ANALISIS TATA KELOLA PROSES EVALUASI KEAMANAN INFORMASI (DSS05) PADA DINAS PERHUBUNGAN KOMUNIKASI DAN INFORMATIKA KABUPATEN JEPARA

Transkripsi

1 LAPORAN TUGAS AKHIR ANALISIS TATA KELOLA PROSES EVALUASI KEAMANAN INFORMASI (DSS05) PADA DINAS PERHUBUNGAN KOMUNIKASI DAN INFORMATIKA KABUPATEN JEPARA Disusun Oleh Nama NIM Program Studi : FIRSTY NOFITA CHANDRA : A : Sistem Informasi S1 FAKULTAS ILMU KOMPUTER UNIVERSITAS DIAN NUSWANTORO SEMARANG 2016

2 DAFTAR ISI Halaman Judul Depan... i Halaman Judul Dalam... ii Persetujuan Proposal Tugas Akhir... iii Persetujuan Laporan Tugas Akhir... iv Pengesahan Dewan Penguji... v Pernyataan Keaslian Tugas Akhir... vi PernyataanPersetujuanPublikasiKarya Ilmiah Untuk Kepentingan Akademis... vii Ucapan Terimakasih... viii Abstrak... x Daftar Isi... xii Daftar Gambar... xiv Daftar Tabel... xv Daftar Lampiran... xvi Bab 1 PENDAHULUAN 1.1 Latar Belakang Masalah Rumusan Masalah Batasan Masalah Tujuan Penelitian Manfaat Penelitian... 4 Bab 2 TINJAUAN PUSTAKA 2.1 Tinjauan Pustaka Tata Kelola TI... 8 xii

3 2.3 COBIT (Control Objectives for Information and Related Technology) COBIT Model Referensi Proses Pada COBIT Model Kapabilitas Proses Pada COBIT COBIT 5 DSS05 (Manage Security Services) Diagram RACI (DSS05) Bab 3 METODE PENELITIAN 3.1 Metode Pengumpulan Data Obyek Penelitian Jenis Data Sumber Data Tehnik Pengumpulan Data Metode Analisis Analisis Tingkat Kapabilitas (Gap Analysis) Analisis Kesenjangan Bab 4 HASIL DAN PEMBAHASAN 4.1 Gambaran Umum Objek Penelitian Hasil Studi Dokumen Struktur Organisasi Tugas Dan Wewenang Hasil Wawancara Hasil Kuesioner Analisis Kesenjangan Strategi Perbaikan Pembahasan Bab 5 PENUTUP 5.1 Kesimpulan Saran DAFTAR PUSTAKA... 82

4 LAMPIRAN DAFTAR GAMBAR Gambar 2.1 Sejarah Perkembangan COBIT Gambar 2.2 Tujuan IT dalam COBIT Gambar 2.3 Model Referensi pada COBIT Gambar 2.4 Model Kapabilitas COBIT Gambar 2.5 Diagram RACI Gambar 4.1 Struktur Organisasi Gambar 4.2 Grafik Kesenjangan Level Kapabilitas Gambar L.1 Struktur Organisasi LPSE Kabupaten Jepara Gambar L.2 Prosedur Pendaftaran Sertifikat Digital Panitia Gambar L.3 Prosedur Pendaftaran Sertifikat Digital Penyedia Gambar L.4 Tampilan SPSE Gambar L.5 Tampilan SPAMKODOK Gambar L.6 Tampilan Help Desk Gambar L.7 Tata Cara Penerbitan Sertifikat Elektronik Penyedia Gambar L.8 SK LPSE Kabupaten Jepara Gambar L.9 Lemari Besi Dokumen LPSE Gambar L.10 Tampilan ke LKPP Gambar L.11 Form Permohonan Penanganan Permasalahan ke LPSE Gambar L.12 Ruang Staff LPSE

5 DAFTAR TABEL Tabel 2.1 Penelitian Terkait Analisis Tata Kelola TI Berdasarkan Kerangka Kerja COBIT Tabel 2.2 Perbedaan Penelitian Yang Terkait dengan Penelitian Ini... 6 Tabel 4.1 Ringkasan Hasil Wawancara Tabel 4.2 Ringkasan Pencapaian Level Hasil Kuesioner Tabel 4.3 Hasil dan Pembahasan Pencapaian Level Tabel 4.4 Hasil dan Pembahasan Pencapaian Level 1 PA 1.1 Process Performance Tabel 4.5 Hasil dan Pembahasan Pencapaian Level 2 PA 2.1 Performance Management Tabel 4.6 Hasil dan Pembahasan Pencapaian Level 2 PA 2.2 Work Product Management Tabel 4.7 Hasil dan Pembahasan Pencapaian Level 3 PA 3.1 Process Definition Tabel 4.8 Hasil dan Pembahasan Pencapaian Level 3 PA 3.2 Process Deployment Tabel 4.9 Hasil dan Pembahasan Pencapaian Level 4 PA 4.1 Process Measurement Tabel 4.10 Hasil dan Pembahasan Pencapaian Level 4 PA 4.2 Process Control Tabel 4.11 Hasil dan Pembahasan Pencapaian Level 5 PA 5.1 Process Innovation Tabel 4.12 Hasil dan Pembahasan Pencapaian Level 5 PA 5.2 Process Optimization Tabel 4.13 Penentuan Tingkat kapabilitas Tabel L.1 Hasil Pemetaan Struktur RACI Chart... 95

6 DAFTAR LAMPIRAN Lampiran 1. Kuesioner Dan Wawancara Lampiran 2.Struktur Organisasi Keanggotaan Lampiran 3. Prosedur Pendaftaran Sertifikat Digital Panitia Lampiran 4. Prosedur Pendaftaran Sertifikat Digital Penyedia Lampiran 5. Aplikasi SI/TI yang Mendukung Proses Bisnis Lampiran 6. SPAMKODOK Lampiran 7. Help Desk Lampiran 8. Tata Cara Penerbitan Sertifikat Elektronik Penyedia Lampiran 9. SK LPSE Kabupaten Jepara Lampiran 10. Lemari Besi Dokumen LPSE Lampiran 11. Tampilan ke LKPP Lampiran 12. Ruang Staff LPSE Lampiran 13. Hasil Perhitungan Kuesioner Lampiran 14. Hasil Scan Kuesioner Lampiran 15. Hasil Scan Surat Keterangan Tugas Akhir

