Penelitian ini melakukan penilaian tingkat risiko keamanan informasi pada sistem informasi INSTANSI PENDIDIKAN X dengan menggunakan kerangka kerja ISO/IEC 27005:2022 dan NIST SP 800-30 Revisi 1. Penilaian ini bertujuan untuk mengidentifikasi, menganalisis, dan mengevaluasi risiko yang dapat memengaruhi keamanan data dan operasional sistem informasi sekolah.
Penelitian ini dilatarbelakangi oleh pentingnya pengelolaan keamanan informasi di era digital, terutama dalam sektor pendidikan yang rentan terhadap serangan siber. INSTANSI PENDIDIKAN X belum pernah melakukan penilaian risiko pada sistem informasinya, meskipun telah terjadi beberapa permasalahan, seperti gangguan akses ke database yang menghambat proses kerja. Hal ini menunjukkan perlunya penilaian risiko untuk memastikan perlindungan data dan keandalan sistem informasi sekolah.
Metode penelitian meliputi beberapa tahapan utama, yaitu identifikasi risiko, analisis risiko, dan evaluasi risiko berdasarkan standar ISO/IEC 27005:2022 dan NIST SP 800-30. Data dikumpulkan melalui wawancara, observasi, dan analisis dokumen. Hasil dari setiap tahap digunakan untuk merancang strategi mitigasi yang relevan dan sesuai dengan kebutuhan organisasi.
Penelitian ini menyimpulkan bahwa penerapan framework gabungan ISO/IEC 27005:2022 dan NIST SP 800-30 Revisi 1 pada sistem informasi ZZZ di instansi pemerintah X efektif dalam mengidentifikasi, menganalisis, dan mengevaluasi risiko keamanan informasi secara menyeluruh. Dari hasil identifikasi, ditemukan 15 aset informasi (4 aset utama dan 11 pendukung) dengan 25 skenario ancaman yang bersumber dari 20 entitas ancaman, baik adversarial maupun non-adversarial.
Dengan begitu dapat disimpulkan bahwa instansi pendidikan X perlu untuk menerapkan manajemen risiko keamanan informasi minimal untuk kalangan internal agar dapat menjaga kerahasiaan, ketersediaan dan integritas (CIA). Data dari penelitian ini dapat dijadikan bahan sebagai penelitian selanjutnya untuk mengetahui tindakan terhadap risiko pada masing-masing aset dengan menggunakan dokumen lain seperti ISO 27002 dan lain sebagainya.
Kata Kunci: Assessment risiko, keamanan informasi, ISO/IEC 27005:2022, NIST SP 800-30 Revisi 1.