Hasil Pencarian  ::  Simpan CSV :: Kembali

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi. Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002. Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi.Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002.Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."

"Organisasi perlu menerapkan suatu keamanan informasi yang baik agar proses bisnis organisasi bisa berjalan tanpa ada ancaman. Aset TI merupakan hal yang harus dilindungi dikarenakan berpengaruh dengan proses bisnis organisasi. PT XYZ bergerak dibidang manage service untuk network dan juga cloud. Apabila terjadi kendala pada operasional organisasi dapat mengganggu Service Level Agreement (SLA) dengan pelanggan dan proses bisnis internal. Oleh karena itu, dibutuhkan manajemen risiko keamanan informasi yang tepat dan akurat. Permasalahan pada PT XYZ tidak pernah melakukan pembaharuan terhadap manajemen risiko sudah lebih dari tiga tahun, yang mana organisasi belum mengetahui jika terdapat risiko baru yang mengancam operasional. Operation risk atau risiko operasional akan diteliti dikarenakan operation risk akan berdampak kepada SLA pelanggan dan juga proses bisnis PT XYZ. Sudah ada dua kejadian serangan yang terjadi seperti DDOS Attack dan Ransomware pada aset organisasi beberapa waktu lalu. Maka dari itu dalam suatu organisasi diharuskan mempunyai manajemen keamanan informasi untuk dapat mengontrol segala risiko yang ada agar tidak menimbulkan kerugian pada organisasi. Untuk kerangka kerja dari keamanan informasi menggunakan kontrol dari ISO/IEC 27001:2013 sebagai acuannya. Tujuan dari penelitian ini adalah memberikan rekomendasi usulan ruang untuk berkembang pada organisasi khususnya pada operation risk PT XYZ. Dengan hasil evaluasi kondisi manajemen risiko keamanan informasi menggunakan standar ISO/IEC 27001:2013, didapatkan analisis kesenjangan dengan keamanan informasi pada organisasi sebesar 83,91% atau sebagian besar tercapai. Selanjutnya untuk rekomendasi ruang untuk berkembang menggunakan 10 rekomendasi kontrol dalam bentuk Statement of Applicability (SOA) dan usulan 10 pemilihan kontrol risiko pada risiko yang masih berstatus mitigasi pada operation risk.

---

Organizations must be able to implement a good information security so that the organization can run its business processes without any threats. IT assets are things that must be protected because they affect the organization's business processes. PT XYZ is engaged in managing services for the network and the cloud services. If there are operational problems, the organization cannot monitor links that are down, it will disrupt the Service Level Agreement (SLA) with user and internal business processes. Therefore, appropriate and accurate information security risk management is needed. The problem is that PT XYZ has never updated its risk management for more than three years, which is where the organization does not know if there are new risks that threaten operations. Operation risk or operational risk will be investigated because operation risk has an impact on pelanggan SLA and also organization’s business processes. There have been two incidents of attacks such as DDOS Attack and Ransomware on organizational assets some time ago. Therefore, an organization is required to have information security management to be able to control all existing risks so as not to cause harm to the organization. For the framework of information security using the objective control of ISO/IEC 27001:2013 as a reference. The purpose of this study is to provide recommendations for space proposals to develop in the organization, especially in the operation risk of PT XYZ. With the results of the evaluation of the condition of information security risk management using the ISO/IEC 27001:2013 standard, it was found that a gap analysis with information security in the organization was 83.91% or most of it was achieved. Then for recommendations for space to develop, use 10 objective controls in the form of a Statement of Applicability (SOA) and a proposed 10 selection of risk controls on risks that are still in the status of mitigation on operation risk."

"Risiko pembiayaan sebagai salah satu risiko terbesar dalam industri pembiayaan dan memberikan eksposur yang semakin besar di tengah ketidakstabilan perekonomian. Pada studi kasus ini peneliti melihat risiko pembiayaan secara Enterprise Risk Management (ERM) dengan pendekatan model the Three Lines of Defence dan proses manajemen risiko berdasarkan ISO 31000. Berdasarkan peran dalam the Three Lines of Defence, penerapan proses manajemen risiko pembiayaan di unit bisnis PT XYZ saat ini sebenarnya sudah efektif namun belum sesuai karena dilakukan oleh divisi Risk dan menyebabkan risk owner menjadi kurang merasa bertanggung jawab atas risikonya. Kemudian, Audit Internal belum dapat menggunakan hasil manajemen risiko tersebut dalam meningkatkan sistem pengendalian intern perusahaan. Selain itu, penerapan manajemen risiko pembiayaan masih terpisah dari risiko lainnya dan tidak dilihat secara ERM.

---

Financing risk is one of the biggest risk in financial industry and give more exposure in the economic instability. In this case study researcher views financing risk in Entreprise Risk Management (ERM) way with the Three Lines of Defence model as approach and risk management process based on ISO 31000. Based on function in the Three Lines of Defence, implementation of financing risk management process in business unit PT XYZ for now is effective enough practically but not appropriate because it is implemented by Risk division and leads risk owner become irresponsible with their own risk. Afterwards, Internal Audit had not utilized risk management result for improving company?s internal control system. Furthermore, implementation of financing risk management is still detached from other risks and not observed with ERM."

"Digitalisasi telah merambah ke berbagai aspek kehidupan, termasuk sektor pemerintahan di bidang pengawasan pengelolaan keuangan negara. SIMWAS adalah sistem informasi di Instansi XYZ yang digunakan untuk mengelola kegiatan pengawasan dan tindak lanjut hasil pengawasan. SIMWAS merupakan aset penting yang memuat seluruh proses bisnis pengendalian internal, namun pada praktiknya, risiko keamanan informasi SIMWAS belum dikelola dengan baik. Untuk mengatasi permasalahan tersebut, diperlukan manajemen risiko keamanan informasi pada SIMWAS. Penelitian ini bertujuan untuk merancang dan menganalisis manajemen risiko keamanan informasi SIMWAS menggunakan kerangka kerja berdasarkan integrasi standar ISO/IEC 27005:2018, ISO/IEC 27002:2013, dan NIST SP 800-30 Rev 1. Kerangka kerja ISO/IEC 27005:2018 digunakan sebagai kerangka kerja utama manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan proses penilaian risiko, dan ISO/IEC 27002:2013 sebagai referensi rekomendasi penanganan risiko. Penilaian risiko keamanan informasi SIMWAS dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, dan telaah dokumen. Hasil penelitian ini menunjukkan bahwa keamanan informasi SIMWAS memiliki 8 risiko level rendah, 9 risiko level sedang, dan 5 risiko level tinggi. Penelitian ini menghasilkan 14 rekomendasi penanganan risiko untuk 5 risiko level tinggi dan 9 risiko level sedang, sedangkan 8 risiko level rendah dapat diterima sesuai dengan selera risiko organisasi. Instansi XYZ perlu melakukan analisis risiko residu dan analisis biaya-manfaat dari penerapan kontrol di setiap skenario risiko.

---

Digitalization has penetrated various aspects of life, including the government sector in the field of supervising state financial management. SIMWAS is an information system in the XYZ Agency that is used to manage surveillance activities and follow up on the results of supervision. SIMWAS is an important asset that includes all internal control business processes, but in practice, SIMWAS information security risks have not been managed properly. To overcome these problems, information security risk management is required at SIMWAS. This study aims to design and analyze SIMWAS information security risk management using a framework based on the integration of ISO/IEC 27005:2018, ISO/IEC 27002:2013, and NIST SP 800-30 Rev 1 standards. The ISO/IEC 27005:2018 framework is used as the main framework in risk management, NIST SP 800-30 Rev. 1 as a guideline for risk assessment process, and ISO/IEC 27002:2013 as a reference for risk treatment recommendations. SIMWAS information security risk assessment is carried out by analyzing data obtained from the results of interviews, observations, and document reviews. The results of this study indicate that SIMWAS information security has 8 low-level risks, 9 medium-level risks, and 5 high-level risks. This study result 14 risk treatment recommendation for 5 high-level risks and 9 medium-level risks, while 8 low-level risks are acceptable according to the organization's risk appetite The XYZ Agency needs to carry out a residual risk analysis and a cost-benefit analysis of implementing controls in each risk scenario."

