Apa Itu Manajemen Risiko, dan Mengapa Itu Penting?

Manajemen risiko mungkin merupakan bagian paling kompleks dari implementasi ISO 27001; Namun, pada saat yang sama, ini adalah langkah terpenting di awal proyek keamanan informasi Anda, ini menetapkan dasar untuk keamanan informasi di perusahaan Anda.

Manajemen risiko terdiri dari dua elemen utama: penilaian risiko (sering disebut analisis risiko) dan perlakuan risiko.

Apa sebenarnya penilaian dan pengobatan risiko, dan apa tujuannya? Penilaian risiko adalah proses di mana organisasi harus mengidentifikasi risiko keamanan informasi dan menentukan kemungkinan dan dampaknya. Secara gamblang, organisasi harus mengenali semua potensi masalah dengan informasi mereka, seberapa besar kemungkinan itu terjadi, dan apa konsekuensinya.

Tujuan pengendalian risiko adalah untuk mengetahui kontrol keamanan mana (yaitu, perlindungan) yang diperlukan untuk menghindari potensi insiden tersebut – pemilihan kontrol disebut proses pengendalian risiko, dan dalam ISO 27001 mereka dipilih dari Lampiran A, yang menentukan 93 kontrol.

 

Langkah-langkah Utama dalam Penilaian dan Pengobatan Risiko ISO 27001:

1. Metodologi Manajemen Risiko
2. Penilaian Risiko
3. Pengendalian Risiko
4. Penilaian Risiko dan Laporan Pengendalian
5. Pernyataan Penerapan
6. Rencana Pengendalian Risiko

 

Penilaian & Pengendalian Risiko ISO 27001, Enam Langkah Utama

Meskipun manajemen risiko dalam ISO 27001 adalah pekerjaan yang kompleks, sangat sering kali tidak perlu disamarkan. Enam langkah dasar ini akan menjelaskan apa yang harus Anda lakukan:

1) Metodologi Penilaian Risiko ISO 27001

Ini adalah langkah pertama dalam perjalanan Anda melalui manajemen risiko dalam ISO 27001. Anda perlu menentukan aturan tentang bagaimana Anda akan melakukan manajemen risiko, karena Anda ingin seluruh organisasi Anda melakukannya dengan cara yang sama – masalah terbesar dengan penilaian risiko terjadi jika bagian organisasi yang berbeda melakukannya dengan cara yang berbeda. Oleh karena itu, Anda perlu menentukan apakah Anda menginginkan penilaian risiko kualitatif atau kuantitatif, skala mana yang akan Anda gunakan untuk penilaian kualitatif, berapa tingkat risiko yang dapat diterima, dll.

2) Implementasi Penilaian Risiko

Setelah Anda mengetahui aturannya, Anda dapat mulai mencari tahu potensi masalah mana yang dapat terjadi pada Anda – Anda perlu membuat daftar semua aset Anda, kemudian ancaman dan kerentanan yang terkait dengan aset tersebut, menilai dampak dan kemungkinan untuk setiap kombinasi aset/ancaman/kerentanan, dan akhirnya menghitung tingkat risiko.

Dalam pengalaman saya, perusahaan biasanya hanya menyadari 30% dari risiko mereka. Oleh karena itu, Anda mungkin akan menemukan latihan semacam ini cukup terbuka – ketika Anda selesai, Anda akan mulai menghargai upaya yang telah Anda lakukan.

3) Penerapan Pengobatan Risiko

Tentu saja, tidak semua risiko diciptakan sama – Anda harus fokus pada yang paling penting, yang disebut “risiko yang tidak dapat diterima.”

Saat menerapkan pengendalian risiko dalam ISO 27001, ada empat opsi yang dapat Anda pilih untuk menangani (yaitu, mengurangi) setiap risiko yang tidak dapat diterima, seperti yang dijelaskan lebih lanjut dalam artikel ini.

4) Penilaian Risiko dan Laporan Pengendalian

Tidak seperti langkah-langkah sebelumnya, yang satu ini cukup membosankan – Anda perlu mendokumentasikan semua yang telah Anda lakukan sejauh ini. Ini bukan hanya untuk auditor, karena Anda mungkin ingin memeriksa sendiri hasil ini dalam satu atau dua tahun.

5) Pernyataan Penerapan

Dokumen ini sebenarnya menunjukkan profil keamanan perusahaan Anda – berdasarkan hasil perlakuan risiko dalam ISO 27001, Anda perlu membuat daftar semua kontrol yang telah Anda terapkan, mengapa Anda menerapkannya, dan bagaimana caranya. Dokumen ini juga sangat penting karena auditor sertifikasi akan menggunakannya sebagai pedoman utama audit.

Untuk detail tentang dokumen ini, lihat artikel ini: Pernyataan Penerapan dalam ISO 27001 – Apa itu dan mengapa itu penting?

6) Rencana Pengendalian Risiko

Ini adalah langkah di mana Anda harus beralih dari teori ke praktik. Mari kita jujur – hingga saat ini, seluruh pekerjaan manajemen risiko ini murni teoretis, tetapi sekarang saatnya untuk menunjukkan beberapa hasil konkret.

Ini adalah tujuan dari Rencana Pengendalian Risiko – untuk menentukan dengan tepat siapa yang akan menerapkan setiap kontrol, dalam jangka waktu mana, dengan anggaran apa, dll. Saya lebih suka menyebut dokumen ini sebagai “Rencana Implementasi” atau “Rencana Aksi,” tetapi mari kita tetap berpegang pada terminologi yang digunakan dalam ISO 27001.

Dan ini dia, Anda telah memulai perjalanan Anda dari tidak tahu cara mengatur keamanan informasi Anda sampai memiliki gambaran yang sangat jelas tentang apa yang perlu Anda terapkan. Intinya adalah – ISO 27001 memaksa Anda untuk melakukan perjalanan ini secara sistematis.

Bagaimana ISO 27005 membantu manajemen risiko?

ISO/IEC 27005 adalah standar yang didedikasikan semata-mata untuk manajemen risiko keamanan informasi. Sangat membantu jika Anda ingin mendapatkan wawasan yang lebih dalam tentang penilaian dan pengendalian risiko keamanan informasi – yaitu, jika Anda ingin bekerja sebagai konsultan atau mungkin sebagai manajer keamanan / risiko informasi secara permanen.

Namun, jika Anda hanya ingin melakukan penilaian risiko setahun sekali, standar itu mungkin tidak diperlukan untuk Anda.

 

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut