Mengapa Kerangka Kerja Manajemen Risiko ISO 27001 Adalah Solusi yang Baik
Memang benar bahwa ISO 22301 mengacu pada ISO 31000 mengenai penilaian risiko, tetapi begitu juga ISO 27001 ini tidak berarti Anda benar-benar dapat menggunakan ISO 31000 untuk implementasi, karena standar ini ditulis sangat umum karena mencakup semua jenis risiko. Tidak hanya kelangsungan bisnis dan keamanan informasi, tetapi juga keuangan, pasar, kredit, dan risiko lainnya.
Di sisi lain, kerangka penilaian risiko dijelaskan jauh lebih baik dalam ISO 27001, dan bahkan lebih tepatnya dalam ISO 27005; Fokus penilaian risiko keamanan informasi adalah menjaga kerahasiaan, integritas, dan ketersediaan. Dan ketersediaan adalah penghubung utama antara keamanan informasi dan kelangsungan bisnis – saat melakukan penilaian risiko ISMS, semua risiko kelangsungan bisnis juga akan diperhitungkan.
Dan hal baiknya adalah, penilaian risiko seperti yang dijelaskan dalam ISO 27001 dan ISO 27005 sangat selaras dengan ISO 31000.
Kemungkinan Perbedaan dalam Pendekatan
Tapi di sinilah mungkin menjadi rumit klien punya pertanyaan lain, karena dia ingin semuanya diselesaikan: “Saya pikir perbedaan lain antara kedua pendekatan Penilaian Risiko itu adalah dengan ISMS kita berurusan dengan aset (baik primer maupun suportif); namun, dengan BCM kami menangani aktivitas dan proses penting.”
Dan dia pada dasarnya benar – penilaian risiko kelangsungan bisnis tidak harus begitu rinci; Itu dapat dibuat tingkat tinggi untuk kegiatan dan proses. Tapi, dalam pandangan saya, masalahnya ada di implementasi – bagaimana Anda bisa mengurangi risiko jika Anda tidak tahu persis di mana masalahnya?
Di sinilah saya pikir kerangka penilaian risiko ISO 27001 lebih baik – ini memaksa Anda untuk menentukan di mana kelemahannya, aset mana yang harus dilindungi dengan lebih baik, dll. Jika Anda menyimpan penilaian risiko pada tingkat proses, Anda mungkin tidak akan mendapatkan semua informasi berharga ini.
Kompatibilitas Mitigasi Risiko
Perlu disebutkan di sini – Opsi perawatan risiko ISO 27001 sepenuhnya selaras dengan persyaratan mitigasi risiko dalam ISO 22301 dan ISO 31000. Pada dasarnya, mitigasi kelangsungan bisnis bermuara pada empat opsi yang dijelaskan dalam artikel di atas. Tidak ada opsi yang tercantum dalam ISO 22301, sedangkan dalam ISO 31000 mereka diberi nama sedikit berbeda dan diatur sedikit berbeda, tetapi pada dasarnya sama.
Dan untuk menyelesaikannya: ada hal baik lainnya tentang ISO 27001 – di Lampiran A ini memberi Anda katalog perlindungan yang mungkin untuk dipilih; ini adalah sesuatu yang tidak dimiliki ISO 22301 maupun ISO 31000.
Penilaian Risiko VS. Analisis Dampak Bisnis
Jika Anda menerapkan ISO 27001, atau terutama ISO 22301, untuk pertama kalinya, Anda mungkin bingung dengan penilaian risiko dan analisis dampak bisnis. Apa tujuan mereka? Bagaimana mereka berbeda? Bisakah mereka dilakukan pada saat yang sama?
Singkatnya, penilaian risiko akan menunjukkan kepada Anda jenis insiden yang mungkin Anda hadapi, sementara analisis dampak bisnis akan menunjukkan kepada Anda seberapa cepat Anda perlu memulihkan aktivitas Anda dari insiden untuk menghindari kerusakan yang lebih besar.
Tujuan Penilaian Risiko
Tujuan dari penilaian ini adalah untuk secara sistematis mengetahui insiden mana yang dapat terjadi pada organisasi Anda, dan kemudian melalui proses perawatan risiko untuk mempersiapkan diri untuk meminimalkan kerusakan insiden tersebut.
Dalam pengalaman saya, karyawan (dan organisasi secara keseluruhan) biasanya hanya menyadari 25 hingga 40% risiko – oleh karena itu, tidak mungkin untuk mencoba mengingat semua risiko dengan hati, dan identifikasi ini perlu dilakukan dengan cara yang sistematis.
Tujuan Analisis Dampak Bisnis (BIA)
Analisis dampak bisnis wajib untuk implementasi kelangsungan bisnis sesuai dengan ISO 22301, tetapi tidak untuk ISO 27001.
Tujuan BIA terutama untuk memberi Anda gambaran tentang (1) waktu pemulihan Anda, dan (2) waktu pencadangan Anda, karena waktunya sangat penting – perbedaan hanya beberapa jam dapat berarti hidup atau mati bagi perusahaan tertentu jika terkena insiden besar.
Lebih tepatnya, analisis dampak bisnis akan membantu Anda menentukan Tujuan Waktu Pemadaman/Pemulihan yang Dapat Diterima Maksimum, Tujuan Kehilangan Data/Titik Pemulihan Maksimum, sumber daya yang diperlukan, dan informasi penting lainnya yang akan membantu Anda mengembangkan strategi kelangsungan bisnis untuk setiap aktivitas Anda. Pelajari lebih lanjut di sini: Cara menerapkan analisis dampak bisnis (BIA) sesuai dengan ISO 22301.
Perbedaan Antara Keduanya
Seperti yang telah disimpulkan, BIA biasanya hanya digunakan dalam kelangsungan bisnis / implementasi ISO 22301; itu bisa dilakukan untuk keamanan informasi, tetapi itu tidak masuk akal. Penilaian risiko (RA) wajib untuk ISO 27001 dan untuk ISO 22301.
Kedua, output dari RA sedikit berbeda dari BIA – RA memberi Anda daftar risiko bersama dengan nilainya, sedangkan BIA memberi Anda waktu di mana Anda perlu memulihkan (RTO) dan berapa banyak informasi yang Anda mampu untuk kehilangan (RPO).
Jadi, meskipun keduanya terkait karena mereka harus fokus pada aset dan proses organisasi, mereka digunakan dalam konteks yang berbeda.
Mana yang Lebih Dulu, Penilaian Risiko atau Analisis Dampak Bisnis?
Sebenarnya, ISO 22301 memungkinkan kedua pendekatan tersebut, dan Anda mungkin mendengar banyak teori tentang mana yang lebih baik. Namun, saya lebih suka melakukan penilaian risiko terlebih dahulu karena dengan cara ini, Anda akan memiliki kesan yang lebih baik tentang insiden mana yang dapat terjadi (risiko mana yang Anda hadapi), dan oleh karena itu lebih siap untuk melakukan analisis dampak bisnis (yang berfokus pada konsekuensi dari insiden tersebut); Selanjutnya, jika Anda memilih pendekatan berbasis aset untuk penilaian risiko, Anda akan lebih mudah mengidentifikasi semua sumber daya di kemudian hari dalam analisis dampak bisnis. Apa yang pasti tidak boleh Anda lakukan adalah melakukan penilaian risiko dan analisis dampak bisnis pada saat yang sama, karena masing-masing secara terpisah sudah cukup kompleks menggabungkannya secara normal berarti masalah.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
Hubungi Kami untuk info lebih lanjut
