Hasil Pencarian  ::  Simpan CSV :: Kembali

"Penelitian ini bertujuan untuk menyusun manajemen risiko kemanan informasi Sistem Aplikasi Keuangan Tingkat Instansi (SAKTI). Hal yang melatarbelakangi dilakukannya penelitian ini adalah karena SAKTI belum memiliki perangkat yang dapat memastikan keberlangsungan dan ketersediaan layanan SAKTI. Penelitian ini menggunakan beberapa standar seperti ISO 27005 dan NIST SP 800-30. Keluaran dari penelitian ini adalah sebuah manajemen risiko keamanan informasi SAKTI, yang di dalamnya terdapat proses identifikasi risiko, pemilihan kontrol untuk memitigasi risiko, dan penerimaan risiko oleh pemilik risiko."

"ABSTRAKSistem Aplikasi Keuangan Tingkat Instansi SAKTI merupakan inisiatif Pemerintah dalam hal ini Kementerian Keuangan khususnya Direktorat Jenderal Perbendaharaan. SAKTI digagas untuk dapat membantu proses pengelolaan keuangan negara. Proses pengelolaan keuangan negara yang termasuk dalam lingkup layanan SAKTI adalah proses penganggaran, pembayaran, sampai dengan pelaporan keuangan. Berdasarkan lingkup layanan SAKTI terhadap proses pengelolaan keuangan negara, maka ketersediaan layanan SAKTI menjadi penting. Tidak tersedianya layanan SAKTI dapat menyebabkan proses pengelolaan keuangan negara tidak berjalan. Melihat dampak dari tidak tersedianya layanan SAKTI, SAKTI harus memiliki perangkat untuk menjamin layanan yang ada selalu tersedia. Penerapan manajemen risiko keamanan informasi dapat menjadi salah satu perangkat untuk menjamin layanan SAKTI selalu tersedia.Berdasarkan fakta di lapangan, SAKTI belum menerapkan manajemen risiko keamanan informasi. Oleh sebab itu, penelitian ini dilakukan dengan tujuan untuk membuat manajemen risiko keamanan informasi pada SAKTI. Kerangka kerja yang digunakan sebagai panduan pada penelitian ini adalah ISO 27005 dan NIST SP 800-30.Hasil dari penelitian ini adalah manajemen risiko keamanan informasi SAKTI. Manajemen risiko keamanan informasi SAKTI berisi mengenai identifikasi kerentanan dan ancaman yang terdapat di SAKTI, sekaligus rencana pengendalian yang perlu diterapkan untuk mengurangi dampak risiko.

---

ABSTRAKInstitutions Level Financial Application System SAKTI is an initiative of the Government in this case the Ministry of Finance in particular the Directorate General of Treasury. SAKTI initiated to help the process of management of state finances. The process of management of state finances that include in the scope of SAKTI services is start from budgeting, payment, up to financial reporting. Based on the scope of SAKTI services on the process of management of state finances, then the availability of SAKTI services become important. The unavailability of SAKTI services may cause the process of management of state finances not running. Looking at the impact of the unavailability of SAKTI services, SAKTI must have a tool to ensure the services are always available. Implementation of information security risk management can be one of the tools in order to ensure SAKTI services always available.Based on facts, SAKTI has not implemented information security risk management. Therefore, this study was conducted with the objective of making information security risk management at SAKTI. The framework that used as a guide in this study is ISO 27005 and NIST SP 800 30.The results from this study is the information security risk management of SAKTI. Information security risk management of SAKTI contain about the identification of vulnerabilities and threats that exist in SAKTI, as well as control that need to be implemented to reduce the impact of the risks."

"ABSTRAKDi Indonesia, pihak yang berwenang untuk melakukan sertifikasi pengadaan secara elektronik adalah Otoritas Sertifikat Digital Pengadaan Secara Elektronik (OSD PSE) yang dikelola oleh unit kerja di Badan Sandi dan Siber Negara. OSD PSE memberikan jaminan layanan keamanan pada pengadaan secara elektronik di banyak sektor. Penelitian ini difokuskan pada identifikasi, analisis dan respon risiko layanan OSD PSE untuk mendapatkan enabler process dan Key risk indicator dengan mengkombinasikan metode Risk Scenario COBIT 5 dan NIST SP 800-30 Revision 1. Berdasarkan hasil penelitian diperoleh 14 enabler proses yaitu APO07.01, APO07.03, APO07.06, DSS01.01, DSS01.04, DSS05.05, DSS06.02, DSS06.03, APO01.06, DSS01.01, DSS05.02, DSS05.06, DSS06.04, dan DSS06.05.  Kemudian diidentifikasi 22 key risk indicator yang berhubungan dengan  IT goal and 47 yang terpengaruh process goal. Dua komponen kontrol risiko tersebut yaitu enabler proses dan key risk indicator kemudian digunakan sebagai kontrol pada  pengembangan 7 disain mitigasi risiko OSD PSE. Akhirnya penelitian ini menghasilkan rancangan pengembangan disain mitigasi risiko terhadap: Penyalahgunaan hak akses, kesalahan proses verifikasi sertifikat elektronik, kegagalan proses instalasi dan konfigurasi sistem, penyadapan, private key compromise, perangkat tidak dapat diakses dan adanya bug pada sistem OSD PSE.

---

ABSTRACT

---

Secara Elektronik (OSD PSE), is provided by a unit at National Cyber and Crypto Agency. This is an in-demand service for many sectors that require secure electronic procurement. This study focused on the identification, analysis and risk response of OSD PSE services to obtain an enabler process and key risk indicator by combining the Risk Scenario Risk Scenario COBIT 5 method and NIST SP 800-30 Revision 1. Based on the results of the study obtained 14 enabler processes that were successfully identified, namely APO07.01, APO07.03, APO07.06, DSS01.01, DSS01.04, DSS05.05, DSS06.02, DSS06.03, APO01.06, DSS01.01, DSS05.02, DSS05.06, DSS06.04, dan DSS06.05.  Then 22 key risk indicator related to IT goal and 47 influenced by the process goal.  These two components of risk control are then used as controls in the development of 7 OSD PSE risk mitigation design. Finally, this research produced a draft of the development of risk mitigation designs for: Access rights from prior roles are abused, error in the electronic certificate verification process, failure of the installation and system configuration process, private key compromise, hardware components inaccessible, and immature software (bugs) on the OSD PSE system.

"

"Penyelenggaraan pemilu dengan metode konvensional memiliki banyak kelemahan, dataterakhir memperlihatkan banyak terjadi kasus pelanggaran pemilu baik administrasi, pidana maupun etik. Banyaknya pelanggaran tersebut menjadikan masyarakat mulai kurang percaya akan hasil pemilu. Sehingga belakangan ini wacana e-voting dalam pemilu terus mengemuka untuk mencegah terjadinya kecurangan dan untuk memperbaiki kualitas pemilu. Beberapa regulasi juga sudah mendukung dilaksanakannya e-voting pada pemilu di Indonesia. Akan tetapi pelaksanaan e-voting tidak semudah yang dibayangkan, beberapa negara maju meninggalkan e-voting dan kembali ke sistem pemilu konvensional disebabkan oleh berbagai faktor terutama masalah keamanan informasi. KPU sebagai penyelenggara pemilu di Indonesia sampai saat ini masih belum mengeluarkan aturan tentang e-voting. KPU berpendapat e-voting perlu persiapan yang matang dari berbagai aspek seperti waktu, biaya, hukum, infrastruktur, keamanan, geografis dan lain-lain. Jika tidak dipersiapkan dengan baik akan memunculkan berbagai masalah seperti di negara lain dan mengurangi kepercayaan masyarakat. Oleh karena itu sangat diperlukan suatu pengukuran terhadap risiko keamanan informasi yang ada dalam penerapan teknologi e-voting. Pengukuran risiko keamanan informasi evoting berguna untuk mengetahui profil risiko, analisis terhadap risiko dan juga melakukan respon terhadap risiko, sehingga dampak-dampak yang kemungkinan muncul dari risiko tersebut dapat diketahui lebih awal dan dikelola dengan baik. Dengan adanya studi manajemen risiko yang komprehensif diharapkan dapat meningkatkan kepercayaan masyarakat pada e-voting. Penelitian ini bertujuan untuk menyusun rencana manajemen risiko keamanan informasi teknologi e-voting dengan menggunakan kerangka kerja ISO 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Pada tahap penilaian, proses evaluasi risiko menggunakan NIST SP 800-30 dan untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO 27002. Hasil yang akan diperoleh dari penelitian ini adalah perencanaan manajemen risiko yang berupa dokumen penanganan risiko, rekomendasi kontrol untuk mengurangi risiko dan penerimaan risiko yang berisi keputusan penanganan risiko serta penanggung jawab penanganan risiko.

---

.The elections with conventional methods has many weaknesses, the latest data shows that there are many cases of electoral violations both administrative, criminal and ethical. The large number of violations made the community began to lack confidence in the election results. So lately the discourse of e-voting in elections continues to emerge to prevent fraud and to improve the quality of elections. Some regulations also support the implementation of e-voting in elections in Indonesia. However, the implementation of e-voting is not easy, some developed countries leave evoting and return to conventional electoral systems caused by various factors, especially information security issues. KPU as the election organizer in Indonesia until now still has not issued a regulation regarding e-voting. KPU believes that e-voting needs careful preparation from various aspects such as time, cost, law, infrastructure, security, geography and others. If it is not well prepared, there will be a variety of problems such as in other countries and reduce the confidence of the community. Therefore a measurement of information security risks is needed in the application of evoting technology. Measuring the security risks of e-voting information is useful for knowing risk profiles, risk analysis and also responding to risks, so that the impacts that might arise from these risks can be identified earlier and managed properly. With the existence of a comprehensive risk management study, it is expected to increase public confidence in e-voting. This study aims to develop a risk management plan for information security for e-voting technology using the ISO 27005 framework with four main stages, namely context setting, risk assessment, risk management and risk acceptance. At the assessment stage, the risk evaluation process uses NIST SP 800-30 and to design controls in an effort to reduce risk, researchers refer to ISO 27002. The results to be obtained from this study are risk management planning in the form of risk handling documents, control recommendations to reduce the risk and acceptance of risks that contain risk management decisions and those responsible for handling risks."

"Inisiatif optimalisasi pemanfaatan Teknologi Informasi dan Komunikasi (TIK) merupakan salah satu bentuk inisiatif strategis dari Sekretariat Presiden (Setpres) yang tertuang dalam rencana strategis Setpres 2020-2024. Setpres dalam menjalankan kegiatan operasional maupun administrasi menetapkan konsep zero mistake, sehingga dalam melaksanakan pekerjaan diharuskan untuk teliti dan berhati-hati agar dapat meminimalisir munculnya risiko kesalahan dan timbulnya persepsi yang buruk terhadap kinerja Setpres. Layanan Setpres dituntut agar dapat memberikan data dan informasi yang aman dan handal dalam proses pengambilan keputusan. Namun pada kenyataannya pengelolaan aset dan risiko pada pusat data belum dikelola dengan baik dan bersifat spontanitas saja. Oleh karenanya dengan penelitian ini diharapkan pengelolaan risiko dan penanganan terkait keamanan informasi pada pusat data Setpres dapat dikelola dengan baik. Penelitian ini menggunakan metode kualitatif dimana proses pengumpulan data primer menggunakan wawancara, diskusi atau rapat dan melalui observasi serta dilengkapi dengan data sekunder. Kerangka kerja yang digunakan dalam proses manajemen risiko keamanan informasi penelitian ini adalah ISO/IEC 27005:2018 dan menggunakan panduan dari NIST SP 800-30 Rev.1 dalam proses penilaian risiko, kemudian menggunakan ISO/IEC 27002:2013 untuk memberikan rekomendasi kontrol penanganan risikonya. Penelitian ini menghasilkan 119 skenario risiko dimana 97 diantaranya perlu dimitigasi dan 22 risiko dapat diterima. Risiko yang dimitigasi 75 risiko ditangani dengan memodifikasi risiko, 22 dengan berbagi risiko, dan 22 risiko diterima. Rancangan manajemen risiko keamanan informasi pusat data Setpres ini diharapkan dapat bermanfaat bagi organisasi Setpres dalam mengelola risiko keamanan informasi pusat data maupun unit kerja lain di lingkungan Kementerian Sekretariat Negara dan juga pihak atau peneliti lain yang berkaitan dengan manajemen risiko keamanan informasi.

---

The initiative to optimize the use of Information Technology and Communication (ICT) is a form of strategic initiative of Presidential Secretariat (Setpres) which is can be found in the 2020-2024 Presidential Secretariat strategic plan. Setpres in carrying out the operational and administrative activities, Presidential Secretariat sets the concept of zero mistake, so that when doing the activities had to be thorough and careful in order to minimize the risk of errors and the emergence of a bad perception of the performance of the Presidential Secretariat. Presidential Secretariat services were required to provide be safe dan reliable data and information in the process of decision making. However, in the reality data center management of assets and risks was not managed properly, where the risk management and risk treatment were conducted spontaneously. Therefore, with this research risk management and the risk treatment related to the data center information security could be managed properly. This study uses qualitative method that the primary data collection by interviews, discussions or meetings, and observation, also uses the secondary data collection. Framework that is used by this research in the information security risk management process is ISO/IEC 27005:2018, and uses guidelines from NIST SP 800-30 Rev.1 in the risk assessment process, also completed with the ISO/IEC 27002:2013 for the recommendation for the risk controls. This study resulted 119 risk scenarios where 97 of them need to be mitigated and 22 risks are acceptable. Risks that were mitigated, 75 of the risks will be handled by modifying risks, 22 by sharing the risks, and 22 risks were acceptable. The design of data center information security risk management of the Presidential Secretariat was expected to be useful for Setpres Organization itself to manage information security risks and other works units within the Ministry of State Secretariat of the Republic of Indonesia as well as other parties or researchers related to the information security risk management."

"Ditjen. Imigrasi sebagai pelaksana tugas dan fungsi Kementerian Hukum dan HAM RI di bidang keimigrasian telah memanfaatkan SI/TI yang mengintegrasikan seluruh fungsi keimigrasian baik di dalam maupun luar negeri, yaitu dengan Sistem Informasi Manajemen Keimigrasian (SIMKIM). Lingkup SIMKIM yang meliputi hampir seluruh aspek layanan keimigrasian menyebabkan ketersediaan layanan SIMKIM menjadi sangat penting. Tidak tersedianya layanan SIMKIM menyebabkan proses pelayanan keimigrasian menjadi tidak berjalan. Terjadinya insiden terkait keamanan informasi dalam organisasi serta maraknya kasus serangan siber di instansi pemerintah Indonesia, menuntut kepastian pengamanan SIMKIM untuk melindungi data krusial yang dimiliki. Tingginya ketergantungan Imigrasi terhadap SIMKIM dan dalam rangka menjaga kredibilitas instansi, dibutuhkan suatu perencanaan manajemen risiko keamanan informasi untuk menjamin kerahasiaan, integritas, dan ketersediaan layanan SIMKIM.Dalam menyusun perencanaan manajemen risiko keamanan informasi SIMKIM, penelitian dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005:2018 sebagai kerangka kerja utama dalam proses manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan pelaksanaan aktivitas penilaian risiko, dan NIST SP 800-53 Rev. 5 sebagai acuan penentuan rekomendasi. Dari penilaian risiko, diidentifikasi 23 skenario risiko yang perlu dimitigasi oleh organisasi dan 5 skenario risiko yang dapat dialihkan ke pihak ketiga. Penelitian ini menghasilkan dokumen rancangan manajemen risiko keamanan informasi SIMKIM.

---

The Directorate General of Immigration as the executor of the duties and functions of the Ministry of Law and Human Rights of Republic of Indonesia in the Immigration sector has utilized IS/IT that integrates all immigration functions both at inside and outside territory of Indonesia, namely the Sistem Informasi Manajemen Keimigrasian (SIMKIM). The scope of SIMKIM which covers almost all aspects of immigration services makes the availability of SIMKIM services very important. The unavailability of SIMKIM services causes the immigration service process to not work. The occurrence of incidents related to information security within the organization as well as the rise of cases of cyber attacks in Indonesian government agencies, demands the certainty of SIMKIM security to protect the crucial data held. Immigration's high dependence on SIMKIM and to maintain the credibility of the agency, an information security risk management plan is needed to ensure the confidentiality, integrity, and availability of SIMKIM services.

In preparing the information security risk management plan for SIMKIM, the research uses the ISO/IEC 27005 framework as the main framework in the risk management process, NIST SP 800-30 Rev. 1 as a guide for the implementation of risk assessment activities, and NIST SP 800-53 Rev. 5 as a reference for determining recommendations. From the risk assessment, 23 risk scenarios were identified that need to be mitigated by the organization and 5 risk scenarios that can be transferred to third parties. This research produces a SIMKIM information security risk management design document."

