Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR).

Transkripsi

1 IDENTIFIKASI, PENILAIAN, DAN MITIGASI RISIKO KEAMANAN INFORMASI PADA SISTEM ELECTRONIC MEDICAL RECORD (STUDI KASUS : APLIKASI HEALTHY PLUS MODUL REKAM MEDIS DI RSU HAJI SURABAYA) Dea Anjani 1), Dr. Apol Pribadi Subriadi, S.T, M.T 2) Anisah Hediyanti, S.Kom, M.Sc 3) Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya Indonesia deaanjani28@gmail.com 1), apolpribadi@gmail.com 2) anisah.herdiyanti@gmail.com 3) ABSTRAK Rumah Sakit Umum Haji adalah institusi sarana pelayanan kesehatan milik Pemerintah Provinsi Jawa Timur yang tidak tidak hanya berfungsi sosial, tetapi telah berkembang menjadi unit pelayanan kesehatan yang harus bisa mengoptimalkan penndapatannya dengan jalan meningkatkan dan mengembangkan jenis-jenis pelayanan yang optimal sesuai dengan kebutuhan masyarakat. Untuk mencapai tujuan dan melaksanakan fungsi Rumah Sakit Umum Haji, diperlukan adanya suatu manajemen risiko untuk mengarahkan dan mengendalikan organisasi dalam mengelola risiko yang mungkin terjadi. Rumah Sakit Umum Haji telah mengimplementasikan Teknologi Informasi sebagai pendukung keberlangsungan bisnisnya. Implementasi Teknologi Informasi(TI) di Rumah Sakit Umum Haji selain memberikan keuntungan juga menimbulkan berbagai ancaman timbulnya risiko. Tujuan dari penelitian ini adalah untuk mengidentifikasi, menilai dan memitigasi risiko yang berkaitan dengan aplikasi healthty plus yang merupakan Electronic Medical Record (EMR) system yang digunakan Rumah Sakit Umum Haji berdasarkan metode OCTAVE. Dalam perjalanannya, penerapan rekam medis elektronik tentu saja mempunyai beberapa permasalahan dan hambatan yang menyebabkan proses bisnis rumah sakit menjadi terganggu. Metode analisis risiko yang digunakan dalam tugas akhir ini adalah metode octave yang merupakan metodologi yang berfungsi untuk meningkatkan proses pengambilan keputusan terhadap perlindungan dan pengelolaan sumberdaya di suatu informasi berdasarkan penilaian risiko. Kontribusi tugas akhir ini berfokus pada memberikan solusi penanganan risiko yang mungkin terjadi pada aplikasi healthy plus yang digunakan di RSU Haji Surabaya. Harapan dari penelitian tugas akhir adalah mampu menghasilkan sebuah dokumen mitigasi risiko untuk aplikasi healthty plus yang dapat digunakan sebagai pedoman dalam menangani permasalahan yang terjadi pada EMR Sistem di Rumah Sakit Umum Haji Surabaya. Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR). 1. PENDAHULUAN Teknologi informasi merupakan bagian yang tidak terpisahkan dari suatu perusahaan karena dapat membantu meningkatkan efektifitas dan efisiensi proses bisnis perusahaan. Tetapi untuk mencapai hal tersebut, diperlukan adanya pengelolaan TI yang baik dan benar agar keberadaan TI mampu menunjang kesuksesan organisasi dalam pencapaian tujuannya. Begitu pula dengan sektor kesehatan, rumah sakit sebagai penyelenggara layanan kesehatan bertumpu pada informasi. Oleh karena itu rumah sakit menggunakan TI untuk mengelola informasi yang didapatkan dari pasien dan menyajikan informasi untuk pasien dalam bentuk rekam medis elektronik. Salah satu rumah sakit yang menggunakan teknologi informasi sebagai pendukung keberlangsungan bisnis adalah Rumah Sakit Umum Haji Surabaya. RSU Haji Surabaya menggunakan TI untuk mengelola informasi yang didapatkan dari pasien dan menyajikan informasi untuk pasien dalam bentuk rekam medis. RSU Haji Surabaya menggunakan dua sistem rekam medis yaitu rekam medis dalam bentuk dokumen tertulis dan dalam bentuk aplikasi yaitu healthty plus. Data-data kesehatan yang terdapat di dokumen rekam medis diinputkan ke dalam rekam medis elektronik. Hal ini tentunya akan menyebabkan ketidakkonsistenan data dan data menjadi tidak lengkap, karena belum tentu semua data-data penting terkait pasien yang terdapat di dalam dokumen rekam medis juga ada pada rekam medis elektronik. Dalam perjalanannya, penerapan rekam medis elektronik tentu saja mempunyai beberapa permasalahan dan hambatan yang menyebabkan proses bisnis rumah sakit menjadi terganggu. Misalnya, data loss, data corrupt dan penyalahgunaan hak akses. Hal ini tentunya akan menyebabkan data-data penting terkait pasien hilang dan dapat disalah gunakan oleh pihak yang tidak bertanggungjawab yang dapat mencoreng nama baik RSU Haji Surabaya. Rekam medis elektronik juga dapat menjadi masalah bagi dokumen rekam medis karena ada kemungkinan ketidak-konsistenan data dan ketidaklengkapan data. Adanya kemungkinan munculnya permasalahan-permasalahan terkait penerapan teknologi informasi itulah yang mendasari pentingnya analisis risiko terkait penerapan teknologi informasi di RSU Haji Surabaya. Dengan melakukan analisis risiko-risiko TI di RSU Haji Surabaya, pihak rumah sakit dapat mengetahui risiko-risiko apa saja yang mungkin akan dihadapi di kemudian hari. Dengan mengetahui risiko-risiko tersebut, pihak rumah sakit dapat membuat langkah-langkah penanganan terhadap masing-masing risiko. Selain itu, pihak rumah sakit akan lebih siap dalam menghadapi dampak yang muncul apabila risiko tersebut terjadi. Oleh karena itu tujuan dari penelitian ini adalah untuk melakukan identifikasi risiko yang dapat terjadi di Rumah Sakit Umum Haji Surabaya terkait dengan aset TI yang digunakan dalam system Electronic Medical Record (EMR)

2 dan memberikan masukan atau rekomendasi kepada pihak rumah sakit bagaimana langkah mitigasi risiko yang tepat sesuai dengan hasil identifikasi risiko yang akan muncul terkait system EMR di Rumah Sakit Umum Haji Surabaya. Harapan dari penelitian tugas akhir ini adalah mampu menghasilkan sebuah dokumen mitigasi risiko untuk Electronic Medical Record (EMR) yang dapat digunakan sebagai pedoman dalam menangani permasalahan yang terjadi pada EMR di Rumah Sakit Umum Haji Surabaya sehingga dapat dipastikan teknologi informasi memberikan nilai bisnis dan mendukung tujuan rumah sakit. 2. TINJAUAN PUSTAKA 2.1 Risiko Risiko dalam TI merupakan sebuah ancaman yang diberikan yang akan mengeksploitasi kerentanan dari aset atau kumpulan aset. Hal ini dapat menyebabkan kerusakan dari organisasi. [4] Pengukuran Risiko TI ini dilakukan berdasarkan kombinasi probabilitas dan dampaknya Diagram fishbone Fishbone adalah alat (tool) yang menggambarkan sebuah cara yang sistematis dalam memandang berbagai dampak dan penyebab yang berkontribusi dalam berbagai dampak tersebut. Dalam penelitian ini, diagram fishbone digunakan untuk mempertimbangan risiko dari berbagai penyebab dan sub penyebab dari dampak tersebut, termasuk risikonya secara global. 2.3 Risk Breakdown Structure (RBS) Risk Breakdown Structure adalah suatu aktifitas pengelompokkan risiko ke dalam suatu komposisi hirarki risiko organisasi yang sistematis dan tersturktur sesuai dengan struktur organisasi atau proyek. Dalam tugas akhir ini, RBS digunakan untuk mengelompokan risiko berdasarkan akar permasalahannya ataupun berdasarkan kategori yang dianggap penting dapat membantu meningkatkan efektivitas penaggulangan resiko. 2.4 Metode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) OCTAVE adalah metodologi untuk mengidentifikasi, memprioritaskan, dan mengelola risiko keamanan informasi. OCTAVE memiliki 3 tahap dalam melakukan evaluasi risiko, dan berikut merupakan gambarannya serta penjelasannya : [7] Gambar 2. 