ABSTRAK
Analisis dilakukan pada Sistem Remmitance di PT.Pos Indonesia, bertujuan untuk mengetahui apakah keamanan fisik dan lingkungan, manajemen komunikasi dan operasi serta pengendalian akses sudah diterapkan dan sesuai dengan ISO 27001:2005. Teori yang digunakan dalam analisis ini adalah ISO 27001:2005 dan teori GAP analisis. Metode yang digunakan berdasarkan proses pada ISO 27001:2005 yaitu persiapan dokumen, memberikan kuesioner awareness, memberikan kuesioner compliant, menentukan action required, memberikan komentar, dan memberikan rekomendasi perbaikan dokumen. Teknik penelitian dilakukan dengan memberikan kuesioner, melakukan wawancara serta melakukan observasi secara langsung kepada pihak PT. Pos Indonesia. Hasil analisis adalah berupa kesesuaian proses saat ini dengan proses di dalam ISO 27001:2005, rekomendasi pengendalian proses agar sesuai dengan proses yang diambil dalam kegiatan analisis yaitu keamanan fisik dan lingkungan, manajemen komunikasi dan operasi dan pengendalian akses, serta referensi penulisan dokumen ISO 27001:2005 yaitu Policy, Procedure, Work Instruction, dan record Schedule.
ABSTRACT
This analysis have done on remmitance system at PT.Pos Indonesia have purpose to recognize whether physical and environtment, communication management and operational, also access control have already applied and suitable enough with ISO 27001:2005. The method in this analysis is not only with ISO 27001:2005 but also with GAP analysis theory. The method that have used ISO 27001:2005 which are including the preparation document, give awareness questionnaire this compliant questionnaire and give document correction recommendation. This research method have done with several methods : questionnaire, interview and also with direct observation with PT.Pos Indonesia. the result of this analysis is the form of current suitabillty process with the procedure in ISO 27001:2005, moreover the recommendation process control to suitable with the process that already taken from the analysis research activity specifically in physical and environment security, communication management and operation, afterward access control, including the reference from the document writing in ISO 27001:2005 which are includes policy, procedure, work instruction and recorded schedule.
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... ii
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii
PRAKATA ... iv
ABSTRAK ... vi
ABSTRACT ... vii
DAFTAR ISI ... viii
DAFTAR GAMBAR ... x
DAFTAR TABEL ... xi
DAFTAR LAMPIRAN ... xiv
DAFTAR SINGKATAN ... xv
BAB 1. PENDAHULUAN ... 1
1.1 Latar Belakang Masalah ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Kajian ... 3
1.5 Sumber Data ... 3
1.6 Sistematika Penyajian ... 3
BAB 2. KAJIAN TEORI ... 5
2.1 Definisi Sistem ... 5
2.2 Definisi Informasi ... 5
2.3 Definisi Sistem Informasi ... 5
2.4 Definisi Audit ... 6
2.4.1 Jenis-Jenis Audit ... 6
2.4.2 Instrument Audit ... 7
2.5 Keamanan Informasi ... 7
2.6 Manajemen Keamanan Informasi ... 9
2.7 Standar Sistem Manajemen Keamanan Informasi ... 11
2.9 Detail Struktur Dokumen Kontrol Keamanan ISO 27001 ... 13
2.10 Gap Analisis ... 40
2.11 Perhitungan Skala Likert ... 55
2.11.1 Penentuan Skor Jawaban ... 55
2.11.2 Skor Ideal ... 55
2.11.3 Rating Scale ... 56
2.11.4 Persentase Persetujuan ... 57
BAB 3. ANALISIS DAN EVALUASI ... 58
3.1 Sejarah PT Pos Indonesia ... 58
3.2 Visi dan Misi PT Pos Indonesia ... 59
3.3 Struktur organisasi ... 59
3.4 Fungsi dan Tujuan Aplikasi Remittance ... 60
3.5 Tahapan Dalam Menganalisis SMKI ... 60
3.5.1 Dokumen yang dibutuhkan dalam SMKI ... 61
3.5.2 Analisis Kuesioner Awareness ... 64
3.5.3 Analisis kuesioner compliant ... 64
3.5.4 Analisis action required ... 67
3.5.5 Analisis proses ISO 27001:2005 pada PT.Pos Indonesia ... 70
3.5.6 Evaluasi hasil analisis ... 129
3.5.7 Rekomendasi pengendalian proses ... 130
BAB 4. SIMPULAN DAN SARAN ... 140
4.1 Simpulan ... 140
4.2 Saran ... 141
DAFTAR GAMBAR
DAFTAR TABEL
Tabel 2.1 Detail dokumentasi ISO 27001 ... 13
Tabel 2.2 Contoh GAP Analisis ... 40
Tabel 2.3 Skala Jawaban ... 55
Tabel 2.4 Rumus Skor Ideal ... 56
Tabel 2.5 Ketentuan Skala ... 56
Tabel 3.1 Kesimpulan Kuesioner Awareness ... 64
Tabel 3.2 Kesimpulan kuesioner compliant ... 65
Tabel 3.3 Profile responden ... 67
Tabel 3.4 Perhitungan kuesioner action required... 68
Tabel 3.5 Batasan Parameter keamanan fisik ... 71
Tabel 3.6 Pengendalian entri yang bersifat fisik ... 72
Tabel 3.7 Pengamanan kantor, ruangan dan fasilitas ... 73
Tabel 3.8 Perlindungan terhadap ancaman dari luar dan lingkungan ... 74
Tabel 3.9 Bekerja di area yang aman... 75
Tabel 3.10 Area akses public dan bongkar muat ... 76
Tabel 3.11 Penempatan dan perlindungan peralatan ... 77
Tabel 3.12 Sarana pendukung ... 78
Tabel 3.13 Keamanan kabel ... 79
Tabel 3.14 Pemeliharaan peralatan ... 80
Tabel 3.15 Keamanan peralatan di luar lokasi ... 81
Tabel 3.16 Pembuangan dan penggunaan kembali peralatan secara aman 82 Tabel 3.17 Pemindahan Barang ... 83
Tabel 3.18 Dokumentasi prosedur operasional ... 84
Tabel 3.19 Manajemen perubahan ... 84
Tabel 3.20 Pemisahan tugas ... 85
Tabel 3.21 Pemisahan fasilitas pengembangan, pengujian dan operasional 86 Tabel 3.22 Pelayanan jasa ... 87
Tabel 3.23 Pemantauan dan pengkajian pihak ketiga ... 88
Tabel 3.24 Perubahan pegelolaan terhadap jasa ketiga ... 89
Tabel 3.26 Keberterimaan sistem ... 90
Tabel 3.27 Pengendalian terhadap malicious code ... 91
Tabel 3.28 Pengendalian terhadap mobile code ... 92
Tabel 3.29 Back-Up indormasi ... 93
Tabel 3.30 Pengendalian jaringan ... 94
Tabel 3.31 Keamanan layanan jaringan ... 95
Tabel 3.32 Manajemen media yang dapat dipindahkan ... 95
Tabel 3.33 Pemusnahan media ... 96
Tabel 3.34 Prosedur penanganan informasi ... 97
Tabel 3.35 Keamanan dokumentasi sistem ... 98
Tabel 3.36 kebijakan dan prosedur pertukaran informasi ... 99
Tabel 3.37 Perjanjian pertukaran ... 100
Tabel 3.38 Media fisik dalam transit ... 101
Tabel 3.39 Pesan electronic ... 101
Tabel 3.40 Sistem informasi bisnis ... 102
Tabel 3.41 Electronic commerce ... 103
Tabel 3.42 Transaksi online ... 104
Tabel 3.43 informasi yang tersedia untuk umum ... 105
Tabel 3.44 Log audit ... 106
Tabel 3.45 Pemantauan penggunaan sistem ... 106
Tabel 3.46 Perlindungan informasi log ... 107
Tabel 3.47 Log administrator dan operator ... 108
Tabel 3.48 Log atas kesalahan yang terjadi ... 108
Tabel 3.49 Sinkronisasi penunjuk waktu ... 109
Tabel 3.50 Kebijakan pengendalian akses ... 110
Tabel 3.51 Pendaftaran pengguna ... 111
Tabel 3.52 Manajemen hak akses ... 111
Tabel 3.53 Manajemen password pengguna ... 112
Tabel 3.54 Tinjauan hak akses pengguna ... 113
Tabel 3.55 Penggunaan password ... 114
Tabel 3.56 Peralatan yang ditinggal oleh penggunanya ... 115
Tabel 3.58 Kebijakan penggunaan layanan jaringan ... 116
Tabel 3.59 Otentikasi pengguna untuk koneksi eksternal ... 117
Tabel 3.60 Identifikasi peralatan dalam jaringan ... 118
Tabel 3.61 Perlindungan terhadap remote diagnostic dan configuration port119 Tabel 3.62 Segregasi dalam jaringan ... 119
Tabel 3.63 Pengendalian koneksi jaringan ... 120
Tabel 3.64 Pengendalian routing jaringan ... 121
Tabel 3.65 Prosedur log on yang aman ... 122
Tabel 3.66 identifikasi dan otentikasi pengguna ... 123
Tabel 3.67 Sistem manajemen password ... 123
Tabel 3.68 Pengguna sistem utilities ... 124
Tabel 3.69 Sesi time out ... 125
Tabel 3.70 Pembatasan waktu konesi... 126
Tabel 3.71 Pembatasan akses informasi ... 126
Tabel 3.72 Isolasi sistem yang sensitive ... 127
Tabel 3.73 Mobile computing dan komunikasi ... 128
DAFTAR LAMPIRAN
LAMPIRAN A. Standarisasi pengujian untuk jaminan perangkat lunak ... 146
LAMPIRAN B. Pengendalian hak akses ... 148
LAMPIRAN C. Struktur organisasi ... 156
LAMPIRAN D. Tentang Back-up , pelabelan dan penghapusan ... 157
LAMPIRAN E. Tentang penggunaan sumber data ... 161
LAMPIRAN F. Penanggulangan dampak bencana terhadap infrastruktur data center di PT.Pos Indonesia ... 167
LAMPIRAN G. Tata cara penanganan password... 172
LAMPIRAN H. Penerapan sistem keamanan informasi ... 175
LAMPIRAN I. Juklak Sistem Pos Remmitance ... 192
LAMPIRAN J. Juknis IEMO 290312 ... 246
LAMPIRAN K. Pengembangan sistem ... 256
LAMPIRAN L. Organisasi dan tata kerja ... 263
LAMPIRAN M. Bagan Dokumentasi ISO27001 ISMS ... 269
LAMPIRAN N. Hasil wawancara ... 270
LAMPIRAN O. Kuesioner Awareness ... 283
LAMPIRAN P. Kuesioner Compliant ... 289
LAMPIRAN Q. Rekapan isian kuesioner Compliant... 298
LAMPIRAN R. Dokumentasi Foto ... 307
LAMPIRAN S. Clear desk and clear screen ... 318
LAMPIRAN T. Penulisan Document Policy ... 320
LAMPIRAN U. Referensi Penulisan Document Procedure ... 323
LAMPIRAN V. Rekomendasi Penuslisan Document WORK INTRUCTION 333 LAMPIRAN W. Referensi Penulisan Document Record Schedule ... 340
LAMPIRAN X Rekapan Kuesioner Awareness ... 343
DAFTAR SINGKATAN
CIA Confidentially, Integrity, Availability
EISP Enterprise Information Security Policy
ISO International Organization For Standarization
ISMS Information Security Management System
ISSP Issue-Spesific Security
Juklak Petunjuk Pelaksana PDCA Plan, Do, Check, Act
PKS Perjanjian Kerjasama Prantek Perencana Teknologi
PT Perseroan Terbatas
SIM Sistem Informasi Manajemen
SMKI Sistem Manajemen Keamanan Informasi SNI Standar Nasional Indonesia
SSP System-Spesific Policy
BAB 1.
PENDAHULUAN
1.1 Latar Belakang Masalah
PT. POS Indonesia merupakan salah satu perusahaan BUMN terbesar di Indonesia yang bergerak dalam bidang layanan jasa telekomunikasi pos dan giro. PT POS Indonesia memerlukan sumber daya manusia yang memenuhi syarat, baik kualitas maupun kuantitas. PT. POS Indonesia memiliki seluruh cabang diseluruh bagian Indonesia. PT. POS Indonesia yang berada di wilayah Bandung memiliki beberapa kantor pusat. Selain itu, PT. POS Indonesia juga memiliki beberapa kantor cabang kecil yang tersebar hampir di seluruh Indonesia. Dewasa ini, bisnis PT. POS Indonesia tidak hanya melayani pengiriman surat, uang, dan yang lainnya. PT. POS Indonesia juga melayani pembayaran kredit kendaraan, penukaran mata uang dan yang lainnya.
Seiring dengan kemajuan teknologi dan persaingan pasar yang semakin ketat, saat ini PT Pos Indonesia sebagai institusi bisnis dituntut harus dapat mengelola pengiriman uang yang disediakan oleh perusahaan agar berjalan dengan baik. Remittance merupakan sarana yang di sediakan oleh perusahaan yang memberikan kemudahan konsumen dapan mengirimkan sejumlah uang kepada orang yang dituju. Remittance memegang peranan yang penting dalam badan bisnis seperti PT. Pos.
Pengelolaan keamanan sistem informasi merupakan hal yang penting karena berfungsi untuk memenuhi kriteria CIA (Confidentially, Integrity,
Availability). Confidentially adalah kemampuan perusahaan untuk menjaga
kerahasian data perusahaan, Integrity adalah kemampuan perusahaan untuk menjaga integritas data perusahaan, dan Availabiltiy adalah ketersediaan
software dan hardware untuk memenuhi kebutuhan sistem remittance.
2
ISO 27001:2005 adalah metodologi sistem keamanan informasi yang diakui secara internasional.
1.2 Rumusan Masalah
Berdasarkan latar belakang yang telah dibahas diatas, maka rumusan masalah dalam Tugas Akhir ini adalah sebagai berikut :
1. Standarisasi keamanan sistem informasi apa yang dipakai dalam analisis yang dilakukan pada Sistem remittance PT. Pos Indonesia?
2. Apakah penerapan keamanan fisik dan lingkungan sudah dikelola dengan baik oleh Sistem remittance PT. Pos Indonesia ?
3. Apakah manajemen komunikasi dan operasi sudah dikelola dengan baik oleh Sistem remittance PT. Pos Indonesia?
4. Apakah pengendalian akses sudah dikelola dengan baik oleh Sistem
remittace PT. Pos Indonesia?
1.3 Tujuan Pembahasan
Berdasarkan rumusan masalah pada bagian 1.2, maka tujuan pembahasan ini adalah sebagai berikut :
1. Melakukan analisis Sistem remittance pada PT. Pos Indonesia berbasis ISO 27001:2005.
2. Untuk mengetahui penerapan keamanan fisik dan lingkungan pada Sistem remittance PT. Pos Indonesia.
3. Untuk mengetahui penerapan manajemen komunikasi dan operasi pada Sistem remittance PT. Pos Indonesia.
3
1.4 Ruang Lingkup Kajian
Berdasarkan rumusan masalah pada bagian 1.2 dan tujuan pembahasan pada bagian 1.3 maka ruang lingkup yang akan digunakan adalah sebagai berikut :
1. Analisis akan dilakukan pada sistem remittance PT. Pos Indonesia. 2. Pembahasan akan mengacu pada penggunaan ISO 27001:2005. 3. Menggunakan 3 kontrol yang terdapat di dalam ISO 27001:2005, yaitu:
• Keamanan fisik dan lingkungan • Manajemen komunikasi dan operasi • Pengendalian akses
1.5 Sumber Data
Sumber data yang akan digunakan dalam pengerjaan tugas akhir ini berasal :
1. Data Primer
Data primer didapat dari data dan informasi yang diperoleh dari hasil wawancara, kuesioner dan observasi langsung pada PT. Pos. Wawancara akan dilakukan terhadap 1 responden, kuesioner awareness akan diberikan kepada 3 responden dan kuesioner compliant diberikan kepada 8 responden..
2. Data Sekunder
Data sekunder didapat dari internet, buku petunjuk teknis dan buku literatur yang berasal dari perpustakaan.
1.6 Sistematika Penyajian
BAB 1 PENDAHULUAN
4
BAB 2 KAJIAN TEORI
Membahas dasar teori yang akan digunakan dalam menganalisis sistem informasi.
BAB 3 ANALISIS DAN EVALUASI
Membahas mengenai hasil analisa yang telah dilakukan di perusahaan dan apakah sistem yang digunakan oleh perusahaan sesuai dengan standar ISO 27001.
BAB 4 SIMPULAN DAN SARAN
BAB 4.
SIMPULAN DAN SARAN
4.1 Simpulan
Simpulan yang dapat diambil dari hasil analisis berdasarkan kontrol area yang diambil dari ISO 27001:2005 yaitu keamanan fisik dan lingkungan, manajemen komunikasi dan operasi dan pengendalian akses yang dibahas pada BAB 3 adalah sebagai berikut:
1. Analisis manajemen keamanan sistem informasi remittance di PT Pos Indonesia menggunakan metode ISO27001:2005 dan menggunakan 3 kontrol yaitu keamanan fisik dan lingkungan, manajemen komunikasi dan operasi serta pengendalian akses. 2. PT. Pos Indonesia sudah cukup memahami proses-proses dalam
keamanan fisik dan lingkungan, hal tersebut dapat dilihat dari adanya dokumen-dokumen yang membahas keamanan fisik dan lingkungan dan dokumentasi keamanan fisik dan lingkungan sudah disetujui oleh manajemen yang bersangkutan, tapi dalam beberapa penerapannya belum sepenuhnya berjalan dengan baik di seluruh devisi. Dari hasil analisis dapat disimpulkan bahwa GAP kesesuaian antara proses di PT. Pos Indonesia dan proses ISO 27001:2005 mengenai kebijakan keamanan fisik dan lingkungan cukup besar.
141
bahwa GAP kesesuain proses di PT. Pos Indonesia dengan proses ISO 27001:2005 mengenai kebijakan keamanan komunikasi dan operasi cukup kecil sehingga diperlukan perbaikan atau perubahan.
4. PT. Pos Indonesia sudah memahami dan menjalankan pengendalian akses terhadap akses pekerja atau akses pihak ketiga, hal tersebut dapat dilihat dari adanya dokumentasi mengenai pengendalian akses di PT. Pos Indonesia. Namun ada beberapa prosedur atau pengendalian yang belum dikendalikan seperti kerja jarak jauh, mobile computing dan komunikasi. Berdasarkan analisis diatas maka dapat disimpulkan bahwa GAP kesesuaian antara proses di PT. Pos Indonesia saat ini dengan proses ISO 27001:2005 masih cukup kecil maka diperlukan perbaikan mengenai kebijakan pengendalian akses.
4.2 Saran
Penerapan SMKI (Sistem Manajemen Keamanan Informasi) pada PT. Pos Indonesia dapat mengacu pada persyaratan standarisasi sesuai dengan ketentuan pada SMKI ISO 27001:2005 sebagai implementasinya. Untuk itu aspek keamanan harus memenuhi kriteria CIA (confidentially, integrity,
availability). Untuk mencapai aspek tersebut maka perlu diperhatikan
beberapa hal yang penting yaitu adanya kontrol, monitoring, auditing, dan pemahaman tentang dampak dan ancaman pada PT. Pos Indonesia. Kontrol pada pokok masalah yang diambil adalah keamanan fisik dan lingkungan, manajemen komunikasi dan operasi dan pengendalian akses. Berikut ini adalah saran dari hasil analisis yang dilakukan pada BAB 3. Referensi penulisan dokumen ISO 27001:2005 dapat dilihat pada lampiran P untuk
Policy, lampiran U untuk Procedure, lampiran V untuk Work Instruction, dan
lampiran W untuk Record Schedule.
142
sasaran dan rencana terkait pengembangan (development), penerapan (implementation), dan peningkatan (improvement) sistem manajemen keamanan informasi. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil:
A. Internet Acceptable Usage Policy (Doc 7.2) B. Mallcious Code Policy (Doc 10.11)
C. Access Control Policy(Doc 11.1)
D. Network Access Policy(Doc 11.7)
2. Pembuatan prosedur dan panduan ini dikembangkan secara internal oleh PT. Pos Indonesia sebagai penyelenggara publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen ini bersifat operasional. Berikut ini adalah dokumen yang sesuai dengan kontrol yang diambil :
A. External Parties (Doc 6.8) B. Rules for e-mailusage(doc 7.3)
C. Information Security Classification(Doc 7.6) D. Telecommunications reqts(Doc 7.11)
E. Physical Entry Controls(Doc 9.8)
F. Equipment Sy(Doc 9.10)
G. Disposals of info eqpt, devices and media(Doc.9.11)
H. Loading and Unloading(Doc 9.9)
I. Off-site Removals Authorisaltions(Doc 9.12)
J. Documenting Operating Procedure(Doc 10.1)
K. Change Control Procedure(Doc 10.7)
L. Separation of operational, test and development
environments(Doc 10.8)
M. System Planning and Acceptance(Doc 10.10)
N. Malicious Code Procedure(Doc 10.12)
O. Back-Up(Doc 10.13)
143
Q. Media Handling(Doc 10.15)
R. Business Information Systems(Doc 10.16)
S. Monitoring(Doc 10.18)
T. E-Commenrce(Doc 10.17)
U. User Acess Rights(Doc 11.2)
V. User Registration(Doc 11.3)
W. Teleworkers Procedure(Doc 11.12)
X. Mobile Computing(Doc 11.11)
Y. Access Control Procedure(Doc 11.8)
Z. Secure Log-On(Doc 11.9)
AA. System Utilities(Doc 11.10)
BB. Control Of Cryplograpic Keys(Doc 12.2)
3. Pembuatan dokumen petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis. Berikut dokumen yang seduai dengan kontrol yang di ambil :
A. Fire Doors WI(Doc 9.1) B. Fire Alarms Wi(Doc 9.2) C. Burglar Alarms WI(Doc 9.3)
D. Fire Suppression eqpt WI(Doc 9.4) E. Air conditioning WI(Doc 9.5)
F. Reception Management WI(Doc 9.6)
G. Physycal Perimeter Security Cheklist(Doc 9.7)
H. Notebook Configuration WI(Doc 9.13)
I. Anti Malware WI(Doc 10.2)
J. User Name Admin WI(Doc 10.3)
K. Website tems WI(Doc 10.5)
L. Privacy statements WI (Doc 10.4)
M. Administrator Logging (REC 10.6)
N. Audit Logging Schedule(REC 10.6)
144
Q. User Afreement(Doc 11.4)
4. Dokumen Record Schedule berisi bukti objektif yang menunjukan seberapa baik kegiatan yang dilakukan atau apa hasil benar-benar tercapai. Berikut dokumen yang dapat menjadi acuan:
A. Off-Site Removals Request Log(REC 10.1)
B. Disposal Log(REC 9.1)
C. Change Request Log( REC 10.2)
D. Change Request WI(REC 10.3)
E. Teleworker Checklist(REC 11.3)
F. Replacement Passwords(REC 11.1)
DAFTAR PUSTAKA
[1] J. M. Hartono, Analisis dan Desain Sistem Informasi, Yogyakarta, Central Java: Andi, 2000.
[2] J. O'Brien, Management Information Systems, 2005.
[3] L. D. B. K. C. D. Jeffrey L. Whitten, Systems Analysis and Desaign Method, USA: Mcgraw-Hill, 2004.
[4] A.-B. b. Ladjamudin, Analisis dan Desain Sistem Informasi, Yogyakarta: Graha Ilmu, 2005.
[5] Krismiaji, Sistem Informasi Akunansi, Jakarta, 2005.
[6] S. Tata Sutabri, Sistem Informasi Manajemen, Yogyakarta: Andi, 2005. [7] A. Sukrisno, Auditing(Pemeriksaan Akuntan), Jakarta: Kantor Akuntan,
2004.
[8] A. d. L. J. A.A., Auditing: Pendekatan Terpadu Buku 1 dan 2 (Edisi ke-3), jakarta: Salemba empat, 2003.
[9] B. Raharjo, Laporan Keuangan perusahaan, Jakarta: Erlangga, 2006. [10] I. 27001, information technology-security techniques-information security
management systems-requirements, Badan Standar Nasional, 2009. [11] Sugiono, Metode Penelitian Kuantitatif, Kualitatif, dan R&D, Bandung: