ITTelkom Surabaya telah menerapkan Enterprise Architecture (EA) berbasis website
sebagai blueprint organisasi untuk menyelaraskan visi dan misi organisasi, serta
proses bisnis (business architecture) dengan teknologi informasi dalam perspektif
data (data architecture), aplikasi (application architecture), dan teknologi
(technology architecture). Di dalam EA memuat data atau informasi yang terpusat
sehingga sangat penting bagi keberlangsungan suatu organisasi dalam membantu
pengambilan keputusan untuk menjalankan strategi bisnisnya. Selain itu dapat
meningkatkan integritas serta kualitas dari sebuah organisasi. Sejak EA dibangun
belum pernah dilakukan penilaian risiko keamanan informasi sehingga rentan adanya
risiko yang mengancam. Oleh karena itu penelitian ini bertujuan untuk melakukan
penilaian risiko keamanan informasi pada EA ITTelkom Surabaya. Penelitian ini
menggunakan standar ISO 27001:2013 sebagai pedoman dalam melakukan proses
penilaian risiko dan menghasilkan identifikasi risiko yang terjadi. Hasil dari
identifikasi risiko kemudian dilakukan analisis risiko menggunakan metode FMEA
dan menghasilkan nilai Risk Priority Number (RPN) pada tiap risiko. Berdasarkan
hasil analisis, diperoleh 25 risiko yang mengancam keamanan informasi pada EA
dengan 6 risiko pada kategori software, 5 risiko pada kategori hardware, 7 risiko pada
kategori people, dan 7 risiko pada kategori data. Terdapat 7 risiko dengan level low,
4 risiko dengan level medium, 9 risiko dengan level high, dan 7 risiko dengan level
very high. Selanjutnya didapatkan hasil rekomendasi mitigasi risiko berdasarkan ISO
27001:2013 dengan menggunakan 5 objektif kontrol dalam penanganan risiko pada
EA ITTelkom Surabaya.
Kata Kunci: EA, Keamanan Informasi, ISO 27001:2013, Penilaian Risiko, FMEA