4 Tahapan OCTAVE [7] 1. Fase 1 Build Asset-Based Threat Profiles Fase ini merupakan tahapan untuk membuat profil ancaman (threat profile) dengan cara menentukan aset yang penting bagi organisasi dan kebutuhan pengamanannya. Penentuan aset yang penting dilakukan melalui pengumpulan informasi tentang aset, kebutuhan keamanan, ancaman, dan kekuatan serta kelemahan organisasi dari beberapa tingkatan manajemen mulai dari senior manajer, operasional, sampai dengan staf. Hasil dari fase ini adalah pendefinisian kebutuhan keamanan informasi 2. Fase 2 Identify Infrastructure Vulnerabilities Fase ini melihat vulnerability secara teknis yang terjadi pada aset kritis dan komponen infrastruktur yang mendukung aset tersebut. 3. Fase 3 Develop Security Strategy and Plans Pada proses ini melibatkan pengembangan, pengkajian dan penerimaan strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk risiko terhadap critical asset. 2.5 Metode FMEA ( Modes and Effect Analysis) FMEA ( Modes and Effect Analysis) merupakan suatu metode yang digunakan untuk mengidentifikasi dan menganalisa suatu kegagalan beserta akibatnya. Kegagalan digolongkan berdasarkan dampak yang diberikan terhadap kesuksesan suatu misi dari sebuah system. Tahapan dari penilaian menggunakan FMEA adalah sebagai berikut: 1. Identifikasi sistem dan elemen sistem. 2. Mengidentifikasi kegagalan dan efeknya 3. Menentukan tingkat keparahan efek dari suatu kegagalan (Severity) Rank Effect Severity of Effect 10 Catastrophic/ Dangerous High Sumber daya tidak tersedia dan kegagalan tidak dapat dikendalikan atau kegagalan dapat melukai staff atau pelanggan 9 Extremly High Sumber daya tidak tersedia, tetapi kegagalan dapat dikendalikan atau kegagalan menyebabkan proses bisnis tidak dapat beroperasional 8 Very High Sumber daya tidak tersedia, tetapi kegagalan dapat dikendalikan 7 High Sumber daya tersedia atau kegagalan menyebabkan efek yang besar terhadap kebijakan 6 Moderate Sumber daya tersedia atau kegagalan memiliki efek yang besar terhadap proses bisnis 5 Low Sumber daya tersedia atau kegagalan menyebabkan efek yang besar terhadap prosedur 4 Very Low Sumber daya tersedia atau kegagalan menyebabkan efek yang kecil terhadap kebijakan 3 Minor Sumber daya tersedia atau kegagalan menyebabkan efek yang kecil terhadap proses bisnis 2 Very Minor Sumber daya tersedia atau kegagalan menyebabkan efek yang kecil terhadap prosedur

3 1 None Kegagalan tidak menyebabkan efek gangguan yang mempengaruhi proses bisnis 4. Menentukan Occurrence Occurrence menyatakan tingkat frekuensi kegagalan yang terjadi karena suatu penyebab yang dikuantifikasi dengan angka 1 (tingkat kejadian rendah) hingga 10 (tingkat kejadian sering). 5. Menentukan Deteksi (Detection) Tingkat deteksi digunakan untuk mendeteksi kegagalan yang dapat dikuantifikasikan dengan angka 1 hingga Menghitung RPN RPN mengkuantifikasikan tingkat risiko dari suatu kegagalan. RPN didapatkan dari perkalian antara nilai severity, occurance, dan detection. RPN Calculation Level < 20 Very Low < 80 Low < 120 Medium < 200 High > 200 Very High 2.6 ISO ISO digunakan sebagai pedoman dan prinsipprinsip umum untuk memulai, melaksanakan, memelihara, dan meningkatkan manajemen keamanan informasi dalam sebuah organisasi. Dalam tugas akhir ini, ISO digunakan sebagai pedoman untuk melakukan mitigasi risiko dalam pengendalian dan kontrol keamanan indormasi. 3. METODE PENELITIAN 3.1. Penyiapan perangkat wawancara Pada proses penyiapan perangkat wawancara dilakukan interview atau wawancara, yang akan dilaksanakan terhadap staf SIM-RSU Haji Surabaya selaku perwakilan yang memiliki wewenang dalam tahap perencanaan dan teknis khususnya mengenai pengembangan aplikasi healthty plus di RSU Haji Surabaya. Pada proses pembuatan daftar pertanyaan wawancara ini tentunya menghasilkan data hasil wawancara yang nantinya akan digunakan untuk menggali data penelitian Pengidentifikasian pengetahuan management Pada metode OCTAVE dilakukan pengidentifikasian pengetahuan senior management, operasional, staf dan staf TI. Untuk menggali informasi dari bagian operasional, maka peneliti menggunakan kuisioner dan interview protocol dengan kepala instalasi rekam medis. Untuk menggali informasi dari bagian staf, maka peneliti menggunakan kuisioner dan interview protocol dengan staf casemix instalasi rekam medis. Untuk menggali informasi dari bagian staf TI, maka peneliti menggunakan kuisioner dan interview protocol dengan manajer TI di instalasi SIM-RS Pengidentifikasian komponen utama Proses ini berfokus untuk menggali informasi yang lebih detail terkait Electronic Medical Record (EMR). Pada proses ini mengidentifikasi proses bisnis dan aset informasi yang didukung dengan EMR. Selain itu pada proses ini juga dilakukan penggalian ancaman terhadap aset-aset kritis yang terkait dengan aplikasi healthy plus modul rekam medis setelah itu akan didapatkan profil ancaman terhadap asset kritis 3.5. Pengidentifikasian kerentanan asset Setelah mendapatkan profil ancaman asset kritis maka proses yang akan dilakukan adalah menganalisa kelemahan atau kerentanan dari asetaset tersebut secara teknologi dan organisasi. Kerentanan adalah kondisi tidak adanya prosedur keamanan, kontrol teknik, kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan berkontribusi mengambil risiko karena memungkinkan ancaman untuk membahayakan system. Kerentanan asset akan digunakan sebagai refrensi untuk membuat diagram fishbone dan potensial causes pada risk register Pengidentifikasian risiko Identifikasi risiko dibuat berdasarkan daftar ancaman yang terjadi pada asset-aset yang telah diidentifikasikan sebelumnya. Pada proses pengidentifikasian risiko terdapat beberapa proses didalamnya yaitu a) Pengidentifikasian potensial causes Potensial causes merupakan penyebab dari timbulnya risiko yang terjadi dan didapatkan dari identifikasi kerentanan dan ancaman dari asset-aset informasi rumah sakit yang penting yang telah dipaparkan sebelumnya b) Pengidentifikasian Risk Breakdown Structure (RBS) Dalam tugas akhir ini, RBS digunakan untuk mengelompokan risiko berdasarkan akar permasalahannya ataupun berdasarkan kategori yang dianggap penting dapat membantu meningkatkan efektivitas penaggulangan resiko c) Risk Register Risk register adalah tabel yang berisi daftar potensi kejadian-kejadian risiko yang telah diidentifikasi beserta dengan penyebabnya (potensial causes), probabilitas dan dampak (potensial effects) dari setiap kejadian risiko tersebut bagi organisasi d) Diagram Fishbone Diagram fishbone akan dibuat berdasarkan risiko yang terjadi terhadap asset-aset informasi yang terdapat di SIM-RS dan instalasi Rekam Medis yang terkait dengan aplikasi healthy plus modul rekam medis RSU Haji Surabaya Penilaian risiko dengan metode FMEA Pada tahap ini dilakukan penentuan tingkat severity, occutance, dan detection. Tahapan ini dilakukan dengan mendeskripsikan informasi secara lebih dalam terhadap risiko yang telah diidentifikasi. Hasil dari tahap ini adalah nilai severity, occurance dan detection pada setiap proses risiko yang nantinya akan digunakan untuk menghitung RPN (Risk Priority Number) Mitigasi Risiko

4 Proses terakhir adalah proses pemberian rekomendasi. Melalui hasil penelitian yang di dapat maka dapat diberikan rekomendasi mitigasi risiko berdasarkan ISO Rekomendasi tersebut dapat membantu rumah sakit dalam menghadapi risiko yang ada maupun yang akan datang untuk meningkatkan kualitas sistemnya. 4. HASIL DAN ANALISIS 4.1. Daftar asset kritis Penentuan aset yang penting dilakukan melalui pengumpulan informasi tentang aset, kebutuhan keamanan, ancaman, dan kekuatan serta kelemahan organisasi dari beberapa tingkatan manajemen mulai dari senior manajer, operasional, sampai dengan staf. Kelompok Aset Aset kritis Data Pasien Data riwayat penyakit pasien Data rujukan. Jaringan Aplikasi Healthy Plus modul Rekam Medis Dokumen Medis SDM Rekam Alasan/Sebab Data-data terkait pasien sangat dibutuhkan oleh tenaga medis dalam pengambilan keputusan tindakan apa yang harus dilakukan untuk pasien tersebut. Jaringan yang dapat mengakses informasi, seperti mengakses database rekam medis pasien. Aplikasi pendukung kegiatan di RSU Haji Surabaya memiliki banyak modul yang saling terintegrasi. Salah satu modul yang paling penting adalah rekam medis yang menghimpun semua data-data terkait pasien yang dibutuhkan oleh modul-modul lainnya. Dokumen penting yang berisi data-data terkait pasien yang dibutuhkan sebagai inputan untuk aplikasi healthy plus modul rekam medis. Suatu aset yang paling penting didalam sebuah perusahaan karena SDM yang handal, maka semua proses bisnis dapat berjalan lancer Server Komputer yang menyediakan sumberdaya dan mengendalikan akses didalam suatu jaringan PC Hampir semua stakeholder bergantung pada PC. Karena mereka menggunakannya untuk mengakses informasi penting 4.2. Hasil identifikasi Risk Breakdown Structure (RBS) Dalam tugas akhir ini, RBS digunakan untuk mengelompokan risiko berdasarkan akar permasalahannya ataupun berdasarkan kategori yang dianggap penting dapat membantu meningkatkan efektivitas penaggulangan resiko. Pada table dibawah ini, telah diidentifikasi bahwa terdapat sebanyak 13 risiko yang memiliki potensial mengancam asset-aset informasi RSU Haji Surabaya. LEVEL 0 RBS untuk Aplikas LEVEL 1 Risiko Eksterna l LEVEL 2 LEVEL 3 RBS CODE Bencana Kebakaran RBS-01 Alam Ganggu Cybercrime RBS-02 i Healthy Plus modul Rekam Medis Risiko Internal an Fasilitas Umum Operatio nal Power Pencurian media/dokum en penting Hardware Software Network Modifikasi dan pencurian database dari user internal Backup data Human/Techn ician error Pelanggaran terhadap peraturan atau regulasi yang berlaku Penyalahguna an hak akses Memory full RBS-03 RBS-04 RBS-05 RBS-06 RBS-07 RBS-08 RBS-09 RBS-10 RBS-11 RBS-12 RBS Hasil penilaian risiko TI menggunakan metode FMEA Pembahasan hasil penilaian risiko didapatkan output berupa risk assessment Rumah Sakit Umum Haji Surabaya yang terkait dengan rekam medis elektronik, daftar risiko, penyebab dan dampak yang dapat terjadi serta hasil penilaian. Penilaian terhadap risiko menggunakan tools FMEA ( Modes and Effect Analysis). Dari proses penilaian risiko menggunakan metode FMEA ( Mode & Effect Analysis) didapatkan risiko yang mempunyai skor assessment tertinggi hingga terendah. Level Risiko Potensial Causes RPN Very High Human/Tec hnician eror Staf tidak logut ketika meinggalkan komputer 336 (210- Kesalahan dalam ) penginputan data pasien. High ( ) Penyalahgu naan Hak akses Hardware Modifikasi dan pencurian database Adanya share login 392 antar staf rekam medis dan pendaftaran Password untuk masingmasing staf tidak pernah diganti Penyalahgunaan 210 wewenang pada hak akses yang dimiliki untuk melakukan modifikasi data Server terserang malware 224 User yang bukan petugas kesehatan yang berwenang berhasil masuk ke dalam database SIM-RS dan melakukan perubahan data 168

5 Level Risiko Potensial Causes RPN Human/Tec Data yang terdapat di 180 hnician aplikasi healthy plus error belum diupdate Kesalahan menginputkan dan penghapusan data Cara penggunaan 175 komputer yang salah Penggunaan yang tidak sesuai dengan prosedur Software Adanya virus yang 180 Medi um (80-96) Low (24-72) Network menyerang komputer IP Conflict Kerusakan infrastruktur jaringan Gangguan jaringan pada provider Jaringan Down Kebakaran Korsleting listrik 80 Pencurian Kurangnya pengamanan 96 media atau dokumen penting perusahaan Memory full Kapasitas memori server 24 yang sudah tidak memenuhi kebutuhan Database penuh karena banyaknya data yang diinputkan Beban kerja server yang 24 terlalu tinggi Kapasitas memori server yang sudah tidak memenuhi kebutuhan/(memori full) Cybercrime Kegagalan pengamanan 48 (hacker pada firewall attack) Kurangnya mekanisme pemantauan pada lalu lintas jaringan Hardware Server Overheat 48 failure AC diruang Server mati Beban kerja server yang terlalu tinggi Kesalahan dalam 72 melakukan konfigurasi dan perawatan server Maintenance yang tidak teratur Power Korsleting listrik 48 Pemadaman listrik 40 Kebakaran Generator Rumah Sakit 72 terbakar Software Kesalahan coding pada 24 failure fungsional software Penggunaan yang tidak sesuai dengan prosedur Human Eror Staf baru melakukan 60 kesalahan penggunaan karena antarmuka yang Pelanggaran terhadap aturan atau regulasi yang berlaku rumt. Kurangnya sosialisasi tentang regulasi dan sanksinya Poor attitude 60 Level Risiko Potensial Causes RPN Network Kabel LAN digigit oleh hewan Peletakkan kabel-kabel 20 Very Low Backup Data 4.4. Hasil Mitigasi Risiko disembarang tempat Server down Koneksi intranet (LAN) putus Dari hasil identifikasi dan penilaian risiko maka berikut beberapa kontrol objektif dari standar ISO/IEC yang direkomendasikan untuk penanganan risiko-risiko yang telah diidentifikasi tersebut adalah : a. User Responsibilites b. User Access Management c. Network Access Control d. Application and information access control e. Correct Processing application f. Security of system files g. Network security Management h. Back-up i. Perencanaan system dan penerimaan j. Manajemen keamanan jaringan k. Protection against malicious and mobile code l. Equipment security m. Secure areas n. During Employment Untuk kontrol objektif yang sering digunakan dalam penanganan risiko-risiko tersebut adalah : a) Sub-klausul User Access Management dengan sub-sub klausul Previllege Management, User Password management, dan review of user access right yang terdapat pada 5 risiko, dimana rumah sakit seharusnya memberikan batasan hak akses terhadap instalasi rekam medis dan pendaftaran untuk memastikan akses pengguna yang berwenang dan untuk mencegah akses tidak sah ke sistem informasi.. Selain itu alokasi dan penggunaan hak akses harus dikontrol. b) Sub-Klausul Equipment security dengan sub-sub klausul Equipment Maintenance, Supporting utilities, Cabling Security, Letak Peralatan dan pengamanannya yang terdapat 5 risiko, dimana perusahaan harus melindungi peralatan (contoh : hardware, kabel, switch, server, dll) tersebut dari risiko terjadinya kerusakan fisik. c) Sub-klausul Secure areas dengan sub-sub klausul Protecting against external and environmental threats dan Securing offices, rooms, and facilities yang terdapat 4 risiko, dimana rumah sakit harus melindungi keamanan fisik untuk kantor, ruangan, dan fasilitas harus dirancang dan diterapkan oleh suatu organisasi terhadap kerusakan dari kebakaran, banjir, dan pencurian. 6 KESIMPULAN Berdasarkan pada hasil penelitian yang telah dilakukan, maka didapatkan kesimpulan yaitu: 1. Dari proses identifikasi risiko yang terdapat pada aplikasi healthy plus diperoleh 13 risiko dengan 25 kejadian risik, dengan demikian terdapat risiko yang 18

6 memiliki kejadian risiko lebih dari satu dikarenakan perbedaan penyebab. Untuk risiko yang paling banyak terjadi terdapat pada aset people dengan risiko penyalahgunaan hak akses dengan total kejadian risiko sebanyak lima kali. 2. Dari proses penilaian risiko menggunakan metode FMEA( Mode & Effect Analysis) didapatkan risiko yang mempunyai skor assessment tertinggi hingga terendah. Untuk risiko very high dengan nilai RPN (Risk Priority Number) sebesar 392, yaitu pada kategori risiko people dengan identifikasi risiko Penyalahgunaan hak akses dan untuk risiko paling rendah dengan nilai RPN 18 terdapat pada risiko Backup data failure. [8] R. Charette, "Software Engineering Risk Analysis and Management," [9] T. N. Archives, "What is an Information Asset?," The National Archives. [11] Peraturan Pemerintah Nomor 24, [12] Peraturan Menteri Kesehatan 269, [13] Laporan Akuntabilitas Kinerja Instansi Pemerintah (LAKIP) RSU Haji Surabaya, [14] ISO/IEC 27002, Information technology Security Techniques - Code of Practice for Information Security Management, [15] ISO/IEC 27001, [17] " 28/productivity/fishbone-diagram-Ishikawa," [Online]. 3. Dari hasil penilaian risiko menggunakan metode FMEA( Mode & Effect Analysis, maka diberikan penanganan atau tindakan pengendalian risiko untuk mengontrol risiko-risiko tersebut. Tindakan pengendalian untuk semua risiko-risiko tersebut mengacu pada ISO yang berfokus pada standarisasi Sistem Manajemen Keamanan Informasi (SMKI). Untuk risiko yang telah diidentifikasi diatas terdapat 14 sub-klausul yang digunakan, akan tetapi yang sering digunakan ada 3 sub-klausul yaitu User Access Management, Equipment security, dan Secure area. 7 SARAN Berdasarkan pelaksanaan penelitian tugas akhir ini, saran yang dapat diberikan agar bisa dijadikan rekomendasi untuk penelitian selanjutnya adalah Metode OCTAVE seharusnya menerapkan metode identify senior management knowledge, tetapi karena keterbatasan akses peneliti melakukan pendekatan dengan menanyakan bagaimana senior management dipandang dukungannya terhadap keamanan informasi oleh pihak operasional dan staf. Maka untuk penelitian selanjutnya perlu dipertimbangkan untuk melakukan penggalian informasi terhadap senior management di organisasi. DAFTAR PUSTAKA [1] P. Weill and M. Vitale, "Assessing the Health of an Information Systems Applications Portfolio: An Example from Process Manufacturing," MIS Quarterly, vol. 23, no. 4, pp , [2] William R. Hersh Biomedical Information Communication Center, "The Electronic Medical Record: Promises and Problems". [3] I. S. Vered Holzmann, "Developing risk breakdown structure for information technology organizations," Science Direct, p. 10, [4] B. M. Susanto, "Mengukur Keamanan Informasi : Studi Komparasi ISO dan NIST ," [5] S. SIM-RSU, Interviewee, Struktur Organisasi SIM- RSU Haji Surabaya. [Interview] [6] R. E. McDermott, R. J. Mikulak and R. M. Beauregard, The Basic of FMEA, New York: CRC Press Taylor & Francis Group, [7] A. J. Dorofee and C. J. Alberts, "OCTAVE Criteria, Version 2.0," 2001.