September 4, 2023

Proses Manajemen Risiko berbasis ISO 27005

4 proses manajemen risiko

Manajemen risiko keamanan informasi merupakan proses pengelolaan risiko terkait penggunaan teknologi informasi. Proses ini dibutuhkan perusahaan untuk mengidentifikasi dan mengevaluasi risiko terhadap kerahasiaan, integritas, dan ketersediaan aset informasi yang dimilikinya agar dapat meminimalkan potensi terjadinya dampak risiko terhadap bisnis.

Kerangka kerja yang digunakan untuk mengelola risiko keamanan informasi secara khusus yaitu dengan menggunakan ISO 27005:2022. Standar ini digunakan untuk mendukung organisasi memenuhi persyaratan ISO/IEC 27001 dalam mempersiapkan diri menghadapi tindakan mengancam yang mengarah pada risiko keamanan informasi malalui penilaian risiko dan penanganan risiko keamanan informasi. Terdapat 3 komponen dalam pengelolaan risiko yaitu Asset, Vulnerabilities, dan Threats.

4 Tahapan Manajemen Risiko

ISO/IEC 27005 Information Security Risk Management terdiri dari 4 tahap, yaitu penetapan konteks (establishing context), penilaian risiko (risk assessment), penanganan risiko (risk treatment), penerimaan risiko (risk acceptance).

4 proses manajemen risiko

4 proses manajemen risiko

Berikut adalah penjelasan terkait langkah manajemen risiko berbasis ISO 27005.

1. Penetapan Konteks

Penetapan konteks penting dilakukan untuk menentukan tujuan manajemen risiko keamanan informasi. Dimana akan mempengaruhi keseluruhan proses dan pembentukan konteks tertentu. Tujuan manajemen risiko keamanan informasi dapat berupa:

        • Untuk mendukung implementasi SMKI
        • Sebagai bentuk kepatuhan hukum dan bukti due diligence (uji tuntas)
        • Penyusunan rencana kelangsungan bisnis
        • Persiapan rencana respon terhadap insiden
        • Mendeskripsikan persyaratan keamanan informasi untuk suatu produk, layanan dan/atau mekanismenya.

Konteks manajemen risiko keamanan informasi yang harus ditetapkan ini melibatkan penetapan kriteria dasar yang diperlukan untuk manajemen risiko keamanan informasi (7.2), mendefinisikan ruang lingkup dan batasan-batasannya (7.3), dan membentuk sebuah organisasi yang layak menjalankan manajemen risiko keamanan informasi (7.4).

2. Penilaian Risiko

Penilaian risiko mengukur atau menggambarkan secara kualitatif suatu risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan yang mereka rasakan atau kriteria lain yang telah ditetapkan. Proses ini mencakup:

        • Identifikasi Risiko
          Proses ini mencakup pengenalan terhadap identifikasi risiko, identifikasi aset-aset, identifikasi ancaman, identifikasi kontrol yang ada, identifikasi kerentanan, dan identifikasi konsekuensi.
        • Estimasi Risiko
          Dilaksanakan dengan memperhatikan metodologoi estimasi risiko, penilaian konsekuensi, penilaian kemungkinan insiden, dan tingkat estimasi risiko.
        • Evaluasi Risiko
          Tingkat risiko harus dibandingkan dengan kriteria evaluasi risiko dan kriteria penerimaan risiko yang berkaitan dengan ISO/IEC 27001. Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan konteks manajemen risiko keamanan informasi eksternal dan internal yang didefinisikan serta mempertimbangkan tujuan organisasi dan pandangan pemangku kepentingan, dll. Keputusan dalam evaluasi risiko diambil berdasarkan level risiko yang dapat diterima, konsekuensi, kemungkinan, dan tingkat kepercayaan dalam identifikasi dan analisis risiko.

3. Penanganan Risiko

Dalam proses penanganan risiko, diperlukan adanya daftar risiko yang diprioritaskan menurut risiko kriteria evaluasi berkaitan dengan skenario insiden yang mengarah ke risiko tersebut. Dimana berfungsi sebagai kontrol untuk mengurangi, mempertahankan, menghindari, atau mentransfer risiko yang dipilih dari rencana penanganan ditetapkan.

Opsi penanganan risiko harus dipertimbangkan dengan memperhitungkan:

        • Bagaimana risiko dirasakan oleh pihak-pihak terkait;
        • Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak tersebut.

Setelah rencana penanganan telah didefinisikan, selanjutnya perlu menentukan risiko residual. Dimana melibatkan pembaruan penilaian risiko, dengan mempertimbangkan dampak yang diharapkan dari penanganan risiko yang diusulkan.

4. Penerimaan Risiko

Rencana penanganan risiko harus menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko. Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui rencana penanganan risiko yang diusulkan dan mengakibatkan risiko residual. Dalam hal ini perlu mencatat setiap kondisi yang berhubungan dengan persetujuan tersebut.

Risk Management dapat menganalisis apa yang akan terjadi disertai konsekuensinya, sebelum memutuskan apa yang harus di lakukan dan kapan untuk mengurangi resiko ke level yang dapat di terima (Acceptable).

Baca juga: Persyaratan Penting untuk Implementasi ISO 27001 di Perusahaan

Hubungi kami

Konsultasikan kebutuhan Anda sekarang!

Share this post:
Facebook
Twitter
LinkedIn
WhatsApp

Discover more articles