7 BAB 1 PENDAHULUAN 1.1 Latar Belakang Teknologi Informasi (TI) sekarang ini menjadi sangat dibutuhkan karena semakin cepatnya teknologi berkembang yang sangat ini mampu mengubah pola pekerjaan, kinerja pegawai bahkan sisitem manajemen dalam mengelola suatu organisasi. Pemerintah dituntut untuk terus berinovasi dan memberikan pelayanan menyeluruh disetiap bidang pelayanan publik, diantaranya yaitu pengadaan barang/jasa pemerintah. Inovasi layanan pengadaan barang/jasa dengan memanfaatkan teknologi informasi kemudian dengan pengadaan secara elektronik [1]. Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara merupakan salah satu sektor pemerintahan yang telah menerapkan pemanfaatan teknologi informasi. Dalam penerapan pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara menyadari perlunya pengamanan sistem informasi terkait dengan SPAMKODOK. SPAMKODOK (Sistem Pengamanan Komunikasi Dokumen) yaitu versi terbaru dari pengamanan dokumen dalam SPSE yang dulunya bernama APENDO (Aplikasi Pengamanan Dokumen). SPAMKODOK bekerja dengan menggunakan sertifikat digital yang dimasukan langsung dalam dokumen yang diunggah. Untuk bekerja, SPAMKODOK memerlukan file.apd yang dapat diperoleh setelah penyedia melakukan registrasi ulang ke LPSE yang sudah menerapkan SPAMKODOK. Pengadaan barang/jasa secara elektronik akan meningkatkan transparansi dan akuntabilitas, meningkatkan akses pasar dan persaingan usaha yang sehat, memperbaiki tingkat efisiensi proses pengadaan, mendukung proses monitoring dan audit dan memenuhi kebutuhan akses informasi yang real time guna mewujudkan clean and good goverment dalam pengadaan barang/jasa pemerintah. Dasar hukum pembentukan LPSE adalah Pasal 111 Nomor 54 Tahun 2010 tentang pengadaan barang/jasa pemerintahan

8 yang ketentuan teknis operasionalnya diatur oleh Peraturan Kepala LKPP Nomor 2 Tahun 2010 tentang Layanan Pengadaan Secara Elektronik. LPSE dalam menyelenggarakan sistem pelayanan pengadaan barang/jasa secara elektronik juga wajib memenuhi persyaratan sebagaimana yang ditentukan dalam Undang Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Layanan yang tersedia dalam Sistem Pengadaan secara elektronik saat ini adalah E-tendering yang ketentuan teknis operasionalnya diatur dengan Peraturan Kepala LKPP Nomor 1 Tahun 2011 tentang Tata Cara E-tendering. Selain itu LKPP juga menyediakan fasilitas Katalog Elektronik ( e-catalogue ) yang merupakan sistem informasi elektronik yang memuat daftar, jenis, spesifikasi teknis dan harga barang tertentu dari berbagai penyedia barang/jasa pemerintah, proses secara online (e-audit), dan tata cara pembelian barang/jasa memalui Katalog Elektronik (e-perchasing) [2]. LPSE Kabupaten Jepara sebagai penyelenggara untuk pelayanan public. Permasalahan yang terjadi di LPSE Kabupaten Jepara terkait dengan SPAMKODOK adalah terjadinya kesalahan di server yang mengakibatkan data penyedia tidak dapat log in [3]. Aplikasi SPAMKODOK (Sistem Pengamanan Komunikasi Dokumen) merupakan sistem pengamanan dokumen elektronik pada Layanan Pengadaan Secara Elektronik (LPSE). Aplikasi SPAMKODOK ditujukan untuk Penyedia dan Panitia lelang, dimana penggunaannya telah disesuaikan dengan aplikasi APENDO yang telah digunakan sebelumnya. SPAMKODOK berfungsi untuk mengamankan (enkripsi) dokumen lelang/penawaran sebelum di-upload ke SPSE oleh Penyedia dan membuka (dekripsi) dokumen lelang oleh Panitia lelang. Perbedaan mendasar dengan aplikasi APENDO adalah SPAMKODOK menggunakan sertifikat digital yang dikeluarkan oleh Otoritas Sertifikat Digital (OSD) Lembaga Sandi Negara. Setiap pengguna memiliki fitur tertentu sesuai dengan jenis penggunanya. Berdasarkan informasi tersebut diperlukan analisis tata kelola teknologi informasi tentang keamanan sistem informasi pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara.

9 Terdapat beberapa macam domain dalam COBIT 5 salah satunya DSS05 (manage security service), dipilih karena ingin melindungi sistem dan mempertahankan keamanan yang ada dalam sistem tersebut. Maka penulis melakukan penelitian yang berjudul Analisis Tata Kelola Proses Evaluasi Keamanan Informasi (DSS05) pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. Dengan adanya evaluasi ini nantiya dapat menghasilkan rekomendasi yang dapat digunakan LPSE Kabupaten Jepara sebagai referensi untuk meningkatkan pengelolaan TI terkait layanan keamanan informasi supaya kedepannya dapat mendukung tujuan bisnis organisasi dengan baik. 1.2 Rumusan Masalah Adapun Rumusan Masalahnya adalah sebagai berikut : 1. Bagaimana tingkat keamanan sistem informasi terkait dengan proses layanan barang/jasa yang terdapat pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara saat ini berdasarkan COBIT 5 sehingga dapat meningkatkan proses layanan keamanan informasi. 2. Bagaimana strategi perbaikan untuk mencapai tingkat kapabilitas pengelolaan layanan keamanan informasi yang lebih baik. 1.3 Batasan Masalah Adapun Batasan Masalahnya adalah sebagai berikut : 1. Analisis tata kelola TI hanya berdasarkan kerangka kerja COBIT 5 proses DSS05 (manage security services). 2. Analisis hanya terkait kinerja LPSE Kabupaten Jepara dalam pengelolaan layanan keamanan informasi penyedia barang/jasa. 3. Dalam penelitian ini penetration test, testing tidak dilakukan. 4. Data acuan yang digunakan adalah hasil studi dokumen, wawancara dan kuesioner yang dilakukan berdasarkan panduan kerangka kerja COBIT Tidak membahas infrastruktur teknis seperti manajemen jaringan, konfigurasi server, manajemen IP, dll.

10 1.4 Tujuan Penelitian Tujuan penelitian yang akan dicapai adalah : 1. Mengetahui tingkat kapabilitas dan kondisi tata kelola TI terkait proses layanan keamanan informasi penyedia layanan barang/jasa yang terdapat pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. 2. Memberikan referensi strategi perbaikan yang harus dilakukan untuk mencapai tingkat kapabilitas yang lebih baik. 1.5 Manfaat Penelitian Manfaat dari penelitian sebagai berikut : 1. Dapat memberikan gambaran, saran dan rekomendasi terhadap penerapan tata kelola TI LPSE Kabupaten Jepara. Dapat digunakan sebagai informasi pendukung maupun acuan dalam penelitian berikutnya tentang tata kelola TI dengan menggunakan kerangka kerja COBIT 5.

11 BAB 2 TINJAUAN PUSTAKA 2.1 Tinjauan Pustaka Ada beberapa penelitian yang terkait dengan tata kelola TI menggunakan kerangka kerja COBIT 5, diantaranya adalah penelitian oleh Widya Cholil, et all [4]. Penelitian yang dilakukan membahastentang tata kelola TI pada Dinas Kepegawaian Tenaga Kerja dan Transmigrasi Provinsi Sumatra Selatan berdasarkan kerangka COBIT 5.Metode yang digunakan yaitu dengan kuesioner, berdasarkan wawancara dan observasi pada Dinas Kepegawaian Tenaga Kerja dan Transmigrasi Provinsi Sumatra Selatan. Hasil penelitian ini telah mencapai tingkat kapabilitas pada proses TI adalah MEA01 pada rata-rata 3,39 kemudian MEA02 pada rata-rata 3,39 dan MEA03 terdapat pada rata-rata 2,58. Dari ketiga rata-rata pada setiap domain MEA maka tingkat model kapabilitas pada penelitian ini yaitu pada skala 3 (Established Process), sistem pada kepegawaian ini sudah distandarisasi, terdokumentasi dan dikomunikasikan melalui pelatihan namun pada implementasi masih tergantung dengan pegawai. Penelitian ini adalah penelitian dari Rio Kurnia Candra, et all [5] mengenai evaluasi, menilai kapabilitas dan menyusun rekomendasi untuk TI yang sedang digunakan menggunakan frameworke COBIT 5 domain DSS. Metode yang digunakan untuk menghasilkan data yaitu dengan melakukan wawancara, kuisioner dan pengumpulan data menggunakan diagram RACI. Hasil dari rata-rata Capability Level pada DSS ini adalah 83% berada pada level 3 yaitu Established Process. Yang berarti setiap aktivitas telah dilakukan dengan standar penerapannya, sudah terdokumentasi dan setiap komunikasi berjalan dengan baik. Penelitian selanjutnya yaitu dilakukan framework COBIT 5. Yang diantaranya dilakukan oleh I Nyoman, dkk [6]. Penelitian membahas tentang tata kelola pada Dinas Kominfo Kota Denpasar. Penelitian tersebut berjudul Evaluasi Sistem E- Government Kota Denpasar dengan menggunakan framework COBIT 5. Tujuan dari penelitian tersebut yaitu untuk mengetahui kapabilitas, menganalisis

