Dalam mengembangkan layanan berbasis teknologi terbaru, perusahaan dituntut untuk cepat menyesuaikan diri terhadap kebutuhan konsumen. Hal yang sama juga terjadi pada bisnis perbankan, khususnya XYZ. Tuntutan pembaruan sistem yang cepat berdampak kepada kurangnya prioritas kepada aspek keamanan informasi pada proses pengembangan dan pengelolaan teknologi. Di sisi lain, bank dituntut untuk selalu mempertimbangkan aspek keamanan informasi demi menghindari terjadinya insiden terkait keamanan informasi, baik yang muncul dari aspek sumber daya manusia, prosedur, maupun aspek teknis. Penelitian ini bertujuan untuk merancang kebijakan keamanan yang mencakup proses bisnis yang ada pada XYZ, yaitu proses transaksi SKN, dimana saat ini belum memiliki kebijakan keamanan informasi yang berlaku secara formal. Dengan adanya kebijakan keamanan informasi, diharapkan setiap stakeholder, baik pada tahap pengembangan, maupun tahap operasional aplikasi dapat mempertimbangkan aspek keamanan tanpa mengurangi kegesitan bank dalam menghadirkan solusi kepada nasabahnya. Hasil dari penelitian ini berupa kebijakan keamanan informasi yang didasarkan pada analisa risiko yang terdapat pada tahap pengembangan aplikasi dan operasional SKN. Kebijakan keamanan informasi yang disusun mengacu kepada standar keamanan SANS yang dapat menemukan risiko spesifik terhadap proses bisnis transaksi SKN.

---

In terms of development of the latest service based on new technologies, every company is demanded to adapt with customer’s needs. The same thing also happened in financial services institute, especially XYZ. Requirement to update the system in a short time impacted to lack of information security concern within the development and operational phase. On the other side, banks are required to prioritize information security aspect in order to prevent incident related with it that might comes from human, process, and technology. This research aims to design an information security policy that covers operational of National Clearing System Transaction in XYZ, which doesn’t have a formal written policy. By applying such policy, all of the stakeholder in this system will consider the security aspect, both in development and operational phase, without reducing bank’s agility to deliver solution to its customer. The result of this study produces an information security policy based on risk assessment conducted within the operational and development phase. The composed policy refers to SANS security policy guidelines and produce a unique policy which relevant with National Clearing System’s process business.