Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sektor kesehatan merupakan salah satu sektor yang menjadi target utama serangan siber. Penggunaan teknologi informasi pada sektor kesehatan menyebabkan munculnya berbagai kerentanan dalam sektor kesehatan. Pengelolaan risiko keamanan informasi merupakan salah satu hal yang harus dilakukan oleh organisasi sektor kesehatan. Penelitian ini bertujuan untuk menghasilkan kerangka kerja manajemen risiko keamanan informasi pada sektor kesehatan berdasarkan kajian terhadap profil risiko yang ada pada sektor kesehatan. Penelitian dilakukan dengan metode kualitatif. Berdasarkan hasil risk profiling, sektor kesehatan mempunyai enam aset kritikal yang akan berdampak signifikan bila dieksploitasi. Untuk mengatasi hal tersebut, diajukan kerangka kerja manajemen risiko keamanan informasi yang terdiri atas empat tahap, yaitu Risk Profiling, Pengukuran Level Risiko, Perlakuan Risiko, dan Pemantauan. Risk Profiling merupakan tahap yang penting dalam proses manajemen risiko untuk menghasilkan gambaran profil risiko keamanan informasi berdasarkan aset kritikal yang dimiliki instansi dan kondisi ruang siber dalam konteks keamanan informasi di sektor kesehatan. Desain kerangka kerja diuji coba pada Klinik Utama XYZ yang merupakan salah satu instansi fasilitas pelayanan kesehatan. Pada hasil uji coba tersebut, terdapat 20 aset dengan 24 risiko yang terdiri atas 1 risiko level Sangat Tinggi, 5 risiko level Tinggi, 8 risiko level Sedang, dan 10 risiko level Rendah. Perlakuan terhadap seluruh risiko tersebut adalah dikurangi dengan penerapan kontrol dan disalurkan. Hasil evaluasi terhadap usulan kerangka kerja menyatakan bahwa desain kerangka kerja sudah menggambarkan urutan kegiatan, mencakup seluruh aktivitas yang diperlukan, dapat diaplikasikan pada instansi fasilitas pelayanan kesehatan, ideal untuk menyelenggarakan manajemen risiko keamanan informasi, serta memudahkan instansi fasilitas pelayanan kesehatan untuk melakukan self-assessment dan melakukan tindak lanjut terkait hasil kegiatan.

---

The healthcare sector is currently becoming one of the paramount targets for cyberattacks. The utilization of information technology in the healthcare sector triggers the emergence of its varied vulnerabilities. Information security risk management is considered one of obligatory jobs for healthcare sector organizations. This study aims at constructing an information security risk management framework in the healthcare sector based on a study of its risk profile. This research employed qualitative method. Based on risk profiling results, the healthcare sector had six critical assets that will caused significant impact if exploited. To overcome this, an information security risk management framework consisting of four stages is proposed, namely Risk Profiling, Risk Level Assessment, Risk Treatment, and Monitoring. Risk Profiling is a vital stage in the risk management process to produce an overview of the information security risk profile resulted from critical assets owned by the organization and the condition of cyberspace in the information security in the healthcare sector. The proposed framework design was tested in Klinik Utama XYZ which is kind of health care facility agencies. The result of the test is there are 20 assets with 24 risks consist of a very high risk, 5 high risks, 8 medium risks, and 10 low risks. All the risks are reduced by applying some controls. Trea are two risks that will be transferred. The result of the evaluation of proposed framework state that it has described the sequence of security risk management stage, all required activities in information security risk management are includes, can be applied into the healthcare facilities institution, it is the ideal framework to conduct risk management in the healthcare sector, and it is easy to be applied in the health care facility institution to conduct a sel-assessment as well as to follow up related activity results"

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi.Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002.Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."