Hasil Pencarian  ::  Simpan CSV :: Kembali

"Kebijakan keamanan informasi di PT XYZ Multifinance dirancang untuk digunakan sebagai acuan dalam memahami dan mengidentifikasi serta melakukan analisis penilaian aset, ancaman, kerentanan, insiden atau gangguan, frekuensi terjadinya gangguan, dan pengaruh terhadap keamanan informasi. Sebagai tindak lanjut, kebijakan keamanan informasi perlu dievaluasi untuk menentukan penanganan yang tepat, monitoring, dan dikembangkan sesuai kondisi yang ada. Penelitian ini bertujuan untuk merancang kebijakan keamanan informasi di PT XYZ Multifinance. Penelitian ini menggunakan standar ISO/IEC 27001:2013. Pengumpulan data dan uji validasi rancangan kebijakan dilakukan dengan wawancara terhadap pihak-pihak yang berkaitan dengan keamanan informasi, antara lain: general m-anager TI, manager TI, deputi manager manajemen risiko, dan manager manajemen risiko. Selain itu, pengumpulan data juga dilakukan dengan observasi, studi literatur, mengkaji penelitian-penelitian yang dilakukan sebelumnya, dan dokumen internal organisasi. Dalam menyusun rancangan kebijakan keamanan informasi, tahap-tahap yang dilakukan adalah tahap identifikasi aset, ancaman, dan kerentanan; identifikasi risiko; analisis risiko kualitatif; perencanaan respon terhadap risiko; pemantauan dan pengendalian risiko. Hasil penelitian ini memberikan rancangan kebijakan keamanan informasi yang sesuai untuk diterapkan di PT XYZ Multifinance.

---

Information security policy at PT XYZ Multifinance designed which can be applied as a reference in understanding and identifying and also analyzing asset assessments, threats, vulnerabilities, incidents or disruptions, frequency of disturbances, and the impact on information security. As a follow up, information security policies need to be evaluated to determine the appropriate handling, monitoring, and developed according to existing conditions. This study aims to design an information security policy at PT XYZ Multifinance. This study uses the ISO / IEC 27001: 2013 standard. Data collection and validation tests for policy drafts were conducted by interviewing parties related to information security, including: IT general manager, IT manager, deputy risk management manager and risk management manager. In addition, data collection was also carried out by observation, literature study, reviewing previous studies, and internal organizational documents. In drafting an information security policy, the steps taken are the identification of assets, threats and vulnerabilities; risk identification; qualitative risk analysis; risk response planning design; monitoring and controlling risk. The objective of this study can provide an appropriate information security policy design to be implemented in PT XYZ Multifinance."

"Pada bulan September 2021, dilaporkan adanya dugaan pembobolan dan penyusupan hacker kedalam 10 Kementerian, Lembaga dan Instansi Pemerintah. Instansi XYZ adalah salah satunya. Instansi XYZ merupakan badan pengawas pemerintah yang belum menerapkan dan merancang kebijakan keamanan informasi dengan baik. Adanya peraturan dari Kementerian Kominfo dan BSSN terkait dengan keamanan informasi, membuat Instansi XYZ berinisiatif untuk memperbaiki kebijakan keamanan informasi sesuai dengan standar yang ditentukan oleh Kementerian Kominfo dan BSSN, yakni dengan menggunakan standar SNI ISO/IEC 27001:2013 Kebijakan keamanan informasi di Instansi XYZ dirancang sebagai acuan dalam mengidentifikasi dan memahami penilaian aset, ancaman, kerentanan, kemungkinan terjadinya gangguan, dan dampak yang didapatkan terhadap keamanan informasi. Penelitian ini dibuat dengan tujuan untuk merancang kebijakan keamanan informasi di Instansi XYZ menggunakan standar SNI ISO/IEC 27001:2013. Pengumpulan data dan uji validasi rancangan kebijakan keamanan informasi dilakukan dengan menggunakan metode wawancara dengan pihak terkait, antara lain: Kepala TI, sub koordinator keamanan informasi TI sub koordinator informasi, sub koordinator tata kelola TI dan manajemen risiko TI, dan sub koordinator infrastruktur. Selain itu, pengumpulan data juga dilakukan dengan melakukan analisis dokumen internal organisasi, studi literatur, dan mengkaji penelitian-penelitian yang dilakukan sebelumnya. Adapun penelitian ini dilakukan dengan beberapa tahapan, yaitu identifikasi aset, ancaman dan kerentanan; identifikasi risiko; penilaian risiko; penentuan kontrol risiko. Hasil penelitian ini memberikan rancangan kebijakan keamanan informasi yang sesuai dengan Instansi XYZ.

---

In September 2021, it was reported that there were allegations of hacking and cyber-attack on 10 ministries, institutions, and government in Indonesia. XYZ Institute is one of them. XYZ Institute is a government supervisory that has not implemented and designed information security policies properly. Following regulations from the Ministry of Communications and Informatics and BSSN related to information security, made XYZ Institute take the initiative to improve information security policies in accordance with the standards set by the Ministry of Communications and Informatics and BSSN using SNI ISO/IEC 27001:2013 The information security policy at XYZ Institute is designed as a reference in identifying and understanding the assessment of assets, threats, vulnerabilities, the possibility of interference, and the impact on information security. This study aims to design an information security policy at XYZ Institute, using the SNI ISO/IEC 27001:2013 as the standard. The data collection and validation test of the information security policy design was created by interviewing related parties, including head of IT, IT information security sub-coordinator, information sub-coordinator, IT governance and IT risk management sub-coordinator, and infrastructure sub-coordinator. In addition, data collection was performed by analyzing the organization's internal documents, literature studies and reviewing previous studies. The stages carried out in this research are the identification of assets, threats, and vulnerabilities; risk identification; risk assessment; risk control determination. The results of this study provide an information security policy design that is in accordance with XYZ Institute."

"ABSTRAKBank XYZ berkomitmen memberikan layanan perbankan terdepan kepada nasabah dan perkembangan teknologi digital yang mendorong bank untuk bertumbuh lebih cepat melalui pengembangan layanan digital banking untuk meningkatkan pertumbuhan nasabah baru dan meningkatkan kemudahan transaksi perbankan. Dengan bertambahnya pemanfaatan teknologi informasi melalui penerapan layanan digital banking terbaru, maka bertambah juga ancaman terhadap keamanan informasi yang perlu diantisipasi untuk memastikan prinsip kerahasiaan, integritas, dan ketersediaan suatu informasi. Penelitian ini bertujuan untuk mengetahui kemungkinan risiko-risiko terhadap layanan digital banking dan merancang suatu kebijakan keamanan informasi sebagai bagian dari alat kontrol terhadap risiko keamanan informasi pada digital banking. Penelitian ini merupakan penelitian studi kasus dengan metode kualitatif dengan melakukan analisis melalui observasi secara langsung dan juga pada dokumen internal bank yang terkait dengan layanan digital banking terbaru. Penelitian ini membahas aktivitas manajemen risiko dan menentukan kontrol keamanan informasi yang tepat berdasarkan standar ISO 27001:2013. Penelitian ini menghasilkan suatu rancangan kebijakan keamanan informasi mencakup 64 kontrol keamanan dari 114 kontrol yang ada pada Annex A ISO 27001:2013 dan berdasarkan penilaian risiko pada delapan aset informasi dan juga 23 aset pendukung layanan digital banking terbaru dari Bank XYZ. Kontrol keamanan pada ISO 27001:2013 sesuai dengan kebutuhan penerapan keamanan informasi pada Bank XYZ karena dapat mencakup seluruh kerentanan yang ada pada aset digital banking. Rancangan kebijakan ini dapat digunakan bagi Bank untuk pembuatan standar dan prosedur keamanan informasi terkait layanan digital banking.

