9 - Talakelola Resiko - 2
9 - Talakelola Resiko - 2
RISIKO INFORMASI
Dalam penerapan standar Sistem
Manajemen Keamanan Informasi dan
Sistem
• Manajemen Layanan berdasarkan standar ISO
27001:2013 dan ISO 20000-1 pada lingkungan
pengelolaan TIK Di Perusahaan,
• Kajian risiko merupakan salah satu dasar dalam
penerapan kendali risiko pada standar SMKI ISO
27001:2005 dan penentuan strategi kelangsungan
bisnis berdasarkan standar SML ISO 20000-1.
• Dengan Metode kajian risiko yang baku dapat akan
menjamin kelangsungan dan pelaksanaan kajian risiko.
Tujuan
Dengan penerapan metodologi kajian risiko ini maka diharapkan dapat
memberikan panduan baku , antara lain:
• Identifikasi Asset Kritikal, yaitu langkah-langkah dalam
menentukan asset yang kritikal
• Identifikasi Kerawanan, yaitu mengenali faktor-faktor kerawanan
terhadap aset dan dampak/potensi dampaknya.
• Identifikasi Ancaman, yaitu mengenali ancaman-ancaman yang
dapat mengeksploitasi kerawanan serta kemungkinan terjadinya
ancaman.
• Penilaian Risiko, yaitu proses dalam penentuan nilai/tingkat risiko
dari pengenalan kerawanan dan ancaman pada aset.
• Pengendalian Risiko, yaitu menentukan langkah pengendalian dari
risiko , dengan proses pelaksanaan pengendalian risiko. Dengan
metodologi kajian risiko ini pemantauan pengendalian risiko dapat
di lakukan secara berkesinambungan.
Ruang Lingkup
Hasil dari finalisasi risk assessment dan risk treatment plan harus
disetujui oleh Direksi ORGANISASI. Status progress dari pelaksanaan
RTP harus dimonitor dan dicatat secara berkelanjutan.
Pemantauan Risiko
• Proses manajemen risiko ISMS harus terus
menerus dimonitor dan dievaluasi untuk
memastikan bahwa proses pengamanan
informasi masih sejalan dengan strategi dan
sasaran perusahaan. Proses monitoring dan
evaluasi ini dilakukan secara berkala.
Frekuensi pelaporan aktivitas manajemen
risiko ISMS di ORGANISASI mengacu pada
tabel berikut:
Hasil dari pelaksanaan manajemen risiko yang
dilaporkan kepada Direksi ORGANISASI sebagai
tindak lanjut proses pengendalian risiko, dalam
bentuk laporan Profil Risiko. Profil Risiko ini
menggambarkan proses identifikasi dan analisa
risiko serta rencana tindakan penanganan risiko.
Bagian-bagian yang terdapat dalam laporan Profil
Risiko meliputi:
• Proses pelaksanaan risk assessment
• Identifikasi risiko pada ORGANISASI
• Evaluasi dan analisis risiko
• Risk Acceptance yang terdapat pada registrasi
risiko ORGANISASI
• Rencana penanganan risiko
Proses manajemen risiko dalam kegiatan review risk
assessment harus dievaluasi secara berkala, yaitu
satu tahun sekali oleh seluruh personil ORGANISASI.
Pengkajian ulang proses risk assessment juga
dilakukan apabila terjadi perubahan pada:
• Organisasi
• Teknologi
• Objektif dan proses bisnis
• Ancaman yang teridentifikasi
• Efektivitas dari kontrol yang telah diimplementasikan
• Kejadian eksternal, seperti perubahan dari lingkungan
hukum dan peraturan, perubahan obligasi kontraktual,
dan perubahan dari lingkungan sosial.
Bentuk monitoring terhadap pelaksanaan
pengendalian risiko yang dilaksanakan berdasarkan
progress status yang dilakukan dalam melaksanakan
kontrol yang telah ditetapkan seperti dapat dilihat
dalam tabel 6 berikut.