PENERAPAN METODE KUALITATIF BERBASIS SNI ISO/IEC 27001:2013 UNTUK MENGUKUR TINGKAT KEMATANGAN UNIT TIK PUSAT PADA

SISTEM MANAJEMEN KEAMANAN INFORMASI

Khusnul Khotimah

¹

; Lussiana ETP

²

Universitas Gunadarma

^1,2

cumi_noel@yahoo.com

Abstrak - Unit TIK Pusat memiliki layanan untuk Unit TIK seluruh Unit Eselon I diantaranya menyediakan layanan hosting di Data Center (DC) Kementerian X. Adanya layanan hosting, Unit TIK seluruh Unit Eselon I di lingkungan Kementerian X dapat merilis aplikasi yang dimiliki tanpa perlu memikirkan kesediaan infrastruktur dan pengelolaannya, karena Unit TIK Pusat yang bertanggung jawab dalam penyediaan infrastruktur serta pengelolaan aplikasi setelah rilis (hosting). Salah satu aplikasi yang hosting pada DC Kementerian X yaitu Portal X yang mana portal ini merupakan wajah dari Kementerian X yang menyimpan berbagai informasi yang dapat dikonsumsi secara publik.

Sehingga, portal ini juga bisa diakses oleh Stakeholder manapun. Portal X pernah mengalami penggantian laman yang dilakukan oleh hacker sehingga berdampak pada reputasi Kementerian X.

Evaluasi tata kelola sangat penting dilakukan sehingga organisasi dapat mengetahui seberapa mumpuni layanan pengelolaan TIIK yang diberikan pada stakeholder. Tujuan dari penelitian ini adalah untuk mengukur tingkat kematangan pengelolaan TIK Unit TIK Pusat meliputi infrastruktur (server, sistem operasi, basis data, jaringan dan web service) dan fasilitas pendukung Data Center dengan menerapkan meode kualitatif berbasis SNI ISO/IEC 27001:2013. Hasil penelitian menunjukkan bahwa pengelolaan TIK Unit TIK Pusat termasuk kategori baik dan temuan pada pengelolaannya perlu ditindaklanjuti untuk perbaikan.

Kata kunci: Tingkat Kematangan Tata Kelola TIK, Metode Kualitatif, SNI ISO 27001:2013

Abstract – The Central ICT Unit has services for ICT Units throughout Echelon I, including providing hosting services at the Data Center (DC) of Ministry X. The hosting services, ICT Units of all Echelon I Units within the Ministry of X can release their applications without the need for infrastructure support and management, because the Central ICT Unit is responsible for providing infrastructure and managing after release (hosting). One of the applications that is hosted on DC Ministry X is Portal X which is the face of Ministry X which stores various information that can be consumed by the public. Thus, this portal can also be accessed by any stakeholders.

Portal X has experienced a defacement by hackers, which has an impact on the reputation of the Ministry of X. It is very important to evaluate governance so that it can find out how great the ICT management services provided to stakeholders are. The purpose of this study was to measure the maturity level of ICT management in the Central ICT Unit covering infrastructure (servers, operating systems, databases, networks, and web services) and supporting facilities for the Data Center by applying a ISO/IEC 27001:2013 method. The results of the study indicate that the management of ICT is good and the findings on its management need to be followed up for improvement.

Keyword: Maturity IT Governance, Kualitatif Method, SNI ISO 27001:2013

1. Latar Belakang

Unit TIK Pusat sangat berperan penting dalam Kementerian X sebagai backbone dan driven organization sesuai dengan visi Unit tik Pusat yaitu menjadi penggerak utama transformasi TIK yang berkelanjutan menuju terwujudnya visi Kementerian X.

Unit TIK Pusat memiliki layanan untuk seluruh Unit TIK Eselon I diantaranya menyediakan layanan hosting di Data Center (DC)

seluruh Unit TIK Eselon I dapat memanfaatkan layanan tersebut dengan merilis aplikasi yang dimiliki tanpa perlu memikirkan kesediaan infrastruktur dan pengelolaannya, karena Unit TIK Pusat yang bertanggung jawab dalam aplikasi setelah rilis (hosting). Salah satu apliaksi yang hosting pada DC Kementerian X yaitu Portal X yang mana portal ini merupakan wajah dari Kementerian X yang menyimpan berbagai informasi yang dapat dikonsumsi secara publik. Sehingga, portal ini juga bisa

pernah mengalami penggantian laman (deface) yang dilakukan oleh hacker sehingga berdampak pada reputasi Kementerian X.

Evaluasi tata kelola sangat penting dilakukan sehingga organisasi dapat mengetahui seberapa mumpuni layanan pengelolaan TIK yang diberikan pada stakeholder.

2. Kajian Pustaka a. Informasi

Definisi menurut (Krismiaji, 2020), informasi adalah data yang telah diorganisasi dan telah memiliki kegunaan dan manfaat. Dapat disimpulkan bahwa informasi adalah suatu data yang telah diolah sehingga memiliki nilai dan dapat digunakan dalam pengambilan keputusan.

b. Keamanan Informasi

Keamanan informasi adalah cara untuk melindungi apapun yang menghasilkan nilai dari pihak yang tidak berwenang. Menurut (Itg.id, 2020) strategi keamanan informasi meliputi beberapa aspek kategori yaitu physical security, communication security, computer security, information security, system safety, system reliability.

c. Sistem Manajemen Keamanan Informasi Organisasi internasional untuk standarisasi (ISO) telah mengembangkan sejumlah standar tentang Information Security Management System (ISMSS) atau Sistem Manajemen Keamanan Informasi baik dalam bentuk persyaratan maupun panduan. Pada SMKI, menekankan pentingnya memahami persyaratan keamanan informasi, menerapakn kontrol untuk mengelola risiko, memantau kinerja efektivitas SMKI, dan perbaikan berkesinambungan.

d. ISO 27001:2013

ISO 27001:2013 merupakan ISO 27001 versi yang terbaru. Perbedaan ISO 27001:2013 dengan versi sebelumnya yaitu terdiri dari 114 kontrol dalam 14 area kontrol serta 7 klausul persyaratan wajib Sistem Manajemen Keamanan Informasi. Pada ISO 27001:2013 memiliki Annex A atau biasa disebut Lampiran A yang digunakan sebagai kontrol-kontrol untuk membantu melindungan informasi di berbagai area organisasi.

3. Tahap Penelitian

a. Identifikasi Ruang Lingkup SMKI

Tahapan ini merupakan tahapan awal yang penting dalam penelitan untuk menetukan

batasan dan penerapan sistem manajemen keamanan informasi.

b. Penilaian Kategori Sistem Elektronik Pada tahap ini merupakan penilaian untuk menentukan sistem elektronik yang dijadikan ruang lingkup SMKI termasuk kategori yang mana. Kategori Sistem Elektronik dibagi menjadi 3 (tiga) yaitu sistem elektronik strategis, sistem elektronik tinggi, sistem elektronik rendah

c. Penilaian Mandiri pada Kertas Kerja Berbasis Ketentuan ISO 27001:2013.

Penilaian pada tahap ini yaitu menilai ketentuan pokok atau klausul persyaratan SMKI dan menilai ketentuan pengendalian atau lampiran A. Nilai pada setiap pertanyaan dapat mengacu pada Tabel 3.1 di bawah ini:

Tabel 3.1 Nilai Setiap Pertanyaan

Nilai Keterangan

0 Untuk kegiatan yang tidak dilakukan sama sekali (tidak ada)

0.5 Untuk kegiatan yang hanya dilakukan atau diterapkan sebagian (belum memenuhi) 1 Untuk kegiatan yang telah

dilakukan atau diterapkan secara menyeluruh (memenuhi) Selanjutnya yaitu menghitung presentase nilai evaluasi berdasarkan membandingkan peresentase nilai evaluasi dengan nilai maksimal pada ketentuan pokok dan ketentuan pengendalian.

d. Analisis dan Pembahasan

Pada tahap ini melakukan analisis dan pembahasan berdasarkan temuan dan nilai evaluasi yang didapat dari kertas kerja penilaain mandiri penerapan SMKI. adapun tingkat kematangan pengelolaan TIK dapat mengacu pada Tabel 3.2 di bawah ini:

Tabel 3.2 Capaian Kategori

Capaian Kategori

0 – 15% Tidak Layak

16% – 50% Perlu Perbaikan

51% – 85% Cukup

86% – 100% Baik

e. Rekomendasi

Selanjutnya membuat rekomendasi perbaikan berdasarkan hasil analisis dan pembahasan.

