Management Cyber - IND

STANDAR 1S0/IEC
INTERNASIONAL 27005
ini aku _ edisi

2018- 07
Teknologi Informasi - Teknik

keamanan - Manajemen risiko
keamanan informasi
Teknologi dari / informasi - Teknik keamanan _ - Manajemen
dari risiko berhubungan dengan itu keamanan dari
/'informasi
Referensi nomor
© 1S0/IEC 2018
ISO/IEC 27005:2018(E)
2 © 1S0/IEC 2018- All rights

ISO/IEC
HAK CIPTA DOKUMEN YANG DILINDUNGI

© 1S0/IEC 2018
Semua hak disimpan. Un l ess jika tidak saya tentukan, atau yg dibutuhkan di itu konteksnya _ i mp l cmcnt.ation, tidak ada
bagian dari ini publikasi mungkin _ direproduksi atau digunakan sebaliknya di mana saja membentuk atau oleh setiap cara,
elektron i co r mekanik saya ca L termasuk fotokopi, atau posting di itu internet atau _ intranet , tanpa tertulis sebelumnya _
izin . Izin bisa menjadi diminta dari e i th e r ISO pada itu alamatnya rendah atau _ anggota ISO _ tubuh dalam du negara
dari itu peminta.
SAYA BEGITU hak cipta orflce
CP 401 • Bab. d e Blandonnet 8
CH·1214 Vernie1 Telepon Jenewa
: +41 22 749 0111
Faks : +4122 749 09 47
emai l : hak cipta@iso.org
Web saya : _ W\Y\'\l.iSO.Ol'g
Diterbitkan di Swiss
© 1S0/IEC 2018
ISO/IEC
Halaman Isi
Kata pengantar . . . . . . . .
----- - ······························v
... _
Pendahuluan . . . . .. _ _ ........................................vi
1 Lingkup . . . ................ 1
2 normatif referensi ----------- ·······················1
3 Ketentuan dan d ef in itio ns 1
4 Struktur ini d dokumen ...................................................................... ...................................._ ........................-- - 1
5 Latar belakang ................................................................................................................................... 2
6 Ringkasan dari itu informasi keamanan mempertaruhkan pengelolaan proses ....................3
7 Konteks pendirian 5
7.1 Umum pertimbangan .............................................................................................................. 5
7.2 Dasar c c r it ri ia 6
7 . 2.1 Pendekatan Manajemen Risiko . . . . . . . . . . . . . .. ····················----- - 6
7.2.2 Risiko evaluasi kriteria ··--- - ----·····. · 6
7.2.3 Dampak kriteria ---
········································ 6
7.2.4 Risiko penerimaan kriteria ... ......................................................................_ 7
7.3 Cakupan dan batas ... _ --- ·············7
7.4 Organisasi untuk informasi keamanan mempertaruhkan manajemen .................................. 8
8 Informasi keamanan mempertaruhkan penilaian . ----· -----------------------8
8.1 Umum keterangan dari informasi keamanan mempertaruhkan penilaian ... .......................8
8.2 Risiko identifikasi . . . . . . . . . .. ··············· --- 9
8.2.1 Pengantar risiko _ identifikasi .... ------ ················9
8.2.2 Identifikasi dari aktiva..... ----· --- ............. 9
8.2.3 I de ntifi cationofth r e ats .. .................................................................................. 10
8.2.4 Identifikasi dari kontrol yang ada ... ---·--- ·············10
8.3 8.2.5 Identifikasi dari ikatan vu l nerab ili . . . . . . . ......................................................... 11

8.2.6 I de nti f i kation dari konsekuensi .......................................................................12
Analisis resiko 12
8.3.1 Risiko ana l ysis metodologi . . . . . . . . . . . . . ... ················ --
12
8 . 3.2 Penilaian dari konsekuensi ................. ------ ··············13
8.3.3 Penilaian dari kejadian seperti e lih ood ...... ---·-- - ..·····
l4
8.3.4 L o o fri skde t e rm i nation _ ------- ···············15
8 . 4 Risiko mengevaluasi i o n --··-- - ··············· ----·--- --
15
9 Informasi keamanan mempertaruhkan pengobatan ... .............................................................16
9.1 Umum keterangan dari mempertaruhkan pengobatan.._ ------- ·············16
9.2 Risiko m odificat i o n ............. 18
9.3 Risiko r e t e nt i on .......... 19
9 . 4 Risiko penghindaran .......... 19
9,5 ru s ri . .._ 19
10 Informasi keamanan mempertaruhkan penerimaan ................................................................20
11 Informasi keamanan mempertaruhkan komunikasi dan konsultasi ......................................20
12 Informasi keamanan mempertaruhkan pemantauan dan ulasan ---·- - ·················21
12.1 Pemantauan dan tinjauan dari faktor risiko .................. ......................................................21
12.2 Mempertaruhkan pengelolaan pemantauan, r evi ew dan peningkatan ...............................22
i © 1S0/IEC 2018- All rights

ISO/IEC
Mencaplok SEBUAH (informatif) Mendefinisikan ruang lingkup dan batasan dari keamanan
informasi manajemen risiko _ proses -- ·
------------------- · --- - .
24
Mencaplok B (informatif) Identifikasi dan penilaian dari aktiva dan dampak penilaian .. ... .......28
Mencaplok C (informatif) Contoh dari sangat bagus ancaman ...........................................................37
© 1S0/IEC 2018- All rights i

ISO/IEC
Mencaplok D (informatif) Kerentanandan metode untuk kerentanan penilaian .. 41

Lampiran E (informatif) Risiko keamanan informasi pendekatan .............................penilaian 45
Mencaplok F (informatif) Kendala untuk mempertaruhkan modifikasi .. 51
Daftar Pustaka .................. 53
i © 1S0/IEC 2018- All rights

ISO/IEC
Kata pengantar
I SO ( t he I n ernat i o n al Orga n iza t ion for Stan d ar d iza t io n ) dan ! EC ( t h e I nterna t iona l
E l ectro t ec h n i ca l Commission) membentuk sistem khusus untuk standardisasi di seluruh dunia.
Badan-badan nasional yang menjadi anggota ISO atau ! EC bagian i ikut serta dalam pengembangan
Standar Internasional melalui t ech n i ca l com m i ttees yang dibuat oleh r espect iv e organisasi t o d
e a l w it h h t i k a l d a l d i aktivitas t ek nik . ISO dan !EC tech n ica l kolaborasi komite makan i n
bidang o f bersama _ saya tertarik. Organisasi internasional lainnya , _ pemerintah dan non-
pemerintah , berhubungan dengan I SO _ dan !EC, aku jadi ambil bagian saya sedang bekerja . saya
tidak dia _ f i e ld dari i nfo r ma t ion teknologi nologi , ISO dan ! EC memiliki senang sekali _ a j oi
nt t teknis panitia, I SO/IECJTC 1.
Proses yang digunakan untuk mengembangkan adalah dokumen dan selang tidak berakhir untuk
bagiannya yang paling penting dideskripsikan _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ di t h e I SO/ IEC
Direct iv es , Bagian 1. saya tidak part u lar t ed iff e r ent _ kriteria persetujuan _ diperlukan untuk
berbagai jenis dari dokumen harus dicatat . _ _ _ Dokumen ini disusun dalam _ sesuai dengan editor i
a l ru l es _ dari itu Arahan 1S0/IEC, Bagian 2 (lihat www isoorg/dj r ect i ves ).
Ion t nt _ _ ditarik _ ke t h e kemungkinan t ha t jadi salah satu elemen dari dokumen ini nt _ _ m ay
menjadi itu subjek hak paten . _ 1 S0 dan saya EC tidak akan dia l d bertanggung jawab untuk
mengidentifikasi salah satu atau semua hal tersebut paten r ig ht s. rincian dari setiap paten r ig ht s id
disahkan selama r i ng t dia pengembangan dokumen t h e u me nt akan di t h e Int roduct i o n a nd /
atau pada saya SO _ li st o f deklarasi paten yang telah diresensi ( lihat www isoprg / patents ).
Nama dagang apa saja menggunakan saya dalam ini doc u men ti s in formasi g saya sudah n untuk
kenyamanan _ _ dari u se r s dan lakukan bukan merupakan sebuah n pengesahan.
Untuk sebuah exp l anation pada dia _ sukarela r y sifat standar , arti persyaratan khusus ISO dan d exp r
essi kembali aku makan _ untuk _ co n for m it y _ penilaian, sebagai kami akan _ i n format i o n
tentang _ saya begitu patuhi _ _ untuk _ t h e Perdagangan Dunia Prinsip - prinsip organisasi ( WTO )
dalam Technica l Hambatan untuk Tra d e (TBT) lihat URL berikut : www iso org/iso(kata pengantar
html .
Ini dokumen _ _ _ dulu p r persiapan d oleh Tec h nica l Co m m it tee ISO/ I EC )TC 1, Informasi
teknologi,
Subkomite SC 27 , DIA Teknik keamanan .
Umpan balik atau pertanyaan apa pun atas dokumen ini harus ditujukan kepada pengguna _ _ _ _ _ _ _ _ _
_ na t iona l sta nd a rd s tubuh. Lengkap _ daftar saya ng dari t h ese bod i es can menjadi fou n d di
www iso org/members html .
T h is t h i rd ed it io n canc l s and replaces t i d i n u d i d i d i d ( I SO/IEC 27005:2011 ) yang telah
secara teknis rev saya sed . utama _ _ perubahan dari m t h e sebelumnya _ _ editio n a r e sebagai
berikut :
semua langsung referensi _ _ untuk _ itu ISO/IEC 27001:2005 h ave b ee n kembali ; _

jernih informasi memiliki pernah ditambahkan itu ini aku _ dokumen melakukan bukan berisi d
saya luruskan gu i da n ce pada imp leme nt di i o n o f _ t dia saya SMS r equ i reme nt ss p ecified
in ISO / IEC 27001 (melihat I nt ro du c t io n) ;
SAYA SO/IEC 27001:2005 telah dihapus dari Klausul 2

· Saya SO/IEC 27001 telah ditambahkan ke Daftar
Pustaka ; _ _ _ _ n mantan _ G dan d semua referensi
telah dihapus d ; _ _ _ editor l perubahan telah dibuat
sesuai.
© 1S0/IEC 2018- All rights V

ISO/IEC 27005:2018(E)
pengantar
Dokumen ini memberikan pedoman untuk manajemen risiko keamanan informasi dalam suatu
organisasi. Namun, dokumen ini tidak menyediakan setiap metode khusus untuk manajemen risiko
keamanan informasi. Terserah _ _ organisasi _ untuk menentukan pendekatan mereka ke
mempertaruhkan manajemen, tergantung misalnya pada ruang lingkup suatu s i s t e m manajemen
keamanan informasi (SMKI), konteks manajemen risiko , atau industri sektor. Sebuah angka dari
metodologi yang ada dapat digunakan di bawah kerangka kerja yang dijelaskan dalam ini dokumen
untuk mengimplementasikan persyaratan dari sebuah SMKI. Ini dokumen didasarkan pada aset,
metode identifikasi risiko ancaman dan kerentanan yang tidak lagi diperlukan oleh ISO/IEC 27001.
Ada beberapa lainnya pendekatan yang dapat digunakan.
Ini dokumen melakukan bukan berisi bimbingan langsung pada pelaksanaan dari itu SMKI
persyaratan diberikan dalam ISO/IEC 27001.
Ini dokumen adalah relevan ke manajer dan staf khawatir dengan manajemen risiko keamanan
informasi dalam suatu organisasi dan, jika sesuai, pihak eksternal yang mendukung kegiatan tersebut.
v © 1S0/IEC 2018- All rights

INTERNATIONAL ISO/IEC
Informasi teknologi - Keamanan teknik -

Informasi keamanan mempertaruhkan pengelolaan
1 Cakupan
T h adalah dokumen nt menyediakan pedoman untuk informasi _ _ keamanan _ _ mempertaruhkan
manajemen . _
Ini dokumen apakah kamu suka genus l konsep ditentukan dalam ISO/ IEC 27001 dan dirancang
untuk membantu sat i sfactory i mpleme n ta t ion of i nfor m at i on keamanan berdasarkan
pendekatan m a n a r isk m a n usia . _ _ _
Tahu l tepi dari itu konsep, mode l s, proses dan terminologi dijelaskan di 1S0/IEC 27001 dan ISO/
! EC 27002 saya s saya penting untuk r sebuah lengkap di bawah t andi n g dari ini dok . _ _
Ini adalah dokumen aplikasi li cab l e untuk semua jenis organisasi ( misalnya . perusahaan komersial ,
instansi pemerintah , organisasi nirlaba ) yang saya tuju _ mengelola r isk yang bisa kompromi saya _
_ informasi organisasi _ _ _ _ _ keamanan .
2 normatif referensi
Dokumen - dokumen berikut dirujuk dalam teks sedemikian rupa sehingga sebagian atau seluruh
isinya merupakan persyaratan dari dokumen ini . Untuk referensi bertanggal , hanya edisi yang dikutip
yang berlaku . _ Untuk r efe rensi yang tidak t ed ed , t h e t ed it ion dari dokumen yang dirujuk dan
diserahkan nt _ ( saya termasuk a n y amin d ment) aplikasi _ _
1 S0/IEC 27000, Teknologi Informasi - Teknik keamanan - Manajemen keamanan informasi sistem -
Ikhtisar dan kosa kata
3 Ketentuan dan d e definisi

Untuk itu p kamu berpose dari ini aku _ dokumen, itu ketentuan dan definisi diberikan saya tidak
SAYA JADI/ SAYA EC 27000 dan ikuti saya ng _ aplikasi . _ _
ISO dan IEC menjaga terminologis database untuk menggunakan di standardisasi pada mengikuti
alamat: I SOO n li n e browsing platfo r m: tersedia di htrps · (/www jso org/obp

! EC Elektropedia: tersedia _ _ pada http·4'www rlrctropedja organisasi/
4 Struktur _ dari ini dokumen dan nt

Ini adalah dokumen dan berisi deskripsi tentang _ _ _ _ _ informasikan saya tentang keamanan saya ty r i
sk mengelola proses m ent dan aktivitasnya . _
T h e Latar Belakang informasikan saya _ adalah asalkan saya tidak Ayat 5 .
Sebuah gen r a l lebih dari saya dari t h e informasikan m di i o n detik u r itu y r saya sk manajemen nt
proses adalah berikan n i n Klausa 6 .
Semua informasi detik pertama _ r isk pengelolaan bertindak i v i ikat sebagai disajikan di Ayat 6 a
r e s u bseq u ently desc i bed in the fo ll ow in g klausa :
konteks stabil saya shment saya tidak
© 1S0/IEC 2018- All rights 1

ISO/IEC
Ayat 7 ; r iskassessme n t dalam Klausul
8;
r adalah k t makan m ent saya tidak C l a us e 9 ;

INTERNATIONAL ISO/IEC
r iskaccep tan ce dalam Klausa 1

O · komunikasi risiko dalam C
J ause 1 1 ; _
mempertaruhkan pantau aku _ sebuah nd rev saya ew saya tidak Ayat 12 .
Tambahkan itu iona li nfor m at i on for i n format i o n secure it y aktivitas manajemen risiko
disajikan dalam _ _ _ sebuah n ongkos. Itu konteks didirikan l is h men ti ss up o r ted by
Mencaplok SEBUAH (Mendefinisikan ruang lingkup sebuah nd batas proses manajemen risiko
keamanan informasi ) . Identifikasi dan penilaian _ _ _ _ penilaian aset dan dampak adalah dibahas
saya tidak Mencaplok R . Mencaplok C g saya ves contoh dari ketik saya _ ancaman dan Lampiran P
saya membahas kerentanan dan metode untuk penilaian kerentanan . _ _ _ _ _ _ _ Contoh i nfo rm at i
on sec u r it y r is k assessmentme nt _ aplikasi r oaches adalah disajikan dalam Lampiran _ E .
Kendala untuk r adalah k m odifica t ion adalah disajikan di Mencaplok E
Semua r saya sk pengelolaan bertindak i v i ikat sebagai disajikan dari CJause 7 ke CJause 1 2 adalah tersusun
sebagai berikut:
.J.uuiU.: saya mengidentifikasi setiap r equ saya merah informasikan m di i o n ke lakukan r m dia _ aktivitas.
Actjon- D menjelaskan itu aktivitas . _
Jmp J mentat j on id saya : Menyediakan kamu menari _ pada melakukan tindakan. Beberapa dari
saya _ panduan mungkin tidak menjadi cocok di semua kasus begitulah _ _ lainnya cara dari pe r formi
n g tindakan mungkin menjadi lebih sesuai.
Keluaran · mengidentifikasi setiap informasi berasal dari setelah melakukan itu aktivitas .
5 Backg r ou n d
SEBUAH ic yang sistematis mendekati _ _ saya nfo rm di io n keamanan ri sk _ _ manajemen adalah
n ecessa r y ke mengidentifikasi kebutuhan organisasi kebutuhan reorganisasi persyaratan keamanan
informasi dan untuk menciptakan sistem manajemen keamanan formasi yang efektif _ _ (SMKI).
Pendekatan ini harus dilakukan cocok untuk lingkungan organisasi dan , khususnya , harus
diselaraskan dengan overa ll ente r pr i se r isk m a nagement . Upaya keamanan harus menambahkan
r ess r i sks di an e ff ec t ive a nd t i mely manne r apa kabar _ dan ketika mereka dibutuhkan . _ saya
info rm asi manajemen risiko keamanan harus menjadi bagian integral dari semua aktivitas
manajemen keamanan informasi dan harus _ _ _ _ _ _ aplikasi li ed baik untuk i implementation _ dan
itu ayo saya ng operasi n dari sebuah SMKI.
keamanan formasi _ _ _ manajemen risiko nt s h ou ld menjadi co nt i nu al proses . Itu proses
membangun konteks eksternal dan internal , menilai risiko dan menangani risiko menggunakan _
rencana penanganan risiko untuk saya implementasikan t h e rekomendasi dan keputusan. R saya sk
kelola saya _ _ analisis apa yang harus tidak ada senang _ _ a dan w h di _ p mungkin konsekuensi
bisa menjadi, sebelum putuskan di g apa _ _ haruskah kamu _ _ selesai sebuah nd Kapan, untuk
mengurangi r i sk _ _ ke tingkat l yang dapat diterima .
I n forma t io n amankan y _ r saya sk m anage m ent apakah Anda akan
berkontribusi ? untuk itu _ berikut: r isks menjadi ide nt ified;
risiko sedang dinilai di syarat dari milik mereka konsekuensi ke t h e bisnis n ess dan itu seperti li
hood dari kejadiannya ; _ _ _ _
l ikeli h ood _ sebuah n d urutan co n dari risiko ini _ menjadi commu n icated dan
dipahami; pri io r it yo r der for ri s kt reat m e nt in g es t ablished ;
prioritas untuk tindakan ke r mengurangi risiko terjadi ; _ _ _

ISO/IEC
mempertaruhkan orang tua saya terlibat ketika mengambil keputusan manajemen risiko _ _ _ _ _
_ _ _ _ dan terus saya informasikan status manajemen risiko ;
efektivitas dari r saya sk t r makan pemantauan;
r isks dan _ _ mempertaruhkan manajemen untuk proses p berada di g dipantau dan apakah aku sudah
menikah ? reg u la rly ;

ISO/IEC
i nfo r ma t ion jadilah aku _ ca p t u red ke saya meningkatkan dia _ ri sk manajemen nt mendekati;
manajer dan staf makhluk berpendidikan tentang itu ris k s dan itu tindakan diambil ke apakah saya
tiga mereka .
Informasi tentang proses manajemen risiko keamanan _ _ _ _ _ _ bisa di ap li ed to t eo r gan i i on as

a who l e , _ _ n y bagian diskrit dari organ yang dikandungnya _ ( misalnya departemen , lokasi fisik
, layanan ) , setiap sistem informasi , ada yang direncanakan atau khusus sebagai dampak dari _ lanjut
r o l ( mis . bisnis n ess lanjutkan dan rencanakan ) .
6 Sangat menyenangkan _ dari ini _ dalam formasi _ detik itu juga _ r saya s k m
an ageme n t proses p
SEBUAH h igh aku tingkat pemandangan dari itu r adalah k pengelolaan proses adalah tentukan d saya tidak ISO
3100 0 dan bagaimana tidak _ _ saya tidak Angka J. _
_l_
- CONTEXT ESTABLISHMENT
z
rRISK ASSESSMENT----------7
0
RISK IDENTIFICATION :w
s ' '
s:
=>
V l >
z
0 RISKANALYSIS w
u '
c::
0 Cl
<z z
z <
0 < .:;
z
ii:
kamu <
' ' 0
z L !::
RISK E VALUATION J
T
=> z
::;: 0
::;;: ::;;:
0
u
RISK TREATMENT
T
Fi gu r e 1 - T dia r saya sk m a n agement p roc e ss
angka 2 menunjukkan bagaimana t h saya s ocu m ent _ sebuah pp kebohongan ini aku _ r adalah k
pengelolaan proses .
T h e informasi keamanan mempertaruhkan pengelolaan proses bertahan _ _ o f konteks pembentukan (
C l ause 7 ) . r saya sk
menilai saya _ ( Klausul 8 ), r i sk t r makan ( C l ause 9 ), r adalah k terima ( C l ause _ _ JO ) , r i sk com
mu n i cation a n d co n s u lta tion ( Saya SAYA). sebuah d r is k mo n it to ri ng a nd review ( Jeda ) 2 ) .

ISO/
-- II
l
CONTEXT ESTABLISHMENT --
r----------f7
RISK ASSESSMENT
RISK IDENTIFICATION
z
0
i=
=> RISK ANALYSIS Ul

z
V "l
'
>
0u 0 c::
Ul
z 0z
< <
z c.:,
0 z
RISK EVALUATION
i= ;:;;
:<:: L J 0
z RISK DECISIONPOINT 1 !z::
=> Assessment satisfactory 0::;:
::;: No
::;:
0u Ye,;
V"l
;:;;
RISK TREATMENT
RISK DECISIONPOINT Z
Treatment sat1sfaf':tory No
-- Yes
--
RISK ACCEPTANCE
ENDOFFI R STORSUBSEQ U Er!T AKU TERAT AKU ON
Angka 2 - Ilustrasi _ dari sebuah informasi keamanan mempertaruhkan pengelolaan proses p
Seperti gambar 2 diilustrasikan , proses manajemen risiko keamanan informasi dapat menjadi iteratif
untuk penilaian risiko dan / atau tindakan penanganan risiko . _ _ Sebuah pendekatan yang eratif
untuk melakukan asesmen r i sk dapat meningkatkan kedalaman dan detail asesmen pada setiap i i n i .
_ _ _ _ _ Pendekatan iteratif memberikan keseimbangan yang baik antara meminimalkan waktu dan
usaha dihabiskan i n ident i fyi n g kontrol l s, sementara aku masih pastikan saya ng h pada risiko
tinggi dinilai dengan tepat.
Konteksnya ditetapkan terlebih dahulu . _ Saat itu , penilaian ar i sk dilakukan. Jika p r ov id ini
memberikan informasi yang cukup untuk secara efektif menentukan tindakan yang diperlukan untuk
mengubah risiko ke tingkat yang dapat diterima , maka tugas tersebut diselesaikan dan risiko berikut t
r makan . Jika informasi yang saya berikan sudah cukup . _ lain itu era tion penilaian risiko dengan r
evised cont ext ( misalnya kriteria evaluasi r i sk i a , r is k kriteria penerimaan r ia _ _ _ _ _ _ _ _ _ _
atau saya mempengaruhi kriteria) adalah dilakukan, mungkin terbatas bagian dari t h e t ota l cakupan
(lihat gambar 2 , Poin Keputusan Risiko 1).
Itu n ess yang efektif dari t dia r isk t reat m ent tergantung pada hasil r iskassessme
nt . _ _ Catatan t h at r is k treatment i n vo l ves a proses siklus _ dari:
- menilai sebuah mempertaruhkan perlakuan;

ISO/IEC
memutuskan apa dia _ res idu al r adalah k l tingkat adalah dapat diterima;
menghasilkan yang baru r saya sk perawatan saya _
mempertaruhkan level adalah bukan dapat diterima; dan menilai
pengaruhnya terhadap _ _ _ _ _ _ _ _ _ _ t mengobati . _
saya itu mungkin topi _ dia _ r is kt reat m en nt do tidak t i mm e di makan ly mengarah ke tingkat
yang dapat diterima l dari r es idu al r adalah k. Dalam situasi ini , yang lain adalah salah satu dari
mereka yang menilai dengan penilai konteks yang berubah ( mis . _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _ _ saya sk menerima atau saya pakta cr i teria ) , jika perlu , dapat r equ i merah , diikuti oleh
perawatan lebih lanjut ( lihat gambar ) 2 Mempertaruhkan Keputusan Poin 2).
T h e r i s k menerima aktivitas _ _ _ sebagai _ ke memastikan residua l r i sks are exp l ic itu
diterima oleh t h e para manajer organ i zat i on . Hal ini terutama penting karena dalam situasi di
mana pelaksanaan kontrol dihilangkan atau ditunda , e . _ _ _ g . jatuh tempo untuk biaya t.
Selama seluruh risiko keamanan informasi proses manajemen , adalah penting bahwa risiko dan
perlakuannya dikomunikasikan kepada manajer dan staf operasional yang sesuai . Bahkan sebelum
perawatan _ _ dari risiko , _ i n untuk mati o n tentang ident i fied r i sks can menjadi sangat berharga
untuk _ _ _ m a n age i n c id e nt s and can he l p untuk mengurangi potensi nt ia l kerusakan.
Kesadaran oleh m a n usia r s dan staf f r adalah k s , t dia adalah f _ t dia mengontrol di tempat untuk
m saya tiga r i sks dan bidang yang menjadi perhatian organisasi ass i st i n berurusan dengan g
dengan entitas insiden sebuah d kamu n berharap _ _ malam nt s aku bukan dia paling efektif m an n
er . _ T dia terperinci hasil nya _ dari setiap bertindak ivit y of t dia informasi se u r it y risiko m a n
usia m ent proses dan dari dua risiko d ecis i o n poin harus didokumentasikan . _ _
1 S0/IEC 27001 menentukan t h at t h e kontrol i mpl e m ente d wit h i nt he cakupan, batasan
sebuah d konteks dari SMKI harus berbasis risiko . _ Itu aplikasi dari sebuah informasi
mengamankannya thn i sk ma n proses manajemen bisa memenuhi persyaratan ini. Di sana banyak
aplikasi yang di kendalikan _ _ _ _ _ bisa jadi bertekad untuk menerapkannya _ _ _ _ _ tr makan
m ent pilihan dipilih .
Itu organ saya aktif _ _ sho kamu ld mendirikan h , elemen imp l dan pertahankan _ _ sebuah
prosedur ke mengenali itu l ega lr equ ir eme nt s berlaku untuk:
pilih saya dari kriteria untuk mempertaruhkan eva lu di i on ( 1.2.2 ), dampak risiko ( 2.2.3. ) dan
mempertaruhkan penerimaan ( 1.2...1: ); t dia d e finit ion dari itu ruang lingkup dan batas r ies dari
saya menginformasikan keamanan ion _ _ _ _ r isk pengelolaan ( 2.1 dan A.2 ); r adalah k evaluasi t
io n ( M );
mempertaruhkan perlakuan dari ( il ) dan t h e imp l mentation dari mempertaruhkan pengurangan p
l ans ( !12 dan Mencaplok f ) :
dia _ m o nito r dalam g, rev saya ew sebuah d saya meningkatkan dari r saya sk pengelolaan (12,2 );
aset id dan ntifi ca t ion ( II.L.3. ) sebuah d keledai _ penilaian ( .H.2. 3. ); sebuah nd
mempertaruhkan perkiraan ( lihat contoh di £.2.1 ).
7 Konteks pembentukan
7.1 Umum pertimbangan

A ll info m at i o n abo ut relevansi or ganiza t ion _ _ _ ke t h e menginformasikan m at i o n
security _ r adalah km anage m ent con nt ext membangun m nt .
Actjon- Konteks eksternal dan internal untuk formasi dan mengamankan y r adalah manajemen km

ISO/
harus didirikan , yang melibatkan pengaturan hak dasar yang diperlukan untuk dalam _ _ _ _ _ _ _ _ _
_ _ _ _ _ _ untuk r ma t ion keamanan r i sk m a n usia ( 1.2 ) . _ d e fi n dalam gt h e lingkup dan d
batas ( 2.1 ). dan membangun organisasi aplikasi yang mengoperasikan manajemen risiko keamanan
informasi ( 21 ) . _ _ _ _ _ _ _ _ _
implementasi =

ISO/IEC
Dia saya s intinya aku mau _ de t er m in the pu r pose of t he i nfo rm at i on risiko keamanan _ _
manajemen nt sebagai t h adalah mempengaruhi t dia keseluruhan proses dan _ _ konteks t estab li sh m
ent secara khusus . _ Pose ini dapat berupa:
suppo r t i ng sebuah SMKI;
aku cantik kepatuhan dan bukti dari jatuh tempo
d il igence; penyusunan rencana kelanjutan
bisnis ; _ _ _ persiapan _ sebuah rencana
tanggap insiden ; dan
keterangan dari itu informasi aman saya ty persyaratan untuk sebuah produk, sebuah melayani atau sebuah
mekanisme .
Saya mpl mentat i o n gu id ance untuk penetapan konteks _ elemen nt s diperlukan untuk
mendukung sebuah SMKI adalah dibahas lebih lanjut i n ll 7.1 dan 1.i di bawah ini.
keluaran ' Spesifikasi i o n _ dari kriteria dasar, ruang lingkup _ sebuah nd batasan, dan t h e atau
organisasi _ untuk r proses manajemen risiko keamanan informasi . _ _ _ _
7.2 Dasar c r iter i a
7.2.1 Ri s k pengelolaan mendekati

Tergantung pada cakupannya _ _ dan tujuan dari t h er adalah k manajemen t , aplikasi yang berbeda r
oaches dapat e aplikasi saya ed . Pendekatannya bisa sangat berbeda untuk setiap iterasi . _ _ _ _ _
Sebuah ri sk yang sesuai m anage m ent seekor kecoa pp seharusnya memilih atau mengembangkan
alamat itu _ _ basiccr it er i a seperti : r i sk eva l u at i o n c r ite r ia, i mp act criteria, r iskaccepta n ce c
ite r ia .
Tambahkan ion lly , _ itu organ saya aktif _ _ sho kamu ld menilai apakah sumber daya
yang diperlukan ? _ _ _ adalah tersedia _ _ untuk: melakukan risiko penilaian dan
menetapkan rencana penanganan risiko;
mendefinisikan sebuah nd saya mpl ement kebijakan dan Prosedur, i n clud i n g i mpl mentat i o n o f itu
kontrol pilih d ; _
mo n itor lanjutan r o l s; sebuah n d
memantau itu informasi keamanan mempertaruhkan proses manajemen .
7.2.2 Mempertaruhkan evaluasi _ _ kriteria

R saya sk evaluasi cr i ter i a s h ou l d be deve lo ped untuk mengevaluasi t h e organ saya pada
informasi _ _ _ _ keamanan risiko , pertimbangkan hal -hal berikut:
strategi i c _ va l ue dari n ess i n proses formasi ; _ k r i
k i k i k a t i k i k i k i k i k a n aset formasi yang terlibat
;
operasional l dan bisnis saya penting dari ketersediaan, percaya diri saya ality dan integritas;
mempertaruhkan h lebih tua ' harapan dan persepsi, dan negat i ve _ konsekuensi niat baik dan r
eputasi; Selain itu, r i sk eva lu a tio nc r ite r ia dapat digunakan untuk menentukan p ri o r it is for

ISO/
mempertaruhkan memperlakukan tm en nt.
7.2.3 saya berdampak c r it ri ia

CATATAN ISO 31000 menggunakan konsep dari "konsekuensi kriteria" saya bukan dari "dampak kriteria" .
Saya mp bertindak kriteria s h ou l d be d eve lo ped dan edisi khusus _ saya tidak te r ms dari t h e _
derajat dari umur _ _ atau biaya ke t dia organisasi yang disebabkan oleh sebuah keamanan informasi
bahkan tidak mempertimbangkan berikut ini : _ _
- l malam l dari cl ass ifi ca t ion dari itu terkena dampak info m at i on keledai t;

ISO/IEC
masing - masing dari untuk ion r ma t _ amankan y ( mis . _ l oss dari percaya diri saya ali t
y, saya tidak menyukainya y _ sebuah nd ketersediaan); i mpa i operasi merah ( i nterna l
atau pihak ketiga);
lo ss dari bisnis dan keuangan saya a l _
nilai ; _ gangguan jadwal dan tenggat
waktu ; kerusakan reputasi;
7.2.4 Mempertaruhkan a c penerimaan cr saya teri

Mempertaruhkan penerimaan cr iter i as h ou l d dikembangkan dan dispesifikasikan . R i sk
penerimaan cr i teria seringkali bergantung pada kebijakan , tujuan, tujuan dan kepentingan pemegang
saham . _
Sebuah organisasi harus menentukan skalanya sendiri untuk tingkat penerimaan yang berisiko . _ _ _
_ _ _ _ _ _ _ _ _ _ _ _ Pengikut yang harus saya pertimbangkan selama pengembangan : _ _
r isk ac t a n ce kriteria dapat mencakup banyak pemegang saham , dengan tingkat target yang
diinginkan dari r i sk . _ _ _ _ tapi asalkan _ _ _ manajer senior untuk menerima risiko di atas
level di bawahnya keadaan yang ditentukan;
r isk kriteria penerimaan dapat dinyatakan sebagai r at i oof perkiraan keuntungan ( atau _ _ _ _
keuntungan bisnis) dengan perkiraan r i sk;
berbeda r adalah k terima tan ce c r it ri ia bisa sebuah pp ly ke berbeda kelas dari r saya sk;
r adalah k terima kasih _ c r iteria bisa di clu d e r equ ire me nt s for r future add it iona l
perlakuan, misalnya sebuah ris sk bisa terima jika _ _ di sini saya setuju _ _ _ dan com m it m ent
to take tindakan untuk mereduksinya menjadi _ _ tingkat yang dapat diterima dengan batas waktu
yang ditentukan . _ _
R isk acce ptan ce kriteria dapat berbeda sesuai dengan bagaimana _ panjang t h e r saya sk saya ex
p ecte d ke ex i s t , mis r saya sk bisa terkait dengan tindakan jangka pendek atau tempora r y i v it y
. R i sk menerima t a n ce cr er i a harus diatur up mempertimbangkan yang berikut ini : _
b u si n ess ; buka r
di i o n s; teknologi;
sirip a n ce;
sosial dan hu man itu r ian _ faktor .
Lagi informasi bisa menjadi untuk kamu nd saya tidak Mencaplok A. _
7.3 Cakupan sebuah d batas r ies

ini _ organisasi haruskah _ pasti _ _ t h e sco p e dan batasan dari info r m at i on keamanan _ _ r isk
manajemen t.
Itu cakupan dari i informasi keamanan proses manajemen risiko perlu pasti saya perlu memastikan itu
semua aset yang relevan diperhitungkan dalam penilaian . _ _ _ _ _ _ _ _ _ _ _ _ _ _ Saya n
menambahkannya ion , bou nd a r ies perlu id en i fi ed untuk menambahkan r ess _ t h ose r isk itu
bisakah saya melihat? melalui ini batasan.
Dalam untuk m di i o n tentang _ orga n iza t ion harus dikumpulkan _ ke menentukan en v i ron m
ent _ _ dia opera t es di dalam dan itu s r eleva nce t ot h ei nfo r m at i o n sec u r it th yr i sk proses
manajemen.

ISO/
apa _ _ mendefinisikan dia _ cakupan a n d bou n da r ies, t h e organ i zat i o n harus
mempertimbangkan dia mengikuti saya ng _ info m at i tentang : organisasi _ tujuan bisnis
strategis . strategi saya dan po l ic i es;
bisnis proses;

ISO/IEC
organisasi fu n c t ion a nd struktur; kebijakan keamanan

informasi organisasi ;
organisasi secara keseluruhan pendekatan terhadap
manajemen risiko ; _ saya menginformasikan io n aktiva;
l lokasi dari itu organisasi dan milik mereka karakteristik geografis;
kendala yang mempengaruhi organ izat i o n ; _ _ _
tunggu aku on dari pemangku kepentingan;
sosial budaya lingkungan;
saya antar muka (yaitu saya informasi menukarkan dengan h itu lingkungan t ).
Selain itu, itu organ iz di ion Sebaiknya menyediakan ion pembenaran untuk setiap kecuali ion _ _ dari t h e
cakupan.
Contoh l es dari itu mempertaruhkan pengelolaan cakupan mungkin menjadi sebuah TI aplikasi, saya
T infrastruktur, a bisnis proses, atau bagian tertentu dari n organisasi.
Lebih jauh saya menginformasikan io n bisa menjadi ditemukan di Mencaplok A. _
7.4 Organisasi _ _ untuk informasi keamanan mempertaruhkan mengelola _ _

Itu organisasi dan bertanggung jawab untuk itu _ _ t h e in for r ma t ion keamanan r adalah k proses
manajemen haruskah kamu siap ? _ kamu p dan m ai ntai ned . Berikut ini adalah itu m a dalam
peran tanggung jawab dan tanggung jawab ini organisasi:
perkembangan dari itu dalam formasi _ _ proses manajemen risiko keamanan yang sesuai untuk _ _
_ orga n iza t ion ; id ent i ficat i on and analys of the stake h olds ;
definisi dari peran dan respo n sibi li ties dari semua par t i es keduanya saya interna l dan luar ke dia _ o r
ganiza t ion;
pembentukan dari itu yg dibutuhkan re l at i onsh ip s di antara organisasi o r _ dan pemangku
kepentingan, sebagai serta antarmuka ke sh i g h l eve l r i sk m a n usia fungsi organisasi (
misalnya manajemen risiko operasional ) , _ _ _ _ _ _ juga _ sebagai antarmuka ke proyek
relevan lainnya jadi r bertindak i v it ies ; _
definisi dari keputusan esca l asi jalan
h s; spec i ficat i pada catatan yang
akan disimpan.
Ini organisasi saya o n haruskah _ menjadi disetujui oleh itu tepat saya makan manajer o e _ organisasi dan iza t
ion .
8 Informasi keamanan mempertaruhkan penilaian
8.1 Umum keterangan dari informasi keamanan mempertaruhkan penilaian

J.Jullit: Dasar kriteria, ruang lingkup dan batas, dan itu organisasi _ _ untuk _ informasi keamanan
manajemen risiko proses menjadi mapan.
Actjon: Risiko yang harus dihadapi diidentifikasi , diukur _ atau qua lit ative ly dijelaskan , dan
diprioritaskan terhadap kriteria evaluasi risiko dan objek yang relevan dengan organisasi . _ _ _ _ _ _ _

ISO/
Penerapan panduan:
A r i sk adalah kombinasi dari urutan t h e co n t h di akan mengikuti dari m t h terjadinya _ suatu
peristiwa yang tidak diinginkan dan merupakan peristiwa yang terjadi . _ _ _ _ _ _ _ _ _ _ Penilaian
risiko mengkuantifikasi atau kualitatif l y menggambarkan risiko _ _ _ _ dan memungkinkan manajer
untuk memprioritaskan ri sks sesuai dengan keseriusan yang mereka rasakan atau kriteria yang telah
ditetapkan . _ _

ISO/IEC
Mempertaruhkan menilai saya _ _ terdiri dari itu

mengikuti kegiatan: identifikasi id risiko ( a.2 );
r isk analisis ( ll.l );
r isk evaluasi n ( M ) .
Penilaian risiko menentukan nilai dari aset informasi, mengidentifikasi ancaman dan kerentanan yang
berlaku yang ada ( atau bisa ada ) , mengidentifikasi kontrol yang ada dan efek t hei r i terhadap
identifikasi r i s k i d i , menentukan potensi konsekuensi dan , akhirnya, p r io r it i zes the der iv ed r
i sks a nd peringkat mereka terhadap evaluasi risiko cr it er i set in t h e n t e n s t i t i h ment .
R isk menilai saya _ saya s sering dilakukan dalam dua (atau m o r e) itu r di i ons . Pertama, a h ig h
tingkat penilaian adalah dilakukan untuk mengidentifikasi potensi risiko tinggi yang memerlukan
penilaian lebih lanjut . _ _ Iterasi berikutnya dapat melibatkan pertimbangan lebih mendalam tentang
potensi risiko tinggi yang terungkap dalam iterasi awal . _ Jika hal ini memberikan informasi yang
cukup untuk menilainya , maka analisis yang lebih rinci dilakukan , mungkin di beberapa bagian . _ _
_ _ _ _ _ sering kali _ cakupan, dan mungkin menggunakan metode yang berbeda.
saya _ adalah ke atas ke itu organisasi untuk _ pilihlah _ _ _ _ pendekatan sendiri untuk r adalah k
berbasis penilaian pada t h e tujuan _ _ dan t h e tujuannya adalah k penilaian . _ _
Diskusi pada saya info rm asi keamanan _ _ r isk penilaian nt aplikasi r oaches bisa menjadi kamu n d
saya tidak Mencaplok E .
Keluaran: SEBUAH daftar dari dinilai risiko prioritaskan saya _ sesuai saya ng ke r saya sk evaluasi _ _
kriteria.
8.2 Mempertaruhkan identifikasi
8.2.1 pengantar ke mempertaruhkan kation identifikasi

Itu tujuan dari ri sk id dan ifica t ion _ adalah ke d e t ermi n e Apa bisa terjadi ke kamu bisa _ sebuah
potensi kehilangan, dan untuk keuntungan dalam s i g ht ke bagaimana, di mana dan mengapa
kerugian _ dapatkah h app n. Itu Langkah dijelaskan berikut ini _ _ subcla u ses harus mengumpulkan
input data untuk risikonya kegiatan analisis.
Identifikasi risiko harus mencakup risiko apakah atau tidak sumbernya berada di bawah kendali
organisasi , meskipun risikonya _ sumber atau menyebabkan mungkin tidak jelas.
CATATAN Kegiatan _ _ dijelaskan di setelah subklausa bisa dilakukan di sebuah berbeda memesan
tergantung pada metodologi _ terapan.
8.2.2 Identifikasi dari aktiva

lllJl].ll: Cakupan dan batasan untuk itu mempertaruhkan penilaian menjadi diadakan, daftar dari
konstituen dengan pemilik, lokasi, fu n ction, dll .
Actjon: Itu aktiva w itu h i n itu mapan cakupan s h ou l d menjadi diidentifikasi.

lmJ l l emeotatinoguidance:
Sebuah aset apa saja yang memiliki nilai untuk _ o rgan i a i on and _ yang karenanya memerlukan
perlindungan . _ _ _ untuk _ ide nt ifica t ion dari aktiva, dia apakah kamu akan ditanggung ? dalam
m dalam dt h di an i nfo r m at i o n sys t em kontra i s t s dari lagi daripada perangkat keras dan
perangkat lunak.
Aset ide nt ifica t ion Sebaiknya menjadi erfor m ed _ pada sebuah sesuai tingkat l dari deta il t ha t
menyediakan s u fficient di untuk rmat io n untuk itu mempertaruhkan penilaian. Itu tingkat l dari
detail l u sed bukan dia _ aset ident i ficat i o n saya sedang flu _ t h e keseluruhan satu m dari
informasi yang dikumpulkan selama itu mempertaruhkan penilaian. Itu level l dapat disempurnakan

ISO/
dalam iterasi lebih lanjut dari r isk _ penilaian nt.
Sebuah aset pemilik haruskah _ _ diidentifikasi _ untuk setiap aset , untuk menyediakan tanggung
jawab dan akuntabilitas untuk aset tersebut. Pemilik aset p rh aps tidak h ave Properti r hak ke aset ,
tetapi memiliki tanggung jawab untuk r -nya

ISO/IEC
produksi , pengembangan , pemeliharaan , penggunaan dan pengamanannya sebagaimana mestinya .

_ _ _ _ _ _ _ _ _ _ _ Itu aset memiliki ri s of t en t he most su itu orang yang mampu ke menentukan t
h e aktiva va l u e ke dia _ organisasi _ _ (lihat .11...l..2. untuk keledai _ nilai ion ).
Batasan yang ditinjau adalah batas aset organisasi yang ditetapkan untuk dikelola oleh proses
manajemen informasi r is k keamanan . _ _ _ _ _ _ _ _ _
Lagi informasikan saya _ oh tidak identifikasi _ dan penilaian n dari aktiva sebagai aku makan
kembali ke saya n formasi detik u r itu y dapat ditemukan di Lampiran R
keluaran : Sebuah daftar dari aset untuk jadilah r i sk - dikelola, dan sebuah daftar dari proses bisnis
yang dilaporkan ke aktiva dan r eleva n ce mereka.
8.2.3 Saya tidak fiksasi _ _ _ o f jam makan _

liljllll: Saya nfor m at i on pada t hr makan obtai n ed dari kejadian kecil r eviewi n g , aset memiliki r
s, u se r s dan atau dia _ _ sou r ces, i n clud ing katalog t h reat eksternal.
A<-tjon : Ancaman sebuah n d t he i r _ jadi kamu rs Sebaiknya menjadi id e nt ified .
implementasi bimbingan :
SEBUAH ancaman sebagai _ t h e saya kuat _ untuk _ har m aktiva s u c h sebagai untuk ion ,
proses _ _ _ sebuah nd sistem m s sebuah d , Oleh karena itu , organisasi . T h _ dapat o f alami _
atau hu man asal, dan bisa jadi kebetulan _ atau de l iberate. Keduanya tidak sengaja dan
disengaja ancaman sumber Sebaiknya menjadi saya penyok saya fied. SEBUAH ancaman bisa
timbul dari w itu h i n atau dari luar organisasi . _ _ _ Ancaman harus diidentifikasi secara
spesifik dan berdasarkan jenisnya ( misalnya tindakan tidak sah , _ _ _ _ _ _ p h ys saya ca l
kerusakan , teknis kegagalan); kemudian, di mana sesuai, i nd i v idu a l ancaman w itu h i n t dia
generik kelas diidentifikasi. Ini cara Tidak ancaman adalah diabaikan , termasuk tidak terduga, tetapi
volume pekerjaan _ _ requ ir ed adalah lim it ed.
Beberapa ancaman dapat mempengaruhi lebih dari satu aset . saya tidak kasus seperti itu , mereka
dapat menyebabkan dampak yang berbeda tergantung pada aktiva terpengaruh.
Saya memasukkan identifikasi dan estimasi yang tepat dari kejadian serupa ( lihat _ _ _ _ _ _ _
semua ) dapat diperoleh _ _ _ dari itu pemilik aset o r pengguna, dari manusia sumber daya
staf, dari fasilitas spesialis manajemen dan infor rm at io n security , ahli keamanan fisik ,
departemen hukum dan organisasi terkait lainnya termasuk dalam badan - badan hukum , otoritas
cuaca , asuransi _ _ _ _ _ _ n ce perusahaan dan otoritas pemerintah . Aspek lingkungan dan budaya
juga harus dipertimbangkan saat mengatasi ancaman .
Pengalaman in erna l dari insiden dan penilaian makanan masa lalu harus dipertimbangkan dalam
penilaian yang efektif . _ _ _ _ _ _ Dia bisa menjadi layak untuk berkonsultasi dengan katalog lain
yang lebih baik _ (mungkin khusus untuk sebuah organisasi atau bisnis) untuk melengkapi daftar dari
ancaman gen , mana yang relevan . _ Katalog ancaman dan statistik tersedia dari i ndust r y bod i es ,
pemerintah , badan hukum , perusahaan i n s uran ce , dll . _ _
kata ancaman , atau hasil penilaian ancaman sebelumnya, satu Sebaiknya Sadarilah bahwa ada
perubahan terus - menerus dari makanan yang relevan , terutama jika lingkungan bisnis atau sistem
informasi sedang mengalami gangguan .
Mo r e i n format i o n pada t h makan jenis tidak ada menjadi ditemukan di Mencaplok C. _
Keluaran- SEBUAH aku tetap _ dari t h makan dengan h t h e identifikasi n o f ancaman Tipe sebuah n d
sumber.
8.2.4 saya dent saya fication dari yang ada kontrol

liljllll: Dokumentasi dari kendalikan , _ r saya sk perlakuan saya menerapkan n tatio n rencana .
Tindakan : Yang ada dan berencana kendalikan _ _ sho kamu ld menjadi mengidentifikasi t ified .

ISO/
Saya mpl mentasi panduan :
I n ti fi kasi kontrol ex i sting harus dibuat untuk menghindari pekerjaan atau biaya yang diperlukan ,
misalnya pada duplikasi _ _ _ kontrol. Saya n tambahan, sementara ident i fying the existing i ng
kendalikan , _ cek haruskah kamu dibuat?

ISO/IEC
en s u re t h di kontrol l sa r e wo r ki n g cor re ct l y - referensi ke SMKI yang sudah ada _ a u dit

repo r ts s h ou ld m it t h et i me expended in t h i s t ask. Jika sebuah kontrol tidak bekerja seperti
yang diharapkan , hal itu dapat menyebabkan kerentanan . Pertimbangan harus diberikan pada situasi i
di mana kontrol yang dipilih ( atau strategi) gagal dalam operasi dan, oleh karena itu, kontrol
pelengkap diperlukan untuk menambahkan r ess i mengidentifikasi r i sk secara efektif .
Pengendalian yang direncanakan akan dilaksanakan sesuai dengan rencana pelaksanaan penanganan
risiko harus dipinggirkan dalam _ _ _ _ _ _ _ _ _ _ _ cara yang sama seperti itu sudah saya mpl
mented .
Sebuah ada aku ng atau direncanakan kontrol l bisa menjadi diidentifikasi sebagai tidak efektif, atau
tidak cukup, atau tidak kaku . Jika bukan hanya saya fied or tidak efisien , peran penting _ _ _ harus
diperiksa untuk menentukan apakah itu haruskah dihapus , digantikan oleh _ _ _ _ lain , lebih s ui tab l
e co nt rol , atau jika itu harus di tempat , misalnya , untuk alasan biaya . _
Untuk t h e ide t ificatio n dari mantan saya st saya ng atau rencana n ed _ peran tambahan , t h e untuk
selanjutnya _ _ _ ac t ivit i es bisa menjadi dia l pfu l:
meninjau dokumen yang berisi informasi tentang kontrol ( misalnya , perlakuan risiko ,
implementasi rencana ) jika itu proses dari i nfo rm at i on secu ri ty managementme nt adalah
dengan baik didokumentasikan semua kontrol ex i st ing atau direncanakan dan t h e sta t kami
imp l mentasi pewaris s h o ul d akan tersedia ; _
check in g dengan _ rakyat bertanggung jawab untuk r menginformasikan m at i on keamanan _ _
( mis . _ i n format i o n petugas keamanan _ dan keamanan sistem informasi kantor , ; manajer
gedung atau manajer operasi ) dan mereka yang menentukan kontrol mana yang benar-benar
diterapkan untuk proses informasi atau sistem informasi yang sedang dipertimbangkan ;
melakukan saya ng ulasan di tempat untuk f _ phys i ca l peran tambahan , membandingkan
mereka yang diimplementasikan dengan yang pertama _ _ Apa kontrol haruskah berada di sana,
dan memeriksa itu dilaksanakan seperti apakah mereka ? a r e bekerja dengan benar dan efektif l
y;__
meninjau hasil dari u dit .
Keluaran: SEBUAH daftar dari sebuah ll ada n g dan berencana kontrol l s , milik mereka imp l mentat i on
dan kamu bijak statusmu _ _
8.2.5 Identifikasi dari kerentanan

.l.luuLI.: SEBUAH li st o f diketahui t h makan, daftar dari ass t s dan sudah ada _ kontrol.
Actjon : V u l n e r kemampuan yang dapat dieksploitasi oleh _ _ _ ancaman terhadap menyebabkan
kerusakan pada aset atau organisasi harus diidentifikasi . _ _ _ _ _ _ _ _ _ _
lmp] mentat io n g11idanc:e :
Vu l nerabilities bisa menjadi diidentifikasi di mengikuti
bidang : organisasi ; _ _
proses dan Prosedur;
rutinitas manajemen ;
personil ;
fisik e n v i ronment; saya
informasi konfigurasi sistem pada
;
perangkat keras , perangkat lunak _ o r com mu nica t io n s equ ipm ent;
ISO/
ketergantungan pada pihak eksternal .
Kehadirannya _ _ dari a vu l nerability tidak menyebabkan kerusakan di dalamnya sendiri , sebagai
perlu ada ancaman hadir untuk mengeksploitasinya . Kerentanan yang tidak memiliki ancaman yang
sesuai mungkin tidak memerlukan implementasi kontrol , tetapi sho kamu ld menjadi r ecog n ized
dan m o nit ored untuk perubahan. Seharusnya _ menjadi t o t ed bahwa saya n co rr ectly

ISO/IEC
saya menerapkan nt ed atau ma l fu n c t ioni n g kontrol o r kontrol l makhluk Anda benar _ _ _ _ bisa
diri menjadi sebuah vu l nerabilitas. Sebuah kontrol bisa b e e ff ec t ive atau tidak efektif tergantung
pada t h e lingkungan di apa yang saya ch itu ? beroperasi. Co n ayat l y, ancaman itu tidak memiliki
sebuah korespondensi di g vulnerabil it y mungkin tidak _ hasil saya na risiko .
Kerentanan dapat dikaitkan dengan sifat - sifat aset yang dapat _ kamu sed dengan cara, atau untuk
suatu tujuan, selain itu dalam cenderung ketika n t h e aset dibeli atau dibuat . Vu l nerab i lities
timbul dari sumber yang berbeda perlu dipertimbangkan , misalnya , intrins - intrinsik yang dikoreksi
dengan aset.
Ex mp l es dari vu ln erab il it i es dan metode untuk vu l nerability menilai saya _ tidak ada menjadi ditemukan
di Mencaplok T .
keluaran : SEBUAH daftar dari vu l nerab i lities i n re l di ion to aktiva, ancaman dan kontrol; sebuah
li s t dari kerentanan itu tidak berhubungan dengan t ified t h reat untuk r tinjauan.
8.2.6 saya identifikasi o f konsekuensi

l..up , ut : Sejumlah aset , daftar proses bisnis , dan daftar t reats dan v u lnerabili ies , di mana sesuai , _ _
_ terkait ke aktiva sebuah nd t he i r _ kembali evance . _
Tindakan: Itu konsekuensi pada kerugian _ dari kerahasiaan, saya tidak misalnya rit y dan ketersediaan
mungkin ada di t h e aset harus ide nt jika saya ed . _ _ _
Imp l mentat i o n g11idaoce:
Sebuah konsekuensi dapat _ kehilangan dari efektivitas, merugikan op r at i ng cond it ions,
kehilangan bisnis, reputasi , kerusakan , e t c.
Kegiatan ini mengidentifikasi kerusakan atau akibat yang ditimbulkan pada organisasi yang dapat
disebabkan oleh TKP . Skenario yang tidak disengaja _ _ adalah deskripsi dari sebuah t h reat explo it
i n g a kerentanan tertentu atau r _ set dari v u l n e r abi lit ies in sebuah ion in for rmat detik u r itu y
insiden nt. saya mpac t _ dari saya nc saya penyok _ sce n ar i os adalah untuk _ b e determin i ned co
n s id eri n g impact cr it er i a defi n ed selama membangun konteks adalah aktivitas h ment . saya
tidak bisa mempengaruhi satu atau lebih banyak aset atau bagian dari aset. Dengan demikian , aset
dapat memiliki nilai yang tinggi baik untuk keuangan mereka saya al cos t sebuah nd b karena dari dia
_ bisnis konsekuensi saya _ t hei rusak _ _ o r kompromi saya sed . Konsekuensi bisa jadi dari sebuah
sementara natu re atau permanen seperti i n kasus ini _ dari t dia kehancuran sebuah keledai t.
Organisasi harus mengidentifikasi opera t iona l _ _ _ _ konsekuensi dari skenario insiden dalam jangka
waktu ( tetapi ) tidak terbatas pada):
Investasikan saya _ dan
perbaikan saya saya ; (kerja)
waktu yang hilang ;
peluang kehilangan t;
kesehatan dan aman t y;
biaya keuangan dari spesifik keterampilan untuk
memperbaiki itu kerusakan; dan im age rep utat ion a nd
goodwi ll .
rincian pada penilaian dari teknik l kerentanan bisa menjadi kamu tidak saya n .R..3. .
keluaran : SEBUAH daftar dari kejadian skenario dengan milik mereka konsekuensi terkait ke aktiva dan bisnis
proses.

ISO/
8.3 Mempertaruhkan analisis
8.3.1 Mempertaruhkan analisis metodologi

Mempertaruhkan analisis dapat diambil secara i n va r y dalam g derajat d e ta il tergantung pada t hec
r iticality of assets,ex t ent of vu ln erab il it i es diketahui, dan sebelumnya i n c id melibatkan _ di
organisasi . _ _ _ SEBUAH r saya sk a n alys saya s metodologi dapat kualitatif atau kuantitatif, atau
kombinasi dari ini, tergantung pada keadaan. Saya n pr bertindak saya ce, qual it at iv e analisis _
adalah sering kamu sed dulu ke ob t a i na gen r al i nd icat i on of t h e l tingkat r i sk dan ke

ISO/IEC
r mengungkapkan itu besar risiko. Nanti, dia bisa menjadi diperlukan ke kamu melakukan lagi
spesifik atau kuantitatif analisis pada t h e besar r saya sk karena dia adalah u s u a ll y lebih
sedikit co m p l ex sebuah n d l ess mahal untuk melakukan kualitatif daripada kuantitatif ana l
ysis.
Bentuk analisis harus konsisten dengan kriteria evaluasi yang dikembangkan sebagai bagian dari
penetapan konteks . _ _ _ _ _ _
Lebih jauh detail dari analisis saya t hodo l ogies adalah dijelaskan di bawah:
a) Kualitatif mempertaruhkan analisis:
Risiko kualitatif analisis menggunakan skala kualifikasi _ _ _ attr i butes to menggambarkan
besarnya konsekuensi potensial _ (misalnya aku tahu, sedang dan h saya gh) dan kemungkinan
itu _ itu konsekuensi akan terjadi . _ Sebuah keuntungan dari kualitatif analisis i s nya meredakan
dari u nde r sta n ding oleh semua personel terkait ketika kerugiannya adalah ketergantungan pada
_ _ h oice subjektif dari skala .
Ini timbangan bisa menjadi disesuaikan atau sesuaikan _ _ untuk osu itu ci r c u mstances dan
berbeda deskripsi bisa digunakan untuk r i sks yang berbeda . Kualitat saya sudah r isk analisis
dapat digunakan : _ _ _
sebagai i n it i al penyaringan aktivitas untuk mengidentifikasi i fy r i sks that
membutuhkan lebih banyak _ analisis detail ; apa yang terjadi ? ini jenis dari ana l ys
saya s saya s tepat saya makan untuk keputusan;
apa yang terjadi ? dia _ numerik data atau sumber daya adalah tidak memadai untuk r sebuah
kuantitatif r saya sk analisis.
Kualitatif analisis haruskah _ _ menggunakan faktanya kamu a l informasi dan data di mana tersedia .
b) Kuantitatif r saya sk ana l ys i s:
Analisis risiko kuantitatif menggunakan skala dengan nilai numerik ( skala deskriptif digunakan
dalam _ _ _ _ _ _ _ _ _ _ _ _ _ risiko kualitatif _ analisis) untuk baik konsekuensi maupun _ l
ikeli h ood , menggunakan data dari berbagai _ sumber. Itu kualitas dari itu ana l ysis bergantung
di _ ketepatan dan kelengkapan _ _ dari itu angka i nilai kal dan itu keabsahan dari model
digunakan. Kuantitatif r isk analisis, di sebagian besar kasus, menggunakan data insiden historis ,
memberikan adva n tage bahwa itu dapat dikaitkan langsung dengan informasi tentang tujuan dan
perhatian keamanan _ _ _ _ _ _ _ _ _ _ _ organ saya aktif . _ SEBUAH kekurangannya adalah
kurangnya data seperti itu di new risiko atau i nformat i on kelemahan keamanan . SEBUAH
kerugian dari pendekatan kuantitatif bisa terjadi di mana faktual , data yang dapat diaudit tidak
tersedia , sehingga menciptakan _ sebuah i llu s i on of worth dan accur acy of t h er i sk
assessmentme n t .
Cara di mana konsekuensi dan seperti mata pencaharian diungkapkan dan cara - cara di mana
mereka digabungkan _ _ _ _ _ _ untuk memberikan tingkat l o f r i sk will bervariasi menurut ke
Tipe o f mempertaruhkan dan tujuannya _ _ _ untuk yang mana mempertaruhkan penilaian
keluaran adalah ke menjadi digunakan. Itu ketakpastian dan variabilitas keduanya konsekuensi
dan li keli h ood harus kontra saya dered di _ analisis dan efek dikomunikasikan saya vely .
8.3.2 Penilaian dari konsekuensi

.ill)llli : SEBUAH daftar dari diidentifikasi insiden yang relevan skenario i os, i ncl u ding ldentification
dari ancaman, kerentanan, aset yang terpengaruh , konsekuensi terhadap aset dan proses bisnis.
Actjon: Itu dampak bisnis pada organisasi yang dapat dihasilkan dari keamanan informasi yang
mungkin atau aktual insiden Sebaiknya menjadi dinilai, mengambil saya tidak memperhitungkan
konsekuensinya _ dari sebuah melanggar dari keamanan informasi seperti kehilangan _ _ _ dari
kerahasiaan , integritas atau _ _ _ _ _ tersedia l ab i lity o f aset.

ISO/
[m p ) mentat j on panduan· Setelah mengidentifikasi semua aset dalam peninjauan, va lu es
ditugaskan untuk aset ini harus dipertimbangkan _ akun sambil menilai konsekuensinya . _ _ _ _ _ _
Konsep dampak bisnis digunakan untuk mengukur konsekuensi . Nilai dampak bisnis dapat
dinyatakan dalam bentuk kualitatif dan kuantitatif , tetapi metode apa pun untuk menetapkan nilai
moneter umumnya dapat menyediakan lagi informasi untuk keputusan membuat sebuah d , karenanya,
memudahkan sebuah lagi efektif saya ent keputusan saya _ proses pembuatan .

ISO/IEC
Ass untuk ion penilaian dimulai dengan fiksasi kelas i dari _ _ _ aset sesuai dengan kekritisannya ,
dalam jangka waktu yang penting untuk memenuhi pemenuhan _ _ _ _ _ t dia bisnis tujuan _ _ dari t
h e organisasi. Va lu at i on adalah ditentukan u di g dua langkah-langkah :
itu r e p renda t va lu e dari itu aset: itu biaya pembersihan pemulihan dan rep l ac i ng dia _ i n
formatio n (i f at al l mungkin l e) ;
dia _ bisnis konsekuensi dari Aku tidak bisa kompromi dari itu aset, seperti h sebagai t dia
berpotensi merugikan _ bu s i ness an d /o r lega l atau regu l ator konsekuensi dari t ed i sc l
osure , _ modifikasi n , n on - ava il abi lit y dan/atau pemusnahan informasi , dan informasi aset
lainnya.
Valuasi ini dapat ditentukan dari analisis bisnis i mp act . _ _ _ Nilai , ditentukan oleh t dia
konsekuensi untuk bisnis, apakah biasanya lebih tinggi secara signifikan daripada ? simp l e rep l
biaya acement, tergantung pada pentingnya aset bagi organisasi dalam rapat _ _ _ _ tujuan bisnisnya
iv . _ _ _ _
Aset penilaian adalah sebuah kunci faktor dampak _ penilaian dari sebuah skenario insiden , karena
insiden tersebut dapat mempengaruhi lebih dari satu aset (mis . aset yang bergantung). atau hanya
sebuah bagian dari sebuah n aset. D i ffer ent _ ancaman dan kerentanan h ave d berbeda nt dampak
oh tidak aset, s u ch sebagai sebuah l oss dari kerahasiaan, saya tidak egr it y atau ketersediaan.
Penilaian dari konsekuensinya terkait dengan _ _ _ _ aset valuasi berdasarkan dampak bisnis n a l ys i
s._______
Konsekuensi atau bisnis saya mp bertindak dapat _ _ d e t ermi n ed by m odelli n g t dia keluar dari
sebuah acara o r set of even nt s , o r oleh ex t rapo l at i on dari om expe r i m ental studi o r data
masa lalu
Konsekuensi dapat diekspresikan dalam bentuk moneter . _ _ _ kriteria dampak teknis atau manusia ,
atau kriterianya yang relevan dengan organisasi . _ _ _ _ _ _ _ _ Dalam beberapa kasus , lebih dari
satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda , tempat , _ _
kelompok atau situasi .
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama yang digunakan
untuk jamuan makan yang likeli h ood dan vu n erab il . _ _ _ _ _ _ Konsistensi harus dipertahankan
pada pendekatan kuantitatif atau kualitatif . _ _ _ _ _ _ _
Lagi i n formatio n keduanya oh tidak aset penilaian dan saya berdampak menilai saya _ tidak ada b e ditemukan di
Mencaplok B .
Keluaran : Sebuah daftar dari konsekuensi yang dinilai dari _ _ sebuah adegan insiden r io exp r esse
d wit hr espect t o aset dan saya mpac t c r ite r ia.
8.3.3 Penilaian dari termasuk saya penyok aku suka

l.upiit: SEBUAH daftar dari mengidentifikasi d re l evant dalam c id ent sce n a r ios, saya nc lud ing
ide nt i fi ca t ion dari ancaman, terpengaruh aset, eksploitasi vu l nerabil it ies a n d co n urutan ke
aset dan proses bisnis . _ A l so , l i sts of sebuah ll ada n g dan pengendalian yang direncanakan ,
efektivitas, imp l mentat i on and penggunaan status.
Actjon: Itu li k e li hood dari t h e insiden nt skenario Sebaiknya menjadi dinilai.
Imp l mentat i on g11idaoce:
Setelah mengidentifikasi skenario kejadian , perlu dilakukan penilaian kemungkinan setiap skenario
kejadian dan dampak kejadian , dengan menggunakan teknik analisis kualitatif atau kuantitatif . _ _ _
_ _ _ _ _ _ _ _ _ Hal ini harus memperhitungkan seberapa sering ancaman tersebut terjadi _ _ _ _ _ _
dan bagaimana _ dengan mudah vul n erabi lities dapat exp l o it ed, pertimbangkan saya : _
pengalaman i e n ce sebuah nd berlaku l e s ta tis t ics untuk ancaman kemungkinan;
forde l iberate sumber ancaman : motivasi dan kemampuan, yang mengubah lembur , dan sumber

ISO/
daya yang tersedia l e untuk _ mungkin penyerang, seperti yang kita akan sebagai itu terima kasih
_ _ _ menarik n ess dan kerentanan aset untuk penyerang po ssi bl e ; _
untuk kebetulan _ ancaman sumber : geografi menurut saya faktor r s, misalnya . prox i mity to c
h emica l atau pabrik minyak bumi , kemungkinan terjadinya pelemahan ektrim , suatu faktor
ndan yang dapat mempengaruhi fungsi hu m a n erro r s and equ ipm ent mal i on ; _ _ _ _ _ _ _ _
___
kerentanan, keduanya ind iv idu sekutu dan di pengumpulan;

ISO/IEC
- ada aku ng kontrol dan bagaimana efek iv ely t h ey ed u ce _ kemampuan u lne r . _ _ _

Misalnya , sebuah sistem informasi dapat memiliki kerentanan terhadap ancaman penyamaran
identitas pengguna dan penyalahgunaan sumber daya . Kerentanan m asq u menghapus identitas Anda
bisa tinggi karena _ _ _ _ _ _ _ _ _ dari aku setuju dari pengguna otentikasi . Di lain hal h dan, t dia ik
e l ihood penyalahgunaan r eso r ces bisa rendah , meskipun kekurangan pengguna authe nt icat i on,
karena cara-cara untuk menggunakan sumber daya adalah li m ited .
D epe ndi ng pada kebutuhan d untuk akurasi , _ aktiva tidak ada dikelompokan ed , _ atau dia tidak ada
be n ecessa r y t o sp lit asse t s into t he ir e l eme nt s _ dan mengaitkan dia _ adegan r ios ke t h e e m e
nt s . _ Untuk contoh l e, ac r oss geografi hai ca l aku tahu , _ itu n atur dari _ ancaman ke jenis yang
sama dari aktiva bisa mengubah, atau keefektifan dari kontrol yang ada dapat bervariasi.
Keluaran: L i keli h ood o sirip c id ent sce n arios ( kuantitatif _ o r qual itat i ve ).
8.3.4 Tingkat resiko penentuan

.l.nJlJ.Lt: SEBUAH daftar dari saya ncident skenario dengan itu h milik mereka konsekuensi terkait
untuk aset suatu proses bisnis dan kesamaannya ( kuantitatif atau kualitatif ) . _ _ _ _
Actjpn: Itu l malam l dari ri sk s h o uld menjadi dete rmi ned untuk semua r elev nt insiden nt adegan rio s.
lmp] mentat io n g11idante:

Analisis risiko menilai nilai - nilai kemungkinan dan konsekuensi dari _ _ _ _ _ sebuah risiko. Nilai-
nilai ini dapat bersifat kuantitatif atau qua li tatif. Mempertaruhkan ana l ys saya s adalah berdasarkan
pada dinilai konsekuensi _ _ dan seperti li hood. Tambahkan saya secara nasional , itu bisa
mempertimbangkan biaya keuntungan, itu peduli rn s dari pemegang saham , dan lainnya variabel,
sebagai sesuai untuk r isk eva lu di i on. R i sk i s i s i s kombinasi dari h e likel ood of skenario ni id
ent i o dan konsekuensinya . _
Contoh metode atau pendekatan analisis risiko keamanan informasi yang berbeda dapat ditemukan di
Lampiran _ _ _ _ _ E .
Keluaran: SEBUAH daftar dari r saya sk dengan h nilai l tingkat ass i g n ed.
8.4 R saya sk mengevaluasi saya _

.lnJlJ.lt;A daftar dari risiko dengan va l ue tingkat l s ditugaskan dan mempertaruhkan evaluasi _ _ kriteria.
Actjpn: Tingkat dari r saya sk Sebaiknya menjadi kompa r e d lagi n s t r saya sk eva l uat i on c r it ri ia
dan r iskaccep t a n ce kritik ria .
Implementasi g11idanc : e : _
T h e sifat dari itu keputusan berhubungan dengan risiko evaluasi dan risiko kriteria evaluasi yang
digunakan untuk membuat keputusan itu , adalah memutuskan kapan tidak tetapkan li sh i ng dia _ co
nt ext.Ini putuskan i o n s dan t h e konteks untuk harus ditinjau kembali dalam lagi detail _ di ini s t
ge kapan lagi saya sk n sendiri tentang khusus _ _ _ _ r adalah k s id e nt ified. Ke evaluasi ua te r i
sks, orga n iza t ions harus co m pare t h e memperkirakan t ed r i sks (menggunakan memilih saya t
hods atau pendekatan seperti yang saya bahas di Lampiran E ) dengan kriteria evaluasi risiko yang
ditentukan selama isi pembentukan.
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus selaras dengan konteks
manajemen risiko keamanan informasi eksternal dan internal yang ditetapkan dan mempertimbangkan
objek _ _ _ _ _ _ _ _ _ _ _ tujuan organisasi dan pandangan pemangku kepentingan , dll . Putuskan
sebagai _ _ _ diambil i n t h er i sk eva lu at i o n act i v i ty are ma saya hanya berdasarkan pada t h e
terima t mampu tingkat l dari r saya sk. Namun1; konsekuensi n ces, kemungkinan, dan t h e derajat
dari keyakinan dalam _ _ _ r is k identificat i o n a n d analysis juga harus d iidentifikasi . _ _ _ _
Agregat dari beberapa risiko rendah atau menengah dapat menghasilkan jauh lebih tinggi secara
keseluruhan r i sks dan haruskah ? _ ditujukan sesuai i ng l y.

ISO/
Co n s id erat i o n s s h o ul d termasuk : _
Informasi keamanan properti: i f one kriteria adalah tidak _ re l evant u nt u k ion orga n iza t (mis
kehilangan kepercayaan diri ) , maka ll _ _ r i sks saya pakta dalam g t h i s cr it er i o n mei tidak
relevan ; _

ISO/IEC
Itu pentingnya dari itu bisnis proses atau aktivitas didukung oleh sebuah tertentu aset atau
mengatur dari aktiva: jika _ proses p saya s bertekad ke menjadi o f l ow i mp o r ta n ce, risiko
asosiasi t ed dengan itu _ s h o ul d menjadi diberikan pertimbangan yang lebih rendah daripada r
i sks t h at i mpact proses atau tindakan yang lebih penting ;
Penggunaan evaluasi risiko _ t dia mengerti din g _ dari saya sk dapatkan di e d b y r isk ana l ysis untuk
membuat e _ keputusan tentang tindakan masa depan . Keputusan harus mencakup : _ _ _
siapa dia _ sebuah ac ti v it y haruskah _ b e kamu melakukan ;
prioritas untuk risiko perlakuan kontra saya der saya ng diperkirakan tingkat l s dari r saya sk .
keluaran : SEBUAH aku tetap _ o f r saya sk sebelumnya saya zed _ _ menurut ke mempertaruhkan
evaluasi kriteria di r elatio n untuk _ t h e saya melihat skenario itu menyebabkan risiko tersebut.
9 Informasi keamanan mempertaruhkan t e tment
9.1 Umum d deskripsi _ dari ri s k perlakuan

l..nJlllt: SEBUAH li s t dari r i sks pr i o r it zed menurut r is k eva lu at i o n c r ite r ia i n r e l at i o n _ _
ke tempat kejadian n a r ios yang mengarah pada risiko tersebut . _ _ _ _ _
Actjon: Kon rol untuk mereduksi , mempertahankan , menghindari, o r Bagikan t dia r isks sho kamu ld
menjadi dipilih a n a r adalah k _ t reat m ent rencana yang ditetapkan.
Penerapan g u idan c e :
Di sana adalah empat pilihan aku mampu _ untuk mempertaruhkan pengobatan nt : mempertaruhkan
mod saya ficat i on (melihat .2..2. ), r saya sk penyimpanan (lihat .2..3. ), r isk penghindaran (lihat 2.1 )
dan r isk sharng (lihat 2.! saya ) .
Angka 3 saya akan ustrate itu r saya sk t reat m e n t aktivitas dalam n itu i nfo rmat i o n keamanan
_ _ r saya sk proses manajemen seperti yang disajikan dalam 2 . _ _

ISO/
RISK
HASIL
PENILAIAN
YANG
MEMUASKAN _ Rrskdec 1 s 1 o n po l n t 1
__
r----- ---------------- ------------- ------

R l s k t rea tment 7
RISK TREATMENT OPTIONS
RISK MODIFICATIONRISK RETENTION RISK AVOIDANCE RISK SHARING
L
Rtsk decision po1nt 2
SAT I S FA CT
ORY T R E
ATM E N T
F i gu r e 3 - Itu r saya s k t r makan m e n t ac ti v i ty
Perawatan risiko memilih saya s h ou l d be dipilih berdasarkan hasil dari penilaian yang sulit , biaya
yang diharapkan untuk mengimplementasikan opsi - opsi dan harapan manfaat yang sesuai dari ini _ _
_ _ _ _ _ _ op t i ons . _
Kapan aku setuju? pengurangan risiko _ tidak ada menjadi o b tained dengan relatif l y l ow
pengeluaran Anda , pilihan - pilihan itulah yang akan diterapkan . _ _ _ _ _ Fu r t h er op t io n s untuk
im pr oveme nt s dapat menjadi ekonomi dan penilaian perlu dilakukan sebagai tow h et he r t h e ya
re j u s t i fi a b l e . _
Di ge n e r a l, urutan konsekuensi yang merugikan dari r i sks harus dibuat serendah reasona bl y pr
bertindak i ca bl ea n d irr es p e c t iv e dari a n y Abso l ut e cr itu er saya . _ Ma n a gers haruskah
_ _ mempertimbangkan r a r e tapi tujuh r e ri s k s . Di s u ch c a ses, dapat diperlukan o i m p l e m
e nt c o nt rol t h a t a r e n ot j u s t i fi a b l e on st r ic t ly ekonomi i c g r o u n d s ( misalnya , bisnis
co n tinu i ty kontrol kontra id ed menutupi spesifik c h ig h r i sks) .
T h e fou r o p t i o n s untuk rr adalah k t makan m ent adalah e tidak ada _ mut ua ll y eksklusif. Jadi
, _ _ _ _ _ dia _ o r g a niza t ion bisa _ menjadi n e f it substansial l y dengan kombinasi pilihan
seperti mengurangi like h oo d o fr is k s , mengurangi konsekuensi i r , a n ds h ar i ng o r re t a i n in

ISO/IEC
g setiap residua l r i sks .
Beberapa r i sk memperlakukan saya n ts dapat efektif l ya dd ress m o r et h a n o n er i sk ( mis . _ _
_ _ _ _ _ _ _ _ _ _ t r ai n i n g dan sadar ) . _ SEBUAH r i sk t r rencana makan harus didefinisikan
dengan jelas _ _ _ _ _ _ _ _ t dia prioritas atau d ering in _ _ apa _ _ _ saya menemukan ividu a l r
saya sk t r e at me nt s s h o u ld menjadi i mpl e m e n te d sebuah n d t he i r _ t saya saya fr a m
es . Pr i o r it es _ bisa _

ISO/IEC 27005:2018(E)
didirikan _ menggunakan berbagai teknik, termasuk peringkat risiko dan analisis biaya-manfaat.
Adalah tanggung jawab manajer organisasi untuk memutuskan keseimbangan antara biaya
pelaksanaan pengendalian dan penetapan anggaran .
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini ,
dalam hal : dari biaya perbandingan. termasuk pemeliharaan. Jika menghapus berulang atau tidak
perlu cont r o l s dipertimbangkan ( terutama jika _ kontrol memiliki biaya perawatan yang tinggi ).
keamanan informasi dan faktor biaya harus diperhitungkan . Karena kontrol dapat saling
mempengaruhi , menghapus kontrol yang berlebihan dapat mengurangi keamanan secara keseluruhan
. Selain itu, bisa juga lebih murah untuk meninggalkan kontrol yang berlebihan atau tidak perlu
daripada menghapusnya .
Mempertaruhkan perlakuan pilihan Sebaiknya menjadi dianggap
mengambil ke dalam akun: seberapa berisiko dirasakan oleh
pihak yang terkena dampak;
itu paling sesuai cara ke menyampaikan ke itu pesta .
Risiko bagi organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi ini
kemungkinan apakah akan diimplementasikan . _ Semua kendala - organisasi. teknis, struktur l , dll. -
itu adalah diidentifikasi selama konteksnya _ pembentukan aktivitas Sebaiknya menjadi dibawa ke
dalam Akun selama risikonya perlakuan.
Satu kali itu r e n c a n a penanganan risiko telah ditetapkan, residual risiko perlu ditentukan . Ini
melibatkan pembaruan _ atau pengulangan dari mempertaruhkan penilaian, mengambil ke dalam
memperhitungkan efek yang diharapkan dari _ penanganan risiko yang diusulkan . Haruskah risiko
residual masih belum memenuhi kriteria penerimaan risiko organisasi , iterasi lebih lanjut dari
perlakuan risiko dapat diperlukan sebelum melanjutkan ke mempertaruhkan penerimaan.
Output : Rencana penanganan risiko dan risiko residual tunduk pada penerimaan keputusan dari para
manajer organisasi .
9.2 Mempertaruhkan modifikasi

Actjon: Itu tingkat resiko _ harus dikelola oleh memperkenalkan, menghapus , atau mengontrol
kontrol l s sehingga risiko residual dapat dinilai kembali sebagai dapat diterima.
Penerapan bimbingan :
Kontrol yang tepat dan dapat dibenarkan harus dipilih untuk memenuhi persyaratan yang
diidentifikasi oleh: penilaian risiko dan penanganan risiko. Pemilihan ini juga harus
mempertimbangkan biaya dan kerangka waktu untuk pelaksanaan pengendalian, atau aspek teknis,
lingkungan dan budaya. Seringkali mungkin untuk menurunkan _ _ _ total biaya dari kepemilikan _
sebuah sistem dengan benar kontrol keamanan informasi yang dipilih .
Secara umum, kontrol dapat memberikan satu atau lebih jenis perlindungan berikut: koreksi,
eliminasi, pencegahan, minimalisasi dampak . pencegahan, deteksi. pemulihan, pemantauan dan
kesadaran. Selama pemilihan kontrol , penting untuk menimbang biaya perolehan , pelaksanaan,
administrasi, pengoperasian, pemantauan , dan pemeliharaan kontrol melawan va l ue dari aset yang
dilindungi. Selanjutnya, pengembalian investasi dalam hal pengurangan risiko dan potensi untuk
memanfaatkan peluang bisnis baru yang diberikan oleh kontrol tertentu harus dipertimbangkan.
Selain itu, pertimbangan harus diberikan pada keterampilan khusus yang mungkin diperlukan untuk
mendefinisikan dan saya menerapkan kontrol atau modifikasi baru _ _ yang ada yang.
ISO/IEC 27002 menyediakan terperinci informasi pada kontrol.
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol. Kendala teknis seperti kinerja
persyaratan, keterkelolaan (o p era t iona l mendukung persyaratan) dan masalah kompatibilitas
dapat menghambat penggunaan kontrol tertentu atau dapat menyebabkan kesalahan manusia baik null
ify in g the mengontrol, memberi sebuah tidak masuk akal dari keamanan atau bahkan meningkatkan
1 © ISO/IEC 2018- All rights

ISO/IEC
risiko _ di luar tidak mempunyai kontrol (misalnya membutuhkan kompleks kata sandi tanpa sesuai
pelatihan, terkemuka ke pengguna menulis kata sandi turun). Apalagi bisa jadi _ _ kontrol
mempengaruhi kinerja . Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi
persyaratan kinerja sambil menjamin memadai informasi keamanan. Hasilnya _ ini melangkah adalah
daftar mungkin pengendalian, dengan biayanya , manfaat, dan prioritas dari penerapan.

ISO/IEC 27005:2018(E)
Berbagai hujan es harus diperhitungkan kapan _ _ _ _ _ _ _ _ _ _ _ _ _ _ pilih kontrol t i n g dan selama

implementasikan i o n . _ Typica ll y, itu mengikuti dipertimbangkan:
waktu kendala;
keuangan c o kendala; t
ec h n saya ca l kendala;
operasi r pada ion al
const r ai n s; cu l tura l
kendala; et saya kal
kendala;
nvi ron m ental _ kontra t rai
nt s; meredakan
penggunaan;
personil const r a nt s ;
const r ai nt s untuk di tegra t i n g baru _ dan mantan adalah t i ng kontrol.
Lagi i nfor m at i on oh tidak t h e kendala _ _ untuk r saya sk mod saya ficat i on bisa menjadi ditemukan
saya tidak Mencaplok F .
9.3 R saya sk penyimpanan

Actjon: Keputusan _ oh tidak re ta in i n g itu r adalah k dengan h o ut bulu dia bertindak saya di sho u
ld diambil _ d e p berakhir pada r i sk eva lu at i o n .
Implementasi g1 1i danc : e :
jika _ aku tingkat dari mempertaruhkan memenuhi itu mempertaruhkan penerimaan cr i ter i a. di sana
saya s tidak n eed untuk imp l ement i ng tambahkan kontrol dan risikonya _ _ bisa di ulang . _
9.4 Mempertaruhkan penghindaran

Actjpn: ini _ bertindak ivit y atau kondisi itu memberi r ise ke ini _ p ar tic u l ar r adalah k Sebaiknya b
e av id ed .
lmp] ementationg1 1i da n ce :
Ketika r i sks yang diidentifikasi juga dipertimbangkan h i g h , atau biaya dari i m p l ement i ng
pilihan pengobatan r i sk lainnya _ _ melebihi be n efits , sebuah keputusan i o n bisa dibuat t o _
hindari t dia r i sk sepenuhnya, oleh dengan hd r menakjubkan _ dari yang direncanakan atau mantan
saya _ _ _ aktivitas o r set dari sebuah kegiatan , _ atau h angi ng t dia kondisi di bawah _ _ yang
mana _ aktivitas _ _ _ saya sudah makan d . _ l'or contoh, untuk r adalah k s ca u se d by alam itu bisa
jadi paling hemat biaya alternatif untuk p h ys saya dengan cepat memindahkan informasi saya
tentang pemrosesan fasilitas untuk tempat dimana resikonya tidak ada atau saya s kurang terkendali l.
9.5 Mempertaruhkan s h aring

Actjpn: Itu r adalah k seharusnya s h a r ed with a not her part y that dapatkah paling efektif e ct iv e l
y mengelola ? r tertentu adalah kd tergantung pada risiko _ _ _ _ _ ev a lu di i o n .
lmpl e mPn ta tion g1 1i da nc: e :
Pembagian risiko melibatkan keputusan untuk dibagikan _ _ risiko tertentu dengan pihak eksternal . _
ISO/IEC
_ Mempertaruhkan shari n g dapat membuat n ew r is ks or m odify ada di g, id e nt i fi ed r adalah k
s. Karena itu, tambahkan iona l r adalah kt r makan bisa diperlukan.
Berbagi n g ca n b e dilakukan oleh seorang di s u rance that cove r st h e konsekuensi , atau by _ sub
- cont r bertindak pada pasangan yang _ _ _ _ peran adalah untuk pantau informasinya di i on _ _
sistem dan ambil _ saya sudah makan _ bertindak untuk _ berhenti sebuah n menyerang sebelum itu
membuat tingkat yang pasti l dari d a m usia .

ISO/
Ini dia _ _ menjadi dicatat t h at dia bisa menjadi mungkin ke s h adalah _ r espo n s ibi lity ke m
anage r isk tetapi dia saya tidak juga tidak mungkin l e _ untuk _ s h adalah l iabi li ty dari dampak t.
Pelanggan u s u a ll y attri ibut e a n merugikan saya mpac t sebagai makhluk t dia l t dari organisasi .
10 Informasi keamanan mempertaruhkan penerimaan

J.u.put : Rencana penanganan risiko dan r es idu r adalah k penilaian tunduk pada keputusan
penerimaan keputusan organisasi _ _ _ _ _ _ _ _ _ manajer .
Actjon : Keputusan untuk menerima t h er i s dan r espo n s i b ili t i i t i t i t i keputusan harus dibuat
dan diformalkan . _ _ _ _ _ _
Saya mpl mentat i o n g u idance :
Rencana perlakuan risiko harus menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk
memenuhi kriteria penerimaan risiko ( lihat 1..2 . ) . Penting bagi manajer yang bertanggung jawab
untuk meninjau dan menyetujui rencana penanganan risiko yang diusulkan dan hasilnya i n g _ r es
idu a l risiko , sebuah nd rekam d a n y co nd it i o n s terkait dengan h itu adalah pp roval .
R saya sk menerima kriteria _ bisa jadilah aku bijih kompleks itu saja _ de t er m in i ng apa kabar _ _
atau tidak _ a r es saya dua l r saya sk jatuh cinta atau di bawah a si n g l e ambang . _
Dalam beberapa kasus, tingkat r i sk residual tidak memenuhi kriteria penerimaan r i sk i karena
kriteria yang diterapkan melakukan jangan ambil e _ saya tidak _ aku tidak p revaili n g ci r c u
mstances. Untuk contoh , dia bisa b e berargumen _ _ itu saya perlu untuk menerima risiko _ karena t
h e manfaat acco mp a n y i ng t dia mempertaruhkan r e ve r y menarik , atau karena _ biaya dari
mempertaruhkan modifikasi adalah juga tinggi. Seperti keadaan menunjukkan itu penerimaan
risiko kriteria apakah saya n adeq u makan dan haruskah direvisi jika _ mungkin saya bisa. H
berutang r , itu tidak selalu memungkinkan saya untuk merevisi t h e r isk accept t a n ce c rit e ri a in
di i me l y man n e r. saya tidak kasus seperti itu , pengambil keputusan dapat menerima ri sk t h di
lakukan bukan saya tidak r mal kriteria yang diterima . saya _ itu perlu , pengambilan keputusan - r s h
o l d d i m u t i k i n k o m o r i risiko dan memasukkan a pembenaran atas keputusan untuk
mengesampingkan kriteria penerimaan i de norma l r i sk.
keluaran : SEBUAH aku mau _ diterima r i sks w it h hanya saya ficat i o n for t h ose t h at do bukan
bertemu itu risiko normal organisasi kriteria penerimaan.
11 Informasi keamanan mempertaruhkan komunikasi dan konsultasi

J..u.put: Semua r adalah k i nfo rm at i on ob t a i ne d dari om itu ri s k m a n usia m ent kegiatan (melihat F i g u re 2
).
Actjon: Saya menginformasikan tentang tentang k s h ou l d dipertukarkan dan / atau dibagi antara
pembuat keputusan dan lainnya _ _ _ _ taruhannya . _
lm12lementat saya di g 11 idaoce :
Komunikasi risiko adalah _ _ _ _ bertindak saya vity untuk mencapai kesepakatan tentang bagaimana
mengelola risiko dengan cara bertukar dan / atau berbagi informasi tentang risiko antara pengambil
keputusan dan pemangku kepentingan lainnya . I nfo rm a tio n i ncl u des , tetapi tidak terbatas pada
keberadaannya , na t u r e , for rm , li ik elihood , _ _ memutuskannya y , t rea tm en nt , dan terimalah
risks.__
Efek iv e komunikasi d i antara s tak e h olde r s adalah saya penting si n ce _ t h adalah bisa
memiliki tanda aku jodoh t imp act o nd ec i s i o n s harus dibuat . commu nicat io ne n s u s u n s u n
s u n s u s t s s r espo n s ibl e untuk imp l e m ent dalam manajemen risiko , dan itu dengan
kepentingan pribadi saya memahami dasar keputusan yang _ _ _ _ _ _ adalah dibuat dan mengapa
tindakan tertentu? adalah req u ired . Komunikasi bersifat dua arah . _ _ _ _ _
Persepsi sehingga frisk dapat bervariasi karena perbedaan asumsi , konsep dan _ _ _ _ _ _ _
kebutuhan, masalah, dan keprihatinan dari stakeho ld ers sebagai mereka berhubungan dengan r isk
ISO/IEC 27005:2018(E)
atau itu masalah dibawah disk u ssion. Stakeho l der adalah lik e l y t o membuat penilaian atas ia
menerima ta b i litas risiko berdasarkan persepsi risiko . _ _ _ _ _ _ _ _ _ _ _ Ini terutama saya mpor
tan t to dan di sanalah para pemangku kepentingan ' _ _ persepsi tentang r isk, seperti yang kita akan
sebagai Persepsi tentang manfaat , dapat diidentifikasi dan didokumentasikan serta alasan yang
mendasari _ dipahami dan ditangani dengan jelas.

ISO/
Mempertaruhkan com mu nica t ion s h ou ld menjadi mobil r ied keluar _ saya tidak memesan untuk :
bukti identitas _ ass u rance dari hasilnya dari organisasi _ mempertaruhkan
pengelolaan; kumpulkan r isk i nformat io n;
sha r e itu hasil dari dia _ mempertaruhkan penilaian nt sebuah nd sebelum ini r saya sk _
perlakuan rencana;
menghindari atau mengurangi kedua kejadian dan konsekuensi dari pelanggaran keamanan
informasi jatuh tempo ke itu kurangnya saling pengertian di antara pengambil keputusan dan
pemangku kepentingan ;
mendukung keputusan membuat;
mendapatkan _ baru i n formatio n detik u r itu y k n ow l tepi ;
koordinasi dalam makan dengan h pihak r lainnya dan rencanakan tanggapan untuk
mengurangi urutan co n dari setiap saya nc saya penyok; memberikan rasa tanggung jawab
kepada pembuat keputusan dan pemangku kepentingan tentang risiko ;
imp roveaware n ess.
Sebuah organisasi harus mengembangkan rencana komunikasi r is k untuk operasi normal maupun
untuk situasi darurat . _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Oleh karena itu , aktivitas komunikasi berisiko sho
kamu ld dilakukan secara terus menerus .
Itu coor i nation antara ma j o r pengambil keputusan dan stakeho l ders bisa pantai aku malam oleh
itu format i on dari sebuah com mitt ee w h ere debat tentang r i sks, t hei r sebelum itu iza t io n dan
d makan yang sesuai , _ _ dan penerimaan dapat mengambil alih .
PENTING untuk bekerja sama dengan unit - unit komunikasi atau humas yang tepat di dalam
organisasi untuk mengoordinasikan semua tugas _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ aku makan kembali
mengambil risiko komunikasi. Ini aku _ _ _ crucia l , saya tidak _ _ _ peristiwa dari komunikasi krisis
tentang tindakan dalam menanggapi insiden tertentu , misalnya.
Keluaran: Pendirian terus menerus _ _ _ _ _ organisasi _ untuk ion r ma t _ amankan thn i sk proses
dan hasil manajemen .
12 Informasi keamanan _ mempertaruhkan pemantauan dan tinjauan
12.1 Memantau _ dan tinjauan dari mempertaruhkan faktor

Semua r isk informasi _ _ _ dapatkan n ed dari t h e r saya sk manajemen nt bertindak i v i t i es
(lihat gambar 2 ) .
Actjon: Risiko dan faktor - faktornya ( yaitu nilai aset , dampak , ancaman , kerentanan , seperti
kemungkinan terjadinya ) haruskah _ _ menjadi mon saya robek dan ditinjau ke mengenali setiap
perubahan di itu konteks itu organisasi di n ea rly _ panggung, a nd to m a inta in a overv i ew dari
comp l ete r adalah k gambar.
Irolem entatjongu i da n ce :
Risiko adalah tidak s ta tic. r makan , v u lne r abil it ies, li lihood or consequences dapat berubah
secara tiba - tiba l yw t tanpa indikasi apa pun . Oleh karena itu, pemantauan konstan diperlukan untuk
mendeteksi perubahan ini. T h ini dapat mendukung t ed oleh ex t ern layanan yang menyediakan
informasi menganggap saya ng ancaman baru o r kerentanan.
Organisasi Sebaiknya memastikan itu itu untuk selanjutnya _ _ _ adalah
t e r u s saya pantau : n aset baru itu sudah b ee n _ saya termasuk
ISO/IEC 27005:2018(E)
dalam manajemen risiko cakupan;
n perlu modifikasi dari aset nilai-nilai, misalnya . apa kamu _ ke berubah b u si n ess persyaratan ; _
baru _ t h makan itu bisa Jadilah aktif keduanya keluar saya de dan saya di dalam t h e o r gan i zat
io n dan t h at memiliki bukan telah dinilai;
ibil itas t h at n baru o r i n c r mereda vu l nerab il it i es ll ow ancaman terhadap memanfaatkan yang
baru ini atau diubah v u lnerabilities;

ISO/
saya penyok saya fied kemampuan vul n er _ ke dete r m saya ne itu menjadi terkena ke baru o r re - emergi
n g t jam makan ;
saya meningkat dampak atau konsekuensi dari dinilai ancaman, kerentanan dan risiko dalam
agregasi menghasilkan _ sebuah t i n g k a t r i sk yang tidak dapat diterima ;
saya informasi keamanan insiden ts.
Jam baru makan , v u l n e r abi lit ies atau perubahan li i li ihood atau konsekuensi dapat dimudahkan _ _
_ _ _ _ r adalah k s dinilai sebelumnya sebagai rendah o n es. Tinjauan dari rendah dan diterima risiko
harus l d kontra saya der setiap risiko terpisah , dan _ _ semua seperti itu risiko sebagai sebuah agregat
sebagai dengan baik, ke menilai i r potensi acc u mulated dampak. Jika risiko tidak jatuh saya tidak suka
dia aku tahu atau dapat diterima r iskca t ego r y, t h ey sho kamu ld menjadi t rea t ed menggunakan
satu o r mo r e dari pilihan n s pertimbangkan r ed i n Ayat 9 .
Faktor itu memengaruhi t h e aku senang _ sebuah d konsekuensi dari t h r e t s terjadi _ _ _ _ _ _ _
bisa mengubah, seperti yang bisa faktor t h di pengaruh dia _ sesuai kemampuan _ o r biaya dari t h e
va r io u st r e t ment memilih saya . Perubahan besar mempengaruhi organisasi harus _ _ menjadi
alasan untuk sebuah lebih spesifik ulasan. Oleh karena itu, itu mempertaruhkan pemantauan kegiatan
Sebaiknya menjadi diulang secara teratur a n dt h e _ pilihan yang dipilih untuk makan r i sk t r harus
direvisi . _ _ _ _ _ _
Itu hasil o fr isk monitor saya ng bertindak i v i t i es bisa di tempat ke r lainnya r saya sk ulasan
tindakan i v i ikat . Itu organisasi harus ditinjau _ a ll r i sks reg ul a rl y, dan ketika ma j atau berubah
terjadi.
keluaran : Lanjutan _ _ _ _ li gnme nt _ dari pengelolaan r i sks dengan tujuan bisnis organisasi , dan
_ _ _ dengan risiko _ kriteria penerimaan.
12.2 R isk manajemen n t pemantauan, tinjauan dan peningkatan

ln!llit: Semua r adalah k i nfo rm at i on ob t a i ne d dari itu r isk m a n usia m ent kegiatan (melihat E i g n re 2 ) .
Actjon: Itu informasi sec u r i ty mempertaruhkan proses manajemen seharusnya terus menerus
dipantau, ditinjau dan saya meningkat sebagai n ecessa r ya nd appro r ia t e .
lrop l mentat j on g u idance :
Kelanjutan dan tinjauan diperlukan untuk memastikan bahwa konteksnya , hasil dari penilaian
risiko _ _ _ _ _ _ _ _ _ _ _ _ dan mempertaruhkan pengobatan , sebagai kami akan sebagai
pengelolaan rencana, tetap relevan dan sesuai ke keadaan n ces . _
Itu organisasi _ _ haruskah _ _ pasti _ _ itu itu saya informasi keamanan proses manajemen risiko dan
kegiatan terkait i ties tetap sesuai di hadiah keadaan _ _ dan adalah untuk berutang . Setiap meminta
perbaikan pada prosesnya _ _ _ _ atau tindakan yang diperlukan untuk meningkatkan kepatuhan _
dengan itu dia memproses _ _ harus diberitahukan kepada manajer yang tepat untuk memiliki jaminan
bahwa : _
Tidak r saya sk o r r saya sk e l e m ent adalah
diabaikan o dijalankan ; _ _ _ _ _ _ tindakan yang
diperlukan adalah diambil ; dan
keputusan adalah dibuat ke p r ov id e sebuah benar - benar istik r saya sk kamu mengerti aku ng _ dan abi
menyala y ke r espo n d.
Tambahkan ion lly , _ t h e organisasi _ _ harus mengatur l a rl y verifikasi pada kriteria yang
digunakan untuk mengukur risiko _ _ _ _ _ _ dan elemen - elemennya adalah s sampai valid dan
konsisten dengan tujuan bisnis , _ _ _ s t ra t egies dan kebijakan . Saya ts h ou l da l sangat teratur _
ver jika kamu t h berubah menjadi konteks bisnis adalah diambil i n untuk mempertimbangkan
secara memadai selama saya informasi detik u r itu y manajemen risiko proses. Ini pantau aku _ dan

ISO/IEC 27005:2018(E)
ulasan kegiatan harus alamat ( tapi tidak _ _ Saya ingin ):
bersaing _ _ konteks;
mempertaruhkan menilai
m ent app r oac h; nilai t
aset dan ca t egor i es;
saya berdampak kriteria;

ISO/
mempertaruhkan
kriteria evaluasi ;
mempertaruhkan
kriteria penerimaan ;
biaya total _ dari
kepemilikan; sumber
daya yang diperlukan .
Itu organisasi harus memastikan bahwa penilaian risiko dan sumber daya penanganan risiko terus
tersedia untuk meninjau risiko. alamat ancaman baru atau yang diubah atau kerentanan, dan untuk
menyarankan manajemen yang sesuai.
Pemantauan manajemen risiko dapat menghasilkan dalam memodifikasi atau menambahkan

pendekatan , metodologi atau alat yang digunakan tergantung pada:
perubahan diidentifikasi;
mempertaruhkan penilaian itu r di saya di ;
tujuan dari manajemen risiko keamanan informasi proses (misalnya kelangsungan bisnis, ketahanan
terhadap insiden, kepatuhan); dan
obyek dari itu informasi keamanan mempertaruhkan pengelolaan proses (misalnya organisasi,
bisnis unit, proses informasi, implementasi teknisnya, aplikasi, koneksi ke Internet ).
Keluaran· terus menerus relevansi dari itu informasi keamanan mempertaruhkan proses manajemen ke
_ tujuan bisnis organisasi atau memperbarui proses.

