Abstrak

Kementerian Kesehatan Republik Indonesia merencanakan percepatan digitalisasi di sektor kesehatan, yang salah satunya adalah penerapan rekam medis elektronik di seluruh fasilitas kesehatan. Namun, seperti yang kita ketahui dengan semakin berkembangnya proses digitalisasi di dunia kesehatan, semakin besar pula ancaman terhadap kebocoran data medis. Hingga saat ini belum ada suatu standar terkait praktik keamanan sistem informasi rumah sakit yang diatur dalam regulasi. Pada penelitian ini, standar ISO 27001:2013 digunakan sebagai alat evaluasi penilaian praktik keamanan sistem informasi rumah sakit RSIA Bina Medika. Didapatkan pada hasil penelitan bahwa dari 6 kontrol ISO 27001:2013 yang dipilih (manajemen aset, kontrol akses, perlindungan fisik dan lingkungan, keamanan operasional, keamanan komunikasi dan keamanan sumber daya manusia), 4 diantaranya sudah sesuai dengan standar dan 2 masih belum lengkap. Belum adanya kebijakan terkait pelabelan informasi serta belum adanya pelatihan rutin terkait praktik keamanan sistem informasi kepada pegawai menjadi poin yang belum dilaksanakan oleh rumah sakit. Hal ini membuka risiko ancaman kebocoran data medis terutama terkait dengan pengelolaan data medis secara internal rumah sakit.

Indonesia’s Ministry of Health is currently enacting a plan to further accelerate the digitalization of the healthcare sector. One of the plans is to ensure the application of Electronic Medical Record (EMR) in all healthcare facilities across Indonesia. Though it is known that the further we accelerate digitalization, the higher the risk of data breaches. The current regulations do not state any standard to adopt as a framework for hospital cybersecurity. Thus, this research aims to implement ISO 27001:2013 standards as one of the means to evaluate the practice of hospital cybersecurity at Bina Medika Maternal and Children Hospital. The results are, according to 6 controls chosen in this research (asset management, access control, physical and environmental security, operational security, communication security, and human resources security), that 4 of the controls are practiced according to the standards. 2 controls that are still not practiced according to the standards, lack the practice and regulation regarding information labeling and routine training of the employees regarding the practice hospital cybersecurity. This opens a risk of medical data breach particularly from inside the organization due to the mishandling of medical information by employees.