ISO 27005 - INDO

8 Penilaian risiko keamanan informasi

81 Gambaran umum penilaian risiko keamanan informasi

Kegiatan Penilaian risiko CATATAN disebut sebagai proses dalam ISO IEC 27001

Input Kriteria Dasar ruang lingkup dan batas-batas dan organisasi untuk risiko keamanan informasi proses manajemen yang didirikan

Tindakan Risiko harus diidentifikasi diukur atau dijelaskan secara kualitatif dan diprioritaskan terhadap evaluasi risiko kriteria dan tujuan yang relevan dengan organisasi

Pelaksanaan bimbingan

Risiko adalah kombinasi dari konsekuensi yang akan mengikuti dari terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya peristiwa tersebut Penilaian risiko mengkuantifikasi atau kualitatif menggambarkan risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan mereka dirasakan atau kriteria yang telah ditetapkan lainnya

Penilaian risiko terdiri dari kegiatan sebagai berikut

a) Analisis risiko 1048707 (Klausul 82) yang terdiri dari - Identifikasi risiko (Klausul 821) - Estimasi Risiko (Klausul 822)

b) Evaluasi Risiko 1048707 (Klausul 83)

Penilaian risiko menentukan nilai aset informasi mengidentifikasi ancaman-ancaman yang berlaku dan kerentanan yang ada (atau bisa ada) mengidentifikasi kontrol yang ada dan efeknya pada risiko yang diidentifikasi menentukan konsekuensi potensial dan akhirnya memprioritaskan risiko diturunkan dan peringkat mereka terhadap risiko kriteria evaluasi yang ditetapkan dalam pembentukan konteks

Penilaian risiko sering dilakukan dalam dua (atau lebih) iterasi Pertama penilaian tingkat tinggi dilakukan untuk mengidentifikasi risiko yang berpotensi tinggi yang menjamin penilaian lebih lanjut Iterasi berikutnya dapat melibatkan lebih mendalam pertimbangan risiko yang berpotensi tinggi terungkap dalam iterasi awal Dimana ini menyediakan cukup informasi untuk menilai risiko maka analisis rinci lebih lanjut dilakukan mungkin pada bagian-bagian dari total ruang lingkup dan mungkin menggunakan metode yang berbeda

Terserah kepada organisasi untuk memilih pendekatan sendiri untuk penilaian risiko berdasarkan tujuan dan tujuan dari penilaian risiko

Pembahasan pendekatan penilaian risiko keamanan informasi dapat ditemukan dalam Lampiran E

Output Sebuah daftar risiko dinilai diprioritaskan sesuai dengan kriteria evaluasi resiko

82 Analisis Risiko

821 Identifikasi risiko

8211 Pengantar risiko identifikasi

Tujuan dari identifikasi risiko adalah untuk menentukan apa yang bisa terjadi menyebabkan potensi kerugian dan untuk mendapatkan

wawasan tentang bagaimana di mana dan mengapa kerugian yang mungkin terjadi Langkah-langkah yang dijelaskan dalam subpasal berikut

821 harus mengumpulkan data masukan untuk kegiatan estimasi risiko

CATATAN Kegiatan yang dijelaskan dalam klausa berikutnya dapat dilakukan dalam urutan yang berbeda tergantung pada Metodologi yang diterapkan

8212 Identifikasi aset

Input Ruang Lingkup dan batas-batas untuk penilaian risiko yang akan dilakukan daftar konstituen dengan pemilik lokasi fungsi dll

Tindakan Aset dalam lingkup yang ditetapkan harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Klausul 421 d ) 1 ) )


Aset adalah segala sesuatu yang memiliki nilai untuk organisasi dan yang karena itu memerlukan perlindungan Untuk identifikasi aset itu harus diingat bahwa sistem informasi terdiri dari lebih dari hardware dan perangkat lunak

Identifikasi aset harus dilakukan pada tingkat yang sesuai detail yang memberikan informasi yang cukup untuk penilaian risiko Tingkat detail yang digunakan pada identifikasi aset akan mempengaruhi jumlah keseluruhan informasi yang dikumpulkan selama penilaian risiko Tingkat dapat disempurnakan dalam iterasi lebih lanjut dari risiko penilaian

Seorang pemilik aset harus diidentifikasi untuk setiap aset untuk memberikan tanggung jawab dan akuntabilitas untuk aset tersebut Pemilik aset mungkin tidak memiliki hak milik atas aset tetapi memiliki tanggung jawab untuk produksi pengembangan pemeliharaan penggunaan dan keamanan yang sesuai Pemilik aset seringkali yang paling cocok orang untuk menentukan nilai aset terhadap organisasi (lihat 8222 untuk penilaian aset )

Tinjauan batas adalah perimeter aset organisasi didefinisikan dikelola oleh informasi proses manajemen risiko keamanan Informasi lebih lanjut tentang identifikasi dan penilaian aset sebagai terkait dengan keamanan informasi dapat ditemukan dalam Lampiran B

Output Sebuah daftar aset yang akan risiko - dikelola dan daftar proses bisnis yang terkait dengan aset dan mereka relevansi

8213 Identifikasi ancaman

Input Informasi tentang ancaman yang diperoleh dari insiden meninjau pemilik aset pengguna dan sumber-sumber lain termasuk katalog ancaman eksternal

Tindakan Ancaman dan sumber mereka harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Pasal 421 d ) 2 ) )


Ancaman memiliki potensi untuk membahayakan aset seperti informasi proses dan sistem dan oleh karena itu organisasi Ancaman mungkin alam atau manusia asal dan bisa kebetulan atau disengaja Kedua sumber ancaman disengaja dan disengaja harus diidentifikasi Ancaman mungkin timbul dari dalam maupun dari luar organisasi Ancaman harus diidentifikasi secara umum dan menurut jenis ( misalnya tindakan yang tidak sah fisik kerusakan kegagalan teknis ) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik diidentifikasi

Ini berarti tidak ada ancaman yang terlupakan termasuk tak terduga tetapi volume pekerjaan yang diperlukan terbatas Beberapa ancaman dapat mempengaruhi lebih dari satu aset Dalam kasus seperti itu mereka dapat menyebabkan dampak yang berbeda tergantung padadimana aset yang terpengaruh

Masukan untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya (lihat 8223 ) dapat diperoleh dari pemilik aset atau pengguna dari staf sumber daya manusia dari manajemen fasilitas dan informasi spesialis keamanan para ahli keamanan fisik departemen hukum dan organisasi lain termasuk badan hukum otoritas cuaca perusahaan asuransi dan pemerintah nasional Aspek lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman

Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus dipertimbangkan dalam arus penilaian Mungkin ada baiknya untuk berkonsultasi katalog ancaman lain (mungkin spesifik untuk suatu organisasi atau bisnis) untuk melengkapi daftar ancaman generik jika relevan Katalog ancaman dan statistik yang tersedia dari badan-badan industri pemerintah nasional badan hukum perusahaan asuransi dan lain-lain

Bila menggunakan katalog ancaman atau hasil penilaian ancaman sebelumnya salah satu harus menyadari bahwa ada perubahan terus-menerus dari ancaman yang relevan terutama jika lingkungan bisnis atau sistem informasi berubah

Informasi lebih lanjut tentang jenis ancaman dapat ditemukan dalam Lampiran C

Output Sebuah daftar ancaman dengan identifikasi jenis ancaman dan sumber

8214 Identifikasi kontrol yang ada

Input Dokumentasi kontrol rencana implementasi penanganan resiko

Tindakan kontrol yang ada dan direncanakan harus diidentifikasi


Identifikasi kontrol yang ada harus dilakukan untuk menghindari yang tidak perlu kerja atau biaya misalnya dalam duplikasi kontrol Selain itu sementara mengidentifikasi kontrol yang ada cek harus dilakukan untuk memastikan bahwa kontrol bekerja dengan benar - referensi untuk sudah ada laporan audit ISMS harus membatasi waktu yang dihabiskan di tugas ini Jika kontrol tidak bekerja seperti yang diharapkan hal ini dapat menyebabkan kerentanan Pertimbangan harus diberikan pada situasi di mana kontrol yang dipilih ( atau strategi ) gagal dalam operasi dan karenanya kontrol pelengkap diperlukan untuk mengatasi risiko yang diidentifikasi secara efektif Dalam ISMS sesuai dengan ISO IEC 27001 ini didukung oleh pengukuran efektivitas pengendalian Sebuah cara untuk memperkirakan dampak dari kontrol adalah untuk melihat bagaimana mengurangi kemungkinan ancaman dan kemudahan mengeksploitasi kerentanan atau dampak dari insiden tersebut

