6 Tahapan Penilaian Risiko Keamanan Informasi

Dalam implementasi ISO 27001 salah satu langkah yang paling penting adalah melakukan penilaian risiko. Penilaian risiko ini wajib dilakukan pada tahap awal implementasi ISO 27001 karena dalam prosesnya organisasi dapat menetapkan dasar-dasar keamanan informasi, mengetahui sejumlah kerentanan yang terdapat dalam sistem keamanan dan membuat strategi dan mitigasi yang tepat untuk memperbaiki kerentanan yang ditemukan.

Pengertian Penilaian Risiko

Penilaian risiko adalah langkah yang diperlukan oleh organisasi dan menjadi bagian yang tak terpisahkan dari proses manajemen risiko dalam mengambil keputusan terkait risiko. Proses ini melibatkan tahap identifikasi risiko, analisis risiko, dan evaluasi risiko. Tujuan penilaian risiko adalah untuk menetapkan kemungkinan terjadinya dan dampak suatu kejadian yang menghambat pencapaian tujuan atau sasaran organisasi, sehingga dapat dilakukan penanganan risiko yang tepat. Tujuan ini dapat dicapai melalui identifikasi risiko dan analisis risiko.

Penilaian risiko ISO 27001 membantu organisasi dalam mengidentifikasi dan menganalisis risiko-risiko yang merugikan, seperti serangan siber. Dengan melakukan penilaian risiko, organisasi dapat dengan cepat mengetahui kerentanan apa saja yang ada dalam sistem keamanan informasi yang dapat dimanfaatkan oleh peretas. Selain itu, organisasi dapat segera mengambil langkah-langkah mitigasi yang sesuai untuk memperbaiki kerentanan yang teridentifikasi.

Baca juga : Cara Meningkatkan Keamanan Informasi dengan ISO 27001

6 Tahapan Penilaian Risiko Keamanan Informasi

Langkah-langkah penilaian risiko keamanan informasi meliputi: 

1. Metodologi penilaian risiko

Langkah pertama dalam penilaian risiko adalah melakukan metodologi penilaian. Metode ini dapat dilakukan dengan penilaian kualitatif atau kuantitatif dalam hal penilaian risiko.

2. Pelaksanaan penilaian risiko

Pelaksanaan penilaian risiko dilakukan dengan menetapkan aturan dan melihat potensi masalah yang mungkin akan terjadi, buat daftar aset, identifikasi ancaman dan kerentanan.

3. Pelaksanaan penanganan risiko

Dalam penanganan risiko terdapat 4 pilihan yang tidak dapat diterima, yaitu: 

• Terapkan kontrol keamanan dari Lampiran A ISO 27001.
• Transfer risiko ke pihak lain – misalnya kepada perusahaan asuransi dengan membeli polis asuransi.
• Mengurangi risiko dengan menghentikan kegiatan yang berisiko tinggi atau menggunakan pendekatan yang berbeda secara menyeluruh.
• Menerima risiko berdasarkan pertimbangan terntu, misalnya jika biaya untuk mengurangi risiko lebih tinggi dibandingkan kerusakan yang ditimbulkan.

4. Membuat laporan penilaian risiko

Membuat laporan penilaian bisa dilakukan dengan cara mendokumentasikan setiap langkah yang dilakukan. Hal ini bertujuan untuk menciptakan aset informasi yang berguna dalam jangka waktu yang panjang.

5. Membuat dokumen pernyataan pemberlakuan

Organisasi harus menyusun daftar kontrol yang telah diterapkan, serta alasan mengapa kontrol-kontrol tersebut diterapkan dan proses penerapannya.

6. Merencanakan perawatan risiko

Langkah ini merupakan langkah terakhir dalam melakukan penilaian risiko. Tujuan dari rencana perawatan risiko adalah untuk mendefinisikan dengan tepat siapa yang akan melaksanakan setiap kontrol, dimana, berapa lama jangka waktu yang dibutuhkan dan berapa besar anggaran yang diperlukan.

Baca juga : 5 Perusahaan yang Wajib Menerapkan ISO 27001