Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR).

dokumen-dokumen yang mirip
BAB 2 TINJAUAN PUSTAKA

BAB 2 TINJAUAN PUSTAKA

ANALISIS RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN METODE OCTAVE DAN KONTROL ISO PADA DISHUBKOMINFO KABUPATEN TULUNGAGUNG

Penyusunan Perencanaan Keberlangsungan Bisnis PT PLN (Persero) APD Jateng dan DIY dengan ISO dan Metode OCTAVE

BAB 3 METODE PENELITIAN

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 3 METODE PENELITIAN. Metode penelitian merupakan suatu cara untuk menjawab permasalahanpermasalahan penelitian yang dilakukan secara ilmiah.

ANALISIS DAN PENGUKURAN TINGKAT EKSPOSUR RESIKO TEKNOLOGI INFORMASI DENGAN METODE FMEA PADAPT. BANK CENTRAL ASIA, TBK

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

PENGUKURAN RISIKO PADA PENERAPAN CLOUD COMPUTING UNTUK SISTEM INFORMASI (Studi Kasus Universitas Bina Darma)

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB I PENDAHULUAN 1.1. Latar Belakang

PENILAIAN RISIKO KEAMANAN INFORMASI MENGGUNAKAN METODE FAILURE MODE AND EFFECTS ANALYSIS DI DIVISI TI PT. BANK XYZ SURABAYA

BAB III METODE PENELITIAN

Langkah langkah FRAP. Daftar Risiko. Risk

Standar Internasional ISO 27001

IJCCS, Vol.x, No.x, Julyxxxx, pp. 1~5 ISSN:

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

MODEL PENILAIAN RISIKO ASET TEKNOLOGI INFORMASI MENGGUNAKAN ISO DAN ISO/IEC STUDI KASUS : POLITEKNIK POS INDONESIA (POLTEKPOS)

BAB 1 PENDAHULUAN Latar Belakang

JURNAL TEKNIK POMITS Vol. 1, No. 1, (2013) 1-5 1

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB 4 PEMBAHASAN. PT Triasta Integrasi Teknologi memiliki bisnis utama (core business) yaitu

BAB II TINJAUAN PUSTAKA

BAB I PENDAHULUAN. dan/atau karya rekam secara profesional dengan sistem yang baku guna

BAB 3 METODOLOGI PEMECAHAN MASALAH

Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013

STANDARD OPERATING PROCEDURE

INFRASTRUCTURE SECURITY

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB 1 PENDAHULUAN 1.1. Latar Belakang Permasalahan

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

MODEL ALAT BANTU PENGAMBILAN KEPUTUSAN BERBASIS SPREADSHEET UNTUK ANALISIS RESIKO RANTAI PASOK BAHAN BAKU (Studi kasus PTEI)

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: ( Print) A-228

BAB 2 LANDASAN TEORI. terjadinya beberapa ancaman yang mudah menyerang. untuk mengurangi risiko. Sedangkan, menurut Dorfman (2004, p.

BAB II TINJAUAN PUSTAKA

Materi 4 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

Aulia Febriyanti

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

BAB III METODOLOGI PENELITIAN. Pada bab ini akan membahas tentang semua aktifitas mulai dari tahap

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

BAB I PENDAHULUAN. tenaga listrik Indonesia. Teknologi informasi memiliki fungsi sebagai alat bantu

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB IV SIMPULAN DAN SARAN

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

BAB 3 METODOLOGI PENELITIAN

MITIGASI RISIKO ASET DAN KOMPONEN TEKNOLOGI INFORMASI BERDASARKAN KERANGKA KERJA OCTAVE DAN FMEA PADA UNIVERSITAS DIAN NUSWANTORO

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

Mitigasi Risiko Aset Dan Komponen Teknologi Informasi Berdasarkan Kerangka Kerja OCTAVE Dan FMEA Pada Universitas Dian Nuswantoro

RISK ASSESSMENT. Yusup Jauhari Shandi. Sekolah Tinggi Manajemen Informatika dan Komputer LIKMI Jl. Ir. H. Juanda Bandung 40132

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

BAB 1 PENDAHULUAN. begitu cepat, menyebabkan setiap perusahaan baik yang bergerak di bidang barang atau

Analisis Risiko Teknologi Informasi Berbasis Risk Management Menggunakan ISO (Studi Kasus : i-gracias Telkom University)

BAB II TINJAUAN PUSTAKA

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

SISTEM PENGENDALI DAN PENGAWAS PENGGUNAAN LISTRIK PADA GEDUNG BERTINGKAT BERBASIS WEB

EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) PADA KANTOR WILAYAH DITJEN PERBENDAHARAAN NEGARA JAWA TIMUR

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

BAB 4 PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI. Untuk memperoleh data yang berhubungan dengan pengukuran risiko, maka

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

BAB II TINJAUAN PUSTAKA DAN KERANGKA PEMIKIRAN. berperan penting dalam perusahaan selain manajemen sumber daya manusia,

EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) PADA KANTOR WILAYAH DITJEN PERBENDAHARAAN NEGARA JAWA TIMUR

BAB III METODOLOGI PENELITIAN

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

BAB III METODOLOGI PENELITIAN

BAB 3 GAMBARAN UMUM SISTEM INFORMASI YANG SEDANG BERJALAN. Keberadaan Departemen Komunikasi dan Informatika (DepKementrian

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

ANALISA RESIKO KEAMANAN INFORMASI (INFORMATION SECURITY). STUDI KASUS: POLIKLINIK XYZ

BAB V KESIMPULAN, DISKUSI, DAN SARAN. Berdasarkan hasil penelitian dan pembahasan yang telah diuraikan pada bab

KUESIONER. Nama Responden. Bagian/Jabatan

PERENCANAAN PROYEK BERBASIS RISIKO PEMBANGUNAN SISTEM INFORMASI MANAJEMEN ASET DI PDAM KOTA MALANG BERBASIS ISO/FDIS 31000:2009

BAB 2. Landasan Teori. (hardware) dan perangkat lunak (software) yang digunakan oleh sistem

Manajemen Resiko Pada Pengelolaan Data Di Bagian Pengolahan Data PT. Petrokimi Gresik

BAB I PENDAHULUAN. memberikan layanan kepada stakeholder utama, yaitu mahasiswa, dosen, dan. bisnis Labkom (Sutomo dan Ayuningtyas, 2014).

PERENCANAAN PROYEK BERBASIS RISIKO PEMBANGUNAN SISTEM INFORMASI MANAJEMEN ASET DI PDAM KOTAMADYA MALANG BERBASIS ISO/FDIS 31000:2009

BAB 5 SIMPULAN DAN SARAN

TUGAS AKHIR KS Caesar Fajriansah NRP Dosen Pembimbing 1: Dr. Apol Pribadi, S.T, M.T

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB II TINJAUAN PUSTAKA

ROODHIN FIRMANA

PENYUSUNAN STANDAR OPERASIONAL PROSEDUR PENGAMANAN FISIK RUANG SERVER BERDASARKAN ISO 27001:2005 (Studi Kasus : Fakultas Teknik Universitas Pasundan)

AKADEMI ESENSI TEKNOLOGI INFORMASI DAN KOMUNIKASI UNTUK PIMPINAN PEMERINTAHAN Modul 6 Keamanan Jaringan dan Keamanan Informasi dan Privasi

PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI DENGAN METODE OCTTAVE-S

Risiko Kode Frequency Severity Penggunaan kapasitas tidak optimal A Often A (pengkodean digunakan untuk memudahkan pemetaan risiko)

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

Jurnal Teknologi Vol. 7, No. 2, Oktober 2017, Hal E- ISSN : ISSN : Copyright 2017 by LPPM UPI YPTK Padang

Transkripsi:

IDENTIFIKASI, PENILAIAN, DAN MITIGASI RISIKO KEAMANAN INFORMASI PADA SISTEM ELECTRONIC MEDICAL RECORD (STUDI KASUS : APLIKASI HEALTHY PLUS MODUL REKAM MEDIS DI RSU HAJI SURABAYA) Dea Anjani 1), Dr. Apol Pribadi Subriadi, S.T, M.T 2) Anisah Hediyanti, S.Kom, M.Sc 3) Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia e-mail: deaanjani28@gmail.com 1), apolpribadi@gmail.com 2) anisah.herdiyanti@gmail.com 3) ABSTRAK Rumah Sakit Umum Haji adalah institusi sarana pelayanan kesehatan milik Pemerintah Provinsi Jawa Timur yang tidak tidak hanya berfungsi sosial, tetapi telah berkembang menjadi unit pelayanan kesehatan yang harus bisa mengoptimalkan penndapatannya dengan jalan meningkatkan dan mengembangkan jenis-jenis pelayanan yang optimal sesuai dengan kebutuhan masyarakat. Untuk mencapai tujuan dan melaksanakan fungsi Rumah Sakit Umum Haji, diperlukan adanya suatu manajemen risiko untuk mengarahkan dan mengendalikan organisasi dalam mengelola risiko yang mungkin terjadi. Rumah Sakit Umum Haji telah mengimplementasikan Teknologi Informasi sebagai pendukung keberlangsungan bisnisnya. Implementasi Teknologi Informasi(TI) di Rumah Sakit Umum Haji selain memberikan keuntungan juga menimbulkan berbagai ancaman timbulnya risiko. Tujuan dari penelitian ini adalah untuk mengidentifikasi, menilai dan memitigasi risiko yang berkaitan dengan aplikasi healthty plus yang merupakan Electronic Medical Record (EMR) system yang digunakan Rumah Sakit Umum Haji berdasarkan metode OCTAVE. Dalam perjalanannya, penerapan rekam medis elektronik tentu saja mempunyai beberapa permasalahan dan hambatan yang menyebabkan proses bisnis rumah sakit menjadi terganggu. Metode analisis risiko yang digunakan dalam tugas akhir ini adalah metode octave yang merupakan metodologi yang berfungsi untuk meningkatkan proses pengambilan keputusan terhadap perlindungan dan pengelolaan sumberdaya di suatu informasi berdasarkan penilaian risiko. Kontribusi tugas akhir ini berfokus pada memberikan solusi penanganan risiko yang mungkin terjadi pada aplikasi healthy plus yang digunakan di RSU Haji Surabaya. Harapan dari penelitian tugas akhir adalah mampu menghasilkan sebuah dokumen mitigasi risiko untuk aplikasi healthty plus yang dapat digunakan sebagai pedoman dalam menangani permasalahan yang terjadi pada EMR Sistem di Rumah Sakit Umum Haji Surabaya. Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR). 1. PENDAHULUAN Teknologi informasi merupakan bagian yang tidak terpisahkan dari suatu perusahaan karena dapat membantu meningkatkan efektifitas dan efisiensi proses bisnis perusahaan. Tetapi untuk mencapai hal tersebut, diperlukan adanya pengelolaan TI yang baik dan benar agar keberadaan TI mampu menunjang kesuksesan organisasi dalam pencapaian tujuannya. Begitu pula dengan sektor kesehatan, rumah sakit sebagai penyelenggara layanan kesehatan bertumpu pada informasi. Oleh karena itu rumah sakit menggunakan TI untuk mengelola informasi yang didapatkan dari pasien dan menyajikan informasi untuk pasien dalam bentuk rekam medis elektronik. Salah satu rumah sakit yang menggunakan teknologi informasi sebagai pendukung keberlangsungan bisnis adalah Rumah Sakit Umum Haji Surabaya. RSU Haji Surabaya menggunakan TI untuk mengelola informasi yang didapatkan dari pasien dan menyajikan informasi untuk pasien dalam bentuk rekam medis. RSU Haji Surabaya menggunakan dua sistem rekam medis yaitu rekam medis dalam bentuk dokumen tertulis dan dalam bentuk aplikasi yaitu healthty plus. Data-data kesehatan yang terdapat di dokumen rekam medis diinputkan ke dalam rekam medis elektronik. Hal ini tentunya akan menyebabkan ketidakkonsistenan data dan data menjadi tidak lengkap, karena belum tentu semua data-data penting terkait pasien yang terdapat di dalam dokumen rekam medis juga ada pada rekam medis elektronik. Dalam perjalanannya, penerapan rekam medis elektronik tentu saja mempunyai beberapa permasalahan dan hambatan yang menyebabkan proses bisnis rumah sakit menjadi terganggu. Misalnya, data loss, data corrupt dan penyalahgunaan hak akses. Hal ini tentunya akan menyebabkan data-data penting terkait pasien hilang dan dapat disalah gunakan oleh pihak yang tidak bertanggungjawab yang dapat mencoreng nama baik RSU Haji Surabaya. Rekam medis elektronik juga dapat menjadi masalah bagi dokumen rekam medis karena ada kemungkinan ketidak-konsistenan data dan ketidaklengkapan data. Adanya kemungkinan munculnya permasalahan-permasalahan terkait penerapan teknologi informasi itulah yang mendasari pentingnya analisis risiko terkait penerapan teknologi informasi di RSU Haji Surabaya. Dengan melakukan analisis risiko-risiko TI di RSU Haji Surabaya, pihak rumah sakit dapat mengetahui risiko-risiko apa saja yang mungkin akan dihadapi di kemudian hari. Dengan mengetahui risiko-risiko tersebut, pihak rumah sakit dapat membuat langkah-langkah penanganan terhadap masing-masing risiko. Selain itu, pihak rumah sakit akan lebih siap dalam menghadapi dampak yang muncul apabila risiko tersebut terjadi. Oleh karena itu tujuan dari penelitian ini adalah untuk melakukan identifikasi risiko yang dapat terjadi di Rumah Sakit Umum Haji Surabaya terkait dengan aset TI yang digunakan dalam system Electronic Medical Record (EMR)

