Perancangan Sistem Manajemen Keamanan Informasi (Smki) Berdasarkan Sni Iso/Iec 27001:2013 Dan Sni Iso/Iec 27005:2013 (Studi Kasus Dptsi-Its)

Semakin pesatnya penggunaan TIK membuat semakin tingginya ancaman terhadap aset informasi, seperti ancaman yang berasal dari luar (penyebaran malware, aktifitas social engineering), orang dalam (sengaja, tidak sengaja), kegagalan teknis (kesalahan penggunaan, kegagalan perangkat keras/lunak) ataupun bencana alam (kebakaran, gempa, banjir). Beberapa ancaman tersebut merupakan resiko yang berdampak merugikan bagi organisasi, seperti kerugian finansial, terganggunya proses bisnis, masalah peraturan/hukum, dan penurunan reputasi organisasi. Hal tersebut memiliki efek domino yang mengancam keberlangsungan aktifitas bisnis organisasi, tak terkecuali DPTSI-ITS. DPTSI-ITS merupakan badan yang bertugas mengelola teknologi dan sistem informasi terpadu di perguruan tinggi ITS. Metode yang digunakan penelitian ini untuk penyelesaian masalah yang dibahas adalah melakukan manajemen resiko keamanan informasi berdasarkan SNI ISO/IEC 27005 dan perancangan dokumen SMKI berdasarkan SNI ISO/IEC 27001. Alasan penggunaan kedua standar tersebut karena pemerintah Indonesia melalui BSN telah menjadikan SNI ISO/IEC 27001 dan SNI ISO/IEC 27005 sebagai standar SNI dalam mengelola keamanan informasi untuk semua organisasi dengan tipe dan ukuran apapun. Manajemen resiko keamanan informasi digunakan untuk mengidentifikasi, menganalisa dan mengevaluasi resiko yang dihadapi oleh DPTSI-ITS. Setelah itu kita merencanakan penanganan resiko yang akan dilakukan, seperti risk modification, risk avoidance, risk sharing, atau risk retention. Hasil penelitian ini adalah 60 resiko yang tidak diterima dari total 228 resiko yang telah teridentifikasi. Dari 60 resiko tersebut, terdapat 58 risk modification, 1 risk avoidance, dan 1 risk sharing. Tata kelola keamanan informasi yang dirancang berdasarkan SNI ISO/IEC 27001 adalah ruang lingkup SMKI, kebijakan SMKI, proses penilaian resiko, proses penanganan resiko, statement of applicability, dan sasaran keamanan informasi. =============================================================================================================== The rapid use of ICTs increased the threat on information assets. The threats include external threats (e.g. malware deployment, social engineering activities), insiders (i.e. intentionally and unintentionally), technical failure (e.g. misuse, hardware/software failure) or disaster nature (e.g. fire, earthquake, flood). Some threats introduce risks that adversely affect the organization, such as financial losses, business process disruption, regulatory/legal issues, and the deterioration of the organization's reputation. Risk has a domino effect which threatens the sustainability of business activities of the organization, not to mention DPTSI-ITS. DPTSI-ITS is the body which in charge of managing integrated ICT service in ITS. The methods used for this research to solve mentioned problem is performed information security risk management based on SNI ISO/IEC 27005 and to design SMKI document based on SNI ISO/IEC 27001. The reason for the use of both standards is because the government of Indonesia through BSN has made SNI ISO/ IEC 27001 and SNI ISO/IEC 27005 as SNI standard in managing information security for all organizations of any type and size. Information security risk management is used to identify, analyze and evaluate the risks faced by DPTSI-ITS. After that, we designed risk treatment plan. Risk treatment plan includes risk modification, risk avoidance, risk sharing or risk retention. This research found 60 unacceptable risks from total of 228 risk after identified. Out of 66 risk, there are 58 risk modification, 1 risk avoidance, 1 risk sharing. Information security governance designed based on SNI ISO/IEC 27001 is ISMS scope, ISMS policy, risk assessment process, risk treatment process, statement of applicability, and information security objective