Hasil Pencarian  ::  Simpan CSV :: Kembali

"Peran Teknologi Informasi (TI) dibutuhkan sebagai upaya dalam meningkatkan kualitas layanan dalam mencapai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance). TI dikelola agar dapat meningkatkan kapabilitas perusahaan dalam memberikan kontribusi bagi penciptaan nilai tambah, service excellence, serta pelaksanaan operasional perusahaan yang efisien, efektif dan optimal. PT Rekayasa Industri (Rekind) adalah sebuah perusahaan Badan Usaha Milik Negara yang bergerak di bidang rancang bangun dan perekayasaan industri. Sebagai salah satu perusahaan BUMN, Rekind patuh terhadap ketentuan Good Corporate Governance sebagai parameter utama dalam menjalankan bisnis. TI digunakan secara luas untuk melayani kebutuhan akan informasi dan layanan yang berkualitas bagi bisnis perusahaan. Ketergantungan perusahaan terhadap layanan TI, berdampak meningkatkan berbagai jenis risiko yang dapat berpengaruh negatif terhadap perusahaan. Namun, sampai saat ini Rekind belum memiliki kerangka kerja khusus yang mengelola risiko teknologi informasi perusahaan. Hasil audit internal perusahaan menggunakan COBIT 5 menunjukkan bahwa Rekind belum memiliki pedoman dan panduan untuk perencanaan risk management dalam menangani risiko terkait teknologi informasi (EDM Ensure Risk Optimisation,APO 12-ManageRisk).Penelitian ini dilakukan untuk mengidentifikasi kerangka kerja manajemen risiko TI yang dapat diterapkan pada Rekind. Identifikasi dilakukan dengan menggunakan metodologi ISO 31000:2009 sebagai landasan manajemen risiko perusahaan, ISACA Risk IT Framework sebagai landasan kerangka kerja risiko TI serta COBIT yang digunakan sebagai kontrol.Hasil penelitian menunjukkan bahwa kerangka kerja Risk IT dapat digunakan selaras dengan kebijakan ERM perusahaan sehingga didapat sebuah kerangka kerja baru yang digunakan sebagai alat bantu dalam melakukan assessment risiko. Hasil penelitian juga menunjukkan terdapat 39 risk issues keseluruhan yang dipetakan berdasarkan rekomendasi kerangka kerja baru berbasis Risk IT dan ERM perusahaan

---

The role of Information Technology (IT) is important to improve the quality of service as realization of Good Corporate Governance. IT is managed in order to give additional value, service excellence, and also the eficiency, effectiveness, and optimalization of company's operational implementation.

PT Rekayasa Industri (Rekind) is a state-owned company engaging in the industrial plant. As one of the state-owned company, Rekind complies with good corporate governance as a major parameter in running the business. IT is used extensively to serve the need for information and quality services for the business needs. The company's dependence on IT services, increase the impact of various types of risks that could negatively affect the company. However, at this moment Rekind still does not have a specific framework to manage IT risks. This is also shown by an internal audit report using COBIT 5 that Rekind doesn?t have any guidelines for risk management in handling risk related to IT (EDM 03-Ensure Risk Optimisation, APO 12-Manage Risk).

The purpose of this research is to identify which IT risk management framework that could be implemented in Rekind. ISO 31000:2009 method is used as the base of enterprise risk management. ISACA Risk IT Framework as IT risk framework, and COBIT is used as the controller.

The research shows that IT Risk framework is aligned with enterprise?s ERM policy that result in a new framework to do risk assessment. The research also shows that there are 39 risk issues that are mapped based on recommendation from new IT risk management framework based on Risk IT and enterprise?s ERM."

"PT. Z adalah organisasi yang bergerak di bidang asuransi kecelakaan lalu lintas, pemanfaatan TI bagi PT. Z adalah untuk mempercepat proses bisnis dan meningkatkan kualitasi penyediaan pelayanan, PT. Z dalam pengelolaan TI harus dapat mengantisipasi risiko yang ada. Pengelolaan terhadap manajemen risiko yang baik bagi PT. Z adalah termasuk kedalam penerapan GCG, untuk BUMN GCG berpedoman kepada Permen BUMN No. PER-02/MBU/2013 yang di rekomendasikan untuk di ikuti oleh semua BUMN, pada GCG PER-02/MBU/2013 salah satu deliverable nya adalah mengenai kebijakan pengelolaan manajemen risiko yang dapat menghasilkan prosedur kerangka kerja pengelolaan risiko TI, selain itu PT. Z memang ingin mengadopsi standar keamanan TI. Dalam penelitian ini, dipilih aplikasi utama dari PT. Z untuk dilakukan perancangan manajemen risiko yang sesuai, aplikasi pelayanan adalah salah satu aplikasi utaman bagi PT. Z dalam menjalankan bisnis nya. Rancangan manajemen risiko pada aplikasi ini memakai framework ISO27005 seperti penentuan konteks, kriteria dasar pengelolaan risiko, penentuan ruang lingkup, penilaian risiko, penanganan dan penerimaan risiko itu sendiri, aset utama dan aset pendukung pada aplikasi ini semua dilakukan penilaian risiko nya dan untuk menghitung nilai risiko menggunakan NIST SP 800-30, pada tahap penanganan risiko mengaplikasikan kontrol - kontrol yang ada pada ISO 27002. Dari hasil penelitian, dapat disimpulkan bahwa terdapat 13 risiko yang akan diterima dan 48 risiko yang akan dilakukan pengurangan dengan mengaplikasikan kontrol yang di rekomendasikan berdasarkan kepada ISO 27002.

---

PT. Z is an organization which run their business for accident insurance, IT Utilization for PT. Z is to accelerate the business processes and to improve the quality of service for their customers. A proper way to managed the risk management for PT. Z is including at implementation of Good Corporate Governance (GCG), GCG at PT. Z is guided by PERMEN BUMN No. PER-02/MBU/2013 which recommended to follow and comply by all of government companies. In PER-02/MBU/2013 one of its deliverable is about the policy of risk management that can give the result of framework IT risk management, in addition PT. Z want to adopt IT security standards.

In this study, has been choosen the main application of PT. Z to do risk management plan and design that appropriate and suitable for PT. Z, one of the key application that they had is “aplikasi pelayanan” to support their main business. Risk management plan and design for this application is using ISO27005 framework for determining the risk context, risk criteria, determining the scope, risk identification, risk estimation, risk evaluation, risk treatment and risk acceptance. Risk estimation using NIST SP 800-30 framework and for risk evaluation using control from ISO27002.

Concluding from this research is that is 13 risks that will accept and 48 risks that want to do a reduction by applied control that recommended by ISO 27002."

"Laporan magang ini menjelaskan evaluasi prosedur penyusunan kebijakan manajemen risiko yang dilakukan oleh ALPHA Indonesia untuk PT GAMMA dengan menggunakan kerangka kerja ISO 31000 2018. Prosedur penyusunan kebijakan manajemen risiko yang dilakukan oleh ALPHA Indonesia terdiri dari penyusunan tipologi risiko, penyusunan kriteria risiko, penyusunan perangkat pengukuran risiko dan penyusunan kebijakan manajemen risiko. Setelah dilakukan analisis dan evaluasi, prosedur penyusunan kebijakan manajemen risiko yang dilakukan oleh ALPHA Indonesia secara garis besar sudah sesuai dengan konsep manajemen risiko dan kerangka kerja ISO 31000 2018.

---

This internship report explains the evaluation on drafting procedure of risk management policy conducted by ALPHA Indonesia for PT GAMMA based on ISO 31000 2018. The procedure conducted by ALPHA Indonesia consisted of identification of risk typology, risk criteria, risk measurement tool, and the drafting of risk management policy. Based on the analysis and evaluation which have been done, ALPHA Indonesia`s procedure in drafting risk management policy are in accordance with risk management concept and ISO 31000

2018."

"Keamanan informasi menjadi perhatian penting bagi pemerintah dan industri karena meningkatnya serangan siber selama Covid-19. Pemerintah dalam menyelenggarakan Sistem Pemerintahan Berbasis Elektronik (SPBE) Peraturan Presiden Republik Indonesia Nomor 95 tahun 2018 berkewajiban menjamin kerahasiaan, keutuhan, ketersediaan, keaslian dan kenirsangkalan sumber daya terkait data dan informasi, Infrastruktur SPBE, dan Aplikasi SPBE. Untuk mengatasi masalah tersebut pemerintah membutuhkan pendekatan untuk implementasi pengelolaan risiko keamanan informasi dan kontrol keamanan informasi. Penelitian ini bertujuan untuk melakukan risk identification, risk analysis, risk evaluation, risk treatment, risk acceptance, pengendalian risiko, menyusun kerangka kerja manajemen risiko keamanan informasi dan menilai kematangan Cyber security maturity pada domain tata kelola, identifikasi, proteksi, deteksi dan respon. Metodologi menggunakan ISO/IEC 27005:2018 sebagai panduan melakukan risk assesment. Kode praktik untuk kontrol keamanan informasi menggunakan standar ISO/IEC 27002:2013 dan menilai kematangan siber menggunakan model cyber security matury versi 1.10 yang dikembangkan oleh Badan Siber dan Sandi Negara Republik Indonesia. Dari hasil penelitian didapatkan bahwa penilaian risiko dan pengendalian risiko dengan dua metode yang digunakan dapat meningkatkan nilai kematangan siber organisasi dari 3.19 menjadi 4.06. Hasil penelitian ini juga menunjukkan bahwa kerangka kerja manajemen risiko keamanan informasi aplikasi pengelolaan data ABC telah sesuai dengan kebutuhan Institusi XYZ dalam menjalankan proses bisnisnya.

---

Information security is an important concern for the government and industry due to cyber attacks during Covid-19. The government in implementing the Electronic-Based Government System (SPBE) Presidential Regulation of the Republic of Indonesia Number 95 of 2018 guarantees the confidentiality, integrity, availability, authenticity and denial of resources related to data and information, SPBE Infrastructure, and SPBE Applications. To overcome these problems, the government in the approach to the implementation of information security risks and information security controls. This study aims to carry out risk identification, risk analysis, risk evaluation, risk treatment, risk acceptance, risk control, developing an information security risk management, and evaluation of cyber ​​security maturity,  governance domain maturity, examination, protection, detection and response. The methodology uses ISO/IEC 27005:2018 as a guide for conducting a risk assessment. The code of practice for information security control uses the ISO/IEC 27002:2013 standard and assesses cyber maturity using the cyber security maturity model version 1.10 developed by the National Cyber ​​and Crypto Agency of the Republic of Indonesia. From the results of the study, it was found that risk assessment and risk control with the two methods used can improve the cyber quality of the organization from 3.19 to 4.06. The results of this study also show that the security risk management framework for the application of ABC data management application is in accordance with the needs of XYZ Institution in carrying out its business processes."

"Tesis ini membahas laporan business coaching di PT. Defa n Precision. Penerapan manajemen risiko dapat meningkatkan kemungkinan perusahaan sehingga proses business coaching ini bertujuan untuk memperbaiki proses manajemen risiko pada UKM PT. Defa N Precision dengan menggunakan kerangka ISO 31000. Metode yang digunakan adalah proses penerapan manajemen risiko dengan tahapan penetapan konteks, risk assessment, dan risk treatment. Tujuan dari business coaching ini adalah membuat PT. Defa N Precision dapat menerapkan penetapan konteks dengan cara melakukan wawancara dan diskusi dengan UKM untuk mengetahui kondisi internal dan eksternalnya, risk assessment dengan mempersiapkan format untuk alat bantu melakukan diskusi dengan UKM dan risk treatment untuk dapat mengetahui tindakan yang dapat dilakukan dan menetapkan batas waktu mitigasi risiko yang dihasilkan. Penerapan manajemen risiko yang terstruktur dapat membuat perusahaan mengetahui risiko-risiko yang sebenarnya melekat dalam proses operasional sehari hari dan mampu melakukan control untuk mengurangi risiko tersebut sehingga proses operasional bisa lebih efisien dari segi profitabilitas dan efektifitasnya. Tahapan penetapan konteks, risk assessment dan risk treatment telah dilakukan di PT. Defa n Precision dan proses manajemen risiko selanjutnya akan diteruskan oleh general manager dari perusahaan setelah proses business coaching ini selesai.

---

This thesis discussed business coaching report in PT. Defa n Precision The implementation of risk management process with a structured framework will improve the company rsquo s probability to achieve its goals so the business coaching process objective is to improve the risk management process in PT. Defa n Precision using ISO 31000 framework. Methodology used in risk management process implementation with establishing the context process, risk assessment and risk treatment. Purpose of business coaching to make PT. Defa n Precision able to implementing establishing the context with discussion and interview with the company, risk assessment with the prepared format to help discussion with the company and risk treatment to develop the mitigation of risk and the implementation timeline. The implementation of the structured risk management process will make company aware about the risk that actually attached to their daily operational process and how to control the risk so the operational process can becoming more efficient in terms of profitability and effieicency. Establishing the context, risk assessment and risk treatment process is applied in PT. Defa n Precision and the risk management process will be continued by the general manager of the company after the business coaching process is over."

"Data dan informasi merupakan aset yang harus dilindungi dikarenakan aset berhubungan dengan kelangsungan bisnis perusahaan. Adanya pertumbuhan berbagai penipuan, virus, dan hackers dapat mengancam informasi bisnis manajemen dikarenakan adanya keterbukaan informasi melalui teknologi informasi modern. Dibutuhkan manajemen keamanan informasi yang dapat melindungi kerahasiaan, integritas, dan ketersediaan informasi. PT. XYZ sebagai perusahaan yang bergerak di bidang mobile solution tidak terlepas dari penggunaan teknologi informasi dalam penyimpanan, pengolahan data dan informasi milik perusahaan. Perusahaan diharuskan untuk dapat memberikan kemampuan mengakses dan menyediakan informasi secara cepat dan akurat. Oleh karena itu, perusahaan membutuhkan pengetahuan tentang keadaan keamanan informasi yang dimiliki saat ini, sehingga perusahaan dapat meminimalisir risiko yang akan terjadi. Tujuan penelitian ini memberikan usulan perbaikan manajemen risiko keamanan informasi dengan menggunakan standar ISO/IEC 27001:2005. Dengan menggunakan standar ISO/IEC 27001:2005, didapat kesenjangan keamanan informasi yang dimiliki oleh perusahaan. Selanjutnya, dipilih kontrol objektif yang sesuai dengan kebutuhan aset kritikal yang dimiliki oleh perusahaan. Dari kontrol objektif yang telah dipilih, selanjutnya diberikan usulan perbaikan agar perusahaan dapat menutupi kesenjangan keamanan informasi yang dimiliki. Hasil penelitian ini didapat kontrol-kontrol pengamanan informasi yang akan diimplementasikan di perusahaan dalam bentuk dokumen statemen of applicabality(SOA).

---

Data and Information are valuable assets that need to be protected for company's businesses. Rapid growth in fraud cases, virus, hackers could threat management business information by exposing them which is caused by modern information technology. Hence, it is required to have information security management which protects confidentiality, integrity, and availability of information. As a company who runs in mobile solution, PT. XYZ uses information technology in company's information and data storage and processing. In order to minimize the risk, current information security needs to be visible by the company.

This research is conducted to provide potential suggestions on risk management improvement of information security using standard ISO/IEC 270001:2005 standard. By using ISO/IEC 270001:2005 standard, this research is able to assess and obtain gap analysis checklist of company's information security. According to company asset needs, objective controls will be selected. Results of this study obtained information security controls to be implemented in the company in the form of statements of applicabality documents (SOA)."

"Cost overruns merupakan masalah serius bagi perusahaan konstruksi, termasuk di Indonesia. Fraud adalah salah satu penyebab utama proyek konstruksi mengalami cost overruns. Korupsi, termasuk penyuapan, penggelapan, dan fraud menyebabkan biaya konstruksi menjadi jauh lebih tinggi. Penelitian ini bertujuan untuk mengevaluasi penyebab fraud, menilai tingkat maturitas risiko fraud, dan mengembangkan kerangka kerja manajemen risiko fraud di perusahaan konstruksi di Indonesia. Penelitian ini menggunakan metode kualitatif untuk menganalisis data primer yang diperoleh dari wawancara dan observasi, dan data sekunder yang diperoleh dari tinjauan literatur. Menggunakan teori fraud triangle untuk mengidentifikasi penyebab risiko fraud, model fraud risk maturity oleh EY untuk menilai tingkat maturitas risiko fraud, dan konsep fraud risk management oleh KPMG untuk mengembangkan kerangka kerja manajemen risiko fraud, penelitian ini memberikan tiga hasil: Studi tentang penyebab fraud, penilaian tingkat maturitas risiko fraud, dan kerangka kerja manajemen risiko fraud untuk perusahaan konstruksi.

---

Cost overruns is a serious issue for construction companies, including in Indonesia. Fraud is one of the main causes of construction projects experiencing cost overruns. Corruption, including bribery, embezzlement, and fraud causes construction costs to be significantly higher. This research aimed to evaluate the causes of fraud, to assess the maturity level of the fraud risk, and to develop fraud risk management framework in a construction company in Indonesia. This research used qualitative methods to analyse primary data obtained from interviews and observations, and secondary data obtained from a literature review. Using the fraud triangle theory to identify the cause of fraud risks, the fraud risk maturity model by EY to assess the fraud risk maturity level, and the fraud risk management concept by KPMG to develop a fraud risk management framework, this research provided three results: A study of causes of fraud, fraud risk maturity assessment, and fraud risk management framework for a construction company."

"Terdapat beberapa jenis pendekatan manajemen risiko keamanan informasi sebagai panduan dalam menerapkan program risiko keamanan. Setiap pendekatan mempunyai tujuan dan metodologi yang berbeda tergantung pada kebutuhan dan selera organisasi yang melakukannya. Jika suatu organisasi memiliki personel yang kompeten untuk mengimplementasikan manajemen risiko keamanan informasi, maka akan mudah untuk melakukannya. Namun, itu akan menjadi tantangan bagi organisasi yang tidak memiliki personil yang kompeten. Tujuan dari penelitian ini adalah untuk merancang kerangka kerja manajemen risiko keamanan informasi yang sederhana namun memenuhi prinsip-prinsip manajemen risiko keamanan informasi. Desain didasarkan pada integrasi empat pendekatan manajemen risiko keamanan informasi yang berbeda. ISO 27005 mewakili standar, Risk Management Framework (RMF) oleh NIST mewakili pedoman, OCTAVE Allegro mewakili metodologi, dan COBIT mewakili kerangka kerja. Integrasi tersebut dipenuhi dengan melakukan analisis komparatif dengan menyortir dan menggabungkan berdasarkan proses aktivitas manajemen risiko keamanan informasi. Penyortiran diterapkan untuk mendapatkan desain model sederhana, dan penggabungan digunakan untuk mendapatkan desain model lengkap. Desain model sederhana terdiri dari proses identifikasi, pengukuran, administrasi dan pemantauan. Proses identifikasi terdiri dari identifikasi konteks dan komponen risiko. Proses pengukuran meliputi pengukuran faktor risiko dan risiko. Proses administrasi menghasilkan rencana penanganan risiko dan pengambilan keputusan. Proses pemantauan dengan objek perubahan dan pertukaran informasi. Untuk memvalidasi hasil perancangan desain model sederhana, dilakukan studi penerapan awal dalam bentuk simulasi penerapan di Pusdiklat Badan XYZ. Hasil studi penerapan awal ini adalah mayoritas responden baik online maupun offline menyatakan bahwa desain sederhana namun memenuhi prinsip manajemen risiko keamanan informasi dibuktikan dengan seluruh indikator evaluasi penerapan desain bernilai di atas passing grade 50%.

---

There are several types of information security risk management (ISRM) methods as guidance in implementing a security risk program. Each method carried different goals and methodologies depending on the needs and tastes of the organization that carried it out. If an organization has personnel who are competent to implement ISRM, it will be easy to do so. However, it will be challenging for an organization that lacks skilled personnel. The purpose of this study is to design a framework for ISRM that is simple but meets the principles of ISRM. The design is based on the integration of four different ISRM methods. ISO 27005 represents the standard, RMF by NIST represents guidelines, OCTAVE represents methodology, and COBIT represents framework. The integration is fulfilled by conducting a comparative analysis by sorting and merging based on the activity processes of ISRM. The result of this study is two designs of ISRM, namely full design and simple design. Sorting is applied to get a simple design, and merging is used to get a full design. The simple model design consists of the process of identification, measurement, administration and monitoring. The identification process consists of identifying the context and components of risk. The measurement process includes the measurement of risk and risk factors. The administrative process produces a plan for risk management and decision making. The process of monitoring with objects of change and information exchange. To validate the results of the design of a simple model, a preliminary implementation study was carried out in the form of a simulation application at the XYZ Agency Training Center. The results of this preliminary implementation study are that the majority of respondents both online and offline stated that the design was simple but met the principles of information security risk management, evidenced by all the indicators of the evaluation values above 50% passing grade."

"Keberadaan teknologi informasi telah memberikan berbagai kemudahan dan peluang melakukan bisnis secara online, salah satunya adalah industri Software as a Service (SaaS). PT Mitra Cerdas Nusantara (MCN) merupakan salah satu startup yang berfokus pada bisnis SaaS sebagai penyedia solusi integrated school management system bernama Ziad Smart. IT memiliki peran yang vital pada kegiatan operasional Ziad Smart. PT MCN sadar akan hal tersebut dan menerapkan zero security incident pada Ziad Smart. Namun pada kenyataannya, Ziad Smart masih mengalami insiden keamanan karena terdapat celah pada sistem yang mengakibatkan kerugian bagi PT MCN. Hal tersebut menandakan perlunya manajemen risiko keamanan informasi bagi aplikasi Ziad Smart. Tujuan dari penelitian ini adalah untuk memperoleh rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart. Penelitian ini menggunakan metode kualitatif dimana pengumpulan data dilakukan melalui wawancara, observasi, dan tinjauan pustaka. SNI ISO/IEC 27005:2022 digunakan sebagai kerangka dasar perancangan manajemen risiko keamanan informasi, sementara rekomendasi perlakuan risiko menggunakan SNI ISO/IEC 27002:2022. Hasil dari penelitian ini adalah rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart milik PT MCN. Penelitian ini menghasilkan 43 skenario risiko, yaitu: 10 risiko Tinggi, 21 risiko Sedang, dan 12 risiko Rendah. Penelitian ini mengusulkan 13 rekomendasi perlakuan untuk meningkatkan keamanan informasi dari aplikasi Ziad Smart.

---

Information technology presence has created several advantages and opportunities for conducting business online, one of which is the Software as a Service (SaaS) market. PT Mitra Cerdas Nusantara (MCN) is a SaaS-focused startup that provides integrated school management system solution namely Ziad Smart. Ziad Smart relies heavily on information technology for its operations. PT MCN is aware of this and has implemented a zero-security incident policy at Ziad Smart. However, Ziad Smart still experiencing security incidents because of a system flaw that causes loss for PT MCN. This highlights the necessity for information security risk management in the Ziad Smart application. The goal of this research is to provide a design for managing information security risks for the Ziad Smart application. This research employs qualitative approaches, with data collected through interviews, observations, and literature reviews. SNI ISO/IEC 27005:2022 serves as the foundation for establishing information security risk management, while risk treatment guidelines are based on SNI ISO/IEC 27002:2022. This investigation resulted in the formulation of an information security risk management strategy for PT MCN's Ziad Smart application. This study revealed 43 risk scenarios, including 10 high risks, 21 medium risks, and 12 low risks. This research presents 13 control measures to improve the information security of the Ziad Smart application."

"PT XYZ merupakan salah satu Badan Usaha Milik Pemerintah (BUMN) Republik Indonesia yang bergerak pada bidang agribisnis. PT XYZ sudah memiliki sistem manajemen keamanan informasi (SMKI), namun masih ditemukan beberapa kendala seperti atensi personil terhadap keamanan informasi yang rendah, kebutuhan untuk tetap patuh dengan peraturan pemerintah, hingga kendala teknis yang muncul, sehingga PT XYZ ingin meningkatkan kapabilitas terkait keamanan informasi yang mereka miliki. Penelitian ini bertujuan untuk mengetahui kondisi terkini dari SMKI yang ada pada PT XYZ dan memberikan rekomendasi peningkatan SMKI. Penelitian ini menggunakan kontrol keamanan informasi berdasarkan standar ISO/IEC 27001:2022 untuk mendapatkan gap kondisi keamanan informasi, dan kemudian melakukan penilaian risiko yang memakai data hasil gap yaitu kontrol keamanan informasi yang terpilih. Setelah itu dilakukan rekomendasi yang disusun berdasarkan standar ISO/IEC 27002:2022. Temuan dari penelitian ini adalah ditemukannya 22 aktivitas kontrol ISO/IEC 27001:2022 yang hasil nilainya belum maksimal. 22 kontrol ini kemudian dibagi menjadi 3 kategori rekomendasi berdasarkan urgensi peningkatan yang sesuai dari hasil penilaian risiko.

---

PT XYZ is one of the government-owned enterprises of the Republic of Indonesia that engaged in agribusiness. PT XYZ already has an information security management system (ISMS), but there are still several obstacles that are found, such as low personnel attention to information security, the need to remain compliant with government regulations, to technical constraints that arise, so PT XYZ wants to improve its information security-related capabilities. This study aims to determine the current condition of the existing ISMS at PT XYZ and provide recommendations for improving the ISMS. This research uses information security controls based on the ISO/IEC 27001: 2022 standard to get the information security condition gap, and then conduct a risk assessment using the gap result data, namely the selected information security controls. After that, recommendations were made based on the ISO / IEC 27002: 2022 standard. The findings of this study were the discovery of 22 ISO/IEC 27001:2022 control activities whose value results were not maximised. These 22 controls are then divided into 3 categories of recommendations based on the urgency, from the results of the risk assessment."