Assessment Penerapan Manajemen Risiko Teknologi Informasi Menggunakan ISO 31000

Abstract

Unit XYZ merupakan unit pengelola TI pada lembaga pemerintahan yang telah mengintegrasikan ISO 9001:2015, ISO/IEC 20000-1:2018 dan ISO/IEC 27001:2013 ke dalam Integrated Management System (IMS). Sejak tahun 2013 telah menerapkan Risk Management System (RMS) dan telah diperkuat dengan Kebijakan Internal Lembaga tentang Manajemen Risiko yang terintegrasi dengan ISO/IEC 27001:2013. Adapun pengintegrasian RMS dengan ISO 9001:2015 dan ISO/IEC 20000-1:2018 belum ada pedoman khusus yang mengatur hal tersebut. Kondisi ini dapat menyebabkan isu yang menjadi perhatian dalam ISO 9001:2015 dan ISO/IEC 20000-1:2018 tidak terekam dengan baik dalam Risk Register. Untuk mengetahui kesenjangan antara RMS dengan ISO 31000:2018, perlu dilakukan assessment penerapan RMS sesuai standar ISO 31000:2018. Penelitian ini melakukan penilaian terhadap dokumentasi dan implementasi berdasarkan ISO 31000, sehingga diperoleh seberapa besar nilai kesesuaian dan ketidaksesuaian, serta rekomendasi perbaikan terhadap pengelolaan risiko dan peluang yang terintegrasi antara RMS dan IMS. Hasil penelitian terdapat penilaian RMS terhadap proses IMS saat ini adalah 75,93%, terdapat 4 klausul yang belum terpenuhi secara keseluruhan, dan 5 klausul yang hanya terpenuhi sebagian. Hasil penelitian ini dapat digunakan untuk menentukan langkah-langkah perbaikan, serta bisa digunakan untuk penyusunan pedoman manajemen risiko yang terintegrasi antara RMS dengan IMS.