PENILAIAN RISIKO

TEKNOLOGI INFORMASI
CCTV (Closed Circuit Television)
PADA PT. ASTRA GRAPHIA
INFORMATION TECHNOLOGY
Tria Yulita1, Lusy Adesiany2, Dessy Liana3, Siti Elda Hiererra4
1234
Jurusan Komputerisasi Akuntansi, Fakultas Ilmu Komputer, Universitas Bina Nusantara
Jl. K. H. Syahdan No. 9, Kelurahan Kemanggisan, Kecamatan Palmerah Jakarta Barat 11480
Telp. : (62 21) 534 5830 ext. 2169 / 53 69 69 39
triayulita@yahoo.com, lusy.syarifah@yahoo.com, dessylianalee@gmail.com, elda.siti@gmail.com

Abstract

The purpose of this research is to assess the management of information security risks and determine
the level of information technology in The Installation Project of CCTV at XYZ Bank, conducted by
PT. Astra Graphia Information Technology and also to help deliver the best recommendations to the
risks found. Our research methodology for collecting the data and information are study literature
and field studies consist of observations, interviews, checklists, and documentation as well as the
method of analysis used is an ISO/IEC 27001:2005 and ProbabilityImpact Matrix. The results
achieved in the valuation of 133 information security management security controls are 72,18%
already met the requirements, 12,78% does not met the requirements and 15,04% which does not
apply to the project. Based on the risk assessment of information technology valuation, of all the 53
threats there are 35,85% high risk level, 37,74% medium risk level, 11,32% low risk level, and
15,10% risk which does not apply to the project. The conclusion of the research is PT. Astra Graphia
Information Technology has not met the requirements of ISO/IEC 27001:2005, they still need to
improve the management of information security against threats and risks and to obtain the
certification of ISO/IEC 27001:2005.
Key Words : Risk Assessment, Information Technology, ISO/IEC 27001:2005, ProbabilityImpact
Matrix.
Abstrak

Tujuan penelitian ialah untuk menilai manajemen keamanan informasi dan risiko teknologi informasi
pada Proyek Pemasangan CCTV pada Bank XYZ yang dijalankan oleh PT. Astra Graphia
Information Technology serta membantu dalam memberikan saran rekomendasi terbaik terhadap
risiko yang ditemukan. Metodologi penelitian yang dilakukan tim penulis untuk mengumpulkan data
dan informasi yang dibutuhkan adalah studi kepustakaan dan studi lapangan yang terdiri dari
observasi, wawancara, checklist, dan dokumentasi serta metode analisis yang digunakan adalah
ISO/IEC 27001:2005 dan ProbabilityImpact Matrix. Hasil yang dicapai dalam penilaian manajemen
keamanan informasi dari 133 kontrol keamanan terdapat 72,18% yang sudah terpenuhi, 12,78% yang
belum terpenuhi, dan 15,04% yang tidak berlaku pada proyek. Dalam penilaian risiko teknologi
informasi dari 53 ancaman terdapat 35,85% tingkat risiko high, 37,74% tingkat risiko medium,
11,32% tingkat risiko low, dan 15,10% risiko yang tidak berlaku pada proyek. Simpulan hasil
penelitian yang telah dilakukan adalah PT. Astra Graphia Information Technology belum memenuhi
seluruh persyaratan kontrol keamanan pada ISO/IEC 27001:2005 sehingga masih perlu memperbaiki
manajemen keamanan informasi dalam menghadapi ancaman dan risiko serta untuk memperoleh
sertifikasi ISO/IEC 27001:2005.
Kata Kunci : Penilaian Risiko, Teknologi Informasi, ISO/IEC 27001:2005, ProbabilityImpact
Matrix.
Pendahuluan

PT. Astra Graphia Information Technology yang selanjutnya akan tim penulis sebut sebagai PT.
AGIT sedang menjalankan sebuah proyek teknologi informasi yaitu Proyek CCTV Pada Bank XYZ.
Pada Proyek CCTV Pada Bank XYZ terdapat proses implementasi dan operasional yang dijalankan.
Manusia menjadi peran utama pada kedua proses tersebut sehingga faktor Human Threat menjadi
sangat penting dalam menimbulkan risiko pada proyek ini. Risiko adalah ketidakpastian yang dapat
memiliki dampak negatif atau positif dalam memenuhi tujuan proyek. (Schwalbe, 2011:425). Hal
tersebut mendorong perusahaan untuk menghadapi risiko yang dapat terjadi dengan mengurangi
dampak yang ditimbulkan. Manajemen risiko merupakan disiplin ilmu yang ada untuk menghadapi
risiko yang tidak spekulatif, risiko-risiko tersebut hanya dari kerugian yang dapat terjadi. (Calder &
Watkins, 2008:81). Oleh karena itu, perlu adanya penilaian risiko yang dilakukan pada proses
implementasi dan operasional Proyek CCTV Pada Bank XYZ. Penilaian risiko adalah proses kedua
dalam siklus hidup manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan
apa ancaman yang ada untuk suatu aset dan tingkat risiko yang terkait ancaman itu. (Peltier,
2005:16). Penilaian dilakukan untuk mengetahui ancaman apa saja yang timbul, seberapa besar
tingkat risiko yang dihadapi terkait dengan ancaman tersebut, dan pengendalian apa yang harus
dilakukan untuk mengendalikan ancaman dan mengurangi tingkat risikonya sehingga proses
implementasi dan operasional Proyek CCTV Pada Bank XYZ dapat terus berjalan tanpa mengurangi
keefektifannya dalam mencapai tujuan proyek.
Dengan adanya latar belakang di atas, maka tim penulis perlu melakukan penelitian pada proses
implementasi dan operasional Proyek CCTV Pada Bank XYZ dengan merumuskan masalah sebagai
berikut :
1. Apakah manajemen keamanan informasi pada Proyek CCTV Pada Bank XYZ yang dijalankan
oleh PT. AGIT sudah memenuhi persyaratan pada ISO/IEC 2700:2005?
2. Apa saja ancaman yang timbul dan seberapa besar tingkat risiko yang dihadapi oleh PT. AGIT
dalam menjalankan Proyek CCTV Pada Bank XYZ?
3. Bagaimana pengendalian yang efektif berdasarkan kontrol keamanan pada ISO/IEC 27001:2005
yang dapat digunakan untuk mengendalikan ancaman dan mengurangi tingkat risiko di dalam
Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT?
Berdasarkan latar belakang dan rumusan masalah di atas, maka tujuan dalam penyusunan dan
penulisan skripsi ini, yaitu untuk melakukan penilaian manajemen keamanan informasi dengan
menganalisa hasil temuan audit dan memberikan saran rekomendasi untuk perbaikan berdasarkan
kontrol keamanan pada ISO/IEC 27001:2005 serta untuk melakukan penilaian risiko dengan
menentukan tingkat risiko pada setiap ancaman berdasarkan Probability - Impact Matrix dan
memberikan saran pengendalian ancaman berdasarkan kontrol keamanan pada ISO/IEC 27001:2005.
Kedua penilaian tersebut dilakukan pada proses implementasi dan operasional Proyek CCTV Pada
Bank XYZ yang dijalankan oleh PT. AGIT.

Metode Penelitian

Dalam penelitian ini dan untuk mencapai tujuannya digunakan beberapa metodologi yang
mendukung diantaranya yaitu :
1. Studi kepustakaan
Metodologi penelitian dengan mempelajari buku-buku maupun bahan-bahan tertulis lainnya
yang terkait dengan ISO/IEC 27001:2005 dan Penilaian Risiko dengan menggunakan
Probability-Impact Matrix.
2. Studi lapangan
Metodologi penelitian dengan mengadakan peninjauan langsung pada perusahaan yang
bersangkutan. Metodologi penelitian yang digunakan antara lain:
a. Pengamatan (Observation)
Pengumpulan data dilakukan dengan cara mendatangi secara langsung perusahaan dan
melakukan penilaian risiko pada proses implementasi dan operasional Proyek CCTV
Pada Bank XYZ.
b. Wawancara (Interview)
Dilakukan dengan mengadakan tanya jawab secara langsung dengan pihak-pihak yang
terkait untuk memperoleh gambaran secara umum tentang perusahaan dan masalah-
masalah yang berkaitan dengan penulisan skripsi ini.
 c. Ceklis (Check-List)
Dilakukan dengan memberikan daftar pertanyaan yang digunakan untuk menilai
manajemen keamanan informasi berdasarkan standar internasional untuk SMKI yaitu
ISO/IEC 27001:2005 dan menilai risiko dengan menggunakan Probability - Impact
Matrix pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ.
d. Dokumentasi (Documentation)
Dilakukan dengan mengumpulkan dokumentasi, baik secara tertulis maupun gambar
yang berkaitan dengan proses implementasi dan operasional Proyek CCTV Pada Bank
XYZ.

Hasil dan Bahasan

Penilaian Manajemen Keamanan Informasi

Dalam penilaian manajemen keamanan informasi, kami menggunakan suatu standar
internasional yaitu ISO 27001. Menurut Arnanson & Willet (2008:5), ISO 27001 adalah sebagai
berikut : ISO 27001 menyediakan model umum untuk melaksanakan dan mengoperasikan SMKI,
dan memantau dan meningkatkan operasi SMKI. Standar 27001 memberikan petunjuk untuk
menerapkan SMKI, serta untuk memperoleh sertifikat internasional pihak ketiga untuk membuktikan
bahwa kontrol keamanan ada dan beroperasi sesuai dengan persyaratan dari standar.
Utomo, Ali, Affandi (2012) membagi struktur organisasi ISO/IEC 27001 : 2005 menjadi dua
bagian besar yaitu :
1) Klausul : Mandatory Process
Klausul (pasal) adalah persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI
dengan menggunakan standard ISO/IEC 27001 : 2005.
2) Annex A : Security Control
Annex A adalah dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk
menentukan kontrol keamanan apa (security control) yang perlu diterapkan dalam SMKI,
yang terdiri dari 11 klausul kontrol keamanan, 39 kontrol objektif dan 133 kontrol.
Analisis Temuan Audit Manajemen Keamanan Informasi Berdasarkan ISO/IEC 27001:2005
Audit dilakukan pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang
dijalankan oleh PT. AGIT dengan menggunakan ISO/IEC 27001:2005. Berikut merupakan beberapa
analisa hasil temuan audit berdasarkan kategori temuan audit yang diperoleh :

A.9 Keamanan Fisik Dan Lingkungan

A.9.1 Wilayah Aman
A.9.1.2 Pengendalian Masuk Secara Fisik

Tabel 1 - Analisa Temuan Audit Pada A.9.1.4

Analisa Hasil Audit: Persyaratan Kategori Temuan:

Berdasarkan audit yang dilakukan, perlindungan ISO/IEC
terhadap bencana alam sudah dilakukan oleh 27001: 2005
perusahaan dengan menyediakan alat :
perlindungan bencana alam seperti fire
extinguisher, fire alarm, smoke detector, dan Comply
hydran di setiap area-area operasional A.9.1.4
pemantauan CCTV dan penyimpanan data
rekaman CCTV (i.e ruang pemantauan, data
center, helpdesk).
Analisa Penyebab :
Tidak terdapat analisa penyebab pada hasil audit ini.
Saran Tindakan Perbaikan : Target Selesai :
Tidak ada saran yang diajukan untuk tindakan perbaikan
karena proses operasional Proyek Pemasangan CCTV
yang dilakukan sudah memenuhi persyaratan pada -
A.9.1.4.
A.11 Pengendalian Akses
A.11.3 Tanggung Jawab Pengguna
A.11.3.3 Kebijakan Clear Desk Dan Clear Screen

