Page 1
i
SKRIPSI
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI
DAN INFORMATIKA KABUPATEN BOGOR MENGGUNAKAN
STANDAR ISO/IEC 27001:2013 DAN COBIT 5
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh:
MOHAMAD MIRZA MAULANA
1113093000042
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019 M / 1440 H
Page 2
i
COVER
SKRIPSI
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI
DAN INFORMATIKA KABUPATEN BOGOR MENGGUNAKAN
STANDAR ISO/IEC 27001:2013 DAN COBIT 5
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh:
MOHAMAD MIRZA MAULANA
1113093000042
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019 M / 1440 H
Page 3
ii
LEMBAR JUDUL
SKRIPSI
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI
DAN INFORMATIKA KABUPATEN BOGOR MENGGUNAKAN
STANDAR ISO/IEC 27001:2013 DAN COBIT 5
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh:
MOHAMAD MIRZA MAULANA
1113093000042
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019 M / 1440 H
Page 4
iii
LEMBAR PERSETUJUAN
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI
DAN INFORMATIKA KABUPATEN BOGOR MENGGUNAKAN
STANDAR ISO/IEC 27001:2013 DAN COBIT 5
Skripsi
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Sistem Informasi
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh:
MOHAMAD MIRZA MAULANA
1113093000042
Menyetujui,
Pembimbing I Pembimbing II
Fitroh, M.Kom Elvi Fetrina, MIT
NIP. 19790923 200912 2 006 NIP. 19740625 200901 2 005
Mengetahui,
Ketua Program Studi Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Nia Kumaladewi, MMSI
NIP. 19750412 200710 2 002
Page 5
iv
LEMBAR PENGESAHAN UJIAN
Skripsi yang berjudul Audit Keamanan Sistem Informasi Pada Dinas
Komunikasi dan Informatika Kabupaten Bogor Menggunakan Standar
ISO/IEC 27001:2013 dan COBIT 5 yang ditulis oleh Mohamad Mirza Maulana,
NIM 1113093000042 telah diuji dan dinyatakan LULUS dalam sidang Munaqosah
Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta
pada hari Kamis, 17 Januari 2019. Skripsi ini telah diterima sebagai salah satu
syarat memperoleh gelar Sarjana Satu (S1) Program Studi Sistem Informasi.
Menyetujui,
Penguji I
Dr. Syopiansyah Jaya Putra, M.Sis
NIP. 19680117 200112 1 001
Penguji II
Evy Nurmiati, MMSI
NIP. 19780215 201411 2 003
Pembimbing I
Fitroh, M.Kom
NIP. 19790923 200912 2 006
Pembimbing II
Elvi Fetrina, MIT
NIP. 19740625 200901 2 005
Mengetahui,
Dekan
Fakultas Sains dan Teknologi
Prof. Dr. Lily Surayya Eka Putri, M.Env.Stud
NIP. 19690404 200501 2 005
Ketua
Program Studi Sistem Informasi
Nia Kumaladewi, MMSI
NIP. 19750412 200710 2 002
Page 6
v
LEMBAR PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-
BENAR HASIL KARYA SENDIRI DAN BELUM PERNAH DIAJUKAN
SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN
TINGGI ATAU LEMBAGA MANAPUN.
Jakarta, 11 Januari 2019
MOHAMAD MIRZA MAULANA
1113093000042
Page 7
vi
ABSTRAK
MOHAMAD MIRZA MAULANA – 1113093000042. Audit Keamanan Sistem
Informasi Pada Dinas Komunikasi dan Informatika Kabupaten Bogor
Menggunakan Standar ISO/IEC 27001:2013 dan COBIT 5 di bawah bimbingan
FITROH dan ELVI FETRINA.
Perkembangan teknologi yang semakin pesat membuat ancaman terhadap
keamanan sistem informasi semakin tinggi. Kinerja tata kelola TI akan terganggu
jika informasi sebagai salah satu objek utama mengalami masalah keamanan
informasi. Bidang Penyelenggaraan E-Government merupakan bagian dari Dinas
Komunikasi dan Informatika (DISKOMINFO) Kabupaten Bogor yang bertugas
untuk mengelola server yang berisi data aplikasi milik dinas-dinas di wilayah
Kabupaten Bogor. Bidang ini pernah mengalami insiden keamanan informasi
berupa kerusakan server dan insiden hacking yang menyebabkan hilangnya data
aplikasi yang ada pada server DISKOMINFO Kab. Bogor. Untuk mengukur sejauh
mana kemampuan DISKOMINFO Kab. Bogor dalam hal tata kelola keamanan SI
maka perlu dilakukan audit keamanan sistem informasi. Tujuan penelitian ini
mengetahui tingkat kematangan (maturity level), serta memberikan rekomendasi
pada Bidang Penyelenggaraan E-Government. Penelitian ini menggunakan siklus
Plan-Do-Check-Act (PDCA) ISO/IEC 27001:2013 dan tahapan Initiation yang ada
pada Assessment Process Activities COBIT 5. Perhitungan maturity level
menggunakan 7 klausul yang ada pada ISO/IEC 27001:2013 dan menggunakan
skala Systems Security Engineering Capability Maturity Model (SSE-CMM). Hasil
rata-rata nilai maturity level keseluruhan klausul sebesar 1.42 dan berada dalam
kategori Performed Informally yang berarti sebagian besar kegiatan belum
sepenuhnya direncanakan, kinerja yang dilakukan masih bergantung pada
pengetahuan pribadi pegawai serta organisasi. Hasil penelitian ini
merekomendasikan pembuatan peraturan dalam hal penilaian terhadap utilitas
pendukung, pemeliharaan peralatan, backup informasi. Selain itu peneliti
merekomendasikan prosedur untuk melaporkan adanya insiden atau kelemahan
terkait keamanan informasi, respon terhadap insiden dan evaluasi terhadap insiden
untuk mencegah terjadinya insiden serupa yang pernah terjadi. Hasil penelitian ini
dapat bermanfaat sebagai bahan pertimbangan untuk memperbaiki gap yang ada
sesuai dengan standar ISO/IEC 27001:2013.
Kata Kunci: Audit, COBIT 5, ISO/IEC 27001:2013, Keamanan Sistem Informasi.
Bab I-V + 244 Halaman + xx + 53 Gambar + 118 Tabel + Daftar Pustaka +
Lampiran
Pustaka Acuan (56, 2003 - 2018)
Page 8
vii
KATA PENGANTAR
Assalamu’alaikum Wr. Wb.
Puji dan syukur kehadirat Allah SWT, karena atas berkah, rahmat, dan
hidayah-Nya yang sungguh melimpah, sehingga penulis dapat menyelesaikan
skripsi yang berjudul “Audit Keamanan Sistem Informasi Pada Dinas
Komunikasi dan Informatika Kabupaten Bogor Menggunakan Standar
ISO/IEC 27001:2013 dan COBIT 5” dengan baik. Shalawat serta salam semoga
senantiasa tercurah kepada Nabi Besar Muhammad SAW beserta keluarga, sahabat
serta para pengikutnya hinga akhir zaman.
Penulis menyadari bahwa dalam menyelesaikan skripsi ini tidak terlepas dari
bantuan berbagai pihak. Oleh karena itu, perkenankanlah penulis untuk dapat
mengucapkan terima kasih yang sebesar-besarnya kepada:
1. Ibu Prof. Dr. Lily Surayya Eka Putri, M.Env.Stud selaku Dekan Fakultas
Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah.
2. Ibu Nia Kumaladewi, MMSI selaku Ketua Program Studi Sistem Informasi
Fakultas Sains dan Teknologi dan Ibu Meinarini Catur Utami, MT selaku
Sekretaris Program Studi Sistem Informasi Fakultas Sains dan Teknologi.
3. Ibu Fitroh, M.Kom sebagai Dosen Pembimbing I yang telah memberikan
bimbingan, dan arahan kepada penulis selama proses penyelesaian skripsi
ini. Terima kasih banyak untuk seluruh waktu, tenaga, kesediaan menjawab
setiap pertanyaan penulis dan senantiasa memberikan motivasi serta
membagikan banyak pengetahuan agar penulis bisa menyelesaikan skripsi
ini dengan baik.
Page 9
viii
4. Ibu Elvi Fetrina, MIT sebagai Dosen Pembimbing II yang selalu sabar
dalam membimbing penulis, selalu memberi masukkan yang positif, serta
memberikan arahan dalam memperkuat argumen sehingga penulis bisa
menyelesaikan skripsi ini dengan baik.
5. Bapak Dr. Syopiansyah Jaya Putra, M.Sis dan Ibu Evy Nurmiati, MMSI
sebagai Dosen Penguji yang telah memberikan masukkan dalam revisi
sidang saya.
6. Seluruh Dosen Program Studi Sistem Informasi yang telah membagikan
ilmunya kepada penulis selama proses perkuliahan.
7. Seluruh karyawan Fakultas Sains dan Teknologi yang telah banyak
membantu penulis dalam perkuliahan, terutama dalam menyelesaikan
administrasi yang berkaitan dengan skripsi.
8. Bapak Dendi Wahyudin, S.Ip selaku Kepala Seksi Pengembangan Aplikasi
dan Data Dinas Komunikasi dan Informatika Kabupaten Bogor yang telah
menjadi narasumber bagi penulis dalam melakukan penelitian ini, dan
seluruh kepala serta staf Bidang Penyelenggaraan E-Government Dinas
Komunikasi dan Informatika Kabupaten Bogor yang tidak dapat disebutkan
satu per satu oleh penulis yang telah membantu penulis dalam memperoleh
data-data terkait dalam penyusunan skripsi ini
9. Kedua orang tua penulis, Bapak Mohamad Zikro dan Ibu Maya Fauziah.
Terima kasih untuk bapak dan mama yang telah membesarkan dan
mendidik penulis dari lahir hingga saat ini, terima kasih untuk seluruh cinta
Page 10
ix
dan kasih yang selalu diberikan untukku. Terima kasih untuk doa-doa yang
selalu mengiri langkahku disegala cuaca, saat senang maupun sedih.
10. Yulia Sukma Asri, yang rela membantu penulis dalam menyelesaikan
skripsi ini serta kehadirannya menjadi bagian penting dalam hidup penulis,
semoga selalu dalam keadaan sehat dan berbahagia.
11. Teman-teman Sistem Informasi 2013 terutama Reza Hamzah dan Gilang
Wisnu yang membantu penulis memahami konsep ISO/IEC 27001:2013,
serta Purusotama dan Octo Wihardi yang selalu siap sedia ketika penulis
membutuhkan bantuan.
12. Seluruh teman-teman Sistem Informasi 2013, terima kasih untuk segala
kenangannya serta semangat yang diberikan sehingga penulis bisa
menyelesaikan skripsi ini.
Penulis memohon kepada Allah SWT agar seluruh dukungan, bantuan, dan
bimbingan dari semua pihak dibalas pahala yang berlipat ganda. Selain itu, penulis
menyadari dalam penyusunan skripsi ini masih terdapat kekurangan dan jauh dari
kata sempurna sehingga saran dan kritik yang membangun sangat penulis harapkan
dan dapat disampaikan melalui [email protected] . Akhir kata,
semoga penelitian ini dapat memberikan manfaat dan sekaligus menambah ilmu
bagi kita semua. Aaamiin Ya Rabbal ‘Alamin.
Jakarta, 18 Maret 2019
MOHAMAD MIRZA MAULANA
1113093000042
Page 11
x
DAFTAR ISI
COVER ................................................................................................................... i
LEMBAR JUDUL ................................................................................................. ii
LEMBAR PERSETUJUAN ................................................................................ iii
LEMBAR PENGESAHAN UJIAN .................................................................... iv
LEMBAR PERNYATAAN .................................................................................. v
ABSTRAK ............................................................................................................ vi
KATA PENGANTAR ......................................................................................... vii
DAFTAR ISI .......................................................................................................... x
DAFTAR GAMBAR .......................................................................................... xiv
DAFTAR TABEL............................................................................................... xvi
BAB I PENDAHULUAN ...................................................................................... 1
1.1 Latar Belakang ............................................................................................ 1
1.2 Identifikasi Masalah .................................................................................... 8
1.3 Batasan Masalah .......................................................................................... 8
1.4 Tujuan Penelitian ......................................................................................... 9
1.5 Manfaat Penelitian ..................................................................................... 10
1.6 Metode Penelitian ...................................................................................... 11
1.6.1 Metode Pengumpulan Data .............................................................. 11
1.6.2 Metode Analisis Data ....................................................................... 12
1.7 Sistematika Penulisan ................................................................................ 14
BAB II LANDASAN TEORI ............................................................................. 17
2.1 Konsep Sistem Informasi .......................................................................... 17
2.1.1 Pengertian Sistem ............................................................................ 17
2.1.2 Pengertian Data dan Informasi ........................................................ 17
2.1.3 Pengertian Sistem Informasi ............................................................ 18
2.2 E-Government ........................................................................................... 19
2.3 Audit Sistem Informasi ............................................................................. 20
2.3.1 Pengertian Audit Sistem Informasi .................................................. 20
2.3.2 Tujuan Audit .................................................................................... 21
2.4 Keamanan Informasi ................................................................................. 22
Page 12
xi
2.4.1 Definisi Keamanan Informasi .......................................................... 22
2.4.2 Tujuan Keamanan Informasi ........................................................... 23
2.4.3 Aspek Keamanan Informasi ............................................................. 25
2.5 Framework Keamanan Tata Kelola TI ...................................................... 27
2.6 COBIT 5 .................................................................................................... 38
2.6.1 Definisi Proses COBIT 5 ................................................................. 40
2.6.2 Pemetaan COBIT 5 .......................................................................... 44
2.6.3 COBIT Process Assesment Model (PAM) ....................................... 46
2.6.5.1 Assessment Process Activities ................................................ 47
2.6.4 Fokus Area Usulan Tata Kelola TI .................................................. 49
2.6.6.1 APO13 – Manage Security ..................................................... 50
2.6.6.2 RACI Chart APO13 ............................................................... 51
2.7 ISO/IEC 27001 .......................................................................................... 54
2.7.1 Definisi ISO/IEC 27001 ................................................................... 54
2.7.2 Seri ISO/IEC 27000 ......................................................................... 56
2.7.3 ISO 27001:2013 ............................................................................... 58
2.7.4 Klausul ISO/IEC 27001:2013 .......................................................... 59
2.8 Model PDCA (Plan-Do-Check-Act) ......................................................... 60
2.9 Penilaian Risiko (Risk Assessment) ........................................................... 63
2.9.1 Identifikasi Aset dan Menghitung Nilai Aset .................................. 63
2.9.2 Identifikasi Ancaman (Threat) dan Kelemahan (Vulnerability) dari
Aset .................................................................................................. 66
2.9.3 Analisis dan Evaluasi Risiko ........................................................... 68
2.10 Systems Security Engineering Capability Maturity Model (SSE-CMM) . 71
2.11 Pemetaan COBIT 5 dengan ISO 27001:2013 .......................................... 73
2.12 Metode Pengumpulan Data ...................................................................... 77
2.13 Kajian Penelitian Sebelumnya.................................................................. 79
BAB III METODOLOGI PENELITIAN ......................................................... 82
3.1 Metode Pengumpulan Data ....................................................................... 82
3.1.1 Studi Pustaka .................................................................................... 82
3.1.2 Studi Lapangan ................................................................................ 87
3.2 Metode Analisis Data ................................................................................ 90
Page 13
xii
3.2.1 Assessment Process Activities .......................................................... 90
3.2.1.1 Initiation ................................................................................. 90
3.2.2 Metode Perencanaan Sistem Manajemen Keamanan Informasi ...... 93
3.2.2.1 Tahapan Plan .......................................................................... 94
3.2.2.2 Tahapan Do ............................................................................ 95
3.2.2.3 Tahapan Check ....................................................................... 97
3.2.2.4 Tahapan Act ............................................................................ 99
3.3 Interpretasi Hasil dan Pembahasan.......................................................... 100
3.4 Kerangka Penelitian ................................................................................ 101
BAB IV HASIL AUDIT DAN INTERPRETASI HASIL .............................. 102
4.1 Gambaran Umum Organisasi .................................................................. 102
4.1.1 Profil Dinas Komunikasi dan Informatika Kab. Bogor ................. 102
4.1.2 Visi, Misi, Strategi, dan Kebijakan DISKOMINFO Kabupaten
Bogor ............................................................................................. 104
4.1.3 Tugas Pokok dan Fungsi DISKOMINFO Kab. Bogor .................. 106
4.1.4 Logo Dinas Komunikasi dan Informatika Kab. Bogor .................. 118
4.1.5 Struktur Organisasi Dinas Komunikasi dan Informatika Kab. Bogor
....................................................................................................... 118
4.2 Assessment Process Activities COBIT 5 ................................................. 119
4.2.1 Initiation ......................................................................................... 119
4.2.1.1 Fokus Area COBIT 5 ........................................................... 120
4.3 Metode Perencanaan Sistem Manajemen Keamanan Informasi ............. 128
4.3.1 Tahapan Plan ................................................................................. 128
4.3.1.1 Menentukan Ruang Lingkup Sistem Manajemen Keamanan
Informasi .............................................................................. 128
4.3.1.2 Menentukan Kebijakan Sistem Manajemen Keamanan
Informasi .............................................................................. 129
4.3.2 Tahapan Do .................................................................................... 132
4.3.2.1 Melakukan Identifikasi Risiko ............................................. 132
4.3.2.1.1 Mengidentifikasi Aset dan Menghitung Nilai Aset Dalam
SMKI .................................................................................. 133
4.3.2.1.2 Mengidentifikasi Kelemahan, Ancaman, dan Menilai terhadap
Aset .................................................................................... 138
Page 14
xiii
4.3.2.2 Menganalisis dan Mengevaluasi Risiko ............................... 160
4.3.2.2.1 Menganalisis Dampak Bisnis ............................................. 161
4.3.2.2.2 Mengidentifikasi Level Risiko Bidang Penyelenggaraan E-
Government ........................................................................ 163
4.3.2.2.3 Menilai Resiko Bidang Penyelenggaraan E-Government
DISKOMINFO Kab. Bogor ............................................... 165
4.3.3 Tahapan Check ............................................................................... 176
4.3.3.1 Pemilihan Objektif Kontrol dan Kontrol Keamanan
Berdasarkan ISO 27001:2013 .............................................. 176
4.3.3.2 Penilaian Maturity Level Menggunakan SSE-CMM (System
Security Engineering Capability Maturity Level) ................ 178
4.3.4 Tahapan Act ................................................................................... 197
4.3.4.1 Penelusuran Bukti................................................................. 199
4.3.4.2 Rekomendasi ........................................................................ 216
4.4. Interpretasi Hasil dan Pembahasan.......................................................... 221
4.4.1 Interpretasi Hasil dan Pembahasan Assessment Process Activities
COBIT 5 ........................................................................................ 221
4.4.2 Interpretasi Hasil dan Pembahasan Metode Perencanaan SMKI ... 222
4.4.3 Rekomendasi, Usulan, Implikasi dan Keterbatasan Studi ............. 229
BAB V PENUTUP ............................................................................................. 243
5.1 Kesimpulan .............................................................................................. 243
5.2 Saran ........................................................................................................ 244
DAFTAR PUSTAKA ........................................................................................ 245
LAMPIRAN ....................................................................................................... 250
Page 15
xiv
DAFTAR GAMBAR
Gambar 1. 1 Jumlah Cyber Attack Per Tahun (Ponemon, 2017) ........................ 2
Gambar 1. 2 Peningkatan Varian Malware (Symantec, 2018) ............................ 2 Gambar 2. 1 Elemen Sistem (McLeod & Schell, 2008) .................................... 17
Gambar 2. 2 Elemen Sistem Informasi (Stair & Reynolds, 2016) .................... 19
Gambar 2. 3 Pilar Keamanan Informasi (Arnason dan Willett, 2008) .............. 26
Gambar 2. 4 Sejarah COBIT Framework (ISACA, 2016) ................................ 32
Gambar 2. 5 ISO/IEC 27001 (ECC International) ............................................ 33
Gambar 2. 6 Lima Buku Inti (core) ITIL V3 (Simplilearn Solutions) .............. 35
Gambar 2. 7 Architecture Development Method (The Open Group, 2009) ...... 38
Gambar 2. 8 Cakupan COBIT 5 dengan framework lain (ISACA, 2012)......... 39
Gambar 2. 9 Model Referensi Proses COBIT 5 (ISACA, 2012) ...................... 40
Gambar 2. 10 Pemetaan Enterprise Goals (ISACA, 2012) ................................. 44
Gambar 2. 11 Pemetaan Proses COBIT 5 (ISACA, 2012) .................................. 45
Gambar 2. 12 Assessment Process Activities (ISACA, 2012) ............................. 47
Gambar 2. 13 RACI Chart APO13 (ISACA, 2012) ............................................ 52
Gambar 2. 14 Domain Persyaratan & Domain Kontrol Keamanan ISO/IEC 27001
(Park & Lee, 2014) ........................................................................ 56
Gambar 2. 15 Siklus PDCA (Arnason & Willet, 2008) ...................................... 60 Gambar 3. 1 Kerangka Penelitian .................................................................... 101 Gambar 4. 1 Logo Dinas Komunikasi dan Informatika Kab. Bogor ............... 118
Gambar 4. 2 Struktur Organisasi DISKOMINFO Kab. Bogor ....................... 118
Gambar 4. 3 Struktrur Seksi Pengembangan Aplikasi dan Data ..................... 119
Gambar 4. 4 Struktur Seksi Infrastruktur dan Teknologi ................................ 119
Gambar 4. 5 Pemetaan IT-Related Goals ........................................................ 123
Gambar 4. 6 COBIT 5 Process ........................................................................ 125
Gambar 4. 7 COBIT 5 Process ........................................................................ 126
Gambar 4. 8 Grafik Representasi Maturity Level Klausul 7 ........................... 181
Gambar 4. 9 Grafik Representasi Maturity Level Klausul 8 ........................... 184
Page 16
xv
Gambar 4. 10 Grafik Representasi Maturity Level Klausul 9 ........................... 186
Gambar 4. 11 Grafik Representasi Maturity Level Klausul 11 ......................... 189
Gambar 4. 12 Grafik Representasi Maturity Level Klausul 12 ......................... 192
Gambar 4. 13 Grafik Representasi Maturity Level Klausul 13 ......................... 194
Gambar 4. 14 Grafik Representasi Maturity Level Klausul 16 ......................... 197
Gambar 4. 15 Grafik Representasi Maturity Level Seluruh Klausul ................. 198
Gambar 4. 16 DISKOMINFO Kab Bogor......................................................... 213
Gambar 4. 17 Meja Resepsionis ........................................................................ 213
Gambar 4. 18 Aplikasi Visitor Management System ......................................... 213
Gambar 4. 19 Desain DISKOMINFO Kab Bogor ............................................ 213
Gambar 4. 20 Meja Penerima Tamu Ruang Server ........................................... 213
Gambar 4. 21 Form Pengunjung Ruang Server ................................................. 213
Gambar 4. 22 Tampak Depan Ruang Server ..................................................... 213
Gambar 4. 23 Ruang Petugas NOC ................................................................... 213
Gambar 4. 24 Fingerprint di Pintu Masuk Ruang Server ................................. 214
Gambar 4. 25 Ruang Server .............................................................................. 214
Gambar 4. 26 Rak-Rak Server ........................................................................... 214
Gambar 4. 27 Kamera CCTV Di Dalam Ruang Server .................................... 214
Gambar 4. 28 Form Pengunjung Data Center ................................................... 214
Gambar 4. 29 SOP Data Center ........................................................................ 215
Gambar 4. 30 Usulan Prosedur Pelaporan Insiden Keamanan Informasi ......... 233
Gambar 4. 31 Usulan Prosedur Pelaporan Kelemahan Keamanan Informasi ... 234
Gambar 4. 32 Usulan Form Pelaporan Insiden & Kelemahan Keamanan Informasi
..................................................................................................... 235
Gambar 4. 33 Usulan Prosedur Pengumpulan Bukti Insiden Keamanan Informasi
..................................................................................................... 236
Gambar 4. 34 Usulan Evaluasi Insiden serta Kelemahan dari Keamanan Informasi
..................................................................................................... 237
Gambar 4. 35 Usulan Notulen Hasil Evaluasi Insiden dan Kelemahan ............ 239
Page 17
xvi
DAFTAR TABEL
Tabel 2. 1 Perbandingan 5 Standar Keamanan Informasi (Susanto et al., 2011) 30
Tabel 2. 2 Klausul ISO/IEC 27001:2013 (ISO, 2013) ....................................... 59
Tabel 2. 3 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano. 2009) 65
Tabel 2. 4 Penilaian Aset Berdasarkan Integrity (Sarno & Iffano. 2009) .......... 65
Tabel 2. 5 Penilaian Aset Berdasarkan Availability (Sarno & Iffano. 2009) ..... 65
Tabel 2. 6 Jenis dan Contoh Ancaman (ISO, 2008) ........................................... 66
Tabel 2. 7 Contoh Daftar Kelemahan (Sarno & Iffano, 2009) & (ISO, 2008) ... 67
Tabel 2. 8 Nilai Rerata Probabilitas (Sarno & Iffano, 2009).............................. 68
Tabel 2. 9 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009) ....... 69
Tabel 2. 10 Matriks Level Risiko (Sarno & Iffano, 2009) ................................... 70
Tabel 2. 11 Capability Level SSE-CMM (CMU, 2013) ....................................... 73
Tabel 2. 12 Pemetaan COBIT 5 dengan ISO 27001:2013 (NIST, 2014) ............. 74
Tabel 2. 13 Klausul ISO/IEC 27001:2013 Yang Digunakan ............................... 75
Tabel 2. 14 Pemetaan Domain APO13 dengan Kontrol ISO/IEC 27001:2013 ... 76 Tabel 3. 1 Referensi Literatur Sejenis ................................................................ 83
Tabel 3. 2 Pelaksanaan Wawancara ................................................................... 88
Tabel 3. 3 Responden Proses APO13.01 ............................................................ 91
Tabel 3. 4 Responden Proses APO13.02 ............................................................ 91
Tabel 3. 5 Responden Proses APO13.03 ............................................................ 91
Tabel 3. 6 Rekapitulasi RACI Chart APO13...................................................... 92
Tabel 3. 7 Pemetaan Responden dengan Kontrol Keamanan ISO/IEC 27001:2013
............................................................................................................ 92
Tabel 3. 8 Level Kemampuan SSE-CMM (CMU, 2013) ................................... 99 Tabel 4. 1 Aset Utama Bidang Penyelenggaraan E-Government..................... 133
Tabel 4. 2 Aset Pendukung Bidang Penyelenggaraan E-Government ............. 134
Tabel 4. 3 Nilai Aset Utama ............................................................................. 136
Tabel 4. 4 Nilai Aset Pendukung ...................................................................... 137
Tabel 4. 5 Daftar Ancaman dan Kelemahan Database SIMKAS .................... 139
Tabel 4. 6 Daftar Ancaman dan Kelemahan Database SIMPEG .................... 139
Page 18
xvii
Tabel 4. 7 Daftar Ancaman dan Kelemahan Database SIAP Online............... 139
Tabel 4. 8 Daftar Ancaman dan Kelemahan Database RKPD Online............. 140
Tabel 4. 9 Daftar Ancaman dan Kelemahan Database SIVANERJA ............. 140
Tabel 4. 10 Daftar Ancaman dan Kelemahan Database SI Pengendalian Menara
.......................................................................................................... 140
Tabel 4. 11 Daftar Ancaman dan Kelemahan Desktop ...................................... 141
Tabel 4. 12 Daftar Ancaman dan Kelemahan Server WEB ............................... 141
Tabel 4. 13 Daftar Ancaman dan Kelemahan Mail Server ................................ 141
Tabel 4. 14 Daftar Ancaman dan Kelemahan WHM ......................................... 142
Tabel 4. 15 Daftar Ancaman dan Kelemahan CentOS ....................................... 142
Tabel 4. 16 Daftar Ancaman dan Kelemahan Ubuntu ....................................... 142
Tabel 4. 17 Daftar Ancaman dan Kelemahan Windows XP ............................... 142
Tabel 4. 18 Daftar Ancaman dan Kelemahan Windows 7 .................................. 142
Tabel 4. 19 Daftar Ancaman dan Kelemahan Windows 8 .................................. 143
Tabel 4. 20 Daftar Ancaman dan Kelemahan Windows 10 ................................ 143
Tabel 4. 21 Daftar Ancaman dan Kelemahan Kaspersky ................................... 143
Tabel 4. 22 Daftar Ancaman dan Kelemahan Microsoft Office 2013 ................ 143
Tabel 4. 23 Daftar Ancaman dan Kelemahan Air Conditioner .......................... 143
Tabel 4. 24 Daftar Ancaman dan Kelemahan CCTV ......................................... 144
Tabel 4. 25 Daftar Ancaman dan Kelemahan Access Door ............................... 144
Tabel 4. 26 Daftar Ancaman dan Kelemahan Printer ........................................ 144
Tabel 4. 27 Daftar Ancaman dan Kelemahan Infocus ........................................ 144
Tabel 4. 28 Daftar Ancaman dan Kelemahan UPS ............................................ 144
Tabel 4. 29 Daftar Ancaman dan Kelemahan Fiber Optic ................................. 145
Tabel 4. 30 Daftar Ancaman dan Kelemahan Switch ......................................... 145
Tabel 4. 31 Daftar Ancaman dan Kelemahan Wi-Fi .......................................... 145
Tabel 4. 32 Daftar Ancaman dan Kelemahan Router......................................... 145
Tabel 4. 33 Daftar Ancaman dan Kelemahan Visitor Management System....... 146
Tabel 4. 34 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Jaringan .... 146
Tabel 4. 35 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Bandwidth
Internet ............................................................................................. 146
Page 19
xviii
Tabel 4. 36 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMKAS 147
Tabel 4. 37 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMPEG . 148
Tabel 4. 38 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIAP Online
.......................................................................................................... 148
Tabel 4. 39 Hasil Rerata Probabilitas dan Nilai Ancaman Database RKPD Online
.......................................................................................................... 149
Tabel 4. 40 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIVANERJA
.......................................................................................................... 149
Tabel 4. 41 Hasil Rerata Probabilitas dan Nilai Ancaman Database SI Pengendalian
Menara .............................................................................................. 150
Tabel 4. 42 Hasil Rerata Probabilitas dan Nilai Ancaman Desktop................... 150
Tabel 4. 43 Hasil Rerata Probabilitas dan Nilai Ancaman Server WEB Physical
.......................................................................................................... 151
Tabel 4. 44 Hasil Rerata Probabilitas dan Nilai Ancaman Mail Server ............. 151
Tabel 4. 45 Hasil Rerata Probabilitas dan Nilai Ancaman WHM ...................... 152
Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman CentOS ................... 152
Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Ubuntu .................... 152
Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Windows XP ........... 153
Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7 .............. 153
Tabel 4. 50 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 8 .............. 154
Tabel 4. 51 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 10 ............ 154
Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky ............... 154
Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2013
....................................................................................................... 155
Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner ...... 155
Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV ..................... 156
Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Access Door............ 156
Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Printer .................... 156
Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Infocus .................... 157
Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman UPS......................... 157
Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic ............. 157
Page 20
xix
Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Switch ..................... 158
Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi....................... 158
Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Router ..................... 159
Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Visitor Management
System ............................................................................................... 159
Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring
Jaringan ............................................................................................ 160
Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring
Bandwith Internet ............................................................................. 160
Tabel 4. 67 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009) ...... 161
Tabel 4. 68 Hasil Nilai BIA Aset Utama ............................................................ 161
Tabel 4. 69 Hasil Nilai BIA Aset Pendukung .................................................... 162
Tabel 4. 70 Hasil Nilai Dampak Bisnis Pada Aset Utama ................................. 164
Tabel 4. 71 Hasil Nilai Dampak Bisnis Pada Aset Pendukung .......................... 164
Tabel 4. 72 Hasil Nilai Resiko dan Level Resiko pada Aset Utama .................. 166
Tabel 4. 73 Hasil Nilai Resiko dan Level Resiko pada Aset Pendukung........... 166
Tabel 4. 74 Analisis Risiko Keamanan Informasi Aset Utama .......................... 168
Tabel 4. 75 Analisis Risiko Keamanan Informasi Aset Pendukung .................. 169
Tabel 4. 76 Objektif Kontrol dan Kontrol Keamanan ISO 27001:2013 ............ 177
Tabel 4. 77 Kerangka Kerja Perhitungan Maturity Level Klausul 7 .................. 179
Tabel 4. 78 Hasil Maturity Level Klausul 7 ....................................................... 181
Tabel 4. 79 Kerangka Kerja Perhitungan Maturity Level Klausul 8 .................. 182
Tabel 4. 80 Hasil Maturity Level Klausul 8 ....................................................... 183
Tabel 4. 81 Kerangka Kerja Perhitungan Maturity Level Klausul 9 .................. 184
Tabel 4. 82 Hasil Maturity Level Klausul 9 ....................................................... 185
Tabel 4. 83 Kerangka Kerja Perhitungan Maturity Level Klausul 11 ................ 186
Tabel 4. 84 Hasil Maturity Level Klausul 11 ..................................................... 188
Tabel 4. 85 Kerangka Kerja Perhitungan Maturity Level Klausul 12 ................ 189
Tabel 4. 86 Hasil Maturity Level Klausul 12 ..................................................... 191
Tabel 4. 87 Kerangka Kerja Perhitungan Maturity Level Klausul 13 ................ 192
Tabel 4. 88 Hasil Maturity Level Klausul 13 ..................................................... 193
Page 21
xx
Tabel 4. 89 Kerangka Kerja Perhitungan Maturity Level Klausul 16 ................ 194
Tabel 4. 90 Hasil Maturity Level Klausul 16 ..................................................... 196
Tabel 4. 91 Nilai Maturity Level Seluruh Klausul ............................................. 198
Tabel 4. 92 Hasil Temuan Seluruh Kontrol Keamanan ..................................... 199
Tabel 4. 93 Rekomendasi Perbaikan .................................................................. 216
Tabel 4. 94 Rekapitulasi Level Resiko Aset Utama ........................................... 223
Tabel 4. 95 Rekapitulasi Level Resiko Aset Pendukung ................................... 223
Tabel 4. 96 Hasil Penelusuran Bukti .................................................................. 227
Page 23
1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Dalam era globalisasi seperti saat ini membuat operasi bisnis diaktifkan oleh
teknologi. TI telah mengilhami rekayasa ulang proses bisnis tradisional untuk
mempromosikan operasi yang lebih efisien dan untuk meningkatkan komunikasi di
dalam perusahaan serta komunikasi antara perusahaan dengan pelanggan dan
pemasoknya (Hall, 2011). Semakin berkembangnya teknologi membuat aspek
keamanan informasi merupakan hal penting yang penting diperhatikan dan menjadi
tanggung jawab semua karyawan, terutama manajer. Keamanan informasi
merupakan perlindungan informasi termasuk sistem dan perangkat keras yang
digunakan untuk menyimpan serta mentransmisikan informasi melalui penerapan
suatu kebijakan serta program pelatihan dan penyadaran (Whitman & Mattord,
2014).
Perlindungan informasi dilakukan dari berbagai ancaman baik yang
disebabkan oleh alam, maupun kasus kejahatan komputer seperti pencurian data,
aktivitas spionase, hacking, penyebaran virus dan vandalism (Sarno & Iffano,
2009). Menurut Ponemon (2017) hasil studi yang dilakukan terhadap 254
perusahaan di 7 negara menunjukkan terjadinya 635 serangan terhadap keamanan
informasi dengan rata-rata serangan tiap perusahaan sebanyak 2,5 serangan per
minggu pada tahun 2017. Selain itu Symantec (2018) melaporkan bahwa pada
tahun 2017 terjadi peningkatan jumlah varian malware yang signifikan serta cara
Page 24
2
penyebaran malware yang semakin beragam yaitu cenderung menggunakan email
dengan target utama sektor administrasi publik atau pemerintahan.
Gambar 1. 1 Jumlah Cyber Attack Per Tahun (Ponemon, 2017)
Gambar 1. 2 Peningkatan Varian Malware (Symantec, 2018)
Ancaman keamanan informasi dapat merugikan organisasi/perusahaan
karena dapat menghambat kinerja operasional. Para stakeholder maupun pengelola
sistem informasi diharapkan lebih memperhatikan masalah keamanan informasi
untuk meminimalisir kerugian yang dapat terjadi. Salah satu cara yang dapat
dilakukan adalah dengan melakukan tata kelola terhadap teknologi informasi. Tata
kelola diperlukan bagi sebuah organisasi karena dalam proses transformasi bisnis
organisasi TI merupakan pendorong utama dan dapat memberikan imbas penting
dalam pencapaian visi, misi serta tujuan strategis suatu organisasi (Jogiyanto &
Abdillah, 2011). Dengan tata kelola yang baik, sistem informasi diharapkan dapat
Page 25
3
membantu organisasi/perusahaan untuk meminimalkan kemungkinan terjadinya
risiko yang mengganggu kelangsungan bisnis dengan melakukan proses
pengukuran kinerja melalui audit tata kelola teknologi informasi. Hasil audit
menjadi baik apabila standar-standar diimplementasikan dengan baik. Perusahaan
dapat memilih jenis audit untuk mencapai tujuan, sasaran dan hasil yang diharapkan
(Gantz, 2014).
Audit sistem informasi adalah mekanisme yang digunakan oleh untuk
memeriksa serta melakukan evaluasi terhadap implementasi sistem tata kelola TI di
sebuah organisasi (Jogiyanto & Abdillah, 2011). Kegiatan audit memberikan
informasi yang membantu organisasi mengelola risiko dan mengkonfirmasi alokasi
sumber daya terkait TI yang efisien dalam mencapai tujuan TI dan tujuan bisnis
(Gantz, 2014). Dengan demikian kegiatan audit sangatlah penting untuk mencapai
tata kelola teknologi informasi yang baik.
Dinas Komunikasi dan Informatika (DISKOMINFO) Kabupaten Bogor
merupakan Dinas yang menyelenggarakan kewenangan urusan Pemerintahan di
bidang Komunikasi dan Informatika. Berdiri dengan dasar hukum Peraturan Bupati
Bogor Nomor 57 Tahun 2016 tentang kedudukan, susunan organisasi, tugas dan
fungsi serta tata kerja Dinas Komunikasi dan Informatika. Saat ini pemerintah
Kabupaten Bogor telah menerapkan konsep e-government yang dikembangkan oleh
DISKOMINFO Kabupaten Bogor. Kebijakan penyelenggaraan e-government
terdapat dalam peraturan Bupati Bogor Nomor 11 Tahun 2015 tentang Pelaksanaan
dan Pengembangan E-Government Di Lingkungan Pemerintah Kabupaten Bogor.
Page 26
4
Dalam peraturan Bupati Bogor Nomor 11 Tahun 2015, tercantum bahwa
DISKOMINFO memiliki tugas sebagai wali data untuk mengelola data dinas
lainnya kemudian disimpan ke dalam server DISKOMINFO Kabupaten Bogor.
Menurut “Daftar Inventarisasi Aplikasi OPD Kabupaten Bogor Tanggal 8 Maret
2018” saat ini ada sekitar 57 aplikasi yang digunakan oleh dinas-dinas di wilayah
Kabupaten Bogor dan data 6 aplikasi diantaranya disimpan di dalam server
DISKOMINFO Kab. Bogor. Selain itu, DISKOMINFO Kabupaten Bogor juga
memiliki tugas menyediakan infrastruktur jaringan internet bagi dinas-dinas lain
yang berada di wilayah Kabupaten Bogor, tepatnya di sekitar wilayah Jl. Tegar
Beriman, Cibinong. Bidang yang mempunyai tugas mengelola ini adalah Bidang
Penyelenggaraan E-Government yang membawahi tiga Seksi yaitu Seksi
Infrastruktur dan Teknologi, Seksi Pengembangan Aplikasi dan Data, serta Seksi
Persandian dan Keamanan Informasi.
Berdasarkan hasil observasi dan wawancara, diketahui bahwa Bidang
Penyelenggara E-Government DISKOMINFO Kabupaten Bogor pernah
mengalami insiden keamanan sistem informasi yaitu kerusakan server dikarenakan
usia server yang sudah tua dan mengakibatkan data-data di server DISKOMINFO
Kabupaten Bogor hilang serta menghambat kegiatan operasional dinas yang terkait.
Insiden lainnya adalah hacking terhadap sub domain website Kabupaten Bogor
yang mengakibatkan berubahnya layout domain dan sub domain website maupun
sub domain website Kabupaten Bogor. Dari insiden tersebut membuat
DISKOMINFO Kabupaten Bogor lebih waspada dalam mengawasi akses yang
mencurigakan terhadap domain maupun sub domain website Kabupaten Bogor.
Page 27
5
Ancaman lainnya bagi DISKOMINFO Kabupaten Bogor yaitu aplikasi milik dinas-
dinas di wilayah Kabupaten Bogor dibuat oleh pihak ketiga yang berbeda sehingga
tiap aplikasi berbeda bahasa pemrograman dan celah keamanan. Hal-hal tersebut
sangat penting untuk diperhatikan karena dapat mengancam data-data yang ada di
server DISKOMINFO Kab. Bogor.
Sebagai tindakan preventif, Kepala Seksi Pengembangan Aplikasi dan Data
berencana melakukan evaluasi terhadap keamanan sistem informasi karena Bidang
Penyelenggaraan E-Government belum pernah melakukan audit keamanan sistem
informasi sehingga Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor belum mengetahui apakah ada kekurangan dari pengamanan
sistem informasi saat ini. Pelaksaan evaluasi juga telah disosialisasi oleh
Kementrian Komunikasi dan Informatika (KOMINFO) sejak tahun 2008. Menteri
KOMINFO mengeluarkan peraturan nomor 4 tahun 2016 tentang Sistem
Manajemen Pengamanan Informasi (SMPI), maka hal tersebut menjadi sebuah
keharusan untuk menerapkan SMKI bagi pelayanan publik khususnya yang
berkategori “Tinggi” dan “Strategis” (Direktorat Keamanan Informasi, 2017).
Dengan dasar tersebut saat ini DISKOMINFO Kabupaten Bogor memiliki rencana
yang belum terlaksana untuk melakukan sertifikasi ISO 27001:2013 yang terdapat
dalam dokumen Rencana Strategis Dinas Komunikasi dan Informatika Kabupaten
Bogor Tahun 2013-2018.
Tata kelola keamanan teknologi informasi memiliki banyak standar dalam
melakukan evaluasi dan pengukuran, contoh yang paling sering digunakan adalah
COBIT dan ISO 27001. COBIT memiliki kelebihan sebagai framework tatakelola
Page 28
6
karena dapat mengintegrasikan sistem keamanan informasi ke dalam tatakelola TI
yang lebih luas. Namun, keterbatasannya yaitu tidak memberi petunjuk rinci bagi
organisasi bagaimana melakukan sesuatu secara nyata dan lebih mengarahkan pada
apa yang harus dilakukan (Jogiyanto & Abdillah, 2011). Sedangkan ISO 27001
merupakan salah satu standar yang telah berlaku secara internasional sebagai
standar untuk membangun Sistem Manajemen Keamanan Informasi (SMKI).
Standar ini bersifat indipenden terhadap produk teknologi informasi, mensyaratkan
penggunaan pendekatan manajemen berbasis risiko, serta dirancang untuk
menjamin kontrol keamanan yang dipilih perusahaan dapat melindingi aset
informasi dari berbagai risiko serta memberi keyakinan tingkat keamanan bagi
pihak yang berkepentingan (Direktorat Keamanan Informasi, 2017).
Terdapat beberapa penelitian yang menggunakan framework COBIT,
menggunakan standar ISO 27001 atau menggunakan keduanya secara bersama.
Penggunaan framework COBIT 5 sudah banyak digunakan pada penelitian
sebelumnya untuk melakukan evaluasi tata kelola TI (Suminar et al., 2014; Fitroh,
et al., 2018; Putra, 2018). Sedangkan penelitian yang menggunakan standar ISO
27001 umumnya membahas tentang keamanan informasi (Bless et al., 2014;
Nurbojatmiko et al., 2016; Ritzkal, et al., 2016).
Selain penelitian menggunakan COBIT atau menggunakan ISO 27001,
terdapat penelitian lain yang melakukan perbandingan antara beberapa standar
untuk mengukur keamanan informasi, keuntungan masing-masing standar, serta
keuntungan apabila digunakan secara bersama-sama (von Solms, 2005; Sahibudin,
et al., 2008; Mataracioglu & Ozkan, 2011; Susanto et al., 2011; Sheikhpour &
Page 29
7
Modiri, 2012; Susanto, 2013; Haufe, et al., 2016). Namun penelitian tersebut hanya
berfokus kepada mencari hubungan antara COBIT dengan ISO 27001 secara teori.
Dari hasil penelitian tersebut didapatkan hasil bahwa jika COBIT dikombinasikan
dengan ISO 27001 dapat memberikan keuntungan lebih bagi perusahaan terutama
dalam mengelola keamanan informasi.
Terdapat satu penelitian yang dilakukan Bless et al (2014) yang
menggunakan COBIT dan ISO 27002. COBIT 4.1 digunakan untuk memetakan
kebutuhan perusahaan berdasarkan enterprise goals dan IT-related goals dan dari
hasil pemetaan didapat beberapa area tata kelola TI menurut COBIT 4.1. Dan dari
hasil pemetaan tersebut dicocokan dengan kontrol keamanan yang ada pada ISO
27002:2005. Dari hasil penggunaan 2 framework tersebut didapat penjabaran
lengkap mulai dari kebutuhan perusahaan, nilai aset perusahaan, nilai maturity level
dari keamanan informasi, serta usulan untuk meningkatkan keamanan informasi
perusahaan berdasarkan ISO 27002.
Berdasarkan latar belakang yang telah diuraikan di atas, maka peneliti ingin
melakukan penelitian yang berjudul “Audit Keamanan Sistem Informasi Pada
Dinas Komunikasi dan Informatika Kabupaten Bogor Menggunakan Standar
ISO/IEC 27001:2013 dan COBIT 5”.
Page 30
8
1.2 Identifikasi Masalah
Adapun identifikasi masalah berdasarkan latar belakang yang telah
diuraikan di atas adalah:
a. DISKOMINFO Kab. Bogor pernah mengalami insiden terkait
keamanan sistem informasi yaitu kerusakan server yang menyebabkan
hilangnya data pada server serta insiden serangan hacker terhadap sub
domain website Kabupaten Bogor.
b. Belum pernah dilaksanakan audit untuk tata kelola keamanan sistem
informasi sehingga Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor belum mengetahui bagaimana tingkat
kematangan dalam tata kelola keamanan sistem informasi saat ini.
Berdasarkan identifikasi masalah di atas, maka dapat diperoleh rumusan
masalah yaitu “Bagaimana Melakukan Audit Keamanan Sistem Informasi
Pada Dinas Komunikasi dan Informatika Kabupaten Bogor Menggunakan
Standar ISO/IEC 27001:2013 dan COBIT 5?”
1.3 Batasan Masalah
Peneliti akan melakukan pembatasan pada:
1. Audit keamanan sistem informasi ini dilakukan pada Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor yang beralamat di Jl. Tegar Beriman No. 1, Cibinong.
2. Identifikasi serta penilaian terhadap aset dimulai dari aset utama
(Contoh: database sistem informasi) serta aset pendukung (Contoh:
Page 31
9
desktop, server, cctv, dan wi-fi) yang dimiliki Bidang Penyelenggaraan
E-Government Dinas Komunikasi dan Informatika Kabupaten Bogor.
3. Framework yang digunakan adalah COBIT 5 dan ISO /IEC 27001:2013.
4. Domain COBIT 5 yang digunakan adalah APO13 (Manage Security).
5. Klausul ISO/IEC 27001:2013 yang digunakan antara lain klausul A.7
(Keamanan Sumber Daya Manusia), klausul A.8 (Manajemen Aset),
klausul A.9 (Kontrol Akses), klausul A.11 (Keamanan Fisik dan
Lingkungan), klausul A.12 (Keamanan Operasi), klausul A.13
(Keamanan Komunikasi), dan klausul A.16 (Pengelolaan Insiden
Keamanan Informasi).
6. Langkah-langkah untuk melakukan audit dalam penelitian ini
menggunakan Assessment Process Activities COBIT 5 yaitu tahapan
Initiation lalu dilanjutkan dengan siklus Plan-Do-Check-Act (PDCA)
ISO/IEC 27001:2013.
7. Skala pengukuran tingkat kematangan (maturity level) menggunakan
SSE-CMM (System Security Engineering Capability Maturity Model)
dengan 5 tingkat kemampuan.
1.4 Tujuan Penelitian
Tujuan yang ingin dicapai dalam penelitian ini adalah:
1. Mengetahui tingkat kematangan (maturity level) keamanan sistem
informasi pada Bidang Penyelenggaraan E-Government Dinas
Komunikasi dan Informatika Kabupaten Bogor.
Page 32
10
2. Menganalisis hasil temuan dan gap dari tingkat kematangan (maturity
level) keamanan sistem informasi saat ini.
3. Memberikan rekomendasi kepada Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten Bogor
untuk mencegah terjadinya insiden serupa yang pernah terjadi
sebelumnya serta untuk merencanakan sistem manajemen keamanan
informasi yang sesuai dengan standar ISO/IEC 27001:2013.
1.5 Manfaat Penelitian
Adapun manfaat yang dapat diambil dari hasil penelitian ini adalah sebagai
berikut:
1. Penelitian ini diharapkan dapat digunakan sebagai gambaran untuk
mengetahui tingkat kematangan (maturity level) dari tata kelola
keamanan sistem informasi yang ada saat ini. Selain itu hasil penelitian
ini juga diharapkan dapat menjadi bahan referensi bagi Bidang
Penyelenggaraan E-Government DISKOMINFO Kab. Bogor dalam
upaya merancang SMKI sesuai standar ISO/IEC 27001:2013.
2. Penelitian ini diharapkan dapat menjadi referensi bagi penelitian-
penelitian selanjutnya di Program Studi Sistem Informasi UIN Syarif
Hidayatullah Jakarta yang berkaitan dengan audit keamanan sistem
informasi terutama dengan menggunakan framework COBIT 5 dan
standar ISO/IEC 27001:2013.
Page 33
11
1.6 Metode Penelitian
Dalam penulisan ini, peneliti menggunakan beberapa metode yang
bertujuan untuk mempermudah peneliti dalam melakukan analisis dan audit
terhadap sistem informasi ini, yaitu:
1.6.1 Metode Pengumpulan Data
1. Studi Pustaka
Studi ini dilakukan dengan mempelajari berbagai pustaka yang
menyangkut konsep sistem informasi, tata kelola teknologi
informasi, audit sistem informasi menggunakan COBIT 5, dan
standardisasi Sistem Manajemen Keamanan Informasi dengan
ISO 27001:2013 melalui buku, jurnal, artikel dan penelitian
sejenis yang berhubungan dengan permasalahan.
2. Observasi
Peneliti melakukan studi lapangan secara langsung dengan
melakukan pengamatan pada proses pengelolaan keamanan
sistem informasi informasi pada Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten
Bogor di Jl. Tegar Beriman No. 1, Cibinong.
3. Wawancara
Peneliti melakukan wawancara untuk mengetahui proses
pengelolaan keamanan sistem informasi secara umum serta
untuk mengetahui insiden yang pernah terjadi terkait keamanan
sistem informasi.
Page 34
12
4. Kuisioner
Peneliti menggunakan kuisioner untuk mengumpulkan data
yang diperlukan dalam melakukan pengukuran tingkat
kematangan manajemen keamanan informasi. Pernyataan pada
kuisioner menggunakan dokumen panduan implementasi
ISO/IEC 27002:2013.
1.6.2 Metode Analisis Data
Dalam penelitian ini penulis menggunakan metode analisis data
berdasarkan Assessment Process Activities COBIT 5 yaitu tahap Initiation.
Setelah itu peneliti menggunakan Metode Perencanaan SMKI berdasarkan
ISO/IEC 27001:2013 dengan siklus Plan-Do-Check-Act (PDCA). Di bawah
ini merupakan penjelasan dari masing-masing metode yang peneliti
gunakan untuk menganalisis data:
1.6.2.1 Assessment Process Activities (COBIT 5)
1. Initiation
Tahap ini bagian dari Assessment Process Activities pada
COBIT 5 yang bertujuan untuk memetakan enterprise
goals DISKOMINFO Kab. Bogor terhadap IT-related
goals serta IT-related goals terhadap proses COBIT 5.
Hasil dari tahapan ini adalah Domain APO13 (Manage
Security) sesuai dengan kondisi Bidang Penyelenggaraan
E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor.
Page 35
13
1.6.2.2 Metode Perencanaan SMKI (ISO/IEC 27001:2013)
1. Plan
Tahap ini adalah tahap untuk menentukan ruang lingkup
SMKI dan membuat kebijakan SMKI. Ruang lingkup
SMKI dalam penelitian ini adalah pada Bidang
Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor dan kebijakan SMKI dibuat untuk
menetukan tujuan serta kebijakan terkait SMKI pada
Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor.
2. Do
Tahap ini adalah tahap untuk melakukan identifikasi dan
menghitung nilai aset utama dan aset pendukung,
mengidentifikasi serta menghitung ancaman dan
kelemahan, dan menentukan level risiko. Langkah serta
skala untuk menghitung nilai aset, menghitung ancaman
dan kelemahan serta menentukan level risiko akan
dibahas pada pada Bab II.
3. Check
Tahap ini adalah tahap untuk melakukan pengukuran
tingkat kematangan SMKI dengan menggunakan skala
pengukuran SSE-CMM (System Security Engineering
Page 36
14
Capability Maturity Model) dari hasil kuisioner yang
peneliti kumpulkan.
4. Act
Tahap ini adalah tahap untuk melakukan peneluran bukti
serta pemberian rekomendasi perbaikan SMKI yang
sesuai dengan standar ISO/IEC 27001:2013 bagi Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan
Informatika Kab. Bogor
1.6.2.3 Interpretasi Hasil dan Pembahasan
Pada tahap ini peneliti melakukan pembahasan dari hasil
yang telah didapatkan pada tahap-tahap sebelumnya. Dimulai dari
interpretasi hasil tahap initiation, interpretasi hasil dari tahap plan-do-
check-act, rekomendasi dan usulan bagi Bidang Penyelenggaraan E-
Government DISKOMINFO Kab. Bogor, implikasi penelitian, serta
keterbatasan studi yang ada pada penelitian ini.
1.7 Sistematika Penulisan
Secara garis besar, penulisan ini dibagi menjadi 5 (lima) bab. Adapun isi
dari masing-masing bab adalah sebagai berikut:
BAB I PENDAHULUAN
Pada bab ini peneliti menguraikan latar belakang masalah, identifikasi
masalah, rumusan masalah, batasan masalah, tujuan penelitian,
manfaat penelitian, metode penelitian, dan sistematika penulisan.
Page 37
15
BAB II LANDASAN TEORI
Pada bab ini peneliti menguraikan konsep dan teori dasar yang terkait
dengan audit keamanan sistem informasi menggunakan standar
ISO/IEC 27001:2013 dan framework COBIT 5 yang meliputi teori
konsep sistem informasi, definisi e-government, pengertian audit
keamanan sistem informasi, teori keamanan informasi, macam-
macam framework tata kelola keamanan informasi, teori tentang
COBIT 5 dan ISO/IEC 27001:2013, model PDCA (Plan-Do-Check-
Act), cara melakukan penilaian risiko, teori tentang SSE-CMM,
pemetaan COBIT 5 dengan ISO/IEC 27001:2013 dan kajian
penelitian sebelumnya. Dengan fokus domain COBIT 5 pada domain
APO13 (Manage Security) serta fokus klausul ISO/IEC 27001:2013
pada klausul A.7 (Keamanan Sumber Daya Manusia), klausul A.8
(Manajemen Aset), klausul A.9 (Kontrol Akses), klausul A.11
(Keamanan Fisik dan Lingkungan), klausul A.12 (Keamanan
Operasi), klausul A.13 (Keamanan Komunikasi), dan klausul A.16
(Pengelolaan Insiden Keamanan Informasi).
BAB III METODOLOGI PENELITIAN
Pada bab ini peneliti menguraikan tentang metode penelitian yang
mencakup metode pengumpulan data yang terdiri dari studi pustaka
dan studi lapangan (observasi, wawancara dan kuisioner), lalu metode
analisis data serta kerangka penelitian.
Page 38
16
BAB IV HASIL AUDIT DAN INTERPRETASI HASIL
Pada bab ini peneliti menguraikan secara singkat tentang profil Dinas
Komunikasi dan Informatika Kabupaten Bogor mulai dari visi, misi,
tujuan, logo, serta struktur organisasi. Pada bab ini juga menjelaskan
hasil dari tahap-tahap pelaksanaan audit keamanan sistem informasi
dengan menggunakan tahap Initiation pada framework COBIT 5 dan
siklus PDCA sesuai standar ISO 27001:2013. Pada bab ini juga
menyajikan interpretasi hasil dari audit yang telah dilakukan serta
rekomendasi kepada Bidang Penyelenggaraan E-Government Dinas
Komunikasi dan Informatika Kabupaten Bogor.
BAB V PENUTUP
Bab ini merupakan penutup yang berisi kesimpulan dari uraian yang
telah dibahas pada bab-bab sebelumnya serta saran bagi peneliti
selanjutnya dan saran perbaikan bagi pihak Dinas Komunikasi dan
Informatika Kabupaten Bogor untuk kemajuan kedepannya.
DAFTAR PUSTAKA
Page 40
17
BAB II
LANDASAN TEORI
2.1 Konsep Sistem Informasi
Sistem informasi merupakan suatu istilah yang sering digunakan dalam
dunia TI. Berikut ini adalah pengertian sistem, informasi dan sistem informasi.
2.1.1 Pengertian Sistem
Sistem menurut McLeod & Schell (2008) merupakan sekelompok elemen-
elemen yang saling terintegrasi dengan maksud yang sama untuk mencapai satu
tujuan. Definisi lain dari sistem adalah sejumlah hal terkait yang bekerja sama
untuk mencapai tujuan secara keseluruhan (Hanna & Rance, 2011). Di bawah ini
merupakan gambaran elemen dari sebuah sistem
Gambar 2. 1 Elemen Sistem (McLeod & Schell, 2008)
2.1.2 Pengertian Data dan Informasi
Data merupakan fakta-fakta dan angka-angka yang relatif tidak berarti bagi
pemakainya (Mcleod & Schell, 2008). Definisi lain dari data yaitu Data
merupakan fakta tentang peristiwa atau kenyataan lain yang mendukung suatu
Page 41
18
pengetahuan untuk dijadikan dasar guna penyusunan keterangan, pembuatan
kesimpulan atau penetapan keputusan (Gondodiyoto dan Hendarti, 2007). Dari
dua definisi tersebut dapat disimpulkan bahwa data merupakan hasil pengamatan
dalam bentuk fakta-fakta atau angka-angka yang relatif tidak berarti bagi
pemakainya namun dapat diolah melalui proses tertentu untuk menjadi
pengetahuan yang lebih bermanfaat bagi pemakainya.
Sedangkan informasi merupakan adalah data yang telah diproses, atau data
yang memiliki arti (McLeod & Schell, 2008). Definisi lain menyatakan bahwa
informasi merupakan hasil pengolahan data sehingga bertambah kegunaannya dan
dapat dipakai untuk suatu tujuan tertentu atau untuk analisis dan pengambilan
keputusan (Gondodiyoto dan Hendarti, 2007). Dari dua definisi informasi tersebut
dapat disimpulkan bahwa informasi merupakan hasil dari pemrosesan data berupa
fakta-fakta atau angka-angka yang bermanfaat bagi penggunanya dalam
melakukan analisis dan dasar pengambilan keputusan.
2.1.3 Pengertian Sistem Informasi
Menurut Stair dan Reynolds (2016) sistem informasi merupakan kumpulan
komponen-komponen yang saling terkait dalam mengumpulkan, memanipulasi,
serta menyebarluaskan data dan informasi serta menyediakan feedback (umpan
balik) yang membantu organisasi dalam mencapai tujuannya seperti
meningkatkan laba perusahaan atau meningkatkan layanan kepada pelanggan.
Dalam sistem informasi ada 4 elemen inti yaitu input-process-output-feedback.
Input (masukkan) merupakan proses mengumpulkan data mentah dalam bentuk
fakta-fakta atau angka-angka untuk selanjutnya dimasukkan ke dalam sistem.
Page 42
19
Setelah itu adalah process (proses) yang merupakan tahap untuk
mentransformasikan data dalam bentuk fakta atau angka menjadi output yang
bermanfaat. Setelah process selesai, dihasilkanlah output (keluaran) berupa
sebuah informasi yang bermanfaat dalam bentuk laporan atau dokumen. Dan
terakhir adalah feedback (umpan balik) yang merupakan informasi dari sistem
yang digunakan untuk membuat perubahan pada tahap input atau pada tahap
pemrosesan data apabila terjadi kesalahan pada tahap input atau gangguan pada
saat pemrosesan data. Di bawah ini merupakan gambaran elemen sistem informasi
Gambar 2. 2 Elemen Sistem Informasi (Stair & Reynolds, 2016)
2.2 E-Government
E-Government merupakan kependekan dari Electronic Government. Pada
penelitian ini aspek yang dibahas adalah pengertian E-Government, konsep E-
Government, dan pengembangan E-Government.
Terdapat beberapa pengertian mengenai E-Government, diantara lain
menurut Indrajit (2016), E-Government merupakan suatu mekanisme interaksi
baru (modern) antara pemerintah dengan masyarakat dan kalangan lain yang
berkepentingan (stakeholder) yang melibatkan penggunaan teknologi informasi
terutama internet untuk tujuan perbaikan kualitas pelayanan publik. Sedangkan
pengertian lain menyebutkan bahwa E-government mengacu pada penggunaan
Page 43
20
internet dan perangkat digital lainnya untuk layanan pengiriman informasi yang
dilakukan oleh instansi publik/pemerintahan (Shin & Kim, 2008).
Dari beberapa penjelasan diatas dapat disimpulkan bahwa E-Government
adalah salah satu bentuk atau model sistem pemerintahan yang berlandaskan pada
penggunaan internet dan perangkat digital lainnya sebagai layanan pengiriman
informasi oleh instansi publik dengan tujuan memperbaiki kualitas pelayanan
publik ke masyarakat.
2.3 Audit Sistem Informasi
Audit identik dengan proses evaluasi atau penilaian sesuatu. Di bawah ini
terdapat penjelasan mengenai audit lebih rinci serta audit sistem informasi.
2.3.1 Pengertian Audit Sistem Informasi
Audit dalam aspek administratif menurut Gondodiyoto dan Hendarti (2007)
memiliki arti pemeriksaan terhadap perencanaan organisasi, penerapan sistem dan
prosedur kerja apakah efektif dan efisien suatu organisasi serta kehandalan sistem
sehubungan dengan kebijakan organisasi. Kemudian dalam konteks tatakelola TI
audit merupakan pemeriksaan terhadap manajemen sumber daya informasi atau
terhadap kehandalan sistem informasi berbasis teknologi informasi mengenai
aspek efektifitas, efisiensi, data integritas, saveguarding asset, reliability,
confidentiality, availability, dan security. Sedangkan audit sistem informasi
merupakan mekanisme yang digunakan untuk memeriksa serta mengevaluasi
implementasi sistem tata kelola TI di sebuah organisasi. Proses penilaian serta
pengukuran ini dilakukan oleh pemeriksa (auditor) dengan menggunakan metode
tertentu seperti metode Balanced Scorecard (BSC) (Jogiyanto & Abdillah, 2011).
Page 44
21
Dari hasil penjabaran di atas dapat disimpulkan bahwa audit sistem
informasi merupakan sebuah mekanisme untuk memeriksa dan mengevaluasi
perencanaan, penerapan serta prosedur kerja sistem tata kelola TI di sebuah
organisasi yang disesuaikan dengan ketetapan, standar serta regulasi dan hukum
yang berlaku.
2.3.2 Tujuan Audit
Audit TI memberikan informasi yang membantu organisasi mengelola
risiko, selain itu Audit TI juga mengkonfirmasi alokasi sumber daya terkait TI
yang efisien, serta mencapai tujuan TI dan bisnis lainnya. Adapun alasan lainnya
melakukan audit (Gantz, 2014) di antara lain adalah:
a. Mengevaluasi efektivitas kontrol yang diterapkan
b. Mengkonfirmasikan kepatuhan terhadap kebijakan, proses, dan prosedur
internal
c. Memeriksa kesesuaian dengan tata kelola TI atau kerangka kerja kontrol dan
standar
d. Menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung
pemantauan berkelanjutan
e. Mengidentifikasi kelemahan dan defisiensi sebagai bagian dari manajemen
risiko awal atau berkelanjutan
f. Mengukur kinerja terhadap tolok ukur kualitas atau perjanjian tingkat layanan
g. Memverifikasi dan memvalidasi rekayasa sistem atau praktik manajemen
proyek TI
Page 45
22
h. Menilai sendiri organisasi terhadap standar atau kriteria yang akan digunakan
dalam audit eksternal yang diakan direncanakan.
2.4 Keamanan Informasi
Keamanan informasi merupakan aspek penting dalam usaha melindungi
aset informasi dalam sebuah organisasi. Berikut ini dijelaskan mengenai definisi
keamanan informasi, tujuan keamanan informasi dan aspek-aspek dalam keamanan
informasi.
2.4.1 Definisi Keamanan Informasi
Keamanan informasi merupakan perlindungan terhadap informasi dari 3
aspek yaitu confidentiality (kerahasiaan), integrity (integritas), dan availability
(ketersediaan), dan juga perlindungan terhadap sistem serta perangkat keras yang
digunakan untuk menyimpan atau mentransmisikan informasi tersebut melalui
penerapan kebijakan, program pelatihan dan penyadaran serta teknologi
(Whitman & Mattord, 2014). Sedangkan definisi keamanan informasi menurut
Arnason & Willett (2008) adalah perlindungan aset organisasi (mis., Informasi)
dari pengungkapan yang tidak sah dan modifikasi yang tidak sah dan tidak
disengaja, dan memastikan informasi tersebut siap digunakan saat diperlukan.
Peraturan perundang-undangan dan persyaratan kepatuhan lainnya membahas
privasi dan pelaporan keuangan yang akurat, dan umumnya mencakup kebutuhan
akan kontrol keamanan yang baik seputar informasi.
Adapun jenis keamanan informasi dapat dibagi menjadi beberapa bagian
berikut (Whitman & Mattord, 2014):
Page 46
23
1. Physical Security (Keamanan Fisik)
Keamanan yang berfokus untuk memberikan perlindungan terhadap
karyawan atau staff organisasi, aset fisik, maupun tempat kerja apabila
terjadi ancaman seperti insiden kebakaran kebakaran, adanya akses
tanpa otorisasi/tidak sah, dan bencana alam.
2. Operational Security
Keamanan yang berfokus untuk memberikan perlindungan terhadap
adanya gangguan yang mungkin akan mengganggu kemampuan
organisasi dalam melaksanakan kegiatan operasional.
3. Communications Security
Keamanan yang berfokus untuk memberikan perlindungan terhadap
kemampuan perusahaan dalam menggunakan media komunikasi,
teknologi komunikasi, serta konten yang ada di dalamnya untuk
mencapai tujuan sebuah organisasi.
4. Network Security
Keamanan yang berfokus untuk memberikan perlindungan terhadap
kemampuan perusahaan dalam menggunakan jaringan yang terdiri dari
perangkat jaringan, koneksi serta konten yang ada pada jaringan untuk
mencapai fungsi komunikasi data organisasi tersebut.
2.4.2 Tujuan Keamanan Informasi
Setiap organisasi atau perusahaan menerapkan sistem informasi berbasis
komputer untuk mencapai tujuan tertentu. Oleh karena itu, perusahaan dituntut
untuk menciptakan sistem keamanan untuk mengamankan aset yang dimiliki
Page 47
24
berupa hardware dan software dari sistem informasi tersebut. Tujuannya adalah
untuk meyakinkan kerahasisaan, ketersediaan, dan integritas dari pengolahan
data. Tentu biaya yang dikeluarkan perusahaan untuk pengamanan terhadap
sistem komputer harus wajar apabila ingin meminimalkan risiko serta memelihara
keamanan sistem komputerisasi pada suatu tingkatan atau level yang dapat
diterima. Karena reputasi organisasi akan dinilai masyarakat dari tiga aspek di atas
yaitu integritas, kerahasiaan, dan ketersediaan informasi (IBISA, 2011).
Penekanan dalam manajemen keamanan informasi ada pada pemantauan
terus menerus, lalu penilaian ancaman dan kerentanan, serta evaluasi terhadap
implementasi dan efektivitas kontrol keamanan. Kontrol keamanan baik itu
keamanan administrasi, teknis, dan fisik, merupakan fokus utama manajemen
keamanan informasi dan kegiatan audit yang dilakukan berguna untuk
mendukung program keamanan informasi. Manajemen keamanan informasi
memerlukan pemilihan, implementasi, konfigurasi, operasi, dan pemantauan
kontrol keamanan yang cukup untuk melindungi kerahasiaan, integritas, dan
ketersediaan sistem informasi dan data di dalamnya (Gantz, 2014).
Keamanan informasi yang baik dapat diperoleh dari pengimplementasian
upaya operasional dan didukung oleh prosedur dan kebijakan yang sesuai. Proses
ini diawali dengan identifikasi kontrol yang akan dipakai dalam organisasi dimana
kontrol tersebut harus berdasarkan analisis kebutuhan aspek keamanan informasi
organisasi. Setelah prosedur, kebijakan dan panduan operasional tentang kontrol
yang diimplementasikan dalam organisasi dibuat, selanjutnya disosialisasikan ke
Page 48
25
seluruh bagian organisasi untuk mendapatkan dukungan dan komitmen dari
seluruh bagian organisasi (Sarno dan Iffano, 2009).
2.4.3 Aspek Keamanan Informasi
Aspek keamanan informasi harus dikontrol, diperhatikan serta diterapkan.
Perlindungan pada informasi dilakukan bertujuan untuk memenuhi semua aspek
keamanan informasi. Beberapa aspek yang terkait user dengan keamanan
informasi ialah sebagai berikut (Sarno & Iffano, 2009):
a. Privacy
Informasi yang ada pada organisasi hanya dipergunakan untuk tujuan
tertentu khusus bagi pemilik data. Aspek privacy menjamin keamanan
data dari pihak lain yang tidak berkepentingan.
b. Identification
Aspek identification menjamin informasi memiliki karakteristik
identifikasi jika bisa mengenali pemiliknya. Aspek ini adalah langkah
awal dalam memperoleh hak akses ke dalam informasi yang diamankan.
c. Authentication
Autentikasi terjadi pada saat sistem membuktikan bahwa pemakai
informasi memang benar pemilik yang memiliki identitas yang sesuai
dengan yang di klaim.
d. Authorization
Authorization adalah aspek yang ada setelah identitas pengguna
diauntentikasi kemudian terjadi proses autorisasi yang menyediakan
jaminan pemakai (manusia ataupun komputer). Apabila sudah
Page 49
26
mendapatkan autorisasi dapat mengakses, mengubah, atau menghapus
isi informasi.
e. Accountability
Accountability terpenuhi jika sebuah sistem menampilkan data kegiatan
terhadap informasi yang dilakukan dan siapa saja yang melakukan
kegiatan tersebut.
Keamanan informasi meliputi tiga pilar keamanan informasi, yaitu
kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability).
Kerahasiaan, integritas, dan ketersediaan juga merupakan tujuan keamanan
informasi. Tiga pilar tersebut pun dikenal juga dengan CIA keamanan informasi.
Gambar 2. 3 Pilar Keamanan Informasi (Arnason dan Willett, 2008)
Gambar 2.3 menggambarkan tiga pilar keamanan informasi. Penjelasan tiga
pilar keamanan informasi menurut Michael E. Whitman & Herbert J. Mattord
(2014) sebagai berikut:
a. Pilar Kerahasiaan (confidentiality) adalah karakteristik informasi dimana
hanya mereka yang memiliki hak istimewa yang cukup dan kebutuhan yang
ditunjukkan yang dapat mengaksesnya. Kerahasiaan memastikan bahwa hanya
Page 50
27
personil yang berwenang yang dapat mengakses informasi, pihak lain tidak
dapat mengaksesnya.
b. Pilar Integritas (Integrity) adalah kualitas atau keadaan menjadi utuh, lengkap,
dan tidak rusak. Integritas informasi terancam ketika terpapar korupsi,
kerusakan, kehancuran, atau gangguan lain dari negara asalnya. Pilar integritas
menjadikan informasi tetap dalam format pencipta informasi yang dimaksud.
Karena informasi menjadi bernilai sedikit atau tidak bernilai jika integritasnya
tidak dapat diverifikasi. Integritas informasi adalah landasan keamanan
informasi.
c. Pilar Ketersediaan (availability) informasi terjadi ketika pengguna memiliki
akses ke format yang dapat digunakan, tanpa gangguan atau hambatan.
Ketersediaan tidak menyiratkan bahwa informasi tersebut dapat diakses oleh
pengguna mana pun; akan tetapi dapat diakses oleh pengguna yang berwenang.
Pilar ini memastikan informasi siap digunakan. Hilangnya ketersediaan adalah
gangguan akses atau penggunaan informasi atau teknologi informasi.
2.5 Framework Keamanan Tata Kelola TI
Alfantookh (2009) dalam Susanto (2011) mendefinisikan bahwa terdapat 11
kontrol penting tata kelola keamanan teknologi informasi yang harus
diimplementasikan oleh organisasi dalam melakukan pengukuran atau evaluasi.
Adapun 11 kontrol penting tersebut adalah:
1. Information Security Policy
Bagaimana sebuah organisasi melaksanakan keamanan informasi, dengan
cara menyatakan niatnya mengamankan informasi, memberikan arahan
Page 51
28
kepada manajemen, staf maupun pemangku saham mengenai pentingnya
keamanan informasi.
2. Communication & Operations Management
Bagaimana sebuah organisasi menentukan kebijakan keamanan dalam
mengurangi risiko keamanan dan memastikan perhitungan yang benar dalam
hal prosedur operasional, kontrol, dan tanggung jawab yang ditetapkan
dengan baik.
3. Access Control
Adalah sistem yang memungkinkan otoritas dalam organisasi untuk
mengontrol akses ke area dan sumber daya dalam fasilitas fisik tertentu atau
sistem informasi berbasis komputer.
4. Information System Acquisition, Development and Maintenance
Sebuah proses terintegrasi yang menunjukan batas dan sistem informasi
teknis, dimulai dengan akuisisi, pengembangan serta pemeliharaan sistem
informasi.
5. Organization of Information Security
Adalah struktur yang dimiliki organisasi dalam menerapkan keamanan
informasi yang terdiri atas komitmen manajemen terhadap keamanan
informasi, koordinasi keamanan informasi, proses otorisasi untuk fasilitas
pemrosesan informasi.
Page 52
29
6. Asset Management
Bagaimana sebuah organisasi mengamankan asetnya dengan cara
mengidentifikasi, melacak, mengklasifikasikan, dan menetapkan
kepemilikan untuk aset yang paling penting.
7. Information Security Incident Management
Adalah sebuah kegiatan untuk mengantisipasi insiden yang mungkin terjadi.
Melibatkan identifikasi sumber daya yang diperlukan untuk penanganan
insiden. Manajemen insiden yang baik juga akan membantu dengan
pencegahan insiden di masa depan.
8. Business Continuity Incident Management
Bagaimana sebuah organisasi memastikan kelangsungan operasional dalam
kondisi abnormal. Memastikan kesiapan organisasi untuk pemulihan apabila
menghadapi peristiwa yang merugikan, meminimalkan dampak yang dapat
ditimbulkan, dan menyediakan sarana saat keadaan darurat.
9. Human Resources Security
Untuk memastikan bahwa semua karyawan memenuhi syarat serta
memahami peran dan tanggung jawab pekerjaan mereka, dan akses dihapus
saat pekerjaan diputus.
10. Physical and Environment Security
Langkah-langkah yang diambil untuk melindungi sistem, bangunan, dan
infrastruktur pendukung terkait terhadap ancaman yang terkait dengan
lingkungan fisik, bangunan termasuk ruangan yang menampung sistem
informasi dan teknologi informasi.
Page 53
30
11. Compliance
Terbagi menjadi dua, yaitu area pertama melibatkan kepatuhan terhadap
undang-undang, peraturan, dan persyaratan kontrak. Sedangkan area kedua
adalah kepatuhan terhadap kebijakan, standar, dan proses keamanan
informasi.
Di bawah ini merupakan tabel perbandingan dari 5 standar keamanan
informasi yang ada saat ini:
Tabel 2. 1 Perbandingan 5 Standar Keamanan Informasi (Susanto et al., 2011)
. ISO
27001 COBIT PCIDSS
BS
7799 ITIL
1 Information security policy
2 Communications and
operations management
3 Access control
4
Information systems
acquisition, Develpoment.
And Maintenance
5 Organization of
information security
6 Asset management
7 Information security
incident management
8 Business continuity
management
9 Human resources security
10 Physical and enviromental
security
11 Compliance
Penjelasan singkat mengenai masing-masing standar yang ada pada tabel
2.1 dapat dilihat di bawah ini:
2.5.1 COBIT
Control Objectives for Information and related Technology atau yang
disingkat COBIT merupakan seperangkat pedoman umum (best practice) untuk
Page 54
31
manajemen TI yang dibuat oleh Information System Audit and Control
Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1996.
COBIT memberikan serangkaian langkah yang dapat diterima secara umum,
indikator, proses dan praktik terbaik untuk membantu manajer, auditor serta
pengguna TI dalam memaksimalkan manfaat yang dapat diperoleh dari
penggunaan TI serta pengembangan tata kelola TI yang sesuai serta
pengendaliannya di dalam perusahaan.
Keunggulan COBIT sebagai framework tatakelola adalah sistem keamanan
informasi terintegrasi ke dalam framework tatakelola TI yang lebih luas dan besar.
Tidak hanya itu, COBIT juga menyediakan framework pengambilan keputusan.
Dengan demikian COBIT selain sebagai sistem penjamin keamanan informasi
juga menjadi framework sistem tatakelola TI yang terintergrasi dengan sistem
organisasi lain. Namun, COBIT memiliki keterbatasan sebagai sistem tata kelola
keamanan informasi karena COBIT tidak memberi petunjuk rinci bagi organisasi
dalam hal “bagaimana” melakukan sesuatu secara nyata. COBIT lebih
mengarahkan pada “apa” yang seharusnya dilakukan oleh organisasi. Padahal
dalam konteks tertentu organisasi membutuhkan secara rinci “bagaimana” sesuatu
diselesaikan (Jogiyanto & Abdillah, 2011).
Saat ini versi terbaru COBIT adalah COBIT 5. Penggunaan COBIT 5 dalam
melakukan evaluasi tata kelola TI di organisasi dapat menggunakan COBIT
Assessment Process Activities. Assessment Process Activities merupakan tahapan-
tahapan aktivitas dalam melakukan proses penilaian capability level untuk
perusahaan (ISACA, 2012). Tahapan-tahapannya antara lain: Initiation, Planning
Page 55
32
the Assessment, Briefing, Data Collection, Data Validation, Process Attribute
Rating, dan Reporting the Result (Putra, 2018).
Gambar 2. 4 Sejarah COBIT Framework (ISACA, 2016)
2.5.2 ISO/IEC 27001
ISO 27001 merupakan salah satu seri yang diterbitkan oleh The
International Organization for Standarization yang didalamnya berisi spesifikasi
atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen
Keamanan Informasi (SMKI). Standar ini bersifat indipenden terhadap produk
teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis
risiko, serta dirancang untuk menjamin kontrol keamanan yang dipilih perusahaan
dapat melindingi aset informasi dari berbagai risiko serta memberi keyakinan
Page 56
33
tingkat keamanan bagi pihak yang berkepentingan (Direktorat Keamanan
Informasi, 2017).
ISO/IEC 27001 ini cocok digunakan bagi organisasi yang ingin menerapkan
sistem manajemen keamanan informasi (SMKI) karena fokus ISO/IEC 27001
lebih kepada aspek keamanan informasi. Kelemahan ISO/IEC 27001 adalah tidak
dapat digunakan sebagai pedoman umum dalam sistem tata kelola TI di organisasi
(Jogiyanto & Abdillah, 2011).
Dalam pengimplementasiannya, ISO/IEC 27001 menggunakan model plan-
do-check-act (PDCA). Model PDCA merupakan model yang digunakan untuk
mengimplementasikan sistem manajemen keamanan informasi dan sering disebut
juga sebagai siklus SMKI. Model ini dirancang untuk mendorong perbaikan yang
berkelanjutan. Untuk menerapkan SMKI sebagaimana ditentukan dalam ISO
27001, tiap-tiap organisasi dapat menggunakan model PDCA sesuai dengan
karakter organisasinya (Arnason & Willet, 2008)
Gambar 2. 5 ISO/IEC 27001 (ECC International)
Diakses dari: http://www.eccinternational.com/consulting/it-process-excellence/iso-27001-
information-security-management-system
Page 57
34
2.5.3 ITIL
ITIL atau Information Technology Infrastructure Library merupakan
rangkaian konsep serta teknik pengelolaan infrastruktur, pengembangan, dan
pengoperasian teknologi informasi (TI). ITIL memberikan panduan tentang
penyediaan layanan TI berkualitas serta proses, fungsi dan kemampuan lain yang
diperlukan untuk mendukung manajemen layanan TI organisasi (Hanna & Rance,
2011). Pada dasarnya kerangka kerja ITIL bertujuan secara berkelanjutan
meningkatkan efesiensi operasional TI dan kualitas layanan pelanggan. ITIL
memiliki kelebihan dalam hal memberikan arahan bagi organisasi untuk
menggunakan IT secara lebih efektif dan efisien. Sedangkan kekurangan dari ITIL
yaitu ITIL lebih fokus kepada IT service kepada pengguna, walaupun terdapat
tahap incident management, namun pendekatan ITIL tidak spesifik dibandingkan
COBIT atau ISO 27001 (Wibowo, et al., 2016).
Saat ini versi ITIL terbaru adalah V3 yang diterbitkan pada tahun 2007 dan
terdiri atas lima buku inti (core) yang membahas tentang service lifecycle yang
terdiri dari service strategy, service design, service transition, service operation,
dan continual service improvement. Di bawah ini merupakan 5 core pada ITIL V3
Page 58
35
Gambar 2. 6 Lima Buku Inti (core) ITIL V3 (Simplilearn Solutions)
Diakses dari: https://www.simplilearn.com/itil-key-concepts-and-summary-article
Salah satu kerangka metodologi untuk penilaian proses menggunakan ITIL
adalah dengan menggunakan Tudor IT Process Assessment (TIPA). TIPA
menawarkan pendekatan terstruktur untuk menentukan tingkat kematangan proses
TI yang sesuai dengan best practice TI yang diakui. TIPA juga mendukung
perbaikan proses dengan memberikan analisis kesenjangan dan mengusulkan
rekomendasi perbaikan. Menurut website resmi TIPA, pendekatan penilaian yang
digunakan di TIPA mendefinisikan sebuah proyek penilaian dengan enam fase
(www.tipaonline.org), yaitu
a. Definition Phase: tujuan utamanya adalah untuk menentukan ruang lingkup
assessment, untuk mengidentifikasi pelaku utama, menyetujui penawaran
layanan dan menyetujui kesepakatan lingkup penilaian.
b. Preparation Phase: tujuannya adalah untuk menemukan konteks organisasi, dan
kemudian melakukan perencanaan penilaian dan menentukan organisasi.
Page 59
36
c. Assessment Phase: Fase ini adalah kunci dari penilaian proses, selama
wawancara selesai dan dokumen ditinjau untuk memungkinkan penilaian proses
dan tingkat kemampuan proses.
d. Analysis Phase: Setelah tahap penilaian, informasi yang terkumpul dianalisis dan
analisis dilakukan untuk membuat rekomendasi perbaikan.
e. Result Presentation Phase: Hasilnya dipresentasikan kepada pemangku
kepentingan terkait, dan laporan penilaian rinci diberikan.
f. Assessment Closure Phase: Proyek penilaian kemudian bisa ditutup.
2.5.4 TOGAF
The Open Group Architecture Framework (TOGAF) merupakan kerangka
kerja yang menyediakan metode serta seperangkat alat pendukung untuk
mengembangkan enterprise architecture (arsitektur entreprise). TOGAF
membantu dalam penerimaan, pembuatan, penggunaan serta pemeliharaan
arsitektur enterprise dengan berdasarkan pada proses yang berulang dan di dukung
oleh seperangkat arsitektur yang dapat digunakan kembali. TOGAF memiliki
kekurangan karena ruang lingkupnya hanya pada bagaimana memperinci metode
dan tools pendukung dalam pengembangan suatu enterprise architecture
(arsitektur entreprise) dan tidak ada fase yang fokus terhadap keamanan informasi
(The Open Group, 2009). TOGAF pertama kali diluncurkan tahun 1995 dan versi
TOGAF terbaru adalah TOGAF 9.2. TOGAF menyediakan proses yang berulang
untuk mengembangkan arsitektur enterprise yang disebut dengan Archictecture
Development Method (ADM). Fase dalam ADM TOGAF adalah sebagai berikut
(The Open Group, 2009):
Page 60
37
1. Tahap persiapan (Preliminary Phase): Merupakan tahap persiapan aktivitas
apa saja yang dibutuhkan untuk memenuhi arahan bisnis untuk arsitektur
enterprise yang baru.
2. Phase A: Architecture Vision. Tahap untuk menentukan ruang lingkup ADM,
mengidentifikasi stakeholder serta mendapatkan persetujuan dari
stakeholder.
3. Phase B: Business Architecture. Membuat arsitektur bisnis untuk mendukung
arsitektur visi yang sudah disetujui.
4. Phase C: Information System Architecture. Membuat arsitektur sistem
informasi yang di dalamnya juga termasuk membuat arsitektur data dan
aplikasi yang diperlukan.
5. Phase D: Technology Architecture. Membuat arsitektur teknologi yang
diperlukan dalam proyek.
6. Phase E: Opportunities and Solutions. Melakukan perencanaan implementasi
awal dan identifikasi cara pengiriman untuk arsitektur yang ditentukan dalam
fase sebelumnya.
7. Phase F: Migration Planning. Membuat perencanaan secara detail tentang
urutan transisi arsitektur yang baru.
8. Phase G: Implementation Governance. Membuat persiapan untuk
implementasi dan pengawasaannya.
9. Phase H: Architecture Change Management. Membuat prosedur untuk
mengelola perubahan ke arsitektur yang baru
Page 61
38
10. Requirements Management. Memeriksa proses pengelolaan persyaratan
arsitektur di seluruh ADM.
Gambar 2. 7 Architecture Development Method (The Open Group, 2009)
2.6 COBIT 5
COBIT 5 merupakan versi paling baru dari COBIT yang dibuat oleh
Information System Audit and Control Association (ISACA) pada tahun 2012.
COBIT 5 menyediakan kerangka kerja komprehensif yang dapat membatu
perusahaan untuk mencapai tujuan dalam hal tata kelola serta pengelolaan TI
perusahaan. COBIT 5 juga dapat membantu perusahaan untuk menciptakan nilai
optimal dari TI yang digunakan dengan mengoptimalkan tingkat risiko dengan
penggunaan sumber daya yang dimiliki perusahaan (ISACA, 2012).
COBIT 5 hanya menyediakan kerangka kerja bagi perusahaan untuk
mengukur serta memantau kinerja TI. Namun dalam penerapannya setiap
perusahaan harus mendefinisikan sendiri bidang proses yang sesuai dengan
Page 62
39
kebutuhan perusahaan dengan mempertimbangkan situasi tertentu di dalam
perusahaan terkait. Gambar di bawah ini menggambarkan cakupan COBIT 5
dengan framework lain.
Gambar 2. 8 Cakupan antara COBIT 5 dengan framework lain (ISACA, 2012)
Gambar 2.8 menunjukkan bahwa COBIT memiliki cakupan dengan
framework atau best practice lain yang ada saat ini. Apabila pengimplementasian
COBIT dikombinasikan dengan framework atau best practice lain akan
menunjukkan bagaimana tata kelola teknologi informasi serta penerapannya dalam
pengendalian proses. COBIT 5 menyediakan kerangka kerja untuk memastikan
bahwa teknologi informasi yang digunakan oleh perusahaan selaras dengan
kebutuhan bisnis, selain itu untuk memastikan tanggung jawab penggunaan sumber
daya teknologi informasi serta memastikan resiko teknologi informasi dikelola
dengan tepat, supaya teknologi informasi dapat mendukung bisnis dengan baik dan
mampu memaksimalkan manfaat yang diberikan.
Page 63
40
2.6.1 Definisi Proses COBIT 5
Pada COBIT 5 terdapat 37 proses tata kelola dan manajemen yang bertujuan
untuk menghasilkan tujuan yang optimal. Dalam area tata kelola terdapat satu
domain yaitu domain Evaluate, Direct, and Monitor (EDM), sedangkan pada area
manajemen terdapat empat domain yaitu Align, Plan, and Organise (APO), Build
Acquire, and Implement (BAI), Deliver, Service, and Support, dan Monitor,
Evaluate, and Assess (MEA)
Gambar 2. 9 Model Referensi Proses COBIT 5 (ISACA, 2012)
Gambar 2.9 menunjukkan domain-domain yang ada pada COBIT 5.
Penjelasan masing-masing domain dapat dilihat di bawah ini:
1. Evaluate, Direct and Monitor (EDM)
Proses tata kelola ini sesuai bagi pemangku kepentingan perusahaan untuk
melakukan penilaian, optimasi risiko dan sumber daya, yang mencakup
praktek serta kegiatan dengan tujuan untuk mengevaluasi pilihan strategis dan
Page 64
41
memberikan arahan kepada TI dan melakukan pemantauan hasil dari TI.
Berikut domain proses EDM:
a) EDM01 Memastikan Pengaturan dan Pemeliharaan Kerangka Kerja
Tata Kelola
b) EDM02 Memastikan Keluaran yang Bermanfaat
c) EDM03 Memastikan Pengoptimalan Risiko
d) EDM04 Memastikan Pengoptimalan Sumber Daya
e) EDM05 Memastikan Transparansi Pemangku Kepentingan
2. Align, Plan and Organise (APO)
Ini termasuk dalam proses manajemen yang mencakup strategi dan taktik, dan
mengidentifikasi kekhawatiran cara terbaik untuk mengoptimalkan TI agar
dapat berkontribusi pada pencapaian tujuan bisnis yang ingin dicapai oleh
stakeholder perusahaan. Di bawah ini merupakan domain proses APO:
a) APO01 Mengelola Kerangka Manajemen TI
b) APO02 Mengelola Strategi
c) APO03 Mengelola Arsitektur Bisnis
d) APO04 Mengelola Inovasi
e) APO05 Mengelola Dokumen
f) APO06 Mengelola Anggaran dan Biaya
g) APO07 Mengelola Sumber Daya Manusia
h) APO08 Mengelola Relasi
i) APO09 Mengelola Perjanjian Layanan
j) APO10 Mengelola Pemasok
Page 65
42
k) APO11 Mengelola Kualitas
l) APO12 Mengelola Resiko
m) APO13 Mengelola Keamanan
3. Build, Acquire and Implementation (BAI)
Termasuk dalam proses manajemen yang bertujuan memberikan solusi dan
melewatinya sehingga akan berubah menjadi layanan. Dalam mewujudkan
strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan diintegrasikan ke dalam proses bisnis. Untuk
memastikan bahwa solusi terus memenuhi tujuan bisnis maka domain ini juga
mencakup aspek perubahan serta pemeliharaan sistem yang ada di dalam
perusahaan. Di bawah ini merupakan domain proses BAI:
a) BAI01 Mengelola Program dan Proyek
b) BAI02 Mengelola Definisi Persyaratan
c) BAI03 Mengelola Identifikasi Solusi dan Pembangunan
d) BAI04 Mengelola Ketersediaan dan Kapasitas
e) BAI05 Mengelola Pemberdayaan Perubahan Organisasi
f) BAI06 Mengelola Perubahan
g) BAI07 Mengelola Penerimaan Perubahan dan Transisi
h) BAI08 Mengelola Pengetahuan
i) BAI09 Mengelola Aset
j) BAI10 Mengelola Susunan
Page 66
43
4. Deliver, Service and Support (DSS)
DSS merupakan proses manajemen yang menerima solusi dan dapat
digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman
aktual dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan,
pengelolaan keamanan dan kelangsungan, dukungan layanan bagi pengguna,
dan manajemen data dan fasilitas operasional. Di bawah ini merupakan
domain proses DSS:
a) DSS01 Mengelola Operasi
b) DSS02 Mengelola Layanan Permohonan dan Kecelakaan
c) DSS03 Mengelola Masalah
d) DSS04 Mengelola Keberlangsungan
e) DSS05 Mengelola Jasa Keamanan
f) DSS06 Mengelola Kontrol Proses Bisnis
5. Monitor, Evaluate and Assess (MEA)
Merupakan proses manajemen untuk memonitor semua proses TI yang ada
serta memastikan bahwa proses mengikuti arah yang telah disediakan. Untuk
memastikan kepatuhan serta kualitas, proses TI perlu dilakukan penilaian
secara teratur dalam jangka waktu tertentu. Di bawah ini merupakan domain
proses dari MEA:
a) MEA01 Memantau, Evaluasi dan Menilai Kinerja dan Penyesuaian
b) MEA02 Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal
c) MEA03 Memantau, Evaluasi dan Menilai Kepatuhan dengan
Persyaratan Eksternal
Page 67
44
2.6.2 Pemetaan COBIT 5
Pada tahap ini terdapat 2 tahap yang dilakukan. Tahap pertama adalah
mengartikan enterprise goals organisasi ke dalam IT-related goals COBIT 5, dan
tahap kedua adalah mengartikan IT-related goals ke dalam proses COBIT 5.
Masing-masing tahapan akan dijelaskan di bawah ini:
2.6.4.1 Pemetaan Enterprise Goals terhadap IT- related Goals COBIT 5
Tahap ini bertujuan untuk menunjukkan bagaimana enterprise goals
organisasi diartikan atau diterjemahkan ke dalam IT-related goals. Di bawah ini
contoh matriks enterprise goals terhadap IT-related goals COBIT 5:
Gambar 2. 10 Pemetaan Enterprise Goals (ISACA, 2012)
P = Primary
S = Secondary
Gambar 2.10 merupakan contoh matriks yang digunakan dalam
menghubungkan enterprise goal dengan IT-related goals. Secara keseluruhan
COBIT 5 memiliki 17 IT-related goals.
Page 68
45
2.6.4.2 Pemetaan IT-related Goals terhadap Proses COBIT 5
Selain pemetaan enterprise goals terhadap IT-related goals, COBIT 5
juga memberi gambaran melakukan pemetaan IT-related goals dengan proses
COBIT 5. Berikut ini adalah gambar pemetaan IT-related goals terhadap proses
COBIT 5
Gambar 2. 11 Pemetaan Proses COBIT 5 (ISACA, 2012)
Gambar 2.11 merupakan contoh matriks yang digunakan dalam
menghubungkan IT-related goals dengan COBIT 5 process. Secara keseluruhan
terdapat 37 proses COBIT. Dari gambar 2.12 dan 2.13 dapat dilihat bahwa
terdapat hubungan primary (P) maupun secondary (S) antara proses-proses
COBIT yang ada. Di bawah ini merupakan penjelasan mengenai hubungan
primary maupun secondary:
a) Primary pada gambar 2.10 menandakan bahwa enterprise goals memiliki
hubungan penting dengan IT-related goals. Sedangkan pada gambar 2.11
menandakan bahwa IT-related goals memiliki hubungan penting dengan
Page 69
46
proses COBIT 5 dan merupakan dukungan utama untuk mencapai tujuan
yang berkaitan dengan TI.
b) Secondary pada gambar 2.10 menandakan bahwa enterprise goals memiliki
hubungan yang kuat dengan IT-related goals namun kurang penting. Hal
tesebut juga serupa terhadap gambar 2.11 yang menandakan bahwa IT-
related goals masih memiliki hubungan yang kuat dengan proses COBIT 5
namun kurang penting dan hanya merupakan dukungan sekunder dalam
mencapai tujuan yang berkaitan dengan TI.
2.6.3 COBIT Process Assesment Model (PAM)
Menurut ISACA (2012) model ini merupakan dasar dalam melakukan
penilaian kemampuan proses TI yang ada pada perusahaan terhadap COBIT 5
serta program pelatihan dan sertifikasi bagi para penilai. Proses penilaian
menggunakan bukti-bukti nyata yang ditemukan di lapangan untuk menghasilkan
penilaian yang handal, konsisten dan berulang di bidang tata kelola dan
manajemen TI. Model penilaian ini memungkinkan perusahaan melakukan
penilaian sebagai upaya untuk mendukung perbaikan proses. Panduan ini
diberikan agar perusahaan dapat memilih proses mana yang akan dinilai sesuai
dengan kebutuhan perusahaan, termasuk penggunaan pemetaan COBIT yang
diterbitkan ISACA untuk menentukan proses mana yang akan dinilai. Pemetaan
ini meliputi:
a. Menghubungkan tujuan perusahaan dengan tujuan terkait TI perusahaan
b. Menghubungkan tujuan terkait TI perusahaan dengan tujuan proses TI
c. Sebuah Framework untuk memilih area yang akan dilakukan penilaian
Page 70
47
COBIT 5 PAM memberikan indikator sebagai panduan dalam melakukan
interpretasi dari tujuan serta hasil proses yang sudah didefiniskan dalam COBIT
5 untuk mendukung penilaian yang akan dilakukan. COBIT 5 PAM terdiri dari
satu set indikator kinerja proses dan kemampuan proses. Indikator ini digunakan
sebagai dasar untuk mengumpulkan bukti objektif yang memungkinkan penilai
untuk menetapkan peringkat (ISACA, 2012).
2.6.5.1 Assessment Process Activities
Assessment Process Activities merupakan tahapan-tahapan aktivitas
dalam melakukan proses penilaian capability level untuk perusahaan (ISACA,
2012). Gambar 2.12 merupakan gambaran dari Assessment Process Activities.
Gambar 2. 12 Assessment Process Activities (ISACA, 2012)
1) Initiation
Initiation merupakan tahapan pertama dalam Assessment Process Activities
yang ada pada Process Assessment Model COBIT 5. Bertujuan untuk
menjelaskan hasil identifikasi dari beberapa informasi yang dapat
Page 71
48
dikumpulkan. Dalam penelitian ini penulis mengumpulkan informasi
berupa visi, misi serta tujuan Dinas Komunikasi dan Informatika Kabupaten
Bogor yang berguna untuk melakukan pemetaan Enterprise Goals serta IT-
related goals seperti yang telah dijelaskan sebelumnya.
2) Planning the Assessment
Tahap kedua adalah melakukan perencanaan penilaian untuk mendapatkan
hasil evaluasi penilaian capability level. Dengan memetakan RACI chart
yang ada di COBIT dengan struktur organisasi terkait agar selaras dengan
kebutuhan aktifitas penelitian yang akan dinilai.
3) Briefing
Tahap ketiga adalah memberikan pengarahan kepada responden penelitian
sehingga responden memahami tiap tahapan yang dilakukan dalam
melakukan penilaian.
4) Data Collection
Tahap keempat adalah melakukan pengumpulan data dari hasil temuan yang
terdapat pada organisasi terkait yang bertujuan untuk mendapatkan bukti-
bukti penilaian evaluasi pada aktifitas proses yang telah dilakukan.
5) Data Validation
Tahap kelima adalah melakukan validasi data yang bertujuan untuk
memastikan data yang dikumpulkan sudah tepat dan untuk mengetahui hasil
perhitungan kuisioner agar mendapatkan evaluasi penilaian capability level.
Page 72
49
6) Process Attribute Level
Tahap keenam yang dilakukan adalah proses memberi level pada atribut
yang ada di setiap indikator, yang bertujuan untuk menunjukkan hasil
capability level dari hasil perhitungan kuisioner pada tahap-tahap
sebelumnya dan melakukan analisis GAP pada tahapan berikutnya.
7) Reporting the Result
Tahap terakhir adalah dilakukan melaporkan hasil evaluasi yang bertujuan
memberikan rekomendasi untuk organisasi terkait dengan COBIT 5.
Dari hasil penjabaran di atas, dapat diketahui tahap-tahap yang dilakukan
untuk melakukan penilaian capability level yang sesuai dengan COBIT 5. Dalam
penelitian ini penulis menggunakan tahap Initiation untuk mengetahui enterprise
goals serta IT-related goals Dinas Komunikasi dan Informatika Kabupaten Bogor.
Selanjutnya penulis akan melakukan penelitian dengan menggunakan siklus Plan-
Do-Check-Act (PDCA) yang ada pada ISO/IEC 27001:2013. Penjelasan tentang
siklus PDCA dapat dilihat pada sub bab 2.8.
2.6.4 Fokus Area Usulan Tata Kelola TI
Domain proses yang digunakan untuk evaluasi tata kelola TI dipilih
berdasarkan kebutuhan perusahaan dan didukung oleh kerangka COBIT 5 tentang
pemetaan IT Goals terhadap proses-proses COBIT (Gambar 2.15 dan 2.16).
Penulis mengajukan izin untuk meneliti tentang sistem keamanan informasi dan
Kepala Seksi Data dan Aplikasi Dinas Komunikasi dan Informatika Kabupaten
Bogor menyetujui untuk menilai sistem keamanan yang ada di Dinas Komunikasi
dan Informatika Kabupaten Bogor sehingga peneliti memilih IT Goal nomor 10
Page 73
50
yaitu Security of Information, processing infrastructure and application. Proses-
proses COBIT yang primer dalam IT Goals tersebut EDM03 (Ensure Risk
Optimisation), APO12 (Manage Risk), APO13 (Manage Security), BAI06
(Manage Changes), DSS05 (Manage Security Services).
Setelah melakukan wawancara kembali dengan Seksi Data dan Aplikasi
DISKOMINFO Kab. Bogor, pihak DISKOMINFO Kab. Bogor ingin melakukan
sertifikasi ISO 27001:2013. ISO 27001:2013 merupakan salah satu standar untuk
membuat Sistem Manajemen Keamanan Informasi (SMKI), jadi proses domain
yang sesuai dengan kondisi dan keinginan perusahaan yang sekarang adalah
APO13 – Manage Security karena di dalamnya terdapat pembahasan tentang
Sistem Manajemen Keamanan Informasi (SMKI).
2.6.6.1 APO13 – Manage Security
Deskripsi dari proses APO13 adalah mendefinisikan,
mengoperasikan dan mengawasi sistem untuk manajemen keamanan
informasi. Tujuan dari proses tersebut adalah menjaga agar dampak dan
kejadian dari insiden keamanan informasi masih berada pada level risiko yang
dapat diterima perusahaan (ISACA, 2012). Praktek kunci manajemen pada
APO13 antara lain:
1. APO13.01- Establish and maintan an information security
management system (ISMS), yaitu menyediakan standar yang
berkelanjutan untuk manajemen keamanan informasi, teknologi
yang aman dan bisnis proses yang sesuai dengan kebutuhan
bisnis dan manajemen keamanan organisasi.
Page 74
51
2. APO13.02 – Define and manage an information security risk
treatment plan, yaitu bertujuan untuk mempertahankan sebuah
rencana keamanan informasi yang menggambarkan bagaimana
informasi resiko keamanan selaras dengan strategi dan arsitektur
organisasi.
3. APO13.03 – Monitor and review the ISMS, bertujuan untuk
mengumpulkan dan menganalisis data tentang ISMS dan
meningkatkan efektifitas dari ISMS.
2.6.6.2 RACI Chart APO13
COBIT menyediakan sebuah panduan RACI Chart yang berupa
matrik dari semua aktivitas atau wewenang dalam pengambilan keputusan
yang dilakukan dalam sebuah organisasi terhadap semua orang atau peran
untuk setiap proses, penjelasannya sebagai berikut (ISACA, 2012):
1. Responsible: Orang yang aktif dalam melakukan kegiatan atau
melakukan pekerjaan.
2. Accountable: Orang yang pada akhirnya bertanggung jawab dan memliki
hak veto, ya atau tidak.
3. Consulted: Orang yang ikut berkontribusi terhadap kegiatan karena
dibutuhkan untuk memberikan feedback (umpan balik) atau saran kepada
kegiatan.
4. Informed: Orang yang dibutuhkan untuk mengetahui keputusan atau
tindakan yang akan dilaksanakan.
Page 75
52
Berikut ini merupakan diagram RACI berdasarkan framework COBIT
untuk APO13 (Manage Security):
Gambar 2. 13 RACI Chart APO13 (ISACA, 2012)
Gambar 2.13 menunjukkan RACI Chart APO13. RACI Chart tersebut akan
penulis jadikan acuan dalam menentukan responden untuk kuesioner yang
menggunakan standar ISO 27001:2013 yang mengacu kepada kontrol keamanan
yang ada pada ISO 27002:2013.
Pada tabel RACI diatas menggambarkan aktivitas atau proses yang
dilakukan tiap individu yang terlibat. Key Management Practice (KMP)
merupakan praktik manajemen yang berisi aktivitas-aktivitas pada setiap domain
pada COBIT 5. RACI Chart diatas menggambarkan aktivitas yang dilakukan serta
individu yang terlibat. Dan penulis hanya memilih individu dengan kategori
Responsible (R) sebagai responden dalam kuisioner penelitian. Berikut ini
penjelasan mengenai struktur organisasi berdasarkan RACI Chart COBIT 5
APO13 (ISACA, 2012):
Page 76
53
1. Chief Information Officer (CIO) adalah pejabat paling senior dari perusahaan
yang bertanggung jawab untuk menyelaraskan TI dan strategi bisnis dan
bertanggung jawab untuk merencanakan, menyediakan sumber daya dan
mengelola pengiriman layanan dan solusi TI untuk mendukung tujuan
perusahaan.
2. Business Process Owner adalah individu yang bertanggung jawab terhadap
kinerja suatu proses bisnis perusahaan dalam upaya mewujudkan tujuannya,
mendorong peningkatan proses dan menyetujui perubahan proses.
3. Head of Architecture adalah seorang individu senior yang bertanggung jawab
untuk merancang arsitektur enterprise.
4. Head of Development adalah seorang individu senior yang bertanggung
jawab terhadap solusi pembangunan yang berkaitan dengan TI.
5. Head of IT Operations adalah senior individu yang bertanggung jawab untuk
lingkungan operasional dan infrastruktur TI perusahaan.
6. Head of IT Administration adalah individu senior yang bertanggung jawab
terhadap dokumen administrasi yang berkaitan dengan TI.
7. Programme and Project Management Office (PMO) adalah fungsi yang
bertanggung jawab untuk mendukung program dan proyek yang
direncanakan manajer, serta mengumpulkan, menilai dan melaporkan
informasi tentang pelaksanaan program yang sedang atau akan dilaksanakan.
8. Service Manager adalah seorang individu yang mengelola implementasi,
pengembangan, evaluasi dan manajemen dari layanan yang sedang berjalan.
Page 77
54
9. Information Security Manager adalah seorang individu yang mengelola,
mengawasi dan menilai tingkat keamanan informasi suatu perusahaan.
10. Business Continuity Manager adalah seorang individu yang mengelola,
mengawasi dan menilai kemampuan kelangsungan bisnis suatu perusahaan.
11. Privacy Officer adalah orang yang bertanggung jawab untuk memantau
resiko dan dampak bisnis undang-undang privasi dan untuk membimbing dan
mengkoordinasikan pelaksanaan kebijakan dan kegiatan yang akan
memastikan arahan privasi terpenuhi, disebut juga petugas proteksi data.
2.7 ISO/IEC 27001
The International Organization for Standarization atau yang sering disebut
ISO, yaitu badan penetap standar internasional di bidang industrial dan komersial
dunia yang bertujuan untuk meningkatkan perdagangan antar negara di dunia. ISO
sendiri terdapat beberapa jenis standar yang dikeluarkan, salah satunya adalah ISO
27001. Berikut ini adalah penjelasan mengenai ISO 27001, yang mencakup definisi,
seri, dan klausul.
2.7.1 Definisi ISO/IEC 27001
ISO 27001 merupakan salah satu seri yang diterbitkan oleh The
International Organization for Standarization yang didalamnya berisi spesifikasi
atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen
Keamanan Informasi (SMKI). Standar ini bersifat indipenden terhadap produk
teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis
risiko, serta dirancang untuk menjamin kontrol keamanan yang dipilih perusahaan
dapat melindingi aset informasi dari berbagai risiko serta memberi keyakinan
Page 78
55
tingkat keamanan bagi pihak yang berkepentingan (Direktorat Keamanan
Informasi, 2017).
Menurut Arnason & Willet (2008) selain menyediakan panduan untuk
menerapkan Sistem Manajemen Keamanan Informasi (SMKI), ISO 27001 juga
dapat digunakan oleh perusahaan untuk memperoleh sertifikat internasional pihak
ketiga untuk membuktikan bahwa kontrol keamanan yang beroperasi di
perusahaan sesuai dengan persyaratan standar yang ada. ISO 27001
menggambarkan Sistem Manajemen Keamanan Informasi menggunakan
pendekatan risiko bisnis untuk menetapkan, menerapkan, mengoperasikan,
memantau serta memelihara SMKI. Dalam hal ini SMKI harus membahas semua
aspek yang ada di perusahaan atau organisasi seperti struktur organisasi,
kebijakan, kegiatan perencanaan, tanggung jawab, praktik, prosedur, proses serta
sumber daya.
ISO 27001 memberikan arahan tentang bagaimana membangun sistem
manajemen yang menempatkan disiplin pada cara memilih kontrol dan cara
menetapkan praktik yang baik untuk menerapkan kontrol keamanan. Prosedur
untuk menerapkan kontrol keamanan juga disesuaikan pada kondisi organisasi
baik dari segi lingkungan fisik maupun dari segi teknis. Tujuannya adalah untuk
membangun kesadaran keamanan, membangun infrastruktur organisasi, serta
merencanakan, mengimplementasikan dan memelihara kontrol keamanan
(Arnason & Willet, 2008).
Page 79
56
Gambar 2. 14 Domain Persyaratan dan Domain Kontrol Keamanan ISO/IEC 27001 (Park & Lee,
2014)
2.7.2 Seri ISO/IEC 27000
The International Organization for Standarization sejak tahun 2005 telah
mengembangkan sejumlah standar tentang Sistem Manajemen Keamanan
Informasi (SMKI) dalam bentuk persyaratan maupun dalam bentuk panduan yang
dikelompokkan ke dalam seri ISO 27000. Adapun seri dalam ISO/IEC 27000
adalah sebagai berikut (Direktorat Keamanan Informasi, 2017):
a. ISO 27000 merupakan standar yang memuat prinsip-prinsip dasar dari
Sistem Manajemen Keamanan Informasi, definisi sejumlah istilah penting
tentang SMKI serta hubungan antar standar dalam keluarga SMKI, baik
yang sudah diterbitkan maupun yang sedang dalam tahap pengembangan.
Page 80
57
b. ISO 27001 berisi spesifikasi atau persyaratan yang harus dipenuhi
apabila ingin membangun Sistem Manajemen Keamanan Informasi di
perusahaan. Standar ini bersifat indipenden terhadap produk teknologi
informasi, menggunakan pendekatan manajemen berbasis risiko sebagai
persyaratan dan dirancang untuk menjamin kontrol keamanan yang
digunakan dapat melindungi aset informasi dari berbagai risiko agar
pihak yang berkepentingan di dalam perusahaan merasa yakin terhadap
tingkat keamanan yang ada.
c. ISO 27002 berisi panduan yang menjelaskan contoh penerapan
keamanan informasi denggan menggunakan bentuk kontrol tertentu
untuk mencapai sasaran kontrol yang ditetapkan. ISO 27002
menyerahkan kepada pengguna untuk memilih serta menetapkan kontrol
yang sesuai dengan kebutuhannya dengan mengacu kepada hasil kajian
risiko yang telah dilakukan sebelumnya.
d. ISO 27003 memberikan panduan bagi perancangan serta penerapan
SMKI agar memenuhi persyaratan ISO 27001 yang meliputi proses
pembangunan SMKI dari mulai persiapan, perancangan serta
penyusunan atau pengembangan SMKI yang digambarkan sebagai suatu
kegiatan proyek.
e. ISO 27004 menyediakan panduan penyusunan dan penggunaan teknik
pengukuran untuk mempelajari efektivitas dari penerapan SMKI. ISO
27004 juga membantu organisasi dalam mengukur ketercapaian sasaran
keamanan yang ditetapkan.
Page 81
58
f. ISO 27005 menyediakan panduan bagi kegiatan manajemen risiko
keamanan informasi di suatu organisasi dalam rangka mendukung
persyaratan SMKI yang telah didefinisikan oleh ISO 27001.
g. ISO 27006 menetapkan persyaratan serta berisi panduan bagi organisasi
yang memiliki kewenangan untuk melakukan audit serta sertfikasi sistem
manajemen keamanan informasi (SMKI). Standar ini dibuat untuk
mendukung proses akreditasi Badan Sertifikasi ISO 27001 oleh Komite
Akreditasi negara masing-masing.
2.7.3 ISO 27001:2013
ISO 27001:2013 merupakan versi paling baru dari ISO seri 27001 yang
diterbitkan oleh The International Organization for Standarization pada tahun
2013. Standar ini menyediakan persyaratan yang dapat digunakan untuk
menetapkan, menerapkan, memelihara serta terus meningkatkan sistem
manajemen keamanan informasi (SMKI) di suatu organisasi. Pengadopsian sistem
manajemen keamanan informasi ini merupakan keputusan strategis bagi
organisasi yang tentu didasarkan oleh kebutuhan dan tujuan organisasi,
persyaratan keamanan, serta struktur organisasi yang tentu akan berubah seiring
waktu. Sistem manajemen keamanan informasi menjaga 3 aspek yaitu
confidentiality (kerahasiaan), integrity (integritas), dan availability (ketersediaan)
dari informasi dengan menerapkan proses manajemen risiko guna memberikan
kepercayaan bagi para stakeholder perusahaan bahwa risiko dikelola secara baik
dan benar. Standar Internasional ini dapat digunakan oleh pihak internal maupun
Page 82
59
eksternal perusahaan untuk melakukan penilaian terhadap kemampuan organisasi
dalam memenuhi persyaratan keamanan informasi organisasi sendiri (ISO, 2013).
2.7.4 Klausul ISO/IEC 27001:2013
Pada versi ISO/IEC 27001:2013 terdapat 14 klausul, 35 objektif kontrol dan
144 kontrol Keamanan. Tabel 2.2 merupakan penjabaran dari klausul, objektif
kontrol dan kontrol keamanan yang terdapat dalam ISO/IEC 27001:2013:
Tabel 2. 2 Klausul ISO/IEC 27001:2013 (ISO, 2013)
Klausul Objektif Kontrol
5. Kebijakan Keamanan
Informasi
5.1 Arahan Manajemen Untuk Keamanan Informasi
6. Organisasi Keamanan
Informasi
6.1 Organisasi Internal
6.2 Perangkat Seluler Dan Teleworking
7. Keamanan Sumber Daya
Manusia
7.1 Sebelum Bekerja
7.2 Selama Bekerja
7.3 Pemutusan Hubungan Kerja Dan Perubahan
Pekerjaan
8. Manajemen Aset
8.1 Tanggung Jawab Untuk Aset
8.2 Klasifikasi Informasi 8.3 Penanganan Media
9. Kontrol Akses
9.1 Persyaratan Bisnis Terhadap Kontrol Akses
9.2 Manajemen Akses User
9.3 Tanggung Jawab Pengguna
9.4 Kontrol Akses Sistem Dan Aplikasi
10. Kriptografi 10.1 Kontrol Kriptografi
11. Keamanan Fisik Dan
Lingkungan
11.1 Area Aman
11.2 Peralatan
12. Keamanan Operasi
12.1 Prosedur Dan Tanggung Jawab Operasional
12.2 Perlindungan Dari Malware
12.3 Backup
12.4 Pencatatan Dan Pemantauan
12.5 Kontrol Perangkat Lunak Operasional
12.6 Pengelolaan Kerentanan Teknis
12.7 Pertimbangan Audit Sistem Informasi
13. Keamanan Komunikasi 13.1 Manajemen Keamanan Jaringan
13.2 Transfer Informasi
14. Akuisisi Sistem,
Pengembangan, Dan
Pemeliharaan
14.1 Persyaratan Keamanan Sistem Informasi
14.2 Keamanan Dalam Proses Pengembangan Dan
Dukungan
14.3 Uji Data
15. Hubungan Pemasok 15.1 Keamanan Informasi Dalam Hubungan Pemasok
15.2 Manajemen Pengiriman Layanan Pemasok
16. Manajemen Insiden Keamanan
Informasi
16.1 Manajemen Insiden Keamanan Informasi Dan
Perbaikan
Page 83
60
17. Aspek Keamanan Informasi
Manajemen Kesinambungan
Bisnis
17.1 Kelangsungan Keamanan Informasi
17.2 Redundansi
18. Pemenuhan
18.1 Kepatuhan Dengan Persyaratan Hukum Dan
Kontrak
18.2 Tinjauan Keamanan Informasi
2.8 Model PDCA (Plan-Do-Check-Act)
Model PDCA merupakan model yang digunakan untuk
mengimplementasikan sistem manajemen keamanan informasi dan sering disebut
juga sebagai siklus SMKI. Model ini dirancang untuk mendorong perbaikan yang
berkelanjutan. Untuk menerapkan SMKI sebagaimana ditentukan dalam ISO 27001,
tiap-tiap organisasi dapat menggunakan model PDCA (Arnason & Willet, 2008).
Di bawah ini merupakan gambaran siklus PDCA:
Gambar 2. 15 Siklus PDCA (Arnason & Willet, 2008)
Gambar 2.15 menunjukkan model PDCA. Dalam proses PDCA, organisasi
akan menentukan ruang lingkup SMKI, mengumpulkan rincian tentang aset dalam
ruang lingkup SMKI, melakukan penilaian risiko pada fungsi bisnis dan aset dalam
ruang lingkup SMKI, serta melakukan penilaian terhadap kontrol keamanan dari
ISO 27002. (Arnason & Willet, 2008).
Page 84
61
Penjelasan model PDCA yang diaplikasikan pada proses SMKI akan
dipaparkan sebagai berikut (Sarno & Iffano, 2009):
1. Plan
Tahapan ini merupakan tahap yang dilakukan untuk merencanakan serta
merancang sistem manajemen keamanan informasi (SMKI) di
perusahaan. Agar implementasi SMKI sesuai dengan keinginan atau
kebutuhan perusahaan ada beberapa tahap yang harus dilakukan yaitu:
membangun komitmen, kebijakan, kontrol, prosedur, serta instruksi
kerja. Dalam tahap ini komitmen manajemen diperlukan untuk
merencanakan sistem manajemen sistem manajemen keamanan
informasi yang sesuai dengan keinginan. Manajemen juga harus terlibat
aktif dalam memberikan masukan, serta dalam peninjauan dan
persetujuan semua dokumen kebijakan (Williams, 2013).
2. Do
Tahap ini berisi kegiatan untuk melakukan implementasi dan operasi
dari kebijakan, kontrol, proses serta prosedur sistem manajemen
keamanan informasi (SMKI) yang telah direncanakan pada tahap plan.
Dalam langkah Do terdapat beberapa langkah, yaitu identifikasi resiko
serta Analisis dan evaluasi resiko.
3. Check
Tahap ini merupakan tahap untuk melakukan pemantauan pelaksanaaan
SMKI melalui kegiatan audit atau evaluasi terhadap SMKI. Tahap ini
dilakukan untuk mengetahui apakah SMKI yang telah diterapkan sesuai
Page 85
62
dengan keinginan perusahaan serta untuk mencari solusi perbaikan
apabila kinerja SMKI yang ada saat ini kurang sesuai dengan keinginan
perusahaan.
4. Act
Tahap ini merupakan kegiatan yang dilakukan untuk perbaikan serta
pengembangan dari SMKI berdasarkan hasil audit atau evaluasi yang
ada pada tahap check. Hal ini juga diistilahkan sebagai perbaikan terus-
menerus yang seharusnya dilakukan terhadap SMKI guna
menyesuaikan dengan standarisasi prosedur yang baru.
Dalam penelitian ini, penulis mengacu kepada siklus Plan-Check-Do-Act.
Pada siklus Plan, penulis akan mendefinisikan ruang lingkup SMKI dan
perencanaan kebijakan SMKI. Siklus plan ini dilakukan setelah melakukan tahap
Initiation COBIT 5 yang membahas tentang enterprise goals dan IT-related goals
Dinas Komunikasi dan Informatika Kabupaten Bogor.
Pada siklus Do, penulis akan mengimplementasikan tahapan Plan dengan
terlebih dahulu melakukan identifikasi dan penilaian aset yang dimiliki oleh Dinas
Komunikasi dan Informatika (DISKOMINFO) Kabupaten Bogor, melakukan
identifikasi serta penilaian ancaman dan kelemahan terhadap aset organisasi,
melakukan identifikasi dampak bisnis dan melakukan penilaian dari dampak bisnis,
menentukan nilai risiko, serta memilih objektif kontrol dan kontrol keamanan yang
sesuai dengan DISKOMINFO Kabupaten Bogor.
Pada siklus Check, penulis akan melakukan penilaian tingkat kematangan
(maturity level) sistem manajemen keamanan informasi menggunakan System
Page 86
63
Security Engineering Capability Maturity Model (SSE-CMM) dan disajikan dalam
bentuk diagram jaring laba-laba.
Siklus terakhir adalah siklus Act, penulis memberikan rekomendasi terhadap
objektif kontrol dan kontrol keamanan setelah mengetahui tingkat kematangan dari
sistem manajemen keamanan informasi yang dinilai pada tahap Check.
2.9 Penilaian Risiko (Risk Assessment)
Risiko merupakan kombinasi dari dampak yang akan mengikuti dari
terjadinya peristiwa tang tidak diinginkan dan kemungkinan terjadinya peristiwa
tersebut. Penilaian risiko mengukur atau menggambarkan secara kualitatif suatu
risiko agar manajer dapat memprioritaskan risiko sesuai dengan kriteria yang telah
ditetapkan. Tujuannya adalah untuk menentukan hal apa yang bisa terjadi untuk
menyebabkan potensi kerugian bagi perusahaan serta untuk mendapatkan
gambaran tentang bagaimana, di mana, serta mengapa kerugian dapat mungkin
terjadi (ISO, 2008). Sedangkan menurut Sarno & Iffano (2009) penilaian risiko
(risk assessment) merupakan langkah awal untuk mengetahui ancaman (threat) dari
luar yang berpotensi mengganggu keamanan informasi organisasi dan potensial
kelemahan (vulnerability) yang mungkin dimiliki oleh organisasi. Ada beberapa
langkah yang ada di dalam tahap penilaian resiko, yaitu identifikasi dan
inventarisasi aset, identifikasi ancaman dan kelemahan dari aset, serta analisis dan
evaluasi risiko.
2.9.1 Identifikasi Aset dan Menghitung Nilai Aset
Langkah pertama adalah identifikasi dan inventarisasi aset yang terkait
dengan informasi. Menurut ISO 27005:2008 aset adalah sesuatu yang bernilai
Page 87
64
bagi organisasi dan yang karenanya membutuhkan perlindungan. Untuk
identifikasi aset itu harus diingat bahwa sistem informasi terdiri dari lebih dari
hardware dan software. Identifikasi adalah pengelompokkan aset ke dalam
beberapa kategori atau golongan. Dalam tahap ini akan dihasilkan daftar
inventarisasi aset yang dimiliki oleh organisasi (Sarno & Iffano, 2009).
Dalam ISO 27005:2008 disebutkan bahwa terdapat dua jenis aset yang
dibedakan menjadi aset utama dan aset pendukung. Aset utama merupakan proses
dan informasi inti dari kegiatan dalam lingkup organisasi dan terdiri dari dua jenis
yaitu proses bisnis (sub-proses) dan kegiatan, serta informasi. Sedangkan aset
pendukung adalah dimana unsur-unsur utama dari ruang lingkup bergantung.
Ruang lingkup terdiri dari aset yang harus diidentifikasi dan dijelaskan. Aset ini
mempunyai kerentanan yang dapat dieksploitasi oleh ancaman yang bertujuan
untuk merusak aset utama. Aset pendukung ini terdiri dari perangkat keras,
perangkat lunak, sistem operasi, jaringan, personil, dan tempat atau lokasi.
Menghitung nilai aset adalah menghitung nilai informasi yang dimiliki oleh
organisasi. Aset yang di hitung hanya informasi yang termasuk di dalam ruang
lingkup SMKI yang telah didefinisikan. Menghitung nilai aset dilakukan dengan
berdasarkan tiga aspek keamanan informasi yaitu: Kerahasiaan (Confidentiality),
Keutuhan (Intergrity), dan Ketersediaan (Availibility) (Sarno & Iffano, 2009).
Page 88
65
Pada tabel 2.3 berikut memberikan contoh penilaian aset berdasarkan
kriteria kerahasiaan (Confidentiality).
Tabel 2. 3 Penilaian Aset Berdasarkan Confidentiality (Sarno & Iffano. 2009)
Kriteria Confidentiality Nilai Confidentiality (NC)
Public 0
Internal use only 1
Private 2
Confidentiality 3
Secret 4
Tabel 2.4 berikut memberikan contoh penilaian aset berdasarkan kriteria
keutuhan (Integrity).
Tabel 2. 4 Penilaian Aset Berdasarkan Integrity (Sarno & Iffano. 2009)
Kriteria Integrity Nilai Integrity (NI)
No impact 0
Minor incident 1
General disturbance 2
Mayor disturbance 3
Unacceptable damage 4
Tabel 2.5 berikut memberikan contoh penilaian aset berdasarkan kriteria
ketersediaan (Availability).
Tabel 2. 5 Penilaian Aset Berdasarkan Availability (Sarno & Iffano. 2009)
Kriteria Availability Nilai Availability (NA)
Low / No availability 0
Office hours Availibility 1
Strong Availibility 2
High Availibility 3
Very high Availibility 4
Setelah menentukan kriteria nilai aset berdasarkan 3 aspek tersebut yang ada
di tabel 2.4, tabel 2.5, dan tabel 2.6, selanjutnya aset dapat dihitung nilainya
dengan menggunakan persamaan matematis berikut (Sarno & Iffano, 2009):
Page 89
66
Nilai Aset = NC + NI + NV
Dimana:
NC = Nilai Confidentiality yang dipilih sesuai dengan tabel
NI = Nilai Integrity yang dipilih sesuai dengan tabel
NV = Nilai Availability yang dipilih sesuai dengan tabel
2.9.2 Identifikasi Ancaman (Threat) dan Kelemahan (Vulnerability) dari Aset
Ancaman adalah kejadian yang bisa membuat suatu perusahaan mengalami
kerugian yang dapat berupa uang, tenaga, upaya, reputasi nama baik, dan yang
paling parah dapat membuat organisasi pailit (IBISA, 2011). Ancaman memiliki
potensi untuk membahayakan aset seperti informasi, proses dan sistem dan oleh
karena itu organisasi. Ancaman harus diidentifikasi secara umum dan menurut
jenis (misalnya tindakan yang tidak sah, kerusakan fisik, kegagalan teknis) dan
kemudian di mana ancaman individu yang sesuai dalam kelas generik
diidentifikasi (ISO 27005:2008). Contoh ancaman yang dapat terjadi dapat dilihat
pada tabel 2.6 di bawah ini:
Tabel 2. 6 Jenis dan Contoh Ancaman (ISO, 2008)
No Jenis Ancaman Contoh Ancaman
1 Kerusakan fisik Kebakaran, kerusakan karena air, polusi,
perusakan pada peralatan atau media, debu,
korosi dan pembekuan
2 Peristiwa Alam Fenomena iklim, fenomena gempa bumi,
gunung meletus, hujan petir, angin puyuh,
angina puting beliung, banjir
3 Kehilangan layanan yang penting Kegagalan AC atau sistem pasokan air,
hilangnya pasokan listrik, kegagalan peralatan
telekomunikasi
4 Sumber ancaman dari manusia
Hacker, Cracker Hacking kegiatan memasuki sistem untuk
mencari bugs pada sistem yang akan dimasuki
Crackers kegiatan penyusupan ke dalam sistem
dengan tujuan mengambil bahkan merusak
informasi penting di dalam sistem
Computer criminal Penyusupan ke sistem komputer, akses ilegal
Page 90
67
Terrorist Black mail, penyerangan ke sistem, sistem
penetrasi, virus
Karyawan Kesalahan atau kelalaian pada saat entri data
atau kesalahan pemrograman
Sedangkan kelemahan adalah kekurangan dari prosedur keamanan
informasi, perencanaan, implementasi atau kontrol internal di dalam organisasi
terhadap penjagaan informasi yang dapat menimbulkan ancaman di dalamnya.
Tujuannya penilaian adalah untuk memahami kelemahan yang dimiliki dalam
sistem manajemen keamanan informasi di suatu organisasi (Sarno & Iffano, 2009).
Tabel 2.7 merupakan contoh daftar kelemahan aset:
Tabel 2. 7 Contoh Daftar Kelemahan (Sarno & Iffano, 2009) & (ISO, 2008)
Daftar Kelemahan Contoh Kelemahan
Power failure (gangguan sumber daya) a. Kerentanan terhadap voltase yang
bervariasi
b. Jaringan listrik yang tidak stabil
Hardware failure (gangguan perangkat keras) a. Kurangnya pemeliharaan/kesalahan
instalasi media penyimpanan
b. Kurangnya skema pergantian berkala
c. Kerentanan terhadap kelembaban, debu
dan kotoran
d. Kurangnya kontrol perubahan konfigurasi
yang efisien
e. Kerentanan terhadap suhu yang bervariasi
f. Penyimpanan yang tidak dilindungi
g. Kurangnya perawatan di pembuangan
h. Penyalinan yang tidak terkendali
Perangkat Lunak a. Tidak ada atau tidak cukup pengujian
perangkat lunak
b. Kekurangan yang telah diketahui pada
perangkat lunak
c. Perangkat lunak yang didistribusikan
secara luas
d. Antar muka yang rumit
e. Kesalahan tanggal
f. Perangkat lunak baru atau belum matang
Data corruption (kerusakan data) a. Menerapkan program aplikasi untuk data
yang salah dalam hal waktu
b. Perangkat lunak yang didistribusikan
secara luas
Lack of user awareness (kurangnya kesadaran
pengguna)
a. Tidak logout ketika meninggalkan
komputer
b. Prosedur rekrutmen yang tidak cukup
c. Pelatihan keamanan yang tidak cukup
d. Kurangnya kesadaran akan keamanan
Page 91
68
Jaringan a. Jalur komunikasi yang tidak dilindungi
b. Lalu lintas sensitif yang tidak dilindungi
c. Sambungan kabel yang buruk
d. Kurangnya identifikasi dan otentikasi pada
pengirim dan penerima
e. Arsitektur jaringan yang tidak aman
f. Koneksi jaringan publik yang tidak
dilindungi
Nilai rerata probabilitas atau kemungkinan terjadinya ancaman dan
kelemahan dihasilkan dari klasifikasi kemungkinan kejadian dengan rentang nilai
yang dapat didefinisikan sebagai berikut:
Tabel 2. 8 Nilai Rerata Probabilitas (Sarno & Iffano, 2009)
Nilai Kemungkinan Kejadian
LOW 0.1 – 0.3
MEDIUM 0.4 – 0.6
HIGH 0.7 – 1.0
Setelah mengidentifikasi ancaman dan kelemahan apa yang mungkin dapat
terjadi, selanjutnya ancaman tersebut dapat dicari nilainya dengan menggunakan
persamaan matematis. Rumus untuk menghitung ancaman dan kelemahan
terhadap informasi adalah sebagai berikut (Sarno dan Iffano, 2009)
𝐍𝐢𝐥𝐚𝐢 𝐀𝐧𝐜𝐚𝐦𝐚𝐧 (𝐍𝐓) = ∑ 𝐏𝐎 / ∑ 𝐀𝐧𝐜𝐚𝐦𝐚𝐧
Dimana:
∑ 𝑃𝑂 = Jumlah Probability of Occurrence
∑ 𝐴𝑛𝑐𝑎𝑚𝑎𝑛 = Jumlah ancaman terhadap Informasi
2.9.3 Analisis dan Evaluasi Risiko
Merupakan tahapan melakukan analisis dan evaluasi risiko berdasarkan
hasil yang sudah diidentifikasi pada tahap sebelumnya untuk mengetahui dan
memahami sejauh mana level risiko yang bisa terjadi dan menganalisis apakah
Page 92
69
risiko tersebut bisa langsung diterima atau masih perlu dilakukan pengelolaan
supaya dampak risiko yang diterima masih bisa ditoleransi atau tidak (Sarno &
Iffano, 2009). Dalam analisis dan evaluasi risiko ini terdapat beberapa tahapan,
yaitu:
a. Melakukan analisis dampak bisnis (Business Impact Analysis / BIA)
Merupakan analisa dampak yang ditujukan seberapa besar dampak atau
pengaruh suatu risiko terhadap proses bisnis organisasi. Analisis dampak
bisnis dilakukan dengan menentukan skala BIA seperti pada tabel 2.9 di
bawah ini
Tabel 2. 9 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009)
Batas Toleransi
Gangguan Keterangan Nilai Skala
< dari 1 minggu Not critical 0 – 20
1 hari s/d 2 hari Minor critical 21 – 40
< 1 hari Mayor critical 41 – 60
< 12 jam High critical 61 – 80
< 1 jam Very high critical 81 – 100
b. Melakukan identifikasi level resiko (risk level)
Tahap ini dilakukan setelah tahap analisis dampak bisnis. Level risiko
adalah tingkat risiko yang timbul jika dihubungkan dengan dampak dan
probabilitas ancaman yang mungkin timbul (Sarno & Iffano, 2009).
Tahapan ini memiliki ketentuan yang diterima organisasi berdasarkan
hubungan probabilitas ancaman yang mungkin terjadi dan dampak yang
mungkin ada. Dalam mengidentifikasi level risiko dapat menggunakan
tabel 2.10 sebagai acuan:
Page 93
70
Tabel 2. 10 Matriks Level Risiko (Sarno & Iffano, 2009)
Probabilitas
Ancaman
Dampak Bisnis (Impact)
Not Critical
(20)
Low Critical
(40)
Medium
Critical
(60)
High
Critical
(80)
Very High
Critical
(100)
Low
(0.1)
Low
20 x 0.1 = 2
Low
40 x 0.1 = 4
Low
60 x 0.1 = 6
Low
80 x 0.1 = 8
Low
100 x 0.1 =
10
Medium
(0.5)
Low
20 x 0.5 = 10
Medium
40 x 0.5 = 20
Medium
60 x 0.5 = 30
Medium
80 x 0.5 = 40
Medium
100 x 0.5 =
50
High
(1.0)
Medium
20 x 1.0 = 20
Medium
40 x 1.0 = 40
High
60 x 1.0 = 60
High
80 x 1.0 = 80
High
100 x 1.0 =
100
c. Penilaian Risiko
Setelah melakukan identifikasi level risiko, langkah selanjutnya adalah
menentukan apakah resiko yang timbul langsung diterima atau dikelola.
Nilai risiko adalah gambaran dari seberapa besar akibat yang akan diterima
organisasi jika ancaman yang menyebabkan kegagalan keamanan
informasi terjadi (Sarno & Iffano, 2009). Dalam melakukan penilaian risiko
dapat dihitung dengan menggunakan metode matematis yaitu:
Nilai Resiko = NA x BIA x NT
Dimana:
NA = Nilai aset
BIA = Analisa dampak bisnis
NT = Nilai ancaman
Setelah melakukan penilaian risiko dengan menggunakan rumus matematis
diatas, selanjutnya nilai tersebut dihubungkan dengan matriks risiko yang
ada pada tahap sebelumnya untuk menentukan apakah risiko mungkin akan
Page 94
71
terjadi akan langsung dapat diterima atau memerlukan penanganan terlebih
dahulu.
2.10 Systems Security Engineering Capability Maturity Model (SSE-CMM)
SSE-CMM adalah model referensi proses yang berfokus pada
persyaratan untuk menerapkan keamanan dalam serangkaian sistem terkait
yang merupakan domain keamanan teknologi informasi. SSE-CMM adalah
suatu model untuk meningkatkan dan menilai kemampuan rekayasa
keamanan yang tidak dipraktikkan secara terpisah dari ilmu teknik lainnya.
SSE-CMM mempromosikan integrasi tersebut, mengambil pandangan
bahwa keamanan tersebar di semua ilmu teknik. Model ini pertama kali
dikembangkan oleh Carnegie Mellon University pada tahun 1995. Saat ini
versi SSE-CMM terbaru adalah Versi 3 yang dirilis pada tahun 2003 (CMU,
2003). Tujuan dari proyek SSE-CMM ini adalah untuk memajukan rekayasa
keamanan yang terdefinisi, matang, dan terukur. SSE-CMM dikembangkan
untuk memajukan praktik-praktik keamanan dengan tujuan meningkatkan
kualitas dan ketersediaan dan mengurangi biaya pengiriman sistem yang
aman, produk tepercaya, dan layanan rekayasa keamanan.
Level capability SSE-CMM (System Security Enginering Capability
Maturity Model) dan terdapat 5 tingkat dalam SSE-CMM yaitu (CMU,
2013):
1) Level 1 “Performed Informally”
Level 1 yaitu praktek dasar yang umumnya harus dilakukan. Kinerja
praktek dasar ini belum sepenuhnya direncanakan dan dilacak. Kinerja
Page 95
72
tergantung pada pengetahuan individu dan organisasi. Hasil kerja dari
level ini memberi hasil untuk kinerja organisasi. Hasil dari kinerja
diidentifikasi untuk proses selanjutnya.
2) Level 2 “Planned and Tracked”
Pada tingkat 2, kinerja sesuai prosedur yang sudah diverifikasi. Pada
level ini berfokus pada definisi, perencanaan, dan masalah kinerja
tingkat proyek. Hasil kerja sesuai dengan standar yang ditetapkan dan
sesuai dengan persyaratan. Perbedaannya dengan kinerja level 1 adalah
bahwa pada kinerja level 2 proses kinerja telah direncanakan dan
dikelola.
3) Level 3 “Well Defined”
Kinerja pada level ini berfokus pada penyesuaian disiplin dari proses
yang ditetapkan di tingkat organisasi. Level ini menggunakan
persetujuan, sesuai dengan standar yang telah ada, dan proses telah
didokumentasikan. Perbedaan utama kinerja level 3 dengan kinerja level
2 adalah bahwa proses kinerja ini direncanakan dan dikelola dengan
menggunakan proses standar organisasi.
4) Level 4 “Quantitatively Controlled”
Pada level ini berfokus pada pengukuran yang dikaitkan dengan tujuan
bisnis organisasi. Meskipun penting untuk mulai mengumpulkan dan
menggunakan langkah-langkah proyek dasar sejak dini, pengukuran dan
penggunaan data tidak diharapkan secara luas sampai tingkat yang lebih
tinggi telah dicapai. Langkah-langkah detail pada proses kinerja
Page 96
73
dikumpulkan dan dianalisis. Perbedaan dengan kinerja level 3 adalah,
bahwa proses kinerja level 4 didefinisikan, dipahami dan dikendalikan
secara kuantitatif.
5) Level 5 “Continously Improving”
Level 5 memperoleh pengungkitan dari semua peningkatan praktik
manajemen yang terlihat di tingkat sebelumnya, lalu menekankan
perubahan budaya yang akan mempertahankan hasil yang dibuat. Proses
perbaikan secara berkesinambungan ada karena umpan balik kuantitatif
dari melakukan proses yang telah didefinisikan. Perbedaan utama dari
kinerja proses level 4 adalah bahwa proses didefinisikan dan proses
yang telah sesuai standar menjalani perbaikan terus-menerus dan
dilakukan peningkatan, didasarkan pada pemahaman kuantitatif dari
dampak perubahan proses.
Tabel 2. 11 Capability Level SSE-CMM (CMU, 2013)
Keterangan Level
Performed Informally 1
Planned and Tracked 2
Well Defined 3
Quantitatively Controlled 4
Continously Improving 5
2.11 Pemetaan COBIT 5 dengan ISO 27001:2013
Pada tahun 2014 National Institute of Standards and Technology U.S
Department of Commerce membuat dokumen “Framework for Improving Critical
Infrastructure Cybersecurity Core” yang berisi persamaan proses atau klausul dari
beberapa framework keamanan informasi seperti COBIT 5, ISO/IEC 27001:2013,
NIST SP 800-53, CCS CSC, ISA 62443-2-1:2009, dan ISA 62443-3-3:2013.
Page 97
74
Tabel 2.12 di bawah ini adalah persamaan dari COBIT 5 Process dengan
Klausul Kontrol ISO 27001:2013. Namun COBIT 5 Process yang dipakai hanya
pada APO13 (Manage Security).
Tabel 2. 12 Pemetaan COBIT 5 dengan ISO 27001:2013 (NIST, 2014)
COBIT 5 Process ISO 27001:2013 Control Objective
APO13 Mengelola Keamanan
APO13.01 Establish and maintain an ISMS
(Menetapkan dan
Mempertahankan Sistem
Manajemen Keamanan Informasi)
A.6.1.5 Keamanan Informasi dalam
Manajemen Proyek
A.6.2.2 Teleworking
A.8.2.2 Pemberian Label Informasi
A.8.2.3 Penanganan aset
A.8.3.1 Pengelolaan media yang dapat
dilepas
A.8.3.3 Transfer media fisik
A.11.2.9 Hapus meja dan kebijakan layar
jernih
A.12.3.1 Backup Informasi
A.13.1.1 Kontrol Jaringan
A.13.2.1 Kebijakan dan prosedur
pengalihan informasi
A.14.1.1 Analisis dan spesifikasi
kebutuhan keamanan informasi
A.14.2.1 Kebijakan pengembangan yang
aman
A.14.2.5 Prinsip rekayasa sistem yang
aman
A.17.1.2 Menerapkan kontinuitas
keamanan informasi
A.17.1.3 Verifikasi, tinjau, dan evaluasi
keberlanjutan keamanan informasi
A.18.1.3 Perlindungan catatan
APO13.02 Define and manage on information
security risk treatment plan
(Menetapkan dan mengelola
rencana perawatan risiko
keamanan informasi)
A.6.1.1 Peran dan Tanggung Jawab
Keamanan Informasi
A.7.2.1 Tanggung Jawab Manajemen
A.14.2.8 Pengujian keamanan sistem
APO13.03 Monitor and review the ISMS
(Pantau dan Tinjau Sistem
Manajemen Keamanan Informasi)
Tabel 2.12 merupakan pemetaan proses COBIT 5 APO13 dengan klausul-
klausul yang ada pada ISO 27001:2013 menurut dokumen yang dibuat oleh
National Institute of Standards and Technology U.S Department of Commerce pada
tahun 2014. Penelitian yang dilakukan oleh Razieh Sheikhpor dan Nasser Modiri
Page 98
75
(2012) juga melakukan pemetaan proses COBIT terhadap kontrol manajemen
keamanan informasi pada ISO/IEC 27001. Versi COBIT yang digunakan adalah
COBIT 4.1 dan ISO/IEC 27001:2009.
Dari tabel di atas dapat dilihat bahwa pada beberapa klausul ISO/IEC
27001:2013 terdapat persamaan dengan aktivitas yang ada pada domain APO13.
Setelah melakukan tahap wawancara dan diskusi dengan pihak Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika Kabupaten
Bogor, terdapat beberapa kontrol keamanan ISO/IEC 27001:2013 yang tidak sesuai
dengan kondisi Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor. Oleh karena itu penulis memilih beberapa kontrol yang sesuai
dengan kondisi dan keinginan pihak Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor yang penulis lakukan bersama dengan Kepala
Seksi Pengembangan Aplikasi dan Data. Tabel 2.13 merupakan klausul yang
penulis gunakan dalam penelitian ini:
Tabel 2. 13 Klausul ISO/IEC 27001:2013 Yang Digunakan
Klausul Objektif Kontrol Kontrol Keamanan
7. Keamanan Sumber Daya
Manusia
7.1 Sebelum Bekerja 7.1.1 Penyaringan
7.2 Selama Bekerja 7.2.1 Tanggung Jawab
Manajemen
7.2.2 Kesadaran keamanan
informasi, pendidikan dan
pelatihan
8. Manajemen Aset A.8.1 Tanggung Jawab Untuk
Aset
8.1.1 Inventarisasi Aset
8.1.2 Kepemilikan Aset
8.2 Klasifikasi Informasi 8.2.1 Klasifikasi Informasi
9. Kontrol Akses 9.1 Kebutuhan Bisnis
terhadap Kontrol Akses
9.1.1 Kebijakan Kontrol Akses
9.1.2 Akses ke jaringan dan
layanan jaringan
11. Keamanan Fisik dan
Lingkungan
11.1 Area Aman 11.1.2 Kontrol masuk fisik
11.1.3 Mengamankan kantor,
ruangan, dan fasilitas
11.1.4 Pengamanan terhadap
ancaman eksternal dan
lingkungan
Page 99
76
11.2 Peralatan 11.2.2 Utilitas Pendukung
11.2.3 Keamanan Kabel
11.2.4 Pemeliharaan Peralatan
12 Keamanan Operasi 12.2 Perlindungan dari
Malware
12.2.1 Kontrol terhadap
Malware
12.3 Backup 12.3.1 Backup Informasi
13 Keamanan Komunikasi 13.1 Manajemen Keamanan
Jaringan
13.1.1 Kontrol Jaringan
16. Pengelolaan Insiden
Keamanan Informasi
16.1 Manajemen Insiden
Keamanan Informasi dan
Pebaikan
16.1.2 Pelaporan Peristiwa
keamanan informasi
16.1.3 Pelaporan kelemahan
keamanan informasi
16.1.4 Penilaian dan keputusan
tentang kejadian keamanan
informasi
16.1.5 Respon terhadap
insiden keamanan informasi
16.1.6 Belajar dari Insiden
Keamanan Informasi
Berdasarkan pemilihan kontrol keamanan pada tabel 2.13 yang sesuai
dengan kondisi dan keinginan dari Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor, maka apabila dipetakan menurut Domain
APO13 Manage Security akan menjadi seperti Tabel 2.14:
Tabel 2. 14 Pemetaan Domain APO13 dengan Kontrol ISO/IEC 27001:2013
COBIT 5 Process ISO 27001:2013 Control Objective
APO13 Mengelola Keamanan
APO13.01 Establish and maintain an ISMS
(Menetapkan dan
Mempertahankan Sistem
Manajemen Keamanan Informasi)
8.1.1 Inventarisasi Aset
8.1.2 Kepemilikan Aset
8.2.1 Klasifikasi Informasi
9.1.1 Kebijakan Kontrol Akses
12.3.1 Backup Informasi
16.1.5 Respon Terhadap Insiden Keamanan
Informasi
16.1.6 Belajar dari Insiden Keamanan
Informasi
APO13.02 Define and manage on information
security risk treatment plan
(Menetapkan dan mengelola
rencana perawatan risiko
keamanan informasi)
7.1.1 Penyaringan
7.2.1 Tanggung Jawab Manajemen
7.2.2 Kesadaran Keamanan Informasi,
Pendidikan, dan Pelatihan
12.2.1 Kontrol Terhadap Malware
16.1.4 Penilaian dan Keputusan tentang
Kejadian Keamanan Informasi
APO13.03 Monitor and review the ISMS
(Pantau dan Tinjau Sistem
Manajemen Keamanan Informasi)
9.1.2 Akses ke Jaringan dan Layanan
Jaringan
11.1.2 Kontrol Entri Fisik
11.1.3 Mengamankan Kantor, Ruangan,
dan Fasilitas
Page 100
77
11.1.4 Melindungi Terhadap Ancaman
Eksternal dan Lingkungan
11.2.2 Utilitas Pendukung
11.2.3 Keamanan Kabel
11.2.4 Pemeliharaan Peralatan
13.1.1 Kontrol Jaringan
16.1.2 Pelaporan Peristiwa Keamanan
Informasi
16.1.3 Pelaporan Kelemahan Keamanan
Informasi
Tabel 2.14 merupakan pemetaan Domain APO13-Manage Security dengan
kontrol keamanan ISO/IEC 27001:2013 yang penulis sesuaikan dengan kondisi
serta keinginan dari Bidang Penyelenggaraan E-Government Kabupaten Bogor.
Hasil pemetaan tersebut akan menjadi acuan penulis untuk menentukan responden
dalam pengisian kuisioner.
2.12 Metode Pengumpulan Data
2.12.1 Studi Pustaka
Studi Pustaka merupakan proses kegiatan menelaah dan membaca bahan-
bahan pustaka seperti buku – buku atau dokumen-dokumen, mempelajari dan
menilai prosedur dan hasil penelitian sejenis yang pernah dilakukan orang lain,
serta mempelajari laporan – laporan hasil observasi dan hasil survei tentang
masalah terkait dengan topik yang akan diteliti (Sanjaya, 2013).
2.12.2 Studi Lapangan
Studi lapangan merupakan studi yang dilakukan secara langsung ke
tempat penelitian dilakukan. Studi lapangan terdiri dari:
a. Observasi
Observasi atau pengamatan lebih dari sekadar mengamati lingkungan sekitar
untuk mendapatkan ide untuk penelitian, namun observasi adalah proses
melakukan pengukuran yang cermat dan akurat, yang merupakan fitur yang
Page 101
78
membedakan penyelidikan ilmiah yang dilakukan dengan baik. Ketika
melakukan pengukuran dalam konteks penelitian, para ilmuwan biasanya
mengambil tindakan pencegahan besar untuk menghindari melakukan
pengamatan yang bias (Marczyk, 2005). Data yang dikumpulkan peneliti
diambil dari hasil pengamatan secara langsung terhadap objek yang menjadi
bahan penelitian.
b. Wawancara
Wawancara merupakan teknik pengumpulan data dimana pewawancara dalam
mengumpulkan data mengajukan pertanyaan kepada yang diwawancarai
(Sugiyono, 2014). Wawancara termasuk ke dalam metode pengumpulan data
kualitatif. Pengumpulan data kualitatif ini disebut metode artistic karena dalam
prosesnya bersifat kurang terpola dan disebut juga metode interpretive karena
data penelitian cenderung merupakan hasil interpretasi terhadap data yang
ditemukan di lapangan (Sugiyono, 2013).
c. Kuisioner
Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara
memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden
untuk dijawabnya (Sugiyono, 2014). Dalam penelitian ini kuisioner termasuk
ke dalam metode pengumpulan data kualitatif. Pengumpulan data kualitatif ini
digunakan untuk meneliti populasi atau sampel tertentu yang memiliki
karakteristik tertentu yang ditetapkan oleh peneliti untuk dipelajari dan ditarik
kesimpulannya (Sugiyono, 2013).
Page 102
79
2.13 Kajian Penelitian Sebelumnya
Terdapat beberapa penelitian yang menggunakan framework COBIT,
menggunakan standar ISO 27001 atau menggunakan keduanya secara bersama.
Penggunaan framework COBIT 5 sudah banyak digunakan pada penelitian
sebelumnya untuk melakukan evaluasi tata kelola TI (Suminar et al., 2014; Fitroh,
et al., 2018; Putra, 2018). Sedangkan penelitian yang menggunakan standar ISO
27001 umumnya membahas tentang keamanan informasi (Bless et al., 2014;
Nurbojatmiko et al., 2016; Ritzkal, et al., 2016).
Pada penelitian yang dilakukan oleh Suminar et al. (2014) dilakukan dengan
menggunakan domain COBIT 5 yang fokusnya terhadap keamanan informasi yaitu
domain APO13 (Manage Security) dan domain DSS05 (Manage Security Service).
Sedangkan pada penelitian Fitroh et al. (2018) dan Putra (2018) terdapat kesamaan
yaitu menggunakan domain APO07 (Manage Human Resource) namun pada
penelitian Putra (2018) ditambahkan 4 domain lain yaitu EDM04 (Ensure Resource
Optimization), BAI09 (Manage Asset), DSS01 (Manage Operation), dan MEA01
(Monitor, Evaluate and Assess Performance and Conformance). Persamaan ketiga
penelitian tersebut adalah sama-sama menggunakan Process Assessment Model
(PAM) COBIT 5 yang terdiri dari tahap Initiation - Planning the Assessment –
Briefing - Data Collection - Data Validation - Process Attribute Level - Result &
Recommendation.
Pada penelitian yang dilakukan Bless et al. (2014), Nurbojatmiko (2015),
dan Ritzkal et al. (2016) memiliki fokus terhadap keamanan informasi, namun versi
ISO seri 27000 yang digunakan pada ketiga penelitian tersebut berbeda. Pada
Page 103
80
penelitian Bless et al. (2014) menggunakan ISO 27002 namun pada
implementasinya ditambah dengan menggunakan tahap initiation pada COBIT 4.1
untuk mencari hubungan antara domain COBIT dengan klausul ISO 27002 yang
digunakan. Klausul yang digunakan pada penelitian ini antara lain klausul 5
(kebijakan keamanan), klausul 6 (organisasi keamanan informasi), klausul 10
(manajemen komunikasi dan operasi), klausul 11 (kontrol akses), klausul 12
(akuisisi sistem informasi), klausul 13 (manajemen insiden keamanan informasi).
Persamaan dari penelitian yang dilakukan oleh Nurbojatmiko et al. (2015) dan
Ritzkal et al. (2016) adalah sama-sama menggunakan tahap plan-do-check-act
(PDCA). Perbedaan yang terdapat pada dua penelitian tersebut adalah, pada
penelitian yang dilakukan oleh Nurbojatmiko et al. (2015) menggunakan standar
ISO/IEC 27001:2013 dengan menggunakan 6 klausul antara lain klausul 7
(keamanan sumber daya manusia), klausul 8 (manajemen aset), klausul 9 (kontrol
akses), klausul 11 (keamanan fisik & lingkungan), klausul 12 (keamanan operasi),
klausul 16 (pengelolaan insiden). Sedangkan penelitian Ritzkal et al. (2016)
menggunakan standar ISO 27001:2005 dengan fokus klausul yang digunakan
adalah klausul 11 (kontrol akses).
Selain penelitian menggunakan COBIT atau menggunakan ISO 27001,
terdapat penelitian lain yang melakukan perbandingan antara beberapa standar
untuk mengukur keamanan informasi, keuntungan masing-masing standar, serta
keuntungan apabila digunakan secara bersama-sama (von Solms, 2005; Sahibudin,
et al., 2008; Mataracioglu & Ozkan, 2011; Susanto et al., 2011; Sheikhpour &
Modiri, 2012; Susanto, 2013; Haufe, et al., 2016). Dari hasil penelitian tersebut
Page 104
81
didapatkan hasil bahwa jika COBIT dikombinasikan dengan ISO 27001 dapat
memberikan keuntungan lebih bagi perusahaan terutama dalam mengelola
keamanan informasi.
Page 106
82
BAB III
METODOLOGI PENELITIAN
3.1 Metode Pengumpulan Data
Dalam penyusunan skripsi ini, peneliti membutuhkan data serta informasi
yang lengkap sebagai bahan untuk mendukung teori-teori yang telah dijelaskan
pada Bab sebelumnya, metode pengumpulan data yang digunakan mencakup studi
pustaka, studi lapangan yang terdiri dari observasi, wawancara, dan kuisioner, serta
studi literatur sejenis. Di bawah ini adalah penjelasan dari masing-masing tahapan
pengumpulan data yang ada pada penelitian ini
3.1.1 Studi Pustaka
Studi pustaka yang dilakukan penulis untuk mengumpulkan dan
mempelajari berbagai pustaka berupa buku, e-book, hasil penelitian terdahulu
dalam bentuk jurnal, dan situs di internet yang mencakup konsep tata kelola
teknologi informasi, konsep audit, tata kelola teknologi informasi berdasarkan
COBIT 5, audit keamanan berdasarkan ISO/IEC 27001:2013 serta referensi lain
terkait dengan COBIT 5 dan ISO/IEC 27001:2013. Peneliti melakukan studi
pustaka untuk memberikan gambaran bagaimana tahapan-tahapan yang ada pada
COBIT 5, tahapan pada ISO/IEC 27001:2013 serta untuk memberikan gambaran
apabila COBIT 5 dan ISO/IEC 27001:2013 digunakan bersama. Tabel 3.1
merupakan beberapa penelitian terdahulu yang terkait dengan audit keamanan
informasi:
Page 107
83
Tabel 3. 1 Referensi Literatur Sejenis
No Peneliti
(Tahun)
Judul Framework Tujuan Variabel Hasil
1. Bekti Maryuni
Susanto (2013)
Mengukur Keamanan
Informasi: Studi
Komparasi ISO 27002 Dan
NIST 800-55
ISO 27002
& NIST
800-55
Menyajikan perbandingan
dua standar untuk
mengukur keamanan
informasi yaitu ISO 27002
dan NIST 800-55.
Setiap standar atau framework memiliki
kelebihan dan kekurangannya masing-masing.
Standar yang akan digunakan harus sesuai
dengan kondisi tiap-tiap organisasi.
2. Ritzkal, Arief
Goeritno, A.
Hendri
Hendrawan
(2016)
Implementasi ISO/IEC
27001:2013 Untuk Sistem
Manajemen Keamanan
Informasi (SMKI) Pada
Fakultas Teknik UIKA-
Bogor
ISO/IEC
27001:2005
Memperoleh tingkat
keamanan pada jaringan
hotspot Fakultas Teknik
UIKA-Bogor
Klausul 11 (Kontrol Akses) Jaringan hotspot pada fakultas teknik UIKA
Bogor masuk kategori tidak aman sehingga perlu
dibuat prosedur pengelolaan jaringan hotspot.
3. Yulius C. N.
Bless, Gusti
Made Arya
Sasmita, A.A.
Kt. Agung
Cahyawan
(2014)
Audit Keamanan SIMAK
Berdasarkan ISO 27002
(Studi Kasus: FE UNUD)
ISO 27002 Menjamin agar SIMAK
dapat terus berjalan sesuai
dengan kebutuhan dan
kegunaannya.
Klausul 5 (Kebijakan Keamanan)
Klausul 6 (Organisasi Keamanan
Informasi)
Klausul 10 (Manajemen
Komunikasi dan Operasi)
Klausul 11 (Kontrol Akses)
Klausul 12 (Akuisisi Sistem
Informasi)
Klausul 13 (Manajemen Insiden
Keamanan Informasi)
Manajemen keamanan SIMAK pada Fakultas
Ekonomi Universitas Udayana berada pada
tingkat kematangan 3 yang berarti sudah terdapat
prosedur yang standar dan telah didefinisikan
secara baik..
4. Nurbojatmiko,
Aries Susanto,
Euis Shobariah
(2016)
Assessment of ISMS Based
On Standard ISO/IEC
27001:2013 at
DISKOMINFO Depok City
ISO/IEC
27001:2013
Merencanakan SMKI
berdasarkan standar
ISO/IEC 27001:2013 di
DISKOMINFO Kota
Depok
Klausul 7 (Keamanan Sumber
Daya Manusia)
Klausul 8 (Manajemen Aset)
Klausul 9 (Kontrol Akses)
Klausul 11 (Keamanan Fisik &
Lingkungan)
Klausul 12 (Keamanan Operasi)
Klausul 16 (Pengelolaan Insiden)
Hasil maturity level klausul 7 sebesar 1.25,
klausul 8 sebesar 1.58, klausul 9 sebesar 1.53,
klausul 11 sebesar 1.30, klausul 12 sebesar 1.26,
dan klausul 16 sebesar 1.20.
Page 108
84
5. Tolga
Mataracioglu &
Sevgi Ozkan
(2011)
Governing Information
Security in Conjunction
With COBIT and ISO
27001
COBIT &
ISO 27001
Untuk menghubungkan
dan memetakan antara
framework COBIT dan
ISO 27001 ketika
mengelola keamanan TI
suatu perusahaan.
Kedua framework tersebut memiliki kekurangan
ketika digunakan sendirian. Oleh karena itu
penggunaan COBIT dan dikombinasikan dengan
ISO 27001 diharapkan akan memberikan
keuntungan lebih bagi perusahaan terutama
dalam mengelola keamanan informasi.
6. Shamsul
Sahibudin,
Mohammad
Sharifi &
Masarat Ayat
(2008)
Combining ITIL, COBIT
and ISO/IEC 27002 in
Order to Design a
Comprehensive IT
Framework in
Organizations
ITIL,
COBIT &
ISO 27002
Mengusulkan kerangka
kerja yang komprehensif
dengan mengintegrasikan
tiga kerangka kerja umum
dan standar ke dalam
kerangka kerja TI yang
dapat digunakan di setiap
perusahaan.
Kombinasi ITIL, COBIT dan ISO / IEC 27002
dapat berharga untuk mencapai target organisasi.
Stakeholder dapat mempertimbangkan
penggunaan ITIL untuk mendefinisikan strategi,
rencana dan proses, menggunakan COBIT untuk
metrik, tolok ukur dan audit dan menggunakan
ISO / IEC 27002 untuk mengatasi masalah
keamanan untuk mengurangi risiko
7. Knut Haufe,
Ricardo
Colomo-
Palacios
Srdan
Dzombeta,
Knud Brandis
& Vladimir
Stantchev
(2016)
Security Management
Standards: A Mapping
ITIL,
COBIT &
ISO 27000
Untuk memetakan
mengenai proses SMKI
dengan standar
internasional yang diterima
secara luas untuk
Manajemen Keamanan
Informasi
Dengan menggunakan tiga standar tersebut
secara bersama dapat membantu para praktisi
untuk mengelola keamanan informasi secara
lebih efisien dan efektif.
8. Basie von
Solms (2005)
Information Security
governance: COBIT or
ISO 17799 or both?
COBIT &
ISO 17799
Untuk mengetahui
penggunaan COBIT dan
ISO 17799 yang saling
melengkapi sebagai
kerangka acuan untuk tata
kelola Keamanan
Informasi.
Komponen tata kelola Keamanan Informasi
COBIT memberikan panduan yang baik tentang
'apa' yang harus dilakukan untuk tata kelola
keamanan informasi, tetapi tidak terlalu detail
sejauh menyangkut 'bagaimana' melakukan tata
kelola keamanan informasi Sisi positif dari ISO
17799, di sisi lain adalah bahwa itu jauh lebih
rinci, memberikan panduan yang jauh lebih
langsung tentang 'bagaimana'.
Page 109
85
9. Razieh
Sheikhpour &
Nasser Modiri
(2012)
An Approach to Map
COBIT Processes to
ISO/IEC 27001
Information Security
Management Controls
COBIT &
ISO 27001
Menjelaskan pemetaan
antara proses COBIT ke
kontrol ISO / IEC 27001
untuk menyelidiki
penggunaan COBIT dan
ISO / IEC 27001 untuk
manajemen keamanan
informasi.
COBIT dan ISO/IEC 27001 dapat digunakan
bersama sebagai dasar untuk pengembangan
proses keamanan informasi yang baik. Pemetaan
ISO / IEC 27001 ke dalam proses COBIT
memungkinkan organisasi untuk
mempertahankan tingkat keamanan yang dapat
diterima, mengelola risiko secara efektif dan
mengurangi tingkat risiko secara keseluruhan.
10. Heru Susanto,
Muhammad
Nabil
Almunawar &
Yong Chee
Tuan (2011)
Information Security
Management System
Standards:
A Comparative Study of the
Big Five
ISO27001,
BS 7799,
PCIDSS,
ITIL &
COBIT
Menggambarkan dan
membandingkan kelima
standar manajemen
keamanan sistem
informasi.
Profil Standar, penginisiasi, kapan
mulai diperkenalkan, standar an
komponen, nama sertifikat, scope,
kegunaan
Setiap standar memiliki peran dan posisi masing-
masing dalam implementasikan manajemen
keamanan sistem informasi. ISO 27001 dan BS
7799 fokus pada keamanan sistem informasi
manajemen sebagai domain utama. PCIDSS
fokus pada keamanan informasi yang berkaitan
dengan transaksi bisnis. ITIL dan COBIT fokus
pada keamanan informasi dan hubungan dengan
manajemen proyek serta IT Governance.
11. Syopiansyah
Jaya Putra
(2018)
The process capability
model for governance of
the Election Organizer
Ethics Court system
COBIT 5 Menilai kondisi tingkat
kemampuan saat ini dan
yang diharapkan, analisis
kesenjangan dan
rekomendasi untuk tata
kelola SIPEPP yang baik.
EDM04 Ensure Resource
Optimization
APO07 Manage Human
Resource
BAI09 Manage Asset
DSS01 Manage Operation
MEA01 Monitor, Evaluate and
Assess Performance and
Conformance
Penelitian ini menunjukkan tingkat optimalisasi
sumber daya dan proses pemantauan kinerja
adalah level 2 (Managed Process) yang berarti
bahwa proses tersebut telah dicatat, diukur dan
sesuai dengan tujuan. Proses pengelolaan sumber
daya manusia, aset, dan operasi berada pada level
1 (Performed Process), yang berarti bahwa
kedua proses telah diterapkan pada tata kelola
SIPEPP.
12. Fitroh, Arbaiti
Damanik &
Asep Fajar
Firmansyah
(2018)
Strategies to Improve
Human Resource
Management using COBIT
5 For Data and
Information Centre of
Ministry of Agriculture of
Indonesia of Republic
COBIT 5 Melakukan evaluasi untuk
menemukan kondisi saat
ini mengenai SDM dan
memberikan rekomendasi
sebagai masukan bagi
Pusdatin untuk
menentukan rencana
Domain APO 07 (Manajemen SDM) Manajemen sumber daya manusia Pusdatin telah
bekerja pada level 3 yang berarti standarisasi
pengelolaan SDM telah diterapkan di Pusdatin.
Rekomendasinya adalah Pusdatin harus
membahas kompetensi karyawan sesuai dengan
persyaratan organisasi dan meningkatkan
keterampilan mereka dengan pelatihan yang
Page 110
86
strategis untuk
mengembangkan sumber
daya manusia.
tepat; serta mengelola beban kerja masing-
masing karyawan.
13. Suryo Suminar,
Fitroh & Suci
Ratnawati
(2014)
Evaluation of Information
Technology Governance
using COBIT 5 Framework
Focus APO13 and DSS05
in PPIKSN-BATAN
COBIT 5,
DSS05
Mengevaluasi keamanan
informasi unit TI BATAN APO13 (Manage Security)
DSS05 (Manage Security
Services)
Hasil dari penelitian ini adalah PJKKD pada
PPIKSN untuk nilai APO13 bernilai 1,96 dan
senilai 1,71. DSS05 dan APO13 pada tingkat
kemampuan 2. Artinya, proses DSS05 telah
dilakukan APO13 dan dikelola dengan cara yang
dapat dikelola. Adapun APO13 bernilai 2,96 dan
2,71 DSS05 bernilai atau keduanya pada level 3
kemampuan, dengan kata lain pada APO13 dan
DSS05 PPIKSN memiliki celah yaitu 1.
Page 111
87
Dari beberapa penelitian pada tabel 3.1 mayoritas hanya melakukan
penelitian tentang hubungan antara framework COBIT dan ISO/IEC 27001 secara
teori dan tidak disertai dengan contoh apabila diimplementasikan secara bersama.
Oleh karena itu dalam penelitian ini peneliti melakukan audit dengan
menggunakan framework COBIT 5 yaitu tahap Initiation yang ada pada
Assessment Process Activities untuk memetakan apakah Dinas Komunikasi dan
Informatika (DISKOMINFO) Kabupaten Bogor memiliki tujuan terkait
keamanan informasi. Setelah melakukan tahap initiation kemudian dilanjutkan
dengan menggunakan tahap plan-do-check-act (PDCA) yang sesuai dengan
standar ISO/IEC 27001:2013 karena standar ini fokus terhadap sistem manajemen
keamanan informasi.
3.1.2 Studi Lapangan
Studi lapangan dilakukan secara langsung di DISKOMINFO Kabupaten
Bogor di Jl. Tegar Beriman, Cibinong. Studi lapangan ini melingkupi:
a. Observasi
Observasi dilakukan pada Bidang Penyelenggaraan E-Goverment
DISKOMINFO Kabupaten Bogor yang bertempat di Jl. Tegar Beriman,
Cibinong. Peneliti melaksanakan observasi selama 8 bulan yaitu dimulai pada
18 April 2018 sampai dengan 7 November 2018. Pengumpulan data melalui
observasi dilakukan dengan melihat langsung bagaimana proses manajemen
keamanan informasi yang ada di DISKOMINFO Kab. Bogor. Kegiatan ini
dilakukan di bawah bimbingan Bapak Dendi selaku Kepala Seksi
Pengembangan Aplikasi dan Data pada Bidang Penyelenggaraan E-
Page 112
88
Government. Dari hasil observasi ini peneliti juga mendapatkan data berupa
visi, misi, tujuan organisasi, serta struktur organisasi yang berguna untuk
tahap Initiation dan tahap Plan-Do-Check-Act.
b. Wawancara
Wawancara dilakukan dengan cara tanya jawab langsung terkait
penelitian di Dinas Komunikasi dan Informatika Kab. Bogor. Wawancara ini
dilakukan pada:
Tabel 3. 2 Pelaksanaan Wawancara
No Tanggal Nama Jabatan
1. 25 April 2018 Bapak Dendi
Wahyudin, S.Ip
Kepala Seksi Pengembangan Aplikasi
dan Data
2. 16 Mei 2018 Bapak Dendi
Wahyudin, S.Ip
Kepala Seksi Pengembangan Aplikasi
dan Data
Hasil lengkap wawancara dapat dilihat pada Lampiran 1, namun secara
garis besar hasil yang diperoleh dari wawancara adalah gambaran umum dari
DISKOMINFO Kab. Bogor dan tugas dari Bidang Penyelenggaraan E-
Government. Selain itu dari hasil wawancara juga diketahui bagaimana
penerapan manajemen keamanan informasi di sana, serta insiden apa saja
yang pernah terjadi. Diketahui bahwa Bidang Penyelenggara E-Government
DISKOMINFO Kabupaten Bogor pernah mengalami insiden keamanan
sistem informasi yaitu kerusakan server dikarenakan usia server yang sudah
tua dan mengakibatkan data-data di server DISKOMINFO Kabupaten Bogor
hilang. Serta insiden lainnya adalah adanya hacking terhadap domain dan sub
domain website Kabupaten Bogor yang mengakibatkan berubahnya layout
domain dan sub domain website Kabupaten Bogor. Dari insiden tersebut,
Bapak Dendi menyarankan untuk melakukan audit keamanan sistem
Page 113
89
informasi pada DISKOMINFO Kab. Bogor karena sampai saat ini
DISKOMINFO Kab. Bogor belum pernah melakukan audit keamanan
informasi. Dari hasil wawancara tersebut dapat dipetakan juga kebutuhan
organisasi yang sesuai dengan proses yang ada pada COBIT 5 dan klausul
ISO 27001:2013.
c. Kuisioner
Kuisioner ini dilakukan setelah peneliti melakukan melakukan tahapan
Initiation yang ada pada sub bab 3.2.1.1, peneliti mendapatkan hasil domain
COBIT 5 yang sesuai dengan enterprise goals dan IT-Related Goals yaitu
APO13 (Manage Security). Domain APO13 ini berisi tentang Sistem
Manajemen Keamanan Informasi yang berhubungan dengan ISO/IEC
27001:2013. Namun karena DISKOMINFO Kabupaten Bogor ingin
melakukan sertifikasi ISO/IEC 27001:2013, maka peneliti menggunakan
tahapan Initiation yang ada Assessment Process Activities COBIT 5 dan
selanjutnya menggunakan tahap Plan-Do-Check-Act ISO/IEC 27001:2013.
Pelaksanan kuisioner ini berada pada tahap Check dan berdasarkan
standar yang terdapat pada ISO/IEC 27001: 2013 mengenai implementasi
pada keamanan aset dan pendekatan pada penekanan manajemen resiko dan
ISO/IEC 27002: 2013 mengenai petunjuk pelaksanaan sistem manajemen
keamanan informasi dan klausul dipilih berdasarkan nilai dari risiko
keamanan informasi Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor.
Page 114
90
3.2 Metode Analisis Data
Sub bab ini akan menjelaskan tentang metode yang peneliti gunakan untuk
menganalisis data yang didapatkan dari tahap pengumpulan data di atas. Tahap
pertama yang dilakukan adalah melakukan tahap Initiation dan dilanjutkan dengan
Metode Perencanaan SMKI berdasarkan ISO/IEC 27001:2013. Penjelasan masing-
masing tahapan akan dijelaskan di bawah ini
3.2.1 Assessment Process Activities
Peneliti menggunakan assessment process activites pada COBIT 5 yaitu
tahap initiation. Penjelasan tahap initiation dapat dilihat di bawah ini:
3.2.1.1 Initiation
Tahap ini merupakan bagian dari Assessment Process Activities yang
ada pada Process Assessment Model COBIT 5. Pada tahapan ini dilakukan
pengumpulan data primer berupa gambaran umum organisasi, visi, misi dan
tujuan organisasi. Dari data primer tersebut selanjutnya dilakukan analisis
terhadap hubungan enterprise goals dengan IT-related goals dan analisis IT-
related goals dengan domain COBIT 5. Hasil akhir dari tahapan ini adalah
terpilihnya domain COBIT 5 yang sesuai dengan kondisi organisasi yang di
dapat dari enterprise goals dan IT-related goals DISKOMINFO Kab. Bogor
adalah APO13 (Manage Security).
Pada APO13 terdapat RACI Chart yang peneliti gunakan untuk
menentukan responden untuk kuesioner. Di bawah ini adalah pemetaan
responden dengan RACI Chart APO13 yang sesuai dengan struktur
organisasi DISKOMINFO Kabupaten Bogor.
Page 115
91
Identifikasi RACI Chart APO13.01 (Menetapkan SMKI)
Tabel 3. 3 Responden Proses APO13.01
No Fungsional Struktur COBIT
Terkait
Jabatan
COBIT
Fungsional PPIKSN TI/
non TI
1 Chief Information Officer CIO Kabid Penyelenggaraan
E-Goverment TI
2 Head IT Administration HITA Kepala Seksi
Pengembangan Aplikasi
dan Data
TI
3 Information Security Manager ISM Kepala Seksi Persandian
dan Keamanan Informasi TI
Identifikasi RACI Chart APO13.02 (Penanganan Risiko Keamanan)
Tabel 3. 4 Responden Proses APO13.02
No Fungsional Struktur COBIT
Terkait
Jabatan
COBIT
Fungsional PPIKSN TI/
non TI
1 Chief Information Officer CIO Kabid Penyelenggaraan
E-Goverment TI
2 Head IT Administration HITA Kepala Seksi
Pengembangan Aplikasi
dan Data
TI
3 Information Security Manager ISM Kepala Seksi Persandian
dan Keamanan Informasi TI
Identifikasi RACI Chart APO13.03 (Meninjau SMKI)
Tabel 3. 5 Responden Proses APO13.03
No Fungsional Struktur COBIT
Terkait
Jabatan
COBIT
Fungsional PPIKSN TI/
non TI
1 Business Process Owner BPO Kabid Penyelenggaraan
E-Goverment
TI
2 Project Management Office PMO Kabid Penyelenggaraan
E-Goverment
TI
3 Chief Information Officer CIO Kabid Penyelenggaraan
E-Goverment
TI
4 Head Architec HA Kepala Seksi Infrastruktur
dan Teknologi TI
5 Head Development HD Kepala Seksi
Pengembangan Aplikasi
dan Data
TI
6 Head IT Operations HITO Kepala Seksi Infrastruktur
dan Teknologi TI
7 Head IT Administration HITA Kepala Seksi
Pengembangan Aplikasi
dan Data
TI
8 Service Manager SM Kepala Seksi Infrastruktur
dan Teknologi TI
Page 116
92
9 Information Security Manager ISM Kepala Seksi Persandian
dan Keamanan Informasi TI
10 Business Continuity Manager BCM Kabid Penyelenggaraan
E-Goverment TI
11 Privacy Officer PO Kepala Seksi Persandian
dan Keamanan Informasi TI
Berikut ini adalah daftar responden yang disesuaikan dengan RACI Chart
di atas:
Tabel 3. 6 Rekapitulasi RACI Chart APO13
No Responden Jumlah
1 Kabid Penyelenggaraan E-Goverment 1
2 Kepala Seksi Pengembangan Aplikasi dan Data 1
3 Kepala Seksi Persandian dan Keamanan Informasi 1
4 Kepala Seksi Infrastruktur dan Teknologi 1
Total 4
Tabel 3.6 menjadi acuan peneliti dalam menentukan responden
untuk menjawab pernyataan pada kuisioner yang dibuat berdasarkan panduan
implementasi ISO/IEC 27002:2013. Dalam membuat pernyataan kuisioner,
peneliti terlebih dahulu memilih objektif kontrol dan kontrol keamanan
informasi yang akan diterapkan di Bidang Penyelenggaraan E-Goverment
DISKOMINFO Kabupaten Bogor. Penjelasan mengenai pemilihan objektif
kontrol dan kontrol keamanan informasi terdapat pada sub bab 3.2.2.3.1. Dari
hasil pemilihan kontrol keamanan, peneliti kemudian memetakan kontrol
keamanan tersebut sesuai dengan rekapitulasi RACI Chart pada tabel 3.6.
Hasil pemetaan tersebut terdapat pada tabel 3.7 di bawah ini:
Tabel 3. 7 Pemetaan Responden dengan Kontrol Keamanan ISO/IEC 27001:2013
No Responden Kontrol Keamanan ISO
1. Kepala Bidang Penyelenggaraan
E-Government
7.1.1 Penyaringan
7.2.1 Tanggung Jawab Manajemen
7.2.2 Kesadaran Keamanan Informasi,
Pendidikan, dan Pelatihan
2. Kepala Seksi Pengembangan
Aplikasi dan Data
8.1.1 Inventarisasi Aset
8.1.2 Kepemilikan Aset
Page 117
93
8.2.1 Klasifikasi Informasi
9.1.1 Kebijakan Kontrol Akses
12.3.1 Backup Informasi
3. Kepala Seksi Infrastruktur dan
Teknologi
9.1.2 Akses ke Jaringan dan Layanan Jaringan
11.1.2 Kontrol Entri Fisik
11.1.3 Mengamankan Kantor, Ruangan, dan
Fasilitas
11.1.4 Melindungi Terhadap Ancaman Eksternal
dan Lingkungan
11.2.2 Utilitas Pendukung
11.2.3 Keamanan Kabel
11.2.4 Pemeliharaan Peralatan
13.1.1 Kontrol Jaringan
4. Kepala Seksi Persandian dan
Keamanan Informasi
12.2.1 Kontrol Terhadap Malware
16.1.2 Pelaporan Peristiwa Keamanan Informasi
16.1.3 Pelaporan Kelemahan Keamanan Informasi
16.1.4 Penilaian dan Keputusan tentang Kejadian
Keamanan Informasi
16.1.5 Respon Terhadap Insiden Keamanan
Informasi
16.1.6 Belajar dari Insiden Keamanan Informasi
Tabel 3.7 menjadi acuan peneliti dalam mengumpulkan data melalui
kuisioner. Peneliti menyesuaikan pembagian kuisioner sesuai dengan bidang
keahlian yang dimiliki oleh responden agar hasil yang didapatkan sesuai
dengan kondisi yang ada pada Bidang Penyelenggaraan E-Government Dinas
Komunikasi dan Informatika Kabupaten Bogor.
3.2.2 Metode Perencanaan Sistem Manajemen Keamanan Informasi
Setelah menemukan domain COBIT 5 yang sesuai dengan kondisi Dinas
Komunikasi dan Informatika Kab. Bogor, peneliti melanjutkan penelitian
menggunakan standar ISO/IEC 27001:2013 dikarenakan pihak DISKOMINFO
Kab. Bogor telah memiliki rencana melakukan sertifikasi ISO 27001:2013 dalam
Dokumen Rencana Strategis Tahun 2013-2018. Standar ISO/IEC 27001:2013
menggunakan model ini dalam membangun, mengimplementasi, memonitor,
mengkaji ulang, memelihara, serta melakukan pengembangan. Di dalam ISO
Page 118
94
27001:2013 terdapat tahap PDCA yang digunakan di dalam penelitian ini.
Penjelasan tentang masing-masing tahapan akan dijelaskan di bawah ini:
3.2.2.1 Tahapan Plan
3.2.2.1.1 Menentukan Ruang Lingkup SMKI
Pada tahapan ini, peneliti melakukan diskusi dengan Kepala
Seksi Pengembangan Aplikasi dan Data untuk membicarakan tentang
ruang lingkup SMKI yang akan dibangun. Pada tahapan ini keterlibatan
antara peneliti dan Kepala Seksi Pengembangan Aplikasi dan Data di
prioritaskan untuk membicarakan hal-hal yang dibutuhkan selama
penelitian dilaksanakan. Hal yang dibutuhkan dalam pengumpulan data
untuk menentukan ruang lingkup SMKI adalah sebagai berikut:
1. Mempelajari karakteristik DISKOMINFO Kabupaten Bogor mulai dari
profil, visi, misi serta tujuan yang ingin dicapai DISKOMINFO
Kabupaten Bogor.
2. Lokasi DISKOMINFO Kabupaten Bogor serta seberapa besar Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor. Selain itu peneliti juga mempelajari tugas pokok
serta struktur Bidang Penyelenggaraan E-Government.
3. Mengumpulkan informasi tentang aset-aset serta teknologi apa saja
yang dimiliki oleh Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor yang berupa aset informasi berupa
database dan aset infrastruktur yang dapat berupa Wi-Fi, CCTV, UPS,
server, fiber optic, switch, router. Ini berguna untuk mengumpulkan
Page 119
95
informasi yang dapat peneliti gunakan ketika melakukan penilaian
terhadap aset.
3.2.2.1.2 Membuat Kebijakan SMKI
Setelah menentukan ruang lingkup, selanjutnya adalah
membuat kebijakan keamanan informasi. Kebijakan keamanan informasi
ditulis untuk melindungi data organisasi dan menentukan strategi
manajemen untuk mengamankan data sensitif. Dalam membuat
kebijakan Sistem Keamanan Informasi, harus berisi pernyataan sebagai
berikut:
1. Definisi dari keamanan informasi, tinjauan serta prinsip-prinsip
keamanan informasi yang dapat digunakan untuk memandu semua
kegiatan yang akan diterapkan pada Bidang Penyelenggaraan E-
Goverment DISKOMINFO Kabupaten Bogor yang berkaitan dengan
keamanan informasi.
2. Kebijakan sistem manajemen keamanan informasi harus
mendefinisikan tanggung jawab, tugas umum dan khusus manajemen
keamanan informasi sehingga kebijakan tersebut dapat dipahami dan
dapat dijalankan pada Bidang Penyelenggaraan E-Goverment
DISKOMINFO Kabupaten Bogor.
3.2.2.2 Tahapan Do
Setelah tahapan plan dilakukan selanjutnya adalah melakukan
tahapan do yang merupakan upaya untuk mengimplementasikan hasil dari
tahap plan. Ada beberapa hal yang harus diperhatikan pada tahap do salah
Page 120
96
satunya adalah menanyakan kepada pihak Bidang Penyelenggaraan E-
Goverment DISKOMINFO Kabupaten Bogor apakah terdapat ancaman
terhadap aset serta melihat keadaan pengamanan terhadap aset secara
langsung. Untuk lebih jelasnya tentang apa saja yang ada pada tahapan do
dapat dilihat di bawah ini:
3.2.2.2.1 Melakukan identifikasi risiko
Langkah pertama yang dilakukan adalah melakukan
identifikasi risiko yang mungkin akan terjadi di Bidang Penyelenggaraan
E-Government DISKOMINFO Kabupaten Bogor, langkah untuk
melakukan identifikasi risiko adalah sebagai berikut:
a) Melakukan identifikasi aset yang telah dikumpulkan pada tahap plan
lalu aset tersebut kemudian dinilai berdasarkan tiga aspek keamanan
informasi yaitu: kerahasiaan (confidentiality), keutuhan (integrity),
dan ketersediaan (availability).
b) Tahap selanjutnya adalah melakukan identifikasi terhadap ancaman
dan kelemahan aset serta menghitung nilai dari ancaman dan
kelemahan tersebut terhadap aset yang dimiliki Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor
yang dapat mengganggu proses bisnis.
3.2.2.2.2 Analisis dan Evaluasi Risiko
Selanjutnya adalah melakukan analisis dan evaluasi risiko
berdasarkan hasil identifikasi dan penilaian aset serta identifikasi dan
penilaian ancaman dan kelemahan terhadap aset yang sudah dilakukan
Page 121
97
pada tahap sebelumnya. Analisis dan evaluasi risiko digunakan untuk
menentukan apakah risiko yang terjadi terhadap aset Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor
langsung diterima atau masih dilakukan pengelolaan (treatment) agar
risiko dapat diterima dengan dampak yang bisa ditoleransi. Terdapat
langkah-langkah untuk menganalisis dan mengevaluasi risiko antara lain:
a) Melakukan analisis terhadap dampak bisnis (Business Impact
Analysis) yang dapat ditimbulkan, analisis dampak bisnis dilakukan
dengan menentukan skala nilai BIA.
b) Melakukan identifikasi level risiko (Risk Level) yang bertujuan
untuk menilai tingkat risiko yang terjadi jika dihubungkan dengan
dampak bisnis dan probabilitas ancaman yang mungkin terjadi.
Untuk mengidentifikasi level risiko dapat mengacu pada matriks
level risiko.
c) Terakhir adalah menentukan risiko diterima atau perlu pengelolaan
risiko oleh Bidang Penyelenggaraan E-Government DISKOMINFO
Kab. Bogor, tahapan ini mengacu pada hasil identifikasi level risiko
sebelumnya. Namun pada tahap ini level risiko dihubungkan dengan
nilai aset yang sudah dihitung sebelumnya dengan menggunakan
aspek CIA.
3.2.2.3 Tahapan Check
Setelah mendapatkan hasil pengukuran risiko dan dampak bisnis
pada tahapan Do, tahap selanjutnya adalah tahapan Check, yaitu memilih
Page 122
98
objektif kontrol dan kontrol keamanan informasi yang akan diterapkan di
Bidang Penyelenggara E-Goverment DISKOMINFO Kabupaten Bogor.
3.2.2.3.1 Memilih Objektif Kontrol Keamanan Informasi
Pemilihan objektif kontrol dan kontrol keamanan harus
berdasarkan hasil penilaian terhadap risiko terhadap aset utama maupun
aset pendukung dan dampaknya terhadap organisasi yang sudah
dilakukan penilaian pada tahap sebelumnya.
3.2.2.3.2 Penilaian Maturity Level Menggunakan SSE-CMM
Dalam penilaian maturity level, peneliti menggunakan
System Security Engineering Capability Maturity Model (SSE-CMM)
Langkah-langkah yang dilakukan sebelum dalam melakukan penilaian
maturity level adalah sebagai berikut:
1. Pembuatan pernyataan
Setelah menentukan objektif kontrol dan kontrol keamanan
informasi apa saja yang akan diimplementasikan dari hasil
pengukuran risiko, selanjutnya peneliti membuat pernyataan
berdasarkan kontrol keamanan dari setiap objektif kontrol yang
dipilih untuk diterapkan di Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor. Pernyataan ini dibuat dan
disesuaikan berdasarkan standar ISO/IEC 27002:2013 yang berisi
panduan implementasi dari tiap kontrol keamanan yang dipilih.
Page 123
99
2. Penentuan nilai tingkat kemampuan
Untuk menilai level kemampuan keamanan pada tiap pernyataan
digunakan System Security Engineering Capability Maturity Level
(SSE-CMM).
Tabel 3. 8 Level Kemampuan SSE-CMM (CMU, 2013)
Tingkat
Kemampuan Deskripsi
1 Performed Informally (Dilakukan Informal)
2 Planned and Tracked (Direncanakan dan Dilacak)
3 Well Defined (Didefinisikan dengan Baik)
4 Quantitatively Controlled (Dikendalikan secara
kuantitatif)
5 Continously Improving (Ditingkatkan terus-
menerus)
3. Perhitungan Maturity Level
Nilai maturity level didapatkan dari rata-rata seluruh kontrol
keamanan yang telah dihitung level kemampuannya. Setiap klausul
memiliki beberapa objektif kontrol, dan setiap objektif kontrol
memiliki beberapa kontrol keamanan informasi dan rata-rata yang dari
kontrol keamanan itulah yang diambil untuk menghasilkan nilai
maturity level setiap objektif kontrol. Sedangkan nilai maturity level
tiap klausul diambil berdasarkan rata-rata objektif kontrol yang
digunakan yang pada klausul tersebut.
3.2.2.4 Tahapan Act
Tahap terakhir adalah tahapan Act, yang terdiri dari tahap
penelusuran bukti dan tahap pemberian rekomendasi.
Page 124
100
3.2.2.4.1 Penelusuran Bukti
Pada tahap ini dilakukan penelusuran bukti berdasarkan hasil
penilaian maturity level yang dilakukan pada tahap check. Ini bertujuan
untuk menyelaraskan hasil perhitungan maturity level agar sesuai dengan
kondisi sebenarnya dari keamanan informasi pada Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor. Serta
untuk mengetahui apakah ada gap antara kondisi saat ini dengan panduan
implementasi kontrol keamanan yang ada pada ISO/IEC 27002:2013.
3.2.2.4.2 Pemberian Rekomendasi
Tahap ini bertujuan untuk memberikan usulan perbaikan
serta pengembangan terhadap sistem manajemen keamanan informasi di
Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten
Bogor dengan memberikan rekomendasi sesuai dengan gap yang
ditemukan pada tahap penelusuran bukti. Rekomendasi yang diberikan
mengacu pada ISO/IEC 27002: 2013 yang berisi panduan implementasi
tiap kontrol keamanan yang ada pada ISO/IEC 27001: 2013.
3.3 Interpretasi Hasil dan Pembahasan
Pada tahap ini peneliti melakukan pembahasan dari hasil tahap-tahap yang
sudah dilakukan sebelumnya. Mulai dari pembahasan mengenai pemilihan domain
COBIT 5, perhitungan nilai risiko terhadap aset, penentuan klausul ISO/IEC
27001:2013, hasil perhitungan maturity level, rekomendasi dan usulan bagi Bidang
Penyelenggaraan E-Government DISKOMINFO Kab. Bogor, implikasi penelitian
serta keterbatasan studi.
Page 125
101
3.4 Kerangka Penelitian
Gambar 3. 1 Kerangka Penelitian
Page 127
102
BAB IV
HASIL AUDIT DAN INTERPRETASI HASIL
4.1 Gambaran Umum Organisasi
Sub bab ini akan menjelaskan gambaran umum dari Dinas Komunikasi dan
Informatika Kabupaten Bogor yang mencakup profil, visi dan misi, tugas pokok
serta struktur organisasi.
4.1.1 Profil Dinas Komunikasi dan Informatika Kab. Bogor
Dinas Komunikasi dan Informatika merupakan Dinas di Kabupaten Bogor
yang menyelenggarakan kewenangan urusan Pemerintahan di
bidang Komunikasi dan Informatika, sesuai undang-undang No.23 tahun 2014
tentang Pemerintahan Daerah. Berdasarkan Undang-undang tersebut pada Pasal
12 ayat (2) menyebutkan urusan komunikasi dan informatika merupakan Urusan
Pemerintahan Wajib yang tidak berkaitan dengan Pelayanan Dasar.
Untuk melaksanakan ketentuan Pasal 232 ayat (1) Undang Undang Nomor
23 Tahun 2014 tentang Pemerintahan Daerah, perlu menetapkan Peraturan
Pemerintah tentang Perangkat Daerah dan akhirnya pada tahun 2016 terbitlah
Peraturan Pemerintah Republik Indonesia Nomor 18 Tahun 2016
Tentang Perangkat daerah, dalam Peraturan Pemerintah ini setiap daerah
Kabupaten/Kota harus melakukan pemetaan intensitas urusan pemerintahan dan
penentuan beban kerja perangkat daerah berdasarkan indikator/kelas interval
sesuai urusan bidangnya masing.
Page 128
103
Setelah dilaksanakannya penilaian beban kerja perangkat daerah,
diskominfo Kabupaten Bogor mendapatkan skor 942 atau Dinas Tipe A dan
tertuang dalam Peraturan Menteri Komunikasi dan Informatika Republik
Indonesia Nomor 13 tahun 2016 tentang hasil pemetaan urusan pemerintahan
daerah di bidang komunikasi dan informatika. Selepas selesainya pemetaan
urusan perangkat daerah di Kabupaten Bogor, pada tanggal 23 Oktober 2016
terbitlah Peraturan Daerah Kabupaten Bogor Nomor 12 Tahun 2016 tentang
Pembentukan dan Susunan Perangkat Daerah dimana terdapat 36 Perangkat
Daerah dan 40 Kecamatan untuk menjalankan urusan/kewenangan yang di
berikan kepada daerah.
Setelah Perda tersebut disahkan maka setiap dinas harus menyusun SOTK
(Susunan Organisasi dan Tata Kerja) masing-masing Dinas. Pada tanggal 14
Desember 2016 ditetapkanlah SOTK tersebut dalam Peraturan Bupati Bogor
Nomor 57 Tahun 2016 tentang Kedudukan, Susunan Organisasi, Tugas dan
Fungsi serta Tata Kerja Dinas Komunikasi dan Informatika Dalam Perbup
tersebut Dinas Komunikasi dan Informatika melaksanakan urusan pemerintahan
di Bidang Komunikasi dan Informatika dan ditambah urusan Bidang Persandian.
Diskominfo Kabupaten Bogor terdiri dari 1 sekretariat (3 Subag) dan 3 Bidang
dimana masing-masing Bidangnya membawahi 3 Seksi dan UPT radio dan
televisi masih tetap berada di bawah naungan Dinas Komunikasi dan Informatika
Kabupaten Bogor.
Page 129
104
4.1.2 Visi, Misi, Strategi, dan Kebijakan DISKOMINFO Kabupaten Bogor
A. Visi
Sehubungan dengan Visi dan Misi yang dimiliki oleh Kabupaten
Bogor yaitu “Kabupaten Bogor Menjadi Kabupaten Termaju di
Indonesia” maka Visi dan Misi Dinas Komunikasi dan Informatika
Kabupaten Bogor mengacu pada Visi dan Misi Kabupaten Bogor.
B. Misi
Sedangkan Misi dari Kabupaten Bogor antara lain:
1. Meningkatkan kesalehan sosial dan kesejahteraan masyarakat
2. Meningkatkan daya saing perekonomian masyarakat dan
pengembangan usaha berbasis sumber daya alam dan pariwisata
3. Meningkatkan integrasi, koneksitas, kualitas dan kuantitas
infrastruktur wilayah dan pengelolaan lingkungan hidup yang
berkelanjutan
4. Meningkatkan aksesibilitas dan kualitas penyelenggaraan
pendidikan dan pelayanan kesehatan
5. Meningkatkan kinerja penyelenggaraan pemerintahan dan
kerjasama antar daerah dalam kerangka tata kelola pemerintahan
yang baik.
C. Tujuan
Dinas Komunikasi dan Informatika Kabupaten Bogor memiliki
tujuan yang diselaraskan dengan Visi dan Misi Kabupaten Bogor.
Tujuan Dinas Komunikasi dan Informatika Kabupaten Bogor adalah
Page 130
105
“Meningkatkan Penyelenggaraan Informasi dan Komunikasi
Publik, Aplikasi, dan Informatika dan Persandian yang
Transparant, Akuntabel, Efisien dan Efektif.”
D. Sasaran
Sasaran yang ditetapkan oleh Dinas Komunikasi dan Informatika
Kabupaten Bogor juga diselaraskan dengan Visi dan Misi Kabupaten
Bogor. Sasaran yang ingin dicapai oleh DISKOMINFO Kab. Bogor
adalah “Meningkatnya Tata Pemerintahan Daerah di semua bidang
Komunikasi dan Informatika yang Trasparant, Akuntabel, Efisien dan
Efektif.”
E. Kebijakan Dinas Komunikasi dan Informatika
Kebijakan yang dilakukan oleh Dinas Komunikasi dan
Informatika dalam menyikapi isu-isu strategis adalah sebagai berikut:
Kebijakan 1:
a. Mewujudkan sumber Daya aparatur yang profesioal dengan
menerapkan prinsip-prinsip Good Governance.
b. Mewujudkan kinerja dinas yang akutabel dalam pelayanan publik
dibidang komunikasi dan informatika dan bidang persandian.
Kebijakan 2:
a. Pembangunan Prasarana jaringan intranet dan internet yang
mendukung koneksitas dan integritas data di Kabupaten Bogor.
Page 131
106
Kebijakan 3:
a. Pembangunan dan Penggunaan Teknologi Informasi untuk
penyediaan dan Pelayanan Informasi kepada masyarakat luas.
b. Pembangunan Jaringan Informasi untuk mendukung Komunikasi
dan pertukaran informasi online dan mewujudkan basis informasi
yang terintegrasi.
Kebijakan 4:
a. Peningkatan hubungan yang harmonis antara Pemerintah Daerah,
Media Massa dan Masyarakat.
b. Peningkatan peran hubungan masyarakat seluruh lembaga
Komunikasi dan Informatika dalam menciptakan image positif
Pemerintah Daerah.
4.1.3 Tugas Pokok dan Fungsi DISKOMINFO Kab. Bogor
Berikut adalah penjelasan tugas pokok dan fungsi yang ada pada Dinas
Komunikasi dan Informatika Kabupaten Bogor
1. Kepala Dinas
Sebagai kepala dinas yang ditunjuk langsung oleh Bupati Bogor,
maka Kepala Dinas Komunikasi dan Informatika Kabupaten Bogor
memiliki tugas sebagai berikut:
a. Membantu Bupati dalam melaksanakan urusan pemerintahan di
bidang komunikasi dan informatika dan bidang persandian, serta
tugas pembantuan;
Page 132
107
b. Perumusan kebijakan di bidang komunikasi dan informatika dan
bidang persandian;
c. Pelaksanaan kebijakan di bidang komunikasi dan informatika
dan bidang persandian;
d. Pelaksanaan monitoring, evaluasi dan pelaporan di bidang
komunikasi dan informatika dan bidang persandian;
e. Pelaksanaan administrasi Dinas;
f. Pelaksanaan fungsi lain yang diberikan oleh Bupati sesuai
dengan bidang tugasnya.
2. Sekretariat
Sekretariat mempunyai tugas membantu dan bertanggung jawab
kepada Kepala Dinas dalam melaksanakan pengelolaan kesekretariatan
Dinas. Lalu fungsi dari sekretariat antara lain:
a. Pengoordinasian penyusunan program, monitoring, evaluasi
dan pelaporan Dinas
b. Pengelolaan rumah tangga, tata usaha dan kepegawaian Dinas;
c. Pengoordinasian penyusunan rancangan produk hukum;
d. Penyusunan kebijakan penataan organisasi Dinas;
e. Pengelolaan keuangan Dinas;
f. Pengelolaan situs web Dinas;
g. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai
dengan bidang tugasnya.
Page 133
108
Dalam pelaksanaan tugas pokok dan fungsinya, secretariat dipimpin
oleh Sekretaris dan membawahi 3 Sub Bagian sebagai berikut:
1) Sub Bagian Program dan Pelaporan;
2) Sub Bagian Umum dan Kepegawaian;
3) Sub Bagian Keuangan.
3. Sub Bagian Program dan Pelaporan
Sub Bagian Program dan Pelaporan memiliki tugas membantu
sekretaris dalam melaksanakan pengelolaan dan penyusunan program
dan pelaporan Dinas. Sedangkan untuk fungsi Sub Bagian Program dan
Pelaporan antara lain:
a. Penyiapan bahan pengoordinasian penyusunan program,
monitoring, evaluasi dan pelaporan Dinas;
b. Pelaksanaan pengelolaan hubungan masyarakat;
c. Pengelolaan penyusunan anggaran Dinas;
d. Pengelolaan situs web Dinas;
e. Pelaksanaan fungsi lain yang diberikan pimpinan sesuai dengan
bidang tugasnya.
4. Sub Bagian Umum dan Kepegawaian
Sub Bagian Umum dan Kepegawaian memiliki tugas membantu
sekretaris dalam melaksanakan pengelolaan rumah tangga, tata usaha
dan administrasi kepegawaian Dinas. Sedangkan fungsi dari Sub Bagian
Umum dan Kepegawaian antara lain:
a. Pengelolaan rumah tangga dan tata usaha Dinas;
Page 134
109
b. Pengelolaan barang/jasa Dinas;
c. Penyiapan bahan penyusunan rancangan produk hukum;
d. Penyiapan bahan penyusunan kebijakan penataan organisasi
Dinas;
e. Pengelolaan layanan administrasi kepegawaian Dinas;
f. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai
dengan bidang tugasnya.
5. Sub Bagian Keuangan
Sub Bagian Keuangan memiliki tugas membantu sekretaris dalam
melaksanakan pengelolaan keuangan Dinas. Sedangkan fungsi dari Sub
Bagian Keuangan antara lain:
a. Penatausahaan keuangan Dinas;
b. Penyusunan pelaporan keuangan Dinas;
c. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai
dengan bidang tugasnya.
6. Bidang Pengelolaan Informasi dan Komunikasi Publik
Bidang Pengelolaan Informasi dan Komunikasi Publik mempunyai
tugas membantu Kepala Dinas dalam penyusunan dan pelaksanaan
kebijakan, penyusunan norma, standar prosedur dan kriteria, dan
pemberian bimbingan teknis dan supervisi, serta pemantauan,
evaluasi,dan pelaporan penyediaan konten lintas sektoral, pengelolaan
media komunikasi publik, pengelolaan informasi untuk mendukung
kebijakan nasional dan pemerintah daerah, pengelolaan opini dan
Page 135
110
aspirasi publik di lingkup pemerintah daerah serta pelayanan informasi
publik di daerah.
Untuk menyelenggarakan tugas sebagaimana dimaksud, Bidang
Pengelolaan Informasi dan Komunikasi Publik mempunyai fungsi:
a. Penyusunan kebijakan penyediaan konten lintas sektoral,
pengelolaan media komunikasi publik, pengelolaan informasi
untuk mendukung kebijakan nasional dan pemerintah daerah,
Pengelolaan opini dan aspirasi publik serta pelayanan informasi
publik di daerah;
b. Pelaksanaan kebijakan penyediaan konten lintas sektoral,
pengelolaan media komunikasi publik, pengelolaan informasi
untuk mendukung kebijakan nasional dan pemerintah daerah,
pengelolaan opini dan aspirasi publik serta pelayanan informasi
publik di daerah;
c. Penyusunan norma, standar, prosedur, dan kriteria
penyelenggaraan penyediaan konten lintas sektoral,
pengelolaan media komunikasi publik, pengelolaan informasi
untuk mendukung kebijakan nasional dan pemerintah daerah,
pengelolaan opini dan aspirasi publik serta pelayanan informasi
publik di daerah;
d. Pemberian bimbingan teknis dan supervisi penyediaan konten
lintas sektoral, pengelolaan media komunikasi publik,
pengelolaan informasi untuk mendukung kebijakan nasional
Page 136
111
dan pemerintah daerah, pengelolaan opini dan aspirasi publik di
lingkup pemerintah daerah serta pelayanan informasi publik di
daerah;
e. Pemantauan, evaluasi, dan pelaporan penyediaan konten lintas
sektoral, pengelolaan media komunikasi publik, pengelolaan
informasi untuk mendukung kebijakan nasional dan pemerintah
daerah, pengelolaan opini dan aspirasi publik di lingkup
pemerintah daerah serta pelayanan informasi publik di daerah;
f. Pelaksanaan monitoring, evaluasi dan penyusunan pelaporan
Bidang Pengelolaan Informasi dan Komunikasi Publik; dan
g. Pelaksanaan fungsi lain yang diberikan oleh pimpinan sesuai
dengan bidang tugasnya.
Dalam melaksanakan tugas pokok dan fungsinya, Bidang
Pengelolaan Informasi dan Komunikasi Publik dipimpin oleh seorang
Kepala Bidang dan membawahi 3 Kepala Seksi sebagai berikut:
1) Seksi Media Publik
2) Seksi Pengelolaan Informasi
3) Seksi Layanan Informasi Publik
7. Bidang Penyelenggaraan E-Government
Bidang Penyelenggaraan E-Government mempunyai tugas
membantu Kepala Dinas dalam penyusunan dan pelaksanaan kebijakan,
penyusunan norma, standar, prosedur dan kriteria, dan pemberian
bimbingan teknis dan supervisi, serta pemantauan, evaluasi, dan
Page 137
112
pelaporan layanan infrastruktur dasar data center, disaster recovery
center dan Teknologi, Informasi dan Komunikasi (TIK) pemerintah
daerah, layanan pengembangan intranet dan penggunaan akses internet,
layanan pengembangan dan pengelolaan aplikasi generik, spesifik dan
suplemen yang terintegrasi, layanan manajemen data informasi e-
Government, Integrasi layanan publik dan kepemerintahan, persandian
dan layanan keamanan informasi e-Government dan layanan sistem
kornunikasi intra pemerintah daerah.
Untuk menyelenggarakan tugas sebagaimana dimaksud, Bidang
Penyelenggaraan E-Government mempunyai fungsi:
a. Penyusunan kebijakan layanan infrastruktur dasar data center,
disaster recovery center dan Teknologi, Informasi dan
Komunikas (TIK) pemerintah daerah, layanan pengernbangan
intranet dan penggunaan akses internet, layanan pengembangan
dan pengelolaan aplikasi generik, spesifik dan suplemen yang
terintegrasi, layanan manajemen data informasi e-Government,
Integrasi layanan publik dan kepemerintahan, persandian dan
layanan keamanan informasi e-Government, dan layanan sistem
komunikasi intra pemerintah daerah;
b. Pelaksanaan kebijakan layanan infrastruktur dasar data center,
disaster recovery center dan Teknologi, Informasi dan
Komunikasi (TIK) pemerintah daerah, layanan pengembangan
intranet dan penggunaan akses internet, layanan pengembangan
Page 138
113
dan pengelolaan aplikasi generik, spesifik dan suplemen yang
terintegrasi, layanan manajemen data informasi e-Government,
Integrasi layanan publik dan kepemerintahan, persandian dan
layanan keamanan informasi e-Government, dan layanan sistem
komunikasi intra pemerintah daerah;
c. Penyusunan norma, standar, prosedur, dan kriteria
Penyelenggaraan layanan infrastruktur dasar data center,
disaster recovery center dan Teknologi, Informasi dan
Komunikasi (TIK) pemerintah daerah, layanan pengembangan
intranet dan penggunaan akses internet, layanan pengembangan
dan pengelolaan aplikasi generik, spesifik dan suplemen yang
terintegrasi, layanan manajemen data informasi e-Government,
Integrasi layanan publik dan kepemerintahan, persandian dan
layanan keamanan informasi e-Government, dan layanan sistem
komunikasi intra pemerintah daerah;
d. Pemberian bimbingan teknis dan supervisi layanan infrastruktur
dasar data center, disaster recovery center dan Teknologi,
Informasi dan Kornunikas (TIK) pemerintah daerah, layanan
pengernbangan intranet dan penggunaan akses internet, layanan
pengembangan dan pengelolaan aplikasi generik, spesifik dan
suplemen yang terintegrasi, layanan manajemen data informasi
e-Government, Integrasi layanan publik dan kepemerintahan,
Page 139
114
persandian dan layanan keamanan informasi e-Government, dan
layanan sistem komunikasi intra pemerintah daerah;
e. Pemantauan, evaluasi, dan pelaporan layanan infrastruktur dasar
data center, disaster recovery center dan Teknologi, Informasi
dan Komunikasi (TIK) pemerintah daerah, layanan
pengembangan intranet dan penggunaan akses internet, layanan
pengembangan dan pengelolaan aplikasi generik, spesifik dan
suplemen yang terintegrasi, layanan manajemen data informasi
e-Government, Integrasi layanan publik dan kepemerintahan,
persandian dan layanan keamanan informasi e-Government, dan
layanan sistem komunikasi intra pemerintah daerah;
f. Pelaksanaan monitoring, evaluasi dan penyusunan pelaporan
Bidang Penyelenggaraan e-Government.
Dalam melaksanakan tugas pokok dan fungsinya Bidang
Penyelenggaraan E-Government dipimpin oleh seorang Kepala Bidang
dan membawahi 3 Kepala Seksi sebagai berikut:
1) Seksi Infrastruktur dan Teknologi;
2) Seksi Pengembangan Aplikasi dan Data;
3) Seksi Persandian dan Keamanan Informasi.
8. Bidang Layanan Komunikasi dan Informatika
Bidang Layanan Komunikasi dan Informatika mempunyai tugas
membantu Kepala Dinas dalam penyusunan dan pelaksanaan kebijakan,
penyusunan norma, standar, prosedur dan kriteria, dan pembenan
Page 140
115
bimbingan teknis dan supervisi, serta pemantauan, evaluasi, dan
pelaporan layanan hubungan media, penguatan kapasitas sumber daya
komunikasi publik dan penyediaan akses informasi, pengembangan
sumber daya Teknologi, Informasi dan Komunikasi (TIK) pemerintah
dan masyarakat di daerah, penyelenggaraan Government Chief
Information Officer (GCIO) pemerintah daerah, penyelenggaraan
ekosistem TIK smart city di daerah, layanan nama domain dan sub
domain bagi lembaga, serta pelayanan publik dan kegiatan daerah.
Untuk menyelenggarakan tugas sebagaimana dimaksud, Bidang
Layanan Komunikasi dan Informatika mempunyai fungsi:
a. Penyusunan kebijakan layanan hubungan media, penguatan
kapasitas sumber daya komunikasi publik dan penyediaan akses
informasi, pengembangan sumber daya Teknologi, Informasi
dan Komunikasi (TIK) pemerintah dan masyarakat di daerah,
penyelenggaraan Government Chief Information Officer
(GCIO) pemerintah daerah, penyelenggaraan ekosistem TIK
smart city di daerah, layanan nama domain dan sub domain bagi
lembaga, serta pelayanan publik dan kegiatan daerah;
b. Pelaksanaan kebijakan layanan hubungan media, penguatan
kapasitas sumber daya komunikasi publik dan penyediaan akses
informasi, pengembangan sumber daya Teknologi, Informasi
dan Komunikasi (TIK) pemerintah dan masyarakat di daerah,
penyelenggaraan Government Chief Information Officer
Page 141
116
(GCIO) pemerintah daerah, penyelenggaraan ekosistem TIK
smart city di daerah, layanan nama domain dan sub domain bagi
lembaga, serta pelayanan publik dan kegiatan daerah;
c. Penyusunan norma, standar, prosedur, dan kriteria
penyelenggaraan layanan hubungan media, penguatan kapasitas
sumber daya komunikasi publik dan penyediaan akses
informasi, pengembangan sumber daya Teknologi, Informasi
dan Komunikasi (TIK) pemerintah dan masyarakat di daerah,
penyelenggaraan Government Chief Information Officer
(GCIO) pemerintah daerah, penyelenggaraan ekosistem TIK
smart city di daerah, layanan nama domain dan sub domain bagi
lembaga, serta pelayanan publik dan kegiatan daerah;
d. Pemberian bimbingan teknis dan supervisi layanan hubungan
media, penguatan kapasitas sumber daya komunikasi publik dan
penyediaan akses informasi, pengembangan sumber daya
Teknologi, Informasi dan Komunikasi (TIK) pemerintah dan
masyarakat di daerah, penyelenggaraan Government Chief
Information Officer (GCIO) pemerintah daerah,
penyelenggaraan ekosistem TIK smart city di daerah, layanan
nama domain dan sub domain bagi lembaga, serta pelayanan
publik dan kegiatan daerah;
e. Pemantauan, evaluasi, dan pelaporan layanan hubungan media,
penguatan kapasitas sumber daya komunikasi publik dan
Page 142
117
penyediaan akses informasi, pengembangan sumber daya
Teknologi, Informasi dan Komunikasi (TIK) pemerintah dan
masyarakat di daerah, penyelenggaraan Government Chief
Information Officer (OCIO) pemerintah daerah,
penyelenggaraan ekosistem TIK smart city di daerah, layanan
nama domain dan sub domain bagi lemoaga, serta pelayanan
publik dan kegiatan daerah; dan
f. Pelaksanaan monitoring, evaluasi dan penyusunan pelaporan
Bidang Layanan Komunikasi dan Informatika.
Dalam melaksanakan tugas pokok dan fungsinya Bidang Layanan
Komunikasi dan Informatika dipimpin oleh seorang Kepala Bidang dan
membawahi 3 Kepala Seksi sebagai berikut:
1) Seksi Hubungan Masyarakat dan Media Massa
2) Seksi Pengelolaan Sumber Daya dan Layanan Publik
3) Seksi Layanan Tata Kelola E-Government
9. Jabatan Fungsional Arsiparis
Arsiparis mempunyai tugas pokok menata, menyusun dan
mengamankan arsip Dinas Komunikasi dan Informatika Daerah
Kabupaten Bogor.
Page 143
118
4.1.4 Logo Dinas Komunikasi dan Informatika Kab. Bogor
Gambar 4.1 merupakan logo Dinas Komunikasi dan Informatika Kabupaten
Bogor:
Gambar 4. 1 Logo Dinas Komunikasi dan Informatika Kab. Bogor
4.1.5 Struktur Organisasi Dinas Komunikasi dan Informatika Kab. Bogor
Gambar 4.2 merupakan struktur organisasi Dinas Komunikasi dan
Informatika Kabupaten Bogor:
Gambar 4. 2 Struktur Organisasi DISKOMINFO Kab. Bogor
Selain struktur Dinas Komunikasi dan Informatika Kabupaten Bogor secara
keseluruhan, penulis juga memetakkan struktur organisasi yang ada di Bidang
Page 144
119
Penyelenggaraan E-Government yang terdiri dari 3 Seksi yaitu Seksi Infrastruktur
dan Teknologi, Seksi Pengembangan Aplikasi dan Data serta Seksi Persandian
dan Keamanan Informasi. Gambar 4.3 merupakan struktur dari Seksi
Pengembangan Aplikasi dan Data dan gambar 4.4 merupakan struktur dari Seksi
Infrastruktur dan Teknologi
Gambar 4. 3 Struktrur Seksi Pengembangan Aplikasi dan Data
Gambar 4. 4 Struktur Seksi Infrastruktur dan Teknologi
4.2 Assessment Process Activities COBIT 5
Dalam penelitian ini penulis menggunakan Initiation yang ada pada
Assessment Process Activities COBIT 5. Hasil serta pembahasan dari Initiation
dapat dilihat di bawah ini
4.2.1 Initiation
Di bawah ini merupakan pembahasan dari tahap Initiation yang hanya terdiri
dari satu tahap yaitu menjabarkan fokus area menurut COBIT 5.
Page 145
120
4.2.1.1 Fokus Area COBIT 5
Pada tahap ini dilakukan penetapan lingkup audit yang akan
dilakukan di Bidang Penyelenggaraan E-Government Dinas Komunikasi
dan Informatika Kabupaten Bogor berdasarkan identifikasi masalah yang
ada agar dapat dipetakan sehingga diperoleh domain proses COBIT 5 yang
akan diaudit. Berdasarkan tujuan jangka menengah Dinas Komunikasi dan
Informatika Kab. Bogor yaitu “Meningkatkan Penyelenggaraan
Informasi dan Komunikasi Publik, Aplikasi, dan Informatika dan
Persandian yang Transparant, Akuntabel, Efisien dan Efektif” terdapat
beberapa enterprise goals COBIT 5 yang sesuai dengan tujuan Dinas
Komunikasi dan Informatika, yaitu:
1) Compliance with external laws and regulations (Mematuhi hukum
dan peraturan eksternal)
Untuk mencapai tujuan penyelenggaraan yang transparan,
akuntabel, efisien, dan efektif maka perlu adanya kepatuhan terhadap
peraturan eksternal organisasi seperti peraturan pemerintah. Terlebih
lagi Dinas Komunikasi dan Informatika Kab. Bogor bertanggung
jawab terhadap Bupati Bogor sehingga harus mematuhi peraturan
bupati yang telah ditetapkan dalam melakukan kegiatan
operasionalnya.
2) Financial transparency (Transparansi keuangan)
Transparansi keuangan juga dibutuhkan dalam mencapai tujuan
tersebut. Dengan transparansi keuangan dapat membuat kepercayaan
Page 146
121
publik terhadap lembaga pemerintahan menjadi meningkat karena
masyarakat dapat mengetahui berapakah anggaran yang disediakan
dan digunakan dalam bidang komunikasi dan informatika di
Kabupaten Bogor. Sehingga apabila terdapat kelebihan atau
kekurangan anggaran, maka masyarakat dapat turut serta
memberikan masukkan kepada Pemerintah Kabupaten Bogor.
3) Optimisation of service delivery costs (Optimalisasi biaya
pengiriman layanan)
Dengan berkembangannya teknologi dan media sosial maka
dapat mengurangi biaya dalam melakukan sosialisai terhadap
layanan yang dimiliki oleh instansi ke masyarakat. Contohnya pada
Dinas Komunikasi dan Informatika Kab. Bogor memiliki sebuah
website yang di dalamnya berisi profil, dokumen renstra, info kontak
dan layanan lain yang dimiliki oleh Dinas Komunikasi dan
Informatika Kab. Bogor sebagai informasi kepada masyarakat yang
ingin mengakses informasi tentang Dinas Komunikasi dan
Informatika Kab. Bogor.
4) Optimisation of business process costs (Optimalisasi biaya proses
bisnis)
Optimalisasi biaya proses bisnis juga diperlukan karena seperti
yang kita ketahui bahwa saat ini birokrasi di instansi-instansi
pemerintahan cenderung rumit dan memakan waktu yang lama. Hal
Page 147
122
tersebut tanpa disadari menimbulkan kerugian bagi pihak instansi
maupun masyarakat.
Berdasarkan penjabaran hasil identifikasi beberapa enterprise goals
yang berkaitan dengan tujuan organisasi di atas, maka enterprise goals yang
sesuai adalah Compliance with external laws and regulations karena tugas,
fungsi, dan tata kerja yang dilakukan oleh DISKOMINFO Kabupaten Bogor
sudah diatur di dalam Peraturan Bupati Bogor Nomor 57 Tahun 2016 dan
ditambah dengan Peraturan Bupati Bogor Nomor 11 Tahun 2015 yang
mengatur salah satu tugas inti dari DISKOMINFO Kabupaten Bogor untuk
melaksanakan dan mengembangkan e-government di lingkungan
pemerintah Kabupaten Bogor. Sehingga dalam pelaksanaannya
DISKOMINFO Kabupaten Bogor harus mematuhi peraturan tersebut.
Dari penjelasan di atas kemudian penulis melakukan pemetaan
enterprise goals yang terpilih dengan IT-related goals COBIT 5. Di bawah
ini adalah pemetaan IT-related goals yang termasuk dalam Compliance with
external laws and regulations:
Page 148
123
Gambar 4. 5 Pemetaan IT-Related Goals
Dari hasil pemetaan di atas dapat diketahui bahwa IT-related goals
yang terpilih sesuai dengan primary yang direkomendasikan oleh COBIT 5
dengan enterprise goals “Compliance with external laws and regulations”
yaitu sebagai berikut:
Page 149
124
1) IT compliance and support for business compliance with
external laws and regulations (Kepatuhan dan dukungan TI
untuk kepatuhan bisnis dengan undang-undang dan peraturan
eksternal)
2) Security of information, processing infrastructure and
applications (Keamanan informasi, infrastruktur pemrosesan
dan aplikasi)
Berdasarkan penjabaran hasil pemetaan IT-related goals di atas,
kemudian penulis melakukan penyelarasan dengan IT-related goals pada
Bidang Penyelenggaraan E-Government dengan mengidentifikasi tugas
Bidang Penyelengaraan E-Government yang mendukung enterprise goal
namun dalam hal keamanan informasi. Berdasarkan tujuan Dinas
Komunikasi dan Informatika Kab. Bogor yaitu “Meningkatkan
Penyelenggaraan Informasi dan Komunikasi Publik, Aplikasi, dan
Informatika dan Persandian yang Transparant, Akuntabel, Efisien dan
Efektif” maka Bidang Penyelenggaraan E-Government memiliki tugas
yaitu “Melaksanakan kebijakan layanan infrastruktur dasar data
center, layanan pengembangan dan pengelolaan aplikasi, layanan
manajemen data informasi e-Government, layanan keamanan
informasi e-Government, dan layanan sistem komunikasi intra
pemerintah daerah.” Sehingga IT-related goals COBIT 5 yang sesuai
dengan keadaan dan IT-related goals Bidang Penyelenggaraan E-
Page 150
125
Government adalah Security of information, processing infrastructure and
applications.
Dari penjelasan di atas kemudian penulis melakukan pemetaan IT-
related goals yang terpilih dengan COBIT 5 process. Di bawah ini
merupakan pemetaan COBIT 5 process yang termasuk dalam Security of
information, processing infrastructure and applications:
Gambar 4. 6 COBIT 5 Process
Page 151
126
Gambar 4. 7 COBIT 5 Process
Dari hasil pemetaan pada gambar dan gambar di atas dapat diketahui
bahwa IT-related goals Security of information, processing infrastructure
and applications menghasilkan 5 proses COBIT yang primary atau
memiliki hubungan penting, yaitu EDM03 Ensure Risk Optimisation,
Page 152
127
APO12 Manage Risk, APO13 Manage Security, BAI06 Manage Changes,
dan DSS05 Manage Security Services.
Hasil pemetaan tersebut kemudian disesuaikan lagi dengan Rencana
Strategis dari Dinas Komunikasi dan Informatika Tahun 2013-2018 yang di
dalamnya berisi rencana melakukan sertifikasi ISO/IEC 27001:2013. ISO
27001:2013 ini memfokuskan diri pada keamanan sistem informasi suatu
organisasi dan merupakan standar dalam Information Security Management
System (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) yang
menyediakan apa-apa saja yang harus dilakukan dalam upaya menerapkan
konsep keamanan informasi di organisasi atau perusahaan.
Dari 5 proses COBIT yang terpilih di atas, proses APO13 Manage
Security di dalamnya berisi tentang Information Security Management
System (ISMS) atau Sistem Manajemen Keamanan Informasi. Pada Bab II
terdapat penjabaran dari sub-process yang terdapat dari masing-masing
COBIT 5 process dan sub-process pada APO13 itu antara lain:
1) APO13.01 Establish and maintain an ISMS (Menetapkan dan
Mempertahankan Sistem Manajemen Keamanan Informasi)
2) APO13.02 Define and manage on information security risk
treatment plan (Menetapkan dan mengelola rencana perawatan
risiko keamanan informasi)
3) APO13.03 Monitor and review the ISMS (Pantau dan tinjau
Sistem Manajemen Keamanan Informasi)
Page 153
128
Oleh karena itu penulis membatasi penelitian ini pada proses COBIT
5 APO13 Manage Security untuk melihat langkah seperti apa yang sudah
dilakukan oleh Bidang Penyelenggaraan E-Government Dinas Komunikasi
dan Informatika Kabupaten Bogor dalam melaksanakan Sistem Manajemen
Keamanan Informasi. Untuk pembahasan Sistem Manajemen Keamanan
Informasi akan menggunakan Standar ISO/IEC 27001:2013 karena sesuai
dengan kebutuhan Dinas Komunikasi dan Informatika Kabupaten Bogor.
4.3 Metode Perencanaan Sistem Manajemen Keamanan Informasi
Metode perencanaan Sistem Manajemen Keamanan Informasi terdiri dari
empat tahap yaitu tahap plan, tahap do, tahap check, dan tahap act (PDCA). Di
bawah ini merupakan penjelasan dari tahap-tahap tersebut.
4.3.1 Tahapan Plan
Tahapan plan ini berisi penulis mengumpulkan informasi tentang aset apa
saja yang dimiliki oleh Bidang Penyelenggaraan E-Government Dinas
Komunikasi dan Informatika Kabupaten Bogor untuk selanjutnya dapat dilakukan
penilaian aset yang terdapat pada tahap Do. Selain itu tahap ini juga berisi
penjelasan untuk menentukan ruang lingkup sistem manajemen keamanan
informasi serta menentukan kebijakan sistem manajemen keamanan informasi.
Selain Penjelasan masing-masing dapat dilihat di bawah ini
4.3.1.1 Menentukan Ruang Lingkup Sistem Manajemen Keamanan
Informasi
Penulis membatasi ruang lingkup penelitian ini pada Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor. Pembatasan ruang lingkup penelitian ini dikarenakan
Page 154
129
Bidang Penyelenggaraan E-Government ini merupakan bidang yang
bertanggung jawab sebagai wali data untuk menjaga data dan informasi milik
dinas-dinas lain di wilayah Kabupaten Bogor serta pada bidang ini juga
mengelola infrastruktur-infrastruktur seperti ruang server, UPS, serta jaringan
internet sehingga bidang ini harus diberikan perlindungan semaksimal
mungkin. Hasil akhir dari penelitian ini adalah memberikan rekomendasi
perbaikan Sistem Manajemen Keamanan Informasi bagi Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor yang sesuai dengan standar ISO/IEC 27001:2013.
4.3.1.2 Menentukan Kebijakan Sistem Manajemen Keamanan
Informasi
Ketika suatu organisasi merencanakan Sistem Manajemen
Keamanan Informasi berdasarkan Standar ISO 27001:2013, terdapat beberapa
rangkaian proses untuk mengoperasikan pengamanan teknologi informasi dan
dituangkan dalam kebijakan yang menjadi dasar dalam menerapkan SMKI di
organisasi.
Demi kesuksesan bisnis, Bidang Penyelenggaraan E-Government
DISKOMINFO Kab. Bogor memerlukan perlindungan terhadap aset
organisasi yang vital. Oleh karena itu dibutuhkan Sistem Manajemen
Keamanan Informasi (SMKI) yang akan diimplementasikan di Bidang
Penyelenggaraan E-Government DISKOMINFO Kab. Bogor. Bidang
Penyelenggaraan E-Government DISKOMINFO Kab. Bogor juga harus
mampu memelihara serta mengembangkan SMKI sesuai dengan kebutuhan
Page 155
130
untuk perkembangan bisnis Bidang Penyelenggaraan E-Government
DISKOMINFO Kab. Bogor.
Terdapat beberapa arahan serta tujuan penerapan SMKI yang sesuai
dengan kebijakan keamanan informasi, beberapa arahan tersebut antara lain:
1. Tujuan
Seluruh pegawai DISKOMINFO Kab. Bogor, khususnya
pegawai Bidang Penyelenggaraan E-Government wajib untuk
mengikuti kebijakan keamanan informasi karena hal tersebut
merupakan salah satu bagian dari SMKI. Tujuan pegawai
diwajibkan mengikuti kebijakan keamanan informasi adalah untuk
ikut serta melindungi keamanan informasi dari 3 aspek kerahasiaan
(informasi hanya bisa diakses oleh mereka yang punya hak akses),
integritas (informasi yang ada dalam keadaan utuh dan tidak ada
yang hilang), dan ketersediaan (informasi selalu ada ketika
dibutuhkan oleh pengguna). Terlebih lagi data yang dimiliki oleh
Bidang Penyelenggaraan E-Government bukan hanya data milik
DISKOMINFO Kab. Bogor saja, namun juga data milik OPD lain
yang ada di wilayah Kabupaten Bogor dan apabila data-data tersebut
hilang karena sebuah insiden maka citra Dinas Komunikasi dan
Informatika Kabupaten Bogor akan menjadi buruk di masyarakat.
2. Kebijakan
Bidang Penyelenggaraan E-Government Dinas Komunikasi
dan Informatika Kabupaten Bogor harus melindungi aset informasi
Page 156
131
secara tepat, terlepas dari nilai, ancaman, serta kerentanan yang
dapat terjadi. Oleh karena itu Kepala Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten Bogor
harus memastikan komitmen pihak manajemen untuk memberikan
anggaran yang cukup, serta sumber daya manusia yang memiliki
kompetensi dalam bidang keamanan informasi untuk ditempatkan
dalam tugas tersebut. Selain itu Kepala Bidang Penyelenggara E-
Government harus menyediakan prosedur-prosedur yang akan
digunakan sebagai acuan dalam berbagai kegiatan yang ada, karena
kegiatan yang ada pada Bidang Penyelenggaraan E-Government
hanya mengacu kepada Peraturan Bupati Bogor Nomor 57 Tahun
2016 dan ditambah dengan Peraturan Bupati Bogor Nomor 11
Tahun 2015 namun tidak diterjemahkan ke dalam prosedur-prosedur
dalam melakukan kegiatan tersebut.
Tujuan dari pernyataan kebijakan ini untuk membangun
Sistem Manajemen Keamanan SMKI di Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten Bogor
yang sesuai dengan standar ISO/IEC 27001:2013 yang bertujuan
untuk menghambat akses yang tidak tepat, transfer dan perubahan
data yang tidak sah, kerusakan aset informasi serta pencurian
terhadap aset informasi. Para pegawai yang ada di Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor juga harus diberikan arahan untuk mengikuti
Page 157
132
kebijakan, kontrol serta pedoman ini dengan cara memberikan
pelatihan keamanan informasi secara berkala agar setiap staf
memiliki pengetahuan pentingnya keamanan informasi itu. Serta
staf juga harus diberikan hukuman tertentu apabila tidak
menjalankan kebijakan keamanan informasi ini.
Kepala Bidang Penyelenggaraan E-Government Dinas
Komunikasi dan Informatika Kabupaten Bogor memiliki tanggung
jawab untuk melaksanakan proses SMKI di bidangnya. Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor juga dapat melakukan penilaian risiko secara
berkala untuk mengetahui risiko apa saja yang mungkin terjadi
terhadap aset yang dimiliki agar dapat menentukan tindakan apa
yang dapat dilakukan untuk mencegah atau mengatasi risiko
tersebut.
4.3.2 Tahapan Do
Tahap Do berisi dua kegiatan yaitu Melakukan Identifikasi Risiko serta
Melakukan Analisis dan Evaluasi Risiko. Penjelasan masing-masing kegiatan
dapat dilihat di bawah ini
4.3.2.1 Melakukan Identifikasi Risiko
Dalam melakukan identifikasi risiko terdapat beberapa langkah yang
harus dilakukan antara lain melakukan identifikasi dan penilaian aset serta
melakukan identifikasi ancaman, kelemahan, dan menghitung nilai aset.
Penjelasan masing-masing dapat dilihat di bawah ini
Page 158
133
4.3.2.1.1 Mengidentifikasi Aset dan Menghitung Nilai Aset Dalam
SMKI
Langkah pertama dalam mengidentifikasi risiko adalah
melakukan identifikasi aset yang terkait dengan informasi pada Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor. Dua
jenis aset dapat dibedakan sebagai berikut:
1. Aset Utama
Tabel 4.1 merupakan aset utama yang diidentifikasi
oleh penulis di Bidang Penyelenggaraan E-Government
Dinas Komunikasi dan Informatika Kabupaten Bogor:
Tabel 4. 1 Aset Utama Bidang Penyelenggaraan E-Government
No Nama Aset Jenis Penjelasan Lokasi
1 Database SIMKAS
(Rencana Kerja Anggaran
Sekolah)
Informasi Database berisi data aplikasi
SIMKAS
DISKOMINFO
Kab. Bogor
2 Database SIMPEG
(Sistem Informasi
Manajemen Kepegawaian)
Informasi Database berisi data aplikasi
SIMPEG
DISKOMINFO
Kab. Bogor
3 Database SIAP Online
(Sistem Informasi Absensi
Pegawai)
Informasi Database berisi data aplikasi
SIAP Online
DISKOMINFO
Kab. Bogor
4 Database RKPD Online Informasi Database berisi data aplikasi
RKPD
DISKOMINFO
Kab. Bogor
5 Database SIVANERJA
(Sistem Evaluasi Kinerja)
Informasi Database berisi data aplikasi
SIVANERJA
DISKOMINFO
Kab. Bogor
6 Database Sistem
Informasi Pengendalian
Menara
Informasi Database berisi data Sistem
Informasi Pengendalian
Menara
DISKOMINFO
Kab. Bogor
2. Aset Pendukung
Tabel 4.2 merupakan aset pendukung yang
diidentifikasi penulis pada Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten
Bogor:
Page 159
134
Tabel 4. 2 Aset Pendukung Bidang Penyelenggaraan E-Goverment
No Nama Aset Jenis Penjelasan Lokasi
1 Desktop (Personal
Computer) Hardware
Komputer yang dipakai
oleh karyawan
DISKOMINFO
DISKOMINFO
Kab. Bogor
2 Server WEB Physical Hardware
Digunakan pada Web
DISKOMINFO untuk
mengakses Web data
DISKOMINFO Merk:
IBM
DISKOMINFO
Kab. Bogor
3 Mail Server Hardware Digunakan untuk server
email Kab. Bogor
DISKOMINFO
Kab. Bogor
4 WHM (Web Host
Manager) Software
Tools yang digunakan
untuk mengelola akun
cPanel
DISKOMINFO
Kab. Bogor
5 CentOS Software
Operating system yang
digunakan pada komputer
Server
DISKOMINFO
Kab. Bogor
6 Ubuntu Software
Operating system yang
digunakan pada komputer
Server
DISKOMINFO
Kab. Bogor
7 Windows XP Software
Operating system yang
digunakan pada komputer
karyawan
DISKOMINFO
Kab. Bogor
8 Windows 7 Software
Operating system yang
digunakan pada komputer
karyawan
DISKOMINFO
Kab. Bogor
9 Windows 8 Software
Operating system yang
digunakan pada komputer
karyawan
DISKOMINFO
Kab. Bogor
10 Windows 10 Software
Operating system yang
digunakan pada komputer
karyawan
DISKOMINFO
Kab. Bogor
11 Kaspersky Software Antivirus yang digunakan
pada komputer karyawan
DISKOMINFO
Kab. Bogor
12 Microsoft Office 2013 Software
Pengolah data yang
digunakan pada komputer
karyawan
DISKOMINFO
Kab. Bogor
13 Air Conditioner (AC) Fasilitas
Pendukung
Perangkat Pendingin
Ruangan
DISKOMINFO
Kab. Bogor
14 CCTV Fasilitas
Pendukung
Alat perekam kamera
pengintai yang dapat
merekam gambar dan
suara.
DISKOMINFO
Kab. Bogor
15 Access Door Fasilitas
Pendukung
Akses masuk untuk
mengatur atau mengontrol
siapa saja yang berhak
masuk ke dalam suatu
ruangan
Ruang Server
DISKOMINFO
Kab. Bogor
16 Printer Fasilitas
Pendukung
Hardware output yang
memiliki fungsi sebagai
alat pencetak yang ada di
layar monitor menjadi
tampil di lembar kertas
DISKOMINFO
Kab. Bogor
Page 160
135
17 Infocus Fasilitas
Pendukung
Hardware output yang
memiliki fungsi sebagai
alat pencetak yang ada di
layar monitor menjadi
tampil di papan tulis
DISKOMINFO
Kab. Bogor
18 UPS Jaringan
Sebagai alat backup listrik
jika kehilangan energi dari
sumber utamanya
DISKOMINFO
Kab. Bogor
19 Fiber Optic Jaringan
Kabel jaringan yang dapat
mentransmisi data melalui
media cahaya
DISKOMINFO
Kab. Bogor
serta di
beberapa Kantor
OPD di Wilayah
Jl. Tegar
Beriman,
Cibinong
20 Router Jaringan
Perangkat yang berfungsi
menghubungkan beberapa
jaringan yang sama atau
berbeda
DISKOMINFO
Kab. Bogor
21 Switch Jaringan
Perangkat yang berfungsi
sebagai alat penghubung
antar komputer
DISKOMINFO
Kab. Bogor
22 Wi-Fi Jaringan
Berfungsi untuk
komunikasi atau transfer
program dan data
DISKOMINFO
Kab. Bogor
23 Visitor Management
System Aplikasi
Aplikasi yang digunakan
untuk mendata
pengunjung
DISKOMINFO Kab
Bogor
DISKOMINFO
Kab. Bogor
24
Aplikasi Monitoring
Jaringan
(DUDE)
Aplikasi Aplikasi yang digunakan
untuk memonitor jaringan
DISKOMINFO
Kab. Bogor
25
Aplikasi Monitoring
Trafik pemakaian
bandwidth internet
(Aplikasi MRTG)
Aplikasi
Aplikasi yang digunakan
untuk memonitor trafik
bandwidth internet
DISKOMINFO
Kab. Bogor
Setelah semua aset Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor teridentifikasi, tahap selanjutnya adalah
melakukan perhitungan nilai dari masing-masing aset yang dimiliki oleh
Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor
dengan menggunakan tiga aspek keamanan informasi yaitu kerahasiaan
(confidentiality), keutuhan (integrity), dan ketersediaan (availability).
Page 161
136
Tabel 4.3 merupakan hasil peniliaian aset utama dan tabel 4.4
merupakan hasil penilaian aset pendukung yang dimiliki oleh Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor dengan
menggunakan aspek keamanan informasi CIA. Penilaian aset ini dilakukan
oleh Kepala Seksi Pengembangan Aplikasi dan Data dengan rumus
Nilai Aset = NC + NI + NA
1. Aset Utama
Tabel 4. 3 Nilai Aset Utama
No Nama Aset Nilai
Confidentiality
(NC)
Nilai
Integrity
(NI)
Nilai
Availability
(NA)
Nilai
Aset
1 Database SIMKAS
(Rencana Kerja
Anggaran Sekolah)
2 1 3 6
2 Database SIMPEG
(Sistem Informasi
Manajemen
Kepegawaian)
2 2 3 7
3 Database SIAP Online
(Sistem Informasi
Absensi Pegawai)
2 2 3 7
4 Database RKPD
Online 2 3 2 7
5 Database
SIVANERJA (Sistem
Evaluasi Kinerja)
2 3 2 7
6 Database Sistem
Informasi
Pengendalian Menara
3 2 4 9
Page 162
137
2. Aset Pendukung
Tabel 4. 4 Nilai Aset Pendukung
No Nama Aset Nilai
Confidentiality
(NC)
Nilai
Integrity
(NI)
Nilai
Availability
(NA)
Nilai Aset
1 Desktop (PC) 1 3 1 5
2 Server WEB 2 2 3 7
3 Mail Server 3 2 3 8
4 WHM (Web Host
Manager) 3 2 3 8
5 CentOS 2 3 3 8
6 Ubuntu 3 2 3 8
7 Windows XP 1 3 1 5
8 Windows 7 1 3 1 5
9 Windows 8 1 3 1 5
10 Windows 10 1 3 1 5
11 Kaspersky 1 3 1 5
12 Microsoft Office
2013 1 3 1 5
13 Air Conditioner
(AC) 2 4 3 9
14 CCTV 2 3 3 8
15 Access Door 2 4 3 9
16 Printer 2 4 1 7
17 Infocus 2 4 1 7
18 UPS 2 4 3 9
19 Fiber Optic 3 4 3 10
20 Switch 3 4 3 10
21 Wi-Fi 2 3 1 6
22 Router 3 4 3 10
23 Visitor
Management
System
2 2 1 5
24 Aplikasi
Monitoring
Jaringan
2 2 1 5
25 Aplikasi
Monitoring Trafik
pemakaian
bandwidth internet
2 2 1 5
Setelah melakukan perhitungan terhadap aset utama serta aset
pendukung di Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor, langkah selanjutnya adalah melakukan identifikasi
kelemahan, ancaman serta menilai probabilitas kelemahan serta ancaman
Page 163
138
tersebut terhadap aset utama dan aset pendukung. Langkah tersebut
dijelaskan di bawah ini
4.3.2.1.2 Mengidentifikasi Kelemahan, Ancaman, dan Menilai
terhadap Aset
Ancaman adalah kejadian yang bisa membuat suatu perusahaan
mengalami kerugian yang dapat berupa uang, tenaga, upaya, reputasi nama
baik, dan yang paling parah dapat membuat organisasi pailit (IBISA, 2011).
Sedangkan kelemahan adalah kekurangan dari prosedur keamanan
informasi, perencanaan, implementasi atau kontrol internal di dalam
organisasi terhadap penjagaan informasi yang dapat menimbulkan ancaman
di dalamnya. Tujuannya adalah untuk memahami kelemahan yang dimiliki
dalam sistem manajemen keamanan informasi di suatu organisasi (Sarno &
Iffano, 2009).
Tujuan dari tahapan ini adalah untuk mengetahui ancaman yang
mungkin terjadi yang dapat membahayakan sistem dalam Bidang data dan
informasi. Hasil dari tahap ini adalah daftar kelemahan dan ancaman yang
mungkin dapat membahayakan Bidang Penyelenggaraan E-Goverment.
Berikut tabel identifikasi kelemahan dan ancaman pada aset Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor:
Page 164
139
A. Aset Utama
1. Database SIMKAS (Rencana Kerja Anggaran Sekolah)
Tabel 4. 5 Daftar Ancaman dan Kelemahan Database SIMKAS
No Kelemahan (Vulnerable)
1. Jaringan listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Kesalahan input data/Kesalahan Pemrograman
2. Spionase (pencurian informasi)
3. Hackers
4. Cracker
2. Database SIMPEG (Sistem Informasi Manajemen Kepegawaian)
Tabel 4. 6 Daftar Ancaman dan Kelemahan Database SIMPEG
No Kelemahan (Vulnerable)
1. Jaringan listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Kesalahan input data/Kesalahan Pemrograman
2. Spionase (pencurian informasi)
3. Hackers
4. Cracker
3. Database SIAP Online (Sistem Informasi Absensi Pegawai)
Tabel 4. 7 Daftar Ancaman dan Kelemahan Database SIAP Online
No Kelemahan (Vulnerable)
1. Jaringan listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Kesalahan input data/Kesalahan Pemrograman
2. Spionase (pencurian informasi)
3. Hackers
4. Cracker
Page 165
140
4. Database RKPD Online
Tabel 4. 8 Daftar Ancaman dan Kelemahan Database RKPD Online
No Kelemahan (Vulnerable)
1. Jaringan listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Kesalahan input data/Kesalahan Pemrograman
2. Spionase (pencurian informasi)
3. Hackers
4. Cracker
5. Database SIVANERJA (Sistem Evaluasi Kinerja)
Tabel 4. 9 Daftar Ancaman dan Kelemahan Database SIVANERJA
No Kelemahan (Vulnerable)
1. Jaringan listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Kesalahan input data/Kesalahan Pemrograman
2. Spionase (pencurian informasi)
3. Hackers
4. Cracker
6. Database Sistem Informasi (SI) Pengendalian Menara
Tabel 4. 10 Daftar Ancaman dan Kelemahan Database SI Pengendalian Menara
No Kelemahan (Vulnerable)
1. Jaringan listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Kesalahan input data/Kesalahan Pemrograman
2. Spionase (pencurian informasi)
3. Hackers
4. Cracker
Page 166
141
B. Aset Pendukung
1. Desktop (Personal Computer)
Tabel 4. 11 Daftar Ancaman dan Kelemahan Desktop
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Hilangnya pasokan listrik
2. Server WEB Physical
Tabel 4. 12 Daftar Ancaman dan Kelemahan Server WEB
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Data Corruption (Kerusakan Data)
4. Software Bug
No Ancaman (Threats)
1. Spionase (pencurian informasi)
2. Pencurian perangkat
3. Hackers
4. Cracker
5. Pegawai Internal
6. Spammers
7. Virus Attack
8. Virus Author
9. Hilangnya pasokan listrik
10. Kerusakan Jaringan Komunikasi dari Vendor
3. Mail Server
Tabel 4. 13 Daftar Ancaman dan Kelemahan Mail Server
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
Page 167
142
4. WHM (Web Host Manager)
Tabel 4. 14 Daftar Ancaman dan Kelemahan WHM
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
5. CentOS
Tabel 4. 15 Daftar Ancaman dan Kelemahan CentOS
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
6. Ubuntu
Tabel 4. 16 Daftar Ancaman dan Kelemahan Ubuntu
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
7. Windows XP
Tabel 4. 17 Daftar Ancaman dan Kelemahan Windows XP
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
8. Windows 7
Tabel 4. 18 Daftar Ancaman dan Kelemahan Windows 7
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
Page 168
143
9. Windows 8
Tabel 4. 19 Daftar Ancaman dan Kelemahan Windows 8
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
10. Windows 10
Tabel 4. 20 Daftar Ancaman dan Kelemahan Windows 10
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
11. Kaspersky
Tabel 4. 21 Daftar Ancaman dan Kelemahan Kaspersky
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
12. Microsoft Office 2013
Tabel 4. 22 Daftar Ancaman dan Kelemahan Microsoft Office 2013
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Kurang Kesadaran Pengguna
3. Software Bug
No Ancaman (Threats)
1. Virus Attack
13. Air Conditioner (AC)
Tabel 4. 23 Daftar Ancaman dan Kelemahan Air Conditioner
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
No Ancaman (Threats)
1. Hilagnya pasokan listrik
Page 169
144
14. CCTV
Tabel 4. 24 Daftar Ancaman dan Kelemahan CCTV
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Dara Corruption (Kerusakan Data)
No Ancaman (Threats)
1. Hilangnya pasokan listrik
2. Sambungan kabel yang buruk
15. Access Door
Tabel 4. 25 Daftar Ancaman dan Kelemahan Access Door
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Software Bug
No Ancaman (Threat)
1. Hilangnya pasokan listrik
16. Printer
Tabel 4. 26 Daftar Ancaman dan Kelemahan Printer
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Software Bug
No Ancaman (Threat)
1. Pencurian perangkat
17. Infocus
Tabel 4. 27 Daftar Ancaman dan Kelemahan Infocus
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Software Bug
No Ancaman (Threat)
1. Pencurian perangkat
18. UPS
Tabel 4. 28 Daftar Ancaman dan Kelemahan UPS
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
Page 170
145
19. Fiber Optic
Tabel 4. 29 Daftar Ancaman dan Kelemahan Fiber Optic
No Kelemahan (Vulnerable)
1. Sambungan kabel yang buruk
No Ancaman (Threat)
1. Environment (Lingkungan)
20. Switch
Tabel 4. 30 Daftar Ancaman dan Kelemahan Switch
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
No Ancaman (Threat)
1. Hilangnya pasokan listrik
21. Wi-Fi
Tabel 4. 31 Daftar Ancaman dan Kelemahan Wi-Fi
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (Gangguan Perangkat Keras)
3. Software Bug
No Ancaman (Threats)
1. Hilangnya pasokan listrik
2. Bot-network Operation
3. Hacker
4. Pegawai Internal
5. Spammer
6. Virus Author
7. Kerusakan Jaringan Komunikasi dari Vendor
8. Sambungan kabel yang buruk
22. Router
Tabel 4. 32 Daftar Ancaman dan Kelemahan Router
No Kelemahan (Vulnerable)
1. Listrik tidak stabil
2. Hardware Failure (gangguan perangkat keras)
3. Kurangnya kesadaran pengguna
No Ancaman (Threats)
1. Bot-network operation
2. Pegawai internal
3. Spammers
4. Virus attack
5. Virus author
6. Hilangnya pasokan listrik
Page 171
146
23. Visitor Management System
Tabel 4. 33 Daftar Ancaman dan Kelemahan Visitor Management System
No Kelemahan (Vulnerable)
1 Hardware Failure (Gangguan Perangkat Keras)
2 Data Corruption (Kerusakan Data)
3 Kurang Kesadaran Pengguna
24. Aplikasi Monitoring Jaringan (DUDE)
Tabel 4. 34 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Jaringan
No Kelemahan (Vulnerable)
1 Hardware Failure (Gangguan Perangkat Keras)
2 Data Corruption (Kerusakan Data)
25. Aplikasi Monitoring Trafik Pemakaian Bandwidth Internet
Tabel 4. 35 Daftar Ancaman dan Kelemahan Aplikasi Monitoring Bandwidth Internet
No Kelemahan (Vulnerable)
1 Hardware Failure (Gangguan Perangkat Keras)
2 Data Corruption (Kerusakan Data)
Langkah selanjutnya setelah melakukan identifikasi kelemahan
dan ancaman apa saja yang dapat terjadi pada suatu aset yang ada pada
Bidang Penyelenggaraan E-Government adalah melakukan penentuan
kemungkinan terjadinya ancaman dan kelemahan terhadap aset tersebut.
Penentuan kejadian ini penulis lakukan bersama dengan Kepala Seksi
Pengembangan Aplikasi dan Data.
Berikut ini merupakan hasil dari identifikasi Kepala Seksi
Pengembangan Aplikasi dan Data dalam menilai kelemahan dan ancaman
yang terjadi terhadap aset yang dimiliki oleh Bidang Penyelenggaraan E-
Government.
Page 172
147
A. Aset Utama
1. Database SIMKAS (Rencana Kerja Anggaran Sekolah)
Tabel 4. 36 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMKAS
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Jaringan listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Medium 0.4
3 Data Corruption (Kerusakan Data) Medium 0.4
4 Software Bug Low 0.3
5 Kesalahan input data/Kesalahan
Pemrograman
Threat
Low 0.2
6 Spionase (pencurian informasi) Low 0.1
7 Hackers Low 0.3
8 Cracker Low 0.3
Jumlah Kejadian = 8 Jumlah Rerata Prob 2.1
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.26
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Database SIMKAS (Sistem Informasi Rencana
Anggaran Sekolah) sebesar 0.26 dan termasuk dalam kategori Low. Nilai
tersebut didapatkan dengan cara:
Menjumlahkan probabilitas dari tiap kelemahan dan ancaman
terhadap aset tesebut dengan total dari semua ancaman dan
kelemahan tersebut sebesar 2.1
Hasil seluruh probalititas dari tiap kelemahan dan ancaman
kemudian dibagi dengan jumlah kejadian yang ada. Pada tabel
4.36 terdapat jumlah kejadian sebanyak 8 kejadian. Jadi Nilai
Ancaman = 2.1 / 8 = 0.26.
Perhitungan ini berlaku juga untuk menghitung nilai ancaman
pada aset utama yang lain dan juga untuk menghitung nilai ancaman pada
aset pendukung.
Page 173
148
2. Database SIMPEG (Sistem Informasi Manajemen
Kepegawaian)
Tabel 4. 37 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIMPEG
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Jaringan listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.3
3 Data Corruption (Kerusakan Data) Medium 0.4
4 Software Bug Low 0.3
5 Kesalahan input data/Kesalahan
Pemrograman
Threat
Low 0.2
6 Spionase (pencurian informasi) Low 0.1
7 Hackers Low 0.3
8 Cracker Low 0.3
Jumlah Kejadian = 8 Jumlah Rerata Prob 2
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.25
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Database SIMPEG (Sistem Informasi Manajemen
Kepegawaian) sebesar 0.25 dan termasuk dalam kategori Low.
3. Database SIAP Online (Sistem Informasi Absensi Pegawai)
Tabel 4. 38 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIAP Online
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Jaringan listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.3
3 Data Corruption (Kerusakan Data) Medium 0.4
4 Software Bug Low 0.3
5 Kesalahan input data/Kesalahan
Pemrograman
Threat
Low 0.2
6 Spionase (pencurian informasi) Low 0.1
7 Hackers Low 0.3
8 Cracker Low 0.3
Jumlah Kejadian = 8 Jumlah Rerata Prob 2
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.25
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Database SIAP Online (Sistem Informasi Absensi
Pegawai) sebesar 0.25 dan termasuk dalam kategori Low.
Page 174
149
4. Database RKPD Online
Tabel 4. 39 Hasil Rerata Probabilitas dan Nilai Ancaman Database RKPD Online
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Jaringan listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.2
3 Data Corruption (Kerusakan Data) Medium 0.4
4 Software Bug Medium 0.6
5 Kesalahan input data/Kesalahan
Pemrograman
Threat
Low 0.3
6 Spionase (pencurian informasi) Low 0.3
7 Hackers Medium 0.4
8 Cracker Medium 0.4
Jumlah Kejadian = 8 Jumlah Rerata Prob 2.7
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.34
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Database RKPD Online sebesar 0.34 dan termasuk
dalam kategori Low.
5. Database SIVANERJA (Sistem Evaluasi Kinerja)
Tabel 4. 40 Hasil Rerata Probabilitas dan Nilai Ancaman Database SIVANERJA
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Jaringan listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.2
3 Data Corruption (Kerusakan Data) Medium 0.4
4 Software Bug Medium 0.6
5 Kesalahan input data/Kesalahan
Pemrograman
Threat
Low 0.3
6 Spionase (pencurian informasi) Low 0.3
7 Hackers Medium 0.4
8 Cracker Medium 0.4
Jumlah Kejadian = 8 Jumlah Rerata Prob 2.7
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.34
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Database SIVANERJA (Sistem Informasi Evaluasi
Kinerja) sebesar 0.34 dan termasuk dalam kategori Low.
Page 175
150
6. Database Sistem Informasi (SI) Pengendalian Menara
Tabel 4. 41 Hasil Rerata Probabilitas dan Nilai Ancaman Database SI Pengendalian Menara
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Jaringan listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.1
3 Data Corruption (Kerusakan Data) Low 0.3
4 Software Bug Low 0.3
5 Kesalahan input data/Kesalahan
Pemrograman
Threat
Low 0.3
6 Spionase (pencurian informasi) Low 0.3
7 Hackers Low 0.3
8 Cracker Low 0.3
Jumlah Kejadian = 8 Jumlah Rerata Prob 2
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.25
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Database Sistem Informasi Pengendalian Menara
sebesar 0.25 dan termasuk dalam kategori Low.
B. Aset Pendukung
1. Desktop
Tabel 4. 42 Hasil Rerata Probabilitas dan Nilai Ancaman Desktop
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.2
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.3
3 Data Corruption (Kerusakan Data) Low 0.3
4 Software Bug Medium 0.4
5 Hilangnya pasokan listrik Threat Low 0.1
Jumlah Kejadian = 5 Jumlah Rerata Prob 1.3
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.26
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Desktop sebesar 0.26 dan termasuk dalam kategori Low.
Page 176
151
2. Server WEB Physical
Tabel 4. 43 Hasil Rerata Probabilitas dan Nilai Ancaman Server WEB Physical
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.2
3 Data Corruption (Kerusakan Data) Low 0.2
4 Software Bug Low 0.1
5 Spionase (pencurian informasi)
Threat
Low 0.2
6 Pencurian perangkat Low 0.1
7 Hackers Medium 0.4
8 Cracker Low 0.3
9 Pegawai Internal Medium 0.4
10 Spammers Low 0.2
11 Virus Attack Low 0.3
12 Virus Author Low 0.3
13 Hilangnya pasokan listrik Low 0.1
14 Kerusakan Jaringan Komunikasi dari
Vendor
Low 0.3
Jumlah Kejadian = 14 Jumlah Rerata Prob 3.2
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.225
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Server WEB Physical sebesar 0.22 dan termasuk dalam
kategori Low.
3. Mail Server
Tabel 4. 44 Hasil Rerata Probabilitas dan Nilai Ancaman Mail Server
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna Low 0.2
3 Software Bug Low 0.2
4 Virus Attack Threat Medium 0.4
Jumlah Kejadian = 4 Jumlah Rerata Prob 0.9
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.225
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Mail Server sebesar 0.225 dan termasuk dalam kategori
Low.
Page 177
152
4. WHM (Web Host Manager)
Tabel 4. 45 Hasil Rerata Probabilitas dan Nilai Ancaman WHM
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna Medium 0.5
3 Software Bug Low 0.2
4 Virus Attack Threat Medium 0.4
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.2
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.3
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset WHM (Web Host Manager) sebesar 0.3 dan termasuk
dalam kategori Low.
5. CentOS
Tabel 4. 46 Hasil Rerata Probabilitas dan Nilai Ancaman CentOS
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.3
2 Kurang Kesadaran Pengguna Medium 0.4
3 Software Bug Low 0.6
4 Virus Attack Threat Medium 0.6
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.9
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.47
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset CentOS sebesar 0.47 dan termasuk dalam kategori
Medium.
6. Ubuntu
Tabel 4. 47 Hasil Rerata Probabilitas dan Nilai Ancaman Ubuntu
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.3
2 Kurang Kesadaran Pengguna Medium 0.4
3 Software Bug Low 0.3
4 Virus Attack Threat Medium 0.3
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.3
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.32
Page 178
153
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Ubuntu sebesar 0.32 dan termasuk dalam kategori Low.
7. Windows XP
Tabel 4. 48 Hasil Rerata Probabilitas dan Nilai Ancaman Windows XP
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna Medium 0.5
3 Software Bug Medium 0.6
4 Virus Attack Threat Medium 0.4
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.6
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.4
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Windows XP sebesar 0.4 dan termasuk dalam kategori
Medium.
8. Windows 7
Tabel 4. 49 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 7
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna Medium 0.5
3 Software Bug Medium 0.5
4 Virus Attack Threat Medium 0.4
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.5
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.375
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Windows 7 sebesar 0.375 dan termasuk dalam kategori
Medium.
Page 179
154
9. Windows 8
Tabel 4. 50 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 8
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna Medium 0.5
3 Software Bug Medium 0.4
4 Virus Attack Threat Medium 0.4
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.4
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.35
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Windows 8 sebesar 0.35 dan termasuk dalam kategori
Medium.
10. Windows 10
Tabel 4. 51 Hasil Rerata Probabilitas dan Nilai Ancaman Windows 10
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna Medium 0.5
3 Software Bug Low 0.3
4 Virus Attack Threat Low 0.3
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.2
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.3
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Windows 10 sebesar 0.3 dan termasuk dalam kategori
Low.
11. Kaspersky
Tabel 4. 52 Hasil Rerata Probabilitas dan Nilai Ancaman Kaspersky
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna Low 0.3
3 Software Bug Low 0.2
4 Virus Attack Threat Low 0.1
Jumlah Kejadian = 4 Jumlah Rerata Prob 0.7
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.175
Page 180
155
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Kaspersky sebesar 0.175 dan termasuk dalam kategori
Low.
12. Microsoft Office 2013
Tabel 4. 53 Hasil Rerata Probabilitas dan Nilai Ancaman Microsoft Office 2013
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Kurang Kesadaran Pengguna High 0.7
3 Software Bug Medium 0.4
4 Virus Attack Threat Low 0.3
Jumlah Kejadian = 4 Jumlah Rerata Prob 1.5
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.375
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Microsoft Office 2013 sebesar 0.375 dan termasuk dalam
kategori Medium.
13. Air Conditioner (AC)
Tabel 4. 54 Hasil Rerata Probabilitas dan Nilai Ancaman Air Conditioner
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.2
3 Hilangnya pasokan listrik Threat Low 0.1
Jumlah Kejadian = 3 Jumlah Rerata Prob 0.4
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.13
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Air Conditioner (AC) sebesar 0.13 dan termasuk dalam
kategori Low.
Page 181
156
14. CCTV
Tabel 4. 55 Hasil Rerata Probabilitas dan Nilai Ancaman CCTV
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.3
3 Dara Corruption (Kerusakan Data) Medium 0.5
4 Hilangnya pasokan listrik Threat
Low 0.1
5 Sambungan kabel yang buruk Low 0.3
Jumlah Kejadian = 5 Jumlah Rerata Prob 1.3
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.26
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset CCTV sebesar 0.26 dan termasuk dalam kategori Low.
15. Access Door
Tabel 4. 56 Hasil Rerata Probabilitas dan Nilai Ancaman Access Door
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.3
3 Software Bug Low 0.2
4 Hilangnya pasokan listrik Threat Low 0.1
Jumlah Kejadian = 4 Jumlah Rerata Prob 0.7
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.175
Dari hasil perhitungan nilai ancaman di atas didapat nilai pada
aset Access Door sebesar 0.175 dan termasuk dalam kategori Low.
16. Printer
Tabel 4. 57 Hasil Rerata Probabilitas dan Nilai Ancaman Printer
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Medium 0.4
3 Software Bug Low 0.1
4 Pencurian perangkat Threat Low 0.2
Jumlah Kejadian = 4 Jumlah Rerata Prob 0.8
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.2
Page 182
157
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Printer sebesar 0.2 dan termasuk dalam kategori Low.
17. Infocus
Tabel 4. 58 Hasil Rerata Probabilitas dan Nilai Ancaman Infocus
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.3
3 Software Bug Low 0.1
4 Pencurian perangkat Threat Low 0.2
Jumlah Kejadian = 4 Jumlah Rerata Prob 0.7
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.175
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Infocus sebesar 0.175 dan termasuk dalam kategori Low.
18. UPS
Tabel 4. 59 Hasil Rerata Probabilitas dan Nilai Ancaman UPS
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Low 0.3
Jumlah Kejadian = 2 Jumlah Rerata Prob 0.4
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.2
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset UPS sebesar 0.2 dan termasuk dalam kategori Low.
19. Fiber Optic
Tabel 4. 60 Hasil Rerata Probabilitas dan Nilai Ancaman Fiber Optic
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Sambungan kabel yang buruk Vulnerable Low 0.1
2 Environment (Lingkungan) Threat Low 0.4
Jumlah Kejadian = 2 Jumlah Rerata Prob 0.5
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.25
Page 183
158
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Fiber Optic sebesar 0.25 dan termasuk dalam kategori
Low.
20. Switch
Tabel 4. 61 Hasil Rerata Probabilitas dan Nilai Ancaman Switch
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil Vulnerable Low 0.1
2 Hilangnya pasokan listrik Threat Low 0.1
Jumlah Kejadian = 2 Jumlah Rerata Prob 0.2
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.1
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Switch sebesar 0.1 dan termasuk dalam kategori Low.
21. Wi-Fi
Tabel 4. 62 Hasil Rerata Probabilitas dan Nilai Ancaman Wi-Fi
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (Gangguan
Perangkat Keras)
Medium 0.5
3 Software Bug Low 0.3
4 Hilangnya pasokan listrik
Threat
Low 0.1
5 Bot-network Operation Medium 0.4
6 Hacker Low 0.2
7 Pegawai Internal Medium 0.5
8 Spammer Low 0.2
9 Virus Author Low 0.2
10 Kerusakan Jaringan Komunikasi
dari Vendor
Low 0.3
11 Sambungan kabel yang buruk Low 0.3
Jumlah Kejadian = 11 Jumlah Rerata Prob 3.1
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.28
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Wi-Fi sebesar 0.28 dan termasuk dalam kategori Low.
Page 184
159
22. Router
Tabel 4. 63 Hasil Rerata Probabilitas dan Nilai Ancaman Router
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Listrik tidak stabil
Vulnerable
Low 0.1
2 Hardware Failure (gangguan
perangkat keras)
Low 0.3
3 Lack of user awareness (kurangnya
kesadaran pengguna
Medium 0.5
4 Bot-network operation
Threat
Medium 0.4
5 Pegawai internal Medium 0.4
6 Spammers Low 0.2
7 Virus attack Low 0.2
8 Virus author Low 0.2
9 Hilangnya pasokan listrik Low 0.1
Jumlah Kejadian = 9 Jumlah Rerata Prob 2.4
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.26
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Router sebesar 0.26 dan termasuk dalam kategori Low.
23. Visitor Management System
Tabel 4. 64 Hasil Rerata Probabilitas dan Nilai Ancaman Visitor Management System
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Hardware Failure (Gangguan
Perangkat Keras) Vulnerable
Low 0.1
2 Data Corruption (Kerusakan Data) Low 0.1
3 Kurang Kesadaran Pengguna High 0.8
Jumlah Kejadian = 3 Jumlah Rerata Prob 1
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.33
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Visitor Management System sebesar 0.33 dan termasuk
dalam kategori Low.
Page 185
160
24. Aplikasi Monitoring Jaringan (DUDE)
Tabel 4. 65 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring Jaringan
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Hardware Failure (Gangguan
Perangkat Keras) Vulnerable
Low 0.2
2 Data Corruption (Kerusakan Data) Low 0.2
Jumlah Kejadian = 2 Jumlah Rerata Prob 0.4
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.2
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Aplikasi Monitoring Jaringan sebesar 0.2 dan termasuk
dalam kategori Low.
25. Aplikasi Monitoring Trafik Pemakaian Bandwidth Internet
(MRTG)
Tabel 4. 66 Hasil Rerata Probabilitas dan Nilai Ancaman Aplikasi Monitoring Bandwith Internet
No Kejadian Jenis Probabilitas Rerata
Probabilitas
1 Hardware Failure (Gangguan
Perangkat Keras) Vulnerable
Low 0.2
2 Data Corruption (Kerusakan Data) Low 0.2
Jumlah Kejadian = 2 Jumlah Rerata Prob 0.4
Nilai Ancaman = Jumlah Rerata Prob / Jumlah Kejadian 0.2
Dari hasil perhitungan nilai ancaman di atas didapat nilai
ancaman pada aset Aplikasi Monitoring Trafik Pemakaian Bandwidth
Internet sebesar 0.2 dan termasuk dalam kategori Low.
4.3.2.2 Menganalisis dan Mengevaluasi Risiko
Setelah melakukan tahap identifikasi kemungkinan terjadinya
ancaman atau kelemahan terhadap aset Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten Bogor, langkah
selanjutnya yang penulis lakukan adalah melakukan analisis serta evaluasi
risiko yang bertujuan untuk mengetahui dampak apa yang dirasakan oleh
Page 186
161
Bidang Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor apabila ancaman atau kelemahan tersebut terjadi. Di bawah
ini adalah tahapan dalam melakukan analisis dan evaluasi risiko
4.3.2.2.1 Menganalisis Dampak Bisnis
Analisis dampak bisnis merupakan proses menentukan seberapa
besar pengaruh atau dampak risiko yang disebabkan oleh adanya ancaman
atau kelemahan terhadap jalannya proses bisnis di organisasi. Nilai dampak
bisnis ini didapat dari skala yang telah ditentukan pada tabel di bawah ini:
Tabel 4. 67 Skala Business Impact Analysis (BIA) (Sarno & Iffano, 2009)
Batas Toleransi
Gangguan Keterangan Nilai Skala
< dari 1 minggu Not critical 0 – 20
1 hari s/d 2 hari Minor critical 21 – 40
< 1 hari Mayor critical 41 – 60
< 12 jam High critical 61 – 80
< 1 jam Very high critical 81 – 100
Dengan menggunakan skala tersebut, kemudian peneliti bersama
Kepala Seksi Pengembangan Aplikasi dan Data melakukan penentuan nilai
dampak bisnis tersebut. Di bawah ini merupakan hasil yang didapat penulis
terhadap nilai BIA pada aset yang dimiliki Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor.
1. Aset Utama
Tabel 4. 68 Hasil Nilai BIA Aset Utama
No Nama Aset Nilai BIA Keterangan
1
Database SIMKAS (Rencana
Kerja Anggaran Sekolah) 80 High Critical
2
Database SIMPEG (Sistem
Informasi Manajemen
Kepegawaian)
80 High Critical
3 Database SIAP Online (Sistem
Informasi Absensi Pegawai) 85 Very High Critical
4 Database RKPD Online 70 High Critical
Page 187
162
5 Database SIVANERJA (Sistem
Evaluasi Kinerja) 70 High Critical
6 Database Sistem Informasi
Pengendalian Menara 75 High Critical
Dari tabel 4.68 dapat dilihat nilai dampak bisnis (BIA) dari tiap-
tiap aset utama yang dimiliki Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor. Sebagai contoh penjelasan dapat
dilihat nilai BIA dari Database SIMKAS dan Database SIMPEG sebesar
80 yang berarti ancaman atau kelemahan yang terjadi pada aset tersebut
memiliki batas toleransi < 12 jam, sehingga apabila terjadi ancaman atau
ada kelemahan pada aset tersebut maka harus segera diatasi dalam kurun
waktu < 12 jam. Jika tidak diatasi maka akan menimbulkan dampak
yang cukup tinggi bagi Bidang Penyelenggaraan E-Government. Contoh
dampak yang dapat dihadapi oleh Bidang Penyelenggaraan E-
Government adalah adanya teguran dari dinas yang memiliki Database
SIMKAS dan Database SIMPEG karena terganggunya kegiatan dalam
mengolah data anggaran sekolah dan data kepegawaian.
2. Aset Pendukung
Tabel 4. 69 Hasil Nilai BIA Aset Pendukung
No Nama Aset Nilai BIA Keterangan
1 Desktop 70 High Critical
2 Server WEB Physical 81 Very High Critical
3 Mail Server 85 Very High Critical
4 WHM (Web Host Manager) 90 Very High Critical
5 CentOS 85 Very High Critical
6 Ubuntu 85 Very High Critical
7 Windows XP 75 High Critical
8 Windows 7 75 High Critical
9 Windows 8 75 High Critical
10 Windows 10 75 High Critical
11 Kaspersky 70 High Critical
12 Microsoft Office 73 High Critical
13 Air Conditioner (AC) 85 Very High Critical
Page 188
163
14 CCTV 75 High Critical
15 Access Door 60 Mayor Critical
16 Printer 70 High Critical
17 Infocus 70 High Critical
18 UPS 85 Very High Critical
19 Fiber Optic 80 High Critical
20 Switch 80 High Critical
21 Wi-fi 80 High Critical
22 Router 80 High Critical
23 Visitor Management System 73 High Critical
24 Aplikasi Monitoring Jaringan
(DUDE) 70 High Critical
25
Aplikasi Monitoring Trafik
pemakaian bandwidth internet
(Aplikasi MRTG)
70 High Critical
4.3.2.2.2 Mengidentifikasi Level Risiko Bidang Penyelenggaraan E-
Government
Setelah mendapatkan nilai BIA terhadap proses bisnis Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor, tahap
yang dilakukan selanjutnya adalah melakukan identifikasi level risiko.
Penulis menggunakan matriks level risiko dengan menggunakan nilai-nilai
probabilitas ancaman dan nilai BIA yang sudah diidentifikasi pada tahap
sebelumnya untuk mengidentifikasi level risiko Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor. Tujuannya adalah untuk
memberikan gambaran seberapa besar risiko yang diterima Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor apabila
terjadi kegagalan keamanan informasi.
Untuk menghitung dampak bisnis ini penulis menggunakan nilai
BIA yang sudah diidentifikasi pada tahap sebelumnya dan menggunakan
nilai rerata probabilitas ancaman terhadap aset yang sudah diidentifikasi
pada sub bab 4.3.2.1.2 dan dengan menggunakan nilai tersebut, nilai
Page 189
164
dampak bisnis terhadap aset pada Bidang Penyelenggaraan E-Government
dapat dihitung dengan rumus
Dampak Bisnis = Nilai BIA x Probabilitas Ancaman
Di bawah ini merupakan hasil perhitungan nilai dampak bisnis
terhadap aset pada Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor yang didiskusikan penulis dengan Kepala Seksi
Pengembangan Aplikasi dan Data.
1. Aset Utama
Tabel 4. 70 Hasil Nilai Dampak Bisnis Pada Aset Utama
No Nama Aset Nilai BIA Probabilitas
Ancaman Dampak Bisnis
1
Database SIMKAS
(Rencana Kerja Anggaran
Sekolah)
80 0.26 20.8
2
Database SIMPEG (Sistem
Informasi Manajemen
Kepegawaian)
80 0.25 20
3
Database SIAP Online
(Sistem Informasi Absensi
Pegawai)
85 0.25 21.25
4 Database RKPD Online 70 0.34 23.8
5 Database SIVANERJA
(Sistem Evaluasi Kinerja) 70 0.34 23.8
6 Database Sistem Informasi
Pengendalian Menara 75 0.25 18.75
2. Aset Pendukung
Tabel 4. 71 Hasil Nilai Dampak Bisnis Pada Aset Pendukung
No Nama Aset Nilai BIA Probabilitas
Ancaman
Dampak Bisnis
1 Desktop 70 0.26 18.2
2 Server WEB Physical 81 0.22 17.82
3 Mail Server 85 0.225 19.125
4 WHM (Web Host
Manager) 90 0.3 27
5 CentOS 85 0.47 39.95
6 Ubuntu 85 0.32 27.2
7 Windows XP 75 0.4 30
8 Windows 7 75 0.375 28.125
9 Windows 8 75 0.35 26.25
Page 190
165
10 Windows 10 75 0.3 22.5
11 Kaspersky 70 0.175 12.25
12 Microsoft Office 2013 73 0.375 27.375
13 Air Conditioner (AC) 85 0.13 11.05
14 CCTV 75 0.26 19.5
15 Access Door 60 0.175 10.5
16 Printer 70 0.2 14
17 Infocus 70 0.175 12.25
18 UPS 85 0.2 17
19 Fiber Optic 80 0.25 20
20 Switch 80 0.1 8
21 Wi-Fi 80 0.28 22.4
22 Router 80 0.26 20.8
23 Visitor Management
System 73 0.33 24.09
24 Aplikasi Monitoring
Jaringan (DUDE) 70 0.2 14
25
Aplikasi Monitoring
Trafik pemakaian
bandwidth internet
(Aplikasi MRTG)
70 0.2 14
4.3.2.2.3 Menilai Resiko Bidang Penyelenggaraan E-Government
DISKOMINFO Kab. Bogor
Setelah melakukan tahap perhitungan nilai dampak bisnis pada
Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor,
penulis melakukan tahap penilaian risiko pada Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor. Tujuan dari tahap ini adalah
untuk menentukan risiko yang terjadi langsung diterima oleh Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor atau
masih perlu pengelolaan risiko berdasarkan kriteria penerimaan risiko.
Untuk menentukan nilai risiko dilakukan dengan rumus:
Nilai Resiko = Nilai Aset x Nilai BIA x Nilai Ancaman
Berikut ini merupakan hasil nilai risiko terhadap aset utama dan
aset pendukung pada Bidang Penyelenggaraan E-Government
Page 191
166
DISKOMINFO Kabupaten Bogor yang penulis diskusikan bersama Kepala
Seksi Pengembangan Aplikasi dan Data.
1. Aset Utama
Tabel 4. 72 Hasil Nilai Resiko dan Level Resiko pada Aset Utama
No Nama Aset Nilai
Aset
Nilai
BIA
Nilai
Ancaman
Nilai
Resiko Level Resiko
1
Database SIMKAS
(Rencana Kerja
Anggaran Sekolah)
6 80 0.26 124.8 High Risk
2
Database SIMPEG
(Sistem Informasi
Manajemen
Kepegawaian)
7 80 0.25 140 High Risk
3
Database SIAP
Online (Sistem
Informasi Absensi
Pegawai)
7 85 0.25 148.75 High Risk
4 Database RKPD
Online 7 70 0.34 166.6 High Risk
5
Database
SIVANERJA
(Sistem Evaluasi
Kinerja)
7 70 0.34 166.6 High Risk
6
Database Sistem
Informasi
Pengendalian
Menara
9 75 0.25 168.75 High Risk
2. Aset Pendukung
Tabel 4. 73 Hasil Nilai Resiko dan Level Resiko pada Aset Pendukung
No Nama Aset Nilai
Aset
Nilai
BIA
Nilai
Ancaman
Dampak
Bisnis Level Resiko
1 Desktop 5 70 0.26 91 High Risk
2 Server WEB
Physical 7 81 0.22 124.74 High Risk
3 Mail Server 8 85 0.225 153 High Risk
4 WHM (Web Host
Manager) 8 90 0.3 216 High Risk
5 CentOS 8 85 0.47 319.6 High Risk
6 Ubuntu 8 85 0.32 217.6 High Risk
7 Windows XP 5 75 0.4 150 High Risk
8 Windows 7 5 75 0.375 140.625 High Risk
9 Windows 8 5 75 0.35 131.25 High Risk
Page 192
167
10 Windows 10 5 75 0.3 112.5 High Risk
11 Kaspersky 5 70 0.175 61.25 High Risk
12 Microsoft Office 5 73 0.375 136.875 High Risk
13 Air Conditioner
(AC) 9 85 0.13 99.45 High Risk
14 CCTV 8 75 0.26 156 High Risk
15 Access Door 9 60 0.175 94.5 High Risk
16 Printer 7 70 0.2 98 High Risk
17 Infocus 7 70 0.175 85.75 High Risk
18 UPS 9 85 0.2 153 High Risk
19 Fiber Optic 10 80 0.25 200 High Risk
20 Switch 10 80 0.1 80 High Risk
21 Wi-Fi 6 80 0.28 134.4 High Risk
22 Router 10 80 0.26 208 High Risk
23
Visitor
Management
System
5 73 0.33 120.45 High Risk
24
Aplikasi
Monitoring
Jaringan (DUDE)
5 70 0.2 70 High Risk
25
Aplikasi
Monitoring Trafik
pemakaian
bandwidth internet
(Aplikasi MRTG)
5 70 0.2 70 High Risk
Dalam melakukan identifikasi level resiko, penulis menentukan
level resiko menggunakan matriks level resiko untuk menilai level resiko
yang terjadi pada aset Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor. Untuk mempermudah, penulis
merangkum semua tahapan dari mulai tahap penilaian aset sampai dengan
penentuan level resiko pada tabel 4.73. Pada tabel 4.73 dapat dilihat
seberapa besar risiko terhadap keamanan aset. Semakin tinggi nilai risiko
pada Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten
Bogor, maka semakin meningkat pula prioritas penanganan dan keamanan
aset. Berikut ini adalah rangkuman dari proses analisis resiko.
Page 193
168
1. Aset Utama
Tabel 4. 74 Analisis Risiko Keamanan Informasi Aset Utama
No Nama Aset Nilai
Aset Vulnerability Threat
Nilai
Ancaman Dampak
Nilai
BIA
Nilai
Resiko
Level
Resiko
1
Database
SIMKAS
(Rencana Kerja
Anggaran
Sekolah)
6
Listrik tidak
stabil
Kesalahan input
data/Kesalahan
Pemrograman
0.26
20.8 80 124.8
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Spionase
(pencurian
informasi)
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
2
Database
SIMPEG
(Sistem
Informasi
Manajemen
Kepegawaian)
7
Listrik tidak
stabil
Kesalahan input
data/Kesalahan
Pemrograman
0.25
20 80 140
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Spionase
(pencurian
informasi)
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
3
Database SIAP
Online (Sistem
Informasi
Absensi
Pegawai)
7
Listrik tidak
stabil
Kesalahan input
data/Kesalahan
Pemrograman
0.25
21.25 85 148.75
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Spionase
(pencurian
informasi)
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
4
Database
RKPD Online
7
Listrik tidak
stabil
Kesalahan input
data/Kesalahan
Pemrograman
0.34
23.8 70 166.6
High
Risk Hardware
Failure
(Gangguan
Perangkat
Keras)
Spionase
(pencurian
informasi)
Page 194
169
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
5
Database
SIVANERJA
(Sistem
Evaluasi
Kinerja)
7
Listrik tidak
stabil
Kesalahan input
data/Kesalahan
Pemrograman
0.34
23.8 70 166.6
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Spionase
(pencurian
informasi)
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
6
Database
Sistem
Informasi
Pengendalian
Menara
9
Listrik tidak
stabil
Kesalahan input
data/Kesalahan
Pemrograman
0.25 18.75 75 168.75
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Spionase
(pencurian
informasi)
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug Cracker
2. Aset Pendukung
Tabel 4. 75 Analisis Risiko Keamanan Informasi Aset Pendukung
No Nama Aset Nilai
Aset Vulnerability Threat
Nilai
Ancaman Dampak
Nilai
BIA
Nilai
Resiko
Level
Resiko
1 Desktop (PC) 5
Listrik tidak
stabil
Hilangnya
pasokan listrik 0.26
18.2 70
91
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Data
Corruption
(Kerusakan
Data)
Software Bug
2 Server WEB
Physical
7
Listrik tidak
stabil
Spionase
(pencurian
informasi) 0.225
17.82 81 124.74
High
Risk
Page 195
170
Hardware
Failure
(Gangguan
Perangkat
Keras)
Pencurian
perangkat
Data
Corruption
(Kerusakan
Data)
Hackers
Software Bug
Cracker
Pegawai
Internal
Spammers
Virus Attack
Virus Author
Hilangnya
pasokan listrik
Kerusakan
Jaringan
Komunikasi dari
Vendor
3 Mail Server 8
Listrik tidak
stabil
Virus Attack 0.225
19.125 85
153
High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
4 WHM (Web
Host Manager)
8
Listrik tidak
stabil
Virus Attack 0.3
27
90
216
High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
5 CentOS 8
Listrik tidak
stabil
Virus Attack 0.47
39.95
85
319.6
High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
6 Ubuntu 8
Listrik tidak
stabil
Virus Attack 0.32
27.2
85
217.6
High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
7 Windows XP 5
Listrik tidak
stabil
Virus Attack 0.4
30
75
150
High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
8 Windows 7 5
Listrik tidak
stabil Virus Attack 0.375 28.125 75
140.62
5
High
Risk
Page 196
171
Kurang
Kesadaran
Pengguna
Software Bug
9 Windows 8 5
Listrik tidak
stabil
Virus Attack 0.35 26.25 75 131.25 High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
10 Windows 10 5
Listrik tidak
stabil
Virus Attack 0.3 22.5 75 112.5
High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
11 Kaspersky 5
Listrik tidak
stabil
Virus Attack 0.175 12.25 70 61.25 High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
12 Microsoft Office
2013 5
Listrik tidak
stabil
Virus Attack 0.375 27.375 73 136.87
5
High
Risk
Kurang
Kesadaran
Pengguna
Software Bug
13 Air Conditioner
(AC) 9
Listrik tidak
stabil
Hilangnya
pasokan Listrik 0.13
11.05 85 99.45 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
14 CCTV 8
Listrik tidak
stabil
Hilangnya
pasokan Listrik
0.26 19.5 75 156 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras) Sambungan
kabel yang
buruk Dara
Corruption
(Kerusakan
Data)
15 Access Door 9
Listrik tidak
stabil
Hilangnya
pasokan Listrik 0.175 10.5 60 94.5
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Software Bug
Page 197
172
16 Printer 7
Listrik tidak
stabil
Pencurian
perangkat 0.2 14 70 98
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Software Bug
17 Infocus 7
Listrik tidak
stabil
Pencurian
perangkat 0.175 12.25 70 85.75
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Software Bug
18 UPS 9
Listrik tidak
stabil
0.2 17 85
153
High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
19 Fiber Optic 10
Sambungan
kabel yang
buruk
Environment
(Lingkungan)
0.25 20 80 200 High
Risk
20 Switch 10 Listrik tidak
stabil
Hilangnya
pasorkan Listrik 0.1 8 80 80
High
Risk
21 Wi-Fi 6
Listrik tidak
stabil
Hilangnya
pasokan Listrik
0.28 22.4 80 134.4 High
Risk
Hardware
Failure
(Gangguan
Perangkat
Keras)
Bot-network
Operation
Software Bug Hacker
Pegawai
Internal
Spammer
Virus Author
Kerusakan
jaringan
Komunikasi dari
Vendor
Sambungan
kabel yang
buruk
22 Router 10
Listrik tidak
stabil
Bot-network
operation
0.26 20.8 80 208 High
Risk
Hardware
Failure
(gangguan
perangkat
keras)
Pegawai internal
Page 198
173
Lack of user
awareness
(kurangnya
kesadaran
pengguna
Spammers
Virus attack
Virus author
Hilangnya
pasokan listrik
23
Visitor
Management
System
5
Hardware
Failure
(Gangguan
Perangkat
Keras)
0.33 24.09 73 120.45 High
Risk
Data
Corruption
(Kerusakan
Data)
Kurang
Kesadaran
Pengguna
24
Aplikasi
Monitoring
Jaringan
(DUDE)
5
Hardware
Failure
(Gangguan
Perangkat
Keras) 0.2 14 70 70 High
Risk Data
Corruption
(Kerusakan
Data)
25
Aplikasi
Monitoring
Trafik
Pemakaian
Bandwidth
Internet
5
Hardware
Failure
(Gangguan
Perangkat
Keras) 0.2 14 70 70 High
Risk Data
Corruption
(Kerusakan
Data)
Berdasarkan hasil identifikasi pada langkah-langkah sebelumnya
didapatkan beberapa kelemahan dan ancaman yang sering terjadi pada
Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor.
Kelemahan yang paling sering terjadi adalah kerusakan data, gangguan
perangkat keras (Hardware), listrik tidak stabil, celah pada software, dan
kurangnya kesadaran pengguna dalam menggunakan aset yang ada.
Page 199
174
Sedangkan untuk ancaman, ada dua macam ancaman yaitu berasal dari
internal organisasi dan eksternal organisasi. Ancaman dari internal
organisasi berupa gangguan jaringan komunikasi dari vendor, hilangnya
pasokan listrik, sambungan kabel yang buruk, adanya pegawai yang
mencuri informasi dan pegawai internal yang ceroboh dalam menggunakan
aset. Ancaman dari eksternal organisasi berupa virus attack, bot-network
operation, spammers, cracker, hacker, pencurian, kondisi lingkungan, dan
virus author.
Dari hasil analisis risiko terhadap aset Bidang Penyelenggaraan
E-Government DISKOMINFO Kabupaten Bogor, diketahui bahwa seluruh
aset yang ada pada Bidang Penyelenggaraan E-Government baik aset utama
seperti Database SIMKAS, Database SIMPEG, Database SIAP Online,
Database RKPD Online, Database SIVANERJA, dan Database Sistem
Informasi Pengendalian Menara, maupun aset pendukung seperti Desktop,
Server WEB Physical, Mail Server, WHM, CentOS, Ubuntu, Windows XP,
Windows 7, Windows 8, Windows 10, Kaspersky, Microsoft Office 2013, Air
Conditioner, CCTV, Access Door, Printer, Infocus, UPS, Fiber Optic,
Router, Switch, Wi-Fi, Visitor Management System, Aplikasi Monitoring
Jaringan, dan Aplikasi Monitoring Trafik Pemakaian Bandwidth Internet
termasuk dalam aset beresiko tinggi yang perlu mendapatkan penanganan
yang lebih. Hal ini dikarenakan DISKOMINFO Kabupaten Bogor
merupakan wali data bagi dinas-dinas di Kabupaten Bogor terutama di Jl.
Tegar Beriman, Cibinong maka Bidang Penyelenggaraan E-Government
Page 200
175
mengganggap semuat aset memiliki risiko yang tinggi karena apabila ada
insiden keamanan informasi maka bukan tidak mungkin pelayanan atau
kinerja operasional dinas-dinas lain di wilayah Kabupaten Bogor juga akan
terganggu.
Setelah melakukan analisis resiko, selanjutnya penulis melakukan
identifikasi risiko yang mungkin terjadi pada Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor seperti:
1. Risiko kehilangan informasi karena kerusakan server dan tidak ada
backup dari informasi tersebut.
2. Risiko kehilangan data apabila terjadi insiden keamanan berupa
hacking dan crackers karena terdapat celah pada aplikasi.
3. Risiko kerusakan terhadap aset seperti server, desktop PC, Router,
dan Switch karena kurangnya perawatan terhadap aset. Hal ini juga
disebabkan karena Bidang Penyelenggaraan E-Government tidak
melakukan inventarisasi aset dan pengelompokan aset dalam jangka
waktu tertentu. Serta risiko terjadinya pencurian terhadap aset.
4. Risiko terputusnya kabel fiber optic yang dihubungkan oleh
DISKOMINFO Kab. Bogor ke dinas-dinas yang berada di wilayah
Jl. Tegar Beriman. Serta risiko adanya akses yang tidak sah ke
dalam jaringan internet yang disediakan oleh DISKOMINFO Kab.
