Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sekretariat Kabinet Republik Indonesia (Setkab) sebagai lembaga pemerintah yang memiliki tanggung jawab dalam pengelolaan manajemen kabinet perlu menerapkan manajemen risiko teknologi informasi secara efektif. Selaras dengan Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (Permenpan RB) nomor 5 tahun 2020 tentang Pedoman Manajemen Risiko Sistem Pemerintahan Berbasis Elektronik (SPBE) perlu memiliki rancangan penanganan risiko teknologi informasi. Namun demikian, Setkab belum melaksanakan manajemen risiko teknologi informasi sehingga risiko terkait teknologi informasi tidak teridentifikasi. Penelitian ini bertujuan untuk menyusun rancangan manajemen risiko teknologi informasi yang sesuai dengan kebutuhan dan konteks Setkab. Metode yang digunakan pada penelitian adalah kualitatif dengan pengumpulan data melalui wawancara, analisis dokumen, dan observasi terhadap risiko teknologi informasi di lingkungan Setkab. Analisis data menggunakan metode analisis tematik. Dalam penyusunan kerangka kerja manajemen risiko teknologi informasi Setkab, standar ISO 31000:2018 akan digunakan sebagai kerangka kerja utama, kemudian akan mengacu pada ISO/IEC 27005:2022 sebagai panduan aktivitas penilaian dan penanganan risiko, dan ISO/IEC 27002:2022 sebagai acuan kontrol keamanan informasi. Penelitian ini menghasilkan 245 skenario risiko, 83 diantaranya perlu dimitigasi dan 162 risiko dapat diterima. Penelitian ini menghasilkan rancangan manajemen risiko yang diharapkan dapat membantu Setkab dalam mengelola risiko teknologi informasi secara sistematis.

---

The Cabinet Secretariat of the Republic of Indonesia (Setkab) as a government institution that is responsible for managing cabinet management needs to implement information technology risk management effectively. In line with the Regulation of the Minister for Empowerment of State Apparatus and Bureaucratic Reform (Permenpan RB) number 5 of 2020 concerning Guidelines for Risk Management for Electronic-Based Government Systems (SPBE), it is necessary to have a design for handling information technology risks. However, Setkab has not yet implemented information technology risk management, so information technology-related risks are not being identified. This study aims to develop a design for information technology risk management that is suitable for the needs and context of Setkab. The method used in the study is qualitative, collecting data through interviews, document analysis, and observation of information technology risks in the Setkab environment. Data analysis uses thematic analysis method. In developing the design for information technology risk management for Setkab, ISO 31000:2018 standard will be used as the main framework, then referring to ISO/IEC 27005:2022, as guidelines for risk assessment and risk treatment activities, and ISO/IEC 27002:2022 as the information security control reference. This research produced 245 risk scenarios, 83 of which needed to be mitigated and 162 risks were acceptable. This research produces a risk management design that is expected to help Setkab manage information technology risks systematically."

"BPK telah mengimplementasikan Sistem Informasi Pemantauan Tindak Lanjut (SIPTL) untuk melaksanakan dan memantau tindak lanjut rekomendasi hasil pemeriksaan. Sejalan dengan mandat yang diberikan Undang-Undang Dasar 1945 untuk melaksanakan pemeriksaan atas pengelolaan dan tanggung jawab keuangan negara secara bebas dan mandiri, keamanan informasi hasil pemeriksaan merupakan hal penting bagi BPK. Namun demikian, dalam operasionalnya, pemanfaatan SIPTL belum sesuai dengan standar manajemen risiko keamanan informasi. Penelitian ini bertujuan untuk mendapatkan rancangan manajemen risiko keamanan informasi SIPTL. Penelitian ini menggunakan metode kualitatif dan pengumpulan data melalui wawancara dan studi literatur. Wawancara dilakukan dengan pejabat eselon III dan IV pada Biro TI BPK. Kerangka kerja yang digunakan pada penelitian ini berdasarkan SNI ISO/IEC 27005:2018 dengan penanganan risiko menggunakan SNI ISO/IEC 27001:2013, dan SNI ISO/IEC 27002:2013. Hasil yang didapatkan dari penelitian ini adalah 13 skenario risiko di mana dua risiko mempunyai level yang tinggi, lima risiko mempunyai level sedang, dan enam risiko memiliki level rendah. Berdasarkan skenario risiko selanjutnya disusun rancangan manajemen risiko keamanan informasi SIPTL, yang dapat digunakan sebagai bahan pertimbangan dalam penerapan manajemen risiko keamanan informasi di BPK.