dan memberikan masukan atau rekomendasi kepada pihak rumah sakit bagaimana langkah mitigasi risiko yang tepat sesuai dengan hasil identifikasi risiko yang akan muncul terkait system EMR di Rumah Sakit Umum Haji Surabaya. Harapan dari penelitian tugas akhir ini adalah mampu menghasilkan sebuah dokumen mitigasi risiko untuk Electronic Medical Record (EMR) yang dapat digunakan sebagai pedoman dalam menangani permasalahan yang terjadi pada EMR di Rumah Sakit Umum Haji Surabaya sehingga dapat dipastikan teknologi informasi memberikan nilai bisnis dan mendukung tujuan rumah sakit. 2. TINJAUAN PUSTAKA 2.1 Risiko Risiko dalam TI merupakan sebuah ancaman yang diberikan yang akan mengeksploitasi kerentanan dari aset atau kumpulan aset. Hal ini dapat menyebabkan kerusakan dari organisasi. [4] Pengukuran Risiko TI ini dilakukan berdasarkan kombinasi probabilitas dan dampaknya.. 2.2 Diagram fishbone Fishbone adalah alat (tool) yang menggambarkan sebuah cara yang sistematis dalam memandang berbagai dampak dan penyebab yang berkontribusi dalam berbagai dampak tersebut. Dalam penelitian ini, diagram fishbone digunakan untuk mempertimbangan risiko dari berbagai penyebab dan sub penyebab dari dampak tersebut, termasuk risikonya secara global. 2.3 Risk Breakdown Structure (RBS) Risk Breakdown Structure adalah suatu aktifitas pengelompokkan risiko ke dalam suatu komposisi hirarki risiko organisasi yang sistematis dan tersturktur sesuai dengan struktur organisasi atau proyek. Dalam tugas akhir ini, RBS digunakan untuk mengelompokan risiko berdasarkan akar permasalahannya ataupun berdasarkan kategori yang dianggap penting dapat membantu meningkatkan efektivitas penaggulangan resiko. 2.4 Metode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) OCTAVE adalah metodologi untuk mengidentifikasi, memprioritaskan, dan mengelola risiko keamanan informasi. OCTAVE memiliki 3 tahap dalam melakukan evaluasi risiko, dan berikut merupakan gambarannya serta penjelasannya : [7] Gambar 2. 4 Tahapan OCTAVE [7] 1. Fase 1 Build Asset-Based Threat Profiles Fase ini merupakan tahapan untuk membuat profil ancaman (threat profile) dengan cara menentukan aset yang penting bagi organisasi dan kebutuhan pengamanannya. Penentuan aset yang penting dilakukan melalui pengumpulan informasi tentang aset, kebutuhan keamanan, ancaman, dan kekuatan serta kelemahan organisasi dari beberapa tingkatan manajemen mulai dari senior manajer, operasional, sampai dengan staf. Hasil dari fase ini adalah pendefinisian kebutuhan keamanan informasi 2. Fase 2 Identify Infrastructure Vulnerabilities Fase ini melihat vulnerability secara teknis yang terjadi pada aset kritis dan komponen infrastruktur yang mendukung aset tersebut. 3. Fase 3 Develop Security Strategy and Plans Pada proses ini melibatkan pengembangan, pengkajian dan penerimaan strategi proteksi organisasi secara menyeluruh, rencana mitigasi untuk risiko terhadap critical asset. 2.5 Metode FMEA ( Modes and Effect Analysis) FMEA ( Modes and Effect Analysis) merupakan suatu metode yang digunakan untuk mengidentifikasi dan menganalisa suatu kegagalan beserta akibatnya. Kegagalan digolongkan berdasarkan dampak yang diberikan terhadap kesuksesan suatu misi dari sebuah system. Tahapan dari penilaian menggunakan FMEA adalah sebagai berikut: 1. Identifikasi sistem dan elemen sistem. 2. Mengidentifikasi kegagalan dan efeknya 3. Menentukan tingkat keparahan efek dari suatu kegagalan (Severity) Rank Effect Severity of Effect 10 Catastrophic/ Dangerous High Sumber daya tidak tersedia dan kegagalan tidak dapat dikendalikan atau kegagalan dapat melukai staff atau pelanggan 9 Extremly High Sumber daya tidak tersedia, tetapi kegagalan dapat dikendalikan atau kegagalan menyebabkan proses bisnis tidak dapat beroperasional 8 Very High Sumber daya tidak tersedia, tetapi kegagalan dapat dikendalikan 7 High Sumber daya tersedia atau kegagalan menyebabkan efek yang besar terhadap kebijakan 6 Moderate Sumber daya tersedia atau kegagalan memiliki efek yang besar terhadap proses bisnis 5 Low Sumber daya tersedia atau kegagalan menyebabkan efek yang besar terhadap prosedur 4 Very Low Sumber daya tersedia atau kegagalan menyebabkan efek yang kecil terhadap kebijakan 3 Minor Sumber daya tersedia atau kegagalan menyebabkan efek yang kecil terhadap proses bisnis 2 Very Minor Sumber daya tersedia atau kegagalan menyebabkan efek yang kecil terhadap prosedur

1 None Kegagalan tidak menyebabkan efek gangguan yang mempengaruhi proses bisnis 4. Menentukan Occurrence Occurrence menyatakan tingkat frekuensi kegagalan yang terjadi karena suatu penyebab yang dikuantifikasi dengan angka 1 (tingkat kejadian rendah) hingga 10 (tingkat kejadian sering). 5. Menentukan Deteksi (Detection) Tingkat deteksi digunakan untuk mendeteksi kegagalan yang dapat dikuantifikasikan dengan angka 1 hingga 10. 6. Menghitung RPN RPN mengkuantifikasikan tingkat risiko dari suatu kegagalan. RPN didapatkan dari perkalian antara nilai severity, occurance, dan detection. RPN Calculation Level < 20 Very Low < 80 Low < 120 Medium < 200 High > 200 Very High 2.6 ISO 27002 ISO 27002 digunakan sebagai pedoman dan prinsipprinsip umum untuk memulai, melaksanakan, memelihara, dan meningkatkan manajemen keamanan informasi dalam sebuah organisasi. Dalam tugas akhir ini, ISO 27002 digunakan sebagai pedoman untuk melakukan mitigasi risiko dalam pengendalian dan kontrol keamanan indormasi. 3. METODE PENELITIAN 3.1. Penyiapan perangkat wawancara Pada proses penyiapan perangkat wawancara dilakukan interview atau wawancara, yang akan dilaksanakan terhadap staf SIM-RSU Haji Surabaya selaku perwakilan yang memiliki wewenang dalam tahap perencanaan dan teknis khususnya mengenai pengembangan aplikasi healthty plus di RSU Haji Surabaya. Pada proses pembuatan daftar pertanyaan wawancara ini tentunya menghasilkan data hasil wawancara yang nantinya akan digunakan untuk menggali data penelitian. 3.2. Pengidentifikasian pengetahuan management Pada metode OCTAVE dilakukan pengidentifikasian pengetahuan senior management, operasional, staf dan staf TI. Untuk menggali informasi dari bagian operasional, maka peneliti menggunakan kuisioner dan interview protocol dengan kepala instalasi rekam medis. Untuk menggali informasi dari bagian staf, maka peneliti menggunakan kuisioner dan interview protocol dengan staf casemix instalasi rekam medis. Untuk menggali informasi dari bagian staf TI, maka peneliti menggunakan kuisioner dan interview protocol dengan manajer TI di instalasi SIM-RS. 3.4. Pengidentifikasian komponen utama Proses ini berfokus untuk menggali informasi yang lebih detail terkait Electronic Medical Record (EMR). Pada proses ini mengidentifikasi proses bisnis dan aset informasi yang didukung dengan EMR. Selain itu pada proses ini juga dilakukan penggalian ancaman terhadap aset-aset kritis yang terkait dengan aplikasi healthy plus modul rekam medis setelah itu akan didapatkan profil ancaman terhadap asset kritis 3.5. Pengidentifikasian kerentanan asset Setelah mendapatkan profil ancaman asset kritis maka proses yang akan dilakukan adalah menganalisa kelemahan atau kerentanan dari asetaset tersebut secara teknologi dan organisasi. Kerentanan adalah kondisi tidak adanya prosedur keamanan, kontrol teknik, kontrol fisik, atau kontrol lain yang dapat dieksploitasi oleh ancaman. Kerentanan berkontribusi mengambil risiko karena memungkinkan ancaman untuk membahayakan system. Kerentanan asset akan digunakan sebagai refrensi untuk membuat diagram fishbone dan potensial causes pada risk register. 3.6. Pengidentifikasian risiko Identifikasi risiko dibuat berdasarkan daftar ancaman yang terjadi pada asset-aset yang telah diidentifikasikan sebelumnya. Pada proses pengidentifikasian risiko terdapat beberapa proses didalamnya yaitu a) Pengidentifikasian potensial causes Potensial causes merupakan penyebab dari timbulnya risiko yang terjadi dan didapatkan dari identifikasi kerentanan dan ancaman dari asset-aset informasi rumah sakit yang penting yang telah dipaparkan sebelumnya b) Pengidentifikasian Risk Breakdown Structure (RBS) Dalam tugas akhir ini, RBS digunakan untuk mengelompokan risiko berdasarkan akar permasalahannya ataupun berdasarkan kategori yang dianggap penting dapat membantu meningkatkan efektivitas penaggulangan resiko c) Risk Register Risk register adalah tabel yang berisi daftar potensi kejadian-kejadian risiko yang telah diidentifikasi beserta dengan penyebabnya (potensial causes), probabilitas dan dampak (potensial effects) dari setiap kejadian risiko tersebut bagi organisasi d) Diagram Fishbone Diagram fishbone akan dibuat berdasarkan risiko yang terjadi terhadap asset-aset informasi yang terdapat di SIM-RS dan instalasi Rekam Medis yang terkait dengan aplikasi healthy plus modul rekam medis RSU Haji Surabaya. 3.7. Penilaian risiko dengan metode FMEA Pada tahap ini dilakukan penentuan tingkat severity, occutance, dan detection. Tahapan ini dilakukan dengan mendeskripsikan informasi secara lebih dalam terhadap risiko yang telah diidentifikasi. Hasil dari tahap ini adalah nilai severity, occurance dan detection pada setiap proses risiko yang nantinya akan digunakan untuk menghitung RPN (Risk Priority Number). 3.8. Mitigasi Risiko