Bogor
5. Risiko terjadinya insiden karena kurangnya pengetahuan dan
kesadaran yang dimiliki pegawai terhadap keamanan informasi dan
Page 201
176
adanya risiko terhadap malware karena pegawai tidak sengaja
menginstall aplikasi yang di dalamnya terdapat malware.
6. Risiko terjadinya bencana alam seperti gempa bumi atau banjir yang
tidak dapat diprediksikan.
Setelah diukur besarnya risiko pada aset keamanan informasi,
selanjutnya diperlukan tindakan atau kontrol yang dapat mengurangi risiko
tersebut. Pemilihan kontrol dan objektif kontrol berdasarkan pada ISO/IEC
27001:2013 dengan menyesuaikan terhadap hasil penilaian risiko di atas.
Penulis melakukan pemilihan kontrol dan objektif kontrol pada tahap
selanjutnya yaitu tahapan Check.
4.3.3 Tahapan Check
Tahap check terdiri dari dua kegiatan yaitu memilih objektif kontrol dan
kontrol keamanan serta menghitung tingkat kematangan. Penjelasan masing-
masing dapat dilihat di bawah ini
4.3.3.1 Pemilihan Objektif Kontrol dan Kontrol Keamanan
Berdasarkan ISO 27001:2013
Tahap selanjutnya setelah penulis melakukan pengukuran terhadap
besarnya risiko yang ada pada aset milik Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten Bogor adalah
memilih tindakan atau kontrol yang dapat mengurangi nilai risiko yang sudah
diukur sebelumnya. Dalam pemilihan objektif kontrol dan kontrol keamanan
pada penelitian ini, penulis mengacu kepada objektif kontrol dan kontrol yang
terdapat pada ISO 27001:2013 yang telah disesuaikan dengan insiden yang
Page 202
177
pernah terjadi sebelumnya dan dari hasil penilaian risiko aset pada Bidang
Penyelenggaraan E-Government DISKOMINFO Kab. Bogor. Di bawah ini
merupakan objektif kontrol dan kontrol keamanan yang penulis gunakan:
Tabel 4. 76 Objektif Kontrol dan Kontrol Keamanan ISO 27001:2013
Klausul Objektif Kontrol Kontrol Keamanan
7. Keamanan Sumber Daya
Manusia
7.1 Sebelum Bekerja 7.1.1 Penyaringan
7.2 Selama Bekerja 7.2.1 Tanggung Jawab
Manajemen
7.2.2 Kesadaran keamanan
informasi, pendidikan dan
pelatihan
8. Manajemen Aset 8.1 Tanggung Jawab Untuk
Aset
8.1.1 Inventarisasi Aset
8.1.2 Kepemilikan Aset
8.2 Klasifikasi Informasi 8.2.1 Klasifikasi Informasi
9. Kontrol Akses 9.1 Kebutuhan Bisnis
terhadap Kontrol Akses
9.1.1 Kebijakan Kontrol Akses
9.1.2 Akses ke jaringan dan
layanan jaringan
11. Keamanan Fisik dan
Lingkungan
11.1 Area Aman 11.1.2 Kontrol Entri fisik
11.1.3 Mengamankan kantor,
ruangan, dan fasilitas
11.1.4 Pengamanan terhadap
ancaman eksternal dan
lingkungan
11.2 Peralatan 11.2.2 Utilitas Pendukung
11.2.3 Keamanan Kabel
11.2.4 Pemeliharaan Peralatan
12 Keamanan Operasi 12.2 Perlindungan dari
Malware
12.2.1 Kontrol terhadap
Malware
12.3 Backup 12.3.1 Backup Informasi
13 Keamanan Komunikasi 13.1 Manajemen Keamanan
Jaringan
13.1.1 Kontrol Jaringan
16. Pengelolaan Insiden
Keamanan Informasi
16.1 Manajemen Insiden
Keamanan Informasi dan
Pebaikan
16.1.2 Pelaporan Peristiwa
keamanan informasi
16.1.3 Pelaporan kelemahan
keamanan informasi
16.1.4 Penilaian dan keputusan
tentang kejadian keamanan
informasi
16.1.5 Respon terhadap
insiden keamanan informasi
16.1.6 Belajar dari Insiden
Keamanan Informasi
Page 203
178
4.3.3.2 Penilaian Maturity Level Menggunakan SSE-CMM (System
Security Engineering Capability Maturity Level)
Tahap ini merupakan tahap untuk menggambarkan sudah sejauh
mana Bidang Penyelenggaraan E-Government Dinas Komunikasi dan
Informatika Kabupaten Bogor dapat memenuhi proses pengelolaan keamanan
informasi berdasarkan standar ISO 27001:2013 dan dilakukan terhadap
masing-masing kontrol yang sudah dijabarkan pada sub bab 4.3.3.1.
Daftar pernyataan yang penulis gunakan di dalam penelitian ini
dibuat berdasarkan kontrol keamanan dari setiap objektif kontrol yang dipilih
untuk melakukan audit keamanan sistem informasi di Bidang Penyelenggaraan
E-Government DISKOMINFO Kabupaten Bogor. Daftar penyataan yang
penulis gunakan dibuat berdasarkan standar ISO 27002:2013 yang berisi
tentang panduan implementasi dari masing-masing kontrol keamanan yang
sudah dijabarkan di atas. Dalam penelitian ini penulis menggunakan System
Security Engineering Capability Maturity Level (SSE-CMM) untuk mengukur
Maturity Level proses pengelolaan keamanan informasi berdasarkan standar
ISO 27001:2013.
Di bawah ini merupakan kerangka kerja perhitungan nilai maturity
level serta hasil perhitungan tingkat kematangan dari masing-masing kontrol
keamanan
Page 204
179
1. Klausul 7 Keamanan Sumber Daya Manusia
Tabel 4. 77 Kerangka Kerja Perhitungan Maturity Level Klausul 7
7 Keamanan Sumber Daya Manusia
7.1.1 Penyaringan
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Semua kandidat dilakukan
pemeriksaan dan verifikasi latar
belakang melalui daftar riwayat
hidup
1 √ 3
2. Adanya konfirmasi kualifikasi
akademik dan professional yang
diklaim, serta verifikasi identitas
independen (Contoh: paspor atau
dokumen serupa)
1 √ 3
3. Verifikasi yang lebih rinci
(Contoh: Peninjauan ulang
kredit atau catatan kriminal)
1 √ 1
4. Memastikan kandidat memiliki
kompetensi untuk melakukan
peran keamanan
1 √ 1
Total Bobot 4 Tingkat Kemampuan 2
7.2.1 Tanggung Jawab Manajemen
No. Pernyataan Bobot 1 2 3 4 5 Nilai
1. Manajemen memberikan
pengarahan tentang peran dan
tanggung jawab keamanan
informasi terhadap karyawan
atau kontraktor sebelum
diberikan akses ke informasi
rahasia
1 √ 2
2. Adanya pemberian pedoman dan
pengarahan tentang harapan
keamanan informasi dari peran
karyawan dan kontraktor di
dalam organisasi
1 √ 2
3. Memastikan karyawan atau
kontraktor memiliki motivasi
dan terus memiliki keterampilan
dan kualifikasi yang sesuai untuk
memenuhi kebijakan keamanan
informasi
1 √ 1
Total Bobot 3 Tingkat Kemampuan 1.6
7.2.2 Kesadaran Keamanan Informasi, Pendidikan, dan Pelatihan
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Adanya program kesadaran
keamanan informasi yang
bertujuan untuk membuat
karyawan atau kontraktor
menyadari tanggung jawab
mereka untuk keamanan
informasi
1 √ 2
Page 205
180
2. Program kesadaran keamanan
informasi harus ditetapkan dan
relevan dengan kebijakan dan
prosedur keamanan informasi
organisasi (Contoh: pelaksanaan
hari keamanan informasi dan
menerbitkan buklet atau bulletin
tentang keamanan informasi)
1 √ 1
3. Pendidikan dan pelatihan
keamanan informasi harus
direncanakan dalam waktu
tertentu dan dilakukan secara
bertahap
1 √ 1
4. Memisahkan tanggung jawab
pribadi dan tanggung jawab
umum serta memastikan tidak
adanya tindakan sendiri dalam
mengamankan atau melindungi
informasi milik organisasi dan
milik pihak eksternal
1 √ 1
5. Memberikan kesadaran untuk
melakukan prosedur keamanan
informasi dasar (Contoh:
Pelaporan insiden keamanan
informasi) dan kontrol dasar
(Contoh: Keamanan kata sandi,
dan kontrol malware)
1 √ 2
Total Bobot 5 Tingkat Kemampuan 1.4
Setelah melakukan perhitungan maturity level masing-masing
kontrol keamanan yang ada pada Klausul 7 Keamanan Sumber Daya Manusia,
selanjutnya adalah membuat perhitungan rata-rata klausul 7 Keamanan Sumber
Daya Manusia serta merepresentasikan hasil perhitungan kontrol keamanan di
atas ke dalam grafik. Di bawah ini merupakan tabel perhitungan rata-rata
kontrol keamanan di atas serta grafik yang menggambarkan maturity level 3
kontrol keamanan di atas.
Page 206
181
Tabel 4. 78 Hasil Maturity Level Klausul 7
Klausul Objektif
Kontrol
Kontrol Keamanan Tingkat
Kemampuan
Rata-rata
Objektif
Kontrol
7. Keamanan
Sumber Daya
Manusia
7.1 Sebelum
Bekerja 7.1.1 Penyaringan 2 2
7.2 Selama
Bekerja
7.2.1 Tanggung Jawab
Manajemen 1.6
1.5 7.2.2 Kesadaran
Keamanan Informasi,
Pendidikan dan Pelatihan
1.4
Maturity Level Klausul 7 1.75
Berdasarkan hasil perhitungan maturity level yang penulis lakukan
pada Klausul 7 Keamanan Sumber Daya Manusia, didapatkan nilai maturity
level di Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten
Bogor sebesar 1.75 dan termasuk dalam level 1 yaitu Performed Informally.
Hasil itu didapat karena pada kontrol keamanan 7.1.1 terdapat 2 pernyataan
yang dinilai dengan angka 1, lalu pada kontrol keamanan 7.2.1 terdapat 1
pernyataan yang dinilai dengan angka 1 dan terakhir pada kontrol keamanan
7.2.2 terdapat 3 pernyataan yang dinilai dengan angka 1. Di bawah ini
merupakan grafik yang merepresentasikan nilai maturity level klausul 7
Keamanan Sumber Daya Manusia
Gambar 4. 8 Grafik Representasi Maturity Level Klausul 7
0
0,5
1
1,5
27.1.1 Penyaringan
7.2.1 Tanggung
Jawab Manajemen
7.2.2 Kesadaran
Keamanan Informasi,
Pendidikan dan
Pelatihan
Grafik Maturity Level Klausul 7 Keamanan
Sumber Daya Manusia
Page 207
182
2. Klausul 8 Manajemen Aset
Tabel 4. 79 Kerangka Kerja Perhitungan Maturity Level Klausul 8
8 Manajemen Aset
8.1.1 Inventarisasi Aset
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Aset yang terkait dengan
informasi dan fasilitas
pemrosesan informasi harus
diidentifikasi dan inventarisasi
aset harus dibuat dan dipelihara.
1 √ 2
2. Aset yang relevan dalam siklus
hidup informasi (pembuatan,
pemrosesan, penyimpanan,
transmisi, penghapusan, dan
penghancuran) harus
diidentifikasi dan
dokumentasinya dibuat dan
disimpan dalam inventaris
khusus
1 √ 1
3. Inventaris aset harus akurat,
terbaru, konsisten, dan sejajar
dengan inventaris lain.
1 √ 2
Total Bobot 3 Tingkat Kemampuan 1.6
8.1.2 Kepemilikan Aset
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Kepemilikan atas aset harus
diberikan ketika aset didapatkan
atau diterima oleh organisasi
1 √ 2
2. Aset diinventarisasi,
diklasifikasikan dan dilindungi
dengan tepat
1 √ 2
3. Aset didefinisikan dan ditinjau
secara berkala dengan kebijakan
kontrol akses yang berlaku
1 √ 2
4. Memastikan penanganan yang
tepat saat aset dihapus 1 √ 1
Total Bobot 4 Tingkat Kemampuan 1.75
8.2.1 Klasifikasi Informasi
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Terdapat skema klasifikasi
informasi, yang digunakan untuk
klasifikasi dan kriteria informasi
untuk meninjau klasifikasi dari
waktu ke waktu
1 √ 2
2. Skema klasifikasi informasi
harus berdasarkan
confidentiality (kerahasiaan),
integrity (integritas), dan
availability (ketersediaan)
1 √ 2
3. Skema klasifikasi informasi
bersifat konsisten di dalam
organisasi
1 √ 1
Page 208
183
4. Klasifikasi informasi harus
dimasukkan ke dalam proses
bisnis organisasi
1 √ 1
5. Hasil klasifikasi informasi harus
menunjukkan nilai aset 1 √ 1
6. Hasil klasifikasi informasi
diperbaharui sesuai dengan
perubahan nilai aset dan
kekritisan aset
1 √ 2
Total Bobot 6 Tingkat Kemampuan 1.6
Setelah melakukan perhitungan maturity level masing-masing
kontrol keamanan yang ada pada Klausul 8 Manajemen Aset, selanjutnya
adalah membuat perhitungan rata-rata klausul 8 Manajemen Aset serta
merepresentasikan hasil perhitungan kontrol keamanan di atas ke dalam grafik.
Di bawah ini merupakan tabel perhitungan rata-rata kontrol keamanan di atas
serta grafik yang menggambarkan maturity level 3 kontrol keamanan di atas.
Tabel 4. 80 Hasil Maturity Level Klausul 8
Klausul Objektif
Kontrol
Kontrol Keamanan Tingkat
Kemampuan
Rata-rata
Objektif
Kontrol
8. Manajemen
Aset
8.1 Tanggung
Jawab Untuk
Aset
8.1.1 Inventarisasi Aset 1.6
1.675 8.1.2 Kepemilikan Aset 1.75
8.2 Klasifikasi
Informasi
8.2.1 Klasifikasi
Informasi 1.6 1.66
Maturity Level Klausul 8 1.6
Berdasarkan hasil perhitungan maturity level yang penulis lakukan
pada Klausul 8 Manajemen Aset, didapatkan nilai maturity level di Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor sebesar 1.6
dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu didapat
karena pada kontrol keamanan 8.1.1 dan 8.1.2 masing-masing terdapat 1
pernyataan yang dinilai dengan angka 1 serta pada kontrol keamanan 8.2.1
terdapat 3 pernyataan yang mendapat nilai 1. Di bawah ini merupakan grafik
yang merepresentasikan nilai maturity level klausul 8 Manajemen Aset
Page 209
184
Gambar 4. 9 Grafik Representasi Maturity Level Klausul 8
3. Klausul 9 Kontrol Akses
Tabel 4. 81 Kerangka Kerja Perhitungan Maturity Level Klausul 9
9 Kontrol Akses
9.1.1 Kebijakan Kontrol Akses
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Pemilik aset menentukan aturan
akses kontrol yang tepat, hak
akses dan pembatasan aturan
pengguna terhadap aset mereka
1 √ 1
2. Adanya kebijakan kontrol akses
bersifat fisik dan logis yang baik
dan telah dipertimbangakan
bersama-sama
1 √ 1
3. Terdapat undang-undang yang
relevan dan kewajiban
kontraktual apa pun terkait
pembatasan akses ke data atau
layanan
1 √ 2
4. Adanya peninjauan kembali hak
akses secara berkala dan
penghapusan hak akses apabila
tidak sesuai
1 √ 2
Total Bobot 4 Tingkat Kemampuan 1.5
9.1.2 Akses ke jaringan dan layanan jaringan
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Adanya kebijakan yang
mengatur jaringan dan layanan
jaringan mana yang diizinkan
untuk diakses
1 √ 1
2. Adanya kebijakan yang
mengatur prosedur otorisasi
untuk menentukan siapa yang
diizinkan untuk mengakses
1 √ 1
1,5
1,6
1,7
1,88.1.1 Inventarisasi Aset
8.1.2 Kepemilikan Aset8.2.1 Klasifikasi
Informasi
Grafik Maturity Level Klausul 8 Manajemen Aset
Page 210
185
jaringan atau layanan jaringan
tertentu
3. Adanya kebijakan yang
mengatur sarana yang
digunakan untuk mengakses
jaringan dan layanan jaringan
(misalnya penggunaan VPN atau
jaringan nirkabel)
1 √ 1
4. Adanya kebijakan yang
mengatur persyaratan
autentikasi (validasi) pengguna
untuk mengakses berbagai
layanan jaringan
1 √ 1
5. Adanya kebijakan yang
mengatur pemantauan
penggunaan layanan jaringan
1 √ 1
Total Bobot 5 Tingkat Kemampuan 1
Setelah melakukan perhitungan maturity level masing-masing
kontrol keamanan yang ada pada Klausul 9 Kontrol Akses, selanjutnya adalah
membuat perhitungan rata-rata klausul 9 Kontrol Akses serta
merepresentasikan hasil perhitungan kontrol keamanan di atas ke dalam grafik.
Di bawah ini merupakan tabel perhitungan rata-rata kontrol keamanan di atas
serta grafik yang menggambarkan maturity level 3 kontrol keamanan di atas.
Tabel 4. 82 Hasil Maturity Level Klausul 9
Klausul Objektif
Kontrol
Kontrol Keamanan Tingkat
Kemampuan
Rata-rata
Objektif
Kontrol
9. Kontrol Akses
9.1 Kebutuhan
Bisnis
terhadap
Kontrol Akses
9.1.1 Kebijakan Kontrol
Akses 1.5
1.25 9.1.2 Akses ke jaringan
dan layanan jaringan 1
Maturity Level Klausul 9 1.25
Berdasarkan hasil perhitungan maturity level yang penulis lakukan
pada Klausul 9 Kontrol Akses, didapatkan nilai maturity level di Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor sebesar
1.25 dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu didapat
karena pada kontrol keamanan 9.1.1 terdapat 2 pernyataan serta 5 pernyataan
Page 211
186
pada kontrol keamanan 9.1.2 mendapat nilai 1. Di bawah ini merupakan grafik
yang merepresentasikan nilai maturity level klausul 9 Kontrol Akses
Gambar 4. 10 Grafik Representasi Maturity Level Klausul 9
4. Klausul 11 Keamanan Fisik dan Lingkungan
Tabel 4. 83 Kerangka Kerja Perhitungan Maturity Level Klausul 11
11 Keamanan Fisik dan Lingkungan
11.1.2 Kontrol Entri Fisik
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Pencatatan tanggal dan waktu
masuk dan keluarnya
pengunjung dicatat dan adanya
pengawasan terhadap
pengunjung
1 √
2. Akses ke daerah-daerah dimana
informasi rahasia diproses atau
disimpan (Contoh: Ruang
server) harus dibatasi untuk
individu yang berwenang
dengan menerapkan kontrol
akses yang sesuai (Contoh:
menggunakan kartu akses atau
fingerprint)
1 √
3. Pemantauan dan penjagaan
buku masuk fisik atau jejak
audit elektronik dari semua
akses
1 √
4. Semua pegawai atau pihak
eksternal memakai tanda
pengenal
1 √
5. Perbaharuan aturan tentang hak
akses untuk mengamankan
daerah yang aman secara
berkala
1 √
Total Bobot 5 Tingkat Kemampuan 1.6
0
0,5
1
1,5
9.1.1 Kebijakan Kontrol
Akses
9.1.2 Akses ke jaringan
dan layanan jaringan
Grafik Maturity Level Klausul 9 Kontrol Akses
Page 212
187
11.1.3 Mengamankan Kantor, Ruangan, dan Fasilitas
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Fasilitas utama ditempatkan di
tempat yang aman dan tidak
dapat diakses oleh publik 1 √ 2
2. Terdapat tanda baik di dalam
atau di luar bangunan yang
menandakan adanya tempat
pengelolaan dan pengolahan
data atau informasi
1 √ 2
Total Bobot 2 Tingkat Kemampuan 2
11.1.4 Melindungi Terhadap Ancaman Eksternal dan Lingkungan
1. Terdapat rancangan atau
penerapan perlindungan fisik
terhadap aset dari adanya
bencana alam, serangan atau
kecelakaan yang berbahaya
1 √ 2
2. Adanya saran dari ahli tentang
bagaimana cara untuk
menghindari kerusakan dari
segala ancaman seperti
kebakaran, banjir, gempa bumi,
ledakan, atau ancaman lain
1 √ 2
Total Bobot 2 Tingkat Kemampuan 2
11.2.2 Utilitas Pendukung
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Adanya peraturan mengenai
sarana pendukung sesuai dengan
spesifikasi peralatan dan
persyaratan hukum organisasi
1 √ 1
2. Penilaian sarana pendukung
secara teratur 1 √ 1
3. Pemeriksaan dan pengujian
aturan tentang sarana
pendukung secara teratur
1 √ 1
Total Bobot 3 Tingkat Kemampuan 1
11.2.3 Keamanan Kabel
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Adanya peraturan mengenai
listrik dan jalur telekomunikasi
ke fasilitas pengolahan
informasi yang menyatakan
harus di bawah tanah
1 √ 1
2. Adanya peraturan pemisahan
kabel listrik dengan kabel
komunikasi
1 √ 1
Total Bobot 2 Tingkat Kemampuan 1
11.2.4 Pemeliharaan Peralatan
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Terdapat peraturan mengenai
spesifikasi peralatan dan
pemeliharaan peralatan dalam
interval yang direkomendasikan
pemasok
1 √ 1
Page 213
188
2. Pemeliharaan atau perbaikan
peralatan dilakukan oleh
personil yang berwenang
1 √ 2
3. Memastikan peralatan berfungsi
dengan baik sebelum
mengoperasikan kembali
setelah proses pemeriksaan dan
pemeliharaan
1 √ 1
Total Bobot 3 Tingkat Kemampuan 1.3
Setelah melakukan perhitungan maturity level masing-masing
kontrol keamanan yang ada pada Klausul 11 Keamanan Fisik dan Lingkungan,
selanjutnya adalah membuat perhitungan rata-rata klausul 11 Keamanan Fisik
dan Lingkungan serta merepresentasikan hasil perhitungan kontrol keamanan
di atas ke dalam grafik. Di bawah ini merupakan tabel perhitungan rata-rata
kontrol keamanan di atas serta grafik yang menggambarkan maturity level 3
kontrol keamanan di atas.
Tabel 4. 84 Hasil Maturity Level Klausul 11
Klausul Objektif
Kontrol Kontrol Keamanan
Tingkat
Kemampuan
Rata-rata
Objektif
Kontrol
11. Keamanan
Fisik dan
Lingkungan
11.1 Area
Aman
11.1.2 Kontrol Entri fisik 1.6
1.86
11.1.3 Mengamankan
kantor, ruangan, dan
fasilitas
2
11.1.4 Pengamanan
terhadap ancaman
eksternal dan lingkungan
2
11.2 Peralatan
11.2.2 Utilitas
Pendukung 1
1.1 11.2.3 Keamanan Kabel 1
11.2.4 Pemeliharaan
Peralatan 1.3
Maturity Level Klausul 11 1.48
Berdasarkan hasil perhitungan maturity level yang penulis lakukan
pada Klausul 11 Keamanan Fisik dan Lingkungan, didapatkan nilai maturity
level di Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten
Bogor sebesar 1.48 dan termasuk dalam level 1 yaitu Performed Informally.
Page 214
189
Hasil itu didapat karena pada kontrol keamanan 11.1.2 terdapat 2 pernyataan
yang dinilai dengan angka 1, serta pada kontrol keamanan 11.2.2 terdapat 3
pernyataan yang dinilai dengan angka 1, kontrol keamanan 11.2.3 terdapat 2
pernyataan yang dinilai dengan angka 1, dan pada kontrol keamanan 11.2.4
terdapat 2 pernyataan yang dinilai dengan angka 1. Di bawah ini merupakan
grafik yang merepresentasikan nilai maturity level klausul 11 Keamanan Fisik
dan Lingkungan
Gambar 4. 11 Grafik Representasi Maturity Level Klausul 11
5. Klausul 12 Keamanan Operasi
Tabel 4. 85 Kerangka Kerja Perhitungan Maturity Level Klausul 12
12 Keamanan Operasi
12.2.1 Kontrol Terhadap Malware
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Terdapat kebijakan mengenai
penggunaan perangkat lunak
yang resmi beserta
pengontrolannya
1 √ 1
2. Adanya kontrol untuk mencegah
dan mendeteksi perangkat lunak
yang tidak sah serta penggunaan
situs berbahaya yang dicurigai
1 √ 2
0
0,5
1
1,5
2
11.1.2 Kontrol Entri
fisik
11.1.3 Mengamankan
kantor, ruangan, dan
fasilitas
11.1.4 Pengamanan
terhadap ancaman
eksternal dan…
11.2.2 Utilitas
Pendukung
11.2.3 Keamanan
Kabel
11.2.4 Pemeliharaan
Peralatan
Grafik Maturity Level Klausul 11 Keamanan Fisik dan
Lingkungan
Page 215
190
3. Adanya kebijakan terkait
dengan sumber yang digunakan
untuk mendapatkan file dan
software untuk mencegah risiko
1 √ 1
4. Adanya manajemen kerentanan
terhadap malware 1 √ 1
5. Tinjauan rutin perangkat lunak
dan konten data sistem yang
mendukung proses bisnis yang
penting
1 √ 1
6. Instalasi dan pembaharuan rutin
software pendeteksi malware
serta perbaikan perangkat lunak
untuk memindai komputer dan
media
1 √ 2
7. Adanya prosedur dan tanggung
jawab untuk menangani
perlindungan malware pada
sistem, pelatihan dalam
penggunaan, pelaporan dan
perbaikan dari serangan
malware
1 √ 1
8. Adanya prosedur
mengumpulkan informasi
tentang malware baru secara
teratur
1 √ 1
9. Prosedur untuk memverifikasi
informasi yang berkaitan
dengan malware
1 √ 1
Total Bobot 9 Tingkat Kemampuan 1.22
12.3.1 Backup Informasi
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Kebijakan backup informasi
yang mencakup pertahanan dan
perlindungan infrormasi
1 √ 1
2. Tersedianya fasilitas backup
informasi yang memadai untuk
memastikan informasi penting
dapat dipulihkan setelah terjadi
bencana atau kegagalan media
1 √ 1
3. Pencatatan backup informasi
yang akurat dan lengkap serta
dokumentasi prosedur
perbaikan
1 √ 1
4. Penyimpanan Backup di tempat
yang aman dan jarak yang cukup 1 √ 1
5. Tingkat perlindungan fisik dan
lingkungan Backup informasi
yang konsisten sesuai dengan
standar yang diterapkan pada
lokasi utama organisasi
1 √ 1
6. Pengujian media backup secara
berkala 1 √ 1
Page 216
191
7. Penggunaan enkripsi pada
backup dalam keadaan
kerahasiaan sangat penting
1 √ 1
Total Bobot 7 Tingkat Kemampuan 1
Setelah melakukan perhitungan maturity level masing-masing
kontrol keamanan yang ada pada Klausul 12 Keamanan Operasi, selanjutnya
adalah membuat perhitungan rata-rata klausul 12 Keamanan Operasi serta
merepresentasikan hasil perhitungan kontrol keamanan di atas ke dalam grafik.
Di bawah ini merupakan tabel perhitungan rata-rata kontrol keamanan di atas
serta grafik yang menggambarkan maturity level 3 kontrol keamanan di atas.
Tabel 4. 86 Hasil Maturity Level Klausul 12
Klausul Objektif
Kontrol
Kontrol Keamanan Tingkat
Kemampuan
Rata-rata
Objektif
Kontrol
12 Keamanan
Operasi
12.2
Perlindungan
dari Malware
12.2.1 Kontrol terhadap
Malware 1.22 1.22
12.3 Backup 12.3.1 Backup Informasi 1 1
Maturity Level Klausul 12 1.11
Berdasarkan hasil perhitungan maturity level yang penulis lakukan
pada Klausul 12 Keamanan Operasi, didapatkan nilai maturity level di Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor sebesar
1.11 dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu didapat
karena pada kontrol keamanan 12.2.1 terdapat 7 pernyataan yang di nilai
dengan angka 1, lalu pada kontrol keamanan 12.3.1 seluruh pernyataan dinilai
dengan angka 1. Di bawah ini merupakan grafik yang merepresentasikan nilai
maturity level klausul 12 Keamanan Operasi
Page 217
192
Gambar 4. 12 Grafik Representasi Maturity Level Klausul 12
6. Klausul 13 Keamanan Komunikasi
Tabel 4. 87 Kerangka Kerja Perhitungan Maturity Level Klausul 13
13 Keamanan Komunikasi
13.1.1 Kontrol Jaringan
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Penetapan tanggung jawab dan
prosedur untuk pengelolaan
peralatan jaringan 1 √ 1
2. Adanya pemisahan tanggung
jawab operasional untuk
jaringan dengan operasional
yang lain
1 √ 2
3. Adanya pemantauan dan
tindakan memutus akses yang
sesuai untuk mendeteksi
tindakan yang dapat
berpengaruh terhadap keamanan
informasi
1 √ 1
4. Koordinasi manajemen untuk
mengoptimalkan layanan
kepada organisasi dan
memastikan bahwa kontrol
diterapkan secara konsisten
1 √ 2
5. Adanya autentikasi sistem di
jaringan 1 √ 2
6. Pembatasan koneksi sistem ke
jaringan 1 √ 2
Total Bobot 6 Tingkat Kemampuan 1.6
Setelah melakukan perhitungan maturity level masing-masing
kontrol keamanan yang ada pada Klausul 13 Keamanan Komunikasi,
0
0,5
1
1,5
12.2.1 Kontrol terhadap
Malware
12.3.1 Backup Informasi
Grafik Maturity Level Klausul 12 Keamanan
Operasi
Page 218
193
selanjutnya adalah membuat perhitungan rata-rata klausul 13 Keamanan
Komunikasi serta merepresentasikan hasil perhitungan kontrol keamanan di
atas ke dalam grafik. Di bawah ini merupakan tabel perhitungan rata-rata
kontrol keamanan di atas serta grafik yang menggambarkan maturity level 3
kontrol keamanan di atas.
Tabel 4. 88 Hasil Maturity Level Klausul 13
Klausul Objektif
Kontrol
Kontrol Keamanan Tingkat
Kemampuan
Rata-rata
Objektif
Kontrol
13 Keamanan
Komunikasi
13.1
Manajemen
Keamanan
Jaringan
13.1.1 Kontrol Jaringan
1.6 1.6
Maturity Level Klausul 13 1.6
Berdasarkan hasil perhitungan maturity level yang penulis lakukan
pada Klausul 13 Keamanan Komunikasi, didapatkan nilai maturity level di
Bidang Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor
sebesar 1.6 dan termasuk dalam level 1 yaitu Performed Informally. Hasil itu
didapat karena pada kontrol keamanan 13.1.1 terdapat 2 pernyataan yang
dinilai dengan angka 1. Di bawah ini merupakan grafik yang
merepresentasikan nilai maturity level klausul 13 Keamanan Komunikasi
Page 219
194
Gambar 4. 13 Grafik Representasi Maturity Level Klausul 13
7. Klausul 16 Pengelolaan Insiden Keamanan Informasi
Tabel 4. 89 Kerangka Kerja Perhitungan Maturity Level Klausul 16
16 Pengelolaan Insiden Keamanan Informasi
16.1.2 Pelaporan Peristiwa Keamanan Informasi
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Pegawai menyadari akan
tanggung jawabnya untuk
melaporkan kejadian keamanan
informasi secepat mungkin
1 √ 2
2. Adanya prosedur untuk
melaporkan kejadian keamanan
informasi terkait dengan
pelanggaran akses, malfungsi
perangkat lunak atau perangkat
keras, adanya perubahan sistem
yang tidak terkendali
1 √ 1
Total Bobot 2 Tingkat Kemampuan 1.5
16.1.3 Pelaporan Kelemahan Keamanan Informasi
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Adanya arahan bagi karyawan
maupun kontraktor untuk
mencatat kelemahan keamanan
sistem yang dicurigai
1 √ 1
2. Adanya mekanisme pelaporan
kelemahan keamanan informasi
yang mudah diakses
1 √ 1
Total Bobot 2 Tingkat Kemampuan 1
16.1.4 Penilaian dan Keputusan tentang Kejadian Keamanan Informasi
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Penilaian titik kontak setiap
peristiwa keamanan informasi
menggunakan kejadian
1 √ 1
0
0,5
1
1,5
2
13.1.1 Kontrol
Jaringan
Grafik Maturity Level Klausul 13 Keamanan Komunikasi
Page 220
195
keamanan informasiyang
disepakati
2. Klasifikasi dan penentuan
prioritas insiden dari skala
klasifikasi insiden dilakukan
1 √ 1
3. Hasil penilaian dan keputusan
reasesmen dicatat secara rinci 1 √ 1
Total Bobot 3 Tingkat Kemampuan 1
16.1.5 Respon Terhadap Insiden Keamanan Informasi
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Adanya pengumpulan bukti
sesegera mungkin setelah
terjadinya insiden keamanan
informasi
1 √ 2
2. Adanya prosedur untuk
mengkomunikasikan
keberadaan insiden keamanan
informasi
1 √ 1
3. Adanya pencatatan insiden
keamanan informasi untuk
selanjutnya dilakukan analisis
penyebab insiden keamanan
infomasi
1 √ 1
Total Bobot 3 Tingkat Kemampuan 1.3
16.1.6 Belajar Dari Insiden Keamanan Informasi
No Penyataan Bobot 1 2 3 4 5 Nilai
1. Terdapat mekanisme yang
digunakan untuk mengukur dan
memonitor jenis, frekuensi dan
biaya insiden keamanan
informasi
1 √ 1
2. Evaluasi insiden keamanan
informasi digunakan untuk
meningkatkan kinerja keamanan
serta membatasi frekuensi,
kerusakan dan biaya kejadian di
masa depan
1 √ 1
Total Bobot 2 Tingkat Kemampuan 1
Setelah melakukan perhitungan maturity level masing-masing
kontrol keamanan yang ada pada Klausul 16 Pengelolaan Insiden Keamanan
Informasi, selanjutnya adalah membuat perhitungan rata-rata klausul 16
Pengelolaan Insiden Keamanan Informasi serta merepresentasikan hasil
perhitungan kontrol keamanan di atas ke dalam grafik. Di bawah ini merupakan
tabel perhitungan rata-rata kontrol keamanan di atas serta grafik yang
menggambarkan maturity level 3 kontrol keamanan di atas.
Page 221
196
Tabel 4. 90 Hasil Maturity Level Klausul 16
Klausul Objektif
Kontrol
Kontrol Keamanan Tingkat
Kemampuan
Rata-rata
Objektif
Kontrol
16. Pengelolaan
Insiden
Keamanan
Informasi
16.1
Manajemen
Insiden
Keamanan
Informasi dan
Pebaikan
16.1.2 Pelaporan
Peristiwa keamanan
informasi 1.5
1.16
16.1.3 Pelaporan
kelemahan keamanan
informasi
1
16.1.4 Penilaian dan
keputusan tentang
kejadian keamanan
informasi
1
16.1.5 Respon terhadap
insiden keamanan
informasi
1.3
16.1.6 Belajar dari
Insiden Keamanan
Informasi
1
Maturity Level Klausul 16 1.16
Berdasarkan hasil perhitungan maturity level yang penulis lakukan
pada Klausul 16 Pengelolaan Insiden Keamanan Informasi, didapatkan nilai
maturity level di Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor sebesar 1.16 dan termasuk dalam level 1 yaitu Performed
Informally. Hasil itu didapat karena pada kontrol keamanan 16.1.2 terdapat 1
pernyataan yang mendapat nilai 1, lalu semua pernyataan pada kontrol
keamanan 16.1.3, kontrol keamanan 16.1.4, kontrol keamanan 16.1.6
mendapat nilai 1 dan pada kontrol keamanan 16.1.5 terdapat 2 pernyataan yang
mendapat nilai 1. Di bawah ini merupakan grafik yang merepresentasikan nilai
maturity level klausul 16 Pengelolaan Insiden Keamanan Informasi.
Page 222
197
Gambar 4. 14 Grafik Representasi Maturity Level Klausul 16
4.3.4 Tahapan Act
Tahapan yang dilakukan setelah mengukur maturity level dari tiap-tiap
objektif kontrol serta kontrol keamanan pada Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten Bogor yaitu
melakukan Penelusuran bukti terhadap pernyataan-pernyataan yang ada pada
kontrol keamanan. Penelusuran bukti ini berguna untuk mencocokkan nilai
maturity level yang sudah diberikan oleh beberapa responden dalam kuisioner
dengan kondisi sebenarnya yang ada pada Bidang Penyelenggaraan E-
Government Dinas Komunikasi dan Informatika Kabupaten Bogor.
Setelah tahap penelusuran bukti selesai dilakukan, maka langkah terakhir
adalah memberikan rekomendasi bagi Bidang Penyelenggaraan E-Government
Dinas Komunikasi dan Informatika Kabupaten Bogor untuk dapat mempebaiki
serta meningkatkan kontrol keamanan yang sesuai dengan standar ISO
0
0,5
1
1,5
16.1.2 Pelaporan Peristiwa
keamanan informasi
16.1.3 Pelaporan kelemahan
keamanan informasi
16.1.4 Penilaian dan
keputusan tentang kejadian
keamanan informasi
16.1.5 Respon terhadap
insiden keamanan informasi
16.1.6 Belajar dari Insiden
Keamanan Informasi
Grafik Maturity Level Klausul 16 Pengelolaan Insiden
Keamanan Informasi
Page 223
198
27001:2013. Ringkasan perhitungan nilai rata-rata maturity level dari seluruh
klausul yang ada pada sub bagian 4.3.3.2 akan dijelaskan di bawah ini.
Tabel 4. 91 Nilai Maturity Level Seluruh Klausul
Klausul Maturity
Level
Klausul 7 Keamanan Sumber Daya Manusia 1.75
Klausul 8 Manajemen Aset 1.6
Klausul 9 Kontrol Akses 1.25
Klausul 11 Keamanan Fisik dan Lingkungan 1.48
Klausul 12 Keamanan Operasi 1.11
Klausul 13 Keamanan Komunikasi 1.6
Klausul 16 Pengelolaan Insiden Keamanan Informasi 1.16
Total 9.95
Rata-Rata 1.42
Di bawah ini merupakan grafik yang merepresentasikan nilai maturity
level pada tabel 4.91.
Gambar 4. 15 Grafik Representasi Maturity Level Seluruh Klausul
Dari hasil perhitungan keseluruhan klausul yang peneliti gunakan
didapatkan nilai maturity level sebesar 1.42 yang berada dalam kategori
Performed Informally yang berarti sebagian besar kegiatan pada Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika Kabupaten
0
0,5
1
1,5
2
Klausul 7 Keamanan Sumber
Daya Manusia
Klausul 8 Manajemen Aset
Klausul 9 Kontrol Akses
Klausul 11 Keamanan Fisik
dan LingkunganKlausul 12 Keamanan Operasi
Klausul 13 Keamanan
Komunikasi
Klausul 16 Pengelolaan
Insiden Keamanan Informasi
Grafik Maturity Level Seluruh Klausul
Page 224
199
Bogor belum sepenuhnya direncanakan, kinerja yang dilakukan masih bergantung
pada pengetahuan pribadi pegawai serta organisasi.
Setelah melakukan penilaian maturity level serta merepresentasikan dalam
bentuk grafik di atas, penulis melakukan penelusuran bukti terhadap dokumen
atau kegiatan-kegiatan yang sesuai untuk menggambarkan nilai yang ada pada
saat melakukan penilaian maturity level.
4.3.4.1 Penelusuran Bukti
Tabel 4.92 merupakan hasil temuan kondisi Bidang
Penyelenggaraan E-Government Dinas Komunikasi dan Informatika
Kabupaten Bogor.
Tabel 4. 92 Hasil Temuan Seluruh Kontrol Keamanan
7.1.1 Penyaringan
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Pemeriksaan
verifikasi latar
belakang pada semua
kandidat untuk
pekerjaan harus
dilakukan sesuai
dengan hukum,
peraturan dan etika
yang relevan dan
harus proporsional
dengan persyaratan
bisnis, klasifikasi
informasi yang akan
diakses dan risiko
yang dirasakan
Semua kandidat
dilakukan pemeriksaan
dan verifikasi latar
belakang melalui daftar
riwayat hidup
√
Pada saat recruitment,
dilaksanakan
pemeriksaan Daftar
Riwayat Hidup atau
CV sebagai salah satu
syarat pendaftaran
-
Konfirmasi kualifikasi
akademik dan
professional yang
diklaim, serta verifikasi
identitas independen
(Contoh: paspor atau
dokumen serupa)
√
Adanya pemeriksaan
terhadap Ijazah atau
sertifikat pengalaman
kerja sebelumnya
terhadap pelamar
-
Verifikasi yang lebih
rinci (Contoh: Peninjauan
ulang kredit atau catatan
kriminal) √
Berdasarkan kontrol
7.1.1 sebaiknya dalam
syarat pendaftaran
dimasukkan syarat
untuk melampirkan
SKCK dari kepolisian
Memastikan kandidat
memiliki kompetensi
untuk melakukan peran
keamanan √
Berdasarkan kontrol
7.1.1 sebaiknya ada
prosedur untuk
memastikan pelamar
memiliki kemampuan
melakukan peran
keamanan
Page 225
200
7.2.1 Tanggung Jawab Manajemen
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Manajemen
mengharuskan semua
karyawan dan
kontraktor untuk
menerapkan
keamanan informasi
sesuai dengan
kebijakan dan
prosedur organisasi
yang telah ditetapkan
Manajemen memberikan
pengarahan tentang peran
dan tanggung jawab
keamanan informasi
terhadap karyawan atau
kontraktor sebelum
diberikan akses ke
informasi rahasia
√
Adanya arahan secara
lisan dari Kepala
Bidang
Penyelenggaraan E-
Government
DISKOMINFO Kab.
Bogor kepada Kepala
Seksi serta staf di tiap
seksi tentang
tanggung jawab
mereka
-
Pemberian pedoman dan
pengarahan tentang
harapan keamanan
informasi dari peran
karyawan dan kontraktor
di dalam organisasi
√
Adanya arahan secara
lisan dari Kepala
Bidang
Penyelenggaraan E-
Government
DISKOMINFO Kab.
Bogor tentang
harapan serta tujuan
yang ingin dicapai
oleh Bidang
Penyelenggaraan E-
Government
DISKOMINFO Kab.
Bogor
-
Memastikan karyawan
atau kontraktor memiliki
motivasi dan terus
memiliki keterampilan
dan kualifikasi yang
sesuai untuk memenuhi
kebijakan keamanan
informasi
√
Berdasarkan kontrol
7.2.1 seharusnya
Kepala Bidang
Penyelenggaraan E-
Government
memastikan bahwa
tiap stafnya memiliki
motivasi serta
keterampilan yang
konsisten untuk
memenuhi kebijakan
keamanan informasi
7.2.2 Kesadaran Keamanan Informasi, Pendidikan, dan Pelatihan
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Semua karyawan
organisasi dan, jika
relevan, kontraktor
harus menerima
pendidikan dan
pelatihan kesadaran
yang sesuai dan
pembaruan rutin
dalam kebijakan dan
prosedur organisasi,
yang relevan untuk
Adanya program
kesadaran keamanan
informasi yang bertujuan
untuk membuat
karyawan atau kontraktor
menyadari tanggung
jawab mereka untuk
keamanan informasi
√
Pada tahun 2017
DISKOMINFO Kab.
Bogor pernah
mengadakan
pelatihan keamanan
informasi yang
narasumbernya
berasal dari BSSN
dan KOMINFO
-
Program kesadaran
keamanan informasi
harus ditetapkan dan
√
Berdasarkan kontrol
7.2.2 sebaiknya
Bidang
Page 226
201
fungsi pekerjaan
mereka
relevan dengan kebijakan
dan prosedur keamanan
informasi organisasi
(Contoh: pelaksanaan
hari keamanan informasi
dan menerbitkan buklet
atau buletin tentang
keamanan informasi)
Penyelenggaraan E-
Government yang
bertugas dalam hal
keamanan informasi
membuat sebuah
edaran tentang
keamanan informasi
untuk mengedukasi
karyawan atau staf
yang berada di bidang
lain
Pendidikan dan pelatihan
keamanan informasi
harus direncanakan
dalam waktu tertentu dan
dilakukan secara
bertahap
√
Berdasarkan kontrol
7.2.2 sebaiknya
Bidang
Penyelenggaraan E-
Government selalu
memiliki untuk
memberikan
pelatihan keamanan
baik pelatihan
menggunakan
narasumber dari luar
maupun dari dalam
organisasi
Memisahkan tanggung
jawab pribadi dan
tanggung jawab umum
serta memastikan tidak
adanya tindakan sendiri
dalam mengamankan
atau melindungi
informasi milik
organisasi dan milik
pihak eksternal
√
Berdasarkan kontrol
7.2.2 sebaiknya
Kepala Bidang
Penyelenggara E-
Government
memberikan arahan
kepada staf untuk
tidak melakukan
tindakan sendiri
apabila ada suatu
insiden keamana
informasi
Memberikan kesadaran
untuk melakukan
prosedur keamanan
informasi dasar (Contoh:
Pelaporan insiden
keamanan informasi) dan
kontrol dasar (Contoh:
Keamanan kata sandi,
dan kontrol malware)
√
Adanya kesadaran
dari staf NOC untuk
melaporkan apabila
terjadi insiden
keamanan informasi
walaupun dalam
bentuk lisan
-
8.1.1 Inventarisasi Aset
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Aset yang terkait
dengan informasi dan
fasilitas pemrosesan
informasi harus
diidentifikasi dan
inventarisasi aset-aset
Aset yang terkait dengan
informasi dan fasilitas
pemrosesan informasi
harus diidentifikasi dan
inventarisasi aset harus
dibuat dan dipelihara
√
Terdapat Daftar
Inventarisasi Aplikasi
OPD Kabupaten
Bogor
-
Page 227
202
ini harus dibuat dan
dipelihara
Aset yang relevan dalam
siklus hidup informasi
(pembuatan, pemrosesan,
penyimpanan, transmisi,
penghapusan, dan
penghancuran) harus
diidentifikasi dan
dokumentasinya dibuat
dan disimpan dalam
inventaris khusus
√
Berdasarkan kontrol
8.1.1 seharusnya aset
yang berkaitan
dengan siklus hidup
informasi harus
didokumentasikan
serta disimpan dalam
invetasris khusus
Inventaris aset harus
akurat, terbaru, konsisten,
dan sejajar dengan
inventaris lain.
√
Daftar Inventarisasi
Aplikasi OPD
Kabupaten Bogor
diperbaharui setiap
tahun
-
8.1.2 Kepemilikan Aset
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Aset yang
dipertahankan dalam
inventaris harus
dimiliki
Kepemilikan atas aset
harus diberikan ketika
aset didapatkan atau
diterima oleh organisasi √
Peraturan Bupati
Bogor Nomor 11
Tahun 2015 yang
menyatakan
DISKOMINFO Kab.
Bogor sebagai Wali
Data
-
Aset diinventarisasi,
diklasifikasikan dan
dilindungi dengan tepat
√
Peraturan Bupati
Bogor Nomor 11
Tahun 2015 yang
menyatakan
DISKOMINFO Kab.
Bogor harus menjaga
keamanan data dan
informasi
-
Aset didefinisikan dan
ditinjau secara berkala
dengan kebijakan kontrol
akses yang berlaku. √
Berdasarkan kontrol
8.1.2 hak akses
terhadap aset harus
ditinjau secara
berkala untuk
mencegah terjadinya
akses yang tidak sah
Memastikan penanganan
yang tepat saat aset
dihapus
√
Berdasarkan kontrol
8.1.2 sebaiknya ketika
aset dihapus harus
didokumentasikan
agar ketika
melakukan
inventarisasi aset
diketahui mana aset
yang masih ada dan
yang sudah dihapus
8.2.1 Klasifikasi Informasi
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Informasi harus
diklasifikasikan
Terdapat skema
klasifikasi informasi, √
Berdasarkan kontrol
8.2.1 harus terdapat
Page 228
203
dalam persyaratan
hukum, nilai,
kekritisan, dan
kepekaan terhadap
pengungkapan atau
modifikasi yang tidak
sah.
yang digunakan untuk
klasifikasi dan kriteria
informasi untuk meninjau
klasifikasi dari waktu ke
waktu
skema untuk
mengkalisifikasikan
informasi agar
organisasi dapat
dengan mudah
meninjaunya dari
waktu ke waktu
Skema klasifikasi
informasi harus
berdasarkan
confidentiality
(kerahasiaan), integrity
(integritas), dan
availability
(ketersediaan)
√
Berdasarkan kontrol
8.2.1 seharusnya ada
skema klasifikasi
informasi
berdasarkan aspek
kerahasiaan,
integritas, dan
ketersediaan
Skema klasifikasi
informasi bersifat
konsisten di dalam
organisasi √
Berdasarkan kontrol
8.2.1 seharusnya
informasi
diklasifikasikan
secara konsisten
menggunakan cara
yang sama
Klasifikasi informasi
harus dimasukkan ke
dalam proses bisnis
organisasi √
Berdasarkan kontrol
8.2.1 seharusnya
DISKOMINFO Kab.
Bogor memasukkan
kegiatan klasifikasi
informasi ke dalam
proses bisnis
organisasi
Hasil klasifikasi
informasi harus
menunjukkan nilai aset
√
Berdasarkan kontrol
8.2.1 klasifikasi
informasi harus
menunjukkan nilai
aset yang dinilai
berdasarkan aspek
kerahasiaan,
integritas, dan
ketersediaan
Hasil klasifikasi
informasi diperbaharui
sesuai dengan perubahan
nilai aset dan kekritisan
aset √
Berdasarkan kontrol
8.2.1 organisasi harus
memperbaharui nilai
aset yang telah
diklasifikasikan untuk
menentukan langkah
yang tepat dalam
melindungi informasi
tersebut
9.1.1 Kebijakan Kontrol Akses
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Kebijakan kontrol
akses harus
ditetapkan,
didokumentasikan
Pemilik aset menentukan
aturan akses kontrol yang
tepat, hak akses dan
pembatasan aturan
√
Ketika data-data dinas
lain disimpan ke
dalam server
DISKOMINFO Kab.
-
Page 229
204
dan ditinjau
berdasarkan
persyaratan
keamanan bisnis dan
informasi
pengguna terhadap aset
mereka
Bogor ada
kesepakatan hal apa
saja yang bisa diakses
dan yang tidak dapat
diakses oleh
DISKOMINFO Kab.
Bogor
Adanya kebijakan
kontrol akses bersifat
fisik dan logis yang baik
dan telah
dipertimbangakan
bersama-sama
√
Berdasarkan kontrol
9.1.1 seharusnya
terdapat kebijakan
kontrol akses yang
baik dan disepakati
oleh semua pihak
Terdapat undang-undang
yang relevan dan
kewajiban kontraktual
apa pun terkait
pembatasan akses ke data
atau layanan √
Undang-undang
kependudukan
mengatur bahwa data
SIAK (Sistem
Informasi
Kependudukan)
hanya boleh diakses
oleh Dinas
Kependudukan dan
Pencatatan Sipil
-
Adanya peninjauan
kembali hak akses secara
berkala dan penghapusan
hak akses apabila tidak
sesuai
√
Berdasarkan kontrol
9.1.1 seharusnya hak
akses ditinjau secara
berkala untuk
menghindari adanya
akses yang tidak sah
9.1.2 Akses ke Jaringan dan Layanan Jaringan
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Pengguna hanya
boleh diberikan akses
ke jaringan dan
layanan jaringan yang
telah secara khusus
diizinkan untuk
digunakan
Pengguna hanya
boleh diberikan akses
ke jaringan dan
layanan jaringan yang
telah secara khusus
diizinkan untuk
digunakan
Adanya kebijakan yang
mengatur jaringan dan
layanan jaringan mana
yang diizinkan untuk
diakses √
Menurut kontrol 9.1.2
kebijakan untuk
mengatur jaringan
yang dapat diakses
harus ada untuk
mencegah terjadinya
akses yang tidak sah
ke jaringan yang
bersifat pribadi.
Adanya kebijakan yang
mengatur prosedur
otorisasi untuk
menentukan siapa yang
diizinkan untuk
mengakses jaringan atau
layanan jaringan tertentu
√
Pemberian izin
mengakses jaringan
atau layanan jaringan
mengikuti kebijakan
dari pimpinan
-
Adanya kebijakan yang
mengatur sarana yang
digunakan untuk
mengakses jaringan dan
layanan jaringan
(misalnya penggunaan
√
DISKOMINFO
Kabupaten Bogor
telah menggunakan
VPN
-
Page 230
205
VPN atau jaringan
nirkabel)
Adanya kebijakan yang
mengatur persyaratan
autentikasi (validasi)
pengguna untuk
mengakses berbagai
layanan jaringan
√
Berdasarkan kontrol
9.1.2 kebijakan untuk
validasi pengguna
harus ada untuk
mengetahui
memastikan layanan
jaringan diakses oleh
orang yang
berkepentingan
Adanya kebijakan yang
mengatur pemantauan
penggunaan layanan
jaringan
√
Adanya pemantauan
menggunakan
aplikasi DUDE
-
11.1.2 Kontrol Entri Fisik
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Area aman harus
dilindungi oleh
kontrol entri yang
tepat untuk
memastikan bahwa
hanya personel yang
berwenang yang
diperbolehkan
mengakses
Pencatatan tanggal dan
waktu masuk dan
keluarnya pengunjung
dicatat dan adanya
pengawasan terhadap
pengunjung √
Pada saat masuk ke
dalam
DISKOMINFO Kab.
Bogor terdapat staf
resepsionis yang
mengawasi melalui
kamera CCTV dan
apabila masuk ke
ruangan server ada
petugas NOC yang
mengawasi melalui
CCTV.
-
Akses ke daerah-daerah
dimana informasi rahasia
diproses atau disimpan
(Contoh: Ruang server)
harus dibatasi untuk
individu yang berwenang
dengan menerapkan
kontrol akses yang sesuai
(Contoh: menggunakan
kartu akses atau
fingerprint)
√
Terdapat
perlindungan berupa
pemakaian
fingerprint pada saat
ingin masuk ke
ruangan server
-
Pemantauan dan
penjagaan buku masuk
fisik atau jejak audit
elektronik dari semua
akses
√
Petugas NOC
melakukan
pencatatan siapa saja
yang masuk ke dalam
ruangan server
-
Semua pegawai atau
pihak eksternal memakai
tanda pengenal √
Hanya pegawai
DISKOMINFO Kab.
Bogor yang memakai
tanda pengenal
-
Perbaharuan aturan
tentang hak akses untuk
mengamankan daerah
yang aman secara berkala
√
Berdasarkan kontrol
11.1.2 seharusnya hak
akses ke obyek vital
seperti ruang server
harus terus
Page 231
206
diperbaharui untuk
mencegah orang yang
tidak berkepentingan
mengakses obyek
tersebut
11.1.3 Mengamankan Kantor, Ruangan, dan Fasilitas
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Keamanan fisik untuk
kantor, kamar dan
fasilitas harus
dirancang dan
diterapkan
Fasilitas utama
ditempatkan di tempat
yang aman dan tidak
dapat diakses oleh publik √
Aset berupa server
berada di lantai 2
DISKOMINFO Kab.
Bogor, dan untuk
dapat menuju lantai 2
harus melapor ke
resepsionis di lantai 1
-
Terdapat tanda baik di
dalam atau di luar
bangunan yang
menandakan adanya
tempat pengelolaan dan
pengolahan data atau
informasi
√
Terdapat tanda berupa
tulisan “Ruang
Server” di pintu ruang
server
-
11.1.4 Melindungi Terhadap Ancaman Eksternal dan Lingkungan
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Perlindungan fisik
terhadap bencana
alam, serangan atau
kecelakaan yang
berbahaya harus
dirancang dan
diterapkan.
Terdapat rancangan atau
penerapan perlindungan
fisik terhadap aset dari
adanya bencana alam,
serangan atau kecelakaan
yang berbahaya
√
Terdapat alat
pemadam kebakaran
untuk mengantisipasi
apabila terjadi insiden
kebakaran
-
Adanya saran dari ahli
tentang bagaimana cara
untuk menghindari
kerusakan dari segala
ancaman seperti
kebakaran, banjir, gempa
bumi, ledakan, atau
ancaman lain
√
Dalam tahap
pembangunan gedung
DISKOMINFO Kab.
Bogor meminta saran
kepada konsultan
perencana
-
11.2.2 Utilitas Pendukung
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Peralatan harus
dilindungi dari
gangguan listrik dan
gangguan lain yang
disebabkan oleh
kegagalan dalam
mendukung utilitas
Adanya peraturan
mengenai utilitas
pendukung sesuai dengan
spesifikasi peralatan dan
persyaratan hukum
organisasi
√
Berdasarkan kontrol
11.2.2 harus dibuat
peraturan tentang
utilitas pendukung
yang sesuai dengan
spesifikasi pabrik dan
persyaratan hukum
pihak DISKOMINFO
Penilaian utilitas
pendukung secara teratur
√
Berdasarkan kontrol
11.2.2 utilitas
pendukung harus
dinilai dalam jangka
waktu tertentu untuk
Page 232
207
memastikan apakah
utilitas pendukung
masih layak
digunakan atau tidak
Adanya aturan tentang
pemeriksaan dan
pengujian sarana
pendukung secara teratur √
Sarana pendukung
berupa Air
Conditioner terutama
di ruangan server
dilaksanakan
pemeliharaan secara
rutin
-
11.2.3 Keamanan Kabel
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Kabel daya dan
telekomunikasi yang
membawa data atau
layanan informasi
pendukung harus
dilindungi dari
intersepsi,
interferensi atau
kerusakan
Adanya peraturan
mengenai listrik dan jalur
telekomunikasi ke
fasilitas pengolahan
informasi yang
menyatakan harus di
bawah tanah
√
Jalur listrik dan jalur
telekomunikasi
ditempatkan di bawah
tanah
-
Adanya peraturan
pemisahan kabel listrik
dengan kabel komunikasi
√
Kabel listrik dan
kabel komunikasi
dipisah
-
11.2.4 Pemeliharaan Peralatan
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Peralatan harus
dipelihara dengan
benar untuk
memastikan
ketersediaan dan
integritasnya yang
berkelanjutan
Terdapat peraturan
mengenai spesifikasi
peralatan dan
pemeliharaan peralatan
dalam interval yang
direkomendasikan
pemasok
√
Berdasarkan kontrol
11.2.4 peraturan
terkait jadwal service
peralatan yang sesuai
dengan anjuran pihak
vendor atau pemasok
harus dibuat
Pemeliharaan atau
perbaikan peralatan
dilakukan oleh personil
yang berwenang
√
Pemeliharaan
dilakukan oleh pihak
ketiga atau vendor
-
Memastikan peralatan
berfungsi dengan baik
sebelum mengoperasikan
kembali setelah proses
pemeriksaan dan
pemeliharaan
√
Berdasarkan kontrol
11.2.4 peralatan yang
selesai dilakukan
perawatan harus
dipastikan berfungsi
dengan baik sebelum
digunakan kembali
12.2.1 Kontrol Terhadap Malware
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Kontrol deteksi,
pencegahan, dan
pemulihan untuk
melindungi terhadap
malware harus
diterapkan,
dikombinasikan
Kebijakan mengenai
penggunaan perangkat
lunak yang resmi beserta
pengontrolannya √
Berdasarkan kontrol
12.2.1 harus ada
kebijakan yang
mengatur penggunaan
software yang resmi
dan larangan
menggunakan
Page 233
208
dengan kesadaran
pengguna yang sesuai
software yang tidak
resmi
Kontrol untuk mencegah
dan mendeteksi
perangkat lunak yang
tidak sah serta
penggunaan situs
berbahaya yang dicurigai
√
Berdasarkan kontrol
12.2.1 harus ada
kontrol yang
diterapkan untuk
mendeteksi serta
melarang apabila ada
yang menggunakan
software yang tidak
sah
Adanya kebijakan terkait
dengan sumber yang
digunakan untuk
mendapatkan file dan
software untuk mencegah
risiko
√
Berdasarkan kontrol
12.2.1 harus ada
kebijakan yang
mengatur software
yang digunakan
didapatkan dari
sumber atau situs
yang terpercaya
Adanya manajemen
kerentanan terhadap
malware
√
Berdasarkan kontrol
12.2.1 manajemen
kerentanan
diperlukan untuk
mengurangi celah
keamanan yang dapat
dimanfaatkan
malware
Tinjauan rutin perangkat
lunak dan konten data
sistem yang mendukung
proses bisnis yang
penting √
Berdasarkan kontrol
12.2.1 seharusnya ada
tinjauan rutin dalam
jangka waktu tertentu
untuk memastikan
software yang
digunakan sesuai
dengan kebutuhan
organisasi
Instalasi dan
pembaharuan rutin
software pendeteksi
malware serta perbaikan
perangkat lunak untuk
memindai komputer dan
media
√
Pembaharuan lisensi
antivirus Kaspersky
yang dilakukan setiap
tahun
-
Adanya prosedur dan
tanggung jawab untuk
menangani perlindungan
malware pada sistem,
pelatihan dalam
penggunaan, pelaporan
dan perbaikan dari
serangan malware
√
Berdasarkan kontrol
12.2.1 seharusnya ada
prosedur untuk
pelatihan
perlindungan,
pelaporan, serta
perbaikan apabila
terjadi serangan
malware
Adanya prosedur
mengumpulkan informasi
√
Berdasarkan kontrol
12.2.1 seharusnya ada
prosedur untuk
Page 234
209
tentang malware baru
secara teratur
mengumpulkan
informasi tentang
jenis malware yang
baru dan cara
penanggulangannya
Prosedur untuk
memverifikasi informasi
yang berkaitan dengan
malware
√
Berdasarkan kontrol
12.2.1 seharusnya ada
prosedur untuk
memverifikasi isu-isu
terbaru yang
berkaitan dengan
malware
12.3.1 Backup Informasi
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Salinan cadangan
informasi, perangkat
lunak dan gambar
sistem harus diambil
dan diuji secara
teratur sesuai dengan
kebijakan cadangan
yang disepakati
Kebijakan backup
informasi yang
mencakup pertahanan
dan perlindungan
infrormasi
√
Berdasarkan kontrol
12.3.1 seharusnya
terdapat kebijakan
backup untuk
melindungi informasi
Tersedianya fasilitas
backup informasi yang
memadai untuk
memastikan informasi
penting dapat dipulihkan
setelah terjadi bencana
atau kegagalan media
√
Berdasarkan kontrol
12.3.1 seharusnya
terdapat fasilitas
backup informasi agar
data atau informasi
dapat segera
dipulihkan apabila
terjadi insiden
Pencatatan backup
informasi yang akurat
dan lengkap serta
dokumentasi prosedur
perbaikan
√
Berdasarkan kontrol
12.3.1 seharusnya ada
pencatatan waktu
kapan backup
informasi dilakukan
Penyimpanan Backup di
tempat yang aman dan
jarak yang cukup
√
Berdasarkan kontrol
12.3.1 seharusnya
tempat untuk backup
informasi harus
berada di jarak yang
aman dari tempat
utama untuk
menghindari dampak
apabila terjadi suatu
insiden
Tingkat perlindungan
fisik dan lingkungan
Backup informasi yang
konsisten sesuai dengan
standar yang diterapkan
pada lokasi utama
organisasi
√
Berdasarkan kontrol
12.3.1 tempat yang
digunakan sebagai
lokasi backup
informasi harus
dilindungi sesuai
dengan standar lokasi
utama organisasi
Pengujian media backup
secara berkala
√
Berdasarkan kontrol
12.3.1 seharusnya
media backup
dilakukan pengujian
Page 235
210
berkala untuk
memastikan
fungsinya berjalan
dengan baik
Penggunaan enkripsi
pada backup dalam
keadaan kerahasiaan
sangat penting
√
Berdasarkan kontrol
12.3.1 seharusnya
backup dilindungi
dengan menggunakan
enkripsi untuk
mencegah hacker
mengakses informasi
yang penting
13.1.1 Kontrol Jaringan
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Jaringan harus
dikelola dan
dikendalikan untuk
melindungi informasi
dalam sistem dan
aplikasi
Penetapan tanggung
jawab dan prosedur untuk
pengelolaan peralatan
jaringan
√
Berdasarkan kontrol
13.1.1 seharusnya
terdapat prosedur
untuk mengelola
peralatan jaringan dan
siapa yang
bertanggung jawab
mengelola peralatan
jaringan tersebut
Adanya pemisahan
tanggung jawab
operasional untuk
jaringan dengan
operasional yang lain
√
Terdapat 2 orang staf
NOC dari Seksi
Infrastuktur dan
Jaringan yang
bertugas untuk
memantau jaringan
-
Adanya pemantauan dan
tindakan memutus akses
yang sesuai untuk
mendeteksi tindakan
yang dapat berpengaruh
terhadap keamanan
informasi
√
Adanya instruksi
secara lisan dari
Kepala Seksi
Infrastruktur dan
Teknologi untuk
memutus akses
apabila terdapat akses
yang mencurigakan
-
Koordinasi manajemen
untuk mengoptimalkan
layanan kepada
organisasi dan
memastikan bahwa
kontrol diterapkan secara
konsisten
√
Berdasarkan kontrol
13.1.1 seharusnya
pihak manajemen
berkoordinasi dengan
pihak yang mengelola
jaringan untuk
memastikan layanan
berjalan optimal bagi
organisasi
Adanya autentikasi
sistem di jaringan √
Penggunaan Microtik
ketika ingin masuk ke
jaringan
-
Pembatasan koneksi
sistem ke jaringan √
Berdasarkan kontrol
13.1.1 seharusnya
koneksi sistem ke
jaringan dibatasi agar
Page 236
211
jaringan yang ada
tidak overload
16.1.2 Pelaporan Peristiwa Keamanan Informasi
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Kejadian keamanan
informasi harus
dilaporkan melalui
saluran manajemen
yang tepat secepat
mungkin.
Pegawai menyadari akan
tanggung jawabnya untuk
melaporkan kejadian
keamanan informasi
secepat mungkin
√
Pegawai melaporkan
apabila terjadi insiden
seperti hacking
namun masih secara
lisan
-
Adanya prosedur untuk
melaporkan kejadian
keamanan informasi
terkait dengan
pelanggaran akses,
malfungsi perangkat
lunak atau perangkat
keras, adanya perubahan
sistem yang tidak
terkendali
√
Berdasarkan kontrol
16.1.2 seharusnya
terdapat prosedur
untuk melaporkan
kejadian agar
koordinasi pelaporan
bisa diketahui
16.1.3 Pelaporan Kelemahan Keamanan Informasi
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Karyawan dan
kontraktor yang
menggunakan sistem
informasi dan
layanan organisasi
harus diminta untuk
mencatat dan
melaporkan setiap
kelemahan keamanan
sistem atau layanan
yang diamati atau
dicurigai.
Adanya arahan bagi
karyawan maupun
kontraktor untuk
mencatat kelemahan
keamanan sistem yang
dicurigai
√
Berdasarkan kontrol
16.1.3 seharusnya
terdapat mekanisme
untuk mencatat
kelemahan keamanan
informasi
Adanya mekanisme
pelaporan kelemahan
keamanan informasi yang
mudah diakses √
Berdasarkan kontrol
16.1.3 seharusnya
terdapat mekanisme
untuk melaporkan
kelemahan keamanan
informasi yang
mudah diakses
16.1.4 Penilaian dan Keputusan tentang Kejadian Keamanan Informasi
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Kejadian keamanan
informasi harus
dinilai dan harus
diputuskan apakah
mereka harus
diklasifikasikan
sebagai insiden
keamanan informasi
Penilaian titik kontak
setiap peristiwa
keamanan informasi
menggunakan kejadian
keamanan informasi yang
disepakati
√
Berdasarkan kontrol
16.1.4 sebaiknya
terdapat kontak
khusus yang
menangani apabila
terjadi suatu insiden
keamanan informasi
Klasifikasi dan
penentuan prioritas
insiden dari skala
klasifikasi insiden
dilakukan
√
Berdasarkan kontrol
16.1.4 insiden harus
diklasifikasikan agar
dapat diketahui
insiden mana yang
menjadi prioritas
utama
Page 237
212
Hasil penilaian dan
keputusan reasesmen
dicatat secara rinci √
Berdasarkan kontrol
16.1.4 dokumen hasil
penilaian dan
keputusan dari
insiden yang pernah
terjadi harus dibuat
16.1.5 Respon Terhadap Insiden Keamanan Informasi
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Insiden keamanan
informasi harus
ditanggapi sesuai
dengan prosedur
terdokumentasi
Adanya pengumpulan
bukti sesegera mungkin
setelah terjadinya insiden
keamanan informasi
√
Berdasarkan kontrol
16.1.5 bukti-bukti
terkait insiden
keamanan informasi
harus dikumpulkan
sesegera mungkin
Adanya prosedur untuk
mengkomunikasikan
keberadaan insiden
keamanan informasi
√
Berdasarkan kontrol
16.1.5 harus ada
prosedur untuk
mengkomunikasikan
keberadaan insiden
keamanan keamanan
informasi
Adanya pencatatan
insiden keamanan
informasi untuk
selanjutnya dilakukan
analisis penyebab insiden
keamanan infomasi
√
Berdasarkan kontrol
16.1.5 seharusnya ada
catatan insiden yang
pernah terjadi sebagai
bahan analisis
penyebab insiden
tersebut
16.1.6 Belajar Dari Insiden Keamanan Informasi
Kontrol Petunjuk Penggunaan Dilakukan Bukti Gap
Ya Tidak
Pengetahuan yang
diperoleh dari
menganalisa dan
menyelesaikan
insiden keamanan
informasi harus
digunakan untuk
mengurangi
kemungkinan atau
dampak dari insiden
masa depan
Terdapat mekanisme
yang digunakan untuk
mengukur dan
memonitor jenis,
frekuensi dan biaya
insiden keamanan
informasi
√
Berdasarkan kontrol
16.1.6 seharusnya ada
mekanisme untuk
menganalisis
frekuensi serta biaya
apabila terjadi insiden
keamanan informasi
Evaluasi insiden
keamanan informasi
digunakan untuk
meningkatkan kinerja
keamanan serta
membatasi frekuensi,
kerusakan dan biaya
kejadian di masa depan
√
Evaluasi dilakukan
namun hasil dari
proses evaluasi tidak
didokumentasikan.
Evaluasi dilakukan
masih secara informal
-
Di bawah ini adalah beberapa foto untuk mendukung hasil temuan
yang penulis lakukan di Dinas Komunikasi dan Informatika Kabupaten Bogor
terutama pada Bidang Penyelenggaraan E-Government
Page 238
213
Gambar 4. 16 DISKOMINFO Kab Bogor Gambar 4. 17 Meja Resepsionis
Gambar 4. 18 Aplikasi Visitor Management System Gambar 4. 19 Desain DISKOMINFO Kab Bogor
Gambar 4. 20 Meja Penerima Tamu Ruang Server Gambar 4. 21 Form Pengunjung Ruang Server
Gambar 4. 22 Tampak Depan Ruang Server Gambar 4. 23 Ruang Petugas NOC
Page 239
214
Gambar 4. 24 Fingerprint di Pintu Masuk Ruang Server Gambar 4. 25 Ruang Server
Gambar 4. 26 Rak-Rak Server Gambar 4. 27 Kamera CCTV Di Dalam Ruang Server
Gambar 4. 28 Form Pengunjung Data Center
Page 240
215
Gambar 4. 29 SOP Data Center
Hasil tersebut didapatkan penulis melalui observasi serta melalui
wawancara kepada beberapa responden. Dari hasil penelusuran bukti diketahui
bahwa sebagian besar kegiatan di Bidang Penyelenggaraan E-Government
Dinas Komunikasi dan Informatika Kabupaten Bogor tidak memiliki prosedur
tertulis sehingga perintah pelaksanaan kegiatan hanya dilakukan secara
informal serta tidak ada dokumentasinya. Hal ini diperjelas oleh Kepala Seksi
Pengembangan Aplikasi dan Data yang memberikan contoh pelaporan insiden
hacking yang hanya dilakukan melalui aplikasi whatsapp atau melalui telepon
dan pelaporannya dilakukan beberapa hari setelah insiden terjadi. Dari insiden
kerusakan server serta ainsiden hacking yang pernah terjadi pada Bidang
Penyelenggaraan E-Government juga disebabkan tidak adanya prosedur pada
kontrol keamanan, antara lain: kontrol keamanan 11.2.4 Pemeliharaan
Page 241
216
Peralatan, kontrol keamanan 16.1.2 Pelaporan Peristiwa Keamanan Informasi,
dan kontrol keamanan 16.1.3 Pelaporan Kelemahan Keamanan Informasi.
Dari penelusuran bukti tersebut masih terdapat beberapa gap pada
Bidang Penyelenggaraan E-Government, oleh karena itu dibutuhkan
rekomendasi agar Bidang Penyelenggaraan E-Government DISKOMINFO
Kab. Bogor dapat memperbaiki gap yang ada. Rekomendasi akan dijelaskan
pada sub bab 4.3.4.2.
4.3.4.2 Rekomendasi
Tabel 4.93 merupakan beberapa rekomendasi yang dapat penulis
berikan untuk dapat memperbaiki gap yang ada pada Bidang Penyelenggaraan
E-Government Dinas Komunikasi dan Informatika Kabupaten Bogor
Tabel 4. 93 Rekomendasi Perbaikan
Klausul 7 Keamanan Sumber Daya Manusia
7.1 Sebelum Bekerja
7.1.1 Penyaringan
No. Rekomendasi
1. DISKOMINFO Kab. Bogor sebaiknya menambah syarat dokumen yang dibutuhkan
apabila ingin melamar kerja di DISKOMINFO Kab. Bogor yaitu dokumen SKCK dari
kepolisian untuk memastikan bahwa setiap kandidat yang melamar bersih dari berbagai
tindakan criminal
2. Lalu apabila ingin melamar sebagai staf keamanan informasi sebaiknya panitia
penerimaan pegawai melakukan tes tertentu untuk memastikan pelamar memiliki
kompetensi dalam mengatasi masalah keamanan informasi
7.2 Selama Bekerja
7.2.1 Tanggung Jawab Manajemen
No. Rekomendasi
1. Kepala Bidang Penyelenggaraan E-Government sebaiknya memberikan motivasi
langsung serta memastikan keterampilan staf yang ada pada Bidang Penyelenggara E-
Government untuk memastikan staf memiliki motivasi dan keterampilan yang sesuai
dengan harapan.
7.2.2 Kesadaran Keamanan Informasi, Pendidikan dan Pelatihan
No. Rekomendasi
1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor sebaiknya
membuat sebuah edaran atau buletin yang berisi beberapa artikel tentang keamanan
informasi dan dibagikan ke seluruh staf DISKOMINFO Kab. Bogor, sehingga staf juga
memiliki wawasan baru tentang keamanan informasi
2. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor sebaiknya
memberikan pelatihan secara berkala kepada staf yang dirasa kurang memiliki
pengetahuan tentang pentingnya keamanan informasi.
Page 242
217
3. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor memberikan
arahan kepada staf yang bertugas dalam bidang keamanan informasi untuk tidak
mengambil tindakan untuk menyelesaikan apabila terjadi suatu insiden atau melihat ada
celah keamanan pada layanan ataupun jaringan. Tindakan yang akan dilakukan harus
dikoordinasikan terlebih dahulu kepada Kepala Bidang atau Kepala Seksi yang
bersangkutan.
Klausul 8 Manajemen Aset
8.1 Tanggung Jawab Untuk Aset
8.1.1 Inventarisasi Aset
No Rekomendasi
1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor sebaiknya
memperbaharui Daftar Inventarisasi Aplikasi OPD Kabupaten Bogor setiap bulan,
sehingga Daftar Inventasisasi Aplikasi tersebut selalu up to date dan konsisten antara
Dokumen Daftar Inventarisasi Aplikasi dengan data yang ada di server DISKOMINFO
Kab. Bogor.
2. Selain itu sebaiknya Bidang Penyelenggaraan E-Government DISKOMINFO Kab.
Bogor seharusnya membuat daftar inventarisasi aset-aset lain selain daftar inventarisasi
aplikasi. Daftar aset lain bisa berisi jumlah komputer, printer, scanner, sistem operasi
yang digunakan agar aset milik Bidang Penyelenggaraan E-Government dapat dengan
mudah diidentifikasi
8.1.2 Kepemilikan Aset
No. Rekomendasi
1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor seharusnya
membuat peraturan untuk meninjau kontrol akses atas aset secara berkala untuk
memastikan aset hanya dapat diakses oleh pihak yang berkepentingan.
2. Memastikan penanganan yang tepat saat aset dihapus serta mendokumentasikan
langkah-langkah ketika aset dihapus sehingga jika suatu saat laporannya diperlukan
dapat dengan mudah ditelusuri.
8.2 Klasifikasi Informasi
8.2.1 Klasifikasi Informasi
No. Rekomendasi
1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor sebaiknya
membuat skema untuk mengklasifikasikan informasi yang berdasarkan 3 aspek yaitu
kerahasiaan, integritas, serta ketersediaan secara berkala dalam waktu berapa bulan
sekali untuk mengetahui nilai aset berdasarkan 3 aspek tersebut dan mengklasifikasikan
aset tersebut dalam kategori low risk, medium risk, atau high risk.
2. Membuat prosedur dalam melakukan klasifikasi informasi agar kegiatan klasifikasi
informasi dilakukan dengan cara yang konsisten.
3. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor sebaiknya
memasukkan kegiatan klasifikasi informasi ke dalam salah satu kegiatannya.
4. Nilai klasifikasi informasi tersebut sebaiknya diperbaharui dalam rentang waktu
beberapa bulan, sehingga nilai kekritisan aset sesuai dengan kondisi yang ada.
Klausul 9 Kontrol Akses
9.1 Kebutuhan Bisnis Terhadap Kontrol Akses
9.1.1 Kebijakan Kontrol Akses
No Rekomendasi
1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor sebaiknya
membuat kebijakan tertulis tentang kontrol akses bersifat logis, karena untuk kontrol
akses bersifat fisik sudah ada kebijakan tertulisnya berupa SOP “Akses Data Center”.
9.1.2 Akses Ke Jaringan dan Layanan Jaringan
No Rekomendasi
1. Bidang Penyelenggaraan E-Government membuat kebijakan untuk mengatur jaringan
mana saja yang dapat diakses, baik di akses oleh pihak internal organisasi maupun yang
dapat digunakan oleh pihak eksternal (pengunjung).
Page 243
218
2. Bidang Penyelenggaraan E-Government membuat kebijakan yang mengatur autentikasi
pengguna untuk menggunakan jaringan, walaupun saat ini jaringan DISKOMINFO Kab.
Bogor sudah menggunakan microtik, namun tidak terdapat kebijakan tertulisnya.
Klausul 11 Keamanan Fisik dan Lingkungan
11.1 Area Aman
11.1.2 Kontrol Entri Fisik
No Rekomendasi
1. DISKOMINFO Kab. Bogor memiliki Aplikasi Visitor Management System yang
berfungsi mencatat siapa saja yang masuk-keluar DISKOMINFO Kab. Bogor, namun
saat ini aplikasi tersebut kurang digunakan karena ketidaktegasan operator yang
mengoperasikannya. Oleh karena itu sebaiknya staf yang mengoperasikan aplikasi
tersebut diberi arahan untuk lebih tegas mengoperasikan aplikasi tersebut dan diperjelas
dengan dibuatnya SOP apabila ada pihak eksternal ingin masuk ke DISKOMINFO Kab.
Bogor
2. Sebaiknya setiap beberapa bulan hak akses staf untuk masuk-keluar ke area penting
seperti ruangan server ditinjau kembali untuk memastikan ruangan tersebut diakses oleh
orang yang benar-benar memiliki kepentingan
11.1.3 Mengamankan Kantor, Ruangan, dan Fasilitas
No Rekomendasi
1. Berkaitan dengan kontrol 11.1.3 sebaiknya memberikan pengarahan kembali kepada
operator Visitor Management System untuk lebih teratur menggunakan aplikasinya.
Untuk memastikan hanya orang-orang yang berkepentingan saja yang dapat masuk-
keluar DISKOMINFO Kab. Bogor.
11.1.4 Pengamanan Terhadap Ancaman Eksternal dan Lingkungan
No Rekomendasi
1. Pihak DISKOMINFO Kab. Bogor sebaiknya membuat rancangan pengamanan aset
yang dibuat oleh ahli untuk mengurangi resiko apabila terjadi insiden selain insiden
kebakaran, seperti insiden gempa bumi.
2. Melakukan pengecekan secara berkala terhadap alat pemadam kebakaran yang ada
untuk memastikan alat tersebut berfungsi dengan baik.
11.2 Peralatan
11.2.2 Utilitas Pendukung
No Rekomendasi
1. Bidang Penyelenggaraan E-Government peraturan utilitas pendukung yang sesuai
dengan spesifikasi pabrik dan persyaratan hukum DISKOMINFO Kab. Bogor
2. Utilitas pendukung harus dinilai secara teratur untuk memastikan utilitas pendukung
tersebut masih layak atau tidak
3. Bidang Penyelenggaraan E-Government membuat prosedur untuk pemeriksaan serta
utilitas pendukung lain selain AC. Karena utilitas pendukung seperti UPS tidak pernah
dilakukan pemeriksaan dan pengujian secara rutin.
11.2.3 Keamanan Kabel
No Rekomendasi
1. Bidang Penyelenggaraan E-Government membuat peraturan tertulis yang menyatakan
bahwa jalur listrik dan jalur komunikasi berada di bawah tanah. Karena pada prakteknya,
jalur listrik dan jalur komunikasi ada di bawah tanah
2. Bidang Penyelenggaraan E-Government membuat peraturan tertulis yang menyatakan
bahwa kabel listrik dengan kabel komunikasi harus dipisah. Karena dalam prakteknya
kabel listrik dengan kabel komunikasi dipisah, namun tidak ada peraturan tertulisnya
11.2.4 Pemeliharaan Peralatan
No Rekomendasi
1. Bidang Penyelenggaraan E-Government peraturan yang mengatur pemeliharaan
peralatan dilakukan dalam waktu berapa bulan sekali untuk memastikan peralatan yang
digunakan dalam kondisi yang baik serta sesuai dengan anjuran pihak vendor
Page 244
219
2. Memastikan kembali bahwa pelaksanaan maintenance dilakukan oleh pihak yang
berwenang serta memastikan peralatan yang selesai di maintenance berfungsi dengan
baik sebelum digunakan kembali.
3. Sebaiknya terdapat laporan kegiatan sebagai dokumentasi kegiatan maintenance
peralatan.
Klausul 12 Keamanan Operasi
12.2 Perlindungan Dari Malware
12.2.1 Kontrol terhadap Malware
No Rekomendasi
1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor seharusnya
membuat peraturan tentang penggunaan perangkat lunak yang resmi karena masih ada
beberapa komputer yang memakai perangkat lunak tidak resmi.
2. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor membuat
peraturan tentang website-website mana saja yang dapat digunakan apabila ingin
mendownload software.
3. Adanya peninjauan rutin terhadap software-software yang digunakan untuk memastikan
software yang digunakan tersebut memang digunakan untuk mendukung kegiatan
Bidang Penyelenggaraan E-Government.
4. Bidang Penyelenggaraan E-Government membuat prosedur serta form untuk
melaporkan apabila ada serangan malware.
5. Berikan arahan kepada staf untuk selalu mengumpulkan informasi terbaru tentang
malware serta cara mengatasinya apabila telah terinfeksi. Serta berikan arahan bagi staf
untuk melakukan verifikasi tentang malware terbaru apakah malware tersebut memang
benar ada atau hanya sebuah isu.
12.3 Backup
12.3.1 Backup Informasi
No Rekomendasi
1. Segera merealisasikan rencana untuk melakukan backup server di lokasi yang jauh dari
server utama seperti yang telah direncanakan di Batam atau Bali, agar apabila terjadi
insiden pada server utama seperti kebakaran atau gempa bumi, data-data penting masih
tersimpan di server lain
2. Memastikan lokasi yang dipilih sebagai tempat untuk backup server memiliki pola
perlindungan fisik dan lingkungan yang sesuai dengan standar DISKOMINFO Kab.
Bogor
3. Berikan arahan kepada karyawan atau staf yang bertugas melakukan backup data
tersebut untuk mendokumentasikan waktu, lokasi, serta data apa yang di backup ke
server lain
4. Buat peraturan untuk menguji media backup secara berkala supaya memastikan media
backup berfungsi dengan normal
5. Serta gunakan pola enkripsi ketika membackup data dari server utama ke server lain
supaya data penting tidak dapat dibobol oleh hacker
Klausul 13 Keamanan Komunikasi
13.1 Manajemen Keamanan Jaringan
13.1.1 Kontrol Jaringan
No Rekomendasi
1. Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor khususnya Seksi
Infrastruktur dan Teknologi seharusnya membuat sebuah prosedur dan menentukan
tanggung jawab staf mana untuk mengelola peralatan jaringan. Walaupun saat ini
terdapat 2 staf NOC yang bertugas untuk jaringan, namun tidak diperjelas diantara 2 staf
tersebut staf mana yang bertugas mengelola peralatan jaringan dan yang mana yang
bertugas memantau jaringan yang ada.
2. Bidang Penyelenggaraan E-Government juga sebaiknya berkoordinasi dengan pihak
manajemen kondisi jaringan yang ada supaya pihak manajemen juga bisa memberikan
masukkan untuk mengoptimalkan layanan kepada organisasi.
Page 245
220
3. Bidang Penyelenggaraan E-Government juga sebaiknya membatasi koneksi sistem yang
digunakan ke jaringan yang ada. Misalnya sistem yang memuat informasi penting tidak
diperbolehkan menggunakan jaringan yang umum dan harus menggunakan jaringan
yang terdapat VPN.
Klausul 16 Pengelolaan Insiden Keamanan Informasi
16.1 Manajemen Insiden Keamanan Informasi dan Perbaikan
16.1.2 Pelaporan Peristiwa Keamanan Informasi
No. Rekomendasi
1. Sebaiknya dibuat peraturan atau SOP tertulis tentang bagaimana alur untuk melaporkan
apabila terjadi insiden terkait keamanan informasi agar langkah-langkah dalam
melakukan pelaporan lebih jelas dan terstruktur
2. Lalu dapat juga disediakan form khusus yang dapat diisi apabila terjadi suatu insiden
agar ada dokumentasi terkait insiden apa yang pernah terjadi sebelumnya
3. Berikan pengarahan kembali kepada staf untuk melaporkan secepat mungkin setelah
terjadi suatu insiden agar Kepala Seksi yang bersangkutan dapat mengambil langkah
yang tepat untuk mengatasi insiden tersebut
16.1.3 Pelaporan Kelemahan Keamanan Informasi
No Rekomendasi
1. Sebaiknya dibuat prosedur atau mekanisme tertulis untuk melaporkan adanya
kelemahan keamanan informasi
2. Sediakan form khusus untuk mencatat kelemahan keamanan informasi yang dicurigai
sebagai bahan evaluasi untuk mengatasi kelemahan tersebut
3. Berikan arahan kepada staf untuk secepat mungkin mencatat dan melaporkan apabila
ada kelemahan keamanan sistem yang dicurigai
16.1.4 Penilaian dan Keputusan Tentang Kejadian Keamanan Informasi
No Rekomendasi
1. Kepala Bidang Penyelenggaraan E-Government sebaiknya menyediakan dokumen
klasifikasi insiden apa saja yang menjadi prioritas utama
2. Sediakan juga kontak khusus sebagai penerima laporan apabila terjadi suatu gangguan
atau insiden keamanan informasi. seperti menghubungi melalui telepon atau melalui
email, terlebih lagi jaringan juga digunakan oleh beberapa OPD yang ada di wilayah
Kab. Bogor. Diharapkan dengan adanya laporan melalui telepon atau email tersebut
gangguan atau insiden tersebut dapat ditindaklanjuti dengan cepat
3. Berkaitan dengan kontrol 16.1.2 dan kontrol 16.1.3, dari hasil penilaian insiden
sebaiknya dicatat secara rinci sebagai dokumentasi kejadian.
16.1.5 Respon Terhadap Insiden Keamanan Informasi
No Rekomendasi
1. Ini berkaitan dengan kontrol 16.1.2 dimana sebaiknya disediakan form khusus untuk
mencatat insiden apa yang pernah terjadi, lalu form tersebut dikumpulkan sebagai
dokumentasi dan bukti pernah terjadi suatu insiden
2. Selain itu dibuat prosedur untuk menyimpan bukti tersebut agar bukti tersebut disimpan
dengan tepat dan tidak hilang ketika dibutuhkan saat evaluasi
3. Mewajibkan pegawai Bidang Penyelenggaraan E-Government melaporkan adanya
insiden keamanan informasi serta mengumpulkan bukti insiden tersebut
16.1.6 Belajar Dari Insiden Keamanan Informasi
No Rekomendasi
1. Bidang Penyelenggaraan E-Government sebaiknya membuat prosedur untuk mengukur,
memonitor jenis dan frekuensi serta biaya apabila terjadi suatu insiden sebagai persiapan
apabila insiden serupa terjadi
2. Serta lebih sering melakukan evaluasi terhadap insiden yang pernah terjadi sebelumnya.
Dan hasil evaluasi sebaiknya didokumentasikan sehingga apabila insiden serupa terjadi
kembali, dapat mengikuti langkah-langkah perbaikan yang sebelumnya
Page 246
221
4.4. Interpretasi Hasil dan Pembahasan
Interpretasi hasil dibagi menjadi dua bagian, yaitu interpretasi hasil dan
pembahasan assessment process activities COBIT 5 dan interpretasi hasil dan
pembahasan metode perencanaan SMKI.
4.4.1 Interpretasi Hasil dan Pembahasan Assessment Process Activities
COBIT 5
Pada bagian ini peneliti akan membahas interpretasi hasil analisis yang
didapatkan menggunakan Assessment Process Activities COBIT 5, dimana tahap
yang digunakan adalah tahap initiation. Di bawah ini merupakan hasil interpretasi
tahap tersebut:
1. Initiation
Tahap ini dilakukan dengan menghubungkan antara entreprise goals
dengan IT-related goals yang dapat dilihat pada Gambar 4.5 dan
menghubungkan antara IT-related goals dengan domain COBIT 5 yang
dapat dilihat pada Gambar 4.6. Tahap menghasilkan domain COBIT 5
APO13 (Manage Security) yang sesuai dengan kondisi Bidang
Penyelenggaraan E-Government DISKOMINFO Kab. Bogor.
Domain APO13 (Manage Security) dipilih karena di dalamnya berisi
tentang Information Security Management System (ISMS) atau Sistem
Manajemen Keamanan Informasi yang berkaitan dengan ISO/IEC
27001:2013.
Page 247
222
4.4.2 Interpretasi Hasil dan Pembahasan Metode Perencanaan SMKI
Pada bagian ini peneliti akan membahas interpretasi hasil analisis yang
didapatkan menggunakan Metode Perencanaan SMKI, dimana tahap yang
digunakan adalah tahap plan-do-check-act (PDCA). Hasil interpretasi tersebut
dapat dilihat di bawah ini:
1. Tahap Plan
Dalam tahap ini peneliti menentukan ruang lingkup dari SMKI. Ruang
lingkup SMKI dalam penelitian ini adalah Bidang Penyelenggaraan E-
Government DISKOMINFO Kab. Bogor karena bidang ini merupakan
bidang yang bertanggung jawab menjaga data dan informasi milik dinas-
dinas lain di wilayah Kabupaten Bogor serta pada bidang ini juga
mengelola infrastruktur-infrastruktur seperti ruang server, UPS, serta
jaringan internet sehingga bidang ini harus diberikan perlindungan
semaksimal mungkin.
Selain menentukan ruang lingkup SMKI, pada tahap plan ini peneliti
juga menentukan kebijakan SMKI. Dalam menentukan kebijakan SMKI
ini terdiri dari dua tahap yaitu membuat tujuan dibuatnya SMKI dan
kebijakan-kebijakan SMKI apa saja yang sesuai. Tujuannya adalah agar
para pihak yang ada pada Bidang Penyelenggaraan E-Government
DISKOMINFO Kab. Bogor mau ikut serta dalam melaksanakan SMKI
sesuai dengan standar ISO/IEC 27001:2013.
Page 248
223
2. Tahap Do
Tahap selanjutnya adalah tahap Do, dimana pada tahap ini dilakukan
identifikasi serta penilaian risiko terhadap aset yang dimiliki Bidang
Penyelenggaraaan E-Government DISKOMINFO Kabupaten Bogor baik
aset utama maupun aset pendukung. Hasil penilaian tersebut dijadikan
acuan dalam memilih kontrol keamanan ISO/IEC 27001:2013 yang
digunakan. Hasil penilaian aset dapat dilihat pada tabel 4.94 dan tabel 4.95.
Tabel 4. 94 Rekapitulasi Level Resiko Aset Utama
No Nama Aset Nilai Resiko Level
Risiko
1 Database Sistem Informasi
Pengendalian Menara 168,75 High Risk
2 Database RKPD Online 166,6 High Risk
3 Database SIVANERJA (Sistem
Evaluasi Kinerja) 166,6 High Risk
4 Database SIAP Online (Sistem
Informasi Absensi Pegawai) 148,75 High Risk
5 Database SIMPEG (Sistem Informasi
Manajemen Kepegawaian) 140 High Risk
6 Database SIMKAS (Rencana Kerja
Anggaran Sekolah) 124,8 High Risk
Tabel 4. 95 Rekapitulasi Level Resiko Aset Pendukung
No Nama Aset Dampak
Bisnis
Level
Risiko
1 CentOS 319,6 High Risk
2 Ubuntu 217,6 High Risk
3 WHM (Web Host Manager) 216 High Risk
4 Router 208 High Risk
5 Fiber Optic 200 High Risk
6 CCTV 156 High Risk
7 Mail Server 153 High Risk
8 UPS 153 High Risk
9 Windows XP 150 High Risk
10 Windows 7 140,625 High Risk
11 Microsoft Office 136,875 High Risk
12 Wi-Fi 134,4 High Risk
13 Windows 8 131,25 High Risk
14 Server WEB Physical 124,74 High Risk
Page 249
224
15 Visitor Management System 120,45 High Risk
16 Windows 10 112,5 High Risk
17 Air Conditioner (AC) 99,45 High Risk
18 Printer 98 High Risk
19 Access Door 94,5 High Risk
20 Desktop 91 High Risk
21 Infocus 85,75 High Risk
22 Switch 80 High Risk
23 Aplikasi Monitoring Jaringan (DUDE) 70 High Risk
24 Aplikasi Monitoring Trafik pemakaian
bandwidth internet (Aplikasi MRTG) 70 High Risk
25 Kaspersky 61,25 High Risk
Dari hasil analisis risiko terhadap aset Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor, diketahui bahwa seluruh
aset yang ada pada Bidang Penyelenggaraan E-Government baik aset
utama maupun aset pendukung berada dalam level High Risk (risiko
tinggi). Hal ini dikarenakan bidang ini bertanggung jawab menjaga data
milik dinas-dinas di Kabupaten Bogor terutama di Jl. Tegar Beriman,
Cibinong sehingga Bidang Penyelenggaraan E-Government mengganggap
semua aset memiliki risiko yang tinggi karena apabila ada insiden
keamanan informasi maka bukan tidak mungkin akan mengganggu
pelayanan atau kinerja operasional dinas-dinas lain di wilayah Kabupaten
Bogor.
3. Tahap Check
Pada tahap check peneliti menentukan kontrol keamanan apa yang
sesuai dengan hasil perhitungan risiko yang dilakukan pada tahap do.
Pemilihan kontrol keamanan ini bertujuan untuk mencegah atau
menimalisir dampak yang ditimbulkan terhadap aset utama maupun aset
pendukung apabila terjadi suatu insiden terkait keamanan informasi.
Page 250
225
Terdapat 7 klausul, 11 objektif kontrol dan 22 kontrol keamanan yang
digunakan dalam penelitian ini.
Setelah menentukan kontrol keamanan yang digunakan, selanjutnya
dilakukan perhitungan terhadap maturity level dari tiap-tiap kontrol
keamanan. Dari hasil perhitungan maturity level tiap-tiap kontrol
keamanan tersebut kemudian disederhanakan menjadi ke dalam maturity
level tiap klausul. Di bawah ini merupakan hasil perhitungan maturity level
dari klausul yang digunakan:
a. Nilai maturity level klausul 7 (Keamanan Sumber Daya Manusia)
sebesar 1.75 dan termasuk dalam level 1 yaitu Performed Informally.
b. Nilai maturity level klausul 8 (Manajemen Aset) sebesar 1.6 dan
termasuk dalam level 1 yaitu Performed Informally.
c. Nilai maturity level klausul 9 Kontrol Akses sebesar 1.25 dan termasuk
dalam level 1 yaitu Performed Informally.
d. Nilai maturity level klausul 11 (Keamanan Fisik dan Lingkungan)
sebesar 1.48 dan termasuk dalam level 1 yaitu Performed Informally.
e. Nilai maturity level klausul 12 (Keamanan Operasi) dengan hasil
sebesar 1.11 dan termasuk dalam level 1 yaitu Performed Informally.
f. Nilai maturity level klausul 13 (Keamanan Komunikasi) dengan hasil
sebesar 1.6 dan termasuk dalam level 1 yaitu Performed Informally.
g. Nilai maturity level klausul 16 (Pengelolaan Insiden Keamanan
Informasi) dengan hasil 1.16 dan termasuk dalam level 1 yaitu
Performed Informally.
Page 251
226
Mengacu kepada tabel 4.91, hasil perhitungan dari keseluruhan klausul
yang peneliti gunakan didapatkan nilai rata-rata maturity level sebesar 1.42
yang berada dalam kategori Performed Informally yang berarti sebagian
besar kegiatan pada Bidang Penyelenggaraan E-Government Dinas
Komunikasi dan Informatika Kabupaten Bogor belum sepenuhnya
direncanakan, kinerja yang dilakukan masih bergantung pada pengetahuan
pribadi pegawai serta organisasi.
4. Tahap Act
Tahap terakhir yang dilakukan adalah tahap Act, dimana pada tahap ini
dilakukan penelusuran bukti untuk mengetahui apakah hasil perhitungan
maturity level yang sudah dilakukan pada tahap selanjutnya sesuai dengan
kondisi sebenarnya dari Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor. Hasil lengkap dari penelusuran bukti
dapat dilihat pada tabel 4.92.
Dari tabel 4.92 penulis melakukan analisis kembali terhadap kontrol
keamanan apa saja yang krusial untuk diperbaiki gap-nya terlebih dahulu.
Peneliti mengacu terhadap insiden kerusakan server serta insiden hacking
yang pernah terjadi sebelumnya pada Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor. Jika mengacu kepada
insiden tersebut terdapat 7 kontrol keamanan yang terkait dengan insiden
tersebut yang perlu dilakukan perbaikan terhadap gap yang ada. 7 kontrol
keamanan tersebut antara lain:
a. Kontrol keamanan 11.2.2 (Utilitas Pendukung)
Page 252
227
b. Kontrol keamanan 11.2.4 (Pemeliharaan Peralatan)
c. Kontrol keamanan 12.3.1 (Backup Informasi)
d. Kontrol keamanan 16.1.2 (Pelaporan Insiden Keamanan Informasi)
e. Kontrol keamanan 16.1.3 (Pelaporan Kelemahan Keamanan
Informasi)
f. Kontrol keamanan 16.1.5 (Respon Terhadap Insiden Keamanan
Informasi)
g. Kontrol keamanan 16.1.6 (Belajar dari Insiden Keamanan Informasi)
Dengan mengacu dari 7 kontrol keamanan tersebut, kemudian peneliti
melakukan analisis dari gap yang ada. Tabel 4.96 merupakan hasil analisis
gap dari 7 kontrol keamanan tersebut.
Tabel 4. 96 Hasil Penelusuran Bukti
No. Kontrol Keamanan Gap
a. 11.2.2 Utilitas Pendukung
Tidak adanya peraturan mengenai utilitas
pendukung dan kurang dilaksanakannya penilaian
utilitas pendukung secara teratur
b. 11.2.4 Pemeliharaan Peralatan
Tidak adanya peraturan mengenai pemeliharaan
peralatan dalam interval yang direkomendasikan
pemasok.
Belum ada langkah untuk memastikan bahwa
peralatan berfungsi dengan baik setelah proses
pemeliharaan peralatan
c. 12.3.1 Backup Informasi Tidak adanya peraturan untuk backup informasi
dalam interval waktu tertentu.
d. 16.1.2 Pelaporan Insiden
Keamanan Informasi
Tidak adanya prosedur untuk melaporkan kejadian
keamanan informasi terkait dengan pelanggaran
akses, malfungsi perangkat lunak atau perangkat
keras.
e. 16.1.3 Pelaporan Kelemahan
Keamanan Informasi
Tidak adanya prosedur serta arahan bagi karyawan
untuk melaporkan serta mencatat adanya
kelemahan keamanan informasi.
f. 16.1.5 Respon Terhadap Insiden
Keamanan Informasi
Tidak adanya prosedur untuk pengumpulan bukti
sesegera mungkin setelah terjadinya insiden
keamanan informasi.
g. 16.1.6 Belajar Dari Insiden
Keamanan Informasi
Tidak ada prosedur yang digunakan untuk
melakukan evaluasi terhadap insiden yang pernah
terjadi sebelumnya.
Page 253
228
Berdasarkan hasil penelusuran bukti pada tabel 4.96, diketahui bahwa
masih terdapat gap dari kontrol keamanan 11.2.2 (utilitas pendukung)
kontrol keamanan 11.2.4 (pemeliharaan peralatan), kontrol keamanan
12.3.1 (backup informasi), kontrol keamanan 16.1.2 (pelaporan insiden
keamanan informasi), kontrol keamanan 16.1.3 (pelaporan kelemahan
keamanan informasi), kontrol keamanan 16.1.5 (respon terhadap insiden
keamanan informasi), dan kontrol keamanan 16.1.6 (belajar dari insiden
keamanan informasi). Dari hasil analisis gap tersebut kemudian peneliti
akan memberikan rekomendasi serta usulan untuk memperbaiki gap yang
ada agar hasil perbaikan gap tersebut dapat mencegah terulangnya insiden
kerusakan server dan insiden hacking. Rekomendasi dapat dilihat pada sub
bab 4.4.3.
Kesimpulan dari interpretasi hasil adalah, diketahui bahwa rata-rata
tingkat kematangan (maturity level) Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor sebesar 1.42 (dapat dilihat
pada tabel 4.91) dan berada dalam kategori Performed Informally. Dari
hasil perhitungan maturity level sebesar 1.42 tersebut disebabkan karena
masih terdapat banyak gap terutama tidak adanya kebijakan tertulis serta
prosedur pelaksanaan kegiatan secara tertulis. Dari hasil perhitungan
maturity level tersebut, peneliti membuat beberapa rekomendasi seperti
pembuatan kebijakan serta prosedur terutama pada 7 kontrol keamanan
antara lain kontrol keamanan 11.2.2 (utilitas pendukung) kontrol
keamanan 11.2.4 (pemeliharaan peralatan), kontrol keamanan 12.3.1
Page 254
229
(backup informasi), kontrol keamanan 16.1.2 (pelaporan insiden
keamanan informasi), kontrol keamanan 16.1.3 (pelaporan kelemahan
keamanan informasi), kontrol keamanan 16.1.5 (respon terhadap insiden
keamanan informasi), dan kontrol keamanan 16.1.6 (belajar dari insiden
keamanan informasi). Dari rekomendasi tersebut diharapkan dapat
dijadikan acuan bagi perbaikan tata kelola keamanan informasi untuk
mencegah terjadinya insiden kerusakan server serta insiden hacking yang
pernah terjadi sebelumnya dan dapat dijadikan persiapan dalam
menerapkan sistem manajemen keamanan informasi (SMKI) yang sesuai
standar ISO/IEC 27001:2013.
4.4.3 Rekomendasi, Usulan, Implikasi dan Keterbatasan Studi
Bagian ini akan menjelaskan tentang rekomendasi, usulan, implikasi dan
keterbasan yang ada dalam penelitian ini. Penjelasan masing-masing dapat dilihat
di bawah ini:
1. Rekomendasi
Mengacu dari gap yang ada dari 7 kontrol keamanan antara lain kontrol
keamanan 11.2.2 (utilitas pendukung) kontrol keamanan 11.2.4
(pemeliharaan peralatan), kontrol keamanan 12.3.1 (backup informasi),
kontrol keamanan 16.1.2 (pelaporan peristiwa keamanan informasi),
kontrol keamanan 16.1.3 (pelaporan kelemahan keamanan informasi),
kontrol keamanan 16.1.5 (respon terhadap insiden keamanan informasi),
dan kontrol keamanan 16.1.6 (belajar dari insiden keamanan informasi),
selanjutnya peneliti memberikan beberapa rekomendasi bagi Bidang
Page 255
230
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor, antara
lain:
1) Membuat peraturan tertulis pada:
a) Kontrol keamanan 11.2.2 tentang penilaian terhadap Utilitas
Pendukung.
b) Kontrol keamanan 11.2.4 tentang Pemeliharaan Peralatan.
c) Kontrol keamanan 12.3.1 tentang Backup Informasi.
2) Buat panduan pelaksanaan atau prosedur kegiatan pada:
a) kontrol keamanan 16.1.2 tentang Pelaporan Peristiwa Keamanan
Informasi.
b) 16.1.3 Pelaporan Kelemahan Keamanan Informasi
c) 16.1.5 Respon Terhadap Insiden Keamanan Informasi.
d) 16.1.6 Belajar Dari Insiden Keamanan Informasi.
Diharapkan dari beberapa contoh rekomendasi tersebut dapat
digunakan untuk mencegah atau mengantisipasi dampak yang ditimbulkan
apabila suatu saat terjadi insiden kerusakan server dan insiden hacking.
Dari rekomendasi-rekomendasi tersebut juga dapat digunakan acuan untuk
memperbaiki gap yang ada pada kontrol keamanan ISO/IEC 27001:2013
sebagai bahan untuk merencanakan SMKI sesuai standar ISO/IEC
27001:2013.
Page 256
231
2. Usulan
Kemudian dari rekomendasi di atas peneliti memberikan contoh usulan
bagi Bidang Penyelenggaraan E-Government. Berikut ini adalah contoh
usulan dengan mengacu kepada hasil rekomendasi sebelumnya:
1) Buat peraturan tertulis yang di dalamnya mengatur tentang waktu
pelaksanaan kegiatan serta personil atau staf yang bertanggung jawab
melaksanakan kegiatan tersebut. Peraturan tertulis yang perlu dibuat
antara lain:
a) Mengacu pada kontrol keamanan 11.2.2, buat peraturan untuk
melakukan penilaian penilaian terhadap Utilitas Pendukung.
b) Mengacu pada kontrol keamanan 11.2.4, buat peraturan mengenai
pemeliharaan peralatan dalam interval yang direkomendasikan
pemasok.
c) Mengacu pada kontrol keamanan 12.3.1, buat peraturan mengenai
backup informasi dalam interval waktu tertentu agar apabila terjadi
insiden, data-data dapat dengan cepat di recovery (pulihkan)
2) Buat prosedur kegiatan dengan menggunakan Activity Diagram.
Penggunaan activity diagram ini hanya sebagai contoh bagi Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor
agar prosedur kegiatan lebih mudah dibuat dan mudah dipahami oleh
setiap pegawai. Berikut ini adalah beberapa contoh usulan prosedur
kegiatan dalam bentuk activity diagram:
Page 257
232
a) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada
kontrol keamanan 16.1.2 tentang Pelaporan Peristiwa Keamanan
Informasi
Gambar 4.30 merupakan usulan prosedur untuk melaporkan apabila
terjadi insiden keamanan informasi seperti hacking, dalam hal ini petugas NOC
yang berada di bawah Seksi Infrastruktur dan Teknologi mendeteksi adanya
insiden lalu melaporkan kepada Kepala Seksi Infrastruktur dan Teknologi
untuk selanjutnya di periksa. Apabila insiden benar terjadi maka Kepala Seksi
Infrastruktur dan Teknologi memberikan instruksi kepada petugas NOC untuk
melakukan tindakan. Setelah melakukan tindakan, selanjutnya petugas NOC
melakukan pencatatan insiden tersebut ke dalam form khusus sebagai bahan
dokumentasi.
Page 258
233
Gambar 4. 30 Usulan Prosedur Pelaporan Insiden Keamanan Informasi
b) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada
kontrol keamanan 16.1.3 Pelaporan Kelemahan Keamanan
Informasi
Gambar 4.31 merupakan usulan prosedur untuk melaporkan apabila
dideteksi adanya kelemahan terhadap keamanan informasi, dalam hal ini
petugas NOC yang berada di bawah Seksi Infrastruktur dan Teknologi
mendeteksi adanya insiden lalu melaporkan kepada Kepala Seksi Infrastruktur
dan Teknologi untuk selanjutnya di periksa. Apabila benar ada kelemahan
Page 259
234
terkait keamanan informasi. Jika benar terdapat kelemahan, maka Kepala Seksi
Infrastruktur dan Teknologi memberikan instruksi kepada petugas NOC untuk
melakukan tindakan. Setelah melakukan tindakan, selanjutnya petugas NOC
melakukan pencatatan kelemahan tersebut ke dalam form khusus sebagai
bahan dokumentasi.
Gambar 4. 31 Usulan Prosedur Pelaporan Kelemahan Keamanan Informasi
Selain usulan prosedur pada gambar 4.31 peneliti juga memberikan
usulan form yang dapat digunakan untuk mencatat insiden serta kelemahan
keamanan informasi. Contoh form dapat dilihat pada gambar 4.32
Page 260
235
Gambar 4. 32 Usulan Form Pelaporan Insiden & Kelemahan Keamanan Informasi
c) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada
Kontrol Keamanan 16.1.5 Respon Terhadap Insiden Keamanan
Informasi
Gambar 4.33 merupakan usulan prosedur untuk respon terhadap
insiden keamanan informasi. Prosedur ini berkaitan dalam hal pengumpulan
bukti sesegera mungkin setelah terjadinya insiden keamanan informasi.
Page 261
236
Gambar 4. 33 Usulan Prosedur Pengumpulan Bukti Insiden Keamanan Informasi
Gambar 4.33 merupakan usulan prosedur pengumpulan bukti
insiden keamanan informasi. Langkah yang dilakukan adalah petugas NOC
setelah melakukan tindakan terhadap insiden keamanan informasi kemudian
mengisi form khusus, setelah itu form khusus tersebut di serahkan kepada bagian
administrasi yang masih berada di Seksi Infrastruktur dan Teknologi untuk
selanjutnya diperiksa apakah sudah sesuai atau belum. Jika petugas NOC sudah
sesuai dalam mengisi form tersebut maka selanjutnya petugas administrasi
menyimpan form tersebut di inventaris khusus yang harus disediakan
sebelumnya.
Page 262
237
d) Contoh Usulan Prosedur Dalam Bentuk Activity Diagram pada
Kontrol Keamanan 16.1.6 Belajar Dari Insiden Keamanan
Informasi.
Gambar 4.34 merupakan usulan prosedur untuk kontrol keamanan
16.1.6 belajar dari insiden keamanan informasi. Prosedur ini berkaitan dalam hal
melakukan evaluasi dari insiden atau kelemahan terhadap keamanan informasi
Gambar 4. 34 Usulan Evaluasi Insiden serta Kelemahan dari Keamanan Informasi
Page 263
238
Gambar 4.34 merupakan proses yang penulis usulkan untuk
melakukan evaluasi insiden dan kelemahan yang terjadi. Langkah pertama yang
dilakukan adalah Kepala Seksi Infrastruktur dan Teknologi memberikan laporan
insiden serta kelemahan yang dibuat sebelumnya ke Kepala Bidang
Penyelenggaraan E-Government setelah itu Kepala Bidang Penyelenggaraan E-
Government memeriksa laporan dan melakukan evaluasi bersama dengan kepala
Seksi Infrastruktur dan Teknologi untuk mencari solusi, setelah solusi di dapat
kemudian kepala Bidang memberikan instruksi untuk menerapkan solusi yang
sudah dibuat. Instruksi tersebut kemudian dicatat oleh Kepala Seksi Infrastruktur
dan Teknologi di dalam notulen yang sudah disediakan untuk selanjutnya
diberikan pengesahan oleh kepala bidang. Setelah notulen disetujui, notulen
kemudian disimpan di inventaris khusus. Gambar 4.35 merupakan contoh format
notulen yang penulis usulkan
Page 264
239
Gambar 4. 35 Usulan Notulen Hasil Evaluasi Insiden dan Kelemahan
Dari beberapa usulan di atas diharapkan dapat menjadi bahan
pertimbangan bagi Bidang Penyelenggaraan E-Government untuk menerapkan
usulan tersebut guna memperbaiki gap yang ada saat ini. Setelah memberikan
usulan, tahap selanjutnya adalah membahas tentang implikasi dari penelitian ini.
3. Implikasi
Implikasi dari hasil penelitian ini diharapkan dapat menjadi bahan
pertimbangan bagi Bidang Penyelenggaraan E-Government
DISKOMINFO Kabupaten Bogor untuk memperbaiki gap yang ada sesuai
Page 265
240
dengan standar ISO/IEC 27001:2013. Terutama dalam hal pembuatan
kebijakan dan prosedur pelaksanaan di beberapa kegiatan. Alangkah
baiknya Bidang Penyelenggaraan E-Government DISKOMINFO
Kabupaten Bogor membuat prosedur kegiatan dalam bentuk SOP yang
sesuai dengan Peraturan Menteri Pendayagunaan Apartatur Negara Dan
Reformasi Birokrasi Republik Indonesia Nomor 35 Tahun 2012 tentang
Pedoman Penyusunan Standar Operasional Prosedur Administrasi
Pemerintahan.
Implikasi lain dari hasil penelitian ini adalah diharapkan dapat
menjadi referensi bagi penelitian-penelitian selanjutnya yang ingin
melakukan penelitian tentang audit keamanan sistem informasi, terutama
dengan menggunakan framework COBIT 5 dan standar ISO/IEC
27001:2013.
Jadi diharapkan penelitian ini dapat membantu Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor untuk
memperbaiki gap yang ada, serta dapat menjadi referensi bagi penelitian-
penelitian selanjutnya.
4. Keterbatasan Studi
Dalam penelitian ini peneliti memiliki keterbatasan waktu,
pengetahuan serta pengalaman dalam membuat SOP sesuai dengan
Peraturan Menteri Pendayagunaan Apartatur Negara Dan Reformasi
Birokrasi Republik Indonesia Nomor 35 Tahun 2012. Oleh karena itu
diharapkan penelitian selanjutnya dapat membantu Bidang
Page 266
241
Penyelenggaraan E-Government untuk merancang dokumen SOP yang
sesuai dengan Peraturan Menteri tersebut.
