkan kredibilitas dalam pasar yang kompetitif, dan mempertahankan sertifikasi ISO/IEC 27001 yang pernah diraihnya. Untuk itu perlu dilakukan audit kepatuhan keamanan informasi yang berlaku di PT. XYZ terhadap ISO/IEC 27001:2013. Penelitian menunjukkan sejauh mana SMKI PT. XYZ patuh terhadap ISO/IEC 27001:2013. Untuk meningkatkan kepatuhan direkomendasikan beberapa kebijakan dan prosedur yang perlu ditambahkan, yaitu terkait komunikasi SMKI kepada pihak terkait, kontrol terhadap supply chain, dan kontrol redundan.

---

Information management will maintain the sustainability of the company's business, take advantage of business opportunities, and maximize the return value of the investment. Information Security Management System (ISMS) done by enterprise to anticipate any threats to information assets. Widely adopted ISMS standard is ISO / IEC 27001: 2005. This version of the standard was revised in 2013. With this revision, the company with ISO / IEC 27001 Certification should make adjustments to comply with new standard.

PT. XYZ as a service provider with the highest number of subscribers in Indonesia manage their information assets by implementing ISMS based on ISO / IEC 27001:2005. PT. XYZ must adjust the ISMS in order to stay aligned with the latest best practices and newest information risk. This adjustment also shows the commitment of PT. XYZ in protecting customer data, improving credibility in a competitive market, and maintain ISO / IEC 27001 Certification. Therefore, compliance audit of information security in PT. XYZ need to be done. Audit shows the extent of the ISMS adherence to ISO / IEC 27001:2013. To improve compliance, we recommend several policies and procedures that need to be added: communications to related parties, control of the supply chain, and control of redundancy."

"Kebijakan keamanan informasi di PT XYZ Multifinance dirancang untuk digunakan sebagai acuan dalam memahami dan mengidentifikasi serta melakukan analisis penilaian aset, ancaman, kerentanan, insiden atau gangguan, frekuensi terjadinya gangguan, dan pengaruh terhadap keamanan informasi. Sebagai tindak lanjut, kebijakan keamanan informasi perlu dievaluasi untuk menentukan penanganan yang tepat, monitoring, dan dikembangkan sesuai kondisi yang ada. Penelitian ini bertujuan untuk merancang kebijakan keamanan informasi di PT XYZ Multifinance. Penelitian ini menggunakan standar ISO/IEC 27001:2013. Pengumpulan data dan uji validasi rancangan kebijakan dilakukan dengan wawancara terhadap pihak-pihak yang berkaitan dengan keamanan informasi, antara lain: general m-anager TI, manager TI, deputi manager manajemen risiko, dan manager manajemen risiko. Selain itu, pengumpulan data juga dilakukan dengan observasi, studi literatur, mengkaji penelitian-penelitian yang dilakukan sebelumnya, dan dokumen internal organisasi. Dalam menyusun rancangan kebijakan keamanan informasi, tahap-tahap yang dilakukan adalah tahap identifikasi aset, ancaman, dan kerentanan; identifikasi risiko; analisis risiko kualitatif; perencanaan respon terhadap risiko; pemantauan dan pengendalian risiko. Hasil penelitian ini memberikan rancangan kebijakan keamanan informasi yang sesuai untuk diterapkan di PT XYZ Multifinance.

---

Information security policy at PT XYZ Multifinance designed which can be applied as a reference in understanding and identifying and also analyzing asset assessments, threats, vulnerabilities, incidents or disruptions, frequency of disturbances, and the impact on information security. As a follow up, information security policies need to be evaluated to determine the appropriate handling, monitoring, and developed according to existing conditions. This study aims to design an information security policy at PT XYZ Multifinance. This study uses the ISO / IEC 27001: 2013 standard. Data collection and validation tests for policy drafts were conducted by interviewing parties related to information security, including: IT general manager, IT manager, deputy risk management manager and risk management manager. In addition, data collection was also carried out by observation, literature study, reviewing previous studies, and internal organizational documents. In drafting an information security policy, the steps taken are the identification of assets, threats and vulnerabilities; risk identification; qualitative risk analysis; risk response planning design; monitoring and controlling risk. The objective of this study can provide an appropriate information security policy design to be implemented in PT XYZ Multifinance."

"Keamanan informasi, terutama di sektor pemerintahan seperti Instansi XYZ, menjadi isu penting di era digital saat ini. Pusat Jaringan Komunikasi sebagai pengelola TIK Instansi XYZ menghadapi tantangan dalam mengimplementasikan sistem manajemen keamanan informasi sesuai dengan standar ISO/IEC 27001. Tantangan utama yang dihadapi saat ini ialah kesiapan upgrade pengimplementasian sistem manajemen keamanan informasi mengikuti standar ISO/IEC 27001 yang terbaru yaitu versi 2022. Oleh karena itu, penelitian ini bertujuan untuk melakukan analisis kesenjangan dan memberikan rekomendasi untuk penerapan ISO/IEC 27001:2022 pada layanan VSAT, LAN, Website Utama, dan Email di Pusat Jaringan Komunikasi Instansi XYZ. Penelitian ini merupakan penelitian kualitatif dimana pengumpulan data akan dilakukan dengan wawancara, studi dokumen dan observasi. Seluruh data yang telah terkumpul akan dilakukan analisis kesesuaian berdasarkan framework ISO/IEC 27001:2022. Hasil dari penelitian berdasarkan gap analysis menunjukkan adanya 23 kesenjangan yang terdiri dari 10 kesenjangan pada klausul dan 13 pada kontrol annex sehingga direkomendasikan pembaruan maupun perumusan kebijakan, prosedur, atau proses pada masing-masing klausul dan kontrol tersebut. Selain itu, dihasilkan rekomendasi penerapan kontrol ISO/IEC 27001:2022 dan jadwal implementasi. Rekomendasi penerapan kontrol sesuai dengan proses bisnis organisasi yaitu 85 kontrol diterapkan pada ruang lingkup LAN dan email, 90 kontrol pada ruang lingkup website utama, dan 84 kontrol pada ruang lingkup VSAT. Pelaksanaan keseluruhan rekomendasi penerapan ini diharapkan dapat membantu proses transisi dari implementasi ISO/IEC 27001:2013 ke ISO/IEC 27001:2022 di Pusjarkom.

---

Information security, especially in the government sector such as XYZ Agency, is an important issue in today's digital era. The Communication Network Center, as the ICT manager of the XYZ Agency, faces challenges in implementing an information security management system in accordance with the ISO/IEC 27001 standard. The main challenge faced at this time is the readiness to upgrade the implementation of information security management system following the latest ISO/IEC 27001 standard, namely version 2022. Therefore, this research aims to conduct a gap analysis and provide recommendations for the implementation of ISO/IEC 27001: 2022 on VSAT, LAN, Main Website, and Email services at the XYZ Agency Communication Network Center. This research is qualitative research where data collection will be carried out by interviews, document study and observation. All data that has been collected will be analyzed for suitability according to the ISO / IEC 27001: 2022 framework. The results of the research based on the gap analysis showed 23 gaps consisting of 10 gaps in the clauses and 13 in the annex controls so that it is recommended to update or formulate policies, procedures, or processes in each of these clauses and controls. In addition, recommendations for the implementation of ISO/IEC 27001:2022 controls and implementation schedules were produced. Recommendations for implementing controls in accordance with the organization's business processes, namely 85 controls applied to the scope of LAN and email, 90 controls to the scope of the main website, and 84 controls to the scope of VSAT. The fulfillment of all implementation recommendations is expected to help the transition process from ISO/IEC 27001:2013 to ISO/IEC 27001:2022 implementation in Pusjarkom."

"Tujuan utama keamanan informasi adalah menjaga aset informasi yang dimiliki oleh suatu organisasi, seperti kerahasiaan, integritas, dan ketersediaan (dikenal sebagai CIA). Dalam memelihara aset informasi, perusahaan biasanya mengelola keamanan informasi dengan membuat dan menerapkan kebijakan Sistem Manajemen Keamanan Informasi (SMKI). Kebijakan SMKI yang banyak digunakan dan diterapkan di Indonesia adalah ISO/IEC 27001. PT ABC adalah salah satu perusahaan telekomunikasi yang telah menerapkan standar dan prosedur ISO / IEC 27001: 2013. Perusahaan melakukan audit setahun sekali untuk menjaga tingkat kepatuhan dengan ISO / IEC 27001: 2013. Namun, hanya beberapa orang yang terlibat dalam melakukan audit, dan masih belum diketahui berapa banyak karyawan yang mengetahui keamanan informasi perusahaan. Penelitian ini berfokus pada penilaian seberapa besar kesadaran keamanan informasi yang ada dalam PT ABC. Kuesioner dibagikan di dua departemen perusahaan: supply chain management dan service delivery Jakarta Operation Network. Penelitian ini juga memeriksa dokumen perusahaan dan surveillance audit pada tahun 2018, dan menilai kepatuhan PT ABC terhadap implementasi ISO 27001:2013. Para karyawan dikelompokkan berdasarkan masa kerja karyawan. Setelah pendistribusian kuisioner dilakukan, maka dapat dihitung margin kesalahan yaitu 6%. Kuisioner yang didistribusikan dapat menjadi salah satu cara untuk mempermudah pengukuran level kesadaran keamanan informasi. Data penelitian menunjukkan bahwa sebagian besar karyawan yang telah bekerja di perusahaan selama lebih dari enam tahun memahami dan menerapkan kontrol ISO 27001. Sementara itu, perusahaan masih perlu mensosialisasikan ISO kepada karyawan yang telah bekerja di perusahaan hanya selama satu atau dua tahun.

---

The main purpose of information security is to safeguard information assets owned by an organization, such as confidentiality, integrity and availability (known as the CIA). In maintaining information assets, companies usually manage information security by creating and implementing an Information Security Management System (ISMS) policy. The ISMS policy that is widely used and applied in Indonesia is ISO/IEC 27001. PT ABC is one of the telecommunication companies in Jakarta that has implemented ISO/IEC 27001:2013 standards and procedures. The company conducts audits once a year to maintain compliance with ISO/IEC 27001: 2013. However, only a few people are involved in conducting audits, and it is still unknown how many employees are aware of company information security.

This study focuses on assessing how much information security awareness exists in PT ABC. Questionnaires were distributed in two company departments: supply chain management and service delivery Jakarta Operation Network. This study also examined company documents and surveillance audits in 2018, and assessed PT ABC`s compliance with the implementation of ISO 27001: 2013. Employees are grouped based on their length of work. The results of the questionnaire, with a margin of error of 6%. The distributed questionnaire can be one way to facilitate the measurement of the level of information security awareness.

Research data shows that most employees who have worked in the company for more than six years understand and implement ISO 27001 controls. Meanwhile, companies still need to socialize ISO to employees who have worked for the company for only one or two years."

"Perkembangan teknologi informasi mempunyai risiko yang cukup signifikan terhadap suatu perusahaan. Selain dapat mempermudah dan mempercepat proses bisnis tetapi juga dapat membawa risiko dan ancaman terhadap perusahaan. Untuk itu diperlukan kontrol yang dapat memitigasi atau bahkan dapat menghilangkan risiko yang ada, sehingga teknologi informasi yang diterapkan organisasi dapat mendukung sepenuhnya kepentingan organisasi. Hal ini bertujuan agar teknologi informasi memberikan manfaat bagi organisasi. Kondisi saat ini PT. XYZ telah melakukan berbagai usaha untuk dapat memitigasi atau bahkan menghilangkan risiko keamanan informasi yang ada, tetapi karena belum adanya kerangka kerja yang digunakan sehingga sulit bagi PT. XYZ untuk mengukur dan menjalankan keamanan informasi secara optimal. Mengacu pada kondisi dan permasalahan di organisasi tersebut, maka perlu adanya evaluasi keamanan informasi untuk mengukur sejauh apa usaha PT. XYZ telah menerapkan keamanan informasi dan kontrol-kontrol apa yang perlu ditambahkan atau diperbaiki agar usaha PT. XYZ dalam menerapkan keamanan informasi menjadi optimal. Pada penelitian ini menggunakan Framework ISO 27001:2005/ISMS. Melalui pendekatan audit keamanan informasi dengan menggunakan assessment checklist ISO 27001 dan penilaian risiko, dipilih sasaran perbaikan berdasarkan kontrol ISO 27001. Kontrol-kontrol ini nantinya diharapkan dapat memitigasi atau bahkan menghilangkan dampak yang ditimbulkan dari ancaman dan kerawanan yang ada dilingkungan organisasi PT. XYZ.

---

The development of information technology has a significant risk of a company. Besides being able to simplify and speed up business processes but can also bring risks and threats to the company. It is necessary to control that can mitigate or even eliminate existing risks, so that the applied information technology organizations can support fully the interests of the organization. It aims to provide the benefits of information technology to the organization.

Current conditions PT. XYZ has made various efforts to mitigate or even eliminate the risk of information security, but because of the absence of a framework used so difficult for PT. XYZ to measure and run an optimal information security.

Referring to the conditions and problems in the organization, hence the need for information security evaluation to measure the extent to which PT. XYZ has implemented information security and controls what needs to be added or improved in order PT. XYZ in implementing information security to be optimal.

In this study, using the Framework ISO 27001: 2005 / ISMS. Through approach to information security audit using a checklist ISO 27001 assessment and risk assessment, have been targets for improvement based on the control of ISO 27001. These controls might be expected to mitigate or even eliminate the impact of threats and vulnerabilities that exist within the organization PT. XYZ. "

"Keamanan informasi sudah menjadi prioritas utama dalam organisasi yang modern. Dalam peraturan pemerintah nomor 82 tahun 2012 bahwa penyelenggara sistem elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan sistem elektronik. Kemenlu hingga saat ini sudah mempunyai 108 aplikasi, di antara aplikasi tersebut digunakan untuk pengelolaan informasi dalam pelayanan dan perlindungan Warga Negara Indonesia. Terdapat beberapa ancaman yang dapat mengganggu ketersediaan, kerahasiaan maupun keutuhan data atau informasi di lingkungan Kemenlu. Salah satu penyebab terjadinya ancaman dan gangguan tersebut disebabkan karena belum adanya kebijakan keamanan informasi di lingkungan Kemenlu.Penelitian ini mempunyai klasifikasi penelitian studi kasus dan action research. Kerangka kerja yang digunakan dalam perancangan kebijakan keamanan informasi ini menggunakan kerangka kerja ISO/IEC 27001:2013. Wawancara dilakukan pada pejabat-pejabat struktural dan staf teknis pada Pusat Teknologi Informasi dan Komunikasi Kementerian dan Perwakilan PusTIK KP untuk mengambil data kualitatif. Penelitian ini mendapatkan 30 kontrol pada Annex A yang dapat diterapkan dan dijadikan rancangan dokumen kebijakan keamanan informasi pada lingkungan Kementerian Luar Negeri.

---

Information security has become a top priority in modern organizations. In Peraturan Pemerintah number 82 of 2012 that the organizers of electronic systems should have and implemented procedures and tools for securing electronic systems. Kemenlu up to now already has 108 applications, some of the applications are used for information management in the service and protection of Indonesian Citizens. There are several threats that could interfere with the availability, confidentiality and integrity of data or information within the Kemenlu. One of the causes of such threats and disturbances is caused by Kemenlu still don rsquo t have information security policy.

This research has a classification case study and action research. The framework used in the design of this information security policy uses the ISO IEC 27001 2013 framework. Interviews were conducted with structural officials and technical staff at Pusat Teknologi Informasi dan Komunikasi Kementerian dan Perwakilan PusTIK KP to obtain qualitative data. The research found 30 control in Annex A that can be applied and used as draft of information security policy on the environment of the Ministry of Foreign Affairs."

"ABSTRAKInformation security is very vulnerable to institutions if there is interference from other parties outside the organization or institution as a supply chain of services that can pose an information security risk. Based on the Regulation of the Minister of Communication and Information Technology number 4 of 2016, the Electronic System organizers that operate Low Electronic Systems must apply the Information Security Index guidelines. Index KAMI are a tool in analyzing and evaluating the level of information security based on the criteria in organizations or in government institutions. The research objective is to measure the level of information security readiness that meets the requirements of the ISO/IEC27001: 2013 standard at the Central Government Institution Unit X. The results of the assessment with the index KAMI obtained an electronic system category score of 30, for the assessment of governance the score is 84, the risk management score is 35, the framework information security work value is 61, asset management 128, and the application of security and information technology has a value of 100, the level of information security maturity is level II+ with a value of 408, the results obtained up to the Compliance of the Basic Framework."

"Teknologi Informasi harus ditata dan dikelola dengan baik sehingga dapat menghasilkan manfaat berupa keuntungan perusahaan. Namun pada kenyataannya penatakelolaan TI Perum BULOG saat ini masih belum memenuhi target perusahaan yang ditetapkan oleh Kementerian BUMN sebagai pemangku kepentingan. Penelitian ini bertujuan untuk melakukan evaluasi terhadap tata kelola TI yang dijalankan di Perum BULOG. Evaluasi tersebut menggunakan kerangka kerja COBIT 2019 sesuai arahan pemangku kepentingan. Penelitian menggunakan pendekatan kuantitatif dan kualitatif dengan metode kuesioner dan wawancara. Data primer diperoleh dari 12 responden di Divisi Teknologi Informasi Perum BULOG. Hasil penelitian menunjukkan terdapat 17 dari total 24 area proses tata kelola TI yang dijalankan dengan optimal dan memenuhi target stakeholder yaitu tingkat kapabilitas TI di level 3 (Established). Terdapat 7 area proses yang memerlukan perbaikan karena masih belum optimal dalam memenuhi target stakeholder atau masih mencapai tingkat kapabilitas TI di level 2 (Managed). Ketujuh area proses tersebut adalah Ensured Resource Optimization, Managed Enterprise Architecture, Managed Requirement Definition, Managed Solutions Identification and Build, Managed Knowledge, Managed Configuration dan Managed Continuity. Hasil evaluasi dan rekomendasi sangat penting untuk mengoptimalkan Tata Kelola TI di Perum BULOG, memungkinkan perusahaan memenuhi ekspektasi pemangku kepentingan dan memberikan nilai tambah serta manfaat bagi perusahaan. Manfaat penelitian ini bagi akademis dapat memberikan perspektif terhadap tata kelola TI menggunakan kerangka kerja COBIT 2019. Bagi praktisi dan perusahaan juga dapat mendapatkan manfaat dari penelitian ini dengan menggunakan rekomendasi yang dihasilkan melalui penelitian ini terhadap perbaikan tata kelola TI. Penelitian selanjutnya dapat mengintegrasikan kerangka kerja lain untuk peningkatan nilai dan kualitas tata kelola TI, misalnya mengadopsi standar layanan internasional seperti ISO/IEC 20000 atau juga meningkatkan perspektif keamanan dengan menggunakan standar ISO/IEC 27001.

---

Well-managed IT can generate benefits in terms of corporate profits. However, in reality, current IT management of Perum BULOG still falls short of the targets set by the Ministry of State-Owned Enterprises as stakeholders. This research aims to evaluate the IT Capabilities implemented in Perum BULOG. The evaluation will utilize the COBIT 2019 frameworks as guided by stakeholders. The research employed a mixed-methods approach, utilizing both quantitative and qualitative methods through the use of questionnaires and interviews. Primary data were obtained from 12 respondents in the Information Technology Division of Perum BULOG. The research findings indicate the presence of 17 IT governance processes out of a total of 24 processes that are optimally executed, thus meeting the stakeholder's target of achieving IT capability at level 3 (Established). Seven processes require improvement to meet stakeholder targets as they are currently suboptimal, resulting in an attainment of IT capability at level 2 (Managed). These seven processes are Ensured Resource Optimization, Managed Enterprise Architecture, Managed Requirement Definition, Managed Solutions Identification and Build, Managed Knowledge, Managed Configuration dan Managed Continuity. The evaluation results and recommendations are crucial for optimizing IT Governance in Perum BULOG, enabling it to meet stakeholder expectations and deliver added value and benefits to the company. The benefits of this research for academia are to provide a perspective on IT Governance by utilizing the COBIT 2019 frameworks. For practitioners and companies, they can also benefit from this research by implementing the recommendations generated through this study to improve IT Governance. Future research can integrate other frameworks to enhance the value and quality of IT Governance, such as adopting international service standards like ISO/IEC 20000 or expanding the security perspective by incorporating ISO/IEC 27001 standards."

"Organisasi perlu menerapkan suatu keamanan informasi yang baik agar proses bisnis organisasi bisa berjalan tanpa ada ancaman. Aset TI merupakan hal yang harus dilindungi dikarenakan berpengaruh dengan proses bisnis organisasi. PT XYZ bergerak dibidang manage service untuk network dan juga cloud. Apabila terjadi kendala pada operasional organisasi dapat mengganggu Service Level Agreement (SLA) dengan pelanggan dan proses bisnis internal. Oleh karena itu, dibutuhkan manajemen risiko keamanan informasi yang tepat dan akurat. Permasalahan pada PT XYZ tidak pernah melakukan pembaharuan terhadap manajemen risiko sudah lebih dari tiga tahun, yang mana organisasi belum mengetahui jika terdapat risiko baru yang mengancam operasional. Operation risk atau risiko operasional akan diteliti dikarenakan operation risk akan berdampak kepada SLA pelanggan dan juga proses bisnis PT XYZ. Sudah ada dua kejadian serangan yang terjadi seperti DDOS Attack dan Ransomware pada aset organisasi beberapa waktu lalu. Maka dari itu dalam suatu organisasi diharuskan mempunyai manajemen keamanan informasi untuk dapat mengontrol segala risiko yang ada agar tidak menimbulkan kerugian pada organisasi. Untuk kerangka kerja dari keamanan informasi menggunakan kontrol dari ISO/IEC 27001:2013 sebagai acuannya. Tujuan dari penelitian ini adalah memberikan rekomendasi usulan ruang untuk berkembang pada organisasi khususnya pada operation risk PT XYZ. Dengan hasil evaluasi kondisi manajemen risiko keamanan informasi menggunakan standar ISO/IEC 27001:2013, didapatkan analisis kesenjangan dengan keamanan informasi pada organisasi sebesar 83,91% atau sebagian besar tercapai. Selanjutnya untuk rekomendasi ruang untuk berkembang menggunakan 10 rekomendasi kontrol dalam bentuk Statement of Applicability (SOA) dan usulan 10 pemilihan kontrol risiko pada risiko yang masih berstatus mitigasi pada operation risk.

---

Organizations must be able to implement a good information security so that the organization can run its business processes without any threats. IT assets are things that must be protected because they affect the organization's business processes. PT XYZ is engaged in managing services for the network and the cloud services. If there are operational problems, the organization cannot monitor links that are down, it will disrupt the Service Level Agreement (SLA) with user and internal business processes. Therefore, appropriate and accurate information security risk management is needed. The problem is that PT XYZ has never updated its risk management for more than three years, which is where the organization does not know if there are new risks that threaten operations. Operation risk or operational risk will be investigated because operation risk has an impact on pelanggan SLA and also organization’s business processes. There have been two incidents of attacks such as DDOS Attack and Ransomware on organizational assets some time ago. Therefore, an organization is required to have information security management to be able to control all existing risks so as not to cause harm to the organization. For the framework of information security using the objective control of ISO/IEC 27001:2013 as a reference. The purpose of this study is to provide recommendations for space proposals to develop in the organization, especially in the operation risk of PT XYZ. With the results of the evaluation of the condition of information security risk management using the ISO/IEC 27001:2013 standard, it was found that a gap analysis with information security in the organization was 83.91% or most of it was achieved. Then for recommendations for space to develop, use 10 objective controls in the form of a Statement of Applicability (SOA) and a proposed 10 selection of risk controls on risks that are still in the status of mitigation on operation risk."