"Penelitian ini merupakan studi kasus pada Perusahaan Pembangkit Listrik dengan melakukan analisis manajemen risiko pada siklus pengeluaran Unit Pemeliharaan Pembangkit Listrik. Pentingnya fungsi manajemen risiko dan belum adanya manajemen risiko pada siklus pengeluaran merupakan dasar dilakukannya penelitian ini agar perusahaan dapat memperoleh gambaran dari proses identifikasi risiko, analisis risiko, evaluasi risiko, penanganan risiko serta usulan mitigasi risiko pada area yang membutuhkan penanganan. Pendekatan penelitian dilakukan secara kualitatif dengan instrumen penelitian menggunakan observasi, telaah dokumen, dan wawancara. Proses manajemen risiko menggunakan framework ISO 31000:2018 dengan hasil penelitian menunjukan terdapat 185 risiko teridentifikasi pada siklus pengeluaran. Terdapat 136 pos risiko (73,51%) dengan kategori risiko moderat dan terdapat 49 pos risiko (26,49%) dengan kategori risiko tinggi. Pada level moderat risiko dapat diterima dengan pemantauan Key Risk Indicator (KRI) dan pada risiko tinggi dilakukan mitigasi risiko sehingga mencapai risiko moderat. Manfaat dari penelitian ini adalah dapat digunakan sebagai dasar untuk melakukan audit berbasis risiko dan sebagai acuan dalam penerapan manajemen risiko pada siklus pengeluaran Unit Pemeliharaan Pembangkit Listrik.

---

This research is a case study by analyzing the risk management on the expenditure cycle in the Power Plan Maintenance Unit. The importance of the risk management function and the absence of risk management on the expenditure cycle are the basis of this research. The aims of the study are to obtain an overview of the process of risk identification, risk analysis, risk evaluation, risk management, and give the recommendation of risk mitigation in areas that require handling. The research approach with the qualitative method with research instruments used observation, document review, and interviews.  The risk management framework used at ISO 31000: 2018. The results of the study showed that there were 185 identified risks in the expenditure cycle. There are 136 risks (73.51%) with a moderate risk category and 49 risks (26.49%) with a high-risk category. At a moderate level, the risk can be accepted by monitoring the Key Risk Indicator (KRI) and a high-risk level, risk mitigation is carried out to reach a moderate risk. The benefit of this research is that the results can be used as a basis for conducting risk-based audits and as a reference for implementing risk management in the Power Plant Industry. "

"Manajemen risiko operasional penting dilakukan untuk memberikan peringatan terkait munculnya risiko. Manajemen risiko operasional yang dilakukan saat ini belum terintegrasi dengan baik antar divisi di perusahaan. Risiko operasional yang signifikan saat ini di lokasi tambang Kalimantan Selatan ialah risiko produktivitas yang berkaitan dengan minimnya ketersediaan bahan bakar dan risiko proses berkaitan dengan material jalanan yang buruk dan kondisi cuaca. Penanganan risiko yang dilakukan ialah mengupayakan pengadaan tangki bahan bakar yang lebih besar dan penyediaan alat. Peran manajemen risiko operasional saat ini belum maksimal yang disebabkan oleh minimnya kesadaran risk owner untuk melakukan manajemen risiko. Terdapat pendekatan manajemen risiko yakni COSO Enterprise Risk Management yang menekankan bahwa risiko harus dikelola oleh seluruh pihak di perusahaan dan harus sesuai dengan tujuan perusahaan yang hendak ingin dicapai Dengan menggunakan pendekatan COSO Enterprise Risk Management, terdapat beberapa elemen yang belum terlaksana dengan baik yakni internal environment dimana masih rendahnya komitmen dari risk owner untuk mengelola risiko. Komponen control activities dan monitoring juga belum dilakukan dengan baik karena rendahnya proses dokumentasi dari penanganan risiko serta pengawasan yang kurang efektif.

