Audit Manajemen Keamanan Teknologi Informasi Menggunakan StandarISO 27001 : 2005 Di Perguruan Tinggi XYZ

TESIS

Diajukan kepada

Fakultas Teknologi Informasi

Untuk Memperoleh Gelar Magister Komputer

Oleh :

Muhammad Sidik

NIM : 972016105

Program Studi Magister Sistem Informasi

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

Desember 2018

Audit ManajemenKeamananTeknologi Informasi Menggunakan Standar ISO27001 : 2005 Di PerguruanTinggi XYZ

1)Muhammad SidikUKSWSalatiga Jl. Diponegoro 52-60, Salatiga 50711, Jawa Tengah, Indonesia

E-Mail:mgcn.sidik@gmail.com

2) Ade IrianiUKSWSalatiga Jl. Diponegoro 52-60, Salatiga 50711, Jawa Tengah, Indonesia

E-Mail:ade.iriani@staff.uksw.edu

3) Sri YuliantoUKSWSalatigaJl.Diponegoro 52-60, Salatiga 50711, Jawa Tengah, Indonesia

E-Mail:sri.yulianto@staff.uksw.edu

ABSTRAKManagement audit is very important for any colleges towards theexamination and assesment of their information technologymanagement to gain efficient and effective business running process.Information technology security as an effort of internal controlling forrisk and threat security minimization, is mainly considered due to alllearning and lecturing administration activities use informationtechnology. To find out how secure technology information is, it is thenrecquiring an audit to make sure everything run based on procedure.Standard used is framework international standardization organization(ISO) 27001:2005. It ischosen because framework can be adjusted withinstrument of the research used in the organization. It is then developedand focused on information security management system (SMKI). As aresults, all have outcome JPA = PA1:PA10, NA=JPA/10 produces valueaverage 65%. Last but not at least, it showspositive level, but stillunder expectation by college requirement that requires continuousevaluation and enhancement of recommended security control.

Keyword : AuditManajement, Security technology information, ISO27001: 2005.

PENDAHULUAN

Kemajuan teknologi informasiyang semakin cepat, berbandingterbalik dengan resiko keamananinformasi yang semakin besar. Usahadalam mencapai tujuan bisnis

perguruan tinggi menggunakanteknologi informasidalam mengeloladata informasi untuk menciptakanlayanan yang berkualitas pada tujuandan proses bisnis.

Perguruan tinggi perlu untukmenjamin keamanan serta privasi danintegrasi data yang diolah, selain itukinerja sistem informasi juga menjadibagian penting yang harus di keloladengan baik sehingga penggunaanteknologi informasi bisa lebihmaksimal.[1]

Pengolahan teknologi informasiyang cukup komplek pada perguruantinggi dilakukan dengan carakomputerisasi. Implementasimanajeman keamanan teknologiinformasi yang dijalankan cukup baik.Tetapi, masih ada beberapa persoalandata yang belum terintegrasi darisistem satu ke sistem lain, misalkandata atau informasi yang mudah diakses oleh pengguna diluar hakaksesnya dan kekurangan sumberdaya manusia yang mengelolamanajemen keamanan teknologiinformasi.

Agar manajemen keamananteknologi informasi dapat berjalandengan baik, maka diperlukanaudit[2]. Secara khusus tidak adaframeworkstandar yang harusdigunakan dalam proses auditmanajeman keamanan teknologiinformasi, maka dalampelaksananaudit menggunakan framework ataustandar sesuai dengan kebutuhan.[3]

Audit pada keamanan teknologiinformasi menggunakan InternationalStandarization Organization ( ISO )27001 : 2005 dipilih denganpertimbangan bahwa standar inisangat fleksibel untuk di gunakan dandi kembangkan sesuai kebutuhanperguruan tinggi, persyaratan

keamanan serta tujuan dan prosesbisnis.[4]

Permasalahan yang dihadapiadalah bagaimana rancanganmanajemen keamanan infrastrukturagar lebih efektif dan efisien padaproses bisnis yang berjalan danbagaimana menyajikan instrumenaudit yang sesuai dengan topologijaringan yang digunakan.

Tujuan penelitian ini adalahmembuat rancangan audit manajemenkeamanan teknologi informasi yangsesuai dengan infrastruktur perguruantinggi serta mengetahui tingkatkeamanan infrastruktur teknologiinformasi dengan menggunakanstandar ISO 27001 : 2005 danmenyajikan instrumen auditmanajemen keamananan teknologiinformasi sesuai topologi yangrelevan dengan tujuan dan prosesbisnis.