12 pengawasan,penilaian dan kepatuhandari sistem TI yang dijalankan oleh Dinas Kominfo Kota Denpasar. Penelitian tersebut untuk menaikkan formalitas dan prosedur manajemen TI. Hasil yang diperoleh adalah level kapabilitas pada level 1 (Performed Process) dan mencapai level 2 (Managed Process). Tabel 2.1 Penelitian Terkait analisis tata Kelola TI Berdasarkan Kerangka Kerja COBIT 5 Nama No Peneliti dan Tahun 1. Widya Cholil, et all, Rio, dkk, 2014 Masalah Metode Hasil Belum adanya Capability level Capability level sistem untuk berdasarkan pengevaluasian kerangka kerja terhadap pihak COBIT 5 sistem kepegawaian Belum adanya SOP yang lengkap Belum adanya Berdasarkan pengevaluasian tingkat tersebut dan analisis tata menggunakan 6 kelola pada proses kerangka sistem igracias (Integrated COBIT 5 tepatnya pada domain DSS (Deliver Service, yang dihasilkan telah mencapai level 3 yaitu mengenai (Managed Process) yang artinya sistem sudah terstandarisasi, terdokumentasi dan dikomunikasikan melalui pegawai Tingkat kapabilitasnya 3 berdasarkan keseluruhan proses DSS

13 Academic and Support) yaitu Information DSS01, DSS02, System) DSS03, DSS04, DSS05, dan DSS06 3. I Nyoman, Kurangnya kerangka kerja Proses dkk, 2013 evaluasi dan COBIT 5 dengan kapabilitas level analisis pada tingkat kapabilitas yang berada tata kelola TI E- (Capability Level) pada level 1 Government (Performed) yang efektif di yang ingin Dinas Kominfo mencapai level Kota Denpasar yaitu level 2 (Managed Process) Tabel 2.2Perbedaan Antara Penelitian Terkait Dengan Penelitian Ini NO. Nama Peneliti dan Tahun 1. Widya Cholil, et all, 2013 Perbedaan Penelitian Terkait Penelitian ini Dalam kerangka COBIT 5 COBIT 5 Framework berdasarkan domain dengan domain yaitu (MEA) tingkat kapabilitas DSS05. Dengan hasil level level (Capability Level) kapabilitas pada level 2 yang menghasilkan (Managed Process) dan kapabilitas pada level 3 level yang menuju adalah level 3 (Established Process)

14 2. Rio Kurnia Candra, et all, I Nyoman, dkk, 2013 Analisa hasil kuesioner untuk mendapatkan hasil rekap nilai proses pada domain DSS, dengan tingkat kapabilitas 4,36. Menggunakan kerangka kerja COBIT 5 (MEA) dengan tingkat kapabilitas level (Capability Level) yang menghasilkan kapabilitas level 1 (Performed Process) yang ingin mencapai (Managed Process) Metode analisa tingkat kapabilitas (Capability Level) dengan hasil kuesioner dan dengan analisa kesenjangan (Gap Analysis). Menghasilkan tingkat kapabilitas level 2 yaitu (Managed ) dan target 3 (Established) serta menghasilkan (Gap analysis) 0,21 yang akan diimplementasikan dengan mencapai strategi yang lebih baik. COBIT 5 Framework dengan domain yaitu (DSS05) (Manage Operation). Dengan hasil level kapabilitas pada level 2 (Managed Process) dan level yang menuju adalah level 3 (Established Process) 2.2 Tata Kelola TI (IT Governance) Tata kelola TI bukanlah suatu kedisiplinan ilmu atau aktifitas yang tertentu saja, tetapi lebih daripada suatu penerapan kontrol yang melibatkan tentang organisasi/perusahaan. Tata kelola TI yaitu bagian dari organisasi/perusahaan yang baik (Good Corporate Governance) sehingga dapat bejalan dan memperluas strategi dan tujuan organisasi/perusahaan dibidang TI [7].

15 Definisi tata kelola TI telah dikemukakan oleh para ahli, diantaranya adalah sebagai berikut [7]: 1. Tata Kelola TI adalah sebagaian dari suatu kumpulan kebijakan, aktifitas untuk medukung pengoperasian TI agar mencapai hasil yang sejalan dengan strategi bisnis/organisasi (Oltsik). 2. Tata Kelola TI adalah suatu penelitian dengan menggunakan kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen TI untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dalam rangkat mendukung bisnisnya (Van Grembergen). 3. Tata Kelola TI adalah pertanggungjawaban dewan redaksi dan manajemen eksekutif. Hal ini merupakan suatu bagian yang terintegrasi dengan tata kelola organisasi dan berisi kepemimpinan dan struktur serta tujuan bisnis (IT Governance Institute). Berdasarkan ketiga definisi tersebut dapat disimpulkan bahwa yang disebut dengan tata kelola TI adalah suatu upaya untuk menjamin pengelolaan TI agar dapat mendukung bahkan lebih selaras dengan strategi bisnis suatu enterprise yang dilakukan oleh direksi, manajemen eksekutif, dan oleh dewan direksi, dan juga oleh manajemen TI. Tata kelola TI berguna untuk mengatur penggunakan TI, dan bisa juga untuk memastikan sebuah kinerja TI sesuai dengan tujuan sebagai berikut [7]: 1. Kesamaan TI dengan perusahaan dan berbagai keuntungan-keuntungan yang dijanjikan dari penerapan TI. 2. TI berguna untuk proses kemungkinan dari organisasi/perusahaan yang mengeksploitasi kesempatan yang ada dan mencari keuntungan yang maksimal. 3. Sumber daya TI penggunaannya sangat bertanggung jawab. 4. Penanganan suatu manajemen resiko yang mencakup tentang TI secara tepat.

16 2.3 COBIT (Control Objectives for Information and Related Technology) COBIT (Control Objectives for Information and Related Technology) merupakan suatu panduan standar praktek manajemen TI dan juga kumpulan dari berbagai dokumentasi best practices agar tata kelola TI dapat membantu sebuat auditor, manajemen dan penggunaan untuk memisahkan antara resiko bisnis, kebutuhan suatu pengendalian, dan beberapa permasalahan teknis. COBIT merupakan bagian dari Infomation System Audit and Control Association (ISACA). COBIT dapat juga memberikan suatu tindakan yang bersifat mengarahkan suatu orientasi pada suatu bisnis dan maka oleh sebab itu business process owners dan manajer, juga pengguna auditornya supaya dapat menggunakan arahannya sebaik mungin. COBIT menganalisa proses praktiknya sebaik mungkin dalam pengelolaan teknologi informasi dan penyediaan kerangka kerja tata kelola TI untuk proses membantu pemahaman dan pengelolaan resiko serta mendapatkan keuntungan mencakup tentang teknologi informasi. Maka dari itu, implementasi COBIT sebagai bisa dikatakan sebagai tata kelola TI yang memperoleh keuntungan [7]: 1. Keselarasan yang baik dari suatu bisnis. 2. Pandangan yang dapat dipahami oleh manajemen tentang TI. 3. Penanggungjawaban atas kepemilikan yang jelas dari suatu proses orientasi. 4. Aturan pihak ketiga dapat diterima dengan baik. 5. Pemahaman pengguna bahasa yang sama antara pihak yang berkepentingan. 6. Pemenuhan dan pelengkap untuk lingkungan kendali teknologi informasi. 2.4 COBIT 5 Sejarah berkembangnya COBIT saat pertama kali yaitu muncul pada tahun 1996 berdasarkan COBIT dengan versi 1 yang menjelaskan tentang audit kemudian dilanjut dengan COBIT versi 2 pada tahun 2000 yang befokus pada orientasi aspek manajemen. Pada tahun 2005, COBIT saat itu muncul kembali dengan versi 4 tepatnya pada bulan Desember dan dilanjutkan kembali pada bulan Mei 2007 muncul COBIT versi 4.1 yang lebih berorientasi pada tata kelola TI. Dan akhirnya

17 saat ini terakhir yaitu pada tahun 2012 tepatnya bulan Juni versi 5 yang berorientasi tentang tata kelola TI perusahaan dan manajemen [8]. Gambar 2.1 Sejarah Perkembangan COBIT [7] COBIT 5 telah menyediakan beberapa prinsip dan praktek, kemudian berbagai alat analisis dan model yang diterima dan dirancang secara menyeluruh dengan tujuan untuk memperoleh kepercayaan pimpinan bisnis TI dan aset teknologi oerganisasi yang maksimal. COBIT 5 merupakan generasi terbaru dari panduan ISACA yang menjelaskan tentang tata kelola dan manajemen TI. COBIT 5 dibuat untuk sebuah pengalaman penggunaan COBIT selama lebih dari 15 tahun dari suatu perusahaan pengguna bisnis, berbagai komunitas TI, resiko, asuransi dan keamanan [8]. Berikut kebutuhan yang penting dalam membantu memenuhi organisasi hadirnya COBIT 5 yaitu [8]: 1. Membantu stakeholder dalam menentukan bagaimana mendapatkan informasi dan teknologi yang mencakup seperti keuntungan yang akan didapat, pada resiko berapa, pada biaya berapa, dan pada bagaimana prioritas yang dapat menjamin nilai tambah yang tersampaikan.

18 2. Pembahasan tingkat ketergantungan organisasi dan rekan TI serta berbagai alat internal dan mekanisme agar mendapatkan nilai tambah yang diharapkan. 3. Untuk mengatasi jumlah informasi yang meningkat secara signitifikan. Kemudian bagaimana suatu organisasi memilih informasi yang relevan dan kredibel yang mengarah pada organisai keputusan bisnis yang efektif dan efesien. Informasi dan model informasi juga dapat dikelola dengan efektif supaya mencapai tujuan. 4. Untuk mengatasi TI yang semakin dalam organisasinya sehingga menjadi semakin penting suatu bisnis. Selain itu TI tidak begitu puas meskipun sudah berjalan dengan bisnis. Diharapkan TI dan bisnis organisasi berintegrasi dengan lebih baik. 5. Memberikan panduan yang jauh lebih baik dalam inovasi dan teknologi guna untuk menemukan produk baru dan pembuatan produk yang menarik bagi setiap pelanggan. 6. Mengintegrasikan semua framework dan paduan ISACA dengan fokus pada COBIT, Val IT, dan Risk IT, selan itu mempertimbangkan BMIS, ITAF, dan TGF, supaya COBIT 5 mencakup seluruh perusahaan dan penyediaan dan integrasi framework menjadi satu kesatuan. COBIT 5 merupakan sebuah kerangka menyeluruh yang dapat membantu perusahaan dalam mencapai tujuannya untuk tata dan manajemen TI perusahaan. Secara sederhana COBIT 5 membantu perusahaan menciptakan nilai optimal dari TI dengan cara menjaga keseimbangan antara mendapatkan keuntungan dan mengoptimalkan tingkat resiko dan penggunaan sumber daya. COBIT 5 memungkinkan TI untuk dikelola dan diatur dalam cara yang lebih menyeluruh untuk seluruh lingkungan perusahaan, meliputi seluruh lingkup bisnis dan lingkup area fungsional TI, dengan mempertimbangkan kepentingan para stakeholder internal dan eksternal yang berhubungan dengan TI. COBIT 5 bersifat umum dan berguna untuk segala jenis ukuran perusahaan, baik itu sektor komersial, sektor non profit atau pada sektor pemerindah atau publik. COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI perusahaan.

19 Kelima prinsip ini memungkinkan perusahaan untuk membangun sebuah kerangka tata kelola dan manajemen yang efektif, yang dapat mengoptimalkan investasi dan penggunaan TI untuk mendapatkan keuntungan bagi para stakeholder. Langkah langkahnya sebagai berikut : a. Penggerak stakeholder mempengaruhi kebutuhan stakeholder. Kebutuhan stakeholder dipengaruh oleh sejumlah penggerak, diantaranyaperubahan strategi, lingkungan bisnis dan peraturan yang berubah, danmunculnya teknologi baru. b. Kebutuhan stakeholder diturunkan menjadi tujuan perusahaan. Tujuan-tujuan perusahaan tersebut telah dikembangkan menggunakan dimensi Balanced Scorecard (BSD), dan BSD tersebut merepresentasikan sebuah daftar tujuan yang umum digunakan dimana sebuah perusahaan dapat mendefinisikan untuk dirinya sendiri. Meskipun daftar tersebut tidak lengkap menyeluruh, kebanyakan tujuan-tujuan perusahaan tertentu dapat dipetakan secara mudah menjadi satu atau lebih tujuan umum perusahaan. c. Tujuan perusahaan diturunkan menjadi tujuan yang berhubungan dengan TI. Pencapaian tujuan perusahaan memerlukan sejumlah hasil-hasil yang berhubungan dengan TI, yang diwakili oleh tujuan-tujuan TI. Tujuan-tujuan yang berhubungan dengan TI disusun dengan dimensi-dimensi dalam IT BSC. COBIT 5 mendefinisikan 17 tujuan yang berhubungan dengan TI. d. Tujuan TI diturunkan menjadi tujuan pemicu (enabler goal). Mencapai tujuan TI membutuhkan penerapan yang sukses dan penggunaansejumlah pemicu. Pemicu meliputi proses, struktur organisasi dan informasi,dan untuk tiap pemicu, serangkaian tujuan yang spesifik dapat didefinisikanuntuk mendukung tujuan TI.

20 Gambar 2.2 Tujuan IT-related dalam COBIT Model Referensi Proses Pada COBIT 5 Pada COBIT 5 memiliki model referensi dengan ketentuan yang jelas dan detail mengenai proses tata kelola dan manajemen. Model seperti itu mewakili seluruh proses yang terdapat pada organisasi yang ada hubungannya dengan aktivitas TI dan referensi yang mudah dipahami dalam operasional TI oleh manajer bisnis. Model referensi COBIT 5 adalah sukses dari model proses COBIT 4.1 [8].

21 Gambar 2.3 Model Referensi Proses COBIT 5 [8] Berdasarkan gambar diatas menunjukkan 37 proses tata kelola dan manajemen dalam COBIT 5. Dari sekian proses tersebut dapat dkelompokkan menjadi dua domain proses utama yaitu mencakup tata kelola dan manajemen [8]. 1. Tata Kelola (Governance) Terdapat lima proses tata kelola TI pada domain Evaluasi, Pengarahan, dan Pengawasan (Evaluate, Direct, and Monitor), yaitu : a. EDM01 Memastikan terdapat pengaturan dan peeliharaan kerangka kerja tata kelola (Ensure governance framework setting and maintenance). b. EDM02 Memastikan mendapat keuntungan/manfaat (Ensure benefits delivery). c. EDM03 Memastikan optimalisasi resiko (Ensure risk optimisation). d. EDM04 Memastikan optimalisasi sumber daya (Ensure resource optimisation).

22 e. EDM05 Memastikan transparasi terhadap stakeholder (Ensure stakeholder transparancy). 2. Manajemen (Management) Terdapat empat domain yang sejajar dengan area tanggung jawab dari Plan, build, Run and Monitor (PBRM) dan menyediakan ruang lingkup TI yang menyeluruh yang terdiri dari: a. Domain Meluruskan, Merencanakan dan Mengatur (Align, Plan and Organise) yang memuat 13 proses, yaitu: 1) APO01 Mengelola manajemen kerangka kerja TI (Manage the IT management framework). 2) APO02 Mengelola strategi (Manage strategy). 3) APO03 Mengelola arsitektur informasi (Manage enterprise architecture). 4) APO04 Mengelola inovasi/perubahan (Manage innovation). 5) APO05 Mengelola portofolio (Manage portofolio). 6) APO06 Mengelola anggaran dan biaya (Manage budget and costs). 7) APO07 Mengelola sumber daya manusia (Manage human resource). 8) APO08 Mengelola hubungan (Manage relationships). 9) APO09 Mengelola perjanjian layanan (Manage service agreements). 10) APO10 Mengelola pemasok/supplier (Manage suppliers). 11) APO11 Mengelola kualitas (Manage quality). 12) APO12 Mengelola resiko (Manage risk). 13) APO13 Mengelola keamanan (Manage security). b. Domain Membangun, Memperoleh dan Mengoperasikan (Build, Acquire and Operate) memuat 10 proses, yaitu: 1) BAIQ1 Mengelola program dan proyek (Manage programmes and projects). 2) BAI02 Mengelola definisi kebutuhan (Manage requirements definitions). 3) BAI03 Mendefinisikan solusi otomatis (Manage solutions indentification and build).

23 4) BAI04 Mengelola ketersediaan dan kapasitas (Manage availability and capacity). 5) BAI05 Mengelola perubahan pemberdayaan organisasi (Manage organizational change enablement). 6) BAI06 Mengelola perubahan (Manage changes). 7) BAI07 Mengelola penerimaan perubahan dan transisi (Manage change acceptance and transitioning). 8) BAI08 Mengelola pengetahuan (Manage knowledge). 9) BAI09 Mengelola aset (Manage assets). 10) BAI10 Mengelola susunan (Manage configuration). c. Domain Menghasilkan, Melayani dan Mendukung (Deliver, Service and Support) memuat 6 proses, yaitu: 1) DSS01 Mengelola operasi (Manage operations). 2) DSS02 Mengelola permintaan layanan dan insiden (Manage service requests and incidents). 3) DSS03 Mengelola permasalahan (Manage problems). 4) DSS04 Mengelola layanan yang berkelanjutan (Manage continuity). 5) DSS05 Mengelola layanan keamanan (Manage security service). 6) DSS06 Mengelol proses bisnis (Manage business process controls). d. Domain Mengawasi, Mengevaluasi dan Menilai ( Monitor, Evaluate and Assess) memuat 3 proses, yaitu: 1) MEA01 Mengawasi, mengevaluasi, menilai kinerja dan kesesuaian (monitor, evaluate and assess performance and conformance). 2) MEA02 Mengawasi, mengevaluasi, menilai sistem pengendalian internal (Monitor, evaluate and assess the system of internal control). 3) MEA03 Mengawasi, mengevaluasi, menilai kepatuhan dan kebutuhan eksternal (Monitor, evaluate and assess compliance with external requirements).

24 2.4.2 Model Kapabilitas Proses Pada COBIT 5 COBIT 4.1 memperkenalkan dengan model kematangan proses (maturity model), sedangkan COBIT 5 memperkenalkan model kapabilitas proses (capability model). Model kapabilitas pada COBIT 5 berdasarkan pada ISO/IEC mengenai Software Engineering dan Process Assesment. Model kapabilitas juga melakukan proses pengukuran performasi disetiap proses tata kelola atau manajemen jika identifikasi dan analisis ditingkatnya perfomalitasnya[8]. Proses dalam melakukan tingkat kapabilitas yang ditentukan atribut proses disebut indikator kapabilitas. Prosesnya yaitu akan mendukung suatu penilaian atas pencapaian atribut proses tersebut [8]. Process Assessment Model adalah Proses dimana kapabilitas yang sudah ada dituangkan ke penilaian kapabilitas. Model tersebut dapat digunakan dalam dokumen referensi untuk meningkatkan perfoma kapabilitas TI [9]: 1. Definisi kebutuhan minimal sebagai penilaian (output-output yang diharapkan). 2. Definisi dua proses yaitu proses dan kapabilitas. 3. Proses perfoma guna untuk penentuan atribut yang dapat terpenuhi. 4. Pengukuran perfoma didasarkan oleh urutan praktik dasar dan berbagai aktivitas supaya work product terpenuhi. 5. Pengukuran proses kapabilitas melalui atribut dengan dasar bukti spesifik (level 1) dan generic (level yang lebih tinggi) practices dan work product. Model kapabiitas penilaian proses terkait enam tingkat, didalam enam tingkat tersebut ada sembilan atribut proses. Level 0 tentang keberadaan proses. Dalam penilaian tersebut ada dua hal yang berbeda yaitu penilaian level 1 dengan level yang lebih tinggi. Proses level 1 dilakukan untuk penentuan bagaimana proses tersebut dapat mencapai tujuannya, dikarenakan untuk menjadi pondasi dalam meraih level yang lebih tinggi.

25 Setiap penilaian level terdapat hasil klasifikasi yang berisi 4 kategori, antara lain: 1. N (Not achieved/tidak tercapai) Adalah kategori yang hanya terdapat sedikit bukti dalam proses atribut. Range nilainya mencapai kisaran antara 0%-15%. 2. P (Partically achieved/tercapai sebagian) Adalah kategori yang memiliki beberapa bukti mengenai pendekatan dan atribut proses. Range nilainya mencapai kisaran antara >15% sampai 50%. 3. L (Largely achieved/secara garis besar tercapai) Adalah kategori yang memiliki bukti pendekatan sistematis dan pencapaian signifikan. Meskipun terdapat kelemahan yang tidak signifikan. Range nilainya mencapai kisaran antara >50% sampai 85% 4. F (Full achieved/tercapai penuh) Adalah kategori yang memiliki bukti pendekatan sistematis dan lengkap, kategori ini tidak ada kelemahan yang terdapat pada atribut proses. Range nilainya mencapai kisaran antara >85% sampai 100%. Proses ketegori Largely achieved (L) atau Fully achieved (F) dapat dinyatakan mencapai level kapabilitas, jika untuk meraih kategori Fully achieved (F) dapat dilanjutkan ke level selanjutnya. Jadi misal mencapai level kapabilitas 3, maka level 1 dan 2 proses kategori Fully achieved (F) tercapai. Selain itu level 3 mencapai kategori Largely achieved (L) atau Fully achieved (F) [9].

26 Gambar 2.4 Model Kapabilitas COBIT 5 [9] Ada 6 (enam) tingkatan kapabilitas yang mencapai proses, yaitu [9]: 1. Incomplete Process (Level 0) Proses yang tidak lengkap, karena proses gagal mencapai tujuannya. Pada tingkatan ini tidak adanya bukti sistematik dari tujuan proses tersebut. Dalam tingkatan ini membahas tentang kesadaran akan keberadaan suatu proses. 2. Performed Process (level 1) Proses yang dijalankan, dan prosesnya telah mencapai tujuan. Berikut adalah atribut proses pada level 1: PA 1.1 Process Performance Pengukuran dari tujuan beberapa proses telah diraih. Dan mencapai penuh proses yang sudah ditentukan. 3. Managed Process (Level 2) Proses yang teratur. Dan prosesnya telah mencapai tujuan dengan cara dikelola yang terkait perencanaan, pengawasan dan penyesuaian. Work product tersebut dijalankan, dikontrol dan dikelola dengan baik. Berikut atribut proses level 2:

27 a. PA 2.1 Performance Management Proses pencapaiannya adalah: 1) Proses objektif performa teridentifikasi 2) Perfomanya perlu perencanaan dan dimonitor 3) Untuk memenuhi perencanaan memerukan performa proses 4) Otoritas dan tanggung jawab dalam didefinisikan, dikomunikasikan dan ditugaskan 5) Informasi dan sumber daya membutuhkan proses identifikasi, persediaan, pelokasian dan penggunaan. b. PA 2.2 Work Product Management Proses pengukuran dalam hasil yang telah dikelola. Hasil tersebut dimaksud hasil dari proses kerja. Berikut hasil penuh dari pencapaian atribut: 1) Proses kebutuhan hasil kerja ditetapkan. 2) Dokumentasi dan kontrol ditetapkan. 3) Mendefinikan hasil kerja dengan baik kemudian didokumentasikan dan dikontrol. 4) Mengulas kembali hasil kerja terkait dengan rencana pengaturan dan kebutuhan. 4. Established Process (Level 3) Proses yang tetap. Proses yang telah ditetapkan mampu mencapai hasil (outcome). Berikut proses level 3: a. PA 3.1 Process Definition Proses mengukuran standar dikelola sebagai pengerjaan proses. Berikut adalah hasil pencapaian penuh atribut tersebut: 1) Mendeskripsikan elemen fundamental yang mencakup tentang panduan dasar yang layak. 2) Menetapkan urutan dan interaksi dari proses standar. 3) Mendefinisikan proses standar kompetensi yang diharapkan. 4) Mendefinisikan infrastruktur yang dibutuhkan oleh lingkungan kerja. 5) Kesesuaian dari metode monitoring yang telat ditetapkan.

28 b. PA 3.2 Process Deployment Pengukuran telah mencapai proses standar yang efektif kemudian didefinikan hasil dari proses tersebut. Berikut adalah hasil pencapaian penuh atribut : 1) Mendefinisikan proses yang berjalan standar. 2) Mendefinisikan peran yang diharapkan, tanggung jawab dan otoritas untuk ditugaskan dan dikomunikasikan. 3) Mendefinisikan personil supaya kompeten dalam basis edukasi, pelatihan dan pengalaman. 4) Sumber daya yang diharapkan dan diinfomasikan memerlukan proses didefinikan disediakan, digunakan dan dialokasikan, 5) Mendefinisikan infrastruktur lingkungan kerja. 6) Mendomonstrasikan kecocokan data yang telah terkumpul guna untuk mengevaluasi perbaikan proses. 5. Predictable Process (Level 4) Proses yang dapat diprediksi. Batasan dari proses yang telah dioperasikan kemudian ditentukan untuk mencapai hasil (outcome) yang dibutuhkan. Berikut adalah ketentuan atribut proses pada level ini: a. PA 4.1 Process Measurement Proses performa mengenai pengukuran dapat dipastikan mencapai tujuan proses untuk mendukung tujuan organisasi. Berikut adalah proses pencapaian penuh atribut: 1) Performa proses yang telah ditetapkan bertujuan untuk proses kuantitatif. 2) Mendefinisikan pengukuran dan frekuensi untuk mencapai tujuan kuantitatif prosesnya. 3) Menganalisa hasil pengukuran sejauh mana tujuan kuantitatif tercapai. 4) Menggambarkan performa proses.

29 b. PA 4.2 Process Control Pengukuran proses yang stabil, mampu, dan bisa diprediksi dalam batasan yang sudah ditentukan. Hasil pencapaian penuh atribut sebagai berikut: 1) Menganalisa dan mengontrol aplikasi yang ditentukan 2) Penetapan performa proses normal 3) Untuk mengetahui menyebab kusus atas variasi dilakukan data pengukuran. 4) Untuk pemecahan tindakan khusus variasi dilakukan tindakan koreksi. 5) Aplikasi dibutuhkan sebagai respon tindakan koreksi. 6. Optimising process (Level 5) Proses optimasi. Proses dilakukan untuk kelanjtan memenuhi bisnis organisasi saat ini. Ketentuan proses pada level 5 ini adalah: a. PA 5.1 Process Innovation Pengukuran perubahan yang didefinisikan sebagai analisis adanya variasi dalam proses performa, mendefinisikan dan melaksanakan pendekatan inovatif dari investigasi. Berikut adalah hasil pencapaian penuh atribut: 1) Memdefinisikan tujuan bisnis dan peningkatan yang relevan. 2) Menganalisis dan mendefinisikan data sebagai peluang untuk praktik yang ditentukan. 3) Mendefinisikan teknologi baru dan konsep proses baru. 4) Implementasi strategi bertujuan untuk peningkatan proses. b. PA 5.2 Process Optimisation Mendefinisikan pengukuran perubahan manajemen dan performa yang berdampak secara efektif untuk mencapai tujuan proses peningkatan. Berikut adah proses pencapaian penuh atribut: 1) Dampak yang dilakukan dengan nilai kesesuaian demi peningkatan dan tujuan proses yang telah didefinisikan.

