Metode Penilaian Risiko
Penilaian risiko adalah komponen utama dari penerapan persyaratan ISO 27001:2013. Metode penilaian risiko menjadi bahan diskusi utama pada saat audit eksternal karena ini adalah inti dari sistem manajemen keamanan informasi, yaitu mengelola risiko keamanan informasi.
Mungkin ada yang pernah menerapkan standar ISO lain sebelum menerapkan ISO 27001:2013 dan kemudian merasa sudah cukup paham untuk membuat manajemen risiko. Bila anda pernah merasa seperti itu, berarti anda terjebak seperti saya hehehe. Atau anda mendapatkan keahlian khusus tentang manajemen risiko, nah ini bukan seperti saya hihihi. Atau anda merasa paham didunia IT karena menjadi programmer atau manajemen IT, ini juga bukan saya hahahaha
Proses Manajemen Risiko
Proses manajemen risiko di sistem manajemen keamanan informasi merupakan gabungan antara keahlian anda melakukan manajemen risiko serta pengetahuan anda tentang risiko di dalam dunia IT. Dengan konteks pernyataan diatas maka saya sangat menyarankan proses identifikasi risiko hingga penentuan mitigasi risiko dilakukan oleh tim bukan orang. Ingat, menurut ISO 31000:2018, menentukan risiko adalah dengan cara mengkombinasikan antara pengetahuan dan pengalaman. Pengetahuan mungkin bisa dipelajari dengan mendapatkan sertifikasi di bidang manajemen risiko, akan tetapi pengalaman dalam risiko bisa jadi sangat berbeda.
Selain proses manajemen risiko yang telah anda pahami, anda diminta untuk memastikan beberapa hal masuk dalam metode penilaian dan proses manajemen risiko yang anda buat. Diantaranya adalah
1. Ada pola PDCA dalam proses manajemen risiko
Ini sistem ISO, harus ada PDCA. jadi pastikan ada proses
Plan
Do
Check
Action
- ada model perencanaan, berarti buatlah proses yang mengatur kapan proses manajemen risiko di mulai
- ada proses pelaksanaan (DO), berarti jelaskan langkah - langkah yang perlu dilakukan dalam melaksanakan manajemen risiko
- Ada proses pemeriksaan (CHECK), lakukan fase untuk monitoring, pengendalian, peninjauan atas risiko yang telah diidentifikasi
- Proses perbaikan (ACTION), anda harus melakukan perbaikan atas dokumen risiko yang anda buat. Dan karena proses perencanaan (PLAN) maka tentukan kapan waktu untuk melakukan perbaikan
2. Ada CIA dalam melakukan penilaian
Confidentiality
Integrity
Availability
Sebenernya sama aja dg identifikasi risiko dg model2 lain. bedanya disini anda harus mengelompokkan risiko yang diidentifikasi dengan CIA. Bagi yang terbiasa bermain dengan manajemen risiko, pengelompokkan ini jelas akan membantu. Masalahnya adalah tinggal pengalaman dari orang yg mengidentifikasi cukup banyak atau tidak. Itulah disarankan proses manajemen risiko dilakukan oleh team bukan personal.
Manajemen risiko di ISO 27001:2013
Bandingkan dengan persyaratan standar lain yang umumnya hanya bermain risiko di klausul 6.1 (6.1.1 atau 6.1.2), penilaian risiko di ISO 27001:2013 diminta juga pada klausul operasional 8.2 dan 8.3. Padahal di standar lain klausul operasional biasanya berisi bagaimana menjalankan operasional yang dilakukan. Dengan demikian metode penilaian risiko di penerapan persyaratan ISO 27001::2013 sangat penting dan menjadi bahan audit yang utama baik di audit internal maupun eksternal
Sebenarnya anda bebas membuat model metode penilaian risiko yang anda inginkan. Akan tetapi ISO 27001:2013 meminta anda membuka ISO 31000:2018 sebagai panduan dalam membuat model metode penilaian risiko.
Pembuatan metode penilaian risiko berdasarkan ISO 31000:2018 sudah gw bahas disini. Terdapat kombinasi untuk memasukkan Confidentiality Integrity dan Availability agar manajemen risiko yang dibuat sesuai dengan tujuan dari sistem manajemen keamanan informasi.
Tapi Mohon maaf bila penjelasan disitu nanggung karena masih dalam proses revisi sesuai mood hehehehe 😛
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments