SK Kebijakan Manajemen Resiko TI
SK Kebijakan Manajemen Resiko TI
KABUPATEN SUKABUMI
NOMOR: 445/KEP. 438-RS/2018/2020
TENTANG
MANAJEMEN RISIKO TEKNOLOGI INFORMASI (TI)
DI RUMAH SAKIT UMUM DAERAH SEKARWANGI
MEMUTUSKAN
Menetapkan :
Ditetapkan di Cibadak
Pada tanggal
DIREKTUR,
ALBANI NASUTION
LAMPIRAN I KEPUTUSAN DIREKTUR RSUD SEKARWANGI
NOMOR :
TANGGAL :
TENTANG : MANAJEMEN RISIKO TEKNOLOGI INFORMASI (TI) DI
RUMAH SAKIT UMUM DAERAH SEKARWANGI
=================================================================
A. Latar Belakang
RSUD Sekarwangi adalah institusi pelayanan kesehatan yang
menyelenggarakan pelayanan kesehatan perorangan secara paripurna. Pelayanan
kesehatan di RSUD Sekarwangi meliputi pelayanan rawat inap, rawat jalan, gawat
darurat dan pelayanan penunjang. Dalam proses pelayanan, RSUD Sekarwangi
telah menggunakan teknologi informasi dari mulai pendaftaran sampai
pembayaran melalui aplikasi SIMRS (Sistem Informasi Manajemen Rumah Sakit).
Untuk menjamin pelaksanaannya diperlukan manajemen resiko penggunaan TI
agar dalam tidak mengganggu pelayanan
IT Risk Management (Manajemen Resiko Teknologi Informasi) adalah suatu
proses identifikasi kerentanan dan ancaman terhadap sumber daya informasi
yang digunakan oleh sebuah organisasi dan dilakukan oleh manajer TI untuk
mencapai tujuan bisnis, mengurangi resiko, dan menyeimbangkan pengeluaran
dalam mencapai keuntungan dan melindungi TI. Proses pelaksanaan manajemen
resiko TI di RSUD Sekarwangi tentunya diperlukan aturan tertentu yang dapat
dijadikan acuan pada pelaksanaannya. Implementasi manajemen resiko tidak
terlepas dari kaidah-kaidah manajemen resiko secara umum.
B. Tujuan
Tujuan dari manajemen resiko adalah sebagai berikut :
1. Mengidentifikasi risiko operasional layanan TI dari gangguan terhadap aspek
kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability).
2. Mengukur besarnya risiko yang mungkin terjadi dan melakukan pengendalian
risiko yang diperlukan sehingga dampaknya tidak terlalu mengganggu
penyelenggaraan layanan TI secara keseluruhan di lingkungan RSUD
Sekarwangi.
C. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh aset TI dan sarana pendukungnya
yang digunakan dalam penyelenggaraan layanan TI di lingkungan RSUD
Sekarwangi, yang meliputi:
1. Informasi, meliputi kebijakan dan prosedur TI, konfigurasi LAN, hasil
pengkajian risiko (risk register), hasil audit log, hasil monitoring penggunaan
bandwidth jaringan, dan lain-lain
2. Software, meliputi aplikasi (Aplikasi Internal SIMRS, Aplikasi Eksternal yang
digunakan RSUD Sekarwangi, sistem operasi, MS Office, software antivirus,
tool/software monitoring, dan lain-lain)
3. Hardware dan infrastruktur jaringan, meliputi PC/Laptop, server, router, kabel
LAN, modem, storage, flash disk, dan lain-lain.
4. Sarana pendukung, meliputi: sumber daya listrik PLN, UPS, Genset, AC,
CCTV, alat pemadam kebakaran, alat pengukur suhu dan kelembaban, dsb.
5. SDM, meliputi: Programmer, Teknisi Komputer Jaringan dan Pengguna TI.
D. Definisi
1. Ancaman (Threat) adalah suatu potensi insiden yang dapat menimbulkan
kerugian / bahaya terhadap penyelenggaraan layanan TI.
2. Dampak (Impact) adalah gangguan atau kerugian yang akan dialami Unit Kerja
di RSUD Sekarwangi jika risiko yang diidentifikasi terjadi.
3. Kemungkinan (Likelihood) adalah peluang terjadinya suatu risiko.
4. Kerawanan (Vulnerability) adalah kelemahan dari satu atau kelompok sumber
daya TI yang dimanfaatkan untuk menimbulkan satu atau lebih ancaman.
5. Kriteria Penerimaan Risiko (Risk Acceptance Criteria) adalah tingkat risiko
layaan TI yang diterima oleh RSUD Sekarwangi.
6. Pemilik risiko TI adalah Kepala Unit Organisasi yang bertanggungjawab
terhadap penyediaan layanan TI bagi pengguna di lingkungan RSUD
Sekarwangi
7. Rencana Penanggulangan Risiko (Risk Treatment Plan) adalah rencana
tindakan untuk menurunkan tingkat kemungkinan (Likelihood) terjadinya
risiko dan mengurangi dampak (Impact) risiko dengan menetapkan kontrol,
mengalokasikan sumber daya dan menetapkan jadwal.
8. Risiko penggunaan TI adalah faktor-faktor yang berpeluang mengancam
kinerja penyelenggaraan layanan TI karena gangguan terhadap kerahasiaan
(confidentiality), keutuhan (integrity), dan ketersediaan (availability) informasi.
9. Daftar Risiko (Risk Register) adalah dokumen tentang daftar identifikasi
kerawanan, ancaman, dampak, serta kontrol dan rencana penanggulangan
risiko terhadap penyelenggaraan Layanan TI.
10. Risiko sisa (Residual Risk) adalah risiko yang masih ada setelah diterapkannya
kontrol.
E. Kebijakan
KEMUNGKINAN
Hampir pasti
1. >90% akan terjadi dalam periode waktu satu (1) tahun
(Almost Certain)
Sering Antara 50-90% akan terjadi dalam periode waktu satu (1)
2.
(Likely) tahun
Mungkin Antara 10-50% akan terjadi dalam periode waktu satu (1)
3.
(Possible) tahun
Jarang
4. <10% akan terjadi dalam periode waktu satu (1) tahun
(Rare)
Tabel 1. Kriteria Kemungkinan Terjadinya Ancaman
DAMPAK
Sangat Kecil Ringan Menengah Besar
KEMUNGKINAN
Nilai
Langkah Pengendalian Risiko
Risiko
Risiko tidak diterima dan perlu ditanggulangi segera (jangka
Tinggi pendek) untuk mengurangi dampak risiko yang
ditumbulkannya.
Risiko tidak diterima tetapi tidak harus ditanggulangi segera,
Sedang karena dampaknya dampaknya dalam jangka pendek belum
kritikal atau masih dapat ditoleransi
Risiko dapat diterima tetapi harus tetap memelihara
Rendah
efektivitas penerapan kontrol yang ada.
G. Penutup
Kebijakan Manajemen Risiko Teknologi Informasi (TI) di Rumah Sakit Umum
Daerah Sekarwangi ini dibuat untuk menjadi acuan RSUD Sekarwangi dalam
pengelolaan resiko yang mungkin terjadi dalam penggunaan Teknologi Informasi.
Pedoman ini mencakup penetapan, pengumpulan, analisa, pelaporan, penyajian
data dan pengintegrasiannya dalam aplikasi SIMRS. Semoga dengan adanya
pedoman ini dapat meningkatkan mutu pelayanan di RSUD Sekarwangi.
DIREKTUR,
ALBANI NASUTION