Keamanan informasi adalah sebuah proses yang dilalui Perusahaan sebagai upaya untuk menjaga informasi dari segala ancaman yang mengakibatkan kerugian baik finansial maupun non finansial. Dalam hal ini dilakukan langkah untuk memastikan dan/atau menjamin kelangsungan bisnis, meminimalisir risiko bisnis serta memaksimalkan peluang bisnis.
ISO 27001 adalah standar internasional sebagai pedoman untuk menerapkan Sistem Manajemen Keamanan Informasi yang telah mencakup kerangka kerja pengelolaan sistem keamanan informasi. Penyusunan dan pengimplementasian manajemen risiko pada ISO 27001 memiliki pendekatan yang berbeda dengan standar ISO lainnya, seperti ISO 9001, 14001, 22000, dll.
Jika standar ISO lainnya menggunakan pendekatan berbasis proses (process approach/ process-based risk management), pada ISO 27001 pendekatan yang digunakan ditujukan untuk mengelola risiko yaitu dengan pendekatan berbasis aset (asset approach/ asset-based risk management). Aset yang dimaksud adalah segala aspek yang memiliki nilai bagi perusahaan, baik berupa barang, perangkat keras (hardware), perangkat lunak (software), informasi, sumber daya manusia, reputasi, dll.
Penilaian Risiko Keamanan Informasi (Information Security Risk Assessment)
Tujuan utama analisa risiko adalah untuk mengukur dampak dari potensi ancaman dan menentukan berapa besar kerugian yang dialami akibat hilangnya potensi bisnis. Sedangkan manfaatnya adalah menciptakan rasio cost-to-value yang jelas untuk perlindungan keamanan. Hal ini juga mempengaruhi proses pengambilan keputusan yang berhubungan dengan konfigurasi hardware dan desain sistem software.
Meningkatnya serangan siber menghadirkan berbagai ancaman yang dapat menyebabkan downtime, pelanggaran data, pelanggaran kepatuhan, hilangnya reputasi dan kepercayaan pelanggan, kerugian finansial, dan masih banyak hal yang dapat dilakukan untuk mengeksploitasi kerentanan organisasi. Sehingga organisasi dituntut untuk menggunakan manajemen dengan pendekatan terstruktur dan sistematis untuk mengelola dan menangani risiko keamanan informasinya.
Dengan penilaian risiko perusahaan bisa mendapatkan informasi melalui pelaksanaan analisis berdasarkan bukti. Informasi ini dapat menjadi acuan pegambilan keputusan perusahaan untuk mengontrol risiko tertentu dengan memilih metode kontrol dari beberapa alternatif pilihan yang tersedia. Proses penilaian risiko dapat membantu organisasi mencapai tujuan bisnisnya melalui pengambilan keputusan yang tepat terhadap risiko yang teridentifikasi. Yang dimana dapat berguna untuk menghilangkan ketidakpastian dan mendorong organisasi mengelola bisnisnya dengan tingkat kepercayaan diri tertentu.
Proses Analisa Risiko Keamanan Informasi ISO 27001
Analisa risiko keamanan informasi tidak terlepas dari penilaian risiko (risk assessment) dan penanggulangan risiko (risk treatment). Dalam pengelolaan risiko sendiri terdapat 3 komponen yang harus dijadikan pertimbangan, yaitu ancaman (threats), kerentanan (vulnerabilities), dan dampak (impacts).
Risiko yang dimaksud ISO 27001 adalah risiko negatif dan risiko positif (peluang). Pemanfaatan dan pemahaman terhadap kedua jenis risiko ini dapat memaksimalkan potensi perusahaan dalam pencapaian tujuan organisasi.
Proses analisa risiko keamanan informasi ISO 27001 dimuat pada klausul 6.1.2.
- Melaksanakan penyusunan dan monitoring yang mencakup kriteria risiko dan kriteria penilaian risiko.
- Memastikan bahwa prosedur penilaian risiko keamanan informasi dilaksanakan secara konsisten, valid, dan hasilnya dapat dibandingkan.
- Mengidentifikasi risiko keamanan informasi terkait dengan proses penilaian risiko yang berkaitan dengan hilangnya Confidentiality (Kerahasiaan), Integrity (Integriitas), dan Availability (Ketersediaan) dalam lingkup SMKI.
- Lakukan analisis dan penilaian terhadap dampak potensial dan kemungkinan risiko yang dapat terjadi, kemudian tentukan level dari risiko tersebut.
- Melaksanakan evaluasi dengan membandingkan hasil penilaian risiko dengan kriteria penilaian risiko yang sudah ditentukan sebelumnya.
Dalam mengimplementasikan standar ini organisasi harus melakukan pendokumentasian terhadap keseluruhan proses penilaian risiko keamanan informasi secara konsisten. Dengan mengimplementasikan Sistem Manajemen Keamanan Informasi berbasis ISO 27001 menunjukkan bahwa perusahaan telah memiliki dan menetapkan standard keamanan yang jelas dalam mengelola risiko informasinya.
Baca juga: Persyaratan Penting untuk Implementasi ISO 27001 di Perusahaan
