-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Metode Penilaian Risiko ISO 27001:2013

manajemen risiko iso 27001

BLANTERLANDINGv101
8858981123184540158

Metode Penilaian Risiko ISO 27001:2013

06 Mei 2021

Metode Penilaian Risiko

Penilaian risiko adalah komponen utama dari penerapan persyaratan ISO 27001:2013. Metode penilaian risiko menjadi bahan diskusi utama pada saat audit eksternal karena ini adalah inti dari sistem manajemen keamanan informasi, yaitu mengelola risiko keamanan informasi. 


Mungkin ada yang pernah menerapkan standar ISO lain sebelum menerapkan ISO 27001:2013 dan kemudian merasa sudah cukup paham untuk membuat manajemen risiko. Bila anda pernah merasa seperti itu, berarti anda terjebak seperti saya hehehe. Atau anda mendapatkan keahlian khusus tentang manajemen risiko, nah ini bukan seperti saya hihihi. Atau anda merasa paham didunia IT karena menjadi programmer atau manajemen IT, ini juga bukan saya hahahaha 


Proses Manajemen Risiko

Proses manajemen risiko di sistem manajemen keamanan informasi merupakan gabungan antara keahlian anda melakukan manajemen risiko serta pengetahuan anda tentang risiko di dalam dunia IT. Dengan konteks pernyataan diatas maka saya sangat menyarankan proses identifikasi risiko hingga penentuan mitigasi risiko dilakukan oleh tim bukan orang. Ingat, menurut ISO 31000:2018, menentukan risiko adalah dengan cara mengkombinasikan antara pengetahuan dan pengalaman. Pengetahuan mungkin bisa dipelajari dengan mendapatkan sertifikasi di bidang manajemen risiko, akan tetapi pengalaman dalam risiko bisa jadi sangat berbeda. 

Selain proses manajemen risiko yang telah anda pahami, anda diminta untuk memastikan beberapa hal masuk dalam metode penilaian dan proses manajemen risiko yang anda buat. Diantaranya adalah 

1. Ada pola PDCA dalam proses manajemen risiko 

Ini sistem ISO, harus ada PDCA. jadi pastikan ada proses 

Plan 

Do 

Check 

Action

  • ada model perencanaan, berarti buatlah proses yang mengatur kapan proses manajemen risiko di mulai 
  • ada proses pelaksanaan (DO), berarti jelaskan langkah - langkah yang perlu dilakukan dalam melaksanakan manajemen risiko 
  • Ada proses pemeriksaan (CHECK), lakukan fase untuk monitoring, pengendalian, peninjauan atas risiko yang telah diidentifikasi
  • Proses perbaikan (ACTION), anda harus melakukan perbaikan atas dokumen risiko yang anda buat. Dan karena proses perencanaan (PLAN) maka tentukan kapan waktu untuk melakukan perbaikan
Rangkaian aktivitas itu dapat anda buat dalam model prosedur atau dalam bentuk kebijakan sehingga bisa menjadi panduan dalam melaksanakan proses manajemen risiko

2. Ada CIA dalam melakukan penilaian 

Confidentiality

Integrity

Availability

Sebenernya sama aja dg identifikasi risiko dg model2 lain. bedanya disini anda harus mengelompokkan risiko yang diidentifikasi dengan CIA. Bagi yang terbiasa bermain dengan manajemen risiko, pengelompokkan ini jelas akan membantu. Masalahnya adalah tinggal pengalaman dari orang yg mengidentifikasi cukup banyak atau tidak. Itulah disarankan proses manajemen risiko dilakukan oleh team bukan personal.

Manajemen risiko di ISO 27001:2013

Bandingkan dengan persyaratan standar lain yang umumnya hanya bermain risiko di klausul 6.1 (6.1.1 atau 6.1.2), penilaian risiko di ISO 27001:2013 diminta juga pada klausul operasional 8.2 dan 8.3. Padahal di standar lain klausul operasional biasanya berisi bagaimana menjalankan operasional yang dilakukan. Dengan demikian metode penilaian risiko di penerapan persyaratan ISO 27001::2013 sangat penting dan menjadi bahan audit yang utama baik di audit internal maupun eksternal 

Sebenarnya anda bebas membuat model metode penilaian risiko yang anda inginkan. Akan tetapi ISO 27001:2013 meminta anda membuka ISO 31000:2018 sebagai panduan dalam membuat model metode penilaian risiko.  

Pembuatan metode penilaian risiko berdasarkan ISO 31000:2018 sudah gw bahas disini. Terdapat kombinasi untuk memasukkan Confidentiality Integrity dan Availability agar manajemen risiko yang dibuat sesuai dengan tujuan dari sistem manajemen keamanan informasi. 

Tapi Mohon maaf bila penjelasan disitu nanggung karena masih dalam proses revisi sesuai mood hehehehe 😛


Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

BLANTERLANDINGv101

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang