Hasil Pencarian  ::  Simpan CSV :: Kembali

Abstrak :
Instansi XYZ adalah lembaga non kementrian yang berada di bawah Presiden dan bertanggung jawab langsung kepada Presiden. Salah satu tugas utama Instansi XYZ selain melakukan patroli keamanan dan keselamatan di laut adalah menyelenggarakan Sistem Peringatan Dini (SPD) keamanan dan keselamatan di wilayah perairan Indonesia. Didalam UU no. 32, disebutkan bahwa Instansi XYZ memiliki tugas pokok salah satunya adalah melakukan integrasi sistem peringatan dini keamanan dan keselamatan di wilayah perairan Indonesia.. Dalam rangka melakukan tugas dan fungsinya Instansi XYZ memiliki jaringan yang menggunakan Virtual Private Network (VPN) serta aktifitas lainnya yang digunakan oleh pengguna jaringan tersebut Kualitas keamanan informasi data pada Instansi XYZ perlu dilakukan peningkatan agar terjaminnya Confidentiality (Kerahasian), Integrity (Integritas), Availability (Ketersediaan). Indeks KAMI merupakan salah satu alat untuk menentukan indeks keamanan agar proses peningkatan kualitas keamanan dapat berjalan dengan efektif dan efisien. Tujuan pengukuran menggunakan Indeks KAMI pada Instansi XYZ adalah untuk menganalisis tingkat efektifitas pengamanan data dan informasi pada Instansi XYZ. Pengumpulan data dilakukan dengan melakukan pengamatan serta melakukan lembar penilaian dan wawancara. Metode yang dilakukan dalam penelitian ini adalah dengan melakukan pengukuran tingkat kematangan keamanan informasi pada Instansi XYZ dengan menggunakan Indeks KAMI dan mengevaluasi serta memberikan rekomendasi keamanan informasi dengan kerangka kerja NIST Cybersecurity Framework ISO 27001:2013 pada Instansi XYZ. Dari hasil pengukuran yang telah dilakukan pada Instansi XYZ menggunakan Indeks KAMI, diperoleh hasil bahwa instansi tersebut dikategorikan Tinggi untuk kategori sistem elektroniknya. Sedangkan hasil evaluasi akhirnya mendapatkan nilai yang “Tidak Layak”. Peneliti memberikan rekomendasi kontrol keamanan pada instansi XYZ dengan menggunakan framework NIST Cybersecurity dan ISO 27001:2013. Penggunaan kedua framework tersebut karena keduanya memiliki fleksibilitas yang dapat diterapkan pada semua jenis instansi serta dapat disesuaikan dengan kondisi sistem manajemen keamanan informasi yang ada pada instansi saat ini. Dalam penelitian ini, rekomendasi diberikan dimasing-masing area penilaian indeks KAMI dengan menggunakan kontrol keamanan NIST CSF dan ISO 27001:2013. Dari kelima area tersebut, rekomendasi prioritas berada pada area tata kelola yaitu berupa pembuatan kebijakan tentang keamanan informasi beserta turunannya dan 6 poin lainnya untuk meningkatkan tingkat kematangan sistem keamanan informasi di Instansi XYZ. ......The Maritime Security Agency of the Republic of Indonesia (XYZ Agency) is a non-ministerial institution under the President and responsible directly to the President through the Coordinating Minister for Political Law and Human Rights (Menko Polhukam). One of XYZ Agencies main tasks apart from conducting security and safety patrols at sea is to organize a security and safety Early Warning System (SPD) in Indonesian waters. In Law no. 32, it is stated that XYZ Agency has a main task, one of which is to integrate security and safety early warning systems in Indonesian waters. In order to carry out its duties and functions XYZ Agency has a network that uses a Virtual Private Network (VPN) and other activities used by network users. The quality of data information security at XYZ Agency needs to be improved to ensure Confidentiality, Integrity, Availability. The KAMI index is one of the tools to determine the security index so that the process of improving the quality of security can run effectively and efficiently. The purpose of measurement using the KAMI Index on XYZ Agency is to analyze the level of effectiveness of data and information security at XYZ Agency. From the results of measurements that have been carried out at XYZ Agency using the KAMI Index, the results show that the agency is categorized as High for the category of its electronic system. While the results of the evaluation finally get a value of "Not Eligible". Researchers provide recommendations for security control at XYZ agencies using the NIST Cybersecurity framework and ISO 27001:2013. The use of these two frameworks is because they have flexibility that can be applied to all types of agencies and can be adapted to the conditions of the information security management system that exists in the current agency. In this study, recommendations are given in each area of ​​the WE index assessment using NIST CSF and ISO 27001:2013 safety controls. Of the five areas, priority recommendations are in the governance area, namely in the form of making policies on information security and its derivatives and 6 other points to increase the maturity level of information security systems in XYZ Agencies.

Abstrak :
Tesis ini membahas kesenjangan penerapan keamanan informasi antara Standar LPSE dengan ISO 27001, serta pengembangan kerangka kerja keamanan informasi pada sistem  tersebar pengadaan barang/jasa pemerintah secara elektronik yang diselenggarakan oleh LPSE. Penelitian ini adalah penelitian kualitatif dengan metode studi kasus, digabungkan dengan penelitian kuantitatif dengan metode deskriptif kuantitatif. Hasil penelitian menyarankan LKPP selaku pembina dan pengawas LPSE, untuk melengkapi kriteria dan kontrol kemanan informasi, serta membuat panduan resmi dan terperinci untuk mengurangi kesenjangan antara Standar LPSE dengan ISO 27001; memanfaatkan kerangka kerja usulan berbasis Standar LPSE dan ISO 27001 sehingga LPSE dapat menerapkan kedua standar tersebut secara bersamaan; LKPP juga perlu melakukan penilaian dan evaluasi secara berkala untuk memastikan keberlanjutan penerapan Standar LPSE pada LPSE; selain itu, LKPP perlu berkoordinasi dengan Kementerian Komunikasi dan Informatika dalam upaya sosialisasi penerapan Sistem Manajemen Pengamanan Informasi yang berbasis ISO 27001 yang tertuang dalam Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016. ......The focus of this study is discusses about the gap of information security between the LPSE and ISO 27001 Standards, and the development of an information security framework for distributed public electronic procurement system. This research is qualitative research with a case study method, combined with quantitavie research with a quantitative descriptive method. The researcher suggests that LKPP as the supervisor and controller of LPSE, to complete the criterias and controls of information security, and also make an official and detailed guidelines to reduce the gap between the LPSE and ISO 27001 Standards; LKPP and LPSE use the proposed framework based on LPSE and ISO 27001 Standards to implement both of these standards simultaneously; LKPP also  needs to conduct periodic assessments and evaluations to ensure that LPSE applies these standards continuously; in addition, LKPP needs to coordinate with the Ministry of Communication and Information to disseminate the implementation of Information Security Management System based on ISO 27001 which contained in the Minister of Communication and Information Regulation Number 4 of 2016.

Abstrak :
Perkembangan teknologi yang begitu pesat membuat terjadi suatu pola perubahan gaya hidup masyarakat saat ini, khususnya dalam kegiatan transaksi pada suatu transaksi barang dan/atau jasa dari metode transaksi secara konvensional menjadi transaksi secara elektronik, atas dasar tersebut muncullah Penyelenggara Sistem Elektronik (PSE) selaku platform digital yang memfasilitasi kegiatan pertukaran barang dan/atau jasa. Transaksi yang dilakukan pada PSE tentunya tidak terlepas dari adanya potensi kebocoran data dan informasi atas setiap transaksi yang dilakukan oleh konsumen pada PSE, sehingga PSE selaku pelaku usaha berkewajiban untuk melakukan upaya dalam hal mencegah hal-hal tersebut terjadi yang salah satunya dengan menerapkan standar ISO 27001 tentang Sistem Manajemen Pengamanan Informasi (SMPI) selaku standar internasional dalam upaya mencegah risiko-risiko yang terjadi pada transaksi elektronik yang salah satunya memenuhi hak konsumen dan kewajiban PSE selaku pelaku usaha. Pokok permasalahan pada penelitian ini adalah terkait bagaimana mekanisme penerapan ISO 27001 selaku SMPI serta apakah ISO 27001 selaku SMPI dapat menjamin PSE dari kebocoran data konsumen. Penelitian ini akan dilakukan secara kualitatif, hasil dari penelitian bahwa ISO 27001 selaku SMPI membantu PSE dalam mencegah kebocoran data dan informasi konsumen, serta saran yang dapat diberikan dari penelitian ini adalah regulator mengevaluasi dan membuat satu aturan rigit mengenai penerapan SMPI sejak terdapat adanya dualisme pengaturan terhadap penerapan SMPI. ......The rapid development of technology has made a pattern of changing the lifestyle of today's society, especially in transaction activities in a transaction of goods and/or services from conventional transaction methods to electronic transactions, on this basis an Electronic System Operator (ESO) has emerged as a platform. digital services that facilitate the exchange of goods and/or services. Transactions carried out at ESO are certainly inseparable from the potential for data and information leakage for every transaction made by consumers at ESO. Therefore, ESO as a business actor is obliged to make efforts to prevent these things from happening, one of which is by implementing the ISO 27001 standard. regarding the Information Security Management System (SMPI) as an international standard to prevent risks that occur in electronic transactions, one of which fulfills consumer rights and PSE obligations as business actors. The main problem in this research is related to the mechanism for implementing ISO 27001 as SMPI and whether ISO 27001 as SMPI can guarantee ESO from consumer data leaks. This research will be carried out qualitatively and the results of the research show that ISO 27001 as SMPI can assist ESO in preventing consumer data and information leaks, as well as advice that can be given from this research is that the regulator evaluates and makes one strict rule regarding the implementation of SMPI since there is dual regulatory regulation on the implementation of SMPI.

Abstrak :
Teknologi informasi telah menjadi bagian penting bagi sebuah organisasi. Hal ini tercermin semakin banyaknya pemanfaatan teknologi informasi untuk membantu jalannya proses bisnis organisasi. Lembaga XYZ selaku lembaga pemerintah yang diberi amanat untuk mengembangkan dan merumuskan kebijakan terkait pengadaan pemerintah telah banyak memanfaatkan teknologi informasi. Hal ini tercermin dari banyaknya aplikasi e-procurement dan aplikasi pendukungnya yang dikembangkan oleh Direktorat ABC. Teknologi informasi telah banyak memberikan solusi-solusi dari tantangan terkait pengadaan yang ada di Indonesia. Tingkat pemanfaatan teknologi informasi yang tinggi oleh Direktorat ABC memberikan tantangan baru terkait keamanan informasi. Kerawanan yang ada pada setiap aset informasi yang dimiliki direktorat tersebut dapat dieksploitasi kapan saja oleh ancaman yang ada. Dampak yang ditimbulkan akibat eksploitasi tersebut dapat mengancam keberlangsungan organisasi tersebut. Oleh karena itu perlu dilakukan audit keamanan informasi terhadap Direktorat ABC agar dampak tersebut dapat diminimalisir. Audit keamanan informasi yang dilakukan pada penelitian ini adalah audit kepatuhan organisasi dalam mengelola keamanan informasi terhadap ISO/IEC 27001:2005. Penelitian ini fokus untuk melakukan audit pada aset-aset yang dimiliki oleh Direktorat ABC. Penelitian ini dilakukan mengikuti tahapan yang terdapat pada proses Plan yang terdapat dalam model PDCA (Plan-Do-Check-Act) pada ISMS. Hasil penelitian ini memberikan gambaran sejauh mana Lembaga XYZ khususnya Direktorat ABC sudah menerapkan pengelolaan keamanan informasi. Daftar kerawanan, daftar ancaman yang mampu mengeksploitasi kerawanan tersebut, dan daftar dampak yang mungkin diterima oleh direktorat tersebut dianalisa untuk diidentifikasi kontrol-kontrol yang mungkin untuk diterapkan guna memperbaiki kondisi yang ada. Rencana kerja kemudian di susun untuk merencanakan kapan kontrol-kontrol tersebut harus diterapkan. ......Information technology has become an important part of an organization.This is reflected in the increasing use of information technology to assist the organization to do their business processes. XYZ Agency as the government agency mandated to develop and formulate policies related to government procurement has been widely using information technology. This is reflected in the many applications of e-procurement and supporting applications developed by the Directorate of ABC. Information technology has provided solutions to procurement-related challenges in Indonesia. The level of high utilization of information technology by the Directorate of ABC provide new challenges related to information security. Vulnerabilities that exist on any asset owned by the directorate of information that can be exploited by a threat anytime there. Impact caused by the exploitation may threaten the sustainability of the organization. Therefore, it is necessary to audit security information to the Directorate of ABC so that these impacts can be minimized. Information security audit conducted in this study is an audit of compliance in managing information security organization against ISO/IEC 27001:2005. This research focus to audit the assets held by the Directorate of ABC. This study was conducted following the steps contained in the Plan are contained in the PDCA model (Plan-Do-Check-Act) to ISMS. The results of this study illustrate the extent to which XYZ Agency in particular Directorate of ABC have implemented information security management. Vulnerability list, a list of threats capable of exploiting the vulnerability, and a list of effects that may be received by the directorate analyzed to identify the controls that are likely to be applied in order to improve the existing conditions. The work plan then collated to plan when such controls should be applied.

Abstrak :
ABSTRAK
Kemajuan teknologi komunikasi dewasa ini berkembang dengan sangat pesat. Kontrol keamanan komunikasi jaringan tidak bisa ditawar lagi untuk memastikan sirkulasi data dan informasi berjalan dengan baik dan benar, begitupun standar yang disyaratkan ISO 27001 : 2015 (Standar Internasional Sistem Manajemen Keamanan Informasi) pada bagian Annex A ISO 27001 : 2015 mewajibkan adanya kontrol kemanan jaringan yang memadai untuk menunjang kelancaran proses bisnis. Permasalahannya adalah keamanan jaringan informasi tidaklah cukup hanya sekedar menggunakan password dan username saja, oleh karena itu dibutuhkan sistem keamanan yang lebih canggih lagi. Pada penelitian ini penulis mencoba untuk menghadirkan sebuah alternatif sistem gratis yang handal untuk memenuhi Annex A ISO 27001 : 2015, yaitu Squid Proxy System. Dari hasil penelitian dan analisa yang dilakukan oleh penulis, bisa diambil kesimpulan bahwa Sistem Squid Proxy ini cukup mumpuni dan layak untuk diterapkan di dunia industri sebagai salah satu alternatif kontrol untuk keamanan komunikasi jaringan dengan beberapa persyaratan yaitu antivirus yang handal, membuat jadwal dan SOP (Standard Operation Procedure) mengenai pemeliharaan jaringan (termasuk semua aplikasi yang ada, contohnya: email, software-software, dll) dan melakukan pengawasan terhadap pelaksanaan jadwal dan SOP yang telah ditetapkan, memilih provider jaringan yang terbaik dan memastikan tenaga ahli IT tersedia, baik yang direkrut secara langsung di dalam organisasi dan atau menggunakan jasa konsultan IT

---

ABSTRACT
Advances in communications technology today are growing rapidly. Security controls for network communication are not negotiable to ensure an adequate flow of data and information to run properly, as well as the standard requirements of ISO 27001: 2015 (International Standard Information Security Management System) in the Annex A of ISO 27001: 2015 require an adequate control network security to support the business process. The problem is the security of information networks is not enough to simply use the password and username only, therefore the system needs more advanced security control. In this study, the authors tried to present a free reliable alternative system to meet Annex A of ISO 27001: 2015, the Squid Proxy System. From the research and analysis conducted by the authors, it can be concluded that the Squid Proxy system is quite qualified and eligible to apply in the industrial world as an alternative control for the security for network communications with some conditions which should be applied, such as: providing a reliable antivirus, providing network maintenance SOP (Standard Operation Procedure) and schedule (including maintenance for all application to be used, for example: email, software, etc.) also conducting monitoring for the implementation of SOP and maintenance schedule, selecting the best network provider, ensuring that reliable IT experts are available, either recruited directly in the organization and or use IT consultants.

Abstrak :
Indeks Keamanan Informasi KAMI adalah alat bantu untuk mengukur tingkat kepatuhan sistem berdasarkan SNI/ISO 27001, standar ini diwajibkan pada sistem yang bersifat strategis sesuai dengan Peraturan Menteri Komunikasi dan Informatika Nomor 4 tahun 2016. Akan tetapi untuk organisasi yang sangat bergantung pada sistem kendali industri, seperti pada industri migas, sistem ketenagalistrikan ataupun industri manufacturing, best practice yang disarankan yaitu menggunakan kerangka NIST SP 800-82. Penelitian ini mencoba mengajukan suatu metode pendekatan agar sistem dapat patuh terhadap kedua standar tersebut sekaligus. Adapun metode yang dilakukan yaitu dengan melakukan audit berdasarkan standar NIST SP 800-82 sehingga didapatkan rekomendasi kontrol berdasarkan analisis risiko yang ditemukan. Selanjutnya rekomendasi kontrol tersebut akan dijadikan referensi untuk menjawab checklist Indeks KAMI. Melalui metode ini didapatkan tingkat kepatuhan sistem terhadap Indeks KAMI meningkat sebesar 81,2 sehingga sistem tidak hanya patuh berdasarkan SNI 27001 tetapi juga berdasarkan NIST SP 800-82. ...... Indeks Keamanan Informasi KAMI is a tool for measuring system compliance based on SNI ISO 27001, where based on the Regulation of the Minister of Communication and Information Technology Number 4 of 2016 states all strategic systems must comply with this standard. However, for the organizations that rely on industrial control systems, such as the oil and gas industry, electricity systems or manufacturing industries, the best practice is to use the NIST SP 800 82 framework. Therefore, this research tries to propose an approach method so that the system will comply with both of standards. The approach is done by conducting an audit based on the NIST SP 800 82 framework to obtain controls recommendation based on the risk analysis that found on the system. Furthermore, such control recommendations will be used as a reference to answer the checklist of Indeks KAMI. Through this approach method, the system compliance level on Indeks KAMI increased by 81.2 so that the system does not only complies with SNI 27001 but also based on NIST SP 800 82.

Abstrak :
Badan Keamanan Laut Bakamla sebagai salah satu instansi pemerintahan yang terbentuk berdasarkan Undang-Undang Nomor 32 tahun 2014 tentang kelautan, memiliki tugas pokok dan fungsi dalam bidang keamanan dan keselamatan di wilayah yurisdiksi laut Indonesia. Dalam menjalankan tugas pokok dan fungsinya, secara umum Bakamla memiliki sistem sistem teknologi informasi dalam upaya mencegah terjadinya pelanggaran-pelanggaran. Pada penelitian ini mencoba pemecahan kasus manajemen risiko pada sistem informasi Bakamla dengan menggunakan metode FMEA. Sekalipun sudah populer di bidang teknik industri, metode FMEA masih sangat jarang dilaporkan penelitiannya terhadap objek sistem informasi. Hal ini menarik untuk dieksplorasi lebih lanjut pada sistem informasi Bakamla. Variabel yang diukur pada penelitian ini adalah occurence frekuensi kejadian, severity dampak dan detection deteksi atau pencegahan dari masing-masing mode kegagalan. Data penelitian diambil terutama berdasarkan dari hasil pengamatan langsung. Penelitian ini mencakup perlindungan terhadap aset informasi di lingkungan Bakamla dengan melakukan penilaian risiko keamanan informasi. Penilaian tersebut dilakukan dengan menggunakan metode Failure Mode Effect Analysis FMEA. Penelitian ini berhasil membuktikan secara empiris melalui serangkaian hasil percobaan menunjukkan bahwa metode FMEA merupakan salah upaya nyata yang dapat dilakukan untuk mengetahui keadaan tingkat kerawanan dari sistem informasi, mengidentifikasi potensial cause dari berbagai bentuk kegagalan serta mengurutkan prioritas kegagalan berdasarkan nilai RPN. Pada penelitian ini kerangka kerja ISO 27001 digunakan sebagai checklist dari untuk melengkapi daftar rekomendasi aksi penanggulangan mode kegagalan. Dengan demikian Hasil dari penelitian ini yaitu berupa dokumen manajemen risiko yang di dalamnya terdapat Risk Register, yaitu laporan hasil pengelolaan manajemen risiko yang berisikan daftar analisis risiko dan disertai pengendalian risiko sesuai dengan standar ISO 27001 yang dapat digunakan sebagai acuan untuk menangani setiap permasalahan keamanan informasi yang terjadi di lingkungan Bakamla. ...... Maritime Security Agency Badan Keamanan Laut Bakamla as one of the government agencies formed under Act No. 32 of 2014 concerning marine, have duties and functions in the field of security and safety at sea jurisdiction of Indonesia. In carrying out their duties and functions, generally Bakamla has a system of information technology systems which is an effort to prevent violations. In this paper, writer try solving the case of risk management Bakamla information system using FMEA method. Although it is popular in the fields of industrial engineering, FMEA method is still very rarely reported at research on information system objects. It is interesting to be explored further in the information system Bakamla. The variables measured in this study is occurence frequency of occurrence, severity impact and detection detection issue or prevention of each failure mode. Data were taken primarily on the basis of direct observation. This study includes protection of information assets within Bakamla with information security risk assessment. The assessment is done by using Failure Mode and Effect Analysis FMEA. This study proved empirically through a series of experimental that the results is indicating FMEA real effort that can be done to determine the condition of vulnerability of the information system, to identify the potential cause of various forms of failure and to prioritize the failure based on the RPN value. In this thesis the ISO 27001 framework is used as a checklist of actions to complete the list of recommendations prevention mode of failure. Thus the results of this research in the form of a document risk management which included a Risk Register, which reports the results of risk management that contains a list of risk analysis and with risk control in accordance with ISO 27001 can be used as a reference to deal with any issues of information security occur in the environment Bakamla

Abstrak :
Data center merupakan salah satu komponen yang penting dalam menunjang keberhasilan bisnis perusahaan karena perannya sebagai pusat pengolahan dan penyimpanan informasi. Data center memerlukan pengamanan sistem informasi yang menyeluruh yang meliputi aspek confidentiality, integrity dan availability. Ketiga aspek tersebut terdapat dalam sebuah Sistem Manajemen Keamanan Informasi (SMKI). Salah satu standar SMKI yang diterima secara luas saat ini adalah ISO 27001. Dalam tesis ini dikembangkan kontrol dan alat bantu ukur tingkat kematangan (maturity level) SMKI pada data center berdasarkan standar ISO 27001 dengan metode COBIT 4.1. Alat bantu ukur tingkat kematangan tersebut berbentuk excel sheet, aplikasi web maupun android. Kontrol dan alat bantu ukur tersebut telah diujicobakan untuk mengukur tingkat kematangan pada tiga data center PT. XYZ dengan hasil masing-masing 3.94, 3.93 dan 3.92 dari skala 5 menurut metode COBIT 4.1. Kontrol dan alat bantu ukur dapat digunakan oleh kalangan industri untuk melakukan self assessment pada data center yang dimiliki agar diketahui tingkat kematangannya terhadap standar ISO 27001. ......Data center is one of the important components that is needed to support the success of the company's business because of its role as a center for processing and storing information. Data centers require comprehensive security protection which includes aspects of confidentiality, integrity and availability. These three aspects are included in an Information Security Management System (ISMS). One of the widely accepted ISMS standards nowadays is ISO 27001. In this thesis, we develop controls and tools to measure maturity level of ISMS for data center based on the ISO 27001 standard and the COBIT 4.1 method. The controls and tools have been tested to measure the level of maturity in three data centers of PT XYZ. The test result of each data center has the maturity level of 3.94, 3.93 and 3.92 from a scale of 5 according to the COBIT 4.1 method. The controls and measuring tools can be used by industry to conduct self-assessments of their own data center so that its maturity levels are known in accordance with ISO 27001.

Abstrak :
Sistem Penyelenggaraan Berbasis Elektronik (SPBE) adalah bagian penting dari transformasi digital di instansi pemerintahan, salah satunya adalah Instansi XYZ. Meskipun era digital menawarkan banyak keuntungan akan tetapi tidak lepas dari risiko, seperti ancaman siber yang mengancam keamanan nasional. Fokus penelitian ini adalah Pusat Data dan Informasi,  sebagai satuan kerja pelaksana teknologi informasi dalam upaya meningkatkan keamanan siber di Instansi XYZ. Indeks KAMI adalah salah satu alat yang dapat digunakan untuk mengukur seberapa siap dan lengkap keamanan informasi. Ini memastikan bahwa proses peningkatan kualitas keamanan informasi dapat dilakukan dengan cepat dan efisien. Indeks KAMI v 4.2 digunakan untuk mengukur tingkat kematangan keamanan informasi, selain itu digunakan untuk mengevaluasi dan memberikan rekomendasi keamanan informasi sesuai dengan kerangka kerja SNI ISO 27001:2013 untuk Instansi XYZ. Berdasarkan data tahun 2022, hasil penilaian dari sistem elektronik Instansi XYZ masuk dalam kategori “Tinggi”. Sedangkan hasil evaluasi akhirnya mendapatkan nilai total 213 dari total 645 untuk kesiapan dan kelengkapan keamanan informasi. Nilai-nilai tersebut diperoleh dari bagian Tata Kelola 35 poin, Pengelolaan Risiko 18 poin, Kerangka Kerja Keamanan Informasi 40 poin, Pengelolaan Aset 59 poin, dan Teknologi dan Keamanan Informasi 61 poin. Dengan kata lain, Instansi XYZ masih memiliki tingkat kematangan keamanan informasi pada level I hingga I+ dengan status kesiapan "Tidak Layak". Menurut Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik, Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik diwajibkan untuk menerapkan SNI ISO 27001:2013  dan atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga, yang penerapannya tergantung pada tingkat kategori Sistem Elektroniknya. Hasil analisis Instansi XYZ belum memiliki kebijakan sistem manajemen keamanan informasi yang ditetapkan, walau sudah menerapkan aspek teknis dibeberapa kategori. Hasil penelitian ini merekomendasikan penerapan kontrol keamanan serta penyusunan kebijakan sistem manajemen keamanan informasi dengan menggunakan kerangka kerja SNI ISO 27001:2013.  Rekomendasi ini diharapkan dapat diimplementasikan pada Instansi XYZ guna menjamin implementasi keamanan informasinya. ......The System of Electronic-Based Organization (SPBE) is an important part of digital transformation in government agencies, one of which is XYZ Agency. Although the digital era offers many advantages, it is not free from risks, such as cyber threats that threaten national security. The focus of this research is the Data and Information Center, as the implementing work unit for information technology in an effort to improve cybersecurity at XYZ Agency. KAMI Index is one of the tools that can be used to measure how ready and complete information security is. This ensures that the process of improving the quality of information security can be done quickly and efficiently. KAMI Index v 4.2 is used to measure the maturity level of information security, besides that it is used to evaluate and provide information security recommendations in accordance with the SNI ISO 27001: 2013 framework for XYZ Agencies. Based on 2022 data, the assessment results of the XYZ Agency's electronic system fall into the "High" category. While the final evaluation results get a total score of 213 out of a total of 645 for information security readiness and completeness. These values are obtained from the Governance section 35 points, Risk Management 18 points, Information Security Framework 40 points, Asset Management 59 points, and Technology and Information Security 61 points. In other words, XYZ Institution still has an information security maturity level at level I to I+ with a readiness status of "Not Feasible". According to BSSN Regulation Number 8 of 2020 concerning Security Systems in the Implementation of Electronic Systems, Electronic System Providers that operate Electronic Systems are required to implement SNI ISO 27001: 2013 and or other security standards related to cybersecurity set by BSSN and other security standards related to cybersecurity set by Ministries or Institutions, whose application depends on the level of the Electronic System category. The results of the analysis of XYZ Institution do not yet have a defined information security management system policy, even though they have implemented technical aspects in several categories. The results of this study recommend the implementation of security controls and the preparation of an information security management system policy using the SNI ISO 27001: 2013 framework.  This recommendation is expected to be implemented at XYZ Agency to ensure the implementation of information security.

Abstrak :
Pertukaran informasi dan penyebaran informasi melalui perangkat TIK akan melahirkan era banjirnya informasi dan berujung pada munculnya isu keamanan informasi. Untuk kementerian, lembaga, dan instansi pemerintah, isu keamanan informasi mulai mengemuka setelah diterbitkannya peraturan PP No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pada peraturan tersebut terdapat kewajiban pengamanan sistem elektronik bagi penyelenggara sistem elektronik untuk pelayanan publik. Pemerintah Kabupaten X merupakan instansi pemerintah yang melayani publik. Kondisi keamanan informasi di Pemerintah Kabupaten X saat ini masih lemah, terbukti dengan adanya insiden serangan malware yang ditujukan ke situs www.xkab.go.id. Penelitian ini difokuskan pada audit kepatuhan keamanan informasi dengan menggunakan kerangka kerja ISO/IEC 27001:2013. Model audit yang digunakan adalah model Plan. Model Plan adalah salah satu model Plan-Do-Check-Act yang merupakan pendekatan dalam mengelola Sistem Manajemen Keamanan Informasi (SMKI) pada ISO/IEC 27001:2005. Audit dilakukan dengan mengidentifikasi aset, ancaman, kerawanan dan rencana kerja untuk menghasilkan rekomendasi kebijakan, prosedur, instruksi dan dokumentasi. Hasil penelitian ini terdapat 143 kebijakan, prosedur, instruksi, dan dokumentasi yang direkomendasikan. Hasil rekomendasi tersebut telah memenuhi 148 kontrol dari 163 kontrol yang ada pada ISO/IEC 27001:2013. ......Information exchange and dissemination of information with ICT will give birth to the era of the flood of information and lead to the emergence of the issue of information security. For ministries, institutions and government agencies, information security related issues started to emerge after the issuance of regulation PP 82/2012 on the Implementation of the System and Electronic Transactions. There is an obligation on the regulation of electronic security systems for organizing electronic system for public services. X Regency is a government agency that serves the public. Information security conditions in X Regency still weak, as evidenced by the incidents of malware attacks aimed to the site www.xkab.go.id. This study focused on information security compliance auditing by using the framework of ISO / IEC 27001: 2013. The audit model used is a model Plan. Model Plan is one model of Plan-Do-Check-Act which is an approach to managing an Information Security Management System (ISMS) in ISO/IEC 27001:2005. Audit carried out by identifying assets, threats, vulnerabilities and work plan to produce policy recommendations, procedures, instructions and documentation. Results of this study are 143 policies, procedures, instructions, and documentation are recommended. Results of these recommendations have met control 148 of the 163 existing controls in ISO / IEC 27001:2013.