Perancangan Manajemen Risiko Keamanan Informasi Layanan Jaringan MKP Berdasarkan Kerangka Kerja ISO/IEC 27005:2018 dan NIST SP 800-30 Revisi 1
DOI:
https://doi.org/10.56706/ik.v15i3.34Keywords:
ISO/IEC 27002:2013, ISO/IEC 27005:2018, Manajemen Risiko, NIST SP 800-30 Revisi 1, Penilaian Risiko, Rekomendasi Kontrol Keamanan InformasiAbstract
Jaringan merupakan salah satu layanan internal yang dikelola oleh instansi MKP. Layanan ini termasuk salah satu yang kritikal dikarenakan hampir seluruh pertukaran informasi dan kegiatan perkantoran di lingkungan instansi tersebut membutuhkan koneksi jaringan. Apabila terjadi gangguan pada layanan jaringan maka gangguan tersebut dapat menyebabkan adanya penurunan reputasi dan kendala pada pelaksanaan proses bisnis instansi MKP. Oleh karena itu, perlu adanya metode manajemen risiko keamanan informasi yang dilakukan terhadap layanan jaringan instansi MKP. Berdasarkan hal tersebut, dilakukan perancangan manajemen risiko keamanan informasi pada layanan jaringan milik instansi MKP menggunakan kerangka kerja ISO/IEC 27005:2018 yang dikombinasikan dengan kerangka kerja NIST SP 800-30 Revisi 1 pada tahap penilaian risiko. Tahapan perancangan manajemen risiko yang dilakukan yaitu penetapan konteks, penilaian risiko, perlakuan risiko dan penerimaan risiko. Penilaian risiko dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, telaah dokumen, dan pemberian kuisioner penilaian risiko. Berdasarkan hasil penilaian risiko, telah teridentifikasi 23 aset dengan 59 skenario risiko yang diketahui. Dari 59 skenario risiko tersebut, 12 skenario diantaranya dapat diterima dan 47 skenario lainnya dimitigasi. Pada tahap perlakuan risiko dan penerimaan risiko, 47 skenario risiko tersebut diberikan strategi perlakuan modifikasi dan rekomendasi kontrol serta ditentukan penanggung jawab kontrol berdasarkan skenario risikonya. Hasil dari penelitian ini adalah perancangan manajemen risiko keamanan informasi yang disertakan dengan rekomendasi kontrol keamanan informasi yang mengacu pada kerangka kerja ISO/IEC 27002:2013.
References
R. E. Indrajit, Pengantar Konsep Keamanan Informasi di Dunia Siber. Jakarta: APTIKOM, 2011.
Badan Siber dan Sandi Negara, Keputusan Kepala Badan Siber dan Sandi Negara Nomor 571.1 Tahun 2018 Tentang Peta Proses Bisnis Badan Siber dan Sandi Negara. 2018, p. 97.
Kepala Bidang Layanan Operasional dan Keamanan Pusdatik, “Katalog Layanan (Service Catalogue) Pusat Data dan Teknologi Informasi Komunikasi Versi 0.0.” Pusat Data dan Teknologi Informasi Komunikasi, Sep. 2019.
Badan Siber dan Sandi Negara, Peraturan Badan Siber dan Sandi Negara Nomor 2 Tahun 2018 Tentang Organisasi dan Tata Kerja Badan Siber dan Sandi Negara. 2018, p. 89.
ISO/IEC, “ISO/IEC 27005: 2018 Information Technology-Security Techniques-Information Security Risk Management.” ISO/IEC, 2018.
Joint Task Force Transformation Initiative, “Guide for conducting risk assessments,” National Institute of Standards and Technology, Gaithersburg, MD, 2012. doi: 10.6028/NIST.SP.800-30r1.
H. Setiawan, F. A. Putra, and A. R. Pradana, “Design of Information Security Risk Management Using ISO/IEC 27005 and NIST SP 800-30 Revision 1: A Case Study at Communication Data Applications of XYZ Institute,” presented at the International Conference on Information Technology Systems and Innovation (ICITSI), Bandung, 2017.
I. R. Lestari, “Perencanaan Manajemen Risiko Keamanan Informasi Layanan Mail BSSN pada Pusat Data dan Teknologi Informasi Komunikasi (Pusdatik) Berdasarkan Kerangka Kerja ISO/IEC 27005:2011,” Sekolah Tinggi Sandi Negara, p. 158, 2019.
ISO/IEC, “ISO/IEC 27002:2013 Information Technology - Security Techniques - Code of Practice for Information Security Controls.” 2013.
Badan Siber dan Sandi Negara, Pedoman Kepala Badan Siber dan Sandi Negara Nomor 2 Tahun 2019 tentang Pelaksanaan Pengendalian Intern Pemerintah Badan Siber dan Sandi Negara. 2019, p. 43.
F. A. Putra, “Perancangan Manajemen Risiko Keamanan Informasi Menggunakan Framework ISO/IEC 27005:2011 pada Sistem Jaring Komunikasi Berita (Jarkombra) Dinas Komunikasi dan Elektronika TNI Angkatan Laut,” Sekolah Tinggi Sandi Negara, p. 280, 2017.
