ISO 27001:2013

Manajemen Risiko Pada ISO 27001:2013

Persyaratan manajemen risiko pada ISO 27001 tercantum di dalam klausul 6, yaitu perencanaan
tindakan untuk mengatasi risiko dan peluang. Terdapat keunikan tersendiri dalam menyusun dan
mengimplementasikan manajemen risiko pada ISO 27001 karena pendekatannya yang berbeda
dengan standar HLS lainnya, seperti ISO 9001, 14001, 22000, dst. Pendekatan yang digunakan oleh
ISO 27001 dalam pengelolaan risiko adalah pendekatan aset (asset approach/ asset-based risk
management) alih-alih melalui pendekatan proses (process approach/ process-based risk
management). Definisi aset yang dimaksud oleh ISO 27001 adalah segala sesuatu yang memiliki
nilai bagi perusahaan, dapat berupa barang fisik, perangkat keras (hardware), perangkat lunak
(software), informasi, orang/ personel/ karyawan, reputasi, dll.

Manajemen risiko melalui pendekatan aset secara umum mencakup:

A. Penyusunan daftar aset (asset register/ asset inventory).
Masing-masing bagian di dalam perusahaan menyusun daftar aset yang ada di bagiannya.
Seperti yang telah disampaikan pada paragraf sebelumnya, definisi aset yang dimaksud di
sini adalah segala sesuatu yang bernilai bagi perusahaan. Maka dalam menyusun daftar aset
harus rinci dan mencakup seluruh aset informasi dan aset pengelolaan informasi.
B. Penentuan dampak kegagalan fungsional (failure consequences) suatu aset terhadap
informasi yang terkandung dalam aset itu sendiri dan informasi yang terkandung dalam aset
lain. Dalam menentukan dampak kegagalan fungsional, kita dapat membaginya menjadi 5
tingkat, yaitu:
1. Insignifikan, yaitu kegagalan aset menyebabkan kerusakan minimal pada aset
dan/atau informasi yang terkandung dalam aset itu sendiri; atau kegagalan aset tidak
berpengaruh pada aset lainnya.
2. Minor, yaitu kegagalan aset menyebabkan kerusakan minimal pada aset dan/atau
informasi yang terkandung dalam aset itu sendiri; kegagalan aset menyebabkan
kerusakan minimal pada aset lain; dan aset cadangan tersedia dalam waktu kurang
dari 5 jam.
3. Moderat, yaitu kegagalan aset menyebabkan kerusakan besar pada aset dan/atau
informasi yang terkandung dalam aset itu sendiri; kegagalan aset menyebabkan
kerusakan pada aset lain; dan aset cadangan tersedia dalam waktu kurang dari satu
hari.
 4. Major, yaitu kegagalan aset menyebabkan kerusakan aset; kegagalan aset
menyebabkan kerusakan besar pada aset lain; dan aset cadangan tersedia lebih dari
satu hari.
5. Ekstrim, yaitu kegagalan aset menyebabkan kerusakan aset; kegagalan aset
menyebabkan rusaknya aset lainnya; dan aset cadangan tidak tersedia.
C. Penentuan peringkat ketergantungan (reliability rank) keamanan informasi terhadap suatu
aset. yaitu:
1. Peringkat 1 (<1%), yaitu keamanan informasi tidak tergantung pada aset tersebut.
2. Peringkat 2 (1 - 10%), yaitu keamanan informasi tidak terlalu bergantung pada aset
tersebut.
3. Peringkat 3 (10 - 50%), yaitu keamanan informasi bergantung pada aset tersebut,
tetapi masih dapat digantikan oleh aset lain.
4. Peringkat 4 (50-90%), yaitu keamanan informasi sangat tergantung pada aset
tersebut.
5. Peringkat 5 (>90%), yaitu aspek keamanan informasi hanya dapat dipenuhi jika aset
tersebut tersedia.
D. Penentuan peringkat kekritisan (criticality rank).
Hasil kali antara failure consequences dan reliability rank akan membentuk suatu matriks
peringkat kekritisan (criticality rank) suatu aset informasi. Hasil dari peringkat kekritisan
adalah daftar aset yang telah berurutan dari tingkat yang paling kritis sampai tingkat yang
paling insignifikan terhadap keamanan informasi.
E. Pelaksanaan analisis risiko dan kerentanan keamanan informasi suatu aset.
Sesuai dengan peringkat kekritisan suatu aset informasi, langkah selanjutnya adalah
pelaksanaan analisa risiko suatu aset, dengan mengidentifikasi aspek-aspek berikut:
1. Nama aset,
2. Pemilik aset,
3. Ancaman risiko,
4. Kerentanan aset,
5. Dampak risiko,
6. Penilaian risiko sebelum dilakukannya tindakan pengendalian risiko (Risk Control
Measure) dengan menggunakan matriks risiko yang memperhitungkan tingkat
kemungkinan terjadi dan dampak yang ditimbulkan oleh suatu risiko,
7. Penentuan tindakan pengendalian risiko dan metode verifikasinya, dan
8. Penilaian risiko residual setelah diterapkannya tindakan pengendalian risiko.
 F. Peningkatan berkelanjutan.
Tindakan pengendalian risiko harus selalu dievaluasi secara berkala untuk menentukan
evektifitasnya. Jika pengendalian yang ada dirasa kurang, maka perusahaan dapat mengganti
atau memodifikasi tindakan pengendalian yang ada dengan tindakan yang lebih efektif.

Pelaksanaan proses A hingga F di atas dapat menggunakan format dan template masing-masing
perusahaan. Apabila Anda belum memiliki format atau template untuk melakukan proses A hingga
F di atas, Anda dapat meminta bantuan konsultan ISO 27001:2013 agar proses manajemen risiko
di perusahaan Anda dapat dijalankan secara optimal.

Credit to:
Abdul Qahar Musachir
ISO Consultant
Multiple Training & Consulting – PT Mutu Tunas Cipta
www.konsultan.web.id / www.multiple.co.id
https://www.linkedin.com/in/abdul-qahar-musachir-4b11361a1/