Hasil Pencarian  ::  Simpan CSV :: Kembali

"ABSTRAKLembaga Administrasi Negara (LAN) memiliki fungsi salah satunya pembinaan di bidang pengembangan kompetensi Aparatur Sipil Negara (ASN) mulai dari akreditasi lembaga pelatihan ASN sampai dengan pembinaan pelatihan kompetensi manajerial pegawai ASN. Untuk menunjang fungsi tersebut Lembaga Administrasi Negara menerapkan Sistem Informasi Pengembangan Kompetensi ASN (SIPKA). Layanan yang diberikan malalui SIPKA antara lain pemberian kode registrasi, akreditasi lembaga pelatihan untuk melakukan pembinaan terhadap penyelenggara pelatihan, dan pengembangan kompetensi ASN untuk menghasilkan informasi kinerja setiap instansi dalam pemenuhan hak pengembangan kompetensi ASN. Dalam operasionalnya, SIPKA beberapa kali terjadi insiden terkait keamanan informasi. Oleh karena itu diperlukan suatu penilaian risiko keamanan informasi serta langkah-langkah penanganan terhadap risiko yang timbul akibat insiden tersebut untuk mencegah terjadinya kebocoran informasi dan tetap tersedianya layanan informasi pada SIPKA. Penelitian ini dilakukan dengan tujuan untuk mengetahui tingkat risiko keamanan informasi pada SIPKA. Kerangka kerja yang digunakan pada penelitian ini berdasarkan pada standar ISO 27005. Penilaian risiko memiliki peranan penting, sejauh mana risiko yang ada pada SIPKA dan bagaimana penanganan risiko tersebut. Hasil yang diperoleh dari penelitian ini adalah profil risiko aplikasi SIPKA. Dalam profil risiko tersebut terdapat 20 skenario risiko yang ditemukan. Rincian dalam profil risiko terdapat 13 skenario risiko dimitigasi dengan menerapkan kontrol untuk mengurangi dampak atau kemungkinan terjadinya risiko, sedangkan tujuh skenario risiko lainnya diterima. Rekomendasi kontrol yang digunakan mengacu kepada standar ISO 27002.

---

ABSTRACT

One of NIPAs (National Institute of Public Administration) function is to guide competence development of civil servants in form of civil servants training institution accreditation and civil servants managerial competency training. To support that function, NIPA develop the civil servants competency development information system. The system serves in providing registration code, accreditation of state civil apparatus training institution to produce performance information of those apparatus competency development rights. In its operation, the system has experienced incidents related to information security. Related to that incident, it is needed to develop an information security risk assessment and steps for handling risks caused by the incidents to prevent information leakage and keep information services available at the system. This research was conducted to find out level of information security risk in the system. The framework used in this study is based on ISO standard 27005. Risk assessment has an important role to figure out extent of the risk found in the system and how to handle the risk. Result of this research is risk profile. In the risk profile, there are 20 risk scenarios found. From the scenario of incident, there are 13 risk incident mitigated by control to reduce the likelihood or impact of risk occurrence, while seven risks are accepted. Control recommendation to reduce risks are based on ISO 27002."

"Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik Pasal 12 merupakan peraturan yang mendasari tentang manajemen risiko dalam sistem elektronik. pada Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik menyebutkan bahwa Sistem Manajemen Pengamanan Informasi (SMPI) adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam penerapan manajemen pengamanan informasi berdasarkan asas risiko. Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) merupakan unit kerja di Badan Siber dan Sandi Negara yang melaksanakan tugas memegang kendali operasi keamanan siber Indonesia. Adanya serangan siber yang semakin besar hingga tercatat pada tahun 2020 terdapat 495.337.202 anomali yang menyerang di jaringan Indonesia, hal ini dibutuhkan keandalan Pusopskamsinas dalam melaksanakan monitoring lalu lintas siber di Indonesia. Dalam penyelenggaraan operasi keamanan siber tentu terdapat kerawanan dan potensi ancaman yang memberikan dampak negatif/risiko terhadap organisasi di mana risiko tersebut dapat dilakukan mitigasi dengan menerapkan manajemen risiko keamanan informasi pada Pusopskamsinas. Salah satu Indikator Sasaran Kegiatan Pusopskamsinas yaitu “Meningkatnya Kualitas Pemonitoran Keamanan Siber atas Serangan dan Ancaman Siber”. Berdasarkan data Laporan Kinerja Pusopskamsinas tahun 2020, diketahui bahwa Pusopskamsinas belum dapat memenuhi target kinerja dari indikator kinerja sasaran dengan capaian nilai 65% dari target capaian 100%. Tidak tercapainya target kinerja dapat berpengaruh terhadap Indikator Kinerja Utama (IKU) organisasi sebagai penentu ukuran tingkat keberhasilan sasaran strategis sehingga diperlukan adanya evaluasi kinerja organisasi. Berdasarkan hasil analisis permasalahan digunakan Business Model for Information Security dari ISACA yaitu Organization, People, Technology, dan Process, salah satu instrumen dari segi organisasi yang belum tersedia adalah dokumen Perencanaan Manajemen Risiko Keamanan Informasi. Penelitian ini merupakan penelitian menggunakan metode kualitatif dengan metode penarikan kesimpulan berupa secara induktif dan merupakan klasifikasi penelitian studi kasus. Pengumpulan data dilakukan melalui observasi, studi dokumen, dan wawancara kepada pejabat, pengelola layanan / tim operasional, serta perwakilan stakeholder. Hasil dari penelitian ini berupa Perencanaan Manajemen Risiko yang sesuai dengan kondisi Pusopskamsinas sehingga dapat membantu pencapaian target kinerja serta meningkatkan pencapaian Rencana Strategis BSSN.

---

Government Regulation Number 71 of 2019 concerning Implementation of Electronic Systems and Transactions Article 12 is an underlying regulation concerning risk management in electronic systems. Regulation of the National Cyber and Crypto Agency Number 8 of 2020 concerning Security Systems in the Operation of Electronic Systems states that the Information Security Management System (ISMS) is a regulation of obligations for Electronic System Operators in implementing information security management based on risk principles. The National Cyber Security Operations Center (Pusopskamsinas) is a work unit in the National Cyber and Crypto Agency that carries out the task of controlling Indonesian cybersecurity operations. The existence of cyber-attacks is getting bigger until it was recorded that in 2020 there were 495,337,202 anomalies attacking the Indonesian network, this required the reliability of Pusopskamsinas in carrying out cyber traffic monitoring in Indonesia. In carrying out cyber security operations, of course there are vulnerabilities and potential threats that have a negative impact / risk on the organization where these risks can be mitigated by implementing information security risk management at Pusopskamsinas. One of the indicators of the Pusopskamsinas activity target is "Increasing the Quality of Cyber Security Monitoring of Cyber Attacks and Threats". Based on data from the 2020 Pusopskamsinas Performance Report, it is known that the Pusopskamsinas has not been able to meet the performance targets of the target performance indicators with a score of 65% of the 100% achievement target. The failure to achieve the performance targets can affect the main performance indicators (IKU) of the organization as a determinant of the level of success of strategic targets so that an evaluation of organizational performance is needed. Based on the results of the problem analysis, ISACA's Business Model for Information Security is used, namely Organization, People, Technology, and Process. One of the instruments in terms of organization that is not yet available is the Information Security Risk Management Planning document. This research is using qualitative methods such as inductive inference and the classification of a case study. Data collected through observation, study of documents and interviews of officials, managers of services / operations team, and stakeholder representatives. The results of this study are in the form of a Risk Management Planning in accordance with the conditions of the Pusopskamsinas so that it can help achieve performance targets and increase the achievement of the BSSN Strategic Plan."

"ABSTRAKSistem Informasi Geospasial Kementerian Lingkungan Hidup dan Kehutanan KLHK merupakan sistem elektronik strategis yang menangani 33 informasi geospasial. KLHK membutuhkan suatu perencanaan manajemen risiko keamanan informasi yang mendukung sistem informasi geospasial. Penelitian ini akan menganalisis serta merancang manajemen risiko keamanan informasi geospasial KLHK dengan menerapkan pengumpulan data melalui wawancara, studi dokumen dan literatur serta pengolahan data dengan menggunakan kerangka kerja ISO 27005:2011 dan ISO 27002:2013. Hasil yang didapat dari penelitian ini adalah dokumen perencanaan manajemen risiko keamanan informasi berupa dokumen penanganan risiko, rekomendasi kontrol untuk mengurangi risiko dan penerimaan risiko sebagai solusi kebijakan dalam keamanan informasi geospasial KLHK.

---

ABSTRACTGeospatial Information Systems of the Ministry of Environment and Forestry KLHK is an electronic system that handle 33 strategic geospatial information. KLHK requires an information security risk management plan that supports geospatial information systems. The study will analyze and design the information security risk management at KLHK by applying geospatial data collection through interviews, documents and literature studies as well as data processing using ISO 27005 2011 and 27002 2013 framework. The results obtained from this study is document of information security risk management plan in the form of risk mitigation document, recommendations to reduce the risk and control of risk acceptance as a solutions in geospatial information security policy."

"Penelitian ini bertujuan untuk menyusun manajemen risiko kemanan informasi Sistem Aplikasi Keuangan Tingkat Instansi (SAKTI). Hal yang melatarbelakangi dilakukannya penelitian ini adalah karena SAKTI belum memiliki perangkat yang dapat memastikan keberlangsungan dan ketersediaan layanan SAKTI. Penelitian ini menggunakan beberapa standar seperti ISO 27005 dan NIST SP 800-30. Keluaran dari penelitian ini adalah sebuah manajemen risiko keamanan informasi SAKTI, yang di dalamnya terdapat proses identifikasi risiko, pemilihan kontrol untuk memitigasi risiko, dan penerimaan risiko oleh pemilik risiko."

"Hingga tahun 2022, bauran energi listrik terbarukan seperti geothermal hanya mencapai 2280 MW dari target pemerintah Indonesia 7200 MW, sebagaimana tercantum pada Rencana Umum Energi Nasional (RUEN). Hasil kajian World Bank menyatakan bahwa implementasi teknologi informasi dan komunikasi sangat diperlukan dalam mempercepat eksplorasi energi ini. Selain itu, kondisi pandemi COVID-19 juga mendesak perusahaan eksplorasi geothermal seperti PT XYZ untuk mempercepat proses transformasi digital untuk meningkatkan kualitas koordinasi,  pengambilan, integrasi, dan pengelolaan data di lapangan. Akan tetapi, penggunaan dan penyimpanan data digital yang sangat dinamis memunculkan masalah kerentanan terhadap data. Sehingga hal tersebut menjadi pendorong untuk dilakukannya penilaian risiko keamanan informasi di perusahaan ini. Penilaian risiko keamanan informasi juga merupakan langkah awal dalam penyusunan sistem manajemen keamanan informasi. Penilaian risiko keamanan informasi dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005 dengan menggunakan domain dan objektif yang terdapat pada ISO/IEC 27001. Hasil penelitian ini menunjukkan adanya 26 risiko kemanan inforasi pada sistem informasi kepegawaian PT XYZ. 16 risiko tinggi dan sedang direkomendasikan untuk dimitigasi dengan menerapkan kontrol yang diharapkan dapat mengurangi dampak dan kemungkinan dari risiko tersebut. Sepuluh risiko rendah diterima dengan tetap menerapkan kontrol yang sesuai dengan ISO 27002.

---

Until 2022, geothermal energy only reaches total capacity 2280 MW behind the target of national total renewable energy mix 7200 MW that stated in the General National Energy Plan. Recent study from World Bank stated that implementation of information and communication technology is crucial in accelerating geothermal energy exploration. In addition, the COVID-19 pandemic also has drived many geothermal exploration companies such as PT XYZ to accelerate their digital transformation to improve coordination, data acquisition, data integration, and data management at the exploration site. However, the rapid flow of digital data raises several issues related to information security. This study aims to establish information securiy risk assessment as the first step in developing information security management system. This assessment is prepared using ISO/IEC 27005 framework with domains and objectives from ISO/IEC 27001. The results show that there are 26 information security risks in the PT XYZ human resource information system. 16 high and moderate unacceptable risks are recommended to be mitigated by implementing controls to reduce the impact and likelihood of these risks. Ten low risks are accepted while maintaining controls according to ISO 27002."

"Keamanan informasi merupakan aspek penting dan didukung oleh laporan yang dikeluarkan oleh Internal Audit Foundation yang berjudul Risk in Focus 2024 Global Summary disebutkan bahwa risiko paling besar yang akan dihadapi di tahun 2024 adalah Cybersecurity and Data Security dengan skor 73% untuk rata-rata worldwide. Berdasarkan report yang dikeluarkan oleh International Business Machine (IBM) berjudul Cost of a Data Breach Report 2023 dibutuhkan waktu rata - rata 204 hari untuk mengetahui adanya kebocoran data yang dialami pada instansi atau organisasi terdampak, serta membutuhkan waktu 73 hari untuk menanggulangi kebocoran data tersebut. Dalam rangka mewujudkan digitalisasi tersebut dilakukan implementasi sistem Audit Management System (AMS) yang dapat mengakomodir proses audit mulai dari tahap Planning, Execution, dan Reporting serta proses tindak lanjut rekomendasi baik yang dihasilkan dari audit internal maupun audit eksternal. Penggunaan AMS tidak terlepas dari risiko, akses menuju AMS dapat dilakukan tanpa Virtual Private Network (VPN). Dalam penelitian ini dilakukan risk assessment berbasis standar ISO/IEC 27005:2022 dengan mengusulkan metode penghitungan konsekuensi berdasarkan klasifikasi data yang ada dalam sistem dan metode peghitungan kemungkinan berdasarkan proses bisnis yang memiliki dampak ke kerentanan sistem serta risiko yang perlu dimitigasi akan digunakan ISO/IEC 27002:2022 sebagai standar untuk mengantisipasi risiko yang terjadi. Hasil pemeriksaan risiko diketahui terdapat 24 risiko dengan 1 risiko level sangat tinggi, 3 risiko level tinggi, 8 risiko dengan level sedang, 11 risiko dengan level rendah, dan 1 risiko dengan level sangat rendah yang terdapat pada departemen audit internal XYZ.

---

Information security is an important aspect and supported by a report issued by the Internal Audit Foundation entitled Risk in Focus 2024 Global Summary. Biggest risk that will be faced in 2024 is Cybersecurity and Data Security with a score of 73% for the global average. Based on a report issued by International Business Machine (IBM) entitled Cost of a Data Breach Report 2023, takes an average of 204 days to find out about a data leak by an affected agency or organization, and takes 73 days to overcome the data leak. In order to realize this digitalization, an Audit Management System (AMS) system was implemented which can accommodate the audit process starting from the Planning, Execution and Reporting stages as well as follow-up process for recommendations process. Using AMS is not without risks, access to AMS can be done without a Virtual Private Network (VPN). In this research, a risk assessment was carried out based on the ISO/IEC 27005:2022 standard by proposing a method for calculating consequences based on the classification of data in the system and a method for calculating possibilities based on business processes that have an impact on system vulnerabilities and risks that need to be mitigated. ISO/IEC 27002:2022 will be used to anticipate risks. Results of the risk examination revealed that there were 24 risks with 1 very high level risk, 3 high level risks, 8 medium level risks, 11 low level risks, and 1 very low level risk in the XYZ internal audit department."

"Terdapat beberapa jenis pendekatan manajemen risiko keamanan informasi sebagai panduan dalam menerapkan program risiko keamanan. Setiap pendekatan mempunyai tujuan dan metodologi yang berbeda tergantung pada kebutuhan dan selera organisasi yang melakukannya. Jika suatu organisasi memiliki personel yang kompeten untuk mengimplementasikan manajemen risiko keamanan informasi, maka akan mudah untuk melakukannya. Namun, itu akan menjadi tantangan bagi organisasi yang tidak memiliki personil yang kompeten. Tujuan dari penelitian ini adalah untuk merancang kerangka kerja manajemen risiko keamanan informasi yang sederhana namun memenuhi prinsip-prinsip manajemen risiko keamanan informasi. Desain didasarkan pada integrasi empat pendekatan manajemen risiko keamanan informasi yang berbeda. ISO 27005 mewakili standar, Risk Management Framework (RMF) oleh NIST mewakili pedoman, OCTAVE Allegro mewakili metodologi, dan COBIT mewakili kerangka kerja. Integrasi tersebut dipenuhi dengan melakukan analisis komparatif dengan menyortir dan menggabungkan berdasarkan proses aktivitas manajemen risiko keamanan informasi. Penyortiran diterapkan untuk mendapatkan desain model sederhana, dan penggabungan digunakan untuk mendapatkan desain model lengkap. Desain model sederhana terdiri dari proses identifikasi, pengukuran, administrasi dan pemantauan. Proses identifikasi terdiri dari identifikasi konteks dan komponen risiko. Proses pengukuran meliputi pengukuran faktor risiko dan risiko. Proses administrasi menghasilkan rencana penanganan risiko dan pengambilan keputusan. Proses pemantauan dengan objek perubahan dan pertukaran informasi. Untuk memvalidasi hasil perancangan desain model sederhana, dilakukan studi penerapan awal dalam bentuk simulasi penerapan di Pusdiklat Badan XYZ. Hasil studi penerapan awal ini adalah mayoritas responden baik online maupun offline menyatakan bahwa desain sederhana namun memenuhi prinsip manajemen risiko keamanan informasi dibuktikan dengan seluruh indikator evaluasi penerapan desain bernilai di atas passing grade 50%.

---

There are several types of information security risk management (ISRM) methods as guidance in implementing a security risk program. Each method carried different goals and methodologies depending on the needs and tastes of the organization that carried it out. If an organization has personnel who are competent to implement ISRM, it will be easy to do so. However, it will be challenging for an organization that lacks skilled personnel. The purpose of this study is to design a framework for ISRM that is simple but meets the principles of ISRM. The design is based on the integration of four different ISRM methods. ISO 27005 represents the standard, RMF by NIST represents guidelines, OCTAVE represents methodology, and COBIT represents framework. The integration is fulfilled by conducting a comparative analysis by sorting and merging based on the activity processes of ISRM. The result of this study is two designs of ISRM, namely full design and simple design. Sorting is applied to get a simple design, and merging is used to get a full design. The simple model design consists of the process of identification, measurement, administration and monitoring. The identification process consists of identifying the context and components of risk. The measurement process includes the measurement of risk and risk factors. The administrative process produces a plan for risk management and decision making. The process of monitoring with objects of change and information exchange. To validate the results of the design of a simple model, a preliminary implementation study was carried out in the form of a simulation application at the XYZ Agency Training Center. The results of this preliminary implementation study are that the majority of respondents both online and offline stated that the design was simple but met the principles of information security risk management, evidenced by all the indicators of the evaluation values above 50% passing grade."

"PT XYZ adalah pelaku industri teknologi finansial yang kegiatan bisnisnya menyediakan sistem layan uang elektronik bernama AUE. Dengan lebih dari 500 ri bu 􀀇pengguna􀀇 dan lebih dari 20 ribu transaksi per hari, AUE adalah produk utama dalam bisnis PT XYZ. Oleh karena itu sangat penting bagi PT XYZ untuk menjaga kenyamanan dan keamanan dari layanan uang elektronik ini untuk menjaga reputasi dan kepercayaan pemangku kepentingan. Namun, adanya insiden keamanan informasi yang mengganggu bisnis, serta munculnya dorongan persyaratan pengamanan informasi dari regulator dan mitra bisnis, membuat PT XYZ merasa perlu untuk meningkatkan standar pengamanan informasinya. Berdasarkan pertimbangan tersebut, manajemen internal menetapkan salah satu sasaran perusahaan yaitu untuk meningkatkan pengamanan informasi. Berangkat dari sasaran tersebut, ditemukan salah satu area kekurangan dalam pengelolaan pengamanan informasi PT XYZ adalah belum dilakukan aktivitas manajemen risiko keamanan informasi yang menyeluruh terhadap AUE. Maka dari itu, penelitian ini bertujuan untuk melakukan analisis risiko terhadap aplikasi uang elektronik PT XYZ. Penelitian ini adalah penelitian kualitatif dengan jenis studi kasus evaluatif dan eksploratif. Hasil dari penelitian ini adalah analisis terhadap kondisi risiko keamanan informasi aplikasi uang elektronik PT XYZ. Adapun manfaat dari penelitian ini adalah dihasilkannya rekomendasi pengendalian keamanan informasi berdasarkan hasil analisis risiko keamanan informasi, untuk meningkatkan kondisi keamanan informasi PT XYZ serta memenuhi persyaratan standar pengamanan informasi yang tersertifikasi."

"ABSTRAKSistem Aplikasi Keuangan Tingkat Instansi SAKTI merupakan inisiatif Pemerintah dalam hal ini Kementerian Keuangan khususnya Direktorat Jenderal Perbendaharaan. SAKTI digagas untuk dapat membantu proses pengelolaan keuangan negara. Proses pengelolaan keuangan negara yang termasuk dalam lingkup layanan SAKTI adalah proses penganggaran, pembayaran, sampai dengan pelaporan keuangan. Berdasarkan lingkup layanan SAKTI terhadap proses pengelolaan keuangan negara, maka ketersediaan layanan SAKTI menjadi penting. Tidak tersedianya layanan SAKTI dapat menyebabkan proses pengelolaan keuangan negara tidak berjalan. Melihat dampak dari tidak tersedianya layanan SAKTI, SAKTI harus memiliki perangkat untuk menjamin layanan yang ada selalu tersedia. Penerapan manajemen risiko keamanan informasi dapat menjadi salah satu perangkat untuk menjamin layanan SAKTI selalu tersedia.Berdasarkan fakta di lapangan, SAKTI belum menerapkan manajemen risiko keamanan informasi. Oleh sebab itu, penelitian ini dilakukan dengan tujuan untuk membuat manajemen risiko keamanan informasi pada SAKTI. Kerangka kerja yang digunakan sebagai panduan pada penelitian ini adalah ISO 27005 dan NIST SP 800-30.Hasil dari penelitian ini adalah manajemen risiko keamanan informasi SAKTI. Manajemen risiko keamanan informasi SAKTI berisi mengenai identifikasi kerentanan dan ancaman yang terdapat di SAKTI, sekaligus rencana pengendalian yang perlu diterapkan untuk mengurangi dampak risiko.

---

ABSTRAKInstitutions Level Financial Application System SAKTI is an initiative of the Government in this case the Ministry of Finance in particular the Directorate General of Treasury. SAKTI initiated to help the process of management of state finances. The process of management of state finances that include in the scope of SAKTI services is start from budgeting, payment, up to financial reporting. Based on the scope of SAKTI services on the process of management of state finances, then the availability of SAKTI services become important. The unavailability of SAKTI services may cause the process of management of state finances not running. Looking at the impact of the unavailability of SAKTI services, SAKTI must have a tool to ensure the services are always available. Implementation of information security risk management can be one of the tools in order to ensure SAKTI services always available.Based on facts, SAKTI has not implemented information security risk management. Therefore, this study was conducted with the objective of making information security risk management at SAKTI. The framework that used as a guide in this study is ISO 27005 and NIST SP 800 30.The results from this study is the information security risk management of SAKTI. Information security risk management of SAKTI contain about the identification of vulnerabilities and threats that exist in SAKTI, as well as control that need to be implemented to reduce the impact of the risks."

"ABSTRAKDirektorat Jenderal Perbendaharaan telah mengimplementasikan Aplikasi Online Monitoring Sistem Perbendaharaan dan Anggaran Negara OMSPAN untuk memonitoring transaksi di aplikasi SPAN dan mendukung penyaluran dana desa dan DAK fisik. Oleh karena itu, sangat penting untuk menjaga keamanan informasi aplikasi OMSPAN. Namun dalam operasionalnya, aplikasi OMSPAN beberapa kali mengalami insiden terkait keamanan informasi sehingga perlu langkah-langkah penanganan.Salah satu akar masalah dari masalah ini adalah belum adanya manajemen risiko keamanan informasi terhadap aplikasi OMSPAN. Oleh karena itu, penelitian ini dilakukan dengan tujuan untuk membuat rancangan manajemen risiko keamanan informasi aplikasi OMSPAN. Kerangka kerja yang digunakan pada penelitian ini berdasarkan pada standar ISO 27005, ISO 27001, dan ISO 27002.Hasil yang didapat dari penelitian ini adalah rancangan manajemen risiko informasi aplikasi OMSPAN. Dalam rancangan tersebut ada 14 skenario risiko yang ditemukan. Sebelas insiden risiko dimitigasi dengan menerapkan kontrol untuk mengurangi kemungkinan atau dampak terjadinya risiko, sedangkan tiga skenario risiko lainnya diterima. Kontrol yang diusulkan didasarkan pada ISO 27001 dengan panduan implementasi menggunakan ISO 27002.

---

ABSTRACTThe Directorate General of Treasury has implemented the Online Monitoring of State Treasury and State Budget OMSPAN to monitor transactions in SPAN applications and support the disbursement of village funds and the Special Allocation Fund DAK . Therefore, it is very important to maintain information security of OMSPAN application. However, in its operation, OMSPAN application experienced incident several times so it needs steps handling.One of the root causes of this problem is the absence of information security risk management on OMSPAN applications. Therefore, this study was conducted with the aim of making the information security risk management design of OMSPAN application. The standard used in this research is ISO 27001, ISO 27002 and ISO 27005.The result of this research is information security risk management design. In the proposal, there are fourteen risk scenarios found. From the scenario of the incident, eleven risk incidents are mitigated by controls to reduce the likelihood or impact of risk occurrence, while three risks are accepted. The proposed controls are based on ISO 27001 and guide are based on ISO 27002. "