Tinjauan manajemen dan laporan audit juga memberikan informasi tentang efektivitas pengendalian yang ada

Kontrol yang direncanakan akan dilaksanakan sesuai dengan rencana implementasi penanganan resiko harus dipertimbangkan dalam cara yang sama seperti yang sudah dilaksanakan

Kontrol yang ada atau direncanakan dapat diidentifikasi sebagai tidak efektif atau tidak cukup atau tidak dibenarkan Jika tidak dibenarkan atau tidak cukup kontrol harus diperiksa untuk menentukan apakah itu harus dihapus diganti dengan lain kontrol yang lebih cocok atau apakah harus tinggal di tempat misalnya untuk alasan biaya

Untuk identifikasi kontrol yang ada atau direncanakan kegiatan berikut dapat membantu

Dokumen Reviewing 1048707 berisi informasi tentang kontrol ( misalnya perlakuan resiko rencana implementasi ) Jika proses manajemen keamanan informasi yang didokumentasikan dengan baik semua ada atau kontrol direncanakan dan status pelaksanaannya harus tersedia

1048707 Memeriksa dengan orang-orang yang bertanggung jawab untuk keamanan informasi ( misalnya petugas keamanan informasi dan petugas keamanan sistem informasi manajer bangunan atau manajer operasi ) dan pengguna sebagai mana kontrol benar-benar dilaksanakan untuk proses informasi atau sistem informasi yang sedang dipertimbangkan

1048707 Melakukan review on-site kontrol fisik membandingkan mereka diimplementasikan dengan daftar apa kontrol harus ada dan memeriksa mereka diimplementasikan sebagai apakah mereka bekerja dengan benar dan efektif atau Hasil Reviewing 1048707 audit internal

Output Daftar semua kontrol yang ada dan yang direncanakan pelaksanaannya dan status penggunaan

8215 Identifikasi kerentanan

Input Sebuah daftar ancaman diketahui daftar aset dan kontrol yang ada

Tindakan Kerentanan yang dapat dimanfaatkan oleh ancaman untuk menyebabkan kerusakan pada aset atau organisasi tersebut diidentifikasi (berkaitan dengan ISO IEC 27001 Pasal 421 d) 3))


Kerentanan dapat diidentifikasi dalam bidang-bidang berikut

Organisasi Proses dan prosedur rutinitas Manajemen Personil Lingkungan fisik Konfigurasi sistem Informasi Hardware perangkat lunak atau peralatan komunikasi Ketergantungan pada pihak eksternal

Kehadiran kerentanan tidak menyebabkan kerusakan dalam dirinya sendiri karena perlu ada ancaman hadir untuk memanfaatkannya Sebuah kerentanan yang tidak memiliki ancaman yang sesuai mungkin tidak memerlukan pelaksanaan kontrol tetapi harus diakui dan dimonitor untuk perubahan Perlu dicatat bahwa salah menerapkan atau rusak control atau kontrol yang digunakan secara tidak benar bisa sendiri menjadi kerentanan Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi Sebaliknya ancaman yang tidak memiliki sesuai kerentanan mungkin tidak mengakibatkan risiko

Kerentanan dapat dikaitkan dengan sifat dari aset yang dapat digunakan dengan cara atau untuk suatu tujuan selain yang dimaksudkan ketika aset tersebut dibeli atau dibuat Kerentanan yang timbul dari sumber yang berbeda harus dipertimbangkan misalnya yang intrinsik atau ekstrinsik untuk aset

Contoh kerentanan dan metode untuk penilaian kerentanan dapat ditemukan di Lampiran D

Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa

8216 Identifikasi konsekuensi

Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya

Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )


Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll

Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset

CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan

Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)

Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill

Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak

Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis

822 estimasi Risiko

8221 metodologi estimasi Risiko

Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif

Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks

Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan

a) estimasi kualitatif

Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala

Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan

Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci

Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia

b) estimasi kuantitatif

Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi

kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko

Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif

8222 Penilaian konsekuensi

Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis

Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )

Pelaksanaan Bimbingan

Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah

nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan

konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset

Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya

Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu

Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi

Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif

Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B

Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria

8223 Penilaian insiden kemungkinan

Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan

Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )


Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat

Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan

untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang

sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal

kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan

Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas

Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi

Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )

8224 Tingkat estimasi risiko

Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )

Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )


Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya

Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E

Output Sebuah daftar risiko dengan tingkat nilai yang diberikan

83 Evaluasi Risiko

Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko

Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )


Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks

Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai

Pertimbangan harus mencakup

Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan

1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting

Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup

Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko

Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi

Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut

9 Informasi penanganan resiko keamanan

91 Gambaran umum perlakuan resiko

Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut

Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan


Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )

CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko

Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1

Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini

Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan

Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin

perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)

substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual

Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran

Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya

Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan

Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak

Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko

Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03

Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer

92 Pengurangan Risiko

Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima


Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi

Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada

Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan

Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan

Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada

Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F

93 retensi Risiko

Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko

CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama


Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan

94 Penghindaran risiko

Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari


Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali

95 Transfer risiko

Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko


Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan

Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan

Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi

10 Informasi penerimaan resiko keamanan

Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi

Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )


Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan

Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal

Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu

menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal

Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan

11 Informasi komunikasi risiko keamanan

Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )

Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan


Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko

Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional

Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani

Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut

Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran

keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi

konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang

risiko Untuk meningkatkan kesadaran

Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus

Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat

Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu

Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil

12 Informasi pemantauan resiko keamanan dan review

121 Pemantauan dan meninjau faktor risiko


Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap


Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan

Organisasi harus memastikan bahwa berikut ini terus dimonitor

aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan

ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru

atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di

agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707

Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9

Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala

Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )

Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan

122 pemantauan manajemen risiko meninjau dan meningkatkan


Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir

ditingkatkan sesuai kebutuhan dan tepat


Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan

Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon

Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )

1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan

Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai

Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada

Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan

bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit

bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)

Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses


Risiko adalah kombinasi dari konsekuensi yang akan mengikuti dari terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya peristiwa tersebut Penilaian risiko mengkuantifikasi atau kualitatif menggambarkan risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan mereka dirasakan atau kriteria yang telah ditetapkan lainnya

Penilaian risiko terdiri dari kegiatan sebagai berikut

a) Analisis risiko 1048707 (Klausul 82) yang terdiri dari - Identifikasi risiko (Klausul 821) - Estimasi Risiko (Klausul 822)

b) Evaluasi Risiko 1048707 (Klausul 83)

Penilaian risiko menentukan nilai aset informasi mengidentifikasi ancaman-ancaman yang berlaku dan kerentanan yang ada (atau bisa ada) mengidentifikasi kontrol yang ada dan efeknya pada risiko yang diidentifikasi menentukan konsekuensi potensial dan akhirnya memprioritaskan risiko diturunkan dan peringkat mereka terhadap risiko kriteria evaluasi yang ditetapkan dalam pembentukan konteks

Penilaian risiko sering dilakukan dalam dua (atau lebih) iterasi Pertama penilaian tingkat tinggi dilakukan untuk mengidentifikasi risiko yang berpotensi tinggi yang menjamin penilaian lebih lanjut Iterasi berikutnya dapat melibatkan lebih mendalam pertimbangan risiko yang berpotensi tinggi terungkap dalam iterasi awal Dimana ini menyediakan cukup informasi untuk menilai risiko maka analisis rinci lebih lanjut dilakukan mungkin pada bagian-bagian dari total ruang lingkup dan mungkin menggunakan metode yang berbeda

Terserah kepada organisasi untuk memilih pendekatan sendiri untuk penilaian risiko berdasarkan tujuan dan tujuan dari penilaian risiko

Pembahasan pendekatan penilaian risiko keamanan informasi dapat ditemukan dalam Lampiran E

Output Sebuah daftar risiko dinilai diprioritaskan sesuai dengan kriteria evaluasi resiko

82 Analisis Risiko

821 Identifikasi risiko

8211 Pengantar risiko identifikasi



























































822 estimasi Risiko














































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko























































































































822 estimasi Risiko














































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko










































































































822 estimasi Risiko














































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko































































































822 estimasi Risiko














































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko




















































































822 estimasi Risiko














































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko









































































822 estimasi Risiko














































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko





























































822 estimasi Risiko














































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko































































































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko





















































































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko










































































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko





























































83 Evaluasi Risiko










































93 retensi Risiko









95 Transfer risiko




























































































93 retensi Risiko









95 Transfer risiko


















































































93 retensi Risiko









95 Transfer risiko















































































93 retensi Risiko









95 Transfer risiko







































































93 retensi Risiko









95 Transfer risiko































































93 retensi Risiko









95 Transfer risiko





























































95 Transfer risiko

































































































































































































Documents

ISO 27005 - INDO