Tabel 2 - Analisa Temuan Audit Pada A.11.3.3

Analisa Hasil Audit: Persyaratan Kategori Temuan:

Berdasarkan audit yang dilakukan, PT. ISO/IEC
AGIT belum membuat dan 27001: 2005
mengimplementasikan kebijakan :
mengenai clear screen dan desk policy. Not Comply
Hasil audit pada annex ini termasuk (Major)
kategori temuan major karena tidak ada A.11.3.3
dokumen secara tertulis maupun aktivitas
yang dilaksanakan mengenai clear screen
dan desk policy.
Analisa Penyebab :
PT. AGIT belum berfokus pada SMKI untuk Proyek Pemasangan CCTV yang
dijalankan sehingga belum terdapat kebijakan mengenai clear screen dan desk
policy pada setiap karyawannya.
Saran Tindakan Perbaikan : Target Selesai :
Manajemen PT. AGIT seharusnya
membuat kebijakan yang tertulis
mengenai clear screen dan desk
policy. Setelah itu, setiap karyawan
harus mengimplementasikan
kebijakan tersebut agar dokumen- Minggu ke 3, bulan Maret 2014
dokumen penting yang ada pada
computer/desktop dan juga meja
kerja tidak disalahgunakan oleh
orang lain yang tidak
berkepentingan.

A.10 Manajemen Komunikasi Dan Operasi

A.10.8 Pertukaran Informasi
A.10.8.4 Pesan Elektornik

Tabel 3 - Analisa Temuan Audit Pada A.10.8.4

Analisa Hasil Audit: Persyaratan Kategori Temuan:

Berdasarkan audit yang dilakukan, pada ISO/IEC
Proyek Pemasangan CCTV tidak terdapat 27001: 2005
kesepakatan untuk melakukan pertukaran :
data rekaman CCTV melalui e-mail atau
instant messenger, melainkan menggunakan NA
Flash Disk. Hal tersebut untuk mengurangi A.10.8.4
risiko data ilegal, kode berbahaya, dan akses
ilegal yang mungkin timbul pada saat
pertukaran data terjadi.
Analisa Penyebab :
Kapasitas yang ada pada e-mail atau instant messenger tidak menunjang kapasitas
data rekaman CCTV yang akan dikirimkan.
Saran Tindakan Perbaikan : Target Selesai :
Tidak ada saran yang diajukan untuk tindakan
perbaikan pada hasil audit ini karena persyaratan
pada A.10.8.4 tidak berlaku pada Proyek -
Pemasangan CCTV.
 Hasil yang diperoleh dari penilaian manajemen keamanan informasi terkait dengan 133 kontrol
keamanan berdasarkan hasil temuan audit pada Proyek CCTV pada Bank XYZ dengan menggunakan
ISO/IEC 27001:2005 dan ditampilkan dengan menggunakan grafik pie chart berikut:

Gambar 1 Hasil Penilaian Manajemen Keamanan Informasi Pada Proyek CCTV Pada Bank XYZ

Penilaian Risiko
Penilaian risiko yang dilakukan oleh kami merupakan proses penilaian tingkat risiko terkait
dengan ancaman yang muncul pada proses implementasi dan operasional Proyek CCTV yang
dijalankan oleh PT. AGIT. Dalam melakukan penilaian risiko, kami melakukan enam langkah
penilaian risiko. Langkah-langkah penilaian risiko yang harus dilakukan adalah sebagai berikut:
1. Definisi Aset;
Tabel 4 - Aset Yang Digunakan Pada Proyek CCTV Pada Bank XYZ
Jenis Aset
Hardware
Network Video Recorder (NVR)
Network Video Recorder (NVR) Fail Over
Control Management System (CMS)
Network Attached Storage (NAS)
Network Switch
Kamera CCTV
Power Over Ethernet (POE) Injector
Power Over Ethernet (POE) Switch
PC (Personal Computer) Desktop
Software
Microsoft Windows XP
Microsoft Windows 7
CMS Monitoring
LANDesk Service Desk (Sistem Helpdesk)
Manage Enggine-Operation Manager

