Sebelumnya kita telah membahas mengenai daftar informasi terdokumentasi apa saja yang dipersyaratkan jika kita akan menerapkan sistem manajemen keamanan informasi ISO 27001
Daftar Dokumen Persyaratan ISO 27001:2013
Selanjutnya kita akan fokus untuk membahas persyaratan manajemen risiko pada ISO 27001 yang tercantum di dalam klausul 6, yaitu perencanaan tindakan untuk mengatasi risiko dan peluang.
Terdapat keunikan tersendiri dalam menyusun dan mengimplementasikan manajemen risiko pada ISO 27001 karena pendekatannya yang berbeda dengan standar HLS lainnya, seperti ISO 9001, 14001, 22000, dst.
Pendekatan yang digunakan oleh ISO 27001 dalam pengelolaan risiko adalah pendekatan aset (asset approach/ asset-based risk management) alih-alih melalui pendekatan proses (process approach/ process-based risk management).
Definisi aset yang dimaksud oleh ISO 27001 adalah segala sesuatu yang memiliki nilai bagi perusahaan, dapat berupa barang fisik, perangkat keras (hardware), perangkat lunak (software), informasi, orang/ personel/ karyawan, reputasi, dll.
Manajemen risiko melalui pendekatan aset secara umum mencakup:
A. Penyusunan Daftar Aset (Asset Register/ Asset Inventory)
Masing-masing bagian di dalam perusahaan menyusun daftar aset yang ada di bagiannya. Seperti yang telah disampaikan pada paragraf sebelumnya, definisi aset yang dimaksud di sini adalah segala sesuatu yang bernilai bagi perusahaan. Maka dalam menyusun daftar aset harus rinci dan mencakup seluruh aset informasi dan aset pengelolaan informasi.
B. Penentuan Dampak Kegagalan Fungsional (Failure Consequences)
Penentuan dampak kegagalan fungsional suatu aset terhadap informasi yang terkandung dalam aset itu sendiri dan informasi yang terkandung dalam aset lain. Dalam menentukan dampak kegagalan fungsional, kita dapat membaginya menjadi 5 tingkat, yaitu:
- Insignifikan, yaitu kegagalan aset menyebabkan kerusakan minimal pada aset dan/atau informasi yang terkandung dalam aset itu sendiri; atau kegagalan aset tidak berpengaruh pada aset lainnya.
- Minor, yaitu kegagalan aset menyebabkan kerusakan minimal pada aset dan/atau informasi yang terkandung dalam aset itu sendiri; kegagalan aset menyebabkan kerusakan minimal pada aset lain; dan aset cadangan tersedia dalam waktu kurang dari 5 jam.
- Moderat, yaitu kegagalan aset menyebabkan kerusakan besar pada aset dan/atau informasi yang terkandung dalam aset itu sendiri; kegagalan aset menyebabkan kerusakan pada aset lain; dan aset cadangan tersedia dalam waktu kurang dari satu hari.
- Major, yaitu kegagalan aset menyebabkan kerusakan aset; kegagalan aset menyebabkan kerusakan besar pada aset lain; dan aset cadangan tersedia lebih dari satu hari.
- Ekstrim, yaitu kegagalan aset menyebabkan kerusakan aset; kegagalan aset menyebabkan rusaknya aset lainnya; dan aset cadangan tidak tersedia.
C. Penentuan Peringkat Ketergantungan (Reliability Rank)
Penentuan peringkat ketergantungan keamanan informasi terhadap suatu aset. yaitu:
- Peringkat 1 (<1%), yaitu keamanan informasi tidak tergantung pada aset tersebut.
- Peringkat 2 (1 – 10%), yaitu keamanan informasi tidak terlalu bergantung pada aset tersebut.
- Peringkat 3 (10 – 50%), yaitu keamanan informasi bergantung pada aset tersebut, tetapi masih dapat digantikan oleh aset lain.
- Peringkat 4 (50-90%), yaitu keamanan informasi sangat tergantung pada aset tersebut.
- Peringkat 5 (>90%), yaitu aspek keamanan informasi hanya dapat dipenuhi jika aset tersebut tersedia.
D. Penentuan Peringkat Kekritisan (Criticality Rank)
Hasil kali antara failure consequences dan reliability rank akan membentuk suatu matriks peringkat kekritisan (criticality rank) suatu aset informasi. Hasil dari peringkat kekritisan adalah daftar aset yang telah berurutan dari tingkat yang paling kritis sampai tingkat yang paling insignifikan terhadap keamanan informasi.
E. Pelaksanaan Analisis Risiko dan Kerentanan Keamanan Informasi Suatu Aset
Sesuai dengan peringkat kekritisan suatu aset informasi, langkah selanjutnya adalah pelaksanaan analisa risiko suatu aset, dengan mengidentifikasi aspek-aspek berikut:
- Nama aset,
- Pemilik aset,
- Ancaman risiko,
- Kerentanan aset,
- Dampak risiko,
- Penilaian risiko sebelum dilakukannya tindakan pengendalian risiko (Risk Control Measure) dengan menggunakan matriks risiko yang memperhitungkan tingkat kemungkinan terjadi dan dampak yang ditimbulkan oleh suatu risiko,
- Penentuan tindakan pengendalian risiko dan metode verifikasinya, dan
- Penilaian risiko residual setelah diterapkannya tindakan pengendalian risiko.
F. Peningkatan berkelanjutan
Tindakan pengendalian risiko harus selalu dievaluasi secara berkala untuk menentukan evektifitasnya. Jika pengendalian yang ada dirasa kurang, maka perusahaan dapat mengganti atau memodifikasi tindakan pengendalian yang ada dengan tindakan yang lebih efektif.
Pelaksanaan proses A hingga F di atas dapat menggunakan format dan template masing-masing perusahaan. Apabila Anda belum memiliki format atau template untuk melakukan proses A hingga F di atas, Anda dapat meminta bantuan konsultan ISO 27001:2013 agar proses manajemen risiko di perusahaan Anda dapat dijalankan secara optimal.
Credit to:
Abdul Qahar Musachir
ISO Consultant
Multiple Training & Consulting – PT Mutu Tunas Cipta
