Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sebagai salah satu perusahaan yang bergerak di bidang teknologi, bisnis dari PT XYZ sangat bergantung pada teknologi dan keamanan informasi. Dalam mengamankan informasi, data, dan aset penting perusahaan, PT XYZ menerapkan pengamanan fisik yaitu Physical Access Control System (PACS). Sistem ini diimplementasi untuk melindungi bisnis dan aset perusahaan dari vandalisme, pencurian, dan pelanggaran, khususnya membatasi akses ke fasilitas organisasi yang memerlukan tingkat keamanan dan perlindungan yang lebih tinggi. Namun tingginya kasus insiden yang terjadi pada PACS menjadi kekhawatiran pihak manajemen perusahaan. Padahal tingkat ketergantungan organisasi terhadap keamanan fisik terutama pada PACS sangat tinggi. Insiden-insiden terkait PACS dengan sumber ancaman yang sama kerap terjadi berulang kali tanpa ada pemantauan yang memadai. Maka dari itu, penelitian ini bertujuan untuk melakukan evaluasi manajemen risiko terhadap Physical Access Control System PT XYZ. Pada penelitian ini digunakan beberapa seri standar ISO/IEC 27000 yang dapat membantu penelitian dalam menganalisis risiko dan melengkapi proses dalam mengevaluasi manajemen risiko di organisasi. Standar yang digunakan antara lain ISO/IEC 27001, ISO/IEC 27002, dan ISO/IEC 27005. Penelitian ini merupakan penelitian kualitatif dengan metode pengumpulan data secara studi literatur, dokumen, wawancara, observasi dan Focus Group Discussion. Hasil yang diperoleh dari penelitian ini adalah profil risiko dari PACS dengan total 54 skenario risiko keamanan informasi yang terdiri dari 44 skenario yang tidak diterima, dan 10 skenario risiko diterima. Adapun manfaat dari penelitian ini adalah dihasilkannya rekomendasi penanganan risiko keamanan informasi berdasarkan hasil evaluasi risiko keamanan informasi yang mengacu pada rekomendasi kontrol berdasarkan ISO/IEC 27002 dan diimplementasikan dalam bentuk dokumen Statement of Applicability (SoA).

---

As a technology company, the business of PT XYZ is highly dependent on technology and information security. In securing information, data, and important company assets, PT XYZ applies a physical security system, namely the Physical Access Control System (PACS). This system is implemented to protect the company’s business and assets from vandalism, theft, and breaches, specifically by restricting access to organizational facilities that require a higher level of security and protection. However, the high occurrence of incidences in PACS is a concern for company management, due to the organization's high level of dependence on physical security, especially PACS. Incidents related to PACS with the same source of threat often occur repeatedly without adequate monitoring. Therefore, this study aims to evaluate the risk management of PT XYZ's Physical Access Control System. In this research, several series of ISO/IEC 27000 standards are used to assist the study in analyzing risk and completing the process of risk management evaluation in organizations. The standards used include ISO/IEC 27001, ISO/IEC 27002, and ISO/IEC 27005. This research is qualitative research with data collection methods of literature studies, documents, interviews, observations, and Focus Group Discussions. The result of this study is the risk profile of PACS with a total of 54 information security risk scenarios consisting of 44 unacceptable scenarios and 10 acceptable risk scenarios. The benefit of this research is the production of recommendations for handling information security risks based on the results of the evaluation of information security risks that refer to control recommendations based on ISO/IEC 27002 and implemented in the form of a Statement of Applicability (SoA) document."

