Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sistem Penyelenggaraan Berbasis Elektronik (SPBE) adalah bagian penting dari transformasi digital di instansi pemerintahan, salah satunya adalah Instansi XYZ. Meskipun era digital menawarkan banyak keuntungan akan tetapi tidak lepas dari risiko, seperti ancaman siber yang mengancam keamanan nasional. Fokus penelitian ini adalah Pusat Data dan Informasi,  sebagai satuan kerja pelaksana teknologi informasi dalam upaya meningkatkan keamanan siber di Instansi XYZ. Indeks KAMI adalah salah satu alat yang dapat digunakan untuk mengukur seberapa siap dan lengkap keamanan informasi. Ini memastikan bahwa proses peningkatan kualitas keamanan informasi dapat dilakukan dengan cepat dan efisien. Indeks KAMI v 4.2 digunakan untuk mengukur tingkat kematangan keamanan informasi, selain itu digunakan untuk mengevaluasi dan memberikan rekomendasi keamanan informasi sesuai dengan kerangka kerja SNI ISO 27001:2013 untuk Instansi XYZ. Berdasarkan data tahun 2022, hasil penilaian dari sistem elektronik Instansi XYZ masuk dalam kategori “Tinggi”. Sedangkan hasil evaluasi akhirnya mendapatkan nilai total 213 dari total 645 untuk kesiapan dan kelengkapan keamanan informasi. Nilai-nilai tersebut diperoleh dari bagian Tata Kelola 35 poin, Pengelolaan Risiko 18 poin, Kerangka Kerja Keamanan Informasi 40 poin, Pengelolaan Aset 59 poin, dan Teknologi dan Keamanan Informasi 61 poin. Dengan kata lain, Instansi XYZ masih memiliki tingkat kematangan keamanan informasi pada level I hingga I+ dengan status kesiapan "Tidak Layak". Menurut Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik, Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik diwajibkan untuk menerapkan SNI ISO 27001:2013  dan atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga, yang penerapannya tergantung pada tingkat kategori Sistem Elektroniknya. Hasil analisis Instansi XYZ belum memiliki kebijakan sistem manajemen keamanan informasi yang ditetapkan, walau sudah menerapkan aspek teknis dibeberapa kategori. Hasil penelitian ini merekomendasikan penerapan kontrol keamanan serta penyusunan kebijakan sistem manajemen keamanan informasi dengan menggunakan kerangka kerja SNI ISO 27001:2013.  Rekomendasi ini diharapkan dapat diimplementasikan pada Instansi XYZ guna menjamin implementasi keamanan informasinya.

---

The System of Electronic-Based Organization (SPBE) is an important part of digital transformation in government agencies, one of which is XYZ Agency. Although the digital era offers many advantages, it is not free from risks, such as cyber threats that threaten national security. The focus of this research is the Data and Information Center, as the implementing work unit for information technology in an effort to improve cybersecurity at XYZ Agency. KAMI Index is one of the tools that can be used to measure how ready and complete information security is. This ensures that the process of improving the quality of information security can be done quickly and efficiently. KAMI Index v 4.2 is used to measure the maturity level of information security, besides that it is used to evaluate and provide information security recommendations in accordance with the SNI ISO 27001: 2013 framework for XYZ Agencies. Based on 2022 data, the assessment results of the XYZ Agency's electronic system fall into the "High" category. While the final evaluation results get a total score of 213 out of a total of 645 for information security readiness and completeness. These values are obtained from the Governance section 35 points, Risk Management 18 points, Information Security Framework 40 points, Asset Management 59 points, and Technology and Information Security 61 points. In other words, XYZ Institution still has an information security maturity level at level I to I+ with a readiness status of "Not Feasible". According to BSSN Regulation Number 8 of 2020 concerning Security Systems in the Implementation of Electronic Systems, Electronic System Providers that operate Electronic Systems are required to implement SNI ISO 27001: 2013 and or other security standards related to cybersecurity set by BSSN and other security standards related to cybersecurity set by Ministries or Institutions, whose application depends on the level of the Electronic System category. The results of the analysis of XYZ Institution do not yet have a defined information security management system policy, even though they have implemented technical aspects in several categories. The results of this study recommend the implementation of security controls and the preparation of an information security management system policy using the SNI ISO 27001: 2013 framework.  This recommendation is expected to be implemented at XYZ Agency to ensure the implementation of information security."

"Ancaman terhadap keamanan informasi menjadi hal yang sering dijumpai saat ini baik di lingkup individu maupun organisasi. Beberapa jenis ancaman tersebut berasal dari serangan virus, malware, web defacement dan phising. Untuk mengantisipasi dan merespon serangan tersebut, lembaga XYZ membentuk tim insiden respon atau yang dikenal sebagai CSIRT ( Computer and Security Incident Response Team). Penanganan insiden keamanan informasi merupakan aspek kritis dalam memastikan integritas dan kelangsungan operasional suatu organisasi. Berdasarkan catatan, insiden keamanan informasi masih sering terjadi hingga saat ini di lingkungan organisasi.Penelitian ini bertujuan untuk melakukan analisis terhadap pendekatan yang diambil oleh organisasi dalam menangani insiden keamanan informasi dengan area fokus pada efektivitas langkah-langkah yang dilakukan. Kerangka kerja yang digunakan adalah ISO/IEC 27035:2016, terdapat 69 klausul dilakukan untuk mengevaluasi penanganan insiden dan 62 klausul untuk diterapkan untuk perencanaan kebijakan penanganan insiden. Hasil asesmen pada lembaga XYZ menggunakan ISO/IEC 27035 mengenai manajemen insiden keamanan informasi didapatkan bahwa organisasi telah menerapkan sejumlah 53% dari 69 klausul yang diterapkan.

---

Threats to information security are something that is often encountered today, both in individuals and organizations. Several types of threats come from virus attacks, malware, web defacement and phishing. To anticipate and respond to these attacks, XYZ Institution formed an incident response team or known as CSIRT (Computer and Security Incident Response Team). Handling information security incidents is a critical aspect to ensuring the integrity and operational continuity of an organization. Based on records, information security incidents still frequently occur today in organizational environments.

This research aims to conduct an analysis of the approaches taken by organizations in handling information security incidents with a focus area on the effectiveness of the steps taken. The framework used is ISO/IEC 27035:2016, there are 69 clauses to evaluate incident handling and 62 clauses to be applied for planning incident handling policies. The results of an assessment at XYZ institution using ISO/IEC 27035 regarding information security incident management found that the organization had implemented 53% of the 69 clauses implemented."

"In this era of digital age where considerable business activities are powered by digital and telecommunication technologies, deriving customer loyalty and satisfaction through delivering high quality services, driven by complex and sophisticated Information Technology (IT) systems, is one of the main services objectives of the Bank towards its customers. From customer services perspective, "availability" is a degree of how closed the Bank is to its customers so that they can "consume" the Bank"s services easily and in preference to its competitors. "Reliability" is the degree of how adequate and responsive the Bank is in meeting its customers" needs. "Confidentiality" is the trust the customers have in the Bank in that their confidential information will not fall into the wrong hands.Information Technology is one of the means that Bank uses to achieve quality service objectives. Reliance on IT requires an understanding of the importance of IT Security within the IT environments. As business advantages are derived from the use of IT to deliver quality services, critical IT security issues related to the use of IT should be understood and addressed. Safeguarding and protecting security Information systems and assets are prominent issues that all responsible IT users must address. Information is the most valuable assets of the Bank. Adequate resources must be allocated to carry out the safeguarding of Bank"s information assets through enforcing a defined IT Security Policies, Standards and Procedures.Compliance with international and national standards designed to facilitate the Interchange of data between Banks should be considered by the Bank"s management as part of the strategy for IT Security which helps to enforce and strengthen IT security within an organization."

"Tujuan utama keamanan informasi adalah menjaga aset informasi yang dimiliki oleh suatu organisasi, seperti kerahasiaan, integritas, dan ketersediaan (dikenal sebagai CIA). Dalam memelihara aset informasi, perusahaan biasanya mengelola keamanan informasi dengan membuat dan menerapkan kebijakan Sistem Manajemen Keamanan Informasi (SMKI). Kebijakan SMKI yang banyak digunakan dan diterapkan di Indonesia adalah ISO/IEC 27001. PT ABC adalah salah satu perusahaan telekomunikasi yang telah menerapkan standar dan prosedur ISO / IEC 27001: 2013. Perusahaan melakukan audit setahun sekali untuk menjaga tingkat kepatuhan dengan ISO / IEC 27001: 2013. Namun, hanya beberapa orang yang terlibat dalam melakukan audit, dan masih belum diketahui berapa banyak karyawan yang mengetahui keamanan informasi perusahaan. Penelitian ini berfokus pada penilaian seberapa besar kesadaran keamanan informasi yang ada dalam PT ABC. Kuesioner dibagikan di dua departemen perusahaan: supply chain management dan service delivery Jakarta Operation Network. Penelitian ini juga memeriksa dokumen perusahaan dan surveillance audit pada tahun 2018, dan menilai kepatuhan PT ABC terhadap implementasi ISO 27001:2013. Para karyawan dikelompokkan berdasarkan masa kerja karyawan. Setelah pendistribusian kuisioner dilakukan, maka dapat dihitung margin kesalahan yaitu 6%. Kuisioner yang didistribusikan dapat menjadi salah satu cara untuk mempermudah pengukuran level kesadaran keamanan informasi. Data penelitian menunjukkan bahwa sebagian besar karyawan yang telah bekerja di perusahaan selama lebih dari enam tahun memahami dan menerapkan kontrol ISO 27001. Sementara itu, perusahaan masih perlu mensosialisasikan ISO kepada karyawan yang telah bekerja di perusahaan hanya selama satu atau dua tahun.

---

The main purpose of information security is to safeguard information assets owned by an organization, such as confidentiality, integrity and availability (known as the CIA). In maintaining information assets, companies usually manage information security by creating and implementing an Information Security Management System (ISMS) policy. The ISMS policy that is widely used and applied in Indonesia is ISO/IEC 27001. PT ABC is one of the telecommunication companies in Jakarta that has implemented ISO/IEC 27001:2013 standards and procedures. The company conducts audits once a year to maintain compliance with ISO/IEC 27001: 2013. However, only a few people are involved in conducting audits, and it is still unknown how many employees are aware of company information security.

This study focuses on assessing how much information security awareness exists in PT ABC. Questionnaires were distributed in two company departments: supply chain management and service delivery Jakarta Operation Network. This study also examined company documents and surveillance audits in 2018, and assessed PT ABC`s compliance with the implementation of ISO 27001: 2013. Employees are grouped based on their length of work. The results of the questionnaire, with a margin of error of 6%. The distributed questionnaire can be one way to facilitate the measurement of the level of information security awareness.

Research data shows that most employees who have worked in the company for more than six years understand and implement ISO 27001 controls. Meanwhile, companies still need to socialize ISO to employees who have worked for the company for only one or two years."

"Keamanan informasi merupakan aspek penting dan didukung oleh laporan yang dikeluarkan oleh Internal Audit Foundation yang berjudul Risk in Focus 2024 Global Summary disebutkan bahwa risiko paling besar yang akan dihadapi di tahun 2024 adalah Cybersecurity and Data Security dengan skor 73% untuk rata-rata worldwide. Berdasarkan report yang dikeluarkan oleh International Business Machine (IBM) berjudul Cost of a Data Breach Report 2023 dibutuhkan waktu rata - rata 204 hari untuk mengetahui adanya kebocoran data yang dialami pada instansi atau organisasi terdampak, serta membutuhkan waktu 73 hari untuk menanggulangi kebocoran data tersebut. Dalam rangka mewujudkan digitalisasi tersebut dilakukan implementasi sistem Audit Management System (AMS) yang dapat mengakomodir proses audit mulai dari tahap Planning, Execution, dan Reporting serta proses tindak lanjut rekomendasi baik yang dihasilkan dari audit internal maupun audit eksternal. Penggunaan AMS tidak terlepas dari risiko, akses menuju AMS dapat dilakukan tanpa Virtual Private Network (VPN). Dalam penelitian ini dilakukan risk assessment berbasis standar ISO/IEC 27005:2022 dengan mengusulkan metode penghitungan konsekuensi berdasarkan klasifikasi data yang ada dalam sistem dan metode peghitungan kemungkinan berdasarkan proses bisnis yang memiliki dampak ke kerentanan sistem serta risiko yang perlu dimitigasi akan digunakan ISO/IEC 27002:2022 sebagai standar untuk mengantisipasi risiko yang terjadi. Hasil pemeriksaan risiko diketahui terdapat 24 risiko dengan 1 risiko level sangat tinggi, 3 risiko level tinggi, 8 risiko dengan level sedang, 11 risiko dengan level rendah, dan 1 risiko dengan level sangat rendah yang terdapat pada departemen audit internal XYZ.

---

Information security is an important aspect and supported by a report issued by the Internal Audit Foundation entitled Risk in Focus 2024 Global Summary. Biggest risk that will be faced in 2024 is Cybersecurity and Data Security with a score of 73% for the global average. Based on a report issued by International Business Machine (IBM) entitled Cost of a Data Breach Report 2023, takes an average of 204 days to find out about a data leak by an affected agency or organization, and takes 73 days to overcome the data leak. In order to realize this digitalization, an Audit Management System (AMS) system was implemented which can accommodate the audit process starting from the Planning, Execution and Reporting stages as well as follow-up process for recommendations process. Using AMS is not without risks, access to AMS can be done without a Virtual Private Network (VPN). In this research, a risk assessment was carried out based on the ISO/IEC 27005:2022 standard by proposing a method for calculating consequences based on the classification of data in the system and a method for calculating possibilities based on business processes that have an impact on system vulnerabilities and risks that need to be mitigated. ISO/IEC 27002:2022 will be used to anticipate risks. Results of the risk examination revealed that there were 24 risks with 1 very high level risk, 3 high level risks, 8 medium level risks, 11 low level risks, and 1 very low level risk in the XYZ internal audit department."

"Data center merupakan salah satu komponen yang penting dalam menunjang keberhasilan bisnis perusahaan karena perannya sebagai pusat pengolahan dan penyimpanan informasi. Data center memerlukan pengamanan sistem informasi yang menyeluruh yang meliputi aspek confidentiality, integrity dan availability. Ketiga aspek tersebut terdapat dalam sebuah Sistem Manajemen Keamanan Informasi (SMKI). Salah satu standar SMKI yang diterima secara luas saat ini adalah ISO 27001. Dalam tesis ini dikembangkan kontrol dan alat bantu ukur tingkat kematangan (maturity level) SMKI pada data center berdasarkan standar ISO 27001 dengan metode COBIT 4.1. Alat bantu ukur tingkat kematangan tersebut berbentuk excel sheet, aplikasi web maupun android. Kontrol dan alat bantu ukur tersebut telah diujicobakan untuk mengukur tingkat kematangan pada tiga data center PT. XYZ dengan hasil masing-masing 3.94, 3.93 dan 3.92 dari skala 5 menurut metode COBIT 4.1. Kontrol dan alat bantu ukur dapat digunakan oleh kalangan industri untuk melakukan self assessment pada data center yang dimiliki agar diketahui tingkat kematangannya terhadap standar ISO 27001.

---

Data center is one of the important components that is needed to support the success of the company's business because of its role as a center for processing and storing information. Data centers require comprehensive security protection which includes aspects of confidentiality, integrity and availability. These three aspects are included in an Information Security Management System (ISMS). One of the widely accepted ISMS standards nowadays is ISO 27001. In this thesis, we develop controls and tools to measure maturity level of ISMS for data center based on the ISO 27001 standard and the COBIT 4.1 method. The controls and tools have been tested to measure the level of maturity in three data centers of PT XYZ. The test result of each data center has the maturity level of 3.94, 3.93 and 3.92 from a scale of 5 according to the COBIT 4.1 method. The controls and measuring tools can be used by industry to conduct self-assessments of their own data center so that its maturity levels are known in accordance with ISO 27001."

"Pertumbuhan pesat teknologi informasi dan komunikasi juga mengakibatkan peningkatan signifikan tindakan kejahatan siber. Menurut Laporan Pemantauan Keamanan Siber Tahunan oleh Badan Siber dan Sandi Negara, terjadi 495 juta kejadian anomali lalu lintas atau upaya serangan pada tahun 2020, yang meningkat menjadi 1,6 miliar pada tahun 2021 di Indonesia. Penerapan standar ISO 27001 untuk sistem manajemen keamanan informasi (SMKI) dapat membantu mengurangi upaya serangan siber tersebut. Penelitian ini berfokus pada studi kasus lembaga pemerintah, Direktorat Informasi Kepabeanan dan Cukai, yang beroperasi di bidang penerimaan bea dan cukai dan telah menerapkan SMKI serta menjalani audit internal, namun hanya sebatas kelengkapan dokumen saja. Oleh karena itu, diperlukan pemodelan penilaian SMKI yang lebih mendalam sesuai dengan standar ISO 27001. Penelitian ini mengusulkan model penilaian SMKI dengan mengintegrasikan ISO 27002 dan 27004, dimana fungsi panduan ISO 27002 diubah menjadi parameter penilaian dan ISO 27004 digunakan untuk mengukur kinerja kontrol keamanan informasi. Dengan menggunakan model ini, nilai SMKI dari studi kasus diperoleh sebesar 45,17 dari skala 100 yang jauh berbeda dengan hasil audit internal studi kasus bernilai 4,08 dari skala 5 atau 82 dari skala 100.

---

The rapid growth of information and communication technology has led to a significant increase in cybercrime. According to the Annual Cybersecurity Monitoring Report by the National Cyber and Cryptography Agency, there were 495 million instances of traffic anomalies or attempted attacks in 2020, which rose to 1.6 billion in 2021 in Indonesia. The implementation of the ISO 27001 standard for Information Security Management Systems (ISMS) can help mitigate these cyberattack efforts. This research focuses on a case study of a government institution, the Directorate of Customs and Excise Information, operating in customs duty collection, which has implemented ISMS and undergone internal audits, but only to the extent of document completeness. Therefore, a more in-depth ISMS assessment model is needed in accordance with ISO 27001 standards. This study proposes an ISMS assessment model by integrating ISO 27002 and 27004, wherein the functions of ISO 27002 guidelines are transformed into assessment parameters, and ISO 27004 is utilized to measure the performance of information security controls. Using this model, the ISMS score for the case study is determined to be 45.17 on a scale of 100, which significantly differs from the internal audit results of the case study, valued at 4.08 on a scale of 5 or 82 on a scale of 100."

"PT XYZ merupakan salah satu Badan Usaha Milik Pemerintah (BUMN) Republik Indonesia yang bergerak pada bidang agribisnis. PT XYZ sudah memiliki sistem manajemen keamanan informasi (SMKI), namun masih ditemukan beberapa kendala seperti atensi personil terhadap keamanan informasi yang rendah, kebutuhan untuk tetap patuh dengan peraturan pemerintah, hingga kendala teknis yang muncul, sehingga PT XYZ ingin meningkatkan kapabilitas terkait keamanan informasi yang mereka miliki. Penelitian ini bertujuan untuk mengetahui kondisi terkini dari SMKI yang ada pada PT XYZ dan memberikan rekomendasi peningkatan SMKI. Penelitian ini menggunakan kontrol keamanan informasi berdasarkan standar ISO/IEC 27001:2022 untuk mendapatkan gap kondisi keamanan informasi, dan kemudian melakukan penilaian risiko yang memakai data hasil gap yaitu kontrol keamanan informasi yang terpilih. Setelah itu dilakukan rekomendasi yang disusun berdasarkan standar ISO/IEC 27002:2022. Temuan dari penelitian ini adalah ditemukannya 22 aktivitas kontrol ISO/IEC 27001:2022 yang hasil nilainya belum maksimal. 22 kontrol ini kemudian dibagi menjadi 3 kategori rekomendasi berdasarkan urgensi peningkatan yang sesuai dari hasil penilaian risiko.

---

PT XYZ is one of the government-owned enterprises of the Republic of Indonesia that engaged in agribusiness. PT XYZ already has an information security management system (ISMS), but there are still several obstacles that are found, such as low personnel attention to information security, the need to remain compliant with government regulations, to technical constraints that arise, so PT XYZ wants to improve its information security-related capabilities. This study aims to determine the current condition of the existing ISMS at PT XYZ and provide recommendations for improving the ISMS. This research uses information security controls based on the ISO/IEC 27001: 2022 standard to get the information security condition gap, and then conduct a risk assessment using the gap result data, namely the selected information security controls. After that, recommendations were made based on the ISO / IEC 27002: 2022 standard. The findings of this study were the discovery of 22 ISO/IEC 27001:2022 control activities whose value results were not maximised. These 22 controls are then divided into 3 categories of recommendations based on the urgency, from the results of the risk assessment."

"Teknologi informasi saat ini telah berkembang dengan pesat dan membawa dampak besar pada kehidupan manusia, baik secara personal maupun organisasional. Namun, penggunaan teknologi informasi juga membawa risiko keamanan yang semakin meningkat. Dalam menghadapi risiko keamanan informasi ini, organisasi perlu membuat perlindungan dari segala risiko risiko tersebut. Dalam sistem informasi suatu organisasi perlu acuan atau guide untuk dijadikan standar dalam hal tersebut. Dalam hal sistem keamanan informasi, standar yang dipakai secara internasional adalah ISO 27001:2022. Perusahaan yang dijadikan studi kasus ini akan diberlangsungkan pengukuran tingkat kematangan pada sistem keamanan informasinya untuk mengetahui pada aspek manakah yang dapat ditingkatkan kembali. Pengukuran tingkat kematangannya menggunakan framework ISO 27001:2002. Kemudian hasil pengukuran tersebut akan dianalisa menggunakan metode PDCA untuk nantinya akan menghasilkan rekomendasi yang akan digunakan pada perusahaan studi kasus.

---

Information technology has rapidly evolved and had a significant impact on human life, both personally and organizationally. However, the use of information technology also brings increasing security risks. In dealing with these information security risks, organizations need to establish protection against all these risks. In the information system of an organization, there needs to be a reference or guide to serve as a standard in this regard. Regarding information security systems, the internationally recognized standard used is ISO 27001:2022. The company chosen as a case study will undergo a measurement of the maturity level of its information security system to identify areas that can be further improved. The measurement of maturity level will utilize the ISO 27001:2002 framework. Afterward, the results of the measurement will be analyzed using the PDCA method to generate recommendations that will be implemented in the case study company."

"Dalam mengembangkan layanan berbasis teknologi terbaru, perusahaan dituntut untuk cepat menyesuaikan diri terhadap kebutuhan konsumen. Hal yang sama juga terjadi pada bisnis perbankan, khususnya XYZ. Tuntutan pembaruan sistem yang cepat berdampak kepada kurangnya prioritas kepada aspek keamanan informasi pada proses pengembangan dan pengelolaan teknologi. Di sisi lain, bank dituntut untuk selalu mempertimbangkan aspek keamanan informasi demi menghindari terjadinya insiden terkait keamanan informasi, baik yang muncul dari aspek sumber daya manusia, prosedur, maupun aspek teknis. Penelitian ini bertujuan untuk merancang kebijakan keamanan yang mencakup proses bisnis yang ada pada XYZ, yaitu proses transaksi SKN, dimana saat ini belum memiliki kebijakan keamanan informasi yang berlaku secara formal. Dengan adanya kebijakan keamanan informasi, diharapkan setiap stakeholder, baik pada tahap pengembangan, maupun tahap operasional aplikasi dapat mempertimbangkan aspek keamanan tanpa mengurangi kegesitan bank dalam menghadirkan solusi kepada nasabahnya. Hasil dari penelitian ini berupa kebijakan keamanan informasi yang didasarkan pada analisa risiko yang terdapat pada tahap pengembangan aplikasi dan operasional SKN. Kebijakan keamanan informasi yang disusun mengacu kepada standar keamanan SANS yang dapat menemukan risiko spesifik terhadap proses bisnis transaksi SKN.

---

In terms of development of the latest service based on new technologies, every company is demanded to adapt with customer’s needs. The same thing also happened in financial services institute, especially XYZ. Requirement to update the system in a short time impacted to lack of information security concern within the development and operational phase. On the other side, banks are required to prioritize information security aspect in order to prevent incident related with it that might comes from human, process, and technology. This research aims to design an information security policy that covers operational of National Clearing System Transaction in XYZ, which doesn’t have a formal written policy. By applying such policy, all of the stakeholder in this system will consider the security aspect, both in development and operational phase, without reducing bank’s agility to deliver solution to its customer. The result of this study produces an information security policy based on risk assessment conducted within the operational and development phase. The composed policy refers to SANS security policy guidelines and produce a unique policy which relevant with National Clearing System’s process business."