Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
ANALISIS RISIKO KEAMANAN SISTEM INFORMASI
MENGGUNAKAN ISO 27005 PADA INSTANSI XYZ
Irvan1.
MHD.
Agung Rizaldy2.
Megawati3
1,2,3
Prodi Sistem Informasi.
Fakultas Sains dan Teknologi.
Universitas Sultan Syarif Kasim Riau.
Indonesia email: 12150313710@students.
uin-suska.
Abstract The public service application at XYZ Agency is a system used to support infrastructure and communication management and the provision of public services.
However, this system faces various information security risks, such as data leakage and operational disruption threats.
This research aims to conduct a risk assessment of possible threats using the ISO 27005 standard.
The results showed that of the 13 risk scenarios identified, 12 risks were at a moderate level, while the highest risk was server down.
Risk handling strategies include risk modification (RM) for most scenarios, as well as a combination of other strategies such as risk avoidance (RA) and risk sharing (RS).
Suggestions for risk mitigation include the implementation of controls such as information backup (A.
through regular data backups, both local and cloud, controls against malware (A.
for the prevention of malicious software, and equipment maintenance (A.
to ensure hardware continues to function optimally.
This research concludes that ISO 27005 is the right standard to identify, assess and manage information security risks.
Keywords: ISO 27005.
Information Security.
Risk Mitigation.
Public Service Applications.
Risk Assessment.
Abstrak Aplikasi pelayanan masyarakat di Instansi XYZ merupakan sistem yang digunakan untuk mendukung pengelolaan infrastruktur dan komunikasi serta penyediaan layanan publik.
Namun, sistem ini menghadapi berbagai risiko keamanan informasi, seperti kebocoran data dan ancaman gangguan operasional.
Penelitian ini bermaksud untuk melaksanakan penghitungan risiko terhadap kemungkinan ancaman dengan mengaplikasikan standar ISO 27005.
Hasil penelitian menunjukkan bahwa dari 13 skenario risiko yang diidentifikasi, 12 risiko berada pada tingkat sedang, sementara risiko tertinggi adalah server down.
Strategi penanganan risiko meliputi risk modification (RM) untuk sebagian besar skenario, serta kombinasi strategi lain seperti risk avoidance (RA) dan risk sharing (RS).
Saran untuk mitigasi risiko termasuk penerapan kontrol seperti information backup (A.
melalui pencadangan data secara berkala, baik server lokal maupun online , controls against malware (A.
untuk pencegahan perangkat lunak berbahaya, dan equipment maintenance (A.
untuk memastikan hardware tetap berfungsi optimal.
Penelitian ini menyimpulkan bahwa ISO 27005 adalah standar yang tepat untuk mengidentifikasi, menilai, dan mengelola risiko keamanan informasi.
Kata kunci: ISO 27005.
Keamanan Informasi.
Mitigasi Risiko.
Aplikasi Pelayanan Masyarakat.
Penilaian Risiko Diajukan: 26 Desember 2024.
Direvisi: 19 April 2025.
Diterima: 1 Juni 2025
PENDAHULUAN
Sistem informasi saat ini tidak hanya digunakan di dunia bisnis, tetapi juga digunakan di berbagai bidang, termasuk pendidikan, pemerintahan, industri, dan masih banyak lagi.
Instansi XYZ merupakan salah satu bidang pemerintahan yang berwenang untuk mengatur sarana dan prasarana teknologi informasi dan komunikasi daerah, sangat bergantung pada integritas, ketersediaan, dan kerahasiaan data serta sistem informasi yang dikelola.
Namun sistem informasi sering menghadapi risiko ancaman keamanan sistem Risiko merupakan sebuah ketidakpastian yang bisa menghambat organisasi untuk mencapai tujuan bisnis .
Risiko dipengaruhi oleh Risk Driver dan Risk Control, dimana Risk Drivers merupakan faktor yang meningkatkan ketidakpastian.
Ketika sistem informasi terancam, proses sistem akan terganggu, terutama dalam hal keamanan data dan informasi.
Ancaman serangan seperti malware, peretasan Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Journal Informatics NIVEDITA | 101 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
, dan kebocoran data .
ata breache.
telah menjadi isu yang semakin mendesak bagi instansi Sangat penting untuk mengelola risiko keamanan informasi untuk memastikan sistem informasi institusi pemerintah aman karena gangguan dapat mengganggu pelayanan publik dan menghilangkan kepercayaan masyarakat terhadap pemerintah.
Analisis risiko keamanan bertujuan untuk mengidentifikasi berbagai ancaman dan potensi risiko.
Kajian terkait pengelolaan keamanan informasi diterapkan untuk menjaga sumber daya dalam sistem dari ancaman seperti kebocoran data serta untuk mencegah akses berizin masuk ke dalam sistem informasi.
ISO 27005 merupakan salah satu kerangka kerja dalam mengevaluasi dan menganalisa tingkat risiko keamanan sistem informasi.
ISO 27005 merupakan prosedur sistematis yang dirancang untuk mengelola risiko keamanan sistem informasi.
Standar ini membantu menentukan kebutuhan organisasi dalam menjaga keamanan informasi serta membangun Sistem Manajemen Keamanan Informasi (SMKI) yang efektif.
Berdasarkan penelitian hikam .
dengan menggunakan kerangka kerja ISO 27005, perusahaan dapat memastikan bahwa ancaman terhadap aset informasi mereka diidentifikasi secara tepat dan dikendalikan dengan langkah yang terstruktur .
ISO 27005 sebuah standar yang memberikan panduan terperinci dalam pengelolaan risiko keamanan Standar ini dirancang untuk membantu individu atau organisasi dalam merumuskan strategi pengelolaan keamanan informasi yang efektif.
Prosesnya dimulai dengan langkah identifikasi risiko, yang memungkinkan organisasi mengenali potensi ancaman dan kerentanan terhadap sistem informasi mereka.
Setelah risiko berhasil diidentifikasi, dilakukan analisis mendalam untuk menentukan langkah-langkah penanganan atau mitigasi yang tepat guna mengurangi dampak yang mungkin terjadi.
ISO 27005 dipilih sebagai kerangka acuan karena dianggap menyediakan pendekatan yang lebih mudah dan sistematis dalam mengelola keamanan informasi, sehingga organisasi dapat lebih efisien dalam melindungi aset informasi mereka dari berbagai ancaman yang ada.
Adanya risiko manejemen keamanan sistem informasi maka diperlukan evaluasi dan analisa terhadap risiko tersebut untuk mengetahui ancaman risiko yang terjadi dan mengetahui tingkat risiko keamanan sistem informasi.
Berdasarkan penelitian yang dilakukan oleh Sahira dan Leasa.
Penerapan analisis keamanan sistem informasi menggunakan standar ISO 27005 bertujuan untuk mengelola risiko keamanan sistem informasi secara efektif, setiap ancaman yang mungkin terjadi dapat ditangani secara optimal dan menjadi bahan pertimbangan saat mengembangkan sistem informasi.
, .
Dengan demikian, penelitian ini tidak hanya relevan dalam konteks peningkatan keamanan sistem informasi di Instansi XYZ, tetapi juga diharapkan dapat menyumbangkan partisipasi yang signifikan dalam pengembangan kebijakan keamanan informasi risiko di lingkungan pemerintahan daerah.
METODE
Dalam sistem informasi milik instansi XYZ, analisis risiko keamanan informasi dilakukan dengan menerapkan standar ISO 27005.
Standar internasional ini memberikan panduan untuk mengelola risiko keamanan informasi secara sistematis .
Pendekatan ini harus disesuaikan dengan karakteristik lingkungan perusahaan serta terintegrasi dengan kerangka manajemen risiko perusahaan secara keseluruhan .
Data untuk penelitian ini diperoleh melalui konsultasi dengan pihak yang bertanggung jawab atas manajemen sistem informasi.
