Penggunaan Teknologi Informasi dapat meningkatkan keunggulan suatu organisasi. Oleh karena itu pemanfaatan Sistem Informasi dapat mendukung organisasi dilevel strategik, level taktis dan level operasional. Kegagalan pada Sistem Informasi berdampak pada kinerja. Tidak terkecuali diinstansi pemerintah khususnya Direktorat Jenderal Perkeretaapian dalam pelaksanaan tugasnya, penyelenggaraan fungsi organisasi sebagai regulator dibidang perkeretaapian akan menurun. Untuk meminimalisasi risiko penurunan kinerja, diperlukan suatu kontrol pada perencanaan manajemen risiko. Kontrol tersebut dapat dijadikan pedoman yang hasilnya akan menjadi bahan pertimbangan pimpinan dalam pengambilan keputusan serta bahan evaluasi penanggulangan risiko yang sudah dilakukan. Metode yang digunakan untuk mendapatkan kontrol minimalisasi risiko sesuai dengan kerangka kerja NIST 800-30 dimana pada tahapan kerangka kerja ini berisi penilaian risiko dan mitigasi risiko. Penilaian risiko dilakukan dengan cara kuantifikasi dampak operasional kinerja dan dampak finansial serta kecenderungan terjadinya ancaman sehingga didapatkan tingkatan risikonya. Sedangkan pada proses mitigasi risiko, dipilih kontrol yang sesuai dengan hasil analisis biaya untuk implementasi.

The use of Information Technology can be improve the benefits of an organization. Therefore, the utilization of information systems can support the organization in strategic level, tactical level and operational level. The failure of Information System have an impact on performance of organization. Government institution, in this research represented by the Directorate General of Railways is no exception. The performance of duties, as a regulator in railways field will be decrease. To minimize the risk of performance degradation, control on risk management plan are required. The control can be used as guidelines and the results will be a consideration in decision making. Beside that it become evaluation to handling risk. NIST 800-30 method used to obtain control of risk minimization where in this method contains of risk assessment and risk mitigation. Risk assessment is done by quantifying the impact of operational performance and financial impact and the likelihood of a threat so we get the level of risk. While the risk mitigation process, the control is selected in accordance with the results of cost analysis to implementation.