Model Tata Kelola Risiko Keamanan Informasi pada Sistem Rekam
Medis Menggunakan Framework COBIT 4.1
Muhammad Faisal Aziz (18215044)
Program Studi Sistem dan Teknologi Informasi
Sekolah Teknik Elektro dan Informatika
Institut Teknologi Bandung
Abstrak
Dalam implementasi sistem rekam medis, terdapat permasalahan yang timbul dan mempengaruhi integritas data dari rekam medis pasien. Permasalahan tersebut menimbulkan adanya permasalahan tata kelola keamanan informasi yang membutuhkan adanya model dalam penyelesaiannya. Permasalahan berupa ancaman keamanan informasi terdiri atas dua kategori, yaitu telah diketahui dan belum diketahui penanganannya. COBIT 4.1 merupakan suatu kerangka kerja yang menyediakan penjabaran bisnis dari tata kelola teknologi informasi dalam menciptakan suatu nilai. Dalam makalah ini membahas mengenai penanganan ancaman
keamanan informasi pada rekam medis dengan menggunakan kerangka kerja COBIT 4.1. Dalam makalah ini akan dijelaskan prosedur dalam menangani ancaman mengacu pada kerangka kerja tersebut sehingga dapat terlihat jelas aktivitas yang perlu dilakukan untuk menangani ancaman tersebut.
I.
Pendahuluan
I.1 Latar Belakang
publik dan informasi kesehatan yang dipertukarkan atau ditingkatkan melalui saluran internet dengan memanfaatkan sistem dan teknologi informasi.
Pada lembaga pelayanan kesehatan seperti Rumah Sakit tentu harus memiliki catatan terkait dengan data rekam medis pasien yang dikelola pada sistem rekam medis. Rekam medis adalah catatan mengenai bagaimana perawatan seorang pasien selama masa perawatannya di rumah sakit (Rustiyanto, 2009). Menurut Direktorat Jenderal Pelayanan Medis di Departemen Kesehatan Republik Indonesia (1997), rekam medis adalah “keterangan baik tertulis maupun yang terekam tentang identitas, anamnesa, penentuan fisik laboratorium, diagnosa pelayanan dan tindakan medis yang diberikan kepada pasien, dan pengobatan”. Perekaman data medis pasien digunakan untuk menunjang proses peningkatan pelayanan kesehatan pasien.
Adapun dalam implementasi sistem rekam medis, terdapat banyak permasalahan yang timbul dan mempengaruhi integritas data dari data rekam medis. Masalah yang seringkali muncul dalam sistem rekam medis pada pelayanan kesehatan adalah kesalahan dari petugas, tidak terjaminnya integritas data, belum memadainya pengamanan data, dan adanya risiko kebocoran data pasien ke pihak luar. Adanya permasalahan tersebut disebabkan oleh adanya anggapan bahwa rekam medis merupakan bagian yang kurang berpengaruh pada pelayanan kesehatan.
Tata kelola informasi diperlukan oleh organisasi dalam mengelola informasi agar dapat digunakan kembali sebagai acuan di masa mendatang. Selain itu, tata kelola informasi juga bertujuan untuk mencegah adanya kebocoran data-data kepada pihak luar.
Keamanan informasi merupakan salah satu aspek yang penting seiring dengan
perkembangan teknologi. Dengan adanya perkembangan teknologi akan memudahkan dalam memperoleh informasi yang diperlukan. Akan tetapi, seiring dengan adanya perkembangan teknologi tersebut, terdapat ancaman berupa pencurian informasi, terutama pada informasi yang bersifat rahasia (confidential), seperti data rekam medis pasien.
Dengan adanya permasalahan ini maka memicu tantangan yang besar untuk melindungi data-data yang dimilikinya. Hal ini dikarenakan tidak adanya jaminan bahwa suatu organisasi tidak akan terkena oleh suatu serangan cyber. Serangan tersebut dapat mengakibatkan kegagalan sistem ataupun penurunan kualtias layanan dengan dampak tertentu yang ditimbulkan oleh serangan tersebut.
Menurut Hatta (2010), rekam medis merupakan “dokumentasi keadaan pasien dan
bersifat rahasia kedokteran yang harus dijaga kerahasiaannya oleh setiap tenaga kesehatan”. Oleh
sebab tersebut, maka perlu adanya standar dalam melakukan tata kelola keamanan informasi terkait dengan rekam medis. Dalam makalah ini akan berfokus mengenai analisis tata kelola informasi pada sistem rekam medis. Di Indonesia, beberapa instansi telah memiliki standar dalam menangani tata kelola informasi rekam medis dengan baik. Akan tetapi, terdapat juga instansi terkait kesehatan yang mengalami kendala dalam mengimplementasikan tata kelola informasi pada sistem rekam medis.
I.2 Permasalahan
Berdasarkan latar belakang yang telah dijelaskan pada bagian sebelumnya, pada makalah ini akan menyelesaikan permasalahan terkait dengan kebutuhan tata kelola dari sistem rekam medis pada lembaga kesehatan.
I.3 Tujuan
Tujuan dari dibuatnya makalah ini adalah untuk mengetahui kebutuhan keamanan informasi dalam sistem rekam medis pasien berdasarkan kebutuhan stakeholder dan kebutuhan keamanan serta dapat merumuskan tata kelola informasi yang akan digunakan untuk memenuhi kebutuhan tersebut. Dengan demikian, dapat dibuat rancangan tata kelola sistem rekam medis rumah sakit yang memiliki integritas, ketersediaan (availability), dan kerahasiaan
(confidentiality) yang tinggi.
I.4 Batasan Masalah
1. Proses-proses yang diturunkan masih berdasarkan analisis kualitatif dari penelitian yang telah ada sebelumnya dan dari kerangka kerja COBIT 4.1.
2. Penggunaan framework COBIT 4.1 berfokus pada empat domain COBIT 4.1.
3. Penerapan tata kelola sistem rekam medis hanya mencakup sampai dengan level 3 dari tingkat kematangan (maturity level) pada COBIT 4.1 sebagai best practice yang ada pada industri.
II. Tinjauan Pustaka
II.1 Tata kelola enterprise di Indonesia
Berdasarkan peraturan Menteri BUMN nomor PER-02/MBU/2013 menyatakan bahwa tujuan dari pelaksanaan tata kelola teknologi Informasi yang baik memerlukan standardisasi kerangka pengelolaan teknologi informasi untuk penerapan teknologi informasi secara
komprehensif. Adapun sasaran dari maturity level pada tata kelola perusahaan dengan mengacu pada best practice industri berada pada level 3. Akan tetapi, hanya sedikit organisasi yang menerapkan tata kelola sumber daya teknologi informasi sesuai dengan standar yang diterapkan. Dalam hal ini, pada layanan kesehatan perlu adanya tata kelola teknologi informasi khususnya terkait pengamanan informasi rekam medis untuk mencapai level 3 dari best practice yang digunakan. Dalam makalah ini akan dibahas mengenai prosedur, stakeholder, dan tahapan-tahapan yang diperlukan untuk mencapai level 3 dari COBIT 4.1 terkait dengan manajemen keamanan informasi pada rekam medis.
II.2 COBIT 4.1
COBIT berisi sekumpulan dokumentasi best practices untuk tata kelola teknologi
informasi dalam menjembatani gap antara risiko bisnis dengan kebutuhan-kebutuhan enterprise. COBIT menjadi model kontrol perusahaan untuk memenuhi tata kelola teknologi informasi dan menjamin integritas informasi pada enteprise.
tujuan pengendalian untuk dipertimbangkan oleh manajemen. COBIT 4.1 menjadikan empat domain, proses, kriteria informasi, dan sumber daya teknologi informas menjadi 318 sasaran pengendalian (control objectives) dengan aplikasi pada tingkatan dan jenis sumber daya teknologi informasi tertentu.
Lingkup pekerjaan (domain) yang dicakup oleh COBIT 4.1 adalah sebagai berikut.
1. Plan and Organize (PO) sebanyak 10 proses. 2. Acquire and Implement (AI) sebanyak 7 proses. 3. Direct and Support (DS) sebanyak 13 proses. 4. Monitor and Evaluate (ME) sebanyak 4 proses.
Gambar 1. Lingkup dari COBIT 4.1
Pada proses-proses diatas, dalam penerapan COBIT 4.1 juga diperlukan sumber daya manusia yang akan terlibat pada setiap prosesnya. Dalam standar yang ditetapkan oleh COBIT 4.1 pada setiap prosesnya, disajikan dengan diagram RACI. Diagram RACI merupakan
singkatan dari Responsible, Accountable, Consulted, dan Informed. Hal ini menjelaskan peran yang dimiliki oleh stakeholder tertentu, dengan penjelasan sebagai berikut.
1. Responsible, yaitu pihak yang melakukan suatu tugas atau pekerjaan.
3. Consulted, yaitu pihak yang bertugas untuk memberikan masukan dan pendapat terkait suatu tugas.
4. Informed, yaitu pihak yang perlu mengetahui suatu keputusan dan hasil dari keputusan yang diambil.
Gambar 2. Model kematangan COBIT 4.1
Dalam menentukan tingkat kematangan suatu enterprise, COBIT memiliki suatu kerangka kerja untuk menentukan tingkat kematangan dari suatu proses yang telah
diimplementasikan. Model tingkat kematangan pada proses-proses teknologi informasi dapat dinilai dari tingkatan tidak ada (0) sampai dengan terpotimasi (5). Tingkatan kematangan ini merupakan model spesifik yang menggunakan skala generik pada 34 proses yang ada pada COBIT 4.1. Dengan adanya tingkat kematangan, dapat dilakukan desain terhadap langkah-langkah yang perlu dilakukan untuk mencapai tujuannya.
Ketentuan yang dibutuhkan dalam menentukan tingkat kematangan yaitu dengan menggunakan capability level. Capability level merupakan penentuan tingkat kematangan berdasarkan pencapaian yang telah dilakukan pada tingkatan sebelumnya pada suatu proses. Adapun penilaian terhadap tingkat kapabilitas pada COBIT 4.1 adalah sebagai berikut.
Tabel 1. Rating kapabilitas
N Not Achieved 0-15% Achievement
P Partially Achieved >15-50% Achievement
L Largely Achieved >50-85% Achievement
Tabel 2. Tingkatan kematangan berdasarkan tingkat kapabilitas
III.
Model Tata Kelola Informasi pada Sistem Rekam Medis di
Indonesia
Pada makalah ini akan dibahas mengenai model tata kelola informasi pada sistem rekam medis mengacu pada standar COBIT 4.1. Seperti yang telah dijelaskan sebelumnya, COBIT memiliki banyak ketentuan untuk suatu enterprise yang menjalankan teknologi informasi. Dalam upaya menjalankan teknologi informasi tersebut tentunya terdapat risiko-risiko pada
dan ancaman-ancaman lainnya. Dengan adanya risiko-risiko tersebut, perlu untuk membuat model tata kelola pada organisasi penyedia layanan kesehatan, khususnya pada bagian rekam medis untuk mencegah risiko tersebut terjadi. Model itu sendiri sangat penting untuk mencegah terjadinya risiko tersebut.
Dalam membuat model tersebut, maka organisasi perlu untuk membuat prosedur terkait dengan hal tersebut. Dengan menggunakan COBIT 4.1 terdapat standar untuk suatu proses yang harus ada dalam menangani risiko-risiko tersebut. Dalam model tersebut, terdiri atas fase
perencanaan, pengembangan, implementasi dan operasional, dan kontrol.
Dalam tahapan perencanaan tersebut, pada COBIT 4.1 terdapat standar dalam melakukan pengelolaan informasi yang berada pada domain PO (Plan and Organize) yang ada pada area
top-level management. Domain PO tersebut memberikan penjelasan terkait apa saja yang perlu dilakukan oleh sebuah organisasi yang menggunakan teknologi informasi dalam proses bisnis yang dilakukannya. Domain PO yang digunakan dalam tata kelola informasi tersebut adalah proses PO9 Assess and Manage IT risks. Proses ini mendokumentasikan risiko-risiko yang umum terjadi, langkah-langkah mitigasinya, dan langkah-langkah dalam mengurangi risiko. Dampak-dampak yang mungkin terjadi pada organisasi diidentifikasi, dianalisis, dan dilakukan penilaian. Hasilnya adalah penilaian risiko yang dapat dipahami oleh stakeholder dan analisis finansialnya, untuk memudahkan stakeholder dalam mengelola risiko ke dalam tingkatan toleransi yang dapat diterima.
Pada tahapan operasional, proses pada COBIT 4.1 yang terkait dengan standar yang diperlukan adalah DS1 Define and manage service levels, DS5 Ensure systems security, dan DS11 Manage data. Pada proses DS1 dikarenakan akan adanya layanan baru maka dibutuhkan kerangka kerja untuk pengelolaan layanan tersebut pada organisasi. Oleh karena itu tingkatan layanan yang sangat tinggi harus dilakukan dalam sistem rekam medis tersebut.
berkelanjutan. Apabila terdapat data yang terkelola dengan baik, maka akan memudahkan dalam perolehan informasi.
Proses-proses tersebut mendukung tujuan organisasi yang berkaitan dengan teknologi informasi yang diimplementasikan, dalam hal ini pada sistem rekam medis. Tujuan tersebut adalah melakukan pengelolaan informasi dan menyelaraskan layanan teknologi informasi yang diberikan dengan kebutuhan bisnis perusahaan. Dalam prakteknya, hal yang terkait dengan risiko bisnis adalah risk assessment, frekuensi pembaharuan risk profile, dan risk management
framework. Adapun hal-hal yang terkait dengan penyelarasan layanan teknologi informasi dengan kebutuhan bisnis perusahaan adalah banyaknya gangguan pada sistem teknologi informasi yang mengganggu proses bisnis, persentase kepuasan stakeholder terhadap layanan yang diberikan, dan persentase kepuasan pengguna terhadap kualitas layanan.
III.1 Prosedur Pengelolaan Risiko menurut COBIT 4.1
Pada proses PO09 terdapat 6 aktivitas yang dapat dilakukan sebagai best practice dalam pengelolaan informasi pada rekam medis. Adapun aktivitas-aktivitas tersebut adalah sebagai berikut
1. Establish IT Risk Management Framework
2. Establish Risk Context
3. Event Identification
4. Risk Assessment
5. Risk Response
6. Maintenance and Monitoring of a Risk Action Plan
III.2 Pengelolaan Operasional Sistem Informasi Menggunakan COBIT 4.1
Dalam pengelolaan operasional sistem rekam medis, akan dilakukan tiga proses yaitu proses DS1, DS5, dan DS11. Adapun pada proses-proses tersebut terdapat aktivitas-aktivitas yang akan dilakukan.
kerangka kerja layanan, Service level agreements (SLAs), Operating level agreements (OLAs), dan pengelolaan dari tingkatan layanan tersebut. Adapun aktivitas yang dilakukan adalah sebagai berikut.
1. Service Level Management Framework
2. Definition of Services
3. Service Level Agreements
4. Operating Level Agreements
5. Monitoring and Reporting of Service Level Achievements
6. Review of Service Level Agreements and Contracts
Pada proses DS5 bertujuan untuk mengelola integritas informasi dan melindungi aset-aset teknologi informasi yang membutuhkan proses-proses manajemen keamanan informasi. Proses tersebut termasuk diantaranya membuat dan mengelola performa keamanan informasi dan melakukan pengujian keamanan secara berkala untuk mengidentifikasi kelemahan keamanan informasi. Manajemen keamanan informasi yang efektif dapat melindungi aset-aset teknologi informasi dan meminimalisir celah keamanan. Adapun aktivitas-aktivitas yang terdapat pada proses DS5 adalah sebagai berikut.
1. Management of IT Security
2. IT Security Plan
3. Identify Management
4. User Account Management
5. Security Testing, Surveillance, and Monitoring
6. Security Incident Definition
7. Protection of Security Technology
8. Cryptographic Key Management
9. Malicious Software Prevention, Detection, and Correction
10.Network Security
11.Exchange of Sensitive Data
proses ini, diharapkan dapat meningkatkan kualitas, ketepatan waktu, dan ketersediaan pada data-data yang dibutuhkan oleh organisasi. Adapun aktivitas-aktivitas yang dilakukan dalam proses DS11 adalah sebagai berikut.
1. Business Requirements for Data Management
2. Storage and Retention Arrangements
3. Media Library Management System
4. Disposal
5. Backup and Restoration
6. Security Requirements for Data Management
III.3 Prosedur dalam Tata Kelola Keamanan Sistem
Dalam melakukan tata kelola informasi pada sistem rekam medis dilakukan dengan proses DS5 pada COBIT 4.1. Adapun tujuan dari proses tersebut adalah memastikan keamanan sistem yang memenuhi persyaratan bisnis untuk melindungi informasi yang tidak sah,
pengungkapan atau modifikasi, kerusakan atau kehilangan diaktifkan oleh kontrol akses logis yang memastikan bahwa akses terhadap sistem, data, dan program dibatasi untuk pengguna yang berwenang.
Dalam melaksanakan tata kelola terhadap keamanan informasi pada sistem rekam medis tersebut, terdapat proses-proses yang akan dilakukan. Proses-proses tersebut mengacu pada best practice COBIT 4.1 dengan mengacu pada aktivitas-aktivitas berikut.
1. Management of IT Security
2. IT Security Plan
3. Identify Management
4. User Account Management
5. Security Testing, Surveillance, and Monitoring
6. Security Incident Definition
7. Protection of Security Technology
8. Cryptographic Key Management
9. Malicious Software Prevention, Detection, and Correction
11.Exchange of Sensitive Data
Pada proses pertama yaitu Management of IT Security yang berarti melakukan manajemen keamanan teknologi informasi pada level organisasi yang sesuai. Hal ini menjelaskan bahwa keamanan informasi terkait dengan rekam medis perlu dikelola sesuai dengan kebutuhan organisasi terkait dengan keamanan informasi rekam medis pasien. Dalam pembuatan model manajemen ini diperlukan data-data yaitu rencana keamanan informasi, otorisasi, dan kebutuhan manajemen informasi.
Dari proses ini maka akan dilakukan aktivitas-aktivitas dalam mencapai tujuannya, antara lain mendefinisikan skema pengelolaan keamanan informasi, yang terdiri atas klasifikasi risiko yang mungkin timbul, penanganan risiko, dan sumber daya yang terlibat dalam melakukan pengamanan sistem. Hal ini dilakukan untuk memastikan keamanan sistem dapat dikendalikan oleh organisasi. Hal berikutnya yang dilakukan adalah mendefinisikan kebutuhan organisasi terkait dengan keamanan informasi. Hal ini bertujuan untuk memetakan kebutuhan organisasi dengan pengelolaan informasi rekam medis untuk memastikan ketersediaan, integritas, dan kerahasiaan informasi. Aktivitas berikutnya adalah mendefinisikan tanggung jawab setiap
stakeholder pada proses pengelolaan informasi, terutama pada penanganan risiko dan serangan
cyber.
Dari aktivitas-aktivitas tersebut, output yang dihasilkan adalah model dan skema pengelolaan informasi, prosedur dalam penanganan risiko, dan stakeholder wheel dalam penanganan risiko dan serangan cyber. Output tersebut menjadi dasar dalam melakukan pembagian tugas pada pengamanan informasi.
Proses kedua yaitu IT Security Plan bertujuan untuk mentranslasikan kebutuhan ke dalam rencana pengamanan teknologi informasi. Dalam hal ini, diperlukan masukan berupa risiko, kebutuhan bisnis, kebutuhan kepatuhan (compliance), dan kebutuhan keamanan informasi.
Aktivitas pertama yang dilakukan adalah melakukan translasi dari kebutuhan bisnis, risiko, dan kepatuhan kedalam rencana keamanan teknologi informasi. Hal ini bertujuan untuk mendata apa saja yang dibutuhkan dalam menyediakan keamanan informasi pada suatu
organisasi, berdasarkan kondisi infrastruktur teknologi informasi dan kondisi keamanan
keamanan informasi. Aktivitas berikutnya adalah memastikan bahwa rencana dapat
diimplementasikan dalam kebijakan dan prosedur terkait dengan keamanan informasi. Hal ini bertujuan untuk menyelaraskan keamanan informasi dengan pengembangan layanan, perangkat lunak, dan perangkat keras. Aktivitas yang terakhir adalah melakukan komunikasi dengan
stakeholder yang terkait.
Keluaran dari proses ini adalah rencana keamanan informasi, berupa kebijakan dan prosedur terkait dengan teknologi informasi yang digunakan. Prosedur dan kebijakan tersebut dapat digunakan dalam melakukan pengelolaan data-data terkait rekam medis pada suatu organisasi.
Pada proses berikutnya yaitu Identity Management bertujuan untuk memastikan setiap pengguna dan aktivitasnya pada lingkungan teknologi informasi yang ada, dalam hal ini sistem rekam medis pasien, dapat diidentifikasi dengan baik. Masukan untuk proses ini adalah model rencana sistem, dokumentasi bisnis, dan dokumentasi hak akses sistem.
Aktivitas pertama yang dilakukan adalah menyesuaikan antara hak akses pengguna kepada sistem dan data telah sesuai dengan dokumentasi kebutuhan bisnis dan hak aksesnya. Hal ini bertujuan untuk memastikan bahwa data hanya dapat diakses oleh pihak yang berwenang saja. Aktivitas berikutnya adalah melakukan pengecekan bahwa hak akses pengguna dibuat oleh pihak pengelola, disetujui oleh sistem, dan diimplementasikan oleh pihak yang berwenang dalam bidang keamanan. Hal ini bertujuan untuk memastikan bahwa tidak ada celah internal. Aktivitas berikutnya adalah melakukan pengelolaan pengguna dan hak aksesnya pada sebuah repository. Aktivitas terakhir adalah membuat prosedur teknis terkait penggunaan hak akses pengguna dan data pada lingkup sistem rekam medis. Hal ini bertujuan untuk mengatur implementasi hak akses data rekam medis pasien agar tidak didapatkan oleh pihak yang tidak memiliki hak atas data tersebut.
Keluaran dari proses ini adalah prosedur teknis dan terukur terkait pengelolaan hak akses pengguna terhadap data yang dimiliki dan prosedur yang dapat meminimalisir kebocoran data.
Aktivitas yang dilakukan adalah melakukan pengaturan hak akses kepada beberapa jenis pengguna yang ada pada enterprise. Selain itu, perlu untuk dilakukannya review terhadap manajemen akun dan hak aksesnya untuk memantau apa saja yang diakses oleh akun-akun tersebut.
Keluaran dari proses tersebut adalah perubahan hak akses pengguna terhadap data rekam medis pasien apabila diperlukan.
Pada proses berikutnya yaitu Security Testing, Surveillance, and Monitoring bertujuan untuk melakukan pengujian dan monitor terhadap implementasi pengamanan teknologi informasi secara proaktif. Masukan kepada proses ini adalah dokumen rencana pengujian keamanan sistem dan dokumen kebutuhan keamanan sistem.
Aktivitas yang dilakukan adalah melakukan pengujian secara berkala terhadap
kerahasiaan, integritas, dan ketersediaan informasi. Hal ini diperlukan untuk memastikan bahwa keamanan informasi pada organisasi telah dikelola sesuai dengan kebutuhan yang terdefinisi sebelumnya. Aktivitas yang dilakukan berikutnya adalah melakukan pengawasan terhadap keamanan informasi dalam rangka menetapkan langkah preventif atau deteksi pada aktivitas yang tidak wajar dan memerlukan tindakan.
Keluaran dari proses ini adalah dokumen laporan pengujian sistem dan prosedur dalam melakukan tindakan preventif pada suatu risiko. Prosedur tersebut memuat ancaman-ancaman keamanan jaringan, tingkat risikonya, tindakan yang diperlukan, dan siapa saja yang berwenang dalam melakukan tindakan.
Pada proses berikutnya adalah Security Incident Definition bertujuan untuk
mendefinisikan karakteristik dari serangan-serangan cyber yang mungkin timbul sehingga dapat diklasifikasikan dan ditangani dengan baik. Dalam proses ini, diperlukan input berupa repositori, konfigurasi, Service Level Agreements (SLAs), prosedur pemantauan aset, skema klasifikasi ancaman keamanan informasi, dan komunikasi.
adalah membuat peraturan dan prosedur untuk penanganan ancaman yang bersifat tinggi. Kegiatan yang terkait dengan aktivitas tersebut adalah melakukan pendefinisian sumber ancaman, layanan yang terkait, dan penanganan yang ada untuk mempelajari pencegahannya.
Dari aktivitas-aktivitas yang dapat dilakukan pada proses ini, keluaran yang dihasilkan adalah model klasifikasi ancaman keamanan informasi, prosedur dalam penanganan ancaman, dan kriteria dalam registrasi ancaman ke dalam threat register.
Pada proses beriktunya yaitu Protection of Security Technology bertujuan untuk membuat teknologi yang terkait dengan keamanan menjadi resisten terhadap gangguan. Dalam mencapai hal tersebut, diperlukan masukan berupa arsitektur informasi berupa arsitektur data, dokumen penilaian risiko, standar pengelolaan aplikasi, dan daftar ancaman keamanan yang ada.
Aktivitas yang dilakukan adalah melakukan perbaikan pada teknologi yang terkait dengan keamanan informasi dan melakukan perbaikan pada model pengamanan informasi.
Keluaran dari proses ini adalah dokumen keamanan informasi yang memuat teknologi-teknologi terkait.
Pada tahapan berikutnya adalah Cryptographic Key Management. Proses ini bertujuan untuk mencegah modifikasi terhadap key yang dimiliki oleh pengguna. Masukan dari proses ini adalah key yang ada saat ini.
Aktivitas yang dilakukan adalah monitoring dan membuat prosedur terkait pembuatan, pengubahan, penghapusan, distribusi, sertifikasi, penyimpanan, pemasukan, dan penggunaan dari
key untuk memastikan tidak adanya modifikasi dan penggunaan oleh pihak yang tidak memiliki hak.
Keluaran dari proses ini adalah dokumen terkait dengan kebutuhan pengamanan informasi spesifik pada cryptographic key.
Proses selanjutnya adalah Malicious Software Prevention, Detection, and Correction. Proses ini bertujuan untuk melakukan perlindungan terhadap sistem dan teknologi informasi dari
malware. Masukan yang diperlukan adalah dokumen standar pengelolaan informasi.
yang ada seperti masalah yang telah terjadi dan penyebabnya. Apabila tidak diketahui, maka dapat dilakukan dengan meregistrasi masalah baru dan prosedurnya mengacu pada prosedur pengelolaan keamanan informasi. Aktivitas terakhir adalah membuat prosedur khusus untuk menyelesaikan ancaman-ancaman khusus disertai dengan kebutuhan-kebutuhan khusus lainnya. Dalam proses ini, keluaran yang dihasilkan adalah log dari masalah perangkat lunak dan
prosedur penanganannya.
Pada proses berikutnya yaitu Network Security bertujuan untuk mengontrol informasi yang terdapat pada jaringan dan prosedur penanganannya. Hal ini dapat dilakukan untuk pengembangan berkelanjutan terkait layanan dan ancaman yang ada pada layanan tersebut, dalam hal ini layanan rekam medis. Data yang menjadi masukan adalah Operational Level Agreements (OLAs), laporan status, laporan solusi, dan laporan pengawasan solusi.
Aktivitas yang dapat dilakukan adalah mengawasi prosedur penanganan ancaman keamanan informasi. Setelah itu, diidentifikasi informasi yang diperlukan dan analisis ancaman-ancaman keamanan informasi yang ada. Setelah itu, dilakukan pembuatan laporan pengelolaan keamanan jaringan secara berkala. Keluaran dari proses ini adalah publikasi laporan secara berkala.
Proses yang terakhir adalah Exchange of Sensitive Data. Proses ini bertujuan untuk memastikan data sensitif yang dikirimkan hanya melalui jalur yang terpercaya dan terotentikasi. Tujuannya adalah menyediakan otentikasi konten, bukti pengiriman, dan bukti penerimaan data tersebut.
III.4 Peran Sumber Daya Manusia pada Tata Kelola Informasi Mengacu pada COBIT 4.1
Untuk menjalankan prosedur yang telah dibuat diatas, maka perlu untuk mendefinisikan sumber daya manusia yang akan menjalankan proses-proses tersebut. Sumber daya manusia yang akan didefinisikan tidak spesifik. Berikut adalah definisi peran stakeholder pada tata kelola informasi rekam medis.
Tabel 3. Definisi peran stakeholder
Manageme
nt
Malicious
Software
Prevention,
Detection,
and
Correction
A C R I I C
Network
Security
I A C R C
Exchange
of Sensitive
Data
A C R C
IV. Tahapan Pencapaian Maturity Level
Untuk mencapai maturity level 3 mengacu pada standar COBIT 4.1, maka diperlukan langkah-langkah dalam mencapai tujuan tersebut. Langkah-langkah yang dilakukan akan dibagi kepada dua tahapan, yaitu tahap 1 dan tahap 2. Berikut adalah penjelasan dari tahap tersebut.
IV.1 Tahap 1
Pada tahapan pertama, tujuan akhir yang dicapai adalah mencapai tingkat 2 pada tingkatan kematangan pada COBIT 4.1. Untuk mencapai level 2, perlu untuk mencapai level 1 terlebih dahulu dengan cara melakukan prosedur-prosedur yang telah dibuat sebelumnya. Setelah level 1 tercapai, maka perlu untuk mengimplementasikan proses yang dibuat untuk mencapai level 2. Dalam upaya tersebut, perlu untuk mencapai lebih dari 50% indikator penilaian manajemen performansi. Dalam rangka mencapai tujuan tersebut, maka perlu adanya
pengelolaan tujuan pada masing-masing proses, perencanaan proses, pengawasan proses, dan pengembangan proses yang ada. Setelah itu, dilakukan pembagian tanggung jawab dan
Selain pada performance management, pada level 2 juga harus diatas 50% pada Work Product Management. Hal ini berarti setiap proses yang dilakukan harus menghasilkan keluaran. Sebelum mencapai hal tersebut, setelah dilakukan definisi akan didokumentasikan dan
pembuatan kontrol untuk work product. Setelah itu, dilakukan review pada work product dalam rangka mencapai tujuan. Pada akhir tahap ini, diharapkan process performance mencapai lebih dari 85%, performance management mencapai lebih dari 50%, dan work product management
melebihi 50%.
IV.2 Tahap 2
Pada tahap ini diharapkan organisasi dapat mencapai level 3. Hal ini membutuhkan peningkatan pencapaian dari level 2. Pada performance management dan work product management perlu untuk meningkatkan kinerjanya pada sektor tersebut agar implementasinya lebih dari 85%.
Selain itu, perlu melakukan process definition dan process deployment. Process definition
bertujuan untuk menentukan standar pada proses-proses yang diimplementasikan. Untuk mencapai hal tersebut maka diperlukan standar proses yang mendefinisikan aktivitas-aktivitas yang harus ada pada setiap proses, menentukan interaksi, dan menentukan model yang sesuai. Dari process definition diharapkan melebihi 50% dari indikator.
Berikutnya adalah process deployment yaitu proses-proses dapat diimplementasikan secara efektif untuk mencapai keluaran yang diharapkan. Hal-hal yang perlu dipertimbangkan adalah peran dari stakeholder, kompetensi personel dalam melaksanakan proses, pengelolaan dan pengadaan infrastruktur, dan melakukan evaluasi keberjalanan proses. Apabila tahapan
dilakukan, maka akan tercapai level 3 COBIT.
V. Kesimpulan
Dalam mencapai level 3 pada COBIT 4.1 terdapat dua tahapan. Tahapan pertama diharapkan mencapai level 2 dari maturity assessment COBIT 4.1. Adapun pada tahap kedua, perlu melakukan pengembangan pada proses sehingga dapat mencapai maturity level 3 dari standar COBIT.
VI. Daftar Pustaka
[1] Gunter Eysenbach. 2001. What is e-Health?. Journal of medical Internet research 3.
[12] Ery Rustiyanto. 2009. Etika Profesi : Perekam Medis Informasi Kesehatan. Yogyakarta.
[3] Departemen Kesehatan RI. 1997. Pedoman Pengelolaan Rekam Medis Rumah Sakit Di Indonesia. Yogyakarta.
[4] ISACA. 2007. COBIT 4.1
[5] --.2007. COBIT PAM Using 4.1
[6] ISO. 2013. ISO 27001 Information Security Management.
[7] Kementerian BUMN. 2013. Peraturan Menteri Badan Usaha Milik Negara Nomor : PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha
Milik Negara.
[8] West-Brown, Klaus-Peter Kossakowski, dkk. 2003. Handbook for Computer Security Incident response Teams (CSIRTs). Carnegie Mellon University.
[9] Amatayakul, Margret K. 2004. Electronic Health Records : A Practical Guide for Professionals and Organizations. Chicago:AHIMA.
[10] Setyawan. 2005. Pengelolaan rekam medis rawat inap di RS Haji Jakarta. Tesis pada Fakultas Kesehatan Masyarakat, Universitas Diponegoro.
[11] NIST. 2014. Framework for Improving Critical Infrastructure Cyber Security.
