Membuat Prosedur Penilaian Resiko Kemanan Informasi

Langkah ketiga dalam tahap PLAN Implementasi ISO27001:2013 adalah membuat dokumen prosedur Penilaian Resiko Keamanan Informasi (Information Security Risk Assessment). Untuk membuat prosedur ini, kita cukup mengikuti prosedur yang tercantum dalam dokumen standar ISO27001:2013 clause 6.1.2, yaitu sebagai berikut:

  1. Identifikasi Resiko dan Pemilik Resiko, caranya:
    • Identifikasi aset informasi. Misalkan sebuah perusahaan cloud computing yang menyediakan layanan ERP, maka salah satu aset informasinya adalah aplikasi ERP itu sendiri. Source code aplikasi ERP ini harus dilindungi dari resiko CIA yaitu:
      • resiko unauthorized read (Confidentiality)
      • resiko unauthorized modify/write (Integrity)
      • resiko hilang/tidak bisa diakses (Avaibility)
  2. Menilai  dampak resiko (consequences)
    • Untuk identifikasi dampak bisa digunakan aturan berikut:
      • Nilai 1 (Low) : isu internal, hanya berpengaruh pada sejumlah kecil pengguna.
      • Nilai 2 (Medium): isu internal, berdampak pada sebuah departemen.
      • Nilai 3 (High): berdampak pada sebagian kecil pelanggan atau pada semua internal user.
      • Nilai 4 (Major): berdampak pada sejumlah besar pelanggan.
    • Aturan di atas tidak mengikat bisa diubah melalui kesepakatan bersama.
  3. Menilai kecenderungan resiko (likelihood/probability)
    • Untuk identifikasi kecenderungan bisa digunakan aturan berikut:
      • Nilai 1 : tidak terjadi dalam 2 tahun terakhir.
      • Nilai 2 : terjadi 1 kali dalam 2 tahun
      • Nilai 3 : terjadi 2 kali dalam setahun.
      • Nilai 4 : lebih dari 2 kali dalam setahun.
    • Aturan kecenderungan sangat bergantung dengan sejarah kejadian-kejadian sebelumnya. Oleh karena itu harus selalu diupdate setiap Management Review yang minimal dilakukan setiap 1 tahun sekali.
  4. Menentukan tingkat resiko (level of risk)
    • Cara menghitung tingkat resiko mengikuti formula tingkat resiko = dampak resiko X kecenderungan. 
    • Hasilnya tingkat resiko ini akan mempunyai range:
      • Low : tingkat resiko dengan nilai 1 s.d. 4
      • Medium : tingkat resiko dengan nilai 6, 8, dan 9
      • High : tingkat resiko dengan nilai 12 dan 16
  5. Evaluasi resiko
    • Evaluasi resiko adalah membandingkan antara Risk Acceptance Criteria dengan Level of Risk.
    • Contoh Risk Acceptance Criteria:
      • Tingkat resiko Low : Accepted
      • Tingkat resiko Medium dan High : Unacceptable, prioritas untuk dikendalikan
  6. Hasil dari Penilaian Resiko Keamanan Informasi adalah Risk Register.
  7. Penilaian Resiko Keamanan Informasi dilakukan setiap:
    • Adanya perubahan yang signifikan pada bisnis yang mempengaruhi keamanan informasi.
    • Adanya kontrak baru yang mempengaruhi persyaratan keamanan informasi.
    • Apabila terjadi insiden keamanan.
    • Minimal sekali dalam 3 tahun.

bebas

Sebagaimana diatur dalam ISO27001:2013 clause 7.5, setiap dokumen harus memiliki Judul, Nomor, Pengarang, Tanggal, dan Versi.

Contoh Risk Register hasil Penilaian Resiko Keamanan Informasi

Contoh Risk Register

Resiko di atas termasuk resiko yang Unacceptable, sehingga harus dikendalikan. Untuk pengendaliannya dibuatkan Risk Treatment Plan. Bagaimana membuat Risk Treatment Plan? Silakan ikuti langkah selanjutnya membuat dokumen Prosedur Risk Treatment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s