Вы находитесь на странице: 1из 15

Jurnal Ilmiah SANTIKA Volume 8 No.

1 Juni 2018 p-ISSN 2088-5407


e-ISSN 2621-9001

ANALISIS SISTEM MANAJEMEN KEAMANAN INFORMASI


MENGGUNAKAN SNI ISO/IEC 27001:2013 PADA PEMERINTAHAN
DAERAH KOTA SUKABUMI
(STUDI KASUS: DI DISKOMINFO KOTA SUKABUMI)

Winda Apriandari#1, Ashwin Sasongko*2


#
Teknik Informatika Universitas Muhammadiyah Sukabumi, winda.apriandari@gmail.com
*
Teknik Informatika Universitas Langlangbuana, ashwin.sasongko@gmail.com

ABSTRACT

DISKOMINFO (Communication and Information Service ) of Sukabumi is a government


institution that has responsibility for the management of Information and Communication
Technology in Local Government (PEMDA) Sukabumi. Sukabumi Information Technology
managed by Head of Infrastructure of ICT, Encryption and Data Integration. From the results of
interviews and observation , DISKOMINFO has problems on managing data securit, is because
lack of Human Resources, lack of awareness and responsibility and implementation of poor
information security that cause incidents or hacking of information security, especially in
Sukabumi City Information System. this causes disruption of the process of public service and
business in DISKOMINFO.The Information Security Management System (ISMS) is a management
system implemented by organizations, especially governments organitations, to secure information
assets against threats that exist within the scope of DISKOMINFO. The process carried out using
the PDCA cycle approach among the Plan Do Check Act. The ISMS handle infomation aspects
such as confidentiality, integrity, and availability information.The ISMS analysis uses SNI ISO /
IEC 27001: 2013 and SNI ISO / IEC 31000: 2009 risk management base. The ISMS analysis
purpose to identify risk profiles by identifying assets, threats, and vulnerabilities as well as
evaluating and controlling disruptions. ISMS produce security information manual, information
security procedure, work instruction and information security form.

Keywords : Information Security Management System, ISMS Analysis, SNI ISO/IEC 27001:2013,
SNI ISO/IEC 31000:2009

PENDAHULUAN arsip, infomasi dan data, Pemerintahan yang


1. Latar Belakang Masalah meliputi walikota, DPRD, SKPD/BUMD dan
Sistem Pemerintahan Kota Sukabumi Aparatur, Investasi berupa sarana, kawasan
memiliki aset terpenting sebagai sarana bagi bisnis dan UKM serta SAKIP. Dari beberapa
masyarakat Kota Sukabumi, diantaranya aset tersebut, yang menjadi bagian terpenting
informasi mengenai portal berita Kota tentang yaitu pada keamanan informasinya.
informasi umum Kota Sukabumi beserta Keamanan informasi mendasari tingkatan
715
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

layanan Teknologi Informasi yang lebih baik Manusia (SDM). Sudah hampir 10 tahun
dan menjadi salah satu faktor kelayakan belum menerima dan merekrut pegawai PNS
teknologi. yang baru. Sehingga dalam menangani sistem
Penulis fokus pada isu-isu keamanan yang makro DISKOMINFO memiliki
layanan Teknologi Informasi. Analisis yang kekurangan Sumber Daya Manusia. Di bidang
didapatkan penulis pada layanan komunikasi IT pada DISKOMINFO hanya memiliki 3
atau komplein yang disediakan dan pegawai, diantaranya Bapak Yuli Noviawan,
dikendalikan oleh Kabid Infrastruktur TIK, Bapak Gian dan Bapak Irfan. Dari
Persandian dan Integrasi Data di Pemerintahan Pusat ada 3 orang sebagai tim
Pemerintahan Daerah Kota terdapat masalah. atau relawan yang membantu dalam hal
Dikutip dalam artikel di www.tecnoid.id pada teknisi tetapi bukan dari pegawai PNS
tanggal 10 April 2015 [1]
, “Sistem Informasi DISKOMINFO. Hal tersebut menjadi faktor
Pemerintahan Daerah Kota Sukabumi terjadi kelemahan dalam penanganan dan
peretasan oleh pihak yang tidak pengelolaan sebuah sistem, dikarenakan
berkepentingan”. Pernyataan tersebut pungkas kekurangan pegawai yang bisa menangani
dari Bapak Wakil Wali Kota Sukabumi, keamanan informasi. Dari permasalahan yang
Bapak Achmad Fahmi. Dari Hasil wawancara ada bahwa keamanan informasi yang baik
bersama narasumber Kabid Infrastruktur TIK, hanya dapat dicapai melalui pembenahan
Persandian Dan Integrasi Data di aspek manajemennya.
DISKOMINFO Pemerintahan Daerah Kota Hasil pengamatan di DISKOMINFO
Sukabumi oleh Bapak Yuli Noviawan, “Hal kerentanan pada Teknologi Informasi
tersebut menyebabkan sistem blank, disebabkan belum dilakukan kajian atau
Pemerintah Daerah Kota Sukabumi telaah terhadap risiko keamanan yang timbul,
mengalami kerugian 100 juta rupiah selama 1 seperti sistem informasi, layanan dan sumber
tahun untuk memperbaiki dan perlindungan daya lainnya. Kajian risiko yang dimaksud
terhadap sistem yang diretas. Serangan identifikasi terhadap kejadian-kejadian yang
masuk melalui layanan komunikasi atau mengancam kemanan informasi pada PEMDA
komplein yang disediakan oleh PEMDA di DISKOMINFO Kota Sukabumi dan potensi
untuk masyarakat. Masyarakat tidak bisa dampak kerugiannya, belum adanya analisis
memberikan komplein, saran dan mengetahui akibat kelemahan pada sistem yang
informasi yang dibutuhkan. Layanan menjadi mengalami ancaman dan peretasan dengan
tidak tersedia akibat sering terjadinya menggunakan kontrol tertentu.
peretasan tersebut. Selain itu dari hasil Standar yang digunakan selain SNI
wawancara yang didapat, DISKOMINFO ISO/IEC 27001:2013 adalah menggunakan
memiliki kekurangan pada Sumber Daya Capability Maturity Model Integration

716
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

(CMMI) untuk mengukur tingkat kematangan c. Bagaimana mengetahui kinerja suatu


berdasarkan klausul SNI ISO/IEC 27001:2013 keamanan informasi dengan
dan menggunakan SNI ISO/IEC 31000:2009 mengukur tingkat kematangan
untuk mengetahui profil risiko dari tahapan berdasarkan klausul yang dipilih
manajamen risiko. Klausul A.7 Keamanan yaitu Klaususl A.7 Keamanan
Sumber Daya Manusia, A.9 Kontrol Akses, Sumber Daya Manusia, A.9 Kontrol
A.14 Akuisisi Pengembangan dan Akses, A.14 Akuisisi
Pemeliharaan dipilih sesuai dengan hasil Pengembangan dan Pemeliharaan
identifikasi profil risiko yang terjadi di untuk mengetahui kondisi penerapan
DISKOMINFO Kota Sukabumi dan sudah keamanan informasi PEMDA yang
ditentukan serta disepakati bersama dengan sedang berlangsung dan mengukur
Kabid Infrastruktur TIK, Persandian Dan tingkat kematangan SMKI yang
Integrasi Data dibangun menggunakan Capability
1. Rumusan Masalah Maturity Model Integration
a. Bagaimana menentukan ruang (CMMI).
lingkup Analisis Sistem Manajemen d. Bagaimana melakukan pemeliharaan
Keamanan Informasi dengan terhadap Sistem Manajemen Keamanan
menggunakan SNI ISO/IEC Informasi yang sudah diterapkan di
27001:2013 terhadap Infrastruktur DISKOMINFO tetapi masih terdapat
Teknologi Informasi PEMDA di kekurangan dalam menangani masalah
DISKOMINFO Kota Sukabumi keamanan informasi.
dengan mengimplementasikannya 3. Batasan Masalah
ke dalam bentuk dokumen yang a. Kebutuhan ruang lingkup analisis
berisi manual, instruksi kerja, sistem manajemen keamanan
prosedur dan formulir. informasi dengan menggunakan
b. Bagaimana meminimalisir model Plan Do Check Act (PDCA)
keamanan informasi dengan untuk mengatur penilaian risiko,
melakukan manajemen risiko evaluasi risiko, kontrol perlindungan
merujuk pada SNI ISO/IEC keamanan, desain dan manjemen
31000:2009 untuk mengetahui profil keamanan dengan SNI ISO/IEC
risiko dan kontrol perlindungan 27001:2013.
keamanan terhadap Teknologi b. Manajemen risiko menggunakan SNI
Informasi PEMDA di ISO/IEC 31000:2009 sedangkan
DISKOMINFO Kota Sukabumi. untuk penilaian risiko dibatasi pada
aset layanan informasi, layanan

717
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

publik, komplein masyarakat dan berpotensi mengganggu sistem serta


kinerja yang ada di DISKOMINFO mendefinisikan profil risiko dengan
Kota Sukabumi dengan Sistem menggunakan SNI ISO/IEC
Manajemen Keamanan Informasi 31000:2009 dan mendefinisikan
yang dibuat berdasarkan manual, kontrol perlindungan keamanan
instruksi kerja, prosedur dan informasinya.
formulir SMKI. c. Untuk mendapatkan penilaian atau
c. Pengukuran tingkat keamanan gap kinerja suatu keamanan informasi
berdasarkan klausul yang dipilih dari pengukuran tingkat kematangan
yaitu Klaususl A.7 Keamanan berdasarkan klausul yang dipilih yaitu
Sumber Daya Manusia, A.9 Kontrol Klaususl A.7 Keamanan Sumber
Akses, A.14 Akuisisi Daya, A.9 Kontrol Akses, A.14
Pengembangan dan Pemeliharaan Akuisisi Pengembangan dan
dengan menggunakan Capability Pemeliharaan dengan menggunakan
Maturity Model Integration Capability Maturity Model
(CMMI). Integration (CMMI).
d. Pemeliharaan Sistem Manajemen d. Pemeliharaan Sistem Manajemen
Keamanan Informasi di Keamanan Informasi dengan
DISKOMINFO diukur pengukuran Capability Maturity
menggunakan Capability Model Model Integration (CMMI) untuk
Maturity mengidentifikasi bagian kelemahan
4. Tujuan Penelitian keamanan informasi dan melakukan
a. Mengetahui dan menghasilkan ruang saran perbaikan .
lingkup analisis sistem manajemen
keamanan informasi dengan METODOLOGI PENELITIAN
menggunakan SNI ISO/IEC Metodologi penelitian memaparkan
27001:2013 terhadap Infrastruktur langkah-langkah yang dilakukan dan
Teknologi Informasi PEMDA di digunakan ke dalam pendekatan-pendekatan
DISKOMINFO untuk rekomendasi terkait dengan jenis metodologi penelitian. Di
kebijakan dalam bentuk dokumen dalam jurnal menurut Leedy dan Ormrod :
[12]
yang berisi manual, instruksi kerja, 2005 , penelitian adalah tahapan dalam
prosedur dan formulir. mengumpulkan, menganalisis, dan
b. Untuk mengetahui ancaman apa saja menginterpretasi data untuk memahami
yang masuk ke dalam Keamanan fenomena yang terjadi. Ada beberapa jenis
Informasi, mengurangi hal yang metodologi penelitian, diantaranya metode

718
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

deskriptif, metode kuantitatif dan metode Sistem Informasi merupakan sistem yang
kualitatif. Penulis menggunakan metode terdapat di suatu organisasi seperti
deskriptif dan kualitatif. Pemerintahan yang didalamnya memiliki
unsur Teknologi Informasi, proses masukan,
TINJAUAN DAN STUDI PUSTAKA dan hasil informasi untuk membuat sarana
1. Pengertian Analisis Sistem komunikasi bagi pengguna. Sistem Informasi
Analisis sistem merupakan suatu konsep memiliki komponen-komponen, diantaranya
yang akan dirancang oleh satu atau input, model, output, technology, dan
sekelompok orang. Analisis itu control.[15]
mengidentifikasi, menyatakan, merencanakan, 4. Keamanan Informasi
menyusun dan merancang masalah-masalah Keamanan Informasi adalah mengamankan
dalam suatu objek atau sistem. Tahapan kerja suatu aset yang berharga bagi kelangsungan
dari analisis sistem sebagai berikut: hidup organisai baik Pemerintah maupun non
a. Mengidentifikasi masalah kebutuhan user Pemerintah. Aset tersebut adalah sebuah
b. Melaksanakan studi kelayakan informasi. Keamanan informasi adalah hal
c. Analisis dan rancang sistem yang harus diutamakan dan diperhatikan oleh
d. Penerapan sistem organisasi dari tindakan kriminal yang ilegal
e. Evaluasi dan pemeliharaan oleh pihak yang tidak berwenang. Pertama
2. Pengertian Teknologi Informasi kebocoran informasi, kedua merubah dan
Teknologi merupakan kemampuan memanipulasi aset atau informasi, merusak
manusia yang didapat dari hasil pemikiran sistem yang dapat menyebabkan kerugian
untuk mengembangkan sistem dalam baik dari sisi finansial maupun produktifitas
penyelesaian persoalan dalam hidup manusia. organisasi. Melindungi keamanan informasi
Informasi merupakan sebuah berita yang sebaik mungkin selalu ada upaya yang harus
memiliki makna, berita bisa dalam bentuk dilakukan. Keamanan informasi dalam suatu
data atau pesan. Sedangkan Teknologi organisasi memiliki beberapa aspek-aspek,
Informasi merupakan suatu Teknologi yang diantaranya adalah :
memiliki kemampuan dalam mengolah data, a. Confidentiality (Kerahasiaan)
memanipulasi data, dan selanjutnya diproses Merupakan keamanan informasi yang
sesuai kebutuhan untuk mendapatkan hasil menjamin, memastikan dan menjaga
yaitu sebuah informasi. Hasil informasi kerahasiaan aset, bahwa hanya dapat diakses
tersebut dapat disimpan dan diolah kembali oleh mereka yang memiliki wewenang.
sesuai kebutuhan.[14] b. Integrity (Integritas)
3. Pengertian Sistem Informasi Merupakan keamanan informasi yang
menjamin kelengkapan aset, menjamin aset

719
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

tersebut tidak berubah dan dimodifikasi Proses berasal dari kebutuhan organisasi,
maupun dihilangkan tanpa otorisasi yang implementasi yang baik untuk menyelesaikan
tidak jelas. Menjaga keakuratan dan ancaman dan menyediakan kebutuhan.
dari pihak luar yang tidak berkepentingan. d. Teknologi
c. Availibility (Ketersediaan) Teknologi membantu organisasi untuk
Merupakan keamanan informasi yang meningkatkan keamanan yang berasal dari
menjamin bahwa aet tetap tersedia, dapat perangkat keras dan lunak agar membuat
diakses ketika dibutuhkan tanpa adanya proses lebih efisien.
gangguan dari pihak lain.

Confidentiality

Integrity

Availibility

Gambar 1. Aspek Keamanan Informasi [19]

5. Ruang Lingkup/Model Keamanan


Informasi
Ruang lingkup atau model keamanan Gambar 2. Ruang Lingkup atau Model Keamanan
informasi yang terdiri dari strategi organisasi, Informasi

manusia, proses, dan teknologi. Berikut (Sumber:https://www.isaca.org/KnowledgeCenter


/PublishingImages/BMIStriangle.jpg)
penjelasannya:
a. Strategi Organisasi
6. Sistem Manajemen Keamanan Informasi
Organisasi yang memiliki pencapaian dalam
SMKI adalah suatu sasaran untuk
menyelesaikan tujuan. Dengan membuat
mencapai tujuan dalam organisasi dengan
rancangan dari aturan atau kebijakan, proses
menetapkan, mengimplementasikan,
dan arsitekturnya.
menggunakan, pemantauan, peninjauan,
b. Manusia
pemeliharaan dan meningkatkan keamanan
Sumber daya manusia yang memiliki tugas
informasi. Proses yang dilakukan dengan
agar dapat dipercayai dalam menajaga aset
menggunakan pendekatan siklus PDCA yaitu
penting organisasi.
Plan Do Check Act. Keamanan sistem
c. Proses
informasi tidak hanya berhubungan dengan
perangkat keras dan perangkat lunak seperti
firewall, antivirus, penggunaan password
720
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

untuk komputer tetapi pendekatan terhadap b. Annex A : Security Control


sisi manusia, proses, dan teknologi serta Annex adalah dokumen yang disediakan
tempat berlangsungnya pengamanan untuk dan dapat dijadikan tujuan untuk
menjamin keamanan dalam berjalannya menentukan kontrol keamanan yang perlu
efektivitas atau kegiatan. diimplementasikan di dalam SMKI yang
Sistem Manajemen Keamanan Informasi terdiri dari 14 klausul kontrol keamanan,
diatur dalam regulasi Peraturan Menteri 35 Objektif Kontrol dan 114 kontrol
Komunikasi Dan Informatika Republik keamanan informasi.
[9]
Indonesia nomor 4 tahun 2016 . Di Bab III 8. SNI ISO/IEC 31000:2009
Standart Sistem Manajemen Keamanan SNI ISO/IEC 31000:2009 pada klausul 5.3
Informasi di dalam pasal 7 ayat 1 menjelaskan di dalam SNI ISO/IEC 27001:2013 digunakan
bahwa penyelenggaraan sistem elektronik sebagai acuan untuk membangun konteks
strategis harus menerapkan standart SNI eksternal dan internal organisasi yang relevan
ISO/IEC 27001 dan ketentuan pengamanan. dengan tujuan dapat mempengaruhi
Penyelenggaraan sistem elektronik diwajibkan kemampuan untuk mencapai hasil yang
untuk menerapkan pedoman indeks. diharapkan dari Sistem Manajemen
7. SNI ISO/IEC 27001:2013 Keamanan Informasi. SNI ISO/IEC
Standar Nasional Indonesia (SNI) ISO/IEC 31000:2009 adalah sebuah standar
27001:2013 adalah standarisasi yang ruang internasional yang disusun dengan tujuan
lingkup nya dalam Sistem Manajemen memberikan prinsip dan panduan untuk
Keamanan Informasi (SMKI). Standar ini menerapkan manajemen risiko. Di dalam SNI
dibuat khusus untuk menyediakan persyaratan ISO/IEC 31000:2009 organisasi yang
untuk penetapan, penerapan, pemeliharaan menerapkan manajemen risiko perlu
dan perbaikan berkelanjutan terhadap Sistem memperhatikan tiga aspek, diantaranya:
Manajemen Keamanan Informasi (SMKI). penerapan manajemen risiko harus disertai
SMKI SNI ISO/IEC 27001:2013 telah komitmen tinggi dari pengurus organisasi
ditetapkan oleh Badan Standarisasi Nasional (Direksi atau Komisaris), manajemen risiko
Nomor 61/KEP/BSN/4/2016 [20]. harus diintegrasikan ke dalam seluruh proses
Struktur Organisasi ISO/IEC organisasi dan menjadi bagian dari pemilik

27001:2013 dibagi dalam dua bagian, atau penanggung jawab proses (kepala atau

diantaranya: staf) dan manajemen risiko harus menjadi

a. Klausul : Mandatory Process bagian dari proses pengambilan keputusan

Jika Organisasi menetapkan SMKI, klausul pada tingkat Governance.


9. Capability Model Maturity Level (CMMI)
(pasal) syarat yang harus dipenuhi dengan
menggunakan SNI ISO/IEC 27001:2013.

721
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

CMMI adalah model yang digunakan ISO tidak sampai mengatur jauh mengenai
untuk pendekatan penilaian kematangan dan kebutuhan user sedangkan CMII selain
kemampauan organisasi. CMMI sebelumnya memiliki SOP, CMII memiliki aturan yang
dikenal sebagai CMM yang diperbarahui oleh khusus tentang SOP. Didalam CMMI terdpat
Software Enginnering Institute (SEI) di generic goals (GG) untuk menggambarkan
Carnegie Mellon University di Amerika karakteristik di organisasi. Generic practices
Serikat pada akhir tahun 2001 dan di sebarkan (GP) adalah best practices untuk mencapai
[11]
Agustus tahun 2006. CMMI dan ISO GG.
memiliki tingkat ketelitiannya yang berbeda,

HASIL DAN PEMBAHASAN


1. Kerangka Penelitian

722
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

Gambar 3. Kerangka Penelitian Analisis Sistem Manajemen Keamanan Informasi

2. Manajemen Risiko Menggunakan SNI 5. Identifikasi Risk Consequences


ISO/IEC 31000:2009 6. Estimasi Risiko (Risk Estimation)
Di dalam SNI ISO/IEC 27001:2013  Evaluasi Risiko (Risk Evaluation)
dirujuk untuk menentukan masalah eksternal  Penanganan Risiko (Risk Threatment)
dan internal yang relevan guna membangun  Penerimaan Risiko (Risk Acceptance)
konteks eksternal dan internal dalam klausul 3. Mengukur Maturity Level
5.3 SNI ISO/IEC 31000:2009. Langkah dalam Mengukur tingkat kematangan (Maturity
memulai manajemen risiko dipaparkan Level) dimulai dengan pengumpulan data dari
sebagai berikut: hasil kuesioner, melakukan perhitungan atau
a. Penilaian Risiko (Risk Assessment) pengujian, melakukan maturity level saat ini.
 Identifikasi Risiko (Risk Pengukuran tingkat kematangan merujuk pada
Identificstion) tingkat kematangan CMMI (Capability
 Analisis Risiko (Risk Analysis) Maturity Model Integration). Berikut
1. Identifikasi Aset perhitungan matematisnya:
2. Identifikasi Thread
3. Identifikasi Kontrol yang Berlangsung
4. Identifikasi Vulnerability
723
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

Gambar 4. Rumus Perhitungan Kuesioner

4. Analisis Temuan
Analisis temuan dibuat dari mengukur Gambar 5. Radar Nilai Rata-Rata Maturity Level
Maturity Level sebelumnya. Analisis temuan Penerapan Kontrol Keamanan yang Sedang
tujuannya untuk menentukan strategi Berlangsung
penerapan pengembangan kontrol keamanan. a. Target Maturity Level
Hasil dari analisis temuan tersebut dijadikan Target maturity level dilakukan untuk
acuan untuk perbaikan kontrol keamanan. menemukan kekurangan yang harus
Berikut hasil Analisis Temuan dari dilengkapi oleh organisasi dalam proses
keseluruhan Maturity Level Klausa A.7 penerapan keamanan informasi terhadap
Keamanan Sumber Daya Manusia, Klausa seluruh klausa yang sudah ditentukan.
A.9 Kontrol Akses, Klausa A.14 Akuisis, Tabel 2 Nilai Target Pencapaian (GAP)
Pemeliharaan dan Pengembangan :
Kontrol
Tabel 1 Hasil Maturity Level Klausa A.7, Maturity Objektif
Keama
Klausa Level Kontrol
Klausa A.8, Klausa A.9 nan
(Objektif
Maturity Sedang
Klausa Kontrol)
Level Berlangsun Target GAP
Klausa A.7. : Keamanan Sumber g
2
Daya Manusia Klausa A.7. :
Klausa A.9. : Kontrol Akses 2 Keamanan Sumber 2 4,50 2,50
Klausa A.14. : Akuisi, Daya Manusia
2
Pemeliharaan Dan Pengembangan Klausa A.9. :
2 4,50 2,50
Rata-Rata Maturity Level 2 Kontrol Akses
Klausa A.14. :
Berikut diagram radarnya: Akuisi,
2 4,50 2,50
Pemeliharaan Dan
Pengembangan
Rata-Rata
2,00 4,50 2,50
Maturity Level

724
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

Berikut keterangan gambar radar dari hasil seluruh pimpinan, administrator,


nilai target pencapaian (GAP): staf/pegawai dan pihak ketiga
2. Minimal sebelum mencapai nilai
maturity yang optimized dilakukannya
proses keseimbangan dari seluruh kontrol
keamanan yang ditentukan
3. Setelah melakukan evaluasi dilakukan
perbaikan dimulai dari maturity yang
lebih rendah dan selanjutnya dilakukan
secara bertahap sampai mendapatkan
level yang optimized.
Gambar 6. Diagram Radar GAP Nilai Rata-Rata Berikut gambaran tahapan untuk mencapai
sedang Berlangsung Dan Target Pencapaian nilai maturity yang diharapkan dengan
melakukan strategi pencapaian maturity level,
b. Strategi Pencapaian Maturity Level
digambarkan sebagai berikut:
Dari hasil perhitungan pengukuran
Maturiy Level yang sedang berlangsung dan
yang dicapai memliki nilai GAP Maturity
Level sangat besar untuk mencapai target yang
maksimal. Hasi penerapan analisis
manajemen risiko Keamanan Informasi pada
kontrol keamanan yang dikelola
DISKOMINFO Kota Sukabumi sesuai dengan
Gambar 7. Diagram Star Pencapaian Maturity
klausa yang sudah ditentukan yaitu
Level
A.7:Keamanan Sumber Daya Manusia, 5. Perancangan Sistem Manajemen
A.9:Kontrol Akses, A.14:Akuisi Pemeliharaan Keamanan Informasi
Dan Pengembangan SNI ISO 27001:2013 Perancangan Sistem Manajemen
dan SNI ISO/IEC 31000:2009 Maturity Level Keamanan Informasi yang akan diterapkan
masih memiliki tingkat yang sangat kecil atau dalam organisasi Pemerintahan di
belum sesuai harapan. Strategi pencapaian DISKOMINFO Kota Sukabumi berupa
maturity level harus mempertimbangkan dokumen. Dokumen tersebut dibentuk mejadi
tahapan sebagai berikut: beberapa bagian, diantaranya Manual
1. Untuk mencapai tahapan nilai maturity Keamanan Informasi (MKI), Prosedur
harus dilalui dengan adanya proses Keamanan Informasi (PKI), Intruksi Kerja
pembelajaran dan perbaikan kepada (IK), dan Formulir Keamanan Informasi
(FKI). Langkah perancangan SMKI dengan
725
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

melakukan Manajemen Risiko menggunakan 1. DISKOMINFO telah diatur dan


SNI ISO/IEC 31000:2009 dan Pengukuran dilaksanakan keamanan informasi
Tingkat Kematangan (Maturity Level). terhadap aset dan informasi tetapi belum
6. Membuat Statement of Applicability didokumentasi dan disosialisasi
(SoA) penerapannya di dalam organisasi.
Statement of Applicability (SoA) adalah 2. Sesuai hasil penilaian risiko dari 25 profil
dokumen rencana implementasi untuk risiko dalam skenario insiden, didapat
menentukan pelaksanaan pelatihan (awarness penilaian 1 risiko dengan tingkat sangat
and training) SMKI kepada seluruh pegawai. tinggi (critical), 1 risiko dengan tingkat
Dimana di dalam dokumen tersebut tinggi (high), 6 risiko dengan tingkat
menjelaskan kontrol keamanan informasi medium (moderate) dan yang terakhir 17
berdasarkan SNI ISO/IEC 27001:2013. risiko dengan tingkat rendah (low).
7. Evaluasi Sistem Manajemen Keamanan 3. Sedangkan hasil maturity level pada
Informasi penerapan kontrol keamanan untuk
Evaluasi Sistem Manajemen Keamanan klausa A.7, klausa A.9 dan klausa A.14,
Informasi dilakukan untuk menjaga bahwa didapatkan hasil temuan sebagai berikut:
SMKI selalu sesuai dengan kebutuhan Tabel 3 Hasil Rata-Rata Maturity Level
organisasi, selalu ditinjau ulang, dikoreksi dan Maturity
Klausa Definisi
diperbaiki sesuai dengan kebutuhan Level
organisasi. Klausa A.7. :
Repeata
8. Saran Dan Perbaikan Keamanan Sumber 2,00
ble
Saran dan perbaikan merupakan tahapan Daya Manusia
terakhir dalam PDCA, tahapan ini termasuk Klausa A.9. : Kontrol Repeata
2,00
kedalam tahapan act yang memberikan Akses ble
penjelasan secara menyeluruh mengenai saran Klausa A.14. : Akuisi,
Repeata
dan perbaikan yang harus dilakukan serta Pemeliharaan Dan 2,00
ble
menindaklanjuti perbaikan untuk Pengembangan
meningkatkan Keamanan Informasi di dalam Rata-Rata Maturity
2,00
organisasi DISKOMINFO lingkungan Level
PEMDA Kota Sukabumi.

4. Hasil dari Analisis Sistem Manajemen


KESIMPULAN Keamanan Informasi menggunakan SNI
Hasil dari penelitian didapatkan suatu ISO/IEC 27001:2013 dan SNI ISO/IEC
penjelasan secara ringkas dalam bentuk 31000:2009 adalah dapat diketahui ruang
kesimpulan. Berikut kesimpulan yang didapat: lingkup SMKI di DISKOMINFO, risk

726
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

management untuk mengetahui profil https://infokomputer.grid.id/tag/hacker/


risiko, operasional atau pelaksanaan page/4/
SMKI, tinjauan SMKI dan saran [3] NasionalKompas. Siber Nasional :
perbaikan atau pengendalian gangguan Indonesia. Tersedia Online Di :
terhadap infrastruktur TI yang memiliki http://nasional.kompas.com/read/2017/
masalah keamanan informasi sehingga 01/11/06591651/apa.urgensinya.badan.
terjadinya peretasan di DISKOMINFO siber.nasional.untuk.indonesia.
Kota Sukabumi. Selanjutnya dibuatkan [4] Menteri Komunikasi Dan Informatika.
dokumen Manual Keamanan Informasi, 2016. Perlindungan Data Pribadi Dalam
Prosedur Keamanan Informasi, Intruksi Sistem Elektronik Nomor 20 Tahun
Kerja dan Formulir Keamanan Informasi. 2016. Republik Indonesia.
[5] Riadi, Imam & Rosmiati. 2016.
UCAPAN TERIMA KASIH Analisis Keamanan Informasi
Penulis ucapkan Puji Syukur kepada Berdasarkan Kebutuhan Teknikal Dan
Allah SWT yang telah memudahkan setiap Operasional Mengkombinasikan
langkah untuk menyelesaikan tesis dan Standar ISO 27001:2005 dengan
memberikan energi ruhiyah yang positif. Maturity Level. Seminar Nasional
Terima kasih kepada Pak Ashwin dan Pak Teknologi Informasi dan Multimedia:
Hendayun atas waktu dan ilmu yang diberikan Yogyakarta.
sehingga membantu Penulis dalam [6] ReferensiElsam. UU Nomor 23 Tahun
penyusunan tesis ini. Selanjutnya terima kasih 2014. Pemerintahan Daerah. Tersedia
kepada Suami dan Orang Tua yang telah Online Di :
memberikan Doa, dukungan dan motivasi http://referensi.elsam.or.id/2015/01/uu-
untuk menyelesaikan tesis ini. nomor-23-tahun-2014-tentang-
pemerintah-daerah/
DAFTAR PUSTAKA [7] Unhas. Form Peraturan. UU Nomor 19
[1] TechnoID. Situs Resmi Pemda Kota Tahun 2016 Perubahan ITE Dari UU
Diserang Hacker : Sukabumi. Tersedia No 11 Tahun 2008. Tersedia Online Di
Online Di : :http://htl.unhas.ac.id/form_peraturan/p
https://www.techno.id/social/situs- hoto/103211-UU-Nomor-19-Tahun-
resmi-pemkot-sukabumi-sedang- 2016%20tentang%20informasi%20dan
diserang-hacker-1504109.html. %20Transasksi%20Elektronik.pdf
[2] InfoKomputer. Hacker : Halaman 4. [8] Kominfo. Produk Hukum. Peraturan
Tersedia Online Di : Pemerintah Republik Indonesia No 82
Tahun 2012. Tersedia Online Di :

727
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

https://jdih.kominfo.go.id/produk_huku [14] Sobri, Muhammad, Emigawaty, & Nita


m/view/id/6/t/peraturan+pemerintah+re Rosa Damayanti. 2017. Pengantar
publik+indonesia+nomor+82+tahun+20 Teknologi Informasi. Andi.
12 Yogyakarta.
[9] Kominfo. Produk Hukum. Peraturan [15] Hutahean, Jeperson. 2015. Konsep
Menteri Komunikasi Dan Informatika Sistem Informasi. CV Budi Utama.
No 4 Tahun 2016. Tersedia Online Di : Yogyakarta.
https://jdih.kominfo.go.id/produk_huku [16] Yuhefizar, Ir. HA Mooduto, & Rahmat
m/view/id/532/t/peraturan+menteri+ko Hidayat. 2009. Cara Mudah
munikasi+dan+informatika+nomor+4+t Membangun Website Interaktif
ahun+2016+tanggal+11+april+2016. Menggunakan Context Management
[10] Candiwan. Priyadi, Yuze Yudi, & Yuni System Joomla. Edisi Revisi. PT Elex
Cintia. 2016. Analisis Sistem Media Komputindo. Jakarta.
Manajemen Keamanan Informasi [17] Ayuningtyas, Nuriana. 2009.
Menggunakan ISO/IEC 27001:2013 Implementasi Ontologi Web Aplikasi
Serta Rekomendasi Model Sistem Semantik Untuk Sistem Sitasi Jurnal
Menggunakan Data Flow Diagram Elektronik Indonesia. Tugas Akhir.
Pada Direktorat Sistem Informasi [18] Sibero, Alexander F K. 2014. Web
Perguruan Tinggi. Jurnal Sistem Programming Power Pack. MediaKom.
Informasi. Universitas Telkom. Yogyakarta.
[11] Silanegara, Indra & Bayu Adhi Tama. [19] Checkmarx. 2016. The Important Of
2015. Strategi Pemilhan Kontraktor Database Security And Integrity.
Perangkat Lunak Dengan Tersedia Online Di :
Memanfaatkan Pengetahuan Terhadap https://www.checkmarx.com/2016/06/2
Capability Maturity Model Integration 4/20160624the-importance-of-
for development (CMMI for Dev). database-security-and-integrity/
Universitas Sriwijaya. Jakarta. [20] Badan Standarisasi Nasional. 2016.
[12] Sugiyono. 2013. Metode Penelitian Penetapan Standarisasi Nasional
Pendekatan Kuantitatif, Kualitatif dan Indonesia SNI ISO/IEC 27001:2013
R&D. Alfa Beta: Bandung. Nomor 61/KEP/BSN/4/2016. Sistem
[13] Ariansyah, Edwin. 2016. Perancangan Manajemen Keamanan Informasi.
Sistem Informasi Tracking Pengiriman [21] Sarno, Riyanarto & Irsyat Iffano. 2009.
Barang Berbasis Web Pada PT Satu Sistem Manajemen Keamanan
Nusantara Abadi Jakarta Timur. Tugas Informasi Berbasis ISO 27001.
Akhir. STMIK Raharja. ITSPRESS: Bandung.

728
Jurnal Ilmiah SANTIKA Volume 8 No. 1 Juni 2018 p-ISSN 2088-5407
e-ISSN 2621-9001

[22] Christina, D. 2012. Asesmen Risiko


Berbasis SNI ISO/IEC 31000:2009.
Diunduh dari:
http://dianechristina.wordpress.com/20
12/10/22/asesmen-manajemen-risiko-
berbasis-iso-310002009/
[23] Cahyono Hadi M & Andi Rafiandi.
2010. Jurus Sukses Sertifikasi ISO
27001. Andita Publishing. Jakarta
[24] Tjiptardjo Mochamad. 2010. Kebijakan
Tata Kelola Teknologi Informasi Dan
Komunikasi Direktorat Jenderal Pajak
Nomor : PER-37/PJ/2010.
[25] Sekretariat Daerah Kota Sukabumi.
2012. Berita Daerah Kota Sukabumi :
Peraturan Walikota Sukabumi
(Kedudukan, Tugas Pokok, Fungsi, Dan
Tata Kerja Kantor Komunikasi Dan
Informatika Kota Sukabumi) No 50.
Bagian Hukum. Sukabumi.
[26] Sekretariat Daerah Kota Sukabumi.
2016. Berita Daerah Kota Sukabumi
Nomor 9 dan Nomor 44: Kedudukan,
Susunan Organisasi, tugas Pokok,
Fungsi, dan Tata Kerja Dinas
Komunikasi dan Informatika Kota
Sukabumi. Bagian Hukum. Sukabumi.
[27] Tim Direktorat Keamanan Informasi.
2011. Panduan Penerapan Tata Kelola
Keamanan Informasi Bagi
Penyelenggara Pelayanan Publik. Edisi
2.0. Kominfo

729