Hasil Pencarian  ::  Simpan CSV :: Kembali

"Badan Narkotika Nasional (BNN) adalah lembaga pemerintahan yang bertugas untuk Pencegahan dan Pemberantasan Penyalah gunaan dan Peredaran Gelap Narkotika (P4GN). BNN memiliki Pusat Penelitian Data dan Informasi (Puslitdatin) yang bertanggung jawab dalam pengelolaan teknologi informasi dan komunikasi (TIK). Masalah utama yang dihadapi adalah adanya risiko serangan siber yang masuk ke BNN tinggi yang juga diperkuat dengan hasil evaluasi SPBE (Sistem Pemerintahan Berbasis Elektronik) BNN di tahun 2021 berada pada angka indeks 2,21 dari skala 5. Rendahnya indeks SPBE tahun 2021, salah satunya disebabkan karena indikator 21 (Pelaksanaan Manajemen Risiko) masih berada pada level 1. Penelitian ini bertujuan untuk menghasilkan perancangan manajemen risiko keamanan informasi yang dapat mendukung pelaksanaan SPBE pada Badan Narkotika Nasional. Penelitian ini bermanfaat untuk mengetahui identifikasi risiko dalam penilaian risiko keamanan informasi, sehingga dapat memberikan penilaian konsekuensi dan dampak risiko keamanan informasi serta dapat memberikan rekomendasi kontrol terkait pengelolaan risiko (mitigasi risiko) kepada organisasi. Penelitian ini menggunakan metode kualitatif, yang dilakukan dengan wawancara kepada tim teknis TIK di Puslitdatin BNN serta menggunakan teknik analisis tematik. Kerangka kerja manajemen risiko keamanan informasi yang digunakan dalam penelitian ini adalah International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27005:2018, ISO/IEC 27002:2022, dan National Institute of Standards and Technology Special Publication 800-30 Revision 1 (NIST SP 800-30 Rev.1). Aset adalah segala sesuatu yang memiliki nilai bagi Puslitdatin dan karenanya memerlukan perlindungan, sedangkan ancaman adalah peristiwa apa pun yang berpotensi berdampak buruk pada operasi dan aset Puslitdatin melalui perusakan, pengungkapan, atau modifikasi informasi yang tidak sah, dan penolakan atau penghentian layanan. Dari penelitian didapatkan 78 aset yang teridentifikasi berkaitan dengan kegiatan Puslitdatin BNN dan terdapat 570 skenario peristiwa ancaman dari 16 sumber ancaman. Hasil penilaian tingkat risiko menunjukan sebanyak 37 skenario perlu dimitigasi dan 533 skenario diterima oleh Puslitdatin BNN. Pada penanganan risiko keamanan informasi dihasilkan 20 jenis rekomendasi kontrol yang diantaranya yaitu membuat kebijakan keamanan informasi, penerapan kontrol hak akses, penerapan secure authentication, pengadaan genset khusus data center, penerapan manajemen screen and desk policy, dan melakukan enkripsi data/informasi penting. Hasil penelitian ini adalah rancangan dokumen manajemen risiko keamanan informasi BNN.

---

The National Narcotics Board (BNN) is a government agency tasked with the Prevention and Eradication of Narcotics Abuse and Illicit Trafficking (P4GN). BNN has a Data and Information Research Center (Puslitdatin) which is responsible for managing information and communication technology (ICT). The main problem faced is the high risk of cyber attacks entering the BNN which is also reinforced by the evaluation results of the BNN's SPBE (Electronic Based Government System) in 2021 which is at an index number of 2.21 on a scale of 5. The low SPBE index in 2021, one of them because indicator 21 (Implementation of Risk Management) is still at level 1. This study aims to produce an information security risk management design that can support the implementation of SPBE at the National Narcotics Agency. This research is useful for knowing risk identification in information security risk assessment, so that it can provide an assessment of the consequences and impacts of information security risks and can provide control recommendations related to risk management (risk mitigation) to organizations. This study used a qualitative method, which was conducted by interviewing the ICT technical team at the BNN Research and Data Center, and using thematic analysis techniques. The information security risk management framework used in this study is the International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27005:2018, ISO/IEC 27002:2022, and National Institute of Standards and Technology Special Publication 800-30 Revision 1 (NIST SP 800-30 Rev.1). Assets are anything that has value to Puslitdatin and therefore requires protection, while threats are any events that have the potential to adversely affect Puslitdatin operations and assets through unauthorized destruction, disclosure or modification of information, and/or denial of service. From the research, it was found that 78 assets were identified as related to Puslitdatin BNN activities and 570 threat event scenarios from 16 threat sources. The results of the risk level assessment show that as many as 37 scenarios need to be mitigated and 533 scenarios are accepted by the BNN Research and Data Center. In handling information security risks, 20 types of control recommendations were produced, including making information security policies, implementing access rights controls, implementing secure authentication, procuring special data center generators, implementing screen and desk management policies, encrypting important data/information, and others. The result of this research is the design of BNN's information security risk management document."

"Inisiatif optimalisasi pemanfaatan Teknologi Informasi dan Komunikasi (TIK) merupakan salah satu bentuk inisiatif strategis dari Sekretariat Presiden (Setpres) yang tertuang dalam rencana strategis Setpres 2020-2024. Setpres dalam menjalankan kegiatan operasional maupun administrasi menetapkan konsep zero mistake, sehingga dalam melaksanakan pekerjaan diharuskan untuk teliti dan berhati-hati agar dapat meminimalisir munculnya risiko kesalahan dan timbulnya persepsi yang buruk terhadap kinerja Setpres. Layanan Setpres dituntut agar dapat memberikan data dan informasi yang aman dan handal dalam proses pengambilan keputusan. Namun pada kenyataannya pengelolaan aset dan risiko pada pusat data belum dikelola dengan baik dan bersifat spontanitas saja. Oleh karenanya dengan penelitian ini diharapkan pengelolaan risiko dan penanganan terkait keamanan informasi pada pusat data Setpres dapat dikelola dengan baik. Penelitian ini menggunakan metode kualitatif dimana proses pengumpulan data primer menggunakan wawancara, diskusi atau rapat dan melalui observasi serta dilengkapi dengan data sekunder. Kerangka kerja yang digunakan dalam proses manajemen risiko keamanan informasi penelitian ini adalah ISO/IEC 27005:2018 dan menggunakan panduan dari NIST SP 800-30 Rev.1 dalam proses penilaian risiko, kemudian menggunakan ISO/IEC 27002:2013 untuk memberikan rekomendasi kontrol penanganan risikonya. Penelitian ini menghasilkan 119 skenario risiko dimana 97 diantaranya perlu dimitigasi dan 22 risiko dapat diterima. Risiko yang dimitigasi 75 risiko ditangani dengan memodifikasi risiko, 22 dengan berbagi risiko, dan 22 risiko diterima. Rancangan manajemen risiko keamanan informasi pusat data Setpres ini diharapkan dapat bermanfaat bagi organisasi Setpres dalam mengelola risiko keamanan informasi pusat data maupun unit kerja lain di lingkungan Kementerian Sekretariat Negara dan juga pihak atau peneliti lain yang berkaitan dengan manajemen risiko keamanan informasi.

---

The initiative to optimize the use of Information Technology and Communication (ICT) is a form of strategic initiative of Presidential Secretariat (Setpres) which is can be found in the 2020-2024 Presidential Secretariat strategic plan. Setpres in carrying out the operational and administrative activities, Presidential Secretariat sets the concept of zero mistake, so that when doing the activities had to be thorough and careful in order to minimize the risk of errors and the emergence of a bad perception of the performance of the Presidential Secretariat. Presidential Secretariat services were required to provide be safe dan reliable data and information in the process of decision making. However, in the reality data center management of assets and risks was not managed properly, where the risk management and risk treatment were conducted spontaneously. Therefore, with this research risk management and the risk treatment related to the data center information security could be managed properly. This study uses qualitative method that the primary data collection by interviews, discussions or meetings, and observation, also uses the secondary data collection. Framework that is used by this research in the information security risk management process is ISO/IEC 27005:2018, and uses guidelines from NIST SP 800-30 Rev.1 in the risk assessment process, also completed with the ISO/IEC 27002:2013 for the recommendation for the risk controls. This study resulted 119 risk scenarios where 97 of them need to be mitigated and 22 risks are acceptable. Risks that were mitigated, 75 of the risks will be handled by modifying risks, 22 by sharing the risks, and 22 risks were acceptable. The design of data center information security risk management of the Presidential Secretariat was expected to be useful for Setpres Organization itself to manage information security risks and other works units within the Ministry of State Secretariat of the Republic of Indonesia as well as other parties or researchers related to the information security risk management."

"ABSTRAKInformasi merupakan aset vital bagi suatu organisasi, oleh karena itu maka diperlukan suatu mekanisme yang terstruktur untuk melindungi informasi yang dimiliki suatu organisasi. Perguruan tinggi merupakan salah satu sektor yang berisiko sangat tinggi terhadap keamanan informasinya. Perguruan tinggi dihadapkan pada tantangan menyeimbangkan antara kultur keterbukaan informasi dengan penjaminan perlindungan aset informasinya. Universitas XYZ merupakan salah satu perguruan tinggi yang memiliki aset informasi yang perlu dilindungi. Berdasarkan hasil wawancara dapat diketahui bahwa telah terjadi beberapa masalah yang menyangkut insiden keamanan informasi yang menimbulkan kerugian berupa kerugian finansial, kerugian operasional dan kerugian reputasi atau citra Universitas XYZ.Penelitian ini bertujuan untuk mengidentifikasi aset, risiko dan memberikan kontrol keamanan informasi yang sesuai dengan keadaan di Direktorat Akademik Universitas XYZ. Kontrol keamanan informasi yang digunakan berbasis ISO 27001:2013. Penelitian ini merupakan penelitian studi kasus dengan metode penelitian semi kuantitatif. Penelitian ini membahas mengenai serangkaian kegiatan manajemen risiko dan menerapkan kontrol keamanan informasi yang tepat yang terdapat pada ISO 27001:2013.Hasil penelitian ini adalah rancangan kebijakan keamanaan informasi bagi Direktorat Akademik Universitas XYZ. Rancangan kebijakan keamanan informasi digunakan sebagai acuan dalam meminimalisir risiko keamanan informasi.

---

ABSTRACT

Information is a vital assets for organization, therefor a structured mechanism is needed to protect organization information assets. Higher education is one of the highest sector that have high risk in their information security area. Higher education are faced with the challenge of balancing between the culture of information opennes and protection of information assets. XYZ University also have information assets that needs to be protected. Based on interview, there are several information security incidents causing financial, reputation and operational loss for XYZ University.

This research aims to identify assets, risk, and appropriate information security control suitable for XYZ University Academic Directorate. Information security control based on ISO 27001:2013. This is a case study research with a semi quantitative method. This research discuss about a set of risk management activity and implement appropriate information security control based on ISO 27001:2013.

Result of this research is an information security policy design suitable for Academic Directorate University of XYZ. Information security policy is used as a reference to minimize the risk of information security."

"Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik Pasal 12 merupakan peraturan yang mendasari tentang manajemen risiko dalam sistem elektronik. pada Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik menyebutkan bahwa Sistem Manajemen Pengamanan Informasi (SMPI) adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam penerapan manajemen pengamanan informasi berdasarkan asas risiko. Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) merupakan unit kerja di Badan Siber dan Sandi Negara yang melaksanakan tugas memegang kendali operasi keamanan siber Indonesia. Adanya serangan siber yang semakin besar hingga tercatat pada tahun 2020 terdapat 495.337.202 anomali yang menyerang di jaringan Indonesia, hal ini dibutuhkan keandalan Pusopskamsinas dalam melaksanakan monitoring lalu lintas siber di Indonesia. Dalam penyelenggaraan operasi keamanan siber tentu terdapat kerawanan dan potensi ancaman yang memberikan dampak negatif/risiko terhadap organisasi di mana risiko tersebut dapat dilakukan mitigasi dengan menerapkan manajemen risiko keamanan informasi pada Pusopskamsinas. Salah satu Indikator Sasaran Kegiatan Pusopskamsinas yaitu “Meningkatnya Kualitas Pemonitoran Keamanan Siber atas Serangan dan Ancaman Siber”. Berdasarkan data Laporan Kinerja Pusopskamsinas tahun 2020, diketahui bahwa Pusopskamsinas belum dapat memenuhi target kinerja dari indikator kinerja sasaran dengan capaian nilai 65% dari target capaian 100%. Tidak tercapainya target kinerja dapat berpengaruh terhadap Indikator Kinerja Utama (IKU) organisasi sebagai penentu ukuran tingkat keberhasilan sasaran strategis sehingga diperlukan adanya evaluasi kinerja organisasi. Berdasarkan hasil analisis permasalahan digunakan Business Model for Information Security dari ISACA yaitu Organization, People, Technology, dan Process, salah satu instrumen dari segi organisasi yang belum tersedia adalah dokumen Perencanaan Manajemen Risiko Keamanan Informasi. Penelitian ini merupakan penelitian menggunakan metode kualitatif dengan metode penarikan kesimpulan berupa secara induktif dan merupakan klasifikasi penelitian studi kasus. Pengumpulan data dilakukan melalui observasi, studi dokumen, dan wawancara kepada pejabat, pengelola layanan / tim operasional, serta perwakilan stakeholder. Hasil dari penelitian ini berupa Perencanaan Manajemen Risiko yang sesuai dengan kondisi Pusopskamsinas sehingga dapat membantu pencapaian target kinerja serta meningkatkan pencapaian Rencana Strategis BSSN.

---

Government Regulation Number 71 of 2019 concerning Implementation of Electronic Systems and Transactions Article 12 is an underlying regulation concerning risk management in electronic systems. Regulation of the National Cyber and Crypto Agency Number 8 of 2020 concerning Security Systems in the Operation of Electronic Systems states that the Information Security Management System (ISMS) is a regulation of obligations for Electronic System Operators in implementing information security management based on risk principles. The National Cyber Security Operations Center (Pusopskamsinas) is a work unit in the National Cyber and Crypto Agency that carries out the task of controlling Indonesian cybersecurity operations. The existence of cyber-attacks is getting bigger until it was recorded that in 2020 there were 495,337,202 anomalies attacking the Indonesian network, this required the reliability of Pusopskamsinas in carrying out cyber traffic monitoring in Indonesia. In carrying out cyber security operations, of course there are vulnerabilities and potential threats that have a negative impact / risk on the organization where these risks can be mitigated by implementing information security risk management at Pusopskamsinas. One of the indicators of the Pusopskamsinas activity target is "Increasing the Quality of Cyber Security Monitoring of Cyber Attacks and Threats". Based on data from the 2020 Pusopskamsinas Performance Report, it is known that the Pusopskamsinas has not been able to meet the performance targets of the target performance indicators with a score of 65% of the 100% achievement target. The failure to achieve the performance targets can affect the main performance indicators (IKU) of the organization as a determinant of the level of success of strategic targets so that an evaluation of organizational performance is needed. Based on the results of the problem analysis, ISACA's Business Model for Information Security is used, namely Organization, People, Technology, and Process. One of the instruments in terms of organization that is not yet available is the Information Security Risk Management Planning document. This research is using qualitative methods such as inductive inference and the classification of a case study. Data collected through observation, study of documents and interviews of officials, managers of services / operations team, and stakeholder representatives. The results of this study are in the form of a Risk Management Planning in accordance with the conditions of the Pusopskamsinas so that it can help achieve performance targets and increase the achievement of the BSSN Strategic Plan."

"Pembahasan dalam tesis ini adalah bahwa informasi yang ada pada Subdit Harda Ditresrkimum Polda Metro Jaya memerlukan penyimpanan dan pemeliharaan data secara akurat, baik untuk tindak lanjut penyelesaian tugas maupun untuk menjaga kerahasiaan supaya tidak disalahgunakan oleh pihak lain. Penelitian yang digunakan adalah penelitian kualitatif deskriptif. Pengumpulan data dilakukan melalui studi observasi, wawancara dan dokumentasi.Hasil penelitian menunjukan:1) Potensi ancaman gangguan keamanan informasi pada Subdit Harda Ditreskrimum Polda Metro Jaya berasal dari dalam dan dari luar, dimana yang dari dalam yakni terkait penyimpanan dokumen yang dilakukan oleh para penyidik, sedangkan ancaman yang berasal dari luar adalah upaya yang dilakukan oleh pihak-pihak yang mempunyai kepentingan terhadap suatu kasus yang sedang ditangani oleh Subdit Harda Ditreskrimum Polda Metro Jaya;2) Pelaksanaan kegiatan manajemen sekuriti informasi yang dilakukan oleh Subdit Harda Ditreskrimum Polda Metro Jaya belum sepenuhnya mencerminkan pelaksanaan manajemen sekuriti informasi yang baik;3) Dalam prakteknya pelaksanaan manajemen sekuriti informasi yang dilakukan oleh Subdit Harda Ditreskrimum Polda Metro Jaya mempunyai beberapa kendala meliputi aspek SDM, sarana dan prasarana serta sistem dan metode yang dilakukannya, sehingga kegiatan manajemen sekuriti informasi yang dilakukan menjadi tidak maksimal;4) Kondisi ideal pelaksanaan manajemen sekuriti informasi yang dilakukan oleh Subdit Harda Ditreksrimum Polda Metro Jaya berdasarakan komponen yang terdapat dalam ISO 27702 adalah meliputi dua belas bagian utama identifikasi sasaran hasil dari tiap kendali relatif untuk diterapkan.Implikasi dari kajian tesis ini adalah:(a) Perlu dilakukan berbagai upaya penanggulangan potensi ancaman terjadinya gangguan keamanan informasi;(b) Perlu dibuatkan suatu Peraturan dari pihak pimpinan yang mengikat untuk dilaksanakan oleh semua penyidik dan PNS yang bekerja di Subdit Harda Ditreskrimum Polda Metro Jaya;(c) Para penyidik perlu diikutsertakan dalam program pendidikan dan latihan maupun kejuruan dibidang teknologi informasi; dan (d) Perlu dibuatkan ruangan khusus yang dipergunakan untuk penyimpanan dokumen maupun berkas-berkas hasil penyidikan yang telah dilakukan oleh para penyidik Subdit Harda Ditreskrimum Polda Metro Jaya;(e) Perlu dilakukan pengklasifikasian informasi, menjadi informasi sangat rahasia, informasi rahasia, informasi terbatas/konfidensial, informasi biasa, guna menghindari terjadinya kebocoran informasi.

---

This thesis discussed about the information at Subdit Harda Ditresrkimum Polda Metro Jaya that require storage and accurate maintenance, either for task completion or in order to maintain confidentiality. This research used descriptive qualitative metode. Data collection is conducted through observation, interview and documentation.

The research shows:

1) There are two potential threats for security of information at Subdit Harda Ditreskrimum Polda Metro Jaya, first is internal threat that came from the investigator?s document handling methode and second is external threat that came from other parties whom concern for the case being handled by Subdit Harda Ditreskrimum Polda Metro Jaya;

2) The implementation for security management of information that is done by Subdit Harda Ditreskrimum Polda Metro Jaya has not been reflecting a good security management of information yet;

3) The implementation for security management of information that is done by Subdit Harda Ditreskrimum Polda Metro Jaya has some constraints that is : human resources, infrastructure, systems and methods;

4) Ideal implementation for security management of information that is done by Subdit Harda Ditreksrimum Polda Metro Jaya based on twelve main target identification results in ISO 27702.

Implication of this thesis discussion are:

(a) Reduce the potential threats for information security;

(b) Regulation is need to rules all investigators and civil servants that work in Subdit Harda Ditreskrimum Polda Metro Jaya; (c) The investigator should be having an educational programs and vocational training about information technology; and

(d) It should be a special room that is used for storage of documents and files that have been collected while investigation prosessed;

(e) Classification of information is necessary, which is : extremely confidential information, confidential information, limited information/confidential and regular information."

"Aplikasi Bukti Potong Elektronik (e-Bupot) merupakan salah satu layanan DJP yang digunakan oleh Wajib Pajak untuk melakukan pemotongan pajak dan melaporkannya secara elektronik. Mulai tahun 2022, akan dilakukan implementasi aplikasi e-Bupot Unifikasi secara nasional untuk menggantikan aplikasi e-Bupot versi sebelumnya. Aplikasi ini mendukung proses bisnis pengelolaan SPT (Surat Pemberitahuan) dan merupakan salah satu sistem elektronik dengan tingkat kritikalitas tinggi berdasarkan Business Impact Analysis yang disusun DJP. Oleh karena itu, sangat penting bagi DJP untuk dapat menjaga keamanan informasi aplikasi e-Bupot Unifikasi dalam hal ketersediaan layanannya serta kerahasiaan dan keutuhan data dan informasi perpajakan yang diolah. Adanya insiden keamanan informasi dapat berpengaruh terhadap operasional pelayananan organisasi yang berpotensi mengakibatkan kerugian secara finansial dan penurunan reputasi. Penelitian ini dilakukan untuk menyusun rancangan manajemen risiko keamanan informasi pada aplikasi e-Bupot Unifikasi. Kerangka kerja yang digunakan dalam penelitian ini berdasarkan pada standar ISO/IEC 27005:2018. Hasil dari penelitian ini adalah rancangan manajemen risiko keamanan informasi atas aplikasi e-Bupot Unifikasi yang terdiri dari skenario risiko dan rencana penanganan risiko. Terdapat 32 skenario risiko yang diidentifikasi dengan14 skenario risiko dilakukan mitigasi dan 18 skenario risiko dapat diterima. Rekomendasi kontrol untuk penanganan risiko mengacu pada standar persyaratan keamanan informasi ISO/IEC 27001:2013 dan panduan penerapannya pada ISO/IEC 27002:2013.

---

The Electronic Withholding Tax Application (e-Bupot) is one of the DGT services used by Taxpayers to make withholding tax slip and report them electronically. Starting in 2022, the e-Bupot Unifikasi application will be implemented nationally to replace the previous version of the e-Bupot application. This application is one of the electronic systems with a high criticality level based on the Business Impact Analysis by DGT to supports the tax return processing business process. Therefore, it is very important for DGT to maintain the information security of the e-Bupot Unifikasi application in terms of the availability of its services as well as the confidentiality and integrity of the processed tax data and information. Information security incidents can have a negative impact on an organization's service operations, potentially leading to financial losses and a damage to reputation. This study was conducted to develop a design of information security risk management for the e-Bupot Unifikasi application. The framework used in this study is based on the ISO/IEC 27005:2018 standard. The result of this study is a design of information security risk management for the e-Bupot Unifikasi application, which includes risk scenarios and risk treatment plans. There are 32 risk scenarios identified with 14 risk scenarios being mitigated and 18 risk scenarios being accepted. Control recommendations for risk treatment plans refer to the information security requirements standard ISO/IEC 27001:2013 and its implementation guide ISO/IEC 27002:2013."

"ABSTRAKPenelitian ini berfokus pada pembahasan manajemen informasi di Jurusan Administrasi Kehidupan PT XYZ. Tujuan dari penelitian ini adalah untuk mengidentifikasi manajemen informasi di Departemen Life Administration yang meliputi kegiatan arus informasi dan informasi dan keamanan informasi dalam mendukung strategi perusahaan. Pendekatan yang digunakan dalam penelitian ini adalah pendekatan kualitatif dengan metode studi kasus dan audit informasi sebagai alat penelitian. KoleksiPengumpulan data dilakukan dengan wawancara terstruktur, observasi, dan analisis dokumen. Hasil penelitian ini mengidentifikasi bahwa proses manajemen informasi di Departemen Administrasi Kehidupan dibagi menjadi kegiatan yang menggunakan informasi, penyimpanan informasi, dan distribusi informasi. Selain itu, bentuk manajemen informasi di unit administrasi mempengaruhi arus informasi dan keamanan informasi departemen. Penelitian ini menunjukkan bahwa manajemen informasi diDepartemen Administrasi Kehidupan berfokus pada informasi digital dengan penerapan sistem otomasi setiap aktivitas informasi, sedangkan manajemen informasi untuk informasi tercetak dilakukan bekerja sama dengan pihak eksternal.ABSTRACTThis study focuses on the discussion of information management in the Department of Life Administration, PT XYZ. The purpose of this study is to identify information management in the Department of Life Administration which includes information and information flow activities and information security in supporting corporate strategy. The approach used in this research is a qualitative approach with case study methods and information auditing as research tools. CollectionData was collected by structured interviews, observation, and document analysis. The results of this study identify that the information management process in the Department of Life Administration is divided into activities that use information, information storage, and information distribution. In addition, the form of information management in the administrative unit affects the information flow and information security of the department. This research shows that information management in The Life Administration Department focuses on digital information by implementing an automated system for every information activity, while information management for printed information is carried out in collaboration with external parties."

"Keberadaan teknologi informasi telah memberikan berbagai kemudahan dan peluang melakukan bisnis secara online, salah satunya adalah industri Software as a Service (SaaS). PT Mitra Cerdas Nusantara (MCN) merupakan salah satu startup yang berfokus pada bisnis SaaS sebagai penyedia solusi integrated school management system bernama Ziad Smart. IT memiliki peran yang vital pada kegiatan operasional Ziad Smart. PT MCN sadar akan hal tersebut dan menerapkan zero security incident pada Ziad Smart. Namun pada kenyataannya, Ziad Smart masih mengalami insiden keamanan karena terdapat celah pada sistem yang mengakibatkan kerugian bagi PT MCN. Hal tersebut menandakan perlunya manajemen risiko keamanan informasi bagi aplikasi Ziad Smart. Tujuan dari penelitian ini adalah untuk memperoleh rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart. Penelitian ini menggunakan metode kualitatif dimana pengumpulan data dilakukan melalui wawancara, observasi, dan tinjauan pustaka. SNI ISO/IEC 27005:2022 digunakan sebagai kerangka dasar perancangan manajemen risiko keamanan informasi, sementara rekomendasi perlakuan risiko menggunakan SNI ISO/IEC 27002:2022. Hasil dari penelitian ini adalah rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart milik PT MCN. Penelitian ini menghasilkan 43 skenario risiko, yaitu: 10 risiko Tinggi, 21 risiko Sedang, dan 12 risiko Rendah. Penelitian ini mengusulkan 13 rekomendasi perlakuan untuk meningkatkan keamanan informasi dari aplikasi Ziad Smart.

---

Information technology presence has created several advantages and opportunities for conducting business online, one of which is the Software as a Service (SaaS) market. PT Mitra Cerdas Nusantara (MCN) is a SaaS-focused startup that provides integrated school management system solution namely Ziad Smart. Ziad Smart relies heavily on information technology for its operations. PT MCN is aware of this and has implemented a zero-security incident policy at Ziad Smart. However, Ziad Smart still experiencing security incidents because of a system flaw that causes loss for PT MCN. This highlights the necessity for information security risk management in the Ziad Smart application. The goal of this research is to provide a design for managing information security risks for the Ziad Smart application. This research employs qualitative approaches, with data collected through interviews, observations, and literature reviews. SNI ISO/IEC 27005:2022 serves as the foundation for establishing information security risk management, while risk treatment guidelines are based on SNI ISO/IEC 27002:2022. This investigation resulted in the formulation of an information security risk management strategy for PT MCN's Ziad Smart application. This study revealed 43 risk scenarios, including 10 high risks, 21 medium risks, and 12 low risks. This research presents 13 control measures to improve the information security of the Ziad Smart application."

"Berdasarkan Horizons Scan Report 2021 yang dikeluarkan BSI, 6 besar ancaman pada organisasi saat ini adalah pandemik, insiden kesehatan, insiden keselamatan, kegagalan TI dan telekomunikasi, serangan siber dan cuaca ekstrim. Universitas Indonesia (UI) sebagai kampus modern, komprehensif dan terbuka berusaha menjadi universitas riset terkemuka di dunia. Direktorat Sistem dan Teknologi Informasi (DSTI) sebagai pengelola layanan TI di UI memiliki tugas untuk memperkuat manajemen layanan dengan menerapkan manajemen risiko dan manajemen keamanan yang selaras dengan undang-undang dan kebijakan terkait. Masalah utama bagi DSTI sebagai layanan TI di UI adalah belum adanya dokumen-dokumen terkait manajemen risiko dan manajemen keamanan informasi yang berakibat kepada kegagalan layanan TI. Dalam tahun ini sudah terjadi empat kali kegagalan pusat data yang diakibatkan permasalahan listrik dan UPS. DSTI ingin meningkatkan layanan TI di UI dengan cara menerapkan manajemen risiko dan Business Continuity Management Sytem (BCMS). Penelitian ini bertujuan untuk melakukan analisis risiko untuk merancang Business Continuity Plan (BCP) bagi layanan TI di Universitas Indonesia. Penelitian dilakukan secara kualitatif dan kuantitatif, metode kualitatif OCTAVE dilakukan dalam menemukan daftar risiko pada aset kritikal pada layanan TI di UI. Untuk membuat peringkat daftar risiko dibutuhkan metode kuantitatif dengan menggunakan kuesioner dan perhitungan FMEA untuk mendapatkan peringkat nilai risiko. Penelitian ini memisahkan risiko aset umum dan aset sistem informasi. Untuk aset kritikal umum ditemukan 2 aset berada pada level sangat tinggi, 1 tinggi, 8 risiko berada pada level rendah dan 12 risiko berada pada level sangat rendah. Untuk aset sisteminformasi ditemukan 12 aset dengan risiko sangat tinggi, 3 menengah dan 1 rendah.

---

Based on the Horizons Scan Report 2021 by BSI, the top 6 threats to organizations today are pandemics, health incidents, safety incidents, IT and telecommunications outage, cyber attacks and extreme weather. Universitas Indonesia (UI) as a modern, comprehensive and open campus strives to become a leading research university in the world. The Directorate of Information Systems and Technology (DSTI) as the IT service manager at UI has the task of strengthening service management by implementing risk management and security management in line with relevant laws and policies. The main problem for DSTI as an IT service at UI is that there are no documents related to risk management and information security management which result in the failure of IT services. This year, there have been four data center failures due to power and UPS problems. DSTI wants to improve IT services at UI by implementing risk management and Business Continuity Management System (BCMS). This study aims to conduct a risk analysis to design a Business Continuity Plan (BCP) for IT services at the University of Indonesia. The research was conducted both qualitatively and quantitatively, the OCTAVE qualitative method was carried out in finding a list of risks on critical assets in IT services at UI. To rank the risk list, a quantitative method is needed using a questionnaire and FMEA calculations to get a risk priority number. This study separates the risk of general assets and information system assets. For critical assets, it is generally found that 2 assets are at a very high level, 1 is high, 8 risks are at a low level and 12 risks are at a very high level. for information system assets found 12 assets with very high risk, 3 medium and 1 low."

"Hingga tahun 2022, bauran energi listrik terbarukan seperti geothermal hanya mencapai 2280 MW dari target pemerintah Indonesia 7200 MW, sebagaimana tercantum pada Rencana Umum Energi Nasional (RUEN). Hasil kajian World Bank menyatakan bahwa implementasi teknologi informasi dan komunikasi sangat diperlukan dalam mempercepat eksplorasi energi ini. Selain itu, kondisi pandemi COVID-19 juga mendesak perusahaan eksplorasi geothermal seperti PT XYZ untuk mempercepat proses transformasi digital untuk meningkatkan kualitas koordinasi,  pengambilan, integrasi, dan pengelolaan data di lapangan. Akan tetapi, penggunaan dan penyimpanan data digital yang sangat dinamis memunculkan masalah kerentanan terhadap data. Sehingga hal tersebut menjadi pendorong untuk dilakukannya penilaian risiko keamanan informasi di perusahaan ini. Penilaian risiko keamanan informasi juga merupakan langkah awal dalam penyusunan sistem manajemen keamanan informasi. Penilaian risiko keamanan informasi dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005 dengan menggunakan domain dan objektif yang terdapat pada ISO/IEC 27001. Hasil penelitian ini menunjukkan adanya 26 risiko kemanan inforasi pada sistem informasi kepegawaian PT XYZ. 16 risiko tinggi dan sedang direkomendasikan untuk dimitigasi dengan menerapkan kontrol yang diharapkan dapat mengurangi dampak dan kemungkinan dari risiko tersebut. Sepuluh risiko rendah diterima dengan tetap menerapkan kontrol yang sesuai dengan ISO 27002.

---

Until 2022, geothermal energy only reaches total capacity 2280 MW behind the target of national total renewable energy mix 7200 MW that stated in the General National Energy Plan. Recent study from World Bank stated that implementation of information and communication technology is crucial in accelerating geothermal energy exploration. In addition, the COVID-19 pandemic also has drived many geothermal exploration companies such as PT XYZ to accelerate their digital transformation to improve coordination, data acquisition, data integration, and data management at the exploration site. However, the rapid flow of digital data raises several issues related to information security. This study aims to establish information securiy risk assessment as the first step in developing information security management system. This assessment is prepared using ISO/IEC 27005 framework with domains and objectives from ISO/IEC 27001. The results show that there are 26 information security risks in the PT XYZ human resource information system. 16 high and moderate unacceptable risks are recommended to be mitigated by implementing controls to reduce the impact and likelihood of these risks. Ten low risks are accepted while maintaining controls according to ISO 27002."