"Badan Narkotika Nasional (BNN) adalah lembaga pemerintahan yang bertugas untuk Pencegahan dan Pemberantasan Penyalah gunaan dan Peredaran Gelap Narkotika (P4GN). BNN memiliki Pusat Penelitian Data dan Informasi (Puslitdatin) yang bertanggung jawab dalam pengelolaan teknologi informasi dan komunikasi (TIK). Masalah utama yang dihadapi adalah adanya risiko serangan siber yang masuk ke BNN tinggi yang juga diperkuat dengan hasil evaluasi SPBE (Sistem Pemerintahan Berbasis Elektronik) BNN di tahun 2021 berada pada angka indeks 2,21 dari skala 5. Rendahnya indeks SPBE tahun 2021, salah satunya disebabkan karena indikator 21 (Pelaksanaan Manajemen Risiko) masih berada pada level 1. Penelitian ini bertujuan untuk menghasilkan perancangan manajemen risiko keamanan informasi yang dapat mendukung pelaksanaan SPBE pada Badan Narkotika Nasional. Penelitian ini bermanfaat untuk mengetahui identifikasi risiko dalam penilaian risiko keamanan informasi, sehingga dapat memberikan penilaian konsekuensi dan dampak risiko keamanan informasi serta dapat memberikan rekomendasi kontrol terkait pengelolaan risiko (mitigasi risiko) kepada organisasi. Penelitian ini menggunakan metode kualitatif, yang dilakukan dengan wawancara kepada tim teknis TIK di Puslitdatin BNN serta menggunakan teknik analisis tematik. Kerangka kerja manajemen risiko keamanan informasi yang digunakan dalam penelitian ini adalah International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27005:2018, ISO/IEC 27002:2022, dan National Institute of Standards and Technology Special Publication 800-30 Revision 1 (NIST SP 800-30 Rev.1). Aset adalah segala sesuatu yang memiliki nilai bagi Puslitdatin dan karenanya memerlukan perlindungan, sedangkan ancaman adalah peristiwa apa pun yang berpotensi berdampak buruk pada operasi dan aset Puslitdatin melalui perusakan, pengungkapan, atau modifikasi informasi yang tidak sah, dan penolakan atau penghentian layanan. Dari penelitian didapatkan 78 aset yang teridentifikasi berkaitan dengan kegiatan Puslitdatin BNN dan terdapat 570 skenario peristiwa ancaman dari 16 sumber ancaman. Hasil penilaian tingkat risiko menunjukan sebanyak 37 skenario perlu dimitigasi dan 533 skenario diterima oleh Puslitdatin BNN. Pada penanganan risiko keamanan informasi dihasilkan 20 jenis rekomendasi kontrol yang diantaranya yaitu membuat kebijakan keamanan informasi, penerapan kontrol hak akses, penerapan secure authentication, pengadaan genset khusus data center, penerapan manajemen screen and desk policy, dan melakukan enkripsi data/informasi penting. Hasil penelitian ini adalah rancangan dokumen manajemen risiko keamanan informasi BNN.

---

The National Narcotics Board (BNN) is a government agency tasked with the Prevention and Eradication of Narcotics Abuse and Illicit Trafficking (P4GN). BNN has a Data and Information Research Center (Puslitdatin) which is responsible for managing information and communication technology (ICT). The main problem faced is the high risk of cyber attacks entering the BNN which is also reinforced by the evaluation results of the BNN's SPBE (Electronic Based Government System) in 2021 which is at an index number of 2.21 on a scale of 5. The low SPBE index in 2021, one of them because indicator 21 (Implementation of Risk Management) is still at level 1. This study aims to produce an information security risk management design that can support the implementation of SPBE at the National Narcotics Agency. This research is useful for knowing risk identification in information security risk assessment, so that it can provide an assessment of the consequences and impacts of information security risks and can provide control recommendations related to risk management (risk mitigation) to organizations. This study used a qualitative method, which was conducted by interviewing the ICT technical team at the BNN Research and Data Center, and using thematic analysis techniques. The information security risk management framework used in this study is the International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27005:2018, ISO/IEC 27002:2022, and National Institute of Standards and Technology Special Publication 800-30 Revision 1 (NIST SP 800-30 Rev.1). Assets are anything that has value to Puslitdatin and therefore requires protection, while threats are any events that have the potential to adversely affect Puslitdatin operations and assets through unauthorized destruction, disclosure or modification of information, and/or denial of service. From the research, it was found that 78 assets were identified as related to Puslitdatin BNN activities and 570 threat event scenarios from 16 threat sources. The results of the risk level assessment show that as many as 37 scenarios need to be mitigated and 533 scenarios are accepted by the BNN Research and Data Center. In handling information security risks, 20 types of control recommendations were produced, including making information security policies, implementing access rights controls, implementing secure authentication, procuring special data center generators, implementing screen and desk management policies, encrypting important data/information, and others. The result of this research is the design of BNN's information security risk management document."

"Digitalisasi telah merambah ke berbagai aspek kehidupan, termasuk sektor pemerintahan di bidang pengawasan pengelolaan keuangan negara. SIMWAS adalah sistem informasi di Instansi XYZ yang digunakan untuk mengelola kegiatan pengawasan dan tindak lanjut hasil pengawasan. SIMWAS merupakan aset penting yang memuat seluruh proses bisnis pengendalian internal, namun pada praktiknya, risiko keamanan informasi SIMWAS belum dikelola dengan baik. Untuk mengatasi permasalahan tersebut, diperlukan manajemen risiko keamanan informasi pada SIMWAS. Penelitian ini bertujuan untuk merancang dan menganalisis manajemen risiko keamanan informasi SIMWAS menggunakan kerangka kerja berdasarkan integrasi standar ISO/IEC 27005:2018, ISO/IEC 27002:2013, dan NIST SP 800-30 Rev 1. Kerangka kerja ISO/IEC 27005:2018 digunakan sebagai kerangka kerja utama manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan proses penilaian risiko, dan ISO/IEC 27002:2013 sebagai referensi rekomendasi penanganan risiko. Penilaian risiko keamanan informasi SIMWAS dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, dan telaah dokumen. Hasil penelitian ini menunjukkan bahwa keamanan informasi SIMWAS memiliki 8 risiko level rendah, 9 risiko level sedang, dan 5 risiko level tinggi. Penelitian ini menghasilkan 14 rekomendasi penanganan risiko untuk 5 risiko level tinggi dan 9 risiko level sedang, sedangkan 8 risiko level rendah dapat diterima sesuai dengan selera risiko organisasi. Instansi XYZ perlu melakukan analisis risiko residu dan analisis biaya-manfaat dari penerapan kontrol di setiap skenario risiko.

---

Digitalization has penetrated various aspects of life, including the government sector in the field of supervising state financial management. SIMWAS is an information system in the XYZ Agency that is used to manage surveillance activities and follow up on the results of supervision. SIMWAS is an important asset that includes all internal control business processes, but in practice, SIMWAS information security risks have not been managed properly. To overcome these problems, information security risk management is required at SIMWAS. This study aims to design and analyze SIMWAS information security risk management using a framework based on the integration of ISO/IEC 27005:2018, ISO/IEC 27002:2013, and NIST SP 800-30 Rev 1 standards. The ISO/IEC 27005:2018 framework is used as the main framework in risk management, NIST SP 800-30 Rev. 1 as a guideline for risk assessment process, and ISO/IEC 27002:2013 as a reference for risk treatment recommendations. SIMWAS information security risk assessment is carried out by analyzing data obtained from the results of interviews, observations, and document reviews. The results of this study indicate that SIMWAS information security has 8 low-level risks, 9 medium-level risks, and 5 high-level risks. This study result 14 risk treatment recommendation for 5 high-level risks and 9 medium-level risks, while 8 low-level risks are acceptable according to the organization's risk appetite The XYZ Agency needs to carry out a residual risk analysis and a cost-benefit analysis of implementing controls in each risk scenario."

"Keterbukaan informasi secara global tanpa batas serta didukung perkembangan teknologi yang pesat berisiko memberikan kerawanan terhadap obyek informasi yang terekspose yang memberi celah kepada pihak yang tidak berkepentingan untuk mengambil atau memanipulasi informasi Organisasi Kementerian Luar Negeri mengelenggarakan fungsi fungsi sesuai dengan Perpres RI Nomor 9 Tahun 2005 dan UU RI Nomor 39 tahun 2008 membutuhkan informasi yang cepat tepat akurat serta terjamin keamanannya Sehingga tuntutan ketersediaan suatu Manajemen Resiko yang efektif merupakan sesuatu yang mendesak Manajemen Resiko diperlukan untuk melindungi aset informasi organisasi dan melanjutkan misi dan visi organisasi Dalam penelitian ini penulis melakukan Perancangan Manajemen Resiko Sistem Informasi studi kasus Pusat Komunikasi Kementerian Luar Negeri dengan metodologi NIST Hasil dari penelitian menggambarkan tingkat kematangan dan kelengkapan penerapan manajemen resiko di lingkungan Kementerian Luar Negeri.

---

Disclosure of information globally seamless and supported the development of technologies that provide rapid risk exposure to information objects that give loopholes exposed to unauthorized parties to retrieve or manipulate information Organization of the Ministry of Foreign Affairs provide functions in accordance with Presidential Decree No 9 of 2005 and Act No 39 of 2008 need information fast precise accurate and guaranteed safety So the demand for the availability of an effective risk management is something urgent Risk management is needed to protect the information assets of the organization and continue the mission and vision of the organization In this study the authors conducted a Risk Management Information System Design case study Communication Center Ministry of Foreign Affairs with NIST methodology The results of the study illustrate the level of maturity and completeness of the application of risk management in the Ministry of Foreign Affairs."

"Perkembangan internet menandai era baru dalam perkembangan media dan membuat interaksi antara media dengan publik dapat dilakukan secara nyata. CNN Indonesia merupakan salah satu perusahaan penyedia jaringan televisi berita digital serta penyedia media online dengan cakupan multinasional, dimiliki oleh Trans Media dengan mengambil lisensi pada tahun 2014. Saat ini, pertumbuhan akses pada portal berita CNN Indonesia terus meningkat tiap tahunnya seiring dengan meningkatnya ancaman serangan siber. Serangan tersebut dapat berdampak dan mengancam reputasi perusahaan. Penelitian kali ini akan membahas manajemen risiko yang baik bagi CNN Indonesia dengan melakukan penilaian metode kualitatif berdasarkan wawancara serta pencarian data dan dokumen – dokuman pendukung. Penilaian terkait didukung oleh teori relevan yaitu ISO/IEC 27005:2018, NIST SP 800-30 revisi 1, ISO/IEC 27001:2013 dan ISO/IEC 27002:2013.Berdasarkan hasil analisis atas 14 aset, didapatkan 17 risiko dengan detil 4 (empat) risiko dengan kategori very high, 4 (empat) risiko dengan kategori high, 6 (enam) risiko dengan kategori moderate, 2 (dua) risiko dengan kategori low dan 1 (satu) risiko dengan kategori very low. Kemudian, dilakukan penilaian selera risiko dan didapatkan 1 (satu) risiko yang berstatus terima dan 16 risiko berstatus mitigasi. Atas hasil tersebut, manajemen perlu menerapkan beberapa pengendalian untuk memitigasi risiko sesuai dengan praktik ISO/IEC 27001:2013 dan ISO/IEC 27002:2013.

---

The development of the internet marks a new era in media development and makes interaction between the media and the public become real. CNN Indonesia is a digital broadcasting news that has international coverage and owned by Trans Media in 2014. Currently, access to the CNN Indonesia news portal continues to increase year by year. This growth makes CNN Indonesia should keep the portal available, securing from any cybersecurity attacks. Such attacks can impact and threaten the company's reputation. This research will discuss risk management for CNN Indonesia by evaluating qualitative methods based on interviews, searching data, and supporting documents. This research utilized by relevant theories such as ISO/IEC 27005:2018, NIST SP 800-30 revisi 1, ISO/IEC 27001:2013 and ISO/IEC 27002:2013.

Based on the results of the analysis over 14 assets, there are 17 risks with details 4 (four) risks in the very high category, 4 (four) risks in the high category, 6 (six) risks in the moderate category, 2 (two) risks in low category and 1 (one) risk in the very low category. Then, an assessment of risk appetite was carried out and obtained 1 (one) risk with an accept status and 16 risks with a mitigation status. Based on these results, management needs to implement several controls to mitigate risks based on practice that defined in ISO/IEC 27001:2013 and ISO/IEC 27002:2013."