---

ABSTRACT

XYZ Bank committed to provide leading banking services to customers and the development of digital technology that encourages banks to grow faster through the development of digital banking services to increase new customer growth and also improve the ease of banking transactions. With the increasing use of information technology in the application of digital banking services, it also increased the threats to the information assets that need to be anticipated to ensure the confidentiality, integrity, and availability of the information. This research aims to determine the possibility of digital banking services risks and design an information security policy as part of the information security risk control. This is a case study research with a qualitative analysis method through direct observation and also on the bank's internal documents related to digital banking services. This research discusses the risk management activities and determines the appropriate information security controls based on the standard from ISO 27001: 2013. The research produced a draft of an information security policy that includes 64 security controls from 114 security controls in Annex A of ISO 27001: 2013 and based on risk assessment from eight information assets and 23 supporting assets of digital banking services from XYZ Bank. Security controls on ISO 27001: 2013 match the requirements for implementing information security at XYZ Bank because it can cover all assets' vulnerabilities that exist in digital banking. The policy can be used as a reference to create standards and procedures related to the information security of digital banking services."

"ABSTRAK

Informasi merupakan aset vital bagi suatu organisasi, oleh karena itu maka diperlukan suatu mekanisme yang terstruktur untuk melindungi informasi yang dimiliki suatu organisasi. Perguruan tinggi merupakan salah satu sektor yang berisiko sangat tinggi terhadap keamanan informasinya. Perguruan tinggi dihadapkan pada tantangan menyeimbangkan antara kultur keterbukaan informasi dengan penjaminan perlindungan aset informasinya. Universitas XYZ merupakan salah satu perguruan tinggi yang memiliki aset informasi yang perlu dilindungi. Berdasarkan hasil wawancara dapat diketahui bahwa telah terjadi beberapa masalah yang menyangkut insiden keamanan informasi yang menimbulkan kerugian berupa kerugian finansial, kerugian operasional dan kerugian reputasi atau citra Universitas XYZ.

Penelitian ini bertujuan untuk mengidentifikasi aset, risiko dan memberikan kontrol keamanan informasi yang sesuai dengan keadaan di Direktorat Akademik Universitas XYZ. Kontrol keamanan informasi yang digunakan berbasis ISO 27001:2013. Penelitian ini merupakan penelitian studi kasus dengan metode penelitian semi kuantitatif. Penelitian ini membahas mengenai serangkaian kegiatan manajemen risiko dan menerapkan kontrol keamanan informasi yang tepat yang terdapat pada ISO 27001:2013.

Hasil penelitian ini adalah rancangan kebijakan keamanaan informasi bagi Direktorat Akademik Universitas XYZ. Rancangan kebijakan keamanan informasi digunakan sebagai acuan dalam meminimalisir risiko keamanan informasi.

---

ABSTRACT

Information is a vital assets for organization, therefor a structured mechanism is needed to protect organization information assets. Higher education is one of the highest sector that have high risk in their information security area. Higher education are faced with the challenge of balancing between the culture of information opennes and protection of information assets. XYZ University also have information assets that needs to be protected. Based on interview, there are several information security incidents causing financial, reputation and operational loss for XYZ University.

This research aims to identify assets, risk, and appropriate information security control suitable for XYZ University Academic Directorate. Information security control based on ISO 27001:2013. This is a case study research with a semi quantitative method. This research discuss about a set of risk management activity and implement appropriate information security control based on ISO 27001:2013.

Result of this research is an information security policy design suitable for Academic Directorate University of XYZ. Information security policy is used as a reference to minimize the risk of information security."

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi.Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002.Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."

"ABSTRAKDari hasil asesmen dengan menggunakan alat evaluasi Indeks Keamanan Informasi KAMI v.3.1 yang dilakukan dengan KOMINFO, hasil skor mendapatkan nilai 192 yang berarti tingkat kelengkapan/kematangan keamanan informasi LIPI masih berada di level I atau tidak layak dalam Indeks KAMI. Penelitian ini memfokuskan pada bagaimana rancangan kebijakan sistem manajemen keamanan informasi SMKI yang dapat diterapkan di LIPI, dengan hasil akhir berupa rancangan kumpulan kebijakan terkait keamanan informasi/SMKI yang sesuai dengan indikator indeks KAMI dan dapat diterapkan di LIPI. Penelitian ini menggunakan kerangka kerja ISO/IEC 27001:2013 sebagai kerangka kerja utama untuk perancangan SMKI dan menggunakan ISO/IEC 27005:2011 sebagai proses manajemen risiko, serta ISO/IEC 27002:2013 untuk pengendaliannya. Metodologi penelitian yang digunakan adalah penelitian studi kasus. Hasil dan kesimpulan dari penelitian ini adalah rancangan kebijakan keamanan informasi yang sesuai dengan indikator indeks KAMI. Rancangan yang telah dibuat telah direviu oleh tim ahli LIPI dan telah mengikuti format penyusunan kebijakan LIPI.

---

ABSTRACTFrom the assessment results using the evaluation tool Indeks Keamanan Informasi KAMI v.3.1 conducted with KOMINFO, the score result get a value of 192 which means the level of completeness maturity of LIPI information security is still at level I or not feasible in Indeks KAMI. This study focuses on how the design of information security management system ISMS can be applied in LIPI, with the final result of the design of information security related policies ISMS in accordance with Indeks KAMI indicators and applicable in LIPI. This study uses the ISO IEC 27001 2013 framework as the main framework for the design of the ISMS and uses ISO IEC 27005 2011 as a risk management process, and ISO IEC 27002 2013 for its control. The research methodology used is case study research. The results and conclusions of this study are the design of an information security management system in accordance with Indeks KAMI indicators. The design that has been made has been reviewed by the LIPI expert team and has followed the LIPI policy formulation format. "

"In this era of digital age where considerable business activities are powered by digital and telecommunication technologies, deriving customer loyalty and satisfaction through delivering high quality services, driven by complex and sophisticated Information Technology (IT) systems, is one of the main services objectives of the Bank towards its customers. From customer services perspective, "availability" is a degree of how closed the Bank is to its customers so that they can "consume" the Bank"s services easily and in preference to its competitors. "Reliability" is the degree of how adequate and responsive the Bank is in meeting its customers" needs. "Confidentiality" is the trust the customers have in the Bank in that their confidential information will not fall into the wrong hands.Information Technology is one of the means that Bank uses to achieve quality service objectives. Reliance on IT requires an understanding of the importance of IT Security within the IT environments. As business advantages are derived from the use of IT to deliver quality services, critical IT security issues related to the use of IT should be understood and addressed. Safeguarding and protecting security Information systems and assets are prominent issues that all responsible IT users must address. Information is the most valuable assets of the Bank. Adequate resources must be allocated to carry out the safeguarding of Bank"s information assets through enforcing a defined IT Security Policies, Standards and Procedures.Compliance with international and national standards designed to facilitate the Interchange of data between Banks should be considered by the Bank"s management as part of the strategy for IT Security which helps to enforce and strengthen IT security within an organization."

"Hingga tahun 2022, bauran energi listrik terbarukan seperti geothermal hanya mencapai 2280 MW dari target pemerintah Indonesia 7200 MW, sebagaimana tercantum pada Rencana Umum Energi Nasional (RUEN). Hasil kajian World Bank menyatakan bahwa implementasi teknologi informasi dan komunikasi sangat diperlukan dalam mempercepat eksplorasi energi ini. Selain itu, kondisi pandemi COVID-19 juga mendesak perusahaan eksplorasi geothermal seperti PT XYZ untuk mempercepat proses transformasi digital untuk meningkatkan kualitas koordinasi,  pengambilan, integrasi, dan pengelolaan data di lapangan. Akan tetapi, penggunaan dan penyimpanan data digital yang sangat dinamis memunculkan masalah kerentanan terhadap data. Sehingga hal tersebut menjadi pendorong untuk dilakukannya penilaian risiko keamanan informasi di perusahaan ini. Penilaian risiko keamanan informasi juga merupakan langkah awal dalam penyusunan sistem manajemen keamanan informasi. Penilaian risiko keamanan informasi dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005 dengan menggunakan domain dan objektif yang terdapat pada ISO/IEC 27001. Hasil penelitian ini menunjukkan adanya 26 risiko kemanan inforasi pada sistem informasi kepegawaian PT XYZ. 16 risiko tinggi dan sedang direkomendasikan untuk dimitigasi dengan menerapkan kontrol yang diharapkan dapat mengurangi dampak dan kemungkinan dari risiko tersebut. Sepuluh risiko rendah diterima dengan tetap menerapkan kontrol yang sesuai dengan ISO 27002.

