KEPUTUSAN DIREKTUR RUMAH SAKIT UMUM DAERAH SEKARWANGI

KABUPATEN SUKABUMI
NOMOR: 445/KEP. 438-RS/2018/2020

TENTANG
MANAJEMEN RISIKO TEKNOLOGI INFORMASI (TI)
DI RUMAH SAKIT UMUM DAERAH SEKARWANGI

DIREKTUR RUMAH SAKIT UMUM DAERAH SEKARWANGI,

Menimbang : a. bahwa dalam pemanfaatan TI harus melakukan

identifikasi, analisis, pengukuran, pengendalian dan
penetapan rencana penanggulangan risiko sesuai
metodologi manajemen risiko TI yang ditetapkan
dalam dokumen ini.
b. bahwa berdasarkan pertimbangan sebagaimana yang
dimaksud pada huruf a perlu menetapkan Keputusan
Direktur Tentang Manajemen Risiko Teknologi
Informasi (TI) Di Rumah Sakit Umum Daerah
Sekarwangi.

Mengingat : 1. Undang - Undang Nomor 29 Tahun 2004 tentang

Praktik Kedokteran;
2. Undang - Undang Republik Indonesia Nomor 14
Tahun 2008 tentang Keterbukaan Informasi Publik;
3. Undang - Undang Nomor 36 tahun 2009 tentang
Kesehatan;
4. Undang - Undang Nomor 44 Tahun 2009 tentang
Rumah Sakit;
5. Undang - Undang Nomor 19 Tahun 2016 tentang
Perubahan atas Undang - Undang Nomor 11 Tahun
2008 tentang Informasi dan Transaksi Elektronik;
 6. Peraturan Menteri Kesehatan Nomor 82 Tahun 2013
tentang Sistem Informasi Manajemen Rumah Sakit;
7. Peraturan Bupati Sukabumi Nomor 7 Tahun 2019
tentang Perubahan Atas Peraturan Bupati Sukabumi
Nomor 121 Tahun 2018 tentang Unit Pelaksana
Teknis Daerah Rumah Sakit Umum Daerah
Sekarwangi.

MEMUTUSKAN

Menetapkan :

KESATU : MANAJEMEN RISIKO TEKNOLOGI INFORMASI (TI) DI

RUMAH SAKIT UMUM DAERAH SEKARWANGI
KEDUA : Manajemen Risiko Teknologi Informasi (TI) di Rumah
Sakit Umum Daerah Sekarwangi sebagaimana dimaksud
dalam diktum kesatu sebagaimana tercantum dalam
lampiran keputusan ini dan merupakan bagian yang
tidak terpisahkan dari surat keputusan ini.
KELIMA : Keputusan ini berlaku sejak tanggal di tetapkan dan
apabila kemudian hari terdapat kekeliruan dalam
penetapan ini, akan dilakukan perbaikan sebagaimana
mestinya.

Ditetapkan di Cibadak
Pada tanggal

DIREKTUR,

ALBANI NASUTION
LAMPIRAN I KEPUTUSAN DIREKTUR RSUD SEKARWANGI
NOMOR :
TANGGAL :
TENTANG : MANAJEMEN RISIKO TEKNOLOGI INFORMASI (TI) DI
RUMAH SAKIT UMUM DAERAH SEKARWANGI
=================================================================

A. Latar Belakang
RSUD Sekarwangi adalah institusi pelayanan kesehatan yang
menyelenggarakan pelayanan kesehatan perorangan secara paripurna. Pelayanan
kesehatan di RSUD Sekarwangi meliputi pelayanan rawat inap, rawat jalan, gawat
darurat dan pelayanan penunjang. Dalam proses pelayanan, RSUD Sekarwangi
telah menggunakan teknologi informasi dari mulai pendaftaran sampai
pembayaran melalui aplikasi SIMRS (Sistem Informasi Manajemen Rumah Sakit).
Untuk menjamin pelaksanaannya diperlukan manajemen resiko penggunaan TI
agar dalam tidak mengganggu pelayanan
IT Risk Management (Manajemen Resiko Teknologi Informasi) adalah suatu
proses identifikasi kerentanan dan ancaman terhadap sumber daya informasi
yang digunakan oleh sebuah organisasi dan dilakukan oleh manajer TI untuk
mencapai tujuan bisnis, mengurangi resiko, dan menyeimbangkan pengeluaran
dalam mencapai keuntungan dan melindungi TI. Proses pelaksanaan manajemen
resiko TI di RSUD Sekarwangi tentunya diperlukan aturan tertentu yang dapat
dijadikan acuan pada pelaksanaannya. Implementasi manajemen resiko tidak
terlepas dari kaidah-kaidah manajemen resiko secara umum.

B. Tujuan
Tujuan dari manajemen resiko adalah sebagai berikut :
1. Mengidentifikasi risiko operasional layanan TI dari gangguan terhadap aspek
kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability).
2. Mengukur besarnya risiko yang mungkin terjadi dan melakukan pengendalian
risiko yang diperlukan sehingga dampaknya tidak terlalu mengganggu
penyelenggaraan layanan TI secara keseluruhan di lingkungan RSUD
Sekarwangi.

C. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh aset TI dan sarana pendukungnya
yang digunakan dalam penyelenggaraan layanan TI di lingkungan RSUD
Sekarwangi, yang meliputi:
1. Informasi, meliputi kebijakan dan prosedur TI, konfigurasi LAN, hasil
pengkajian risiko (risk register), hasil audit log, hasil monitoring penggunaan
bandwidth jaringan, dan lain-lain
2. Software, meliputi aplikasi (Aplikasi Internal SIMRS, Aplikasi Eksternal yang
digunakan RSUD Sekarwangi, sistem operasi, MS Office, software antivirus,
tool/software monitoring, dan lain-lain)
3. Hardware dan infrastruktur jaringan, meliputi PC/Laptop, server, router, kabel
LAN, modem, storage, flash disk, dan lain-lain.
4. Sarana pendukung, meliputi: sumber daya listrik PLN, UPS, Genset, AC,
CCTV, alat pemadam kebakaran, alat pengukur suhu dan kelembaban, dsb.
5. SDM, meliputi: Programmer, Teknisi Komputer Jaringan dan Pengguna TI.

D. Definisi
1. Ancaman (Threat) adalah suatu potensi insiden yang dapat menimbulkan
kerugian / bahaya terhadap penyelenggaraan layanan TI.
2. Dampak (Impact) adalah gangguan atau kerugian yang akan dialami Unit Kerja
di RSUD Sekarwangi jika risiko yang diidentifikasi terjadi.
3. Kemungkinan (Likelihood) adalah peluang terjadinya suatu risiko.
4. Kerawanan (Vulnerability) adalah kelemahan dari satu atau kelompok sumber
daya TI yang dimanfaatkan untuk menimbulkan satu atau lebih ancaman.
5. Kriteria Penerimaan Risiko (Risk Acceptance Criteria) adalah tingkat risiko
layaan TI yang diterima oleh RSUD Sekarwangi.
6. Pemilik risiko TI adalah Kepala Unit Organisasi yang bertanggungjawab
terhadap penyediaan layanan TI bagi pengguna di lingkungan RSUD
Sekarwangi
7. Rencana Penanggulangan Risiko (Risk Treatment Plan) adalah rencana
tindakan untuk menurunkan tingkat kemungkinan (Likelihood) terjadinya
risiko dan mengurangi dampak (Impact) risiko dengan menetapkan kontrol,
mengalokasikan sumber daya dan menetapkan jadwal.
8. Risiko penggunaan TI adalah faktor-faktor yang berpeluang mengancam
kinerja penyelenggaraan layanan TI karena gangguan terhadap kerahasiaan
(confidentiality), keutuhan (integrity), dan ketersediaan (availability) informasi.
9. Daftar Risiko (Risk Register) adalah dokumen tentang daftar identifikasi
kerawanan, ancaman, dampak, serta kontrol dan rencana penanggulangan
risiko terhadap penyelenggaraan Layanan TI.
10. Risiko sisa (Residual Risk) adalah risiko yang masih ada setelah diterapkannya
kontrol.
E. Kebijakan

1. RSUD Sekarwangi menetapkan proses pengkajian risiko penyelenggaraan

layanan TI. Proses pengkajian risiko dan kriteria penilaian risiko dijelaskan
dalam butir F dokumen ini.
2. Sub Bagian SIMRS dan Instalasi SIMRS sebagai penanggungjawab
pengelolaan layanan TI harus melakukan identifikasi, analisis, pengukuran,
pengendalian dan penetapan rencana penanggulangan risiko sesuai
metodologi manajemen risiko TI yang ditetapkan dalam dokumen ini. Dalam
melakukan pengkajian risiko, Organisasi dapat bekerjasama dengan unit
kerja/dinas lain terkait di lingkungan Pemerintah Kabupaten Sukabumi.
3. Pengkajian risiko harus mencakup identifikasi dampak karena kelemahan
aspek kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan
(availability) dari aset informasi serta estimasi penilaian risiko setelah
penerapan kontrol. Hasil pengkajian risiko dituangkan dalam dokumen
daftar risiko TI (IT risk register).
4. RSUD Sekarwangi menetapkan bahwa risiko yang dapat diterima adalah
risiko yang bernilai “RENDAH”. Nilai risiko lainnya ("SEDANG" dan "TINGGI")
harus ditanggulangani dengan perbaikan atau penerapan kontrol baru
sehingga nilai risiko setelah penerapan kontrol menjadi “RENDAH”. Jenis
rencana penanggulangan risiko ditetapkan dalam Tabel 4.
5. Risiko yang tidak diterima akan ditindaklanjuti dengan menyusun rencana
penanggulangan risiko (risk treatment plan) yang dapat berupa:
a. Diterima: menerima risiko tanpa perlu menerapkan kontrol tambahan
dari yang sudah ditetapkan.
b. Dikurangi: menerapkan kontrol untuk mengurangi risiko
c. Ditransfer: mengalihkan risiko dan pengendaliannya kepada pihak ketiga
d. Dihindari: menghindari penggunaan sumber daya TI yang mendatangkan
risiko
6. Dalam hal nilai risiko tetap "TINGGI" meskipun rencana penanggulangan
telah ditetapkan, maka RSUD Sekarwangi akan mempertimbangkan
penanggulangannya dalam Rencana Kelangsungan Layanan TI (IT Service
Continuity Plan)/Disaster Recovery Plan (DRP) yang akan disusun dalam
dokumen terpisah.
7. Dokumen Daftar Risiko TI (IT risk register) dan rencana penanggulangan
risiko (risk treatment plan) disetujui oleh Direktur RSUD Sekarwangi.
8. Kriteria penilaian risiko dan hasil pengkajian risiko akan ditinjau ulang
minimum 1 (satu) tahun sekali atau jika terjadi perubahan signifikan
 terhadap proses penyediaan layanan TI, aset TI yang digunakan, adanya
perubahan peraturan atau kebijakan yang menimbulkan risiko baru.

F. Proses Manajemen Risiko

1. Proses Manajemen Risiko

Gambar 1: Proses Manajemen Risiko TI

a) Identifikasi Konteks dan Ruang Lingkup

Konteks adalah kondisi dan faktor-faktor yang dapat mempengaruhi
penyusunan dan penerapan Sistem Manajemen Keamanan Informasi
(SMKI), baik kondisi internal seperti struktur organisasi, jumlah dan
kompetensi SDM, hubungan kerja antar unit kerja, keputusan/kebijakan
internal maupun kondisi / faktor eksternal seperti Undang-undang,
peraturan pemerintah, keputusan menteri atau kondisi perekonomian
nasional yang berdampak pada penyelenggaraan layanan TI.
 Proses ini mengindentifikasi konteks internal dan eksternal yang dapat
berpengaruh terhadap SMKI RSUD Sekarwangi, termasuk mengindentifikasi
pihak-pihak terkait di internal dan eksternal yang terpengaruh atau
mempengaruhi SMKI. Proses ini juga menetapkan ruang lingkup penerapan
SMKI sebagai batasan dalam pelaksanaan kegiatan pengkajian risiko.
Misalnya ruang lingkup penerapan SMKI adalah pada pengamanan Data
Center, Pengembangan Aplikasi dan Pengoperasian seluruh Layanan TI
yang ada. Ruang lingkup dapat ditetapkan secara bertahap untuk kemudian
ditingkatkan ke skala yang lebih besar.
b) Identifikasi proses dan aset TI: Seluruh aset TI yang mendukung
penyelenggaraan layanan TI diidentifikasi. Aset TI RSUD Sekarwangi berupa
data/informasi (misalnya data pasien, pegawai, aset, dan informasi lainnya),
topologi jaringan, hardware, software, sarana pendukung yang digunakan
untuk menjaga layanan TI seperti AC, Generator, UPS, CCTV, dan
perangkat pengamanan fisik dan lingkungan lainya.
c) Identifikasi Risiko: Tahap ini mengidentifikasi jenis-jenis ancaman (threat)
dan kelemahan (vulnerability) dari aset TI yang ada serta Dampak (impact)
jika ancaman yang diidentifikasi terjadi.
d) Analisis Risiko: Uraian Dampak yang telah diidentifikasi kemudian
dianalisis dan diukur dengan menggunakan kriteria penilaian risiko yang
ditetapkan kebijakan ini. Hasil pengukuran dampak akan memberikan Nilai
Risiko.
e) Mengevaluasi Kontrol:
Tahap ini mengidentifikasi kontrol pengamanan layanan TI yang telah ada
baik berupa kebijakan, prosedur, hardware ataupun software dan
mengevaluasi efektivitas kontrol tersebut untuk mengurangi Kelemahan dan
Dampak. Kontrol yang efektif akan mampu mengurangi Kelemahan
dan/atau menurunkan Dampak, sehingga dapat pula menurunkan Nilai
Risiko.
f) Mengukur Nilai Risiko Sisa: Tahap ini mengukur Nilai Risiko yang masih
ada (Nilai Risiko Sisa) setelah penerapan kontrol terhadap aset TI yang
digunakan untuk menyediakan layanan TI.
g) Mengevaluasi Penerimaan Risiko: Memeriksa apakah Nilai Risiko Sisa
dapat diterima sesuai kriteria yang ditetapkan.
h) Menetapkan Risk Treatment Plan (RTP): Jika diterima, maka lakukan
pemantauan berkala untuk memeriksa kemungkinan perubahan risiko
karena perubahan faktor internal atau eksternal. Jika tidak diterima, perlu
dilakukan perbaikan atau penambahan kontrol baru agar Nilai Risiko Sisa
berada pada tingkat yang diterima.
 i) Memantau dan Mereview Risiko: Tahap ini akan melakukan pemantauan
pelaksanaan Risk Treatment Plan dan mereview risiko lain yang ada dan
belum diidentifikasi sebelumnya.

2. Kriteria Nilai Kemungkinan (Likelihood)

Kriteria Nilai Kemungkinan terjadinya risiko didefinisikan dalam tabel 1 berikut.

KEMUNGKINAN
Hampir pasti
1. >90% akan terjadi dalam periode waktu satu (1) tahun
(Almost Certain)
Sering Antara 50-90% akan terjadi dalam periode waktu satu (1)
2.
(Likely) tahun
Mungkin Antara 10-50% akan terjadi dalam periode waktu satu (1)
3.
(Possible) tahun
Jarang
4. <10% akan terjadi dalam periode waktu satu (1) tahun
(Rare)
Tabel 1. Kriteria Kemungkinan Terjadinya Ancaman

3. Kriteria Nilai Dampak (Impact)

Kategori Sangat Kecil Ringan Menengah Berat

1. Gangguan
terhadap Aplikasi tidak Aplikasi tidak Aplikasi tidak Aplikasi tidak
aplikasi dapat diakses <1 berfungsi > 1 – 4 berfungsi > 4 – 24 berfungsi lebih dari
SIMRS jam di luar jam jam selama jam jam selama jam 24 jam selama jam
internal kerja kerja kerja kerja

2. Gangguan aplikasi tidak Sistem tidak Sistem tidak Sistem tidak

terhadap dapat diakses <1 berfungsi > 1 – 4 berfungsi > 4 – 24 berfungsi lebih dari
aplikasi jam di luar jam jam selama jam jam selama jam 24 jam selama jam
Eksternal kerja kerja kerja kerja
Keluhan dialami Keluhan dimuat di
Keluhan kecil dan dan disampaikan Keluhan dimuat di
3. Keluhan user media lokal dan
tidak signifikan oleh sejumlah rapat manajemen
nasional
pengguna
Tabel 2: Jenis Kejadian dan Skala Likelihood (Kemungkinan)

4. Kriteria Nilai Risiko (Risk Score)

DAMPAK
Sangat Kecil Ringan Menengah Besar
KEMUNGKINAN

Hampir pasti Sedang Sedang Tinggi Tinggi

Sering Rendah Sedang Tinggi Tinggi
Mungkin Rendah Sedang Sedang Tinggi
Jarang Rendah Rendah Sedang Tinggi

Tabel 3. Kriteria Pengukuran Nilai Risiko

5. Langkah Pengendalian Risiko

Nilai
Langkah Pengendalian Risiko
Risiko
Risiko tidak diterima dan perlu ditanggulangi segera (jangka
Tinggi pendek) untuk mengurangi dampak risiko yang
ditumbulkannya.
Risiko tidak diterima tetapi tidak harus ditanggulangi segera,
Sedang karena dampaknya dampaknya dalam jangka pendek belum
kritikal atau masih dapat ditoleransi
Risiko dapat diterima tetapi harus tetap memelihara
Rendah
efektivitas penerapan kontrol yang ada.

Tabel 4. Langkah Pengendalian Risiko

G. Penutup
Kebijakan Manajemen Risiko Teknologi Informasi (TI) di Rumah Sakit Umum
Daerah Sekarwangi ini dibuat untuk menjadi acuan RSUD Sekarwangi dalam
pengelolaan resiko yang mungkin terjadi dalam penggunaan Teknologi Informasi.
Pedoman ini mencakup penetapan, pengumpulan, analisa, pelaporan, penyajian
data dan pengintegrasiannya dalam aplikasi SIMRS. Semoga dengan adanya
pedoman ini dapat meningkatkan mutu pelayanan di RSUD Sekarwangi.

DIREKTUR,

ALBANI NASUTION