Universitas Islam Negeri Sultan Syarif Kasim Riau (UIN Suska Riau) memiliki Unit Pelaksana Teknis (UPT) yang bergerak pada bidang IT yaitu Pusat Teknologi Informasi dan Pangkalan Data (PTIPD). Sistem informasi akademik (SIMAK) sebagai penggerak visi dan misi organisasi memiliki data mahasiswa, dosen, nilai, matakuliah dan lain sebagainya. Sebagai sistem yang penting, SIMAK dituntut memberikan yang terbaik kepada organisasi. Beberapa waktu yang lalu, SIMAK sering menjadi sasaran serangan keamanan informasi, salah satunya SQL Injection. Oleh karena itu dibutuhkan manajemen risiko keamanan informasi.
Penelitian ini menggunakan kerangka kerja National Institute of Standards and Technology (NIST 800-30) untuk melakukan manajemen risiko khususnya keamanan informasi. Pengumpulan data dilakukan dengan dua cara yaitu primer dan sekunder. Pengumpulan data awal primer berdasarkan wawancara melalui email, hal ini dilakukan karena keterbatasan tempat dan waktu. Pengumpulan data awal sekunder diperoleh dari akses terhadap laman situs organisasi seperti: www.uin-suska.ac.id dan puskom.uin-suska.ac.id. Pengumpulan data primer lanjutan dengan wawancara dan observasi secara langsung. Pengumpulan data sekunder lanjutan yang diambil berupa proses bisnis, inventaris perangkat keras dan lunak, keluhan user, topologi jaringan dan lain sebagainya.
Berdasarkan penelitian, ditemukan 15 kontrol yang berisiko tinggi dan 75 yang berisiko rendah. PTIPD mengambil 15 kontrol berisiko tinggi dan 15 kontrol yang berisiko rendah. Kontrol yang diambil diharapkan dapat meminimalisir risiko yang telah diidentifikasi. Kontrol dapat dijadikan sebagai bahan pertimbangan dan pengambilan keputusan pihak manajemen demi kemajuan IT di UIN Suska Riau.
Universitas Islam Negeri Sultan Syarif Kasim Riau (UIN Suska Riau) has a Technical Implementation Unit (UPT) which operates in IT, Centre of Information Technology and Data Base (PTIPD). Sistem informasi akademik (SIMAK) as an activator of vision and mission of the organization has such as students data, lecturer data, grades, courses, and etc. As an important system, SIMAK demands to give the best to organization. Last time, SIMAK was often target of information security attacks, SQL Injection. To solve the issue we need information security risk management.To do information security risk management in particular, the research uses framework of the National Institute of Standards and Technology (NIST 800-30). Data collection divide in to two ways: primary and secondary. To collect the beginning primary data based on interviews via email, it is done because of limitations of space and time. The beginning of secondary data collection get organization's website pages: www.uin-suska.ac.id and puskom.uin-suska.ac.id. Advanced primary data collection by interviews and direct observations. Advanced secondary data taken based on business processes, hardware and software inventory, user complaints, network topology and etc.Based on research, is defined 15 high risk control and 75 low control. PTIPD define 15 high risk control and 15 low control. The research expected to minimize identified risk control. Control also can be used to consider and to manage decisions for making IT development at Universitas Islam Negeri Sultan Syarif Kasim Riau.