Setelah anda menentukan metode penilaian risiko, saatnya anda mulai menerapkan metode penilaian risiko tersebut dengan cara
- melakukan penilaian risiko,
- menentukan mitigasi, serta
- monitoring dan evaluasi atas mitigasi yang ditetapkan tersebut.
Setidaknya ada beberapa hal yang harus anda perhatikan pada saat menyusun tabel risiko sebagai bagian dari manajemen risiko.
1. Lakukan penilaian dan analisa risiko pada aset informasi
inventarisasi aset informasi anda dan lakukan penilaian risiko atas aset-aset tersebut. Aset yang mengandung informasi biasanya memang aset IT tapi ada juga yang kadang di kelola oleh GA. Biasanya disini saya mulai melakukan pembenahan terhadap aset IT sehingga bisa tersusun rapih.
Coba kira-kira aset informasi apa saja?
- monitor / cpu / seperangkat pc karena mengelola dan menampilkan informasi
- laptop atau netbook dengan alasan yang sama dengan diatas
- Jaringan kabel LAN karena menyalurkan informasi
- jaringan wifi dengan alasan sama
- router, modem, hub pengelola jaringan
- monitor / flat screen TV atau LCD proyektor karena menampilkan informasi
- whiteboard / papan tulis dengan alasan sama diatas
- website perusahaan
- aplikasi yang digunakan untuk operasional perusahaan
- lisensi dari windows dan office atau aplikasi berbayar lain
- karyawan atau orang karena menerima, mengelola dan menyampaikan informasi
- vendor / supplier karena menerima atau mengetahui informasi
- dll silahkan di list sendiri hehehe
2. Lakukan penilaian risiko pada proses
Identifikasi semua proses dan tahapan - tahapan pekerjaan yang dilakukan dalam sebuah proses.
Contoh proses :
penerimaan surat dari eksternal perusahaan
identifikasi tahapannya, ;
- menerima surat
- memeriksa kondisi surat dan kepentingannya
- memerika apakah alamat / orang yang dituju adalah benar
- mengisi tanda terima
- menyimpan surat di meja resepsionis
- meneruskan surat ke orang / dept yang dituju
Pada sebuah proses yang sangat sederhana seperti diatas kita dapat melihat bahwa risiko informasi yang berdasarkan Confidentiality Integrity Availability dapat di identifikasi. Maksudnya gimana? coba lihat tabel berikut
jadi semuanya di buat risknya? iyee hehehehe
Makanya sangat disarankan anda menyusun prosedur dan proses terlebih dahulu dan kemudian membuat analisa risiko pada tahapan prosedur tersebut
Terus untuk asetnya digituin juga? iyeeee hihihi
3. Lakukan penilaian risiko pada proses
Melakukan kombinasi 2 langkah diatas,
- berbasis proses
- identifikasi risiko pada aset
masukkan kolom aset penyebab risiko pada proses anda sehingga anda bisa mengkombinasikan aktifitas identifikasi risiko. Dengan demikian 2 hal yang menjadi kewajiban untuk dianalisa risikonya dapat di cakup dalam sebuah tabel yang komprehensive. Pada titik ini aktifitas pengelolaan, penilaian dan bagaimana melakukan mitigasinya akan berjalan simultan sehingga pengelolaan risiko dapat dianggap berada di jalur yang benar
4. Laksanakan mitigasi risiko yang dipilih
Hei, ini bukan cuma sekedar nulis dokumen tapi aktifitas mitigasi risikonya harus dilaksanakan. Kemudian mitigasi tersebut harus dimonitor dan dievaluasi apakah berjalan sesuai rencana atau tidak? Atau apakah mitigasi risiko tersebut dapat menghilangkan / mengurangi risiko yang terjadi pada aktivitas tersebut.
jadi tolong ingat yah untuk mitigasi risikonya harus ada dokumen
- rencana aktifitas mitigasi risiko berdasarkan analisa risiko yang dibuat
- rencana pelaksanaan mitigasi risiko tersebut, cantumkan perkiraan waktu
- rencana monitoring / pengawasan termasuk hasil monitoring yang dilakukan
- bukti dokumen bahwa mitigasi risiko tersebut telah dilaksanakan
- bukti keefektifan mitigasi risiko (biasanya ditunjukkan dengan risiko sisa
- hasil mitigasi risiko ini menjadi dasar dalam updating manajemen risiko periode berikutnya
5. lakukan penilaian risiko secara berkala
Mohon maaf nih, dokumen risiko itu bukan pekerjaan 1x terus dilupakan dan hanya menjadi dokumen, Dokumen risiko harus dikelola dengan cara melakukan pengkinian atau updating secara berkala. Umumnya dilakukan 1x dalam setahun tapi tidak menjadi masalah bila dilakukan 1x dalam 2 tahun. Pada saat surveillance audit ISO 27001:2013, updating dokumen risiko ini pasti akan ditanya untuk membuktikan apakah anda melaksanakan klausul 8.2 dan 8.3 di dalam sistem manajemen keamanan informasi
huahh kira2 gitu sih langkah penilaian risiko dan melakukan mitigasinya dilakukan dalam upaya langkah mendapatkan sertifikasi ISO 27001:2013. Saya juga menjabarkan jebakan - jebakan yang mungkin terjadi pada saat surveillance audit ditahun berikutnya terkait dokumen risiko anda. Pastikan anda melakukannya dengan benar sehingga tidak dianggap tidak menjalankan sistem manajemen keamanan informasi khususnya klausul 8.2 dan 8.3 persyaratan ISo 27001:2013
Yukk lanjutkan langkah berikutnya 😊
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments