Kerangka untuk Tata Kelola Keamanan Informasi
di Sektor publik
Ayodya Dewangga Sasotya Rahmadita
Fakultas Pasca Sarjana, Program Studi Magister Teknik Elektro, Universitas Mercu Buana
Jl. Menteng Raya No. 29. Menteng, Daerah Khusus Ibukota Jakarta
Dosen : DR Ir Iwan Krisnadi MBA
Abstrak
Perkembangan teknologi informasi yang pesat saat ini, turut berimbas kepada penggunaan
teknologi informasi di sektor publik. Sayangnya masalah keamanan informasi yang
merupakan bagian penting dari teknologi informasi, sering kali kurang mendapatkan
perhatian. Tidak dapat dipungkiri, bahwa munculnya ancaman ataupun kelemahan dalam
teknologi informasi dapat mengganggu jalannya kegiatan pelayanan yang menggunakan
teknologi informasi. Oleh karena itu, diperlukan pengelolaan teknologi informasi berbasis
risiko, yang dituangkan dalam tata kelola untuk mengelola ancaman ataupun kelemahan yang
muncul di sektor publik. Makalah ini, menyoroti aset informasi dan ancaman potensial di
sektor publik. Dengan membandingkan unsur-unsur dari kerangka kerja tata kelola keamanan
informasi yang umum digunakan, standar dan praktik terbaik. Makalah ini mengusulkan
kerangka awal, untuk mengatur keamanan informasi di sektor publik. Kerangka tersebut
dikategorikan menjadi empat kriteria, yaitu; kriteria IT Governance, kriteria Tata Kelola
Perusahaan, kriteria keamanan dan kesesuaian sektor publik.
Kata Kunci: Tata Kelola Keamanan Informasi, Tata Kelola Keamanan Informasi di Sektor
Publik, A practical guide to implement and control Information Security Governance,
Business Software Alliance, Information security policy: An organizational-level process
model, Information Security Governance (Von Solms), ISACA, ISO/IEC Standards, ITGI,
I. PENDAHULUAN
Perkembangan teknologi informasi telah
begitu eksplosif dalam dekade terakhir.
Komputer telah banyak diterapkan dalam
setiap aspek kehidupan mulai dari kegiatan
bisnis, pemerintah, pendidikan, keuangan,
kesehatan, militer, maupun kedirgantaraan.
Dengan meningkatnya ketergantungan
masyarakat pada teknologi informasi (TI),
konsekuensi dari kejahatan komputer bisa
sangat serius [1]. Menurut laporan yang
dikeluarkan oleh BSA tahun 2015,
Indonesia belum mempunyai kebijakan
dan strategi yang memadai terkait cyber
security [2]. Menurut Laporan Symantec
melalui Internet Security Threat Report,
peringkat global keseluruhan Indonesia
untuk kode berbahaya naik dari peringkat
ke-7 pada tahun 2014 menjadi peringkat
ke-5 pada tahun 2015 [3]. Hal ini terjadi
akibat pertumbuhan ekonomi Indonesia
yang terus meningkat dan manufaktur
menjadi salah satu pendorong utama
pertumbuhan GDP Indonesia pada tahun
2015 [3]. Tidak mengherankan jika
penjahat cyber menargetkan pasar ini
karena pertumbuhan positif tersebut dilihat
sebagai peluang untuk menyebar lebih
banyak ancaman [3]. Bisa dilihat dari
sekitar 100 juta smartphone yang
dikapalkan di Asia, 29 persennya terjual di
pasar Indonesia [3]. Menurut catatan
FireEye, perusahaan keamanan teknologi,
malware yang paling banyak digunakan
untuk menyerang adalah Gh0stRat
(41.67%), DarkComet (25%), dan Mirage
(16%) [4]. Indonesia dengan tingkat
ancaman 40% memang lebih sedikit lebih
rendah dibandingkan Singapura (41%),
akan tetapi ancaman ini tetap di atas
rata-rata global yakni 36%," kata Bryce
Boland, Vice President & Chief
Technology Officer FireEye Asia Pacific
di Hotel Shangrila, Jakarta, Selasa
(19/8/2014) [4]. Khusus untuk malware
Gh0stRat dan DarkComet ini, menurut
Boland, sering digunakan sebagai
perangkat kriminal untuk mencuri data
perbankan. Perangkat gratisan ini mudah
diakses dan dapat juga digunakan untuk
menyembunyikan asal penyerang [4].
Malware ini secara signifikan menyerang
layanan bisnis dan consulting, sektor jasa,
pemerintah, dan teknologi tinggi adalah
yang paling sering disasar oleh serangan
cyber ini [4]. Untuk saat ini, ada beberapa
kerangka kerja tata kelola keamanan
informasi, telah dikembangkan dan
dipraktekkan secara luas di negara-negara
maju seperti Amerika Serikat dan Eropa,
tetapi masing-masing dari mereka
memiliki kelebihan dan kelemahan sendiri
(Council III, 2006) [5]. Umumnya, itu
harus disesuaikan agar sesuai dengan
struktur organisasi dan lingkungan
(Akhmad Syakhroza, 2003) [6]. Oleh
mengisi kesenjangan penelitian ini.
Makalah ini disusun dalam lima bagian.
Bagian pertama memperkenalkan latar
belakang. Bagian kedua menjelaskan
mengenai tinjauan pustaka mengenai tata
kelola keamanan informasi di sektor
publik. Bagian ketiga membahas umum
digunakan kerangka kerja tata kelola
keamanan informasi dan perbandingannya.
Bagian empat membahas kerangka tata
kelola keamanan informasi yang diusulkan
di sektor publik. Dan yang terakhir
mengenai kesimpulan.
II. TINJAUAN PUSTAKA
Tata Kelola Keamanan Informasi di
Sektor publik
Akademisi dan praktisi memiliki beberapa
definisi mengenai tata kelola keamanan
informasi (Rastogi dan Von Solms, 2006)
[7]. Moulton dan Cole (2003)
mendefinisikan bahwa tata kelola
keamanan informasi adalah pembentukan
dan pemeliharaan lingkungan
pengendalian untuk mengelola risiko yang
berkaitan dengan kerahasiaan, integritas
dan ketersediaan informasi dan proses
pendukungnya dan sistem [8]. Harris
(2006) mendefinisikan bahwa tata kelola
keamanan informasi adalah memastikan
semua alat, personil dan proses bisnis telah
memenuhi kebutuhan spesifik organisasi
[9]. Hal ini membutuhkan struktur
organisasi, peran dan tanggung jawab,
pengukuran kinerja, menetapkan tugas dan
mekanisme pengawasan [9]. Tata kelola
keamanan informasi adalah himpunan
tanggung jawab dan praktek yang
dilakukan oleh dewan dan manajemen
eksekutif dengan tujuan memberikan
arahan strategis, memastikan bahwa tujuan
tercapai, memastikan bahwa risiko
dikelola secara tepat dan memverifikasi
bahwa sumber daya perusahaan itu
digunakan secara bertanggung jawab [9].
Tujuan utama pelaksanaan tata kelola
keamanan informasi adalah untuk
melindungi aset yang paling berharga dari
sebuah organisasi. Identifikasi aset
informasi perusahaan merupakan faktor
penentu keberhasilan untuk implementasi
yang efisien dan efektif dari keamanan
informasi di perusahaan (Institute
Governance IT, 2001; Deloitte Touche
Tohmatsu, 2003) [10]. Menurut
Kementerian Komunikasi dan Informatika
RI pada Panduan Penerapan Tata Kelola
Keamanan Informasi bagi Penyelenggara
Pelayanan Publik [11], aset yang dicakup
meliputi, tetapi tidak terbatas pada:
Data dan Informasi: dokumen pengadaan dan kontrak, data
pelanggan, data gaji, data
karyawan, sistem dokumentasi
manajemen, dokumen teknis dan
konfigurasi jaringan, hasil
prosedur operasional, business
continuity plan, dan hasil audit;
Software: software aplikasi, operating system, development
tool, dan software tool (antivirus,
Perangkat Jaringan Komunikasi: Router, Modem, Switch, Kabel,
Firewall
Fasilitas Pendukung: Ruang Server / Ruang Data Center, Ruang Kerja,
Ruang Disaster Recovery Center
(DRC), UPS, Genset, A/C/ CCTV,
Fire Extinguisher, Access Door
Electronic, dan sebagainya;
Sumber Daya Manusia: karyawan tetap, calon karyawan tetap,
karyawan kontrak, mitra, vendor
dan pihak ketiga lainnya yang
menyediakan layanan, jasa, serta
produk yang menunjang bisnis
Instansi penyelenggara layanan
publik.
Panduan tersebut juga merekomendasikan
untuk diterapkan di lingkungan
penyelenggaraan pelayanan publik yang
meliputi [11]:
Penyelenggara pelayanan publik lainnya
Setelah diklasifikasikan aset informasi
bagian berikutnya membahas kerangka
kerja tata kelola keamanan informasi
umum digunakan, standar, praktek terbaik
dan pedoman.
Kerangka Tata Kelola Keamanan
Informasi
Pada referensi, Rastogi dan von Solms
(2006) menjelaskan bahwa tata kelola
keamanan informasi terdiri dari struktur,
hubungan dan proses; bimbingan yang ada
yang menyediakan kerangka kerja untuk
melaksanakan tata kelola keamanan
informasi [7]. Dalam referensi, Analisis
komparatif dari Kerangka Tata Kelola
Keamanan Informasi: Pendekatan Sektor
Publik, mengusulkan 9 kerangka untuk tata
kelola keamanan informasi untuk sektor
publik seperti A practical guide to
implement and control Information
Security Governance, siness Software
Alliance, Information security policy: An
organizational-level process model,
Information Security Governance (Von
Solms), ISACA, ISO/IEC Standards, ITGI,
NIST, dan Software Engineering Institute
melihat ke dalam kerangka tata keamanan
informasi yang disebutkan yaitu:
A practical guide to implement and
control Information Security
Governance
Refensi sebelumnya mengusulkan
kerangka kerja untuk melaksanakan tata
kelola keamanan informasi. Hal ini
berfokus pada memilih metrik dan
indikator untuk melacak evolusi keamanan
informasi, dan juga pada mengukur tingkat
kematangan keamanan informasi dalam
organisasi [12]. Pendekatan ini
menganggap integrasi indikator tata kelola
perusahaan, seperti Balance Scorecard,
dengan IT dan governance keamanan
praktik terbaik, seperti yang termasuk
dalam COBIT dan ISO / IEC 17799 [12].
Business Software Alliance
Business Software Alliance
merekomendasikan mengadopsi praktik
terbaik dan prosedur standar seperti ISO /
IEC 17799 (kemudian dimasukkan dalam
ISO / IEC 27000 series). Satuan Tugas
mengusulkan kerangka kerja di mana
masing-masing peran manajemen tahu apa
fungsinya, bagaimana untuk mencapai
tujuan dan bagaimana mengukur dan
mengaudit kegiatan yang dilakukan [12].
Information security policy: An
organizational-level process model
Pada referensi (Knapp et al., 2009)
berfokus pada sisi kebijakan tata kelola
keamanan informasi. Mengikuti
pendekatan yang berbeda dari penelitian
lain, menggunakan metodologi
pengumpulan data dari para ahli keamanan
dan beberapa wawancara dan kuesioner
dengan profesional keamanan. Hasilnya
adalah model kebijakan keamanan
informasi berdasarkan serangkaian proses
yang saling terkait yang dapat
diimplementasikan dalam siklus berulang.
Mirip dengan referensi pemerintahan
lainnya, mempertimbangkan dampak dari
pengaruh eksternal dan internal, serta
peran tata kelola perusahaan. Juga, ada
penekanan besar pada pelatihan dan
kesadaran kebijakan dikembangkan
melalui seluruh siklus [13].
Information Security Governance (Von
Solms)
Pada referensi (Posthumus dan Solms,
2004), mengapa keamanan informasi harus
dianggap sebagai masalah tata kelola
perusahaan. Mereka mengusulkan
kerangka kerja keamanan informasi
dengan jelas membedakan antara tata
kelola dan sisi manajemen. memberikan
Informasi Manajemen Keamanan, sebagai
bagian dari tata kelola perusahaan; dan
menjelaskan tugas, peran dan tanggung
jawab setiap individu kunci dalam sebuah
organisasi [14].
ISACA
The Information Systems Audit and
Control Association (ISACA) telah
mengusulkan, di mana mereka
menentukan model generik untuk
mengatasi Keamanan Informasi dalam
sebuah perusahaan [15].
ISO/IEC Standards
The International Organization for
Standardization (ISO) Di antaranya, ISO /
IEC 27000 series didedikasikan untuk
Sistem Informasi Manajemen Keamanan,
yang dapat digunakan oleh organisasi
untuk mengembangkan dan menerapkan
kerangka kerja untuk mengelola keamanan
aset informasi mereka dan mempersiapkan
diri untuk diterapkan pada perlindungan
informasi mereka. Standar ini memberikan
panduan untuk melindungi aset informasi
melalui mendefinisikan, mencapai,
mempertahankan, dan meningkatkan
keamanan informasi; apa yang dicapai
menerapkan kontrol yang sesuai dan
mengantisipasi risiko keamanan informasi
[16].
ITGI
IT Governance Institute (ITGI), didirikan
pada tahun 1998 oleh ISACA berfokus
pada tata kelola TI dan topik terkait dan
telah mengembangkan COBIT (ITGI,
2007), yang merupakan kerangka kerja
untuk IT Governance [17]
NIST
The National Institute of Standards and
Technology (NIST), adalah sebuah
lembaga dari Departemen Perdagangan
Amerika Serikat yang telah menerbitkan
banyak pedoman terkait dengan Keamanan
Informasi [18]
Software Engineering Institute
The Software Engineering Institute, dari
Carnegie Mellon University, telah
menerbitkan panduan (Allen dan Westby,
2007), sebagai bagian dari (CERT)
Computer Emergency Response Team.
panduan ini mendefinisikan tata kelola
untuk keamanan perusahaan dan apa
karakteristik tata kelola keamanan
dapat membedakan antara pemerintahan
keamanan yang efektif dan tidak efektif
[19].
III. METODOLOGI
Bagian ini berisi analisis komparatif yang
paling relevan dengan tata kelola
keamanan informasi di sektor publik yang
telah dijelaskan sebelumnya. Tidak adanya
suatu standar kerangka kerja untuk
membandingkan jenis kerangka tata kelola
keamanan informasi sehingga
menggunakan seperangkat kriteria dari
berbagai bidang penelitian yang penulis
dapatkan pada referensi sebelumnya [12].
Kriteria tersebut dipilih dengan
mempertimbangkan berbagai macam
kerangka tata kelola keamanan informasi
di sektor publik yang ada seperti Kriteria
IT Governance, Kriteria Tata Kelola
Perusahaan, Security Criteria dan Public
Sector Suitability [12].
Kriteria IT Governance
Beberapa referensi menunjukkan bahwa
ada banyak definisi mengenai IT
Governance. Seperti pada (Webb et al.,
2006) dan (Dahlberg dan Kivijärvi, 2006)
menganalisis lebih dari selusin definisi dan
menyoroti lima unsur, yang menyediakan
dasar-dasar IT Governance. Unsur-unsur
ini adalah [20]:
Alignment Strategis: keamanan informasi harus selaras dengan
strategi bisnis terhadap tujuan
organisasi.
Manfaat nilai bisnis melalui IT: adanya manfaat dari optimalisasi
investasi keamanan.
Manajemen kinerja: pemantauan strategi keamanan untuk
memastikan mencapai tujuan
organisasi dalam waktu tertentu.
Manajemen Risiko: kesadaran risiko keamanan, mengidentifikasi
ancaman, kerentanan dan dampak
untuk mengontrol dan mengurangi
risiko secara keseluruhan.
Kontrol dan Akuntabilitas: setiap orang dalam organisasi harus
terlibat dalam kontrol keamanan
dan harus tahu tanggung jawab
dalam kerangka tata kelola
keamanan yang telah didefinisikan.
Kriteria Tata Kelola Perusahaan
Sebagai bagian dari Corporate
Governance, domain berikut diambil dari
referensi (Simonsson dan Johnson, 2006)
dengan mempertimbangkan [21]:
Tujuan: keputusan strategi, pengembangan kebijakan
keamanan informasi dan pedoman,
dan kontrol untuk memantau
Proses: pelaksanaan dan pengelolaan proseskeamanan
informasi, dengan kegiatan dan
prosedur yang terkait.
Orang: struktur dalam organisasi; mendefinisikan peran dan tanggung
jawab para pemangku kepentingan.
Teknologi: hubungan antara Keamanan Informasi Pemerintahan
dan aset TI.
Kriteria Keamanan
Tata Kelola Keamanan Informasi jelas
berkaitan dengan bidang Keamanan
Informasi, sehingga satu set kriteria
keamanan telah dipilih:
Standar integrasi: beberapa proposal mengacu pada kontrol dan
praktik terbaik termasuk dalam
standar keamanan seperti ISO/IEC
27000 series
Informasi Manajemen Keamanan: kebijakan dan prosedur yang
ditetapkan di sisi governance dapat
dikaitkan dengan manajemen dan
sisi operasi keamanan informasi.
Alat dan teknik: biasanya kerangka memanfaatkan alat untuk
memfasilitasi pelaksanaannya,
seperti metrik untuk mengukur
tingkat kepatuhan atau jatuh tempo
model untuk memungkinkan
pembandingan antara organisasi
Pedoman implementasi praktis: pendekatan teoritis dapat
dibedakan dari yang praktis; yang
merinci kegiatan pelaksanaan,
termasuk studi kasus dan bahkan
contoh-contoh praktis.
Kesesuaian Sektor Publik
Meskipun setiap kerangka tata kelola
keamanan informasi diidentifikasi dapat
disesuaikan dengan sektor publik,
beberapa diantaranya membuat mereka
lebih cocok untuk sektor publik. kekhasan
ini berkisar dari kepatuhan terhadap
hukum tertentu, kebijakan dan peraturan
untuk persyaratan berasal dari beberapa
badan pemerintah. lembaga-lembaga
publik perlu mempertimbangkan
keamanan di luar aspek teknis dalam
empat domain: sosial, politik, budaya dan
hukum (Wimmer dan Bredow, 2002).
Kriteria keempat ini mengevaluasi domain
tersebut sehingga dapat membantu dalam
keputusan, menghindari upaya yang tidak
perlu dalam menyesuaikan kerangka tata
IV. PEMBAHASAN
Dari sembilan kerangka tata kelola
keamanan informasi yang telah ditentukan
sebelumnya disajikan dalam Bab 2. Hasil
diringkas dalam Tabel 1, yang telah
ditetapkan secara tiga tingkat (tinggi,
sedang dan rendah) untuk masing-masing
kriteria. Hasil tabel dapat dianalisis dari
dua perspektif yang berbeda. Di satu sisi,
horizontal, beberapa kriteria yang
diusulkan lebih luas atas kerangka tata
kelola keamanan informasi daripada yang
lain. Di antaranya kriteria pemerintahan,
hampir semua kerangka memenuhi kriteria
keselarasan strategis, manajemen risiko,
tujuan dan proses; Namun, pengiriman
nilai bisnis melalui IT hanya terdapat pada
Institut IT Governance di Val IT
Framework (ITGI, 2008a), dan hubungan
teknologi dengan fisik IT jarang
dipertimbangkan. Di sisi lain, secara
vertikal, tiga dari kerangka tata kelola
keamanan informasi tampaknya lebih
selaras dengan kelompok kriteria dan
dapat dianggap sebagai titik acuan awal.
Yaitu: IT Governance Institute berfokus
pada IT Governance, ISACA terutama
terkait dengan Corporate Governance, dan
Standar ISO berurusan terutama dengan
kriteria Security. Sisanya dari pendekatan
yang terletak di posisi menengah,
memanfaatkan pentingnya masing-masing
memberikan kepada setiap aspek
komparatif. Sehubungan dengan
kesesuaian dengan sektor publik, sebagian
besar kerangka tata kelola keamanan
informasi tidak merincikan apakah dapat
memenuhi kriteria dengan sektor publik.
Kecuali pedoman yang diusulkan oleh
NIST dengan tingkat tinggi pada sektor
publik, namun hal tersebut berdasarkan
undang-undang yang ada pada Amerika
Serikat. Oleh karena itu, upaya tambahan
diperlukan ketika beradaptasi kerangka
kerja ini untuk Indonesia dikarenakan
mengacu pada Sistem Manajemen
Keamanan Informasi yang mengacu pada
ISO/IEC 27001:2013. Juga, beberapa
kerangka tata kelola keamanan informasi
BSA dengan tingkat menengah, yang
menawarkan beberapa catatan penting
ketika mengadopsi keamanan informasi
oleh lembaga pendidikan dan non-profit.
Sektor publik biasanya terikat dengan
kerangka tata kelola keamanan informasi
tertentu yang menyebabkan proses tata
kelola yang berbeda. Ini adalah
konsekuensi dari penerapan
undang-undang yang berasal dari berbagai otoritas
tingkat (nasional, regional, dll). Dalam
kebanyakan kasus, tata kelola keamanan
informasi dipilih harus di sesuaikan
dengan peraturan di mana organisasi
Tabel 1: Perbandingan Kerangka Tata Kelola Keamanan Informasi [12]
V. KESIMPULAN
Aset keamanan dalam setiap organisasi
harus melibatkan semua stakeholder.
Keamanan Informasi di sektor publik
membantu untuk kerangka kerja yang
dapat diadopsi di sektor publik.
Selanjutnya, keamanan informasi menjadi
suatu proses dalam organisasi yang
mencakup seluruh aset informasi dan
memberikan keselarasan dengan strategi
bisnis. Sembilan kerangka tata kelola
keamanan informasi yang paling relevan
pada literatur telah ditinjau dengan
melakukan analisis perbandingan antara
seperangkat kriteria. Kerangka tata kelola
keamanan informasi ini dapat
dipertimbangkan oleh direksi dari setiap
lembaga publik ketika mengadopsi salah
satu kerangka tata kelola keamanan
informasi. Dengan kriteria sektor publik
tingkat tinggi diperoleh NIST, kriteria
keamanan tingkat tinggi diperoleh ISO
Standards, kriteria tata kelola perusahaan
tingkat tinggi diperoleh ISACA dan
kriteria IT Governance tingkat tinggi
DAFTAR PUSTAKA
[1] Power, R. (2002), “2002 CSI/FBI
computer crime and security survey”,
Computer Security Issues & Trends, Vol. 8
No. 1, pp. 1-22.
[2] BSA. (2015). Asia-Pacific
Cybersecurity Dashboard. Diakses dari
http://cybersecurity.bsa.org/2015/apac/asse
ts/PDFs/country_reports/cs_indonesia.pdf.
Pada tanggal 27 Juni 2016, Jam 23:59
WIB.
[3] Symantec. (2015). 2015 Internet
Security Threat Report, Volume 20 -
Symantec Diakses dari
https://www.symantec.com/content/en/us/e
nterprise/other_resources/21347933_GA_
RPT-internet-security-threat-report-volume-20-2015.pdf. Pada tanggal 28 Juni
2016, Jam 19:58 WIB.
[4] Detik. (2014). Waspada! 3 Malware
Ini Paling Ngotot Serang Indonesia
Diakses dari
http://inet.detik.com/read/2014/08/19/1754
47/2666733/323/waspada-3-malware-ini-paling-ngotot-serang-indonesia. Pada
tanggal 28 Juni 2016, Jam 20:12 WIB.
[5] Council III, C.(2006). 'An
Investigation of a COBIT System
Security IT Governance Initiative in
Higher Education,' PhD Thesis. Nova
Southeastern University.
[6] Akhmad Syakhroza (2003). Best
Practice Corporate Governance Dalam
Kontek Perbankan Indonesia. Jakarta:
Usahawan No. 06 Thn XXXII. 19.
[7]Rastogi, R & Von Solms, R. (2006).
Information Security Governance a
Re-definition. IFIP International Federation
for Information Processing, Volume
193/2006, Springer Boston.
[8] Moulton, R & Coles, R. S. (2003).
"Applying Information Security
Governance," Elsevier.
[9]Harris, S. (2006). Information Security
Governance Guide. Diakses dari
http://searchsecurity.techtarget.com/tutoria
l/Information-Security-Governance-Guide.
Pada tanggal 28 Juni 2016, Jam 21:46
WIB.
[10] Tohmatsu, D. T. (2003). 2003 Global
Security Survey. USA: Deloitte Touche
Tohmatsu. 19.
[11] Badan Meteorologi, Klimatologi dan
Geofisika (BMKG). (2011). Panduan
Penerapan Tata Kelola Keamanan
Informasi bagi Penyelenggara Pelayanan
Publik. Diakses dari
http://data.bmkg.go.id/share/Dokumen/PE
GI/Panduan%20Penerapan%20Tata%20K
elola%20KIPPP_2.pdf. Pada tanggal 28
[12] ResearchGate. (2011). Comparative
Analysis of Information Security
Governance Frameworks: A Public Sector
Approach. Diakses dari
https://www.researchgate.net/publication/2
32252326_Comparative_Analysis_of_Info
rmation_Security_Governance_Framewor
ks_A_Public_Sector_Approach. Pada
tanggal 28 Juni 2016, Jam 23:55 WIB.
[13] Knapp, K. J., R. Franklin Morris,
Thomas E. Marshall & Byrd, T. A. (2009)
Information security policy: An
organizational-level process model.
Computers & Security, 28, 493-508.
[14] Posthumus, S. & Solms, R. v. (2004)
A framework for the governance of
information security. Computers &
Security, 23, 638-646.
[15] ISACA (2009) An Introduction to the
Business Model for Information Security.
[16] ISO/IEC (2008) ISO/IEC 38500:2008
Corporate governance of information
technology.
[17] ITGI (2006a) COBIT Mapping to
ISO/IEC 17799:2000 With COBIT.
[18] Bowen, P., Hash, J. & Wilson, M.
(2006) Information Security Governance.
Information Security Handbook: A Guide
for Managers. National Institute of
Standards and Technology.
[19] Allen, J. H. & Westby, J. R. (2007)
Governing for Enterprise Security
Implementation Guide, Software
Engineering Institute - CERT.
[20] Webb, P., Pollard, C. & Ridley,
G. (2006) Attempting to Define IT
Governance: Wisdom or Folly?
Proceedings of the 39th Hawaii
International Conference on System
Sciences.
[21] Simonsson, M. & Johnson, P. (2006)
Assessment of IT Governance - A
Prioritization of Cobit. Proceedings of the
Conference on Systems Engineering
Research.
[22] Wimmer, M. & Bredow, B. v. (2002)
A Holistic Approach for Providing
Security Solutions in e-Government.
Proceedings of the 35th Hawaii
International Conference on System
![Tabel 1: Perbandingan Kerangka Tata Kelola Keamanan Informasi [12]](https://thumb-ap.123doks.com/thumbv2/123dok/3823979.1834929/10.595.74.525.93.433/tabel-perbandingan-kerangka-tata-kelola-keamanan-informasi.webp)
