Cara Menulis Metodologi Penilaian Risiko ISO 27001

Banyak perusahaan membuat penilaian dan perawatan risiko terlalu sulit dengan mendefinisikan metodologi dan proses penilaian risiko ISO 27001 yang salah (atau dengan tidak mendefinisikan metodologi sama sekali).

 

Apa yang Sebenarnya Dibutuhkan ISO 27001?

ISO 27001 mengharuskan Anda untuk mendokumentasikan seluruh proses penilaian risiko (klausul 6.1.2), dan ini biasanya dilakukan dalam dokumen yang disebut Metodologi Penilaian Risiko. Sayangnya, di sinilah terlalu banyak perusahaan membuat kesalahan besar pertama: mereka mulai menerapkan penilaian risiko tanpa metodologi dengan kata lain, tanpa aturan yang jelas tentang cara melakukannya.

Ada banyak mitos mengenai seperti apa seharusnya penilaian risiko, tetapi pada kenyataannya, persyaratan ISO 27001: 2022 tidak terlalu sulit inilah yang disyaratkan oleh klausul 6.1.2:

1. Tentukan cara mengidentifikasi risiko yang dapat menyebabkan hilangnya kerahasiaan, integritas, dan/atau ketersediaan informasi Anda.
2. Tentukan cara mengidentifikasi pemilik risiko.
3. Tentukan kriteria untuk menilai konsekuensi dan menilai kemungkinan risiko.
4. Tentukan bagaimana risiko akan dihitung.
5. Tentukan kriteria untuk menerima risiko.

Jadi pada dasarnya, Anda perlu mendefinisikan lima elemen ini apa pun yang kurang tidak akan cukup, tetapi yang lebih penting, apa pun yang lebih tidak diperlukan, yang berarti: jangan terlalu memperumit hal-hal.

Dan ya Anda perlu memastikan bahwa hasil penilaian risiko konsisten yaitu, Anda harus mendefinisikan metodologi yang akan menghasilkan hasil yang sebanding di semua departemen perusahaan Anda.

 

Opsi Mana yang Cocok?

Tentu saja, ada banyak opsi yang cocok untuk lima elemen di atas, inilah yang dapat Anda pilih:

Identifikasi risiko. Revisi ISO 27001 tahun 2022 saat ini tidak menentukan metodologi untuk identifikasi risiko, yang berarti Anda dapat mengidentifikasi risiko berdasarkan proses Anda, berdasarkan departemen Anda, hanya menggunakan ancaman dan bukan kerentanan, atau metodologi lain yang Anda suka; namun, preferensi pribadi saya masih merupakan metode aset-ancaman-kerentanan lama yang baik yang didefinisikan dalam revisi standar tahun 2005.

Pemilik risiko. Pada dasarnya, Anda harus memilih seseorang yang tertarik untuk menyelesaikan risiko, dan diposisikan cukup tinggi dalam organisasi untuk melakukan sesuatu tentang hal itu. Lihat juga artikel ini: Pemilik risiko vs. pemilik aset dalam ISO 27001.

Menilai konsekuensi dan kemungkinan. Anda harus menilai secara terpisah konsekuensi dan kemungkinan untuk setiap risiko Anda; Anda benar-benar bebas menggunakan skala apa pun yang Anda suka – misalnya, Rendah-Sedang-Tinggi, atau 1 hingga 5, atau 1 hingga 10 – apa pun yang paling cocok untuk Anda. Tentu saja, jika Anda ingin membuatnya sederhana, pilihLah Low-Medium-High.

Metode perhitungan risiko. Ini biasanya dilakukan melalui penjumlahan (misalnya, 2 + 5 = 7) atau melalui perkalian (misalnya, 2 x 5 = 10). Jika Anda menggunakan skala Low-Medium-High, maka ini sama dengan menggunakan skala 1-2-3, jadi Anda masih memiliki angka untuk perhitungan.

Kriteria untuk menerima risiko. Jika metode perhitungan risiko Anda menghasilkan nilai dari 2 hingga 10, maka Anda dapat memutuskan bahwa tingkat risiko yang dapat diterima adalah, misalnya, 7 – ini berarti bahwa hanya risiko yang bernilai 8, 9, dan 10 yang memerlukan perawatan. Atau, Anda dapat memeriksa setiap risiko individu dan memutuskan mana yang harus diperlakukan atau tidak berdasarkan wawasan dan pengalaman Anda, tanpa menggunakan nilai yang telah ditentukan sebelumnya.

Di bagian “Penilaian risiko,” Anda akan menemukan detail tentang cara melakukan penilaian risiko.

 

Metodologi pertama, yang lain setelahnya

Jadi, intinya adalah ini: Anda tidak boleh mulai menilai risiko menggunakan beberapa lembar yang Anda unduh di suatu tempat dari Internet – lembar ini mungkin menggunakan metodologi yang sama sekali tidak pantas untuk perusahaan Anda. Anda tidak boleh mulai menggunakan metodologi yang ditentukan oleh alat penilaian risiko yang Anda beli; Sebagai gantinya, Anda harus memilih alat penilaian risiko yang sesuai dengan metodologi Anda. (Atau Anda mungkin memutuskan bahwa Anda tidak memerlukan alat sama sekali, dan Anda dapat melakukannya menggunakan lembar Excel sederhana.)

Bagaimanapun, Anda tidak boleh mulai menilai risiko sebelum Anda menyesuaikan metodologi dengan keadaan spesifik Anda dan kebutuhan Anda.

 

Tips Manajemen Risiko untuk Perusahaan Kecil

Saya telah melihat cukup banyak perusahaan kecil mencoba menggunakan perangkat lunak manajemen risiko sebagai bagian dari proyek implementasi ISO 27001 mereka yang mungkin jauh lebih tepat untuk perusahaan besar. Hasilnya adalah biasanya membutuhkan terlalu banyak waktu dan uang dengan efek yang terlalu kecil.

Berikut adalah beberapa tips tentang cara membuat manajemen risiko lebih mudah dikelola untuk perusahaan kecil:

• Pilih metodologi yang tepat. Metodologi perlu disederhanakan dan hanya berisi lima elemen yang diperlukan oleh ISO 27001. Jika Anda akhirnya menggunakan metodologi yang Anda salin dari beberapa perusahaan besar, Anda akan melakukan penilaian dan perawatan risiko selama berbulan-bulan, bukan dalam beberapa hari.
• Pilih alat yang tepat. Temukan perangkat lunak yang mengikuti metodologi Anda (disederhanakan), bukan sebaliknya. Dalam beberapa kasus, template Excel yang baik akan melakukan pekerjaan yang lebih baik daripada perangkat lunak yang rumit.
• Sertakan orang yang tepat. Anda tidak boleh mencoba melakukan ini sendiri; Anda harus menyertakan kepala semua departemen Anda karena mereka paling tahu proses mereka, yang berarti mereka tahu di mana potensi masalah bisa terjadi.
• Jangan mencoba menjadi sempurna. Jangan mencoba menemukan semua risiko saat pertama kali Anda melakukan ini – itu hanya akan memperlambat Anda; Sebaliknya, Anda harus menyelesaikan penilaian dan perawatan risiko Anda, dan kembali lagi nanti untuk menambahkan risiko yang hilang.

Untuk menyimpulkan: penilaian risiko dan perawatan benar-benar merupakan dasar dari keamanan informasi / ISO 27001, tetapi itu tidak berarti mereka harus rumit. Anda dapat melakukannya dengan cara yang sederhana, dan akal sehat Anda adalah yang terpenting.

Baca juga : Apa itu manajemen risiko dan mengapa itu penting?

Cara Mengatasi Peluang dalam Manajemen Risiko ISO 27001 Menggunakan ISO 31000

Ketika organisasi berpikir tentang risiko, mereka umumnya fokus pada apa yang bisa salah, dan mengambil langkah-langkah untuk mencegahnya, atau setidaknya untuk meminimalkan efeknya. Tetapi risiko juga dapat berarti bahwa sesuatu yang baik dapat terjadi, dan dengan tidak siap untuk mengambil keuntungan dari situasi tersebut, Anda dapat kehilangan manfaatnya.

Bagian ini akan menyajikan cara mempertimbangkan dan menangani risiko positif, juga dikenal sebagai peluang, dalam konteks ISO 27001. Dengan memasukkan peluang dalam pendekatan ISMS, organisasi dapat meningkatkan manfaat keamanan informasi.

Bagaimana ISO 27001 Mendefinisikan dan Memperlakukan Risiko

Untuk ISO 27001, risiko adalah “efek ketidakpastian pada tujuan,” dan “ketidakpastian” adalah alasan kami tidak dapat sepenuhnya mengendalikan semua risiko (lagipula, Anda tidak dapat bertahan melawan apa yang tidak Anda ketahui atau pahami).

ISO 27001 sendiri tidak menentukan cara mengobati risiko, sedangkan standar pendukung, ISO 27005, menyarankan empat opsi: modifikasi risiko, retensi risiko, penghindaran risiko, dan pembagian risiko. Informasi terperinci tentang opsi perawatan risiko ini dapat ditemukan lebih lanjut dalam artikel, tetapi singkatnya, semua opsi bertujuan untuk mengurangi kemungkinan risiko terjadi dan / atau meminimalkan efeknya; yaitu, mereka mempertimbangkan skenario ketika ada yang tidak beres.

