Management Cyber - IND
Management Cyber - IND
INTERNASIONAL 27005
Referensi nomor
© 1S0/IEC 2018
ISO/IEC 27005:2018(E)
Halaman Isi
Kata pengantar . . . . . . . .
----- - ······························v
... _
Pendahuluan . . . . .. _ _ ........................................vi
1 Lingkup . . . ................ 1
2 normatif referensi ----------- ·······················1
3 Ketentuan dan d ef in itio ns 1
4 Struktur ini d dokumen ...................................................................... ...................................._ ........................-- - 1
5 Latar belakang ................................................................................................................................... 2
6 Ringkasan dari itu informasi keamanan mempertaruhkan pengelolaan proses ....................3
7 Konteks pendirian 5
7.1 Umum pertimbangan .............................................................................................................. 5
7.2 Dasar c c r it ri ia 6
7 . 2.1 Pendekatan Manajemen Risiko . . . . . . . . . . . . . .. ····················----- - 6
7.2.2 Risiko evaluasi kriteria ··--- - ----·····. · 6
7.2.3 Dampak kriteria ---
········································ 6
7.2.4 Risiko penerimaan kriteria ... ......................................................................_ 7
7.3 Cakupan dan batas ... _ --- ·············7
7.4 Organisasi untuk informasi keamanan mempertaruhkan manajemen .................................. 8
8 Informasi keamanan mempertaruhkan penilaian . ----· -----------------------8
8.1 Umum keterangan dari informasi keamanan mempertaruhkan penilaian ... .......................8
8.2 Risiko identifikasi . . . . . . . . . .. ··············· --- 9
8.2.1 Pengantar risiko _ identifikasi .... ------ ················9
8.2.2 Identifikasi dari aktiva..... ----· --- ............. 9
8.2.3 I de ntifi cationofth r e ats .. .................................................................................. 10
8.2.4 Identifikasi dari kontrol yang ada ... ---·--- ·············10
Kata pengantar
I SO ( t he I n ernat i o n al Orga n iza t ion for Stan d ar d iza t io n ) dan ! EC ( t h e I nterna t iona l
E l ectro t ec h n i ca l Commission) membentuk sistem khusus untuk standardisasi di seluruh dunia.
Badan-badan nasional yang menjadi anggota ISO atau ! EC bagian i ikut serta dalam pengembangan
Standar Internasional melalui t ech n i ca l com m i ttees yang dibuat oleh r espect iv e organisasi t o d
e a l w it h h t i k a l d a l d i aktivitas t ek nik . ISO dan !EC tech n ica l kolaborasi komite makan i n
bidang o f bersama _ saya tertarik. Organisasi internasional lainnya , _ pemerintah dan non-
pemerintah , berhubungan dengan I SO _ dan !EC, aku jadi ambil bagian saya sedang bekerja . saya
tidak dia _ f i e ld dari i nfo r ma t ion teknologi nologi , ISO dan ! EC memiliki senang sekali _ a j oi
nt t teknis panitia, I SO/IECJTC 1.
Proses yang digunakan untuk mengembangkan adalah dokumen dan selang tidak berakhir untuk
bagiannya yang paling penting dideskripsikan _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ di t h e I SO/ IEC
Direct iv es , Bagian 1. saya tidak part u lar t ed iff e r ent _ kriteria persetujuan _ diperlukan untuk
berbagai jenis dari dokumen harus dicatat . _ _ _ Dokumen ini disusun dalam _ sesuai dengan editor i
a l ru l es _ dari itu Arahan 1S0/IEC, Bagian 2 (lihat www isoorg/dj r ect i ves ).
Ion t nt _ _ ditarik _ ke t h e kemungkinan t ha t jadi salah satu elemen dari dokumen ini nt _ _ m ay
menjadi itu subjek hak paten . _ 1 S0 dan saya EC tidak akan dia l d bertanggung jawab untuk
mengidentifikasi salah satu atau semua hal tersebut paten r ig ht s. rincian dari setiap paten r ig ht s id
disahkan selama r i ng t dia pengembangan dokumen t h e u me nt akan di t h e Int roduct i o n a nd /
atau pada saya SO _ li st o f deklarasi paten yang telah diresensi ( lihat www isoprg / patents ).
Nama dagang apa saja menggunakan saya dalam ini doc u men ti s in formasi g saya sudah n untuk
kenyamanan _ _ dari u se r s dan lakukan bukan merupakan sebuah n pengesahan.
Untuk sebuah exp l anation pada dia _ sukarela r y sifat standar , arti persyaratan khusus ISO dan d exp r
essi kembali aku makan _ untuk _ co n for m it y _ penilaian, sebagai kami akan _ i n format i o n
tentang _ saya begitu patuhi _ _ untuk _ t h e Perdagangan Dunia Prinsip - prinsip organisasi ( WTO )
dalam Technica l Hambatan untuk Tra d e (TBT) lihat URL berikut : www iso org/iso(kata pengantar
html .
Ini dokumen _ _ _ dulu p r persiapan d oleh Tec h nica l Co m m it tee ISO/ I EC )TC 1, Informasi
teknologi,
Subkomite SC 27 , DIA Teknik keamanan .
Umpan balik atau pertanyaan apa pun atas dokumen ini harus ditujukan kepada pengguna _ _ _ _ _ _ _ _ _
_ na t iona l sta nd a rd s tubuh. Lengkap _ daftar saya ng dari t h ese bod i es can menjadi fou n d di
www iso org/members html .
T h is t h i rd ed it io n canc l s and replaces t i d i n u d i d i d i d ( I SO/IEC 27005:2011 ) yang telah
secara teknis rev saya sed . utama _ _ perubahan dari m t h e sebelumnya _ _ editio n a r e sebagai
berikut :
pengantar
Dokumen ini memberikan pedoman untuk manajemen risiko keamanan informasi dalam suatu
organisasi. Namun, dokumen ini tidak menyediakan setiap metode khusus untuk manajemen risiko
keamanan informasi. Terserah _ _ organisasi _ untuk menentukan pendekatan mereka ke
mempertaruhkan manajemen, tergantung misalnya pada ruang lingkup suatu s i s t e m manajemen
keamanan informasi (SMKI), konteks manajemen risiko , atau industri sektor. Sebuah angka dari
metodologi yang ada dapat digunakan di bawah kerangka kerja yang dijelaskan dalam ini dokumen
untuk mengimplementasikan persyaratan dari sebuah SMKI. Ini dokumen didasarkan pada aset,
metode identifikasi risiko ancaman dan kerentanan yang tidak lagi diperlukan oleh ISO/IEC 27001.
Ada beberapa lainnya pendekatan yang dapat digunakan.
Ini dokumen melakukan bukan berisi bimbingan langsung pada pelaksanaan dari itu SMKI
persyaratan diberikan dalam ISO/IEC 27001.
Ini dokumen adalah relevan ke manajer dan staf khawatir dengan manajemen risiko keamanan
informasi dalam suatu organisasi dan, jika sesuai, pihak eksternal yang mendukung kegiatan tersebut.
1 Cakupan
T h adalah dokumen nt menyediakan pedoman untuk informasi _ _ keamanan _ _ mempertaruhkan
manajemen . _
Ini dokumen apakah kamu suka genus l konsep ditentukan dalam ISO/ IEC 27001 dan dirancang
untuk membantu sat i sfactory i mpleme n ta t ion of i nfor m at i on keamanan berdasarkan
pendekatan m a n a r isk m a n usia . _ _ _
Tahu l tepi dari itu konsep, mode l s, proses dan terminologi dijelaskan di 1S0/IEC 27001 dan ISO/
! EC 27002 saya s saya penting untuk r sebuah lengkap di bawah t andi n g dari ini dok . _ _
Ini adalah dokumen aplikasi li cab l e untuk semua jenis organisasi ( misalnya . perusahaan komersial ,
instansi pemerintah , organisasi nirlaba ) yang saya tuju _ mengelola r isk yang bisa kompromi saya _
_ informasi organisasi _ _ _ _ _ keamanan .
2 normatif referensi
Dokumen - dokumen berikut dirujuk dalam teks sedemikian rupa sehingga sebagian atau seluruh
isinya merupakan persyaratan dari dokumen ini . Untuk referensi bertanggal , hanya edisi yang dikutip
yang berlaku . _ Untuk r efe rensi yang tidak t ed ed , t h e t ed it ion dari dokumen yang dirujuk dan
diserahkan nt _ ( saya termasuk a n y amin d ment) aplikasi _ _
1 S0/IEC 27000, Teknologi Informasi - Teknik keamanan - Manajemen keamanan informasi sistem -
Ikhtisar dan kosa kata
5 Backg r ou n d
SEBUAH ic yang sistematis mendekati _ _ saya nfo rm di io n keamanan ri sk _ _ manajemen adalah
n ecessa r y ke mengidentifikasi kebutuhan organisasi kebutuhan reorganisasi persyaratan keamanan
informasi dan untuk menciptakan sistem manajemen keamanan formasi yang efektif _ _ (SMKI).
Pendekatan ini harus dilakukan cocok untuk lingkungan organisasi dan , khususnya , harus
diselaraskan dengan overa ll ente r pr i se r isk m a nagement . Upaya keamanan harus menambahkan
r ess r i sks di an e ff ec t ive a nd t i mely manne r apa kabar _ dan ketika mereka dibutuhkan . _ saya
info rm asi manajemen risiko keamanan harus menjadi bagian integral dari semua aktivitas
manajemen keamanan informasi dan harus _ _ _ _ _ _ aplikasi li ed baik untuk i implementation _ dan
itu ayo saya ng operasi n dari sebuah SMKI.
keamanan formasi _ _ _ manajemen risiko nt s h ou ld menjadi co nt i nu al proses . Itu proses
membangun konteks eksternal dan internal , menilai risiko dan menangani risiko menggunakan _
rencana penanganan risiko untuk saya implementasikan t h e rekomendasi dan keputusan. R saya sk
kelola saya _ _ analisis apa yang harus tidak ada senang _ _ a dan w h di _ p mungkin konsekuensi
bisa menjadi, sebelum putuskan di g apa _ _ haruskah kamu _ _ selesai sebuah nd Kapan, untuk
mengurangi r i sk _ _ ke tingkat l yang dapat diterima .
I n forma t io n amankan y _ r saya sk m anage m ent apakah Anda akan
berkontribusi ? untuk itu _ berikut: r isks menjadi ide nt ified;
risiko sedang dinilai di syarat dari milik mereka konsekuensi ke t h e bisnis n ess dan itu seperti li
hood dari kejadiannya ; _ _ _ _
l ikeli h ood _ sebuah n d urutan co n dari risiko ini _ menjadi commu n icated dan
dipahami; pri io r it yo r der for ri s kt reat m e nt in g es t ablished ;
prioritas untuk tindakan ke r mengurangi risiko terjadi ; _ _ _
i nfo r ma t ion jadilah aku _ ca p t u red ke saya meningkatkan dia _ ri sk manajemen nt mendekati;
manajer dan staf makhluk berpendidikan tentang itu ris k s dan itu tindakan diambil ke apakah saya
tiga mereka .
6 Sangat menyenangkan _ dari ini _ dalam formasi _ detik itu juga _ r saya s k m
an ageme n t proses p
SEBUAH h igh aku tingkat pemandangan dari itu r adalah k pengelolaan proses adalah tentukan d saya tidak ISO
3100 0 dan bagaimana tidak _ _ saya tidak Angka J. _
_l_
- CONTEXT ESTABLISHMENT
z
rRISK ASSESSMENT----------7
0
RISK IDENTIFICATION :w
s ' '
s:
=>
V l >
z
0 RISKANALYSIS w
u '
c::
0 Cl
<z z
z <
0 < .:;
z
ii:
kamu <
' ' 0
z L !::
RISK E VALUATION J
T
=> z
::;: 0
::;;: ::;;:
0
u
RISK TREATMENT
T
Fi gu r e 1 - T dia r saya sk m a n agement p roc e ss
angka 2 menunjukkan bagaimana t h saya s ocu m ent _ sebuah pp kebohongan ini aku _ r adalah k
pengelolaan proses .
T h e informasi keamanan mempertaruhkan pengelolaan proses bertahan _ _ o f konteks pembentukan (
C l ause 7 ) . r saya sk
menilai saya _ ( Klausul 8 ), r i sk t r makan ( C l ause 9 ), r adalah k terima ( C l ause _ _ JO ) , r i sk com
mu n i cation a n d co n s u lta tion ( Saya SAYA). sebuah d r is k mo n it to ri ng a nd review ( Jeda ) 2 ) .
-- II
l
CONTEXT ESTABLISHMENT --
r----------f7
RISK ASSESSMENT
RISK IDENTIFICATION
z
0
i=
V"l
;:;;
RISK TREATMENT
RISK DECISIONPOINT Z
Treatment sat1sfaf':tory No
-- Yes
--
RISK ACCEPTANCE
Seperti gambar 2 diilustrasikan , proses manajemen risiko keamanan informasi dapat menjadi iteratif
untuk penilaian risiko dan / atau tindakan penanganan risiko . _ _ Sebuah pendekatan yang eratif
untuk melakukan asesmen r i sk dapat meningkatkan kedalaman dan detail asesmen pada setiap i i n i .
_ _ _ _ _ Pendekatan iteratif memberikan keseimbangan yang baik antara meminimalkan waktu dan
usaha dihabiskan i n ident i fyi n g kontrol l s, sementara aku masih pastikan saya ng h pada risiko
tinggi dinilai dengan tepat.
Konteksnya ditetapkan terlebih dahulu . _ Saat itu , penilaian ar i sk dilakukan. Jika p r ov id ini
memberikan informasi yang cukup untuk secara efektif menentukan tindakan yang diperlukan untuk
mengubah risiko ke tingkat yang dapat diterima , maka tugas tersebut diselesaikan dan risiko berikut t
r makan . Jika informasi yang saya berikan sudah cukup . _ lain itu era tion penilaian risiko dengan r
evised cont ext ( misalnya kriteria evaluasi r i sk i a , r is k kriteria penerimaan r ia _ _ _ _ _ _ _ _ _ _
atau saya mempengaruhi kriteria) adalah dilakukan, mungkin terbatas bagian dari t h e t ota l cakupan
(lihat gambar 2 , Poin Keputusan Risiko 1).
Itu n ess yang efektif dari t dia r isk t reat m ent tergantung pada hasil r iskassessme
nt . _ _ Catatan t h at r is k treatment i n vo l ves a proses siklus _ dari:
- menilai sebuah mempertaruhkan perlakuan;
memutuskan apa dia _ res idu al r adalah k l tingkat adalah dapat diterima;
menghasilkan yang baru r saya sk perawatan saya _
mempertaruhkan level adalah bukan dapat diterima; dan menilai
pengaruhnya terhadap _ _ _ _ _ _ _ _ _ _ t mengobati . _
saya itu mungkin topi _ dia _ r is kt reat m en nt do tidak t i mm e di makan ly mengarah ke tingkat
yang dapat diterima l dari r es idu al r adalah k. Dalam situasi ini , yang lain adalah salah satu dari
mereka yang menilai dengan penilai konteks yang berubah ( mis . _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _ _ saya sk menerima atau saya pakta cr i teria ) , jika perlu , dapat r equ i merah , diikuti oleh
perawatan lebih lanjut ( lihat gambar ) 2 Mempertaruhkan Keputusan Poin 2).
T h e r i s k menerima aktivitas _ _ _ sebagai _ ke memastikan residua l r i sks are exp l ic itu
diterima oleh t h e para manajer organ i zat i on . Hal ini terutama penting karena dalam situasi di
mana pelaksanaan kontrol dihilangkan atau ditunda , e . _ _ _ g . jatuh tempo untuk biaya t.
Selama seluruh risiko keamanan informasi proses manajemen , adalah penting bahwa risiko dan
perlakuannya dikomunikasikan kepada manajer dan staf operasional yang sesuai . Bahkan sebelum
perawatan _ _ dari risiko , _ i n untuk mati o n tentang ident i fied r i sks can menjadi sangat berharga
untuk _ _ _ m a n age i n c id e nt s and can he l p untuk mengurangi potensi nt ia l kerusakan.
Kesadaran oleh m a n usia r s dan staf f r adalah k s , t dia adalah f _ t dia mengontrol di tempat untuk
m saya tiga r i sks dan bidang yang menjadi perhatian organisasi ass i st i n berurusan dengan g
dengan entitas insiden sebuah d kamu n berharap _ _ malam nt s aku bukan dia paling efektif m an n
er . _ T dia terperinci hasil nya _ dari setiap bertindak ivit y of t dia informasi se u r it y risiko m a n
usia m ent proses dan dari dua risiko d ecis i o n poin harus didokumentasikan . _ _
1 S0/IEC 27001 menentukan t h at t h e kontrol i mpl e m ente d wit h i nt he cakupan, batasan
sebuah d konteks dari SMKI harus berbasis risiko . _ Itu aplikasi dari sebuah informasi
mengamankannya thn i sk ma n proses manajemen bisa memenuhi persyaratan ini. Di sana banyak
aplikasi yang di kendalikan _ _ _ _ _ bisa jadi bertekad untuk menerapkannya _ _ _ _ _ tr makan
m ent pilihan dipilih .
Itu organ saya aktif _ _ sho kamu ld mendirikan h , elemen imp l dan pertahankan _ _ sebuah
prosedur ke mengenali itu l ega lr equ ir eme nt s berlaku untuk:
pilih saya dari kriteria untuk mempertaruhkan eva lu di i on ( 1.2.2 ), dampak risiko ( 2.2.3. ) dan
mempertaruhkan penerimaan ( 1.2...1: ); t dia d e finit ion dari itu ruang lingkup dan batas r ies dari
saya menginformasikan keamanan ion _ _ _ _ r isk pengelolaan ( 2.1 dan A.2 ); r adalah k evaluasi t
io n ( M );
mempertaruhkan perlakuan dari ( il ) dan t h e imp l mentation dari mempertaruhkan pengurangan p
l ans ( !12 dan Mencaplok f ) :
dia _ m o nito r dalam g, rev saya ew sebuah d saya meningkatkan dari r saya sk pengelolaan (12,2 );
aset id dan ntifi ca t ion ( II.L.3. ) sebuah d keledai _ penilaian ( .H.2. 3. ); sebuah nd
mempertaruhkan perkiraan ( lihat contoh di £.2.1 ).
7 Konteks pembentukan
Dia saya s intinya aku mau _ de t er m in the pu r pose of t he i nfo rm at i on risiko keamanan _ _
manajemen nt sebagai t h adalah mempengaruhi t dia keseluruhan proses dan _ _ konteks t estab li sh m
ent secara khusus . _ Pose ini dapat berupa:
suppo r t i ng sebuah SMKI;
aku cantik kepatuhan dan bukti dari jatuh tempo
d il igence; penyusunan rencana kelanjutan
bisnis ; _ _ _ persiapan _ sebuah rencana
tanggap insiden ; dan
keterangan dari itu informasi aman saya ty persyaratan untuk sebuah produk, sebuah melayani atau sebuah
mekanisme .
Saya mpl mentat i o n gu id ance untuk penetapan konteks _ elemen nt s diperlukan untuk
mendukung sebuah SMKI adalah dibahas lebih lanjut i n ll 7.1 dan 1.i di bawah ini.
keluaran ' Spesifikasi i o n _ dari kriteria dasar, ruang lingkup _ sebuah nd batasan, dan t h e atau
organisasi _ untuk r proses manajemen risiko keamanan informasi . _ _ _ _
masing - masing dari untuk ion r ma t _ amankan y ( mis . _ l oss dari percaya diri saya ali t
y, saya tidak menyukainya y _ sebuah nd ketersediaan); i mpa i operasi merah ( i nterna l
atau pihak ketiga);
lo ss dari bisnis dan keuangan saya a l _
nilai ; _ gangguan jadwal dan tenggat
waktu ; kerusakan reputasi;
r isk evaluasi n ( M ) .
Penilaian risiko menentukan nilai dari aset informasi, mengidentifikasi ancaman dan kerentanan yang
berlaku yang ada ( atau bisa ada ) , mengidentifikasi kontrol yang ada dan efek t hei r i terhadap
identifikasi r i s k i d i , menentukan potensi konsekuensi dan , akhirnya, p r io r it i zes the der iv ed r
i sks a nd peringkat mereka terhadap evaluasi risiko cr it er i set in t h e n t e n s t i t i h ment .
R isk menilai saya _ saya s sering dilakukan dalam dua (atau m o r e) itu r di i ons . Pertama, a h ig h
tingkat penilaian adalah dilakukan untuk mengidentifikasi potensi risiko tinggi yang memerlukan
penilaian lebih lanjut . _ _ Iterasi berikutnya dapat melibatkan pertimbangan lebih mendalam tentang
potensi risiko tinggi yang terungkap dalam iterasi awal . _ Jika hal ini memberikan informasi yang
cukup untuk menilainya , maka analisis yang lebih rinci dilakukan , mungkin di beberapa bagian . _ _
_ _ _ _ _ sering kali _ cakupan, dan mungkin menggunakan metode yang berbeda.
saya _ adalah ke atas ke itu organisasi untuk _ pilihlah _ _ _ _ pendekatan sendiri untuk r adalah k
berbasis penilaian pada t h e tujuan _ _ dan t h e tujuannya adalah k penilaian . _ _
Diskusi pada saya info rm asi keamanan _ _ r isk penilaian nt aplikasi r oaches bisa menjadi kamu n d
saya tidak Mencaplok E .
Keluaran: SEBUAH daftar dari dinilai risiko prioritaskan saya _ sesuai saya ng ke r saya sk evaluasi _ _
kriteria.
Tindakan : Yang ada dan berencana kendalikan _ _ sho kamu ld menjadi mengidentifikasi t ified .
saya menerapkan nt ed atau ma l fu n c t ioni n g kontrol o r kontrol l makhluk Anda benar _ _ _ _ bisa
diri menjadi sebuah vu l nerabilitas. Sebuah kontrol bisa b e e ff ec t ive atau tidak efektif tergantung
pada t h e lingkungan di apa yang saya ch itu ? beroperasi. Co n ayat l y, ancaman itu tidak memiliki
sebuah korespondensi di g vulnerabil it y mungkin tidak _ hasil saya na risiko .
Kerentanan dapat dikaitkan dengan sifat - sifat aset yang dapat _ kamu sed dengan cara, atau untuk
suatu tujuan, selain itu dalam cenderung ketika n t h e aset dibeli atau dibuat . Vu l nerab i lities
timbul dari sumber yang berbeda perlu dipertimbangkan , misalnya , intrins - intrinsik yang dikoreksi
dengan aset.
Ex mp l es dari vu ln erab il it i es dan metode untuk vu l nerability menilai saya _ tidak ada menjadi ditemukan
di Mencaplok T .
keluaran : SEBUAH daftar dari vu l nerab i lities i n re l di ion to aktiva, ancaman dan kontrol; sebuah
li s t dari kerentanan itu tidak berhubungan dengan t ified t h reat untuk r tinjauan.
r mengungkapkan itu besar risiko. Nanti, dia bisa menjadi diperlukan ke kamu melakukan lagi
spesifik atau kuantitatif analisis pada t h e besar r saya sk karena dia adalah u s u a ll y lebih
sedikit co m p l ex sebuah n d l ess mahal untuk melakukan kualitatif daripada kuantitatif ana l
ysis.
Bentuk analisis harus konsisten dengan kriteria evaluasi yang dikembangkan sebagai bagian dari
penetapan konteks . _ _ _ _ _ _
Lebih jauh detail dari analisis saya t hodo l ogies adalah dijelaskan di bawah:
a) Kualitatif mempertaruhkan analisis:
Risiko kualitatif analisis menggunakan skala kualifikasi _ _ _ attr i butes to menggambarkan
besarnya konsekuensi potensial _ (misalnya aku tahu, sedang dan h saya gh) dan kemungkinan
itu _ itu konsekuensi akan terjadi . _ Sebuah keuntungan dari kualitatif analisis i s nya meredakan
dari u nde r sta n ding oleh semua personel terkait ketika kerugiannya adalah ketergantungan pada
_ _ h oice subjektif dari skala .
Ini timbangan bisa menjadi disesuaikan atau sesuaikan _ _ untuk osu itu ci r c u mstances dan
berbeda deskripsi bisa digunakan untuk r i sks yang berbeda . Kualitat saya sudah r isk analisis
dapat digunakan : _ _ _
sebagai i n it i al penyaringan aktivitas untuk mengidentifikasi i fy r i sks that
membutuhkan lebih banyak _ analisis detail ; apa yang terjadi ? ini jenis dari ana l ys
saya s saya s tepat saya makan untuk keputusan;
apa yang terjadi ? dia _ numerik data atau sumber daya adalah tidak memadai untuk r sebuah
kuantitatif r saya sk analisis.
Kualitatif analisis haruskah _ _ menggunakan faktanya kamu a l informasi dan data di mana tersedia .
b) Kuantitatif r saya sk ana l ys i s:
Analisis risiko kuantitatif menggunakan skala dengan nilai numerik ( skala deskriptif digunakan
dalam _ _ _ _ _ _ _ _ _ _ _ _ _ risiko kualitatif _ analisis) untuk baik konsekuensi maupun _ l
ikeli h ood , menggunakan data dari berbagai _ sumber. Itu kualitas dari itu ana l ysis bergantung
di _ ketepatan dan kelengkapan _ _ dari itu angka i nilai kal dan itu keabsahan dari model
digunakan. Kuantitatif r isk analisis, di sebagian besar kasus, menggunakan data insiden historis ,
memberikan adva n tage bahwa itu dapat dikaitkan langsung dengan informasi tentang tujuan dan
perhatian keamanan _ _ _ _ _ _ _ _ _ _ _ organ saya aktif . _ SEBUAH kekurangannya adalah
kurangnya data seperti itu di new risiko atau i nformat i on kelemahan keamanan . SEBUAH
kerugian dari pendekatan kuantitatif bisa terjadi di mana faktual , data yang dapat diaudit tidak
tersedia , sehingga menciptakan _ sebuah i llu s i on of worth dan accur acy of t h er i sk
assessmentme n t .
Cara di mana konsekuensi dan seperti mata pencaharian diungkapkan dan cara - cara di mana
mereka digabungkan _ _ _ _ _ _ untuk memberikan tingkat l o f r i sk will bervariasi menurut ke
Tipe o f mempertaruhkan dan tujuannya _ _ _ untuk yang mana mempertaruhkan penilaian
keluaran adalah ke menjadi digunakan. Itu ketakpastian dan variabilitas keduanya konsekuensi
dan li keli h ood harus kontra saya dered di _ analisis dan efek dikomunikasikan saya vely .
Ass untuk ion penilaian dimulai dengan fiksasi kelas i dari _ _ _ aset sesuai dengan kekritisannya ,
dalam jangka waktu yang penting untuk memenuhi pemenuhan _ _ _ _ _ t dia bisnis tujuan _ _ dari t
h e organisasi. Va lu at i on adalah ditentukan u di g dua langkah-langkah :
itu r e p renda t va lu e dari itu aset: itu biaya pembersihan pemulihan dan rep l ac i ng dia _ i n
formatio n (i f at al l mungkin l e) ;
dia _ bisnis konsekuensi dari Aku tidak bisa kompromi dari itu aset, seperti h sebagai t dia
berpotensi merugikan _ bu s i ness an d /o r lega l atau regu l ator konsekuensi dari t ed i sc l
osure , _ modifikasi n , n on - ava il abi lit y dan/atau pemusnahan informasi , dan informasi aset
lainnya.
Valuasi ini dapat ditentukan dari analisis bisnis i mp act . _ _ _ Nilai , ditentukan oleh t dia
konsekuensi untuk bisnis, apakah biasanya lebih tinggi secara signifikan daripada ? simp l e rep l
biaya acement, tergantung pada pentingnya aset bagi organisasi dalam rapat _ _ _ _ tujuan bisnisnya
iv . _ _ _ _
Aset penilaian adalah sebuah kunci faktor dampak _ penilaian dari sebuah skenario insiden , karena
insiden tersebut dapat mempengaruhi lebih dari satu aset (mis . aset yang bergantung). atau hanya
sebuah bagian dari sebuah n aset. D i ffer ent _ ancaman dan kerentanan h ave d berbeda nt dampak
oh tidak aset, s u ch sebagai sebuah l oss dari kerahasiaan, saya tidak egr it y atau ketersediaan.
Penilaian dari konsekuensinya terkait dengan _ _ _ _ aset valuasi berdasarkan dampak bisnis n a l ys i
s._______
Konsekuensi atau bisnis saya mp bertindak dapat _ _ d e t ermi n ed by m odelli n g t dia keluar dari
sebuah acara o r set of even nt s , o r oleh ex t rapo l at i on dari om expe r i m ental studi o r data
masa lalu
Konsekuensi dapat diekspresikan dalam bentuk moneter . _ _ _ kriteria dampak teknis atau manusia ,
atau kriterianya yang relevan dengan organisasi . _ _ _ _ _ _ _ _ Dalam beberapa kasus , lebih dari
satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda , tempat , _ _
kelompok atau situasi .
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama yang digunakan
untuk jamuan makan yang likeli h ood dan vu n erab il . _ _ _ _ _ _ Konsistensi harus dipertahankan
pada pendekatan kuantitatif atau kualitatif . _ _ _ _ _ _ _
Lagi i n formatio n keduanya oh tidak aset penilaian dan saya berdampak menilai saya _ tidak ada b e ditemukan di
Mencaplok B .
Keluaran : Sebuah daftar dari konsekuensi yang dinilai dari _ _ sebuah adegan insiden r io exp r esse
d wit hr espect t o aset dan saya mpac t c r ite r ia.
Itu pentingnya dari itu bisnis proses atau aktivitas didukung oleh sebuah tertentu aset atau
mengatur dari aktiva: jika _ proses p saya s bertekad ke menjadi o f l ow i mp o r ta n ce, risiko
asosiasi t ed dengan itu _ s h o ul d menjadi diberikan pertimbangan yang lebih rendah daripada r
i sks t h at i mpact proses atau tindakan yang lebih penting ;
Penggunaan evaluasi risiko _ t dia mengerti din g _ dari saya sk dapatkan di e d b y r isk ana l ysis untuk
membuat e _ keputusan tentang tindakan masa depan . Keputusan harus mencakup : _ _ _
siapa dia _ sebuah ac ti v it y haruskah _ b e kamu melakukan ;
prioritas untuk risiko perlakuan kontra saya der saya ng diperkirakan tingkat l s dari r saya sk .
keluaran : SEBUAH aku tetap _ o f r saya sk sebelumnya saya zed _ _ menurut ke mempertaruhkan
evaluasi kriteria di r elatio n untuk _ t h e saya melihat skenario itu menyebabkan risiko tersebut.
RISK
HASIL
PENILAIAN
YANG
MEMUASKAN _ Rrskdec 1 s 1 o n po l n t 1
__
L
Rtsk decision po1nt 2
SAT I S FA CT
ORY T R E
ATM E N T
Perawatan risiko memilih saya s h ou l d be dipilih berdasarkan hasil dari penilaian yang sulit , biaya
yang diharapkan untuk mengimplementasikan opsi - opsi dan harapan manfaat yang sesuai dari ini _ _
_ _ _ _ _ _ op t i ons . _
Kapan aku setuju? pengurangan risiko _ tidak ada menjadi o b tained dengan relatif l y l ow
pengeluaran Anda , pilihan - pilihan itulah yang akan diterapkan . _ _ _ _ _ Fu r t h er op t io n s untuk
im pr oveme nt s dapat menjadi ekonomi dan penilaian perlu dilakukan sebagai tow h et he r t h e ya
re j u s t i fi a b l e . _
Di ge n e r a l, urutan konsekuensi yang merugikan dari r i sks harus dibuat serendah reasona bl y pr
bertindak i ca bl ea n d irr es p e c t iv e dari a n y Abso l ut e cr itu er saya . _ Ma n a gers haruskah
_ _ mempertimbangkan r a r e tapi tujuh r e ri s k s . Di s u ch c a ses, dapat diperlukan o i m p l e m
e nt c o nt rol t h a t a r e n ot j u s t i fi a b l e on st r ic t ly ekonomi i c g r o u n d s ( misalnya , bisnis
co n tinu i ty kontrol kontra id ed menutupi spesifik c h ig h r i sks) .
T h e fou r o p t i o n s untuk rr adalah k t makan m ent adalah e tidak ada _ mut ua ll y eksklusif. Jadi
, _ _ _ _ _ dia _ o r g a niza t ion bisa _ menjadi n e f it substansial l y dengan kombinasi pilihan
seperti mengurangi like h oo d o fr is k s , mengurangi konsekuensi i r , a n ds h ar i ng o r re t a i n in
didirikan _ menggunakan berbagai teknik, termasuk peringkat risiko dan analisis biaya-manfaat.
Adalah tanggung jawab manajer organisasi untuk memutuskan keseimbangan antara biaya
pelaksanaan pengendalian dan penetapan anggaran .
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini ,
dalam hal : dari biaya perbandingan. termasuk pemeliharaan. Jika menghapus berulang atau tidak
perlu cont r o l s dipertimbangkan ( terutama jika _ kontrol memiliki biaya perawatan yang tinggi ).
keamanan informasi dan faktor biaya harus diperhitungkan . Karena kontrol dapat saling
mempengaruhi , menghapus kontrol yang berlebihan dapat mengurangi keamanan secara keseluruhan
. Selain itu, bisa juga lebih murah untuk meninggalkan kontrol yang berlebihan atau tidak perlu
daripada menghapusnya .
Mempertaruhkan perlakuan pilihan Sebaiknya menjadi dianggap
mengambil ke dalam akun: seberapa berisiko dirasakan oleh
pihak yang terkena dampak;
itu paling sesuai cara ke menyampaikan ke itu pesta .
Risiko bagi organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi ini
kemungkinan apakah akan diimplementasikan . _ Semua kendala - organisasi. teknis, struktur l , dll. -
itu adalah diidentifikasi selama konteksnya _ pembentukan aktivitas Sebaiknya menjadi dibawa ke
dalam Akun selama risikonya perlakuan.
Satu kali itu r e n c a n a penanganan risiko telah ditetapkan, residual risiko perlu ditentukan . Ini
melibatkan pembaruan _ atau pengulangan dari mempertaruhkan penilaian, mengambil ke dalam
memperhitungkan efek yang diharapkan dari _ penanganan risiko yang diusulkan . Haruskah risiko
residual masih belum memenuhi kriteria penerimaan risiko organisasi , iterasi lebih lanjut dari
perlakuan risiko dapat diperlukan sebelum melanjutkan ke mempertaruhkan penerimaan.
Output : Rencana penanganan risiko dan risiko residual tunduk pada penerimaan keputusan dari para
manajer organisasi .
Ini dia _ _ menjadi dicatat t h at dia bisa menjadi mungkin ke s h adalah _ r espo n s ibi lity ke m
anage r isk tetapi dia saya tidak juga tidak mungkin l e _ untuk _ s h adalah l iabi li ty dari dampak t.
Pelanggan u s u a ll y attri ibut e a n merugikan saya mpac t sebagai makhluk t dia l t dari organisasi .
Mempertaruhkan com mu nica t ion s h ou ld menjadi mobil r ied keluar _ saya tidak memesan untuk :
bukti identitas _ ass u rance dari hasilnya dari organisasi _ mempertaruhkan
pengelolaan; kumpulkan r isk i nformat io n;
sha r e itu hasil dari dia _ mempertaruhkan penilaian nt sebuah nd sebelum ini r saya sk _
perlakuan rencana;
menghindari atau mengurangi kedua kejadian dan konsekuensi dari pelanggaran keamanan
informasi jatuh tempo ke itu kurangnya saling pengertian di antara pengambil keputusan dan
pemangku kepentingan ;
mendukung keputusan membuat;
mendapatkan _ baru i n formatio n detik u r itu y k n ow l tepi ;
koordinasi dalam makan dengan h pihak r lainnya dan rencanakan tanggapan untuk
mengurangi urutan co n dari setiap saya nc saya penyok; memberikan rasa tanggung jawab
kepada pembuat keputusan dan pemangku kepentingan tentang risiko ;
imp roveaware n ess.
Sebuah organisasi harus mengembangkan rencana komunikasi r is k untuk operasi normal maupun
untuk situasi darurat . _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Oleh karena itu , aktivitas komunikasi berisiko sho
kamu ld dilakukan secara terus menerus .
Itu coor i nation antara ma j o r pengambil keputusan dan stakeho l ders bisa pantai aku malam oleh
itu format i on dari sebuah com mitt ee w h ere debat tentang r i sks, t hei r sebelum itu iza t io n dan
d makan yang sesuai , _ _ dan penerimaan dapat mengambil alih .
PENTING untuk bekerja sama dengan unit - unit komunikasi atau humas yang tepat di dalam
organisasi untuk mengoordinasikan semua tugas _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ aku makan kembali
mengambil risiko komunikasi. Ini aku _ _ _ crucia l , saya tidak _ _ _ peristiwa dari komunikasi krisis
tentang tindakan dalam menanggapi insiden tertentu , misalnya.
Keluaran: Pendirian terus menerus _ _ _ _ _ organisasi _ untuk ion r ma t _ amankan thn i sk proses
dan hasil manajemen .
saya penyok saya fied kemampuan vul n er _ ke dete r m saya ne itu menjadi terkena ke baru o r re - emergi
n g t jam makan ;
saya meningkat dampak atau konsekuensi dari dinilai ancaman, kerentanan dan risiko dalam
agregasi menghasilkan _ sebuah t i n g k a t r i sk yang tidak dapat diterima ;
saya informasi keamanan insiden ts.
Jam baru makan , v u l n e r abi lit ies atau perubahan li i li ihood atau konsekuensi dapat dimudahkan _ _
_ _ _ _ r adalah k s dinilai sebelumnya sebagai rendah o n es. Tinjauan dari rendah dan diterima risiko
harus l d kontra saya der setiap risiko terpisah , dan _ _ semua seperti itu risiko sebagai sebuah agregat
sebagai dengan baik, ke menilai i r potensi acc u mulated dampak. Jika risiko tidak jatuh saya tidak suka
dia aku tahu atau dapat diterima r iskca t ego r y, t h ey sho kamu ld menjadi t rea t ed menggunakan
satu o r mo r e dari pilihan n s pertimbangkan r ed i n Ayat 9 .
Faktor itu memengaruhi t h e aku senang _ sebuah d konsekuensi dari t h r e t s terjadi _ _ _ _ _ _ _
bisa mengubah, seperti yang bisa faktor t h di pengaruh dia _ sesuai kemampuan _ o r biaya dari t h e
va r io u st r e t ment memilih saya . Perubahan besar mempengaruhi organisasi harus _ _ menjadi
alasan untuk sebuah lebih spesifik ulasan. Oleh karena itu, itu mempertaruhkan pemantauan kegiatan
Sebaiknya menjadi diulang secara teratur a n dt h e _ pilihan yang dipilih untuk makan r i sk t r harus
direvisi . _ _ _ _ _ _
Itu hasil o fr isk monitor saya ng bertindak i v i t i es bisa di tempat ke r lainnya r saya sk ulasan
tindakan i v i ikat . Itu organisasi harus ditinjau _ a ll r i sks reg ul a rl y, dan ketika ma j atau berubah
terjadi.
keluaran : Lanjutan _ _ _ _ li gnme nt _ dari pengelolaan r i sks dengan tujuan bisnis organisasi , dan
_ _ _ dengan risiko _ kriteria penerimaan.
mempertaruhkan
kriteria evaluasi ;
mempertaruhkan
kriteria penerimaan ;
biaya total _ dari
kepemilikan; sumber
daya yang diperlukan .
Itu organisasi harus memastikan bahwa penilaian risiko dan sumber daya penanganan risiko terus
tersedia untuk meninjau risiko. alamat ancaman baru atau yang diubah atau kerentanan, dan untuk
menyarankan manajemen yang sesuai.
Mencaplok SEBUAH
(informatif)
Struktural kendala: Itu alam dari sebuah organisasi struktur (divisi, fungsional atau lainnya)
bisa aku pergi _ sebuah spesifik informasi kebijakan keamanan dan keamanan organisasi
disesuaikan dengan _ struktur.
Untuk contoh. sebuah struktur internasional Sebaiknya bisa _ untuk mendamaikan persyaratan u
r it y _ khusus untuk masing- masing negara.
Fungsional eoastra i atS : Kendala fungsional muncul langsung dari organisasi umum atau khusus
misi.
Misalnya, sebuah organisasi yang beroperasi sepanjang waktu harus memastikan sumber dayanya
terus menerus tersedia.
Kendala eoncernjng pribadi : _ _ _ Sifat kendala ini sangat bervariasi. Mereka terkait dengan:
tingkat tanggung jawab, perekrutan, kualifikasi, t r a in ing.sec u r it awareness, motivasi,
ketersediaan, dll.
Misalnya, seluruh personel pertahanan atau organisasi yang harus saya miliki _ _ otorisasi untuk
menangani dengan sangat percaya diri i a l informasi.
Kendala dari skala organisasi: Kendala ini dapat mengakibatkan dari restrukturisasi
atau set t i ng up baru kebijakan memaksakan ce r tai n
tenggat waktu. Untuk contoh, pembuatan sebuah divisi
keamanan.
Kendala terkait ke metode: Metode yang sesuai untuk t h e organisasi pengetahuan perlu
dikenakan untuk _ aspek seperti perencanaan proyek , spesifikasi, pengembangan dan seterusnya.
Kendala dari alam budaya: saya tidak beberapa organisasi, kebiasaan kerja atau bisnis utama
_ telah memimpin ke sebuah spesifik "budaya'' dalam organisasi, yang bisa menjadi tidak
sesuai dengan itu kontrol keamanan. Ini budaya adalah itu personil referensi umum kerangka
dan bisa jadi bertekad oleh banyak orang aspek, termasuk pendidikan, instruksi, pengalaman
profesional , pengalaman di luar kerja , pendapat , _ filsafat, percayalah , _ soc saya juga
status.dll .
Kendala kasar: Kontrol keamanan yang direkomendasikan dapat _ terkadang sangat _ _ tinggi
biaya. Meskipun itu bukan cara yang tepat untuk mendasarkan investasi keamanan pada
efektivitas biaya. pembenaran ekonomi umumnya diperlukan oleh organisasi Departemen
Keuangan.
Untuk contoh, di sektor swasta _ dan beberapa organisasi publik , itu total biaya dari keamanan
pengendalian tidak boleh melebihi biaya konsekuensi potensial dari risiko. Oleh karena itu ,
manajemen puncak harus menilai dan ambil dihitung risiko jika mereka mau hindari berlebihan
biaya keamanan.
arsitek umum u re ( persyaratan tentang topologi ( terpusat , terdistribusi, klien - server ) , arsitektur
lengkung fisik , dll.);
aplikasi perangkat lunak (persyaratan perhatian n g spesifik lembut t wa r e rancangan, pasar standar,
e t c.);
kemasan perangkat lunak (persyaratan mengenai standar, tingkat l dari evaluasi, kualitas, sesuai
dengan norma, detik u r itu y, dll.);
perangkat keras ( persyaratan mengenai standar , kualitas , kesesuaian dengan norma.dst . ) ; com
mun icat i o n jaringan (req u irements co n cern di g cakupan, sta nd a rd s , kapasitas, r
keandalan, dll.);
membangun infrastruktur ( persyaratan tentang teknik sipil , _ membangun saya , h i gh
tegangan, tegangan rendah , e t c.).
Einanc:ial const r ai nt s
Implementasi kontrol keamanan sering dibatasi _ _ _ _ oleh _ anggaran yang organisasi dapat com i t.
Namun, kendala keuangan masih harus menjadi yang terakhir dipertimbangkan sebagai alokasi
anggaran untuk keamanan dapat dinegosiasikan atas dasar _ dari t h e aman itu y belajar.
lingkungan kendala _ _
Lingkungan kendala nt s bangkit dari t h e geografis _ atau ekonomis e n v i ronment di h ic h _ t h e
proses diimplementasikan: negara , iklim , risiko alam , situasi geografis , ekonomis iklim, dll.
Waktu rm1strains
Itu waktu diperlukan untuk i mpl ement i ng _ amankan y _ kendalikan _ _ Sebaiknya menjadi
dipertimbangkan saya tidak r e l at i on to up g r ade itu i n format i o n sistem; jika itu i mpl mentat i
on waktu saya s _ sangat panjang, t h e r saya meminta untuk yang t h e kendalikan aku _ dirancang
dapat memiliki c h a n ged. Waktu adalah a menentukan faktor untuk memilih jadi l ution a n d pr i
orit i es .
Kontra hujan _ terkait untuk bertemu h ods
Metode aplikasi r op r iate ke itu organ i zat i on's pengetahuan Sebaiknya jadilah kamu _ untuk proyek
perencanaan, spesifikasi , pengembangan dan sebagainya .
Orga o izationa l constca i ots
Berbagai kendala nt s bisa mengikuti dari saya _ organisasi n a l persyaratan :
operasikan i o n ( r equ i re m ents tentang saya membaca - kali, supp ly dari kejahatan se r ,
pengawasan, pemantauan dalam g , rencana darurat , _ _ operasi terdegradasi , dll.);
saya seorang int enance ( r e qui re m ents untuk saya kebetulan pemecahan masalah , mencegah iv e
tindakan, r apid koreksi, dll.);
manajemen sumber daya manusia (persyaratan tentang pelatihan operator dan pengguna,
kualifikasi untuk posting s u ch as sys t em adm i nistrato r o r data adm i nist r ator, dll . );
adm saya nistrat saya ve pengelolaan (persyaratan tentang tanggung jawab , dll . );
manajemen pembangunan (persyaratan co n cerni n g deve l op m ent t oo l s , perangkat lunak
berbantuan komputer , _ _ _ rencana penerimaan, organ i zat i on to be mengatur ke atas, dll.);
m a n usia m ent dari ex t erna l terkait _ _ _ _ _ _ _ _ _ _ _ _ _ _ hubungan pihak ketiga , tindak
lanjut , _ _ dll.).
LampiranB
(informasikan di iv e )
Perangkat lunak layanan , pemeliharaan, atau administrasi: Perangkat lunak yang dicirikan
oleh fakta bahwa ia melengkapi layanan sistem operasi dan tidak ditujukan untuk melayani
pengguna atau aplikasi l icat i ons ( meskipun biasanya esensi l atau bahkan saya menemukan
saya menghabiskan l e untuk global pengoperasian sistem informasi).
Kemasan perangkat lunak atau perangkat lunak standar: Standar perangkat lunak atau
perangkat lunak paket adalah: produk lengkap _ dikomersialkan sebagai seperti (lebih
tepatnya dibandingkan satu•mati atau spesifik perkembangan) dengan media, rilis dan
pemeliharaan. Mereka menyediakan layanan untuk pengguna dan aplikasi , tetapi tidak
dipersonalisasi atau spesifik dalam _ _ cara t h di aplikasi bisnis adalah.
CONTOH Data basis pengelolaan perangkat lunak, elektro ni c pesan perangkat lunak , g r oupwa r e, direktori
perangkat lunak , jaring server perangkat lunak, dll.
Bisnis aplikasi:
Standar bisnis aplikasi: Ini adalah komersial l perangkat lunak yang dirancang untuk
memberi pengguna akses langsung ke itu jasa dan fungsi mereka memerlukan dari t he
i r i nformat i on _ sistem di profesional mereka konteks. Di sana adalah sangat _
lebar, secara teoritis terbatas , _ _ jangkauan dari bidang.
CONTOH Akun perangkat lunak, mesin alat kontrol perangkat lunak, pelanggan peduli perangkat lunak,
personil
kompetensi pengelolaan perangkat lunak, adm ini st ratif _ perangkat lunak, dll.
Spesifik bisnis aplikasi: Ini adalah perangkat lunak dalam yang bermacam-macam aspek
(terutama dukungan, pemeliharaan, perbaikan, dll.) telah khusus dikembangkan untuk
memberikan pengguna langsung akses ke layanan dan fungsi yang mereka butuhkan dari
sistem informasi mereka . ada _ rentang bidang yang sangat luas, secara teoritis tidak
terbatas .
CONTOH Faktur manajemen dari t listrik pelanggan operator , nyata waktu pemantauan aplikasi untuk
roket l au n chi n g .
Jaringan: jaringan _ jenis terdiri dari semua telekomunikasi perangkat digunakan ke saya tidak erco
n nec t beberapa secara fisik jauh komputer atau elemen dari sebuah sistem informasi.
Sedang dan s up o rt s: Komunikasi dan media atau peralatan telekomunikasi dicirikan
terutama oleh itu fisik dan tec h n i ca l karakter i cs dari t h e peralatan ( titik • tO · titik ,
siaran) dan oleh komunikasi protokol (tautan atau jaringan - level 2 dan 3 dari OSI 7 - model
lapisan ).
CONTOH Pengalihan Telepon Umum Jaringan (PSTN), Ethernet, G i gabitEt h e rn et, Pelanggan Digital
Asimetris Garis (ADSL), protokol nirkabel spesifikasi (misalnya Wifi 802.11), Bluetooth, FireWire.
Pasif atau aktif menyampaikan: Ini sub·tipe termasuk semua perangkat itu adalah bukan itu
logis penghentian komunikasi (ADALAH penglihatan) tapi apakah saya nte r menengahi
atau menyampaikan perangkat. Relay adalah karakteristik oleh jaringan yang didukung _
komunikasi protokol. Di tambahkan ion ke relai dasar , _ mereka sering kali mencakup
fungsi dan layanan perutean dan/atau penyaringan , menggunakan komunikasi sw it c h es
dan router dengan filter. Mereka sering bisa diadministrasikan dari jarak jauh dan adalah
biasanya mampu menghasilkan log.
CONTOH Menjembatani, r o u te r , pusat, mengalihkan, otomatis menukarkan.
Komunikasi antarmuka: Itu co m mun i kation antarmuka dari itu pengolahan unit adalah
terhubung ke unit pemrosesan tetapi dicirikan oleh media dan protokol yang didukung ,
dengan ada yang terpasang penyaringan, aku tahu atau generasi peringatan fungsi dan
mereka kapasitas dan dengan kemungkinan dan kebutuhan remote administrasi.
CONTOH Umum Paket Radio Melayani (GPRS), Ethernet adaptor.
Personil. T h e personne l jenis terdiri dari semuanya itu kelompok orang l e terlibat di t h e info m at i on
sistem .
Pengguna: Pengguna adalah personil yang menangani _ elemen se n si t ive dalam konteks _
aktivitas mereka itu y dan apa _ _ h ave khusus l jawab b il it y di t miliknya menghormati.
Mereka bisa memperoleh sangat penting _ mengakses hak ke t h ei n sistem formasi untuk
dibawa keluar tugas sehari -hari mereka .
CONTOH Manusia sumber daya pengelolaan, keuangan manajemen t , mempertaruhkan Pengelola.
Operasi i on/main t enance staf: Ini adalah personel yang bertanggung jawab o f operasi dan
_ _ memelihara sistem informasi. Mereka memiliki spesial mengakses r saya takut ke
informasi sistem untuk membawa keluar t h e i r tugas sehari-hari.
CONTOH System admin i strator , data admin i strator , back-up, Help Desk, operator penyebaran
aplikasi , amankan y _ petugas.
Tempat: Ini tempat adalah dibatasi oleh organisasi _ _ _ perimeterlangsung dalam kontak
dengan luar . _ Ini dapatkah batas pelindung fisik diperoleh dengan _ _ menciptakan
hambatan fisik atau saya n s dari _ pengawasan sekitar bangunan.
CONTOH Tetapkan , _ _ _ bangunan.
Zona: A daerah adalah untuk obat _ oleh sebuah fisik pelindung bou n da r y
membentuk partisi dengan itu di tempat organisasi . _ _ Hal ini diperoleh dengan
menciptakan hambatan fisik di sekitar informasi organisasi di i o n _ _ _ pengolahan
infrastruktur.
CONTOH Kantor, disimpan mengakses daerah, aman zo n e.
Penting jasa: Semua itu layanan yang diperlukan untuk t h e organisasi peralatan untuk
beroperasi. Komunikasi: Telekomunikasi layanan dan peralatan yang disediakan oleh _ _
seorang operator.
CONTOH Telepon garis, PABX, intern telepon jaringan.
Keperluan:
Layanan dan sarana ( sumber dan wi r i ng g ) r equ i red untuk menyediakan listrik
untuk peralatan teknologi informasi dan periferal.
CONTOH Usia volt rendah catu daya , inverter, e l ectr i cal sirkuit untuk ujung kepala .
Air pasokan
Limbah buang l
Jasa sebuah nd cara ( perlengkapan , kontrol) untuk keren n g dan pemurnian t h e a saya r .
Proyek atau organisasi sistem: Ini kekhawatiran kumpulan organisasi ke atas untuk sebuah
spesifik proyek atau layanan.
CONTOH Baru aplikasi perkembangan proyek, informasi sistem migrasi proyek.
Subkontraktor/pemasok/produsen: Ini adalah organisasi yang menyediakan bagi
organisasi sebuah melayani atau sumber daya dan melompat ke itu dengan kontrak.
CONTOH E Fasilitas pengelolaan perusahaan, outsourcing perusahaan, konsultasi perusahaan.
B.2.1 Umum
Itu Berikutnya melangkah setelah aset identifikasi adalah ke setuju pada itu skala untuk digunakan
_ dan kriteria _ untuk menetapkan tertentu lokasi tentang itu skala ke setiap aset, berdasarkan pada
penilaian. Karena dari itu perbedaan dari aset ditemukan di sebagian besar organisasi, itu adalah
kemungkinan itu beberapa aset yang dimiliki nilai moneter yang diketahui dihargai _ di itu satuan
lokal dari mata uang, sedangkan yang lain yang memiliki sebuah lagi kualitatif nilai bisa menjadi
ditugaskan sebagai va l u e mulai, untuk contoh mp l e, dari "sangat rendah" ke "sangat h i g h " . Itu
keputusan untuk menggunakan sebuah kuantitatif sca l e atau _ kualitatif skala adalah Betulkah
sebuah urusan dari organisasi Pilihan, tetapi Sebaiknya menjadi relevan ke itu aset menjadi
bernilai. Keduanya penilaian jenis bisa menjadi digunakan untuk itu sama aset.
Istilah umum yang digunakan untuk penilaian kualitatif aset termasuk kata-kata seperti sebagai:
diabaikan, sangat rendah, rendah, sedang, tinggi, sangat tinggi, dan kritis. Itu pilihan dan jangkauan
istilah _ sesuai ke sebuah organisasi sangat kuat tergantung pada kebutuhan organisasi untuk
keamanan , organisasi ukuran, dan khusus organisasi lain faktor.
B.2.2 Kriteria
Itu kriteria digunakan sebagai itu dasar untuk menugaskan sebuah nilai ke setiap aset harus ditulis _
di istilah yang tidak ambigu . Ini adalah sering satu dari _ paling aspek yang sulit dari penilaian aset
karena nilai _ beberapa aset mungkin harus ditentukan secara subjektif dan karena banyak individu
yang berbeda adalah kemungkinan akan membuat keputusan. Kriteria yang mungkin digunakan
untuk menentukan nilai suatu aset termasuk biaya aslinya, penggantiannya atau r e - creat i o n cost
atau -nya nilai bisa menjadi abstrak, misalnya nilai reputasi sebuah organisasi .
Lain dasar untuk itu penilaian dari aset adalah itu biaya terjadi karena kehilangan dari kerahasiaan,
integritas dan ketersediaan sebagai itu hasil dari sebuah kejadian. Non-penyangkalan, akuntabilitas,
keaslian dan keandalan harus juga menjadi dipertimbangkan, sebagai sesuai. Seperti sebuah penilaian
menyediakan yang penting elemen dimensi ke aset nilai, di tambahan untuk penggantian biaya,
berdasarkan perkiraan dari itu merugikan bisnis konsekuensi yang akan hasil dari insiden keamanan
dengan asumsi set keadaan. itu adalah ditekankan bahwa ini pendekatan akun untuk konsekuensi
yang diperlukan untuk memperhitungkan risiko _ _ _ penilaian.
Banyak aset bisa memiliki beberapa nilai yang ditetapkan untuk mereka selama penilaian . Sebagai
3 © ISO/IEC 2018- All rights
ISO/IEC 27005:2018(E)
contoh, rencana bisnis _ bisa jadi berdasarkan nilai pada tenaga kerja dihabiskan untuk
mengembangkan _ tolong , _ _ di _ tenaga kerja untuk memasukkan data , dan pada nilainya untuk _
saingan. Itu ditugaskan nilai-nilai adalah kemungkinan besar ke berbeda jauh.
Itu ditugaskan va lu e bisa jadilah maksimal _ _ dari semua nilai yang mungkin atau itu jumlah dari
beberapa atau semua dari itu nilai yang mungkin . saya tidak itu terakhir analisis i s, it s h o ul d be
dengan hati-hati ditentukan apa yang saya ch nilai o r nilai-nilai adalah ass saya gned untuk _ sebuah
aset s saya nce nilai akhir _ _ _ playsa ro l e . yang ditugaskan di penentuan sumber daya ke menjadi
dikeluarkan untuk perlindungan aset tersebut . _
B.2.4 Skala
Setelah mendirikan kriteria menjadi dipertimbangkan, organisasi harus setuju pada sebuah skala
ke digunakan di seluruh organisasi. Itu pertama melangkah adalah ke memutuskan pada
nomornya _ dari tingkat ke digunakan . Di sana adalah Tidak aturan dengan pandangan ke
nomornya _ dari tingkat l s itu adalah paling sesuai. Lagi l tingkat menyediakan sebuah lebih
besar l malam l dari gr anu l arity tapi _ _ kadang terlalu halus diferensiasi membuat kontra saya
stent tugas di seluruh organisasi sulit. Biasanya, setiap jumlah level _ antara 3 (misalnya rendah,
sedang, dan tinggi) dan 10 kaleng menjadi kamu sed selama sebagai dia adalah konsisten dengan _
mendekati t h e organisasi adalah menggunakan untuk itu siapa aku ? penilaian risiko proses.
Sebuah organisasi bisa mendefinisikan -nya memiliki batas untuk aset nilai-nilai, Suka "rendah",
"sedang", atau "tinggi". Ini batas harus dinilai sesuai dengan kriteria yang dipilih ( misalnya untuk
kemungkinan kerugian finansial , mereka harus diberikan dalam nilai moneter , tetapi untuk
pertimbangan seperti membahayakan keselamatan pribadi, penilaian moneter bisa menjadi kompleks
dan mungkin bukan menjadi sesuai untuk semua organisasi). Akhirnya, dia sepenuhnya _ ke atas ke
organisasi _ untuk memutuskan apa adalah dianggap sebagai makhluk "rendah" atau tinggi"
konsekuensi. SEBUAH konsekuensi yang dapat bencana untuk kecil _ organisasi bisa rendah atau
bahkan diabaikan untuk sebuah sangat saya setuju organisasi.
B.2.5 Ketergantungan
Semakin relevan dan banyak sekali itu proses bisnis yang didukung oleh suatu aset, lebih besar nilai
ini aset. Ketergantungan aset pada bisnis proses dan aset lainnya s h ou l d menjadi diidentifikasi
juga s saya nce ini dapat mempengaruhi nilai-nilai dari _ aktiva. Misalnya, percaya diri _ _ _ data
seharusnya _ disimpan sepanjang siklus hidup, di semua tahapan, termasuk penyimpanan dan
Itu nilai-nilai dari aktiva pada yang lainnya aktiva adalah bergantung bisa menjadi diubah di t h e ikuti n
g cara :
jika itu nilai-nilai dari itu bergantung aktiva (misalnya data) adalah lebih rendah atau sama _ ke
itu nilai dari itu aset yang dipertimbangkan (mis perangkat lunak), itu s va lu e rema di s itu
sama;
jika itu nilai-nilai dari itu bergantung aset ( mis . _ data) adalah lebih besar, maka nilai aset
dipertimbangkan ( misalnya perangkat lunak ) harus ditingkatkan sesuai dengan :
t h e derajat dari
ketergantungan ; _ nilai- nilai
dan t h e dari asetnya . _ _ _
Suatu organisasi dapat memiliki beberapa aset yang tersedia lebih dari satu kali , seperti salinan
program perangkat lunak _ _ _ _ _ _ atau ini _ sama jenis _ komputer digunakan di sebagian besar
_ kantor . itu adalah impo r tant untuk _ mempertimbangkan fakta ini ketika melakukan penilaian
aset . Di satu sisi, aset ini diabaikan dengan mudah . Oleh karena itu, peduli harus dibawa ke i dent i
fy all dari mereka. pada _ lainnya tangan, mereka bisa jadilah kamu untuk mengurangi masalah yang
tersedia .
B.2.6 Keluaran
Itu akhirnya _ keluaran dari t hai s melangkah saya s sebuah li st dari aktiva sebuah nd t i ir nilai-
nilai re l at i ve ke d saya pengungkapan ( pemeliharaan kerahasiaan ) , modi fi kasi ( penyajian
integritas , tak henti - hentinya , tidak terpelihara dan pertanggungjawaban ) , non - ketersediaan dan
pemusnahan ( penyajian _ _ _ ketersediaan dan re l i a bi l ity ) , dan biaya penggantian .
saya s berbeda nt (juga bukan sekutu banyak lebih rendah) jatuh tempo untuk _ t h e p r ese n ce
sebuah nd itu efek t ive n ess dari t h e saya mpl mented kontrol l s.
Pavilyun
(dalam format iv e )
ini _ mengikuti ta bl e memberi ex mpl es dari tipikal _ t h memakan . ini _ daftar bisa jadi kamu sed _
selama ini _ _ ancaman menilai proses m nt . Ancaman bisa menjadi d e lib era t e, kebetulan o r
lingkungan n mental _ ( n di u ral) sebuah nd hasil t , untuk r contoh mpl e , i n d amage o r
kehilangan o f intinya aku _ jasa. Itu mengikuti daftar saya menunjukkan untuk r setiap jam t h
rea t ty p e dimana D (sengaja ) , SEBUAH (sebuah ccidenta l ), E (lingkungan l ) saya relevan . D
saya s kamu sed untuk sebuah ll disengaja tindakan yang ditujukan untuk i n formatio n _ keledai ts ,
A saya digunakan untuk semua hu m a n sebuah ctio n s t h at bisa acci d e nta lly kerusakan
menginformasikan i pada ass e ts , dan E digunakan d untuk semua dalam id ents t ha t tidak _ _ _
berdasarkan n hu m a n tindakan . Kelompok perlakuan tidak _ _ _ _ _ _ dalam prioritas memesan .
LampiranD
(informatif e )
Pavilyun
(informatif)
Risiko disajikan dalam tingkat tinggi l _ _ r saya sk penilaian sering lebih _ risiko umum
domain dari spesifik i dent i fied r is k s.As skenario atau ancaman adalah dikelompokkan di
domain, itu r is kt reat m ent mengusulkan daftar dari kontrol di dalam domain. Itu pengobatan
risiko kegiatan mencoba kemudian pertama untuk _ _ mengusulkan dan memilih com m o n
kendalikan _ _ itu a r e val saya d lintas t h e apa kabar ? _ _ sistem.
Namun, h i gh-level l mempertaruhkan penilaian, karena alamat se ld o m tec h no l ogy detail ,
lebih tepat untuk memberikan pengendalian organisasi dan non - teknis serta aspek pengelolaan
pengendalian teknis , atau kunci dan teknik umum i ca l pengaman seperti _ back-up dan ant i -
virus.
Itu keuntungan dari sebuah tinggi -l malam l mempertaruhkan penilaian adalah sebagai berikut:
Itu masukan dari _ _ _ _ sebuah aku dan itu aku _ sederhana pendekatan mungkin _ mendapatkan
penerimaan itu mempertaruhkan menilai program . _
saya _ Sebaiknya menjadi mungkin untuk bu il d sebuah strategi saya _ gambar dari sebuah
organisasi informasi keamanan program,
yaitu dia tindakan sebagai sebuah bagus pl an n i n g bantuan.
Sumber daya dan uang bisa menjadi terapan di mana mereka adalah paling bermanfaat, sebuah n
d sistem li k e l y ke jadilah aku n n ee d perlindungan terbesar adalah _ _ _ _ ditujukan terlebih
Penilaian risiko tingkat tinggi mempertimbangkan nilai bisnis _ _ _ _ _ _ dari aset informasi , _ dan
itu dari om _ _ _ itu organisasi _ _ bisnis titik dari melihat. Pada t h e jalan pertama keputusan titik
(melihat Angka 2 ), beberapa faktor membantu dalam menentukan apakah penilaian tingkat tinggi
memadai untuk menangani risiko ; _ _ _ _ _ Faktor - faktor ini dapat mencakup hal - hal berikut:
itu bisnis tujuan ke menjadi tercapai oleh menggunakan berbagai info m at i on aktiva;
sampai sejauh mana eo rgan izat i pada bisnis bergantung pada setiap aset infor ma tion , yaitu _ _
_ _ _ _ _ _ _ _ apakah itu menyenangkan ? _ _ _ _ _ itu itu organisasi n menganggap cr it ica l
untuk itu s _ su r viva l atau _ _ perilaku e ff ec t ive dari bisnis bergantung pada setiap aset, atau
pada kerahasiaan , integritas , ketersediaan , non-penyangkalan , akuntabilitas , sebuah
kesinambungan , dan r keandalan dari format i o n s t ored dan diproses pada t h is _ _ _ _ aset;
itu tingkat dari investasi di setiap aset informasi , dalam hal dari mengembangkan, memelihara,
atau mengganti aset , sebuah n d
itu saya informasikan _ _ aktiva, untuk yang mana _ organ i zat i o n d ir dll l y menugaskan nilai.
Kapan t ese _ faktor adalah dinilai , itu keputusan menjadi lebih mudah. Jika itu tujuan _ _ o f sebuah
keledai _ adalah sangat penting bagi organisasi dalam menjalankan bisnisnya , atau jika asetnya
berisiko tinggi , maka iterasi kedua , _ _ _ _ _ _ _ _ _ _ terperinci penilaian risiko , haruskah
dilakukan _ Untuk informasi tertentu tentang aset (atau p a r t daripadanya) .
Aturan umum untuk diterapkan adalah : jika kurangnya keamanan informasi dapat mengakibatkan
konsekuensi merugikan yang signifikan bagi suatu organisasi , proses bisnis atau asetnya , maka
kedua eration r isk menilai m ent , a t more rinci tingkat l , diperlukan untuk mengidentifikasi potensi
ia l r i sks . _
Untuk panduan tambahan tentang teknik yang dapat digunakan untuk penilaian risiko keamanan
informasi terperinci , lihat IEC 3 1 010 .
Contoh berikut menggunakan nomor untuk menggambarkan penilaian kualitatif . _ _ _ _ _ _ _
Pengguna metode ini harus mewaspadai bahwa dapat menjadi tidak valid untuk melakukan tindakan
lebih lanjut di bidang kesehatan . _ operasi menggunakan t dia nomor itu apakah hasil yang
berkualitas dihasilkan ? oleh qua li tative r i sk metode penilaian.
T ab l e E . 1
Li kelihood dari
terjadi c e - Ren aku um _ _ _ Ting
jam _ _ _ dah gi
Meredakan
dari E x p l o i L M H L M H L M H
tation
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
A sse t 2 2 5
3 4 3 4 4 5 6
Nilai 3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Untuk setiap aset, t h e relevan _ vul n erab ili t i es and t i ir koreksi p o n ding hasilnya adalah _ co
n sisi r ed. Jika di sini saya bilang v ul n er abi li t y _ dengan saya tidak ada tanggapan dari rekanan
_ _ t jam makan , o r di jam makan _ wit h o ut co r res p o nd i n g vu l n e r abi li t y , t h e r e i s
hadir l y no r adalah k (tapi t ca r es h o u ld be t a k en i n kasus t h adalah sit u at i on c h a n ges).
Sekarang t h e app r o p ria t e row i n itu matr i x saya s ident yang saya berikan t h e keledai _ va lu e
, dan sesuai c ol umn saya s saya diidentifikasi oleh y the seperti li hood of itu t jam makan _ terjadi r
r di g dan t h e meredakan dari ex pl o itu di i o n. Untuk exa mp le , i f t dia menilai t memiliki t dia
nilai 3, t h r makan i s " hi g h " sebuah nd t h e vul n er r ab ili ty " rendah " , t dia m eas u re dari r
adalah k adalah 5. Ass u me a asse t h sebagai va lu eo f _ 2, misalnya . untuk r mod saya aktifkan , _
dia _ ancaman tingkat l adalah " aku tidak apa-apa" sebuah nd itu meredakan dari exp l oitat i on
adalah " h i gh " , t h en t h e ukuran r adalah k adalah 4. Ukuran t hema t rix , dalam t e r ms dari
jumlah th r makan kategori mata pencaharian , kemudahan ex pl o it at i o nc atego r ies a nd t he nu
mb er of satu set v al u at i o nc atego ries , bisa ad j u s t e d untuk t dia perlu begitu ft he _ orga n iz
di io n. Tambahkan saja _ _ _ c o l u m ns a nd ro ws n e c essita t e tambahan r i sk me a s ur es . _
Pendekatan va l u eo ft h i s in ranking the r i s s to be tambahkan r esed.
SEBUAH s i m il a r m at r i x seperti yang ditunjukkan n pada Tabel E 2 r es u lts dari o m t he co n s
id e r at i o n o f th e li keli h oo d o f sebuah i n cid ent scene r io , mappe d lagi n s t itu es t saya makan
d _ bisnis saya mpac t . T h e li kel i h oo d o f sebuah dalam c id ent sce n ar i o saya diberikan oleh
sebuah makanlah _ _ exp l oit i ng sebuah vu l nerability dengan saya _ sebuah ce rt ai n _ li k e li hood
. T h e ta bl e ma p s ini l ik e li hood lagi aku nst t dia b bisnis saya mp ac t aku gembira t o th e saya
ncident skenario i o . Hasilnya i n g _ r adalah k adalah m easu r ed o n a skala dari HAI ke 8 t ha t tidak
ada be ev a l u makan a g ai nst r is k ac c epta n ce c r ite r ia. Skala ini _ _ _ _ _ bisa juga e m app d
untuk s i m p le overa ll r i sk rat i ng , Misalnya sebagai:
Rendah ri s k: 0 untuk _ 2 ;
ed i um _ r isk : 3 ke 5 ;
hai _ saya sk :6 ke 8.
T a ble E . 2
ukuran r isk . _ _ _ _ Perhatikan bahwa , dalam contoh ini , 1 diambil sebagai konsekuensi terendah
dan kemungkinan terendah dari _ kejadian.
Tab l e E.3
Deskripsi Konsekuensi Kemungki ukuran Peringk
ancaman (aset) nilai nan dari _ at
terjadinya memper ancama
(sebuah) (bl ancaman taruhka n
(c) n
(e)
(d)
Ancaman 5 2 10 2
SEBUAH
AncamanB 2 4 8 3
kami _ _ C 3 5 15 1
Ancaman D 1 3 3 5
treat _ E 4 1 4 4
makanlah _ 2 4 8 3
F
Seperti yang ditunjukkan di atas, ini adalah sebuah proc edu r e yang izin berbeda t jam makan _
dengan berbeda konsekuensi dan kesamaan kejadian untuk dibandingkan dan diurutkan secara
berurutan _ _ _ _ prioritas, seperti yang ditunjukkan di sini. Di jadi misalnya , itu perlu _ _ untuk
assoc aku makan nilai moneter dengan itu skala empiris yang digunakan di sini.
E.2.4 Contoh 3 - Menilai sebuah va lu e untuk itu seperti mata pencaharian dan itu
mungkin konsekuensi
dari risiko
Dalam contoh ini , penekanan ditempatkan pada konsekuensi dari insiden informasi ( yaitu insiden _ _
_ _ _ _ _ _ _ _ skenario) dan o n menentukan w ic h _ sistem haruskah _ diberikan prioritas. Ini adalah
lakukan n e dengan menilai dua nilai-nilai untuk setiap aset sebuah d r saya sk, apa yang saya lihat di
sisir di atio n akan _ tentukan t h e skor untuk setiap aset. Semua _ _ itu aset skor untuk sistem sudah
diatur , sebuah ukuran risiko untuk itu sistem ditentukan .
Pertama, sebuah va lu e ditugaskan ke setiap aset. Nilai ini berhubungan dengan potensi konsekuensi
yang merugikan _ itu bisa timbul jika _ aset terancam . _ Untuk setiap appl i cab l e ancaman
terhadap aset, ini nilai aset ditugaskan ke aset.
Lanjut, sebuah li keli ho od va l ue adalah dinilai . Ini dia _ _ dinilai dari sisir saya bangsa dari itu
seperti li hood dari itu ancaman terjadi _ dan itu meredakan dari exp l oitat i on kerentanan, lihat
Tabel E 4 ungkapkan aku ng li k e li hood dari sebuah insiden _ sce n ar i o.
Meja E.4
Kemungkinan dari Ren Sedang Ting
Ancaman dah gi
tingkat dari L M H L M H L M H
Kerentanan _
Kemungkinan Nilai 0 1 2 1 2 3 2 3 4
ofan
kejadian skenario
Lanjut, sebuah n aset/ reat sco r e saya ditugaskan _ oleh temuan itu int ereksi n dari aset nilai dan
nilai kemungkinan dalam Tabel E 5 . Aset /ancaman skor adalah berjumlah ke menghasilkan sebuah
nilai total aset . Ini gambar bisa _ _ menjadi kamu ingin b e r b e d a nt iate antara aset yang
membentuk bagian dari suatu sistem.
T bisa ES
Aset v a lu e 0 Saya 2 3 4
Seperti elih ood
nilai
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
Itu fi n a l langkah adalah ke total l a ll t h e aset total skor untuk r aset sistem , skor sistem produksi .
_ Ini dapat digunakan untuk membedakan di antara sistem dan untuk menentukan saya ne yang mana
sistem _ _ perlindungan harus _ _ _ diberikan prioritas . _ _ _
Di itu mengikuti contoh l es, semua nilai-nilai adalah acak l y terpilih.
Misalkan Sistem m S h sebagai tiga aset Al, A2 dan A3. Juga misalkan ada r e t wo t h reats Tl dan T2
berlaku ke sistem S Membiarkan nilai dari Al menjadi 3. S i milarly , mari nilai aset dari A2 menjadi
2 dan nilai aset A3 menjadi 4.
I f, untuk r Al dan Tl, itu ancaman seperti elihood i s aku tahu dan _ meredakan dari exp l o it at i on
of t h e vu l nerab il ity i s m edium, maka nilai kemungkinannya adalah 1 (melihat T ahl e E 4 ) .
Itu aset/ancaman skor Al/Tl tidak ada menjadi de r ived dari saya _ Tahle E S sebagai t h e di
bagian n dari aset va l ue 3 dan l ik nilai kelayakan 1, saya . 4. Demikian pula untuk Al/T2 ayo itu
ancaman li kelihood adalah med iu m dan kemudahannya dari exp l oitat i o n of kerentanan tinggi,
berikan di g an Al/T2 skor dari 6 .
Sekarang _ itu total aset skor Bisa jadi dihitung, yaitu 10. Itu sama sekali aset skor adalah bisa saya
hitung untuk setiap aset dan ancaman yang berlaku . Itu total skor sistem saya s perhitungan dengan
penambahan AlT _ _ _ +AZT+ A3T ke g iv e ST .
Sekarang berbeda sistem bisa menjadi dibandingkan dengan mendirikan prioritas dan berbeda aset
dalam satu sistem juga.
Itu contoh l e di atas menunjukkan saya tidak ketentuan dari saya n formasi sistem . Namun, serupa
pendekatan bisa menjadi aplikasi li ed untuk proses bisnis.
Mencaplok F
(informatif)
Sambil mempertimbangkan const r a i nts untuk r adalah k modifikasi, itu mengikuti kendala nt s s h ou
l d menjadi diperhitungkan : _
Waktu kendala n ts:
Banyak jenis dari t i me kendala dapat ex i s t. Untuk contoh, kontrol s h ou l d jadilah saya m p l
emented dengan i th i n a time periode yang dapat diterima l e untuk organ i zat i on 's manajer.
Lain Tipe waktu kendalanya adalah apakah a kontrol bisa menjadi imp l e m ented di dalam
seumur hidup dari t h e i n format i o n atau sistem. SEBUAH ketiga t y p e dari t i m e kendala
bisa jadi itu periode waktu itu organisasi manajer d ec id es adalah yang dapat diterima Titik
terkena risiko tertentu .
Keuangan kendala:
Kontrol harus tidak menjadi lagi mahal untuk i mpl e m ent atau to menjaga daripada nilai dari
risiko yang mereka lindungi untuk dilindungi . _ _ _ _ Setiap usaha seharusnya tidak melebihi
anggaran yang ditetapkan _ _ _ _ _ _ _ _ dan mencapai fi na n c i al keuntungan melalui
penggunaan _ _ dari kontrol. Namun, dalam jadi saya _ kasus. itu saya tidak menjadi mungkin i b
l e untuk mencapai t h e diinginkan keamanan dan tingkat r i sk _ penerimaan karena keterbatasan
anggaran . Oleh karena itu , ini menjadi organisasi keputusan manajer untuk menyelesaikan
situasi ini . _ _
Perhatian besar harus menjadi diambil jika itu anggaran mengurangi jumlah atau kualitas dari
kendalikan _ _ ke menjadi diterapkan sejak _ _ ini bisa menyebabkan imp li c itu retensi _ risiko
lebih besar dari yang direncanakan. Itu mapan anggaran untuk kontrol l ss h o uld saja digunakan
sebagai faktor pembatas dengan sangat hati-hati.
tek n ikal _ const r a nt s :
Teknis p r ob l ems, li k e itu co m patib il ity dari program atau perangkat keras, bisa mudah l
y menjadi dihindari jika mereka _ diperhitungkan selama pemilihan cont r o l s . _ Selain itu ,
penerapan retrospektif pada kontrol terhadap proses atau sistem yang ada sering kali terhalang
oleh kendala teknis . _ _ _ Kesulitan-kesulitan ini dapat memindahkan keseimbangan kontrol
terhadap aspek prosedural dan fisik keamanan. saya tidak bisa _ diperlukan untuk merevisi
program keamanan informasi dalam urutan ke sip _ _ keamanan tujuan. Ini adalah bisa terjadi
Kapan kontrol melakukan bukan bertemu edisi yang diharapkan _ r e s u l t dalam mengurangi
risiko tanpa mengurangi produktivitas . _ _ _
Operasikan i o n al const r a i nts
Operasikan i o n a l kendala seperti harus beroperasi 24/7 namun tetap melakukan back-up dapat
mengakibatkan kerumitan dan mahal i mp l eme n tat i on dari kontrol l s kecuali mereka adalah
dibangun ke dalam desain benar dari awal .
Kultural kendala:
Hambatan budaya terhadap pemilihan kontrol dapat spesifik untuk suatu negara, sektor ,
organisasi atau bahkan departemen dalam suatu organisasi . Tidak semua _ kontrol dapat
diterapkan di semua negara . _ _ Untuk contoh, dia bisa jadi mungkin ke melaksanakan b ag
mencari di p a r ts of Eropa tetapi tidak dalam bidang seni di Timur . _ _ _ Aspek budaya tidak
bisa diabaikan karena banyak kontrol atas mereka yang aktif . _ _ _ _ _ s up port dari staf ff . _
saya _ t h e staf tidak bukan memahami kebutuhan untuk _ t h e kontrol atau lakukan _ bukan
merasa cukup dapat diterima , kontrol menjadi tidak efektif dari waktu ke waktu.
© 1S0/IEC 2018- All rights 5
ISO/IEC
Etis kendala:
Kendala etika dapat berdampak besar atau berdampak pada kontrol karena etika berubah
berdasarkan norma sosial . _ _ Ini dapat mencegah impl em nt ing kontrol seperti sebagai surel
pemindaian di beberapa negara. Pribadi
dari informasi bisa juga berubah tergantung pada etika dari itu daerah atau pemerintah. Ini dapat
menjadi perhatian lebih di beberapa industri sektor daripada yang lain, Misalnya, pemerintah dan
kesehatan.
Lingkungan kendala:
Faktor lingkungan dapat mempengaruhinya _ _ pemilihan kontrol, seperti ruang ketersediaan,
kondisi iklim ekstrim. geografi alam dan perkotaan di sekitarnya. Untuk misalnya, pemeriksaan
gempa mungkin diperlukan di beberapa negara tetapi tidak perlu di negara lain.
Meredakan dari menggunakan:
Antarmuka manusia yang buruk menghasilkan kesalahan manusia dan dapat membuat
penggunaan kontrol menjadi lebih sedikit . Kontrol harus dipilih untuk menyediakan optimal
meredakan penggunaan _ ketika mencapai tingkat risiko residual yang dapat diterima untuk
bisnis. Mengontrol itu sulit untuk gunakan berdampak pada keefektifannya, sebagai pengguna
dapat mencoba untuk menghindari atau mengabaikannya sebanyak mungkin. Kontrol akses yang
kompleks dalam sebuah organisasi dapat mendorong pengguna untuk cari l ternate, tidak sah
metode dari mengakses.
Personil kendala:
Itu ketersediaan dan biaya gaji dari keahlian khusus untuk menerapkan kontrol, dan kemampuan
untuk bergerak staf di antara lokasi di merugikan Pengoperasian kondisi, Sebaiknya menjadi
dipertimbangkan. Keahlian mungkin tidak bersiaplah tersedia untuk melaksanakan kontrol yang
direncanakan atau keahlian _ dapat terlalu mahal untuk organisasi . Lainnya aspek, seperti sebagai
kecenderungan dari _ beberapa staf untuk membedakan lainnya anggota staf yang adalah bukan
keamanan disaring, dapat memiliki jurusan implikasi untuk kebijakan keamanan dan praktek.
Demikian juga, itu membutuhkan ke mempekerjakan itu Baik rakyat untuk pekerjaan, dan temuan
itu Baik rakyat, bisa hasil di perekrutan sebelum pemeriksaan keamanan dilakukan . _ _
Persyaratan pemeriksaan keamanan yang harus diselesaikan sebelum perekrutan adalah praktik
yang normal dan paling aman.
Kendala dari mengintegrasikan baru dan yang ada kontrol:
Integrasi kontrol baru dalam infrastruktur yang ada dan saling ketergantungan antar kontrol sering
diabaikan. Baru kontrol mungkin bukan dengan mudah diimplementasikan _ jika di sana adalah
ketidaksesuaian atau tidak kompatibel dengan yang ada kontrol . Untuk contoh, sebuah berencana
untuk menggunakan token biometrik untuk akses fisik kontrol bisa sebab konflik dengan sebuah
yang ada PIN-pad berdasarkan sistem untuk mengakses kontrol biaya berubah pengendalian dari
pengendalian yang ada ke pengendalian yang direncanakan harus mencakup elemen yang akan
ditambahkan ke keseluruhan l biaya resiko _ perlakuan. Dia mungkin bukan mungkin untuk _
menerapkan a kontrol yang dipilih karena gangguan arus kontrol.
Bibliografi
© 1 S0/IEC
© 20 1 8 - Semua
1S0/IEC hakrights
2018- All disimpan 5
ISO/IEC 27005:2018(E)