penanganan risiko

Apa itu Risk Treatment?

Risk treatment adalah proses modifikasi risiko yang dilakukan organisasi dalam rangka penanganan risiko. Proses ini digunakan sebagai alat bantu bagi pengusaha dalam proses pengambilan keputusan untuk mengurangi atau menghindari risiko yang dihadapinya. Proses Risk treatment sendiri umumnya melibatkan pemilihan dan pelaksanaan satu atau lebih tindakan pengendalian risiko atau penyempurnaan terhadap kontrol yang ada. Pemilihan alternatif pengendalian risiko harus dilakukan dengan menggunakan model hirarki kontrol.

Seperti yang kita ketahui bahwa sebelum sampai pada langkah penanganan risiko diperlukan proses risk assessment atau Penilaian Risiko terlebih dahulu. Berdasarkan hasil risk assessment, kita dapat mengetahui sejauh mana tingkat penerimaan terhadap sebuah risiko. Apabila risiko dinilai sebagai “Risiko yang tidak dapat diterima” oleh organisasi, maka selanjutnya diperlukan langkah “treatment” untuk mengurangi risiko.

Baca juga: Efektifitas Perlindungan Data dengan ISO 27001

Risk Treatment pada ISO 27001

Risk assessment dinilai sebagai bagian tersulit dalam penerapan ISO 27001 karena prosesnya cukup rumit. Namun, risk treatment adalah salah satu bagian penting yang dinilai sangat strategis dan berdampak besar bagi organisasi. Tujuan risk treatment sederhana, yaitu untuk mengendalikan risiko yang teridentifikasi selama penilaian risiko. Proses ini membantu dalam mengurangi risiko dengan mengurangi kemungkinan terjadinya insiden atau langkah pencegahan, dan/atau mengurangi dampak terhadap asset. Selama proses penanganan risiko, organisasi harus berfokus pada risiko-risiko yang tidak dapat diterimanya. Sehingga organisasi lebih mudah menentukan prioritas dan membiayai mitigasi seluruh risiko yang teridentifikasi.

Ketika organisasi telah memiliki daftar risiko yang tidak dapat diterima dari proses risk assessment, maka organisasi perlu melihat dan menentukan langkah penanganan (treatment) yang akan diberikan pada setiap risiko yang teridentifikasi. Umumnya dalam proses ini berlaku 4 pilihan, yaitu:

    1. Mengurangi risiko
      Opsi ini adalah yang paling umum dan mencakup penerapan pengamanan (pengendalian). Misalnya dengan menerapkan pencadangan, maka akan mengurangi risiko kehilangan data.
    1. Menghindari risiko
      Berhenti melakukan tugas atau proses yang dapat menimbulkan risiko terlalu tinggi untuk dimitigasi dengan opsi lainnya. Misalnya dengan menerapkan larangan penggunaan laptop di luar kantor karena risiko akses tidak sah yang terlalu tinggi, risiko peretasan atau sejenisnya yang dapat berpengaruh terhadap seluruh infrastruktur TI yang digunakan.
    1. Pembagian risiko
      Langkah ini berarti Anda mengalihkan risiko ke pihak lain. Misalnya dengan membeli polis asuransi untuk server fisik terhadap kebakaran, artinya Anda mentransfer sebagian risiko finansial ke perusahaan asuransi. Namun, pilihan ini tidak berpengaruh terhadap kejadian itu sendiri, sehingga strategi terbaik adalah menggunakan pilihan ini bersamaan dengan pilihan 1) atau 2).
    1. Menerima risiko
      Pilihan ini yang paling tidak diinginkan, artinya organisasi menerima risiko tanpa melakukan apa pun untuk mengatasinya. Opsi ini sebaiknya digunakan hanya jika biaya mitigasi lebih tinggi daripada kerusakan yang ditimbulkan akibat insiden.

Baca juga: Mengenal Annex-A ISO 27001 Information Security Control Reference

Langkah-langkah Penanganan Risiko berdasarkan ISO 27001

Berikut adalah 6 langkah risk treatment berdasarkan ISO 27001.

    1. Memilih alternatif penanganan risiko keamanan informasi yang sesuai dengan mempertimbangkan hasil penilaian risiko;
    2. Menentukan kontrol yang diperlukan untuk menerapkan penanganan risiko keamanan informasi sesuai kebutuhan organisasi;
    3. Membandingkan pengendalian yang ditentukan dalam poin 2 dengan pengendalian dalam Annex A, kemudian memverifikasi bahwa tidak ada pengendalian yang diperlukan telah dihilangkan;
    4. Membuat Statement of Applicability yang memuat:
    • Kontrol yang diperlukan pada poin 2 dan 3;
    • Justifikasi penyertaan sebuah kotrol keamanan informasi.
    • Apakah kontrol tertentu perlu diterapkan atau tidak.
    • Justifikasi untuk mengecualikan kontrol Annex A.
    1. Merumuskan rencana penanganan risiko keamanan informasi;
    2. Mendapatkan persetujuan pemilik risiko atas rencana perlakuan risiko keamanan informasi dan penerimaan risiko keamanan informasi.

Organisasi harus menyimpan informasi terdokumentasi tentang proses risk treatment atau penanganan risiko keamanan informasi. Dengan mengimplementasikan Sistem Manajemen Keamanan Informasi berbasis ISO 27001 menunjukkan bahwa perusahaan telah memiliki dan menetapkan standard keamanan yang jelas dalam mengelola risiko informasinya, khususnya dalam penanganan risiko.

Baca juga: Proses Risk Assessment ISO 27001

risk assessment iso 27001

Proses penilaian risiko dan penanganan risiko ISO 27001

Baca juga:  Tujuan ISO 27001 dan kaitannya dengan Pengamanan Aset Informasi Perusahaan

Terra Solusi kebutuhan perusahaan Anda
Dapatkan konsultasi ISO dengan penawaran terbaik

Untuk penjelasan lebih lanjut, segera hubungi kami!

Ayu

ISO 27001

FacebookTwitterPinterestLinkedinWhatsappShortlink

Related Posts

Comments are disabled.