METODOLOGI MANAJEMEN

RISIKO INFORMASI
 Dalam penerapan standar Sistem
Manajemen Keamanan Informasi dan
Sistem
• Manajemen Layanan berdasarkan standar ISO
27001:2013 dan ISO 20000-1 pada lingkungan
pengelolaan TIK Di Perusahaan,
• Kajian risiko merupakan salah satu dasar dalam
penerapan kendali risiko pada standar SMKI ISO
27001:2005 dan penentuan strategi kelangsungan
bisnis berdasarkan standar SML ISO 20000-1.
• Dengan Metode kajian risiko yang baku dapat akan
menjamin kelangsungan dan pelaksanaan kajian risiko.
 Tujuan
Dengan penerapan metodologi kajian risiko ini maka diharapkan dapat
memberikan panduan baku , antara lain:
• Identifikasi Asset Kritikal, yaitu langkah-langkah dalam
menentukan asset yang kritikal
• Identifikasi Kerawanan, yaitu mengenali faktor-faktor kerawanan
terhadap aset dan dampak/potensi dampaknya.
• Identifikasi Ancaman, yaitu mengenali ancaman-ancaman yang
dapat mengeksploitasi kerawanan serta kemungkinan terjadinya
ancaman.
• Penilaian Risiko, yaitu proses dalam penentuan nilai/tingkat risiko
dari pengenalan kerawanan dan ancaman pada aset.
• Pengendalian Risiko, yaitu menentukan langkah pengendalian dari
risiko , dengan proses pelaksanaan pengendalian risiko. Dengan
metodologi kajian risiko ini pemantauan pengendalian risiko dapat
di lakukan secara berkesinambungan.
 Ruang Lingkup

• Ruang lingkup penerapan metodologi

manajemen risiko informasi ini adalahtidak
terbatas pada lingkungan TIK dan dalam
rangka pemenuhan persyaratan standar ISO
27001:2013 dan ISO 2000-1.
 Referensi
Metodologi risiko ini disusun dengan mengacu pada:
• ISO 31000:2009 Risk Management Principles and
Guidelines
• ISO/IEC 27005:2011 Information Technology-Secure
techniques –Information Security Risk Management
• ISO/IEC 27001:2013 Information Security
Management System
• ISO/IEC 2000 -1:2011 Service Management System
 Konsep Manajemen Risiko Informasi
Identifikasi Kritikalitas Aset
Penentuan kritikalitas aset mengacu pada tingkat kerahasiaan
(confidenciality), keutuhan(integrity), dan ketersediaan
(availability). Tahapan penentuan aset kritikal adalah sebagai
berikut:
• Identifikasi aset yang digunakan pada setiap unit
• Analisa sensitivitas dan kritikalitas masing-masing aset
terhadap dampak pada masing-masing unit dilihat dari sudut
pandang Confidentiality, Integrity, Availability (CIA).
• Dalam penentuan aset kritikal, suatu aset dinyatakan kritikal
bila salah satu kriteria CIA memiliki nilai akhir High.
Kriteria penilaian aset kritikal dilakukan berdasarkan
penilaian sensitivitas CIA.
• Berdasarkan tabel diatas, penentuan kritikalitas
aset berdasarkan aspek CIA.
• Aset yang dibandingkan pada proses utama
tersebut merupakan aset yang mempunyai
keterkaitan dengan pelaksanaan pada masing –
masing proses. Suatu aset akan diklasifikasikan
sebagai aset kritikal dan harus dinilai risikonya
bila setidaknya salah satu aspek CIA
dikategorokan sebagai kritikalitas tinggi (“High”).
 Identifikasi Ancaman Dan Kerawanan
dari Risiko
• Proses identifikasi kecenderungan dan dampak risiko ini dilakukan oleh
personil ORGANISASI yang terkait dengan proses bisnis sehingga seluruh
personil tersebut memahami kondisi risiko yang dapat terjadi dalam
pelaksanaan proses bisnis di lingkungan ORGANISASI.
• Proses identifikasi kecenderungan dan dampak risiko berdasarkan kategori
kritikalitas aset. Proses identifikasi ancaman (threat) merupakan proses
awal dalam mengidentifikasi risiko TI.
• Ancaman merupakan suatu peristiwa yang berpotensi mengkibatkan
dampak risiko negatif. Suatu ancaman belum dapat dikatakan sebagai
risiko jika tidak disertai dengan kerawanan risiko yang memungkinkan
ancaman terjadi.
• Suatu kerawanan risiko merupakan potensi kelemahan terhadap
prosedur, sistem pengamanan TI, desain dan implementasi sistem, dan
kontrol internal terkait operasional ORGANISASI. Tabel yang dipergunakan
dalam memetakan kecenderungan dan kelemahan terhadap klasifikasi
informasi kritikal dapat dilihat di gambar 3 berikut.
Analisa dan evaluasi risiko dilakukan dengan menilai tingkat
nilaikecenderungan dan kelemahan terhadap proses bisnis dari
terjadinya risiko yang telah teridentifikasi. Dalam melakukan
analisis risiko mengacu kepada:
• Kontrol yang ada, meliputi : proses dan prosedur, alat, dan
kontrol lain yang telah ada dan dilakukan saat ini oleh
organisasi untuk meminimalkan kecenderungan. ·
• Kemungkinan, yaitu suatu gambaran probabilitas terjadinya
risiko pada organisasi. ·
• Dampak, yaitu suatu gambaran akibat dari risiko yang
mengindikasikan kerugian yang dialami, baik secara finansial
maupun operasional ketika risiko tersebut terjadi. ·
• Risk owner adalah penanggung jawab terhadap risiko , yang
bertanggung jawab terhadap identifikasi, monitoring
pelaksanaan tindak lanjut risiko serta melakukan kajian risiko.
 Analisa Kontrol Yang Ada
Kontrol dalam keamanan informasi merupakan proses
atau alat yang digunakan pada sistem yang berjalan pada
saat ini yang meliputi keberadaan proses dan prosedur,
perangkat TI, dan sumber daya TI lainnya.
Contoh kontrol yang telah diimplementasikan di
ORGANISASI antara lain:
• Penggunaan antivirus pada PC/Notebook
• Pemeliharaan rutin pada perangkat
• Akses kontrol ke ruang kerja
Kontrol tersebut dinyatakan efektif apabila dapat
mencegah atau meminimalkan terjadinya risiko pada
ORGANISASI.
 Kriteria Pengukuran Tingkat
Kemungkinan / Kecenderungan
Terjadinya Risiko
Kemungkinan / kecenderungan terjadinya risiko
dikategorikan ke dalam lima tingkatan. Tabel 2 di
bawah ini adalah keterangan lengkap mengenai
tingkatan kemungkinan / kecenderungan yang
berlaku di ORGANISASI beserta penjelasannya
masing-masing.
Kriteria Penentuan Tingkat
Kecenderungan
 Kriteria Pengukuran Tingkat Dampak
Pengukuran dampak merupakan pengukuran terhadap seberapa besar
dampak yang ditimbulkan oleh sebuah risiko apabila risiko tersebut
terjadi (tereksploitasi). Kriteria dampak ini dikategorikan dalam 4
tingkatan. Pelaksanaan analisa dampak ini mengacu pada tujuan
pengamanan terhadap aset yang berkaitan dengan proses bisnis dan
akibat yang ditimbulkan berdasarkan kerugian dari aspek seperti
berikut:
• Kerahasiaan dan Integritas pada suatu data dan informasi yang
dikelolah.
• Ketersediaan informasi dalam menunjang operasional TI

Berdasarkan analisa dampak dari ketiga aspek tersebut maka kriteria

evaluasi dampak risiko yang digunakan oleh ORGANISASI dapat dilihat
pada Tabel 3 berikut.
Kriteria Penentuan Tingkat Dampak
 Penentuan Nilai Risiko Dasar
Setelah tingkat kecenderungan dan dampak dari
tiap risiko diidentifikasi, selanjutnya dilakukan
penentuan nilai risiko dasar.
• Nilai risiko dasar (NRD) adalah tingkatan risiko
yang timbul apabila tidak adanya kontrol.
• Nilai risiko dasar diperoleh dari hasil
perhitungan antara tingkat kecenderungan dan
juga dampak dari risiko sebagai berikut ini.
Kriteria perhitungan tingkat nilai risiko
Nilai risiko = Kecenderungan × Dampak Kriteria

Rentang nilai risiko :

0 – 5 : Rendah
6 – 11 : Sedang
12 – 16 : Tinggi
Matriks yang digunakan dalam melihat nilai risiko yang dibagi
menjadi tiga tingkatan, yaitu Tinggi, Sedang, dan Rendah
seperti pada Gambar 4 berikut ini.
 Pengendalian Risiko
Tindakan-tindakan pengendalian risiko dapat
dikembangkan dari proses identifikasi dan evaluasi
risiko berdasarkan matriks penilaian risiko dan
penetapan tindakan pengendalian tersebut dapat
dilihat pada tabel 4 berikut.
 Pembuatan Risk Treatment Plan
• ORGANISASI harus memprioritaskan
pengendalian risiko berdasarkan ketersediaan
dan keterbatasan sumber daya, baik teknologi,
uang, maupun dokumen.
• Dalam pembuatan risk treatment plan
terdapat 4 (empat) pilihan jenis pengendalian
risiko, yaitu avoid, control, transfer, dan
accept. Tahapan yang dilakukan dalam risk
treatment plan meliputi hal-hal berikut:
1) Penentuan Penerimaan Risiko Proses ini
bertujuan untuk menentukan apakah suatu risiko
akan diterima atau tidak. Suatu risiko dapat
diterima apabila Nilai Risiko Akhir (NRA) adalah
“Rendah”. Penerimaan risiko juga dapat dilakukan
apabila NRA dari suatu risiko bernilai “Sedang”
atau “Tinggi” dan sudah tidak dapat dikontrol
lagi. Penentuan penerimaan risiko dengan NRA
bernilai “Sedang” atau “Tinggi” harus diketahui
dan disetujui oleh direksi ORGANISASI.
2) Penentuan Pengendalian Risiko Untuk risiko yang memiliki
dampak di luar dari batas penerimaan risiko, perlu
dilaksanakan tindakan pengendalian risiko sebagai berikut:

• Avoid merupakan tindakan pengendalian risiko dengan

tidak melakukan suatu aktivitas atau memilih aktivitas lain
dengan output yang sama untuk menghindari terjadinya
risiko.
• Control atau mitigate merupakan tindakan pengendalian
risiko dengan mengurangi dampak maupun kemungkinan
terjadinya risiko melalui menerapkan suatu sistem atau
aturan.
• Transfer merupakan tindakan pengendalian risiko dengan
mengalihkan seluruh atau sebagian tanggung jawab
pelaksanaan suatu proses kepada pihak ketiga.
3) Penentuan Nilai Risiko Akhir Proses ini bertujuan untuk
memperkirakan perubahan nilai risiko jika rencana pengendalian
risiko telah diterapkan.
Dari proses ini dapat dilihat apakah rencana pengendalian risiko
bersifat responsif dengan menurunkan dampak risiko atau bersifat
preventif dengan mengurangi kemungkinan risiko terjadi.
Penentuan ekspektasi nilai risiko akhir dilakukan dengan
memperkirakan nilai kecenderungan akhir dan nilai dampak akhir
yang diharapkan jika rencana pengendalian risiko telah diterapkan.
Kriteria penentuan nilai risiko akhir menggunakan kriteria dan
matriks yang sama dengan proses penentuan nilai risiko dasar.
Pada bagian akhir juga akan diidentifikasi control pengamanan
Annex ISO 27001 yang terpenuhi dengan diterapkannya kontrol
pengamanan yang telah ada dan yang direncanakan.
Tabel yang dipergunakan sebagai alat bantu dalam proses
penentuan penerimaan dan pengendalian risiko dapat dilihat pada
gambar 5 berikut ini.
 a. Penentuan Rencana Penanganan Risiko, PIC,
Target Waktu Langkah-langkah yang harus
dilakukan pada penentuan rencana penanganan
risiko adalah:
• Menyusun rencana tindak lanjut untuk mengurangi nilai
risiko. ·
• Menetapkan personil yang bertanggung jawab dalam tenggat
waktu pelaksanaan penanganan risiko tersebut.

Rencana penanganan risiko dapat berupa penentuan kebijakan,

prosedur dan pedoman, pengadaan teknologi, pengadaan
sumber daya, dan pelaksanaan proses dideskripsikan dalam
dokumen kebijakan, prosedur dan pedoman. Rencana
penanganan harus feasible dan cost-effective, membandingkan
keuntungan dan biaya dari implementasi rencana penanganan
(benefit-cost analysis).
 b. Pembuatan Jadwal DetailRencana
Penanganan Risiko
Berdasarkan hasil rencana pengendalian risiko, dapat dibuat jadwal
detail implementasi kontrol yang telah ditentukan pada rencana
pengendalian risiko. Implementasi kontrol tersebut dapat dilakukan
secara bertahap dimana perlu dideskripsikan:

• waktu implementasi kontrol;

• aktivitas detail dalam implementasi kontrol termasuk penyediaan
sumber daya untuk mendukung terlaksananya aktivitas tersebut;
• personil yang bertanggung jawab dalam implementasi kontrol

Hasil dari finalisasi risk assessment dan risk treatment plan harus
disetujui oleh Direksi ORGANISASI. Status progress dari pelaksanaan
RTP harus dimonitor dan dicatat secara berkelanjutan.
 Pemantauan Risiko
• Proses manajemen risiko ISMS harus terus
menerus dimonitor dan dievaluasi untuk
memastikan bahwa proses pengamanan
informasi masih sejalan dengan strategi dan
sasaran perusahaan. Proses monitoring dan
evaluasi ini dilakukan secara berkala.
Frekuensi pelaporan aktivitas manajemen
risiko ISMS di ORGANISASI mengacu pada
tabel berikut:
Hasil dari pelaksanaan manajemen risiko yang
dilaporkan kepada Direksi ORGANISASI sebagai
tindak lanjut proses pengendalian risiko, dalam
bentuk laporan Profil Risiko. Profil Risiko ini
menggambarkan proses identifikasi dan analisa
risiko serta rencana tindakan penanganan risiko.
Bagian-bagian yang terdapat dalam laporan Profil
Risiko meliputi:
• Proses pelaksanaan risk assessment
• Identifikasi risiko pada ORGANISASI
• Evaluasi dan analisis risiko
• Risk Acceptance yang terdapat pada registrasi
risiko ORGANISASI
• Rencana penanganan risiko
Proses manajemen risiko dalam kegiatan review risk
assessment harus dievaluasi secara berkala, yaitu
satu tahun sekali oleh seluruh personil ORGANISASI.
Pengkajian ulang proses risk assessment juga
dilakukan apabila terjadi perubahan pada:

• Organisasi
• Teknologi
• Objektif dan proses bisnis
• Ancaman yang teridentifikasi
• Efektivitas dari kontrol yang telah diimplementasikan
• Kejadian eksternal, seperti perubahan dari lingkungan
hukum dan peraturan, perubahan obligasi kontraktual,
dan perubahan dari lingkungan sosial.
Bentuk monitoring terhadap pelaksanaan
pengendalian risiko yang dilaksanakan berdasarkan
progress status yang dilakukan dalam melaksanakan
kontrol yang telah ditetapkan seperti dapat dilihat
dalam tabel 6 berikut.