Risiko Keamaanan Informasi adalah penerapan manajemen risiko pada ISO 27001. Klausul yang panjang banget penjelasannya 😢 Tapi klausul ini bersama- sama dengan klausul 8.2 dan 8.3 menjadi inti dari implementasi ISO 27001:2013 yaitu bagaimana mengelola risiko dan peluang pada ISO 27001
6.1.1 Umum
Pada persyaratan ini terdapat pengertian dan tujuan mengelola risiko .
When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
Clause 6 ISO 27001:2013
a) ensure the information security management system can achieve its intended outcome(s);
b) prevent, or reduce, undesired effects; and
c) achieve continual improvement.
The organization shall plan:
d) actions to address these risks and opportunities; and
e) how to
1) integrate and implement the actions into its information security management system processes; and
2) evaluate the effectiveness of these actions
hal pertama yang perlu anda ingat sebelum melakukan manajemen risiko keamanan informasi adalah, anda wajib mempertimbangkan isu internal dan eksternal (Klausul 4.1) serta pihak yang berkepentingan (klausul 4.2) dalam menentukan risiko dan peluang.
Coba lihat lagi klausul 4 ISO 27001 pada bagian konteks organisasi dan pihak terkait
Pada dasarnya penentuan tindakan untuk risiko dan peluang ISO 27001 kita lakukan untuk
- memastikan SMKI berjalan serta dampak yang diinginkan
- mencegah atau mengurangi dampak yang tidak diinginkan
- mendapatkan proses perbaikan berkelanjutan
- memastikan tindakan untuk risiko dan peluang menjadi bagian dari operasional dan di evaluasi keefektifannya
6.1.2 Penilaian Risiko
Dalam persyaratan disini akan dijelaskan langkah2 untuk melakukan penilaian risiko keamanan informasi
The organization shall define and apply an information security risk assessment process that:
Clause 6.1.2 ISO 27001:2013
a) establishes and maintains information security risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and
comparable results;
The organization shall define and apply an information security risk assessment process that:
Clause 6.1.2 ISO 27001:2013
a) establishes and maintains information security risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c) identifies the information security risks:
1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
2) identify the risk owners;
d) analyses the information security risks:
1) assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
3) determine the levels of risk;
e) evaluates the information security risks:
1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2) prioritize the analysed risks for risk treatment.
ISO 27001:2013 meminta anda membuka ISO 31000 sebagai panduan dalam melakukan manajemen Risiko keamanan informasi. Versi terbaru dari ISO 31000 adalah ISO 31000:2018. Dengan mengikuti persyaratan di atas serta tambahan panduan manajemen risiko pada ISO 31000:2018 maka langkah – langkah yang harus kita lakukan untuk melakukan manajemen risiko adalah sbb :
Langkah 1 : Tentukan Kriteria Risiko
Ada 2 persyaratan kriteria yaitu
1. Menentukan kriteria risiko
Biasanya pada saat di awal kita akan memilih kriteria risiko yang paling mudah yaitu dengan membuat 3 kriteria dasar
a. Risiko tinggi / high risk
Anda bisa menjelaskan maksud dari “risiko tinggi”, misal : saya ambil contoh gampang, risiko yang harus segera kita tindak lanjuti dalam kurun waktu kurang dari 6 bulan
b. Risiko sedang atau menengah / medium risk
Anda bisa menjelaskan maksud dari “risiko sedang”, misal : risiko yang harus segera kita tindak lanjuti dalam kurun waktu 6 12 bulan
c. Risiko rendah / low risk
Anda juga bisa menjelaskan maksud dari “risiko rendah”, risiko yang harus segera kita tindak lanjuti dalam kurun waktu antara 1-2 tahun
catatan : untuk hasil yang lebih baik sangat disarankan anda melakukan penjelasan kriteria risiko dengan cara yang lebih komprehensif, misal melibatkan waktu, biaya, dampak serta hal lain yang menjadi pertimbangan dari manajemen puncak seperti target perusahaan serta parameter lain yang terkait keaman informasi
2. Menentukan kriteria untuk melakukan penilaian
Lalu bagaimana cara menentukan apakah sebuah risiko keamanan informasi menjadi tinggi,sedang atau rendah? Di sini kita harus membuat bagaimana melakukan penilaian terhadap kriteria tersebut
ISO 27003:2013 meminta melakukan penilaian berdasarkan
a. likelihood –> kemungkinan terjadinya risiko
b. consequences –> dampak dari terjadinya risiko
Tentunya untuk menyesuakan dengan kriteria risiko maka penilaian tersebut (likelihood and consquences) masing-masing menjadi 3 juga yaitu : tinggi, sedang, rendah.Sehingga terciptalah tabel sbg berikut
Kok tau2 gitu zul? mau tahu kenapa gitu? sewa gw jadi konsultan hahaha Ga harus sih silahkan bertanya kalo ga ngerti, tadi mau nulis lengkap tapi masih bingung cara penyampaiannya. Sementara gw tinggalin dulu kita lanjut langkah berikutnya
Langkah 2 : Identifikasi Risiko
Identifikasi risiko keamanan informasi pada proses anda. Prosesnya banyak euy masa tiap proses di identifikasi risikonya? yah emang gitu, bukan saja proses tapi semua aktifitas yang terkait informasi harusnya di identifikasi risiko keamanan informasi – nya. Eh di persyaratan ini, ketika melakukan identifikasi risiko, harus terkait dengan 3 dasar risiko keamanan informasi yaitu Confidentiality, Integrity dan availability. Sehingga pastikan cara untuk mengidenfikasikan memasukkan penilaian tsb.
Biasanya saya melakukan 2 tahapan identifikasi agar persyaratan ini dapat kita penuhi, yaitu ;
– pertama menilai apakah risiko sebuah proses terkait CIA tsb ada yang tinggi dan bila ada yang tinggi maka
– lanjutkan pada analisa risikonya pada langkah 1
Atau
mengkombinasikan dasar risiko keamanan informasi (CIA) dengan kriteria penilaian pada likelihood dan dan consequences pada langkah 1 dengan menggunakan tabel kombinasi. Ini makin pusing mikirinnya hehehe
Langkah 3 : Analisa Risiko keamanan informasi
Lakukan analisa risiko untuk risiko keamanan informasi yang teridentifikasi pada langkah 2 dengan mengikuti kriteria risiko pada langkah 1.
Paham? gw anggap paham aja lah ya sementara hehehe
Langkah 4 : Evaluasi Risiko
Pada hasil analisa nanti kita akan menemukan mana risiko keamanan informasi yang tinggi / sedang / rendah. Pada titik itu lah kita menyesuaikan dengan kriteria risiko pada langkah 1. Mana tindakan yang harus kita lakukan untuk penanganan risiko sesuai 6.1.3 Penanganan Risiko
Sementara itu dulu yah tentang penilaian risiko keamanan informasi, Nanti tambahan detil2 langkah2 akan kita buat klo mood nulisnya lagi enak😊
6.1.3 Penanganan Risiko
Penanganan risiko keamanan informasi atau banyak orang kenal dengan istilah mitigasi risiko atau tindakan untuk risiko kita lakukan sesuai dengan persyaratan berikut
The organization shall define and apply an information security risk treatment process to:
clause 6 ISO 27001:2013
a) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
Langkah 5 : Mitigasi Risiko Keamanan informasi
Coba tetapkan langkah untuk mengatasi risiko keamanan informasi yang telah teridentifikasi. Persyaratannya sih setelah tetapkan tindakan kemudian periksa silang dengan annex A. Klo saya daripada kerja 2x mendingan periksa dulu kesesuaiannya dengan annex A, nah yang ga ada di annex baru menjadi langkah2 tambahan sebagai mitigasi risiko
c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
clause 6 ISO 27001:2013
d) produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
e) formulate an information security risk treatment plan; and
f) obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
Langkah 6 : Bandingkan dengan Annex A
Nah cantumkan annex terkait pada setiap tindakan untuk mengatasi risiko (mitigasi) pada langkah 5 sehingga kita punya hubungan antara dokumen risiko keamanan informasi dengan dokumen berikutnya yaitu dokumen SoA
Langkah 7 : Buat Statement of Applicability
Ini adalah dokumen SoA, sebuah dokumen yang menyatakan bahwa perusahaan melakukan kendali atas risiko – risiko keamanan informasi yang teridentifikasi oleh persyaratan. Dokumen ini harus memberikan informasi tentang
- Annex terkait
- Persyaratan kendali/kontrol yang ditetapkan
- Tujuan dari kendali yang dilakukan
- alasan kenapa kendali dilakukan
- Tindakan yang dilakukan ATAU
- pernyataan bahwa kendali tidak dapat diterapkan
saya sih biasanya menggunakan tabel hingga setiap annex bisa kita jelaskan dalam baris yang sama. Tentunya setiap data bisa kita cantumkan pada baris tsb dalam kolom yang kita buat
Langkah 8 : Rencanakan tindakan untuk mitigasi
Tentukan personil yang bertanggung jawab terhadap tindakan dan pastikan juga beri batas waktu kapan tindakan harus selesai.
Pada langkah ini, nanti kita terhubung dengan klausul 8.2 Penilaian Risiko Keamanan Informasi dan 8.3 Mitigasi Risiko Keamanan Informasi yang ada pada tulisan selanjutnya.
Langkah 9 : Persetujuan keberterimaan sisa risiko
Nilai dari hasil tindakan dengan melakukan penilaian ulang terhadap risiko sehingga kita mendapatkan keberterimaan risiko (risk acceptance)
Pada dokumen ISO 31000:2018 kita mempunyai 6 tindakan untuk menerima sisa risiko yaitu
- menghilangkan risiko
- mengambil risiko (karena ada peluang yang bisa diraih)
- menghilangkan sumber risiko
- mengubah kemungkinan (likelihood) atau mengubah konsekwensi (consequence)
- berbagi risiko
- mengelola risiko dengan membuat parameter tindakan
Tentukan kriteria dari tindakan yang kita lakukan berdasarkan kriteria tersebut. Ini berguna agar kita mendefinisikan setiap tindakan dalam kondisi yang lebih jelas
Dokumentasi
Dokumentasi yang diperlukan adalah metode risiko yang diminta oleh persyaratan, biasanya dalam bentuk SOP serta pelaksanaan manajemen risiko yang umumnya dalam bentuk tabel sesuai langkah2 diatas.
1. Membuat kebijakan risiko
Dengan alasan langkah-langkahnya termasuk panjang serta membutuhkan penjelasan yang cukup detil biasanya saya membuat sebuah Risk Policy sebagai penjelasan atas langkah – langkah tersebut.
2. Membuat Prosedur Manajemen Risiko
membuat SOP untuk memastikan implementasi dari manajemen risiko dengan menjabarkan keterlibatan antar dept, perumusan risiko serta perencanaan risk treatment serta evaluasi risiko dalam sebuah proses berulang
3. Membuat formulir risiko
Tentunya untuk memastikan bahwa kita mengevaluasi risiko pada periode yang terjadwal maka kita butuh formulir risk yang menjadi bukti dalam pelaksanaan manajemen risiko yang kita lakukan. Formulirnya seperti apa? formulirnya sesuai dengan langkah – langkah no 1 hingga 9. Kadang tiap langkah membutuhkan kolom lebih dari 1. Emang agak panjang sih tapi itu risiko untuk memenuhi persyaratan kan? hehehe
baca lanjutan klausul 6 tentang Sasaran dan Rencana ISO 27001
Seperti biasa anda dapat menghubungi kami bila mengalami kesulitan dalam implementasi risiko keamanan informasi untuk menghadapi audit atau surveillvace audit pada
Pingback: Klausul 8 Operasional ISO 27001 - TRiP CONSULTANT