TUGAS SIM-DEWI-YANANTO MIHADI PUTRA,SE,M.Si-IMPLEMENTASI SISTEM INFORMASI-2018

1. SISTEM INFORMASI MANAJEMEN
Implementasi Sistem Informasi
Dewi [ 43217110134 ]
Dosen Pengampu : Yananto Mihadi Putra, SE, M.Si
ABSTRACK : Bagaimana implementasipenerapan manajemen keamanan informasi
pada perusahaan? Apa dampak positif dan negatif dari penerapan manajemen
keamanan informasi? Apabila proses tersebut tidak berjalan maksimal, apakah
dampaknya bagi perusahaan.
BAB. X
IMPLEMENTASI SISTEM INFORMASI
Manajemen resiko adalah suatu fungsional manajemen yang bersifat umum bertugas
mengidentifikasi, menilai dan menunjukan penyebab serta dampak yang timbul dari ketidak
pastian dan resiko pada suatu organisasi / perusahaan. Sebelum anda membaca artikel dan
pembahasanmengenaimanajemenresiko,sebaiknyaandamengenaliterlebihdahulutentang
resiko itu sendiri.
Pengertian manajemen resiko bisa didefinisikan juga sebagai suatu pendekatan terstruktur /
metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu
rangkaian aktivitas manusia termasuk Penilaian resiko, pengembangan strategi untuk
mengelolanya dan mitigasi resikodengan menggunakan pemberdayaan / pengelolaan
sumberdaya.Strategiyangdapatdiambilantaralainadalahmemindahkanresikokepadapihak

2. lain, menghindari resiko, mengurangi efek negatif resiko, dan menampung sebagian atau
semua konsekuensi resiko tertentu.
Fungsional Manajemen Resiko Pada Perusahaan Beresiko Tinggi
Seperti yang diketahui secara umum bahwa perusahaan tidak terlepas dari apa yang
dinamakan manajemen. Manajemen sendiri merupakan suatu kegiatan perusahaan berawal
dari input sumberdaya yang dimiliki, kemudian diproses menggunakan pendekatan POAC
(planning, organizing, actuating, controling) sehinggamenghasilkan output yang efektif serta
efisien.
Pada bagian mana manajemen diperlukan sebuah perusahaanuntukberoprasi?Jawabannya
adalah pada semua fungsionalnya. Jika ditanya tentang fungsi perusahaan, secara umum
terdiri dari 4 fungsi (produksi / operasi, keuangan, SDM dan pemasaran). Pada perusahaan
tertentu dibutuhkan fungsi tambahan misal R&D (terutama pada industri teknologi) agar
perusahaan tersebut dapat bersaing dan “survive”. Lain halnya dengan perusahaan yang
memiliki resiko tinggi.
Perusahaan yang memiliki resiko tinggi seperti misalnya perusahaan perbankan dan
penerbangan biasanya memiliki fungsi/ divisi / departemen yangdipimpin khususoleh sorang
manajer untuk menangani resiko. Perbankan membutuhkan departemen khusus untuk
menangani resiko kredit macet. Perusahaan penerbangan membutuhkan divisi resiko untuk
menangani hal-hal terkait dengan resiko keselamatan penerbangan itu sendiri.
Aktifitas Manajemen Resiko Pada Organisasi dan Perus ahaan

3. Dampak kerugian akibat ketidak pastian selalu menjadi ancaman setiap organisasi dan
perusahaan, apapun bentuk perusahaannya. Terdapat 6 aktifitas manajemen resiko yang
umum dilakukan untuk menanggulangi atau setidaknya mengurangi kemungkinan peluang
terjadinya resiko kerugian.
1. Membantu organisasi / perusahaan dalam mengidentifikasi resiko.
2. Mengimplementasikan program-program pengendalian dan pencegahan kerugian.
Pada perusahaan umum sering anda dengar tentang program SMK3 (Sistem
manajemen kesehatan dan keselamatan kerja).
3. Menyelenggarakan program pendidikan dan pelatihan penanganan resiko.
4. Menjamin pemenuhan standar-standar keamanan.
5. Mengatur kerja sama penjaminan resikodan klain, misal dengan jamsostek dan BPJS.
6. Merancang dan mengkoordinasikan programkesejahteraan karyawan. Kesejahteraan
karyawan disini bukan berbentuk uang, namun FRINE BENEFIT (kesejahteraan,
kesehatan, pariwisata dll).
Beberapa Hal Yang Menjadi Sumber Resiko
Segala sesuatu pasti ada sumbernya, begitupun dengan resiko. Berikut saya sebutkan dengan
penjelasan beberapa sumber resiko pada perusahaan.
1. Sumber Fisik => Semua fasilitas seperti gedung, instalasi listrik, peralatan dan mesin
pabrik semuanya memiliki resiko meskipun dengan tingkatan yang berbeda.
2. Kondisisosial=>Kondisisosialkemasyarakatansecaraumummenyangkutperilakudan
lokasinya.
3. Politik =>Berkaitan dengan kekuasaan dan kebijakannya mengutamakan kepentingan
pemerintah itu sendiri atas dasar kepentingan khalayak (rakyat).

4. 4. Hukum=> Hukumdiciptakan untuk mengatur kehidupan bernegara, termasuk anda,
masyarakat dan perusahaan itu sendiri. Adapun sifat dari hukum adalah memaksa.
5. Ekonomi makro => Kondisi ekonomi secara keseluruhan (global).
6. Operasional => Aktifitas dan kegiatan rutin perusahaan.
7. Sumber resiko kognitif => Menyangkut manusia, perilaku manusia, kecerdasan
manusia, semuanya menyangkut manusia yang menjadi kunci dari semua sumber
resiko. Oleh karena itu diperlukan proses seleksi perekrutan karyawan baru yang
dimaksudkan salah satunya untuk mengurangi resiko kognitif.
3 Bentuk Dampak Kerugian Terkait dengan Resiko
Kerugian sendiri memiliki 4 arti. Kerugian berasal dari kata dasar rugi. Kerugian adalah
sebuah homonim karenaarti-artinyamemilikiejaandanpelafalanyangsamatetapimaknanya
berbeda. Kerugian memiliki arti dalam kelas verba atau kata kerja sehingga kerugian dapat
menyatakan suatu tindakan, keberadaan, pengalaman, atau pengertian dinamis lainnya
dan nomina atau kata benda sehingga kerugian dapat menyatakan nama dari seseorang,
tempat, atau semua benda dan segala yang dibendakan.. Secara umumterdapat tiga bentuk
kerugian bagi perusahaan yang terkait dengan resiko.
 Property loss adalah Kerugian yang bersifat materil (harta benda), terdiri dari :
1. Direct loss => kerugian yang dibebankan langsung ke propertinya. Contoh :
Memperbaiki kendaraan anda yang mengalami kecelakaan.
2. Indirect loss =>Secara tidak langsung tidak berkaitan denganpropertinya. Contoh:
mobil derek, polisi dan yang anda tabrak.
3. Productivity loss => kesempatan produktifitas jadi hilang. Contoh : taksi yang
tabrakan tidak bisa beroprasi karena masuk bengkel.
 Liabilities adalah Kerugian karena harus menanggung kerugian orang lain (karena
kewajiban. Liabilities hanya berbentuk direct loss saja.
 Personel Loss adalah kerugian manusia (bisa cidera atau meninggal dunia).
1. Direct loss => masuk rumah sakit.

5. 2. Indirectloss=>biayaambulan,produktifitasdariorangyangberhubungandanyang
terlibat kecelakaan ikut menurun.
4 Faktor Yang Menjadi Proses Berurutan dari Resiko
Terdapat 4 faktor pada proses terjadinya resikosecara beruntun dan berurutan. Faktor yang
menjadi sumber penyebab, proses dan akibat kerugian yang ditimbulkannya.
1. Source of Risk => Sumber yang menjadi resiko. Misalnya :
 Gedung pada sumber resiko fisik.
 Lokasi pada sumber resiko sosial.
 Perubahan kebijakan akibat pergantian kekuasaan pemerintahan pada sumber
resiko politik.
 Pengaturan tata ruang misalnya pada hukum.
 Kredit macet pada masalah ekonomi makro.
 Pada saat pekerjaan (operasional) dilakukan.
 Karyawan pada sumber resiko kognitif.
2. Hazard => Sumber yang memiliki bahaya. Misalnya :
 Konstruksi tidak kokoh diakibatkan kesalahan instalasi atau dimakan usia.
 Kondisi lokasi dan sosial rawan dari bencana atau demo pekerja.
 Peraturan baru pemerintah yang merugikan perusahaan.

6.  Peraturan tata ruang membatasi ruang gerap pengembangan perusahaanatau
bahkan direlokasi.
 Krisis ekonomi global yang bersifat makro.
 Potensi terjadinya insiden / kecelakaan pada saat beroprasi.
 Sumber kognitif manusia (karyawan) malas dan ceroboh.
3. Peril => Berpotensi menimbulkan bencana atau masalah. Misalnya :
 Konstruksi bangunan yang tidak kokoh kemudian roboh, kesalahan instalasi
menyebabkan kebakaran.
 Lokasi rawan bencana menyebabkan banjir, demo pekerja yang anarkis
menyebabkan kerugian produksi dan kerusakan fasilitas.
 Di sahkan nya peraturan pemerintah yang merugikan pihak perusahaan.
 Pembebasan lahan menyebabkan perusahaan direlokasi ke tempat yang tidak
strategis.
 Terjadi kecelakaan kerja
 Karyawan malas menyebabkan produktifitas rendah, kecerobohan
menyebabkan kecelakaan.
4. Losses => Kerugian yang terjadi (sudah dijelaskan diatas). Kerugianumumnya dibagi 3
menjadi :
 Properti => Benda fisik.
 Personel => Orang (pekrja / karyawan).
 Rugi karena mengganti kerugianorang lain yang disebabkan oleh perusahaan.
 Proses Manajemen Resiko (Risk Management Process)
Manajemen resiko adalah suatu proses mengidentifikasi, mengukur risiko, serta membentuk
strategi untukmengelolanya melaluisumber daya yangtersedia.Manajemen resiko bertujuan
untuk mengelola resiko akibat ketidak pastian, sehinga kita dapat memperoleh hasil yang
optimal. Manajemen risiko pada dasarnya dilakukan melalui proses-proses berikut ini :

7. Langkah 1 Identifikasi Resiko
Proses ini meliputi pengidentifikasian kerugian yang mungkin terjadi dalam suatu
aktivitas usaha. Identifikasi secara akurat dan komplek sangatlah vital dalam manajemen
resiko. Salah satu aspek penting dalam identifikasi resiko adalah mendaftar kemungkinan
kerugian yang mungkinterjadi sebanyakmungkin. Teknik-teknikyang dapatdigunakandalam
identifikasi resiko antara lain:
1. Brainstorming => Teknik kreativitasyang mengupayakan pencarian penyelesaian dari
suatu masalah tertentu dengan mengumpulkan gagasan secara spontan dari
anggota kelompok (organisasi dan perusahaan).
2. Survei => Penelitian secara komprehensif, Survei yang dilakukan dalam melakukan
penelitian biasanya dilakukan dengan menyebarkan kuesioner, dengan tujuan untuk
mengetahui : siapa mereka (audien), apa yang mereka pikir, rasakan, atau
kecenderungan suatu tindakan. Survei biasanya dilakukan dalam penelitiankuantitatif
maupun kualitatif. Dalam penelitian kuantitatif, survei lebih merupakan pertanyaan
tertutup, sementara dalam penelitiankualitatif berupa wawancara mendalamdengan
pertanyaan terbuka.
3. Wawancara (interview) => Percakapan antara dua orang atau lebih dan berlangsung
antara narasumber dan pewawancara. Tujuan dari wawancara adalah untuk
mendapatkan informasi yang tepat langsung dari narasumber yang terpercaya
(berkaitan dengan resiko dan kerugian). Wawancara dilakukan dengan cara
penyampaian sejumlah pertanyaan dari pewawancara kepada narasumber.
4. Informasihistoris=>Pengumpulandatadarikejadian-kejadiandimasalaluyangrelevan
dengan saat ini, sehingga dengan demikian informasi tersebut dapat dijadikan acuan
untuk mengidentifikasi resiko yang sejenis.
5. Teknik lainnya seperti kelompok kerja dan sebagainya bisa dilakukan untuk
mengidentifikasi resiko.
Langkah 2 Analisa Resiko