---

Operational risk management is necessary to provide a warning related to the emergence of risk. Operational risk management these day do not well integrated among all divison in the company. Significabt operational risks that present at the mine site in South Kalimantan is productivity risk associated with the lack of availability of the fuel and material risks associated with the poor road and weather condition. Mitigation risks undertaken is seeking procurement of larger fuel tank and adding tools. The role of operational risk management is currently not maximized due to lack of awareness from risk owner to perform risk management.

There is a risk management approach, the COSO Enterprise Risk Managemet which emphasizes that the risks should be managed by the whole company and must be in accordance with the company?s goals are going to be achieved. Based on the COSO Enterprise Risk Management approach, there are some element that have not done well that is low commitment from the owner to manage the risk. Also control and monitoring activities have not done well because of poor documentation process related to risk mitigation and ineffective monitoring."

"Induk Koperasi X memiliki unit bisnis agar bisa menyejahterakan anggota secara mandiri. Salah satu bisnis yang dijalankan adalah jasa penyewaan gedung Graha Nusantara (disamarkan). Sejak pandemi tahun 2020 permintaan penyewaan gedung menurun drastis, dan belum kembali seperti sebelum pandemi. Selain itu, sebagai bisnis yang bergerak dibidang pelayanan jasa, Graha Nusantara mengalami permasalahan yang berkaitan dengan operasional bisnisnya seperti pembatalan acara oleh pihak konsumen dengan berbagai alasan, perawatan dan pengelolaan gedung, pengelolaan pegawai hingga yang berkaitan dengan vendor rekanan. Hal ini menyebabkan Graha Nusantara terus merugi karena operasional gedung tidak efektif yang sebenarnya dapat dicegah dengan mengefektifkan operasional Graha Nusantara. Penelitian ini bertujuan mengevaluasi manajemen risiko operasional di unit bisnis Graha Nusantara, yang merupakan bisnis penyewaan gedung, dengan mengacu pada standar manajemen risiko berdasarkan ISO 31000:2018 serta penilaian risiko menggunakan risk breakdown structure dan failure mode and effect analysis. Metode yang digunakan dalam penelitian ini adalah analisis kualitatif deskriptif dengan pendekatan studi kasus, melalui teknik pengumpulan data wawancara dan dokumentasi. Hasil penelitian menunjukan manajemen risiko belum menentukan proses ruang lingkup, konteks dan kriteria sesuai ISO 31000:2018 serta teridentifikasi sembilan belas risiko dengan berbagai tingkatan risiko. Oleh karena itu, penelitian ini merekomendasikan penanganan masing- masing risiko dan diharapkan manajemen menetapkan kebijakan manajemen risiko terutama risiko operasional.

---

Induk Koperasi X has a business unit so that it can prosper members independently. One of the businesses run is the Graha Nusantara (disguised) building rental service. Since the pandemic in 2020 the demand for building rentals has decreased dramatically, and has not returned to what it was before the pandemic. In addition, as a business engaged in services, Graha Nusantara experiences problems related to its business operations such as event cancellations by consumers for various reasons, building maintenance and management, employee management to those related to partner vendors. This causes Graha Nusantara to continue to lose money due to ineffective building operations which could have been prevented by streamlining Graha Nusantara's operations. This study aims to evaluate operational risk management in the Graha Nusantara business unit, which is a building rental business, by referring to risk management standards based on ISO 31000: 2018 and risk assessment using risk breakdown structure and failure mode and effect analysis. The method used in this research is descriptive qualitative analysis with a case study approach, through interview and documentation data collection techniques. The results showed that risk management has not determined the scope, context and criteria process according to ISO 31000: 2018 and nineteen risks with various levels of risk were identified. Therefore, this study recommends handling each risk and it is expected that management establishes risk management policies, especially operational risks."

"ABSTRAKTesis ini membahas mengenai analisis risiko operasional khususnya risikoteknologi informasi pada PT. XYZ menggunakan metode Cause-Effect. MetodeCause-Effect merupakan metode penilaian risiko yang menggunakan logikahubungan sebab-akibat (cause-effect) dalam menentukan kemungkinan risikoyang dapat terjadi. Implementasi ISO 27001 pada bagian Teknologi Informasi PT.XYZ menghasilkan profil risiko Teknologi Informasi yang menjadi dasarpelaksanaan Sistem Manajemen Keamanan Informasi. Penelitian inimenggunakan profil risiko bagian Teknologi Informasi PT. XYZ sebagai dasaruntuk melakukan kuantifikasi penilaian risiko operasional menggunakan metodeCause-Effect. Kuantifikasi risiko operasional PT. XYZ dimulai dengan melakukandekomposisi dan membentuk submodel profil risiko teknologi informasi yang ada.Berdasarkan parameter risiko yang ada pada Kebijakan PT. XYZ, kemudiandilakukan simulasi kuantifikasi risiko dengan pendekatan Loss DistributionApproach - Aggregation model untuk memberikan gambaran kerugian finansialyang dapat terjadi.

---

ABSTRACTThis thesis analyze the operational risk specifically informationtechnology risk at PT. XYZ using Cause-Effect method. Cause-Effect method is arisk assessment method that uses a logic of causality relationship in determiningthe possible risks that can occur. Implementation of ISO 27001 at the InformationTechnology unit of PT. XYZ generate risk profiles that is used as the basis of theInformation Technology Security Management System implementation. Thisstudy uses the risk profile of Information Technology unit PT. XYZ as the basisfor quantifying operational risk assessment using the Cause-Effect method. PT.XYZ's operational risk quantification begins by decomposing and formingsubmodel of technology risk profile information. Based on the risk parametersthat exist in PT. XYZ's risk management policy, risk quantification simulationsusing Loss Distribution Approach - Aggregation model can be done to provideillustrations on financial loss that may occur."

"Call center perbankan merupakan salah satu bagian dari organisasi dalam perbankan yang memberikan pelayanan virtual kepada nasabah melalui media akses telepon.Call center memiliki peranan yang jauh lebih penting dari yang dibayangkan oleh sebagian besar orang di perusahaan. Divisi inilah yang menjadi representatif perusahaan yang bersentuhan langsung dengan pelanggan. Sehingga dapat dikatakan sebagai pusatnya data-data penting para nasabah dan reputasi perusahaan sangat dipengaruhi oleh call center.Berada di level 10 besar perusahaan perbankan di indonesia, menjadikan PT.XYZ meninjau ulang manajemen di lingkungan internalnya. Terfokus pada divisi call center, PT.XYZ menginginkan untuk membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi. Karena keamanan informasi sangat diperlukan untuk menjaga agar data-data nasabah tidak bocor ke pesaing bisnisnya. Selain itu juga untuk meningkatkan tingkat kepercayaan nasabah terhadap PT.XYZ. Penelitian ini dilakukan untuk melakukan evaluasi terhadap tingkat keamanan risiko sekaligus membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi di divisi call center yang mengacu kepada ISO 27001:2013, sehingga segala kegiatan yang berkaitan dengan call center dapat lebih terkontrol dan meminimalisir kemungkinan risiko yang dapat merugikan PT.XYZ baik secara finansial maupun fungsional.

---

Call center PT.XYZ is a part of the bank organization that provides virtual services to customersby phone call. Call center has much more important functions than imagined by the mostly people.This division became direct representative of the company that contact with customers, so it can be said as the center of important data from the customers and the companys reputation is strongly influenced by the call center.PT.XYZ is one of the top 10 largest banking companies in Indonesia, making PT.XYZ reviewing its internal environmental management.Focused on call center division, PT.XYZ wants to create a new policy related to information security risk management.Because information security is highly important to keep the customers data not leaked to a competitor business. In addition, to increase the level of customer trust and confidence of the PT.XYZ.This study was conducted to evaluate the safety level of risk at the same time create a new policy related to information security risk management in the division call center which refers to the ISO 27001: 2013,so that all activities related to call center can be better controlled and minimize the possible risks that can harm PT.XYZ both financially and functionally."