Rekomendasi tersebut berupa correction dan corrective.Correction adalah tindakan untuk menghilangkan temuan yang terjadis edangkan corrective adalah tindakan untuk menghilangkan akar masalah atau penyebat terjadinya ketidasesuaian

Identifikasi Ruang Lingkup SMKI

Penilaian Kategori Sistem Elektronik

Penilaian Mandiri pada Kertas Kerja berbasis Ketentuan ISO 27001:2013

Analisis dan Pembahasan

Rekomendasi

Gambar 3.1 Tahapan Penelitian 4. Hasil dan Pembahasan

Hasil penilaian ketentuan pokok tertuang pada Tabel 4.1 di bawah ini.

Tabel 4.1. Rekap Hasil Penilaian Ketentuan Pokok

No Klausul Nilai

Evaluasi 1 Konteks

Organisasi

100%

2 Kepemimpinan 100%

3 Perencanaan 100%

4 Dukungan 100%

5 Operasi 100%

6 Evaluasi Kinerja

100%

7 Perbaikan 75%

Rata-Rata Ketentuan Pokok

96%

Hasil penilaian ketentuan pengendalian tertuang pada Tabel 4.2 di bawah ini:

Tabel 4.2 Rekap Hasil Penilaian Ketentuan Pengendalian

No Klausul Nilai

Evaluasi 1 Kebijakan

keamanan informasi

100%

2 Organisasi

keamanan informasi

100%

3 Keamanan SDM 100%

4 Manajemen Aset 100%

5 Pengendalian Akses

100%

6 Kriptografi 100%

7 Keamanan Fisik dan Lingkungan

90%

8 Keamanan Operasi 86%

9 Keamanan Komunikasi

100%

10 Akuisisi,

pengembangan, dan perawatan sistem

100%

11 Hubungan pemasok 100%

12 Manajemen gangguan

keamanan informasi

100%

13 Aspek keamanan informasi

manajemen

kelangsungan bisnis

100%

14 kesesuaian 100%

Rata-Rata Ketentuan Pokok

98%

Berdasarkan Tabel 4.1 mendapatkan rata-rata ketentuan pokok SMKI sebesar 96%, sehingga dapat dinyatakan bahwa Unit TIK Pusat memenuhi persyaratan dalam menerapkan SMKI. adapun pada klausul perbaikan perlu ditindaklanjuti dengan menindaklanjuti temuan yang ada agar mencapai 100%. Berdasarkan Tabel 4.2 mendapatkan rata-rata ketentuan pengendalian sebesar 98%, sehingga dapat dinyatakan bahwa kegiatan yang dilakukan dalam menerapkan SMKI sudah mengacu pada ketentuan pengendalian sehingga tingkat kematangan pengelolaan TIK Unit TIK Pusat dalam mengelola Portal X, termasuk kategori baik.

5. Kesimpulan dan Saran a. Kesimpulan

Berdasarkan hasil penelitian yang dilakukan pada Unit TIK Pusat berbasis SNI ISO/IEC

27001:2013 diperoleh kesimpulan sebagai berikut:

a.

Hasil penilaian ketentuan pokok SMKI mencapai 96% hal ini berarti Unit TIK Pusat memenuhi persyaratan dalam menerapkan SMKI dengan menggunakan standar ISO/IEC 27001:2013 dimana capaian ketentuan pokok Unit TIK Pusat yaitu 96%.

b.

Hasil penilaian ketentuan pengendalian Unit TIK Pusat yaitu 98%, hal ini membuktikan bahwa kegiatan yang dilakukan dalam menerapkan SMKI sudah mengacu pada ketentuan pengendalian sehingga tingkat kematangan pengelolaan TIK Unit TIK Pusat dalam mengelola Portal X tergolong baik.

b. Saran

Adanya penelitian ini semakin menegaskan bahwa pentingnya bagi instansi/perusahaan manapun dalam menerapkan sistem manajemen keamanan informasi (SMKI).

Penelitian ini mengukur tingkat kematangan pengelolaan TIK Unit TIK Pusat dalam mengelola Portal X berbasis ISO 27001:2013 untuk menerapkan SMKI, namun hanya mengacu pada ISO 27001:2013, sehingga alangkah baiknya jika penelitian selanjutnya mengikutsertakan ISO 9001:2015 dalam mengukur tingkat kematangan pengelolaan TIK.

6. Daftar Pustaka

[1] Aprian, R., Rizal, R. And Sobri, M. (2015).

Perencanaan Sistem Manajemen Keamanan Informasi Menggunakan Standar ISO 27001:2013. Jurnal Informatika Universitas Bina Darma Palembang digilib.binadarma.ac.id

[2] Badan Standardisasi Nasional. (2014).

Pengantar Standardisasi. Jakarta.

[3] Basyarahil, Firzah A., Astuti, Hanim Maria., Hidayanto, Bekti Cahyo. (2017).

Evaluasi Manajemen Keamanan Informasi Menggunakan Indeks Keamanan

Informasi (KAMI) Berdasarkan ISO/IEC 27001:2013 Pada Direktorat Pengembangan Teknologi dan Sistem Informasi (DPTSI) ITS Surabaya.Jurnal Teknik ITS. 6(1), 2301-9271.

[4] Gaarfinkel, Simson., Spafford, Gene.

(1996). Practical UNIX & internet security2nd edition. O’really assoc. United Stated of America: O’Reilly Media, Inc.

[5] Hambali, H., & Musa, P. (2020).

ANALYSIS OF GOVERNANCE

SECURITY MANAGEMENT

INFORMATION SYSTEM USING INDEX KAMI IN CENTRAL GOVERNMENT INSTITUTION. Angkasa: Jurnal Ilmiah Bidang Teknologi, 12(1), 89-98.

[6] Kementerian Komunikasi dan Informatika Republik Indonesia. (2011). Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik. Jakarta

[7] Keputusan Menteri Keuangan.

(2019).Pengelolaan Keamanan Informasi.

Jakarta.

[8] Keputusan Chief Information Officer.

2020. Panduan Kategorisasi Sistem Elektronik dan Penilaian Mandiri Penerapan Sistem Manajemen Keamanan

Informasi di Lingkungan Kementerian Keuangan. Jakarta

[9] Krismiaiji. (2020). Sistem Informasi Akuntansi. Edisi keenam. Yogyakarta:

UPP STIM YKPN

[10] Maralis, Reni dan Triyono, Aris. (2019).

Manajemen Risiko. Yogyakarta:

Deepublish

[11] Pratama, Edo Rizky., Suprato., Perdanakusuma, Andi Reza. (2018).

Evaluasi Tata

Kelola Sistem Keamanan Teknologi Informasi Menggunakan Indeks KAMI dan ISO

27001(Studi Kasus KOMINFO Provinsi Jawa Timur). Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer.

2(11).5911-5920.

[12] Prehanto, Dedy Rahman. (2020). Buku Ajar Konsep Sistem Informasi.

Scopindo.Surabaya: Scopindo Media Pustaka

[13] Rahmat, Dadan. (2019). Perencanaan Sistem Manajemen Keamanan Informasi Menggunakan Standar SNI ISO/IEC 27001:2013. Jurnal Informatika. 6(2).37- 41.

[14] Tim Direktorat Keamanan Informasi.

(2017). Panduan Penerapan SMKI Berbasis

Indeks KAMI. Versi 1.0. Kominfo.Jakarta.

[15] Abuhav, Itay.2014. “The Plan Do Check Act cycle”. 9001quality.com. Diakses pada 06 Februari 2022.

[16] Hendra, T.2017. “SNI ISO/IEC 27001:2013”. medium.com. Diakses pada 06 Februari 2022.

[17] Ibeng, P.2019. “Pengertian ISO, Tujuan, Manfaat, Beserta Jenisnya”.

Pendidikan.co.id. Diakses pada 06 Februari 2022.

[18] Itg.id.2020. “Kenali macam-macam strategi dalam program keamanan informasi”. Itgid.org. Diakses pada 06 Februari 2022.

[19] Lachapelle, Eric., Bislimi, Mustafe.2014.

“ISO 27001 Information

TechnologySecurity Techniques Information Security-Managemen Systems-Requirements”. Pecb.com.

Diakses pada 12 Februari 2022.

[20] Rumushitung.2014. “Cara Mencari Persentase”. Goingtotheran. Diakses pada 21 Maret 2022.