Peran Analisa Risiko Keamanan Informasi ISO 27001 Dalam Menjaga Keamanan Data Perusahaan
Apa itu Risk Assesment?
Risk Assessment atau Penilaian Risiko adalah penilaian terhadap sebuah risiko dengan membandingkannya terhadap tingkat atau kriteria risiko yang telah ditetapkan. Metode ini banyak digunakan oleh berbagai organisasi atau sebuah pekerjaan karena dinilai sebagai metode yang sistematis serta berguna untuk menentukan dan meminimalisir risiko yang akan terjadi. Risk Assesment merupakan sebuah kunci dalam melaksanakan penanggulangan sebuah risiko atau bencana. Pelaksanaan sebuah penilaian risiko terdiri dari beberapa tahap seperti proses analisis, identifikasi risiko, penanganan risiko, dll.
Pentingnya Analisa Risiko Bagi perusahaan
Manajemen risiko adalah metode sistematis yang digunakan untuk mengarahkan dan mengendalikan perusahaan dalam menangani risiko.
Mengapa perusahaan perlu melakukan penilaian risiko atau risk assessment?
Dengan penilaian risiko perusahaan bisa mendapatkan informasi melalui pelaksanaan analisis berdasarkan bukti. Informasi tersebut dapat dijadikan sebagai acuan dalam pegambilan keputusan perusahaan dalam mengontrol risiko tertentu dan bagaimana memilih metode kontrol dari beberapa alternatif pilihan yang ada. Penilaian risiko dapat membantu organisasi mencapai tujuan bisnisnya dengan membuat keputusan yang lebih baik terhadap risiko yang teridentifikasi. Hal ini berguna dalam menghilangkan ketidakpastian dan mendorong organisasi mengelola bisnisnya dengan tingkat kepercayaan diri tertentu.
Tujuan utama analisa risiko adalah untuk mengukur dampak dari potensi ancaman dan menentukan berapa besar kerugian yang dialami akibat hilangnya potensi bisnis. Sedangkan manfaatnya adalah menciptakan rasio cost-to-value yang jelas untuk perlindungan keamanan. Hal ini juga mempengaruhi proses pengambilan keputusan yang berhubungan dengan konfigurasi hardware dan desain sistem software.
Pendekatan Manajemen Risiko ISO 27001
ISO 27001:2013 adalah standar internasional untuk Sistem Manajemen Keamanan Informasi atau Information Security Management System (ISMS) yang membahas mengenai kerangka kerja untuk pengelolaan sistem keamanan informasi. Penyusunan dan pengimplementasian manajemen risiko pada ISO 27001 memiliki pendekatan yang berbeda dengan standar lainnya, seperti ISO 9001, 14001, 22000, dll. Dibandingkan dengan pendekatan proses (process approach/ process-based risk management), pendekatan yang digunakan dalam ISO 27001:2013 adalah untuk mengelola risiko adalah pendekatan aset (asset approach/ asset-based risk management).
Aset yang dimaksud adalah segala aspek yang memiliki nilai bagi perusahaan, bisa berupa barang, perangkat keras (hardware), perangkat lunak (software), informasi, sumber daya manusia, reputasi, dll. ISO 27001 memiliki beberapa persyaratan untuk meminimalkan risiko keamanan informasi, seperti:
- Memeriksa risiko keamanan informasi organisasi dengan mempertimbangkan ancaman (threats), kerentanan (vulnerabilities), dan dampak (impacts) secara sistematis.
- Merencanakan dan mengimplementasikan kontrol terhadap keamanan informasi secara koheren dan komprehensif serta bentuk pengendalian risiko lainnya untuk menghadapi risiko yang tidak dapat diterima dan dianggap mengancam.
- Mengadopsi proses manajemen secara menyeluruh untuk memastikan bahwa kontrol keamanan informasi dapat memenuhi kebutuhan keamanan informasi organisasi secara berkelanjutan.
Proses Analisa Risiko Keamanan Informasi (Information Security Risk Assesment)
Analisa risiko keamanan informasi tidak terlepas dari penilaian risiko (risk assessment) dan penanggulangan risiko (risk treatment). Risiko yang dimaksud ISO 27001 adalah risiko negatif dan risiko positif (peluang). Pemanfaatan dan pemahaman terhadap kedua jenis risiko ini dapat memaksimalkan potensi yang dimiliki dalam mencapai tujuan organisasi dengan lebih baik.
Lalu, bagaimana cara melakukan risk assessment?
Berdasarkan ISO 27001 klausul 6.1.2 berikut adalah proses Analisa Risiko Keamanan Informasi.
- Melaksanakan penyusunan dan monitoring yang mencakup kriteria risiko dan kriteria penilaian risiko.
- Memastikan bahwa prosedur penilaian risiko keamanan informasi dilaksanakan secara konsisten, valid, dan hasilnya dapat dibandingkan.
- Mengidentifikasi keamanan informasi terkait dengan Confidentiality (Kerahasiaan), Integrity (Integriitas), dan availability (Ketersediaan).
- Lakukan analisis dan penilaian terhadap dampak potensial dan kemungkinan risiko yang dapat terjadi, kemudian tentukan level dari risiko tersebut.
- Melaksanakan evaluasi dengan membandingkan hasil penilaian risiko dengan kriteria penilaian risiko yang sudah ditentukan sebelumnya.
Dan yang tidak boleh dilewatkan adalah organisasi harus melakukan pendokumentasian terhadap keseluruhan proses penilaian risiko keamanan informasi secara konsisten.
Baca Juga: Persiapkan Transisi ISO 27001:2022 di Perusahaan Anda
Konsultasikan Kebutuhan Konsultasi dan Sertifikasi Perusahaan Anda dengan Kami
Author