Proses terakhir adalah proses pemberian rekomendasi. Melalui hasil penelitian yang di dapat maka dapat diberikan rekomendasi mitigasi risiko berdasarkan ISO 27002. Rekomendasi tersebut dapat membantu rumah sakit dalam menghadapi risiko yang ada maupun yang akan datang untuk meningkatkan kualitas sistemnya. 4. HASIL DAN ANALISIS 4.1. Daftar asset kritis Penentuan aset yang penting dilakukan melalui pengumpulan informasi tentang aset, kebutuhan keamanan, ancaman, dan kekuatan serta kelemahan organisasi dari beberapa tingkatan manajemen mulai dari senior manajer, operasional, sampai dengan staf. Kelompok Aset Aset kritis Data Pasien Data riwayat penyakit pasien Data rujukan. Jaringan Aplikasi Healthy Plus modul Rekam Medis Dokumen Medis SDM Rekam Alasan/Sebab Data-data terkait pasien sangat dibutuhkan oleh tenaga medis dalam pengambilan keputusan tindakan apa yang harus dilakukan untuk pasien tersebut. Jaringan yang dapat mengakses informasi, seperti mengakses database rekam medis pasien. Aplikasi pendukung kegiatan di RSU Haji Surabaya memiliki banyak modul yang saling terintegrasi. Salah satu modul yang paling penting adalah rekam medis yang menghimpun semua data-data terkait pasien yang dibutuhkan oleh modul-modul lainnya. Dokumen penting yang berisi data-data terkait pasien yang dibutuhkan sebagai inputan untuk aplikasi healthy plus modul rekam medis. Suatu aset yang paling penting didalam sebuah perusahaan karena SDM yang handal, maka semua proses bisnis dapat berjalan lancer Server Komputer yang menyediakan sumberdaya dan mengendalikan akses didalam suatu jaringan PC Hampir semua stakeholder bergantung pada PC. Karena mereka menggunakannya untuk mengakses informasi penting 4.2. Hasil identifikasi Risk Breakdown Structure (RBS) Dalam tugas akhir ini, RBS digunakan untuk mengelompokan risiko berdasarkan akar permasalahannya ataupun berdasarkan kategori yang dianggap penting dapat membantu meningkatkan efektivitas penaggulangan resiko. Pada table dibawah ini, telah diidentifikasi bahwa terdapat sebanyak 13 risiko yang memiliki potensial mengancam asset-aset informasi RSU Haji Surabaya. LEVEL 0 RBS untuk Aplikas LEVEL 1 Risiko Eksterna l LEVEL 2 LEVEL 3 RBS CODE Bencana Kebakaran RBS-01 Alam Ganggu Cybercrime RBS-02 i Healthy Plus modul Rekam Medis Risiko Internal an Fasilitas Umum Operatio nal Power Pencurian media/dokum en penting Hardware Software Network Modifikasi dan pencurian database dari user internal Backup data Human/Techn ician error Pelanggaran terhadap peraturan atau regulasi yang berlaku Penyalahguna an hak akses Memory full RBS-03 RBS-04 RBS-05 RBS-06 RBS-07 RBS-08 RBS-09 RBS-10 RBS-11 RBS-12 RBS-13 4.3. Hasil penilaian risiko TI menggunakan metode FMEA Pembahasan hasil penilaian risiko didapatkan output berupa risk assessment Rumah Sakit Umum Haji Surabaya yang terkait dengan rekam medis elektronik, daftar risiko, penyebab dan dampak yang dapat terjadi serta hasil penilaian. Penilaian terhadap risiko menggunakan tools FMEA ( Modes and Effect Analysis). Dari proses penilaian risiko menggunakan metode FMEA ( Mode & Effect Analysis) didapatkan risiko yang mempunyai skor assessment tertinggi hingga terendah. Level Risiko Potensial Causes RPN Very High Human/Tec hnician eror Staf tidak logut ketika meinggalkan komputer 336 (210- Kesalahan dalam 324 392) penginputan data pasien. High (168-180) Penyalahgu naan Hak akses Hardware Modifikasi dan pencurian database Adanya share login 392 antar staf rekam medis dan pendaftaran Password untuk masingmasing staf tidak pernah diganti Penyalahgunaan 210 wewenang pada hak akses yang dimiliki untuk melakukan modifikasi data Server terserang malware 224 User yang bukan petugas kesehatan yang berwenang berhasil masuk ke dalam database SIM-RS dan melakukan perubahan data 168

