Penilaian Risiko (sering disebut Analisa Risiko) mungkin adalah bagian paling rumit dari implementasi ataupun sertifikasi ISO 27001; tetapi pada saat yang sama penilaian risiko(dan penanganannya) adalah langkah yang paling penting pada awal proyek keamanan informasi perusahaan, dalam hal ini adalah menetapkan dasar-dasar untuk keamanan informasi di perusahaan.
Pertanyaannya adalah mengapa begitu penting? Jawabannya cukup sederhana meskipun tidak dipahami oleh banyak orang: filosofi utama ISO 27001 adalah untuk mengetahui insiden yang bisa terjadi (menilai risiko) dan kemudian menemukan cara yang paling tepat untuk menghindari insiden itu (penanganan risiko). Tidak hanya itu, perusahaan juga harus menilai pentingnya setiap risiko sehingga perusahaan dapat fokus pada yang risiko yang paling penting.
Meskipun penilaian risiko dan penanganannya adalah pekerjaan yang kompleks, namun kita tidak perlu bingung. Berikut adalah 6 langkah dasar yang akan menjelaskan apa yang harus dilakukan dalam penilaian risiko:
- Metodologi Penilaian Risiko
Ini adalah langkah pertama perusahaan dalam mengerjakan manajemen risiko. Perusahaan perlu menentukan aturan tentang bagaimana ia akan melakukan manajemen risiko. Perusahaan tentunya ingin seluruh organisasi untuk melakukannya dengan cara yang sama. Merupakan masalah yang besar dengan penilaian risiko jika bagian yang berbeda dari organisasi melakukan penilaian risiko dengan cara yang berbeda. Oleh karena itu, perusahaan perlu menentukan apakah ia ingin penilaian kualitatif atau kuantitatif dalam hal penilaian risiko, dalam skala apa perusahaan menggunakan penilaian kualitatif, apa yang akan menjadi tingkat risiko yang dapat diterima, dll. - Pelaksanaan Penilaian Risiko
Setelah perusahaan menetapkan aturan, perusahaan dapat mulai mencari tahu potensi masalah yang bisa terjadi. Buat daftar semua aset perusahaan, identifikasi ancaman dan kerentanan yang berkaitan dengan aset tersebut, nilai dampak dan kemungkinan untuk setiap kombinasi dari aset / ancaman / kerentanan dan akhirnya hitung tingkat risiko.
Berdasarkan pengalaman, perusahaan biasanya menyadari hanya 30% dari risiko mereka. Oleh karena itu, disarankan agar perusahaan mengadakan latihan dalam membuat daftar aset dan identifikasi risiko diatas, sehingga dari waktu ke waktu kemampuan perusahaan dalam menyadari risiko akan meningkat. - Pelaksanaan Penanganan Risiko
Tentu saja, tidak semua risiko memiliki nilai yang sama, perusahaan harus fokus pada risiko yang paling penting, yang biasa disebut “risiko yang tidak dapat diterima”.
Ada empat pilihan yang dapat dipilih dari untuk penanganan risiko yang tidak dapat diterima:- Terapkan kontrol keamanan dari Lampiran A ISO 27001.
- Transfer risiko ke pihak lain – misalnya kepada perusahaan asuransi dengan membeli polis asuransi.
- Hindari risiko dengan menghentikan kegiatan yang terlalu berisiko, atau dengan melakukan hal itu dengan cara yang sama sekali berbeda.
- Menerima risiko, jika misalnya biaya untuk mengurangi risiko lebih tinggi dibandingkan kerusakan yang ditimbulkan.
- Buat Laporan Penilaian Risiko
Tidak seperti langkah-langkah sebelumnya, langkah ini cukup membosankan – perusahaan perlu untuk mendokumentasikan segala sesuatu yang telah dilakukan sejauh ini.Tidak hanya untuk auditor, tetapi perusahaan mungkin ingin memeriksa sendiri hasil ini dalam satu atau dua tahun ke depan.Dokumen ini juga sangat penting karena auditor sertifikasi akan menggunakannya sebagai pedoman utama untuk audit. - Buat Dokumen Pernyataan Pemberlakuan
Dokumen ini benar-benar menunjukkan profil keamanan perusahaan – berdasarkan hasil perlakuan resiko, perusahaan perlu membuat daftar apa saja kontrol yang telah diterapkan, mengapa perusahaan menerapkannya dan bagaimana penerapannya. - Rencana Perawatan Risiko
Ini adalah langkah di mana perusahaan berpindah dari teori ke praktek.Karena semua langkah dari 1-5 adalah murni teoritis, tapi sekarang saatnya untuk menunjukkan beberapa hasil yang nyata.Ini adalah tujuan dari Rencana Perawatan Risiko – untuk mendefinisikan dengan tepat siapa yang akan melaksanakan setiap kontrol, di mana jangka waktu, dengan yang anggaran, dll.
Setelah Perusahaan menulis dokumen ini, sangat penting untuk mendapatkan persetujuan manajemen karena akan memakan waktu yang cukup dan usaha (dan uang) untuk melaksanakan semua kontrol yang telah direncanakan di sini. Dan tanpa adanya komitmen, perusahaan tidak akan bisa menjalankannya.
Demikian penjelasan dari kami. Untuk info pelatihan terkait ISO 27001 dan sejenis bisa anda dapatkan di laman berikut.
Leave a Reply