BAHAN PENELITIAN

Pengertian audit adalahpemeriksaan temuan atau buktidengankritis dan sistematis oleh pihakinternal dan atau eksternal yangindependen serta di bidangnya,terhadap laporan dan bukti pendukungdengan tujuan mendapatkan temuankewajaran laporan serta bukti danmemberi rekomendasi yang lebihbaik.

Audit teknologi informasimerupakan pengawasan danpengendalian dari infrastrukturteknologi informasi secarakeseluruhan[5]. Istilah lain dari auditteknologi informasi adalah audit

teknologi seperti software danhardware serta infrastruktur yangdipakai perguruan tinggi untukmenentukan apakah telah efektifdalam mencapai tujuan bisnis.[6]

ISO 27001 : 2005 adalahstandar informasi security yangmemuat prinsip-prinsip dasar SMKI,standar ini dikembangkan denganpendekatan proses sebagai suatumodel bagi penetapan, penerapan,pengoperasian, pemantauan, tinjauanulang, pemeliharaan dan peningkatanSMKI berkelanjutan berdasarkanpada pengukuran tingkat ketercapaiansasaran.[7]

Pemilihanklausuldan instrumentberdasarkananalisadanperancanganhasilobservasitempatpenelitiankesesuaianobjek audit IT dengan instrumentISO 27001:2005.[8]

Dalam penelitian inimenerapkan 10 klausul SMKI kontrolkeamanan yaitu ; Sistem manajemenkeamanan teknologi informasi,Tanggung jawab manajemen,Manajemen aset, Human resourcesecurity, Keamanan fisik danlingkungan, Manajemen operasi dankomunikasi, Akses kontrol, Sisteminformasi, pengembangan danpemeliharaan, Manajemenpengolahan sistem keamanan danManajeman kelanjutan proses dalamproses audit yang dilakukan.[9]

Utomo, dkk. Keamananinformasi yang berhubungan denganakses kontrol dan implementasi TataKelola Keamanan Informasi menurutstandar ISO sehingga akanmeningkatkan kinerja dan dokumen

tata kelola nantinya akan dijadikanpedoman dalam pengolahankeamanan informasidengan judulPembuatan Tata Kelola KeamananInformasi Kontrol Akses BerbasisISO 27001:2005 Pada KantorPelayanan Perbendaharaan Surabaya1. ISSN: 2301-9271.[10]

Simic, dkk. Menunjukanbagaimana standar untuk evaluasikeamanan IT yang di intergasikandengan KORA, seperti pemrosesaninformasi atau voting online yanglegal secarahukum IT,dengan judulHolistic and Law Compatible ITSecurity Evaluation: Integration ofCommon Criteria, ISO 27001/IT-Grundschutz and KORA.InternationalJournal of Information Security andPrivacy, 2013, IGI Global.[11]

Perbedaan dengan penelitiansebelumnya, metode yang digunakandalam pelaksanaan audit, selain ituinstrumen yang digunakan meliputi10 klausul ISO 27001:2005 serta hasilaudit disajikan dengan radar diagramagar mudah di pahami perguruantinggi.

Prosentasi Audit (PA)merupakan hasil prosentasi klausulaudit, didalam penelitian inimenggunakan 10 klausul audit.

Jumlah Prosentasi Audit (JPA)yaitu hasil keseluruhan pertanyaan,cakupan dan instrument yang terdiridari 88 instrumen termasuk 10klausul.

Nilai Akhir (NA) adalah hasilakhir audit dari prosentasikeseluruhan JPA dibagi 10 klausul.NA=JPA/10.

METODE PELAKSANAAN

Penelitian ini adalah penelitiankualitatif, Analisa yang dipakaidengan mendiskripsikan tingkatpengukuran atau penilaian SMKIpada perguruan tinggi XYZ KotaSemarang[12]

Adapun tahapan dalampenelitian ini dapat dilihat padaGambar1.

Gambar 1. Metode Penelitian[13]

Metode penelitian terdiri dariempat bagian yaitu, tahapperencanaan audit, tahap persiapanaudit, tahap pelaksanaan audit dantahap pelaporan audit.

1. Perencanaan audit dilakukanpenentuan proses dan tujuan

bisnis, ditentukan melalui kajianpustaka, observasi dan studyliteratur agar penentuan prosesbisnis sesuai dengan keadaan dantujuan dari manajemen keamananteknologi informasi perguruantinggi.

2. Persiapan audit pembuataninstrument audit 10 klausulSMKI dengan 88 pertanyaanaudit dimana setiap pertanyaandisesuaikan dengan tujuan bisnisdan proses bisnis yang telahdibuat secara objektif yangdilakukan pada tahapperencanaan audit. Penilaiansetiap pernyataan disesuaikandengan instrumen penilaian yangditentukan sesuai denganpanduan implementasi yang adapada standar ISO 27001 : 2005yang disesuaikan dengankeadaan perguruan tinggi.

3. Pelaksanaan audit digunakanlangkah pengumpulan danpemeriksaaan data dilakukandengan cara wawancara sertakuesioner ke Dosen, Ka. IT, Ka.Jaringan dan Penjamin Mutuselain itu observasi di tempatpenelitian sesuai ruang lingkupyang telah disepakati.

4. Pelaporan audit menjadi tahapakhir pembuatan danpenyusunanlaporan berdasarkantemuan bukti di lapangan danberisi saran atau rekomendasiperbaikan pada perguruan tinggi.

Tabel 1. Penilaian Hasil Audit.Prose Keterang Implementasi

ntasi an

0 – 35 %.

Sangat Rendah

Diimplementasikan untukmencapaitujuan bisnis

36 – 50 %.

Rendah

Prosesdiimplementasikan, dikelolaserta hasilnyaditetapkan dandikontrol

51 – 85 %

Baik

Prosesdidokumentasidandikomunikasikan

86 – 100 %

Sangat Baik

Prosesdiprediksikan,ditingkatkandandikembangkanuntuk tujuanyang akandatang.

Penilaian seluruh instrumenrerata dengan rumus JPA = PA1:PA10,NA=JPA/10 NA : nilai akhir, PA :prosentasi audit, JPA : jumlahprosentasi audit. Hasil auditkeseluruhan bernilai negatif jika nilai0 – 50 %, hasil audit keseluruhanbernilai positif jika nilai rerata 51 –100 %.

HASIL DAN PEMBAHASAN

Dalam perencanaan audit,harus memahami proses bisnis danteknologi informasi yang akan diaudit. Pemahaman yang harusdilakukan yaitu mempelajari laporan,

dokumen serta mengetahui apakahsebelumnya perguruan tinggi telahmelakukan proses audit internal.

Topologi jaringan daninfrastruktur pada perguruan tinggidimana terdapat tiga server utamadengan pembagian server yayasan,dosen dan mahasiswa. Jaringanyang keluar dari ruangan serverutama di bagi kebeberapa switchluar ruangan, untuk pembagian dimasing-masing ruangan danlaboratorium terdapat switch yangmenghubungkan dari switch luarruangan

Kontribusi Penelitian adalah :1. Membuat instrumen baru yang

spesifik untuk arsitektur atautopologi jaringan dalam skalatertentu, dalam mengauditmanagemen keamanan TImenggunakan 10 klausul audityang didalamnya ada 88pertanyaan audit.

2. Menghasilkan indikator baruyang di jadikan untuk mengukurdata jaringan,persyaratankeamananteknologiinformasipada system yangdibangundanRumusan instrumentyang spesifik.

Berdasarkananalisa object audit dengan Framework ISO 27001 : 2005.

Membuat instrument baru yang spesifikuntukjaringanskalatertentudanHasildisajikandalambentuk radar.

Indikatorpengukuran yang digunakanadalahpersyaratankeamananteknologiinformasipadasistem yang dibangundanRumusan instrument.

Hasil Audit Dengan MenggunakanDiagram Radar

Instalasi perangkat lunak dalam sistem operasiPembatasan instalasi perangkat lunak

Informasi tentang analisis dan spesifikasi persyaratan keamanan

Perlindungan aplikasi layanan transaksiKebijakan pengembangan yang aman

Pembatasan pada perubahan terhadap paket perangakat lunak

Klasifikasi informasiKa. ITJaringanPenjamin MutuDosen

Gambar 2. Representasi SistemManajemen Keamanan Teknologi

Informasi.DiagramGambar2 memiliki

nilai, instalasi perangkat lunak dalamsistem operasi 53%, pembatasaninstalasi perangkat lunak 53%,informasi tentang analisis danspesifikasi persyaratan keamanan66%, perlindungan aplikasi layanantransaksi 70%, kebijakanpengembangan yang aman 78%,pembatasan pada perubahan terhadappaket perangkat lunak 74% danklasifikasi informasi 60%. Kinerjateknisi dan kepala laboratoriumperguruan tinggi dalam melakukaninstalasi perangkat lunak sertapembatasan aplikasi rata-rata 53%dapat di simpulkan dari kuesioner ujilapangan kinerja Baik.

Ka. IT

Jaringan

Penjamin Mutu

Dosen

Tangung jawab manajemen

Tangung jawab manajemen

Gambar3.Representasi TanggungJawab Manajemen.

Diagram Gambar 3 dapatdianalisis tangung jawab manajemendari hasil responden memiliki nilai

rata-rata 73 % yang menunjukanbahwa tangung jawab manajemensecara keseluruhan baik.

Pemindahan asetKeamanan peralatan dan aset yang keluar

Pembuangan atau pemakaian kembali peratalan atau perangkat secara aman

Peralatan penggunaan tanpa pengawasanProsedur operasi yang terdokumentasi

Inventaris aset

Kepemilikan asetKa. ITJaringanPenjamin MutuDosen

Gambar4.RepresentasiManajemen Aset.

Diagram Gambar 4 dapatdilihat pemindahan aset 60%,keamanan peralatan dan aset yangkeluar 56%, pembuangan ataupemakaian kembali peratalan atauperangkat secara aman 69%, peralatanpenggunaan tanpa pengawasan 65%,prosedur operasi yang terdokumentasi63%, inventaris aset 61%,kepemilikan aset 56%. Pengolahanmanajemen aset prakondisi untukmeyakinkan bahwa perguruan tinggimampu memanfaatkan tangungjawabnya dalam memelihara danmengoptimalkan pengunaan aset.

Tangung jawab pengakhiran pekerjaanPembatasan akses informasi

Prosedur keamanan log inSistem manajeman password

Penggunaan utility sistem

Akses kontrol ke program kode sumberKa. ITJaringanPenjamin MutuDosen

Gambar5.Representasi HumanResource Security.

Dapat dicermati dari diagramGambar 5 Tangung jawabpengakhiran pekerjaan 54%,Pembatasan akses informasi 53%,Prosedur keamanan log in 55%,Sistem manajeman password 71%,Penggunaan utility sistem 77%, Akseskontrol ke program kode sumber56%. Pembatasan hak akses danlemahnya tangung jawab pengakhiranpekerjaan, memiliki nilai rata-rata 53% menunjukan bahwa kelalaian saatpengakhiran pekerjaan.

Ka. IT

Jaringan

Penjamin Mutu

Dosen 0%

50%

100%Perimeter keamanan fisik

Fasilitas pendukung

Keamanan kabel

Gambar6. Representasi KeamananFisik dan Lingkungan.

Diagram Gambar 6 Perimeterkeamanan fisik 54%, Fasilitaspendukung 65%, Keamanan kabel54% dan Pemeliharaan peralatan74%. Dapat dilihat keamanan fisikyang belum rapi di setiap ruangan.

Ka. IT

Jaringan

Penjamin Mutu

Dosen

Pemisahan antara lingkungan pengembangan dan operasional

Gambar7. Representasi ManajemenOperasi dan Komunikasi.

Dari diagram Gambar 7pemisahan lingkungan pengembangandan operasional menunjukan nilairendah dengan rerata dari responden64 %, yang artinya perlu perbaikanpemisahan lingkungan pengembangandi perguruan tinggi.

Kebijakan kontrol akses

Akses ke jaringan dan layanan jaringan

Pendaftaran userPenyediaan akses pengguna

Prosedur kontrol perubahan sistem yang sedang berjalan

Ka. ITJaringanPenjamin MutuDosen

Gambar8. Representasi AksesKontrol.

Dari diagram Gambar 8Kebijakan kontrol akses 69%, Akseske jaringan dan layanan jaringan59%, Pendaftaran user 80%,Penyediaan akses pengguna 59%,Prosedur kontrol perubahan sistemyang sedang berjalan 61%. Dapatdicermati penyediaan aksespengguna dan akses ke layananjaringan memiliki rata-rata 59 %.

Review secara teknis terhadap aplikasi setelah perubahan platform yang beroperasiPengembangan perangkat lunak yang outsource

Pengujian sistem keamanan

Pengawasan dan peninjauan layanan pengembangTangung jawab dan prosedur

Pelaporan kejadian keamanan informasi

Pelaporan kelemahan keamanan informasiKa. ITJaringanPenjamin MutuDosen

Gambar9. RepresentasiSistem Informasi, Pengembangan

dan Pemeliharaan.