Level Risiko Potensial Causes RPN Human/Tec Data yang terdapat di 180 hnician aplikasi healthy plus error belum diupdate Kesalahan menginputkan dan penghapusan data Cara penggunaan 175 komputer yang salah Penggunaan yang tidak sesuai dengan prosedur Software Adanya virus yang 180 Medi um (80-96) Low (24-72) Network menyerang komputer IP Conflict Kerusakan infrastruktur jaringan Gangguan jaringan pada provider Jaringan Down 180 180 Kebakaran Korsleting listrik 80 Pencurian Kurangnya pengamanan 96 media atau dokumen penting perusahaan Memory full Kapasitas memori server 24 yang sudah tidak memenuhi kebutuhan Database penuh karena banyaknya data yang diinputkan Beban kerja server yang 24 terlalu tinggi Kapasitas memori server yang sudah tidak memenuhi kebutuhan/(memori full) Cybercrime Kegagalan pengamanan 48 (hacker pada firewall attack) Kurangnya mekanisme pemantauan pada lalu lintas jaringan Hardware Server Overheat 48 failure AC diruang Server mati Beban kerja server yang terlalu tinggi Kesalahan dalam 72 melakukan konfigurasi dan perawatan server Maintenance yang tidak teratur Power Korsleting listrik 48 Pemadaman listrik 40 Kebakaran Generator Rumah Sakit 72 terbakar Software Kesalahan coding pada 24 failure fungsional software Penggunaan yang tidak sesuai dengan prosedur Human Eror Staf baru melakukan 60 kesalahan penggunaan karena antarmuka yang Pelanggaran terhadap aturan atau regulasi yang berlaku rumt. Kurangnya sosialisasi tentang regulasi dan sanksinya Poor attitude 60 Level Risiko Potensial Causes RPN Network Kabel LAN digigit oleh hewan Peletakkan kabel-kabel 20 Very Low Backup Data 4.4. Hasil Mitigasi Risiko disembarang tempat Server down Koneksi intranet (LAN) putus Dari hasil identifikasi dan penilaian risiko maka berikut beberapa kontrol objektif dari standar ISO/IEC 27002 yang direkomendasikan untuk penanganan risiko-risiko yang telah diidentifikasi tersebut adalah : a. User Responsibilites b. User Access Management c. Network Access Control d. Application and information access control e. Correct Processing application f. Security of system files g. Network security Management h. Back-up i. Perencanaan system dan penerimaan j. Manajemen keamanan jaringan k. Protection against malicious and mobile code l. Equipment security m. Secure areas n. During Employment Untuk kontrol objektif yang sering digunakan dalam penanganan risiko-risiko tersebut adalah : a) Sub-klausul User Access Management dengan sub-sub klausul Previllege Management, User Password management, dan review of user access right yang terdapat pada 5 risiko, dimana rumah sakit seharusnya memberikan batasan hak akses terhadap instalasi rekam medis dan pendaftaran untuk memastikan akses pengguna yang berwenang dan untuk mencegah akses tidak sah ke sistem informasi.. Selain itu alokasi dan penggunaan hak akses harus dikontrol. b) Sub-Klausul Equipment security dengan sub-sub klausul Equipment Maintenance, Supporting utilities, Cabling Security, Letak Peralatan dan pengamanannya yang terdapat 5 risiko, dimana perusahaan harus melindungi peralatan (contoh : hardware, kabel, switch, server, dll) tersebut dari risiko terjadinya kerusakan fisik. c) Sub-klausul Secure areas dengan sub-sub klausul Protecting against external and environmental threats dan Securing offices, rooms, and facilities yang terdapat 4 risiko, dimana rumah sakit harus melindungi keamanan fisik untuk kantor, ruangan, dan fasilitas harus dirancang dan diterapkan oleh suatu organisasi terhadap kerusakan dari kebakaran, banjir, dan pencurian. 6 KESIMPULAN Berdasarkan pada hasil penelitian yang telah dilakukan, maka didapatkan kesimpulan yaitu: 1. Dari proses identifikasi risiko yang terdapat pada aplikasi healthy plus diperoleh 13 risiko dengan 25 kejadian risik, dengan demikian terdapat risiko yang 18

