Website Document Management System (DMS) yang menyimpan dokumen sensitif seperti rekaman ISMS dan risk register kini menjadi infrastruktur inti operasional di banyak organisasi, namun eksposur risikonya terhadap aspek kerahasiaan, integritas, dan ketersediaan belum banyak diteliti secara teknis. Penelitian ini bertujuan untuk menganalisis risiko keamanan informasi pada Website DMS perusahaan menggunakan ISO/IEC 27005:2022 sebagai kerangka penilaian risiko dan ISO/IEC 27001:2022 Annex A sebagai acuan pemetaan kontrol. Penelitian berbasis standar sebelumnya umumnya mengandalkan wawancara atau kuesioner, tidak menyasar DMS dengan sensitivitas aset tinggi, dan menggunakan versi ISO pra-2022, sehingga temuan teknisnya sulit diverifikasi. Data dikumpulkan melalui wawancara terstruktur 18 pertanyaan kepada tiga peran pengelola sistem, observasi antarmuka aplikasi, dan validasi teknis non-invasif menggunakan SecurityHeaders.com serta inspeksi Response Header. Dari enam kategori aset dan sepuluh risiko berbasis CIA, lima dikategorikan tinggi (skor 12–15), empat sedang (skor 6–10), dan satu rendah. Validasi teknis mengungkap tiga temuan: inkonsistensi RBAC antara lapisan frontend dan backend sesuai OWASP A01:2021, kegagalan implementasi Security Header dengan grade F sesuai OWASP A05:2021, serta eksposur versi server nginx/1.18.0 pada Response Header. Pemetaan ke Annex A menghasilkan lima rekomendasi pengendalian mencakup kontrol 5.15, 8.5, 8.9, 8.13, serta 5.30 dan 8.14. Penelitian ini menunjukkan bahwa validasi teknis dapat diintegrasikan ke dalam alur ISO/IEC 27005:2022 untuk menghasilkan temuan yang lebih dapat diverifikasi dibandingkan pendekatan berbasis survei pada konteks DMS. Implikasi metodologisnya adalah potensi adopsi validasi teknis non-invasif sebagai bagian standar penilaian risiko pada sistem informasi sensitif serupa.
Copyrights © 2026