Penilaian Manajemen Risiko TI Menggunakan Quantitative dan Qualitative Risk Analysis

Abstrak Menurut Pepres no. 95 Tahun 2018, rumah sakit diwajibkan memiliki dan menggunakan teknologi informasi dalam segala pelayanannya. Instalasi IT ( Information Technology ) merupakan unit departemen pada RSUD XYZ yang memiliki fungsi dalam mengatur dan mengelola semua penggunaan TI (Teknologi Informasi) dalam rumah sakit, untuk menjauhkan hal yang tidak diinginkan butuh penilaian manajemen risiko buat meminimalkan ancaman atau risiko yang bisa terjadi. Metode Analisis yang digunakan pada penelitian ini ada dua yaitu Quantitative dan Qualitative Risk Analysis . Dimana nantinya untuk metode QRA ( Quantitative Risk Analysis ) lebih fokus pada analisis perawatan aset TI untuk menemukan faktor risiko yang memerlukan penanganan utama dan perhatian khusus. Sedangkan untuk metode qualitative Risk Analysis menggunakan panduan NIST SP 800-30 untuk menganalisis berbagai atribut ancaman dan risiko, agar dapat menghasilkan rekomendasi kontrol pada Instalasi IT RSUD XYZ. Hasil penelitian dari penilaian risiko menurut metode QRA, ditemukan bahwa ada pada aset TI jenis Server mempunyai perhitungan untuk menjadi potensi kerugian terburuk bagi rumah sakit. Hal ini dapat dilihat dari aspek risiko dimana kehilangan daya listrik mempunyai potensi kerugian terbesar. Untuk penilaian manajemen risiko kualitatif dengan NIST SP 800-30 menunjukkan bahwa sumber ancaman listrik dan jaringan internet memiliki tingkat risiko yang tinggi. Tingkat risiko ini bisa didapati pada waktu proses pengolongan sumber-sumber ancaman. Saat semua hasil analisis risiko sudah dikemukakan, hal itu dapat memberikan hasil rekomendasi risiko untuk diberikan kepada pihak management ataupun instalasi IT. Untuk nantinya dapat membantu manajemen senior dalam membuat keputusan tentang kebijakan, prosedur, anggaran, dan operasional sistem dan perubahan manajemen. Kata kunci: qualitative risk analysis, nist sp 800-30, penilaian manajemen risiko, aset ti Abstract According to Pe rpres no. 96 of 2018, hospitals are required to have and use information technology in all their services. The IT installation is a departmental unit at XYZ Hospital which has a function in regulating and managing all IT usage in the hospital. To stay away from unwanted things, a risk management assessment is needed to minimize any threats or risks that can occur. There are 2 methods of analysis used in this study, namely Quantitative and Qualitative Risk Analysis. Wh ich later for the Quantitative Risk Analysis (QRA) method, it focuses more on analyzing IT asset maintenance to find risk factors that require primary handling and special attention. Meanwhile, the Qualitative Risk Analysis method uses the NIST SP 800-30 guide to analyze various threat and risk attributes, in order to produce control recommendations on the XYZ Hospital IT Installation. The results of the research from the risk assessment according to the QRA method, it was found that the server type IT assets have calculations to be the worst potential loss for the hospital. This can be seen from the aspects of the risks (threats) where the loss of electrical power has the greatest potential loss. The qualitative risk management assessment using NIST SP 800-30 shows that the threat of electricity and internet networks has a high level of risk . When all the results of the risk analysis have been presented, it can provide the results of risk recommendations to be given to the management or IT installation. Keywords: qualitative risk analysis, nist sp 800-30, risk management assessment, it asset