Digitalisasi telah merambah ke berbagai aspek kehidupan, termasuk sektor pemerintahan di bidang pengawasan pengelolaan keuangan negara. SIMWAS adalah sistem informasi di Instansi XYZ yang digunakan untuk mengelola kegiatan pengawasan dan tindak lanjut hasil pengawasan. SIMWAS merupakan aset penting yang memuat seluruh proses bisnis pengendalian internal, namun pada praktiknya, risiko keamanan informasi SIMWAS belum dikelola dengan baik. Untuk mengatasi permasalahan tersebut, diperlukan manajemen risiko keamanan informasi pada SIMWAS. Penelitian ini bertujuan untuk merancang dan menganalisis manajemen risiko keamanan informasi SIMWAS menggunakan kerangka kerja berdasarkan integrasi standar ISO/IEC 27005:2018, ISO/IEC 27002:2013, dan NIST SP 800-30 Rev 1. Kerangka kerja ISO/IEC 27005:2018 digunakan sebagai kerangka kerja utama manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan proses penilaian risiko, dan ISO/IEC 27002:2013 sebagai referensi rekomendasi penanganan risiko. Penilaian risiko keamanan informasi SIMWAS dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, dan telaah dokumen. Hasil penelitian ini menunjukkan bahwa keamanan informasi SIMWAS memiliki 8 risiko level rendah, 9 risiko level sedang, dan 5 risiko level tinggi. Penelitian ini menghasilkan 14 rekomendasi penanganan risiko untuk 5 risiko level tinggi dan 9 risiko level sedang, sedangkan 8 risiko level rendah dapat diterima sesuai dengan selera risiko organisasi. Instansi XYZ perlu melakukan analisis risiko residu dan analisis biaya-manfaat dari penerapan kontrol di setiap skenario risiko.

---

Digitalization has penetrated various aspects of life, including the government sector in the field of supervising state financial management. SIMWAS is an information system in the XYZ Agency that is used to manage surveillance activities and follow up on the results of supervision. SIMWAS is an important asset that includes all internal control business processes, but in practice, SIMWAS information security risks have not been managed properly. To overcome these problems, information security risk management is required at SIMWAS. This study aims to design and analyze SIMWAS information security risk management using a framework based on the integration of ISO/IEC 27005:2018, ISO/IEC 27002:2013, and NIST SP 800-30 Rev 1 standards. The ISO/IEC 27005:2018 framework is used as the main framework in risk management, NIST SP 800-30 Rev. 1 as a guideline for risk assessment process, and ISO/IEC 27002:2013 as a reference for risk treatment recommendations. SIMWAS information security risk assessment is carried out by analyzing data obtained from the results of interviews, observations, and document reviews. The results of this study indicate that SIMWAS information security has 8 low-level risks, 9 medium-level risks, and 5 high-level risks. This study result 14 risk treatment recommendation for 5 high-level risks and 9 medium-level risks, while 8 low-level risks are acceptable according to the organization's risk appetite The XYZ Agency needs to carry out a residual risk analysis and a cost-benefit analysis of implementing controls in each risk scenario.