Hasil Pencarian  ::  Simpan CSV :: Kembali

"PT XYZ merupakan salah satu Badan Usaha Milik Pemerintah (BUMN) Republik Indonesia yang bergerak pada bidang agribisnis. PT XYZ sudah memiliki sistem manajemen keamanan informasi (SMKI), namun masih ditemukan beberapa kendala seperti atensi personil terhadap keamanan informasi yang rendah, kebutuhan untuk tetap patuh dengan peraturan pemerintah, hingga kendala teknis yang muncul, sehingga PT XYZ ingin meningkatkan kapabilitas terkait keamanan informasi yang mereka miliki. Penelitian ini bertujuan untuk mengetahui kondisi terkini dari SMKI yang ada pada PT XYZ dan memberikan rekomendasi peningkatan SMKI. Penelitian ini menggunakan kontrol keamanan informasi berdasarkan standar ISO/IEC 27001:2022 untuk mendapatkan gap kondisi keamanan informasi, dan kemudian melakukan penilaian risiko yang memakai data hasil gap yaitu kontrol keamanan informasi yang terpilih. Setelah itu dilakukan rekomendasi yang disusun berdasarkan standar ISO/IEC 27002:2022. Temuan dari penelitian ini adalah ditemukannya 22 aktivitas kontrol ISO/IEC 27001:2022 yang hasil nilainya belum maksimal. 22 kontrol ini kemudian dibagi menjadi 3 kategori rekomendasi berdasarkan urgensi peningkatan yang sesuai dari hasil penilaian risiko.

---

PT XYZ is one of the government-owned enterprises of the Republic of Indonesia that engaged in agribusiness. PT XYZ already has an information security management system (ISMS), but there are still several obstacles that are found, such as low personnel attention to information security, the need to remain compliant with government regulations, to technical constraints that arise, so PT XYZ wants to improve its information security-related capabilities. This study aims to determine the current condition of the existing ISMS at PT XYZ and provide recommendations for improving the ISMS. This research uses information security controls based on the ISO/IEC 27001: 2022 standard to get the information security condition gap, and then conduct a risk assessment using the gap result data, namely the selected information security controls. After that, recommendations were made based on the ISO / IEC 27002: 2022 standard. The findings of this study were the discovery of 22 ISO/IEC 27001:2022 control activities whose value results were not maximised. These 22 controls are then divided into 3 categories of recommendations based on the urgency, from the results of the risk assessment."

"Hingga tahun 2022, bauran energi listrik terbarukan seperti geothermal hanya mencapai 2280 MW dari target pemerintah Indonesia 7200 MW, sebagaimana tercantum pada Rencana Umum Energi Nasional (RUEN). Hasil kajian World Bank menyatakan bahwa implementasi teknologi informasi dan komunikasi sangat diperlukan dalam mempercepat eksplorasi energi ini. Selain itu, kondisi pandemi COVID-19 juga mendesak perusahaan eksplorasi geothermal seperti PT XYZ untuk mempercepat proses transformasi digital untuk meningkatkan kualitas koordinasi,  pengambilan, integrasi, dan pengelolaan data di lapangan. Akan tetapi, penggunaan dan penyimpanan data digital yang sangat dinamis memunculkan masalah kerentanan terhadap data. Sehingga hal tersebut menjadi pendorong untuk dilakukannya penilaian risiko keamanan informasi di perusahaan ini. Penilaian risiko keamanan informasi juga merupakan langkah awal dalam penyusunan sistem manajemen keamanan informasi. Penilaian risiko keamanan informasi dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005 dengan menggunakan domain dan objektif yang terdapat pada ISO/IEC 27001. Hasil penelitian ini menunjukkan adanya 26 risiko kemanan inforasi pada sistem informasi kepegawaian PT XYZ. 16 risiko tinggi dan sedang direkomendasikan untuk dimitigasi dengan menerapkan kontrol yang diharapkan dapat mengurangi dampak dan kemungkinan dari risiko tersebut. Sepuluh risiko rendah diterima dengan tetap menerapkan kontrol yang sesuai dengan ISO 27002.

---

Until 2022, geothermal energy only reaches total capacity 2280 MW behind the target of national total renewable energy mix 7200 MW that stated in the General National Energy Plan. Recent study from World Bank stated that implementation of information and communication technology is crucial in accelerating geothermal energy exploration. In addition, the COVID-19 pandemic also has drived many geothermal exploration companies such as PT XYZ to accelerate their digital transformation to improve coordination, data acquisition, data integration, and data management at the exploration site. However, the rapid flow of digital data raises several issues related to information security. This study aims to establish information securiy risk assessment as the first step in developing information security management system. This assessment is prepared using ISO/IEC 27005 framework with domains and objectives from ISO/IEC 27001. The results show that there are 26 information security risks in the PT XYZ human resource information system. 16 high and moderate unacceptable risks are recommended to be mitigated by implementing controls to reduce the impact and likelihood of these risks. Ten low risks are accepted while maintaining controls according to ISO 27002."

"Pengelolaan informasi yang baik dapat menjaga keberlanjutan bisnis perusahaan, memanfaatkan peluang bisnis, dan memaksimalkan nilai return dari investasi. Pengelolaan keamanan informasi dilakukan perusahaan dengan membuat Sistem Manajemen Keamanan Informasi (SMKI) untuk mengantisipasi setiap ancaman terhadap aset informasi. Standar SMKI yang banyak diadopsi adalah ISO/IEC 27001:2005. Standar versi 2005 ini mengalami revisi pada tahun 2013. Dengan adanya revisi tersebut, maka perusahaan yang telah memiliki sertifikasi ISO/IEC 27001 harus melakukan penyesuaian SMKI agar tetap selaras dengan versi 2013. PT. XYZ sebagai operator selular dengan jumlah pelanggan terbanyak di Indonesia mengelola aset informasinya dengan menerapkan SMKI berbasis ISO/IEC 27001:2005. PT. XYZ harus menyesuaikan SMKI dengan versi 2013 agar pengelolaan keamanan informasi yang dilakukan tetap sesuai dengan best practices terbaru dalam mengatasi risiko informasi terkini. Penyesuaian ini juga menunjukkan komitmen PT. XYZ dalam melindungi data pelanggan, meningkatkan kredibilitas dalam pasar yang kompetitif, dan mempertahankan sertifikasi ISO/IEC 27001 yang pernah diraihnya. Untuk itu perlu dilakukan audit kepatuhan keamanan informasi yang berlaku di PT. XYZ terhadap ISO/IEC 27001:2013. Penelitian menunjukkan sejauh mana SMKI PT. XYZ patuh terhadap ISO/IEC 27001:2013. Untuk meningkatkan kepatuhan direkomendasikan beberapa kebijakan dan prosedur yang perlu ditambahkan, yaitu terkait komunikasi SMKI kepada pihak terkait, kontrol terhadap supply chain, dan kontrol redundan.

---

Information management will maintain the sustainability of the company's business, take advantage of business opportunities, and maximize the return value of the investment. Information Security Management System (ISMS) done by enterprise to anticipate any threats to information assets. Widely adopted ISMS standard is ISO / IEC 27001: 2005. This version of the standard was revised in 2013. With this revision, the company with ISO / IEC 27001 Certification should make adjustments to comply with new standard.

PT. XYZ as a service provider with the highest number of subscribers in Indonesia manage their information assets by implementing ISMS based on ISO / IEC 27001:2005. PT. XYZ must adjust the ISMS in order to stay aligned with the latest best practices and newest information risk. This adjustment also shows the commitment of PT. XYZ in protecting customer data, improving credibility in a competitive market, and maintain ISO / IEC 27001 Certification. Therefore, compliance audit of information security in PT. XYZ need to be done. Audit shows the extent of the ISMS adherence to ISO / IEC 27001:2013. To improve compliance, we recommend several policies and procedures that need to be added: communications to related parties, control of the supply chain, and control of redundancy."

"PT Dyandra Promosindo merupakan perusahaan yang bergerak dibidang event organizer, dimana dalam menjalankan proses bisnisnya sehari-hari pasti akan selalu berhubungan dengan informasi penting dari klien mereka. Oleh karena itu perlu dilakukan risk assessment untuk menghindari hilangnya confidentiality, integrity dan availability dari suatu aset informasi. Penulis ingin mengetahui seberapa besar dampak risiko yang mengancam keamanan aset informasi dan memberikan rekomendasai kontrol pada aset tersebut. Proses risk assessment dapat dibagi menjadi tiga tahapan yaitu, risk identification secara interview dan peninjauan dokumen, risk analysis dengan menggunakan asset valuation dan vulnerability and threat rating, dan terakhir risk evaluation menggunakan pengukuran risk impact. Hasil dari penelitian ini didapatkan 10 aset informasi kritis yang teridentifikasi dan hanya 1 yang masuk ke kelompok mitigasi risiko Tolerable dimana aset-aset lainnya dikelompok Acceptable. Rekomendasi kontrol untuk risiko aset informasi PT Dyandra Promosindo yang berdasarkan pada Annex A ISO/IEC 27001:2022 didapatkan 15 kontrol, yang terdiri dari 4 Organizational control, 5 People control, 1 Physical control, dan 5 Technological control.

---

PT Dyandra Promosindo is a company that operates in the event organizer sector, when carrying out their daily business processes they will always be in contact with important information from their clients. Therefore, it is necessary to carry out a risk assessment to avoid loss of confidentiality, integrity and availability of an information asset. The author wants to know how big the risk impact that threatens the security of information assets and provide control recommendations over these assets. The risk assessment process can be divided into three stages, namely, risk identification through interviews and document review, risk analysis using asset valuation and vulnerability and threat ratings, and finally risk evaluation using risk impact measurements. The results of this research showed that 10 critical information assets were identified and only 1 was in the Tolerable risk mitigation group where the other assets were in the Acceptable group. Recommendations for controls for PT Dyandra Promosindo information assets risk based on Annex A ISO/IEC 27001:2022 show 15 controls consisting of 4 Organizational control, 5 People control, 1 Physical control, and 5 Technological control."

"Keberadaan teknologi informasi telah memberikan berbagai kemudahan dan peluang melakukan bisnis secara online, salah satunya adalah industri Software as a Service (SaaS). PT Mitra Cerdas Nusantara (MCN) merupakan salah satu startup yang berfokus pada bisnis SaaS sebagai penyedia solusi integrated school management system bernama Ziad Smart. IT memiliki peran yang vital pada kegiatan operasional Ziad Smart. PT MCN sadar akan hal tersebut dan menerapkan zero security incident pada Ziad Smart. Namun pada kenyataannya, Ziad Smart masih mengalami insiden keamanan karena terdapat celah pada sistem yang mengakibatkan kerugian bagi PT MCN. Hal tersebut menandakan perlunya manajemen risiko keamanan informasi bagi aplikasi Ziad Smart. Tujuan dari penelitian ini adalah untuk memperoleh rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart. Penelitian ini menggunakan metode kualitatif dimana pengumpulan data dilakukan melalui wawancara, observasi, dan tinjauan pustaka. SNI ISO/IEC 27005:2022 digunakan sebagai kerangka dasar perancangan manajemen risiko keamanan informasi, sementara rekomendasi perlakuan risiko menggunakan SNI ISO/IEC 27002:2022. Hasil dari penelitian ini adalah rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart milik PT MCN. Penelitian ini menghasilkan 43 skenario risiko, yaitu: 10 risiko Tinggi, 21 risiko Sedang, dan 12 risiko Rendah. Penelitian ini mengusulkan 13 rekomendasi perlakuan untuk meningkatkan keamanan informasi dari aplikasi Ziad Smart.

---

Information technology presence has created several advantages and opportunities for conducting business online, one of which is the Software as a Service (SaaS) market. PT Mitra Cerdas Nusantara (MCN) is a SaaS-focused startup that provides integrated school management system solution namely Ziad Smart. Ziad Smart relies heavily on information technology for its operations. PT MCN is aware of this and has implemented a zero-security incident policy at Ziad Smart. However, Ziad Smart still experiencing security incidents because of a system flaw that causes loss for PT MCN. This highlights the necessity for information security risk management in the Ziad Smart application. The goal of this research is to provide a design for managing information security risks for the Ziad Smart application. This research employs qualitative approaches, with data collected through interviews, observations, and literature reviews. SNI ISO/IEC 27005:2022 serves as the foundation for establishing information security risk management, while risk treatment guidelines are based on SNI ISO/IEC 27002:2022. This investigation resulted in the formulation of an information security risk management strategy for PT MCN's Ziad Smart application. This study revealed 43 risk scenarios, including 10 high risks, 21 medium risks, and 12 low risks. This research presents 13 control measures to improve the information security of the Ziad Smart application."

"Ancaman terhadap keamanan informasi menjadi hal yang sering dijumpai saat ini baik di lingkup individu maupun organisasi. Beberapa jenis ancaman tersebut berasal dari serangan virus, malware, web defacement dan phising. Untuk mengantisipasi dan merespon serangan tersebut, lembaga XYZ membentuk tim insiden respon atau yang dikenal sebagai CSIRT ( Computer and Security Incident Response Team). Penanganan insiden keamanan informasi merupakan aspek kritis dalam memastikan integritas dan kelangsungan operasional suatu organisasi. Berdasarkan catatan, insiden keamanan informasi masih sering terjadi hingga saat ini di lingkungan organisasi.Penelitian ini bertujuan untuk melakukan analisis terhadap pendekatan yang diambil oleh organisasi dalam menangani insiden keamanan informasi dengan area fokus pada efektivitas langkah-langkah yang dilakukan. Kerangka kerja yang digunakan adalah ISO/IEC 27035:2016, terdapat 69 klausul dilakukan untuk mengevaluasi penanganan insiden dan 62 klausul untuk diterapkan untuk perencanaan kebijakan penanganan insiden. Hasil asesmen pada lembaga XYZ menggunakan ISO/IEC 27035 mengenai manajemen insiden keamanan informasi didapatkan bahwa organisasi telah menerapkan sejumlah 53% dari 69 klausul yang diterapkan.

---

Threats to information security are something that is often encountered today, both in individuals and organizations. Several types of threats come from virus attacks, malware, web defacement and phishing. To anticipate and respond to these attacks, XYZ Institution formed an incident response team or known as CSIRT (Computer and Security Incident Response Team). Handling information security incidents is a critical aspect to ensuring the integrity and operational continuity of an organization. Based on records, information security incidents still frequently occur today in organizational environments.

This research aims to conduct an analysis of the approaches taken by organizations in handling information security incidents with a focus area on the effectiveness of the steps taken. The framework used is ISO/IEC 27035:2016, there are 69 clauses to evaluate incident handling and 62 clauses to be applied for planning incident handling policies. The results of an assessment at XYZ institution using ISO/IEC 27035 regarding information security incident management found that the organization had implemented 53% of the 69 clauses implemented."

"Proses pengelolaan data dan informasi di Instansi XYZ memiliki ancaman risiko insiden keamanan informasi dan belum fokus terhadap aspek penanganan insiden keamanan informasi. Hal ini dikarenakan pemetaan ancaman, dampak dan potensi risiko insiden keamanan informasi yang ada di Instansi XYZ belum memadai dan belum tersedianya strategi dalam meningkatkan manajemen insiden keamanan informasi agar dapat membantu Instansi XYZ dalam menghadapi ancaman insiden keamanan informasi dan menjamin keamanan pelayanan data informasi instansi kepada masyarakat. Pengumpulan data dilakukan melalui wawancara dengan pejabat dilingkungan Instansi XYZ dan hasil analisis risiko didapatkan jumlah total 271 risiko yang dimiliki Instansi XYZ, dengan jumlah risiko inheren  terdapat 4 risiko dengan level tinggi, 184 risiko dengan level sedang dan 79 risiko dengan level rendah. Dalam melakukan penyusunan rekomendasi, digunakan pendekatan kesesuaian dari insiden manajemen keamanan informasi menurut SNI ISO/IEC 27035 dengan proses bisnis. Penelitian menghasilkan bahan evaluasi dan rekomendasi dalam aspek kerangka kerja yang digunakan bagi peningkatan kinerja Instansi XYZ dalam penanganan ancaman insiden keamanan informasi.

---

The process of managing data and information at the XYZ Agency has a risk of information security incidents and has not focused on aspects of handling information security incidents. This is due to the inadequate mapping of threats, impacts and potential risks of information security incidents at the XYZ Agency and the unavailability of strategies to improve information security incident management so that they can assist XYZ Agencies in dealing with the threat of information security incidents and guarantee the security of agency information data services to the public. Data collection was carried out through interviews with officials within the XYZ Agency and the results of the risk analysis obtained a total of 271 risks owned by the XYZ Agency, with the total inherent risk being 4 risks with a high level, 184 risks with a moderate level and 79 risks with a low level. In preparing the recommendations, the conformity approach of information security incident management according to SNI ISO/IEC 27035 with business processes is used. The research produced evaluation materials and recommendations in terms of the framework used to improve the performance of the XYZ Agency in handling information security incident threats."

"Pertukaran informasi dan penyebaran informasi melalui perangkat TIK akan melahirkan era banjirnya informasi dan berujung pada munculnya isu keamanan informasi. Untuk kementerian, lembaga, dan instansi pemerintah, isu keamanan informasi mulai mengemuka setelah diterbitkannya peraturan PP No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pada peraturan tersebut terdapat kewajiban pengamanan sistem elektronik bagi penyelenggara sistem elektronik untuk pelayanan publik. Pemerintah Kabupaten X merupakan instansi pemerintah yang melayani publik. Kondisi keamanan informasi di Pemerintah Kabupaten X saat ini masih lemah, terbukti dengan adanya insiden serangan malware yang ditujukan ke situs www.xkab.go.id. Penelitian ini difokuskan pada audit kepatuhan keamanan informasi dengan menggunakan kerangka kerja ISO/IEC 27001:2013. Model audit yang digunakan adalah model Plan. Model Plan adalah salah satu model Plan-Do-Check-Act yang merupakan pendekatan dalam mengelola Sistem Manajemen Keamanan Informasi (SMKI) pada ISO/IEC 27001:2005. Audit dilakukan dengan mengidentifikasi aset, ancaman, kerawanan dan rencana kerja untuk menghasilkan rekomendasi kebijakan, prosedur, instruksi dan dokumentasi. Hasil penelitian ini terdapat 143 kebijakan, prosedur, instruksi, dan dokumentasi yang direkomendasikan. Hasil rekomendasi tersebut telah memenuhi 148 kontrol dari 163 kontrol yang ada pada ISO/IEC 27001:2013.

---

Information exchange and dissemination of information with ICT will give birth to the era of the flood of information and lead to the emergence of the issue of information security. For ministries, institutions and government agencies, information security related issues started to emerge after the issuance of regulation PP 82/2012 on the Implementation of the System and Electronic Transactions. There is an obligation on the regulation of electronic security systems for organizing electronic system for public services. X Regency is a government agency that serves the public. Information security conditions in X Regency still weak, as evidenced by the incidents of malware attacks aimed to the site www.xkab.go.id.

This study focused on information security compliance auditing by using the framework of ISO / IEC 27001: 2013. The audit model used is a model Plan. Model Plan is one model of Plan-Do-Check-Act which is an approach to managing an Information Security Management System (ISMS) in ISO/IEC 27001:2005. Audit carried out by identifying assets, threats, vulnerabilities and work plan to produce policy recommendations, procedures, instructions and documentation. Results of this study are 143 policies, procedures, instructions, and documentation are recommended. Results of these recommendations have met control 148 of the 163 existing controls in ISO / IEC 27001:2013."

"Organisasi perlu menerapkan suatu keamanan informasi yang baik agar proses bisnis organisasi bisa berjalan tanpa ada ancaman. Aset TI merupakan hal yang harus dilindungi dikarenakan berpengaruh dengan proses bisnis organisasi. PT XYZ bergerak dibidang manage service untuk network dan juga cloud. Apabila terjadi kendala pada operasional organisasi dapat mengganggu Service Level Agreement (SLA) dengan pelanggan dan proses bisnis internal. Oleh karena itu, dibutuhkan manajemen risiko keamanan informasi yang tepat dan akurat. Permasalahan pada PT XYZ tidak pernah melakukan pembaharuan terhadap manajemen risiko sudah lebih dari tiga tahun, yang mana organisasi belum mengetahui jika terdapat risiko baru yang mengancam operasional. Operation risk atau risiko operasional akan diteliti dikarenakan operation risk akan berdampak kepada SLA pelanggan dan juga proses bisnis PT XYZ. Sudah ada dua kejadian serangan yang terjadi seperti DDOS Attack dan Ransomware pada aset organisasi beberapa waktu lalu. Maka dari itu dalam suatu organisasi diharuskan mempunyai manajemen keamanan informasi untuk dapat mengontrol segala risiko yang ada agar tidak menimbulkan kerugian pada organisasi. Untuk kerangka kerja dari keamanan informasi menggunakan kontrol dari ISO/IEC 27001:2013 sebagai acuannya. Tujuan dari penelitian ini adalah memberikan rekomendasi usulan ruang untuk berkembang pada organisasi khususnya pada operation risk PT XYZ. Dengan hasil evaluasi kondisi manajemen risiko keamanan informasi menggunakan standar ISO/IEC 27001:2013, didapatkan analisis kesenjangan dengan keamanan informasi pada organisasi sebesar 83,91% atau sebagian besar tercapai. Selanjutnya untuk rekomendasi ruang untuk berkembang menggunakan 10 rekomendasi kontrol dalam bentuk Statement of Applicability (SOA) dan usulan 10 pemilihan kontrol risiko pada risiko yang masih berstatus mitigasi pada operation risk.

---

Organizations must be able to implement a good information security so that the organization can run its business processes without any threats. IT assets are things that must be protected because they affect the organization's business processes. PT XYZ is engaged in managing services for the network and the cloud services. If there are operational problems, the organization cannot monitor links that are down, it will disrupt the Service Level Agreement (SLA) with user and internal business processes. Therefore, appropriate and accurate information security risk management is needed. The problem is that PT XYZ has never updated its risk management for more than three years, which is where the organization does not know if there are new risks that threaten operations. Operation risk or operational risk will be investigated because operation risk has an impact on pelanggan SLA and also organization’s business processes. There have been two incidents of attacks such as DDOS Attack and Ransomware on organizational assets some time ago. Therefore, an organization is required to have information security management to be able to control all existing risks so as not to cause harm to the organization. For the framework of information security using the objective control of ISO/IEC 27001:2013 as a reference. The purpose of this study is to provide recommendations for space proposals to develop in the organization, especially in the operation risk of PT XYZ. With the results of the evaluation of the condition of information security risk management using the ISO/IEC 27001:2013 standard, it was found that a gap analysis with information security in the organization was 83.91% or most of it was achieved. Then for recommendations for space to develop, use 10 objective controls in the form of a Statement of Applicability (SOA) and a proposed 10 selection of risk controls on risks that are still in the status of mitigation on operation risk."

"Era digitalisasi memiliki dampak yang sangat signifikan yaitu berupa transformasi digital bagi banyak organisasi. Transformasi digital yang dilakukan di PT TASPEN (Persero) tidak hanya memberikan banyak kemudahan bagi peserta maupun karyawan internal Perusahaan, namun juga menimbulkan adanya potensi keamanan karena adanya penggunaan teknologi dan internet yang masif. Dalam penelitian ini, peneliti melakukan evaluasi terhadap pengelolaan keamanan informasi di PT TASPEN (Persero) menggunakan alat bantu yaitu Indeks KAMI 5.0. Selanjutnya peneliti melakukan analisis lebih lanjut dan membandingkannya dengan standar SNI ISO/IEC 27001:2022 sehingga didapatkan rekomendasi yang dapat diberikan kepada untuk meningkatkan pengelolaan keamanan informasi di perusahaan tersebut. Evaluasi pengelolaan keamanan informasi menunjukkan bahwa PT TASPEN (Persero) berada pada level sistem elektronik strategis dengan skor 822 dan status “cukup baik”. Sebagai tindak lanjut hasil evaluasi, penelitian ini menghasilkan 35 buah rekomendasi yang dapat dilakukan oleh PT TASPEN (Persero) untuk meningkatkan keamanan informasinya.

---

The era of digitization has had a significant impact, namely the digital transformation of many organizations. The digital transformation undertaken by PT TASPEN (Persero) not only provides many conveniences for participants and internal employees of the company but also raises potential security concerns due to the extensive use of technology and the internet. In this research, the researcher evaluates information security management at PT TASPEN (Persero) using the KAMI 5.0 Index as a tool. Subsequently, the researcher conducts further analysis and compares it with the SNI ISO/IEC 27001:2022 standard to provide recommendations for improving information security management in the company. The evaluation of information security management indicates that PT TASPEN (Persero) is at the level of a strategic electronic system with a score of 822 and a status of "fairly good." As a follow-up to the evaluation results, this research produces 35 recommendations that PT TASPEN (Persero) can implement to enhance its information security."