Langkah ketiga dalam tahap PLAN Implementasi ISO27001:2013 adalah membuat dokumen prosedur Penilaian Resiko Keamanan Informasi (Information Security Risk Assessment). Untuk membuat prosedur ini, kita cukup mengikuti prosedur yang tercantum dalam dokumen standar ISO27001:2013 clause 6.1.2, yaitu sebagai berikut:
- Identifikasi Resiko dan Pemilik Resiko, caranya:
- Identifikasi aset informasi. Misalkan sebuah perusahaan cloud computing yang menyediakan layanan ERP, maka salah satu aset informasinya adalah aplikasi ERP itu sendiri. Source code aplikasi ERP ini harus dilindungi dari resiko CIA yaitu:
- resiko unauthorized read (Confidentiality)
- resiko unauthorized modify/write (Integrity)
- resiko hilang/tidak bisa diakses (Avaibility)
- Identifikasi aset informasi. Misalkan sebuah perusahaan cloud computing yang menyediakan layanan ERP, maka salah satu aset informasinya adalah aplikasi ERP itu sendiri. Source code aplikasi ERP ini harus dilindungi dari resiko CIA yaitu:
- Menilai dampak resiko (consequences)
- Untuk identifikasi dampak bisa digunakan aturan berikut:
- Nilai 1 (Low) : isu internal, hanya berpengaruh pada sejumlah kecil pengguna.
- Nilai 2 (Medium): isu internal, berdampak pada sebuah departemen.
- Nilai 3 (High): berdampak pada sebagian kecil pelanggan atau pada semua internal user.
- Nilai 4 (Major): berdampak pada sejumlah besar pelanggan.
- Aturan di atas tidak mengikat bisa diubah melalui kesepakatan bersama.
- Untuk identifikasi dampak bisa digunakan aturan berikut:
- Menilai kecenderungan resiko (likelihood/probability)
- Untuk identifikasi kecenderungan bisa digunakan aturan berikut:
- Nilai 1 : tidak terjadi dalam 2 tahun terakhir.
- Nilai 2 : terjadi 1 kali dalam 2 tahun
- Nilai 3 : terjadi 2 kali dalam setahun.
- Nilai 4 : lebih dari 2 kali dalam setahun.
- Aturan kecenderungan sangat bergantung dengan sejarah kejadian-kejadian sebelumnya. Oleh karena itu harus selalu diupdate setiap Management Review yang minimal dilakukan setiap 1 tahun sekali.
- Untuk identifikasi kecenderungan bisa digunakan aturan berikut:
- Menentukan tingkat resiko (level of risk)
- Cara menghitung tingkat resiko mengikuti formula tingkat resiko = dampak resiko X kecenderungan.
- Hasilnya tingkat resiko ini akan mempunyai range:
- Low : tingkat resiko dengan nilai 1 s.d. 4
- Medium : tingkat resiko dengan nilai 6, 8, dan 9
- High : tingkat resiko dengan nilai 12 dan 16
- Evaluasi resiko
- Evaluasi resiko adalah membandingkan antara Risk Acceptance Criteria dengan Level of Risk.
- Contoh Risk Acceptance Criteria:
- Tingkat resiko Low : Accepted
- Tingkat resiko Medium dan High : Unacceptable, prioritas untuk dikendalikan
- Hasil dari Penilaian Resiko Keamanan Informasi adalah Risk Register.
- Penilaian Resiko Keamanan Informasi dilakukan setiap:
- Adanya perubahan yang signifikan pada bisnis yang mempengaruhi keamanan informasi.
- Adanya kontrak baru yang mempengaruhi persyaratan keamanan informasi.
- Apabila terjadi insiden keamanan.
- Minimal sekali dalam 3 tahun.
Sebagaimana diatur dalam ISO27001:2013 clause 7.5, setiap dokumen harus memiliki Judul, Nomor, Pengarang, Tanggal, dan Versi.
Contoh Risk Register hasil Penilaian Resiko Keamanan Informasi
Resiko di atas termasuk resiko yang Unacceptable, sehingga harus dikendalikan. Untuk pengendaliannya dibuatkan Risk Treatment Plan. Bagaimana membuat Risk Treatment Plan? Silakan ikuti langkah selanjutnya membuat dokumen Prosedur Risk Treatment.