September 1, 2023

Implementasi Information Security Risk Treatment ISO 27001

implementasi manajemen risiko

Analisa risiko keamanan informasi tidak terlepas dari penilaian risiko (risk assessment) dan penanganan risiko (risk treatment). Risiko yang dimaksud ISO 27001 adalah risiko negatif dan risiko positif (peluang). Pemanfaatan dan pemahaman terhadap kedua jenis risiko ini dapat memaksimalkan potensi perusahaan dalam pencapaian tujuan organisasi.

Dalam implementasi ISO 27001, penilaian risiko merupakan bagian penting yang tidak boleh dilewatkan organisasi. Proses ini dinilai sulit dan cukup kompleks karena organisasi dituntut untuk dapat menilai dan memprediksi berbagai risiko yang mungkin terjadi. Sehingga setelah organisasi berhasil mengidentifikasi risiko tersebut, organisasi perlu menentukan berbagai perencanaan strategis beserta altenatifnya sebagai bentuk penanggulangan risiko (risk treatment). Proses ini tentu saja akan memakan biaya yang mahal.

Tujuan Penanganan Risiko (Risk Treatment)

Tujuan utama risk treatment adalah untuk melakukan kontrol terhadap risiko yang teridentifikasi pada proses risk assessment. Hal ini berarti bahwa organisasi dapat menurunkan tingkat risiko dengan mengurangi kemungkinan insiden (misalnya dengan menggunakan bahan yang tidak mudah terbakar) dan/atau dengan mengurangi dampak risiko terhadap aset Perusahaan (misalnya dengan menggunakan automatic fire-suppression systems).

Proses Penanganan Risiko (Risk Treatment)

Pada saat melaksanakan proses risk treatment organisasi harus berfokus pada berbagai risiko yang teridentifikasi. Berikut proses penanganan risiko (risk treatment) berdasarkan ISO 27001.

    1. Memilih alternatif penanganan risiko keamanan informasi yang sesuai dengan mempertimbangkan hasil penilaian risiko;
    2. Menentukan kontrol yang diperlukan untuk menerapkan penanganan risiko keamanan informasi sesuai kebutuhan organisasi;
    3. Membandingkan pengendalian yang ditentukan dalam poin b dengan pengendalian dalam Annex A dan memverifikasi bahwa tidak ada pengendalian yang diperlukan telah dihilangkan;
    4. Membuat Statement of Applicability yang memuat:
      • Kontrol yang diperlukan pada poin b dan c;
      • Justifikasi penyertaan sebuah kotrol keamanan informasi.
      • Apakah kontrol tertentu perlu diterapkan atau tidak.
      • Justifikasi untuk mengecualikan kontrol Annex A.
    5. Merumuskan rencana penanganan risiko keamanan informasi;
    6. Mendapatkan persetujuan pemilik risiko atas rencana perlakuan risiko keamanan informasi dan penerimaan risiko keamanan informasi.

Organisasi harus menyimpan informasi terdokumentasi tentang proses perlakuan risiko keamanan informasi. Dengan mengimplementasikan Sistem Manajemen Keamanan Informasi berbasis ISO 27001 menunjukkan bahwa perusahaan telah memiliki dan menetapkan standard keamanan yang jelas dalam mengelola risiko informasinya, khususnya dalam penanganan risiko.

Baca juga: Implementasi Information Security Risk Assessment ISO 27001

Hubungi kami

Konsultasikan kebutuhan Anda sekarang!

Share this post:
Facebook
Twitter
LinkedIn
WhatsApp

Discover more articles