-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Melakukan penilaian risiko dan mitigasinya

penilaian risiko iso 27001:2013

Home ISO 27001 ISO 27001:2013 manajemen risiko mitigasi risiko Penerapan ISO 27001:2013 Melakukan penilaian risiko dan mitigasinya
BLANTERLANDINGv101
8858981123184540158

Melakukan penilaian risiko dan mitigasinya

07 Mei 2021

Setelah anda menentukan metode penilaian risiko, saatnya anda mulai menerapkan metode penilaian risiko tersebut dengan cara 

  • melakukan penilaian risiko, 
  • menentukan mitigasi, serta 
  • monitoring dan evaluasi atas mitigasi yang ditetapkan tersebut. 

Setidaknya ada beberapa hal yang harus anda perhatikan pada saat menyusun tabel risiko sebagai bagian dari manajemen risiko. 

 


 

1. Lakukan penilaian dan analisa risiko pada  aset informasi 

inventarisasi aset informasi anda dan lakukan penilaian risiko atas aset-aset tersebut. Aset yang mengandung informasi biasanya memang aset IT tapi ada juga yang kadang di kelola oleh GA. Biasanya disini saya mulai melakukan pembenahan terhadap aset IT sehingga bisa tersusun rapih. 

Coba kira-kira aset informasi apa saja? 

  • monitor / cpu / seperangkat pc karena mengelola dan menampilkan informasi
  • laptop atau netbook dengan alasan yang sama dengan diatas
  • Jaringan kabel LAN karena menyalurkan informasi 
  • jaringan wifi dengan alasan sama 
  • router, modem, hub pengelola jaringan 
  • monitor / flat screen TV atau LCD proyektor karena menampilkan informasi 
  • whiteboard / papan tulis dengan alasan sama diatas
  • website perusahaan 
  • aplikasi yang digunakan untuk operasional perusahaan
  • lisensi dari windows dan office atau aplikasi berbayar lain
  • karyawan atau orang karena menerima, mengelola dan menyampaikan informasi 
  • vendor / supplier karena menerima atau mengetahui informasi 
  • dll silahkan di list sendiri hehehe

2. Lakukan penilaian risiko pada proses 

Identifikasi semua proses dan tahapan - tahapan pekerjaan yang dilakukan dalam sebuah proses. 

Contoh proses : 

penerimaan surat dari eksternal perusahaan 

identifikasi tahapannya, ;

  • menerima surat 
  • memeriksa kondisi surat dan kepentingannya
  • memerika apakah alamat / orang yang dituju adalah benar
  • mengisi tanda terima
  • menyimpan surat di meja resepsionis 
  • meneruskan surat ke orang / dept yang dituju 

Pada sebuah proses yang sangat sederhana seperti diatas kita dapat melihat bahwa risiko informasi yang berdasarkan Confidentiality Integrity Availability dapat di identifikasi. Maksudnya gimana? coba lihat tabel berikut

StepActivityConfidentialityIntegrityAvailability
1Menerima suratrisk : tidak adarisk : tidak ada
risk : tidak ada personil yang menerima surat
2memeriksa kondisi suratrisk : kategori Penting?risk : kondisi amplop pembungkus surat baik?risk : tidak ada
3memeriksa alamat yang ditujurisk : tidak adaintegrity : alamat / orang benar di perusahaan ini?risk : orang yang dituju masih bekerja di perusahaan?
4.................

jadi semuanya di buat risknya? iyee hehehehe 

Makanya sangat disarankan anda menyusun prosedur dan proses terlebih dahulu dan kemudian membuat analisa risiko pada tahapan prosedur tersebut

Terus untuk asetnya digituin juga? iyeeee hihihi

3. Lakukan penilaian risiko pada proses 

Melakukan kombinasi 2 langkah diatas, 

  • berbasis proses 
  • identifikasi risiko pada aset 

masukkan kolom aset penyebab risiko pada proses anda sehingga anda bisa mengkombinasikan aktifitas identifikasi risiko. Dengan demikian 2 hal yang menjadi kewajiban untuk dianalisa risikonya dapat di cakup dalam sebuah tabel yang komprehensive. Pada titik ini aktifitas pengelolaan, penilaian dan bagaimana melakukan mitigasinya akan berjalan simultan sehingga pengelolaan risiko dapat dianggap berada di jalur yang benar

4. Laksanakan mitigasi risiko yang dipilih 

Hei, ini bukan cuma sekedar nulis dokumen tapi aktifitas mitigasi risikonya harus dilaksanakan. Kemudian mitigasi tersebut harus dimonitor dan dievaluasi apakah berjalan sesuai rencana atau tidak? Atau apakah mitigasi risiko tersebut dapat menghilangkan / mengurangi risiko yang terjadi pada aktivitas tersebut. 

jadi tolong ingat yah untuk mitigasi risikonya harus ada dokumen 

  • rencana aktifitas mitigasi risiko berdasarkan analisa risiko yang dibuat 
  • rencana pelaksanaan mitigasi risiko tersebut, cantumkan perkiraan waktu 
  • rencana monitoring / pengawasan termasuk hasil monitoring yang dilakukan 
  • bukti dokumen bahwa mitigasi risiko tersebut telah dilaksanakan 
  • bukti keefektifan mitigasi risiko (biasanya ditunjukkan dengan risiko sisa
  • hasil mitigasi risiko ini menjadi dasar dalam updating manajemen risiko periode berikutnya

5. lakukan penilaian risiko secara berkala

Mohon maaf nih, dokumen risiko itu bukan pekerjaan 1x terus dilupakan dan hanya menjadi dokumen, Dokumen risiko harus dikelola dengan cara melakukan pengkinian atau updating secara berkala. Umumnya dilakukan 1x dalam setahun tapi tidak menjadi masalah bila dilakukan 1x dalam 2 tahun. Pada saat surveillance audit ISO 27001:2013, updating dokumen risiko ini pasti akan ditanya untuk membuktikan apakah anda melaksanakan klausul 8.2 dan 8.3 di dalam sistem manajemen keamanan informasi 

huahh kira2 gitu sih langkah penilaian risiko dan melakukan mitigasinya dilakukan dalam upaya langkah mendapatkan sertifikasi ISO 27001:2013.  Saya juga menjabarkan jebakan - jebakan yang mungkin terjadi pada saat surveillance audit ditahun berikutnya terkait dokumen risiko anda. Pastikan anda melakukannya dengan benar sehingga tidak dianggap tidak menjalankan sistem manajemen keamanan informasi khususnya klausul 8.2 dan 8.3 persyaratan ISo 27001:2013

Yukk lanjutkan langkah berikutnya 😊


Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

TAGS
BLANTERLANDINGv101

0 comments

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang