Manajemen risiko adalah pendekatan terstruktur untuk mengelola ketidakpastian yang dapat mengancam dengan mencakup proses penilaian risiko, pengembangan strategi untuk mengelolanya, serta mitigasi risiko. Tujuannya adalah untuk mengurangi atau meminimalkan dampak negatif dari risiko dan memaksimalkan peluang yang ada. Dalam pembahasan kali ini kita akan membahas apa itu risk assessment atau penilaian risiko dan bagaimana prosesnya dilakukan, khususnya berdasarkan ISO 27001.
Baca juga: Efektifitas Perlindungan Data dengan ISO 27001
Apa itu Risk Assessment?
Risk Assessment atau penilaian risiko merupakan rangkaian proses yang dilaksanakan untuk mengidentifikasi risiko yang dapat berpotensi mengancam organisasi baik secara kualitatif maupun kuantitatif. Proses tersebut dilakukan dengan membandingkan hasil penilaian risiko dengan tingkat atau kriteria risiko yang telah ditetapkan. Penilaian risiko juga bisa dikaitkan dengan pemeriksaan keamanan dalam sebuah pekerjaan dengan menggunakan analisis risiko, perkiraan risiko, dan informasi lainnya yang berpotensi mempengaruhi pengambilan keputusan organisasi.
Baca juga: Mengenal Annex-A ISO 27001 Information Security Control Reference
Information Risk Management ISO 27001
ISO 27001 sebagai standard untuk sistem manajemen keamanan informasi memiliki peranan penting dalam menjaga keamanan data sesuai prinsip kerahasiaan, integritas, dan ketersediaan infromasi. Dalam kerangka kerja standard ini, penilaian risiko atau risk assesment adalah bagian yang paling rumit baik dalam implementasi ataupun sertifikasi ISO 27001. Namun, proses ini adalah salah satu langkah penting yang diperlukan Perusahaan dalam melaksanakan keamanan informasi Perusahaan. Yaitu dalam menetapkan dasar-dasar untuk sistem keamanan informasi di perusahaan.
Baca juga: Implementasi Kontrol Annex-A ISO 27001
Kenapa harus dilaksanakan Risk Assesment?
Meningkatnya serangan siber menimbulkan maraknya ancaman yang dapat menyebabkan downtime, pelanggaran data, pelanggaran kepatuhan, hilangnya reputasi dan kepercayaan pelanggan, kerugian finansial, dan masih banyak hal yang dapat dilakukan untuk mengeksploitasi kerentanan organisasi. Dalam hal ini organisasi dituntut untuk memiliki sebuah sistem informasi yang aman serta dapat mengelola dan menangani risiko keamanan informasinya. Disisi lain, terdapat standard yang dapat memenuhi kebutuhan tersebut yaitu ISO 27001.
Risk Assessment adalah salah satu aspek dalam klausul ISO 27001 yang wajib dilaksanakan oleh Perusahaan saat akan mengimplementasikan ISO 27001. Dimana Perusahaan akan diarahkan untuk mengetahui ancaman insiden yang berpotensi terjadi (menilai risiko) dan menemukan cara yang paling tepat untuk menghindari insiden tersebut (penanganan risiko). Selain itu, perusahaan juga harus menilai setiap risiko yang ada agar dapat memprioritaskan risiko yang memiliki level tertinggi.
Dengan penilaian risiko perusahaan bisa mendapatkan informasi akurat berdasarkan bukti. Informasi ini yang akan menjadi acuan pegambilan keputusan perusahaan untuk mengontrol risiko tertentu. Yaitu dengan memilih metode kontrol dari beberapa alternatif pilihan yang tersedia. Proses penilaian risiko dapat membantu organisasi mencapai tujuan bisnis melalui pengambilan keputusan yang tepat terhadap risiko yang teridentifikasi. Hal ini berguna untuk menghilangkan anacama risiko dan mendorong organisasi mengelola bisnis dengan tingkat kepercayaan diri tertentu.
Baca juga: CIA Triad ISO 27001
Bagaimana Proses Analisa Risiko Keamanan Informasi dilaksanakan?
Risiko pada ISO 27001 adalah risiko negatif dan risiko positif (peluang). Pemanfaatan dan pemahaman terhadap kedua jenis risiko ini dapat memaksimalkan potensi dalam mencapai tujuan dan sasaran perusahaan.
5 Proses penilaian risiko keamanan informasi ISO 27001.
- Melaksanakan penyusunan dan monitoring yang mencakup kriteria risiko dan kriteria penilaian risiko.
- Memastikan bahwa prosedur penilaian risiko keamanan informasi dilaksanakan secara konsisten, valid, dan hasilnya dapat dibandingkan.
- Mengidentifikasi risiko keamanan informasi terkait dengan proses penilaian risiko yang berkaitan dengan hilangnya Confidentiality (Kerahasiaan), Integrity (Integritas), dan Availability (Ketersediaan) dalam lingkup SMKI.
- Lakukan analisis dan penilaian terhadap dampak potensial dan kemungkinan risiko yang dapat terjadi, kemudian tentukan level dari risiko tersebut.
- Melaksanakan evaluasi dengan membandingkan hasil penilaian risiko dengan kriteria penilaian risiko yang sudah ditentukan sebelumnya.
Dalam implementasinya, organisasi harus melakukan dokumentasi terhadap keseluruhan proses penilaian risiko keamanan informasi secara konsisten. Dengan menerapkan Keamanan Informasi berbasis ISO 27001 membuktikan bahwa perusahaan memiliki standard keamanan yang jelas dalam mengelola risiko informasinya.
Baca juga: Tujuan ISO 27001 dan kaitannya dengan Pengamanan Aset Informasi Perusahaan