b.

Identifikasi Risiko berdasarkan ISO/IEC 27001

Panduan manajemen risiko ISO/IEC 31000:2009 menjelaskan masukan dan teknik dari
identifikasi risiko, tetapi belum dapat menjelaskan proses identifikasi risiko. Oleh karena itu,
dibutuhkan standar lain yang dapat menjelaskan proses identifikasi risiko va komprehensif, yaitu
ISO/IE 27001.

Berikut ini adalah proses identifikasi risiko berdasarkan ISO/IEC

1) identifikasi aset-aset teknologi informasi yang dimiliki oleh organisasi;

2) identifikasi ancaman pada setiap aset teknologi informasi tersebut; 27001:

3) identifikasi kerentanan yang diakibatkan oleh ancaman;

4) identifikasi dampak kerugian dalam aspek confiulentiality, integrity, and availability.

Keterkaitannya dengan ISO/IEC 31000:2009 seperti tampak pada gambar di bawah ISO
Berikut ini tahapan identifikasi risiko yang pernah dilakukan (studi kasus IS NET).

 Studi Literatur
Studi literatur dilakukan untuk menjawab permasalahan yang pertama, yaitu berkaitan
dengan bagaimana melakukan identifikasi risiko secara komprehensif berdasarkan ISO
31000-2009. Keluaran dari studi literatur ini adalah penjelasan aktivitas-aktivitas yang
dilakukan untuk identifikasi risiko berdasarkan ISO 31000:2009, masukan yang
dibutuhkan, dan teknik-teknik yang direkomendasikan untuk melakukan identifikasi.
 Identifikasi Aset IS NET
Setelah studi literatur, berikutnya adalah mengidentifikasi aset- aset teknologi informasi
yang dimiliki oleh IS NET berdasarkan komponen sistem informasi, yaitu data, perangkat
lunak, perangkat keras, sumber daya manusia, dan prosedur. Keluaran dari tahap ini
adalah daftar aset teknologi informasi yang dimiliki IS NET.
 Identifikasi Ancaman IS NET
Tiap-tiap aset yang telah teridentifikasi sebelumnya diidentifikasi ancamannya pada
tahap ini. Keluarannya berupa ancaman-ancaman dari internal dan eksternal organisasi IS
NET.
 Identifikasi Kerentanan IS NET
Ancaman memiliki dampak terhadap kerentanan. Identifikasi kerentanan pada setiap
ancaman tersebut akan diidentifikasi pada tahap ini sehingga keluarannya adalah daftar
kerentanan aset IS NET.
 Identifikasi Dampak Kerentanan IS NET
Kerentanan yang ada memiliki dampak terhadap layanan yang diberikan oleh IS NET
kepada civitas Jurusan Sistem Informasi. Dampak-dampak tersebut akan diidentifikasi
pada tahap metode ini, sehingga keluarannya adalah daftar dampak kerentanan terhadap
layanan IS NET.
PENGUKURAN RISIKO DAN DISTRIBUSI PROBALITAS
1. Analisis Daftar Risiko
Suatu proses analisis identifikasi risiko akan menghasilkan daftar risiko yang memuat
informasi mengenai risiko-risiko yang telah diidentifikasikan, akar penyebab
terjadinya risiko, dan kategori risiko. risiko. Identifikasi risiko perlu dilakukan secara
terus-menerus karena risiko-risiko baru bisa saja muncul ke permukaan ketika suatu
proyek sedang berlangsung/dikerjakan.
2. Pengukuran Risiko
Manfaat pengukuran risiko, yaitu:
a. untuk menentukan kepentingan relatif dari suatu risiko yang dihadapi;
b. untuk mendapat informasi yang sangat diperlukan oleh manajer risiko dalam
menentukan cara dan kombinasi cara yang paling dapat diterima atau paling baik
dalam penggunaan sarana penanggulangan risiko.
Dimensi yang harus diukur:
a. frekuensi atau jumlah kerugian yang akan terjadi;
b. tingkat kegawatan atau keparahan dari kerugian-kerugian tersebut.
Dari hasil pengukuran yang mencakup dua dimensi tersebut paling tidak dapat
diketahui:
a. nilai rata-rata dari kerugian selama suatu periode anggaran;
b. variasi nilai kerugian dari satu periode anggaran ke periode anggaran yang lain,
naik-turunnya nilai kerugian dari waktu ke waktu;
c. dampak keseluruhan dari kerugian-kerugian tersebut, terutama kerugian yang
ditanggung sendiri (diretensi) sehingga tidak hanya nilai rupiahnya.

Beberapa hal yang perlu diperhatikan berkaitan dengan dimensi pengukuran tersebut,
antara lain:

a. orang pada umumnya memandang bahwa dimensi kegawatan dari suatu kerugian
potensial lebih penting daripada frekuensinya;
b. dalam menentukan kegawatan dari suatu kerugian potensial seorang manajer
risiko harus secara cermat memperhitungkan semua tipe kerugian yang dapat
terjadi, terutama dalam kaitannya dengan pengaruhnya terhadap situasi finansial
perusahaan;
c. dalam pengukuran kerugian manajer risiko juga harus memerhatikan orang, harta
kekayaan atau exposures yang lain, yang tidak terkena peril;
d. kadang-kadang akibat akhir dari peril terhadap kondisi finansial perusahaan lebih
parah daripada yang diperhitungkan, antara lain akibat tidak diketahuinya atau
tidak diperhitungkannya kerugian- kerugian tidak langsung:
e. dalam mengestimasi kegawatan dari suatu kerugian penting pula diperhatikan
jangka waktu dari suatu kerugian, di samping nilai rupiahnya. 3.
3. Distribusi Probabilitas Probabilitas merupakan kesempatan atau kemungkinan
terjadinya suatu kejadian atau kemungkinan jangka panjang terjadinya sesuatu. Sifat
probabilitas; probabilitas adalah aproksimasi. Jarang sekali terjadi atau tidak mungkin
dapat diketahui besarnya probabilitas secara mutlak (pasti sama dengan kenyataan).

Distribusi probabilitas menunjukkan probabilitas kejadian bagi tiap-tiap outcome

yang mungkin. Karena outconie merupakan mutually exclusive, semua probabilitas
jika dijumlahkan, jumlahnya sama dengan satu. Tiga macam distribusi probabilitas:
a. total kerugian per tahun;
b. banyaknya kejadian per tahun;
c. kerugian per kejadian.
kerugian biasanya meliputi:
a. harta termasuk laba bersih;
b. tanggung-gugat;
c. personel.