Konsultasi ISO 27001

Risiko Peluang – ISO 27001

Klausul yang panjang banget penjelasannya 😢 Tapi klausul ini bersama- sama dengan klausul 8.2 dan 8.3 menjadi inti dari implementasi ISO 27001:2013 yaitu bagaimana mengelola risiko dan peluang pada ISO 27001

6.1.1 Umum

Pada persyaratan ini terdapat pengertian dan tujuan mengelola risiko . 

When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
a) ensure the information security management system can achieve its intended outcome(s);
b) prevent, or reduce, undesired effects; and
c) achieve continual improvement.

The organization shall plan:
d) actions to address these risks and opportunities; and
e) how to
1) integrate and implement the actions into its information security management system processes; and
2) evaluate the effectiveness of these actions

Clause 6 ISO 27001:2013

hal pertama yang perlu anda ingat adalah, anda wajib mempertimbangkan isu internal dan eksternal  (Klausul 4.1) serta pihak yang berkepentingan (klausul 4.2) dalam menentukan risiko dan peluang.
Coba lihat lagi klausul 4 ISO 27001 pada bagian konteks organisasi dan pihak terkait

Pada dasarnya penentuan tindakan untuk risiko dan peluang ISO 27001 kita lakukan untuk

  1. memastikan SMKI berjalan serta dampak yang diinginkan
  2. mencegah atau mengurangi dampak yang tidak diinginkan
  3. mendapatkan proses perbaikan berkelanjutan
  4. memastikan tindakan untuk risiko dan peluang menjadi bagian dari operasional dan di evaluasi keefektifannya

6.1.2 Penilaian Risiko

Dalam persyaratan disini akan dijelaskan langkah2 untuk melakukan penilaian risiko 

The organization shall define and apply an information security risk assessment process that:
a) establishes and maintains information security risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and
comparable results;

Clause 6.1.2 ISO 27001:2013

The organization shall define and apply an information security risk assessment process that:
a) establishes and maintains information security risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c) identifies the information security risks:
1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
2) identify the risk owners;
d) analyses the information security risks:
1) assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
3) determine the levels of risk;
e) evaluates the information security risks:
1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2) prioritize the analysed risks for risk treatment.

Clause 6.1.2 ISO 27001:2013

ISO 27001:2013 meminta anda membuka ISO 31000 sebagai panduan dalam melakukan manajemen Risiko. Versi terbaru dari ISO 31000 adalah ISO 31000:2018.  Dengan mengikuti persyaratan di atas serta tambahan panduan manajemen risiko pada ISO 31000:2018 maka langkah – langkah yang harus kita lakukan untuk melakukan manajemen risiko adalah sbb : 

Langkah 1 : Tentukan Kriteria Risiko

Ada 2 persyaratan kriteria yaitu 

1. Menentukan kriteria risiko 

Biasanya pada saat di awal kita akan memilih kriteria risiko yang paling mudah yaitu dengan membuat 3 kriteria dasar 

a. Risiko tinggi / high risk

Anda bisa menjelaskan maksud dari “risiko tinggi”, misal : saya ambil contoh gampang, risiko yang harus segera kita tindak lanjuti dalam kurun waktu kurang dari 6 bulan

b. Risiko sedang atau menengah / medium risk

Anda bisa menjelaskan maksud dari “risiko sedang”, misal : risiko yang harus segera kita tindak lanjuti dalam kurun waktu 6 12 bulan 

c. Risiko rendah / low risk 

Anda juga bisa menjelaskan maksud dari “risiko rendah”, risiko yang harus segera kita tindak lanjuti dalam kurun waktu antara 1-2 tahun 

catatan : untuk hasil yang lebih baik sangat disarankan anda melakukan penjelasan kriteria risiko dengan cara yang lebih komprehensif, misal melibatkan waktu, biaya,  dampak serta hal lain yang menjadi pertimbangan dari manajemen puncak seperti target perusahaan serta parameter lain yang terkait keaman informasi

2. Menentukan kriteria untuk melakukan penilaian 

Lalu bagaimana cara menentukan apakah sebuah risiko menjadi tinggi,sedang atau rendah? Di sini kita harus membuat bagaimana melakukan penilaian terhadap kriteria tersebut 

ISO 27003:2013 meminta melakukan penilaian berdasarkan 

a. likelihood –> kemungkinan terjadinya risiko

b. consequences –> dampak dari terjadinya risiko

Tentunya untuk menyesuakan dengan kriteria risiko maka penilaian tersebut (likelihood and consquences) masing-masing menjadi 3 juga yaitu : tinggi, sedang, rendah.Sehingga terciptalah tabel sbg berikut 

Kok tau2 gitu zul? mau tahu kenapa gitu? sewa gw jadi konsultan hahaha Ga harus sih silahkan bertanya kalo ga ngerti, tadi mau nulis lengkap tapi masih bingung cara penyampaiannya. Sementara gw tinggalin dulu kita lanjut langkah berikutnya

Langkah 2 : Identifikasi Risiko

Identifikasi  risiko pada proses anda. Prosesnya banyak euy masa tiap proses di identifikasi risikonya? yah emang gitu, bukan saja proses tapi semua aktifitas yang terkait informasi harusnya di identifikasi risikonya. Eh di persyaratan ini, ketika melakukan identifikasi risiko, harus terkait dengan 3 risiko dasar keamanan informasi yaitu Confidentiality, Integrity dan availability. Sehingga pastikan cara untuk mengidenfikasikan memasukkan penilaian tsb. 

Biasanya saya melakukan 2 tahapan identifikasi agar persyaratan ini dapat kita penuhi, yaitu ;
– pertama menilai apakah risiko sebuah proses terkait CIA tsb ada yang tinggi dan bila ada yang tinggi maka
– lanjutkan pada analisa risikonya pada langkah 1

Atau 

mengkombinasikan dasar risiko CIA dengan kriteria penilaian pada likelihood dan dan consequences pada langkah 1 dengan menggunakan tabel kombinasi. Ini makin pusing mikirinnya hehehe

Langkah 3 : Analisa Risiko

Lakukan analisa risiko untuk risiko yang teridentifikasi pada langkah 2  dengan mengikuti kriteria risiko pada langkah 1. 

Paham? gw anggap paham aja lah ya sementara hehehe

Langkah 4 : Evaluasi Risiko 

Pada hasil analisa nanti kita akan menemukan mana risiko yang tingi / sedang / rendah. Pada titik itu lah kita menyesuaikan dengan kriteria risiko pada langkah 1. Mana tindakan yang harus kita lakukan untuk penanganan risiko sesuai 6.1.3 Penanganan Risiko

Sementara itu dulu yah, Nanti tambahan detil2 langkah2 akan kita buat klo mood nulisnya lagi enak😊

6.1.3 Penanganan Risiko

Penanganan risiko atau banyak orang kenal dengan istilah mitigasi risiko atau tindakan untuk risiko kita lakukan sesuai dengan persyaratan berikut 

The organization shall define and apply an information security risk treatment process to:
a) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;

clause 6 ISO 27001:2013

Langkah 5 : Mitigasi Risiko

Coba tetapkan langkah untuk mengatasi risiko yang telah teridentifikasi. Persyaratannya sih setelah tetapkan tindakan kemudian periksa silang dengan annex A. Klo saya daripada kerja 2x mendingan periksa dulu kesesuaiannya dengan annex A, nah yang ga ada di annex baru menjadi langkah2 tambahan sebagai mitigasi risiko

c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
d) produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
e) formulate an information security risk treatment plan; and
f) obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.

clause 6 ISO 27001:2013

Langkah 6 : Bandingkan dengan Annex A 

Nah cantumkan annex terkait pada setiap tindakan untuk mengatasi risiko (mitigasi) pada langkah 5  sehingga kita punya hubungan antara dokumen risiko dengan dokumen berikutnya yaitu dokumen SoA

Langkah 7 : Buat Statement of Applicability 

Ini adalah dokumen SoA, sebuah dokumen yang menyatakan bahwa perusahaan melakukan kendali atas risiko – risiko yang teridentifikasi oleh persyaratan.  Dokumen ini harus memberikan informasi tentang 

  1. Annex terkait 
  2. Persyaratan kendali/kontrol yang ditetapkan 
  3. Tujuan dari kendali yang dilakukan
  4. alasan kenapa kendali dilakukan 
  5. Tindakan yang dilakukan ATAU
  6. pernyataan bahwa kendali tidak dapat diterapkan  

saya sih biasanya menggunakan tabel hingga setiap annex bisa kita jelaskan dalam baris yang sama. Tentunya setiap data bisa kita cantumkan pada baris tsb dalam kolom yang kita buat

Langkah 8 : Rencanakan tindakan untuk mitigasi 

Tentukan personil yang bertanggung jawab terhadap tindakan dan pastikan juga beri batas waktu kapan tindakan harus selesai. 

Pada langkah ini, nanti kita terhubung dengan klausul 8.2 Penilaian Risiko Keamanan Informasi dan 8.3 Mitigasi Risiko Keamanan Informasi yang ada pada tulisan selanjutnya.

Langkah 9 : Persetujuan keberterimaan sisa risiko 

Nilai dari hasil tindakan dengan melakukan penilaian ulang terhadap risiko sehingga kita mendapatkan keberterimaan risiko (risk acceptance) 

Pada dokumen ISO 31000:2018 kita mempunyai 6 tindakan untuk menerima sisa risiko yaitu 

  1. menghilangkan risiko
  2. mengambil risiko (karena ada peluang yang bisa diraih) 
  3. menghilangkan sumber risiko
  4. mengubah kemungkinan (likelihood) atau mengubah konsekwensi (consequence)
  5. berbagi risiko 
  6. mengelola risiko dengan membuat parameter tindakan 

Tentukan kriteria dari tindakan yang kita lakukan berdasarkan kriteria tersebut. Ini berguna agar kita mendefinisikan setiap tindakan dalam kondisi yang lebih jelas

Dokumentasi 

Dokumentasi yang diperlukan adalah metode risiko yang diminta oleh persyaratan, biasanya dalam bentuk SOP serta pelaksanaan manajemen risiko yang umumnya dalam bentuk tabel sesuai langkah2 diatas. 

1. Membuat kebijakan risiko

Dengan alasan langkah-langkahnya termasuk panjang serta membutuhkan penjelasan yang cukup detil biasanya saya membuat sebuah Risk Policy sebagai penjelasan atas langkah – langkah tersebut.

2. Membuat Prosedur Manajemen Risiko

membuat SOP untuk memastikan implementasi dari manajemen risiko dengan menjabarkan keterlibatan antar dept, perumusan risiko serta perencanaan risk treatment serta evaluasi risiko dalam sebuah proses berulang

3. Membuat formulir risiko

Tentunya untuk memastikan bahwa kita mengevaluasi risiko pada periode yang terjadwal maka kita butuh formulir risk yang menjadi bukti dalam pelaksanaan manajemen risiko yang kita lakukan. Formulirnya seperti apa? formulirnya sesuai dengan langkah – langkah no 1 hingga 9. Kadang tiap langkah membutuhkan kolom lebih dari 1. Emang agak panjang sih tapi itu risiko untuk memenuhi persyaratan kan? hehehe

baca lanjutan klausul 6 tentang Sasaran dan Rencana ISO 27001

Seperti biasa anda dapat menghubungi kami bila mengalami kesulitan dalam implementasi untuk menghadapi audit atau surveillvace audit pada

1 komentar untuk “Risiko Peluang – ISO 27001”

  1. Pingback: Klausul 8 Operasional ISO 27001 - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top