8. Setelah melakukan identifikasi, maka tahap berikutnya adalah mengukur resiko
(measurement) dengan cara melihat potensialterjadinya seberapa besarseverity(kerusakan)
dan probabilitas terjadinya resiko tersebut. Penentuan probabilitas terjadinya suatu event
lebih bersifat subjektif berdasarkan nalar dan pengalaman.
Beberapa resiko memang mudah untuk diukur, namun sangat sulit untuk memastikan
probabilitas(kemungkinan)suatukejadianyangsangatjarangterjadi.Sehingga,padatahapini
sangtalah penting untuk menentukan dugaan yang terbaik supaya nantinya anda dapat
memprioritaskan dengan baik dalam implementasi perencanaan manajemen resiko.
Kesulitan dalam pengukuran risiko adalah menentukan kemungkinan terjadi suatu risiko
karena informasi statistik tidak selalu tersedia untuk beberapa risiko tertentu. Selain itu,
mengevaluasidampakseverity(kerusakan)seringkalicukupsulituntukassetimmateriil(bukan
berbentuk fisik).
Langkah 3 Pengelolaan Resiko
Apapun perlu pengelolaan, termasuk resiko. Pengelolaan yang beik akan berakibat positif
terhadap pencegahan dampak (kerusakan( yang terjadi akibatketidakpastian. Jenis-jeniscara
mengelola resiko, diantaranya :
1. Risk avoidance => Memutuskan untuk tidak melakukan aktivitas yang mengandung
resiko sama sekali. Dalam memutuskan untuk melakukannya, maka harus
dipertimbangkan potensial keuntungan dan potensial kerugian yang dihasilkan oleh
suatu aktivitas.
2. Risk reduction (mitigation) => Merupakan metode yang mengurangi kemungkinan
terjadinya suatu resiko ataupun mengurangi dampak kerusakan yang dihasilkan oleh
suatu resiko.
3. Risk transfer => Memindahkan resiko kepada pihak lain, umumnya melalui suatu
kontrak (asuransi) maupun hedging (lindung nilai).

9. 4. Risk deferral => Dampak suatu risiko tidak selalu konstan. Risk deferral meliputi
menundaaspeksuatuproyekhinggasaatdimanaprobabilitasterjadinyarisikotersebut
kecil. Contohnya menunggu proyek pembangunan jembatan ketika perekonomian
cenderung tidak stabil.
5. Riskretention=>Walaupunresikotertentudapatdihilangkandengancaramengurnagi
maupun mentransfernya, namunbeberapa resiko harustetapditerima sebagai bagian
penting dari aktivitas.
Langkah 4 Implementasi Manajemen Resiko
Proses implementasi resiko adalah tahap dimana strategi dan semua perencanaan yang
disebutkan diatas dilaksanakan. Tentu saja anda harus memutuskan terlebih dahulu mana
yang dipilih untuk ditetapkan.
Langkah 5 Monitoring Resiko
Sangatlahpentinguntukselalumemonitorprosesdariawal,dimulaidariidentifikasiresikodan
pengukuran resiko untuk mengetahui keefektifan respon yang telah dipilih serta untuk
mengidentifikasi adanya resiko yang baru atau bahkan perubahan resiko. Sehingga, ketika
suatu saat terjadimaka respon yang dipilihakan sesuai juga diimplementasikan secara efektif.
Berdasarkan definisi dari ISO Guide 73, risiko adalah dampak dari ketidakpastian terhadap
suatu objektif atau tujuan. Dampak tersebutmerupakan deviasi dari keadaan yang diinginkan,
baik bernilai positif maupun negatif.
Hal yang perlu ditekankan disini adalah risiko tidak hanya hal-hal yang bernilai negatif saja,
melainkan risiko juga dapat berupa hal-hal yang positif (dapat pula disebut sebagai suatu
opportunity). Saatini, terdapatkekeliruan pemahaman masyarakat yang menganggap bahwa
risiko merupakan hal yang bernilai negatif saja. Oleh karenaitu, perlu diluruskan bahwa selain

10. memuat hal yang negatif, risiko juga memuat hal yang positif. Artikel ini bertujuan untuk
memberikan pemahaman baru terkait definisi risiko yang sebenarnya.
Manajemen risiko diperlukan untuk mengelola risiko disuatu organisasi. manajemen risiko
pada dasarnya merupakan kegiatan untuk melakukan value enhancing (penambahan nilai)
atau value protecting (perlindungan nilai). Value enhancing pada dasarnya berkaitan dengan
risiko positif atau opportunity, sedangkan value protecting berkaitan dengan risiko negatif.
Mengadopsi suatu manajemen risiko yang baik dapat memastikan bahwa organisasi dapat
melakukan berbagai kegiatan dengan knowledge bahwa:
 Pengukuranyangcukupdansesuaidigunakanuntukmemaksimalkanbenefitataumanfaat
yang ada dalam organisasi
 Pengukuran yang cukup dan sesuai digunakan untuk mengurangi dampak negatif dari
suatu risiko(atau opportunity) yang disajikan dalam rangka mencapai tujuan organisasi
Klausul 6.1 ISO27001:2013
Klausul 6.1 berisi tindakan untuk mengarahkan risiko dan kesempatan. Ketika melakukan
perencanaan untuk sistem manajemen keamanan informasi (SMKI), organisasi harus
mempertimbangkan isu dan kebutuhan serta menentukan risiko dan kesempatan yang
bertujuan untuk:
 memastikan bahwa sistemmanajemen keamanan informasi dapat mencapai tujuan yang
diharapkan
 mencegah atau mengurangi dampak yang tidak diinginkan
 mencapai perbaikan secara berkelanjutan.
Berdasarkan tujuan tersebut, organisasi harus melakukan perencanaan sebagai berikut:

11.  tindakan untuk mengarahkan risiko dan kesempatan
 cara untuk mengintegrasikan dan mengimplementasikan tindakan kedalamproses sistem
manajemen keamanan informasi dan mengevaluasi keefektifan tindakan tersebut.
Penilaian risiko keamanan informasi (Information Security Risk Assessment)
Berdasarkan klausul 6.1.2, organisasi harusmendefinisikandan menerapkan prosespenilaian
risiko keamanan informasi yang:
a) membangun dan memelihara kriteria risiko keamanan informasi yang meliputi:
1. kriteria risk acceptance
2. kriteria untuk melakukan penilaian risiko keamanan informasi
b) memastikan bahwa penilaian risiko keamanan informasi yang dilakukan secara berulang
menghasilkan hasil yang konsisten, valid, dan dapat diperbandingkan (comparable)
c) mengidentifikasi risiko keamanan informasi:
1. menerapkanprosespenilaianrisikokeamananinformasiuntukmengidentifikasirisikoyang
berkaitan dengan hilangnya aspek confidentiality, integrity, dan availability untuk
informasi di dalam ruang lingkup sistem manajemen keamanan informasi
2. mengidentifikasi risk owner
d) menganalisis risiko keamanan informasi:
1. menilai potensi konsekuensi berdasarkan risiko yang telah teridentifikasi
2. menilai kemungkinan (likelihood) kejadian berdasarkan risiko yang telah teridentifikasi
3. menentukan tingkatan risiko
e) mengevaluasi risiko keamanan informasi:

12. 1. membandingkan hasil dari analisis risiko dengan kriteria yang telah dibuat
2. menentukan prioritas untuk melakukan risk treatment
Penanganan Risiko Keamanan Informasi (Information Security Risk Treatment)
Berdasarkan klausul 6.1.3, organisasi harus mendefinisikan dan menerapkan proses
penanganan risiko untuk:
a) memilih opsi penanganan risiko yang sesuai
b) menentukan semua kendali yang mencukupi untuk mengimplementasikan pilihan
penanganan risiko keamanan informasi
c) membandingkan kendali yang telah ditentukan dengan Annex A dan melakukan verifikasi
untuk memastikan bahwa tidak ada kendali penting yang diabaikan
d) menghasilkan Statement of Applicability yang mengandung kendali yang dibutuhkan serta
justifikasi yang menentukan apakah kendali telah diimplementasikan atau tidak.
e) memformulasikan perencanaan penanganan risiko keamanan informasi
f) memperoleh persetujuan dari risk ownerterkaitperencanaanpenanganan risiko keamanan
informasi dan persetujuan dari resiko residu keamanan informasi
Studi Kasus.
Padatugasini,sayaakanmemaparkanmanajemenrisikoyangdilakukanolehKotaExeter.Kota
Exeter adalah sebuah kota yang terletak di Inggris dengan penduduk berjumlah sekitar
100.000 orang dan luas wilayah 47,6 km2
. Meskipun dapat dikatakan bahwa kota ini

13. merupakan kota yang sangat kecil, Kota Exeter sudah menjalankan manajemen risiko dalam
pemerintahannya.
Studi kasus pada manajemen risiko di Kota Exeter ini dilakukan berdasarkan klausul 6.1 pada
ISO27001:2015. Berdasarkan klausul tersebut, hal yang pertama dilakukan adalah penilaian
risiko keamanan informasi.
Klausul 6.1.1 umum
Berdasarkan klausul6.1.1, ketika melakukan perencanaan terhadap SMKI, Kota Exeter harus
mempertimbangkan isu dan kebutuhanserta menentukan risikodan kesempatan. Berikutini
adalah isu terkait SMKI yang terdapat di Kota Exeter.
 kerugian atau kerusakan aset dan properti
 kehilangan reputasi
 kerugian finansial
 pencemaran lingkungan
 cedera personal atau terganggunya kesehatan personal
Klausul 6.1.2 Penilaian risiko keamanan informasi
a) Kriteria manajemen risiko keamanan informasi yang digunakan oleh Kota Exeter adalah
sebagai berikut:
1. Manajemen risiko harus dapat memelihara dan menjaga aset dewan kota, reputasi, dan
staf
2. Manajemen risiko harus mempromosikan tata kelola perusahaan dengan
mengintegrasikan manajemen risiko lama perusahaan dengan kontrol internal
3. meningkatkan dan melindungi lingkungan
4. meningkatkan performa bisnis

14. 5. Mempromosikan budaya kesadaran terhadap risiko
b) Point (b) klausul 6.1.2 menyebutkan bahwa organisasi harus memastikan bahwa
penilaian risiko keamanan informasi yang dilakukan secara berulang menghasilkan hasilyang
konsisten, valid, dan dapat diperbandingkan (comparable). Pada Kota Exeter, terdapat Risk
ManagementPolicydanRiskManagementProcedureuntukmemastikanbawapenilaianrisiko
dilakukan secara berulang, konsisten, dan valid. Kedua dokumen ini dapat diunduh pada
tautan http://www.exeter.gov.uk/index.aspx?articleid=5613 .
c) Identifikasi risiko terlampir pada file excel. Sejumlah pendekatan yang diambil untuk
mengidentifikasirisiko yang dilakukan oleh council (anggota dewan) dan memastikan bahwa
risiko dapat dikelola dari tahap awal. Beberapa pendekatan yang dilakukan oleh Kota Exeter
untuk mengidentifikasi risiko adalah sebagai berikut:
 Pemantauan berkala dari Forward Plan / Corporate Plan
 Pemantauan berkala Laporan Komite
 laporan pemantauan kinerja
 pertemuan kuartal dengan Asisten stakeholder Kota Exeter
 diskusi di SMT (Kinerja) untuk memastikan bahwa semua risiko telah ditangkap pada
register (Risk register)
Secara umum, identifikasi risiko dilakukan dengan mencari risiko dan opportunity pada
kategoritertentudalamkeamananinformasi.PadamanajemenrisikoyangdilakukanolehKota
Exeter, terdapat 3 kategori utama dalam mengidentifikasi risiko, yaitu:
 ICT Security
 ICT Hardware and Software
 IT Software License

15. Selain kategori lain diatas, terdapat kategori lain diluar kategori keamanan informasi yang
berdampak pada aspek keamanan informasi. Untuklebih jelasnya, silakan lihatpada file excel
yang terlampir dalam blog ini

16. Nilai Keamanan
Personal
Kegagalan
untuk
memberikan
tugas
hukum
(statutory
legal) atau
memenuhi
kewajiban
hukum
Kerugian
Finansial
Kerusakan
layanan
Pelanggaran
privasi
pribadi
Reputasi
1 (Minor) Cedera kecil atau
ketidaknyamanan
kepada orang
perorangan atau
beberapa orang
Litigasi,
klaim atau
hak gadai –
Bagian /
Satuan
hingga £ 5k
maksimal
5 % dari
budget
1 hari Informasi
personal
seorang
individu
bocor
Dalam
suatu
unit
tertentu
2
(Signifikan)
Cedera cukup
parah ke individu
atau beberapa
orang
Litigasi,
klaim atau
hak gadai –
Bagian /
Satuan
diantara £
5k hingga £
10k
maksimal
10% dari
budget
2-3 hari Informasi
personal
beberapa
individu
bocor
Publik
lokal
3 (Serius) Cedera utama /
serius ke individu
atau beberapa
orang
Litigasi,
klaim atau
hak gadai –
Bagian /
Satuan
diantara £
10k hingga £
50k
maksimal
25% dari
budget
3-5 hari Informasi
personal
dari banyak
individu
bocor
Publik
Nasional

17. d) menganalisis risiko keamanan informasi. Terdapat beberapa hal yang dilakukan dalam
analisis risiko keamanan informasi, yaitumenilai potensi konsekuensi, menilai kemungkinan,
dan menentukan tingkatan risiko.
Berdasarkan dokumen Risk Management Procedure Exeter, berikut ini adalah dasar paniaian
dari potensi konsekuensi:
Dalam melakukan manajemen risiko, Kota Exeter pun mendefinisikan matriks kemungkinan
(likelihood) sebagai berikut:
Nilai Definisi Kemungkinan
terjadinya
Kejadianatau efek
lingkungan
1 (Remote) Langka / dapat
terjadi dalam
keadaan khusus
0% hingga 15% Sekali dalam 50
tahun
2 (Unlikely) Bisa terjadi pada
beberapa waktu
15%hingga55% Sekali dalam 20
tahun
4 (Mayor) Kematian
seorang individu
atau beberapa
orang
Litigasi,
klaim atau
hak gadai –
Bagian /
Satuan lebih
dari £ 50k
lebih dari
25% dari
budget
> 5 hari Semua
informasi
personal
bocor
AD,
DCX,
atau CX

18. 3
(Likely/possible)
Akan / mungkin
terjadi pada
beberapa waktu
55%hingga90% Sekali dalam 5
tahun
4 (Very likely) Hampir pasti /
diperkirakan terjadi
di sebagian besar
keadaan
90% + Setiap tahun
e) mengevaluasi risiko keamanan informasi
Padabagianinidilakukanpenentuanratingrisiko.Ratinginidiperolehdengancaramengalikan
nilai dampak (impact) dengan kemungkinan (likelihood) sehingga risikodapat dikelompokkan
sebagai berikut:
 12 hingga 9 : high
 6 hingga 9 : medium
 1 hingga 4 : low

19. RISK MATRIX
Klausul 6.1.3 Penanganan risiko keamanan informasi
Penanganan risiko keamanan informasipada Kota Exeter termuatdalamfile excel riskregister
yang terlampir pada bagian akhir artikel ini. Tools excel risk register yang dibuat terdiri dari
beberapa bagian. Berikut ini adalah header tabel yang menunjukkan elemen yang terdapat
pada tools file excel.
CONTOH TABEL RISK REGISTER
Berdasarkan gambar contoh tabel risk register diatas, terdapat beberapa elemen yang
digunakan dalam risk register, yaitu:
1. Kategori risiko

20. 2. Risk event (kejadian risiko)
3. Cause (Penyebab Risiko)
4. Effect (Dampak Risiko)
5. Pilihan Jenis : Risk atau Opportunity
6. Inherent Risk yang terdiri dari : Nilai Probabilitas dan Nilai dampak
atau impact. Berdasarkan nilai probabilitas dan dampak, dapat dibuat suatu risk matriks
yang menunjukan posisi risiko (low, medium, high)
7. Kendali risiko untuk inherent risk
8. Residual risk yang terdiri dari nilai probabilitas, nilai dampak, serta risk matriks.
9. Kendali risiko untuk residual risk
BeberaparisikokeamananinformasiyangteridentifikasidiKotaExeteradalahsebagaiberikut.
1. Terjadinya kebocoran informasi (Risk)
2. Kerusakan fisik pada hardware, kegagalan sistem hardware dan software, hilagnya
peralatan ICT, dan gangguan listrik (Risk)
3. Adanya ketidapatuhan (non-compliance) terhadap lisensi software (Risk)
4. Dengan adanya ICT Security, Keamanan kota Exeter lebih terjamin / keamanan dapat
ditingkatkan dengan memanfaatkan teknologi (Opportunity)
5. Penggunaan teknologi dapat membuat aspek availabilitydari layanankepada publikselalu
terjaga dengan baik (Opportunity)
6. Penggunaan software original aman dari malware dan virus sehingga aspek CIA
(Confidentiallity, Integrity, Availability) dapatlebih terjagadan ditingkatkan (Opportunity)
Contoh penjelasan risk register (Risk)

21. CONTOH TABEL RISK REGISTER
Pada bagian ini akan dijelaskansebuah contohyang terdapatpada riskregister yangterlampir
pada file excel (nomor 1)
 Kategori : ICT Security
 Risk Event : Terjadinya kebocoran informasi
 Cause : Adanya akses yang tidak sah terhadap informasi yang sensitif
 Effect : Hilangnya kredibilitas dan reputasi dari Council (Dewan perwakilan)
 Jenis : Threat
 Manajemen risiko pada pada Kota Exeter membagi risiko menjadi dua, yaitu inherent risk
dan residual risk. inherent risk adalah risk level sebelum diterapkan control dan residual
risk adalah risk level setelah diterapkan control.
 Dalam Inherent risk, berdasarkan tabel probabilitas dan tabel dampak (impact), dapat
diketahui bahwa risiko ini memiliki probalilitas bernilai 4 dan impact bernilai 4.
 Berdasarkan risk matriks(Hasilpengalian probabilitasdan impact) yang bernilai 16, risiko
ini dapat dikategorikan sebagai risiko high.

22. INHERENT RISK
 Untuk mengatasi risiko ini, Kota Exeter melakukanbeberapa hal sebagaiberikut:
1. Diadakan forumKeamanan
2. erusaha untuk complydengan BS7799
3. Analis Kualitas
4. Firewall & virus perlindungan di tempat& diperbarui secara teratur
5. Didirikan kontrol & kebijakan untukmematuhi Government Connect Code of
Connection (CoCo)
 Setelah diterapkankontrol, masihterdapat risiko dengan tingkat probabilitas3 dan impact
3. Risiko residu ini memiliki kategori medium.
RESIDUAL RISK
 Resiko residu ini pun perlu ditangani. Respon yang dilakukan terhadap risiko ini adalah
memastikan bahwa prosedur dan kualitas sistem telah berjalan dengan baik

23. Contoh penjelasan risk register (Opportunity)
Selain menampilkan risiko, risk register yang dimiliki oleh Kota Exeter juga
memiliki opportunity. Berikut ini adalah contoh opportunity yang terdapat di dalam risk
register Kota Exeter.
CONTOH OPPORTUNITY
 Kategori : ICT hardware & software
 Risk Event : Aspek availability dari layanan kepada publik selalu terjaga dengan baik
 Cause : Penggunaan software dan hardware yang aman dan handal
 Effect : Layanan kepada publikyangmenggunakan hardware dan software selalutersedia
 Jenis : Opportunity
 Berdasarkan tabel probabilitasdan tabel dampak (impact), dapat diketahui bahwa risiko
ini memiliki probalilitas bernilai 3 dan impact bernilai 4.
 Berdasarkan risk matriks(Hasilpengalian probabilitasdan impact) yang bernilai 12, risiko
ini dapat dikategorikan sebagai risiko high.

24. Contoh tindakan respon opportunity yang harus dilakukan agar manfaat dari opportunity
dapat diperoleh adalah sebagai berikut:
• Diadakannya pelatihan & kesadaran tentang informasi penanganan & keamanan.
• Menerapkan manajemen email yang disempurnakan dan device control & data leakage
Sumber :
Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi Manajemen: Implementasi
Sistem Informasi. FEB - Universitas Mercu Buana: Jakarta
https://thidiweb.com/pengertian-manajemen-resiko/
https://blogs.itb.ac.id/23215139gilangramadhanel5216mrkisem1t15d16mr/2015/11/30/ma
najemen-risiko-dalam-perspektif-positif-dan-negatif/