JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
Analisis Risiko Website Sistem Keamanan Informasi Menggunakan Metode Fmea dan Framework ISO/IEC 27002:2022 Diterima:
21 Mei 2025 Maha Shelin Sahira.
Rini Indriati.
Aidina Ristyawan Revisi:
Universitas Nusantara PGRI Kediri 21 Juni 2025 Terbit:
30 Juni 2025 Abstrak Ai Latar Belakang: Keamanan informasi digital menjadi isu penting di era serangan siber yang semakin meningkat.
Website RadarKediri.
id sebagai portal berita lokal juga rentan terhadap berbagai ancaman keamanan.
Penelitian ini bertujuan untuk mengidentifikasi dan menganalisis potensi risiko keamanan informasi yang ada.
Tujuan: Untuk mengetahui risiko-risiko keamanan informasi pada website RadarKediri.
id dan memberikan rekomendasi pengendalian risiko berdasarkan standar internasional.
Metode: Penelitian ini merupakan studi kualitatif yang menggunakan metode Failure Mode and Effect Analysis (FMEA) untuk analisis risiko serta framework ISO/IEC 27002:2022 untuk evaluasi kontrol Hasil: Ditemukan dua risiko dengan tingkat tinggi, enam risiko sedang, dan dua risiko sangat Evaluasi efektivitas kontrol berdasarkan 37 kontrol ISO/IEC 27002:2022 menghasilkan skor sebesar 74%, yang masuk kategori "kurang baik, perlu perbaikan".
Aspek yang paling memerlukan peningkatan adalah backup data, pemantauan log aktivitas, dan pengendalian hak akses.
Kesimpulan:
Sistem keamanan informasi pada RadarKediri.
id masih memiliki kelemahan yang signifikan.
Kombinasi metode FMEA dan standar ISO/IEC 27002:2022 terbukti efektif dalam mengidentifikasi celah dan memberikan arahan perbaikan.
Penelitian selanjutnya disarankan untuk menerapkan kontrol secara langsung dan mengukur dampaknya secara kuantitatif.
Kata kunci: FMEA.
ISO/IEC 27002:2022.
Keamanan Informasi.
Analisis Risiko Abstract Ai Background:Digital information security has become a crucial issue amid the rising number of cyberattacks.
The website RadarKediri.
id, as a local news portal, is also vulnerable to various security This study aims to identify and analyze potential information security risks.
Objective: To identify information security risks on the RadarKediri.
id website and provide risk control recommendations based on international standards.
Method: This is a qualitative study using the Failure Mode and Effect Analysis (FMEA) method for risk analysis and the ISO/IEC 27002:2022 framework for evaluating security controls.
Results:The analysis found two high-level risks, six medium-level risks, and two very low-level risks.
The evaluation of control effectiveness based on 37 ISO/IEC 27002:2022 controls yielded a score of 74%, which falls into the category of "poor, needs improvement.
" The most critical areas for improvement are data backup, activity log monitoring, and access rights control.
Conclusion: The information security system on RadarKediri.
id still has significant weaknesses.
The combination of FMEA and the ISO/IEC 27002:2022 standard proved effective in identifying gaps and providing recommendations for Future research is recommended to implement the proposed controls and quantitatively assess their impact.
Keywords: FMEA.
ISO/IEC 27002:2022.
Information Security.
Risk Analysis This is an open access article under the CC BY-SA License.
Penulis Korespondensi:
Maha Shelin Sahira.
Sistem Informasi.
Universitas Nusantara PGRI Kediri.
Email: shellinsahira@gmail.
JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
PENDAHULUAN
Dalam era digital yang semakin berkembang, informasi telah menjadi salah satu aset penting bagi organisasi.
Keamanan informasi tidak hanya berkaitan dengan perlindungan data dari akses yang tidak sah, tetapi juga mencakup upaya untuk menjaga keberlangsungan operasional organisasi dari ancaman internal maupun eksternal.
Risiko yang berkaitan dengan sistem informasi dapat berasal dari berbagai faktor, seperti serangan siber, kesalahan manusia, maupun kegagalan teknologi, yang dapat mengakibatkan kerugian signifikan apabila tidak dikelola dengan baik .
Pengukuran risiko pada keamanan informasi memiliki peran penting dalam menjaga keberlangsungan operasional sistem informasi dengan cara mengidentifikasi, menganalisis, dan mengklasifikasikan berdasarkan tingkat dampak keparahan risiko terhadap keberlangsungan operasional dampak keparahan risiko .
Namun, hingga saat ini belum ditemukan penelitian yang secara spesifik mengkaji risiko keamanan informasi pada website RadarKediri.
id menggunakan pendekatan gabungan FMEA dan ISO/IEC 27002:2022.
Perbedaan penelitian ini dengan penelitian sebelumnya adalah penggunaan kombinasi metode FMEA dan framework ISO/IEC 27002:2022 dalam konteks sistem keamanan informasi (RadarKediri.
yang belum pernah dikaji secara menyeluruh.
Tujuan penelitian ini adalah untuk mengidentifikasi, menganalisis, dan mengevaluasi risiko keamanan informasi pada website RadarKediri.
id serta memberikan rekomendasi mitigasi berdasarkan framework ISO/IEC 27002:2022.
Dampak kegagalan sistem dapat menghambat keberlangsungan operasional berpotensi menimbulkan kerugian yang signifikan, .
upaya ini difokuskan pada kegagalan sistem diperusahaan Radar Kediri yang sebelumnya website belum pernah dilakukan penelitian terhadap analisis terjadinya kegagalan sistem.
dengan penerapkan proses identifikasi dan pegendalian risiko secara lebih sistematis dapat diperlukan pendekatan penilaian risiko yag struktur seperti metode FMEA .
ailure mode and effect analysi.
yang dapat mengukur tingkat keparahan, kemukinan terjadinya risiko dan deteksi dari setiap potensi kegagalan sistem.
dari hasil penilaian yang diperoleh dapat digunakan sebagai dasar dalam merumuskan rekomendasi pengendalian keamanan dengan kode praktik pada framework ISO/IEC 27002:2022 sebagai bahan rekomendasi pengendalian risiko .
JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
II.
METODE
Pada bagian ini berisi penjelasan tentang jenis penelitian/desain penelitian.
Gambar 1.
Metode Penelitian Gambar 1.
Menjelaskan tentang metode penelitian yang digunakan dalam mengidentifikasi keamanan sistem informasi.
Tujuannya untuk menganalisis sebagaimana website terdampak pada kebocoran sistem.
Berikut adalah penjelasan dari alur kinerja metode penelitian.
II.
1 Studi Literatur Mengkaji teori-teori, metode yang akan digunakan dan standar prosedur yang relevan dalam penelitian seperti langkah-langkah penyelesaian risiko dalam sebuah website yang bertujuan agar memiliki landasan yang lebih terperinci dan sistematis II.
2 Identifikasi Masalah Tahapan ini menentukan permasalaahan yang akan di analisis dalam penelitian yang bertujuan untuk menemukan dan merumuskan masalah yang akan diselesaikan.
Pada tahap identifikasi masalah ini peneliti dapat menguraikan masalah berdasarkan kuisioner, observasi dan wawancara.
II.
3 Pengumpulan Data Observasi Observasi adalah metode pengumpulan data yang dilakukan dengan cara mengamati langsung objek yang sedang diteliti.
Peneliti mencatat aktivitas atau kondisi tertentu tanpa intervensi langsung sehingga data dapat diperoleh secara alami dnegan situasi kejadian yang sebenarnya.
Wawancara Wawancara adalah suatu teknik pengumpulan data yang dilakukan melalui interaksi antara peneliti dan responden.
Dengan tujuan untuk menemukan suatu informasi, pendapat, dan pengalaman lebih mendalam tentang pertanyaan yang akan disampaikan peneliti.
Kuisioner JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
Kuisioner merupakan teknik pengumpulan data informasi untuk menganalisis proses terjadinya risiko dalam suatu organisasi yang bisa berpengaruh oleh sistem terkait data kuisioner yang diajukan.
II.
4 Identifikasi risiko Metode FMEA Metode FMEA .
ailure mode and effect analysi.
merupakan metode terstruktur untuk mengidentifikasi dan menghindari mode kegagalan.
Dampak yang terjadi menggunakan skala prioritas.
FMEA bertujuan untuk mengkaji suatu proses guna mengidentifikasi kemungkinan terjadinya kegagalan, menganalisis dampak timbul, serta probabilitas terjadinya kegagalan sistem .
Framework ISO/IEC 27002:2022 ISO/IEC 27002 merupkan dokumen yang disetujui sebagai panduan praktik dalam penerapan kontrol keamanan informasi.
Tujuannya sebagai kontrol organisasi yang dapat melaksanakan langkah-langkah perlindungan yang efektif untuk mencapai sasaran ISO/IEC 27001.
Panduan ini juga dapat dijadikan acuan dalam melakukan analisis mengenai kontrol yang diterapkan.
Namun, karena bersifat sebagai pedoman.
ISO/IEC 27002 tidak dapat digunakan sebagai dasar sertifikasi II.
5 Penilaian risiko Penilaian risiko dilakukan setelah penyebaran kuesioner menggunakan metode FMEA:
dampak keparahan .
, kemungkinan kejadian .
, dan kemampuan deteksi .
untuk menentukan tingkat prioritas risiko (RPN) setiap kegagalan sistem, menggunakan rumus RPN = Dampak Keparahan (S) x Kejadian(O) x Deteksi(D).
Skala Risiko Severity Tabel 2.
1 Severity Tingkat Keparahan Severity Berbahaya tanpa Berbahaya dengan Sangat parah Parah Deskripsi Kegagalan total pada sistem yang menimbulkan dampak berbahaya Kegagalan sistem yang menyebabkan risiko tinggi yang masih bisa terdeteksi Sistem mengalami kegagalan total dan tidak dapat berfungsi Sistem masih dapat berjalan, tetapi terdeteksi gangguan yang signifikan JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
Sedang Menengah Rendah Sangat rendah Kecil kemungkinan Tidak berpengaruh Sistem dapat beroperasi, namun terdapat penurunan peforma yang berdampak pada Kinerja menurun secara bertahap, namun tidak mengganggu fungsi utama Dampak kegagalan tidak terlalu signifikan, hanya mengurangi peforma Dampak kegagalan kinerja sistem tergolong kecil Dampak kegagalan sangat kecil, dan hamper tidak berpengaruh pada sistem Tidak ada pengaruh kegagalan terhadap kinerja sistem Skala Risiko Occurance Tabel 2.
2 Occurance Tingkat Keparahan Occurance Deskripsi
10 - 9
Sangat tinggi Kegagalan sering terjadi Tinggi Gangguan muncul berulang dalam jangka waktu tertentu Jarang terjadi kegagalan Sangat rendah Kemungkinan terjadi kegagalan sangat Tidak berpengaruh Hampir tidak mengalami kegagalan Skala Risiko Detection Tabel 2.
3 Detection Tingkat Keparahan Tidak terdeteksi Hampir tidak Sangat rendah Rendah terdeteksi Sedang kemungkinan Detection Cukup tinggi Tinggi terdeteksi Deskripsi Risiko habis tidak bisa ditemukan Sangat sulit menemukan risiko Risiko sulit terdeteksi Sistem deteksi lemah, atau tidak dapat mengenali sebagian jenis kegagalan.
Deteksi hanya dilakukan pada sampel, bukan menyeluruh, sehingga ada risiko kegagalan tidak terdeteksi dan tetap lolos Ada prosedur deteksi, tetapi tidak 100% akurat atau tidak dilakukan secara rutin.
Risiko cukup mudah terdeteksi/ditemukan JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
Sangat tinggi Sangat mungkin Sangat terdeteksi Risiko mudah ditemukan dengan Deteksi risiko hampir selalu berhasil melalui sistem kontrol yang kuat dan rutin pemeriksaan manual.
Sistem deteksi hampir selalu menemukan Ada kontrol otomatis, pengujian 100% sehingga kegagalan tidak terdeteksi sangat kecil.
II.
6 Rekomendasi risiko Rekomendasi risiko menggunakan prosedur Framework ISO/IEC 27002:2022 dengan menggunakan klausa yaitu Keamanan informasi.
framework iso/iec 27002:2022 tentang struktur standar iso/iec yang memiliki 4 klausa dari setiap klausa memiliki beberapa kontrol keamanan kebutuhan untuk keamanan informasi.
HASIL DAN PEMBAHASAN
Pengukuran risiko terhadap keamanan informasi ini dilakukan dengan menggunakan metode FMEA dihitung antara probabilitas tingkat Severity (S).
Occurrence (O).
Detection (D) yaitu RPN (Risk Priority Numbe.
= S y O y D yang akan dievaluasi dengan menggunakan 10 point skala
RPN
Tabel 3.
1 Skala RPN
Level Risiko
Skala Nilai RPN
Deskripsi
Sangat rendah
X < 50
Risiko dapat diterima Rendah
50 O X < 100
Perlu pemantauan ringan Sedang 100 O X < 150 Perlu tindakan secara berkala Tinggi 150 O X < 250 Perlu tindakan migrasi segera Sangat tinggi X Ou 250 Harus ditangani sesegera mungkin Daftar potensi kegagalan dalam bentuk pengumpulan data dari skala RPN frekuensi kejadian (Occuranc.
, penentuan ringkat keparahan .
, serta mengidentifikasi peyebab kejadian(Detectio.
dan penvegahan dari masing-masing mode kegagalan.
metode ini sebagai tolak ukur untuk memnentukan prioritas dampak kegagalan sistem yang akan ditindaklanjuti.
Tabel 3.
2 Daftar Risiko
NS NO ND RPN
Level Risiko Server dan website dikelola oleh tim teknis yang kurang memahami keamanan siber Tinggi Belum pernah dilakukan audit pada keamanan Backup hanya dilakukan secara manual dan tidak otomatis, serta hanya Potensi Risiko Penyebab Risiko Terdapat peretasan pada server dan Audit keamanan tidak terdokumentasi dan tidak ditindaklanjuti Data backup tidak tersedia pada saat sistem rusak JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 Tinggi Sedang JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
disimpan dilokasi yang sama dengan server utama Belum diterapkan sistem Aktivitas pemrosesan log yang 4 mencurigakan tidak 140 Sedang mendukung deteksi terhadap dapat terdeteksi aktifikas yang mencurigakan.
Aset server rusak terjadi Rusaknya aset server karena bencana alam, 128 Sedang kesalahan operasional Perubahan berita Tidak adanya kebijakan atau 6 penting atau login prosedur pencatatan log 120 Sedang tidak tercatat aktivitas penting Penetapan dan pembuangan Kebocoran data atau aset tidak sesuai dengan 7 aset yang tidak 112 Sedang prosedur, maka keboran data terpakai/rusak bisa terjadi User dan password hak akses Terjadikan kesalahan dibagikan kepada orang lain hak akses pada data tanpa sepengetahuan pihak 100 Sedang yang tersimpan pada IT dalam pemberian hak ruang penyimpanan Website tidak dapat Website tidak memiliki Sangat 9 diakses terjadi cadangan sistem jika server utama bermasalah.
Tidak memiliki staf Kurangnya tenaga staf pada Sangat 10 pada bidang IT bidang IT khususnya Pada temuan dari daftar risiko untuk melakukan rekomendasi pengananan yaitu terdapat 2 level tinggi, dan 6 level sedang.
Setelah melakukan pemetaan pada risiko keamanan website menggunakan prosedur ISO/IEC 27002:2022, langkah selanjutnya yaitu rekomendasi penentuan untuk menanggani risiko-risiko yang sudah terjadi dengan menggunakan kontrol ISO/IEC 27002:2022 Tabel 3.
3 Rekomendasi ISO/IEC 27002:2022 Potensi
Terdapat pada server
dan website Audit
Penyebab Server dan dikelola oleh tim teknis yang Belum pernah dilakukan audit
pada keamanan Kontrol
ISO/IEC
27002:2022
Rekomendasi penanganan risiko 7 Threat Intelligence A Melakukan monitoring server dan website secara aktif A Memperbarui kebijakan keamanan informasi, dan melakukan audit keamanan Independent Review of A Membentuk tim audit internal atau menggunakan auditor eksternal independen.
RPN JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
Data pada saat Aktivitas an tidak Kebocoran data atau aset yang Rusaknya aset server Information Security Backup secara manual, serta disimpan dilokasi yang sama dengan server utama Belum log yang aktifikas yang Penetapan aset tidak sesuai dengan prosedur, maka keboran data bia terjadi Aset server rusak terjadi karena bencana Tidak adanya kebijakan atau pencatatan log A Mendokumentasikan / melaporan semua hasil audit, menetapkan rencana perbaikan.
Information Backup A Mengimplementasikan sistem backup otomatis dengan penyimpanan offsite/cloud A Melakukan pengujian pemulihan data secara berkala sesuai kebijakan backup secara rutin.
Monitoring 28 Secure Coding A Melakukan implementasi SIEM(Security Information and Event Managemen.
untuk A Menerapkan prosedur audit log terkait monitoring, pelaporan 14 Ae Secure Disposal or Re-use of Equipment Menerapkan secure coding dan melakukan code review untuk menghindari kelemahan pada kode 5 Ae Protecting physical and al threats A Melakukan wiping data menggunakan tools standar A Membuat kebijakan formal untuk disposal dan reuse perangkat TI.
Perubahan Membuat kebijakan internal yang 15 Ae mewajibkan pencatatan dan atau login penyimpanan log minimal selama Logging 3Ae6 bulan.
Terjadikan User dan A Batasi akses dari perangkat, password hak 15 Ae hak akses implementasikan otentikasi dua Access pada data faktor untuk login Control 8 yang A Memverifikasi bahwa tingkat kepada orang 18 Ae akses yang diberikan sesuai lain tanpa Access pada ruang dengan kebijakan topik-spesifik Rights tentang kontrol akses pihak IT Hasil temuan penelitian ini mencakup dalam proses perencanaan stategi yang terdapat evaluasi hasil kinerja untuk mengidentifikasi risiko.
Tabel 3.
4 Hasil Temuan JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
Kontrol organisasi 7 Threat Intelligence 35 Independent review information security 13 Information Backup 28 Secure Code 16 Monitoring 14 Secure Disposal or Re-use of Equipment 5 Protecting against physical and environmental threats 15 Access Control 18 Access Rights 15 Ae Logging 1 2 3 4 5 ue ue ue ue ue ue ue ue ue ue Keterangan :
1 = Sudah tersedia dan berjalan dengan baik 2 = Sudah tersedia, tetapi penerapannya belum konsisten 3 = Sudah tersedia, namun masih dalam perbaikan 4 = Belum tersedia, tetapi telah masuk dalam rencana 5 = Belum tersedia dan belum direncanakan Rumus presense kontrol :
ycyycyceycyceycuycyce ycycycoycoycaEa ycycoycuyc ycaycoycycycayco ycycycoycoycaEa ycycoycuyc ycoycaycoycycnycoycayco ycU 100 Perhitungan :
y 100 = 74% Hasil dari presense hasil temuan :
1 Ae 30% = Sangat Baik 31 Ae 60% = Baik, namun perlu peningkatan 61 Ae 85% = Kurang baik, perlu perbaikan 86 Ae 100% = Sangat buruk, perlu perhatian khusus Pada hasil diatas yaitu Au74%Ay yang dinyatakan Aukurang baik, perlu perbaikanAy.
Dapat disimpulkan bahwa dari hasil penilaian risiko, mengevaluasi tingkat keparahan risiko sampai merekomendasikan menggunakan kontrol ISO/IEC 27002:2022.
Pada website RadarKediri.
masih membutuhkan audit untuk mengevaluasi segala risiko yang terjadi dan monitoring sistem secara berkala untuk menjaga keamanan berkelanjutan.
JSITIK: Jurnal Sistem Informasi dan Teknologi Informasi Komputer | Hal:128-138 JSITIK.
Vol.
3 No.
2 Juni 2025 ISSN: 2986-0458 (Prin.
/ 2986-044X (Onlin.
DOI: https://doi.
org/10.
53624/jsitik.
IV.
KESIMPULAN
Kesimpulan peneliti untuk website RadarKediri.
id masih memiliki kelemahan dalam aspek keamanan karena terdapat temuan belum pernah dilakukan audit keamanan website.
Hal ini dapat diungkap melalui proses observasi, wawancara dan kuisioner yang digunakan untuk mengidentifikasi risiko.
Menggunakan metode FMEA (Failure Mode And Effect Analysi.
menunjukan bahwa ditemukan 2 resiko level tinggi, 6 risiko level sedang dan 2 reisiko levek sangat rendah artinya sistem masih rentan terdahap gangguan dan perlu pengananan.
Untuk penanganan risiko peneliti menggunakan rekomendasi dari Framework ISO/IEC 27002:2022 dari rekomendasi hasil temuan kini tercapai 74% tingkatan, penerapan kontrol masih belum optimal dan perlu ditingkatkan.
Dengan menggabungkan metode FMEA dan ISO/IEC 27002:2022, sistem
keamanan dapat diperkuat secara terstruktur DAFTAR PUSTAKA