Dari diagram Gambar 9Review secara teknis terhadapaplikasi setelah perubahan platformyang beroperasi 71%, Pengembanganperangkat lunak yang outsource 81%,Pengujian sistem keamanan 58%,Pengawasan dan peninjauan layananpengembang 58%, Tangung jawabdan prosedur 74%, Pelaporankejadian keamanan informasi 73%,Pelaporan kelemahan keamananinformasi 74%, Penilaian dankeputusan kejadian keamananinformasi 69%.

Kendali terhadap malwareCadangan informasi

Event loggingProteksi terhadap informasi log

Log administrasi dan operator

Sinkronisasi petunjuk waktu manajeman keamanan sistemKa. ITJaringanPenjamin MutuDosen

Gambar10. RepresentasiManajemen Pengolahan Sistem

Keamanan.

Diagram Gambar 10 Kendaliterhadap malware 56%, Cadanganinformasi 77%, Event logging 56%,Proteksi terhadap informasi log 50%,Log administrasi dan operator 73%,Sinkronisasi petunjuk waktumanajeman keamanan sistem 70%.

Pembelajaran dari insiden keamanan informasiPerencanaan keamanan informasi yang berkesinambungan

Hak kekayaan intelektual (HAKI)

Perlindungan data dan rahasia informasi pribadiPeninjauan pemenuham teknisPengendalian audit sistem informasi

Pengendalian jaringan

Pemisahan jaringan

Prosedur dan kebijakan penyaluran informasi Ka. ITJaringanPenjamin MutuDosen

Gambar11. Representasi ManajemanKelanjutan Proses.

Diagram Gambar 11Pembelajaran dari insiden keamananinformasi 65%, Perencanaankeamanan informasi yangberkesinambungan 60%, Hakkekayaan intelektual (HAKI) 79%,Perlindungan data dan rahasiainformasi pribadi 56%, Peninjauanpemenuhan teknis 57%, Pengendalianaudit sistem informasi 57%,Pengendalian jaringan 65%,Pemisahan jaringan 59%, Prosedurdan kebijakan penyaluran informasi63%.

Berikut ini adalah hasil daripelaksanaan audit dengan instrumenyang telah disesuaikan dengan tempatpenelitian, hasil penilaian untukkeseluruhan proses adalah sebagaiberikut.

Tabel 2. Penilaian KlausulAudit.

NoKlausulAudit

Prosentasi Audit

1

Sistem manajemen keamanan teknologi informasi

65%

2Tanggung jawab manajemen

73%

3Manajemen aset

61%

4Human resource security

61%

5Keamanan fisik dan lingkungan

62%

6Manajemen operasi dan komunikasi

64%

7 Akses kontrol 66%

8

Sistem informasi, pengembangan dan pemeliharaan

70%

9

Manajemen pengolahan sistem keamanan

64%

10Manajeman kelanjutan proses

62%

Setelah melakukan auditmanajemen keamanan teknologiinformasi, maka diketahui beberapakondisi yang sesuai dengan standarISO 27001 : 2005 yaitu;

1. Terdapat aturan mengenaitanggung jawab keamanan

teknologi informasi padaperguruan tinggi.

2. Memiliki dokumentasipenetapan persyaratankeamanan informasi untukkontrol akses pengguna.

3. Terdapat kebutuhanpersyaratan keamananteknologi informasi padasistem yang dibangun.

KESIMPULANAudit manajemen keamanan

teknologi informasi memilikirancangan infrastruktur menjadi lebihefektif, efisien dan relevan padatujuan serta proses bisnis yang sedangberjalan.

Memiliki instrumen auditmanajemen keamanan teknologiinformasi yang sesuai dengantopologi jaringan yang digunakanpada perguruan tinggi XYZ KotaSemarang dengan Framework ISO27001:2005.

Hasil keseluruhan 10 klausulyang digunakan dalam penelitian iniadalah JPA = PA1:PA10, NA=JPA/10NA : nilai akhir, PA : prosentasi audit,JPA : jumlah prosentasi audit,memiliki nilai akhir rerata 65%. Perlupembenahan pada setiap temuan yangbernilai rendah, begitu juga dengannilai baik harus ada pembenahandengan melakukan evaluasi yangberkesinambungan.

Saran tindak lanjut agarpenilaian audit keamanan teknologiinformasi menjadi lebih baik secara

teknis, perguruan tinggi dapatmenerapkan audit manajemenkeamanan teknologi informasi dalamruntun rentang waktu 12 bulan agarkeamanan infrastruktur tetapterkontrol,penerapanstandaroperasionalpekerjaan serta menginventaris seluruh assetyang dimiliki dan instrumen auditmanajemen keamanan teknologiinformasi menggunakan ISO 27001 :2005.Dengan penilaian akhir modelprosentasi diharapkan pengembanganpenelitian selanjutnya sebagai bahanperbandingan.

DAFTAR PUSTAKA

[1] Y. C. N. Bless, G. Made, A.Sasmita, and A. A. K. A.Cahyawan, “Audit KeamananSIMAK Berdasarkan ISO27002 ( Studi Kasus : FEUNUD ),” Merpati, vol. 2, no.2, pp. 157–166, 2014.

[2] A. C. Dewi, E. Nugroho, andR. Hartanto, “PENYUSUNANTATA KELOLAKEAMANAN INFORMASIPADA PRODUKSI FILMANIMASI (Kasus di PT.XX),” Pros. SNATIF, pp. 297–302, 2017.

[3] Mehdi Kazemi, “Evaluation ofinformation securitymanagement system successfactors: Case study ofMunicipal organization,”African J. Bus. Manag., vol. 6,no. 14, 2012.

[4] A. Goeritno and A. H.Hendrawan, “Implementasi Iso/ Iec 27001 : 2013 Untuk

Sistem Manajemen KeamananInformasi ( Smki ) PadaFakultas Teknik Uika-Bogor,”Semin. Nas. Sains dan Teknol.Fak. Tek. Univ.Muhammadiyah Jakarta, vol.8, no. November, pp. 1–5,2016.

[5] S. Zakwan, S. Ratnawati, andN. A. Hidayah, “Audit TataKelola Sumber DayaTeknologi Informasi DenganKerangka Kerja Cobit 4.1Untuk Evaluasi ManajemenPada Badan PengawasanKeuangan DanPembangunan,” Stud. Inform.J. Sist. Inf., vol. 7, no. 2014,pp. 1–16, 2014.

[6] Juliandarini and S.Handayaningsih, “AuditSistem Informasi Pada DigilibUniversitas XYZMenggunakan Kerangka KerjaCobit 4.0,” J. Sarj. Tek.Inform., vol. 1, no. 1, pp. 276–286, 2013.

[7] S. Ariyani and M. Sudarma,“Implementation Of The ISO /IEC 27005 In Risk SecurityAnalysis Of ManagementInformation System,” vol. 6,no. 8, pp. 1–6, 2016.

[8] T. Kristanto, R. Arief, and N.F. Rozi, “Perancangan AuditKeamanan InformasiBerdasarkan Standar Iso27001 : 2005 ( Studi Kasus :Pt Adira ...,” Semin. Nas. Sist.Inf. Indones. 22 Sept. 2014,vol. 2005, no. October 2015,pp. 1–6, 2014.

[9] J. Vol and J. Vol, “ISSN 2338-137X Audit Keamanan SistemAkuntansi Enterprise PT .Gresik Cipta SejahteraBerdasarkan Standar ISO

27002 : 2005,” vol. 5, no. 8,pp. 1–7, 2016.

[10] M. Utomo, A. Holil, N. Ali,and I. Affandi, “PembuatanTata Kelola KeamananInformasi Kontrol AksesBerbasis ISO/IEC 27001:2005Pada Kantor PelayananPerbendaharaan Surabaya I,”Inst. Teknol. Sepuluh Nop.,vol. 1, no. 1, pp. 2–7, 2012.

[11] D. Simić-Draws, S. Neumann,A. Kahlert, P. Richter, R.Grimm, M. Volkamer, and A.Roßnagel, “Holistic and LawCompatible IT SecurityEvaluation,” Int. J. Inf. Secur.Priv., vol. 7, no. 3, pp. 16–35,2013.

[12] Sugiyono. P.D, Metodepenelitian pendidikanpendekatan kuantitatif.pdf.2014.

[13] H. A. D. Afandi, “AuditKemanan InformasiMenggunakan Iso 27002 PadaData Center Pt.GigipatraMultimedia,” J. TIMDarmajaya, vol. 01, no. 02,pp. 175–191, 2015.