RISK ASSESSMENT

RISK MANAGEMENT FRAMEWORK

Scope

 Kerangka kerja manajemen risiko Organisasi berlaku untuk semua risiko dalam
rencana bisnis,
Responsibilities

 {CSO] bertanggung jawab untuk memastikan bahwa kerangka kerja

manajemen risiko Organisasi memenuhi persyaratan Dewan Direksi dan
[mengidentifikasi persyaratan legislatif atau peraturan dalam hal manajemen
risiko].
Procedure

 menetapkan frekuensi penilaian risiko, kriteria di mana Anda menilai dan

mengevaluasi risiko, memutuskan risiko mana yang harus diterima, yang
ditolak / dihindari, yang ditransfer (oleh asuransi) ke pihak ketiga, yang
dikendalikan untuk menguranginya ke tingkat yang dapat diterima, dan
bagaimana Anda mengevaluasi opsi untuk perawatan risiko.
 Anda harus secara eksplisit mendefinisikan apa tingkat risiko yang dapat
diterima dan bagaimana Anda menilai ini, mengidentifikasi bagaimana
manajemen terlibat dalam dan menyetujui definisi, kontrol diterapkan untuk
mengurangi risiko, dan dalam penerimaan risiko.
RISK ASSESSMENT PROSEDURE
Scope

 Metode penilaian risiko ini diterapkan di seluruh Organisasi sehubungan

dengan risiko
Responsibilities

 Manajer Keamanan Informasi bertanggung jawab untuk melakukan penilaian

risiko di mana pun mereka diwajibkan oleh ISMS.
Procedure Identify the risks

 Aset yang berada dalam ruang lingkup ISMS diidentifikasi dan didaftar sesuai
dengan persyaratan.
 Ketika aset informasi baru diperoleh, atau aset yang ada dengan cara apa pun
diubah, aset tersebut ditambahkan ke inventaris dan diperlakukan sesuai
dengan persyaratan berikut :
 Ancaman terhadap masing-masing aset diidentifikasi [bagaimana hal ini
dilakukan, dan oleh siapa?] Di bawah judul ancaman terhadap ketersediaan,
kerahasiaan dan integritas dan didokumentasikan [dalam log risiko aset].
 Kerentanan yang mungkin dieksploitasi oleh masing-masing ancaman ini
diidentifikasi [bagaimana, dan oleh siapa?] Dan didokumentasikan
 Di mana kerentanan atau kelemahan baru diidentifikasi, log risiko diperbarui
dan, jika sesuai, prosedur penilaian risiko yang ditetapkan di sini diulangi dan
setiap perubahan kontrol diterapkan.
 Dampak hilangnya ketersediaan, kerahasiaan, dan integritas pada aset itu
sendiri [yaitu, apa kerugian sebenarnya terhadap aset itu sendiri yang
mungkin terjadi?] Diidentifikasi dan didokumentasikan [lagi, oleh siapa dan
bagaimana?].
Nilai risikonya

 Dampak - kerugian bisnis - yang mungkin diakibatkan oleh hilangnya

ketersediaan, kerahasiaan atau integritas, untuk masing-masing aset ini,
dinilai [bagaimana, oleh siapa?]
 Kemungkinan realistis bahwa masing-masing kegagalan ini mungkin terjadi
dinilai [bagaimana, oleh siapa?]
 Tingkat risiko dinilai [bagaimana, oleh siapa?]
Identifikasi dan evaluasi opsi untuk
perawatan risiko
 Untuk masing-masing risiko, identifikasi [bagaimana dan oleh siapa?] Pilihan
yang mungkin untuk memperlakukannya sesuai dengan keputusan yang
dibuat.
 Untuk setiap risiko, dokumentasikan tindakan perawatan mana (menerima,
menolak, mentransfer atau mengendalikan) yang akan diambil [bagaimana
dan oleh siapa?] Dan mendokumentasikan dalam rencana perawatan risiko
[bagaimana dan oleh siapa?] Alasannya untuk setiap pilihan.
Pilih tujuan kontrol dan kontrol untuk
perawatan risiko
 Tujuan kontrol yang tepat dipilih dari {Lampiran A ISO27001: 2005 [oleh siapa,
bagaimana?] / ISO27002} dan alasan pemilihan didokumentasikan [dalam
dokumen kerja yang terperinci, dengan referensi REC ?, oleh siapa dan
bagaimana?] dalam kesimpulan untuk penilaian risiko dan proses perawatan
risiko.
 Tujuan dan kontrol kontrol ini kemudian dirangkum ke dalam Pernyataan
Keberlakuan.