Risiko keamanan informasi merupakan ancaman yang terkait dengan informasi yang disimpan, diolah dan dipertukarkan oleh organisasi atau individu. Penilaian Risiko atau analisa Risiko adalah bagian paling rumit dari implementasi ataupun sertifikasi ISO 27001. Tetapi pada saat yang sama penilaian risiko dan penanganannya adalah langkah paling penting pada awal proyek keamanan informasi perusahaan. Dalam hal ini Perusahaan harus menetapkan dasar-dasar keamanan informasi yang akan diterapkan di perusahaan.
Baca juga: Latar Belakang Pentingnya Pengelolaan Keamanan Informasi
6 Langkah Penilaian Risiko Keamanan Informasi
Berikut adalah 6 langkah dasar yang perlu dilakukan dalam penilaian risiko.
- Metodologi penilaian risiko
Perusahaan perlu menentukan aturan tentang bagaimana ia akan melakukan manajemen risiko. Perusahaan tentunya ingin seluruh organisasi untuk melakukannya dengan cara yang sama. Masalah yang besar dengan penilaian risiko jika bagian yang berbeda dari organisasi melakukan penilaian risiko dengan cara yang berbeda. Oleh karena itu, perusahaan perlu menentukan:
- Apakah ingin melakukan penilaian kualitatif atau kuantitatif dalam hal penilaian risiko?
- Dalam skala apa perusahaan menggunakan penilaian kualitatif?
- Apa yang akan menjadi tingkat risiko yang dapat diterima?
- Pelaksanaan penilaian risiko
Setelah melakukan metodologi penilaian risiko dan menetapkan aturan, maka perusahaan perlu melakukan identifikasi terhadap potensi masalah yang bisa terjadi. Dalam hal ini perusahaan dapat melakukannya dengan membuat daftar semua aset perusahaan, identifikasi ancaman dan kerentanan yang berkaitan dengan aset tersebut, lakukan penilaian terhadap dampak dan kemungkinan untuk setiap kombinasi dari aset/ancaman/kerentanan dan hitunglah tingkat risiko.
- Pelaksanaan penanganan risiko
Tentu tidak semua risiko bernilai sama, sehingga perusahaan harus fokus pada risiko yang paling penting. Umumnya dikenal dengan “risiko yang tidak dapat diterima”. Terdapat 4 pilihan penanganan risiko jenis ini, yaitu:
- Terapkan kontrol keamanan dari Lampiran A ISO 27001.
- Transfer risiko ke pihak lain – misalnya kepada perusahaan asuransi dengan membeli polis asuransi.
- Hindari risiko dengan menghentikan kegiatan yang terlalu berisiko, atau dengan cara yang berbeda.
- Menerima risiko, hal ini dapat menjadi alternatif jika misalnya biaya mengurangi risiko lebih tinggi dibandingkan kerusakan yang ditimbulkannya.
- Menyusun laporan penilaian risiko
Perusahaan perlu mendokumentasikan segala sesuatu yang telah dilakukan dalam penilaian risiko. Hal ini berguna untuk perusahaan agar dapat melakukan pemantauan terhadap hasilnya selama beberapa tahun kedepan. Dokumen ini juga penting karena umumnya pada saat perusahaan melaksanakan audit sertifikasi, auditor yang bertugas akan menggunakannya sebagai pedoman utama untuk audit.
- Dokumen pernyataan pemberlakuan
Dokumen ini benar-benar menunjukkan bagaimana sistem keamanan di perusahaan. Hal ini dilihat berdasarkan hasil perlakuan risiko, dimana perusahaan perlu membuat daftar kontrol apa saja yang telah diterapkan, mengapa perusahaan menerapkannya dan bagaimana penerapannya.
- Rencana perawatan risiko
Rencana perawatan risiko bertujuan untuk mendefinisikan dengan tepat siapa yang akan melaksanakan setiap kontrol, di mana, jangka waktu, anggaran, dan detail lain yang dibutuhkan. Setelah dokumen berhasil disusun, selanjutnya manajemen harus menyatakan persetujuannya. Hal ini karena proses ini akan memakan waktu, usaha, dan uang untuk melaksanakan semua kontrol yang telah direncanakan. Tanpa adanya komitmen, perusahaan tidak akan bisa menjalankannya.
