Hasil Pencarian  ::  Simpan CSV :: Kembali

"ABSTRAKHasil audit TI tahun 2016 merekomendasikan BPK RI untuk membuat kebijakan terkait keamanan data dan informasi, agar dapat menerapkan tata kelola teknologi informasi dan komunikasi (TKTIK) BPK RI. Sebagai pemeriksa pemeriksa eksternal pemerintah, BPK RI wajib untuk melaksanakan UU Nomor 15 Tahun 2006 tentang BPK. Di dalamnya menyuratkan bahwa BPK RI harus mengamankan data kertas kerja pemeriksaan (KKP) dan membatasi pemakaiannya hanya untuk keperluan pemeriksaan saja. BPK RI menggunakan Sistem Aplikasi Pemeriksaan (SiAP) untuk mendokumentasikan KKP yang sudah didapatkan dan diolah saat pemeriksaan. Karena itu, SiAP sebagai sistem elektronik strategis BPK RI harus dilengkapi dengan fasilitas yang menjamin keamanan informasinya. Hal itu sejalan dengan Permenkominfo tentang sistem manajemen pengamanan informasi. Dari kebutuhan tersebut, maka kebijakan keamanan informasi terhadap SiAP menjadi prioritas untuk dibuat terlebih dahulu sebelum dokumen dan aksi lainnya sesuai urutan tata dokumen keamanan informasi. Kebijakan keamanan informasi ini disusun dengan menggunakan ISO/IEC 27001 sebagai kerangka utama, ISO/IEC 31000 terkait konteks organisasi, dilengkapi dengan NIST SP 800-53r4 dan elemen-elemen dari penelitian sebelumnya. Penelitian ini disusun mulai dari perumusan masalah, penyusunan kerangka kerja, penyusunan kebijakan penanganan risiko keamanan informasi (focus group discussion/FGD bersama pelaku TIK di BPK RI), hingga menghasilkan kebijakan keamanan informasi terhadap SiAP.

---

ABSTRACT

The result of IT Audit on 2016 recommended BPK RI to construct data and information security policy to comply with Information and Communication Technology governance in BPK. As independent external auditor of government, BPK RI must conform with Law number 15 of 2016 regarding BPK RI. It states that BPK RI must secure audit workpaper and limit its use for audit purposes only. BPK RI use Sistem Aplikasi Pemeriksaan (SiAP) to record audit workpapers which are obtained and processed during the audit. Consequently, as strategic electronic system of BPK RI, SiAP must be equipped by facilities which ensure its security of information. It is aligned with the Minister of Communication and Information Regulation regarding the information security management system. From those needs, the information security policy for SiAP is a priority to be made foremost before the documents and other actions in accordance with the order of information security document system. This information security policy was prepared using ISO / IEC 27001 as the main structure, ISO / IEC 31000 related to organizational context, supplemented with NIST SP 800-53r4 and elements from former researchs. This research was compiled starting from the formulation of the problem, the forming of the framework, the compiling of information security risk management policies (focus group discussions / FGDs with ICT actors in BPK RI), until producing information security policy for SiAP."

"Sistem Informasi Manajemen Pemeriksaan pada Badan Pemeriksa Keuangan RI merupakan sistem utama yang mendukung proses bisnis BPK RI dalam pemeriksaan pengelolaan dan tanggung jawab keuangan negara. Namun dalam implementasinya penggunaan sistem ini relatif masih rendah dan masih ditemukan kendala untuk mengakses sistem. Padahal melalui sistem tersebut diharapkan bisa memperbaiki kinerja terkait pemeriksaan.

Penelitian ini dilakukan untuk mengetahui faktor-faktor yang mempengaruhi diterimanya Sistem Informasi Manajemen Pemeriksaan. Model yang digunakan dalam penelitian ini menggabungkan model Technology Acceptance Model dengan penambahan variabel eksternal dari model UTAUT, keberhasilan sistem informasi Delone & McLean, dan symbolic adoption. Data dikumpulkan dengan mengirimkan kuesioner kepada 160 pegawai Badan Pemeriksa Keuangan RI di seluruh Indonesia, dan diperoleh sampel sebanyak 127 responden. Data yang terkumpul tersebut kemudian diolah dengan menggunakan teknik Structural Equation Modeling (SEM) dan path analysis.

Hasil penelitian ini membuktikan bahwa kualitas sistem, kualitas informasi dan kemampuan diri menjadi faktor yang mendorong diterimanya Sistem Informasi Manajemen Pemeriksaan. Selain itu penelitian ini juga membuktikan validitas dari teori TAM dengan terbuktinya perceived ease of use dan perceived usefulness mempengaruhi dalam adopsi dari teknologi. Dengan mempertimbangkan hasil ini, BPK diharapkan bisa memfokuskan pengembangan sistem tersebut pada aspekaspek kualitas sistem dan informasi.

---

Audit Management Information System in Badan Pemeriksa Keuangan RI is the main system to support BPK RI?s business process in auditing state finance management and accountability, but in reality the implementation is relatively weak and there are still obstacles to access the system, even though the system was built to improve the audit performance.

The purpose of this study is to find out the factors behind the acceptability of Audit Management Information System. The model used is a combination of Technology Acceptance Model with addition of external variable from UTAUT model, Delone & McLean of information system success and symbolic adoption. Data compiled from questionnaire being sent to 160 BPK RI employees across the nation, with sample of 127 respondents. The data then studied using Structural Equation Modeling (SEM) and path analysis methods.

Results of the study shows that system quality, information quality and selfefficacy are affecting acceptability of Audit Management Information System. Besides that, this study also proves the validity of TAM theory which shows perceived ease of use and perceived usefulness contribute to technology adoption rate. Considering the result of this study, to develop the system BPK should focus on quality of the information and the system itself."

"Dalam mengembangkan layanan berbasis teknologi terbaru, perusahaan dituntut untuk cepat menyesuaikan diri terhadap kebutuhan konsumen. Hal yang sama juga terjadi pada bisnis perbankan, khususnya XYZ. Tuntutan pembaruan sistem yang cepat berdampak kepada kurangnya prioritas kepada aspek keamanan informasi pada proses pengembangan dan pengelolaan teknologi. Di sisi lain, bank dituntut untuk selalu mempertimbangkan aspek keamanan informasi demi menghindari terjadinya insiden terkait keamanan informasi, baik yang muncul dari aspek sumber daya manusia, prosedur, maupun aspek teknis. Penelitian ini bertujuan untuk merancang kebijakan keamanan yang mencakup proses bisnis yang ada pada XYZ, yaitu proses transaksi SKN, dimana saat ini belum memiliki kebijakan keamanan informasi yang berlaku secara formal. Dengan adanya kebijakan keamanan informasi, diharapkan setiap stakeholder, baik pada tahap pengembangan, maupun tahap operasional aplikasi dapat mempertimbangkan aspek keamanan tanpa mengurangi kegesitan bank dalam menghadirkan solusi kepada nasabahnya. Hasil dari penelitian ini berupa kebijakan keamanan informasi yang didasarkan pada analisa risiko yang terdapat pada tahap pengembangan aplikasi dan operasional SKN. Kebijakan keamanan informasi yang disusun mengacu kepada standar keamanan SANS yang dapat menemukan risiko spesifik terhadap proses bisnis transaksi SKN.

---

In terms of development of the latest service based on new technologies, every company is demanded to adapt with customer’s needs. The same thing also happened in financial services institute, especially XYZ. Requirement to update the system in a short time impacted to lack of information security concern within the development and operational phase. On the other side, banks are required to prioritize information security aspect in order to prevent incident related with it that might comes from human, process, and technology. This research aims to design an information security policy that covers operational of National Clearing System Transaction in XYZ, which doesn’t have a formal written policy. By applying such policy, all of the stakeholder in this system will consider the security aspect, both in development and operational phase, without reducing bank’s agility to deliver solution to its customer. The result of this study produces an information security policy based on risk assessment conducted within the operational and development phase. The composed policy refers to SANS security policy guidelines and produce a unique policy which relevant with National Clearing System’s process business."

"Risiko pemeriksaan mempengaruhi standar pekerjaan lapangan dan standar pelaporan dalam pemeriksaan laporan keuangan. Salah satu aspek yang dinilai paling mempengaruhi risiko pemeriksaan di era informasi sekarang ini adalah risiko keamanan informasi. Perlunya penilaian risiko keamanan informasi dari aspek TI kerana teknologi informasi sangat mempengaruhi berbagai macam aktivitas dalam organisasi diantaranya penyusunan laporan keuangan yang merupakan keluaran dari sebuah sistem yang menggunakan teknologi informasi, tidak terkecuali instansi pemerintah. Penelitian ini akan menyusun alat bantu dan kerangka kerja penilaian risiko keamanan informasi di instansi pemerintah yang berbasis ISO 27001. Narasumber yang terdiri dari pengendali teknis, auditor dan pejabat eselon I BPK RI diwawancara untuk memilih aktivitas pengendalian dalam ISO 27001 yang penting dalam penilaian risiko keamanan informasi. Hasil pemilihan aktivitas tersebut dijadikan input dalam perancangan model kerangka kerja, dimana kerangka kerja tersebut akan diuji publik di Pemerintah Kota Tangerang oleh beberapa auditor. Hasil penelitian ini dapat membentuk suatu alat bantu dan kerangka kerja untuk memudahkan para auditor di BPK dalam proses penilaian risiko keamanan informasi untuk menunjang perencanaan pemeriksaan laporan keuangan pemerintah daerah dimana terdiri dari unsur-unsur dalam program audit yakni ruang lingkup audit, tujuan audit, tahap perencanaan, tahap pelaksanaan, dan tahap penyelesaian yang dirumuskan dari aktivitas dan praktik pengendalian di ISO 27001 terpilih. Kerangka kerja dilengkapi dengan indikator dampak dan kecenderungan dari setiap risiko aktivitas yang didapat dari klausal-klausal ISO 27001.

---

Inspection risks affecting standard of field works and standards of examination report of financial statements. One aspect that is considered the most influencing risk in todays information age is a risk of information security covering aspects of IT and non IT aspects. The needs for information risk security assesment of IT aspects which due to the rapid information technology development, which greatly affects wide range of activities within organization including stated financial reports, is the output of a system that uses information technology, including government agencies. This research develop tools and frameworks in the information security risk assesment at government agencies based on ISO 27001. Resource persons consisting of technical controllers, auditor and BPK echelon I are interviewed to select the ISO 27001 control activities which are important in the information security risk assesment.

Election results will serve as input in designing the model framework, which then some auditors will perform public test in Tangerang city government. The results of this study can form a frameowkrs and tools to facilitate the BPK auditors in the process of information security risk assesment to support inspection planning of local government financial reports, which consist of the elements in the audit program such as audit scope, audit objectives, planning phase, stages of implementation, and completion stages of activities and practices defined in the selected ISO 27001. The framework comes with indicators of the impact and trends of each risk activity derived from ISO 27001 clauses."

"Sistem Penyelenggaraan Berbasis Elektronik (SPBE) adalah bagian penting dari transformasi digital di instansi pemerintahan, salah satunya adalah Instansi XYZ. Meskipun era digital menawarkan banyak keuntungan akan tetapi tidak lepas dari risiko, seperti ancaman siber yang mengancam keamanan nasional. Fokus penelitian ini adalah Pusat Data dan Informasi,  sebagai satuan kerja pelaksana teknologi informasi dalam upaya meningkatkan keamanan siber di Instansi XYZ. Indeks KAMI adalah salah satu alat yang dapat digunakan untuk mengukur seberapa siap dan lengkap keamanan informasi. Ini memastikan bahwa proses peningkatan kualitas keamanan informasi dapat dilakukan dengan cepat dan efisien. Indeks KAMI v 4.2 digunakan untuk mengukur tingkat kematangan keamanan informasi, selain itu digunakan untuk mengevaluasi dan memberikan rekomendasi keamanan informasi sesuai dengan kerangka kerja SNI ISO 27001:2013 untuk Instansi XYZ. Berdasarkan data tahun 2022, hasil penilaian dari sistem elektronik Instansi XYZ masuk dalam kategori “Tinggi”. Sedangkan hasil evaluasi akhirnya mendapatkan nilai total 213 dari total 645 untuk kesiapan dan kelengkapan keamanan informasi. Nilai-nilai tersebut diperoleh dari bagian Tata Kelola 35 poin, Pengelolaan Risiko 18 poin, Kerangka Kerja Keamanan Informasi 40 poin, Pengelolaan Aset 59 poin, dan Teknologi dan Keamanan Informasi 61 poin. Dengan kata lain, Instansi XYZ masih memiliki tingkat kematangan keamanan informasi pada level I hingga I+ dengan status kesiapan "Tidak Layak". Menurut Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik, Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik diwajibkan untuk menerapkan SNI ISO 27001:2013  dan atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga, yang penerapannya tergantung pada tingkat kategori Sistem Elektroniknya. Hasil analisis Instansi XYZ belum memiliki kebijakan sistem manajemen keamanan informasi yang ditetapkan, walau sudah menerapkan aspek teknis dibeberapa kategori. Hasil penelitian ini merekomendasikan penerapan kontrol keamanan serta penyusunan kebijakan sistem manajemen keamanan informasi dengan menggunakan kerangka kerja SNI ISO 27001:2013.  Rekomendasi ini diharapkan dapat diimplementasikan pada Instansi XYZ guna menjamin implementasi keamanan informasinya.

---

The System of Electronic-Based Organization (SPBE) is an important part of digital transformation in government agencies, one of which is XYZ Agency. Although the digital era offers many advantages, it is not free from risks, such as cyber threats that threaten national security. The focus of this research is the Data and Information Center, as the implementing work unit for information technology in an effort to improve cybersecurity at XYZ Agency. KAMI Index is one of the tools that can be used to measure how ready and complete information security is. This ensures that the process of improving the quality of information security can be done quickly and efficiently. KAMI Index v 4.2 is used to measure the maturity level of information security, besides that it is used to evaluate and provide information security recommendations in accordance with the SNI ISO 27001: 2013 framework for XYZ Agencies. Based on 2022 data, the assessment results of the XYZ Agency's electronic system fall into the "High" category. While the final evaluation results get a total score of 213 out of a total of 645 for information security readiness and completeness. These values are obtained from the Governance section 35 points, Risk Management 18 points, Information Security Framework 40 points, Asset Management 59 points, and Technology and Information Security 61 points. In other words, XYZ Institution still has an information security maturity level at level I to I+ with a readiness status of "Not Feasible". According to BSSN Regulation Number 8 of 2020 concerning Security Systems in the Implementation of Electronic Systems, Electronic System Providers that operate Electronic Systems are required to implement SNI ISO 27001: 2013 and or other security standards related to cybersecurity set by BSSN and other security standards related to cybersecurity set by Ministries or Institutions, whose application depends on the level of the Electronic System category. The results of the analysis of XYZ Institution do not yet have a defined information security management system policy, even though they have implemented technical aspects in several categories. The results of this study recommend the implementation of security controls and the preparation of an information security management system policy using the SNI ISO 27001: 2013 framework.  This recommendation is expected to be implemented at XYZ Agency to ensure the implementation of information security."

"ABSTRAKDari hasil asesmen dengan menggunakan alat evaluasi Indeks Keamanan Informasi KAMI v.3.1 yang dilakukan dengan KOMINFO, hasil skor mendapatkan nilai 192 yang berarti tingkat kelengkapan/kematangan keamanan informasi LIPI masih berada di level I atau tidak layak dalam Indeks KAMI. Penelitian ini memfokuskan pada bagaimana rancangan kebijakan sistem manajemen keamanan informasi SMKI yang dapat diterapkan di LIPI, dengan hasil akhir berupa rancangan kumpulan kebijakan terkait keamanan informasi/SMKI yang sesuai dengan indikator indeks KAMI dan dapat diterapkan di LIPI. Penelitian ini menggunakan kerangka kerja ISO/IEC 27001:2013 sebagai kerangka kerja utama untuk perancangan SMKI dan menggunakan ISO/IEC 27005:2011 sebagai proses manajemen risiko, serta ISO/IEC 27002:2013 untuk pengendaliannya. Metodologi penelitian yang digunakan adalah penelitian studi kasus. Hasil dan kesimpulan dari penelitian ini adalah rancangan kebijakan keamanan informasi yang sesuai dengan indikator indeks KAMI. Rancangan yang telah dibuat telah direviu oleh tim ahli LIPI dan telah mengikuti format penyusunan kebijakan LIPI.

---

ABSTRACTFrom the assessment results using the evaluation tool Indeks Keamanan Informasi KAMI v.3.1 conducted with KOMINFO, the score result get a value of 192 which means the level of completeness maturity of LIPI information security is still at level I or not feasible in Indeks KAMI. This study focuses on how the design of information security management system ISMS can be applied in LIPI, with the final result of the design of information security related policies ISMS in accordance with Indeks KAMI indicators and applicable in LIPI. This study uses the ISO IEC 27001 2013 framework as the main framework for the design of the ISMS and uses ISO IEC 27005 2011 as a risk management process, and ISO IEC 27002 2013 for its control. The research methodology used is case study research. The results and conclusions of this study are the design of an information security management system in accordance with Indeks KAMI indicators. The design that has been made has been reviewed by the LIPI expert team and has followed the LIPI policy formulation format. "

"Ancaman terhadap keamanan informasi menjadi hal yang sering dijumpai saat ini baik di lingkup individu maupun organisasi. Beberapa jenis ancaman tersebut berasal dari serangan virus, malware, web defacement dan phising. Untuk mengantisipasi dan merespon serangan tersebut, lembaga XYZ membentuk tim insiden respon atau yang dikenal sebagai CSIRT ( Computer and Security Incident Response Team). Penanganan insiden keamanan informasi merupakan aspek kritis dalam memastikan integritas dan kelangsungan operasional suatu organisasi. Berdasarkan catatan, insiden keamanan informasi masih sering terjadi hingga saat ini di lingkungan organisasi.Penelitian ini bertujuan untuk melakukan analisis terhadap pendekatan yang diambil oleh organisasi dalam menangani insiden keamanan informasi dengan area fokus pada efektivitas langkah-langkah yang dilakukan. Kerangka kerja yang digunakan adalah ISO/IEC 27035:2016, terdapat 69 klausul dilakukan untuk mengevaluasi penanganan insiden dan 62 klausul untuk diterapkan untuk perencanaan kebijakan penanganan insiden. Hasil asesmen pada lembaga XYZ menggunakan ISO/IEC 27035 mengenai manajemen insiden keamanan informasi didapatkan bahwa organisasi telah menerapkan sejumlah 53% dari 69 klausul yang diterapkan.

---

Threats to information security are something that is often encountered today, both in individuals and organizations. Several types of threats come from virus attacks, malware, web defacement and phishing. To anticipate and respond to these attacks, XYZ Institution formed an incident response team or known as CSIRT (Computer and Security Incident Response Team). Handling information security incidents is a critical aspect to ensuring the integrity and operational continuity of an organization. Based on records, information security incidents still frequently occur today in organizational environments.

This research aims to conduct an analysis of the approaches taken by organizations in handling information security incidents with a focus area on the effectiveness of the steps taken. The framework used is ISO/IEC 27035:2016, there are 69 clauses to evaluate incident handling and 62 clauses to be applied for planning incident handling policies. The results of an assessment at XYZ institution using ISO/IEC 27035 regarding information security incident management found that the organization had implemented 53% of the 69 clauses implemented."

"Pada bulan September 2021, dilaporkan adanya dugaan pembobolan dan penyusupan hacker kedalam 10 Kementerian, Lembaga dan Instansi Pemerintah. Instansi XYZ adalah salah satunya. Instansi XYZ merupakan badan pengawas pemerintah yang belum menerapkan dan merancang kebijakan keamanan informasi dengan baik. Adanya peraturan dari Kementerian Kominfo dan BSSN terkait dengan keamanan informasi, membuat Instansi XYZ berinisiatif untuk memperbaiki kebijakan keamanan informasi sesuai dengan standar yang ditentukan oleh Kementerian Kominfo dan BSSN, yakni dengan menggunakan standar SNI ISO/IEC 27001:2013 Kebijakan keamanan informasi di Instansi XYZ dirancang sebagai acuan dalam mengidentifikasi dan memahami penilaian aset, ancaman, kerentanan, kemungkinan terjadinya gangguan, dan dampak yang didapatkan terhadap keamanan informasi. Penelitian ini dibuat dengan tujuan untuk merancang kebijakan keamanan informasi di Instansi XYZ menggunakan standar SNI ISO/IEC 27001:2013. Pengumpulan data dan uji validasi rancangan kebijakan keamanan informasi dilakukan dengan menggunakan metode wawancara dengan pihak terkait, antara lain: Kepala TI, sub koordinator keamanan informasi TI sub koordinator informasi, sub koordinator tata kelola TI dan manajemen risiko TI, dan sub koordinator infrastruktur. Selain itu, pengumpulan data juga dilakukan dengan melakukan analisis dokumen internal organisasi, studi literatur, dan mengkaji penelitian-penelitian yang dilakukan sebelumnya. Adapun penelitian ini dilakukan dengan beberapa tahapan, yaitu identifikasi aset, ancaman dan kerentanan; identifikasi risiko; penilaian risiko; penentuan kontrol risiko. Hasil penelitian ini memberikan rancangan kebijakan keamanan informasi yang sesuai dengan Instansi XYZ.