"Data dan informasi merupakan aset yang harus dilindungi dikarenakan aset berhubungan dengan kelangsungan bisnis perusahaan. Adanya pertumbuhan berbagai penipuan, virus, dan hackers dapat mengancam informasi bisnis manajemen dikarenakan adanya keterbukaan informasi melalui teknologi informasi modern. Dibutuhkan manajemen keamanan informasi yang dapat melindungi kerahasiaan, integritas, dan ketersediaan informasi. PT. XYZ sebagai perusahaan yang bergerak di bidang mobile solution tidak terlepas dari penggunaan teknologi informasi dalam penyimpanan, pengolahan data dan informasi milik perusahaan. Perusahaan diharuskan untuk dapat memberikan kemampuan mengakses dan menyediakan informasi secara cepat dan akurat. Oleh karena itu, perusahaan membutuhkan pengetahuan tentang keadaan keamanan informasi yang dimiliki saat ini, sehingga perusahaan dapat meminimalisir risiko yang akan terjadi. Tujuan penelitian ini memberikan usulan perbaikan manajemen risiko keamanan informasi dengan menggunakan standar ISO/IEC 27001:2005. Dengan menggunakan standar ISO/IEC 27001:2005, didapat kesenjangan keamanan informasi yang dimiliki oleh perusahaan. Selanjutnya, dipilih kontrol objektif yang sesuai dengan kebutuhan aset kritikal yang dimiliki oleh perusahaan. Dari kontrol objektif yang telah dipilih, selanjutnya diberikan usulan perbaikan agar perusahaan dapat menutupi kesenjangan keamanan informasi yang dimiliki. Hasil penelitian ini didapat kontrol-kontrol pengamanan informasi yang akan diimplementasikan di perusahaan dalam bentuk dokumen statemen of applicabality(SOA).

---

Data and Information are valuable assets that need to be protected for company's businesses. Rapid growth in fraud cases, virus, hackers could threat management business information by exposing them which is caused by modern information technology. Hence, it is required to have information security management which protects confidentiality, integrity, and availability of information. As a company who runs in mobile solution, PT. XYZ uses information technology in company's information and data storage and processing. In order to minimize the risk, current information security needs to be visible by the company.

This research is conducted to provide potential suggestions on risk management improvement of information security using standard ISO/IEC 270001:2005 standard. By using ISO/IEC 270001:2005 standard, this research is able to assess and obtain gap analysis checklist of company's information security. According to company asset needs, objective controls will be selected. Results of this study obtained information security controls to be implemented in the company in the form of statements of applicabality documents (SOA)."

"Organisasi perlu menerapkan suatu keamanan informasi yang baik agar proses bisnis organisasi bisa berjalan tanpa ada ancaman. Aset TI merupakan hal yang harus dilindungi dikarenakan berpengaruh dengan proses bisnis organisasi. PT XYZ bergerak dibidang manage service untuk network dan juga cloud. Apabila terjadi kendala pada operasional organisasi dapat mengganggu Service Level Agreement (SLA) dengan pelanggan dan proses bisnis internal. Oleh karena itu, dibutuhkan manajemen risiko keamanan informasi yang tepat dan akurat. Permasalahan pada PT XYZ tidak pernah melakukan pembaharuan terhadap manajemen risiko sudah lebih dari tiga tahun, yang mana organisasi belum mengetahui jika terdapat risiko baru yang mengancam operasional. Operation risk atau risiko operasional akan diteliti dikarenakan operation risk akan berdampak kepada SLA pelanggan dan juga proses bisnis PT XYZ. Sudah ada dua kejadian serangan yang terjadi seperti DDOS Attack dan Ransomware pada aset organisasi beberapa waktu lalu. Maka dari itu dalam suatu organisasi diharuskan mempunyai manajemen keamanan informasi untuk dapat mengontrol segala risiko yang ada agar tidak menimbulkan kerugian pada organisasi. Untuk kerangka kerja dari keamanan informasi menggunakan kontrol dari ISO/IEC 27001:2013 sebagai acuannya. Tujuan dari penelitian ini adalah memberikan rekomendasi usulan ruang untuk berkembang pada organisasi khususnya pada operation risk PT XYZ. Dengan hasil evaluasi kondisi manajemen risiko keamanan informasi menggunakan standar ISO/IEC 27001:2013, didapatkan analisis kesenjangan dengan keamanan informasi pada organisasi sebesar 83,91% atau sebagian besar tercapai. Selanjutnya untuk rekomendasi ruang untuk berkembang menggunakan 10 rekomendasi kontrol dalam bentuk Statement of Applicability (SOA) dan usulan 10 pemilihan kontrol risiko pada risiko yang masih berstatus mitigasi pada operation risk.

---

Organizations must be able to implement a good information security so that the organization can run its business processes without any threats. IT assets are things that must be protected because they affect the organization's business processes. PT XYZ is engaged in managing services for the network and the cloud services. If there are operational problems, the organization cannot monitor links that are down, it will disrupt the Service Level Agreement (SLA) with user and internal business processes. Therefore, appropriate and accurate information security risk management is needed. The problem is that PT XYZ has never updated its risk management for more than three years, which is where the organization does not know if there are new risks that threaten operations. Operation risk or operational risk will be investigated because operation risk has an impact on pelanggan SLA and also organization’s business processes. There have been two incidents of attacks such as DDOS Attack and Ransomware on organizational assets some time ago. Therefore, an organization is required to have information security management to be able to control all existing risks so as not to cause harm to the organization. For the framework of information security using the objective control of ISO/IEC 27001:2013 as a reference. The purpose of this study is to provide recommendations for space proposals to develop in the organization, especially in the operation risk of PT XYZ. With the results of the evaluation of the condition of information security risk management using the ISO/IEC 27001:2013 standard, it was found that a gap analysis with information security in the organization was 83.91% or most of it was achieved. Then for recommendations for space to develop, use 10 objective controls in the form of a Statement of Applicability (SOA) and a proposed 10 selection of risk controls on risks that are still in the status of mitigation on operation risk."

"Operational Technology (OT) adalah salah satu komponen yang menjadi lingkup teknologi yang sangat berkembang saat ini, yang dalam sistemnya dapat menghubungkan antarperangkat fisik melalui jaringan internet atau intranet. Saat ini PT XYZ menerapkan sistem OT untuk mendukung dan meningkatkan kapasitas produksi dan mulai ada kebutuhan untuk dibuat menjadi sistem yang dapat diintegrasikan dengan jaringan IT dan internet. Berdasarkan hasil observasi ditemukan bahwa dalam penerapan sistem OT di perusahaan masih memiliki kekurangan kontrol keamanan yang menyebabkan sistem tersebut tidak memenuhi kepatuhan terhadap kebijakan keamanan yang dimiliki perusahaan dan berpotensi menjadi celah keamanan yang dapat mengancam sistem perusahaan dan memberi kerugian yang besar pada perusahaan secara finansial. Penelitian ini dilakukan dengan mengidentifikasi aset dan risiko untuk kemudian diberikan kontrol keamanan yang sesuai dengan kondisi implementasi sistem dalam perusahaan dan dijadikan standar untuk mengamankan sistem integrasi IT-OT yang diimplementasikan di dalam perusahaan. Kontrol keamanan yang digunakan mengacu pada standar global IEC 62443 tentang keamanan Industrial Control System (ICS). Dari hasil pemetaan dengan acuan standar IEC62443 didapatkan rancangan kontrol tambahan yang diimplementasikan ke komputer yang terhubung dengan mesin sebagai mitigasi untuk risiko-risiko yang memiliki tingkat ekstrim dan tinggi. Selain kontrol secara teknis, dilakukan juga perancangan prosedur dan instruksi kerja sebagai kontrol tambahan.

---

Operational Technology (OT) is one of the components that are within the scope of today's highly developed technology, which in its system can connect physical devices via the internet or intranet networks. Currently PT XYZ is implementing an OT system to support and increase production capacity and there is a need to make the system can be integrated with IT networks and the internet. Based on the results of observations, it was found that in the implementation of the OT system in the company still has a lack of security control which causes the system does not meet compliance with the company's security policies and has the potential to become a security gap that can be a threat to the company's system and give big losses to the company financially. This research was conducted by identifying assets and risks and then provide security control according to the conditions of system implementation in the company and used as a standard to secure the IT-OT integration system implemented within the company. The security controls use the global standard IEC 62443 on Industrial Control System (ICS) safety as a reference. From the results of the mapping with reference to the IEC62443 standard, additional control designs are obtained which are implemented to computers connected to machines as mitigation for risks that have extreme and high levels. In addition to technical control, procedures and work instructions are also designed as additional controls.

"

"Operational Technology (OT) adalah salah satu komponen yang menjadi lingkup teknologi yang sangat berkembang saat ini, yang dalam sistemnya dapat menghubungkan antarperangkat fisik melalui jaringan internet atau intranet. Saat ini PT XYZ menerapkan sistem OT untuk mendukung dan meningkatkan kapasitas produksi dan mulai ada kebutuhan untuk dibuat menjadi sistem yang dapat diintegrasikan dengan jaringan IT dan internet. Berdasarkan hasil observasi ditemukan bahwa dalam penerapan sistem OT di perusahaan masih memiliki kekurangan kontrol keamanan yang menyebabkan sistem tersebut tidak memenuhi kepatuhan terhadap kebijakan keamanan yang dimiliki perusahaan dan berpotensi menjadi celah keamanan yang dapat mengancam sistem perusahaan dan memberi kerugian yang besar pada perusahaan secara finansial. Penelitian ini dilakukan dengan mengidentifikasi aset dan risiko untuk kemudian diberikan kontrol keamanan yang sesuai dengan kondisi implementasi sistem dalam perusahaan dan dijadikan standar untuk mengamankan sistem integrasi IT-OT yang diimplementasikan di dalam perusahaan. Kontrol keamanan yang digunakan mengacu pada standar global IEC 62443 tentang keamanan Industrial Control System (ICS). Dari hasil pemetaan dengan acuan standar IEC62443 didapatkan rancangan kontrol tambahan yang diimplementasikan ke komputer yang terhubung dengan mesin sebagai mitigasi untuk risiko-risiko yang memiliki tingkat ekstrim dan tinggi. Selain kontrol secara teknis, dilakukan juga perancangan prosedur dan instruksi kerja sebagai kontrol tambahan.

---

Operational Technology (OT) is one of the components that are within the scope of today's highly developed technology, which in its system can connect physical devices via the internet or intranet networks. Currently PT XYZ is implementing an OT system to support and increase production capacity and there is a need to make the system can be integrated with IT networks and the internet. Based on the results of observations, it was found that in the implementation of the OT system in the company still has a lack of security control which causes the system does not meet compliance with the company's security policies and has the potential to become a security gap that can be a threat to the company's system and give big losses to the company financially. This research was conducted by identifying assets and risks and then provide security control according to the conditions of system implementation in the company and used as a standard to secure the IT-OT integration system implemented within the company. The security controls use the global standard IEC 62443 on Industrial Control System (ICS) safety as a reference. From the results of the mapping with reference to the IEC62443 standard, additional control designs are obtained which are implemented to computers connected to machines as mitigation for risks that have extreme and high levels. In addition to technical control, procedures and work instructions are also designed as additional controls"

"Saat ini banyak perusahaan menggunakan sistem dan teknologi informasi untuk menunjang usaha dalam mencapai tujuan bisnis perusahaan. Oleh karena itu, aspek-aspek terkait sistem dan teknologi informasi ini menjadi perhatian penting. Salah satu aspek penting dalam sistem informasi adalah aspek keamanan, dimana informasi merupakan aset yang harus dilindungi untuk menjamin keberlangsungan bisnis. Apabila sistem informasi tidak dijaga keamanannya, maka risiko yang mungkin timbul dapat mengganggu jalannya bisnis perusahaan. Telkom Flexi merupakan salah satu produk Telkom untuk layanan fixed wireless. Untuk sistem provisioning Flexi, baru saja dikembangkan i-NEFI sebagai jantung dari sistem provisioning yang dikembangkan dan dikelola oleh Divisi Information System Center (ISC). Mengingat sangat pentingnya fungsi sistem tersebut, maka sedapat mungkin risiko-risiko yang dapat mengganggu kinerja sistem provisioning gateway harus diturunkan ke level terendah. Pengelolaan risiko untuk sistem ini sudah dijalankan, namun tidak ada prosedur yang jelas, sehingga peluang untuk terjadinya fraud sangat besar. Oleh karena itu suatu manajemen risiko keamanan informasi yang baik sangat penting diterapkan pada sistem ini. Dalam penelitian ini dilakukan evaluasi terhadap kondisi manajemen risiko keamanan informasi saat ini, untuk mendapatkan nilai kematangannya. Kemudian dilakukan perancangan manajemen risiko keamanan informasi pada sistem provisioning gateway menggunakan kerangka kerja ISO 27001:2005. Perancangan tersebut dilakukan melalui risk assessment sehingga didapatkan rekomendasi kontrol yang perlu diterapkan untuk sistem tersebut. Dari hasil evaluasi kondisi manajemen risiko keamanan informasi yang sudah ada, didapat nilai kematangannya sebesar 75.23% dengan tingkat kesesuaian terendah terhadap domain ISO 27001:2005 yaitu domain Asset Management. Keluaran dari penelitian ini adalah 13 rekomendasi kontrol, berikut prosedur untuk setiap domainnya.

---

Nowadays, many companies use information systems and technology to support the business in achieving its business objectives. Therefore, the relevant aspects of information systems and technology is an important concern. One critical aspect is the aspect of information systems security, in which information is an asset that must be protected, to ensure business continuity. If information systems security is not well-maintained, then the risks that may arise could disrupt the company's business.

Telkom Flexi is one of Telkom’s product for fixed wireless service. For its provisioning system, i-NEFI is just developed as the heart of the system, which are developed and maintained by Division of Information System Center (ISC). Because of its vital function, the risks that can interfere with the performance of provisioning gateway system should be reduced to the lowest level. Risk management for this system has been implemented, but there is no clear procedure, so the opportunity for fraud is huge. Therefore an information security risk management are essential to be applied to this system.

This research is about doing an evaluation of the condition of existing information security risk management, to get the value of maturity. Then to design the information security risk management for provisioning gateway system using ISO 27001:2005 framework. Information security risk management is designed through a risk assessment to obtain recommendations of control that need to be applied to the system.

The result in evaluation of existing information security risk management shows that the readiness or maturity level of risk management in provisioning gateway system is 75.23%, with the lowest readiness level to ISO domain is the Asset Management domain. Output from this research are 13 control recommendations, including risk management procedure for each domain."

"Call center perbankan merupakan salah satu bagian dari organisasi dalam perbankan yang memberikan pelayanan virtual kepada nasabah melalui media akses telepon.Call center memiliki peranan yang jauh lebih penting dari yang dibayangkan oleh sebagian besar orang di perusahaan. Divisi inilah yang menjadi representatif perusahaan yang bersentuhan langsung dengan pelanggan. Sehingga dapat dikatakan sebagai pusatnya data-data penting para nasabah dan reputasi perusahaan sangat dipengaruhi oleh call center.Berada di level 10 besar perusahaan perbankan di indonesia, menjadikan PT.XYZ meninjau ulang manajemen di lingkungan internalnya. Terfokus pada divisi call center, PT.XYZ menginginkan untuk membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi. Karena keamanan informasi sangat diperlukan untuk menjaga agar data-data nasabah tidak bocor ke pesaing bisnisnya. Selain itu juga untuk meningkatkan tingkat kepercayaan nasabah terhadap PT.XYZ. Penelitian ini dilakukan untuk melakukan evaluasi terhadap tingkat keamanan risiko sekaligus membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi di divisi call center yang mengacu kepada ISO 27001:2013, sehingga segala kegiatan yang berkaitan dengan call center dapat lebih terkontrol dan meminimalisir kemungkinan risiko yang dapat merugikan PT.XYZ baik secara finansial maupun fungsional.

---

Call center PT.XYZ is a part of the bank organization that provides virtual services to customersby phone call. Call center has much more important functions than imagined by the mostly people.This division became direct representative of the company that contact with customers, so it can be said as the center of important data from the customers and the companys reputation is strongly influenced by the call center.PT.XYZ is one of the top 10 largest banking companies in Indonesia, making PT.XYZ reviewing its internal environmental management.Focused on call center division, PT.XYZ wants to create a new policy related to information security risk management.Because information security is highly important to keep the customers data not leaked to a competitor business. In addition, to increase the level of customer trust and confidence of the PT.XYZ.This study was conducted to evaluate the safety level of risk at the same time create a new policy related to information security risk management in the division call center which refers to the ISO 27001: 2013,so that all activities related to call center can be better controlled and minimize the possible risks that can harm PT.XYZ both financially and functionally."

"Indeks Keamanan Informasi KAMI adalah alat bantu untuk mengukur tingkat kepatuhan sistem berdasarkan SNI/ISO 27001, standar ini diwajibkan pada sistem yang bersifat strategis sesuai dengan Peraturan Menteri Komunikasi dan Informatika Nomor 4 tahun 2016. Akan tetapi untuk organisasi yang sangat bergantung pada sistem kendali industri, seperti pada industri migas, sistem ketenagalistrikan ataupun industri manufacturing, best practice yang disarankan yaitu menggunakan kerangka NIST SP 800-82. Penelitian ini mencoba mengajukan suatu metode pendekatan agar sistem dapat patuh terhadap kedua standar tersebut sekaligus. Adapun metode yang dilakukan yaitu dengan melakukan audit berdasarkan standar NIST SP 800-82 sehingga didapatkan rekomendasi kontrol berdasarkan analisis risiko yang ditemukan. Selanjutnya rekomendasi kontrol tersebut akan dijadikan referensi untuk menjawab checklist Indeks KAMI. Melalui metode ini didapatkan tingkat kepatuhan sistem terhadap Indeks KAMI meningkat sebesar 81,2 sehingga sistem tidak hanya patuh berdasarkan SNI 27001 tetapi juga berdasarkan NIST SP 800-82.

---

Indeks Keamanan Informasi KAMI is a tool for measuring system compliance based on SNI ISO 27001, where based on the Regulation of the Minister of Communication and Information Technology Number 4 of 2016 states all strategic systems must comply with this standard. However, for the organizations that rely on industrial control systems, such as the oil and gas industry, electricity systems or manufacturing industries, the best practice is to use the NIST SP 800 82 framework. Therefore, this research tries to propose an approach method so that the system will comply with both of standards. The approach is done by conducting an audit based on the NIST SP 800 82 framework to obtain controls recommendation based on the risk analysis that found on the system. Furthermore, such control recommendations will be used as a reference to answer the checklist of Indeks KAMI. Through this approach method, the system compliance level on Indeks KAMI increased by 81.2 so that the system does not only complies with SNI 27001 but also based on NIST SP 800 82."

"Keamanan informasi merupakan aspek penting dan didukung oleh laporan yang dikeluarkan oleh Internal Audit Foundation yang berjudul Risk in Focus 2024 Global Summary disebutkan bahwa risiko paling besar yang akan dihadapi di tahun 2024 adalah Cybersecurity and Data Security dengan skor 73% untuk rata-rata worldwide. Berdasarkan report yang dikeluarkan oleh International Business Machine (IBM) berjudul Cost of a Data Breach Report 2023 dibutuhkan waktu rata - rata 204 hari untuk mengetahui adanya kebocoran data yang dialami pada instansi atau organisasi terdampak, serta membutuhkan waktu 73 hari untuk menanggulangi kebocoran data tersebut. Dalam rangka mewujudkan digitalisasi tersebut dilakukan implementasi sistem Audit Management System (AMS) yang dapat mengakomodir proses audit mulai dari tahap Planning, Execution, dan Reporting serta proses tindak lanjut rekomendasi baik yang dihasilkan dari audit internal maupun audit eksternal. Penggunaan AMS tidak terlepas dari risiko, akses menuju AMS dapat dilakukan tanpa Virtual Private Network (VPN). Dalam penelitian ini dilakukan risk assessment berbasis standar ISO/IEC 27005:2022 dengan mengusulkan metode penghitungan konsekuensi berdasarkan klasifikasi data yang ada dalam sistem dan metode peghitungan kemungkinan berdasarkan proses bisnis yang memiliki dampak ke kerentanan sistem serta risiko yang perlu dimitigasi akan digunakan ISO/IEC 27002:2022 sebagai standar untuk mengantisipasi risiko yang terjadi. Hasil pemeriksaan risiko diketahui terdapat 24 risiko dengan 1 risiko level sangat tinggi, 3 risiko level tinggi, 8 risiko dengan level sedang, 11 risiko dengan level rendah, dan 1 risiko dengan level sangat rendah yang terdapat pada departemen audit internal XYZ.

---

Information security is an important aspect and supported by a report issued by the Internal Audit Foundation entitled Risk in Focus 2024 Global Summary. Biggest risk that will be faced in 2024 is Cybersecurity and Data Security with a score of 73% for the global average. Based on a report issued by International Business Machine (IBM) entitled Cost of a Data Breach Report 2023, takes an average of 204 days to find out about a data leak by an affected agency or organization, and takes 73 days to overcome the data leak. In order to realize this digitalization, an Audit Management System (AMS) system was implemented which can accommodate the audit process starting from the Planning, Execution and Reporting stages as well as follow-up process for recommendations process. Using AMS is not without risks, access to AMS can be done without a Virtual Private Network (VPN). In this research, a risk assessment was carried out based on the ISO/IEC 27005:2022 standard by proposing a method for calculating consequences based on the classification of data in the system and a method for calculating possibilities based on business processes that have an impact on system vulnerabilities and risks that need to be mitigated. ISO/IEC 27002:2022 will be used to anticipate risks. Results of the risk examination revealed that there were 24 risks with 1 very high level risk, 3 high level risks, 8 medium level risks, 11 low level risks, and 1 very low level risk in the XYZ internal audit department."

"PT XYZ merupakan salah satu Badan Usaha Milik Pemerintah (BUMN) Republik Indonesia yang bergerak pada bidang agribisnis. PT XYZ sudah memiliki sistem manajemen keamanan informasi (SMKI), namun masih ditemukan beberapa kendala seperti atensi personil terhadap keamanan informasi yang rendah, kebutuhan untuk tetap patuh dengan peraturan pemerintah, hingga kendala teknis yang muncul, sehingga PT XYZ ingin meningkatkan kapabilitas terkait keamanan informasi yang mereka miliki. Penelitian ini bertujuan untuk mengetahui kondisi terkini dari SMKI yang ada pada PT XYZ dan memberikan rekomendasi peningkatan SMKI. Penelitian ini menggunakan kontrol keamanan informasi berdasarkan standar ISO/IEC 27001:2022 untuk mendapatkan gap kondisi keamanan informasi, dan kemudian melakukan penilaian risiko yang memakai data hasil gap yaitu kontrol keamanan informasi yang terpilih. Setelah itu dilakukan rekomendasi yang disusun berdasarkan standar ISO/IEC 27002:2022. Temuan dari penelitian ini adalah ditemukannya 22 aktivitas kontrol ISO/IEC 27001:2022 yang hasil nilainya belum maksimal. 22 kontrol ini kemudian dibagi menjadi 3 kategori rekomendasi berdasarkan urgensi peningkatan yang sesuai dari hasil penilaian risiko.

---

PT XYZ is one of the government-owned enterprises of the Republic of Indonesia that engaged in agribusiness. PT XYZ already has an information security management system (ISMS), but there are still several obstacles that are found, such as low personnel attention to information security, the need to remain compliant with government regulations, to technical constraints that arise, so PT XYZ wants to improve its information security-related capabilities. This study aims to determine the current condition of the existing ISMS at PT XYZ and provide recommendations for improving the ISMS. This research uses information security controls based on the ISO/IEC 27001: 2022 standard to get the information security condition gap, and then conduct a risk assessment using the gap result data, namely the selected information security controls. After that, recommendations were made based on the ISO / IEC 27002: 2022 standard. The findings of this study were the discovery of 22 ISO/IEC 27001:2022 control activities whose value results were not maximised. These 22 controls are then divided into 3 categories of recommendations based on the urgency, from the results of the risk assessment."