---

Until 2022, geothermal energy only reaches total capacity 2280 MW behind the target of national total renewable energy mix 7200 MW that stated in the General National Energy Plan. Recent study from World Bank stated that implementation of information and communication technology is crucial in accelerating geothermal energy exploration. In addition, the COVID-19 pandemic also has drived many geothermal exploration companies such as PT XYZ to accelerate their digital transformation to improve coordination, data acquisition, data integration, and data management at the exploration site. However, the rapid flow of digital data raises several issues related to information security. This study aims to establish information securiy risk assessment as the first step in developing information security management system. This assessment is prepared using ISO/IEC 27005 framework with domains and objectives from ISO/IEC 27001. The results show that there are 26 information security risks in the PT XYZ human resource information system. 16 high and moderate unacceptable risks are recommended to be mitigated by implementing controls to reduce the impact and likelihood of these risks. Ten low risks are accepted while maintaining controls according to ISO 27002."

"PT XYZ adalah perusahaan milik swasta yang bergerak di bidang online travel agent (OTA). PT XYZ menggunakan aplikasi OTA berupa web dan mobile apps untuk menjalankan bisnis utamanya menjual produk untuk kebutuhan travelling dan tourism baik penjualan tiket transportasi, akomodasi dan event. Aplikasi OTA sebagai aset penting dari PT XYZ harus dilindungi dari segala ancaman yang dapat mengganggu proses bisnis dan memberikan kerugian bagi perusahaan. Adanya berbagai ancaman dan kerentanan terhadap aplikasi OTA membutuhkan adanya hasil penilaian risiko yang mampu mendeteksi risiko-risiko beserta dampaknya bagi perusahaan dan seperti apa penanganan terhadap risiko-risiko tersebut. Penelitian ini menggunakan metode kualitatif dengan mengumpulkan data melalui wawancara, focus group discussion (FGD), observasi, dan studi dokumen. Penentuan metode Penilaian Risiko Keamanan Informasi (PRKI) pada penelitian ini menggunakan Core Unified Risk Framework (CURF) untuk melakukan evaluasi terhadap sembilan metode PRKI yang dipilih berdasarkan kriteria pemilihan metode PRKI dan dengan melakukan studi literatur terhadap metode PRKI dengan skor tertinggi berdasarkan hasil evaluasi menggunakan CURF. Berdasarkan hasil evaluasi metode ISO 27005 dipilih untuk menjalankan PRKI aplikasi OTA PT XYZ. Proses PRKI berdasarkan ISO 27005 melalui empat tahap yaitu, penentuan konteks, identifikasi risiko, estimasi risiko, dan evaluasi risiko untuk menghasilkan rekomendasi penanganan risiko hasil dari estimasi dan evaluasi risiko.

---

PT XYZ is a private company engaged in online travel agent (OTA) business. XYZ provide OTA application in the form of web dan mobile application to run its main business selling travelling and tourism need such as transportation ticket, accommodation ticket and events ticket. As a crucial asset for PT XYZ OTA Application must be protected from all risks that can disrupt business processes and cause losses for the company. The existence of various threats and vulnerabilities to OTA applications requires a risk assessment result that is able to detect the risks and their impact on the company and how to handle these risks. This study uses a qualitative method by collecting data through interviews, focus group discussions (FGD), observation, and document studies. To select the Information Security Risk Assessment (ISRA) method that will be used to assess risk in this study is done by using the Core Unified Risk Framework (CURF) to evaluate the nine PRKI methods selected based on the criteria for selecting the ISRA methods and by conducting relevant literature study on the ISRA method with the highest score based on the evaluation results using CURF. Based on the evaluation results, the ISO 27005 method was chosen to run ISRA process for the PT XYZ OTA application. The PRKI process based on ISO 27005 goes through four stages, namely, context determination, risk identification, risk estimation, and risk evaluation to produce risk management recommendations as a result of risk estimation and evaluation."