memiliki kejadian risiko lebih dari satu dikarenakan perbedaan penyebab. Untuk risiko yang paling banyak terjadi terdapat pada aset people dengan risiko penyalahgunaan hak akses dengan total kejadian risiko sebanyak lima kali. 2. Dari proses penilaian risiko menggunakan metode FMEA( Mode & Effect Analysis) didapatkan risiko yang mempunyai skor assessment tertinggi hingga terendah. Untuk risiko very high dengan nilai RPN (Risk Priority Number) sebesar 392, yaitu pada kategori risiko people dengan identifikasi risiko Penyalahgunaan hak akses dan untuk risiko paling rendah dengan nilai RPN 18 terdapat pada risiko Backup data failure. [8] R. Charette, "Software Engineering Risk Analysis and Management," 2008. [9] T. N. Archives, "What is an Information Asset?," The National Archives. [11] Peraturan Pemerintah Nomor 24, 2005. [12] Peraturan Menteri Kesehatan 269, 2008. [13] Laporan Akuntabilitas Kinerja Instansi Pemerintah (LAKIP) RSU Haji Surabaya, 2013. [14] ISO/IEC 27002, Information technology Security Techniques - Code of Practice for Information Security Management, 2005. [15] ISO/IEC 27001, 2005. [17] "http://www.comindwork.com/weekly/2014-07- 28/productivity/fishbone-diagram-Ishikawa," 28 07 2014. [Online]. 3. Dari hasil penilaian risiko menggunakan metode FMEA( Mode & Effect Analysis, maka diberikan penanganan atau tindakan pengendalian risiko untuk mengontrol risiko-risiko tersebut. Tindakan pengendalian untuk semua risiko-risiko tersebut mengacu pada ISO 27002 yang berfokus pada standarisasi Sistem Manajemen Keamanan Informasi (SMKI). Untuk risiko yang telah diidentifikasi diatas terdapat 14 sub-klausul yang digunakan, akan tetapi yang sering digunakan ada 3 sub-klausul yaitu User Access Management, Equipment security, dan Secure area. 7 SARAN Berdasarkan pelaksanaan penelitian tugas akhir ini, saran yang dapat diberikan agar bisa dijadikan rekomendasi untuk penelitian selanjutnya adalah Metode OCTAVE seharusnya menerapkan metode identify senior management knowledge, tetapi karena keterbatasan akses peneliti melakukan pendekatan dengan menanyakan bagaimana senior management dipandang dukungannya terhadap keamanan informasi oleh pihak operasional dan staf. Maka untuk penelitian selanjutnya perlu dipertimbangkan untuk melakukan penggalian informasi terhadap senior management di organisasi. DAFTAR PUSTAKA [1] P. Weill and M. Vitale, "Assessing the Health of an Information Systems Applications Portfolio: An Example from Process Manufacturing," MIS Quarterly, vol. 23, no. 4, pp. 601-624, 1999. [2] William R. Hersh Biomedical Information Communication Center, "The Electronic Medical Record: Promises and Problems". [3] I. S. Vered Holzmann, "Developing risk breakdown structure for information technology organizations," Science Direct, p. 10, 2010. [4] B. M. Susanto, "Mengukur Keamanan Informasi : Studi Komparasi ISO 27002 dan NIST 800-55," 2013. [5] S. SIM-RSU, Interviewee, Struktur Organisasi SIM- RSU Haji Surabaya. [Interview]. 10 03 2015. [6] R. E. McDermott, R. J. Mikulak and R. M. Beauregard, The Basic of FMEA, New York: CRC Press Taylor & Francis Group, 2009. [7] A. J. Dorofee and C. J. Alberts, "OCTAVE Criteria, Version 2.0," 2001.

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan