ABSTRAK
Manajemen Keamanan Informasi, menjadi tolak ukur bagi organisasi agar dapat menjalankan seluruh proses bisnis dengan baik. Bukan hanya untuk perusahaan/organisasi besar, keamanan informasi juga dibutuhkan oleh perguruan tinggi yang menjalankan sebuah proses bisnis, dan bergantung pada informasi sebagai salah satu aset utamanya.
Karya ilmiah ini menguraikan Tingkat Risiko Keamanan Informasi pada empat perguruan tinggi yang terletak di Bandung, menggunakan kerangka kerja ISO 27005:2011 sebagai acuan utama dan NIST SP 800-30 sebagai pelengkap. Dua tahapan Risk Assessment dilakukan untuk mengetahui Nilai Tingkat Risiko, yakni Risk Identification dan Risk Analysis. Proses tahapan yang pertama adalah mengetahui Asset. Penentuan penilaian asset ini (Asset Valuation) menggunakan konsep Financial Loss. Kedua, mengetahui ancaman (Threat) dan seberapa besar kemungkinan terjadinya ancaman tersebut (Likelihood of Occurrence). Ketiga, mengetahui kerentanan (Vulnerability) dan seberapa besar tingkat kerentanan tersebut (Ease of Exploitation). Ancaman dan kerentanan saling berhubungan satu dengan lainnya. Setelah ketiga item tersebut didapat barulah melakukan perhitungan Nilai Tingkat Risiko dengan menggunakan tabel perhitungan pada ISO 27005:2011. Pendekatan yang dilakukan bersifat kualitatif.
Tingkat risiko pada perguruan tinggi yang diteliti mayoritas berada pada tingkat sedang (Medium). Tidak ada satupun perguruan tinggi yang diteliti sudah menerapkan Standar Manajemen Keamanan Informasi. Aset dengan tingkat risiko tinggi beberapa diantaranya adalah asset Network, Personnel, Site, dengan cakupan beberapa sub asset lainnya. Ancaman bervariasi, yang memiliki tingkat risiko tinggi diantaranya adalah aktivitas pencurian termasuk diantaranya Theft of Equipment, Media or Documents, aktivitas Hacker termasuk diantaranya Eavesdropping, Illegal Processing of Data, aktivitas Insider, berbagai Natural Events dan lain sebagainya. Seluruh perguruan tinggi sebaiknya menerapkan standar manajemen kemanan informasi paling tidak untuk lingkungan internal. Untuk perguruan tinggi yang memiliki aset dengan tingkat risiko tinggi (High) perlu dilakukan kontrol keamanan dengan segera.