Klausul 6 ISO 27001:2013 : Perencanaan - Tindakan untuk Risiko dan Peluang (bag 1 dari 2)

Klausul 6.1 Tindakan untuk Risiko dan Peluang 

Klausul yang panjang banget penjelasannya 😢 Tapi klausul ini bersama- sama dengan klausul 8.2 dan 8.3 menjadi inti dari implementasi ISO 27001:2013.  

6.1.1 Umum

di persyaratan ini diberikan pengertian dan tujuan mengelola risiko. 

hal pertama yang perlu anda ingat adalah, anda wajib mempertimbangkan isu internal dan eksternal  (Klausul 4.1) serta pihak yang berkepentingan (klausul 4.2) dalam menentukan risiko dan peluang. Penentuan tindakan untuk risiko dan peluang dilakukan untuk 

a) memastikan SMKI berjalan serta dampak yang diinginkan

b) mencegah atau mengurangi dampak yang tidak diinginkan

c) mendapatkan proses perbaikan berkelanjutan

d) pastikan tindakan untuk risiko dan peluang menjadi bagian dari operasional dan di evaluasi keefektifannya

6.1.2 Penilaian Risiko

Dalam persyaratan disini akan dijelaskan langkah2 untuk melakukan penilaian risiko 

 

 

ISO 27001:2013 meminta anda membuka ISO 31000 sebagai panduan dalam melakukan manajemen Risiko. Versi terbaru dari ISO 31000 adalah ISO 31000:2018.  Dengan mengikuti persyaratan diatas serta ditambah dengan panduan manajemen risiko pada ISO 31000:2018 maka langkah - langkah yang harus dilakukan untuk melakukan manajemen risiko adalah sbb : 

Langkah 1 : Tentukan Kriteria Risiko

Ada 2 persyaratan kriteria yaitu 

1. Menentukan kriteria risiko 

Biasanya pada saat di awal kita akan memilih kriteria risiko yang paling mudah yaitu dengan membuat 3 kriteria dasar 

a. Risiko tinggi / high risk

Jelaskan yang dimaksud dengan risiko tinggi, saya sih ambil gampang, risiko yang harus segera di tindak lanjuti dalam kurun waktu dibawah 6 bulan

b. Risiko sedang atau menengah / medium risk

Jelaskan yang dimaksud dengan risiko sedang, risiko yang harus segera di tindak lanjuti dalam kurun waktu 6 12 bulan 

c. Risiko rendah / low risk 

Jelaskan yang dimaksud dengan risiko rendah, risiko yang harus segera di tindak lanjuti dalam kurun waktu dibawah 1-2 bulan  

catatan : untuk hasil yang lebih baik sangat disarankan anda melakukan penjelasan kriteria risiko dengan cara yang lebih komprehensif, misal melibatkan waktu, biaya,  dampak serta hal lain yang menjadi pertimbangan dari manajemen puncak seperti target perusahaan serta parameter lain yang terkait keaman informasi

2. Menentukan kriteria untuk melakukan penilaian 

Lalu bagaimana cara menentukan apakah sebuah risiko menjadi tinggi,sedang atau rendah? Disini kita harus membuat bagaimana melakukan penilaian terhadap kriteria tersebut 

ISO 27003:2013 meminta melakukan penilaian berdasarkan 

a. likelihood --> kemungkinan terjadinya risiko

b. consequences --> dampak dari terjadinya risiko

Tentunya untuk menyesuakan dengan kriteria risiko diatas maka penilaian tersebut (likelihood and consquences) masing0masing dibagi menjadi 3 juga yaitu : tinggi, sedang, rendah.Sehingga terciptalah tabel sbg berikut 

 

Kok tau2 gitu zul? mau tahu kenapa gitu? sewa gw jadi konsultan hahaha Ga harus sih silahkan bertanya kalo ga ngerti, tadi mau nulis lengkap tapi masih bingung cara penyampaiannya. Sementara gw tinggalin dulu kita lanjut langkah berikutnya

Langkah 2 : Identifikasi Risiko

Identifikasi  risiko pada proses anda. Prosesnya banyak euy masa tiap proses di identifikasi risikonya? yah emang gitu, bukan saja proses tapi semua aktifitas yang terkait informasi harusnya di identifikasi risikonya. Eh di persyaratan ini, ketika melakukan identifikasi risiko, harus terkait dengan 3 risiko dasar keamanan informasi yaitu Confidentiality, Integrity dan availability. Sehingga pastikan cara untuk mengidenfikasikan memasukkan penilaian tsb. 

Biasanya saya melakukan 2 tahapan identifikasi agar persyaratan ini dimasukkan, yaitu pertama menilai apakah risiko sebuah proses terkait CIA tsb ada yang tinggi. Bila ada maka dilanjutkan pada analisa risiko berdasarkan langkah 2 diatas

Atau 

mengkombinasikan dasar risiko CIA dengan kriteria penilaian pada likelihood dan dan consequences pada langkah 1. Ini makin pusing mikirinnya hehehe

Langkah 3 : Analisa Risiko

Lakukan analisa risiko untuk risiko yang ditemukan pada langkah 2  dengan mengikuti kriteria risiko pada langkah 1. 

Paham? gw anggap paham aja lah ya sementara hehehe

Langkah 4 : Evaluasi Risiko 

Pada hasil analisa nanti kita akan menemukan mana risiko yang tingi / sedang / rendah. Pada titik itu lah kita menyesuaikan dengan kriteria risiko pada langkah 1. Mana yang harus dibuat tindakan untuk penanganan risiko sesuai 6.1.3 Penanganan Risiko

Sementara itu dulu yah, Nanti tamabhan detil2 langkah2 diatas akan dibuat klo mood nulisnya lagi enak😊

6.1.3 Penanganan Risiko

Penanganan risiko atau banyak dikenal dengan istilah mitigasi risiko atau tindakan untuk risiko dilakukan sesuai dengan persyaratan berikut 

 

 

Langkah 5 : Mitigasi Risiko

Coba tetapkan langkah untuk mengatasi risiko yang telah teridentifikasi. Persyaratannya sih setelah tetapkan tindakan kemudian periksa silang dengan annex A. Klo saya daripada kerja 2x mendingan periksa dulu kesesuaiannya dengan annex A, nah yang ga ada di annex baru menjadi langkah2 tambahan sebagai mitigasi risiko

 

Langkah 6 : Bandingkan dengan Annex A 

Nah cantumkan annex terkait pada setiap tindakan untuk mengatasi risiko (mitigasi) pada langkah 5  sehingga kita punya hubungan antara dokumen risiko dengan dokumen berikutnya yaitu dokumen SoA

Langkah 7 : Buat Statement of Applicability 

Ini adalah dokumen SoA, sebuah dokumen yang menyatakan bahwa perusahaan melakukan kendali atas risiko - risiko yang diidentifikasi oleh persyaratan.  Dokumen ini harus memberikan informasi tentang 

1. Annex terkait 
2. Persyaratan kendali/kontrol yang ditetapkan 
3. Tujuan dari kendali yang dilakukan
4. alasan kenapa kendali dilakukan 
   
5. Tindakan yang dilakukan ATAU
6. pernyataan bahwa kendali tidak dapat diterapkan  

saya sih biasanya menggunakan tabel hingga setiap annex bisa diulas dalam baris yang sama. Tentunya setiap data bisa dicantumkan pada baris tsb dalam kolom yang telah ditentukan

Langkah 8 : Rencanakan tindakan untuk mitigasi 

Tentukan personil yang bertanggung jawab terhadap tindakan yang dilakukan. Pastikan juga beri batas waktu kapan tindakan harus diselesaikan. 

Pada langkah ini, nanti kita terhubung dengan klausul 8.2 Penilaian Risiko Keamanan Informasi dan 8.3 Mitigasi Risiko Keamanan Informasi

Langkah 9 : Persetujuan keberterimaan sisa risiko 

Nilai dari hasil tindakan dengan melakukan penilaian ulang terhadap risiko sehingga kita mendapatkan keberterimaan risiko (risk acceptance) 

Pada dokumen ISO 31000:2018 kita mempunyai 6 tindakan untuk menerima sisa risiko yaitu 

1. menghilangkan risiko
2. mengambil risiko (karena ada peluang yang bisa diraih) 
3. menghilangkan sumber risiko
4. mengubah kemungkinan (likelihood) atau mengubah konsekwensi (consequence)
5. berbagi risiko 
6. mengelola risiko dengan membuat parameter tindakan 
   

Dokumentasi 

Dokumentasi yang diperlukan adalah metode risiko yang diminta oleh persyaratan, biasanya dalam bentuk SOP serta pelaksanaan manajemen risiko yang umumnya dalam bentuk tabel sesuai langkah2 diatas. 

Dikarenakan langkah-langkahnya termasuk panjang serta membutuhkan penjelasan yang cukup detil biasanya saya membuat sebuah Risk Policy sebagai penjelasan atas langkah - langkah tersebut dan membuat SOP untuk memastikan implementasi dari manajemen risiko dengan menjabarkan keterlibatan antar dept, perumusan risiko serta perencanaan risk treatment serta evaluasi risiko dalam sebuah proses berulang. Tentunya dengan memastikan bahwa formulir risk yang dibuat diisi dan di evaluasi setiap tahun. 

 

catatan : 

1. Saya akan melakukan update sesuai mood atas langkah2 diatas, karena berusaha memastikan penjelasan yang ringkas dan  mudah dimengerti

2. last update = 03012021, belum selesai tapi tetap di post dengan tujuan tertentu