---

BPK has implemented the Follow-up Monitoring Information Systems (SIPTL) to conduct and monitor follow-up of recommendations-audit result. In line with the mandate given by the 1945 Constitution to audit towards management of and accountability for the state’s finances a free and independen, the information security of audit results is an important matter for BPK. However, in its operations, the utilization of SIPTL is not in accordance with information security risk management standards. This study aims to obtain a SIPTL information security risk management design. This research uses qualitative methods and data collection through interviews and literature studies. Interview was conducted with middle level official at BPK’s Bureau of IT. The framework used in this research is based on SNI ISO / IEC 27005: 2018, and risk treatment based on SNI ISO / IEC 27001: 2013 also SNI ISO / IEC 27002: 2013. The results obtained from this study are 13 risk scenarios including two high level risks, five medium level risks, and six low level risks. Based on the risk scenario, the SIPTL information security risk management design is then prepared, which can be used as recommendation towards the implementation of information security risk management at BPK."

"Keberadaan teknologi informasi telah memberikan berbagai kemudahan dan peluang melakukan bisnis secara online, salah satunya adalah industri Software as a Service (SaaS). PT Mitra Cerdas Nusantara (MCN) merupakan salah satu startup yang berfokus pada bisnis SaaS sebagai penyedia solusi integrated school management system bernama Ziad Smart. IT memiliki peran yang vital pada kegiatan operasional Ziad Smart. PT MCN sadar akan hal tersebut dan menerapkan zero security incident pada Ziad Smart. Namun pada kenyataannya, Ziad Smart masih mengalami insiden keamanan karena terdapat celah pada sistem yang mengakibatkan kerugian bagi PT MCN. Hal tersebut menandakan perlunya manajemen risiko keamanan informasi bagi aplikasi Ziad Smart. Tujuan dari penelitian ini adalah untuk memperoleh rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart. Penelitian ini menggunakan metode kualitatif dimana pengumpulan data dilakukan melalui wawancara, observasi, dan tinjauan pustaka. SNI ISO/IEC 27005:2022 digunakan sebagai kerangka dasar perancangan manajemen risiko keamanan informasi, sementara rekomendasi perlakuan risiko menggunakan SNI ISO/IEC 27002:2022. Hasil dari penelitian ini adalah rancangan manajemen risiko keamanan informasi aplikasi Ziad Smart milik PT MCN. Penelitian ini menghasilkan 43 skenario risiko, yaitu: 10 risiko Tinggi, 21 risiko Sedang, dan 12 risiko Rendah. Penelitian ini mengusulkan 13 rekomendasi perlakuan untuk meningkatkan keamanan informasi dari aplikasi Ziad Smart.

---

Information technology presence has created several advantages and opportunities for conducting business online, one of which is the Software as a Service (SaaS) market. PT Mitra Cerdas Nusantara (MCN) is a SaaS-focused startup that provides integrated school management system solution namely Ziad Smart. Ziad Smart relies heavily on information technology for its operations. PT MCN is aware of this and has implemented a zero-security incident policy at Ziad Smart. However, Ziad Smart still experiencing security incidents because of a system flaw that causes loss for PT MCN. This highlights the necessity for information security risk management in the Ziad Smart application. The goal of this research is to provide a design for managing information security risks for the Ziad Smart application. This research employs qualitative approaches, with data collected through interviews, observations, and literature reviews. SNI ISO/IEC 27005:2022 serves as the foundation for establishing information security risk management, while risk treatment guidelines are based on SNI ISO/IEC 27002:2022. This investigation resulted in the formulation of an information security risk management strategy for PT MCN's Ziad Smart application. This study revealed 43 risk scenarios, including 10 high risks, 21 medium risks, and 12 low risks. This research presents 13 control measures to improve the information security of the Ziad Smart application."

"Inisiatif optimalisasi pemanfaatan Teknologi Informasi dan Komunikasi (TIK) merupakan salah satu bentuk inisiatif strategis dari Sekretariat Presiden (Setpres) yang tertuang dalam rencana strategis Setpres 2020-2024. Setpres dalam menjalankan kegiatan operasional maupun administrasi menetapkan konsep zero mistake, sehingga dalam melaksanakan pekerjaan diharuskan untuk teliti dan berhati-hati agar dapat meminimalisir munculnya risiko kesalahan dan timbulnya persepsi yang buruk terhadap kinerja Setpres. Layanan Setpres dituntut agar dapat memberikan data dan informasi yang aman dan handal dalam proses pengambilan keputusan. Namun pada kenyataannya pengelolaan aset dan risiko pada pusat data belum dikelola dengan baik dan bersifat spontanitas saja. Oleh karenanya dengan penelitian ini diharapkan pengelolaan risiko dan penanganan terkait keamanan informasi pada pusat data Setpres dapat dikelola dengan baik. Penelitian ini menggunakan metode kualitatif dimana proses pengumpulan data primer menggunakan wawancara, diskusi atau rapat dan melalui observasi serta dilengkapi dengan data sekunder. Kerangka kerja yang digunakan dalam proses manajemen risiko keamanan informasi penelitian ini adalah ISO/IEC 27005:2018 dan menggunakan panduan dari NIST SP 800-30 Rev.1 dalam proses penilaian risiko, kemudian menggunakan ISO/IEC 27002:2013 untuk memberikan rekomendasi kontrol penanganan risikonya. Penelitian ini menghasilkan 119 skenario risiko dimana 97 diantaranya perlu dimitigasi dan 22 risiko dapat diterima. Risiko yang dimitigasi 75 risiko ditangani dengan memodifikasi risiko, 22 dengan berbagi risiko, dan 22 risiko diterima. Rancangan manajemen risiko keamanan informasi pusat data Setpres ini diharapkan dapat bermanfaat bagi organisasi Setpres dalam mengelola risiko keamanan informasi pusat data maupun unit kerja lain di lingkungan Kementerian Sekretariat Negara dan juga pihak atau peneliti lain yang berkaitan dengan manajemen risiko keamanan informasi.

---

The initiative to optimize the use of Information Technology and Communication (ICT) is a form of strategic initiative of Presidential Secretariat (Setpres) which is can be found in the 2020-2024 Presidential Secretariat strategic plan. Setpres in carrying out the operational and administrative activities, Presidential Secretariat sets the concept of zero mistake, so that when doing the activities had to be thorough and careful in order to minimize the risk of errors and the emergence of a bad perception of the performance of the Presidential Secretariat. Presidential Secretariat services were required to provide be safe dan reliable data and information in the process of decision making. However, in the reality data center management of assets and risks was not managed properly, where the risk management and risk treatment were conducted spontaneously. Therefore, with this research risk management and the risk treatment related to the data center information security could be managed properly. This study uses qualitative method that the primary data collection by interviews, discussions or meetings, and observation, also uses the secondary data collection. Framework that is used by this research in the information security risk management process is ISO/IEC 27005:2018, and uses guidelines from NIST SP 800-30 Rev.1 in the risk assessment process, also completed with the ISO/IEC 27002:2013 for the recommendation for the risk controls. This study resulted 119 risk scenarios where 97 of them need to be mitigated and 22 risks are acceptable. Risks that were mitigated, 75 of the risks will be handled by modifying risks, 22 by sharing the risks, and 22 risks were acceptable. The design of data center information security risk management of the Presidential Secretariat was expected to be useful for Setpres Organization itself to manage information security risks and other works units within the Ministry of State Secretariat of the Republic of Indonesia as well as other parties or researchers related to the information security risk management."

"Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik Pasal 12 merupakan peraturan yang mendasari tentang manajemen risiko dalam sistem elektronik. pada Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik menyebutkan bahwa Sistem Manajemen Pengamanan Informasi (SMPI) adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam penerapan manajemen pengamanan informasi berdasarkan asas risiko. Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) merupakan unit kerja di Badan Siber dan Sandi Negara yang melaksanakan tugas memegang kendali operasi keamanan siber Indonesia. Adanya serangan siber yang semakin besar hingga tercatat pada tahun 2020 terdapat 495.337.202 anomali yang menyerang di jaringan Indonesia, hal ini dibutuhkan keandalan Pusopskamsinas dalam melaksanakan monitoring lalu lintas siber di Indonesia. Dalam penyelenggaraan operasi keamanan siber tentu terdapat kerawanan dan potensi ancaman yang memberikan dampak negatif/risiko terhadap organisasi di mana risiko tersebut dapat dilakukan mitigasi dengan menerapkan manajemen risiko keamanan informasi pada Pusopskamsinas. Salah satu Indikator Sasaran Kegiatan Pusopskamsinas yaitu “Meningkatnya Kualitas Pemonitoran Keamanan Siber atas Serangan dan Ancaman Siber”. Berdasarkan data Laporan Kinerja Pusopskamsinas tahun 2020, diketahui bahwa Pusopskamsinas belum dapat memenuhi target kinerja dari indikator kinerja sasaran dengan capaian nilai 65% dari target capaian 100%. Tidak tercapainya target kinerja dapat berpengaruh terhadap Indikator Kinerja Utama (IKU) organisasi sebagai penentu ukuran tingkat keberhasilan sasaran strategis sehingga diperlukan adanya evaluasi kinerja organisasi. Berdasarkan hasil analisis permasalahan digunakan Business Model for Information Security dari ISACA yaitu Organization, People, Technology, dan Process, salah satu instrumen dari segi organisasi yang belum tersedia adalah dokumen Perencanaan Manajemen Risiko Keamanan Informasi. Penelitian ini merupakan penelitian menggunakan metode kualitatif dengan metode penarikan kesimpulan berupa secara induktif dan merupakan klasifikasi penelitian studi kasus. Pengumpulan data dilakukan melalui observasi, studi dokumen, dan wawancara kepada pejabat, pengelola layanan / tim operasional, serta perwakilan stakeholder. Hasil dari penelitian ini berupa Perencanaan Manajemen Risiko yang sesuai dengan kondisi Pusopskamsinas sehingga dapat membantu pencapaian target kinerja serta meningkatkan pencapaian Rencana Strategis BSSN.

---

Government Regulation Number 71 of 2019 concerning Implementation of Electronic Systems and Transactions Article 12 is an underlying regulation concerning risk management in electronic systems. Regulation of the National Cyber and Crypto Agency Number 8 of 2020 concerning Security Systems in the Operation of Electronic Systems states that the Information Security Management System (ISMS) is a regulation of obligations for Electronic System Operators in implementing information security management based on risk principles. The National Cyber Security Operations Center (Pusopskamsinas) is a work unit in the National Cyber and Crypto Agency that carries out the task of controlling Indonesian cybersecurity operations. The existence of cyber-attacks is getting bigger until it was recorded that in 2020 there were 495,337,202 anomalies attacking the Indonesian network, this required the reliability of Pusopskamsinas in carrying out cyber traffic monitoring in Indonesia. In carrying out cyber security operations, of course there are vulnerabilities and potential threats that have a negative impact / risk on the organization where these risks can be mitigated by implementing information security risk management at Pusopskamsinas. One of the indicators of the Pusopskamsinas activity target is "Increasing the Quality of Cyber Security Monitoring of Cyber Attacks and Threats". Based on data from the 2020 Pusopskamsinas Performance Report, it is known that the Pusopskamsinas has not been able to meet the performance targets of the target performance indicators with a score of 65% of the 100% achievement target. The failure to achieve the performance targets can affect the main performance indicators (IKU) of the organization as a determinant of the level of success of strategic targets so that an evaluation of organizational performance is needed. Based on the results of the problem analysis, ISACA's Business Model for Information Security is used, namely Organization, People, Technology, and Process. One of the instruments in terms of organization that is not yet available is the Information Security Risk Management Planning document. This research is using qualitative methods such as inductive inference and the classification of a case study. Data collected through observation, study of documents and interviews of officials, managers of services / operations team, and stakeholder representatives. The results of this study are in the form of a Risk Management Planning in accordance with the conditions of the Pusopskamsinas so that it can help achieve performance targets and increase the achievement of the BSSN Strategic Plan."

"Tujuan penelitian ini adalah merancang sistem manajemen pengetahuan yang sesuai dengan kebutuhan perusahaan konsultan teknologi informasi PT. Magna Solusi Indonesia PT. MSI. Perancangan sistem manajemen pengetahuan PT. MSI menggunakan dua fase evaluasi infrastruktur dan analis, perancangan dan pengembangan sistem manajemen pengetahuan dan tujuh langkah yang terdapat pada metodologi yang dikemukakan oleh Tiwana 2002. Pengumpulan data dilakukan dengan menggunakan studi kepustakaan dan studi lapangan. Hasil analisis menunjukkan bahwa perancangan sistem manajemen pengetahuan paling sesuai dibangun dengan menggunakan web application platform. Sistem manajemen pengetahuan, PT. MSI menekankan pada tiga proses pengetahuan yaitu menemukan pengetahuan, menggunakan pengetahuan, dan menggunakan menvalidasi kembali pengetahuan. Berdasarkan proses ini, maka fitur-fitur yang dibangun dalam sistem manajemen pengetahuan adalah document management. knowledge base, forum dan search retrieval. Selain itu terdapat konten pencarian dalam sistem manajemen pengetahuan yang terdiri dari activities bagian, domain topik, type, product services, location. Prototype sistem manajemen menggunakan enam layer arsitektur manajemen pengetahuan, yaitu repository, transport layer, application layer, collaborative filtering, access and authentication layer dan interface layer.

---

The aim of this reseach is to design knowledge management system that fit to PT. MSI's needs as a consulting company in information technology. The design of PT. MSI's knowledge management system used two phases infrastructure evaluation and knowledge management system analysis, design and development and seven steps of Tiwana's methodology 2002 . The data was collected by using literature study and field research.

The result shows that web application platform is the most appropriate to use in designing knowledge management system. PT. MSI's knowledge management system focuses on three processes which are find knowledge, use knowledge, and reuse revalidate knowledge. The features of PT. MSI's knowledge management system is developed based on those processes. The features consist of document management. knowledge base, forum dan search retrieval.

The searching content is developed by using five attributes, which are activities department , domain topic, type, product services and location. Prototype of knowledge management system uses six layers architecture of knowledge management. The six layers are repository, transport layer, application layer, collaborative filtering, access and authentication layer dan interface layer."

"Ditjen. Imigrasi sebagai pelaksana tugas dan fungsi Kementerian Hukum dan HAM RI di bidang keimigrasian telah memanfaatkan SI/TI yang mengintegrasikan seluruh fungsi keimigrasian baik di dalam maupun luar negeri, yaitu dengan Sistem Informasi Manajemen Keimigrasian (SIMKIM). Lingkup SIMKIM yang meliputi hampir seluruh aspek layanan keimigrasian menyebabkan ketersediaan layanan SIMKIM menjadi sangat penting. Tidak tersedianya layanan SIMKIM menyebabkan proses pelayanan keimigrasian menjadi tidak berjalan. Terjadinya insiden terkait keamanan informasi dalam organisasi serta maraknya kasus serangan siber di instansi pemerintah Indonesia, menuntut kepastian pengamanan SIMKIM untuk melindungi data krusial yang dimiliki. Tingginya ketergantungan Imigrasi terhadap SIMKIM dan dalam rangka menjaga kredibilitas instansi, dibutuhkan suatu perencanaan manajemen risiko keamanan informasi untuk menjamin kerahasiaan, integritas, dan ketersediaan layanan SIMKIM.Dalam menyusun perencanaan manajemen risiko keamanan informasi SIMKIM, penelitian dilakukan dengan menggunakan kerangka kerja ISO/IEC 27005:2018 sebagai kerangka kerja utama dalam proses manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan pelaksanaan aktivitas penilaian risiko, dan NIST SP 800-53 Rev. 5 sebagai acuan penentuan rekomendasi. Dari penilaian risiko, diidentifikasi 23 skenario risiko yang perlu dimitigasi oleh organisasi dan 5 skenario risiko yang dapat dialihkan ke pihak ketiga. Penelitian ini menghasilkan dokumen rancangan manajemen risiko keamanan informasi SIMKIM.

---

The Directorate General of Immigration as the executor of the duties and functions of the Ministry of Law and Human Rights of Republic of Indonesia in the Immigration sector has utilized IS/IT that integrates all immigration functions both at inside and outside territory of Indonesia, namely the Sistem Informasi Manajemen Keimigrasian (SIMKIM). The scope of SIMKIM which covers almost all aspects of immigration services makes the availability of SIMKIM services very important. The unavailability of SIMKIM services causes the immigration service process to not work. The occurrence of incidents related to information security within the organization as well as the rise of cases of cyber attacks in Indonesian government agencies, demands the certainty of SIMKIM security to protect the crucial data held. Immigration's high dependence on SIMKIM and to maintain the credibility of the agency, an information security risk management plan is needed to ensure the confidentiality, integrity, and availability of SIMKIM services.

In preparing the information security risk management plan for SIMKIM, the research uses the ISO/IEC 27005 framework as the main framework in the risk management process, NIST SP 800-30 Rev. 1 as a guide for the implementation of risk assessment activities, and NIST SP 800-53 Rev. 5 as a reference for determining recommendations. From the risk assessment, 23 risk scenarios were identified that need to be mitigated by the organization and 5 risk scenarios that can be transferred to third parties. This research produces a SIMKIM information security risk management design document."

"ABSTRAKTesis ini membahas mengenai analisis risiko operasional khususnya risikoteknologi informasi pada PT. XYZ menggunakan metode Cause-Effect. MetodeCause-Effect merupakan metode penilaian risiko yang menggunakan logikahubungan sebab-akibat (cause-effect) dalam menentukan kemungkinan risikoyang dapat terjadi. Implementasi ISO 27001 pada bagian Teknologi Informasi PT.XYZ menghasilkan profil risiko Teknologi Informasi yang menjadi dasarpelaksanaan Sistem Manajemen Keamanan Informasi. Penelitian inimenggunakan profil risiko bagian Teknologi Informasi PT. XYZ sebagai dasaruntuk melakukan kuantifikasi penilaian risiko operasional menggunakan metodeCause-Effect. Kuantifikasi risiko operasional PT. XYZ dimulai dengan melakukandekomposisi dan membentuk submodel profil risiko teknologi informasi yang ada.Berdasarkan parameter risiko yang ada pada Kebijakan PT. XYZ, kemudiandilakukan simulasi kuantifikasi risiko dengan pendekatan Loss DistributionApproach - Aggregation model untuk memberikan gambaran kerugian finansialyang dapat terjadi.

---

ABSTRACTThis thesis analyze the operational risk specifically informationtechnology risk at PT. XYZ using Cause-Effect method. Cause-Effect method is arisk assessment method that uses a logic of causality relationship in determiningthe possible risks that can occur. Implementation of ISO 27001 at the InformationTechnology unit of PT. XYZ generate risk profiles that is used as the basis of theInformation Technology Security Management System implementation. Thisstudy uses the risk profile of Information Technology unit PT. XYZ as the basisfor quantifying operational risk assessment using the Cause-Effect method. PT.XYZ's operational risk quantification begins by decomposing and formingsubmodel of technology risk profile information. Based on the risk parametersthat exist in PT. XYZ's risk management policy, risk quantification simulationsusing Loss Distribution Approach - Aggregation model can be done to provideillustrations on financial loss that may occur."

"Human Resource Information System (HRIS), sebagai salah satu sistem informasi vital di Universitas Indonesia, diharapkan dapat memberikan dukungan dalam percepatan pencapaian tujuan strategis Universitas Indonesia sebagai universitas sehat berbasis Good University Governance (GUG) melalui percepatan penyediaan informasi yang relevan, tepat waktu, dan berkualitas. Saat ini, HRIS mengelola layanan esensial di bidang sumber daya manusia, seperti pengelolaan gaji pegawai, pajak, kehadiran hingga pengelolaan karir pegawai berbasis teknologi informasi. Namun, pengelolaan HRIS masih belum sesuai dengan standar keamanan informasi, terlihat dari beberapa insiden dan penanganan insiden tersebut masih bersifat accidental. Tujuan dari penelitian ini adalah untuk mendapatkan desain manajemen risiko keamanan informasi HRIS. Penelitian dilakukan melalui metode kualitatif dimana kegiatan koleksi data melalui wawancara, observasi, dan analisis data sekunder. ISO/IEC27005:2018 digunakan sebagai penilaian menggunakan keamanan informasi dan penanganan risiko SNI ISO/IEC 27001:2013. Penelitian ini menghasilkan 49 risiko tersebut, yaitu 16 risiko tinggi, 23 risiko sedang, tujuh risiko rendah, dan tiga risiko sangat rendah. Luaran penelitian berupa rancangan manajemen risiko keamanan informasi HRIS dengan harapan dapat digunakan sebagai bahan referensi dalam penerapan manajemen risiko keamanan informasi di Universitas Indonesia

---

Human Resource Information System (HRIS), as one of the vital information systems at Universitas Indonesia, is expected to provide support in accelerating the achievement of Universitas Indonesia's strategic goals as a healthy university based on Good University Governance (GUG) through accelerating the provision of relevant, timely, and quality information. HRIS manages essential services in human resources, such as management of employee salaries, taxes, and information technology-based employee career management. However, the management of HRIS is still not in compliance with information security standards, as can be seen from several incidents and the management of these incidents, which are still accidental. The purpose of this study was to obtain a design for HRIS information security risk management. The research was conducted through qualitative methods, while data collection was carried out by interviews, observations, and secondary data analysis. ISO/IEC27005:2018 is used as an assessment using information security and risk handling SNI ISO/IEC 27001:2013. This study resulted in 49 of these risks, namely 16 high risks, 23 moderate risks, seven low risks, and three very low risks. The results of this study are the design of HRIS information security risk management with the hope that it can be used as reference material in the application of information security risk management at Universitas Indonesia

"