2. Identifikasi Ancaman;
Natural Threat : Angin topan, angin kencang (70+ mph), badai tropis, banjir musiman,
banjir lokal, aktivitas gunung merapi, Gempa bumi (2-4 skala Richter), Gempa bumi (5
skala Richter atau lebih) dan petir.
Human Threat : ancaman bom, bom, pembakaran, perusakan, kerusuhan / kekacauan
sipil, pencurian data, penggandaan data, penyebaran data secara ilegal, penyalahgunaan
hak akses, kesalahan penghapusan data, kesalahan menghilangkan data, serangan virus
komputer, keterlambatan penanggulangan masalah, dan kegagalan sistem.
 Environmental Threat : Kelebihan voltase listrik, kekurangan voltase listrik,
pemadaman listrik, kebocoran air, tikus, cicak, kecoa, dan laba-laba.
3. Menentukan Probabilitas Kejadian;
High probability : Sangat mungkin bahwa ancaman akan terjadi dalam tahun
berikutnya.
Medium probability : Kemungkinan bahwa ancaman mungkin terjadi selama tahun
berikutnya.
Low probability : Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun
berikutnya.
4. Menentukan Dampak Dari Ancaman;
High Impact : penutupan pada unit bisnis yang bersifat penting. Dampak ini mengarah
pada kerugian yang signifikan pada bisnis, perusahaan, atau keuntungan.
Medium Impact : gangguan jangka pendek pada proses bisnis atau sistem yang
menyebabkan kerugian pada sebagian bidang keuangan pada unit bisnis tunggal.
Low Impact : tidak menyebabkan kehilangan atau kerugian pada bidang keuangan.

P Tabel 5 - Probability-Impact Matrix

R IMPACT
O High Medium Low
B High
High High Medium
A
B Medium High High Medium
I
L Low Medium Medium Low
I
T
Y
Keterangan :
High : Tindakan korektif harus diterapkan.
Medium : Tindakan korektif sebaiknya diterapkan.
Low : Tidak ada tindakan yang diperlukan.
5. Kontrol Yang Direkomendasikan;

Tabel 6 - Kontrol Menggunakan Klausul 9

Klausul Kontrol Kontrol

Objektif Keamanan

Klausul 9 : A.9.1 : A.9.1.4 :

Keamanan Fisik Wilayah Perlindungan terhadap
dan Lingkungan Aman ancaman eksternal dan
lingkungan.

Deskripsi Kontrol :
Perlindungan fisik
terhadap bahaya
kebakaran, banjir, gempa
bumi, ledakan, kerusuhan
sipil, dan bentuk bencana
alam atau buatan manusia
lainnya harus dirancang
dan diaplikasikan.
Ancaman Yang Dikontrol :
Angin Topan
Angin kencang (70 + mph)
Badai tropis
Banjir musiman
Banjir lokal
Aktivitas gunung merapi
 Gempa bumi (2-4 skala Richter)
Gempa bumi (5 skala Richter atau lebih)
Petir
Ancaman bom
Pembakaran area kerja
Perusakan area kerja
Kerusuhan / kekacauan sipil
A.9.2 : A.9.1.2 :
Keamanan Penempatan dan
Peralatan perlindungan terhadap
peralatan.

Deskripsi Kontrol :
Peralatan harus
ditempatkan atau
dilindungi untuk
mengurangi risiko
ancaman dan bahaya, dan
kesempatan akses ilegal.
Ancaman Yang Dikontrol :
Kelebihan Voltase Listrik
Kekurangan Voltase Listrik
Kebocoran Air
Tikus : mengerat, sarang, urine, kotoran, bangkai
Cicak : telur, urine, kotoran, bangkai
Kecoa : mengerat, telur, urine, kotoran, bangkai
Laba-laba : sarang, telur, urine, kotoran, bangkai

Tabel 7 - Kontrol Menggunakan Klausul 11

Klausul Kontrol Kontrol

Objektif Keamanan

Klausul 11 : A.11.3 : A.11.3.3 :

Pengendalian Tanggung Kebijakan clear desk dan
Akses Jawab clear screen
Pengguna
Deskripsi kontrol :
Kebijakan clear desk dari
kertas dan media
pemindah data dan
kebijakan clear screen
dari fasilitas pengolahan
informasi harus diadopsi.
Ancaman Yang Dikontrol :
Pencurian data
Penggandaan data
Penyebaran data secara ilegal
Penyalahgunaan hak akses
Kesalahan penghapusan data
Kesalahan menghilangkan data
Serangan virus komputer
 Tabel 8 - Kontrol Menggunakan Klausul 14

Klausul Kontrol Kontrol

Objektif Keamanan

Klausul 14 : A.14.1 : A.14.1.1 :

Manajemen Aspek Memasukkan
Kelangsungan Keamanan keamanan informasi ke
Bisnis Informasi Pada dalam proses
Manajemen manajemen
Kelangsungan kelangsungan bisnis.
Bisnis
Deskripsi kontrol :
Proses yang teratur
pada kelangsungan
bisnis harus
dikembangkan dan
dipelihara melalui
organisasi yang
mencantumkan
kebutuhan keamanan
informasi pada
kontinuitas bisnis
organisasi.
Ancaman Yang Dikontrol :
Keterlambatan penanggulangan masalah
Kegagalan sistem
Pemadaman listrik

6. Dokumentasi.
Tabel 9 - Penilaian Risiko

Probability Impact
1 = Low 1 = Low
Threat Risk Level
2 = Medium 2 = Medium
3 = High 3 = High
Natural Threat
Banjir lokal 1 1 Low

Human Threat
Tindakan Disengaja
Penyalahgunaan
2 3 High
hak akses
Tindakan Tidak Disengaja
Serangan Virus
2 3 High
komputer
Environmental Threat
Pemadaman
3 1 Medium
Listrik
Binatang
Tikus : mengerat,
sarang, urine, 2 2 High
kotoran, bangkai
 Hasil yang diperoleh dari penilaian risiko berdasarkan tingkat risiko yang diakibatkan oleh
ancaman-ancaman yang muncul pada Proyek CCTV Pada Bank XYZ dengan menggunakan
Probability-Impact Matrix dan ditampilkan dengan menggunakan grafik pie chart berikut:

15.10%

11.32% 35.85%

37.74%

Gambar 2 Hasil Penilaian Risiko Pada Proses Implementasi dan Operasional Proyek Pemasangan
CCTV Pada Bank XYZ

Simpulan dan Saran

Simpulan
Dari hasil analisis yang dilakukan terhadap Proyek CCTV Pada Bank XYZ yang dijalankan oleh
Tim Proyek PT. AGIT, maka diperoleh beberapa kesimpulan dari hasil analisis, yaitu :
1. Dari 133 kontrol keamanan yang terdapat pada ISO/IEC 27001 : 2005, PT. AGIT memenuhi
96 persyaratan, tidak memenuhi 17 persyaratan dan 20 persyaratan lainnya tidak berlaku
pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan.
2. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah mencapai
dan memelihara perlindungan terhadap aset dan informasi yang terdapat pada organisasi
dengan tepat. Hal ini dapat dilihat bahwa sudah terdapat dokumen CMDB (Configuration
Management Database) dan Rencana Penyusunan Layanan yang mendukung seluruh kontrol
keamanan pada 0Klausul 7 mengenai Manajemen Aset.
3. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah mencegah
akses fisik, bahaya, dan gangguan ilegal terhadap lokasi dan informasi organisasi serta telah
mencegah kehilangan, bahaya, pencurian aset, dan gangguan terhadap aktivitas organisasi
dengan perlindungan yang tepat. Hal ini dapat dilihat bahwa sudah terdapat dokumen
Rencana Penyusunan Layanan dan BAKT (Berita Acara Kunjungan Teknisi), database CAR
(Company Asset Request) dan alat-alat perlindungan bencana alam yang mendukung seluruh
kontrol keamanan pada Klausul 9 mengenai Keamanan Fisik dan Lingkungan.
4. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah melakukan
pelaporan dan penanganan terhadap setiap peristiwa dan kelemahan pada sistem informasi
dengan tepat waktu. Hal ini dapat dilihat bahwa sudah terdapat dokumen KPI (Key
Performance Indicator) dan AG World yang mendukung seluruh kontrol keamanan pada
Klausul 13 mengenai Manajemen Insiden Keamanan Informasi.
5. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah melakukan
perlindungan dan merancang penanggulangan terhadap risiko yang mungkin terjadi
berdasarkan SCP (Service Continuity Plan) yang telah dibuat oleh Tim Proyek CCTV dari
PT. AGIT yang sudah di sah kan berdasarkan standar ISO 20000. Sehingga SCP tersebut
telah mendukung seluruh kontrol keamanan pada Klausul 14 mengenai Manajemen
Kelangsungan Bisnis.
6. Dari 53 ancaman yang terdapat pada Tabel Penilaian Risiko Terhadap Klasifikasi Ancaman
Berdasarkan Sumber Ancaman Pada Proses Implementasi dan Operasional, Proyek CCTV
Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT memiliki 19 ancaman pada
 tingkat risiko High, 20 ancaman pada tingkat risiko Medium, 6 ancaman pada tingkat risiko
Low, dan 8 ancaman lainnya tidak berlaku di dalam proyek.
7. Dari seluruh ancaman yang sudah diidentifikasi, faktor Human Threat merupakan sumber
ancaman yang paling berpengaruh terhadap terjadinya risiko, baik dengan tindakan yang
disengaja maupun tidak disengaja.

Saran
Berdasarkan kesimpulan yang ada, penulis memberikan saran yang dapat dijadikan bahan
masukan bagi Tim Proyek PT.AGIT terkait dengan Proyek CCTV Pada Bank XYZ, antara lain :
1. Tim Proyek CCTV dari PT. AGIT perlu memperhatikan dan memenuhi setiap persyaratan
kontrol keamanan pada 8 klausul lainnya yaitu :
Klausul 5 mengenai Kebijakan Keamanan Informasi.
Klausul 6 mengenai Organisasi Keamanan Informasi.
Klausul 8 mengenai Keamanan Sumber Daya Manusia.
Klausul 10 mengenai Manajemen Komunikasi dan Operasi.
Klausul 11 mengenai Pengendalian Akses.
Klausul 12 mengenai Perolehan, Perkembangan dan Pemeliharaan Sistem Informasi.
Klausul 14 mengenai Manajemen Kelangsungan Bisnis.
Klausul 15 mengenai Kepatuhan.
Dimana pemenuhan setiap persyaratan kontrol keamanan yang perlu dilakukan oleh PT.
AGIT memliki tujuan untuk memperoleh sertifikasi ISO/IEC 27001:2005 pada Proyek
CCTV pada Bank XYZ yang dijalankan.
2. Tim Proyek CCTV dari PT. AGIT dianjurkan untuk menggunakan siklus PDCA dalam
membangun SMKI di dalam Proyek CCTV Pada Bank XYZ agar dapat memperoleh
sertifikasi ISO/IEC 27001:2005.
3. Tim Proyek CCTV dari PT. AGIT sebaiknya menggunakan pengendalian berdasarkan
kontrol keamanan yang terdapat pada ISO/IEC 27001:2005 yang telah direkomendasikan
oleh penulis agar dapat mengurangi tingkat risiko yang dihadapi dalam Proyek CCTV pada
Bank XYZ.
4. Tim Proyek CCTV dari PT. AGIT harus lebih memprioritaskan pengendalian terhadap
ancaman yang memiliki tingkat risiko High untuk mencegah kemungkinan terjadinya
ancaman dan mengurangi dampak dari risiko yang menyebabkan kerugian yang signifikan di
tahun berikutnya.

Referensi

Ikhwansyah, A. I. (2011). Makalah Pencegahan Pencemaran International Organization for

Standarization (ISO), Fakultas Teknik Universitas Riau, Riau. Diakses pada 27 Desember
2014 dari :http://www.scribd.com/doc/92575563/Makalah-Tentang-ISO
Lussianty, Setyawati, Tantono. (2013). PENGUKURAN RISIKO INFORMASI TEKNOLOGI PADA
PT. STREET DIRECTORY INDONESIA DENGAN MENGGUNAKAN ISO/IEC 27001/2,
Universitas Bina Nusantara, Jakarta. Diakses pada 27 Desember 2014 dari :
http://www.library.binus.ac.id
Utomo, Ali, Affandi. (2012). Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Berbasis
ISO/IEC 27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya I. Jurnal Teknik ITS
(Online), Vol. 1, No. 1. Diakses pada 26 Desember 2013 dari : http://www.ejurnal.its.ac.id
Arnanson, Sigurjon T., Willet, Keith D. (2008). How to Achieve 27001 Certification. USA : Auerbach
Publications Taylor & Francis Group.
Brown, Carol V., DeHayes, Daniel W., Hoffer, Jeffrey A., Martin, E.Wainright., Perkins, William C.
(2012). Managing Information Technology. New Jersey : Pearson Education, Inc.
Calder, A., Watkins, S. (2008). IT Governance A Managers Guide to Data Security and ISO
27001/ISO 27002. London, Philadelphia, New Delhi : Kogan Page Limited.
Hall, James A. (2011) :
a. Information Technology Auditing. USA : South-Western, Cengage Learning.
b. Introduction to Accounting Information Systems. Canada : South-Western Cengage
Learning.
OBrien, James A., Marakas, George M. (2010). Introduction To Information Systems. New York :
The McGraw-Hill Companies,Inc.
Peltier, Thomas R. (2005). Information Security Risk Analysis. USA : Auerbach Publications Taylor
& Francis Group.
Rainer, R. K., Cegielski, Casey G. (2013). Introduction to Information Systems. Singapore : John
Wiley & Sons, Inc.
Satzinger, John W., Jackson, Robert B., Burd, Stephen D. (2009). System Analysis and Design In a
Changing World. Boston : Course Technology, Cengage Learning.
Schwalbe, K. (2011). Managing Information Technology Projects. Canada : Course Technology,
Cengage Learning.
Turban, E., Volonino, L. (2012). Information Technology for Management. Asia : John Willey &
Sons, Inc.
Whitman, Michael E., Mattord, Herbet J. (2010). Management of Information Security. USA : Course
Technology, Cengage Learning.

Riwayat Penulis

Tria Yulita lahir di kota Jakarta pada 9 Juli 1991. Penulis menamatkan pendidikan S1 di Universitas
Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada tahun 2014.

Lusy Adesiany lahir di kota Bekasi pada 1 Desember 1992. Penulis menamatkan pendidikan S1 di
Universitas Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada
tahun 2014.

Dessy Liana lahir di kota Bekasi pada 31 Desember 1991. Penulis menamatkan pendidikan S1 di
Universitas Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada
tahun 2014.