---

In September 2021, it was reported that there were allegations of hacking and cyber-attack on 10 ministries, institutions, and government in Indonesia. XYZ Institute is one of them. XYZ Institute is a government supervisory that has not implemented and designed information security policies properly. Following regulations from the Ministry of Communications and Informatics and BSSN related to information security, made XYZ Institute take the initiative to improve information security policies in accordance with the standards set by the Ministry of Communications and Informatics and BSSN using SNI ISO/IEC 27001:2013 The information security policy at XYZ Institute is designed as a reference in identifying and understanding the assessment of assets, threats, vulnerabilities, the possibility of interference, and the impact on information security. This study aims to design an information security policy at XYZ Institute, using the SNI ISO/IEC 27001:2013 as the standard. The data collection and validation test of the information security policy design was created by interviewing related parties, including head of IT, IT information security sub-coordinator, information sub-coordinator, IT governance and IT risk management sub-coordinator, and infrastructure sub-coordinator. In addition, data collection was performed by analyzing the organization's internal documents, literature studies and reviewing previous studies. The stages carried out in this research are the identification of assets, threats, and vulnerabilities; risk identification; risk assessment; risk control determination. The results of this study provide an information security policy design that is in accordance with XYZ Institute."

"ABSTRAKBank XYZ berkomitmen memberikan layanan perbankan terdepan kepada nasabah dan perkembangan teknologi digital yang mendorong bank untuk bertumbuh lebih cepat melalui pengembangan layanan digital banking untuk meningkatkan pertumbuhan nasabah baru dan meningkatkan kemudahan transaksi perbankan. Dengan bertambahnya pemanfaatan teknologi informasi melalui penerapan layanan digital banking terbaru, maka bertambah juga ancaman terhadap keamanan informasi yang perlu diantisipasi untuk memastikan prinsip kerahasiaan, integritas, dan ketersediaan suatu informasi. Penelitian ini bertujuan untuk mengetahui kemungkinan risiko-risiko terhadap layanan digital banking dan merancang suatu kebijakan keamanan informasi sebagai bagian dari alat kontrol terhadap risiko keamanan informasi pada digital banking. Penelitian ini merupakan penelitian studi kasus dengan metode kualitatif dengan melakukan analisis melalui observasi secara langsung dan juga pada dokumen internal bank yang terkait dengan layanan digital banking terbaru. Penelitian ini membahas aktivitas manajemen risiko dan menentukan kontrol keamanan informasi yang tepat berdasarkan standar ISO 27001:2013. Penelitian ini menghasilkan suatu rancangan kebijakan keamanan informasi mencakup 64 kontrol keamanan dari 114 kontrol yang ada pada Annex A ISO 27001:2013 dan berdasarkan penilaian risiko pada delapan aset informasi dan juga 23 aset pendukung layanan digital banking terbaru dari Bank XYZ. Kontrol keamanan pada ISO 27001:2013 sesuai dengan kebutuhan penerapan keamanan informasi pada Bank XYZ karena dapat mencakup seluruh kerentanan yang ada pada aset digital banking. Rancangan kebijakan ini dapat digunakan bagi Bank untuk pembuatan standar dan prosedur keamanan informasi terkait layanan digital banking.

---

ABSTRACT

XYZ Bank committed to provide leading banking services to customers and the development of digital technology that encourages banks to grow faster through the development of digital banking services to increase new customer growth and also improve the ease of banking transactions. With the increasing use of information technology in the application of digital banking services, it also increased the threats to the information assets that need to be anticipated to ensure the confidentiality, integrity, and availability of the information. This research aims to determine the possibility of digital banking services risks and design an information security policy as part of the information security risk control. This is a case study research with a qualitative analysis method through direct observation and also on the bank's internal documents related to digital banking services. This research discusses the risk management activities and determines the appropriate information security controls based on the standard from ISO 27001: 2013. The research produced a draft of an information security policy that includes 64 security controls from 114 security controls in Annex A of ISO 27001: 2013 and based on risk assessment from eight information assets and 23 supporting assets of digital banking services from XYZ Bank. Security controls on ISO 27001: 2013 match the requirements for implementing information security at XYZ Bank because it can cover all assets' vulnerabilities that exist in digital banking. The policy can be used as a reference to create standards and procedures related to the information security of digital banking services."