ANALISIS KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN DIUKUR MENGGUNAKAN INDEKS KEAMANAN INFORMASI

ANALISIS KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN DIUKUR MENGGUNAKAN INDEKS KEAMANAN INFORMASI Disusun oleh Nama Peneliti/Pengkaji I

: Iqbal Soenardi

NIP

: 19690918199003 1 001

Pangkat/Golongan

: Pembina IV/a

Jabatan

: Kepala Bagian TIK

Nama Peneliti/Pengkaji II

: M. Ichsan

NIP

: 19820804200212 1 003

Pangkat/Golongan

: Pengatur Tk. I / II.d

Jabatan

: Pranata Komputer Pelaksana

HALAMAN JUDUL

BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN JAKARTA 2013

i

Analisis Kematangan Sistem Manajemen Keamanan Informasi Badan Pendidikan Dan Pelatihan Keuangan Diukur Menggunakan Indeks Keamanan Informasi Abstrak Penelitian ini berisi tentang hasil analisis kematangan Sistem Manajemen Keamanan Informasi (SMKI) yang ada di Badan Pendidikan dan Pelatihan Keuangan diukurmenggunakan Indeks Keamanan Informasi (Indeks KAMI). Analisis yang dilakukan meliputi kelengkapan dan kematangan SMKI sesuai pedoman penggunaan Indeks Keamanan Informasi. Hasil analisis kelengkapan dan kematangan SMKI berada pada tingkat rendah dengan ketergantungan organisasi terhadap teknologi informasi dan komunikasi di tingkat sedang. Penyebab rendahnya tingkat kematangan SMKI diantaranya;rendahnya tingkat awareness dari pimpinan dan pegawai terkait SMKI, lemahnya dokumentasi kegiatan, dan pengembangan aplikasi beserta infrastruktur yang bersifat reaktif. Untuk menjawab sejumlah tantangan yang harus dihadapi terkait penerapan SMKI ini, BPPK perlu meningkatkan awareness pimpinan dan pegawaiterkait penting SMKI, mengembangkanICT Blueprint BPPKyang memungkinkan pengembangan aplikasi dan infrastruktur BPPK dapat dilakukan secara terencana, terintegrasi, dan komprehensif dan menyempurnakan SOP di lingkungan BPPK untuk mendukung peralihan proses bisnis dari paper-based menjadi technology-based administration sekaligus untuk menumbuhkembangkan budaya pendokumentasian data dan informasi di lingkungan BPPK. Keywords : Keamanan Informasi, SMKI, Indeks KAMI, Badan Pendidikan dan Pelatihan Keuangan

ii

KATA PENGANTAR Alhamdulillahirabbil’alamin. Segala puji syukur penulis panjatkan kepada Allah SWT atas segala limpahan rahmat dan nikmat-Nya sehingga penulis dapat menyelesaikan skripsi berjudul “Analisis Kematangan Sistem Manajemen Keamanan Informasi Badan Pendidikan dan Pelatihan Keuangan Diukur Menggunakan Indeks Keamanan Informasi”. Banyak pihak yang telah membantu terselesaikannya skripsi ini. Pada kesempatan ini penulis ini mengucapkan terima kasih kepada: 1. Orang tua, Saudara dan keluarga kami tercinta atas semua do‟a, perjuangan dan dukungannya. 2. Sekretaris Badan beserta pejabat dan pegawai di lingkungan Sekretariat yang telah mendukung penyelesaian kajian akademis ini. 3. Prof. Dr. Rina Oktaviani, Dr. Ir. Riyanto, M.Si.dan Rachmad Solik, S.Sos, M.M. selaku pembimbing dalam kajian akademis. 4. Bapak Haryatno, PMP, ISMS Auditor selaku narasumber yang telah banyak memberikan ilmu dan pengalamannya terkait Keamanan Informasi. 5. Seluruh rekan-rekan kerja di Bagian Teknologi Informasi dan Komunikasi yang telah banyak membantu dan mendukung penyelesaian kajian akademis ini. Semoga Allah melimpahkan keberkahan dan karunia terbaik atas jasa dan amal baiknya. Penulis sadar, karya ini jauh dari sempurna. Semoga karya ini dapat bermanfaat dan menambah wawasan pengetahuan bagi kita semua. Amiin ya Rabbal’alamiin.

Jakarta,

Penulis

iii

September 2013

DAFTAR ISI HALAMAN JUDUL ................................................................................................ i ABSTRAK ............................................................................................................ ii KATA PENGANTAR ........................................................................................... iii DAFTAR ISI ........................................................................................................ iv DAFTAR GAMBAR .............................................................................................. v DAFTAR TABEL ................................................................................................. vi DAFTAR LAMPIRAN ......................................................................................... vii BAB IPENDAHULUAN......................................................................................... 1 A. Latar Belakang ........................................................................................ 1 B. Rumusan Masalah.................................................................................... 7 C. Tujuan Penelitian ...................................................................................... 7 D. Manfaat Penelitian ................................................................................... 8 E. Ruang Lingkup ......................................................................................... 7 1. Ruang lingkuppenelitian ........................................................................ 7 2. Unit analisis ........................................................................................... 8 BAB IILANDASAN TEORI ................................................................................... 9 A. Pengertian Informasi ................................................................................ 9 B. Informasi Sebagai Aset ............................................................................ 9 C. Keamanan Informasi .............................................................................. 10 D. Ancaman Terhadap Keamanan Informasi .............................................. 11 E. Sasaran Pengendalian Keamanan Informasi .......................................... 14 F. Indeks Keamanan Informasi ................................................................... 19 G. Kerangka Pemikiran ............................................................................... 28 BAB IIIMETODE PENELITIAN........................................................................... 30 A. Jenis Penelitian ...................................................................................... 30 B. Jenis dan Sumber Data .......................................................................... 30 C. Waktu dan Tempat Penelitian ................................................................. 30 D. Teknik Pengumpulan Data ..................................................................... 31 E. Kuesioner Pengukuran Area Penelitian .................................................. 33 F. Metode Analisis Data.............................................................................. 39 BAB IVANALISIS HASIL DAN PEMBAHASAN .................................................. 47 A. Deskripsi Data Penelitian........................................................................ 47 B. Analisis data ........................................................................................... 50 1. Tingkat kelengkapan penerapan SMKI ................................................ 50 2. Tingkat Kematangan SMKI .................................................................. 51 C. Pembahasan .......................................................................................... 54 1. Tingkat kelengkapan penerapan SMKI ................................................ 54 2. Tingkat Kematangan SMKI .................................................................. 62 BAB VPENUTUP ............................................................................................... 68 A. Simpulan ................................................................................................ 68 B. Saran ..................................................................................................... 69 DAFTAR PUSTAKA ........................................................................................... 70 LAMPIRAN RIWAYAT HIDUP PENELITI

iv

DAFTAR GAMBAR Gambar 1.1 Grafik Pengunjung Internet Indonesia Selama Tahun 1998 - 2012.. 1 Gambar 1.2 Persentase Ancaman Keamanan Sistem Informasi ......................... 2 Gambar 1.3 Persentase Ancaman Keamanan Sistem Informasi ......................... 3 Gambar 1.4 Persentase Insiden Keamanan Informasi ........................................ 4 Gambar 1.5 Pengguna Dari Gologan Pegawai dan Peserta Diklat...................... 5 Gambar 2.1 Hubungan 11 Sasaran Pengendalian ISO 27001:2005 dan KMK 479 Tahun 2010 Dengan 5 Area Pada Indeks KAMI versi 2.3 ....... 20 Gambar 2.2 Proses Pengelolaan Risiko Keamanan Informasi .......................... 21 Gambar 2.3 Hubungan Indeks KAMI, ISO/IEC 27001:2005 dan KMK nomor 479 tahun 2010 .................................................................................... 28 Gambar 2.4 Kerangka Pemikiran ...................................................................... 29 Gambar 3.1 Ilustrasi Kuesioner Bagian I ........................................................... 35 Gambar 3.2 Definisi Skor Peran TIK ................................................................. 35 Gambar 3.3 Ilustrasi Kuesioner Bagian II – Bagian VI....................................... 37 Gambar 3.4 Diagram Radar Hasil Penilaian SMKI ............................................ 40 Gambar 3.5 Ambang Batas Pencapaian Tingkat Kematangan ......................... 42 Gambar 3.6 Dashboard Kelengkapan Penerapan SMKI ................................... 46 Gambar 4.1 Tingkat Kelengkapan Penerapan SMKI BPPK .............................. 50 Gambar 4.2 Diagram Radar Tingkat Kelengkapan Penerapan SMKI BPPK ..... 51 Gambar 4.3 Tingkat Kematangan SMKI BPPK ................................................. 52

v

DAFTAR TABEL Tabel 3.1 Matrik Status Penerapan dan Kategori Pengamanan ...................... 37 Tabel 3.2 Matrik Kategori Pengamanan dan Area Evaluasi ............................. 38 Tabel 3.3 Jumlah Pertanyaan Terkait Tingkat Kematangan Keamanan Informasi.......................................................................................... 38 Tabel 3.4 Skor Area Eavaluasi ........................................................................ 39 Tabel 3.5 Tingkat Kematangan........................................................................ 41 Tabel 3.6 Matriks Peran TIK dan Status Kesiapan .......................................... 45 Tabel 4.1 Diskripsi Data Kuesioner Indeks KAMI............................................. 49 Tabel 4.2 Tingkat Kematangan SMKI BPPK.................................................... 52 Tabel 4.3 Skor Kelengkapan Area Kerangka Kerja.......................................... 55 Tabel 4.4 Skor Kematangan Area Kerangka Kerja .......................................... 55 Tabel 4.5 Skor Kelengkapan Area Tata kelola Keamanan Informasi ............... 57 Tabel 4.6 Skor Kematangan Area Tata kelola Keamanan Informasi ................ 57 Tabel 4.7 Skor Kelengkapan Area Pengelolaan Aset Informasi ....................... 58 Tabel 4.8 Skor Kematangan Area Pengelolaan Aset Informasi ....................... 59 Tabel 4.9 Skor Kelengkapan Area Teknologi Keamanan Informasi ................. 60 Tabel 4.10 Skor Kematangan Area Teknologi Keamanan Informasi .................. 60 Tabel 4.11 Skor Kelengkapan Area Pengelolaan Risiko Keamanan Informasi .. 61 Tabel 4.12 Skor Kematangan Area Pengelolaan Risiko Keamanan Informasi ... 62

vi

DAFTAR LAMPIRAN

Lampiran 1 Kuesioner Indek Keamanan Informasi (Indeks KAMI) ................... 72 Lampiran 2 Tabel Pengumpulan Data Kuesioner Indeks KAMI ........................ 81

vii

Halaman ini sengaja dikosongkan

BAB I PENDAHULUAN

A. Latar Belakang Informasi merupakan salah satu aset penting yang berharga bagi kelangsungan hidupsuatu organisasi/bisnis, pertahanan keamanan dan keutuhan negara, kepercayaan publik ataukonsumen, sehingga harus dijaga ketersediaan, ketepatan dan keutuhannya. Informasidapat disajikan dalam berbagai format seperti: teks, gambar, audio, maupun video. Manajemen keamanan informasi menjadi sangat penting di era modern saat ini, di manaperkembangan teknologi saat ini telah memudahkan orang dalam memperoleh informasi. Kemudahan ini terlihat dengan peningkatan jumlah pengunjung internet dari tahun ke tahun. Hal ini tampakpadagambar 1.1grafik pengunjung internet Indonesia tahun dari 1998-2012 yang bersumber dari Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) di bawah ini. Gambar 1. 1Grafik Pengunjung Internet Indonesia Selama Tahun 1998 - 2012

Sumber: http://www.apjii.or.id

ANALISIS KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN DIUKUR MENGGUNAKAN INDEKS KEAMANAN INFORMASI

Selain itu, perkembangan teknologi juga miningkatkan ancaman terhadap pengelolaan informasi. Hal ini tampak pada gambar 1.2 hasil survei yang dilakukan oleh Information Security Breaches Survey (ISBS)pada tahun 2010 yang berpusat di Inggris. Gambar 1.2Persentase Ancaman Keamanan Sistem Informasi Tahun 1998 - 2010

Sumber: Information Security Breaches Survey

Dari Gambar 1.2 di atas dapat jelaskan bahwa pada tahun 1998 - 2004 terjadi peningkatan ancaman terhadap keamanan informasi organisasi dari 18%menjadi 68%. Selanjutnya, ancaman tersebut menurun pada tahun 2004 – 2008 dari 68% menjadi 35%. Ancaman kembali meningkat pada tahun 2010 yaitu 74% untuk organisasi kecil dan 90% untuk organisasi besar. ISBS juga mempublikasikan hasil surveinya terkait jenis ancaman keamanan informasi padatahun 2010 dan 2012 untuk organisasi besar dan kecil. Hasil survei tersebut tampak pada gambar 1.3 berikut:

2

BAB I PENDAHULUAN

Gambar 1.3Persentase Ancaman Keamanan Sistem Informasi Tahun 2010 dan 2012

Sumber: diolah dari hasil survei Information Security Breaches Survey 2012

Berdasarkan gambar 1.3 di atas, jenis ancaman yang paling tinggi pada organisasi besar di tahun 2012 adalah insiden ancaman yang dilakukan oleh pegawai atau staf sebesar 82%. Jenis ancaman di tingkat bawah berikutnya disebabkan oleh attacker/hacker sebesar 73%, data korup atau kegagalan sistem sebesar 66%,

virus atau program berbahaya sebesar 59% dan terakhir

disebabkan oleh kecurangan sebesar 53%. Di tingkat nasional, Indonesia Computer Emergency Response Team(IDCERT) melaporkanbahwa jumlah insiden yang masuk sepanjang tahun 2011 adalah sebanyak 1.057.333. Untuk rata-rata insden yang terjadi per bulan pada tahun 2010 sebanyak 290.297 laporan dan tahun 2011 sebanyak 88.111 laporan. Dari laporan insiden yang masuk dapat disajikan dalam bentuk grafik seperti tampakpada gambar berikut:

3


Gambar 1. 4 Persentase Insiden Keamanan Informasi Spam Komplain

0.00% 0.01%

Respon

0.01% 0.05%

Spoofing / Phishing

0.05% 0.05% 1.95% 3.05%

Malware INTELLECTUAL PROPERTY RIGHTS/HaKI

5.41% 9.29%

Spam

90.83%

36.07% 1.74%

Network Incident 0%

51.48% 20% 2010

40%

60%

80%

100%

2011

Sumber: Laporan Indonesia Computer Emergency Response Team Tahun 2012

Berdasarkan gambar 1.4 di atas, jenis insiden yang mendominasi pada tahun 2010 adalah spam sebesar 90,83%, disusul HaKI sebesar 5.41%, malware 1,95%, nerwork incident sebesar 1,95% dan spoofing 0.05%. Insiden pada tahun 2011 dari yang tertinggi nerwork incident sebesar 51,48%, spam sebesar 36,07%, haki sebesar 9,29%, malware 3,05% dan spoofing 0,05%. Melihat kenyataan di atas, maka keamanan informasi perlu diperhatikan oleh setiap organisasi. Badan Pendidikan dan Pelatihan Keuangan (BPPK) merupakanorganisasi/instansi

pemerintah

di

bawah

Kementerian

Keuangan.Dalam menjalankan tugasnya, BPPK menyediakan akses intranet dan internet di semua satker BPPK melalui Wide Area Network (WAN) Kementerian Keuangan. Pengguna intranet dan internet dari lingkungan BPPK meliputi; pegawai, peserta diklat, pengajar dan tamu. Pengguna dari golongan pegawai BPPK dan peserta diklat dari tahun 2017 – 2012 dapat dilihat pada gambar berikut:

4

BAB I PENDAHULUAN

Gambar 1.5Pengguna Dari Gologan Pegawai dan Peserta Diklat 40,000 35,000

Pengguna

30,000 25,000 20,000 15,000 10,000 5,000

2007

2008

2009

2010

2011

2012

Tahun Sumber: diolah dari data LAKIP, SIM Kepegawaian dan Aplikasi Monitoirng Information System Diklat BPPK

Berdasarkan gambar 1.5 di atas, peningkatan jumlah pengguna dari golonganpegawai BPPK dan peserta diklat mulai dari 10.000-an pada tahun 2007 sampai dengan 30.000-an pada tahun 2010. Pada tahun 2011 mengalami penurunan dari tahun sebelumnya dan pada tahun 2012 kembali naik mendekati angka 35.000. Peningkatan jumlah pengguna tersebut berpotensi meningkatkan ancaman terhadap

keamanan

Kementerian

informasi

Keuangan,

BPPK.Bergabungnya

ancamanterhadap

BPPK

keamanan

dalam

informasi

WAN inijuga

berpotensi menimbulkan ancaman terhadap instansi lain yang tergabung dalam WAN Kementerian Keuangan. Untuk mendukung penerapan SMKI di instansi pemerintah, Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika telah menerbitkan buku panduan yang bersifat umum dan dapat digunakan oleh instansi pemerintah, Badan Usaha Milik Negara/Daerah dan penyelenggara publik

5


lainnya, Salah satu unit di lingkungan Kemenkeu yang telah menggunakan buku panduan ini dalam pengelolaan keamanan informasinya adalah Direktorat Jenderal Pajak Kementerian Keuangan. Buku panduan ini juga memuat Indeks Keamanan Informasi (Indeks KAMI) dalam lampirannya sebagai alat untuk mengukur dan menganalisis tingkat kesiapan atau kematangan pengamanan informasi yang ada di suatu instansi. Sesuai Indeks KAMI, evaluasi dilakukan terhadap berbagai area yang menjadi

target

penerapan

keamanan

informasi

dengan

ruang

lingkup

pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO 27001:2005. Indeks KAMI ini telah banyak digunakan di instansi pemerintah seperti; Kementerian Kebudayaan dan Pariwisata, Kementerian Lingkungan Hidup, Kementerian Kominfo – PDSI, Kementerian Pekerjaan Umum, Kementerian Perdagangan,

Kementerian

Perhubungan,

Kementerian

Perindustrian,

Kementerian PPN / BAPPENAS, Kementerian Tenaga Kerja danTransmigrasi, Sekretariat Negara RI, dan BPKP. Kementerian Keuangan sendiri juga telah memiliki aturan terkait penerapan keamanan informasi yaitu, Keputusan Menteri Keuangan (KMK) Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. KMK ini mengadopsi 11 sasaran pengendalian yang ada di ISO/IEC 27001:2005 atau Standar Nasional Indonesia (SNI) ISO/IEC 27001:2009. KMK 479 tahun 2010mengamanatkan agar penerapan sistem manajemen keamanan informasi dilaksanakan secara bertahap dalam jangka waktu paling lambat3 (tiga) tahun sejak ditetapkannya (13 Desember 2010).