30 2) Mengimplementasikan proses dengan perbedaan-perbedaan performa yang dapat dipastikan untuk dimengerti dan dilakukan setelah proses sebelumnya. 3) Persyaratan produk dan tujuan proses dilakukan dengan keefektifan perubahan proses yang telah dievaluasi. 2.5 COBIT 5 DSS05 (Manage Security Services) Pada COBIT 5 terdapat domain DSS05 (Manage Security Service) yaitu membahas tentang perlindungan informasi organisasi untuk mempertahankan keamanan dari informasi yang telah didapatkan dari organisasi sesuai dengan kebijakan keamanan [10]. Proses tersebut bertujuan untuk mempersingkat dampak bisnis informasi yang mengakibatkan kerentanan insiden. Berikut adalah proses yang terkandung dalam praktek manajemen (management practices),yaitu: 1. DSS05.01 (Protect agains malware) Adalah suatu praktek perindungan terhadap malware. Dalam praktek tata kelola yang dilakukan membahas tentang pemeliharaan dan penerapan untuk mencegah adanya virus, worm, dan spam. 2. DSS05.02 (manage network and connectivity security) Adalah praktek pengelolaan jaringan dan keamanan konektivitas. Dalam praktek tata kelola yang dilakukan menggunakan keamanan dan prosedur yang terkait dalam melindungi informasi konektivitas. 3. DSS05.3(Manage end-point security) Adalah praktek pengelolaan keamanan end-point. Dalam praktek tata kelola yang dilakukan untuk memastikan perangkat end-point seperti desktop, laptop, dan berbagai server yang terjamin keamanannya. 4. DSS05.04 (Manage user identify and logical access) Adalah praktek pengelolaan pengguna dan akses. Dalam praktek tata kelola yang dilakukan untuk memastikan akses informasi hak yang sesuai engan apa yang mereka butuhkan.

31 5. DSS05.05 (Manage physical access to IT assets) Adalah praktek pengelolaan keamanan yang digunakan sebagai akses ke aset TI. Dalam praktek tata kelola yang dilakukan prosedur yang dibatasi dan diberi akses ketempat atau ke ruang TI didefinisikan seperti server seseorang yang termasuk staf, staf sementara, klien, vendor, dan pihak ketiga lainnya. 6. DSS05.06 (Manage sensitive documents and outputs devices) Adalah praktek pengelolaan keamanan dokumen. Dalam praktek tata kelola yang dilakukan dapat membangun pengamanan fisik dalam inventarisasi dokumen-dokumen yang penting. 7. DSS05.07 (Monitor the infrastrukture for security related events) Adalah praktek pengelolaan dalam pengawasan keamanan informasi. Dalam praktek tata kelola ini dilakukan pendefinisian dan mengomunikasikan suatu insiden yang terkait dalam keamanan. 2.6 Diagram RACI (DSS05) Diagram RACI ini sendiri berfungsi sebagai tanggung jawabdan peran sebagai struktuk organasisasi yang terdapat pada perusahaan. Maka dengan adanya Diagram RACI akan diketahui bahwa peran seseorang tersebut sangat berpengaruh dalam pengelolaan sistem berbasis TI. Gambar 2.5 Diagram RACI (DSS05) [10]

32 BAB 3 METODE PENELITIAN 3.1 Metode Pengumpulan Data Objek Kajian Objek dalam mendapatkan data ini yaitu pada sistem pengelolaan layanan keamanan yang ada pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara Jenis Data Jenis data yang dipergunakan saat melakukan pengumpulan data yaitu data bersifat kuantitatif. Dikarenakan pada saat penelitian ini data yang akan diperoleh berupa dokumen, yang telah didapatkan dari berbagai penyedia. Dari data yang bersifat kuantitatif ini akan dilakukan analisis data yang lebih lanjut Sumber Data Sumber data yang dipergunakan saat melakukan pengumpulan data yaitu data primer. Data Primer merupakan Data yang didapatkan khusus untuk penyeselaian sebuah masalah penelitian yang telah ditangani oleh peneliti tersebut. Data ini diperoleh peneliti sendiri dari Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara Tehnik Pengumpulan Data Tehnik pengumpulan data yang dipergunakan dalam penelitian ini yaitu dokumentasi yang terdapat pada lokasi observasi secara langsung, pengumpulan data dan wawancara dngan kuesioner pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara.

33 1. Studi Dokumen Studi Dokumen dilakukan dengan cara mempelajari buku, file dan dokumen tertulis lainnya sebagai sumber informasi yang relevan untuk mendapatkan pemahaman tentang penilaian beserta objek yang akan diteliti. 2. Wawancara Metode wawancara didalam penelitian ini yaitu dengan mengajukan pertanyaan yang menyangkut dengan sistem pengelolaan layanan keamanan dalam bagian TI. Kegiatan tersebut dilakukan kepada pihak yang memegang bidang TI. Dengan menggununakan metode ini dapat digunakan untuk mengetahui permasalahan yang ada pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. 3. Kuesioner Kuesioner dilakuakan sebagai pengukuran tingkat kapabilitas proses tata kelola yang mencakup tentang sistem pengelolaan layanan keamanan yang sedang berjalan pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. Proses pengambilan sampel kepada responden dilakukan sebanyak 30. Dalam melakukan kuesioner ini yaitu para staff yang terdapat pada RACI chart yang terdapat pada domain DSS Metode Analisis Analisis Tingkat Kapabilitas Analisis tingkat kapabilitas dalam penelitian ini mendapatkan hasil kuesioner yang terkait dengan sistem pengelolaan layanan keamanan pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. Dan hasil dari kuesioner tersebut memacu pada kerangka kerja COBIT dengan domain DSS05 dengan responden yang telah dipilih yaitu menggunakan RACI chart pada COBIT 5 dengan domain DSS05. Analisis kapabilitas akan diperhitungkan lewat hasil kuesioner.

34 Berikut perhitungan hasil kuesioner: 1. Proses Atribut (PA) mempunyai beberapa atribut dan penilaian yang harus terpenuhi 2. Kriteria penilaian dari kuesioner memiliki pencapaian 1 sampai 4 3. Skor yang dicapai disebut dengan penjumlahan dari setiap kriteria kuesioner 4. Hasil dari penjumlahan kemudian di rata-rata, hasil dari rata-rata kemudian dibagi dengan bobot maksimal jumlah, setelah itu dikalikan dengan 100% 5. Dari perhitungan tersebut akan memperoleh hasil akhir yang dapat dikategorikan sebagai berikut: a. N (Not Achieved) nilai antara 0% sampai dengan 15% b. P (Partially Achieved) nilai antara >15% sampai dengan 50% c. L (Largely Achieved) nilai antara >50% sampai dengan 85% d. F (Fully Achieved) nilai antara >85% sampai denga 100% Analisis Kesenjangan (Gap Analysis) Analisis tersebut dilakukan dengan cara mengidentifikasikan perbaikan yang akan melakukan proses peningkatan kapabilitas pada kerangka kerja COBIT 5. Dengan melakukan proses identifikasi tersebut untuk mengetahui tujuan sesuai tingkat kapabilitas yang diperoleh dari sistem yang saat ini sedang berjalan tingkat kapabilitas yang saat ini dituju dan hasil dari analisis kesenjangan ini merupakan sebuah saran untuk tata kelola TI yang terkait dengan sistem pengelolaan layanan keamanan pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara.

35 BAB 4 HASIL DAN PEMBAHASAN 4.1 Gambaran Umum Objek Penelitian 1. Sejarah Singkat Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara merupakan salah satu sektor pemerintahan yang telah menerapkan pemanfaatan teknologi informasi. Pengadaan barang/jasa secara elektronik akan meningkatkan transparansi dan akuntabilitas, meningkatkan akses pasar dan persaingan usaha yang sehat, memperbaiki tingkat efisiensi proses pengadaan, mendukung proses monitoring dan audit dan memenuhi kebutuhan akses informasi yang real time guna mewujudkan clean and good goverment dalam pengadaan barang/jasa pemerintah. Dasar hukum pembentukan LPSE adalah Pasal 111 Nomor 54 Tahun 2010 tentang pengadaan barang/jasa pemerintahan yang ketentuan teknis operasionalnya diatur oleh Peraturan Kepala LKPP Nomor 2 Tahun 2010 tentang Layanan Pengadaan Secara Elektronik. LPSE dalam menyelenggarakan sistem pelayanan pengadaan barang/jasa secara elektronik juga wajib memenuhi persyaratan sebagaimana yang ditentukan dalam Undang Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Layanan yang tersedia dalam Sistem Pengadaan secara elektronik saat ini adalah E- tendering yang ketentuan teknis operasionalnya diatur dengan Peraturan Kepala LKPP Nomor 1 Tahun 2011 tentang Tata Cara E-tendering. Selain itu LKPP juga menyediakan fasilitas Katalog Elektronik ( e-catalogue ) yang merupakan sistem informasi elektronik yang memuat daftar, jenis, spesifikasi teknis dan harga barang tetrtentu dari berbagai penyedia barang/jasa pemerintah, proses secara online (e-audit), dan tata cara pembelian barang/jasa memalui Katalog Elektronik (e-perchasing).

36 2. Visi, Misi dan Fungsi Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. a. Visi : Terwujudnya pelayanan transportasi komunikasi dan informatika yang aman, tertib, lancar dan terjangkau. b. Misi : 1) Memberikan pelayanan administratif yang efektif dan efisien menuju pelayanan prima penyelenggaraan transportasi. 2) Mewujudkan pelayanan transportasi darat yang handal untuk mendorong pengembangan potensi daerah. 3) Mengembangkan transportasi laut dengan mengoptimalkan pemanfaatan sumber daya. 4) Mengupayakan keterjangkauan informasi, komunikasi di seluruh wilayah Kabupaten Jepara. c. Fungsi : 1) Mengelola sistem E-Procurement. 2) Menyediakan pelatihan kepada Panitia Pengadaan dan Penyedia Barang/Jasa. 3) Menyediakan saranan akses internet bagi semua Satuan Kerja Perangkat Daerah (SKPD) dan Penyedia Barang/Jasa. 4) Menyediakan bantuan teknis sebagai pengoperasian sistem E- Procurement kepada SKPD dan Penyedia Barang/Jasa. 5) Melakukan pendaftaran dan verifikasi terhadap Panitia dan Penyedia Barang/Jasa

37 4.2 Hasil Studi Dokumen Berikut ini merupakan hasil studi dokumen terkait dengan tata kelola TI pada proses layanan keamanan informasi yang dilakukan pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Jepara. 1. Adanya dokumen prosedur, kebijakan dan layanan keamanan informasi pada SOP Kebijakan Layanan yang mengenai tentang kompetensi pengelola LPSE dalam hal keamanan informasi, proses keamanan, penggunaan format dokumen, pengkajian ulang secara berkala dalam kinerja kerja pengelolaan layanan keamanan informasi, penggunaan kata sandi, back-up terhadap segala informasi, serta pengamanan media penyimpanan utama. 2. Adanya prosedur gangguan layanan pada SOP Pengelolaan Gangguan dan pencatatan gangguan layanan Form Pencatatan Gangguan. 3. Adanya prosedur akses ruang server pada SOP Akses Ruang Server dan pencatatan akses pada Form Pencatatan Ruang Server. 4. Adanya prosedur back-up data pada SOP Back-up dan pencatatan pelaksanaan back-up pada Log Pelaksanaan Back-up. 5. Adanya kebijakan pengelola perangkat fisik seperti PC, media penyimpanan dan perangkat lunak lainnya. 6. Adanya kebijakan mengenai klasifikasi informasi pada SOP mengenai tingkat dokumen (rahasia, internal, publik), akses terhadap informasi tersebut serta contoh dari informasi tersebut. 7. Adanya dokumen penilaian pengelolaan keamanan informasi yang dilakukan, seperti keamanan operasional layanan pada LPSE tersebut. 8. Adanya prosedur fasilitas TI pada SOP Penggunaan Fasilitas dan pencatatan penggunaan fasilitas TI pada Form Pencatatan Penggunaan Fasilitas 9. Adanya hak akses jarak jauh pada SOP Pemberian Remote Akses dan pencatatan pemberian remote akses pada Form Pencatatan Pemberian Remote Akses. 10. Tidak adanya kebijakan terkait tentang metode dalam menentukan aplikasi yang diprioritaskan untuk diamankan.

38 11. Tidak adanya mengenai jaminan mutu terkait proses layanan keamanan informatika. 4.3 Struktur Organisasi Dinas Perhubungan, Komunikasi dan Informatika Gambar 4.1 Struktur Organisasi Dinas Perhubungan Komunikasi dan Informatika

39 4.4 Tugas Dan Wewenang 1. Kepala Dinas Mempunyai Tugas dan Tanggung Jawab yaitu: a. Merumuskan visi dan misi serta menetapkan Rencana Strategi (Renstra) dan Rencana Kerja (Renja) Dinas Perhubungan, Komunikasi dan Informatika. b. Merumuskan kebijakan teknis di bidang perhubungan, komunikasi dan informatika. c. Menyelaraskan dan mengarahkan pengelolaan keuangan serta urusan umum dan kepegawaian dinas. d. Menyelaraskan, mengawasi dan mengendalikan program dan kegiatan pada sekretariat dan berbagai bidang dibawahnya. e. Melaksanakan pengawasan, pengendalian dan pembinaan bidang perhubungan, komunikasi dan informatika. f. Melaksanakan pengawasan, pengendalian dan pembinaan terhadap pelaksanaan operasional tugas unit pelaksana teknis dinas (UPTD). g. Menyelenggarakan kegiatan bidang lalu lintas dan angkutan yang meliputi manajemen dan rekayasa lalu lintas, pembinaan dan pengelolaan angkutan. h. Menyelenggarakan kegiatan bidang teknik sarana dan prasarana yang meliputi pengujian kendaraan bermotor, pembinaan, perbengkelan dan perparkiran. i. Menyelenggarakan kegiatan bidang komunikasi dan informasi yang meliputi hubungan kelembagaan, pembinaan pers penerbitan dan media. j. Menyelenggarakan kegiatan bidang teknologi informatika yang meliputi pengembangan teknologi infomasi, pemeliharaan jaringan dan pengelolaan data elektronik. k. Memberikan pelayanan perizinan/non perizinan yang masih menjadi kewenangannya serta bertanggungjawab atas pengelolaan pendapatan yang bersumber dari retribusi baik yang sudah dilimpahkan kewenangannya kepada Badan Pelayanan Perizinan Terpadu maupun yang masih menjadi kewenangannya.