Hasil Pencarian  ::  Simpan CSV :: Kembali

"Pengelolaan informasi yang baik dapat menjaga keberlanjutan bisnis perusahaan, memanfaatkan peluang bisnis, dan memaksimalkan nilai return dari investasi. Pengelolaan keamanan informasi dilakukan perusahaan dengan membuat Sistem Manajemen Keamanan Informasi (SMKI) untuk mengantisipasi setiap ancaman terhadap aset informasi. Standar SMKI yang banyak diadopsi adalah ISO/IEC 27001:2005. Standar versi 2005 ini mengalami revisi pada tahun 2013. Dengan adanya revisi tersebut, maka perusahaan yang telah memiliki sertifikasi ISO/IEC 27001 harus melakukan penyesuaian SMKI agar tetap selaras dengan versi 2013. PT. XYZ sebagai operator selular dengan jumlah pelanggan terbanyak di Indonesia mengelola aset informasinya dengan menerapkan SMKI berbasis ISO/IEC 27001:2005. PT. XYZ harus menyesuaikan SMKI dengan versi 2013 agar pengelolaan keamanan informasi yang dilakukan tetap sesuai dengan best practices terbaru dalam mengatasi risiko informasi terkini. Penyesuaian ini juga menunjukkan komitmen PT. XYZ dalam melindungi data pelanggan, meningkatkan kredibilitas dalam pasar yang kompetitif, dan mempertahankan sertifikasi ISO/IEC 27001 yang pernah diraihnya. Untuk itu perlu dilakukan audit kepatuhan keamanan informasi yang berlaku di PT. XYZ terhadap ISO/IEC 27001:2013. Penelitian menunjukkan sejauh mana SMKI PT. XYZ patuh terhadap ISO/IEC 27001:2013. Untuk meningkatkan kepatuhan direkomendasikan beberapa kebijakan dan prosedur yang perlu ditambahkan, yaitu terkait komunikasi SMKI kepada pihak terkait, kontrol terhadap supply chain, dan kontrol redundan.

---

Information management will maintain the sustainability of the company's business, take advantage of business opportunities, and maximize the return value of the investment. Information Security Management System (ISMS) done by enterprise to anticipate any threats to information assets. Widely adopted ISMS standard is ISO / IEC 27001: 2005. This version of the standard was revised in 2013. With this revision, the company with ISO / IEC 27001 Certification should make adjustments to comply with new standard.

PT. XYZ as a service provider with the highest number of subscribers in Indonesia manage their information assets by implementing ISMS based on ISO / IEC 27001:2005. PT. XYZ must adjust the ISMS in order to stay aligned with the latest best practices and newest information risk. This adjustment also shows the commitment of PT. XYZ in protecting customer data, improving credibility in a competitive market, and maintain ISO / IEC 27001 Certification. Therefore, compliance audit of information security in PT. XYZ need to be done. Audit shows the extent of the ISMS adherence to ISO / IEC 27001:2013. To improve compliance, we recommend several policies and procedures that need to be added: communications to related parties, control of the supply chain, and control of redundancy."

"Pertukaran informasi dan penyebaran informasi melalui perangkat TIK akan melahirkan era banjirnya informasi dan berujung pada munculnya isu keamanan informasi. Untuk kementerian, lembaga, dan instansi pemerintah, isu keamanan informasi mulai mengemuka setelah diterbitkannya peraturan PP No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pada peraturan tersebut terdapat kewajiban pengamanan sistem elektronik bagi penyelenggara sistem elektronik untuk pelayanan publik. Pemerintah Kabupaten X merupakan instansi pemerintah yang melayani publik. Kondisi keamanan informasi di Pemerintah Kabupaten X saat ini masih lemah, terbukti dengan adanya insiden serangan malware yang ditujukan ke situs www.xkab.go.id. Penelitian ini difokuskan pada audit kepatuhan keamanan informasi dengan menggunakan kerangka kerja ISO/IEC 27001:2013. Model audit yang digunakan adalah model Plan. Model Plan adalah salah satu model Plan-Do-Check-Act yang merupakan pendekatan dalam mengelola Sistem Manajemen Keamanan Informasi (SMKI) pada ISO/IEC 27001:2005. Audit dilakukan dengan mengidentifikasi aset, ancaman, kerawanan dan rencana kerja untuk menghasilkan rekomendasi kebijakan, prosedur, instruksi dan dokumentasi. Hasil penelitian ini terdapat 143 kebijakan, prosedur, instruksi, dan dokumentasi yang direkomendasikan. Hasil rekomendasi tersebut telah memenuhi 148 kontrol dari 163 kontrol yang ada pada ISO/IEC 27001:2013.

---

Information exchange and dissemination of information with ICT will give birth to the era of the flood of information and lead to the emergence of the issue of information security. For ministries, institutions and government agencies, information security related issues started to emerge after the issuance of regulation PP 82/2012 on the Implementation of the System and Electronic Transactions. There is an obligation on the regulation of electronic security systems for organizing electronic system for public services. X Regency is a government agency that serves the public. Information security conditions in X Regency still weak, as evidenced by the incidents of malware attacks aimed to the site www.xkab.go.id.

This study focused on information security compliance auditing by using the framework of ISO / IEC 27001: 2013. The audit model used is a model Plan. Model Plan is one model of Plan-Do-Check-Act which is an approach to managing an Information Security Management System (ISMS) in ISO/IEC 27001:2005. Audit carried out by identifying assets, threats, vulnerabilities and work plan to produce policy recommendations, procedures, instructions and documentation. Results of this study are 143 policies, procedures, instructions, and documentation are recommended. Results of these recommendations have met control 148 of the 163 existing controls in ISO / IEC 27001:2013."

"Perkembangan teknologi informasi mempunyai risiko yang cukup signifikan terhadap suatu perusahaan. Selain dapat mempermudah dan mempercepat proses bisnis tetapi juga dapat membawa risiko dan ancaman terhadap perusahaan. Untuk itu diperlukan kontrol yang dapat memitigasi atau bahkan dapat menghilangkan risiko yang ada, sehingga teknologi informasi yang diterapkan organisasi dapat mendukung sepenuhnya kepentingan organisasi. Hal ini bertujuan agar teknologi informasi memberikan manfaat bagi organisasi. Kondisi saat ini PT. XYZ telah melakukan berbagai usaha untuk dapat memitigasi atau bahkan menghilangkan risiko keamanan informasi yang ada, tetapi karena belum adanya kerangka kerja yang digunakan sehingga sulit bagi PT. XYZ untuk mengukur dan menjalankan keamanan informasi secara optimal. Mengacu pada kondisi dan permasalahan di organisasi tersebut, maka perlu adanya evaluasi keamanan informasi untuk mengukur sejauh apa usaha PT. XYZ telah menerapkan keamanan informasi dan kontrol-kontrol apa yang perlu ditambahkan atau diperbaiki agar usaha PT. XYZ dalam menerapkan keamanan informasi menjadi optimal. Pada penelitian ini menggunakan Framework ISO 27001:2005/ISMS. Melalui pendekatan audit keamanan informasi dengan menggunakan assessment checklist ISO 27001 dan penilaian risiko, dipilih sasaran perbaikan berdasarkan kontrol ISO 27001. Kontrol-kontrol ini nantinya diharapkan dapat memitigasi atau bahkan menghilangkan dampak yang ditimbulkan dari ancaman dan kerawanan yang ada dilingkungan organisasi PT. XYZ.

---

The development of information technology has a significant risk of a company. Besides being able to simplify and speed up business processes but can also bring risks and threats to the company. It is necessary to control that can mitigate or even eliminate existing risks, so that the applied information technology organizations can support fully the interests of the organization. It aims to provide the benefits of information technology to the organization.

Current conditions PT. XYZ has made various efforts to mitigate or even eliminate the risk of information security, but because of the absence of a framework used so difficult for PT. XYZ to measure and run an optimal information security.

Referring to the conditions and problems in the organization, hence the need for information security evaluation to measure the extent to which PT. XYZ has implemented information security and controls what needs to be added or improved in order PT. XYZ in implementing information security to be optimal.

In this study, using the Framework ISO 27001: 2005 / ISMS. Through approach to information security audit using a checklist ISO 27001 assessment and risk assessment, have been targets for improvement based on the control of ISO 27001. These controls might be expected to mitigate or even eliminate the impact of threats and vulnerabilities that exist within the organization PT. XYZ. "

"Teknologi informasi telah menjadi bagian penting bagi sebuah organisasi. Hal ini tercermin semakin banyaknya pemanfaatan teknologi informasi untuk membantu jalannya proses bisnis organisasi. Lembaga XYZ selaku lembaga pemerintah yang diberi amanat untuk mengembangkan dan merumuskan kebijakan terkait pengadaan pemerintah telah banyak memanfaatkan teknologi informasi. Hal ini tercermin dari banyaknya aplikasi e-procurement dan aplikasi pendukungnya yang dikembangkan oleh Direktorat ABC. Teknologi informasi telah banyak memberikan solusi-solusi dari tantangan terkait pengadaan yang ada di Indonesia. Tingkat pemanfaatan teknologi informasi yang tinggi oleh Direktorat ABC memberikan tantangan baru terkait keamanan informasi. Kerawanan yang ada pada setiap aset informasi yang dimiliki direktorat tersebut dapat dieksploitasi kapan saja oleh ancaman yang ada. Dampak yang ditimbulkan akibat eksploitasi tersebut dapat mengancam keberlangsungan organisasi tersebut. Oleh karena itu perlu dilakukan audit keamanan informasi terhadap Direktorat ABC agar dampak tersebut dapat diminimalisir. Audit keamanan informasi yang dilakukan pada penelitian ini adalah audit kepatuhan organisasi dalam mengelola keamanan informasi terhadap ISO/IEC 27001:2005. Penelitian ini fokus untuk melakukan audit pada aset-aset yang dimiliki oleh Direktorat ABC. Penelitian ini dilakukan mengikuti tahapan yang terdapat pada proses Plan yang terdapat dalam model PDCA (Plan-Do-Check-Act) pada ISMS. Hasil penelitian ini memberikan gambaran sejauh mana Lembaga XYZ khususnya Direktorat ABC sudah menerapkan pengelolaan keamanan informasi. Daftar kerawanan, daftar ancaman yang mampu mengeksploitasi kerawanan tersebut, dan daftar dampak yang mungkin diterima oleh direktorat tersebut dianalisa untuk diidentifikasi kontrol-kontrol yang mungkin untuk diterapkan guna memperbaiki kondisi yang ada. Rencana kerja kemudian di susun untuk merencanakan kapan kontrol-kontrol tersebut harus diterapkan.

---

Information technology has become an important part of an organization.This is reflected in the increasing use of information technology to assist the organization to do their business processes. XYZ Agency as the government agency mandated to develop and formulate policies related to government procurement has been widely using information technology. This is reflected in the many applications of e-procurement and supporting applications developed by the Directorate of ABC. Information technology has provided solutions to procurement-related challenges in Indonesia.

The level of high utilization of information technology by the Directorate of ABC provide new challenges related to information security. Vulnerabilities that exist on any asset owned by the directorate of information that can be exploited by a threat anytime there. Impact caused by the exploitation may threaten the sustainability of the organization. Therefore, it is necessary to audit security information to the Directorate of ABC so that these impacts can be minimized.

Information security audit conducted in this study is an audit of compliance in managing information security organization against ISO/IEC 27001:2005. This research focus to audit the assets held by the Directorate of ABC. This study was conducted following the steps contained in the Plan are contained in the PDCA model (Plan-Do-Check-Act) to ISMS.

The results of this study illustrate the extent to which XYZ Agency in particular Directorate of ABC have implemented information security management. Vulnerability list, a list of threats capable of exploiting the vulnerability, and a list of effects that may be received by the directorate analyzed to identify the controls that are likely to be applied in order to improve the existing conditions. The work plan then collated to plan when such controls should be applied."

"Ancaman terhadap keamanan informasi menjadi hal yang sering dijumpai saat ini baik di lingkup individu maupun organisasi. Beberapa jenis ancaman tersebut berasal dari serangan virus, malware, web defacement dan phising. Untuk mengantisipasi dan merespon serangan tersebut, lembaga XYZ membentuk tim insiden respon atau yang dikenal sebagai CSIRT ( Computer and Security Incident Response Team). Penanganan insiden keamanan informasi merupakan aspek kritis dalam memastikan integritas dan kelangsungan operasional suatu organisasi. Berdasarkan catatan, insiden keamanan informasi masih sering terjadi hingga saat ini di lingkungan organisasi.Penelitian ini bertujuan untuk melakukan analisis terhadap pendekatan yang diambil oleh organisasi dalam menangani insiden keamanan informasi dengan area fokus pada efektivitas langkah-langkah yang dilakukan. Kerangka kerja yang digunakan adalah ISO/IEC 27035:2016, terdapat 69 klausul dilakukan untuk mengevaluasi penanganan insiden dan 62 klausul untuk diterapkan untuk perencanaan kebijakan penanganan insiden. Hasil asesmen pada lembaga XYZ menggunakan ISO/IEC 27035 mengenai manajemen insiden keamanan informasi didapatkan bahwa organisasi telah menerapkan sejumlah 53% dari 69 klausul yang diterapkan.

---

Threats to information security are something that is often encountered today, both in individuals and organizations. Several types of threats come from virus attacks, malware, web defacement and phishing. To anticipate and respond to these attacks, XYZ Institution formed an incident response team or known as CSIRT (Computer and Security Incident Response Team). Handling information security incidents is a critical aspect to ensuring the integrity and operational continuity of an organization. Based on records, information security incidents still frequently occur today in organizational environments.

This research aims to conduct an analysis of the approaches taken by organizations in handling information security incidents with a focus area on the effectiveness of the steps taken. The framework used is ISO/IEC 27035:2016, there are 69 clauses to evaluate incident handling and 62 clauses to be applied for planning incident handling policies. The results of an assessment at XYZ institution using ISO/IEC 27035 regarding information security incident management found that the organization had implemented 53% of the 69 clauses implemented."

"Keamanan informasi, terutama di sektor pemerintahan seperti Instansi XYZ, menjadi isu penting di era digital saat ini. Pusat Jaringan Komunikasi sebagai pengelola TIK Instansi XYZ menghadapi tantangan dalam mengimplementasikan sistem manajemen keamanan informasi sesuai dengan standar ISO/IEC 27001. Tantangan utama yang dihadapi saat ini ialah kesiapan upgrade pengimplementasian sistem manajemen keamanan informasi mengikuti standar ISO/IEC 27001 yang terbaru yaitu versi 2022. Oleh karena itu, penelitian ini bertujuan untuk melakukan analisis kesenjangan dan memberikan rekomendasi untuk penerapan ISO/IEC 27001:2022 pada layanan VSAT, LAN, Website Utama, dan Email di Pusat Jaringan Komunikasi Instansi XYZ. Penelitian ini merupakan penelitian kualitatif dimana pengumpulan data akan dilakukan dengan wawancara, studi dokumen dan observasi. Seluruh data yang telah terkumpul akan dilakukan analisis kesesuaian berdasarkan framework ISO/IEC 27001:2022. Hasil dari penelitian berdasarkan gap analysis menunjukkan adanya 23 kesenjangan yang terdiri dari 10 kesenjangan pada klausul dan 13 pada kontrol annex sehingga direkomendasikan pembaruan maupun perumusan kebijakan, prosedur, atau proses pada masing-masing klausul dan kontrol tersebut. Selain itu, dihasilkan rekomendasi penerapan kontrol ISO/IEC 27001:2022 dan jadwal implementasi. Rekomendasi penerapan kontrol sesuai dengan proses bisnis organisasi yaitu 85 kontrol diterapkan pada ruang lingkup LAN dan email, 90 kontrol pada ruang lingkup website utama, dan 84 kontrol pada ruang lingkup VSAT. Pelaksanaan keseluruhan rekomendasi penerapan ini diharapkan dapat membantu proses transisi dari implementasi ISO/IEC 27001:2013 ke ISO/IEC 27001:2022 di Pusjarkom.

---

Information security, especially in the government sector such as XYZ Agency, is an important issue in today's digital era. The Communication Network Center, as the ICT manager of the XYZ Agency, faces challenges in implementing an information security management system in accordance with the ISO/IEC 27001 standard. The main challenge faced at this time is the readiness to upgrade the implementation of information security management system following the latest ISO/IEC 27001 standard, namely version 2022. Therefore, this research aims to conduct a gap analysis and provide recommendations for the implementation of ISO/IEC 27001: 2022 on VSAT, LAN, Main Website, and Email services at the XYZ Agency Communication Network Center. This research is qualitative research where data collection will be carried out by interviews, document study and observation. All data that has been collected will be analyzed for suitability according to the ISO / IEC 27001: 2022 framework. The results of the research based on the gap analysis showed 23 gaps consisting of 10 gaps in the clauses and 13 in the annex controls so that it is recommended to update or formulate policies, procedures, or processes in each of these clauses and controls. In addition, recommendations for the implementation of ISO/IEC 27001:2022 controls and implementation schedules were produced. Recommendations for implementing controls in accordance with the organization's business processes, namely 85 controls applied to the scope of LAN and email, 90 controls to the scope of the main website, and 84 controls to the scope of VSAT. The fulfillment of all implementation recommendations is expected to help the transition process from ISO/IEC 27001:2013 to ISO/IEC 27001:2022 implementation in Pusjarkom."

"PT XYZ merupakan penyedia layanan pengelolaan dokumen tagihan, bekerjasama dengan bank-bank lokal maupun asing. Dokumen tagihan berkaitan dengan informasi pelanggan bank, sehingga keamanan informasi perlu diatur untuk memberikan layanan yang memenuhi kriteria kemanan informasi. Hasil audit kemanan informasi menunjukkan bahwa keamanan informasi PT XYZ lemah, kurang terpantau dan dievaluasi. Penelitian ini berfokus pada audit kemanan informasi sesuai ISO 27001 untuk memberikan rekomendasi kebijakan dan prosedur keamanan informasi yang kompherensif. Metodologi yang digunakan adalah penilaian, analisis risiko dan dampak, pemilihan kontrol-kontrol serta rekomendasi kebijakan dan prosedur. Hasil audit menunjukkan adanya kesenjangan antara kebijakan dan prosedut yang berlaku di PT XYZ dengan ISI 27001."

"PT. XYZ bergerak di bidang percetakan billing statement, bekerjasama dengan beberapa bank lokal dan bank asing, sehingga keamanan informasi harus diatur seketat mungkin karena berkaitan dengan informasi pelanggan bank, oleh karena itu PT. XYZ sering diaudit oleh pelanggan. Keamanan informasi sangat lemah ditambah kurangnya monitoring dan evaluasi dari pihak yang berwewenang menjadi temuan hasil audit dari beberapa bank, hasil audit ini berlawanan dengan ekspektasi perusahaan yang yakin akan ketatnya keamanan informasi yang sudah didukung oleh kebijakan dan prosedur. Ditinjau dari hasil audit beberapa bank, perusahaan memutuskan melakukan audit kepatuhan, audit kepatuhan ini digunakan untuk menguji apakah tingkat kepatuhan terhadap visi dan misi perusahaan mempunyai pengaruh terhadap keamanan informasi perusahaan dan pelanggan. Maka dari itu penelitian ini berfokus pada audit kepatuhan keamanan informasi terhadap visi dan misi perusahaan sebagai best services terhadap pelanggan dalam hal keamanan informasi untuk memastikan bahwa kebijakan dan prosedur yang sudah ada berjalan dengan baik. Jika dalam proses penelitian didapatkan kebijakan dan prosedur yang lemah, maka akan diberikan rekomendasi kebijakan dan prosedur baru guna meningkatkan keamanan informasi. Metodologi yang digunakan adalah framework ISO 27001/ISMS. Dalam penelitian ini peneliti mengharapkan sinkronisasi antara kepatuhan dengan visi dan misi perusahaan serta adanya perbaikan kebijakan dan prosedur yang lemah guna meningkatkan keamanan informasi.

---

PT. XYZ is engagedin the field of billing statements printing, in collaration with several local and foreign banks, so the information security should be regulated as tightly as possible as it relates to the banks customer information. Therefore, PT. XYZ is often audited by its customers, the weakness in information security and the lack of monitoring and evaluation from the authorities have become the audit findings from several banks. This results is in contrast to the expectations of the companies which are confident in the tightness of information security, that has been supported by policies and procedures. Judging from the results of the audit in several banks, the company decided to conduct compliance audits, which are to the test whether the level of compliance to the vision and mission of the company have any impacts on the company's and the customer's information security.

Therefore this study focuses on the audit of compliance information security towards the company's vision and mission as a best services to the customers in terms of information security, to ensure that existing policies and procedures are going well. If in the process of this study weak policies and procedures are discovered, new recommendations will be given to improve information security. The methodology used is ISO 27001/ISMS framework. In this study, the researcher expects the synchronization between compliance and the company's the vision and mission, as well as improvement of weak policies and procedures to improve information security."

"PT. Z adalah organisasi yang bergerak di bidang asuransi kecelakaan lalu lintas, pemanfaatan TI bagi PT. Z adalah untuk mempercepat proses bisnis dan meningkatkan kualitasi penyediaan pelayanan, PT. Z dalam pengelolaan TI harus dapat mengantisipasi risiko yang ada. Pengelolaan terhadap manajemen risiko yang baik bagi PT. Z adalah termasuk kedalam penerapan GCG, untuk BUMN GCG berpedoman kepada Permen BUMN No. PER-02/MBU/2013 yang di rekomendasikan untuk di ikuti oleh semua BUMN, pada GCG PER-02/MBU/2013 salah satu deliverable nya adalah mengenai kebijakan pengelolaan manajemen risiko yang dapat menghasilkan prosedur kerangka kerja pengelolaan risiko TI, selain itu PT. Z memang ingin mengadopsi standar keamanan TI. Dalam penelitian ini, dipilih aplikasi utama dari PT. Z untuk dilakukan perancangan manajemen risiko yang sesuai, aplikasi pelayanan adalah salah satu aplikasi utaman bagi PT. Z dalam menjalankan bisnis nya. Rancangan manajemen risiko pada aplikasi ini memakai framework ISO27005 seperti penentuan konteks, kriteria dasar pengelolaan risiko, penentuan ruang lingkup, penilaian risiko, penanganan dan penerimaan risiko itu sendiri, aset utama dan aset pendukung pada aplikasi ini semua dilakukan penilaian risiko nya dan untuk menghitung nilai risiko menggunakan NIST SP 800-30, pada tahap penanganan risiko mengaplikasikan kontrol - kontrol yang ada pada ISO 27002. Dari hasil penelitian, dapat disimpulkan bahwa terdapat 13 risiko yang akan diterima dan 48 risiko yang akan dilakukan pengurangan dengan mengaplikasikan kontrol yang di rekomendasikan berdasarkan kepada ISO 27002.

---

PT. Z is an organization which run their business for accident insurance, IT Utilization for PT. Z is to accelerate the business processes and to improve the quality of service for their customers. A proper way to managed the risk management for PT. Z is including at implementation of Good Corporate Governance (GCG), GCG at PT. Z is guided by PERMEN BUMN No. PER-02/MBU/2013 which recommended to follow and comply by all of government companies. In PER-02/MBU/2013 one of its deliverable is about the policy of risk management that can give the result of framework IT risk management, in addition PT. Z want to adopt IT security standards.

In this study, has been choosen the main application of PT. Z to do risk management plan and design that appropriate and suitable for PT. Z, one of the key application that they had is “aplikasi pelayanan” to support their main business. Risk management plan and design for this application is using ISO27005 framework for determining the risk context, risk criteria, determining the scope, risk identification, risk estimation, risk evaluation, risk treatment and risk acceptance. Risk estimation using NIST SP 800-30 framework and for risk evaluation using control from ISO27002.

Concluding from this research is that is 13 risks that will accept and 48 risks that want to do a reduction by applied control that recommended by ISO 27002."

"[Minyak dan gas bumi (migas) merupakan sumber daya alam yang sangat strategis bagi Indonesia. Karena hingga saat ini sektor migas masih menjadi salah satu tulang punggung perekonomian nasional, sumber penerimaan dan devisa negara, bahan bakar bagi industri, mendorong investasi, penyerapan tenaga kerja, pemenuhan energi domestik dan peningkatan kemampuan sumber daya manusia serta sumber pengembangan ekonomi daerah. Oleh karena itu, pengelolaan data migas yang baik, akurat, lengkap dan aman akan membantu pemerintah dalam pengambilan keputusan dan kebijakan bidang migas. Karena keterbatasan sumber daya manusia, sarana, dan prasarana, hingga saat ini Pusdatin ESDM bekerja sama dengan pihak ketiga dalam pengelolaan data migas. Namun dalam menjalin kerja sama tersebut, Pusdatin ESDM belum memiliki tata kelola keamanan infomasi yang dibutuhkan untuk mendukung keamanan data dan informasi migas.Berdasarkan hal tersebut, jelas bahwa permasalahan di Pusdatin ESDM terkait keamanan informasi pada pengelolaan data migas adalah aspek kerahasiaan, integritas, dan ketersediaan informasi dan data migas belum didukung secara optimal. Sehingga perlu dikembangkan tata kelola keamanan informasi yang sesuai bagi Pusdatin ESDM untuk pengelolaan data migas yang dikelola pihak ketiga.Penelitian ini membahas perancangan tata kelola keamanan informasi untuk pengelolaan data migas yang dikelola oleh pihak ketiga, dengan menggunakan standar keamanan informasi ISO/IEC 27001:2005. Melalui pendekatan penilaian risiko, dipilih sasaran pengendalian dan pengendalian ISO/IEC 27001:2005 yang sesuai untuk pengelolaan data migas. Berdasarkan sasaran pengendalian dan pengendalian terpilih, dikembangkan tata kelola keamanan informasi untuk pengelolaan data migas yang dikelola oleh pihak ketiga. Dalam hal pemetaan peran dan tanggung jawab keamanan informasi, digunakan konsep RACI pada kerangka kerja OMBOK (Outsourcing Management Body of Knowledge).Hasil penelitian ini didapat rancangan tata kelola keamanan informasi yang sesuai bagi Pusdatin ESDM dalam melaksanakan pengelolaan data migas yang hingga saat ini bekerja sama dengan pihak ketiga.;Oil and gas is a natural resource that is very strategic for Indonesia. Nowadays, oil and gas sector remains one of the backbone of the national economy, source of revenue and foreign exchange, fuel for industry, encourage investment, employment, fulfillment of domestic energy and upgrading of human resources, as well as a source of regional economic development. Therefore, good, accurate, complete and safe data management will assist the government in making decisions and policies of oil and gas fields. Due to limited human resources, facilities, and infrastructure, Pusdatin ESDM (Data and Information Technology Center for Energy and Mineral Resource) cooperate with third parties in oil and gas data management. However, Pusdatin ESDM do not have any governance to make sure the security of oil and gas information.It is clear that the information security problem in Pusdatin ESDM for oil and gas data management is the low concern of data confidentiality, integrity, and availability. So it is necessary to develop information security governance suitable for Pusdatin ESDM for oil and gas data management which are managed by third parties.This study discusses the design of information security governance for oil and gas data management, managed by a third party, by using information security standards ISO/IEC 27001:2005. Through a risk assessment approach, control objectives and control of ISO/IEC 27001:2005 which related to the data management of oil and gas are selected. Based on control objectives and control selected, the information security governance for oil and gas data management that are managed by a third party, are developed and created. In the case of mapping the roles and responsibilities of information security, RACI concept of OMBOK (Outsourcing Management Body of Knowledge) framework is used.The results of this study is an information security governance design suitable for Pusdatin ESDM in implementing oil and gas data management managed by third parties., Oil and gas is a natural resource that is very strategic for Indonesia. Nowadays, oil and gas sector remains one of the backbone of the national economy, source of revenue and foreign exchange, fuel for industry, encourage investment, employment, fulfillment of domestic energy and upgrading of human resources, as well as a source of regional economic development. Therefore, good, accurate, complete and safe data management will assist the government in making decisions and policies of oil and gas fields. Due to limited human resources, facilities, and infrastructure, Pusdatin ESDM (Data and Information Technology Center for Energy and Mineral Resource) cooperate with third parties in oil and gas data management. However, Pusdatin ESDM do not have any governance to make sure the security of oil and gas information.It is clear that the information security problem in Pusdatin ESDM for oil and gas data management is the low concern of data confidentiality, integrity, and availability. So it is necessary to develop information security governance suitable for Pusdatin ESDM for oil and gas data management which are managed by third parties.This study discusses the design of information security governance for oil and gas data management, managed by a third party, by using information security standards ISO/IEC 27001:2005. Through a risk assessment approach, control objectives and control of ISO/IEC 27001:2005 which related to the data management of oil and gas are selected. Based on control objectives and control selected, the information security governance for oil and gas data management that are managed by a third party, are developed and created. In the case of mapping the roles and responsibilities of information security, RACI concept of OMBOK (Outsourcing Management Body of Knowledge) framework is used.The results of this study is an information security governance design suitable for Pusdatin ESDM in implementing oil and gas data management managed by third parties.]"