Keterbatasan lain dalam penelitian ini adalah peneliti hanya
menggunakan 1 dari 5 domain COBIT 5 yang memiliki hubungan primary
dengan IT-related goals yaitu domain APO13 (Manage Security). Oleh
karena itu diharapkan penelitian selanjutnya dapat mengembangkan
penelitian ini dengan menggunakan domain COBIT 5 lain seperti domain
EDM03 (Ensure Risk Optimisation), APO12 (Manage Risk), BAI06
(Manage Changes), dan DSS05 (Manage Security Services). Tentunya
domain yang dipilih pada penelitian selanjutnya harus menyesuaikan
dengan kondisi serta kebutuhan dari Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor.
Jadi diharapkan penelitian selanjutnya dapat melanjutkan penelitian
sampai tahap perancangan SOP serta pada penelitian selanjutnya dapat
menggunakan domain COBIT 5 yang lain selain domain APO13 (Manage
Security).
Kesimpulan akhir dari penelitian ini adalah, penelitian ini memiliki
perbedaan dengan penelitian-penelitian sebelumnya, karena pada beberapa
penelitian terdahulu hanya berfokus pada perbandingan, hubungan dan
keuntungan penggunaan COBIT dan ISO 27001 secara teori. Dari hasil
penelitian terdahulu menyatakan bahwa COBIT 5 dan ISO/IEC 27001
dapat digunakan secara bersama dan akan memberikan keuntungan dalam
hal evaluasi atau audit terhadap keamanan sistem informasi.
Page 267
242
Setelah melakukan praktik langsung penggunaan COBIT 5 dan
ISO/IEC 27001:2013 secara bersama untuk melakukan audit keamanan
sistem informasi didapatkan hasil perhitungan maturity level didapatkan
hasil rata-rata dari 7 klausul ISO/IEC 27001:2013 yang digunakan adalah
sebesar 1.42 (dapat dilihat pada tabel 4.91) yang berada dalam kategori
Performed Informally. Hasil tersebut disebabkan karena terdapat gap pada
sebagian besar kegiatan pada Bidang Penyelenggaraan E-Government
DISKOMINFO Kab. Bogor. Gap tersebut yaitu tidak adanya peraturan
tertulis dari kegiatan-kegiatan yang ada serta tidak adanya prosedur
pelaksanaan kegiatan secara tertulis.
Dari hasil tersebut peneliti memberikan rekomendasi pembuatan
kebijakan dan prosedur kegiatan, serta usulan yang dapat menjadi bahan
pertimbangan bagi Bidang Penyelenggaraan E-Government untuk
diterapkan. Penelitian ini diharapkan dapat membantu Bidang
Penyelenggaraan E-Government DISKOMINFO Kabupaten Bogor untuk
memperbaiki gap yang ada, serta dapat menjadi referensi bagi penelitian-
penelitian selanjutnya. Dan dikarenakan keterbatasan waktu serta
pengetahuan peneliti, penelitian selanjutnya diharapkan dapat melanjutkan
penelitian sampai tahap perancangan SOP serta pada penelitian
selanjutnya dapat menggunakan domain COBIT 5 yang lain selain domain
APO13 (Manage Security).
Page 269
243
BAB V
PENUTUP
5.1 Kesimpulan
Pada penelitian ini peneliti melakukan audit keamanan sistem informasi
pada Dinas Komunikasi dan Informatika Kabupaten Bogor tepatnya di Bidang
Penyelenggaran E-Government dengan menggunakan framework COBIT 5 dan
standar ISO/IEC 27001:2013. Berdasarkan hasil pembahasan pada bab
sebelumnya, maka kesimpulan yang didapat adalah sebagai berikut:
1. Dari hasil perhitungan maturity level didapatkan hasil rata-rata dari 7
klausul ISO/IEC 27001:2013 yang digunakan adalah sebesar 1.42 yang
berada dalam kategori Performed Informally atau masih dalam tingkat
kematangan rendah karena sebagian besar kegiatan belum sepenuhnya
direncanakan.
2. Mayoritas gap yang ada disebabkan karena sebagian besar kegiatan
pada Bidang Penyelenggaraan E-Government DISKOMINFO Kab.
Bogor tidak memiliki peraturan dan prosedur pelaksanaan kegiatan
secara tertulis.
3. Hasil penelitian ini merekomendasikan pembuatan peraturan dalam hal
penilaian terhadap utilitas pendukung, pemeliharaan peralatan, backup
informasi. Selain itu peneliti merekomendasikan prosedur untuk
melaporkan adanya insiden atau kelemahan terkait keamanan informasi,
Page 270
244
respon terhadap insiden dan evaluasi terhadap insiden untuk mencegah
terjadinya insiden serupa yang pernah terjadi.
Berdasarkan hasil temuan itu juga dapat disimpulkan bahwa implikasi dari
penelitian adalah sebagai berikut:
1. Dapat menjadi bahan pertimbangan bagi Bidang Penyelenggaraan E-
Government DISKOMINFO Kabupaten Bogor untuk memperbaiki gap
yang ada sesuai dengan standar ISO/IEC 27001:2013.
2. Dapat menjadi referensi bagi penelitian-penelitian selanjutnya yang
ingin melakukan penelitian tentang audit keamanan sistem informasi,
terutama dengan menggunakan framework COBIT 5 dan standar
ISO/IEC 27001:2013.
5.2 Saran
Berdasarkan kesimpulan dan analisa yang yang telah dilakukan
sebelumnya, peneliti memberikan saran untuk penelitian selanjutnya agar dapat
melanjutkan penelitian ini ke tahap implementasi SMKI dengan membuat dokumen
SOP yang sesuai dengan Peraturan Menteri Pendayagunaan Apartatur Negara Dan
Reformasi Birokrasi Republik Indonesia Nomor 35 Tahun 2012 serta dapat
menggunakan menggunakan domain COBIT 5 lain selain domain APO13 (Manage
Security) seperti domain EDM03 (Ensure Risk Optimisation), APO12 (Manage
Risk), BAI06 (Manage Changes), dan DSS05 (Manage Security Services).
Page 272
245
DAFTAR PUSTAKA
About TIPA: Assess and Improve Your IT Processes with the TIPA Framework
[Online]. Available: http://www.tipaonline.org/tipa/ Diakses Pada:
15.03.2019.
Arnason, Sigurjon T. and Willett, Keith D. 2008. How to Achieve 27001
Certification: An Example of Applied Compliance Management.
Florida: Auerbach Publications.
Bless, Yulius C. et al. 2014. Audit Keamanan SIMAK Berdasarkan ISO 27002
(Studi Kasus: FE UNUD). Jurnal MERPATI Vol. 2 No. 2 Bulan
Agustus.
Carnegie Mellon University. 2003. Systems Security Engineering Capability
Maturity Model SSE-CMM Version 3.0. Pennsylvania: Carnegie
Mellon University.
Dinas Komunikasi dan Informatika Kabupaten Bogor. 2017. Rencana Strategis
(Renstra) Tahun 2013-2018.
Dinas Komunikasi dan Informatika Kabupaten Bogor. 2018. Daftar Inventarisasi
Aplikasi OPD Kabupaten Bogor (Per 8 Maret 2018).
Direktorat Keamanan Informasi. 2017. Panduan Penerapan Sistem Manajemen
Keamanan Informasi Berbasis Indeks Keamanan Informasi (Indeks
KAMI). Jakarta: Penerbit Kementerian Komunikasi dan Informatika.
ECC International. ISO 27001 Information Security Management System. Diakses
pada 7 Januari 2019 dari
http://www.eccinternational.com/consulting/it-process-excellence/iso-
27001-information-security-management-system.
Fitroh et al. 2018. Strategies to Improve Human Resource Management using
COBIT 5 For Data and Information Centre of Ministry of Agriculture
of Indonesia of Republic. The 6th International Conference on Cyber
and IT Service Management (CITSM 2018).
Gantz, Stephen D. 2014. The Basics of IT Audit: Purposes, Processes, and Practical
Information. Massachusetts: Elsevier Inc.
Gondodiyoto, S., & Hendarti, H. 2007. Audit Sistem Informasi Lanjutan + Standar,
Panduan, dan Prosedur Audit SI dari ISACA. Jakarta: Mitra Wacana
Media.
Page 273
246
Hall, James A. 2011. Information Technology Auditing and Assurance 3rd Edition.
Ohio: South-Western, Cengage Learning.
Hanna, A., & Rance, S. 2011. ITIL® Glossary and Abbreviations-English. ITIL®
Glossary of Terms English v.1.0. AXELOS Limited.
Haufe, Knut et al. 2016. “Security Management Standards: A Mapping”. Procedia
Computer Science 100, pp. 755-761.
IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta: ANDI.
Indrajit, Richardus E. 2016. Konsep dan Strategi Electronic Government.
ISACA. 2012. COBIT 5 A Business Framework for the Governance and
Management of Enterprise IT. USA: IT Governance Institute.
ISACA. 2012. COBIT 5 Enabling Processes. USA: IT Governance Institute.
ISACA. 2012. COBIT 5 Implementation. USA: IT Governance Institute.
ISACA. 2012. COBIT 5 Process Assessment Model. USA: IT Governance Institute.
ISACA, 2016. A Historical Timeline The COBIT® Framework. USA: IT
Governance Institute.
ISO, “International Standard ISO/IEC 27001 Information Technology - Security
Techniques - Information Security Management Systems -
Requirements,” IEC, vol. 27001, no. 27001, 2005.
ISO, “International Standard ISO/IEC 27001 Information Technology - Security
Techniques - Information Security Management Systems -
Requirements,” IEC, vol. 27001, no. 27001, 2013.
ISO, “International Standard ISO/IEC 27002 Information technology — Security
techniques — Code of practice for information security controls,” IEC,
vol. 27002, no. 27002, 2013
ISO, “International Standard ISO/IEC 27005 Information Technology - Security
techniques – Information security risk Management,” vol. 27005, 2008.
Jogiyanto & Abdillah, Willy. 2011. Sistem Tata Kelola Teknologi Informasi.
Yogyakarta: Penerbit Andi.
Kementerian Komunikasi dan Informatika Republik Indonesia. 2016. Peraturan
Menteri Komunikasi dan Informatika Republik Indonesia No. 4 Tahun
2016: Sistem Manajemen Pengamanan Informasi.
Page 274
247
Marczyk, Geoffrey, et. all. 2005. Essentials of Research Design and Methodology.
New Jersey: John Wiley & Son, Inc.
Mataracioglu, Tolga & Ozkan, Sevgi. 2011. “Governing Information Security in
Conjunction With COBIT and ISO 27001”. Ankara: Departement of
Information Systems Security, Tubitak National Research Institute of
Electronics and Cryptology.
McLeod, Raymond & Schell, Jr. George. 2008. Sistem Informasi Manajemen, Edisi
10. Terjemahan oleh Hendra Teguh. Klaten: PT. Intan Sejati Klaten.
National Institute of Standards and Technology U.S Department of Commerce
(NIST). 2014. Framework for Improving Critical Infrastructure
Cybersecurity Core.
Nurbojatmiko et al. 2016. Assessment of ISMS Based On Standard ISO/IEC
27001:2013 at DISKOMINFO Depok City. 2016 4th International
Conference on Cyber and IT Service Management.
Park, S. H & Lee, K. H. 2014. “Advanced Approach to Information Security
Management System Model for Industrial Control System,” The
Scientific World Journal vol. 2014.
Pemerintah Kabupaten. Bogor. 2015. Peraturan Bupati Bogor No. 11 Tahun 2015 :
Pelaksanaan dan Pengembangan E-Government Di Lingkungan
Pemerintah Kabupaten Bogor.
Pemerintah Kabupaten Bogor. 2016. Peraturan Bupati Bogor No 57 Tahun 2016:
Kedudukan, Susunan Organisasi, Tugas dan Fungsi Serta Tata Kerja
Dinas Komunikasi dan Informatika.
Ponemon Institute LLC. 2017. Cost of Cyber Crime Study : Insights On The
Security Investments That Make Difference. USA: Ponemon Institute
LLC.
Putra, Syopiansyah J. 2018. The process capability model for governance of the
Election Organizer Ethics Court system. JOIN (Jurnal Online
Informatika) Vol: 3 No. 2, pp. 93-98.
Ritzkal et al. 2016. Implementasi ISO/IEC 27001:2013 Untuk Sistem Manajemen
Keamanan Informasi (SMKI) Pada Fakultas Teknik UIKA-Bogor.
Seminar Nasional Sains dan Teknologi 2016.
Sahibudin, Shamsul, et al. 2008. “Combining ITIL, COBIT, and ISO/IEC 27002 in
Order to Design a Comprehensive IT Framework in Organization”.
Second Asia Internationa Conference on Modelling & Simulation, pp.
749-753.
Page 275
248
Sanjaya, Wina. 2013. Penelitian Pendidikan: Jenis, Metode dan Prosedur. Jakarta:
Kencana Prenada Media Group.
Sarno R, Iffano I. 2009. Sistem Manajemen Keamanan Informasi Berbasis ISO
27001. Surabaya: ITS Press.
Sheikhpour, Razieh and Modiri, Nasser. 2012. “An Approach to Map COBIT
Processes to ISO/IEC 27001 Information Security Management
Controls”. International Journal of Security and Its Applications Vol 6,
No.2.
Shin, Y. J & Kim, S. T. 2008. “E-Government Concepts, Measures, and Best
Practicies”. New York: Information Science Reference.
Simplilearn Solutions. ITIL: Key Concepts and Summary. Diakses pada 7 Januari
2019 dari https://www.simplilearn.com/itil-key-concepts-and-
summary-article.
Stair, Ralph M. and Reynolds, George W. 2016. Fundamentals of Information
Systems (8th Edition). USA: Cengage Learning.
Sugiyono. 2013. Metode Penelitian Manajemen. Bandung: ALFABETA.
Sugiyono. 2014. Metode Penelitian Manajemen. Bandung: ALFABETA.
Suminar, Suryo et al. 2014. Evaluation of Information Technology Governance
using COBIT 5 Framework FocusAPO13 and DSS05 in PPIKSN-
BATAN. 2014 International Conference on Cyber and IT Service
Management (CITSM).
Susanto, Bekti M. 2013. Mengukur Keamanan Informasi: Studi Komparasi ISO
27002 dan NIST 800-55. Seminar Nasional Teknologi Informasi dan
Komunikasi.
Susanto, Heru, dkk. 2011. “Information Security Management System Standards:
A Comparative Study of the Big Five”. International Journal of
Electrical & Computer Sciences IJECS-IJENS Vol: 11 No: 05.
Symantec Corporation. 2018. Internet Security Threat Report 2017 Volume 23.
California: Symantec Corporation.
The Open Group. 2009. The Open Group Architecture Framework (TOGAF)
Version 9.
Von Solms, Basie. 2005. “Information Security governance: COBIT or ISO 17799
or both?”. International Journal of Computer & Security Vol: 24, pp.
99-104.
Page 276
249
Whitman, Michael E and Mattord, Herbert J. 2014. Management of Information
Security (4th Edition). USA: Cengage Learning.
Wibowo, Aldi S. et al. 2016. Kombinasi Framework COBIT 5, ITIL dan ISO/IEC
27002 Untuk Membangun Model Tata Kelola Teknologi Informasi Di
Perguruan Tinggi. Seminar Nasional Teknologi Informasi dan
Komunikasi 2016, pp. 122-128.
Williams, Barry L. 2013. Information Security Policy Development for
Compliance. Florida: CRC Press.
Page 279
LAMPIRAN 1: HASIL WAWANCARA
Responden : Dendi Wahyudin, S.IP
Jabatan : Kepala Seksi Pengembangan Aplikasi dan Data
Pewawancara : Mohamad Mirza Maulana
Tanggal : 25 April 2018
Tempat : Ruang Seksi Pengembangan Aplikasi dan Data
P: Apakah tugas dari Bidang Penyelenggaraan E-Government DISKOMINFO Kab. Bogor
ini?
J: Tugas dari Bidang Penyelenggaraan E-Government dapat dilihat dari tupoksi pada
dokumen renstra Diskominfo Kabupaten Bogor tahun 2013-2018.
P: Contoh data e-government seperti apa yang dikelola oleh Bidang Penyelenggaraan E-
Government?
J: Perlu dikoreksi bahwa Dinas Komunikasi dan Informatika Kabupaten Bogor saat ini hanya
menjadi wali data bagi Dinas/OPD di wilayah Kabupaten Bogor. Yang dimaksud wali data
ini adalah Diskominfo hanya menjadi tempat menyimpan data aplikasi yang dimiliki
beberapa Dinas/OPD yang berada di wilayah Kabupaten Bogor. Diskominfo Kabupaten
Bogor terutama Bidang Penyelenggaraan E-Government tidak memiliki hak untuk
mengelola/melakukan integrasi data-data yang dimiliki oleh tiap dinas tersebut.
P: Apa saja contoh tindakan untuk menjaga keamanan informasi yang sudah dilakukan?
J: Langkah yang baru dilakukan adalah baru memasang firewall dan antivirus serta
memberikan edukasi terhadap dinas-dinas yang lain
P: Adakah SOP tertulis untuk manajemen keamanan informasi?
J: SOP dahulu pernah dibuat Peraturan Bupati tentang keamanan data dan informasi, namun
masih sampai Rancangan Peraturan Bupati karena Rancangan Peraturan Bupati tersebut
belum menjadi prioritas dan belum ditetapkan menjadi Peraturan Bupati, mengarah ke ISO
tapi belum ditetapkan.
Untuk Peraturan Bupati tentang e-government ada, bisa liat di website. Bisa diliat pada
Peraturan Bupati terdapat kriteria DISKOMINFO Kab Bogor sebagai apa seperti wali data
dan dinas lain sebagai apa, datanya juga seperti apa. Tapi karena keterbatasan, Peraturan
Bupati tersebut belum bisa diterapkan semua.
P: Pernakah terjadi ancaman atau insiden terkait dengan keamanan informasi? Insidennya
seperti apa?
J: Insiden seperti hacker dan kerusakan server. Dulu pernah terjadi kerusakan storage dan
data hilang namun masih ada backup namun tidak semuanya yang dapat di backup karena
dulu masih parsial per aplikasi. Untuk hacker tidak sampai kepada pencurian atau
penyanderaan data, hanya pernah kejadian hacker masuk dan mengacak-acak isi dari
website. Dan ditambah dari ancaman malware dan virus namun tidak sampai tahap
mengancam data yang ada.
P: Adakah dampak/kerugian yang ditimbulkan dari ancaman/insiden yang pernah terjadi?
J: Tentu ada kerugian waktu dan tenaga untuk melakukan recovery data yang hilang tersebut
Page 280
P: Apabila pernah terjadi insiden terkait dengan keamanan informasi, adakah langkah yang
dilakukan untuk memperbaikinya? Dan apakah memerlukan biaya untuk
memperbaikinya?
J: Untuk kerusakan server untungnya saat itu masih ada garansi untuk servernya. Namun
tentu dengan adanya kejadian tersebut membuat kita mempertimbangkan mengadakan
pengadaan server yang lebih baru.
P: Apakah sejauh ini dinas ini pernah di evaluasi tata kelola dengan framework-framework
yang ada? (Contoh menggunakan COBIT, ITIL, dll)
J: Sejauh ini untuk audit hanya audit terhadap jaringan yang dilakukan oleh pihak ketiga,
namun hasil evaluasinya belum didapat oleh pihak DISKOMINFO. Untuk rencana ke
depan ada rencana evaluasi keamanan dalam hal persandian yang akan dilakukan oleh
Seksi Persandian dan Keamanan Informasi.
P: Adakah pencatatan terhadap aset yang dimiliki oleh Diskominfo Kab Bogor?
J: Ada, namun bukan Seksi Data dan Aplikasi yang melakukan pencatatan.
P: Apa saja aset-aset yang terdapat pada dinas ini?
(Contoh Database apa saja, jaringan seperti LAN, VPN, SSL, Aplikasi, Software)
J: Windows 10 dan Windows 8, mayoritas menggunakan Windows 10. Lalu ada yang
menggunakan Windows XP karena ada yang tidak mau ganti. Linux dulu ada, namun
jarang. Antivirus menggunakan kaspersky. Ada ruangan server, pake fingerprint, jadi tidak
semua bisa masuk, lalu ada CCTV di ruangan server serta di beberapa lorong, kemudian
AC presisi dan AC biasa, UPS ada beberapa yg kecil, genset, kabel FO (Fiber Optic)
karena DISKOMINFO Kab Bogor menyediakan jaringan internet untuk dinas-dinas di
wilayah Jl. Tegar Beriman dengan pusatnya di DISKOMINFO, dan terakhir kita juga
menggunakan VPN.
P: Menurut anda perlukah dilakukan audit terhadap sistem manajemen keamanan informasi
pada dinas ini?
J: Saya rasa perlu sebagai bahan evaluasi bagi Diskominfo Kabupaten Bogor.
Page 281
Responden : Dendi Wahyudin, S.IP
Jabatan : Kepala Seksi Pengembangan Aplikasi dan Data
Pewawancara : Mohamad Mirza Maulana
Tanggal : 16 Mei 2018
Tempat : Ruang Seksi Pengembangan Aplikasi dan Data
P: Dari hasil wawancara pertama yang saya lakukan, didapatkan fakta bahwa
DISKOMINFO hanya menjadi wali data untuk menyimpan data-data dinas yang ada di
wilayah Kabupaten Bogor. Tapi apakah DISKOMINFO Kabupaten Bogor ini memiliki
aplikasi tertentu yang digunakan khusus untuk menunjang operasional DISKOMINFO
Kabupaten Bogor? Kalau ada aplikasi apa saja dan apa fungsinya?
Contoh: Sistem informasi kepegawaian
J: Untuk aplikasi yang dibuat dan digunakan oleh Diskominfo Kabupaten Bogor baru
aplikasi visitor untuk mengetahui siapa saja pengunjung Diskominfo Kabupaten Bogor.
Untuk aplikasi yang bukan dibuat oleh Diskominfo namun digunakan oleh Diskominfo
ada banyak. Contohnya aplikasi Sistem Informasi Manajemen Kepegawaian, Sistem
Informasi Absensi Pegawai, Sistem Informasi Evaluasi Kinerja, dll. Untuk aplikasi lain
buatan Diskominfo Kabupaten Bogor belum ada selain aplikasi visitor, namun sekarang
sedang tahap pengembangan beberapa aplikasi seperti aplikasi surat menyurat
P: Jika terdapat aplikasi apakah aplikasi tersebut dibuat oleh pihak DISKOMINFO
Kabupaten Bogor atau oleh pihak ketiga? Jika menggunakan pihak ketiga adakah
perjanjian khusus dengan pihak ketiga untuk melakukan perbaikan berkala?
J: Untuk aplikasi visitor dibuat oleh Diskominfo Kabupaten Bogor.
P: Apakah selama penerapan aplikasi itu dilakukan ada sosialisasi cara penggunaan, dan
adakah keluhan dari pegawai diskominfo?
J: Untuk aplikasi visitor tentu ada sosialiasi kepada pegawai/petugas yang menerima tamu
dan pegawai Diskominfo Kabupaten Bogor lainnya. Untuk aplikasi lain seperti Sistem
Informasi Manajemen Kepegawaian dan Sistem Informasi Absensi Pegawai sosialisasi
dilakukan oleh dinas terkait yang memiliki aplikasi tersebut. Untuk keluhan terkait
aplikasi hanya keluhan aplikasi error pada aplikasi Sistem Informasi Manajemen
Kepegawaian dan Sistem Informasi Absensi Pegawai. Namun pada kenyataan sekarang
aplikasi visitor tersebut tidak sering digunakan karena belum adanya ketegasan dari
petugas yang menerima tamu tersebut.
P: Apakah pada DISKOMINFO Kabupaten Bogor ini pernah melakukan edukasi dan
pelatihan terhadap keamanan informasi kepada pegawai diskominfo?
J: Ada semacam pelatihan namun belum banyak. Tahun kemarin dilakukan 2-3 kali
pelatihan untuk menyadarkan mereka cara pake internet yg baik, firewall, tidak
sembarangan kasih password. Narasumber berasal dari BSSN dan Kominfo.
P: Apabila ada aplikasi khusus di DISKOMINFO Kabupaten Bogor, bagaimana cara
pegawai diskominfo mendapatkan akses untuk aplikasi tsb? Apakah langsung
didaftarkan atau pegawai mendaftar sendiri? Lalu untuk melakukan pendaftaran sesuai
dengan apa? (Contoh dari nomor induk pegawai)
J: Untuk aplikasi visitor petugas hanya langsung menggunakan tanpa harus memiliki hak
akses. Namun untuk aplikasi lain milik OPD yang digunakan DISKOMINFO Kabupaten
Bogor, hak akses aplikasi didaftarkan oleh admin tiap aplikasi. Hak akses tersebut
berbeda tiap aplikasi. Ada aplikasi yang seluruh pegawai DISKOMINFO Kabupaten
Page 282
Bogor mendapat hak akses, adapula aplikasi yang hanya beberapa pegawai
DISKOMINFO Kabupaten Bogor yang mendapat hak akses
P: Apakah pernah terjadi insiden terkait keamanan informasi pada aplikasi tersebut?
Contohnya penggunaan hak akses yang tidak semestinya
J: Belum ada kasus seperti itu karena untuk aplikasi selain aplikasi visitor, hak akses
diberikan oleh admin aplikasi tiap-tiap OPD.
P: Apabila ada, adakah sanksi yang diberikan kepada pegawai tersebut?
J: Belum ada kasus seperti itu
P: Dari wawancara yang dilakukan sebelumnya, DISKOMINFO Kabupaten Bogor pernah
mengalami insiden berupa kerusakan server yg menyebabkan ada sebagian data di
server yang hilang dan insiden hacking. Data yang hilang pada server DISKOMINFO
tersebut milik dinas apa saja? Apakah saat itu ada pencatatan terhadap data yang hilang
tersebut?
J: Ada beberapa Dinas termasuk Diskominfo namun saat itu ada recovery data. Data awal
ada, tapi ada beberapa perubahan memang. Saat itu dokumentasi terhadap kejadian
tersebut masih belum baik, pencatatan insiden hanya dilakukan secara manual namun
tidak dibuat ke dalam dokumen tertentu. Jadi bukti kejadian saat itu tidak ada.
P: Ada berapa website yang dikelola oleh DISKOMINFO Kabupaten Bogor?
J: Untuk website yang dikelola oleh Diskominfo Kab. Bogor ada 2 yaitu website Pemkab
Bogor dan website Diskominfo Kab. Bogor. Namun untuk dinas lain Diskominfo
menyediakan fasilitas berupa cpanel yang dapat digunakan oleh dinas lain untuk
membuat website, dan konten website menjadi tanggung jawab dinas masing-masing.
P: Apakah ada laporan bulanan mengenai masalah keamanan informasi?
J: Harusnya ada, tapi yang mengelola seksi lain.
P: Seperti yang bapak katakan pada wawancara pertama, DISKOMINFO punya ruangan
server dan pengamanan dengan menggunakan fingerprint. Apakah hanya pegawai dari
Seksi Pengembangan Aplikasi dan Data saja yang dapat masuk ke ruangan server atau
ada seksi lain yang dapat masuk ke ruangan server?
J: Hanya orang-orang yg punya akses/kepentingan yang boleh masuk ke ruangan server
contohnya dari Seksi Infrastuktur hampir semua pegawai boleh masuk ke ruang server.
Untuk pegawai dari Bidang selain Bidang Penyelenggaraan E-Government juga dapat
masuk ke ruang server tapi harus jelas tujuannya untuk apa.
P: Lalu apakah ada laporan terkait waktu pegawai-pegawai keluar-masuk ruangan server?
J: Ada laporan manual dalam bentuk buku. Seharusnya laporan ini menyatu dengan
aplikasi visitor namun karena aplikasi visitor tidak diterapkan dengan baik maka
memakai cara manual. Laporan manual tersebut bulanan. Untuk pendataannya dengan
cara bertanya keperluan apa, darimana, contact person, dan rekomendasi dari siapa.
P: Untuk aset yang dimiliki oleh DISKOMINFO Kabupaten Bogor seperti server,
computer, ups, dll apakah ada pemeliharaan rutin untuk menjaga aset tersebut optimal
kinerjanya? Atau apakah pemeliharaan tersebut dilakukan apabila terjadi insiden saja?
J: Ada pemeliharaan. Dan yang melakukan pemeliharaan adalah Noc dan umum. Namun
pemeliharaan yang rutin dilakukan hanya pemeliharaan terhadap Air Conditioner (AC)
yang berada pada ruang server saja. Untuk pemeliharaan aset lain tidak dilakukan secara
rutin
P: Lalu untuk server DISKOMINFO Kabupaten Bogor apakah ada backup rutin untuk
menjaga apabila suatu saat terjadi kerusakan server lagi seperti yang pernah terjadi
sebelumnya?
Page 283
J: Backup ada, namun backup yang dilakukan hanya di 1 tempat yaitu DISKOMINFO
Kabupaten Bogor. DISKOMINFO Kabupaten Bogor belum melakukan backup server
di tempat lain. Karena saat ini DISKOMINFO Kabupaten Bogor memiliki rencana untuk
melakukan backup server di Batam atau Bali namun masih belum ditentukan di mana.
Masih dalam tahap kajian.
P: Apakah ada prosedur/SOP untuk kegiatan backup server tersebut? Lalu untuk tempat
atau lokasi backup data tsb apakah menurut bapak sudah aman?
J: Untuk SOP backup server belum ada baru ada payung hukumnya saja. Karena masih
menunggu keputusan di mana lokasi backup server akan dipilih. Apabila sudah
ditentukan maka SOP backup server adalah keharusan.
Page 284
LAMPIRAN II: KUISIONER PENELITIAN
KUISIONER
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI DAN
INFORMATIKA KABUPATEN BOGOR
Kepada Yth,
Kepala Bagian Penyelenggaraan E-Government
Dinas Komunikasi dan Informatika Kabupaten Bogor
Di Tempat
Responden yang terhormat,
Saya Mohamad Mirza Maulana (1113093000042) adalah Mahasiswa Program Studi Sistem
Informasi UIN Syarif Hidayatullah Jakarta yang sedang melakukan penelitian tentang Audit
Keamanan Sistem Informasi Pada Dinas Komunikasi dan Informatika Kabupaten Bogor
Menggunakan Standar ISO/IEC 27001:2013 dan COBIT 5. Penelitian ini adalah bagian dari
skripsi sebagai salah satu syarat untuk mendapatkan gelar Sarjana Sistem Informasi bagi peneliti.
Demi tercapainya hasil yang diinginkan, peneliti mohon kesediaan Anda untuk berpartisipasi
mengisi kuesioner ini secara lengkap dan benar.
Kuisioner ini bertujuan untuk mendapatkan data dan opini Bapak/Ibu mengenai proses
pengelolaan keamanan teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten
Bogor. Informasi yang diterima dari kuisioner ini bersifat rahasia dan hanya digunakan untuk
kepentingan akademis. Tidak ada jawaban yang salah dalam menjawab kuesioner ini. Atas
bantuannya saya ucapkan terima kasih.
Jakarta, Oktober 2018
Mohamad Mirza Maulana
Petunjuk Pengisian
Bacalah pernyataan kriteria dari tingkat kematangan dengan seksama. Masing-masing pernyataan
memiliki 5 (lima) pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut
tertentu pada proses Pengelolaan Keamanan Teknologi Informasi. Pilihan pilihan jawaban
tersebut dari 1 sampai 5 secara berturut-turut merepresentasikan tingkat kapabilitas yang semakin
meningkat terhadap suatu atribut pada proses Pengelolaan Keamanan Teknologi Informasi.
Dimana (1) performed informally, (2) planned and tracked, (3) well defined, (4) quantitatively
controlled, dan (5) continuously improving.
Page 285
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang dianggap bisa
mewakili kondisi kapabilitas saat ini, terkait dengan atribut kapabilitas tertentu dalam proses
Pengelolaan Keamanan Teknologi Informasi dengan memberikan tanda ceklis (√) pada tempat
yang tersedia. Dengan mengetahui posisi kapabilitas saat ini selanjutnya akan dilakukan analisis
yang dapat menjadi dasar pendefinisian rancangan solusi untuk perbaikan dalam proses
Pengelolaan Keamanan Teknologi Informasi.
Untuk kebutuhan diatas mohon kiranya Bapak/Ibu sebagai responden dapat memberikan jawaban
atas pernyataan-pernyataan yang diberikan dalam kuesioner ini untuk kemudian dapat kami olah
dalam penelitian skripsi ini
Nama Responden
Jabatan Responden
Unit/Bidang/Seksi
:
:
:
Adapun level kemampuan System Security Engineering Capability Maturity Model (SSE-CMM)
dijelaskan sebagai berikut:
Level 1 : Performed Informally (Dilakukan Informal) artinya kinerja belum
sepenuhnya direncanakan dan dilacak, kinerja tergantung pada pengetahuan
individu dan organisasi. Serta tidak ada peraturan tertulis untuk melaksanakan
tindakan, perintah pelaksanaan dilakukan hanya melalui lisan
Level 2 : Planned and Tracked (Direncanakan dan Dilacak) artinya kinerja sesuai
prosedur yang sudah diverifikasi. Hasil kerja sesuai dengan persyaratan.
Perbedaan dengan proses kinerja level 1 adalah bahwa proses kinerja pada level
2 telah direncanakan dan dikelola.
Level 3 : Well Defined (Didefinisikan dengan Baik) artinya kinerja pada level ini
dilakukan sesuai dengan persetujuan, sesuai dengan standar yang telah ada, dan
proses telah didokumentasikan. Perbedaan dari level 2 adalah bahwa proses
kinerja pada level ini direncanakan dan dikelola dengan menggunakan standar
yang ditetapkan organisasi.
Level 4 : Quantitatively Controlled (Dikendalikan secara Kuantitatif) artinya langkah-
langkah detail pada proses kinerja dikumpulkan dan dianalisis. Ini mengarah ke
pemahaman kuantitatif terhadap kemampuan proses dan kemampuan untuk
meningkatkan kinerja. Pada level ini kualitas hasil kerja secara kuantitatif
diketahui. Perbedaan dengan level 3 adalah bahwa proses kinerja pada level ini
didefinisikan, dipahami, dan dikendalikan secara kuantitatif
Page 286
Level 5 : Continously Improving (Ditingkatkan terus-menerus) perbedaan proses
kinerja level 5 dengan proses kinerja pada level 4 adalah bahwa proses
didefinisikan dan proses telah sesuai dengan standar dan dilakukan perbaikan
terus-menerus dan dilakukan peningkatan. Proses kinerja ini didasarkan pada
pemahaman kuantitatif dari dampak dari perubahan proses
7 Keamanan Sumber Daya Manusia
7.1 Sebelum Bekerja
7.1.1 Penyaringan
Kontrol: Pemeriksaan verifikasi latar belakang pada semua kandidat untuk pekerjaan harus
dilakukan sesuai dengan hukum, peraturan dan etika yang relevan dan harus proporsional dengan
persyaratan bisnis, klasifikasi informasi yang akan diakses dan risiko yang dirasakan
No Pernyataan 1 2 3 4 5
1. Semua kandidat dilakukan pemeriksaan dan
verifikasi latar belakang melalui daftar riwayat
hidup
2. Adanya konfirmasi kualifikasi akademik dan
professional yang diklaim, serta verifikasi
identitas independen (Contoh: paspor atau
dokumen serupa)
3. Verifikasi yang lebih rinci (Contoh: Peninjauan
ulang kredit atau catatan kriminal)
4. Memastikan kandidat memiliki kompetensi
untuk melakukan peran keamanan
7 Keamanan Sumber Daya Manusia
7.2 Selama Bekerja
7.2.1 Tanggung Jawab Manajemen
Kontrol: Manajemen mengharuskan semua karyawan dan kontraktor untuk menerapkan
keamanan informasi sesuai dengan kebijakan dan prosedur organisasi yang telah ditetapkan
No Pernyataan 1 2 3 4 5
1. Manajemen memberikan pengarahan tentang
peran dan tanggung jawab keamanan informasi
terhadap karyawan atau kontraktor sebelum
diberikan akses ke informasi rahasia
2. Adanya pemberian pedoman dan pengarahan
tentang harapan keamanan informasi dari peran
karyawan dan kontraktor di dalam organisasi
3. Memastikan karyawan atau kontraktor memiliki
motivasi dan terus memiliki keterampilan dan
kualifikasi yang sesuai untuk memenuhi
kebijakan keamanan informasi
Page 287
7 Keamanan Sumber Daya Manusia
7.2 Selama Bekerja
7.2.2 Kesadaran Keamanan Informasi, Pendidikan, dan Pelatihan
Kontrol: Semua karyawan organisasi dan, jika relevan, kontraktor harus menerima pendidikan
dan pelatihan kesadaran yang sesuai dan pembaruan rutin dalam kebijakan dan prosedur
organisasi, yang relevan untuk fungsi pekerjaan mereka
No Pernyataan 1 2 3 4 5
1. Program kesadaran keamanan informasi harus
bertujuan untuk membuat karyawan atau
kontraktor menyadari tanggung jawab mereka
untuk keamanan informasi
2. Program kesadaran keamanan informasi harus
ditetapkan dan relevan dengan kebijakan dan
prosedur keamanan informasi organisasi (Contoh:
pelaksanaan hari keamanan informasi dan
menerbitkan buklet atau bulletin tentang
keamanan informasi)
3. Pendidikan dan pelatihan harus memastikan
komitmen manajemen terhadap keamanan
informasi di seluruh organisasi
4. Memisahkan tanggung jawab pribadi dan
tanggung jawab umum serta memastikan tidak
adanya tindakan sendiri dalam mengamankan atau
melindungi informasi milik organisasi dan milik
pihak eksternal
5. Memberikan kesadaran untuk melakukan prosedur
keamanan informasi dasar (Contoh: Pelaporan
insiden keamanan informasi) dan kontrol dasar
(Contoh: Keamanan kata sandi, dan kontrol
malware)
Page 288
KUISIONER
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI DAN
INFORMATIKA KABUPATEN BOGOR
Kepada Yth,
Kepala Seksi Pengembangan Aplikasi dan Data
Dinas Komunikasi dan Informatika Kabupaten Bogor
Di Tempat
Responden yang terhormat,
Saya Mohamad Mirza Maulana (1113093000042) adalah Mahasiswa Program Studi Sistem
Informasi UIN Syarif Hidayatullah Jakarta yang sedang melakukan penelitian tentang Audit
Keamanan Sistem Informasi Pada Dinas Komunikasi dan Informatika Kabupaten Bogor
Menggunakan Standar ISO/IEC 27001:2013 dan COBIT 5. Penelitian ini adalah bagian dari
skripsi sebagai salah satu syarat untuk mendapatkan gelar Sarjana Sistem Informasi bagi peneliti.
Demi tercapainya hasil yang diinginkan, peneliti mohon kesediaan Anda untuk berpartisipasi
mengisi kuesioner ini secara lengkap dan benar.
Kuisioner ini bertujuan untuk mendapatkan data dan opini Bapak/Ibu mengenai proses
pengelolaan keamanan teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten
Bogor. Informasi yang diterima dari kuisioner ini bersifat rahasia dan hanya digunakan untuk
kepentingan akademis. Tidak ada jawaban yang salah dalam menjawab kuesioner ini. Atas
bantuannya saya ucapkan terima kasih.
Jakarta, Oktober 2018
Mohamad Mirza Maulana
8 Manajemen Aset
8.1 Tanggung Jawab Untuk Aset
8.1.1 Inventarisasi Aset
Kontrol: Aset yang terkait dengan informasi dan fasilitas pemrosesan informasi harus
diidentifikasi dan inventarisasi aset-aset ini harus dibuat dan dipelihara
No Pernyataan 1 2 3 4 5
1. Aset yang terkait dengan informasi dan fasilitas
pemrosesan informasi harus diidentifikasi dan
inventarisasi aset harus dibuat dan dipelihara.
2. Aset yang relevan dalam siklus hidup informasi
(pembuatan, pemrosesan, penyimpanan, transmisi,
penghapusan, dan penghancuran) harus
Page 289
diidentifikasi dan dokumentasinya dibuat dan
disimpan dalam inventaris khusus
3. Inventaris aset harus akurat, terbaru, konsisten,
dan sejajar dengan inventaris lain.
8 Manajemen Aset
8.1 Tanggung Jawab Untuk Aset
8.1.2 Kepemilikan Aset
Kontrol: Aset yang dipertahankan dalam inventaris harus dimiliki.
No Pernyataan 1 2 3 4 5
1. Kepemilikan atas aset harus diberikan ketika aset
didapatkan atau diterima oleh organisasi
2. Aset diinventarisasi, diklasifikasikan dan
dilindungi dengan tepat
3. Aset didefinisikan dan ditinjau secara berkala
dengan kebijakan kontrol akses yang berlaku
4. Memastikan penanganan yang tepat saat aset
dihapus
8 Manajemen Aset
8.2 Klasifikasi Informasi
8.2.1 Klasifikasi Informasi
Kontrol: Informasi harus diklasifikasikan dalam persyaratan hukum, nilai, kekritisan, dan
kepekaan terhadap pengungkapan atau modifikasi yang tidak sah.
No Pernyataan 1 2 3 4 5
1. Terdapat skema klasifikasi informasi, yang
digunakan untuk klasifikasi dan kriteria informasi
untuk meninjau klasifikasi dari waktu ke waktu
2. Skema klasifikasi informasi harus berdasarkan
confidentiality (kerahasiaan), integrity (integritas),
dan availability (ketersediaan)
3. Skema klasifikasi informasi bersifat konsisten di
dalam organisasi
4. Klasifikasi informasi harus dimasukkan ke dalam
proses bisnis organisasi
5. Hasil klasifikasi informasi harus menunjukkan
nilai aset
6. Hasil klasifikasi informasi diperbaharui sesuai
dengan perubahan nilai aset dan kekritisan aset
Page 290
9 Kontrol Akses
9.1 Persyaratan Bisnis Terhadap Kontrol Akses
9.1.1 Kebijakan Kontrol Akses
Kontrol: Kebijakan kontrol akses harus ditetapkan, didokumentasikan dan ditinjau berdasarkan
persyaratan keamanan bisnis dan informasi
No Pernyataan 1 2 3 4 5
1. Pemilik aset menentukan aturan akses kontrol
yang tepat, hak akses dan pembatasan aturan
pengguna terhadap aset mereka
2. Adanya kebijakan kontrol akses bersifat fisik dan
logis yang baik dan telah dipertimbangakan
bersama-sama
3. Terdapat undang-undang yang relevan dan
kewajiban kontraktual apa pun terkait pembatasan
akses ke data atau layanan
4. Adanya peninjauan kembali hak akses secara
berkala dan penghapusan hak akses apabila tidak
sesuai
12 Keamanan Operasi
12.3 Backup
12.3.1 Backup Informasi
Kontrol: Salinan cadangan informasi, perangkat lunak dan gambar sistem harus diambil dan diuji
secara teratur sesuai dengan kebijakan cadangan yang disepakati
No Pernyataan 1 2 3 4 5
1. Kebijakan backup informasi yang mencakup
pertahanan dan perlindungan infrormasi
2. Tersedianya fasilitas backup informasi yang
memadai untuk memastikan informasi penting
dapat dipulihkan setelah terjadi bencana atau
kegagalan media
3. Pencatatan backup informasi yang akurat dan
lengkap serta dokumentasi prosedur perbaikan
4. Penyimpanan Backup di tempat yang aman dan
jarak yang cukup
5. Tingkat perlindungan fisik dan lingkungan
Backup informasi yang konsisten sesuai dengan
standar yang diterapkan pada lokasi utama
organisasi
6. Pengujian media backup secara berkala
7. Penggunaan enkripsi pada backup dalam keadaan
kerahasiaan sangat penting
Page 291
KUISIONER
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI DAN
INFORMATIKA KABUPATEN BOGOR
Kepada Yth,
Kepala Seksi Infrastruktur dan Teknologi
Dinas Komunikasi dan Informatika Kabupaten Bogor
Di Tempat
Responden yang terhormat,
Saya Mohamad Mirza Maulana (1113093000042) adalah Mahasiswa Program Studi Sistem
Informasi UIN Syarif Hidayatullah Jakarta yang sedang melakukan penelitian tentang Audit
Keamanan Sistem Informasi Pada Dinas Komunikasi dan Informatika Kabupaten Bogor
Menggunakan Standar ISO/IEC 27001:2013 dan COBIT 5. Penelitian ini adalah bagian dari
skripsi sebagai salah satu syarat untuk mendapatkan gelar Sarjana Sistem Informasi bagi peneliti.
Demi tercapainya hasil yang diinginkan, peneliti mohon kesediaan Anda untuk berpartisipasi
mengisi kuesioner ini secara lengkap dan benar.
Kuisioner ini bertujuan untuk mendapatkan data dan opini Bapak/Ibu mengenai proses
pengelolaan keamanan teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten
Bogor. Informasi yang diterima dari kuisioner ini bersifat rahasia dan hanya digunakan untuk
kepentingan akademis. Tidak ada jawaban yang salah dalam menjawab kuesioner ini. Atas
bantuannya saya ucapkan terima kasih.
Jakarta, Oktober 2018
Mohamad Mirza Maulana
9 Kontrol Akses
9.1 Persyaratan Bisnis Terhadap Kontrol Akses
9.1.2 Akses ke Jaringan dan Layanan Jaringan
Kontrol: Pengguna hanya boleh diberikan akses ke jaringan dan layanan jaringan yang telah
secara khusus diizinkan untuk digunakan.
No Pernyataan 1 2 3 4 5
1. Adanya kebijakan yang mengatur jaringan dan
layanan jaringan mana yang diizinkan untuk
diakses
2. Adanya kebijakan yang mengatur prosedur
otorisasi untuk menentukan siapa yang diizinkan
untuk mengakses jaringan atau layanan jaringan
tertentu
Page 292
3. Adanya kebijakan yang mengatur sarana yang
digunakan untuk mengakses jaringan dan layanan
jaringan (misalnya penggunaan VPN atau jaringan
nirkabel)
4. Adanya kebijakan yang mengatur persyaratan
autentikasi (validasi) pengguna untuk mengakses
berbagai layanan jaringan
5. Adanya kebijakan yang mengatur pemantauan
penggunaan layanan jaringan
11 Keamanan Fisik dan Lingkungan
11.1 Area Aman
11.1.2 Kontrol Entri Fisik
Kontrol: Area aman harus dilindungi oleh kontrol entri yang tepat untuk memastikan bahwa
hanya personel yang berwenang yang diperbolehkan mengakses
No Pernyataan 1 2 3 4 5
1. Pencatatan tanggal dan waktu masuk dan
keluarnya pengunjung dicatat dan adanya
pengawasan terhadap pengunjung
2. Akses ke daerah-daerah dimana informasi rahasia
diproses atau disimpan (Contoh: Ruang server)
harus dibatasi untuk individu yang berwenang
dengan menerapkan kontrol akses yang sesuai
(Contoh: menggunakan kartu akses atau
fingerprint)
3. Pemantauan dan penjagaan buku masuk fisik atau
jejak audit elektronik dari semua akses
4. Semua pegawai atau pihak eksternal memakai
tanda pengenal
5. Perbaharuan aturan tentang hak akses untuk
mengamankan daerah yang aman secara berkala
11 Keamanan Fisik dan Lingkungan
11.1 Area Aman
11.1.3 Mengamankan Kantor, Ruangan, dan Fasilitas
Kontrol: Keamanan fisik untuk kantor, kamar dan fasilitas harus dirancang dan diterapkan
No Pernyataan 1 2 3 4 5
1. Fasilitas utama ditempatkan di tempat yang aman
dan tidak dapat diakses oleh publik
2. Terdapat tanda baik di dalam atau di luar
bangunan yang menandakan adanya tempat
pengelolaan dan pengolahan data atau informasi
Page 293
11 Keamanan Fisik dan Lingkungan
11.1 Area Aman
11.1.4 Melindungi Terhadap Ancaman Eksternal dan Lingkungan
Kontrol: Perlindungan fisik terhadap bencana alam, serangan atau kecelakaan yang berbahaya
harus dirancang dan diterapkan.
No Pernyataan 1 2 3 4 5
1. Terdapat rancangan atau penerapan perlindungan
fisik terhadap aset dari adanya bencana alam,
serangan atau kecelakaan yang berbahaya
2. Adanya saran dari ahli tentang bagaimana cara
untuk menghindari kerusakan dari segala ancaman
seperti kebakaran, banjir, gempa bumi, ledakan,
atau ancaman lain
11 Keamanan Fisik dan Lingkungan
11.2 Peralatan
11.2.2 Utilitas Pendukung
Kontrol: Peralatan harus dilindungi dari gangguan listrik dan gangguan lain yang disebabkan
oleh kegagalan dalam mendukung utilitas
No Pernyataan 1 2 3 4 5
1. Adanya peraturan mengenai sarana pendukung
sesuai dengan spesifikasi peralatan dan
persyaratan hukum organisasi
2. Penilaian sarana pendukung secara teratur
3. Pemeriksaan dan pengujian aturan tentang sarana
pendukung secara teratur
11 Keamanan Fisik dan Lingkungan
11.2 Peralatan
11.2.3 Keamanan Kabel
Kontrol: Kabel daya dan telekomunikasi yang membawa data atau layanan informasi pendukung
harus dilindungi dari intersepsi, interferensi atau kerusakan
No Pernyataan 1 2 3 4 5
1. Adanya peraturan mengenai listrik dan jalur
telekomunikasi ke fasilitas pengolahan informasi
yang menyatakan harus dibawah tanah
2. Adanya peraturan pemisahan kabel listrik dengan
kabel komunikasi
Page 294
11 Keamanan Fisik dan Lingkungan
11.2 Peralatan
11.2.4 Pemeliharaan Peralatan
Kontrol: Peralatan harus dipelihara dengan benar untuk memastikan ketersediaan dan
integritasnya yang berkelanjutan
No Pernyataan 1 2 3 4 5
1. Terdapat peraturan mengenai spesifikasi peralatan
dan pemeliharaan peralatan dalam interval yang
direkomendasikan pemasok
2. Pemeliharaan atau perbaikan peralatan dilakukan
oleh personil yang berwenang
3. Memastikan peralatan berfungsi dengan baik
sebelum mengoperasikan kembali setelah proses
pemeriksaan dan pemeliharaan
13 Keamanan Komunikasi
13.1 Manajemen Keamanan Jaringan
13.1.1 Kontrol Jaringan
Kontrol: Jaringan harus dikelola dan dikendalikan untuk melindungi informasi dalam sistem dan
aplikasi
No Pernyataan 1 2 3 4 5
1. Penetapan tanggung jawab dan prosedur untuk
pengelolaan peralatan jaringan
2. Adanya pemisahan tanggung jawab operasional
untuk jaringan dengan operasional yang lain
3. Adanya pemantauan dan tindakan memutus akses
yang sesuai untuk mendeteksi tindakan yang dapat
berpengaruh terhadap keamanan informasi
4. Koordinasi manajemen untuk mengoptimalkan
layanan kepada organisasi dan memastikan bahwa
kontrol diterapkan secara konsisten
5. Adanya autentikasi sistem di jaringan
6. Pembatasan koneksi sistem ke jaringan
Page 295
KUISIONER
AUDIT KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI DAN
INFORMATIKA KABUPATEN BOGOR
Kepada Yth,
Kepala Seksi Keamanan Informasi
Dinas Komunikasi dan Informatika Kabupaten Bogor
Di Tempat
Responden yang terhormat,
Saya Mohamad Mirza Maulana (1113093000042) adalah Mahasiswa Program Studi Sistem
Informasi UIN Syarif Hidayatullah Jakarta yang sedang melakukan penelitian tentang Audit
Keamanan Sistem Informasi Pada Dinas Komunikasi dan Informatika Kabupaten Bogor
Menggunakan Standar ISO/IEC 27001:2013 dan COBIT 5. Penelitian ini adalah bagian dari
skripsi sebagai salah satu syarat untuk mendapatkan gelar Sarjana Sistem Informasi bagi peneliti.
Demi tercapainya hasil yang diinginkan, peneliti mohon kesediaan Anda untuk berpartisipasi
mengisi kuesioner ini secara lengkap dan benar.
Kuisioner ini bertujuan untuk mendapatkan data dan opini Bapak/Ibu mengenai proses
pengelolaan keamanan teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten
Bogor. Informasi yang diterima dari kuisioner ini bersifat rahasia dan hanya digunakan untuk
kepentingan akademis. Tidak ada jawaban yang salah dalam menjawab kuesioner ini. Atas
bantuannya saya ucapkan terima kasih.
Jakarta, Oktober 2018
Mohamad Mirza Maulana
12 Keamanan Operasi
12.2 Perlindungan dari Malware
12.2.1 Kontrol Terhadap Malware
Kontrol: Kontrol deteksi, pencegahan, dan pemulihan untuk melindungi terhadap malware harus
diterapkan, dikombinasikan dengan kesadaran pengguna yang sesuai
No Pernyataan 1 2 3 4 5
1. Terdapat kebijakan mengenai penggunaan
perangkat lunak yang resmi beserta
pengontrolannya
2. Adanya kontrol untuk mencegah dan mendeteksi
perangkat lunak yang tidak sah serta penggunaan
situs berbahaya yang dicurigai
Page 296
3. Adanya kebijakan terkait dengan sumber yang
digunakan untuk mendapatkan file dan software
untuk mencegah risiko
4. Adanya manajemen kerentanan terhadap malware
5. Tinjauan rutin perangkat lunak dan konten data
sistem yang mendukung proses bisnis yang
penting
6. Instalasi dan pembaharuan rutin software
pendeteksi malware serta perbaikan perangkat
lunak untuk memindai komputer dan media
7. Adanya prosedur dan tanggung jawab untuk
menangani perlindungan malware pada sistem,
pelatihan dalam penggunaan, pelaporan dan
perbaikan dari serangan malware
8. Adanya prosedur mengumpulkan informasi
tentang malware baru secara teratur
9. Prosedur untuk memverifikasi informasi yang
berkaitan dengan malware
16 Manajemen Insiden Keamanan Informas
16.1 Manajemen Insiden Keamanan Informasi dan Perbaikan
16.1.2 Pelaporan Peristiwa Keamanan Informasi
Kontrol: Kejadian keamanan informasi harus dilaporkan melalui saluran manajemen yang tepat
secepat mungkin
No Pernyataan 1 2 3 4 5
1. Pegawai menyadari akan tanggung jawabnya
untuk melaporkan kejadian keamanan informasi
secepat mungkin
2. Adanya prosedur untuk melaporkan kejadian
keamanan informasi terkait dengan pelanggaran
akses, malfungsi perangkat lunak atau perangkat
keras, adanya perubahan sistem yang tidak
terkendali
16 Manajemen Insiden Keamanan Informas
16.1 Manajemen Insiden Keamanan Informasi dan Perbaikan
16.1.3 Pelaporan Kelemahan Keamanan Informasi
Kontrol: Karyawan dan kontraktor yang menggunakan sistem informasi dan layanan organisasi
harus diminta untuk mencatat dan melaporkan setiap kelemahan keamanan sistem atau layanan
yang diamati atau dicurigai
No Pernyataan 1 2 3 4 5
1. Adanya arahan bagi karyawan maupun kontraktor
untuk mencatat kelemahan keamanan sistem yang
dicurigai
2. Adanya mekanisme pelaporan kelemahan
keamanan informasi yang mudah diakses
Page 297
16 Manajemen Insiden Keamanan Informas
16.1 Manajemen Insiden Keamanan Informasi dan Perbaikan
16.1.4 Penilaian dan Keputusan tentang Kejadian Keamanan Informasi
Kontrol: Kejadian keamanan informasi harus dinilai dan harus diputuskan apakah mereka harus
diklasifikasikan sebagai insiden keamanan informasi
No Pernyataan 1 2 3 4 5
1. Penilaian titik kontak setiap peristiwa keamanan
informasi menggunakan kejadian keamanan
informasiyang disepakati
2. Klasifikasi dan penentuan prioritas insiden dari
skala klasifikasi insiden dilakukan
3. Hasil penilaian dan keputusan reasesmen dicatat
secara rinci
16 Manajemen Insiden Keamanan Informas
16.1 Manajemen Insiden Keamanan Informasi dan Perbaikan
16.1.5 Respon Terhadap Insiden Keamanan Informasi
Kontrol: Insiden keamanan informasi harus ditanggapi sesuai dengan prosedur terdokumentasi
No Pernyataan 1 2 3 4 5
1. Adanya pengumpulan bukti sesegera mungkin
setelah terjadinya insiden keamanan informasi
2. Adanya prosedur untuk mengkomunikasikan
keberadaan insiden keamanan informasi
3. Adanya pencatatan insiden keamanan informasi
untuk selanjutnya dilakukan analisis penyebab
insiden keamanan infomasi
16 Manajemen Insiden Keamanan Informas
16.1 Manajemen Insiden Keamanan Informasi dan Perbaikan
16.1.6 Belajar Dari Insiden Keamanan Informasi
Kontrol: Pengetahuan yang diperoleh dari menganalisa dan menyelesaikan insiden keamanan
informasi harus digunakan untuk mengurangi kemungkinan atau dampak dari insiden masa depan
No Pernyataan 1 2 3 4 5
1. Terdapat mekanisme yang digunakan untuk
mengukur dan memonitor jenis, frekuensi dan
biaya insiden keamanan informasi
2. Evaluasi insiden keamanan informasi digunakan
untuk meningkatkan kinerja keamanan serta
membatasi frekuensi, kerusakan dan biaya
kejadian di masa depan
Page 298
LAMPIRAN III
SURAT-SURAT PENDUKUNG PENELITIAN