NIST (National Institute of Standard and Technology) merupakan organisasi pemerintah di Amerika Serikat dengan misi mengembangkan dan mempromosikan penilaian, standar dan teknologi untuk meningkatkan fasilitas dan kualitas kehidupan. Kegiatan utama adalah meneliti berbagai ilmu untuk mempromosikan dan meningkatkan infrastruktur teknologi. NIST mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentangRisk Management Guide for Information Technology System. Tujuan publikasi NIST 800 – 30 adalah untuk memberikan panduan untuk melakukan penilaian risiko dari sistem dan organisasi informasi federal. Penilaian risiko yang dilakukan pada ketiga tingkatan dalam manajemen risiko merupakan bagian dari keseluruhan manajemen risiko dan memberikan informasi yang diperlukan kepada para pimpinan, senior atau eksekutif untuk menentukan tindakan yang tepat dalam menanggapi risiko yang telah terindentifikasi. Secara khusus NIST 800 – 30 memberikan panduan untuk melaksanakan setiap langkah dalam proses penilaian risiko (seperti mempersiapkan assesmen, melakukan assesmen, membicarakan atau mendiskusikan hasil dari assesmen, dan mempertahankan hasil dari assesmen yang telah didiskusikan) serta bagaimana penilaian risiko dan organisasi proses manajemen risiko lainnya dapat saling melengkapi satu sama lainnya. - Sumber Ancaman Sumber ancaman dicirikan sebagai: (i) maksud dan metode yang ditargetkan pada eksploitasi kerentanan; atau (ii) situasi dan metode yang mungkin secara tidak sengaja mengeksploitasi kerentanan. Secara umum, jenis sumber ancaman meliputi: (i) serangan siber atau fisik yang tidak bersahabat; (ii) kesalahan manusia karena kelalaian atau komisi; (iii) kegagalan struktural sumber daya yang dikendalikan organisasi (misalnya, perangkat keras, perangkat lunak, pengendalian lingkungan); dan (iv) bencana alam dan buatan manusia, kecelakaan, dan kegagalan di luar kendali organisasi. - Peristiwa Ancaman Ancaman adalah setiap keadaan atau peristiwa yang berpotensi berdampak buruk pada operasi dan aset organisasi, individu, organisasi lain, atau Negara melalui sistem informasi melalui akses, penghancuran, pengungkapan, atau modifikasi informasi yang tidak sah, dan/atau penolakan layanan. Peristiwa ancaman untuk serangan siber atau fisik dicirikan oleh taktik, teknik, dan prosedur (TTPs) yang digunakan oleh musuh. - Kerentanan Kerentanan adalah kelemahan dalam sistem informasi, prosedur keamanan sistem, pengendalian internal, atau implementasi yang dapat dimanfaatkan oleh sumber ancaman. Sebagian besar sistem informasi kerentanan dapat dikaitkan dengan kontrol keamanan yang belum diterapkan (baik sengaja atau tidak sengaja), atau telah diterapkan, tetapi mempertahankan beberapa kelemahan. - Kondisi Predisposisi Kondisi predisposisi adalah kondisi yang ada dalam organisasi, misi atau proses bisnis, arsitektur perusahaan, sistem informasi, atau lingkungan operasi, yang mempengaruhi (yaitu, meningkatkan atau menurunkan) kemungkinan bahwa peristiwa ancaman, setelah dimulai, mengakibatkan dampak yang merugikan terhadap operasi dan aset organisasi, individu, organisasi lain, atau Bangsa. - Kemungkinan Kemungkinan terjadinya adalah faktor risiko tertimbang berdasarkan analisis probabilitas bahwa ancaman tertentu mampu mengeksploitasi kerentanan tertentu (atau serangkaian kerentanan). - Dampak Tingkat dampak dari peristiwa ancaman adalah besarnya kerugian yang dapat diharapkan sebagai akibat dari pengungkapan informasi yang tidak sah, modifikasi informasi yang tidak sah, penghancuran informasi yang tidak sah, atau hilangnya informasi atau ketersediaan sistem informasi. - Risiko Risiko merupakan suatu kejadian terhadap suatu hal yang tidak tercapai atau yang seharusnya tidak dilakukan. Risiko pada umumnya dipandang sebagai sesuatu yang negatif, seperti kehilangan, bahaya, dan konsekuensi lainnya. Risiko juga didefenisikan sebagai peluang terjadinya sesuatu yang dapat memberikan dampak atau mengakibatkan terganggunya proses bisnis sampai menyebabkan gagalnya tujuan bisnis Organisasi. Penilaian risiko = Dampak (Impact) x Kemungkinan (Likehood) 2. ISO/IEC 27001:2013 ISO 27001 adalah suatu standar sistem manajemen keamanan informasi yang penerapannya dimaksudkan untuk mengelola resiko terhadap keamanan informasi. Standar ini memberikan kerangka kerja bagi organisasi untuk mengembangkan, menerapkan, memantau, dan terus meningkatkan sistem manajemen keamanan informasi dan pemenuhan peraturan perundang- undangan yang berlaku dan persyaratan lainnya. Kenapa dimulai dari klausul 5? karena memang annex ini model dokumennya mengikuti pola klausul di ISO. Bila di ISO klausl 1-3 adalah klausul yang tidak mempunyai persyaratan karena hanya berisi panduan untuk informasi sedangkan di annex A ISO 27001:2013 ini diterapkan pada annex A1 hingga A4 yang tidak mengandung pengendalian yang menjadi persyaratan. Persyaratan pengendalian dimulai dari A5 Kebijakan Keamanan Informasi. 3. Keamanan Informasi Menurut G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Aspek keamanan infromasi: - Confidentiality (Kerahasiaan) Aspek yang menjamin kerahasian data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasian data yang dikirim, diterima dan disimpan. - Integrity (Integritas) Aspek yang menjamin bahwa data tidak diubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. - 3) Availability (Ketersediaan) Aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).