Pada langkah no 6 Lakukan penilaian risiko dan identifikasi mitigasinya kita telah sedikit menyinggung bagaimana mitigasi risiko dilakukan. Pada langkah ke 8 ini kita akan menguraikan secara detil rencana mitigasi risiko yang harus dilakukan oleh perusahaan untuk memenuhi persyaratan Sistem Manajemen Keamanan Informasi ISO 27001:2013.
Rencana itu bukan cita-cita. Yang ketika kecil kita ditanya, kamu cita-citanya apa? menjadi dokter, atau menjadi insinyur, atau menjadi diplomat. TANPA pernah memikirkan bagaimana caranya mewujudkan cita - cita tersebut. Rencana adalah sebuah uraian langkah - langkah yang dilakukan beserta target yang diperlukan sehingga kita bisa mengendalikan risiko kegagalan sebuah rencana
eh ngapain ngomong cita-cita sih?? hahaha maaf, kadang agak sebel kalau ada orang yg bilang punya rencana tapi ga punya gambaran harus ngapain untuk rencana tersebut.
Eh lupa ditulis pada langkah - langkah sebelumnya terkait manajemen risiko. Bahwa risiko, peluang dan mitigasi harus sejalan yah ! Jangan sampe risikonya apa? peluangnya seperti apa? eh ternyata mitigasinya keluar dari logika. Contoh seperti ini
risiko :laptop pekerja terkena virus
peluang : pekerjaan berjalan lancar
mitigasi : pembelian laptop baru untuk pekerja
Ya bener sih kalo beli laptop baru, "peluang" tentunya akan berjalan dengan lebih baik tapi kan agak kurang nyambung dengan risikonya hehehe. Lebih masuk akal kan seandainya dokumen risiko anda ditulis seperti berikut:
risiko :laptop pekerja terkena virus
peluang : pekerjaan berjalan lancar
mitigasi : pemasangan antivirus ke laptop pekerja yang terhubung ke server untuk updating datanya
Dengan demikian kita punya mitigasi "pemasangan antivirus" untuk risiko serangan virus di laptop pekerja
Tabel Rencana Mitigasi
Baik, setelah kita melakukan identifikasi mitigasinya tentunya harus dibuat perencanaan pelaksanaannya. Untuk memastikan bahwa pelaksanaan berjalan dengan baik maka perlu dibuat monitoringnya. Seperti biasa, sangat disarankan anda menggunakan tabel dalam membuat dokumen risiko ini sehingga dapat dilihat dan dibaca dengan lebih mudah
Penjelasan
1. No risiko
Adalah nomor yang kita berikan kepada risiko yang telah kita identifikasi untuk memudahkan dalam melakukan penelusuran
2. Mitigasi
Adalah aktifitas yang kita rencanakan untuk melakukan manajemen terhadap risiko yang kita identifikasi.
3. Penanggung jawab
Adalah dept atau orang yang akan melaksanakan proses atau bertanggung jawab terhadap proses yang akan dilaksanakan
4. Tahapan
Rencana aktifitas yang dilakukan agar kegiatan mitigasi dipastikan berjalan sesuai dengan rencana
5. Pelaksanaan
Waktu yang kita tetapkan untuk melaksanakan aktifitas yang kita buat. Boleh berdasarkan hari, tanggal, minggu, bulan. Tapi tidak disarankan menggunakan pilihan tahun atau dekade hehehe
6. Monitoring
Pengawasan atau pemeriksaan setiap periode tertentu untuk memastikan apakah proses telah berjalan sesuai dengan rencana atau tidak. Pastikan anda mencatat tanggal pelaksanaan monitoring agar dapat mendokumentasikannya dengan baik
7. Catatan
Semua catatan yang akan menjadi pengingat dalam melakukan aktifitas tsb. Bisa dalam bentuk alasan, dalam bentuk pencapaian atau pun dalam bentuk kendala yang dihadapi sehingga tahapan tidak dapat berjalan dengan baik
Penutup
Kira - kira seperti itu contoh tabel sederhana untuk melakukan perencanaan atas mitigasi risiko yang kita identifikasi dan akan kita lakukan. Anda boleh menyederhanakan tabelnya atau malah menambahkan beberapa informasi dalam kolom khusus sehingga tabelnya lebih mudah dibaca dan dipahami oleh manajemen.
See ya dalam tulisan penjabaran langkah berikutnya dari Langkah mendapatkan sertifikat ISO 27001:2013
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments