Seminar Nasional Teknologi Informasi dan Multimedia 2017 STMIK AMIKOM Yogyakarta, 4 Februari 2017 ISSN : 2302-3805 2.8-1 MODEL PENILAIAN RISIKO ASET TEKNOLOGI INFORMASI MENGGUNAKAN ISO 31000 DAN ISO/IEC 27001. STUDI KASUS : POLITEKNIK POS INDONESIA (POLTEKPOS) Roni Habibi 1) , Indra Firmansyah 2) 1) Teknik Informatika Politeknik Pos Indonesia Bandung 2) Akuntansi Keuangan Politeknik Pos Indonesia Bandung Jl Sariasih No 54 Bandung, 40151 Email : roni.habibi@poltekpos.ac.id 1) , indra_firmansyah@yahoo.com 2) Abstrak Risiko merupakan kemungkinan terjadinya keadaan dengan dampak yang merugikan bagi perusahaan, Unit SIM-Poltekpos merupakan aset penting yang dimiliki oleh Poltekpos yang bertugas memberikan layanan Teknologi Informasi (TI) dan terdapat beberapa permasalahan yang terjadi, terutama terkait dengan risiko terhadap aset TI (hardware, software, sistem informasi dan manusia). Kajian tersebut akan menjadi input untuk melakukan penilaian risiko dengan acuan kerangka kerja ISO 31000 dan identifikasi risiko dengan acuan ISO/IEC 27001. Hasil penelitian ini berupa model penilaian risiko yaitu dengan identifikasi konteks sampai dengan penanganan risiko. Penilaian risiko menghasilkan dampak dan frekuensi kejadian yang menggambarkan tingkat risiko yang termasuk risiko dengan kategori rendah, kategori menengah atau kategori tinggi, sehingga dapat menentukan prioritas untuk penanganan risiko dan dihasilkan bahwa risiko dengan kategori low terdapat 2 (dua), untuk kategori medium terdapat 11 (sebelas) dan terdapat 4 (empat) risiko yang termasuk kategori high atau kritis. Kata kunci: ISO 31000, ISO/IEC 27001, Model Penilaian Risiko, Penilaian Risiko, SIM-Poltekpos 1. Pendahuluan Pemanfaatan teknologi informasi (TI) saat ini menjadi suatu kebutuhan yang hampir tidak bisa dilepas dari aktivitas sehari-hari, baik itu kebutuhan personal maupun kebutuhan bagi organisasi atau perusahaan. Institusi Perguruan Tinggi (PT) merupakan sebuah institusi yang memiliki tugas memberikan layanan kepada mahasiswa dan masyarakat untuk menyiapkan Sumber Daya Manusia (SDM) yang berkualitas, berdaya saing tinggi serta berdaya guna. Penggunaan TI PT merupakan upaya yang sudah seharusnya dilakukan. Di samping akan kebutuhan TI, PT juga menghadapi beragam risiko yang dapat mempengaruhi secara positif ataupun negatif terhadap pencapaian tujuannya. Risiko yang timbul adalah risiko keamanan terhadap aset TI (hardware, software, sistem informasi dan manusia), dimana aset TI menjadi suatu yang penting yang harus tetap tersedia, dapat digunakan serta selalu terjaga keberadaannya dari pihak yang tidak berwenang yang akan menggunakannya untuk kepentingan tertentu atau akan merusak informasi tersebut. TI merupakan sebuah aset penting bagi organisasi yang perlu dilindungi oleh perusahaan dan organisasinya [1]. Keamanan aset TI tidak hanya berdasarkan pada tools atau teknologi keamanan informasi, melainkan perlu adanya pemahaman dari organisasi untuk menentukan secara tepat solusi yang dapat menangani permasalahan tersebut. Untuk meminimalisasi risiko tersebut di atas, maka diperlukan penilaian risiko sebagai langkah awal dalam melakukan manajemen risiko. Penilaian risiko ini perlu dilakukan secara komprehensif sehingga kemungkinan terjadinya risiko dapat diketahui. Pada penelitian ini ditujukan untuk membuat model penilaian risiko aset teknologi informasi dengan menggunakan kerangka kerja ISO 31000 dan untuk identifikasi nya memanfaatkan kerangka kerja ISO/IEC 27001 yaitu untuk mengidentifikasi risiko dari beberapa kriteria aset TI, analisis risiko, evaluasi risiko dan penanganan risiko. Model penilaian risiko yang dirancang dalam penelitian ini akan diuji pada studi kasus di Politeknik Pos Indonesia (Poltekpos). Penelitian ini terinisiasi dari beberapa penelitian sebelumnya yang saling terkait sebagai bahan acuan. Dalam pengelolaan risiko arsitektur yang dirancang meliputi tiga komponen, mereka adalah prinsip-prinsip manajemen risiko TI, identifikasi risiko dan analisis IT, Pemeriksaan kerangka manajemen risiko TI dihasilkan sesuai dengan kebutuhan perusahaan yang bergerak di industri telekomunikasi dan telah mengintegrasikan risiko TI dengan ERM. Hal utama dalam pengembangan kerangka kerja manajemen risiko TI adalah adanya pengendalian internal sebagai peran kunci dalam Enterprise Risk Management.[2]. Keberhasilan imlementasi manajemen risiko terkait dengan kemampuan sebuah organisasi dalam pengelolaan terhadap risiko TI setelah implementasi proses manajemen risiko sebelumnya. [3] Evaluasi keberhasilan terhadap manajemen risiko yang sudah dilakukan tentang kematangan kondisi ideal dari manajemen risiko. [4] Dalam implementasi manajemen risiko disesuaikan dengan kondisi sebuah institusi dengan penggabungan