Meskipun pendekatan ini mungkin telah sesuai pada hari-hari awal standar, organisasi saat ini tidak dapat lagi hanya berpikir dalam hal apa yang bisa salah dalam kaitannya dengan keamanan informasi mereka.

 

Opsi Peluang untuk Keamanan Informasi

Dalam standar ISO yang paling komprehensif tentang manajemen risiko, ISO 31000 – Manajemen risiko – Pedoman, selain opsi untuk menangani risiko negatif, organisasi juga dapat mempertimbangkan untuk mengambil atau meningkatkan risiko untuk mengejar peluang, yang dapat dicapai dengan:

Peningkatan risiko – Ini termasuk mengambil langkah-langkah untuk meningkatkan kemungkinan terjadinya risiko. Yang satu ini dapat dianggap sebagai mitra dari opsi mitigasi risiko untuk risiko negatif. Misalnya, untuk mengambil kesempatan untuk meningkatkan produktivitas, suatu organisasi memutuskan untuk menerapkan akses jarak jauh dengan berbagi sumber daya dan personel yang ada untuk membangun dan menjalankan layanan yang, pada dasarnya, meningkatkan risiko.

Eksploitasi risiko – Ini berarti mengambil setiap tindakan yang mungkin untuk memastikan risiko akan terjadi. Ini berbeda dari opsi peningkatan risiko dalam kenyataan bahwa itu melibatkan lebih banyak upaya dan sumber daya, untuk secara efektif memastikan risiko akan terjadi. Yang satu ini dapat dianggap sebagai mitra dari opsi penghindaran risiko untuk risiko negatif. Misalnya, Anda bermaksud risiko dengan dampak kecil terwujud karena Anda ingin menguji cara kerja prosedur respons insiden Anda.

Selain itu, pembagian risiko dan penerimaan risiko juga dapat digunakan dalam konteks peluang penanganan :

Berbagi peluang. Ketika sebuah organisasi menyadari bahwa, dengan sendirinya, ia tidak dapat memanfaatkan manfaat dari suatu peluang, ia dapat berbagi risiko, mencari mitra untuk membagi biaya dan upaya, sehingga keduanya dapat berbagi peluang yang tidak satu pun dari mereka dapat memanfaatkannya sendiri. Ini berbeda dari berbagi risiko negatif, karena dalam kasus terakhir ini organisasi hanya mentransfer biaya dampak negatif kepada pihak ketiga. Usaha patungan antara perusahaan pengembangan sistem dan penyedia layanan manajemen proyek adalah contoh yang baik dari pembagian risiko yang mempertimbangkan peluang.

Tidak melakukan apa-apa. Organisasi mungkin juga secara sadar memutuskan untuk tidak melakukan apa pun tentang peluang (jika itu terjadi, semuanya lebih baik, tetapi mengingat upaya yang diperlukan untuk mewujudkannya, itu tidak layak dikejar) – ini mirip dengan menerima risiko negatif.

 

Kapan Dapat Diterima untuk Meningkatkan Risiko?

Jawabannya mungkin tampak jelas … Dan, pada kenyataannya, itu adalah: ketika imbalannya lebih besar dari potensi kerugian, dan Anda dapat menerima kerugian jika itu terjadi.

Dalam contoh akses jarak jauh, Anda harus mempertimbangkan tidak hanya kehilangan peluang terkait dengan kegagalan dalam menerapkan layanan (misalnya, kehilangan waktu dan tenaga tim), tetapi juga potensi kerugian yang terkait dengan risiko yang timbul dari penggunaan akses jarak jauh itu sendiri (misalnya, kehilangan kerahasiaan informasi).

Jika potensi kerugian ini dapat diterima oleh organisasi, jika terjadi, dan mereka lebih kecil dari potensi keuntungan dari peningkatan produktivitas, mengapa tidak mengambil risiko?

 

Jangan Hanya Berharap yang Terbaik; Bersiaplah untuk Itu

“Berharap yang terbaik dan bersiap untuk yang terburuk” adalah moto umum untuk perencanaan risiko, tetapi di saat organisasi menuntut penggunaan sumber daya terbaik, dan setiap peluang sangat penting, hanya berharap yang terbaik tidak berfungsi lagi.

Dengan mengadopsi pendekatan perlakuan peluang dari ISO 31000 dan memperkenalkannya ke dalam proses manajemen risiko ISO 27001, organisasi dapat mengungkap dan memanfaatkan serangkaian peluang baru yang tidak hanya dapat meningkatkan operasi internal, tetapi juga meningkatkan keuntungan dan visibilitas pasar.

 

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut