Audit Keamanan Sistem

Informasi Menggunakan Cobit 5

(Studi Kasus: Kantor Pemerintah
Kota Yogyakarta)
 Ruang Lingkup
Keamanan Sistem Informasi dilakukan pada kantor
Pemerintah Kota Yogyakarta
Metodologi penerapan dari keamanan Sistem Informasi
menggunakan COBIT 5, terdiri dari initiate
programme, define problems and opportunities,
define road map dan plan programme.
Keamanan Sistem informasi pemerintahan kota
Yogyakarta menggunakan kerangka kerja (framework)
COBIT 5 hanya pada domain EDM fokus pada proses
EDM 03, Domain APO fokus pada APO 12, APO 13,
Domain BAI fokus pada BAI 06, Domain DSS Fokus
pada DSS 05
 Tujuan
-Tujuan Umum:
1.Untuk melindungi kerahasiaan, integritas, dan ketersediaan
informasi pada pemerintahan yogyakarta.
2. Untuk menyelidiki pembobolan keamanan.

-Tujuan Khusus:
1.Memastikan kepatuhan terhadap peraturan dan keamanan
dipenuhi dan dipelihara.
2.Serta asset berharga atau penting dilindungi, dan bahwa
memastikan mekanisme perlindungan yang ditawarkan kepada
aset tersebut memadai dan berfungsi seperti yang direncanakan.
3.Proses pada jalurnya dan terus ditingkatkan.
4.Pengendalian di tegakan.
 Teknik pengumpulan data

Tahap awal pelaksanaan audit adalah pengumpulan

data. Hal ini dilakukan untuk mendukung penilaian,
evaluasi lapangan dan juga untuk mengetahui
kondisi nyata di Pemerintahan Kota Yogyakarta
terhadap audit yang dilakukan. Pengumpulan data
dilakukan melalui kuisioner
sioner Level 1 untuk Audit Keamanan Sistem
rmasi ini berpedoman pada aktivitas Proses COBIT
tuk Keamanan Informasi. EDM 03
APO 12
APO 13
BAI 06
DSS05
Pada kuesioner ini, peneliti menggunakan skala
peringkat dalam standar ISO/IEC 15504 karena pada
Model Penilaian Proses (Process Assessment Model)
dalam COBIT 5 ini mengadopsi standar tersebut. Setiap
atribut dibuat peringkat menggunakan skala penilaian
standar yang ditetapkan dalam standar ISO/IEC 15504
 COBIT 5
COBIT 5 adalah sebuah kerangka kerja
untuk tata kelola dan manajemen TI dan
semua yang berhubungan, dimulai dari
memenuhi kebutuhan stakeholder akan
informasi dan teknologi (ISACA, 2012).
COBIT 5 memiliki 2 area utama yakni area
tata kelola (governance) dan area
management. Pengaturan terkait hal-hal
apa yang mendasari tata kelola tersebut
yang ditentukan melalui pendefinisian
strategi dan control. sedangkan
pengelolaan terkait bagaimana tata kelola
tersebut dilaksanakan merupakan cakupan
Komponen
COBIT 5

Kerangka Kerja (Framework

pada COBIT 5 memiliki
komponen yakni 5 principle
dan 7 enablers.
Enablers adalah sekumpulan faktor yang
mempengaruhi sesuatu yang akan dikerjakan oleh
organisasi (ISACA, 2012). Dalam hal ini terkait
pengelolaan TI di organisasi. Dalam COBIT 5,
terdapat 7 kategori enabler yakni :
1. Principles, Polices and Framework (prinsip-
prinsip, kebijakan dan kerangka)
2. Processes (proses)
3. Organizational Structures (struktur organisasi)
4. Culture, Ethics and Behaviour (budaya, etika
dan perilaku)
5. Information (informasi)
6. Service, Infrastructure and Applications
(layanan, infrastruktur dan aplikasi)
7. People, Skills and Competencies (orang,
keterampilan dan kompetisi)
Process Reference
Model (PRM)

COBIT 5
model proses
referensi
terbagi dalam
2 jenis area
yaitu
governance
dan
management
process dari
enterprise IT
yang terdiri
dari 37
proses.
Governance
1. Area ini terdapat pada domain Evaluate,
Direct and Monitor (EDM) yang terdiri
dari 5 proses.
Management
2. Area ini terdapat 4 domain yakni Align, Plan
and Organize (APO),. Build, Acquire and
Implement (BAI),. Deliver, Service and
Support (DSS) serta Monitor, Evaluate
and Assess (MEA) terdiri dari 32 proses.
 EDM (Evaluate, Direct and Monitoring)

Tujuan domain EDM adalah untuk menetapkan arah melalui prioritas dan
pengambilan keputusan, melakukan pemantauan kinerja dan memberikan arahan
kepada TI .
Pada domain EDM mempunyai lima proses:

A. EDM01 Memastikan adanya pengaturan dan pemeliharaan kerangka kerja

tata kelola (Ensure governance framework setting and maintenance).
B. EDM02 Memastikan mendapat manfaat (Ensure benefits delivery).
C. EDM03 Memastikan optimalisasi resiko (Ensure risk optimisation).
D. EDM04 Memastikan optimalisasi sumber daya (Ensure resource
otimisation).
E. EDM05 Memastikan transparasi terhadap stakeholder (ensure stakeholder
transparency).
 Align, Plan and Organise
(APO)
Tujuan domain APO adalah untuk memberikan taktik dan
mengidentifikasi cara terbaik yang dapat digunakan oleh
perusahaan untuk membantu mencapai tujuan dan sasaran
perusahaan. Domain APO juga memperhatikan bentuk
organisasi dan infrastrukutur guna untuk mencapai hasil
yang optimal dan memberikan manfaat dari penggunaan TI
Pada domain APO terdapat 13 proses yaitu :
1. APO01 (Manage the IT Management Framework)
2. APO02 (Manage Strategy)
3. APO03 (Manage Enterprise Architecture)
4. APO04 (Manage Innovation)
5. APO05 (Manage Portfolio)
6. APO06 (Manage Budget and Costs)
7. APO07 (Manage Human Resources)
8. APO08 (Manage Relationships)
9. APO09 (Manage Service Agreements)
10. APO10 (Manage Supplier)
11. APO11 (Manage Quality)
12. APO12 (Manage Risk)
 BAI (Build, Acquire and Implement)

Tujuan domain BAI adalah untuk mengidentifikasi solusi TI yang perlu

dikembangkan dan diterapkan ke dalam proses bisnis perusahaan. Domain BAI
terdiri dari 10 proses yaitu :
1. BAI01 Mengelola program dan proyek (Manage programmes and projects).
2. BAI02 Mengelola definisi kebutuhan (Manage requirements definition).
3. BAI03 Mengelola solusi otomatis (Manage solutions identification and
build).
4. BAI04 Mengelola ketersediaan dan kapasitas (Manage availability and
capacity).
5. BAI05 Mengelola perubahan pemberdayaan organisasi (Manage
organisational change enablement).
6. BAI06 Mengelola perubahan (Manage changes).
7. BAI07 Mengelola penerimaan perubahan dan transisi (Manage Change
acceptance and transitioning).
8. BAI08 Mengelola pengetahuan (Manage knowledge).
9. BAI09 Mengelola aset (Manage assets).
10. BAI10 Mengelola konfigurasi (Manage configuration).
 DSS (Deliver, Service and Support)

Tujuan domain DSS adalah untuk memberikan pelayanan seperti memberikan

pelayanan aplikasi di dalam proses TI, pengelolaan keamanan dan dukungan
pelaksanaan proses TI yang lebih efektif dan efisien. Domain DSS terdiri dari 6
proses yaitu :
1. DSS01 Mengelola operasi (Manage operations).
2. DSS02 Mengelola layanan permintaan dan insiden (Manage service requests
ans incidents).
3. DSS03 Mengelola permasalahan (Manage problems).
4. DSS04 Mengelola layanan yang berkelanjutan (Manage continuity).
5. DSS05 Mengelola layanan keamanan (Manage security services).
6. DSS06 Mengelola proses bisnis kontrol (Manage business process controls).
 Proses EDM03 pda COBIT 5 bertujuan untuk memastikan
resiko organisasi yang berkaitan dengan penggunaan TI
tidak melampaui toleransi resiko, dampak dari resiko
penggunaan TI dapat diidentifikasi dan potensi kegagalan
dapat diminimalisasi.
Proses APO 12 pada COBIT 5 adalah secara terus
menerus mengidetifikasikan, menilai dan mengurangi
resiko yang berhubungan dengan TI didalam Level
toleransi yang ditentukan oleh manajemen perusahaan.
Proses APO 13 pada COBIT 5 adalah mendefinisikan,
mengoprasikan dan mengawasi sistem untuk manajemen
keamanan informasi.
Proses BAI06 pada COBIT 5 adalah mengelola semua
perubahan dengan terkendali ,termasuk perubahan
standar dan perawatan darurat yang berkaitan dengan
proses bisnis, aplikasi dan infrasruktur.
Proses DSS05 pada COBIT 5 adalah melindungi informasi
perusahaan untuk mempertahankan tingkat dari
keamanan informasi yang dapat diterima oleh
perusahaan sesuai dengan kebijaksaaan keamaanan.
Metode Penerapan Tata
Kelola TI COBIT 5
 Tahap I Initiate Programme
Menjelaskan tentang apa penggerak pada organisasi dan
identifikasi pendorong perubahan saat ini. Tujuannya
memperoleh pemahaman tentang organisasi yang terdiri
dari tujuan, tugas dan wewenang, pendekatan
pengelolaan organisasi saat ini dan konsep program
organisasi.
Tahap II Define Problems and Opportunities
Menjelaskan tentang posisi organisasi saat ini yang
berhubungan dengan TI. Manajemen perlu mengetahui
kemampuan saat ini dan dimana kekurangan organisasi.
Hal ini dicapai dengan penilaian kemampuan proses
terhadap status proses yang dipilih.
Tahap III Define Road Map
Menjelaskan target perbaikan yang akan dilakukan
organisasi dan analisis gap untuk mengidentifikasi solusi
potensial. Tujuannya menetapkan target kemampuan
untuk proses yang dipilih.
Tahap IV Plan Programme
Menjelaskan apa yang harus dilakukan organisasi berupa
 Process Assessment Model
(PAM)
PAM, model dua
dimensi yang
terdiri dari
dimensi
kapabilitas/kemam
puan dan dimensi
proses. PAM
digunakan sebagai
dasar untuk
penilaian
kemampuan
proses TI
organisasi.
(ISACA, 2013)
 Process Capability
Model (PCM)
Dimensi kapabilitas menyediakan
sebuah pengukuran dari kapabilitas
proses untuk memenuhi tujuan
organisasi saat ini. Terdapat 6
tingkat kapabilitas dan 9 atribut
proses berdasarkan pencapaian
proses atribut.
Level 0 Incomplete Process (Proses Tidak Lengkap)
Pada level ini proses tidak diterapkan atau gagal untuk
mencapai tujuan prosesnya. Pada tingkat ini ada bukti
sedikit atau tidak ada dari setiap pencapaian sistematis
tujuan proses.

Level 1 Performed Process (Proses Dilakukan)

Pada level ini proses sudah diterapkan dan mencapai
tujuan prosesnya.
a. PA 1.1 Process Performance (Proses Kinerja)
Sebuah pengukuran mengenai pencapaian tujuan
dari suatu proses yang berhasil dicapai dan terdapat
bukti yang dapat dipertanggungjawabkan.

Level 2 Manage Process (Proses Dikelola)

. Pada level ini proses sudah diterapkan dan dikelola
(direncanakan, dimonitor dan disesuaikan) secara tepat
terhadap produk pekerjaannya, dikendalikan dan
dipelihara.
a. PA 2.1 Performance Management (Manajemen
Kinerja) Sebuah pengukuran mengenai pengelolaan
proses kinerja. Pada manajemen kinerja memiliki
indicator yakni:
. Tujuan dari kinerja proses diidentifikasi
. Kinerja dari proses direncanakan, dimonitor dan
disesuaikan untuk memenuhi permintaan atau rencana
sebelumnya.
. Tanggungjawab pada proses didefinisikan, ditugaskan
dan dikomunikasikan.
. Sumber daya dan informasi yang dibutuhkan untuk
melaksanakan suatu proses diidentifikasikan,
disediakan, dialokasikan dan digunakan dengan benar.
b. PA 2.2 Work Product Management (Manajemen
Hasil Kerja)
Sebuah pengukuran yang berkaitan dengan hasil kerja
yang dihasilkan dari
proses yang dikelola.
Level 3 Established Process (Proses Ditetapkan)
Pada level ini proses diterapkan dan dikelola dengan
mendefinisikan proses yang mampu mencapai hasil proses
tersebut.
a. PA 3.1 Process Definition (Proses Definisi) Sebuah
pengukuran tentang sejauh mana proses standar dikelola
untuk mendukung proses yang telah didefinisikan.
b. PA 3.2 Process Deployment (Proses Penyebaran)
Sebuah pengukuran mengenai sejauh mana proses
standar secara efektif telah dijalankan sesuai dengan
proses yang telah didefinisikan untuk mencapai hasil
proses.

Level 4 Predictable Process (Proses Dapat Diramalkan)

Pada level ini proses yang telah ditetapkan sekarang
beroperasi di dalam batasan yang telah ditentukan untuk
mencapai hasil prosesnya.
a. PA 4.1 Process Measurement (Proses Pengukuran)
Proses pengukuran mengenai seberapa jauh hasil
pengukuran digunakan untuk memastikan perfoma
proses mendukung pencapaian tujuan proses dan tujuan
Level 5 Optimising Process (Proses Dioptimalkan)
Pada level ini proses diprediksi dijelaskan sebelumnya lalu
ditingkatkan untuk memenuhi saat ini relevan dan
diproyeksikan tujuan bisnis.
a. PA 5.1 Process Innovation (Proses Inovasi)
Sebuah pengukuran mengenai perubahan proses yang
telah diidentifikasikan dari analisis penyebab umum
variasi di dalam performa, dan dari investigasi
pendekatan inovatif untuk melaksanakan proses.
b. PA 5.2 Process Control (Proses Kontrol) Sebuah
pengukuran mengenai perubahan untuk definisi,
manajemen dan performa proses agar memiliki hasil
yang efektif untuk mencapai tujuan dari proses
peningkatan.
 RACI (Responsible,
Accountable, Consulted,
Informed)
RACI Chart, matrik dari semua aktivitas dan wewenang pada
organisasi yang membantu dalam mengambil keputusan.
a. Responsible siapa yang mendapat tugas yang harus
dilakukan. Merujuk pada penanggungjawab kegiatan
operasional, memenuhi kebutuhan dan menciptakan hasil
yang diinginkan dari organisasi.
b. Accountable siapa yang bertanggungjawab atas
keberhasilan tugas. Merujuk pada pertanggungjawaban
secara keseluruhan atau tugas yang telah dilakukan.
c. Consulted siapa yang memberikan masukan. Merujuk
pada peran yang bertanggung jawab untuk memperoleh
informasi dari unit lain atau mitra eksternal.
d. Informed siapa yang menerima informasi. Merujuk pada
peran yang bertanggungjawab untuk menerima informasi
yang tepat untuk mengawasi setiap tugas yang dilakukan.
IMPLEMENTASI
 TAHAP I
INITIATE PROGRAMME
Gambaran Umum pemerintahan kota
Yogyakarta, Struktur Organisasi Kota
pemerintahan Yogyakarta, Tugas dan
Fungsi Kota pemerintahan yogyakarta ,
Diagram RACI sebagai gambaran tugas di
Pemerintahan Yogyakata mengacu pada
COBIT 5
 Pemerintahan Kota Yogyakarta

Kota Yogyakarta berkedudukan sebagai Ibukota Propinsi DIY

(Daerah Isimewa Yogyakarta) dan merupakan satu-satunya daerah
tingkat II yang berstatus Kota di samping 4 daerah tingkat II lainnya
yang berstatus Kabupaten (Sebelah utara : Kabupaten Sleman,
Sebelah timur : Kabupaten Bantul & Sleman, Sebelah selatan :
Kabupaten Bantul, Sebelah barat : Kabupaten Bantul & Sleman).
Kota Yogyakarta terletak ditengah-tengah Propinsi DIY. Visi
pemerintahan kota Yogyakarta adalah Terwujudnya Kota Yogyakarta
sebagai Kota Pendidikan berkualitas, berkarakter dan inklusif,
pariwisata berbasis budaya, dan pusat pelayanan jasa, yang
berwawasan lingkungan dan ekonomi kerakyatan.
 Tugas & Fungsi Pemerintahan Kota
Yogyakarta

Tugas Pokok dan Fungsi Pemerintah Kota Yogyakarta adalah

menyelenggarakan pemerintahan dan melaksanakan urusan
otonomi daerah dalam rangka pelaksanaan tugas-tugas desentralisasi di
Kota Yogyakarta.
Untuk melaksanakan urusan Daerah dimaksud telah dijabarkan menjadi
tugas pokok dan fungsi Satuan Kerja Perangkat Daerah (SKPD) Kota
Yogyakarta yang bertujuan mewujudkan aspirasi masyarakat secara
profesional, transparansi, partisipatif dan akuntabel.
Struktur Organisasi
 Diagram RACI
Diagram RACI menggambarkan peran dari para
pemangku kepentingan dalam Pemerintahan Kota
Yogyakarta yang terkait langsung dengan proses yang
diambil dalam pengelolaan TI. Proses yang diambil dalam
adalah proses pada keamanan Pemerintahan Kota
Yogyakarta adalah domain EDM 03 , APO 12, APO 13, BAI
06, DSS 05 . Peran pada diagram RACI tersebut kemudian
dipetakan kedalam peran pegawai di Bagian Teknologi
Informasi dan Telematika Setda Kota Yogyakarta sesuai
dengan struktur organisasi yang ada. Diagram RACI ini
digunakan untuk penggambaran responden dalam
kuesioner capability level yang akan diberikan.
RACI Chart terdapat berbagai tingkatan dengan karakter sebagai
berikut:
1. Responsible (pelaksana)
Merupakan pihak yang melakukan suatu pekerjaan. Hal ini
berkaitan pada peran utama di dalam organisasi untuk memenuhi
kegiatan yang telah direncanakan dan menciptakan hasil yang
diharapkan.

2. Accountable (Bertanggung jawab)

Merupakan pihak yang bertanggung jawab atas semua pekerjaan.
Dengan memperhatikan hal tersebut pada tingkat terendah
akuntabilitas yang sesuai memiliki tingkat yang paling tinggi
pertanggung jawabannya.

3. Consulted (Penasehat)
Merupakan pihak yang dimintai pendapat tentang suatu pekerjaan.
Peran ini tergantung pada peran responsible dan accountable
untuk mendapat informasi-informasi dari unit-unit lain.

4. Informed (Informasi)
Merupakan pihak yang mendapatkan informasi tentang kemajuan
Diagram RACI
 TAHAP II
Penilaian

Melakukan mapping sasaran strategi bisnis yang

diperoleh dari Renstra (Rencana Bisnis) Kantor
Pemerintahan Yogyakarta
Maping COBIT 5 Enterprise Goal to it Related Goal

Bertujuan memetakan hasil enterprise goal ke dalam IT related goal. Pemetaan

menggunakan skala P (Primary) jika memiliki hubungan penting dengan tujuan
perusahaan, sedangkan S (Secondary) jika memiliki hubungan kurang penting
dengan tujuan perusahaan

Tabel 2. 2 Pemetaan Tujuan

Bagian TIT dengan
Tujuan Terkait Teknologi
Informasi
P (Primary) jika memiliki
hubungan penting dengan
tujuan perusahaan,

S (Secondary) jika memiliki

hubungan kurang penting
dengan tujuan perusahaan
P (Primary) jika memiliki
hubungan penting dengan
tujuan perusahaan,

S (Secondary) jika memiliki

hubungan kurang penting
dengan tujuan perusahaan
Pengolahan data
responden
Hasil nilai kapabilitas keamanan SI berada
pada kisaran P (Partially Achieved) 15-50%
dan ada satu proses yang berhasil mencapai
kisaran L (Largely Achieved) 50-85%.
Ini bisa dilihat pada Gambar 2.2.

a. Proses EDM03 Mengelola Optimasi Risiko memperoleh predikat P (Partially

Achieved) karena memperoleh nilai 23,21%.
b. Proses APO12 Mengelola Risiko memperoleh predikat P (Partially Achieved)
karena memperoleh nilai 24,59%.
c. Proses APO13 Mengelola Keamanan memperoleh predikat P (Partially Achieved)
karena memperoleh nilai 22,28%.
d. Proses BAI06 Mengelola Keamanan memperoleh predikat P (Partially Achieved)
karena memperoleh nilai 18,61%.
e. Proses DSS05 Mengelola Layanan Keamanan memperoleh predikat L (Largely
Achieved) karena memperoleh nilai 54,1%.
Hasil pengukuran kapabilitas keamanan SI
menunjukkan bahwa dari kelima proses yang
diukur tidak ada yang mampu mencapai level
yang ditargetkan, yaitu level 3. Bahkan dari
kelima proses itu hanya bisa mencapai level 1,
seperti yang ditunjukkan pada Gambar 2.3.
a. Proses EDM03 Mengelola Optimasi Risiko
mencapai level 1,23.
b. Proses APO12 Mengelola Risiko mencapai
level 1,24.
c. Proses APO13 Mengelola Keamanan
mencapai level 1,22.
d. Proses BAI06 Mengelola Keamanan
mencapai level 1,18
e. Proses DSS05 Mengelola Layanan
Keamanan mencapai level 1,54.
Pada Gambar 2.4 digambarkan bagaimana level yang dicapai saat ini dan level yang
ditargetkan pada kapabilitas keamanan SI di Pemerintah Kota Yogyakarta. Level yang
dicapai saat ini diwakili oleh warna biru. Sedangkan level yang menjadi target kapabilitas
keamanan SI diwakili oleh warna merah.
 Kesimpulan

Berdasarkan hasil penilaian tingkat kapabilitas keamanan Sistem Informasi (SI) pada
Pemerintah Kota Yogyakarta dapat disimpulkan sebagai berikut:
a. Hasil dari lima (5) proses tingkat kapabilitas keamanan SI, semua proses berada pada
tingkat kapabilitas 1 Performed Process dengan rincian sebagai berikut:
. Empat (4) proses berada pada level P (Partially Achieved), yaitu proses EDM03
Mengelola Optimasi Risiko, APO12 Mengelola Risiko, APO13 Mengelola
Keamanan dan BAI06 Mengelola Perubahan.
. Satu (1) proses berada pada level L (Largely Achieved), yaitu proses DSS05
Mengelola Layanan Keamanan.
b. Hasil penilaian tingkat kapabilitas keamanan SI tidak dapat mencapai level yang
ditargetkan dalam jangka pendek yaitu level 3. Hal ini diakibatkan beberapa hal sebagai
berikut:
. Pemerintah Kota Yogyakarta memang belum menerapkan COBIT 5 untuk
Keamanan Informasi sebagai kerangka kerja untuk keamanan SI di Pemerintah
Kota Yogyakarta.
 Kesimpulan
Masih kurangnya pendokumentasian laporan, pedoman dan atau SOP (Standar
Operasional Prosedur) mengenai kebijakan terkait keamanan SI di Pemerintah Kota
Yogyakarta. Sehingga meski sudah melakukan beberapa prosedur terkait keamanan SI,
tidak mampu memperoleh nilai maksimal dalam penilaian tingkat kapabilitas keamanan
SI.
Skala prioritas seringkali menyebabkan beberapa kegiatan terkait keamanan SI tidak
dilakukan atau cenderung dinomorsekiankan. Sebagai contoh: cenderung mengabaikan
membuat laporan atau dokumentasi sebuah proses karena ada prioritas melakukan
pekerjaan lain yang saat itu lebih mendesak.

c. Untuk meningkatkan tingkat kapabilitas keamanan SI agar mencapai level yang

ditargetkan, Bagian TIT Setda Kota Yogyakarta harus melakukan serangkaian praktik
dasar perbaikan proses dan menghasilkan serangkaian produk kerja pada level 1 kinerja
proses (performed process). Dilanjutkan dengan melakukan serangkaian praktik generik
dan produk kerja generik pada level 2 proses dikelola (managed process).
 Saran

Berdasarkan penelitian yang telah dilakukan, adapun saran-saran yang perlu

dipertimbangkan Pemerintah Kota Yogyakarta khususnya Bagian TIT Setda Kota
Yogyakarta untuk meningkatkan kapabilitas keamanan SI meliputi:
a. Melakukan rekomendasi yang diberikan agar minimal bisa mencapai nilai di atas 85%
sampai dengan 100% pada level 1 sehingga bisa naik ke level 2. Sebab serangkaian
praktik dasar dan produk kerja yang terdapat pada level 1 merupakan syarat minimal
dalam kerangka kerja COBIT 5 untuk Keamanan Informasi dalam kapabilitas
keamanan SI.

b. Merencanakan dan melaksanakan audit keamanan SI secara rutin yang dilakukan oleh
auditor independen. Atau minimal melakukan uji penetrasi (penetration test) secara
rutin. Mendokumentasikan audit dan uji penetrasi tersebut secara rutin agar bisa
dievaluasi dan dianalisis untuk terus memperbaiki keamanan SI Pemerintah Kota
Yogyakarta.
 Saran
c. Mendokumentasikan kebijakan atau membuat SOP (Standar Operasional Prosedur)
untuk proses keamanan SI yang mengacu pada kerangka kerja COBIT 5 untuk
Keamanan Informasi. Untuk melengkapi penelitian ini, beberapa saran berikut dapat
dilakukan oleh peneliti berikutnya:
Melakukan penelitian tingkat kapabilitas hasil pemetaan dari tujuan perusahaan
(enterprise goals) nomor 7 yaitu Kelangsungan dan Ketersediaan Layanan Bisnis
(Business Service Continuity and Availability) sebab wilayah Pemerintah Daerah
Istimewa Yogyakarta merupakan wilayah rawan bencana.
Melakukan pengukuran tingkat keamanan SI menggunakan metode atau kerangka
kerja yang lain.
Melakukan penelitian tingkat kapabilitas manajemen risiko (Risk Management)
menggunakan COBIT 5 atau kerangka kerja atau standar lain.
Melakukan penelitian tingkat kapabilitas tata kelola teknologi informasi (TI)
menggunakan COBIT 5 atau kerangka kerja atau standar lain.