6

BAB I PENDAHULUAN

Berdasarkan uraian di atas, maka peneliti tertarik untuk melakukan penelitian terhadap SMKI yang ada di BPPK. Judul penelitian yang diambil peneliti adalah “Analisis Kematangan Sistem Manajemen Keamanan Informasi Badan Pendidikan dan Pelatihan Keuangan Diukur Menggunakan Indeks Keamanan Informasi”. B. Rumusan Masalah Berdasarkan uraian pada latar belakang sebelumnya, peneliti membuat rumusan masalah yang termuat dalam pertanyaan berikut: Bagaimana

tingkat

kesiapan

atau

kematangan

SMKIBPPK

diukur

Menggunakan Indeks Keamanan Informasi? C. Tujuan Penelitian Sesuai dengan rumusan masalah sebelumnya, tujuan penelitian ini adalah untuk mengetahui tingkat kesiapan atau kematangan Sistem Manajemen Keamanan Informasi BPPK berdasarkan Keputusan Menteri Keuangan Nomor 479 Tahun 2010 diukur menggunakan Indeks Keamanan Informasi. D. Ruang Lingkup 1.

Ruang lingkuppenelitian Ruang

lingkup

yang

diteliti

terkait

pengelolaan

Sistem

Informasi

Manajemen (SIM) pada server utama dan Infrastruktur Teknologi Informasi dan Komunikasi (TIK) BPPK. Area-area yang diteliti untuk masing-masing ruang lingkupadalah: a. Peran dan Tingkat Kepentingan TIK b. Tata Kelola Keamanan Informasi

7


c. Pengelolaan Risiko Keamanan Informasi d. Kerangka Kerja Keamanan Informasi e. Pengelolaan Aset Keamanan Informasi f. 2.

Teknologi Keamanan Informasi Unit analisis Unit analisis dalam penelitian ini adalah semua Satuan Kerja (20 Satuan

Kerja) di lingkungan BPPK. Satuan kerja tersebut terdiri dari 8 unit eselon II dan 12 unit eselon III yang tersebar di daerah. E. Manfaat Penelitian Penelitian ini akan memberikan banyak manfaat diantaranya: 1. Bagi Pimpinan,

hasil penelitian ini dapat

digunakan untuk

bahan

pertimbangan pengambilan keputusan atau kebijakan di bidang keamanan informasi. 2. Bagi Pegawai, hasil penelitian ini dapat digunakan untuk meningkatkan pemahaman dan kepedulian terhadap manajemen keamanan informasi 3. 4. .

8

BAB II LANDASAN TEORI

A. Pengertian Informasi Menurut kamus besar bahasa Indonesia informasi adalah penerangan atau pemberitahuan tentang sesuatu. Menurut kamus Wikipedia, informasi adalah pesan (ucapan atau ekspresi) atau kumpulan pesan yang terdiri dari order sekuens dari simbol, atau makna yang dapat ditafsirkan dari pesan atau kumpulan pesan. Informasi juga berarti data yang telah diolah menjadi sebuah bentuk yang berarti bagi penerimanya dan bermanfaat bagi pengambilan keputusan saat ini atau saat mendatang (Kadir, 2003). Informasi merupakan kumpulan data yang diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi yang menerima (Kristanto, 2003). Informasi adalah data yang diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi yang menerimanya (Jogiyanto, 1990). B. Informasi Sebagai Aset Informasi merupakan salah satu aset bagi sebuah organisasi.Sebagaimana aset lainnya, informasi memiliki nilai tertentu bagi organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah organisasi diantaranya: informasi yang tersimpan dalam komputer (desktopdanmobile komputer), informasi yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim


melalui fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan (termasuk percakapan melalui telepon), dikirim melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ide-ide organisasi. C. Keamanan Informasi Menurut SNI ISO/IEC 27001:2009 keamanan informasi adalah penjagaan kerahasiaan, integritas, dan ketersediaan informasi. Keamanan Informasi adalah terjaganya kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi (Tim Direktorat Keamanan Informasi, 2011:24). Orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya saling terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu pada usahausaha mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan, sementara “keamanan informasi” fokus pada data dan informasi milik organisasi. Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihakpihak yang tidak berkepentingan. Berdasarkan

penjelasan

tersebut,

„kemananan

teknologi

informasi‟

merupakan bagian dari keseluruhan aspek „keamanan informasi‟. Karena

10


teknologi informasi merupakan salah satu alat penting yang digunakan untuk mengamankan akses serta penggunaan dari data dan informasi organisasi. Jadi, teknologi

informasi

bukanlah

satu-satunya

aspek

yang

memungkinkan

terwujudnya konsep keamanan informasi di organisasi. D. Ancaman Terhadap Keamanan Informasi Jenis ancaman terhadap sistem manajeman keamanan informasi terbagi dalam dua kelompok besar, yaitu: 1.

Ancaman secara non fisik Jenis ancaman secara non fisik terhadap sistem manajemen keamanan

informasi terdiri dari: a. Jenis ancaman melalui sistem jaringan komputer Jenis-jenis ancaman terhadap keamanan informasi melaui sistem jaringan komputer, diantaranya adalah: 1) DOS/DDOS, yaitu metode serangan untuk menghabiskan sumber daya sebuah peralatan jaringan komputer, sehingga layanan jaringan komputer menjadi terganggu. 2) Sniffing, yaitu metode pencurian data dengan cara mendengarkan seluruh paket yang lewat pada sebuah media komunikasi, baik itu media kabel maupun radio. 3) IP Spoofing, yaitu metode serangan di mana penyerang menempatkan diri di antara 2 host yang sedang berkomunikasi. Akibatnya pengiriman paket data antara 2 host tersebut dikendalikan oleh penyerang. 4) Remote attack

adalah bentuk serangan terhadap suatu mesin dimana

penyerangan dilakukan dari jarak jaruh di luar sistem jaringan atau media transmisi.

11


b.

Jenis ancaman melalui sistem informasi manajemen Jenis ancaman melaui sistem informasi manajemen berbasis berbasis web

berdasarkan standar yang dibuat oleh The

Open

Web ApplicationSecurity

Project (OWASP)ada10 ancaman, terdiri dari: 1)

Kelemahan Injeksiseperti injeksi SQL, OS, dan LDAP yang dapat mengeksekusi perintah yang tidak direncanakan, atau mengakses data yang tidak terotorisasi

2)

Cross-Site Scripting (XSS) merupakan kelemahan aplikasi ketika mengambil data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser tanpa validasi yang memadai.

3)

Otentikasi dan pengelolaan sesi yang buruk seperti lamanya sesi time out aplikasi yang memungkinkan penyerang mendapatkan password, key, dan mengeksploitasi cacat implementasi lainnya untuk memperoleh identitas pengguna yang lain.

4)

Direct object referencemerupakan penggunaan referensi ke suatu objek implementasi internal, seperti file, direktori, atau kunci database tanpa adanya suatu pemeriksaan kendali akses atau perlindungan lainnya.

5)

Cross-Site Request Forgery (CSRF)merupakan suatu serangan terhadap browser korban yang sudah log-on untuk mengirim HTTP request yang dipalsukan,

sehingga

penyerang

dapat

memaksa

browser

korban

menghasilkan request yang dianggap sah oleh aplikasi. 6)

Kesalahan konfigurasi keamananseperti penggunaan konfigurasi default suatu perangkat yang telah banyak diketahui kelemahannya.

12


7)

Penyimpanan kriptografi yang tidak aman seperti tidak terlindunganya data kartu kredit dengan enkripsi yang memadai, sehingga penyerang dapat mencuri atau memodifikasi data.

8)

Kegagalan membatasi akses URL merupakan kelemahan, di mana penyerang dapat memalsukan URL untuk mengakses halaman-halaman yang tersembunyi.

9)

Perlindungan yang tidak cukup pada layer transportsepeti penggunaan sertifikasi yang tidak valid atau sudah kadaluarsa.

10) Redirect dan forward yang tidak divalidasi seperti pengarahan ke situs phising atau malwareoleh penyerang dengan menggunakan forward untuk mengakses halaman yang tidak terotorisasi. 2. Ancaman secara fisik Ancaman secara fisik terhadap sistem manajemen keamanan informasi terkait aset informasi adalah: a. Arus listrik Arus listrik dapat menimbulkan kerusakan pada aset informasi jika melebihi batas atau mati secara mendadak. Kelebihan arus listik dapat menimbulakan terbakarnya aset informasi. Terputusnya arus listrik secara mendadak, arus listrik tidak stabil danhubungan pendek arus listrik dapat mengakibatkan terganggunya operasional. Akibat yang mungkin timbul adalah kerusakan komponen komputer, input data, dan lainnya. b. Bencana Bencana banjir, gempa atau kebakaran yang melanda ruangan/bangunan tempat sistem berada dapat merusak aset informasi sebagian atau keseluruhan. Potensi kerugiannya besar dan untuk memulihkannya membutuhkan biaya,

13


tenaga dan waktu yang tidak sedikit. Memiliki computer emergency and recovery system plan akan membantu mereduksi biaya dan waktu yang dibutuhkan dalam pemulihan. c. Pencurian Pencurian terhadap aset informasi mungkin saja terjadi jika pengaman lemah. Pencurian dapat berasal dari orang dalam atau pun orang luar. Kerugian yang ditimbulkan dapat besar tergantung jenis aset dan datanya yang hilang. d. Ancaman fisik lainnya Ancaman fisik lainnya dapat berupa cuaca buruk misalnya suhu udara yang terlalu panas, terlalu lembab, tetesan air atau kontaminasi kimia, ledakan bom, serangan teroris, sabotase, sambaran petir dan lain-lain yang dapat menimbulakann kerusakan fisik aset informasi. Kerugian yang ditimbulkan acaman ini dapat besar tergantung jenis aset dan data yang rusak. E. Sasaran Pengendalian Keamanan Informasi Sasaran pengendalian keamanan informasi berdasarkan Keputusan Menteri Keuangan Nomor 479 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan yang diadopsi dari ISO 27001:2005 meliputi 11 (sebelas) sasaran pengendalian yaitu; 1.

Pengendalian umum Sasaran pengedalian umumkeamanan informasi digunakan sebagai

pedoman dalam rangka melindungi aset informasi Kementerian Keuangan dari berbagai bentuk ancaman baik dari dalam maupun luar lingkungan Kementerian Keuangan, yang dilakukan secara sengaja maupun tidak sengaja. Pengamanan dan perlindungan ini diberikan untuk menjamin kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) aset informasi agar selalu

14


terjaga dan terpelihara dengan baik. Sasaran pengendalian ini meliputi pengelolaan pengamanan seluruh aset informasi Kementerian Keuangan dan dilaksanakan oleh seluruh unit kerja, pegawai Kementerian Keuangan baik sebagai pengguna maupun pengelola Teknologi Informasi dan Komunikasi (TlK), dan pihak ketiga di lingkungan Kementerian Keuangan. Aset informasi yang perlu dilindungi dalam bentuk: a. Data dokumen, meliputi: data ekonomi dan keuangan, data gaji, data kepegawaian,

dokumen

penawaran

dan

kontrak,

dokumen

perjanjiankerahasiaan, kebijakan kementerian, hasil penelitian, bahan pelatihan,prosedur operasional, rencana kelangsungan kegiatan (business continuity plan), dan hasil audit; b. Perangkat lunak, meliputi: perangkat lunak aplikasi, perangkat lunak sitem,dan perangkat bantu pengembangan sistem; c. Aset fisik, meliputi: perangkat komputer, perangkat jaringan dankomunikasi, removable media, dan perangkat pendukung; d. Aset tak berwujud (intangible), meliputi: pengetahuan, pengalaman,keahlian, citra dan reputasi. 2.

Pengendalian organisasi keamanan informasi Sasaran pengedalian organisasi keamanan informasi bertujuan untuk

memberikan pedoman dalam membentuk organisasi fungsional keamanan informasi yang bertanggung jawab mengelola keamanan informasi dan perangkatnya termasuk hubungan dengan pihak luar. Sasaran pengendalian ini meliputi struktur Tim Keamanan Informasi di Kementerian Keuangan dan unit eselon I, perjanjian kerahasiaan dan hubungan dengan pihak berwenang, komunitas keamanan informasi, dan pihakketiga.

15


3.

Pengendalian pengelolaan aset Sasaran pengedalian pengelolaan aset bertujuan memberikan pedoman

dalam mengelola asetinformasi di lingkungan Kementerian Keuangan untuk melindungi dan menjaminkeamanan aset informasi. Sasaran pengendalian ini meliputi tanggung jawab setiap unit eselon I terhadap aset informasi dan pengklasifikasian aset informasi. 4.

Pengendalian keamanan sumber daya manusia Sasaran

pengedalian

keamanan

sumber

daya

manusia

bertujuan

memastikan bahwa seluruh pegawai dan pihak ketiga memahami tanggung jawabnya masing-masing, sadar atas ancaman keamanan informasi, serta mengetahui proses terkait keamanan informasi sebelum, selama, dan setelah bertugas. Sasaran pengendalian ini meliputi peran dantanggung jawab seluruh pegawai dan pihak ketiga di lingkungan KementerianKeuangan yang hams dipahami dan dilaksanakan. Peran dan tanggung jawabpegawai juga mengacu pada peraturan perundang-undangan lainnya yang berlaku. 5.

Pengendalian keamanan fisik dan lingkungan Sasaran pengedalian keamanan fisik dan lingkungan bertujuan untuk

mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinya kerusakan pada perangkat pengolah informasi serta gangguan pada aktivitas organisasi.

Sasaran

pengendalian

ini

meliputi

pengamanan

area

dan

pengamanan perangkat seperti;perimeter keamanan fisik, perlindungan terhadap ancaman eksternal dan lingkungan, penempatan peralatan, sarana pendukung, keamanan kabel, pemeliharaan, keamanan peralatan di luar kantor, pemindahan barang dan penghapusan atau penggunaan kembali peralatan secara aman. 6.

16

Pengendalian pengelolaan komunikasi dan operasi


Sasaran pengedalian manajemen komunikasi dan operasi bertujuan untuk memastikan operasional yang aman dan benar pada perangkat pengolah informasi,

mengimplementasikan

dan

memelihara

keamanan

informasi,

mengelola layanan yang diberikan pihak ketiga, meminimalkan risiko kegagalan, melindungi keutuhan dan ketersediaan informasi dan perangkat lunak, memastikan keamanan pertukaran informasi dan pemantauan terhadap proses operasional. Sasaran pengendalian ini meliputi: a. Prosedur operasional dan tanggung jawab; b. Pengelolaan layanan oleh pihak ketiga; c. Perencanaan dan penerimaan sistem; d. Perlindungan terhadap ancaman program yang membahayakan (malicious code); e. Backup; f.

Pengelolaan keamanan jaringan;

g. Penanganan media penyimpan data; h. Pertukaran informasi; i. 7.

Pemantauan. Pengendalian akses Sasaran pengedalian akses kontrol bertujuan memastikan otorisasi akses

pengguna dan mencegah akses pihak yang tidak berwenang terhadap aset informasi khususnya perangkat pengolah informasi. Sasaran pengendalian ini meliputi persyaratan untuk pengendalian akses, pengelolaan akses pengguna, tanggung jawab pengguna, pengendalian akses jaringan, pengendalian akses ke sistem operasi, pengendalian akses ke aplikasi dan sistem informasi, mobile computing dan teleworking.

17


8.

Pengendalian pengadaan, pengembangan dan pemeliharaan sistem informasi Sasaran

pengedalian

pengadaan/akuisisi,

pengembangan

dan

pemeliharaan sistem informasi bertujuan untuk memastikan bahwa keamanan informasi

merupakan

bagian

yang

terintegrasi

dengan

sisteminformasi,

mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak yang tidak berwenang. Sasaran pengendalian ini meliputi pengolahan informasi pada aplikasi, pengendalian penggunaan kriptografi, keamanan file sistem (system files), keamanan dalam proses pengembangan dan pendukung (support proceses) dan pengelolaan kerentanan teknis. 9.

Pengendalian pengelolaan gangguan keamanan informasi Sasaran pengedalian insiden keamanan informasi bertujuan untuk

memastikan kejadian dan kelemahan keamanan informasi yang terhubung dengan sistem informasi dikomunikasikan untuk dilakukan perbaikan, serta dilakukan pendekatan yang konsisten dan efektif agar dapat dihindari atau tidak terulang kembali. Sasaran pengendalian ini meliputi pelaporan kejadian dan kelemahan keamanan informasi dan pengelolaan gangguan keamanan informasi dan perbaikannya. 10. Pengendalian pengelolaan kelangsungan kegiatan Sasaran pengedalian manajemen kelangsungan usaha bertujuan untuk melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layanan pada saat keadaan darurat, serta memastikan pemulihan yang tepat. Sasaran pengendalian ini meliputi proses pengelolaan kelangsungan kegiatan, penilaian risiko dan analisis dampak bisnis (business impact analysis/BIA), penyusunan

18


dan penerapan rencana kelangsungan kegiatan (business continuity) dan pengujian, pemeliharaan, dan pengkajian ulang rencana kelangsungan kegiatan. 11. Pengendalian kepatuhan Sasaran pengedalian kepatuhan bertujuan untuk menghindari pelanggaran terhadap peraturan perundangan yang terkait keamananinformasi. Sasaran pengendalian ini meliputi kepatuhan terhadap peraturan perundangan yang terkait keamanan informasi, kepatuhan teknis dan audit sistem informasi. F.

Indeks Keamanan Informasi Indeks KAMI merupakan alat evaluasi untuk menganalisa tingkat kesiapan

atau kematangan SMKI di Instansi pemerintah. Alat evaluasi ini disusun oleh Tim Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika. Indeks KAMIdigunakan untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005. 1.

Area-area evaluasi keamanan informasi Area yang digunakan dalam indeks KAMI untuk mengevaluasi atau

mengukur tingkat kematangan SMKI instansi merangkum dari 11 sasaran pengendaliian yang ada di ISO 27001:2005 dan KMK 479 tahun 2010 ke dalam 5 area evaluasi. Untuk lebih detail dapat dilihat dari gambar 2.1 berikut:

19


Gambar 2. 1 Hubungan 11 Sasaran Pengendalian ISO 27001:2005 dan KMK 479 Tahun 2010 Dengan 5 Area Pada Indeks KAMI versi 2.3 ISO 27001:2005 (SNI ISO 27001:2009) KEBIJAKAN KEAMANAN INFORMASI

KMK 479 TAHUN 2010

INDEKS KAMI VERSI 2.3

PENGENDALIAN UMUM TATA KELOLA KEAMANAN INFORMASI

ORGANISASI KEAMANAN INFORMASI

MANAJEMEN ASET

SUMBER DAYA MANUSIA MENYANGKUT KEAMANAN INFORMASI

PENGENDALIAN ORGANISASI KEAMANAN INFORMASI MANAJEMEN RISIKO KEAMANAN INFORMASI

KERANGKA KERJA PENGELOLAAN KEAMANAN INFORMASI

KEAMANAN FISIK DAN LINGKUNGAN KOMUNIKASI DAN MANAJEMEN OPERASI

PENGENDALIAN PENGELOLAAN ASET INFORMASI

PENGENDALIAN KEAMANAN SUMBER DAY A MANUSIA

PENGENDALIAN KEAMANAN FISIK DAN LINGKUNGAN PENGELOLAAN ASET INFORMASI

PENGENDALIAN PENGELOLAAN KOMUNlKASI DAN OPERASIONAL

AKSES KONTROL PENGADAAN/AKUISISI, PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI

PENGENDALIAN AKSES TEKNOLOGI KEAMANAN INFORMASI

PENGENDALIAN KEAMANAN INFORMASI DALAM PENGADAAN, PENGEMBANGAN, DAN PEMELIHARAAN SISTEM INFORMASI

PENGELOLAAN INSIDEN KEAMANAN INFORMASI

PENGENDALIAN PENGELOLAAN GANGGUAN KEAMANAN INFORMASI

MANAJEMEN KELANGSUNGAN USAHA

PENGENDALIAN KEAMANAN INFORMASI DALAM PENGELOLAAN KELANGSUNGAN KEGIATAN

KESESUAIAN

PENGENDALIAN KEPATUHAN

Dari gambar 2.1 di atas dapat dijelaskan sebagai berikut: a.

Tata Kelola Keamanan Informasi Area tata kelola merupakan rangkuman penerapan kontrol yang ada pada

KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi, keamanan informasi dalam pengelolaan kelangsungan usaha dan kepatuhan. Penerapan kontrol dalam area ini meliputi kebijakan formal yang mendefinisikan peran, tanggung-jawab, kewenangan pengelolaan keamanan informasi, dari pimpinan unit kerja sampai ke pelaksana operasional. Termasuk dalam area ini juga adalah adanya program kerja yang berkesinambungan, alokasi anggaran, evaluasi program dan strategi peningkatan kinerja tata kelola keamanan informasi.

20


b.

Pengelolaan Risiko Keamanan Informasi Area pengelolaan risiko merupakan rangkuman penerapan kontrol yang

ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian organisasi, pengelolaan

aset

informasi,

keamanan

informasi

dalam

pengelolaan

kelangsungan usaha dan kepatuhan. Bentuk penerapan kontrol pada area pengelolaan risiko keamanan informasi ini sejalandengan strategi penerapan manajemen risiko yang terdapat pada Peraturan Menteri Keuangan

Nomor: 191/PMK.01/2008 tentang

Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan.Salah satu strateginyaadalah memastikan bahwaseluruh risiko telah teridentifikasi dan terdapat mitigasi yang terencana dan terukur untuk menjaga agar risiko tersebut berada pada tingkat yang sesuai dengan toleransi yang telah ditetapkan. Adapun proses pengelolaan risiko keamanan informasi dapat dilihat pada gambar berikut: Gambar 2.2Proses Pengelolaan Risiko Keamanan Informasi Metodology Risk Assessment

Identiﬁkasi Aset

Risk Description Identiﬁkasi Ancaman, Kelemahan & Dampak (C, I, A)

Review Risk Register

Inherent Risk Evaluasi Risiko (Dampak dan Kemungkinan terjadi) - tanpa pengendalian

Residual Risk

Risiko Diterima?

Ya

Tidak Penerapan Kontrol Baru & Risk Treatment Plan

Kontrol yang Ada Expected Risk

Monitor Efektivitas Pengamanan

Sumber: Presentasi Risk Management ISMS, Workshop Indeks KAMI pada tanggal 4 Juni 2013

21


Berdasarkan gambar 2.2 di atas dapat dijelaskan bahwa proses manejemen risiko sistem manajemen keamanan informasi meliputi: 1) Metodology risk assessmentmerupakan metode penilaian risiko aset informasi berdasarkan dampak dan kemungkinan terjadi risiko terhadap aset informasi. 2) Indentifikasi aset merupakan proses mengindentifikasi, klasifikasi dan membuat profil aset informasi. 3) Risk description merupakan proses mengidentifikasi acaman, kelemahan dan dampak terhadap kerahasiaan, integritas dan ketersediaan aset informasi. 4) Inherent risk merupakan proses mengevaluasi risikoterkait dampak dan kemungkinan terjadi pada aset informasi tanpa penerapan pengendalian. 5) Kontrol yang ada merupakan pengendalian yang diterapkan organisasi. 6) Residual risk adalah sisa risiko yang dihasilkan oleh adanya penerapan kontrol. 7) Penerapan kontrol baru dan risk treatment plan merupakan tindak lanjut dari risiko yang melebihi ambang batas dan opsi penanganan risiko yang terbaik yang dilanjutkan dengan pengembangan rencana mitigasi risiko. 8) Expected risk merupakan nilai risiko yang diharapkan dengan penerapan kontrol baru dan risk treatment plan. 9) Monitoring efektivitas pengamanan merupakan proses memantau efektivitas pengaman yang diterapkan. 10) Review risk register merupakan proses menelaah dan mengkajipengelolaan risiko.

22


c.

Kerangka Kerja Keamanan Informasi Area kerangka kerja merupakan rangkuman penerapan kontrol yang ada

pada KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi, keamanan sumber daya manusia, pengelolaan komunikasi dan operasional, pengelolaan

gangguan

keamanan

informasi,keamanan

informasi

dalam

pengelolaan kelangsungan usaha dan kepatuhan. Kelengkapan kontrol di area ini adalah kebijakan dan prosedur kerja operasional, kompetensi sumber daya manusia, termasuk strategi penerapan, pengukuran efektifitas kontrol dan langkah perbaikan. d.

Pengelolaan Aset Informasi Area pengelolaan aset informasi merupakan rangkuman penerapan kontrol

yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian pengelolaan aset informasi, keamanan sumber daya manusia, keamanan fisik dan lingkungan, pengendalian akses, dan keamanan informasi dalam pengadaan, pengembangan, dan pemeliharaan sistem informasi. Kontrol yang diperlukan dalam area ini adalah bentuk pengamanan terkait keberadaan aset informasi, termasuk keseluruhan proses yang bersifat teknis maupun administratif dalam siklus penggunaan aset tersebut. e.

Teknologi dan Keamanan Informasi Area teknologi dan keamanan informasi merupakan rangkuman penerapan

kontrol yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian akses, keamanan informasi dalam pengadaan, pengembangan, dan pemeliharaan sistem

informasi,

pengelolaan

gangguan

keamanan

informasi,keamanan

informasi dalam pengelolaan kelangsungan usaha dan kepatuhan.

23


Aspek pengamanan di area teknologi mensyaratkan adanya strategi yang terkait dengan tingkatan risiko, dan tidak secara eksplisit menyebutkan teknologi atau merk pabrikan tertentu. Data hasil evaluasi pada area-area tersebut akan memberikan snapshot indeks kesiapan dari aspek kelengkapan maupun kematangan kerangka kerja keamanan informasi yang diterapkan dan dapat digunakan sebagai pembanding dalam rangka menyusun langkah perbaikan dan penetapan prioritasnya. 2.

Defisini tingkat kematangan Definisi

tingkat

kematangan

yang

digunakan

untuk

mengevaluasi

kelengkapan dan mengidentifikasi tingkat kematangan penerapan pengamanan berdasarkan petunjuk penggunaanIndeks KAMI adalah: a.

Tingkat I Pada tingkat I mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisi awal, dengan ciri-ciri sebagai berikut: 1)

Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi.

2)

Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan.

3)

Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.

4)

Pihak yang terlibat tidak menyadari tanggung jawab mereka.

24


b.

Tingkat II Pada tingkat II mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisi penerapan kerangka kerja dasar (aktif), dengan ciri-ciri sebagai berikut: 1)

Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis

dan

belum

adanya

keterkaitan

langkah

pengamanan

untuk

mendapatkan strategi yang efektif. 2)

Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.

3)

Langkah pengamanan operasional yang diterapkan bergantung kepada pengetahuan dan motivasi individu pelaksana.

4)

Bentuk

pengamanan

secara

keseluruhan

belum

dapat

dibuktikan

efektivitasnya. 5)

Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan sehingga menyebabkan dampak yang sangat signifikan.

6)

Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan secara konsisten.

7)

Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka.

c.

Tingkat III Pada tingkat III mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisi terdefinisi dan konsisten (pro aktif), dengan ciri-ciri sebagai berikut: 1)

Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan terdokumentasi secara resmi.

25


2)

Efektivitas pengamanan dievaluasi secara berkala, walaupun belum melalui proses yang terstruktur.

3)

Pihak

pelaksana

dan

pimpinan

secara

umum

dapat

menangani

permasalahan terkait pengelolaan keamanan pengendalian dengan tepat, akan tetapi beberapa kelemahan dalam sistem manajemen masih ditemukan sehingga dapat mengakibatkan dampak yang signifikan. 4)

Kerangka kerja pengamanan sudah mematuhi ambang batas minimum standar atau persyaratan hukum yang terkait.

5)

Secara umum semua pihak yang terlibat menyadari tanggungjawab mereka dalam pengamanan informasi.

d. Tingkat IV Pada tingkat IV mengidentifikasikan bahwa kesiapan atau kematangan sistem manajemen keamanan informasi pada kondisiterkelola dan terukur (terkendali), dengan ciri-ciri sebagai berikut: 1) Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen risiko. 2) Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara rutin, formal dan terdokumentasi. 3) Penerapan pengamanan teknis secara konsisten dievaluasi efektivitasnya. 4) Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara konsisten ditindaklanjuti pembenahannya. 5) Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan untuk mencapai bentuk pengelolaan yang efisien. 6) Insiden dan ketidakpatuhan (non-conformity) diselesaikan melalui proses formal dengan pembelajaran akar permasalahan.

26


7) Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana pengamanan informasi. e. Tingkat V Pada tingkat V mengidentifikasikan bahwa kesiapan atau kematangan sistem manajemen keamanan informasi pada kondisi optimal, dengan ciri-ciri sebagai berikut: 1) Pengamanan menyeluruh diterapkan secara berkelanjutan dan efektif melalui program pengelolaan risiko yang terstruktur. 2) Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan tugas pokok instansi. 3) Kinerja pengamanan dievaluasi secara kontinyu, dengan analisisparameter efektivitas kontrol, kajian akar permasalahan dan penerapan langkah untuk optimasi peningkatan kinerja. 4) Target pencapaian program pengamanan informasi selalu dipantau, dievaluasi dan diperbaiki. 5) Karyawan

secara

proaktif

terlibat

dalam

peningkatan

efektivitas

pengamanan. 3.

Hubungan antara Indeks KAMI, ISO 27001:2005 dan KMK 479 tahun 2010 Hubungan

antara

indeks

KAMI

sebagai

alat

pengukuran

tingkat

kematangan SMKI dengan standar ISO/IEC 27001:2005 dan KMK nomor 479 tahun 2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan tampak pada gambar 2.3berikut:

27


Gambar 2.3 Hubungan Indeks KAMI, ISO/IEC 27001:2005 dan KMK nomor 479 tahun 2010 ISO 27001:2005


KEBIJAKAN KEAMANAN INFORMASI ORGANISASI KEAMANAN INFORMASI

PENGENDALIAN UMUM

TATA KELOLA KEAMANAN INFORMASI

MANAJEMEN ASET MANAJEMEN RISIKO KEAMANAN INFORMASI SUMBER DAYA MANUSIA MENYANGKUT KEAMANAN INFORMASI KEAMANAN FISIK DAN LINGKUNGAN

KMK 479 TAHUN 2010


PENGENDALIAN ORGANISASI KEAMANAN INFORMASI PENGENDALIAN PENGELOLAAN ASET INFORMASI


PENGENDALIAN KEAMANAN FISIK DAN LINGKUNGAN

KOMUNIKASI DAN MANAJEMEN OPERASI

PENGELOLAAN ASET INFORMASI


AKSES KONTROL

TEKNOLOGI KEAMANAN INFORMASI

PENGENDALIAN AKSES

PENGADAAN/AKUISISI, PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI


PENGELOLAAN INSIDEN KEAMANAN INFORMASI

PENGENDALIAN PENGELOLAAN GANGGUAN KEAMANAN INFORMASI

MANAJEMEN KELANGSUNGAN USAHA

PENGENDALIAN KEAMANAN INFORMASI DALAM PENGELOLAAN KELANGSUNGAN KEGIATAN

KESESUAIAN

ISO 27002 Code of Practice for ISMS

PENGENDALIAN KEPATUHAN

Berdasarkan gambar 2.3 di atas, dapat dijelaskan bahwa Kementerian Keuangan mengadopsi seluruhsasaran pengendalian yang diamanatkan ISO 27001 dan 27002 dalam penyusunan KMK 479/2010. Sedangkan Indeks KAMI yang digunakan sebagai alat ukur tingkat kematangan SMKI dalam penelitian ini juga disusun mengacu pada standar ISO 27001. G. Kerangka Pemikiran Kerangka pemikiran yang digunakan dalam penelitian ini tampak pada gambar berikut:

28


Gambar 2.4 Kerangka Pemikiran ISO 27001:2005


KEBIJAKAN KEAMANAN INFORMASI ORGANISASI KEAMANAN INFORMASI

PENGENDALIAN UMUM

TATA KELOLA KEAMANAN INFORMASI

MANAJEMEN ASET MANAJEMEN RISIKO KEAMANAN INFORMASI SUMBER DAYA MANUSIA MENYANGKUT KEAMANAN INFORMASI KEAMANAN FISIK DAN LINGKUNGAN

KMK 479 TAHUN 2010


PENGENDALIAN ORGANISASI KEAMANAN INFORMASI PENGENDALIAN PENGELOLAAN ASET INFORMASI


PENGENDALIAN KEAMANAN FISIK DAN LINGKUNGAN

KOMUNIKASI DAN MANAJEMEN OPERASI



AKSES KONTROL


PENGENDALIAN AKSES

PENGADAAN/AKUISISI, PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI


PENGELOLAAN INSIDEN KEAMANAN INFORMASI MANAJEMEN KELANGSUNGAN USAHA

KESESUAIAN

PENGENDALIAN PENGELOLAAN GANGGUAN KEAMANAN INFORMASI TINGKAT KEMATANGAN SMKI BPPK

PENGENDALIAN KEAMANAN INFORMASI DALAM PENGELOLAAN KELANGSUNGAN KEGIATAN PENGENDALIAN KEPATUHAN

29

BAB III METODE PENELITIAN

A. Jenis Penelitian Penelitian ini merupakan jenis penelitian analisis deskriptif kuantitatif, di mana peneliti akan melakukan analisis dengan mendiskripsikan tingkat kematangan SMKI Badan Pendidikan dan Pelatihan Keuangan berdasarkan skor atau nilai yang dihasilkan Indeks KAMI. Deskripsi yang dilakukan penulis didasarkan pada panduan dalam penggunaan indeks KAMI. B. Jenis dan Sumber Data Jenis data yang digunakan adalah data kuantitatif yang diperoleh dari data sekunder maupun data primer yang langsung dikumpulkan dari sumber asalnya. Data sekunder diperoleh dari laporan-laporan atau dokumen-dokumen terkait keamanan informasi yang ada di lingkungan BPPK, sedangkan data primer dikumpulkan daripejabat atau pegawai

teknis BPPK menggunakan metode

survei dan observasi di lapangan. C. Waktu dan Tempat Penelitian Waktu pengamatan dan pengumpulan data berlangsungselama lima bulan mulai dari bulan Maret 2013 sampai dengan Juli 2013. Data yang diamati terkait pengelolaan keamanan informasi dan dokumentasinya yang berada di 20 satuan kerja BPPK (8 unit eselon II dan 12 unit eselon III).


D. Teknik Pengumpulan Data Pengumpulan data dilakukan dengan cara melakukan studi kepustakaan, focus group discussion(FGD), survei (kuesioner), dan observasi. Studi kepustakaan digunakan untuk mengumpulkan data terutama terkait dengan teori dan konsep aspek-aspek atau area-area yang akan diteliti. Selain itu, studi ini juga dilakukan guna mendapatkan data tentang kendala-kendala yang telah diteliti oleh pihak lain. Peneliti juga menggunakan metode focus group discussion (FGD)bersama para Narasumber. Focusgroup discussion adalah diskusi kelompok yang terarah pada masalah yang diangkat peneliti (Hermansyah, 2009). FGD ini bertujuan untuk memperoleh pemahaman lebih mendalam terkait cara penggunaan Indeks KAMI serta informasi terkait kendala-kendala yang mungkin terjadi serta alternatif solusi dalam menerapkan SMKI. Selain itu, peneliti menggunakan kuesioner untuk mengumpulkan data-data terkait kesiapan BPPK menerapkan SMKI sesuai amanat KMK 479 tahun 2010.Kuesioner yang akan digunakan peneliti adalah Indeks Keamanan Informasi (Indeks KAMI) versi 2.3 dari Kementerian Komunikasi dan Informatika dengan pertimbangan: 1. Karena dalam penyusunannya Indeks KAMI mengacu pada sumber yang sama dengan acuan dalam penyusunan KMK479/2010, maka tingkat kesiapan atau kematangan yang menjadi output utama dari penggunaan indeks ini dapat digunakan disamakan dengan tingkat kesiapan/kematangan BPPK dalam menerapkan ketentuan yang ada dalam KMK 479/2010. 2. Indeks KAMI telah digunakan Direktorat Keamanan Informasi Kementerian Komunikasi dan Informasi untuk mengukur tingkat kematangan SMKI pada

31


sejumlah instansi pemerintah, oleh karenanya kami menganggap Indeks KAMI valid untuk digunakan dalam kepentingan penelitian ini, sehingga peneliti tidak perlu menyusun kuesioner khusus untuk tujuan pengukuran tingkat kesiapan dan kematangan SMKI di BPPK. Area-area evaluasi/penelitian berdasarkan Indeks KAMI adalah: 1. Peran TIK di dalam Instansi 2. Tata Kelola Keamanan Informasi 3. Pengelolaan Risiko Keamanan Informasi 4. Kerangka Kerja Keamanan Informasi 5. Pengelolaan Aset Informasi, dan 6. Teknologi dan Keamanan Informasi Responden adalah pejabat atau pegawai teknis yang bertanggung jawab terhadap masing-masing area yang dievaluasi. Sebagai contohnya, responden aspek teknologi keamanan informasi adalah pejabat atau pegawai bertugas menangani teknologi informasi sesuai ruang lingkup surveinya. Untuk

meningkatkan

validitas

hasil

pengisian

kuesioner,

peneliti

mengadakan bimbingan teknis pengisian kuesioner Indeks KAMI dengan bantuan narasumber dari Kementerian Kominfo dengan memanfaatkan fasilitas video conferencing BPPK ke seluruh satker terkait di BPPK. Selain itu, untuk mengkonfirmasi seluruh respon yang diberikan oleh responden pada saat pengisian kuesioner, peneliti juga melakukan wawancara langsung dengan responden (observasi). Selain untuk tujuan konfirmasi dan klarifikasi, observasi juga dilakukan untuk mengumpulkan informasi yang diperlukan seperti topologi jaringan, kondisi infrastruktur, dan aset informasi dari 12 satker terpilih, yaitu Sekretariat Badan,

32


Pusdiklat Pengembangan Sumber Daya Manusia, Pusdiklat Pajak, Pusdiklat Anggaran dan Perbendaharaan, Pusdiklat Kekayaan Negara dan Perimbangan Keuangan, Pusdiklat Bea dan Cukai, Pusdiklat Keuangan Umum, Sekolah Tinggi Akuntansi Negara, BDK Palembang, BDK Yogyakarta, BDK Balikpapan dan BDK Makassar. Sesuai metode sampling yang digunakan dalam penelitian ini, purposive sampling, peneliti memilih ke-12 satker tersebut sebagai lokasi observasi didasarkan pada pertimbangan bahwa 80% pengguna TI di lingkungan BPPK berada pada 12 satker tersebut. E. Kuesioner Pengukuran Area Penelitian Kuesinoer yang digunakan untuk mengukur tingkat kematangan SMKI adalah Indeks KAMI versi 2.3 yang terdiri dari: 1. Peran TIK dalam Instansi Pada Bagian I kuesioner, responden diminta untuk mendefinisikan Peran TIK (Tingkat Kepentingan TIK) di unit masing-masing.Selain itu, responden juga diminta untuk mendeskripsikan infrastruktur TIK yang ada dalam satuan kerjanya secara singkat. Tujuan dari proses ini adalah untuk mengelompokkan Peran TIK di tiap unit mulai dari “Minim”, “Rendah”, “Sedang”, “Tinggi”, hingga “Kritis”. Adapun definisi dari Peran TIK tersebut adalah: a. “MINIM”, apabila penggunaan TIK tidak signifikan dan tidak berpengaruh proses kerja yang berjalan. Untuk tujuan analisis, peran ini tidak digunakan. b. “RENDAH”, apabila TIK sudah digunakan untuk mendukung proses kerja, namun belum pada tingkat yang signifikan

33


c. “SEDANG”, apabila TIK sudah digunakan dalam mendukung proses kerja yang berjalan, namun tingkat ketergantungannya masih terbatas. d. “TINGGI”, TIK sudah menjadi bagian yang tidak terpisahkan dari proses kerja yang berjalan. e. “KRITIS”, TIK merupakan satu-satunya cara untuk menjalankan proses kerja yang bersifat strategis atau berskala nasional. Peran TIK dievaluasi melalui 12 pertanyaan dalam Kuesioner Bagian I, dengan bahasan: a. Total anggaran tahunan yang dialokasikan untuk TIK b. Jumlah staf atau pengguna dalam instansi yang menggunakan infrastruktur TIK c. Tingkat ketergantungan terhadap layanan TIK untuk menjalankan Tugas Pokok dan Fungsi. d. Nilai kekayaan intelektual yang dimiliki dan dihasilkan e. Dampak dari kegagalan sistem TIK utama f.

Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkan lokasi kerja

g. Dampak dari kegagalan sistem TIK terhadap kinerja instansi pemerintah lainnya atau terhadap ketersediaan sistem pemerintah berskala nasional h. Tingkat sensitifitas pengguna sistem TIK i.

Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya

j.

Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan informasi sistem TIK

k. Tingkat

ketergantungan

terhadap

menjalankan/mengoperasikan sistem TIK

34

pihak

ketiga

dalam


l.

Tingkat klasifikasi/kekritisan sistem TIK relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi

Berikut adalah ilustrasi Kuesioner Bagian I: Gambar 3.1 Ilustrasi Kuesioner Bagian I

Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011

Berdasarkan total skor yang diberikan responden atas seluruh pertanyaan dalam Kuesioner Bagian I ini, Peran TIK dalam suatu unit dapat didefinisikan sebagai berikut: Gambar 3.2 Definisi Skor Peran TIK


2. Area Keamanan Informasi Kuesioner Bagian II s.d. Bagian VI berisikan sejumlah pertanyaaan terkait area keamanan informasi, yaitu: a. Bagian II

: Tata Kelola Keamanan Informasi;

b. Bagian III : Pengelolaan Risiko Keamanan Informasi; c. Bagian IV : Kerangka Kerja Pengelolaan Keamanan Informasi; d. Bagian V

: Pengelolaan Aset Informasi; dan

35


e. Bagian VI : Teknologi dan Keamanan Informasi Seluruh pertanyaan yang ada di tiap area keamanan informasi di kelompokkan ke dalam tiga kategori pengamanan, dengan ketentuan: a. Kategori 1

:

Pertanyaan yang terkait dengan kerangka kerja dasar keamanan informasi

b. Kategori 2

:

Pertanyaan yang terkait dengan efektivitas dan konsistensi penerapan keamanan informasi

c. Kategori 3

:

Pertanyaan yang merujuk pada kemampuan untuk selalu meningkatkan kinerja keamanan informasi

Adapun status penerapan (respon) yang dapat dipilih responden untuk menjawab seluruh pertanyaan di setiap bagian didefinisikan sebagai berikut: a. Tidak Dilakukan; b. Dalam Perencanaan; c. Dalam Penerapan atau Diterapkan Sebagian; atau d. Diterapkan Secara Menyeluruh Setiap jawaban akan diberikan skor yang nilainya disesuaikan dengan kategori pengamanan yang terkait, dengan ketentuan: a. Tahapan awal nilainya akan lebih rendah dibandingkan tahapan berikutnya. b. Status penerapan yang sudah berjalan secara menyeluruh memiliki nilai yang lebih tinggi dibandingkan bentuk penerapan yang lebih rendah. c. Skor untuk kategori pengamanan pada tahap awal akan lebih rendah dari kategori tahap yang lebih tinggi. d. Untuk keseluruhan area pengamanan, pengisian pertanyaan dengan kategori "3" akan diproses lebih lanjut, apabila semua pertanyaan terkait

36


dengan kategori "1" dan "2" sudah diisi dengan status minimal "Diterapkan Sebagian". Berikut adalah matriks hubungan antara status penerapan, kategori pengamanan dan skoring-nya: Tabel 3.1 Matrik Status Penerapan dan Kategori Pengamanan


Berikut adalah ilustrasi Kuesioner Bagian II – Bagian VI dengan penjelasan atas unsur-unsur di dalamnya: Gambar 3.3 Ilustrasi Kuesioner Bagian II – Bagian VI


Keterangan: 1.

Tingkat Kematangan

2.

Kategori Pengamanan

3.

Daftar Pertanyaan

4.

Status Penerapan

5.

Skor

37


Sebagaimana yang telah disampaikan sebelumnya, tiap Bagian Kuesioner memuat pertanyaan Kategori Pengamanan 1 s.d. Kategori Pengamanan 3, dengan ikhtisar sebagai berikut: Tabel 3.2 Matrik Kategori Pengamanan dan Area Evaluasi


Keterangan: 1.

Total Pertanyaan seluruhnya: 119

2.

Total Skor seluruhnya: 588

Berikut, adalah jumlah pertanyaan terkait Tingkat Kematangan Keamanan Informasi: Tabel 3.3 Jumlah Pertanyaan Terkait Tingkat Kematangan Keamanan Informasi


38


F. Metode Analisis Data Metode analisis data merujuk pada penggunaan Indeks KAMI lampiran Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik (2011).Hasil penjumlahan skor untuk masing-masing area disajikan dalam dua instrumen, yaitu: 1. Tabel nilai masing-masing area Tabel 3.4 Skor Area Eavaluasi


Tabel ini berisikan total rata-rata skor untuk tiap area yang dievaluasi 2. Diagram Radar dengan lima sumbu sesuai area pengamanan. Diagram ini dimaksudkan untuk menggambarkan hubungan antara kepatuhan terhadap standar yang ditetapkan oleh KMK 479/2010, status penerapan, Kerangka Kerja Dasar, dan skor dari masing-masing area.

39


Gambar 3.4 Diagram Radar Hasil Penilaian SMKI


Sementara itu, tingkat kematangan keamanan informasi terdiri atas lima tingkatan, yaitu: a. Tingkat I - Kondisi Awal b. Tingkat II - Penerapan Kerangka Kerja Dasar c. Tingkat III - Terdefinisi dan Konsisten d. Tingkat IV - Terkelola dan Terukur e. Tingkat V – Optimal Penentuan tingkat kematangan dilakukan dengan menerapkan prinsip: 1. Pencapaian Tingkat Kematangan (TK) dilakukan sesuai dengan kelengkapan dan (konsistensi + efektivitas) penerapannya. 2. Tingkat

Kematangan

yang

lebih

tinggi

mensyaratkan

kelengkapan,

konsistensi dan efektivitas pengamanan di level bawahnya a. Pencapaian suatu Tingkat Kematangan II dan III hanya dapat dilakukan apabila sebagian besar di Tingkat Kematangan sebelumnya [x-1] sudah “Diterapkan Secara Menyeluruh”.

40


b. Khusus untuk pencapaian TKIV dan TKV mengharuskan seluruh bentuk pengamanan di tingkat-tingkat sebelumnya sudah “Diterapkan Secara Menyeluruh.” Hal ini memberikan efek kesulitan yang lebih tinggi untuk mencapai 2 (dua) tingkatan terakhir tingkat kematangan. Detail perhitungan ambang batas pencapaian Tingkat Kematangan I-V diuraikan di bagian lain dalam dokumen ini. 3. Untuk membantu memberikan uraian yang lebih detail, tingkatan ini ditambah dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9 tingkatan kematangan. Sebagai awal, semua responden akan diberikan kategori kematangan Tingkat I. Tabel 3.5 Tingkat Kematangan Level

Tingkat Kematangan

1 2 3 4 5 6 7 8 9

I I+ II II+ III III+ IV IV+ V


4. Sebagai

padanan

terhadap

standar

ISO/IEC

2700:2005,

Tingkat

Kematangan yang diharapkan untuk ambang batas minimum kesiapan sertifikasi adalah Tingkat III+. Ambang batas pencapaian TK tertentu dapat didefinisikan sebagaimana ditunjukkan pada gambar berikut:

41


Gambar 3.5Ambang Batas Pencapaian Tingkat Kematangan


Penentuan

ambang

batas

pencapaian

suatu

tingkat

kematangan

ditentukan berdasarkan perumusan di bawah ini (TKx = Tingkat Kematangan x): 1. Tingkat Kematangan I: Tidak ada ambang batas minimum – diasumsikan semua responden diberikan status ini pada saat dimulainya evaluasi. 2. Tingkat Kematangan I+: Mencapai minimal a. Empat bentuk pengamanan TKII-Tahap 1 dengan status “Dalam Penerapan/Diterapkan Sebagian”; dan b. Sisa jumlah pengamanan TKII-Tahap 1 yang ada dengan status “Sedang Direncanakan.” 3. Tingkat Kematangan II: Mencapai minimal a. Seluruh bentuk pengamanan TKII-Tahap 1 dengan status “Dalam Penerapan/Diterapkan Sebagian”; dan b. Seluruh bentuk pengamanan TKII-Tahap 2 dengan status “Dalam Penerapan/Diterapkan Sebagian.” 4. Tingkat Kematangan II+: Mencapai minimal

42


a. Prasyarat Dasar TKII+, yaitu mencapai nilai total bentuk pengamanan Tingkat Kematangan II > (80% dari nilai seluruh bentuk pengamanan TKII-Tahap 1 & 2 dengan status “Diterapkan Secara Menyeluruh”); dan b. Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status “Diterapkan Secara Menyeluruh”; dan c. Dua bentuk pengamanan TKIII-Tahap 2 dengan status “Sedang Direncanakan”; dan d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status “Dalam Penerapan/Diterapkan Sebagian”; dan e. Satu bentuk pengamanan TKIII-Tahap 3 dengan status “Sedang Direncanakan.” f.

Sisa

jumlah pengamanan TKIII-Tahap 3

dengan status “Dalam

Penerapan/Diterapkan Sebagian.” 5. Tingkat Kematangan III: Mencapai minimal a. Prasyarat Dasar TKII+; dan b. Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status “Diterapkan Secara Menyeluruh”; dan c. Dua

bentuk

pengamanan

TKIII-Tahap

2

dengan

status

“Dalam

Penerapan/Diterapkan Sebagian”; dan d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status “Diterapkan Secara Menyeluruh”; dan e. Dua

bentuk

pengamanan

TKIII-Tahap

3

dengan

status

“Dalam

Penerapan/Diterapkan Sebagian.” 6. Tingkat Kematangan III+: Mencapai minimal a. Prasyarat Dasar TKIII+ yaitu mencapai nilai total lebih dari:

43


b. Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status “Diterapkan Secara Menyeluruh”; dan c. Satu bentuk pengamanan TKIII-Tahap 2 dengan status “Dalam Penerapan/Diterapkan Sebagian”; dan d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status “Diterapkan Secara Menyeluruh”; dan e. Satu bentuk pengamanan TKIII-Tahap 3 dengan status “Dalam Penerapan/Diterapkan Sebagian”; dan f.

Sisa jumlah pengamanan TKIII-Tahap 3 dengan status “Diterapkan Secara Menyeluruh.”

g. Dua bentuk

pengamanan TKIV-Tahap 3 dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan h. Sisa jumlah pengamanan TKIV-Tahap 3 yang ada dengan status “Dalam Perencanaan.” 7. Tingkat Kematangan IV: Mencapai minimal a. Prasyarat Dasar TKIII+; dan b. Seluruh bentuk pengamanan TKIV-Tahap 3 dengan status “Diterapkan Secara Menyeluruh.” 8. Tingkat Kematangan IV+: Mencapai minimal a. Mencapai Tingkat Kematangan IV; dan b. Satu

bentuk

pengamanan TKV-Tahap

Penerapan/Diterapkan Sebagian.” 9. Tingkat Kematangan V: Mencapai minimal a. Mencapai Tingkat Kematangan IV; dan

44

3 dengan status “Dalam


b. Seluruh bentuk pengamanan TKV-Tahap 3 dengan status “Diterapkan Secara Menyeluruh.”

Selanjutnya, untuk menentukan tingkat kesiapan unit dalam menerapkan SMKI diukur menggunakan tabel berikut sebagai acuan: Tabel 3.6Matriks Peran TIK dan Status Kesiapan


Berdasarkan tabel di atas, total skor dari kuesioner akan dibandingkan dengan level peran TIK di unit yang dievaluasi guna menentukan status kesiapan unit tersebut dalam menerapkan SMKI. Pada laporan/dashboard, status ini dilaporkan dalam bentuk diagram batang berikut dengan ketentuan bahwa status “tidak layak” akan menempati area berwarna merah, status “perlu perbaikan” akan menempati area berwarna kuning, sedangkan area hijau untuk status “Baik/Cukup”.

45


Gambar 3.6Dashboard Kelengkapan Penerapan SMKI


46

BAB IV ANALISIS HASIL DAN PEMBAHASAN

A. Deskripsi Data Penelitian Data

penelitian

yang

dikumpulkan

dari

masing-masing

responden

mencakup 5 area evaluasi keamanan informasi. Tahap-tahan pengumpulan data menggunakan kuesioner Indeks KAMI adalah: 1.

Pemberitahuan pelaksanaan bimbingan teknis Pemberitahuan pelaksanaan bimbingan teknis dan penyampaian materi

kepada calon responden melalui surat resmi Sekretaris Badan tertanggal 31 Mei 2013. Penyampaian materi juga dilakukan melalui email ke masingmasing calon responden untuk memudahkan pengisian dan pengumpulan data. 2.

Pemberian bimbingan teknis Pemberian bimbingan teknis terkait keamanan informasi dan pengisian

indeks KAMI versi 2.3 oleh narasumberworkshop Indeks KAMI dari Kementerian Kominfo pada tanggal 4 Juni 2013 di ruang B104 dan melalui fasilitas video conferencing ke semua Satker. Pada waktu pelaksanaan bimbingan teknis terdapat beberapa Satker tidak dapat mengikuti secara penuh karena terjadi gangguan teknis. Untuk mengatasi hal tersebut, dilakukan pengiriman contoh pengisian dan penjelasan singkat pada masing-masing pertanyaan sesuai hasil bimbingan teknis. 3.

Pengisian kuesioner Indeks KAMI Pengisian kuesioner dilakukan oleh responden dengan ruang lingkup:


a. Desktop management untuk semua Satker di BPPK. Ruang lingkup desktop management meliputi pengelolaan komputer, laptop, infrastruktur jaringan dan perangkat klien lainnya. b. Sistem informasi manajemen untuk pengelola sistem informasi manajemen di Sekretariat Badan. c. Ruang server pengembangan dan peralatan pendukungnya yang ada di Sekretariat Badan. 4.

Pengumpulan data Pengumpulan data kuesioner menghasilkan 30 data responden. Dari 30

data responden tersebut terbagi menjadi 3 ruang lingkup sebagaimana dijelaskan pada poin 3 di atas. Jumlah data terkumpul berdasarkan ruang lingkup tersebut adalah: a. Desktop management sebanyak 20 data b. Sistem informasi manajemen sebanyak 9 data c. Ruang server pengembangan dan peralatan di dalamnya pada satuan kerja Sekretariat Badan sebanyak 1 (satu) data 5.

Observasi atau konfirmasi data Obervasi atau konfirmasi data kuesioner dilakukan untuk menambah

keakuratan data dengan mengumpulkan data pendukung seperti pengelolaan risiko, uraian jabatan, System Operating Procedure (SOP), dan pengelolaan aset. Selanjutnya, hasil pengumpulan data dan observasi dilakukan konfirmasi kepada responden yang mungkin kurang memahami sehingga kurang sesuai dengan data pendukung.

48


6.

Rekapitulasi dan pengolahan data Rekapituasi dan pengolahan data hasil observasi dan konfirmasi tampak

pada tabel 4.1 berikut: Tabel 4.1 Diskripsi Data Kuesioner Indeks KAMI

Sumber: Hasil Olah Data Peneliti

Berdasarkan tabel 6 di atas dapat dijelaskan bahwa: a. Rata-rata skor peran dan tingkat kepentingan TIK dalam instansi antara 15 sampai dengan 27 dengan rata-rata 21; b. Rata-rata skor tata kelola keamanan informasi antara 17 sampai dengan 73 dengan rata-rata 35; c. Rata-rata skor Pengelolaan Risiko Keamanan Informasi antara 16 sampai dengan 46 dengan rata-rata 43; d. Rata-rata skor Kerangka Kerja Pengelolaan Keamanan Informasi antara 11 sampai dengan 96 dengan rata-rata 22; e. Rata-rata skor Pengelolaan Aset Informasi antara 33 sampai dengan 102 dengan rata-rata 66; dan f.

Rata-rata Skor Teknologi dan Keamanan Informasi antara 22 sampai dengan 84 dengan rata-rata 46.

Adapun detail pengumpulan data kuesioner dapat dilihat pada Lampiran 2.

49


B. Analisis data 1.

Tingkat kelengkapan penerapan SMKI Berdasarkan

hasil pengumpulan data penelitian dapat dilakukan analisis

tingkat kelengkapan penerapan SMKI BPPK dalam bentuk bar chartsebagai berikut: Gambar 4.1 Tingkat Kelengkapan Penerapan SMKI BPPK Hasil Evaluasi: Tingkat Kematangan Tingkat Kelengkapan Penerapan KMK 479/2010

I

I+

-

-

212

Peran/Tingkat Kepentingan TIK : 21 Tingkat Ketergatungan: Sedang Tata Kelola : 35 Tingkat Kematangan: I+ Pengelolaan Risiko : 43 Tingkat Kematangan: II I+ Kerangka Kerjapada Keamanan Informasi : 22disimpulkan Tingkat Kematangan: I+ s/d Berdasarkan informasi Gambar 4.1 dapat bahwa: Pengelolaan Aset : 66 Tingkat Kematangan: I+ II Teknologi dan Keamanan Informasi : 46 Tingkat Kematangan: I+ a. Peran/Tingkat Kepentingan TIK di BPPK berada pada level Sedang (Skor:

Kategori Ko


21). b. Sementara dari tingkat kelengkapan penerapan SMKI, BPPK berada pada level “Perlu Perbaikan”, area “Kuning”dengan total skor 212, yang merupakan jumlah dari seluruh skor rata-rata di setiap area Keamanan Informasi yang dievaluasi.

Tingkat kelengkapan penerapan SMKI juga dapat dilihat pada diagram radar berikut:

50

Total Pertan

Agregat


Gambar 4.2 Diagram Radar Tingkat Kelengkapan Penerapan SMKI BPPK


Pada diagram radar di atas, diagram berwarna merah muda merupakan kondisi SMKI BPPK berdasarkan hasil pengisian kuesioner oleh para responden. Dapat dicermati bahwa: a. dari kelima area keamanan informasi yang diamati, tampak bahwa BPPK telah memiliki Pengelolaan Risiko Keamanan Informasi yang jauh lebih baik dibanding area keamanan lainnya (paling mendekati standar yang ditetapkan dalam KMK 479/2010). b. kecuali area Kerangka Kerja Pengelolaan Keamanan Informasi, BPPK telah memenuhi setidaknya Kerja Kerja Dasar

dalam

pengelolaan

Keamanan Informasi. 2.

Tingkat Kematangan SMKI Analisis tingkat kematangan SMKI BPPK juga dapat ditunjukkan bar

charthasil pengumpulan data penelitian berikut:

51


Gambar 4.3 Tingkat Kematangan SMKI BPPK Hasil Evaluasi: Tingkat Kematangan

I

I+

-

-

-

Tingkat Kelengkapan Penerapan KMK 479/2010 Peran/Tingkat Kepentingan TIK : Tata Kelola : Pengelolaan Risiko : Kerangka Kerja Keamanan Informasi: Pengelolaan Aset : Teknologi dan Keamanan Informasi :

212

21 35 43 22 66 46

Tingkat Ketergatungan: Sedang Tingkat Kematangan: I+ Tingkat Kematangan: Tingkat Kematangan: Tingkat Kematangan: Tingkat Kematangan:

II I+ I+ I+

I+ s/d II

Kategori Kontrol

1

2

3 Total Pertanyaan Agregat Skor

1 Sumber: Hasil Olah Data Peneliti

Tabel 4.2 Tingkat Kematangan SMKI BPPK


Berdasarkan gambar 4.3di atas, tingkat kematangan SMKI BPPK pada masingmasing area adalah: a.

Tata Kelola Keamanan Informasi

1)

Skor rata-rata aspek tata kelola keamanan informasi adalah 35 atau 31% dari Skor Maksimal area ini, dengan rincian: a) total skor sebesar 25 mewakili Tingkat Kematangan II; dan b) total skor sebesar 10 mewakili Skor Tingkat Kematangan III.

2)

Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (12), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (28), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+.

52


b.

Pengelolaan Risiko Keamanan Informasi

1)

Skor rata-rata aspek pengelolaan risiko keamanan informasi sebesar 43 atau 62% dari Skor Maksimal area ini, dengan rincian: a) total skor sebesar 20 mewakili Tingkat Kematangan II; b) total skor sebesar 8 mewakili Tingkat Kematangan III; c) total skor sebesar 8 mewakili Skor Tingkat Kematangan IV; dan d) total skor sebesar 7 mewakili Tingkat Kematangan V. e) Ambang Batas Tingkat Kematangan III 21,6

2)

Meski Total Skor Tahap Penerapan Kategori Pengamanan 1 dan 2 untuk area ini (36)lebih tinggi dari Skor Minimal untuk Kategori Pengamanan 3 (34), namun mengingat Skor Tingkat Kematangan II (20) kurang dari Ambang Batas Tingkat Kematangan III (21,6), maka pengujian atas level III tidak dapat dilanjutkan, dengan demikian area ini sesuai pedoman digolongkan pada Level II.

c.

Kerangka Kerja Pengelolaan Keamanan Informasi

1) Skor rata-rata aspek kerangka kerja pengelolaan keamanan informasi keamanan informasi sebesar 22 atau hanya 15% dan merupakan yang terendah dibanding area lainnya. a) total skor sebesar 13 mewakili Tingkat Kematangan II; dan b) total skor sebesar 9 mewakili Skor Tingkat Kematangan III. 2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (12), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (24), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+.

53


d.

Pengelolaan Aset Informasi

1) Skor rata-rata aspek pengelolaan aset informasi keamanan informasi sebesar 66 atau 43% dari skor maksimal area ini. a) total skor sebesar 57 mewakili Tingkat Kematangan II; dan b) total skor sebesar 9 mewakili Skor Tingkat Kematangan III. 2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (25), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (62), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+. e.

Teknologi dan Keamanan Informasi

1) Skor rata-rata aspek teknologi keamanan informasi sebesar 46 atau 43% dari skor maksimal area ini. a) total skor sebesar 22 mewakili Tingkat Kematangan II; dan b) total skor sebesar 24 mewakili Skor Tingkat Kematangan III. 2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (17), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (26), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+. C. Pembahasan 1.

Tingkat kelengkapan penerapan SMKI Tingkat kelengkapan SMKI BPPK berdasarkan hasil pengumpulan data

kuesioner Indeks KAMI menunjukkan pada area kuning pada bar chart gambar 10. Pencapaian ini memberikan petunjuk bahwa SMKI yang ada memerlukan perbaikan pada sejumlah aspek.

54


Prioritas perbaikan aspek-aspek tersebut berdasarkan diagram radar gambar 4.3 dan persentase capaian skor responden pada tabel 4.2 adalah Kerangka Kerja Pengelolaan Keamanan Informasi, Tata Kelola Keamanan Informasi, Pengelolaan Aset Informasi, Teknologi Keamanan Informasi, dan Pengelolaan Risiko Keamanan Informasi. a. Kerangka Kerja Pengelolaan Keamanan Informasi Skor Kerangka kerja dengan nilai 22 dari nilai maksimal area ini sebesar 144 (15%). Penyebab rendahnya skor Kerangka Kerja ini dapat dicermati pada tabel berikut: Tabel 4.3 Skor Kelengkapan Area Kerangka Kerja Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total

Kategori Pengamanan 1 2 3 3 6 7 3 1 0 5 1 0 0 0 0 12 10 10

total

%

16 4 6 0 26

62% 15% 23% 0% 100%


Dari 26 pertanyaan pada area ini, 16 pertanyaan diantaranya (62%) direspon “Tidak Dilakukan” oleh para responden. Sementara itu, dari tingkat kematangan (Level II s.d. V), sebanyak 8 dari 11 pertanyaan (73%) pada Level III direspon “Tidak Dilakukan”, selain itu 30% dari pertanyaan Level II juga diberi respon yang sama. Tabel 4.4 Skor Kematangan Area Kerangka Kerja Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total

II 3 2 5 0 10

Tingkat Kematangan III IV 8 3 2 0 1 0 0 0 11 3

V 2 0 0 0 2

total 16 4 6 0 26


55


Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya: 1) Mencantumkan pelaporan insiden, penjagaan kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset dalam kontrak dengan pihak ketiga; 2) Mendefinisikan, mengkomunikasikan, dan menegakkan konsekuensi atas pelanggaran kebijakan keamanan informasi; 3) Menetapkan prosedur resmi atas pengecualian terhadap penerapan keamanan informasi; 4) Menerapkan proses untuk mengevaluasi risiko terkait rencana pembelian (atau implementasi) sistem baru dan menanggulangi permasalahan yang muncul; 5) Menyediakan kerangka kerja pengelolaan perencanaan kelangsungan layanan

TIK

(business

continuity

planning)

yang

mendefinisikan

persyaratan/konsideran keamanan informasi, termasuk penjadwalan ujicobanya; 6) Mengevaluasi kelayakan seluruh kebijakan dan prosedur keamanan informasi secara berkala; dan 7) Menyelenggarakan program audit internal yang dilakukan oleh pihak independen dengan cakupan keseluruhan aset informasi, kebijakan dan prosedur keamanan yang ada (atau sesuai dengan standar yang berlaku). b.

Tata kelola Keamanan Informasi Skor tata kelola dengan nilai 35 dari nilai maksimal area ini sebesar 114

(31%). Hasil ini disebabkan oleh beberapa hal di antaranya:

56


Tabel 4.5 Skor Kelengkapan Area Tata kelola Keamanan Informasi Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total


total

%

9 0 11 0 20

45% 0% 55% 0% 100%


Dari total 20 pertanyaan yang diajukan pada area ini, 45% diantaranya direspon “Tidak Dilakukan”, dan sisanya 55% direspon “Dalam Penerapan/Diterapkan Sebagian”. Sementara itu, dari sisi Tingkat Kematangan, 9 dari 11 pertanyaan (82%) pada Tingkat Kematangan II direspon “Dalam Penerapan/Diterapkan Sebagian” dan seluruh pertanyaan pada Tingkat Kematangan IV direspon “Tidak Dilakukan”. Tabel 4.6 Skor Kematangan Area Tata kelola Keamanan Informasi Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total

II 2 0 9 0 11


V 0 0 0 0 0

total 9 0 11 0 20


Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya: 1) Memetakan secara lengkap peran pelaksana pengamanan informasi; 2) Mendefinisikan persyaratan/standar kompetensi dan keahlian pelaksana pengelolaan keamanan informasi; 3) Mendefinisikan dan mengalokasikan tanggungjawab untuk memutuskan, merancang, melaksanakan dan mengelola langkah kelangsungan layanan TIK (business continuity dan disaster recovery plans);

57


4) Mendefinisikan paramater, metrik dan mekanisme pengukuran kinerja pengelolaan keamanan informasi; 5) Menerapkan target dan sasaran pengelolaan keamanan informasi untuk berbagai area yang relevan dan mengevaluasi pencapaiannya secara rutin, termasuk pelaporannya kepada pimpinan Instansi; 6) Mengidentifikasi legislasi dan perangkat hukum lainnya terkait keamanan informasi yang harus dipatuhi dan menganalisa tingkat kepatuhannya; dan 7) Mendefinisikan kebijakan dan langkah penanggulangan insiden keamanan informasi yang menyangkut pelanggaran hukum (pidana dan perdata). c. Pengelolaan Aset Informasi Skor pengelolaan aset informasidengan nilai 66 dari nilai maksimal area ini sebesar 153 (43%). Hasil ini disebabkan oleh beberapa hal di antaranya: Tabel 4.7 Skor Kelengkapan Area Pengelolaan Aset Informasi Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total


total

%

9 5 15 5 34

26% 15% 44% 15% 100%


Dari total 34 pertanyaan pada area ini, 9 diantaranya atau 26% direspon “Tidak Dilakukan”,

sementara

status

“Dalam

Penerapan/Diterapkan

Sebagian”

mendapatkan respon paling tinggi, yaitu 15 atau 44%, sedangkan status “Diterapkan Secara Menyeluruh” mendapat respon 15% atau 5 dari 34 pertanyaan. Dari Tingkat Kematangan, 15 dari 26 pertanyaan (58%) pada Tingkat Kematangan II direspon “Diterapkan Secara Menyeluruh”, sementara 7 dari 8 pertanyaan (88%) pada Tingkat Kematangan III direspon “Tidak Dilakukan”.

58


Tabel 4.8 Skor Kematangan Area Pengelolaan Aset Informasi Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total

II 2 4 15 5 26


V 0 0 0 0 0

total 9 5 15 5 34


Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya: 1) Menetapkan kebijakan terhadap pelanggaran terkait identitas elektronik dan proses otentikasi (username & password); 2) Menetapkan waktu penyimpanan untuk klasifikasi data yang ada dan syarat penghancuran data; 3) Menetapkan prosedur penyidikan/investigasi untuk menyelesaikan insiden terkait kegagalan keamanan informasi dan pelaporannya; 4) Menetapkan prosedur kajian penggunaan akses (user access review) dan langkah pembenahan apabila terjadi ketidak sesuaian (non-conformity) terhadap kebijakan yang berlaku. 5) Menyusun daftar data/informasi yang harus di-backup dan laporan analisa kepatuhan terhadap prosedur backup-nya; 6) Menyusun daftar rekaman pelaksanaan keamanan informasi dan bentuk pengamanan yang sesuai dengan klasifikasinya; 7) Menyediakan prosedur penggunaan perangkat pengolah informasi milik pihak ketiga (termasuk perangkat milik pribadi dan mitra kerja/vendor) guna memastikan aspek HAKI dan pengamanan akses yang digunakan; dan

59


8) Menetapkan peraturan untuk mengamankan lokasi kerja penting (ruang server, ruang arsip) dari risiko perangkat atau bahan yang dapat membahayakan aset informasi. d. Teknologi Keamanan Informasi Skor teknologi keamanan informasi dengan nilai 46 dari nilai maksimal area ini sebesar 108 (43%). Hasil ini disebabkan oleh beberapa hal di antaranya: Tabel 4.9 Skor Kelengkapan Area Teknologi Keamanan Informasi Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total


total

%

5 9 8 2 24

21% 38% 33% 8% 100%


Dari 24 pertanyaan pada area ini, 21% diantaranya direspon “Tidak Dilakukan”, sementara dari tingkat kematangan, 6 dari 13 pertanyaan (46%) Tingkat Kematangan II direspon “Dalam Penerapan/Diterapkan Sebagian”. Tabel 4.10 Skor Kematangan Area Teknologi Keamanan Informasi Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total

II 1 4 6 2 13


V 0 0 0 0 0

total 5 9 8 2 24


Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya: 1) Menganalisis semua log secara berkala untuk memastikan akurasi, validitas dan kelengkapan isinya (untuk kepentingan jejak audit dan forensik); 2) Menerapkan teknologi enkripsi yang terstandardisasi untuk melindungi aset informasi penting sesuai kebijakan pengelolaan yang ada;

60


3) Menerapkan pengamanan untuk mengelola kunci enkripsi (termasuk sertifikat elektronik) yang digunakan, termasuk siklus penggunaannya; 4) Menyediakan laporan penyerangan virus yang gagal/sukses ditindaklanjuti dan diselesaikan; dan 5) Melibatkan pihak independen untuk mengkaji kehandalan keamanan informasi secara rutin. e. Pengelolaan Risiko Keamanan Informasi Skor pengelolaan risiko keamanan informasi dengan nilai 43 dari nilai maksimal area ini sebesar 69 (62%). Hasil ini disebabkan oleh beberapa hal di antaranya: Tabel 4.11 Skor Kelengkapan Area Pengelolaan Risiko Keamanan Informasi Status Penerapan Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total


total

%

1 0 12 2 15

7% 0% 80% 13% 100%


Dari 15 pertanyaan, 12 di antaranya (80%) direspon “Dalam Penerapan/ Diterapkan Sebagian”, dan berbeda dari area sebelumnya, respon “Tidak Dilakukan” hanya memiliki porsi 7%, itu pun dari Kategori Pengamanan 3. Sementara dari sisi tingkat kematangan, hanya ada 1 respon “Tidak Dilakukan” pada Level Kematangan V, sisanya 7 dari 9 pertanyaan (78%) pada Tingkat Kematangan II di respon “Dalam Penerapan/Diterapkan Sebagian”, dan 2 dari 2 pertanyaan (100%) pada Tingkat Kematangan III diberi respon yang sama.

61


Tabel 4.12 Skor Kematangan Area Pengelolaan Risiko Keamanan Informasi Status Penerapan

II 0 0 7 2 9

Tidak Dilakukan Dalam Perencanaan Dalam Penerapan/Diterapkan Sebagian Diterapkan Secara Menyeluruh Total


total

V 1 0 1 0 2

1 0 12 2 15


Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya: a) Mengkaji

secara

berkala

kerangka

kerja

pengelolaan

risiko

untuk

memastikan/meningkatkan efektifitasnya. 2.

Tingkat Kematangan SMKI Tingkat Kematangan SMKI BPPK berdasarkan hasil pengumpulan data

menggunakan kuesioner Indeks KAMI adalah I+, sementara untuk tingkat kematangan pada tiap-tiap area keamanan informasi dijabarkan sebagai berikut: a.

Tata Kelola Keamanan Informasi Skor rata-rata area Tata Kelola Keamanan Informasi adalah sebesar

35(31%) atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi tata kelola keamanan informasi sebagai berikut: 1) Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi; 2) Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan; 3) Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik; 4) Pihak yang terlibat tidak menyadari tanggung jawab mereka;

62


5) Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis

dan

belum

adanya

keterkaitan

langkah

pengamanan

untuk

mendapatkan strategi yang efektif; 6) Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi; dan 7) Langkah pengamanan operasional yang diterapkan bergantung kepada pengetahuan dan motivasi individu pelaksana. Penyebab rendahnya skor atau kematangan SMKI pada aspek tata kelola keamanan informasi diantaranya adalah: 1) Kurangnya sosialisasi atau peningkatan pemahaman terkait tata kelola keamanan informasi; 2) Belum adanya pemetaan standar kompetensi dan kebutuhan SDM pengelola keamanan informasi; 3) Belum adanya dokumentasi yang lengkap terkait pengelolaan keamanan informasi yang menjadi tanggung jawab pada masing-masing unit/bagian/ pejabat/pegawai; dan 4) Belum adanya matrik dan mekanisme pengukuran kinerja pengelolaan keamanan informasi b.

Pengelolaan Risiko Keamanan Informasi Skor rata-rata aspek pengelolaan risiko keamanan informasi sebesar

43(62%) atau pada tingkat kematangan II. Hasil penilaian ini memberikan informasi tentang kondisi pengelolaan risiko keamanan informasi

sebagai

berikut: 1) Pengelolaan risiko yang ada belum mencakup keselurahan risiko keamanan informasi;

63


2) Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan sehingga menyebabkan dampak yang dapat saja signifikan; 3) Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan secara konsisten; dan 4) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka. Penyebab

rendahnya

skor

atau

kematangan

SMKI

pada

aspek

pengelolaan risiko keamanan informasi diantaranya adalah: 1) Kurangnya sosialisasi atau peningkatan pemahaman tentang keamanan informasi; dan 2) Pengelolaan risiko yang ada berdasarkan PMK 191 tahun 2008 belum mencakup pengelolaan risiko keamanan informasi berdasarkan KMK 479/2010. c.

Kerangka Kerja Pengelolaan Keamanan Informasi Skor rata-rata aspek kerangka kerja pengelolaan keamanan informasi

sebesar 22(15%) atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi kerangka kerja pengelolaan keamanan informasi sebagai berikut: 1) Kesadaran

dan

pemahaman

pegawai/pejabat

tentang

pengelolaan

keamanan informasi yang masih rendah 2) Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan. 3) Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.

64


4) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka. Penyebab rendahnya skor atau kematangan SMKI pada aspek kerangka kerja pengelolaan keamanan informasi diantaranya adalah 1) Kurangnya sosialisasi dan publikasi tentang keamanan informasi. 2) Belum adanya prosedur atau pentunjuk teknis terkait keamanan informasi yang berlaku dilingkungan BPPK. 3) Belum adanya dokumen resmi terkait strategi dan program pengelolaan keamanan informasi 4) Belum dilakukannya audit internal terkait keamanan informasi. d.

Pengelolaan Aset Informasi Skor rata-rata aspek pengelolaan aset informasi untuk semua ruang

lingkup penelitian 66(43%) atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi pengelolaan aset informasi

sebagai

berikut: 1) Rendahnya kesadaran atau pemahaman pentingnya pengelolaan aset informasi 2) Pengelolaan aset informasi sudah diterapkan walaupun sebagian besar masih di area teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif. 3) Dokumentasi pengelolaan aset informasi belum menyeluruh. 4) Pengelolaan

aset

informasi

yang

diterapkan

bergantung

kepada

pengetahuan dan motivasi individu pelaksana. Penyebab

rendahnya

skor

atau

kematangan

SMKI

pada

aspek

pengelolaan aset informasi diantaranya adalah:

65


1) Kurangnya sosialisasi atau publikasi untuk meningkatkan pemahaman tentang keamanan informasi. 2) Belum adanya profil aset informasi yang dapat digunakan untuk prioritas pengelolaan risiko, aset informasi dan teknologi informasi dan komunikasi. 3) Belum adanya pedoman atau petunjuk teknis pengelolaan aset informasi. e.

Teknologi dan Keamanan Informasi Skor rata-rata aspek teknologi dan keamanan informasi sebesar 46(43%)

atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi teknologi dan keamanan informasi sebagai berikut: 1) Rendahnya

kesadaran

atau

pemahaman

pentingnya

teknologi

dan

keamanan informasi 2) Teknologi dan keamanan informasi sudah diterapkan walaupun sebagian besar masih di area teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif. 3) Dokumentasi pengelolaan aset informasi belum menyeluruh. 4) Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik 5) Pengelolaan teknologi dan keamanan informasi yang diterapkan bergantung kepada pengetahuan dan motivasi individu pelaksana. 6) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka. Penyebab rendahnya skor atau kematangan SMKI pada aspek teknologi dan keamanan informasi diantaranya adalah: 1) Kurangnya sosialisasi atau publikasi untuk meningkatkan pemahaman tentang keamanan informasi.

66


2) Belum adanya standar konfirgurasi keamanan sistem bagi semua aset komputer dan perangkat jaringan yang dapat digunakan untuk prioritas pengelolaan risiko, aset informasi dan teknologi informasi dan komunikasi. 3) Belum adanya pedoman atau petunjuk teknis pengelolaan teknologi informasi dan komunikasi.

67

BAB V PENUTUP

A. Simpulan Berdasarkan hasil penelitian yang dilakukan dapat disimpulkan bahwa tingkat kelengkapan dan kematangan SMKI BPPK masih rendah. Adapun penyebab rendahnya tingkat kelengkapan dan kematangan SMKI ini adalah; 1. Konsep SMKI relatif baru dikenal di Indonesia, khususnya di lingkungan instansi pemerintah, kondisinya ini menyebabkan rendahnya tingkat awareness dari pimpinan dan pegawai BPPK tentang arti penting SMKI. Simpulan ini didukung sejumlah indikator, antara lain: a. Belum/tidak tersedianya kebijakan/aturan, baik yang bersifat umum maupun teknis, yang mendukung penerapan SMKI di setiap area pengamanan yang dievaluasi, mulai dari area Tata Kelola Keamanan Informasi hingga area Teknologi dan Keamanan Informasi. b. Pengembangan SMKI belum mendapatkan prioritas pimpinan/institusi, baik dari sisi penyiapan infrastruktur, prosedur kerja, penganggaran, maupun dari sisi SDM pendukungnya. 2. Hingga saat ini proses bisnis BPPK masih berbasis paper-based, sehingga budaya pendokumentasikan data dan informasi serta penjagaan keamanan dan kerahasiaannya sulit untuk diterapkan secara optimal dan menyeluruh. 3. Pengembangan aplikasi dan infrastruktur pendukungnya masih bersifat reaktif dan belum didasarkan pada perencanaan jangka menengah/panjang, akibatnya IT belum menjadi salah satu fasilitas pendukung yang instrumental dalam pelaksanaan tugas-tugas administratif di lingkungan BPPK.

BAB V PENUTUP

B. Saran Untuk menjawab sejumlah tantangan yang harus dihadapi terkait penerapan SMKI ini, kami menyarankan sejumlah hal sebagai berikut: 1. Melaksanakan sejumlah program peningkatan awareness pimpinan dan pejabat tentang penerapannya,

arti penting seperti

SMKI,

program

baik dari sisi aturan maupun

sosialisasi,

internalisasi,

workshop,

seminardan pelatihan terkait keamanan informasi dengan melibatkan pihak Sekretaris Jenderal Kementerian Keuangan c.q. Pusintek sebagai nara sumber utama dengan harapan bahwa pengembangan SMKI dapat menjadi bagian dari Rencana Strategis BPPK. 2. Menyusun dan mengembangkan ICT Blueprint BPPK yang memungkinkan pengembangan aplikasi dan infrastruktur BPPK dapat dilakukan secara terencana, terintegrasi, dan komprehensif. 3. Menyempurnakan SOP di lingkungan BPPK untuk mendukung peralihan proses bisnis dari paper-based menjadi technology-based administration sekaligus untuk menumbuhkembangkan budaya pendokumentasian data dan informasi di lingkungan BPPK.

.

69

DAFTAR PUSTAKA

Badan Sertifikasi Nasional. 2009. Standar Nasional Indonesia (SNI) – ISO/IEC 27001:2009).Teknologi Informasi-Teknik Keamanan - Sistem Manajemen Keamanan informasi – Persyaratan. Jakarta Direktorat Keamanan Informasi, Kementerian Komunikasi dan Informatika. 2011.Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik. Jakarta Hermansyah, H.2009. Metode Penelitian Kualitatif, Seni dalam Memahami Fenomena Social.Yogyakarta: Greentea Publishing. Indonesia Internet Users. darihttp://www.apjii.or.id/v2/index.php/read/page/halamandata/9/statistik.html pada tanggal 3Maret 2013.

Diakses

Information Security Awareness Within Business Environment: An IT Review. Diakses darihttp://www.pwc.co.uk/en_UK/uk/assets/pdf/olpapp/ukinformation-security-breaches-survey-technical-report.pdfpada tanggal 3 Maret 2013. ISO 27001 : 2005 Code of Practice, Information Security Management Systems Jogiyanto. 1990. Pengenalan Komputer. Yogyakarta: Penerbit Andi. Kadir, Abdul. 2003. Pengenalan Sistem Informasi. Yoyakarta: Andi Offest. Kristanto, Andri. 2003. Komputer dan Teknologi Informasi. Yogyakarta: Graha Ilmu. Laporan AktivitasIndonesia Computer Emergency Response Team Tahun 2012.” Diakses dari http://www.cert.or.id/media/files/ID-CERT-Laporan-Aktifitas2012-rev-1.pdf pada tanggal 15 November 2013) Optimalisasi Network Security Dengan Mengkombinasikan Intrusion Detection System Dan Firewall Pada Web Server.” Diakses dari http://repository.amikom.ac.id/files/Publikasi_06.11.1181.pdf pada tanggal 25 Juli 2012) OWASP Top 10 Application Security Risks – 2013. Diakses darihttp://owasptop10.googlecode.com/files/OWASP%20Top%2010%20%202013.pdf pada tanggal 15 Agustus 2013 Pemeringkatan Indeks Keamanan Informasi (indeks-KAMI). Diakses dari http://www.postel.go.id/content/ID/regulasi/telekomunikasi/kepmen/ index%20keamanan.pdf pada tanggal 08 Agustus 2012.

70

DAFTAR PUSTAKA

Sekretariat Jenderal Kementerian Keuangan. 2008. Peraturan Menteri Keuangan Nomor: 191/PMK.01/2008 tentang Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan. Jakarta. Sekretariat Jenderal Kementerian Keuangan. 2009. Keputusan Menteri Keuangan Nomor 260/KMK.01/2009 Tentang Kebijakan Pengelolaan Teknologi Informasi dan Komunikasi di Lingkungan Departemen Keuangan. Jakarta. Sekretariat Jenderal Kementerian Keuangan. 2009. Keputusan Menteri KeuanganNomor 512/KMK.01/2009 Tentang Kebijakan dan Standar Penggunaan Akun dan Kata Sandi, Surat Elektronik dan Internet di Lingkungan Departemen Keuangan. Jakarta Sekretariat Jenderal Kementerian Keuangan. 2010. Keputusan Menteri Keuangan Nomor 274/KMK.01/2010 Tentang Kebijakan dan Standar Pertukaran Data Elektronik di Lingkungan Kementerian Keuangan. Jakarta. Sekretariat Jenderal Kementerian Keuangan. 2010. Keputusan Menteri KeuanganNomor 350/KMK.01/2010 Tentang Kebijakan dan Standar Pengelolaan Data Elektronik di Lingkungan Kementerian Keuangan. Jakarta. Sekretariat Jenderal Kementerian Keuangan. 2010. Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 Tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. Jakarta. Sugiyono. 2010. Metode Penelitian Kuantitatif Kualitatif dan RND. Bandung: Alfabeta.

71


Lampiran 1

LAMPIRAN

Indeks Keamanan Informasi (Indeks KAMI)

72

Identitas Instansi Pemerintah

:

Alamat

:

Nomor Telpon Email

: :

Pengisi Lembar Evalluasi NIP Jabatan

: : :

Tanggal Pengisian

:

Deskripsi Ruang Lingkup

:

LAMPIRAN 1

Bagian I: Peran dan Tingkat Kepentingan TIK dalam Instansi

Bagian ini memberi tingkatan peran dan kepentingan TIK dalam Instansi anda.

[Tingkat Kepentingan] Minim; Rendah; Sedang; Tinggi; Kritis

Status

Skor

#

Karakteristik Instansi

1.1

Total anggaran tahunan yang dialokasikan untuk TIK Kurang dari Rp. 1 Milyard = Minim Rp. 1 Milyard sampai dengan Rp. 3 Milyard = Rendah Rp. 3 Milyard sampai dengan Rp 8 Milyard = Sedang Rp. 8 Milyard sampai dengan Rp. 20 Milyard = Tinggi Rp. 20 Milyard atau lebih = Kritis

Minim

0

Jumlah staff/pengguna dalam Instansi yang menggunakan infrastruktur TIK Kurang dari 60= Minim 60 sampai dengan 120 = Rendah 120 sampai dengan 240 = Sedang 240 sampai dengan 600 = Tinggi 600 atau lebih = Kritis

Minim

0

Tingkat ketergantungan terhadap layanan TIK untuk menjalankan Tugas Pokok dan Fungsi Instansi anda

Minim

0

Minim

0

Minim

0

Minim

0

Minim

0

Minim Minim

0 0

Minim

0

Minim

0

Minim

0

1.2

1.3 1.4 1.5 1.6 1.7

1.8 1.9 1.10 1.11 1.12

Nilai kekayaan intelektual yang dimiliki dan dihasilkan oleh Instansi anda Dampak dari kegagalan sistem TIK utama yang digunakan Instansi anda Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkan lokasi kerja Instansi anda Dampak dari kegagalan sistem TIK Instansi anda terhadap kinerja Instansi pemerintah lainnya atau terhadap ketersediaan sistem pemerintah berskala nasional Tingkat sensitifitas pengguna sistem TIK di Instansi anda Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan informasi sistem TIK Instansi anda Tingkat ketergantungan terhadap pihak ketiga dalam menjalankan/mengoperasikan sistem TIK Tingkat klasifikasi/kekritisan sistem TIK di Instansi anda, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi Skor Peran dan Tingkat Kepentingan TIK di Instansi

73

0


Bagian II: Tata Kelola Keamanan Informasi Bagian ini mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta Instansi/fungsi, tugas dan tanggung jawab pengelola keamanan informasi. [Penilaian] Tidak Dilakukan; Dalam Perencanaan; Dalam Penerapan atau Diterapkan Sebagian; Status Diterapkan Secara Menyeluruh

Skor

Fungsi/Instansi Keamanan Informasi 2.1

II

1

2.2

II

1

2.3

II

2.4

II

2.5

II

1

1

1

Apakah pimpinan Instansi anda secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi (misal yang tercantum dalam ITSP), termasuk penetapan kebijakan terkait? Apakah Instansi anda memiliki fungsi atau bagian yang secara spesifik mempunyai tugas dan tanggungjawab mengelola keamanan informasi dan menjaga kepatuhannya? Apakah pejabat/petugas pelaksana pengamanan informasi mempunyai wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program keamanan informasi? Apakah penanggungjawab pelaksanaan pengamanan informasi diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi? Apakah peran pelaksana pengamanan informasi yang mencakup semua keperluan dipetakan dengan lengkap, termasuk kebutuhan audit internal dan persyaratan segregasi kewenangan? Apakah Instansi anda sudah mendefinisikan persyaratan/standar kompetensi dan keahlian pelaksana pengelolaan keamanan informasi?

2.6

II

1

2.7

II

1

Apakah semua pelaksana pengamanan informasi di Instansi anda memiliki kompetensi dan keahlian yang memadai sesuai persyaratan/standar yang berlaku?

2.8

II

1

2.9

II

2

Apakah organsiasi anda sudah menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait? Apakah Instansi anda menerapkan program peningkatan kompetensi dan keahlian untuk pejabat dan petugas pelaksana pengelolaan keamanan informasi?

2.10

II

2

2.11

II

2

2.12

III

2

2.13

III

2

2.14

III

2

2.15

IV

3

2.16

IV

3

2.17

IV

3

2.18

IV

3

2.19

IV

3

2.20

IV

3

Apakah tanggungjawab pengelolaan keamanan informasi mencakup koordinasi dengan pihak pengelola/pengguna aset informasi internal maupun eksternal untuk mengidentifikasikan persyaratan/kebutuhan pengamanan dan menyelesaikan permasalahan yang ada? Apakah pengelola keamanan informasi secara proaktif berkoordinasi dengan satker terkait (SDM, Legal/Hukum, Umum, Keuangan dll) dan pihak eksternal yang berkepentingan (aparat keamanan) untuk menerapkan dan menjamin kepatuhan pengamanan informasi? Apakah tanggungjawab untuk memutuskan, merancang, melaksanakan dan mengelola langkah kelangsungan layanan TIK (business continuity dan disaster recovery plans) sudah didefinisikan dan dialokasikan? Apakah penanggungjawab pengelolaan keamanan informasi melaporkan kondisi, kinerja/efektifitas dan kepatuhan program keamanan informasi kepada pimpinan Instansi secara rutin dan resmi? Apakah kondisi dan permasalahan keamanan informasi di Instansi anda menjadi konsideran atau bagian dari proses pengambilan keputusan strategis di Instansi anda? Apakah pimpinan satuan kerja di Instansi anda menerapkan program khusus untuk mematuhi tujuan dan sasaran kepatuhan pengamanan informasi, khususnya yang mencakup aset informasi yang menjadi tanggungjawabnya? Apakah Instansi anda sudah mendefinisikan paramater, metrik dan mekanisme pengukuran kinerja pengelolaan keamanan informasi? Apakah Instansi anda sudah menerapkan program penilaian kinerja pengelolaan keamanan informasi bagi individu (pejabat & petugas) pelaksananya? Apakah Instansi anda sudah menerapkan target dan sasaran pengelolaan keamanan informasi untuk berbagai area yang relevan dan mengevaluasi pencapaiannya secara rutin, termasuk pelaporannya kepada pimpinan Instansi? Apakah Instansi anda sudah mengidentifikasi legislasi dan perangkat hukum lainnya terkait keamanan informasi yang harus dipatuhi dan menganalisa tingkat kepatuhannya? Apakah Instansi anda sudah mendefinisikan kebijakan dan langkah penanggulangan insiden keamanan informasi yang menyangkut pelanggaran hukum (pidana dan perdata)? Total Nilai Evaluasi Tata Kelola

74

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

0

0

LAMPIRAN 1

Bagian III: Pengelolaan Risiko Keamanan Informasi Bagian ini mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi. [Penilaian] Tidak Dilakukan; Dalam Perencanaan; Dalam Penerapan atau Diterapkan Sebagian; Diterapkan Secara Menyeluruh

Status

Skor


0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0


0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0


0

Tidak Dilakukan

0

Tidak Dilakukan Tidak Dilakukan 0

0

Kajian Risiko Keamanan Informasi

# 3.1

II

1

3.2

II

1

3.3

II

1

3.4

II

1

3.5

II

1

3.6

II

1

3.7

II

1

3.8

II

1

3.9

II

1

3.10

III

2

3.11

III

2

3.12

IV

2

3.13

IV

2

3.14

V

3

3.15

V

3

Apakah Instansi anda mempunyai program kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan? Apakah Instansi anda mempunyai kerangka kerja pengelolaan risiko keamanan informasi yang terdokumentasi dan secara resmi digunakan? Apakah kerangka kerja pengelolaan risiko ini mencakup definisi dan hubungan tingkat klasifikasi aset informasi, tingkat ancaman, kemungkinan terjadinya ancaman tersebut dan dampak kerugian terhadap Instansi anda? Apakah Instansi anda sudah menetapkan ambang batas tingkat risiko yang dapat diterima? Apakah Instansi anda sudah mendefinisikan kepemilikan dan pihak pengelola (custodian) aset informasi yang ada, termasuk aset utama/penting dan proses kerja utama yang menggunakan aset tersebut? Apakah ancaman dan kelemahan yang terkait dengan aset informasi, terutama untuk setiap aset utama sudah teridentifikasi? Apakah dampak kerugian yang terkait dengan hilangnya/terganggunya fungsi aset utama sudah ditetapkan sesuai dengan definisi yang ada? Apakah Instansi anda sudah menjalankan inisiatif analisa/kajian risiko keamanan informasi secara terstruktur terhadap aset informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program pengelolaan keamanan informasi)? Apakah Instansi anda sudah menyusun langkah mitigasi dan penanggulangan risiko yang ada? Apakah langkah mitigasi risiko disusun sesuai tingkat prioritas dengan target penyelesaiannya dan penanggungjawabnya, dengan memastikan efektifitas biaya yang dapat menurunkan tingkat risiko ke ambang batas yang bisa diterima dengan meminimalisir dampak terhadap operasional layanan TIK? Apakah status penyelesaian langkah mitigasi risiko dipantau secara berkala, untuk memastikan penyelesaian atau kemajuan kerjanya? Apakah penyelesaian langkah mitigasi yang sudah diterapkan dievaluasi untuk memastikan konsistensi dan efektifitasnya? Apakah profil risiko berikut bentuk mitigasinya secara berkala dikaji ulang untuk memastikan akurasi dan validitasnya, termasuk merevisi profil terebut apabila ada perubahan kondisi yang signifikan atau keperluan penerapan bentuk pengamanan baru? Apakah kerangka kerja pengelolaan risiko secara berkala dikaji untuk memastikan/meningkatkan efektifitasnya? Apakah pengelolaan risiko menjadi bagian dari kriteria proses penilaian obyektif kinerja efektifitas pengamanan? Total Nilai Evaluasi Pengelolaan Risiko Keamanan Informasi

75

0

0

0

0


Bagian IV: Kerangka Kerja Pengelolaan Keamanan Informasi Bagian ini mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasi dan strategi penerapannya. [Penilaian] Tidak Dilakukan; Dalam Perencanaan; Dalam Penerapan atau Diterapkan Sebagian; Diterapkan Secara Menyeluruh

Status

Skor

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Apakah hasil dari perencanaan pemulihan bencana terhadap layanan TIK (disaster recovery plan) dievaluasi untuk menerapkan langkah perbaikan atau pembenahan yang diperlukan (misal, apabila hasil uji-coba menunjukkan bahwa proses pemulihan tidak bisa (gagal) memenuhi persyaratan yang ada?

Tidak Dilakukan

0

Apakah seluruh kebijakan dan prosedur keamanan informasi dievaluasi kelayakannya secara berkala?

Tidak Dilakukan

0

Penyusunan dan Pengelolaan Kebijakan & Prosedur Keamanan Informasi

# 4.1

II

1

4.2

II

1

4.3

II

1

4.4

II

1

4.5

II

1

4.6

II

1

4.7

II

2

Apakah kebijakan dan prosedur keamanan informasi sudah disusun dan dituliskan dengan jelas, dengan mencantumkan peran dan tanggungjawab pihak-pihak yang diberikan wewenang untuk menerapkannya? Apakah kebijakan keamanan informasi sudah ditetapkan secara formal, dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh pihak yang membutuhkannya? Apakah tersedia mekanisme untuk mengelola dokumen kebijakan dan prosedur keamanan informasi, termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan penyimpanannya? Apakah tersedia mekanisme untuk mengkomunikasikan kebijakan keamanan informasi (dan perubahannya) kepada semua pihak terkait, termasuk pihak ketiga? Apakah keseluruhan kebijakan dan prosedur keamanan informasi yang ada merefleksikan kebutuhan mitigasi dari hasil kajian risiko keamanan informasi? Apakah aspek keamanan informasi yang mencakup pelaporan insiden, menjaga kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset tercantum dalam kontrak dengan pihak ketiga? Apakah konsekwensi dari pelanggaran kebijakan keamanan informasi sudah didefinisikan, dikomunikasikan dan ditegakkan?

4.8

II

2

Apakah tersedia prosedur resmi untuk mengelola suatu pengecualian terhadap penerapan keamanan informasi?

4.9

III

2

Apakah organisasi anda sudah menerapkan kebijakan dan prosedur operasional untuk mengelola implementasi security patch, alokasitanggungjawab untuk memonitor adanya rilis security patch baru, memastikan pemasangannya dan melaporkannya?

4.10

III

2

4.11

III

2

4.12

4.13

III

III

2

3

4.14

III

3

4.15

IV

3

4.16

76

IV

3

Apakah organisasi anda sudah menerapkan proses untuk mengevaluasi risiko terkait rencana pembelian (atau implementasi) sistem baru dan menanggulangi permasalahan yang muncul? Apabila penerapan suatu sistem mengakibatkan timbulnya risiko baru atau terjadinya ketidakpatuhan terhadap kebijakan yang ada, apakah ada proses untuk menanggulangi hal ini, termasuk penerapan pengamanan baru (compensating control) dan jadwal penyelesaiannya? Apakah tersedia kerangka kerja pengelolaan perencanaan kelangsungan layanan TIK (business continuity planning) yang mendefinisikan persyaratan/konsideran keamanan informasi, termasuk penjadwalan ujicobanya? Apakah perencanaan pemulihan bencana terhadap layanan TIK (disaster recovery plan) sudah mendefinisikan komposisi, peran, wewenang dan tanggungjawab tim yang ditunjuk? Apakah uji-coba perencanaan pemulihan bencana terhadap layanan TIK (disaster recovery plan) sudah dilakukan sesuai jadwal?

LAMPIRAN 1

# 4.17

II

4.18

II

4.19

III

4.20

III

Pengelolaan Strategi dan Program Keamanan Informasi 1 Apakah organisasi anda mempunyai strategi penerapan keamanan informasi sesuai hasil analisa risiko yang penerapannya dilakukan sebagai bagian dari rencana kerja organisasi? 1 Apakah organisasi anda mempunyai strategi penggunaan teknologi keamanan informasi yang penerapan dan pemutakhirannya disesuaikan dengan kebutuhan dan perubahan profil risiko? 1 Apakah strategi penerapan keamanan informasi direalisasikan sebagai bagian dari pelaksanaan program kerja organisasi anda? 1

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Apakah organisasi anda secara periodik menguji dan mengevaluasi tingkat/status kepatuhan program keamanan informasi yang ada untuk memastikan bahwa keseluruhan inisiatif tersebut telah diterapkan secara efektif?

Tidak Dilakukan

0

Apakah organisasi anda mempunyai rencana dan program peningkatan keamanan informasi untuk jangka menengah/panjang (1-3-5 tahun) yang direalisasikan secara konsisten?

Tidak Dilakukan

0

Apakah organisasi anda memiliki dan melaksanakan program audit internal yang dilakukan oleh pihak independen dengan cakupan keseluruhan aset informasi, kebijakan dan prosedur keamanan yang ada (atau sesuai dengan standar yang berlaku)?

4.21

III

1

Apakah audit internal tersebut mengevaluasi tingkat kepatuhan, konsistensi dan efektifitas penerapan keamanan informasi?

4.22

III

2

4.23

III

2

4.24

IV

3

Apakah hasil audit internal tersebut dikaji/dievaluasi untuk mengidentifikasi langkah pembenahan dan pencegahan, ataupun inisiatif peningkatan kinerja keamanan informasi? Apakah hasil audit internal dilaporkan kepada pimpinan organisasi untuk menetapkan langkah perbaikan atau program peningkatan kinerja keamanan informasi? Apabila ada keperluan untuk merevisi kebijakan dan prosedur yang berlaku, apakah ada analisa untuk menilai aspek finansial (dampak biaya dan keperluan anggaran) ataupun perubahan terhadap infrastruktur dan pengelolaan perubahannya, sebagai prasyarat untuk menerapkannya?

4.20

4.26

V

V

3

3

Total Nilai Evaluasi Kerangka Kerja

77

0


Bagian V: Pengelolaan Aset Informasi Bagian ini mengevaluasi kelengkapan pengamanan aset informasi, termasuk keseluruhan siklus penggunaan aset tersebut. [Penilaian] Tidak Dilakukan; Dalam Perencanaan; Dalam Penerapan atau Diterapkan Sebagian; Diterapkan Secara Menyeluruh

Status

Skor

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan Tidak Dilakukan

0

Tidak Dilakukan

0


0

Tidak Dilakukan

0

Pengelolaan Aset Informasi

# 3.1

II

1

Apakah tersedia daftar inventaris aset informasi yang lengkap dan akurat?

3.2

II

1

3.3

II

1

3.4

II

1

3.5

II

1

3.6

II

1

3.7

II

1

3.8

II

1

Apakah tersedia proses yang mengevaluasi dan mengklasifikasi aset informasi sesuai tingkat kepentingan aset bagi Instansi dan keperluan pengamanannya? Apakah tersedia definisi tingkatan akses yang berbeda dan matrix yang merekam alokasi akses tersebut Apakah tersedia proses pengelolaan perubahan terhadap sistem (termasuk perubahan konfigurasi) yang diterapkan secara konsisten? Apakah tersedia proses pengelolaan konfigurasi yang diterapkan secara konsisten? Apakah tersedia proses untuk merilis suatu aset baru ke dalam lingkungan operasional dan memutakhirkan inventaris aset informasi? Definisi tanggungjawab pengamanan informasi secara individual untuk semua personil di Instansi anda Tata tertib penggunaan komputer, email, internet dan intranet

3.9

II

1

Tata tertib pengamanan dan penggunaan aset Instansi terkait HAKI

3.10

II

1

Peraturan pengamanan data pribadi

3.11

II

1

3.12

II

1

3.13

II

1

3.14

II

1

3.15

II

1

3.16

II

1

3.17

II

2

3.18

III

2

3.19

III

2

3.20

III

2

3.21

III

2

3.22

III

3

3.23

III

3

3.24

III

3

78

Pengelolaan identitas elektronik dan proses otentikasi (username&password) termasuk kebijakan terhadap pelanggarannya Persyaratan dan prosedur pengelolaan/pemberian akses, otentikasi dan otorisasi untuk menggunakan aset informasi Ketetapan terkait waktu penyimpanan untuk klasifikasi data yang ada dan syarat penghancuran data Ketetapan terkait pertukaran data dengan pihak eksternal dan pengamanannya Proses penyidikan/investigasi untuk menyelesaikan insiden terkait kegagalan keamanan informasi Prosedur back-up ujicoba pengembalian data (restore) Ketentuan pengamanan fisik yang disesuaikan dengan definisi zona dan klasifikasi aset yang ada di dalamnya Proses pengecekan latar belakang SDM Proses pelaporan insiden keamanan informasi kepada pihak eksternal ataupun pihak yang berwajib. Prosedur penghancuran data/aset yang sudah tidak diperlukan Prosedur kajian penggunaan akses (user access review) dan langkah pembenahan apabila terjadi ketidak sesuaian (non-conformity) terhadap kebijakan yang berlaku. Apakah tersedia daftar data/informasi yang harus di-backup dan laporan analisa kepatuhan terhadap prosedur backup-nya? Apakah tersedia daftar rekaman pelaksanaan keamanan informasi dan bentuk pengamanan yang sesuai dengan klasifikasinya? Apakah tersedia prosedur penggunaan perangkat pengolah informasi milik pihak ketiga (termasuk perangkat milik pribadi dan mitra kerja/vendor) dengan memastikan aspek HAKI dan pengamanan akses yang digunakan?

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0

LAMPIRAN 1

Pengamanan Fisik

# 3.25

II

1

3.26

II

1

3.27

II

1

3.28

II

1

3.29

II

1

3.30

II

2

3.31

II

2

3.32

II

2

3.33

II

2

3.34

III

3

Apakah sudah diterapkan pengamanan fasilitas fisik (lokasi kerja) yang sesuai dengan kepentingan/klasifikasi aset informasi, secara berlapis dan dapat mencegah upaya akses oleh pihak yang tidak berwenang? Apakah tersedia proses untuk mengelola alokasi kunci masuk (fisik dan elektronik) ke fasilitas fisik? Apakah infrastruktur komputasi terlindungi dari dampak lingkungan atau api dan berada dalam kondisi dengan suhu dan kelembaban yang sesuai dengan prasyarat pabrikannya? Apakah infrastruktur komputasi yang terpasang terlindungi dari gangguan pasokan listrik atau dampak dari petir? Apakah tersedia peraturan pengamanan perangkat komputasi milik Instansi anda apabila digunakan di luar lokasi kerja resmi (kantor)? Apakah konstruksi ruang penyimpanan perangkat pengolah informasi penting menggunakan rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran/asap, pemadam api, pengatur suhu dan kelembaban) yang sesuai? Apakah tersedia proses untuk memeriksa (inspeksi) dan merawat: perangkat komputer, fasilitas pendukungnya dan kelayakan keamanan lokasi kerja untuk menempatkan aset informasi penting? Apakah tersedia mekanisme pengamanan dalam pengiriman aset informasi (perangkat dan dokumen) yang melibatkan pihak ketiga? Apakah tersedia peraturan untuk mengamankan lokasi kerja penting (ruang server, ruang arsip) dari risiko perangkat atau bahan yang dapat membahayakan aset informasi (termasuk fasilitas pengolah informasi) yang ada di dalamnya? (misal larangan penggunaan telpon genggam di dalam ruang server, menggunakan kamera dll) Apakah tersedia proses untuk mengamankan lokasi kerja dari keberadaan/kehadiran pihak ketiga yang bekerja untuk kepentingan Instansi anda? Total Nilai Evaluasi Pengelolaan Aset

79

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0


0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

Tidak Dilakukan

0

0

0


Bagian VI: Teknologi dan Keamanan Informasi Bagian ini mengevaluasi kelengkapan, konsistensi dan efektifitas penggunaan teknologi dalam pengamanan aset informasi. [Penilaian] Tidak Dilakukan; Dalam Perencanaan; Dalam Penerapan atau Diterapkan Sebagian; Status Diterapkan Secara Menyeluruh Pengamanan Teknologi # 6.1 II 1 Apakah layanan TIK (sistem komputer) yang menggunakan internet sudah Tidak dilindungi dengan lebih dari 1 lapis pengamanan? Dilakukan 6.2 II 1 Apakah jaringan komunikasi disegmentasi sesuai dengan kepentingannya Tidak (pembagian Instansi, kebutuhan aplikasi, jalur akses khusus, dll)? Dilakukan 6.3 II 1 Apakah tersedia konfigurasi standar untuk keamanan sistem bagi Tidak keseluruhan aset komputer dan perangkat jaringan, yang dimutakhirkan Dilakukan sesuai perkembangan dan kebutuhan? 6.4 II 1 Apakah Instansi anda secara rutin menganalisa kepatuhan penerapan Tidak konfigurasi standar yang ada? Dilakukan 6.5 II 1 Apakah jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai Tidak untuk mengidentifikasi kemungkinan adanya celah kelemahan atau Dilakukan perubahan/keutuhan konfigurasi? 6.6 II 1 Apakah keseluruhan infrastruktur dimonitor untuk memastikan ketersediaan Tidak kapasitas yang cukup untuk kebutuhan yang ada? Dilakukan 6.7 II 1 Apakah setiap perubahan dalam sistem informasi secara otomatis terekam di Tidak dalam log? Dilakukan 6.8 II 1 Apakah upaya akses oleh yang tidak berhak secara otomatis terekam di Tidak dalam log? Dilakukan 6.9 II 1 Apakah semua log dianalisa secara berkala untuk memastikan akurasi, Tidak validitas dan kelengkapan isinya (untuk kepentingan jejak audit dan forensik)? Dilakukan 6.10 II 1 Apakah Instansi anda menerapkan enkripsi untuk melindungi aset informasi Tidak penting sesuai kebijakan pengelolaan yang ada? Dilakukan 6.11 III 2 Apakah Instansi anda mempunyai standar dalam menggunakan enkripsi? Tidak Dilakukan 6.12 III 2 Apakah Instansi anda menerapkan pengamanan untuk mengelola kunci Tidak enkripsi (termasuk sertifikat elektronik) yang digunakan, termasuk siklus Dilakukan penggunaannya? 6.13 III 2 Apakah semua sistem dan aplikasi secara otomatis mendukung dan menerapkan penggantian password secara otomatis, termasuk menonTidak aktifkan password, mengatur kompleksitas/panjangnya dan penggunaan Dilakukan kembali password lama? 6.14 III 2 Apakah akses yang digunakan untuk mengelola sistem (administrasi sistem) Tidak menggunakan bentuk pengamanan khusus yang berlapis? Dilakukan 6.15 III 2 Apakah sistem dan aplikasi yang digunakan sudah menerapkan pembatasan Tidak waktu akses termasuk otomatisasi proses timeouts, lockout setelah Dilakukan kegagalan login,dan penarikan akses? 6.16 III 2 Apakah Instansi anda menerapkan pengamanan untuk mendeteksi dan Tidak mencegah penggunaan akses jaringan (termasuk jaringan nirkabel) yang Dilakukan tidak resmi? 6.17 II 1 Apakah Instansi anda menerapkan bentuk pengamanan khusus untuk Tidak melindungi akses dari luar Instansi? Dilakukan 6.18 II 1 Apakah sistem operasi untuk setiap perangkat desktop dan server Tidak dimutakhirkan dengan versi terkini? Dilakukan 6.19 II 1 Apakah setiap desktop dan server dilindungi dari penyerangan virus Tidak (malware)? Dilakukan 6.20 III 2 Apakah ada rekaman dan hasil analisa (jejak audit - audit trail) yang Tidak mengkonfirmasi bahwa antivirus telah dimutakhirkan secara rutin dan Dilakukan sistematis? 6.21 III 2 Apakah adanya laporan penyerangan virus yang gagal/sukses ditindaklanjuti Tidak dan diselesaikan? Dilakukan 6.22 III 2 Apakah keseluruhan sistem (aplikasi, perangkat komputer dan jaringan) Tidak sudah menggunakan mekanisme sinkronisasi waktu yang akurat, sesuai Dilakukan dengan standar yang ada? 6.23 III 2 Apakah setiap aplikasi yang ada memiliki spesifikasi keamanan yang Tidak diverifikasi/validasi pada saat pengembangan dan uji-coba? Dilakukan 6.24 IV 3 Apakah Instansi anda melibatkan pihak independen untuk mengkaji Tidak kehandalan keamanan informasi secara rutin? Dilakukan Total Nilai Evaluasi Teknologi dan Keamanan Informasi 0

80

Skor

0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0

Lampiran 2 TABEL PENGUMPULAN DATA KUESIONER INDEKS KAMI Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Ruang Lingkup DM di BDK Pontianak DM di BDK Palembang DM di Pusdiklat Pajak DM di BDK Medan DM di BDK Denpasar DM di BDK Cimahi DM di BDK Balikpapan DM di Balai Diklat Kepemimpinan DM di BDK Makassar DM di BDK Malang DM di BDK Manado DM di BDK Pekanbaru DM di BDK Yogyakarta DM di Pusdiklat BC DM di Pusdiklat AP DM di Pusdiklat KNPK DM di Pusdiklat KU DM di Sekretariat Badan DM di Pusdiklat PSDM DM di STAN Ruang Server Pengembangan SIM Monitoring Absensi SIM Kediklatan SIM Eregistrasi SIM LMS SIM Monitoring Diklat SIM Kepegawaian SIM Portal Internet BPPK SIM Portal Intranet SIM Video on Demand Rata-rata

1.1 0 0 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 1 1 2 1 0 0 0 0 0 0 0 0 0 0

1.2 0 0 1 0 0 0 1 2 1 0 2 0 2 1 1 3 3 2 2 3 2 4 4 4 4 4 4 4 4 4 2

1.3 3 1 2 2 3 1 1 2 1 3 1 1 3 2 1 2 3 1 1 3 3 1 3 3 1 2 2 1 3 1 2

81

1.4 2 2 0 0 1 0 0 0 0 2 0 0 2 0 0 2 2 0 1 1 3 2 2 2 2 2 2 2 3 2 1

Peran/Tingkat Kepentingan TIK 1.5 1.6 1.7 1.8 3 3 2 3 2 2 1 3 2 2 1 2 2 3 2 2 2 2 2 3 1 3 1 2 1 3 1 2 2 3 1 2 2 3 1 2 2 3 2 3 2 3 1 2 1 3 1 2 3 1 2 2 2 1 1 2 1 3 1 2 2 1 1 2 3 3 2 3 2 3 1 2 2 3 1 2 2 2 2 3 3 3 2 2 3 1 2 3 2 1 2 2 1 1 2 1 2 1 1 1 0 1 1 1 2 1 2 2 2 1 1 1 3 3 2 2 2 3 2 1 2 2 1 2

1.9 3 3 1 2 3 3 3 3 3 3 3 3 3 2 3 2 3 3 3 1 3 3 3 3 3 3 3 3 3 1 3

1.10 4 2 3 3 2 3 3 3 3 1 3 3 2 1 3 3 1 3 3 1 4 3 3 2 1 1 3 1 4 1 2

1.11 1 2 3 2 0 3 3 3 3 2 3 3 3 2 3 3 0 3 3 1 0 0 0 0 1 0 0 1 0 3 2

1.12 2 2 2 2 2 2 2 2 2 0 2 2 2 2 2 2 2 2 2 2 0 2 2 2 2 0 2 2 0 2 2


Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

82


2.1.1 2 2 2 1 1 2 2 2

2.1.2 2 2 2 0 2 2 2 2

2.1.3 2 2 2 1 2 2 2 2

TATA KELOLA KEAMANAN INFORMASI 2.1.4 2.1.5 2.1.6 2.1.7 2.1.8 2.2.9 1 0 2 2 1 4 2 2 2 2 2 4 2 0 0 2 2 4 1 1 1 1 1 0 0 0 2 2 2 4 2 0 0 2 2 4 2 0 0 2 2 4 2 0 0 2 2 0

2.2.10 4 4 6 2 4 4 4 4

2.2.11 4 4 4 2 4 4 4 4

2

2

2

2

0

0

2

2

4

6

4

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 2 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 1 0

0 2 2 2 0 2 2 2 2 2 2 1 2 2 2 2 2 2 2 1 1 2

2 2 2 2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 4 4 4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

4 4 4 6 6 4 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 5

0 4 4 4 4 4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

LAMPIRAN 2

Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

TATA KELOLA KEAMANAN INFORMASI 2.2.14 2.3.15 2.3.16 2.3.17 2.3.18 4 0 0 0 0 4 6 6 6 6 6 0 0 0 0 2 0 0 0 0 4 0 0 0 0 4 0 0 0 0 4 0 0 0 0 6 0 0 0 0 4 0 0 0 0 4 0 0 0 0 4 0 0 0 0 4 0 0 0 0 4 0 0 0 0 4 0 0 0 0 4 0 0 0 0 4 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 6 0 0 0 0 5 0 0 0 0


2.2.12 4 4 0 2 4 0 0 0 0 4 4 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1

2.2.13 4 4 4 2 0 4 4 4 4 6 4 4 4 4 4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

83

2.3.19 0 6 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

2.3.20 0 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0


Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

84


PENGELOLAAN RISIKO KEAMANAN INFORMASI 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.2.10 3.2.11 2 1 1 2 2 4 4 2 2 2 2 2 4 4 3 2 2 2 2 4 4 1 1 1 1 0 2 2 3 2 2 2 2 4 4 3 2 2 2 2 4 4 3 2 2 2 2 4 4

3.1.1 2 2 2 1 2 2 2

3.1.2 2 2 2 1 2 2 2

3.1.3 2 2 2 1 2 2 2

3.1.4 2 2 3 1 3 3 3

2

2

2

3

2

2

2

2

2

4

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

3 2 2 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3

3 2 2 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

3.2.12 4 4 4 2 4 4 4

3.2.13 6 4 0 2 4 4 4

3.3.14 6 6 0 0 0 0 0

3.3.15 6 6 6 0 6 6 6

4

4

4

0

6

4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

0 0 6 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1

6 0 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6

LAMPIRAN 2

Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30


4.1.1 2 2 1 1 1 1 1 0 1 2 1 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

4.1.2 2 2 3 1 2 2 2 2 2 2 1 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

4.1.3 2 2 2 1 2 1 1 2 1 2 1 1 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

4.1.4 2 2 2 1 2 2 2 2 2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

KERANGKA KERJA KEAMANAN INFORMASI 4.1.5 4.1.6 4.2.7 4.2.8 4.2.9 4.2.10 4.2.11 2 2 4 4 4 4 2 2 2 4 4 4 4 4 2 0 0 0 4 0 4 1 1 2 2 2 4 4 0 2 4 0 4 0 0 2 0 0 0 4 0 4 2 0 0 0 4 0 4 2 0 0 0 4 0 0 2 0 0 0 4 0 4 0 0 0 0 4 4 0 2 2 4 4 4 4 0 2 0 0 0 4 0 4 2 0 0 0 4 0 4 2 0 0 0 0 0 0 2 0 0 0 4 0 4 2 0 0 0 4 0 4 2 0 0 0 4 0 4 2 0 0 0 4 0 4 2 0 0 0 4 0 4 2 0 0 0 4 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 0 0 6 0 4 2 0 1 0 4 1 3

85

4.2.12 2 4 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

4.3.13 0 6 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

4.3.14 0 6 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0


Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

86


KERANGKA KERJA KEAMANAN INFORMASI 4.1.19 4.1.20 4.1.21 4.2.22 4.2.23 2 2 2 4 4 2 2 2 4 4 0 0 0 0 0 2 1 2 4 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

4.3.15 0 6 0 0 0 0 0

4.3.16 0 6 0 0 0 0 0

4.1.17 2 2 2 2 2 2 2

4.1.18 2 2 2 1 0 2 2

0

0

2

2

0

0

0

0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

2 2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

2 2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

0 2 0 0 2 0 0 0 0 0 0 0 2 2 2 2 2 2 2 2 2 2 1

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

4.3.24 0 6 0 0 0 0 0

4.3.25 0 6 0 0 0 0 0

4.3.26 0 6 0 0 0 0 0

0

0

0

0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

LAMPIRAN 2

Respon-den 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30



5.1.1 2 2 3 1 2 3 3

5.1.2 2 2 0 1 2 0 0

5.1.3 2 2 0 1 0 0 0

5.1.4 2 2 2 1 2 2 2

5.1.5 2 2 2 1 2 2 2

5.1.6 2 2 3 0 0 3 3

5.1.7 1 2 2 1 2 2 2

5.1.8 3 2 3 1 3 3 3

5.1.9 2 2 3 1 3 3 3

5.1.10 1 2 3 0 3 3 3

5.1.11 2 2 3 1 3 3 3

5.1.12 3 2 0 1 3 0 0

2

0

0

2

2

3

2

2

2

2

3

0

3 3 3 3 3 2 3 2 3 3 3 3 2 2 2 2 2 2 2 2 2 2 2

0 3 0 0 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 2 2 1

0 2 0 0 0 0 0 0 0 0 0 0 2 3 3 3 3 3 3 3 2 2 1

2 3 2 2 0 2 2 3 2 2 2 2 2 3 3 3 3 3 3 3 2 2 2

2 2 2 2 2 2 2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

3 3 3 3 3 2 3 3 3 3 3 3 2 3 3 3 3 3 3 3 2 2 3

2 3 2 2 2 2 2 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2

3 0 3 3 3 3 3 3 3 3 3 3 2 3 3 3 3 3 3 3 2 2 3

3 0 3 3 3 3 3 0 3 3 3 3 2 3 3 3 3 3 3 3 2 2 3

3 3 3 3 2 3 3 3 3 3 3 3 2 3 3 3 3 3 3 3 2 2 3

3 3 3 3 3 3 3 3 3 3 3 3 2 0 0 0 0 0 0 0 2 2 2

0 3 0 0 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 2 2 1

87


Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

88


PENGELOLAAN ASET INFORMASI 5.2.17 5.2.18 5.2.19 5.2.20 4 4 4 4 4 4 4 4 4 4 0 0 2 0 2 0 4 0 0 0 0 4 0 0 0 4 0 0

5.1.13 2 2 0 1 0 0 0

5.1.14 2 2 3 1 3 3 3

5.1.15 2 2 0 1 0 0 0

5.1.16 1 2 2 1 2 0 2

5.2.21 4 4 0 2 0 0 0

5.3.22 0 6 0 0 0 0 0

5.3.23 0 6 0 0 0 0 0

5.3.24 0 6 0 0 0 0 0

0

3

0

3

4

4

0

0 0 0 0 2 0 0 0 0 0 0 0

3 0 3 3 3 3 2 2 3 3 3 3

0 0 0 0 2 0 0 0 0 0 0 0

2 3 3 0 2 2 2 2 2 2 2 2

4 6 0 0 4 4 6 6 6 6 6 6

4 4 4 4 4 0 4 2 4 4 4 4

0 0 4 0 6 0 0 0 0 0 0 0

0

0

0

0

0

0 6 4 0 4 0 0 0 0 0 0 0

0 0 4 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0

2

3

0

3

4

2

0 0 0 0 0 0 0 2 2 0

3 3 3 3 3 3 3 3 3 3

0 0 0 0 0 0 0 0 0 0

3 3 3 3 3 3 3 3 3 2

4 4 4 4 4 4 4 4 4 4

4 4 4 4 4 4 4 2 2 3

2

2

4

0

0

0

0 0 0 0 0 0 0 2 2 1

0 0 0 0 0 0 0 2 2 1

0 0 0 0 0 0 0 4 4 1

0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0

LAMPIRAN 2

Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30



5.1.25 3 2 2 1 3 0 2 2 2 3 3 0 3 2 0 2 2 2 2 2 2 3 3 3 3 3 3 3 2 2 2

5.1.26 2 2 2 1 3 0 2 2 2 3 2 0 3 2 2 3 2 2 2 2 1 2 2 2 2 2 2 2 1 1 2

89

5.1.27 3 2 2 1 3 2 2 2 2 3 2 2 3 2 2 2 2 2 2 2 3 2 2 2 2 2 2 2 3 3 2

5.1.28 2 2 3 1 2 2 2 2 2 3 2 2 2 2 2 1 3 3 3 3 3 3 3 3 3 3 3 3 3 3 2

5.1.29 2 2 3 1 3 2 2 2 2 3 2 2 2 2 2 1 3 3 3 3 2 3 3 3 3 3 3 3 2 2 2

5.2.30 6 4 4 2 6 4 4 4 4 4 4 4 4 4 4 0 6 6 6 6 6 6 6 6 6 6 6 6 6 6 5

5.2.31 4 4 4 2 4 4 4 4 4 4 4 4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

5.2.32 4 4 4 2 4 4 4 4 4 0 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

5.2.33 4 4 4 2 0 0 0 0 0 4 4 0 0 4 0 0 4 4 4 4 2 4 4 4 4 4 4 4 2 2 3

5.3.34 0 6 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0


Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

90



6.1.1 2 2 2 2 2 2 2 2 2 3 3 2 2 2 2 2 2 2 2 3 3 3 2 2 2 2 2 2 3 3 2

6.1.2 2 2 3 2 2 3 3 3 3 3 2 3 3 3 3 2 3 3 3 3 2 3 3 3 0 3 3 0 3 3 3

6.1.3 2 2 0 2 2 0 0 0 0 3 2 0 0 0 0 2 2 0 2 2 2 0 0 0 0 0 0 0 3 3 1

6.1.4 2 2 0 1 0 0 0 0 0 0 2 0 0 0 0 2 0 0 0 0 0 0 0 0 2 0 0 2 0 0 0

6.1.5 2 2 0 1 2 2 2 2 2 3 2 2 0 2 2 0 0 2 2 2 2 2 2 2 3 2 2 3 2 2 2

6.1.6 3 2 2 1 2 2 0 0 0 3 2 2 2 2 0 0 2 2 2 2 2 2 2 2 3 2 2 3 3 3 2

6.1.7 2 2 0 2 2 0 0 0 0 3 0 0 0 0 0 0 2 0 0 0 3 2 2 2 0 2 2 0 3 3 1

6.1.8 2 2 0 1 0 0 0 0 0 2 0 0 0 0 0 0 2 0 0 2 3 2 2 2 0 2 2 0 3 3 1

6.1.9 2 2 0 1 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 1 2 2 2 0 2 2 0 2 2 1

6.1.10 2 2 2 1 2 2 2 2 0 3 0 2 2 2 2 2 2 2 2 2 2 3 3 3 0 3 3 0 3 3 2

6.2.11 4 4 0 2 0 0 0 0 0 0 4 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 6 6 1

6.2.12 4 4 0 2 0 0 0 0 0 0 4 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

LAMPIRAN 2

Responden 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30


6.2.13 6 4 0 2 0 0 0 0 0 4 0 0 0 0 0 0 4 0 0 4 0 0 0 0 0 0 0 0 4 4 1

6.2.14 6 4 4 2 0 4 4 0 4 4 4 4 4 0 4 4 4 4 4 0 4 4 4 4 4 4 4 4 4 4 3

6.2.15 4 4 4 2 4 4 4 4 4 4 4 4 4 0 4 0 4 4 4 4 4 6 6 6 4 6 6 4 6 6 4

6.2.16 6 4 0 2 4 0 0 0 0 6 0 0 0 0 0 0 4 0 0 0 0 4 4 4 0 4 4 0 6 6 2

Keterangan : DM : Desktop Management SIM : Sistem Informasi Manajemen

91

TEKNOLOGI KEAMANAN INFORMASI 6.1.17 6.1.18 6.1.19 6.2.20 6.2.21 2 2 2 4 4 2 2 2 4 4 3 2 2 6 0 0 1 1 2 2 2 2 2 4 0 3 2 3 0 4 3 2 3 0 0 3 2 2 4 0 3 2 2 0 0 0 2 3 4 4 3 2 2 4 0 3 2 2 0 0 3 2 2 0 0 3 2 2 4 0 3 2 3 0 4 0 2 2 0 0 3 2 2 0 0 3 2 2 4 0 3 2 2 4 0 2 3 2 0 0 3 2 2 4 0 3 2 2 4 4 3 2 2 4 4 3 3 3 4 4 3 2 2 4 0 3 2 2 4 4 3 2 2 4 4 3 2 2 4 0 3 3 3 6 6 3 3 3 6 6 3 2 2 3 2

6.2.22 6 4 6 2 0 6 6 4 6 4 6 6 6 4 6 0 0 6 6 6 4 6 6 6 6 6 6 6 6 6 5

6.2.23 6 4 2 2 0 0 0 6 0 4 0 0 4 0 4 4 4 6 6 4 6 6 6 6 6 0 0 6 6 6 3

6.3.24 3 6 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0


RIWAYAT HIDUP PENELITI

Nama

: Iqbal Soenardi

NIP

: 19690918199003 1 001

Tempat/Tanggal Lahir

: Banda Aceh, 18 September 1969

Unit Organisasi

: Sekreatariat Badan

No. HP

:081318410654

e-mail

: - [email protected] - [email protected]

Riwayat Pekerjaan/Jabatan: No

Jabatan/Pekerjaan

Unit Kerja

Tahun

1.

Kepala Subbagian

Sekretariat Badan

2004 - 2005

Sekretariat Badan

2006 - 2007

Pusdiklat Pegawai

2008 – 2009

Sekretariat Badan

2010

Sekretariat Badan

2011 - Sekarang

Administrasi Jabatan Fungsional 2.

Kepala Subbagian Pengembangan Pegawai

3

Kepala Subbidang Perencanaan Pascasarjana

4

Kepala Subbagian Dukungan Teknis

5

Kepala Bagian Teknologi Informasi Dan Komunikasi

Riwayat Pendidikan: 1. D III Tamat Tahun 1991

SEKOLAH TINGGI AKUNTANSI NEGARA, JAKARTA,Accounting Specialist

2. D IV Tamat Tahun 1997

SEKOLAH TINGGI AKUNTANSI NEGARA, JAKARTA,Accounting Specialist

3. S 2 Tamat Tahun 2002

92

CASE WESTERN RESERVE UNIVERSITY



Nama

: M. Ichsan

NIP

: 19820804200212 1 003

Tempat/Tanggal Lahir

: Purrwaorejo, 04 Agustus 1982

Unit Organisasi

: Sekreatariat Badan

No. HP

: 081311358186

e-mail

: - [email protected] - [email protected]

Riwayat Pekerjaan/Jabatan: No

Jabatan/Pekerjaan

Unit Kerja

1.

Pelaksana

Sekolah Tinggi Akuntansi

Tahun 2002 - 2005

Negara 2.

Pelaksana

Sekretariat Badan

2006

- Sekarang

Riwayat Pendidikan: 1. D I Tamat Tahun 2002

SEKOLAH TINGGI AKUNTANSI NEGARA, SPESIALISASI KEBENDAHARAAN NEGARA

2. D III Tamat Tahun 2008

SEKOLAH TINGGI AKUNTANSI NEGARA, JAKARTA,SPESIALISASI AKUNTANSI

93

ANALISIS KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN DIUKUR MENGGUNAKAN INDEKS KEAMANAN INFORMASI

Recommend Documents