Proses penelitian yang dilakukan dirangkum dalam langkah-langkah yang ditunjukkan pada Gambar 1.
Mulai Pengumpulan Data Penetapan Manajemen Resiko dengan ISO 27005:2019 Penetapan Konteks Penilaian Resiko Identifkasi Resiko Analisis Resiko Evaluasi Resiko Penanganan Resiko Selesai Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Journal Informatics NIVEDITA | 102 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
Gambar 1.
Metodologi penelitian Proses ini dimulai dengan penentuan strategi dan prosedur untuk mengelola risiko keamanan Langkah pertama mencakup pengumpulan data, yang dilakukan melalui wawancara, observasi, dan penelitian pustaka.
Data ini memberikan gambaran tentang keadaan sistem informasi, aset yang dimiliki, potensi ancaman, dan kontrol keamanan yang telah diterapkan.
Selanjutnya, proses dimulai dengan penetapan sistem manajemen risiko.
Pada titik ini, penetapan konteks dilakukan untuk menentukan jangkauan analisis.
Peneliti menemukan sumber daya penting sistem, memahami prosedur bisnis yang mendukungnya, dan menyesuaikan tujuan analisis risiko dengan standar yang telah ditentukan.
Penetapan konteks ini menjamin bahwa semua bagian yang berpartisipasi dalam tindakan manajemen risiko memiliki pengetahuan yang sama tentang arah dan tujuan proses tersebut.
Penilaian risiko adalah bagian krusial dari pengelolaan risiko, yang mencakup tiga langkah utama yaitu identifikasi risiko, analisis risiko, dan evaluasi risiko.
Identifikasi risiko mencakup pendataan aset, ancaman, kelemahan, dan kontrol yang ada untuk mengidentifikasi sumber-sumber risiko.
Selanjutnya, risiko yang telah diidentifikasi dianalisis berdasarkan kemungkinan terjadi dan efeknya terhadap sistem, sehingga tingkat risiko dapat ditentukan.
Untuk membantu pengambilan keputusan, tahap evaluasi risiko menghasilkan daftar risiko yang dikategorikan berdasarkan tingkatannya, seperti rendah, sedang, atau Penanganan risiko dilakukan setelah penilaian risiko selesai.
Mengalihkan risiko kepada pihak ketiga, seperti penyedia asuransi, atau meningkatkan kontrol keamanan untuk mengurangi risiko, menerima risiko tertentu yang dianggap dapat ditoleransi, atau menghindari aktivitas berisiko untuk menghilangkan risiko sepenuhnya adalah beberapa strategi yang dapat digunakan.
Tujuan dari tindakan ini adalah untuk membenarkan bahwa risiko yang teridentifikasi dapat dikurangi atau dikelola dengan cara yang paling Proses ini diakhiri dengan penerapan langkah-langkah mitigasi yang direkomendasikan, sehingga sistem informasi lebih terlindungi dari potensi ancaman.
Alur ini menggambarkan pendekatan sistematis dalam mengelola risiko keamanan informasi, dimulai dari pengumpulan data hingga penanganan risiko, sesuai dengan pedoman ISO 27005.
HASIL DAN PEMBAHASAN
Dalam penelitian ini, kerangka kerja yang digunakan yaitu ISO 27005 untuk manajemen risiko keamanan sistem informasi di instansi pemerintah XYZ.
Proses penilaian risiko dimulai dengan identifikasi dan kemudian melakukan analisis risiko yang mungkin terjadi untuk menghasilkan hasil yang dibutuhkan dalam proses evaluasi.
Penetapan Konteks Langkah manajemen risiko yang dilaksanakan dalam penelitian ini berasal dari kerangka kerja ISO 27005, dengan ruang lingkup studi yang mencakup tiga fase, yaitu penetapan konteks, penilaian risiko, dan penanganan risiko.
Setiap tahapan dirancang secara terstruktur untuk memastikan setiap potensi risiko keamanan informasi dapat diidentifikasi, dianalisis, dan ditangani secara efektif sesuai dengan prinsipprinsip standar ISO 27005.
Penilaian Risiko Proses penilaian risiko keamanan sistem informasi di instansi XYZ melibatkan tiga tahap utama yang saling berkesinambungan.
Tahap pertama adalah identifikasi risiko, di mana potensi ancaman terhadap sistem informasi diidentifikasi secara rinci.
Selanjutnya, tahap analisis risiko yang bertujuan untuk memahami tingkat keparahan dan dampak dari setiap risiko yang teridentifikasi.
Terakhir, tahap evaluasi risiko bertujuan untuk menilai prioritas risiko dan menentukan langkah mitigasi yang sesuai guna mengurangi dampaknya terhadap keamanan sistem informasi.
Identifikasi Risiko Proses identifikasi risiko dalam penelitian ini terdiri dari beberapa prosedur utama yang dirancang secara teratur sesuai dengan kerangka kerja ISO 27005.
Langkah pertama adalah identifikasi aset, di mana aset informasi yang perlu dilindungi diidentifikasi dan dipetakan.
Selanjutnya, dilakukan identifikasi ancaman untuk mengenali potensi sumber risiko yang dapat mengganggu keamanan aset tersebut.
Proses ini diikuti dengan identifikasi kontrol yang ada .
xisting control.
, yaitu langkah untuk menginventarisasi mekanisme perlindungan atau pengendalian yang sudah diterapkan.
Terakhir, dilakukan identifikasi kerentanan .
guna mengungkap titik lemah yang dapat dieksploitasi oleh ancaman.
Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Journal Informatics NIVEDITA | 103 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
Pendekatan ini memastikan bahwa seluruh aspek risiko keamanan informasi teridentifikasi secara komprehensif dan terstruktur.
Pada tahap identifikasi aset, fokus diberikan pada aset-aset yang dimiliki oleh Instansi XYZ dalam operasional aplikasi Pelayanan.
Aset-aset tersebut diklasifikasikan ke dalam dua kategori utama:
Aset Utama: Aplikasi pelayanan, yang menjadi pusat aktivitas operasional dan penyediaan layanan kepada pengguna.
Aset Pendukung: Infrastruktur teknologi dan perangkat seperti perangkat keras .
dan perangkat lunak .
, yang mendukung operasional aplikasi tersebut Identifikasi yang terperinci ini bertujuan untuk memahami secara komprehensif elemen-elemen yang harus dilindungi serta hubungan antara aset utama dan pendukung, sehingga dapat mempermudah proses analisis ancaman dan kerentanan dalam tahapan berikutnya.
Identifikasi ancaman pada aset teknologi informasi yang dimiliki instansi XYZ, risiko dapat bersumber dari alam dan kelalaian pengguna yang disajikan pada Tabel 1.
dengan kode PK melambangkan aset perangkat keras dan kode PL untuk aset perangkat lunak.
Tabel 1.
Identifikasi aset dan ancaman Aset
Perangkat Keras Perangkat
Lunak
Kod
PK1
PK2
PK3
PK4
PK5
PK6
PK7
PL1
Ancaman Kebakaran Bencana Alam
Pemadaman Listrik
Koneksi Jaringan Terputus Kegagalan/ Rusaknya Hardware Kesalahan Pengguna Server Down
Akses Data oleh Pihak yang tidak Berwenang Serangan Virus
Kesalahan Pengguna Login Secara Paksa
Serangan DDoS
Kebocoran dan Hilangnya Data
PL2
PL3
PL4
PL5
PL6
Tabel 1.
Menyajikan hasil identifikasi risiko yang mencakup berbagai ancaman potensial terhadap sistem informasi.
Ancaman-ancaman ini dikategorikan ke dalam dua jenis utama, yaitu ancaman alam .
eperti bencana ala.
dan ancaman manusia .
eperti kesalahan pengguna atau serangan sibe.
Untuk mempermudah proses identifikasi dan analisis risiko di tahap selanjutnya, setiap ancaman diberi kode khusus yang terhubung dengan aset yang dimiliki.
Tabel 2.
Berisi hasil identifikasi kontrol yang ada dan kerentanan yang terkait dengan aset.
Identifikasi kontrol yang ada bertujuan untuk mengevaluasi mekanisme perlindungan yang telah diterapkan pada aset, dengan fokus pada efisiensi untuk mencegah pengeluaran biaya yang tidak perlu.
Sementara itu, identifikasi kerentanan mencakup penilaian terhadap titik lemah pada aset yang dapat dimanfaatkan oleh Kedua tabel ini memberikan landasan untuk pengembangan strategi mitigasi risiko yang lebih Tabel 2.
Identifikasi kontrol dan kerentanan Aset Kontrol yang ada Menyediakan Perangkat Keras Mempersiapkan Lokasi dengan Menyediakan pembangkit Listrik Kerentanan Kurangnya kewaspadaan dalam menggunakan api di sekitar area Bencana alam Listrik yang tidak stabil Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Journal Informatics NIVEDITA | 104 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
Aset Kontrol yang ada Perbaikan atau menghubungi pihak ketiga Melakukan pengecekan perangkat secara berkala Edukasi penggunaan perangkat Melakukan pemeliharaan secara Melakukan verifikasi Memperbarui antivirus secara Perangkat Lunak Edukasi penggunaan perangkat Akses diberikan kepada pengguna yang berhak Meningkatkan keamanan sistem Terapkan prosedur backup yang otomatis dan terjadwal.
Kerentanan Koneksi Jaringan yang tidak stabil Kurangnya maintenance perangkat Kurangnya pengetahuan pengguna Server Mengubah data tanpa izin Gangguan pada layanan yang disebabkan oleh virus yang tidak Kurangnya penggunaan perangkat lunak Tidak ada Batasan hak akses Meningkatnya lalu lintas jaringan Celah keamanan dalam aplikasi yang memungkinkan akses ilegal ke Tabel 2 memuat informasi mengenai identifikasi kontrol yang ada .
xisting control.
serta kerentanan .
yang terkait dengan aset yang dimiliki oleh instansi XYZ.
Kontrol yang ada menggambarkan langkah-langkah atau mekanisme perlindungan yang diterapkan untuk menghadapi ancaman atau mengurangi dampak kerentanan yang muncul dalam aktivitas operasional saat ini.
Sementara itu, kerentanan mencakup titik lemah atau risiko yang dapat muncul pada berbagai kegiatan atau proses yang bergantung pada aset organisasi.
Dalam konteks perangkat keras dan perangkat lunak, kerentanan yang paling signifikan ditemukan pada aplikasi layanan masyarakat, yang menjadi fokus utama.
Hal ini dikarenakan aplikasi tersebut merupakan elemen vital dalam mendukung layanan publik, sehingga rentan terhadap ancaman teknis maupun nonteknis.
Identifikasi ini bertujuan untuk memastikan bahwa langkah pengendalian yang diterapkan mampu melindungi aset-aset kritis organisasi secara optimal.
Analisis Risiko Pada tahap ini akan dilakukan evaluasi terhadap risiko yang telah diidentifikasi sebelumnya.
Kemungkinan risiko dan kategori dampak terjadinya risiko akan digunakan untuk menentukan nilai ini.
Dengan tingkatan kemungkinan risiko diawali dari sangat tidak mungkin .
, tidak mungkin .
, mungkin .
, besar kemungkinan .
dan sering .
, dengan nilai tingkatan mulai dari 1 sampai 5.
Tingkat dampak terjadinya risiko mulai dari dampak yang tidak berpengaruh hingga dampak yang sangat berpengaruh dan memunculkan gangguan pada pelayanan.
Tingkatan dari akibat ancaman risiko, mulai dari sangat rendah .
, rendah .
, sedang .
, tinggi .
dan sangat tinggi .
, dengan tingkat dampak yang berkisar dari sangat rendah .
hingga sangat tinggi .
, analisis risiko berikut ini didasarkan pada penilaian nilai ancaman dan dampaknya.
, dapat dilihat pada tabel 3.
di bawah ini Tabel 3.
Analisis risiko Aset Perangkat Keras Kontrol yang ada Kerentanan Nilai Ancaman Nilai Dampak Menyediakan pemadam kebakaran Kurangnya kewaspadaan dalam menggunakan api di sekitar area kantor.
Tidak Sedang Bencana alam Tidak Tinggi Listrik yang tidak stabil Mungkin Sedang Mempersiapkan Lokasi dengan memperhatikan aspek keamanannya Menyediakan Listrik Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Journal Informatics NIVEDITA | 105 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
Aset Kontrol yang ada Perbaikan Melakukan pengecekan perangkat secara berkala Edukasi Melakukan Melakukan verifikasi Memperbarui antivirus secara berkala Perangkat Lunak Edukasi perangkat lunak Akses diberikan kepada pengguna yang berhak Meningkatkan Terapkan backup yang otomatis dan terjadwal.
Kerentanan Nilai Ancaman Nilai Dampak Koneksi Jaringan yang tidak stabil Besar Sedang Kurangnya maintenance perangkat keras Kurangnya pengetahuan Tidak Tidak Server menerima banyak Besar Sangat Tinggi Mengubah data tanpa izin Tidak Sedang Mungkin Sedang Mungkin Tinggi Mungkin Tinggi Meningkatnya lalu lintas jaringan internet Mungkin Tinggi Celah keamanan dalam ilegal ke data.
Mungkin Rendah Gangguan pada layanan yang disebabkan oleh Kurangnya pengetahuan penggunaan perangkat Tidak ada Batasan hak Sedang Sedang Dalam analisis risiko ini, penilaian dilakukan berdasarkan dua pendekatan, yaitu kualitatif dan Penilaian kualitatif mempertimbangkan potensi ancaman dan risiko secara deskriptif, dengan fokus pada analisis mendalam terhadap kemungkinan dampak dari ancaman tersebut.
Sebaliknya, dalam pendekatan kuantitatif, hasil analisis risiko diekspresikan dalam bentuk angka.
Penilaian kuantitatif dilakukan dengan menghitung nilai risiko yang diperoleh dari perhitungan antara nilai peluang terjadinya ancaman dan nilai dampaknya.
Berdasarkan matriks penilaian risiko, tingkat risiko dikelompokkan menjadi beberapa golongan utama yaitu risiko rendah dengan kemungkinan dan dampak minimal, risiko sedang dengan kemungkinan atau dampak yang menengah dan risiko tinggi dengan kemungkinan dan dampak yang signifikan.
Setelah analisis risiko dilakukan, dibuat daftar prioritas risiko untuk membantu menentukan langkah mitigasi yang tepat.
Daftar ini disusun berdasarkan nilai risiko yang diidentifikasi sebelumnya, dengan hasil penilaian disajikan secara rinci dalam Tabel 4.
Tabel ini menjadi panduan untuk memfokuskan sumber daya pada pengelolaan risiko dengan tingkat prioritas tertinggi.
Tabel 4.
Hasil penilaian risiko
Kode
PK1
PK2
PK3
PK4
PK5
PK6
PK7
PL1
PL2
Nilai Ancaman Nilai Dampak Nilai Risiko Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Level Risiko Sedang Sedang Sedang Sedang Sedang Sedang Sangat Tinggi Sedang Sedang Journal Informatics NIVEDITA | 106 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
Nilai Ancaman Kode
PL3
PL4
PL5
PL6
Nilai Dampak Nilai Risiko Level Risiko Sedang Sedang Sedang Sedang Berdasarkan Tabel 4.
Hasil penilaian tingkat risiko menunjukkan rata-rata berada pada level risiko Namun, dari berbagai ancaman yang teridentifikasi, ancaman tertinggi terdapat pada kode aset PK7, yaitu ketika terjadi server down.
Evaluasi Risiko Pada proses ini, hal pertama yang dikerjakan adalah membuat matriks penilaian risiko yang didasarkan pada hubungan antara nilai ancaman dan nilai dampak.
Harapan dari matriks ini ialah untuk menemukan dan menvisualisasikan tingkat risiko berdasarkan kombinasi kedua parameter tersebut.
Tabel Menunjukkan secara rinci hubungan antara tingkat ancaman dan dampak terhadap aset teknologi informasi, sehingga memudahkan dalam menentukan prioritas mitigasi risiko.
Tabel 5.
Matrik penilaian risiko
Nilai Dampak Nilai Ancaman PK1,PK5,PK6 ,PL1 PK2
PL6
PK3,PL2
PK4
PL3,PL4,PL
PK7
Risiko dikategorikan berdasarkan tingkat keparahan dan kemungkinan terjadinya.
Risiko rendah .
memiliki dampak kecil dan kemungkinan rendah, memerlukan pengawasan minimal.
Risiko sedang .
berdampak cukup signifikan atau kemungkinan sedang, membutuhkan mitigasi lebih serius.
Risiko tinggi .
berdampak besar atau sangat mungkin terjadi, memerlukan tindakan segera dan pengelolaan intensif.
Berdasarkan tabel 5.
Diatas hasil dari proses pembuatan matrik penilaian risiko menunjukkan bahwa rata rata tingkat risiko berada pada level sedang, selain itu terdapat juga risiko yang berada di level tinggi yaitu server down.
Daftar level risiko atau ancaman yang berpotensi terjadi dapat dilihat pada tabel 6.
Berikut.
Tabel 6.
Daftar level risiko
Level risiko
Rendah
Sedang Tinggi Kode
PK1,PK2,PK3,PK4,PK5,PK6,PL1,PL2,PL3,PL4,PL5,PL6
PK7
Penanganan Risiko Pada tahap ini, proses pengambilan keputusan terkait tindakan penanganan risiko dilakukan didasari oleh hasil analisis terhadap tingkat kemungkinan dan akibat dari setiap ancaman yang teridentifikasi.
Tindakan penanganan risiko ini terbagi ke dalam empat strategi utama, yaitu: modifikasi risiko (Risk Modification/RM), mempertahankan risiko (Risk Retention/RR), menghindari risiko (Risk Avoidance/RA), dan membagi risiko (Risk Sharing/RS).
Modifikasi risiko (Risk Modificatio.
dilakukan dengan tujuan mengurangi tingkat kemungkinan terjadinya ancaman atau menurunkan dampaknya melalui perubahan pada sistem, proses, atau prosedur yang ada.
Mempertahankan risiko (Risk Retentio.
merupakan pendekatan untuk menerima dan menanggung risiko tertentu jika dianggap kecil atau jika biaya mitigasi melebihi potensi kerugian.
Menghindari risiko (Risk Avoidanc.
melibatkan penghapusan sepenuhnya terhadap potensi risiko dengan cara menghindari aktivitas atau keputusan yang dapat memicu ancaman.
Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Journal Informatics NIVEDITA | 107 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
Membagi risiko (Risk Sharin.
dilakukan dengan mengalihkan sebagian atau seluruh risiko kepada pihak ketiga, seperti melalui asuransi atau kerja sama dengan penyedia layanan.
Hasil dari penilaian risiko yang mencakup identifikasi ancaman, penentuan tingkat risiko, dan pemilihan strategi penanganannya, disajikan secara sistematis pada Tabel 7.
Penyajian ini digunakan untuk menyajikan pemahaman yang menyeluruh terkait prioritas mitigasi risiko, alokasi sumber daya, serta langkah-langkah strategis yang perlu diambil untuk memastikan keberlanjutan operasional sistem dan Tabel 7.
Hasil penilaian risiko
PK1
Level Risiko
Sedang Biaya
Sedang Penanganan Risiko
PK2
Sedang Tinggi PK3
Sedang Rendah
PK4
Sedang Sedang PK5
Sedang Tinggi PK6
PK7
PL1
PL2
PL3
Sedang Tinggi Sedang Sedang Sedang Sedang Tinggi Sedang Sedang Tinggi PL4
Sedang Rendah
PL5
Sedang Tinggi PL6 Sedang Tinggi Kode Keterangan Menyediakan alat pemadam kebakaran Mempersiapkan Lokasi memperhatikan aspek keamanannya Menyediakan Listrik Perbaikan atau menghubungi pihak Melakukan secara berkala Edukasi penggunaan perangkat Melakukan pemeliharaan secara berkala Melakukan verifikasi Memperbarui antivirus secara berkala Edukasi penggunaan perangkat lunak Akses diberikan kepada pengguna yang Meningkatkan Terapkan prosedur backup yang otomatis dan terjadwal.
Hasil dari mitigasi ini umumnya berada pada risk modification (RM).
Namun untuk kode aset PK7 mendapat level risiko tinggi dengan biaya perbaikan tinggi, maka untuk penanganan risiko yang dilakukan yaitu risk avoidance (RA).
Berlandaskan pada hasil analisis penilaian risiko yang terdapat pada Tabel 7.
Maka saran yang cocok untuk mengatasi risiko pada keamanan sistem informasi aplikasi pelayanan masyarakat menggunakan ISO 27005 yaitu:
Tindakan Pengelolaan kode PK1 dan PK2 yaitu equipment sitting and protection (A.
dengan menyediakan peralatan untuk melindungi setiap aset dari ancaman.
Tindakan Pengelolaan pada kode PK3 dan PK4 yaitu supporting utilities (A.
dengan menggunakan pembangkit listrik cadangan dan memperbarui perangkat yang sudah usang.
Tindakan Pengelolaan kode PK5 yaitu equipment maintenance (A.
dengan memelihara perangkat keras secara berkala.
Tindakan Pengelolaanl kode PK6 dan kode PL3 yaitu management responsibilities (A.
dengan mengajarkan pengguna bagaimana menggunakan sistem informasi dengan tepat.
Tindakan Pengelolaan kode PL2 yaitu controls against malware (A.
dengan meminimalisir dan melacak perangkat lunak yang memiliki potensi kerugian.
Tindakan Pengelolaan PL5 yaitu installation of software on operational systems (A.
dengan mengubah sistem operasi yang ada dan meningkatkan keamanan melalui pengunaan firewall & VPN.
Tindakan Pengelolaan kode PK7.
PL1.
PL4 dan PL6 yaitu information backup (A.
dengan melakukan backup data secara berkala.
Journal Informatics NIVEDITA by Universitas Hindu Negeri I Gusti Bagus Sugriwa Denpasar is licensed under CC BY-NC-SA 4.
Journal Informatics NIVEDITA | 108 Vol.
No.
Juni 2025
ISSN 3089-8366
(Media Onlin.
KESIMPULAN Berdasarkan hasil analisis risiko keamanan sistem informasi pada aplikasi pelayanan masyarakat di Instansi XYZ dengan menggunakan standar ISO 27005, ditemukan 13 potensi risiko yang mungkin terjadi.
Risiko tersebut meliputi dari 1 ancaman pada tingkat tinggi dan 12 risiko pada tingkat sedang.
Untuk mitigasi risiko keamanan sistem informasi, direkomendasikan penerapan sejumlah kontrol sesuai dengan standar ISO 27005, antara lain: Equipment Sitting and Protection (A.
Supporting Utilities (A.
Equipment Maintenance (A.
Management Responsibilities (A.
Controls Against Malware (A.
Installation of Software on Operational Systems (A.
, serta Information Backup (A.
Analisis risiko keamanan sistem informasi harus dilanjutkan pada aplikasi pelayanan masyarakat Ini disarankan untuk melakukan studi lebih lanjut untuk mendapatkan pengetahuan yang lebih mendalam dan khusus mengenai potensi ancaman keamanan informasi di berbagai konteks aplikasi pelayanan publik.
DAFTAR PUSTAKA