ISO/IEC 27005:2018(E)
Mencaplok SEBUAH
(informatif)
Mendefinisikan ruang lingkup dan batas-batas proses

manajemen risiko keamanan informasi
A.1 Belajar dari itu organisasi

Eya)nat theorganjzatjon- Pembelajaran dari itu organisasi mengingat kembali itu elemen
karakteristik _ mendefinisikan identitas seorang _ _ organisasi. Ini menyangkut itu tujuan. bisnis. misi.
nilai dan strategi organisasi ini. Ini harus _ menjadi diidentifikasi bersama dengan elemen berkontribusi
untuk perkembangan mereka (mis subkontrak).
Kesulitan dari kegiatan ini terletak pada bagaimana tepatnya organisasi itu disusun . _
Mengidentifikasinya nyata struktur menyediakan sebuah kamu nd r sta nd ing dari peran _ dan
pentingnya setiap divisi dalam mencapai tujuan organisasi.
Untuk contoh, t h e fakta t h di laporan manajer keamanan informasi _ ke itu atas manajer daripada
manajer TI dapat menunjukkan keterlibatan manajer puncak dalam keamanan informasi . _ _ _ _
Itu organisasi utama tujuan· Itu tujuan utama dari sebuah organisasi bisa menjadi ditentukan
sebagai alasan mengapa itu ada (itu bidang aktivitas, itu pasar segmen. dll.).
-nya bisnis· Itu organisasi bisnis, ditentukan oleh itu teknik dan pengetahuan dari karyawannya,
memungkinkan dia ke menyelesaikan -nya misi. Dia adalah spesifikasi saya fic ke itu organisasi
bidang dari aktivitas dan sering mendefinisikan budayanya .
-nya m js sjon · Organisasi mencapai -nya tujuan oleh mencapainya _ misi. Untuk mengidentifikasi
misinya , layanan yang diberikan dan/atau produk yang diproduksi harus diidentifikasi terkait dengan :
p e n g g u n a akhir .
-nya yah, es· Nilai adalah prinsip utama atau kode yang terdefinisi dengan baik dari mengadakan
diterapkan pada latihan dari sebuah bisnis. Ini bisa kekhawatiran itu pe r son n e l , hubungan dengan
luar _ agen (pelanggan, dll.), t h e kualitas produk yang dipasok atau jasa yang diberikan.
Untuk contoh, sebuah organisasi yang tujuannya adalah publik melayani, bisnis siapa adalah
transportasi dan yang misinya antara lain mengantar anak-anak ke dan dari sekolah dapat memiliki
ketepatan waktu pelayanan dan keselamatan selama transportasi sebagai nilai-nilai.
Struktur dari itu organjzatjon· Di sana adalah jenis yang berbeda dari struktur .
Struktur divisi : setiap divisi ditempatkan di bawah itu otoritas dari sebuah divisi manajer yang
bertanggung jawab atas keputusan strategis , administrasi dan operasional _ tentang unit h s .
Struktur fungsional: otoritas fungsional dijalankan di atas prosedur , sifat dari pekerjaan dan
terkadang keputusan atau p l an n ing ( mis . _ produksi, DIA, sumber daya manusia. pemasaran,
dll.).
Catatan:
SEBUAH divisi di dalam sebuah organisasi dengan divisi struktur bisa menjadi terorganisir
sebagai sebuah struktur fungsional dan sebaliknya.
Sebuah organisasi dapat dikatakan ke memiliki sebuah matriks struktur jika dia memiliki elemen
dari kedua jenis dari struktur. Di setiap orga n iza t iona l struktur, itu mengikuti l tingkat bisa

ISO/
dibedakan:
- itu tingkat pengambilan keputusan (definisi dari strategis orientasi);

ISO/IEC 27005:2018(E)
t h e pemimpin hip tingkat (koordinasi dan pengelolaan);

itu operasional tingkat (prod u ction dan mendukung kegiatan).
Organjzatjpn bagan· Itu organ i zat i o n' s struktur adalah diwakili sc h emat i cally i n an bagan
organisasi . Representasi ini harus menonjolkan garis pelaporan dan pendelegasian wewenang, tetapi
haruskah aku termasuk e _ atau h er hubungan, yang saya ch , bahkan saya jika mereka adalah tidak
berdasarkan p a d a otoritas formal apa pun , adalah namun demikian garis - garis arus informasi . _ _ _ _
_
Strategi organisasi · Ini membutuhkan ekspresi formal dari _ _ _ _ prinsip - prinsip pedoman
organisasi . _ _ _ Itu organisasi strategi menentukan e _ arah dan pengembangan _ _ _ diperlukan
untuk _ _ manfaat dari i ss u es dipertaruhkan dan dari _ besar perubahan itu saya s perencanaan.
A.2 Li st dari itu kendala mempengaruhi itu organisasi

Semua kendala - kendala yang mempengaruhi organisasi dan penentuan keamanan format atau ientasi
harus diperhitungkan . _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ mereka r sumber dapat berada di dalam
organisasi ( dalam hal ini memiliki _ _ _ _ _ beberapa kontrol atas mereka ) atau di luar organisasi dan
, oleh karena itu , secara umum tidak dapat dinegosiasikan . Kendala sumber daya (anggaran,
personel) dan kendala darurat termasuk di antara : y a n g paling penting.
Itu organisasi set itu s tujuan _ _ (kekhawatiran dan ing -nya bisnis, perilaku, dll.) com itu ting itu
untuk sebuah tertentu di jalan, mungkin dalam jangka waktu yang lama. Ini mendefinisikan ingin
menjadi apa dan sarana yang perlu diterapkan . Di tentukan jalur ini , animasinya _ _ _ _
memperhatikan perkembangan teknik dan know - how , the _ _ _ _ _ diungkapkan dengan pengguna ,
_ pelanggan, dll. Ini tujuan dapat diekspresikan dalam bentuk strategi operasi atau pengembangan
dengan tujuan , misalnya untuk memotong biaya operasi , meningkatkan kualitas _ _ _ _ _ _ _ _ _ _
melayani , dll .
Ini strategi mungkin termasuk dalam formasi dan sistem informasi ( TS ) , yang membantu dalam
penerapannya . _ _ _ _ _ _ _ Akibatnya , karakteristik mengenai identitas, misi dan strategi
organisasi adalah mendasar elemen nt s saya tidak itu analisis dari dia _ masalah s saya nce itu
melanggar dari sebuah n aspek keamanan informasi dapat menghasilkan r et h inking dari tujuan
strategis . _ _ _ _ Selain itu , itu adalah esensi l t h di proposa l s untuk di untuk r m di i on
keamanan persyaratan tetap konsisten dengan itu h itu aturan , menggunakan dan cara saya
memaksa di o r gan i zat i on .
Itu daftar dari kendala _ _ saya n termasuk tetapi saya s tidak _ saya mit ed _ untuk :
Kendala ofa poijtica) alam: Ini bisa peduli rn administrasi pemerintahan , publik institusi atau
lebih umumnya organ ny i zat i itu _ berlaku keputusan pemerintah . Mereka adalah keputusan
biasanya menyangkut saya ng _ _ strategis atau orientasi operasional dibuat oleh d i v i s i
pemerintah atau badan pembuat keputusan dan harus menjadi aplikasi . _ _
Untuk contoh, itu komputerisasi dari faktur atau administratif dokumen memperkenalkan
masalah keamanan informasi . _
Kendala dari sebuah strategis alam: Kendala dapat muncul dari ompl an ned atau _ _
kemungkinan perubahan pada struktur atau atau entasi organisasi . _ _ _ _ _ _ Mereka dinyatakan
dalam rencana strategis atau operasional organisasi .
Misalnya , kerjasama internasional dalam berbagi informasi sensitif dapat memerlukan
kesepakatan mengenai pertukaran keamanan . _
Terrjtoria) kendala: Struktur dan/atau tujuan organisasi dapat memperkenalkan batasan -
batasan tertentu seperti : distribusi _ _ dari begitulah _ _ di luar negeri atau di luar negeri . _ _ _
_
Contoh l es termasuk pos l jasa, kedutaan besar , bank, anak perusahaan dari sebuah besar industri
kelompok, dll .

ISO/
Kendala timbul dari itu ekonomis dan politik iklim: Sebuah organisasi operasi bisa menjadi
mendalam ly diubah berdasarkan spesifikasi acara seperti pemogokan _ atau nasional dan
internasional io nal _ cr saya ses. Untuk contoh mpl e , jadi saya _ se r kejahatan
Sebaiknya menjadi sanggup ke melanjutkan bahkan selama se r io u s c r adalah i s.

ISO/IEC 27005:2018(E)
Struktural kendala: Itu alam dari sebuah organisasi struktur (divisi, fungsional atau lainnya)
bisa aku pergi _ sebuah spesifik informasi kebijakan keamanan dan keamanan organisasi
disesuaikan dengan _ struktur.
Untuk contoh. sebuah struktur internasional Sebaiknya bisa _ untuk mendamaikan persyaratan u
r it y _ khusus untuk masing- masing negara.
Fungsional eoastra i atS : Kendala fungsional muncul langsung dari organisasi umum atau khusus
misi.
Misalnya, sebuah organisasi yang beroperasi sepanjang waktu harus memastikan sumber dayanya
terus menerus tersedia.
Kendala eoncernjng pribadi : _ _ _ Sifat kendala ini sangat bervariasi. Mereka terkait dengan:
tingkat tanggung jawab, perekrutan, kualifikasi, t r a in ing.sec u r it awareness, motivasi,
ketersediaan, dll.
Misalnya, seluruh personel pertahanan atau organisasi yang harus saya miliki _ _ otorisasi untuk
menangani dengan sangat percaya diri i a l informasi.
Kendala dari skala organisasi: Kendala ini dapat mengakibatkan dari restrukturisasi
atau set t i ng up baru kebijakan memaksakan ce r tai n
tenggat waktu. Untuk contoh, pembuatan sebuah divisi
keamanan.
Kendala terkait ke metode: Metode yang sesuai untuk t h e organisasi pengetahuan perlu
dikenakan untuk _ aspek seperti perencanaan proyek , spesifikasi, pengembangan dan seterusnya.
Kendala dari alam budaya: saya tidak beberapa organisasi, kebiasaan kerja atau bisnis utama
_ telah memimpin ke sebuah spesifik "budaya'' dalam organisasi, yang bisa menjadi tidak
sesuai dengan itu kontrol keamanan. Ini budaya adalah itu personil referensi umum kerangka
dan bisa jadi bertekad oleh banyak orang aspek, termasuk pendidikan, instruksi, pengalaman
profesional , pengalaman di luar kerja , pendapat , _ filsafat, percayalah , _ soc saya juga
status.dll .
Kendala kasar: Kontrol keamanan yang direkomendasikan dapat _ terkadang sangat _ _ tinggi
biaya. Meskipun itu bukan cara yang tepat untuk mendasarkan investasi keamanan pada
efektivitas biaya. pembenaran ekonomi umumnya diperlukan oleh organisasi Departemen
Keuangan.
Untuk contoh, di sektor swasta _ dan beberapa organisasi publik , itu total biaya dari keamanan
pengendalian tidak boleh melebihi biaya konsekuensi potensial dari risiko. Oleh karena itu ,
manajemen puncak harus menilai dan ambil dihitung risiko jika mereka mau hindari berlebihan
biaya keamanan.
A.3 Daftar dari itu kendala mempengaruhi cakupan

Oleh mengidentifikasi itu kendala. dia adalah mungkin untuk membuat daftar t h ose t h di miliki
sebuah dampak pada itu cakupan dan tentukan yang mana yang tetap perlu sesuai tindakan.Mereka
adalah ditambahkan ke, dan mungkin bisa diubah, batasan organisasi ditentukan di atas. Paragraf
berikut menyajikan a daftar tidak lengkap dari kemungkinan jenis kendala.
Kendala timbul dari proses yang sudah ada sebelumnya
Proyek aplikasi tidak harus dikembangkan secara bersamaan. Beberapa bergantung pada proses yang
sudah ada sebelumnya. Bahkan meskipun sebuah proses dapat rusak menjadi sub-proses , itu proses
bukan _ tentu saya n flu enced oleh semua sub-proses dari proses lain.
Teknis const r a i nts

Kendala teknis, terkait ke infrastruktur, umumnya muncul dari saya menginstal perangkat keras dan
ISO/
perangkat lunak, dan ruangan atau situs perumahan proses:
- file (persyaratan tentang organisasi, media pengelolaan, pengelolaan akses ru l es, dll.);

ISO/IEC 27005:2018(E)
arsitek umum u re ( persyaratan tentang topologi ( terpusat , terdistribusi, klien - server ) , arsitektur
lengkung fisik , dll.);
aplikasi perangkat lunak (persyaratan perhatian n g spesifik lembut t wa r e rancangan, pasar standar,
e t c.);
kemasan perangkat lunak (persyaratan mengenai standar, tingkat l dari evaluasi, kualitas, sesuai
dengan norma, detik u r itu y, dll.);
perangkat keras ( persyaratan mengenai standar , kualitas , kesesuaian dengan norma.dst . ) ; com
mun icat i o n jaringan (req u irements co n cern di g cakupan, sta nd a rd s , kapasitas, r
keandalan, dll.);
membangun infrastruktur ( persyaratan tentang teknik sipil , _ membangun saya , h i gh
tegangan, tegangan rendah , e t c.).
Einanc:ial const r ai nt s
Implementasi kontrol keamanan sering dibatasi _ _ _ _ oleh _ anggaran yang organisasi dapat com i t.
Namun, kendala keuangan masih harus menjadi yang terakhir dipertimbangkan sebagai alokasi
anggaran untuk keamanan dapat dinegosiasikan atas dasar _ dari t h e aman itu y belajar.
lingkungan kendala _ _
Lingkungan kendala nt s bangkit dari t h e geografis _ atau ekonomis e n v i ronment di h ic h _ t h e
proses diimplementasikan: negara , iklim , risiko alam , situasi geografis , ekonomis iklim, dll.
Waktu rm1strains
Itu waktu diperlukan untuk i mpl ement i ng _ amankan y _ kendalikan _ _ Sebaiknya menjadi
dipertimbangkan saya tidak r e l at i on to up g r ade itu i n format i o n sistem; jika itu i mpl mentat i
on waktu saya s _ sangat panjang, t h e r saya meminta untuk yang t h e kendalikan aku _ dirancang
dapat memiliki c h a n ged. Waktu adalah a menentukan faktor untuk memilih jadi l ution a n d pr i
orit i es .
Kontra hujan _ terkait untuk bertemu h ods
Metode aplikasi r op r iate ke itu organ i zat i on's pengetahuan Sebaiknya jadilah kamu _ untuk proyek
perencanaan, spesifikasi , pengembangan dan sebagainya .
Orga o izationa l constca i ots
Berbagai kendala nt s bisa mengikuti dari saya _ organisasi n a l persyaratan :
operasikan i o n ( r equ i re m ents tentang saya membaca - kali, supp ly dari kejahatan se r ,
pengawasan, pemantauan dalam g , rencana darurat , _ _ operasi terdegradasi , dll.);
saya seorang int enance ( r e qui re m ents untuk saya kebetulan pemecahan masalah , mencegah iv e
tindakan, r apid koreksi, dll.);
manajemen sumber daya manusia (persyaratan tentang pelatihan operator dan pengguna,
kualifikasi untuk posting s u ch as sys t em adm i nistrato r o r data adm i nist r ator, dll . );
adm saya nistrat saya ve pengelolaan (persyaratan tentang tanggung jawab , dll . );
manajemen pembangunan (persyaratan co n cerni n g deve l op m ent t oo l s , perangkat lunak
berbantuan komputer , _ _ _ rencana penerimaan, organ i zat i on to be mengatur ke atas, dll.);
m a n usia m ent dari ex t erna l terkait _ _ _ _ _ _ _ _ _ _ _ _ _ _ hubungan pihak ketiga , tindak
lanjut , _ _ dll.).

ISO/
LampiranB
(informasikan di iv e )
Identifikasi dan penilaian dari aktiva dan dampak penilaian
B.1 Contoh dari sebuah ss et identifikasi

B.1.1 Umum
Ke melakukan penilaian aset, a n organisasi dulu kebutuhan untuk mengidentifikasi asetnya ( di
tingkat l yang sesuai rinci) . 1 \ vo jenis aset dapat dibedakan antara lain :
itu utama aktiva:
husi n ess dan kegiatan ; untuk m ion ; _ _
itu mendukung aset ( yang utama elemen dari ruang lingkupnya _ mengandalkan)
dari semua jenis: perangkat keras;
lunak ; _ _ _
jaringan;
personil;
lokasi;
struktur organisasi .
B.1.2 Itu id e ntifikasi dari utama aktiva

Ke menggambarkan itu cakupan mo r e aku r makan l y, t h adalah bertindak i v it y terdiri i n id ent i
fyi n gt h e aset utama ( bisnis memroses aktivitas nd i es , informasi ) . _ _ _ Identifikasi ini
dilakukan oleh kelompok kerja campuran yang mewakili lima proses ( manajer , spesialis sistem
informasi, dan pengguna ) .
Aset utama adalah u s u all y the proses inti dan informasi tentang t h e act i v it yi n the scope. O t
nya primer aset seperti organisasi pada proses ion bisa juga dipertimbangkan, yang adalah lagi cocok
untuk menggambar ke atas sebuah informasi _ _ _ keamanan _ _ aturan atau sebuah bis saya ness
lanjut i nuity rencana. Tergantung pada tujuannya, beberapa s t ud i es tidak memerlukan analisis n
exha u s t ive dari _ _ _ semua e l e m ents membuat ruang lingkup . Saya dalam kasus seperti itu,
batas studi saya bisa _ terbatas pada kunci elemen nt jadi f ruang lingkup.
P r imary aktiva adalah dari dua jenis:
1) Bis saya ness proses (atau subproses) dan bertindak saya vit i es, untuk contoh l : _
proses p r apa _ _ kehilangan atau degradasi membuat dia imposs i ble ke membawa keluar t
h e rindu aku _ dari organisasi ;
proses yang tidak mengandung proses rahasia _ _ _ _ o r proses yang melibatkan teknologi
hak milik ; _ proses t h di, saya fmod jika saya ed, tidak ada g r makan ly memengaruhi itu
capai m ent dari itu organisasi _ misi ;
proses itu diperlukan untuk organisasi untuk mematuhi aplikasi i cab l e kontraktual, legal

ISO/IEC 27005:2018(E)
atau requ i r e s e s i u n d a r i n i s i n jika saya ed sesuai C l ause 6 ;

ISO/
2) Informasi. Lagi umumnya, utama i nfo rm at i on terutama terdiri dari:

vital saya informasikan _ _ untuk itu latihan saya se dari itu organisasi apakah saya _ atau bisnis;
informasi pribadi, seperti yang dapat didefinisikan secara khusus di nasional _ _ hukum
tentang pribadi; strategis i nfo r ma t ion yg dibutuhkan untuk r mencapai tujuan dete r m
saya ne d oleh itu strategis orientasi;
h i gh - informasi biaya pertemuan siapa, penyimpanan, pemrosesan, dan penularan
membutuhkan waktu yang lama dan / atau melibatkan perolehan biaya yang tinggi . _
Proses dan informasi yang tidak diidentifikasi sebagai sensitif setelah aktivitas ini tidak memiliki
klasifikasi kelas yang ditentukan dalam sisa dari t h e belajar. Ini berarti itu, malam n jika proses
seperti itu atau i nfo r mat i pada r e dikompromikan , t h e organisasi tidak dapat tetap mencapai t dia
m iss ion berhasil.
Namun, mereka sering mewarisi kontrol Saya menerapkan untuk melindungi proses dan informasi
yang diidentifikasi sebagai sensitif.
8 . 1.3 Daftar _ dan keterangan dari mendukung aktiva

Itu cakupan terdiri dari aktiva itu s h ou l d diidentifikasi dan dijelaskan. Ini aset memiliki kerentanan
yang dapat dieksploitasi oleh ancaman yang bertujuan untuk merusak aset utama dari cakupannya
( proses dan informasi ) . _ _ _ _ _ _ _ _ Mereka adalah dari berbagai t ya:
Perangkat keras. Itu perangkat keras Tipe terdiri dari sebuah ll t h e fisik elemen mendukung proses.
pengolahan data e q u i pment _ _ _ (aktif ) : Otomatis dalam format dan proses i ng equ saya
pment i nc l ud i n g the item yang diperlukan untuk beroperasi secara independen.
Dapat diangkut peralatan : Peralatan komputer portabel . _ _ _

EXA MP LE Laptop komputer, Personal Digita l Asisten (PDA).
Peralatan tetap : Komputer equ i p m ent digunakan di t e m p a t organisasi .
CONTOH Melayani r , m i c r oco m pu t er u se d sebagai bekerja k sta tio n .
Pengolahan periferal: Peralatan terhubung ke sebuah komputer melalui a co m mun i ca t i di
port ( se r i a l , paralel li n k , dll . ) _ _ _ menyampaikan atau t ransmitt i ng da ta .
CONTOH P rin te r , hapus l e disk drive .
Data sedang (pasif): Ini adalah media untuk menyimpan data atau aksi menyenangkan .
Elektronik sedang: Sebuah informasi _ _ _ sedang itu bisa terhubung ke komputer r atau
jaringan komputer untuk r data penyimpanan. D meskipun milik mereka ukuran c ompa c t ,
ini media bisa berisi saya setuju _ jumlah data. Mereka dapat digunakan dengan komputasi
standar eq u ipme nt .
CONTOH F lo p p y d i sc, CD ROM , kembali • u p peluru, remo vab l e hard cakram,
Penyimpanan kunci, tape. Media lain : Statis, non-elektronik saya ed saya _ berisi data.
CONTOH Kertas, s li de, lalu lintas , _ _ dokumentasi, sumbu _ _
Perangkat lunak. Perangkat lunak terdiri dari semua t h e program berkontribusi ke itu operasi
dari sebuah pengolahan data set . _
Pengoperasian sistem: Ini termasuk _ semuanya _ program dari sebuah pembuatan komputer
ke atas t dia basis operasional dari yang sebuah ll itu lainnya program (jasa atau aplikasi)
adalah r u n. Dia termasuk sebuah kernel dan fungsi atau layanan dasar . Tergantung pada
arsitekturnya, sebuah operasi sistem mungkin monolitik atau dibuat ke atas dari sebuah m ic r

ISO/IEC 27005:2018(E)
o - k e rn e l dan mengatur dari sistem jasa. Itu utama elemen dari beroperasi _ _ _ sistem a r
e sebuah ll itu equ ipm dan nt pengelolaan jasa (CPU, saya mori , cakram, sebuah n d
antarmuka jaringan ) , layanan manajemen tugas atau proses , dan layanan manajemen hak
pengguna . _

ISO/
Perangkat lunak layanan , pemeliharaan, atau administrasi: Perangkat lunak yang dicirikan
oleh fakta bahwa ia melengkapi layanan sistem operasi dan tidak ditujukan untuk melayani
pengguna atau aplikasi l icat i ons ( meskipun biasanya esensi l atau bahkan saya menemukan
saya menghabiskan l e untuk global pengoperasian sistem informasi).
Kemasan perangkat lunak atau perangkat lunak standar: Standar perangkat lunak atau
perangkat lunak paket adalah: produk lengkap _ dikomersialkan sebagai seperti (lebih
tepatnya dibandingkan satu•mati atau spesifik perkembangan) dengan media, rilis dan
pemeliharaan. Mereka menyediakan layanan untuk pengguna dan aplikasi , tetapi tidak
dipersonalisasi atau spesifik dalam _ _ cara t h di aplikasi bisnis adalah.
CONTOH Data basis pengelolaan perangkat lunak, elektro ni c pesan perangkat lunak , g r oupwa r e, direktori
perangkat lunak , jaring server perangkat lunak, dll.
Bisnis aplikasi:
Standar bisnis aplikasi: Ini adalah komersial l perangkat lunak yang dirancang untuk
memberi pengguna akses langsung ke itu jasa dan fungsi mereka memerlukan dari t he
i r i nformat i on _ sistem di profesional mereka konteks. Di sana adalah sangat _
lebar, secara teoritis terbatas , _ _ jangkauan dari bidang.
CONTOH Akun perangkat lunak, mesin alat kontrol perangkat lunak, pelanggan peduli perangkat lunak,
personil
kompetensi pengelolaan perangkat lunak, adm ini st ratif _ perangkat lunak, dll.
Spesifik bisnis aplikasi: Ini adalah perangkat lunak dalam yang bermacam-macam aspek
(terutama dukungan, pemeliharaan, perbaikan, dll.) telah khusus dikembangkan untuk
memberikan pengguna langsung akses ke layanan dan fungsi yang mereka butuhkan dari
sistem informasi mereka . ada _ rentang bidang yang sangat luas, secara teoritis tidak
terbatas .
CONTOH Faktur manajemen dari t listrik pelanggan operator , nyata waktu pemantauan aplikasi untuk
roket l au n chi n g .
Jaringan: jaringan _ jenis terdiri dari semua telekomunikasi perangkat digunakan ke saya tidak erco
n nec t beberapa secara fisik jauh komputer atau elemen dari sebuah sistem informasi.
Sedang dan s up o rt s: Komunikasi dan media atau peralatan telekomunikasi dicirikan
terutama oleh itu fisik dan tec h n i ca l karakter i cs dari t h e peralatan ( titik • tO · titik ,
siaran) dan oleh komunikasi protokol (tautan atau jaringan - level 2 dan 3 dari OSI 7 - model
lapisan ).
CONTOH Pengalihan Telepon Umum Jaringan (PSTN), Ethernet, G i gabitEt h e rn et, Pelanggan Digital
Asimetris Garis (ADSL), protokol nirkabel spesifikasi (misalnya Wifi 802.11), Bluetooth, FireWire.
Pasif atau aktif menyampaikan: Ini sub·tipe termasuk semua perangkat itu adalah bukan itu
logis penghentian komunikasi (ADALAH penglihatan) tapi apakah saya nte r menengahi
atau menyampaikan perangkat. Relay adalah karakteristik oleh jaringan yang didukung _
komunikasi protokol. Di tambahkan ion ke relai dasar , _ mereka sering kali mencakup
fungsi dan layanan perutean dan/atau penyaringan , menggunakan komunikasi sw it c h es
dan router dengan filter. Mereka sering bisa diadministrasikan dari jarak jauh dan adalah
biasanya mampu menghasilkan log.
CONTOH Menjembatani, r o u te r , pusat, mengalihkan, otomatis menukarkan.
Komunikasi antarmuka: Itu co m mun i kation antarmuka dari itu pengolahan unit adalah
terhubung ke unit pemrosesan tetapi dicirikan oleh media dan protokol yang didukung ,
dengan ada yang terpasang penyaringan, aku tahu atau generasi peringatan fungsi dan
mereka kapasitas dan dengan kemungkinan dan kebutuhan remote administrasi.
CONTOH Umum Paket Radio Melayani (GPRS), Ethernet adaptor.
Personil. T h e personne l jenis terdiri dari semuanya itu kelompok orang l e terlibat di t h e info m at i on
sistem .

ISO/IEC 27005:2018(E)
Pembuat keputusan : Pembuat keputusan adalah pemilik aset utama ( informasi dan fungsi )
dan para manajer _ _ _ organisasi atau proyek tertentu .
CONTOH Atas mana.gemcnt, proyek pemimpin.

ISO/
Pengguna: Pengguna adalah personil yang menangani _ elemen se n si t ive dalam konteks _
aktivitas mereka itu y dan apa _ _ h ave khusus l jawab b il it y di t miliknya menghormati.
Mereka bisa memperoleh sangat penting _ mengakses hak ke t h ei n sistem formasi untuk
dibawa keluar tugas sehari -hari mereka .
CONTOH Manusia sumber daya pengelolaan, keuangan manajemen t , mempertaruhkan Pengelola.
Operasi i on/main t enance staf: Ini adalah personel yang bertanggung jawab o f operasi dan
_ _ memelihara sistem informasi. Mereka memiliki spesial mengakses r saya takut ke
informasi sistem untuk membawa keluar t h e i r tugas sehari-hari.
CONTOH System admin i strator , data admin i strator , back-up, Help Desk, operator penyebaran
aplikasi , amankan y _ petugas.
Kembangkan operasi : Kembangkan opers _ adalah di mengenakan biaya dari

mengembangkan l op i ng t h e organ i zat io n ' s aplikasi l icat io ns . Mereka memiliki akses
ke bagian dari t h e saya informasikan _ _ sistem dengan itu h tingkat tinggi r ig hts tetapi
melakukan bukan mengambil setiap bertindak aku _ pada data produksinya.
CONTOH Bisnis ne ss aplikasi pengembang .
Situs . Jenis situs compr i ses _ semua tempat _ _ mengandung ng t dia lingkup atau bagian dari t h e
cakupan, dan ukuran fisik merah agar dapat beroperasi . _ _ _ _ _ _
Lokasi:
- Lingkungan eksternal : Ini menyangkut semua l lokasi di organisasi mana _ _ _ _ cara
mengamankannya tidak dapat diterapkan .
CONTOH Rumah _ personel, tempat organisasi lain , lingkungan di luar lokasi ( daerah perkotaan ,
daerah bahaya).
Tempat: Ini tempat adalah dibatasi oleh organisasi _ _ _ perimeterlangsung dalam kontak
dengan luar . _ Ini dapatkah batas pelindung fisik diperoleh dengan _ _ menciptakan
hambatan fisik atau saya n s dari _ pengawasan sekitar bangunan.
CONTOH Tetapkan , _ _ _ bangunan.
Zona: A daerah adalah untuk obat _ oleh sebuah fisik pelindung bou n da r y
membentuk partisi dengan itu di tempat organisasi . _ _ Hal ini diperoleh dengan
menciptakan hambatan fisik di sekitar informasi organisasi di i o n _ _ _ pengolahan
infrastruktur.
CONTOH Kantor, disimpan mengakses daerah, aman zo n e.
Penting jasa: Semua itu layanan yang diperlukan untuk t h e organisasi peralatan untuk
beroperasi. Komunikasi: Telekomunikasi layanan dan peralatan yang disediakan oleh _ _
seorang operator.
CONTOH Telepon garis, PABX, intern telepon jaringan.
Keperluan:
Layanan dan sarana ( sumber dan wi r i ng g ) r equ i red untuk menyediakan listrik
untuk peralatan teknologi informasi dan periferal.
CONTOH Usia volt rendah catu daya , inverter, e l ectr i cal sirkuit untuk ujung kepala .
Air pasokan
Limbah buang l
Jasa sebuah nd cara ( perlengkapan , kontrol) untuk keren n g dan pemurnian t h e a saya r .

ISO/IEC 27005:2018(E)
CONTOH dingin air p saya pes, AC . _

ISO/IEC 27005:2018(E)
Organisasi. Tipe organisasi menggambarkan organisasi kerangka, terdiri dari semua s t r u k t u r

personel yang ditugaskan untuk tugas dan prosedur yang mengendalikan ini struktur.
Pihak berwajib: Ini adalah organisasi dari yang itu dipelajari organisasi berasal -nya otoritas.
Mereka bisa secara hukum berafiliasi atau eksternal. Ini memaksakan kendala pada itu
mempelajari organisasi dalam hal peraturan , keputusan dan tindakan .
CONTOH Administrasi tubuh, Kepala kantor dari sebuah organisasi.
Struktur organisasi : Ini terdiri dari berbagai cabang organisasi , termasuk lintas
fungsionalnya kegiatan, di bawah kontrol dari manajemennya.
CONTOH Manajemen sumber daya manusia, manajemen TI, manajemen pembelian, manajemen unit
bisnis , gedung keamanan layanan, pemadam kebakaran, manajemen audit.
Proyek atau organisasi sistem: Ini kekhawatiran kumpulan organisasi ke atas untuk sebuah
spesifik proyek atau layanan.
CONTOH Baru aplikasi perkembangan proyek, informasi sistem migrasi proyek.
Subkontraktor/pemasok/produsen: Ini adalah organisasi yang menyediakan bagi
organisasi sebuah melayani atau sumber daya dan melompat ke itu dengan kontrak.
CONTOH E Fasilitas pengelolaan perusahaan, outsourcing perusahaan, konsultasi perusahaan.
B.2 Aset penilaian
B.2.1 Umum
Itu Berikutnya melangkah setelah aset identifikasi adalah ke setuju pada itu skala untuk digunakan
_ dan kriteria _ untuk menetapkan tertentu lokasi tentang itu skala ke setiap aset, berdasarkan pada
penilaian. Karena dari itu perbedaan dari aset ditemukan di sebagian besar organisasi, itu adalah
kemungkinan itu beberapa aset yang dimiliki nilai moneter yang diketahui dihargai _ di itu satuan
lokal dari mata uang, sedangkan yang lain yang memiliki sebuah lagi kualitatif nilai bisa menjadi
ditugaskan sebagai va l u e mulai, untuk contoh mp l e, dari "sangat rendah" ke "sangat h i g h " . Itu
keputusan untuk menggunakan sebuah kuantitatif sca l e atau _ kualitatif skala adalah Betulkah
sebuah urusan dari organisasi Pilihan, tetapi Sebaiknya menjadi relevan ke itu aset menjadi
bernilai. Keduanya penilaian jenis bisa menjadi digunakan untuk itu sama aset.
Istilah umum yang digunakan untuk penilaian kualitatif aset termasuk kata-kata seperti sebagai:
diabaikan, sangat rendah, rendah, sedang, tinggi, sangat tinggi, dan kritis. Itu pilihan dan jangkauan
istilah _ sesuai ke sebuah organisasi sangat kuat tergantung pada kebutuhan organisasi untuk
keamanan , organisasi ukuran, dan khusus organisasi lain faktor.
B.2.2 Kriteria
Itu kriteria digunakan sebagai itu dasar untuk menugaskan sebuah nilai ke setiap aset harus ditulis _
di istilah yang tidak ambigu . Ini adalah sering satu dari _ paling aspek yang sulit dari penilaian aset
karena nilai _ beberapa aset mungkin harus ditentukan secara subjektif dan karena banyak individu
yang berbeda adalah kemungkinan akan membuat keputusan. Kriteria yang mungkin digunakan
untuk menentukan nilai suatu aset termasuk biaya aslinya, penggantiannya atau r e - creat i o n cost
atau -nya nilai bisa menjadi abstrak, misalnya nilai reputasi sebuah organisasi .
Lain dasar untuk itu penilaian dari aset adalah itu biaya terjadi karena kehilangan dari kerahasiaan,
integritas dan ketersediaan sebagai itu hasil dari sebuah kejadian. Non-penyangkalan, akuntabilitas,
keaslian dan keandalan harus juga menjadi dipertimbangkan, sebagai sesuai. Seperti sebuah penilaian
menyediakan yang penting elemen dimensi ke aset nilai, di tambahan untuk penggantian biaya,
berdasarkan perkiraan dari itu merugikan bisnis konsekuensi yang akan hasil dari insiden keamanan
dengan asumsi set keadaan. itu adalah ditekankan bahwa ini pendekatan akun untuk konsekuensi
yang diperlukan untuk memperhitungkan risiko _ _ _ penilaian.
Banyak aset bisa memiliki beberapa nilai yang ditetapkan untuk mereka selama penilaian . Sebagai
ISO/IEC 27005:2018(E)
contoh, rencana bisnis _ bisa jadi berdasarkan nilai pada tenaga kerja dihabiskan untuk
mengembangkan _ tolong , _ _ di _ tenaga kerja untuk memasukkan data , dan pada nilainya untuk _
saingan. Itu ditugaskan nilai-nilai adalah kemungkinan besar ke berbeda jauh.

ISO/IEC 27005:2018(E)
Itu ditugaskan va lu e bisa jadilah maksimal _ _ dari semua nilai yang mungkin atau itu jumlah dari
beberapa atau semua dari itu nilai yang mungkin . saya tidak itu terakhir analisis i s, it s h o ul d be
dengan hati-hati ditentukan apa yang saya ch nilai o r nilai-nilai adalah ass saya gned untuk _ sebuah
aset s saya nce nilai akhir _ _ _ playsa ro l e . yang ditugaskan di penentuan sumber daya ke menjadi
dikeluarkan untuk perlindungan aset tersebut . _
B.2.3 Pengurangan ke itu umum basis

Pada akhirnya, semua ion nilai aset perlu dikurangi ke dasar umum. Ini tidak bisa dilakukan dengan h
cr it er i a that dapat digunakan untuk menilai kemungkinan konsekuensinya _ _ dari sebuah l oss
kerahasiaan , integritas, ketersediaan, non - penolakan, acco u ntabili t y, keaslian, atau r eliab ili ty
dari keledai t s, s u ch sebagai:
saya i rment _ dari bisnis pertunjukan;
lo ss dari goodwi ll / n ega t ive memengaruhi
pada re putat i o n; b r masing -masing terkait
dengan informasi pribadi ; membahayakan
keselamatan pribadi;
merugikan efek oh tidak hukum
penegakan t; b r masing-masing percaya
diri i ali t y;
melanggar dari publik
memesan; keuangan c i al
l oss;
gangguan terhadap kegiatan usaha; dan
membahayakan lingkungan hidup _
keamanan .
Pendekatan lain untuk menilai konsekuensinya dapat berupa :
di terrupt ion dari layanan : tidak mampu melakukannya y
untuk p r ov id e the se r wakil; lo ss pelanggan _ percaya
diri :
kehilangan dari c r ed i b il ity in t h e saya tidak erna l saya
info rm di ion sistem ; _ dan kerusakan reputasi di i o n ; _
gangguan dari saya internal operasi:
gangguan di ini _ o rganization it se l f ; dan
tambahan saya onal int erna l biaya;
gangguan dari sebuah t h ird pesta _ _ operasi :
gangguan pada transaksi pihak ketiga di gw it h t he _ _ _ organisasi;
dan berbagai jenis u s dari cedera ; _
bahaya bagi keselamatan personel / pengguna : bahaya bagi personel dan/atau pengguna
ISO/IEC 27005:2018(E)
organisasi ; menyerang o kehidupan pribadi pengguna ;
keuangan l osses;
keuangan saya _ _ biaya untuk keadaan
darurat atau perbaikan : dari segi
personel ;
di ketentuan dari peralatan nt ; dan

ISO/IEC 27005:2018(E)
- dalam ketentuan dari studi,

pengalaman r ts ' laporan; kehilangan _
barang/dana/harta;
l oss dari pelanggan, kehilangan dari persediaan ; _
proses peradilan dan hukuman;
kehilangan _ keunggulan
kompetitif; l oss dari tech n o lo
gical/technica l memimpin;
kehilangan dari
efektivitas/kepercayaan;
hilangnya reputasi teknis;
pelemahan dari bernegosiasi
kapasitas; industri cr i s i s
(pemogokan); pemerintah krisis;
pemecatan; bahan
kerusakan.
Ini kriteria adalah contoh dari masalah ke menjadi dipertimbangkan untuk aset penilaian. Untuk
membawa penilaian yang berlebihan, sebuah organisasi kebutuhan ke Pilih c r iter saya relevan _ ke
tipenya dari bisnis dan persyaratan keamanan. Ini bisa berarti itu beberapa dari t h e kriteria yang
tercantum di atas adalah bukan berlaku, dan itu yang lain dapat ditambahkan ke daftar .
B.2.4 Skala
Setelah mendirikan kriteria menjadi dipertimbangkan, organisasi harus setuju pada sebuah skala
ke digunakan di seluruh organisasi. Itu pertama melangkah adalah ke memutuskan pada
nomornya _ dari tingkat ke digunakan . Di sana adalah Tidak aturan dengan pandangan ke
nomornya _ dari tingkat l s itu adalah paling sesuai. Lagi l tingkat menyediakan sebuah lebih
besar l malam l dari gr anu l arity tapi _ _ kadang terlalu halus diferensiasi membuat kontra saya
stent tugas di seluruh organisasi sulit. Biasanya, setiap jumlah level _ antara 3 (misalnya rendah,
sedang, dan tinggi) dan 10 kaleng menjadi kamu sed selama sebagai dia adalah konsisten dengan _
mendekati t h e organisasi adalah menggunakan untuk itu siapa aku ? penilaian risiko proses.
Sebuah organisasi bisa mendefinisikan -nya memiliki batas untuk aset nilai-nilai, Suka "rendah",
"sedang", atau "tinggi". Ini batas harus dinilai sesuai dengan kriteria yang dipilih ( misalnya untuk
kemungkinan kerugian finansial , mereka harus diberikan dalam nilai moneter , tetapi untuk
pertimbangan seperti membahayakan keselamatan pribadi, penilaian moneter bisa menjadi kompleks
dan mungkin bukan menjadi sesuai untuk semua organisasi). Akhirnya, dia sepenuhnya _ ke atas ke
organisasi _ untuk memutuskan apa adalah dianggap sebagai makhluk "rendah" atau tinggi"
konsekuensi. SEBUAH konsekuensi yang dapat bencana untuk kecil _ organisasi bisa rendah atau
bahkan diabaikan untuk sebuah sangat saya setuju organisasi.
B.2.5 Ketergantungan
Semakin relevan dan banyak sekali itu proses bisnis yang didukung oleh suatu aset, lebih besar nilai
ini aset. Ketergantungan aset pada bisnis proses dan aset lainnya s h ou l d menjadi diidentifikasi
juga s saya nce ini dapat mempengaruhi nilai-nilai dari _ aktiva. Misalnya, percaya diri _ _ _ data
seharusnya _ disimpan sepanjang siklus hidup, di semua tahapan, termasuk penyimpanan dan

ISO/IEC 27005:2018(E)
pemrosesan, yaitu keamanan kebutuhan dari program penyimpanan dan pemrosesan data harus terkait
langsung dengan nilai yang mewakili kerahasiaan dari itu data disimpan dan diproses. Juga, jika
sebuah bisnis proses adalah mengandalkan pada integritas _ pasti data menjadi dihasilkan oleh sebuah
program, inputnya data program ini seharusnya keandalan yang sesuai . Lebih-lebih lagi, itu
integritas dari informasi tergantung pada itu perangkat keras dan perangkat lunak digunakan untuk -
nya penyimpanan dan proses saya ng. Juga, itu perangkat keras adalah bergantung oh tidak itu
kekuasaan pasokan dan mungkin udara pengkondisian. Dengan demikian, informasi tentang
dependensi membantu dalam mengidentifikasi ancaman dan khususnya kerentanan. Selain itu , ini
membantu untuk memastikan bahwa itu nilai sebenarnya dari itu aktiva (melalui hubungan
ketergantungan ) adalah diberikan kepada aset , dengan demikian menunjukkan tingkat yang sesuai
perlindungan .

ISO/IEC 27005:2018(E)
Itu nilai-nilai dari aktiva pada yang lainnya aktiva adalah bergantung bisa menjadi diubah di t h e ikuti n
g cara :
jika itu nilai-nilai dari itu bergantung aktiva (misalnya data) adalah lebih rendah atau sama _ ke
itu nilai dari itu aset yang dipertimbangkan (mis perangkat lunak), itu s va lu e rema di s itu
sama;
jika itu nilai-nilai dari itu bergantung aset ( mis . _ data) adalah lebih besar, maka nilai aset
dipertimbangkan ( misalnya perangkat lunak ) harus ditingkatkan sesuai dengan :
t h e derajat dari
ketergantungan ; _ nilai- nilai
dan t h e dari asetnya . _ _ _
Suatu organisasi dapat memiliki beberapa aset yang tersedia lebih dari satu kali , seperti salinan
program perangkat lunak _ _ _ _ _ _ atau ini _ sama jenis _ komputer digunakan di sebagian besar
_ kantor . itu adalah impo r tant untuk _ mempertimbangkan fakta ini ketika melakukan penilaian
aset . Di satu sisi, aset ini diabaikan dengan mudah . Oleh karena itu, peduli harus dibawa ke i dent i
fy all dari mereka. pada _ lainnya tangan, mereka bisa jadilah kamu untuk mengurangi masalah yang
tersedia .
B.2.6 Keluaran
Itu akhirnya _ keluaran dari t hai s melangkah saya s sebuah li st dari aktiva sebuah nd t i ir nilai-
nilai re l at i ve ke d saya pengungkapan ( pemeliharaan kerahasiaan ) , modi fi kasi ( penyajian
integritas , tak henti - hentinya , tidak terpelihara dan pertanggungjawaban ) , non - ketersediaan dan
pemusnahan ( penyajian _ _ _ ketersediaan dan re l i a bi l ity ) , dan biaya penggantian .
B.3 Dampak penilaian

Sebuah untuk ion r ma t _ detik u r itu y insiden nt bisa impa ct lagi dibandingkan satu aset atau
pada l y sebuah bagian dari sebuah aset. Imp act i s r e lated ke tingkat _ kesuksesan dari insiden nt.
Sebagai sebuah akibatnya , terdapat perbedaan penting antara nilai aset dan dampak yang dihasilkan
dari kejadian tersebut . _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Dampak yang ditemukan saat memilikinya _ _ _ _
_ _ sebuah saya langsung (operasional ) efek ora masa depan (bisnis) efek itu termasuk keuangan dan
konsekuensi pasar .
Segera (operasi l ) saya berdampak saya s e aku di sana langsung atau saya tidak langsung.
1) Langsung:
a) t h e fi n ancial r penempatan va lu e dari aku tidak (sebagian) aset;
b) itu biaya dari Akuisisi, konfigurasi dan instalasi dari itu baru aset atau cadangan ;
c) t h e biaya dari suspensi operasi ed karena _ _ _ _ insiden nt sampai t dia melayani _ asalkan
oleh t dia aset dipulihkan; dan
d) saya bertindak _ hasil saya tidak sebuah informasi keamanan melanggar.
2) langsung :
a) peluang biaya ( sumber daya keuangan diperlukan ke rep l ace atau repa saya r sebuah n
aset wou l d memiliki telah digunakan di tempat lain);
b) t h e biaya dari terganggu operasi;
c) potensi m apakah kamu se dari untuk ion r ma t _ diperoleh melalui gh sebuah keamanan
melanggar;
d) vio l di i on dari undang-undang o r regulasi _ _ obl ig di i o n s; dan
ISO/IEC 27005:2018(E)
e) vio l di i on dari et saya ca l _ kode dari perilaku .
Sebagai seperti itu, t h e dulu penilaian ( dengan tanpa kontrol _ _ a n y ki nd ) es t i mate a impact as
very close t ot h e ( kombinasi dari ) aset yang bersangkutan va lu e(s). Untuk setiap Berikutnya
pengulangan untuk ini (ini) ass t( s), t h e saya bertindak _

ISO/IEC 27005:2018(E)
saya s berbeda nt (juga bukan sekutu banyak lebih rendah) jatuh tempo untuk _ t h e p r ese n ce
sebuah nd itu efek t ive n ess dari t h e saya mpl mented kontrol l s.
3 © 1S0/IEC2018- All rights

ISO/IEC
Pavilyun
(dalam format iv e )
Contoh dari khas ancaman
ini _ mengikuti ta bl e memberi ex mpl es dari tipikal _ t h memakan . ini _ daftar bisa jadi kamu sed _
selama ini _ _ ancaman menilai proses m nt . Ancaman bisa menjadi d e lib era t e, kebetulan o r
lingkungan n mental _ ( n di u ral) sebuah nd hasil t , untuk r contoh mpl e , i n d amage o r
kehilangan o f intinya aku _ jasa. Itu mengikuti daftar saya menunjukkan untuk r setiap jam t h
rea t ty p e dimana D (sengaja ) , SEBUAH (sebuah ccidenta l ), E (lingkungan l ) saya relevan . D
saya s kamu sed untuk sebuah ll disengaja tindakan yang ditujukan untuk i n formatio n _ keledai ts ,
A saya digunakan untuk semua hu m a n sebuah ctio n s t h at bisa acci d e nta lly kerusakan
menginformasikan i pada ass e ts , dan E digunakan d untuk semua dalam id ents t ha t tidak _ _ _
berdasarkan n hu m a n tindakan . Kelompok perlakuan tidak _ _ _ _ _ _ dalam prioritas memesan .
Jeni Ancam Asal

s an
api _ A, D .
E
Wat r kerusakan A,D,E
fisik _ d amage Po ll u tion A, DE
Ma j or acci d ent A,D , E
Hancurkan _ _ ofeq ui pm t atau media A,D,E
D u st. korosi , beku saya n g A,D , E
C li maticphenome n on E
Seismik fenomena E
T <. 1 tu r <. 1I evt:nts Vole a n i c p h e n ome n on E
Saya eteoro l og saya ca l p h enome no n E
banjir _ E
Gagal ya _ o f ai r-con ditio nin g atau pasokan air _ IKLAN
sistem
Lo ss dari intinya saya
layani saya ces Kehilangan dari powe r Pasokan A, DE
gagal _ _ o f komunikasi tel _ persamaan ui _ IKLAN
E l elektromagnet i c radiasi _ A,D,E
Di sturba n ce apa kamu T hermal radiasi _ A,D , E
_ ke
E l elektromagnet i c pulsa A,D,E
ra diasi
Int ercep t io n dari kompromi interferensi int tanda l s D
Terpencil memata-matai D
Menguping ping D
berat _ dari media atau lakukan cu ment _ D
Upaya _ dari equ saya pme n t D
com prom saya se o f Rivalitas _ _ _ dari daur ulang atau aku takut obat saya _ D
in for r mat i on D saya pengungkapan IKLAN
Data dari tidak dapat dipercaya sumber A ,D
T ampere dengan ha r dware D
T amper n g dengan saya _ perangkat lunak _ IKLAN
Posisi de t ect io n D
© 1S0/IEC2018- All rights 3

ISO/IEC 27005:2018(E)
Jeni Th_ asli

s saya
tidak
Persamaan ipm dan t _ fa il ure SEBUA
H
Persamaan uipm ent fungsi saya t io n _ SEBUA
Technica l fa il ures H
Saturasi _ _ _ t h e i n for rm a ti o n sistem m A,D
Perangkat lunak ma lf unc ti o n SEBUA
H
Melanggar dari untuk rm a ti o n _ sistem m ainta i na b il IKLAN
it y _
U n a u thor i zed menggunakan dari peralatan untuk _ D
Penipuan _ menyalin dari perangkat lunak D
U n otorisasi tindakan n s Menggunakan dari hitung t erfe i t atau co p ied lembut t A,D
__ wa r e
Cor ru p ti o n dari data D
ilegal _ p r pengolahan dari da t a D
E rr o r di menggunakan SEBUA
H
A b gunakan dari hak IKLAN
Kompromi saya _ dari
fungsi n s Untuk r g dalam g dari rig h ts D
denia l tindakan _ _ 0
Melanggar dari orang nn e l ava il ab i lity A, D ,
E

ISO/IEC
P a r t icul a r di t ent ion s ho u ld menjadi dibayar ke hu m a n t jam makan _ s ou rc e s . ini _ a r e s

p eci fi c a lly itu m ize d di t h e foll o win g ta b l e:
asli saya tidak Motivasi Mungkin konsekuensi

ancaman
C h allenge - Retas di g
Ego Rebellio - sosial _ e ng ine e ri ng _
Ha k e r . retak k e r n St atus - Sistem i n tru s io n , b r eak - i n s
Mo n ey - U nau th or i zed s y batang
mengakses
Des tr ucti o no f infor ma ti on - komputer _ _ kejahatan ( mis . cy b er s
I lle ga l info rma t o n di s clo sur t a lk ing)
e Mon etary ga masuk - Fr audu l enta c t ( e . g . r e p l ay, im pe
Compu l r krim rs onat ion, i n t erce p tio n )
saya na l U n a u tho r saya zed d ata lt er i on _
- Informasi _ _ _ b ri be ry
- Sp o ofi n g
- Sistem _ saya tidak menggunakannya
___
Serangan - Bom b /terorisme
balik _ _ _ _ - Informasi perang
Teroris _______ - Serangan sistem ( mis _ d i s tribu te d

de ni al of se r v ice ) _
_____
- Sis t em penetrasi _ _
R balas dendam
- Sistem saya ta m pering
Po li t i cal ga di
Med i a liputan
C o m petitif sebuah - De pagar a d va n tage
dv an t usia Ekonomi - Politik l a d va n tage
terutama umurku _ _ _ - Eco n om i c expl o i t at i on
Di d ustria l e s p i
onage ( I nte lli ge nc - Informasi _ _ _ t h e f t
e . compan i es , - Sebenarnya _ _ _ _ oh tidak persona l
pemerintah asing ,
lainnya p ri kosong
mengatur - sosial _ e ng ine e ri ng _
kepentingan ) _ _ _
- Sistem penetrasi ti o n
- tahu apa - apa sistem _ mengakses
(mengakses untuk cla ass ifi ed , p r
oprieta r y, an d / o r tec hn o lo-
gy - senang d _ informasi ) _ _

ISO/IEC 27005:2018(E)
O r i gi n oflhr ea Motivasi _ mungkin _ c o n se qu e n ce s

t _
Keingintahuanmu _ _ - Serangan oh tidak sebuah emp l oyee
pergi _ - Surat hitam _
In te ll i ge n ce - B r mengalir dalam g dari p r op ri
Keuangan memperoleh
etary saya nfo r m a t io n
R eve n ge
Dalam si d ers U ni n t e n tio n ale rr ors sebuah n d o
- Comp u t er _ melecehkan
(poo rl y t ra in rindu aku ons ( misalnya .g.d a t a _ - Fra u d sebuah d pencurian
ed , tidak puas .
sial , _ neg li gent,
dan coba _ e rr o r , p r og r a mm ing salah r
)
- Info r mat i on b ri b e r y
dih satu s t , atau - masukan untuk o f fa l s saya fied,
te r m saya n<. 1 te d corru p ted d ata
karyawan )
- Saya tidak yakin _ _
- M a li c i ous co d e ( mis . _ v iru s,
logika b o mb, T ro j an h orse)
- S a l e dari per detik _ _ informasi
- S y s t e m bug
- Sis t em dalam kebenaran _
- S y s t e m usia _ _ _ _
- U n a u tho r saya zed sistem
mengakses

ISO/IEC
LampiranD
(informatif e )
Kerentanan dan metode untuk kerentanan penilaian
D.1 E xa mpl es dari v ulne ra bili t i es

Ikuti terus _ _ meja g saya ves contoh untuk r vul n erabilit i es saya tidak wi l a y a h keamanan va r
io u s , termasuk contoh t h r eats t h at c a n exp lo it t h uln e r a b il it es v uln e r a b il it ies . Daftar
- daftar tersebut dapat memberikan bantuan saat menilai ancaman pangan dan kerentanan , untuk
selamanya . _ _ _ _ _ _ _ _ _ _ insiden nt skenario io s. Ini saya tekankan _ bahwa dalam kasus saya ,
ancaman lain dapat _ exp l oit vu l nerab i lities ini sebagai kami akan.
Ketik _ _ E xam pl es dari vu ln erabilities E xam p les dari t h makan

Insuff i c i en t ma in tena nc e/fau lt y saya
ns talla t saya on penyimpanan _ media Pecahan dalam bentuk tion _ _ _ sistem _ m
a in ta i n a bi l i t y
lak k dari periode di c rep laceme n t sc hem es Des t r uction o f eq u i p m en t o r media
dan
Sukses p ti b ili t y untuk _ hum saya di ty, d u D u s t , korosi , beku di g
s t, sangat marah
Har d war e _
Sens it i vity untuk _ pilih r omag n etik radia t E l ect r omag n e ti c radiasi io n
io n
lak k dari efisien untuk config ur a ti o n cha n ge E rr o r aku dan kamu _
co n tr o l
Sukses p tibili t y untuk _ vo l tag variasi _ _ Kehilangan dari powe r supp l y
Sukses p ti b ili ty untuk _ t empe r a t ur e va ri Meteorologi _ p fenomena aktif
a ti ons
U n pro t ecte d s torag e ef t _ o f media atau d oc um en t s
lak k dari peduli sebuah t d i s posa l berat _ dari obat saya _ o r selamat siang _ _
U n con tr o ll e d co py ing T hef t o f media _ o r d oc um e nts
Tidak o r saya tidak cukup untuk perangkat Abu se dari rig h ts
lunak tes timah _
Terkenal f aws saya tidak itu perangkat lunak Melecehkan dari rig h ts
Tidak "keluar" Kapan aku makan itu bekerja Sebuah bu se dari rig h ts
dengan baik _ _
Pembuangan atau menggunakan kembali
dari simpan media dengan benar _ _ _ _ Sebuah bu se dari rig h ts
era kamu _
Perangkat
Kekurangan dari au d saya t tra il Abu se _ dari rig h ts
lunak
Salah alokasikan t io n dari hak akses Sebuah bu se dari rig h ts
Lebar l y - di strib u te d jadi f t ware Korupsi o f da ta
Aplikasi l yi n gap p li ca t i on program untuk _
Korupsi o f da ta
dia _ dengan data _
saya tidak ketentuan dari aku _
rumit t ed kamu se r saya antar muka E kesalahan saya tidak menggunakan
lak k dari d oc um enta t i on E rr ori n menggunakan
Inco rr ec t parame te r mengatur kamu p E rr o r saya tidak menggunakan
salah _ da t es Kesalahan aku dan kamu _

ISO/IEC 27005:2018(E)
Jenis Contoh dari kemampuan vulne r Contoh dari ancaman

Kekurangan o f i den t i fi catio n sebuah n d a
Berdering _ _ dari benar t s
u lalu ti cat i on mekanisme -
saya s ms _ Suka kami e r a u the ntic ati on
U n p r o t ec t ed asswo r d _ t a bl es Berdering _ _ dari benar t s
Poo rp asswo rd m a n agemen t F o rgi n g dari hak
U nn ecessa r y s e r keburukan aktifkan l e d sakit ega l proses i ng _ _ o f d ata
Saya seorang tur e _ o r baru _ s of t ware _ S dari t ware fungsi n _ _
U n clea r o ri nco mp l e te efisiensi sp s _ maju Jadi fh iva re m a lf unctio n
terus lop e r s
Kekurangan efek t ive _ _ cha n ge co n tr o l Perangkat lunak _ fungsi saya t io n _
U n co n tr oll ed lakukan wnl oadi n g dan kamu Ta m pe r ing dengan saya _ perangkat lunak
se dari sof tw a r e
Kekurangan dari belakang k - up _ co p ies Ta m pering dengan jadi f tware
kekurangan _ fisik _ perlindungan _ _ _ _ _ _
bangunan, d pintu pencurian _ saya sedang o r dokumen m e n
dan wi n dows ts
Fa il ure ke P r o d uce m anage m e n t r epo rt U n a u t ho rize d useofeq ui pm t
s
Kekurangan dari p r oof _ o fse ndin g o r r ece Tentu saja _ _ ac ti o n s
i v in g sebuah umur _ _
Unp r o t e ct ed co m mun aku cat i on li nes Ropping sd eave
U npr o t ec t ed sens iti v e lalu lintas Ea ve s d r o p ping
Miskin bergabunglah _ _ ca b ling Fa il ure o ft e l ecom mu nica ti o n e q ui p
me n t
Jaringan dua r k Sin gle poi n t o f gagal kamu _ F a il ure sering l ecom mun ica ti o n e q ui
pm e n t
Kurang dari _ id en ti fica tion a n da u t h en ti
F o rgi n g dari hak
kation ofse nd e r _
dan terima r
tidak aman _ netw o r k a r chi t ec tur e Terpencil s p y i ng
Tra n sfe r o f passw o r d s di telinga _ Catatan _ _ s p y i ng
I n a d e q ua t e n e t wo r k m manajemen
( ketahanan _ _ dari ro u tin g ) Saturasi _ _ o f itu untuk rma t io n _ sistem
m
Unp r o t ec t ed p u bli c t bekerja k _ kon n ect U n a ut h o rize d menggunakan o f eq ui pm
io ns t
A b se nc e dari orang nn e l Melanggar dari pers o n n e l a v a il ab ili ty
Dalam d e q ua t e _ r ec rui t m e n t segera _ Des tru c ti on o f e q u ipm e n t o r saya di
___ _
Tidak cukup untuk aman t y t a i ning E rr o r di kamu se
Inco benar kami _ o f jadi f tware sebuah d ha E rr o r di kamu s e
orang n e l _ r dw adalah
Kekurangan dari keamanan t y _ awas _ _ E rr o r di kamu se
La c k dari mo ni t o berdering saya c ha n isms sakit ega l proses i ng _ _ dari data
U n s u per vi sed w o r k b y o u ts id e atau cl pencurian _ saya sedang o r dokumen m e n
ea nin g staf ff ts
Kurangnya kebijakan _ untuk yang benar kamu
se dari t e l ecommu - nica ti ons me di aa n d U n a u t h o r ize d menggunakan o f eq ui
messaging pm t
Dalam adeq u a t e atau c a r e l ess
penggunaan f p h ys i ca l akses con t ro l t Des tru c ti on e q u ipm e n t o r saya di _
ob u il din gs a n d r oo m s
Lokasi Lokasi _ _ _ saya tidak sebuah sebuah rea _ s usc F l oo d
e p t i b l e untuk _ flo od
U n s t ab l e powe r gr d Kehilangan o f daya p supp l y
ISO/IEC
La c ko fp hys ic al pr otectio n o f t h e bui
ding , d oo r s and wi n dows Pencurian f eq ui pm t
L a c k o f untuk r m a l p roce dur e untuk r
kamu se r misalnya saya s t ra ti o n _ A b gunakan o f baik - baik saja
dan d e - r egistra ti o n
Kurang dari _ for rm al p r ocess for access rig
h t re v iew ( s u per vi s on ) Melecehkan dari r i gh t s
Kurang k o r i ns u ffic i e nt pr ov i s i ons (co n ce r
A b gunakan o f r i gh t s
ni n gsecu r ity) di c pada traktat dengan custo m
e r s _ sebuah d /o r t h ir d p arties
Kekurangan dari pr oced ur e of moni to rin g _
o f i n for m a t io n p r ocess i ng faci liti es A b gunakan o f baik - baik saja

ISO/IEC 27005:2018(E)
Jenis E xam pl es dari vu ln erabilities Contoh : dari ancaman

Kekurangan dari reg ul ar audit ( penglihatan ) Sebuah bu se dari hak
__
Kurangnya Prosedur dari r saya sk saya
mengidentifikasi saya pada sebuah n d Abu se _ dari rig h ts
penilaian
lak k dari kesalahan laporan r ekor d e d di
seorang inistrator dan operator dm aku tahu Sebuah bu se dari rig h ts
Tidak memadai _ sajikan es aku ingin _ _ re spo Pelanggaran informasi _ sistem m a i n ta in a
nse bi li ty
Kekurangan o r cukup untuk _ Melayani Tingkat Pelanggaran informasi io n _ _ sistem
setuju untuk maintainabi li ty
lak k o f cha n ge co n tr ol p roce d ure Melanggar dari informasi sistem m a in ta in a
bi li ty
Kekurangan dari forma l p r ocedu r e untuk
Rusak saya _ dari d ata
SMKI dokumen -
tio n co n trol
lak k dari resmi p roce dur e untuk Saya S MS
Co rru p ti on dari d ata
rekam d s u -
Organisasi _ _ perv saya s saya on
Kurangnya proses formal untuk u thor i zatio n _
Data dari om unt r u stworthy sumber
dari informasi pu b li c ava ilable i _
Kurang dari _ pr o p e r alokasi dari dalam
formasi _ _ res po ns ibiliti es _ Denia aku bertindak _ _ _ _
lak k dari c pada tinuitas rencanakan _ _ persamaan _ _ fa il ure
Kekurangan dari e - ma il penggunaan p olicy Kesalahan saya tidak menggunakan
Kurang dari _ proses ya _ _ untuk di tro d uci n
g perangkat lunak untuk mengoperasikan i E rr atau saya n menggunakan
onalsys t ems _
Kekurangan ofreco r d s ina dminis tra t atau E rr o r saya tidak menggunakan
dan o perator r log _
lak k dari prosedur untuk _ _ c l assifie d
informa tion hand ling _ _ E rr o r saya n menggunakan
Kekurangan dari dalam format i on tanggung
jawab keamanan i n jo b d deskripsi io ns E rr o r saya tidak menggunakan
Kekurangan atau persediaaan yang tidak
mencukupi ( tentang informasi ) _ _ _ ilegal _ p r pengolahan dari da t a _
keamanan) di tindakan kontra _ dengan saya _
para karyawan
Kekurangan dari d efi n ed d i sci p linary
proses di kasus informasi n aman i ty i Pencurian peralatan _ _
ncident
Kekurangan dari untuk rm a I po li cy oh tidak ef t _ peralatan _ _ _ _
gerombolan il e co m pute r penggunaan
Kekurangan dari con tr o l dari off-p r em saya se T hef t dari peralatan
aktiva
lak k o r insuff kien t .. clea r des k sebuah n d
bersih r layar" Media _ _ _ _ _ atau d oc um en t s
po li cy
Kekurangan dari i n format i on proses di g _
T hef t dari media atau d oc um en t s
fac i l it ies sebuah u -
itu kan _
Kekurangan o f es t ab li shed monitor di g
mecha ni sms untuk detik uri ty b r eac h es T hef t dari media atau o u ment _
Kekurangan dari reg ul ar pengelolaan ulasan Tidak sah menggunakan dari e q uipme n t
lak k dari sudah selesai _ _ untuk r r epo r ting
keamananmu _ _ lemah -
U n a u tho ri zed menggunakan dari e q ui p
me n t
ISO/IEC
kebutuhan
Kekurangan o fpr oce d u r es of provisio n s co
m pliance with inte ll ec tu al ri g hts Menggunakan dari hitung r fe i t atau co p ied
perangkat lunak _
D.2 Metode untuk penilaian dari kerentanan teknis

Pro aktif m et h o ds s u ch sebagai informasi m at i on sistem m te st i ng bisa menjadi digunakan ke
ide ti fy vu l n e r abi lit ies bergantung pada t h ec r it calit t h e In formasi dan Communica t ions T e
chno log y ( JC T ) sistem dan ketersediaan _ _ _ _ _ _ _ _ sumber daya ( mis . _ _ _ dana yang
dialokasikan , ketersediaan dana , orang - orang dengan pengalaman untuk mendukung ) . _ _ _ _ _ _
_ _ _ _ _ _ _ Metode uji meliputi : _ _
- habis - habisan _ _ v u l nerab i li ty pengalengan _ juga aku ;

ISO/IEC 27005:2018(E)
keamanan _ _ pengujian dan

evaluasi; pengujian penetrasi ;
dan
kode tinjauan.
Alat pemindaian kerentanan otomatis digunakan untuk memindai sekelompok host atau jaringan
untuk mengetahui kerentanan yang diketahui _ _ _ jasa (misalnya sistem memungkinkan File anonim
Protokol Transfer (FTP), sendmail re l aying). Seharusnya _ menjadi dicatat, h bagaimanapun, itu
dari itu potensi l vu l nerab il it i es diidentifikasi otomatis _ alat pemindaian mungkin bukan
mewakili nyata kerentanan di konteksnya _ dari itu sistem lingkungan. Untuk contoh, beberapa alat
pemindai ini menilai potensi kerentanan tanpa mempertimbangkan lingkungan dan persyaratan situs .
_ _ _ _ _ Beberapa dari itu vu l nerabilit i es fl usia d oleh pemindaian otomatis perangkat lunak
mungkin sebenarnya tidak _ _ _ rentan untuk situs tertentu tapi bisa dikonfigurasi itu cara karena
lingkungan mereka membutuhkannya . Dengan demikian, metode pengujian ini dapat menghasilkan
positif palsu.
Pengujian keamanan dan evaluasi (STE) adalah teknik lain yang bisa jadi digunakan dalam
mengidentifikasi JCT kerentanan sistem selama risiko _ proses penilaian . Ini termasuk
pengembangan dan eksekusi dari sebuah ujian rencana (misalnya uji skr ipt , uji Prosedur, dan
mengharapkan uji hasil s ) . Tujuan _ dari sistem pengujian keamanan adalah ke uji efektivitas _
dari itu keamanan lanjut r o l s dari sebuah TIK sistem sebagai mereka memiliki pernah
diterapkan saya n sebuah operasional lingkungan. Itu objektif adalah ke memastikan itu itu terapan
kontrol bertemu keamanan yang disetujui s p ecif i ca t io n for perangkat lunak dan perangkat keras
dan mengimplementasikan organisasi keamanan kebijakan atau bertemu industri standar.
Penetrasi pengujian bisa jadi digunakan ke melengkapi itu rev saya ew dari keamanan kontrol dan
memastikan itu aspek yang berbeda dari t h e JCT sistem dijamin. Penetrasi pengujian , bila
digunakan dalam proses penilaian risiko , dapat digunakan _ _ _ _ ke menilai sebuah !CT kemampuan
sistem untuk menahan upaya yang disengaja untuk menghindari keamanan sistem . Tujuannya adalah
untuk menguji itu ! Sistem CT dari sudut pandang ancaman sumber dan untuk mengidentifikasi
potensi kegagalan dalam TIK skema perlindungan sistem .
Kode tinjauan adalah itu paling menyeluruh (tetapi juga paling mahal) cara dari kerentanan
penilaian. Hasil dari jenis ini _ _ pengujian keamanan akan saya bantu _ mengidentifikasi _
sistem vu l nerab il it i es.
Penting untuk dicatat bahwa alat dan teknik penetrasi dapat memberikan hasil yang salah kecuali
kerentanannya adalah berhasil dieksploitasi. Untuk mengeksploitasi bagian i cu l a r v u lne r a b il itu
satu kebutuhan ke tahu dia _ sistem/aplikasi/patchessetup yang tepat pada diuji sistem. Jika itu data
adalah bukan diketahui pada t h e waktu dari pengujian , mungkin tidak mungkin ke berhasil
mengeksploitasi kerentanan tertentu (untuk contoh, untung saya ng mundur jarak jauh kerang);
namun, masih mungkin untuk menghentikan atau memulai kembali proses yang diuji atau sistem. Di
seperti sebuah kasus , diuji obyek s h ou l d menjadi dipertimbangkan vu l nerab l e sebagai kami
akan .
Metode termasuk itu mengikuti kegiatan:
mewawancarai orang dan pengguna;
kuesioner;
fisik saya nspec t ion;
analisis dokumen .

ISO/IEC
Pavilyun
(informatif)
Informasi keamanan mempertaruhkan penilaian

pendekatan
E.1 Level tinggi informasi keamanan mempertaruhkan penilaian

ini _ level tinggi penilaian untuk memungkinkan definisi dari prioritasnya _ _ dan ch r ono l ogy Di
aklon . Untuk varlous r easo n s, seperti anggaran, itu tidak mungkin _ p oss i b l e to i m p l ment all
kendalikan _ _ s i mu lt a n eo u s l y dan on l y paling banyak cr it ica l risiko bisa menjadi ditujukan
melalui itu r saya sk perlakuan proses. Sebagai dengan baik, dia bisa terlalu dini untuk memulai
detail manajemen risiko jika implementasi hanya dipertimbangkan setelah satu atau dua tahun. Untuk
mencapai t h saya s objektif, itu level tinggi menilai saya _ bisa mulai dengan a h i gh-level l penilaian
dari konsekuensi n ces alih - alih mulai dengan sistematika n a l ys i s dari t h rea t s, vu l nera bil it i
es, menilai t s an d konsekuensi.
Alasan lain untuk memulai dengan penilaian tingkat tinggi adalah untuk menyinkronkan dengan
rencana lain yang terkait dengan perubahan m a n usia m ent (atau bisnis kontinuitas). Untuk contoh
mpl e , dia adalah bukan suara ke sama sekali aman sebuah sistem atau aplikasi jika itu adalah pl an n
ed untuk outsourcing itu saya di _ di dekat masa depan, padahal bisa masih menjadi layak dilakukan
risikonya penilaian dalam memesan untuk menentukan kontrak outsourcing.
Fitur dari itu h i gh - tingkat l mempertaruhkan penilaian itu era t ion bisa saya termasuk _ itu mengikuti:
Itu level tinggi penilaian risiko bisa tambah r ess sebuah lebih global pemandangan dari organisasi
dan -nya i n untuk sistem ion , _ _ mempertimbangkan itu teknologi n o l ogy aspek sebagai
mandiri dari bisnis masalah. Oleh apakah ini , _ _ itu konteks ana l ys saya s lebih
berkonsentrasi o n t h e bisnis dan operasi n a l lingkungan daripada elemen teknologi .
Itu h i gh - tingkat l penilaian risiko _ _ bisa alamat lebih aku aku te d _ l ist ancaman , dan _
kerentanan yang dikelompokkan dalam domain yang ditentukan atau, untuk mempercepat proses ,
itu bisa fokus _ _ r i sk atau attac k skenario alih-alih mereka elemen.
Risiko disajikan dalam tingkat tinggi l _ _ r saya sk penilaian sering lebih _ risiko umum
domain dari spesifik i dent i fied r is k s.As skenario atau ancaman adalah dikelompokkan di
domain, itu r is kt reat m ent mengusulkan daftar dari kontrol di dalam domain. Itu pengobatan
risiko kegiatan mencoba kemudian pertama untuk _ _ mengusulkan dan memilih com m o n
kendalikan _ _ itu a r e val saya d lintas t h e apa kabar ? _ _ sistem.
Namun, h i gh-level l mempertaruhkan penilaian, karena alamat se ld o m tec h no l ogy detail ,
lebih tepat untuk memberikan pengendalian organisasi dan non - teknis serta aspek pengelolaan
pengendalian teknis , atau kunci dan teknik umum i ca l pengaman seperti _ back-up dan ant i -
virus.
Itu keuntungan dari sebuah tinggi -l malam l mempertaruhkan penilaian adalah sebagai berikut:
Itu masukan dari _ _ _ _ sebuah aku dan itu aku _ sederhana pendekatan mungkin _ mendapatkan
penerimaan itu mempertaruhkan menilai program . _
saya _ Sebaiknya menjadi mungkin untuk bu il d sebuah strategi saya _ gambar dari sebuah
organisasi informasi keamanan program,
yaitu dia tindakan sebagai sebuah bagus pl an n i n g bantuan.
Sumber daya dan uang bisa menjadi terapan di mana mereka adalah paling bermanfaat, sebuah n
d sistem li k e l y ke jadilah aku n n ee d perlindungan terbesar adalah _ _ _ _ ditujukan terlebih

ISO/IEC 27005:2018(E)
dahulu.
Karena analisis risiko awal berada pada tingkat tinggi , dan berpotensi kurang akurat , satu -satunya
kelemahan potensial adalah bahwa beberapa proses bisnis atau sistem mungkin tidak diidentifikasi
sebagai membutuhkan sebuah kedua, rinci r i sk penilaian. Hal ini dapat dihindari jika ada perhatian
yang memadai terhadap semua aspek organisasi dan informasi serta sistemnya , termasuk informasi
yang diperoleh dari evaluasi insiden keamanan informasi .

ISO/
Penilaian risiko tingkat tinggi mempertimbangkan nilai bisnis _ _ _ _ _ _ dari aset informasi , _ dan
itu dari om _ _ _ itu organisasi _ _ bisnis titik dari melihat. Pada t h e jalan pertama keputusan titik
(melihat Angka 2 ), beberapa faktor membantu dalam menentukan apakah penilaian tingkat tinggi
memadai untuk menangani risiko ; _ _ _ _ _ Faktor - faktor ini dapat mencakup hal - hal berikut:
itu bisnis tujuan ke menjadi tercapai oleh menggunakan berbagai info m at i on aktiva;
sampai sejauh mana eo rgan izat i pada bisnis bergantung pada setiap aset infor ma tion , yaitu _ _
_ _ _ _ _ _ _ _ apakah itu menyenangkan ? _ _ _ _ _ itu itu organisasi n menganggap cr it ica l
untuk itu s _ su r viva l atau _ _ perilaku e ff ec t ive dari bisnis bergantung pada setiap aset, atau
pada kerahasiaan , integritas , ketersediaan , non-penyangkalan , akuntabilitas , sebuah
kesinambungan , dan r keandalan dari format i o n s t ored dan diproses pada t h is _ _ _ _ aset;
itu tingkat dari investasi di setiap aset informasi , dalam hal dari mengembangkan, memelihara,
atau mengganti aset , sebuah n d
itu saya informasikan _ _ aktiva, untuk yang mana _ organ i zat i o n d ir dll l y menugaskan nilai.
Kapan t ese _ faktor adalah dinilai , itu keputusan menjadi lebih mudah. Jika itu tujuan _ _ o f sebuah
keledai _ adalah sangat penting bagi organisasi dalam menjalankan bisnisnya , atau jika asetnya
berisiko tinggi , maka iterasi kedua , _ _ _ _ _ _ _ _ _ _ terperinci penilaian risiko , haruskah
dilakukan _ Untuk informasi tertentu tentang aset (atau p a r t daripadanya) .
Aturan umum untuk diterapkan adalah : jika kurangnya keamanan informasi dapat mengakibatkan
konsekuensi merugikan yang signifikan bagi suatu organisasi , proses bisnis atau asetnya , maka
kedua eration r isk menilai m ent , a t more rinci tingkat l , diperlukan untuk mengidentifikasi potensi
ia l r i sks . _
E.2 Terperinci informasi keamanan _ mempertaruhkan penilaian

E.2.1 Umum
Proses penilaian risiko keamanan informasi yang terperinci melibatkan identifikasi dan penilaian aset
yang mendalam , penilaian ancaman terhadap aset tersebut , dan penilaian atas kemampuan v u lne .
Hasil dari m _ kegiatan ini adalah a r et h en u se d _ untuk menilai risiko dan mengidentifikasi risiko
_ _ _ _ _ _ _ _ _ _ _ t mengobati . _
Itu rinci s t ep u s u ally r e r e m e t i m e , usaha dan keahlian yang cukup besar , dan karena itu tidak
bisa paling cocok untuk sistem informasi pada risiko tinggi .
Itu terakhir usia _ _ dari dia _ detail ed _ informasi mengamankannya tahun saya sk _ penilaian i s t o
menilai itu keseluruhan r adalah k s , yang menjadi fokus dari ini _ _ mencaplok.
Konsekuensi dapat dinilai dalam beberapa cara , termasuk menghitungnya secara langsung , misalnya
ukuran moneter, dan kualitatif ( yang dapat didasarkan pada penggunaan kata sifat saya seperti sedang
atau parah ) , _ _ atau kombinasi di i on dari keduanya h. Ke menilai _ l ik e l ihood o f ancaman
kebetulan , _ _ _ t dia jangka waktu berakhir apa hai _ t h e aset memiliki penilai perlu harus
dilindungi _ mapan. Itu kemungkinan ancaman tertentu terjadi dipengaruhi oleh hal-hal berikut:
yang menarik n ess dari t h e aset, atau mungkin dampak app li cab l ew h en sebuah de l
membebaskan manusia dan ancaman aku sedang _ dipertimbangkan;
itu meredakan konversi _ exp l o it ing sebuah vulne r abil it y dari aset _ ke dalam r penghargaan
, berlaku jika ancaman manusia de liberate sedang dipertimbangkan ; _ _
itu teknis mampu itu _ o f itu ancaman agen , aplikasi li cab l e ke de l iberate hu man t h memakan ;
dia _ suscept t ibil it y dari t h e kerentanan untuk _ exp l o ita t i o n , berlaku untuk keduanya _
kerentanan teknis dan non - teknis . _ _ _ _ _ _
Banyak metode saya setuju u se tabel, dan menggabungkan subjek iv ea nd emp ir ica l langkah-
langkah. Adalah penting bahwa _ penggunaan ion organisasi a me t hod wit h w h ic h nyaman , di w
4 © ISO/IEC 2018 - All rights
ISO/
ic h memiliki _ kepercayaan diri, dan itu menghasilkan hasil yang berulang . SEBUAH beberapa ujian
m p l es dari tab l e - teknik berbasis diberikan n di bawah ini.

ISO/
Untuk panduan tambahan tentang teknik yang dapat digunakan untuk penilaian risiko keamanan
informasi terperinci , lihat IEC 3 1 010 .
Contoh berikut menggunakan nomor untuk menggambarkan penilaian kualitatif . _ _ _ _ _ _ _
Pengguna metode ini harus mewaspadai bahwa dapat menjadi tidak valid untuk melakukan tindakan
lebih lanjut di bidang kesehatan . _ operasi menggunakan t dia nomor itu apakah hasil yang
berkualitas dihasilkan ? oleh qua li tative r i sk metode penilaian.
E.2.2 Contoh 1 Matriks dengan sudah ditentukan sebelumnya nilai-nilai

Dalam penilaian risiko metode jenis ini , aset fisik aktual atau yang diusulkan a r e dihargai dalam t er
m s dari r eplacement t or biaya rekonstruksi ( yaitu pengukuran kuantitatif) . Biaya ini adalah
kemudian ubah menjadi _ _ sama kualitatif sca l e as yang digunakan untuk informasi (lihat di
bawah). Sebenarnya atau aset perangkat lunak yang diusulkan dihargai i n sama _ _ cara sebagai aset
fisik , dengan membeli atau merekonstruksi biaya yang diidentifikasi dan kemudian dikonversi ke
skala kualitatif yang sama seperti yang digunakan untuk informasi . _ _ Selain itu, jika aplikasi n y
perangkat lunak saya s untuk kamu nd t o h memiliki sendiri saya tidak r saya nsic r equ i reme n ts for
percaya diri nt iality atau integritas (misalnya jika jadi kamu tahu kode adalah ini l fcommercia ll y
peka saya ve), itu dihargai saya di sama cara sebagai untuk informasi.
Nilai - nilai untuk formatio diperoleh secara langsung melalui manajemen bisnis yang dipilih ( "
pemilik data " ) _ _ _ _ _ _ _ siapa yang bisa berbicara otoriter ly tentang data , untuk menentukan
saya ne nilainya _ dan sensitivitas data sebenarnya saya n menggunakan, atau untuk menjadi
disimpan, diproses atau diakses. Itu saya tidak erv saya aws memfasilitasi penilaian dari nilai dan
sensitivitas format i o n dalam hal skenario kasus terburuk yang dapat secara rasional diharapkan _ _ _
_ _ _ _ terjadi _ dari adve r se bisnis konsekuensi karena pengungkapan yang tidak sah. u modifikasi
na t horized , non - ketersediaan untuk berbagai periode waktu, dan kehancuran.
Itu penilaian saya s acco m p l adalah h ed menggunakan informasi va l uat i on pedoman , _
teluk mana r masalah sukses _ sebagai : pribadi aman t y;
pribadi saya informasi dan privasi; l
aw e n force m ent;
com m er cia l _ a n d ekonomi nte r es t
s ; keuangan loss /d i gangguan
kegiatan; pesanan umum ; _
bisnis aturan dan operasi,
hilangnya niat baik; dan
lanjut r bertindak atau kesepakatan dengan h sebuah pelanggan.
ini _ g u ideal i nes memfasilitasi identifikasi i o n dari nilai-nilai pada sebuah numerik skala , _
seperti itu Oto _ _ _ _ _ 4 sca l e ditunjukkan dalam contoh matriks di bawah ini , dengan demikian
aktifkan _ _ kenali aku _ _ _ nilai kuantitatif yang memungkinkan dan logis , dan nilai kualitatif di
mana nilai kuantitatif _ _ _ _ tidak mungkin, e . g . untuk membahayakan kehidupan manusia .
Kegiatan utama berikutnya i ty menyelesaikan pasangan kuesioner untuk setiap jenis ancaman , untuk
setiap pengelompokan aset yang terkait dengan jenis ancaman , untuk memungkinkan penilaian
tingkat ancaman ( kemungkinan terjadinya ) dan tingkat ancaman kerentanan ( kemudahan exp o it i o
n oleh ancaman untuk menyebabkan merugikan _ _ _ _ konsekuensi). Setiap pertanyaan n jawaban
menarik a skor. Skor ini terakumulasi _ _ melalui sebuah pengetahuan basis a n d membandingkan
dengan rentang . _ Ini mengidentifikasi ancaman _ _ tingkatkan _ _ _ mengatakan sebuah tinggi ke
rendah skala dan kerentanan tingkat l s demikian pula, seperti yang ditunjukkan di itu contoh matriks
menjadi rendah , membedakan antara jenis konsekuensi yang relevan . Informasi untuk melengkapi
kuesioner harus dikumpulkan dari wawancara dengan orang - orang teknis , personel dan akomodasi
yang tepat , dan inspeksi panggilan telepon , _ _ dan ulasan dokumentasi.
4 © ISO/IEC 2018 - All rights
ISO/
Nilai aset, dan tingkat kesehatan dan kerentanan , relevan _ _ untuk masing-masing Tipe konsekuensi,
adalah cocok di sebuah matriks seperti sebagai itu ditampilkan di bawah, untuk mengidentifikasi
untuk setiap kombinasi relevan ukuran dari mempertaruhkan pada sebuah skala l eofO untuk _ 8. Itu
nilai-nilai adalah ditempatkan di matriks _ _ _ di sebuah cara terstruktur . Sebuah contoh adalah
diberikan di bawah ini:

ISO/IEC
T ab l e E . 1
Li kelihood dari
terjadi c e - Ren aku um _ _ _ Ting
jam _ _ _ dah gi
Meredakan
dari E x p l o i L M H L M H L M H
tation
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
A sse t 2 2 5
3 4 3 4 4 5 6
Nilai 3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Untuk setiap aset, t h e relevan _ vul n erab ili t i es and t i ir koreksi p o n ding hasilnya adalah _ co
n sisi r ed. Jika di sini saya bilang v ul n er abi li t y _ dengan saya tidak ada tanggapan dari rekanan
_ _ t jam makan , o r di jam makan _ wit h o ut co r res p o nd i n g vu l n e r abi li t y , t h e r e i s
hadir l y no r adalah k (tapi t ca r es h o u ld be t a k en i n kasus t h adalah sit u at i on c h a n ges).
Sekarang t h e app r o p ria t e row i n itu matr i x saya s ident yang saya berikan t h e keledai _ va lu e
, dan sesuai c ol umn saya s saya diidentifikasi oleh y the seperti li hood of itu t jam makan _ terjadi r
r di g dan t h e meredakan dari ex pl o itu di i o n. Untuk exa mp le , i f t dia menilai t memiliki t dia
nilai 3, t h r makan i s " hi g h " sebuah nd t h e vul n er r ab ili ty " rendah " , t dia m eas u re dari r
adalah k adalah 5. Ass u me a asse t h sebagai va lu eo f _ 2, misalnya . untuk r mod saya aktifkan , _
dia _ ancaman tingkat l adalah " aku tidak apa-apa" sebuah nd itu meredakan dari exp l oitat i on
adalah " h i gh " , t h en t h e ukuran r adalah k adalah 4. Ukuran t hema t rix , dalam t e r ms dari
jumlah th r makan kategori mata pencaharian , kemudahan ex pl o it at i o nc atego r ies a nd t he nu
mb er of satu set v al u at i o nc atego ries , bisa ad j u s t e d untuk t dia perlu begitu ft he _ orga n iz
di io n. Tambahkan saja _ _ _ c o l u m ns a nd ro ws n e c essita t e tambahan r i sk me a s ur es . _
Pendekatan va l u eo ft h i s in ranking the r i s s to be tambahkan r esed.
SEBUAH s i m il a r m at r i x seperti yang ditunjukkan n pada Tabel E 2 r es u lts dari o m t he co n s
id e r at i o n o f th e li keli h oo d o f sebuah i n cid ent scene r io , mappe d lagi n s t itu es t saya makan
d _ bisnis saya mpac t . T h e li kel i h oo d o f sebuah dalam c id ent sce n ar i o saya diberikan oleh
sebuah makanlah _ _ exp l oit i ng sebuah vu l nerability dengan saya _ sebuah ce rt ai n _ li k e li hood
. T h e ta bl e ma p s ini l ik e li hood lagi aku nst t dia b bisnis saya mp ac t aku gembira t o th e saya
ncident skenario i o . Hasilnya i n g _ r adalah k adalah m easu r ed o n a skala dari HAI ke 8 t ha t tidak
ada be ev a l u makan a g ai nst r is k ac c epta n ce c r ite r ia. Skala ini _ _ _ _ _ bisa juga e m app d
untuk s i m p le overa ll r i sk rat i ng , Misalnya sebagai:
Rendah ri s k: 0 untuk _ 2 ;
ed i um _ r isk : 3 ke 5 ;
hai _ saya sk :6 ke 8.
T a ble E . 2
Kemungkinan i sangat rendah _ ed iu m _ Tinggi ve r y H i g

n - c i dent sc e kamu (Kecuali i (Pos si b l e) (Mungkin h
nar i o Rendah k e l y) ) (F r equent)
(V r y tidak
seperti l y)
Sangat aku 0 1 2 3 4
tahu
Bisnis n e renda 1 2 3 4 5
ss h_
saya M edi u m 2 3 4 5 6
berdamp hai _ 3 4 5 6 7
ak _
Sangat h i g h 4 5 6 7 8
E.2.3 E x a mp l e _ 2 - R an k i n g dari reaksi _ b y aku s ur es _ o f Ri sk

ISO/IEC
SEBUAH m di r i x o r ta b l e seperti t ha t tunjukkan n i n IalJ l e E 3 ca nb e digunakan untuk
menyatakan faktor - faktor dari f co n se q u e n ces (aset nilai) sebuah n d l i k e li hood o f t h rea t
terjadi _ _ _ _ (tak i ng Akun o f vu l n erab i li ty aspec t s). T h e pertama _ s t ep i s ke e v a lu
makan t h e urutan co n (aset nilai) pada skala p yang didefinisikan ulang, e . g. 1 t h r o ug h 5, dari
setiap aset yang terancam (co lu m n " b " saya tidak bisa ) . _ T dia seco n ds t ep i st o e v a lu a t e t
he l ik elih oo d dari t h r makan o cc u r r en c eo n a pr e d e fi ne d skala , misalnya . 1 t h rou gh 5,
o f setiap makan ( c o lu m n _ "c " i n t h e t mampu) . t h i r d _ _ _ s t ep i s to calcu l a t e the saya
mengukur dari ris k oleh mu l tip l y i ng ( bx c). Akhirnya , t h e t h makan bisa menjadi berlari k ed
saya tidak urutan dari mereka r pantat o ciated
48 © 1 S0 / I EC 20 1 8 - Sebuah ll r saya takut ulang,

sudah d

ISO/IEC
ukuran r isk . _ _ _ _ Perhatikan bahwa , dalam contoh ini , 1 diambil sebagai konsekuensi terendah
dan kemungkinan terendah dari _ kejadian.
Tab l e E.3
Deskripsi Konsekuensi Kemungki ukuran Peringk
ancaman (aset) nilai nan dari _ at
terjadinya memper ancama
(sebuah) (bl ancaman taruhka n
(c) n
(e)
(d)
Ancaman 5 2 10 2
SEBUAH
AncamanB 2 4 8 3
kami _ _ C 3 5 15 1
Ancaman D 1 3 3 5
treat _ E 4 1 4 4
makanlah _ 2 4 8 3
F
Seperti yang ditunjukkan di atas, ini adalah sebuah proc edu r e yang izin berbeda t jam makan _
dengan berbeda konsekuensi dan kesamaan kejadian untuk dibandingkan dan diurutkan secara
berurutan _ _ _ _ prioritas, seperti yang ditunjukkan di sini. Di jadi misalnya , itu perlu _ _ untuk
assoc aku makan nilai moneter dengan itu skala empiris yang digunakan di sini.
E.2.4 Contoh 3 - Menilai sebuah va lu e untuk itu seperti mata pencaharian dan itu
mungkin konsekuensi
dari risiko
Dalam contoh ini , penekanan ditempatkan pada konsekuensi dari insiden informasi ( yaitu insiden _ _
_ _ _ _ _ _ _ _ skenario) dan o n menentukan w ic h _ sistem haruskah _ diberikan prioritas. Ini adalah
lakukan n e dengan menilai dua nilai-nilai untuk setiap aset sebuah d r saya sk, apa yang saya lihat di
sisir di atio n akan _ tentukan t h e skor untuk setiap aset. Semua _ _ itu aset skor untuk sistem sudah
diatur , sebuah ukuran risiko untuk itu sistem ditentukan .
Pertama, sebuah va lu e ditugaskan ke setiap aset. Nilai ini berhubungan dengan potensi konsekuensi
yang merugikan _ itu bisa timbul jika _ aset terancam . _ Untuk setiap appl i cab l e ancaman
terhadap aset, ini nilai aset ditugaskan ke aset.
Lanjut, sebuah li keli ho od va l ue adalah dinilai . Ini dia _ _ dinilai dari sisir saya bangsa dari itu
seperti li hood dari itu ancaman terjadi _ dan itu meredakan dari exp l oitat i on kerentanan, lihat
Tabel E 4 ungkapkan aku ng li k e li hood dari sebuah insiden _ sce n ar i o.
Meja E.4
Kemungkinan dari Ren Sedang Ting
Ancaman dah gi
tingkat dari L M H L M H L M H
Kerentanan _
Kemungkinan Nilai 0 1 2 1 2 3 2 3 4
ofan
kejadian skenario
Lanjut, sebuah n aset/ reat sco r e saya ditugaskan _ oleh temuan itu int ereksi n dari aset nilai dan
nilai kemungkinan dalam Tabel E 5 . Aset /ancaman skor adalah berjumlah ke menghasilkan sebuah
nilai total aset . Ini gambar bisa _ _ menjadi kamu ingin b e r b e d a nt iate antara aset yang
membentuk bagian dari suatu sistem.

ISO/IEC
T bisa ES
Aset v a lu e 0 Saya 2 3 4
Seperti elih ood
nilai
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
Itu fi n a l langkah adalah ke total l a ll t h e aset total skor untuk r aset sistem , skor sistem produksi .
_ Ini dapat digunakan untuk membedakan di antara sistem dan untuk menentukan saya ne yang mana
sistem _ _ perlindungan harus _ _ _ diberikan prioritas . _ _ _
Di itu mengikuti contoh l es, semua nilai-nilai adalah acak l y terpilih.
Misalkan Sistem m S h sebagai tiga aset Al, A2 dan A3. Juga misalkan ada r e t wo t h reats Tl dan T2
berlaku ke sistem S Membiarkan nilai dari Al menjadi 3. S i milarly , mari nilai aset dari A2 menjadi
2 dan nilai aset A3 menjadi 4.
I f, untuk r Al dan Tl, itu ancaman seperti elihood i s aku tahu dan _ meredakan dari exp l o it at i on
of t h e vu l nerab il ity i s m edium, maka nilai kemungkinannya adalah 1 (melihat T ahl e E 4 ) .
Itu aset/ancaman skor Al/Tl tidak ada menjadi de r ived dari saya _ Tahle E S sebagai t h e di
bagian n dari aset va l ue 3 dan l ik nilai kelayakan 1, saya . 4. Demikian pula untuk Al/T2 ayo itu
ancaman li kelihood adalah med iu m dan kemudahannya dari exp l oitat i o n of kerentanan tinggi,
berikan di g an Al/T2 skor dari 6 .
Sekarang _ itu total aset skor Bisa jadi dihitung, yaitu 10. Itu sama sekali aset skor adalah bisa saya
hitung untuk setiap aset dan ancaman yang berlaku . Itu total skor sistem saya s perhitungan dengan
penambahan AlT _ _ _ +AZT+ A3T ke g iv e ST .
Sekarang berbeda sistem bisa menjadi dibandingkan dengan mendirikan prioritas dan berbeda aset
dalam satu sistem juga.
Itu contoh l e di atas menunjukkan saya tidak ketentuan dari saya n formasi sistem . Namun, serupa
pendekatan bisa menjadi aplikasi li ed untuk proses bisnis.
s © 1S0/IEC 2018- All rights

ISO/IEC
Mencaplok F
(informatif)
Kendala untuk mempertaruhkan modifikasi
Sambil mempertimbangkan const r a i nts untuk r adalah k modifikasi, itu mengikuti kendala nt s s h ou
l d menjadi diperhitungkan : _
Waktu kendala n ts:
Banyak jenis dari t i me kendala dapat ex i s t. Untuk contoh, kontrol s h ou l d jadilah saya m p l
emented dengan i th i n a time periode yang dapat diterima l e untuk organ i zat i on 's manajer.
Lain Tipe waktu kendalanya adalah apakah a kontrol bisa menjadi imp l e m ented di dalam
seumur hidup dari t h e i n format i o n atau sistem. SEBUAH ketiga t y p e dari t i m e kendala
bisa jadi itu periode waktu itu organisasi manajer d ec id es adalah yang dapat diterima Titik
terkena risiko tertentu .
Keuangan kendala:
Kontrol harus tidak menjadi lagi mahal untuk i mpl e m ent atau to menjaga daripada nilai dari
risiko yang mereka lindungi untuk dilindungi . _ _ _ _ Setiap usaha seharusnya tidak melebihi
anggaran yang ditetapkan _ _ _ _ _ _ _ _ dan mencapai fi na n c i al keuntungan melalui
penggunaan _ _ dari kontrol. Namun, dalam jadi saya _ kasus. itu saya tidak menjadi mungkin i b
l e untuk mencapai t h e diinginkan keamanan dan tingkat r i sk _ penerimaan karena keterbatasan
anggaran . Oleh karena itu , ini menjadi organisasi keputusan manajer untuk menyelesaikan
situasi ini . _ _
Perhatian besar harus menjadi diambil jika itu anggaran mengurangi jumlah atau kualitas dari
kendalikan _ _ ke menjadi diterapkan sejak _ _ ini bisa menyebabkan imp li c itu retensi _ risiko
lebih besar dari yang direncanakan. Itu mapan anggaran untuk kontrol l ss h o uld saja digunakan
sebagai faktor pembatas dengan sangat hati-hati.
tek n ikal _ const r a nt s :
Teknis p r ob l ems, li k e itu co m patib il ity dari program atau perangkat keras, bisa mudah l
y menjadi dihindari jika mereka _ diperhitungkan selama pemilihan cont r o l s . _ Selain itu ,
penerapan retrospektif pada kontrol terhadap proses atau sistem yang ada sering kali terhalang
oleh kendala teknis . _ _ _ Kesulitan-kesulitan ini dapat memindahkan keseimbangan kontrol
terhadap aspek prosedural dan fisik keamanan. saya tidak bisa _ diperlukan untuk merevisi
program keamanan informasi dalam urutan ke sip _ _ keamanan tujuan. Ini adalah bisa terjadi
Kapan kontrol melakukan bukan bertemu edisi yang diharapkan _ r e s u l t dalam mengurangi
risiko tanpa mengurangi produktivitas . _ _ _
Operasikan i o n al const r a i nts
Operasikan i o n a l kendala seperti harus beroperasi 24/7 namun tetap melakukan back-up dapat
mengakibatkan kerumitan dan mahal i mp l eme n tat i on dari kontrol l s kecuali mereka adalah
dibangun ke dalam desain benar dari awal .
Kultural kendala:
Hambatan budaya terhadap pemilihan kontrol dapat spesifik untuk suatu negara, sektor ,
organisasi atau bahkan departemen dalam suatu organisasi . Tidak semua _ kontrol dapat
diterapkan di semua negara . _ _ Untuk contoh, dia bisa jadi mungkin ke melaksanakan b ag
mencari di p a r ts of Eropa tetapi tidak dalam bidang seni di Timur . _ _ _ Aspek budaya tidak
bisa diabaikan karena banyak kontrol atas mereka yang aktif . _ _ _ _ _ s up port dari staf ff . _
saya _ t h e staf tidak bukan memahami kebutuhan untuk _ t h e kontrol atau lakukan _ bukan
merasa cukup dapat diterima , kontrol menjadi tidak efektif dari waktu ke waktu.
ISO/IEC
Etis kendala:
Kendala etika dapat berdampak besar atau berdampak pada kontrol karena etika berubah
berdasarkan norma sosial . _ _ Ini dapat mencegah impl em nt ing kontrol seperti sebagai surel
pemindaian di beberapa negara. Pribadi
s © 1S0/IEC 2018- All rights

ISO/
dari informasi bisa juga berubah tergantung pada etika dari itu daerah atau pemerintah. Ini dapat
menjadi perhatian lebih di beberapa industri sektor daripada yang lain, Misalnya, pemerintah dan
kesehatan.
Lingkungan kendala:
Faktor lingkungan dapat mempengaruhinya _ _ pemilihan kontrol, seperti ruang ketersediaan,
kondisi iklim ekstrim. geografi alam dan perkotaan di sekitarnya. Untuk misalnya, pemeriksaan
gempa mungkin diperlukan di beberapa negara tetapi tidak perlu di negara lain.
Meredakan dari menggunakan:
Antarmuka manusia yang buruk menghasilkan kesalahan manusia dan dapat membuat
penggunaan kontrol menjadi lebih sedikit . Kontrol harus dipilih untuk menyediakan optimal
meredakan penggunaan _ ketika mencapai tingkat risiko residual yang dapat diterima untuk
bisnis. Mengontrol itu sulit untuk gunakan berdampak pada keefektifannya, sebagai pengguna
dapat mencoba untuk menghindari atau mengabaikannya sebanyak mungkin. Kontrol akses yang
kompleks dalam sebuah organisasi dapat mendorong pengguna untuk cari l ternate, tidak sah
metode dari mengakses.
Personil kendala:
Itu ketersediaan dan biaya gaji dari keahlian khusus untuk menerapkan kontrol, dan kemampuan
untuk bergerak staf di antara lokasi di merugikan Pengoperasian kondisi, Sebaiknya menjadi
dipertimbangkan. Keahlian mungkin tidak bersiaplah tersedia untuk melaksanakan kontrol yang
direncanakan atau keahlian _ dapat terlalu mahal untuk organisasi . Lainnya aspek, seperti sebagai
kecenderungan dari _ beberapa staf untuk membedakan lainnya anggota staf yang adalah bukan
keamanan disaring, dapat memiliki jurusan implikasi untuk kebijakan keamanan dan praktek.
Demikian juga, itu membutuhkan ke mempekerjakan itu Baik rakyat untuk pekerjaan, dan temuan
itu Baik rakyat, bisa hasil di perekrutan sebelum pemeriksaan keamanan dilakukan . _ _
Persyaratan pemeriksaan keamanan yang harus diselesaikan sebelum perekrutan adalah praktik
yang normal dan paling aman.
Kendala dari mengintegrasikan baru dan yang ada kontrol:
Integrasi kontrol baru dalam infrastruktur yang ada dan saling ketergantungan antar kontrol sering
diabaikan. Baru kontrol mungkin bukan dengan mudah diimplementasikan _ jika di sana adalah
ketidaksesuaian atau tidak kompatibel dengan yang ada kontrol . Untuk contoh, sebuah berencana
untuk menggunakan token biometrik untuk akses fisik kontrol bisa sebab konflik dengan sebuah
yang ada PIN-pad berdasarkan sistem untuk mengakses kontrol biaya berubah pengendalian dari
pengendalian yang ada ke pengendalian yang direncanakan harus mencakup elemen yang akan
ditambahkan ke keseluruhan l biaya resiko _ perlakuan. Dia mungkin bukan mungkin untuk _
menerapkan a kontrol yang dipilih karena gangguan arus kontrol.

ISO/
Bibliografi
[ 1) J SO/IECGuide 73, Mempertaruhkan pengelolaan- Kosakata/a,y

[2] ADALAH O/IEC 16085, Sistemdan perangkat lunak rekayasa - Hidup siklus proses -
Risiko pengelolaan
[3] ISO/IEC 27001, Teknologi informasi - Keamanan teknik - Informasi keamanan sistem
manajemen - Persyaratan
[4] ISO/IEC 27002, Teknologi informasi - Keamanan teknik - Kode praktek untuk keamanan
informasi kontrol
[5] ISO 31000. Mempertaruhkan pengelolaan - Prinsip dan pedoman

(6] NI ST Spesial Publikasi 800-12, Sebuah pengantar ke Komputer Keamanan: Itu NIST Buku Pegangan
( 7] NI ST Khusus l Publikasi 800-30, Mempertaruhkan Panduan Manajemen untuk Sistem Teknologi
Informasi, Rekomendasi dari _ Institut Nasional Standar dan Teknologi

ISO/
ICS 03.100.70; 35.030

Harga berdasarkan pada 56 halaman
© 1 S0/IEC
© 20 1 8 - Semua
1S0/IEC hakrights
2018- All disimpan 5
ISO/IEC 27005:2018(E)

Management Cyber - IND

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Management Cyber - IND

Diunggah oleh

Hak Cipta:

Format Tersedia

STANDAR 1S0/IEC

ini aku _ edisi

Teknologi Informasi - Teknik

2 © 1S0/IEC 2018- All rights

HAK CIPTA DOKUMEN YANG DILINDUNGI

8.3 8.2.5 Identifikasi dari ikatan vu l nerab ili . . . . . . . ......................................................... 11

i © 1S0/IEC 2018- All rights

© 1S0/IEC 2018- All rights i

Mencaplok D (informatif) Kerentanandan metode untuk kerentanan penilaian .. 41

i © 1S0/IEC 2018- All rights

semua langsung referensi _ _ untuk _ itu ISO/IEC 27001:2005 h ave b ee n kembali ; _

SAYA SO/IEC 27001:2005 telah dihapus dari Klausul 2

© 1S0/IEC 2018- All rights V

v © 1S0/IEC 2018- All rights

Informasi teknologi - Keamanan teknik -

3 Ketentuan dan d e definisi

alamat: I SOO n li n e browsing platfo r m: tersedia di htrps · (/www jso org/obp

4 Struktur _ dari ini dokumen dan nt

© 1S0/IEC 2018- All rights 1

2 © 1S0/IEC 2018- All rights

r iskaccep tan ce dalam Klausa 1

© 1S0/IEC 2018- All rights 3

4 © 1S0/IEC 2018- All rights

Informasi tentang proses manajemen risiko keamanan _ _ _ _ _ _ bisa di ap li ed to t eo r gan i i on as

© 1S0/IEC 2018- All rights 3

=> RISK ANALYSIS Ul

ENDOFFI R STORSUBSEQ U Er!T AKU TERAT AKU ON

Angka 2 - Ilustrasi _ dari sebuah informasi keamanan mempertaruhkan pengelolaan proses p

4 © 1S0/IEC 2018- All rights

7.1 Umum pertimbangan

© 1S0/IEC 2018- All rights 5

6 © 1S0/IEC 2018- All rights

7.2 Dasar c r iter i a

7.2.1 Ri s k pengelolaan mendekati

7.2.2 Mempertaruhkan evaluasi _ _ kriteria

© 1S0/IEC 2018- All rights 7

7.2.3 saya berdampak c r it ri ia

8 © 1S0/IEC 2018- All rights

7.2.4 Mempertaruhkan a c penerimaan cr saya teri

7.3 Cakupan sebuah d batas r ies

© 1S0/IEC 2018- All rights 9

1 © 1S0/IEC 2018- All rights

organisasi fu n c t ion a nd struktur; kebijakan keamanan

7.4 Organisasi _ _ untuk informasi keamanan mempertaruhkan mengelola _ _

8 Informasi keamanan mempertaruhkan penilaian

8.1 Umum keterangan dari informasi keamanan mempertaruhkan penilaian

© 1S0/IEC 2018- All rights 1

1 © 1S0/IEC 2018- All rights

Mempertaruhkan menilai saya _ _ terdiri dari itu

8.2 Mempertaruhkan identifikasi

8.2.1 pengantar ke mempertaruhkan kation identifikasi

8.2.2 Identifikasi dari aktiva

Actjon: Itu aktiva w itu h i n itu mapan cakupan s h ou l d menjadi diidentifikasi.

© 1S0/IEC 2018- All rights 1

1 © 1S0/IEC 2018- All rights

produksi , pengembangan , pemeliharaan , penggunaan dan pengamanannya sebagaimana mestinya .

8.2.3 Saya tidak fiksasi _ _ _ o f jam makan _

8.2.4 saya dent saya fication dari yang ada kontrol

© 1S0/IEC 2018- All rights 1

1 © 1S0/IEC 2018- All rights

en s u re t h di kontrol l sa r e wo r ki n g cor re ct l y - referensi ke SMKI yang sudah ada _ a u dit

8.2.5 Identifikasi dari kerentanan

1 © 1S0/IEC 2018- All rights