digilib@itb.ac.id +62 812 2508 8800

Istilah manajemen risiko dibuat untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Manajemen risiko keamanan informasi (MRKI) yang diterapkan pada organisasi dapat mengacu pada banyak standar internasional yang membahas terkait tata kelola MRKI, seperti ISO 27005, 31000, NIST SP 800-300, NIST SP 800-39 dan Octave Framework. Dalam tesis ini, framework MRKI yang akan digunakan adalah ISO 27005. Framework yang sama akan digunakan dalam Manajemen Risiko Anti Penyuapan (MRAP) ISO 27005 merupakan panduan untuk sebuah organisasi dalam melaksanakan aktivitas MRKI dalam rangka menyusun strategi keamanan informasi dan sistem manajemen keamanan informasi. Proses manajemen risiko yang ada di dalam ISO 27005 meliputi proses penetapan konteks (context definition), penilaian risiko (risk assessment), perlakuan risiko (risk treatment), penerimaan risiko (risk acceptance), komunikasi konsultasi (communication consultation), dan monitoring evaluasi (monitoring evaluation). Dimensi proses yang sama akan digunakan pada pengukuran Manajemen Risiko Anti Penyuapan (MRAP) yang mengacu pada standar ISO 37001. Dimensi proses dijadikan acuan dalam menentukan base practices dan work products model penilaian kapabilitas proses MRKI dan MRAP yang dirancang dalam penelitian ini. Sedangkan untuk mengetahui bahwa penerapan MRKI dan MRAP di organisasi telah sesuai dengan standar ISO 27005 maka dirancang model penilaian kapabilitas proses menggunakan referensi dari ISO 33020. Model penilaian terdiri dari dua dimensi yaitu dimensi kapabilitas dan dimensi proses. Dimensi pertama terdiri dari proses-proses MRKI dan MRAP yang akan dinilai yaitu proses penetapan konteks (context definition), penilaian risiko (risk assessment), perlakuan risiko (risk treatment), penerimaan risiko (risk acceptance), komunikasi konsultasi (communication consultation), dan monitoring evaluasi (monitoring evaluation). Dimensi kedua adalah kapabilitas yang terdiri dari level kapabilitas proses, atribut proses pada tiap level kapabilitas, dan skala pengukuran untuk melakukan penilaian kapabilitas proses MRKI dan MRAP. Model penilaian kapabilitas manajemen risiko keamanan informasi yang dirancang diujicobakan di PT. PLN (Persero) sebagai lokus studi kasus. Pengumpulan data dilakukan dengan wawancara dan penyebaran kuisioner penelitian. Kuisioner penelitian dibagi menjadi 2 (dua) tipe yaitu kuisioner MRKI untuk responden pejabat struktural, Admin TI dan Staf TI dan kuisioner MRAP untuk jajaran pejabat Perencana Pengadaan, Pelaksana Pengadaan, dan SDM. Wawancara juga dilakukan untuk menggali lebih dalam kondisi organisasi dan melakukan crosschecking work produtcs yang didapatkan dari hasil kuisioner. Pada tahap selanjutnya hasil penilaian kapabilitas MRKI dan MRAP pada proses bisnis pengadaan barang dan jasa akan di nilai dengan requirement yang ada pada ISO 33020 sebagai standar internasional untuk penilaian kapabilitas. Tahap berikutnya adalah melakukan analisis keterkaitan menggunakan Spearman Rank Correlation untuk mengetahui apakah ada keterkaitan antara kapabilitas MRKI dan MRAP. Diharapkan hasil penelitian ini mampu menunjang pembuatan kebijakan proses bisnis pengadaan barang dan jasa yang baik dari sisi keamanan informasi dan anti suap.