Pemilik Risiko VS. Pemilik Aset dalam ISO 27001:2013
Revisi ISO 27001 tahun 2013 memperkenalkan konsep baru: pemilik risiko. Karena konsep ini membawa cukup banyak kebingungan dengan praktisi keamanan informasi, berikut penjelasan tentang apa itu pemilik risiko, dan apakah konsep pemilik aset dari revisi ISO 27001 yang lama tahun 2005 masih berlaku.
Pemilik Aset VS. Pemilik Risiko
Pemilik aset dalam ISO 27001 bertanggung jawab atas pengelolaan aset sehari-hari, seperti data elektronik dan salinan cetak, serta perangkat keras, perangkat lunak, layanan, orang, dan fasilitas. Pemilik risiko bertanggung jawab untuk mengelola ancaman dan kerentanan yang mungkin dieksploitasi.
Apa pemilik aset, menurut ISO 27001?
Pemilik aset dalam ISO 27001 bertanggung jawab atas pengelolaan aset sehari-hari, seperti data elektronik dan salinan cetak, serta perangkat keras, perangkat lunak, layanan, orang, dan fasilitas.
Pemilik aset biasanya lebih rendah dalam hierarki organisasi daripada pemilik risiko, karena masalah apa pun yang mereka temukan harus diarahkan ke atas dan ditangani oleh individu yang lebih senior.
Sebagai contoh, jika kepala departemen TI bertanggung jawab atas risiko yang terkait dengan infrastruktur TI, pemilik aset server yang berisi informasi berisiko adalah administrator TI.
Baik revisi ISO 27001 2005 dan 2013 yang lama memiliki konsep pemilik aset sebagai kontrol dalam Lampiran A – ini pada dasarnya tidak lain adalah menentukan siapa yang bertanggung jawab atas setiap aset di perusahaan Anda. Dalam hal keamanan informasi, aset tidak hanya berupa informasi dalam bentuk elektronik dan kertas, tetapi juga perangkat lunak, perangkat keras, layanan, orang, fasilitas, dan segala sesuatu yang memberikan nilai bagi suatu organisasi.
Mengapa kepemilikan aset ini penting? Karena jika tidak ada yang bertanggung jawab atas suatu aset maka tidak ada yang akan mengurusnya – hanya dengan mendefinisikan secara ketat siapa yang bertanggung jawab atas setiap dokumen, setiap server, setiap layanan eksternal, dll. apakah Anda akan memastikan bahwa masing-masing aset tersebut dilindungi dan dikelola dengan benar; tidak memiliki pemilik aset berarti anarki.
Penilaian risiko berbasis aset
Di mana revisi 2005 dan 2013 berbeda adalah bahwa 2005 memerlukan identifikasi pemilik aset baik selama proses penilaian risiko dan sebagai kontrol A.7.1.2 dalam Lampiran A, sedangkan revisi 2013 tidak memiliki persyaratan ini dalam proses penilaian risiko dan hanya sebagai kontrol A.8.1.2 dalam Lampiran A.
Terlebih lagi, revisi 2013 tidak memerlukan apa yang disebut penilaian risiko berbasis aset, yang akan mengidentifikasi risiko berdasarkan aset, ancaman, dan kerentanan – menurut ISO27001: 2013, perusahaan Anda dapat mengidentifikasi risiko menggunakan beberapa metode lain (kurang rumit).
Namun, pendapat saya adalah bahwa penilaian risiko berbasis aset akan terus menjadi metode dominan untuk penilaian risiko – terutama jika Anda memilih untuk menerapkan kontrol A.8.1.1 (identifikasi aset) dan A.8.1.2 (menugaskan pemilik ke aset tersebut). Jika Anda membuat daftar aset tersebut, maka Anda telah melakukan bagian yang baik dari penilaian risiko berbasis aset; Dalam kasus seperti itu, bahkan dalam revisi 2013 masuk akal untuk membuat daftar aset (dan pemiliknya) selama proses penilaian risiko.
Apa pemilik risiko menurut ISO 27001?
Pemilik risiko dalam ISO 27001 adalah orang yang bertanggung jawab untuk mengelola ancaman dan kerentanan yang mungkin dieksploitasi. Setiap risiko yang diidentifikasi dapat dikelola oleh beberapa personel yang memiliki tanggung jawab langsung atau tidak langsung untuk, atau pengawasan atas, manajemennya, dan yang bekerja dengan pemilik risiko yang bertanggung jawab untuk mengelola risiko tersebut.
Jadi, misalnya, pemilik aset server mungkin adalah administrator TI, dan pemilik risiko untuk risiko yang terkait dengan server ini mungkin adalah manajer lininya atau kepala TI. Administrator TI akan mengelola server setiap hari, sementara kepala TI akan mengurus, misalnya, berinvestasi dalam perlindungan yang lebih baik, atau memberikan pelatihan kepada administrator TI untuk mengurangi risiko secara keseluruhan.
Menurut pendapat saya, konsep kepemilikan risiko diperkenalkan karena sangat sering, pemilik aset tidak memiliki wewenang yang cukup untuk menyelesaikan potensi risiko; selain itu, konsep ini juga ada dalam ISO 31000, jadi dengan cara ini ISO 27001:2013 dibuat sesuai dengan ISO 31000.
Bagaimana memilih pemilik risiko
Ketika memilih pemilik risiko, Anda harus membidik seseorang yang terkait erat dengan proses dan operasi di mana risiko telah diidentifikasi, pasti seseorang yang akan merasakan “rasa sakit” jika risiko terwujud – yaitu, seseorang yang sangat tertarik untuk mencegah risiko tersebut terjadi. Namun, orang ini juga harus diposisikan cukup tinggi sehingga suaranya akan didengar di antara para pengambil keputusan, karena tanpa memperoleh sumber daya tugas ini tidak mungkin. Jadi, menurut saya manajer tingkat menengah seringkali merupakan kandidat terbaik untuk pemilik risiko.
Meskipun standar memungkinkan suatu entitas untuk menjadi pemilik risiko (misalnya, departemen atau unit bisnis), saya tidak akan menyarankannya – selalu lebih baik memiliki satu individu yang bertanggung jawab untuk menyelesaikan masalah daripada memiliki sekelompok orang. Misalnya, jika kepala departemen TI bertanggung jawab untuk menyelesaikan risiko, itu akan dilakukan jauh lebih cepat daripada jika Anda memiliki seluruh departemen TI yang bertanggung jawab atas risiko yang sama.
Ketika datang untuk menunjuk pemilik risiko, yang terbaik dilakukan melalui rencana perawatan Risiko, karena ini adalah rencana tindakan tentang cara menyelesaikan risiko. Anda cukup menentukan untuk setiap risiko yang bertanggung jawab untuk menerapkan kontrol.
Untuk menyimpulkan, perusahaan harus menentukan pemilik risiko dan pemilik aset saat menerapkan ISO 27001 – cara termudah adalah dengan menentukannya selama proses penilaian risiko. Dan, dengan melakukan ini dengan benar, implementasi dan pengoperasian keamanan informasi mereka akan menjadi pekerjaan yang jauh lebih mudah.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
