Upload
izkawati-fauhidah
View
188
Download
9
Embed Size (px)
Citation preview
8 Penilaian risiko keamanan informasi
81 Gambaran umum penilaian risiko keamanan informasi
Kegiatan Penilaian risiko CATATAN disebut sebagai proses dalam ISO IEC 27001
Input Kriteria Dasar ruang lingkup dan batas-batas dan organisasi untuk risiko keamanan informasi proses manajemen yang didirikan
Tindakan Risiko harus diidentifikasi diukur atau dijelaskan secara kualitatif dan diprioritaskan terhadap evaluasi risiko kriteria dan tujuan yang relevan dengan organisasi
Pelaksanaan bimbingan
Risiko adalah kombinasi dari konsekuensi yang akan mengikuti dari terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya peristiwa tersebut Penilaian risiko mengkuantifikasi atau kualitatif menggambarkan risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan mereka dirasakan atau kriteria yang telah ditetapkan lainnya
Penilaian risiko terdiri dari kegiatan sebagai berikut
a) Analisis risiko 1048707 (Klausul 82) yang terdiri dari - Identifikasi risiko (Klausul 821) - Estimasi Risiko (Klausul 822)
b) Evaluasi Risiko 1048707 (Klausul 83)
Penilaian risiko menentukan nilai aset informasi mengidentifikasi ancaman-ancaman yang berlaku dan kerentanan yang ada (atau bisa ada) mengidentifikasi kontrol yang ada dan efeknya pada risiko yang diidentifikasi menentukan konsekuensi potensial dan akhirnya memprioritaskan risiko diturunkan dan peringkat mereka terhadap risiko kriteria evaluasi yang ditetapkan dalam pembentukan konteks
Penilaian risiko sering dilakukan dalam dua (atau lebih) iterasi Pertama penilaian tingkat tinggi dilakukan untuk mengidentifikasi risiko yang berpotensi tinggi yang menjamin penilaian lebih lanjut Iterasi berikutnya dapat melibatkan lebih mendalam pertimbangan risiko yang berpotensi tinggi terungkap dalam iterasi awal Dimana ini menyediakan cukup informasi untuk menilai risiko maka analisis rinci lebih lanjut dilakukan mungkin pada bagian-bagian dari total ruang lingkup dan mungkin menggunakan metode yang berbeda
Terserah kepada organisasi untuk memilih pendekatan sendiri untuk penilaian risiko berdasarkan tujuan dan tujuan dari penilaian risiko
Pembahasan pendekatan penilaian risiko keamanan informasi dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dinilai diprioritaskan sesuai dengan kriteria evaluasi resiko
82 Analisis Risiko
821 Identifikasi risiko
8211 Pengantar risiko identifikasi
Tujuan dari identifikasi risiko adalah untuk menentukan apa yang bisa terjadi menyebabkan potensi kerugian dan untuk mendapatkan
wawasan tentang bagaimana di mana dan mengapa kerugian yang mungkin terjadi Langkah-langkah yang dijelaskan dalam subpasal berikut
821 harus mengumpulkan data masukan untuk kegiatan estimasi risiko
CATATAN Kegiatan yang dijelaskan dalam klausa berikutnya dapat dilakukan dalam urutan yang berbeda tergantung pada Metodologi yang diterapkan
8212 Identifikasi aset
Input Ruang Lingkup dan batas-batas untuk penilaian risiko yang akan dilakukan daftar konstituen dengan pemilik lokasi fungsi dll
Tindakan Aset dalam lingkup yang ditetapkan harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Klausul 421 d ) 1 ) )
Pelaksanaan bimbingan
Aset adalah segala sesuatu yang memiliki nilai untuk organisasi dan yang karena itu memerlukan perlindungan Untuk identifikasi aset itu harus diingat bahwa sistem informasi terdiri dari lebih dari hardware dan perangkat lunak
Identifikasi aset harus dilakukan pada tingkat yang sesuai detail yang memberikan informasi yang cukup untuk penilaian risiko Tingkat detail yang digunakan pada identifikasi aset akan mempengaruhi jumlah keseluruhan informasi yang dikumpulkan selama penilaian risiko Tingkat dapat disempurnakan dalam iterasi lebih lanjut dari risiko penilaian
Seorang pemilik aset harus diidentifikasi untuk setiap aset untuk memberikan tanggung jawab dan akuntabilitas untuk aset tersebut Pemilik aset mungkin tidak memiliki hak milik atas aset tetapi memiliki tanggung jawab untuk produksi pengembangan pemeliharaan penggunaan dan keamanan yang sesuai Pemilik aset seringkali yang paling cocok orang untuk menentukan nilai aset terhadap organisasi (lihat 8222 untuk penilaian aset )
Tinjauan batas adalah perimeter aset organisasi didefinisikan dikelola oleh informasi proses manajemen risiko keamanan Informasi lebih lanjut tentang identifikasi dan penilaian aset sebagai terkait dengan keamanan informasi dapat ditemukan dalam Lampiran B
Output Sebuah daftar aset yang akan risiko - dikelola dan daftar proses bisnis yang terkait dengan aset dan mereka relevansi
8213 Identifikasi ancaman
Input Informasi tentang ancaman yang diperoleh dari insiden meninjau pemilik aset pengguna dan sumber-sumber lain termasuk katalog ancaman eksternal
Tindakan Ancaman dan sumber mereka harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Pasal 421 d ) 2 ) )
Pelaksanaan bimbingan
Ancaman memiliki potensi untuk membahayakan aset seperti informasi proses dan sistem dan oleh karena itu organisasi Ancaman mungkin alam atau manusia asal dan bisa kebetulan atau disengaja Kedua sumber ancaman disengaja dan disengaja harus diidentifikasi Ancaman mungkin timbul dari dalam maupun dari luar organisasi Ancaman harus diidentifikasi secara umum dan menurut jenis ( misalnya tindakan yang tidak sah fisik kerusakan kegagalan teknis ) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik diidentifikasi
Ini berarti tidak ada ancaman yang terlupakan termasuk tak terduga tetapi volume pekerjaan yang diperlukan terbatas Beberapa ancaman dapat mempengaruhi lebih dari satu aset Dalam kasus seperti itu mereka dapat menyebabkan dampak yang berbeda tergantung padadimana aset yang terpengaruh
Masukan untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya (lihat 8223 ) dapat diperoleh dari pemilik aset atau pengguna dari staf sumber daya manusia dari manajemen fasilitas dan informasi spesialis keamanan para ahli keamanan fisik departemen hukum dan organisasi lain termasuk badan hukum otoritas cuaca perusahaan asuransi dan pemerintah nasional Aspek lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman
Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus dipertimbangkan dalam arus penilaian Mungkin ada baiknya untuk berkonsultasi katalog ancaman lain (mungkin spesifik untuk suatu organisasi atau bisnis) untuk melengkapi daftar ancaman generik jika relevan Katalog ancaman dan statistik yang tersedia dari badan-badan industri pemerintah nasional badan hukum perusahaan asuransi dan lain-lain
Bila menggunakan katalog ancaman atau hasil penilaian ancaman sebelumnya salah satu harus menyadari bahwa ada perubahan terus-menerus dari ancaman yang relevan terutama jika lingkungan bisnis atau sistem informasi berubah
Informasi lebih lanjut tentang jenis ancaman dapat ditemukan dalam Lampiran C
Output Sebuah daftar ancaman dengan identifikasi jenis ancaman dan sumber
8214 Identifikasi kontrol yang ada
Input Dokumentasi kontrol rencana implementasi penanganan resiko
Tindakan kontrol yang ada dan direncanakan harus diidentifikasi
Pelaksanaan bimbingan
Identifikasi kontrol yang ada harus dilakukan untuk menghindari yang tidak perlu kerja atau biaya misalnya dalam duplikasi kontrol Selain itu sementara mengidentifikasi kontrol yang ada cek harus dilakukan untuk memastikan bahwa kontrol bekerja dengan benar - referensi untuk sudah ada laporan audit ISMS harus membatasi waktu yang dihabiskan di tugas ini Jika kontrol tidak bekerja seperti yang diharapkan hal ini dapat menyebabkan kerentanan Pertimbangan harus diberikan pada situasi di mana kontrol yang dipilih ( atau strategi ) gagal dalam operasi dan karenanya kontrol pelengkap diperlukan untuk mengatasi risiko yang diidentifikasi secara efektif Dalam ISMS sesuai dengan ISO IEC 27001 ini didukung oleh pengukuran efektivitas pengendalian Sebuah cara untuk memperkirakan dampak dari kontrol adalah untuk melihat bagaimana mengurangi kemungkinan ancaman dan kemudahan mengeksploitasi kerentanan atau dampak dari insiden tersebut
Tinjauan manajemen dan laporan audit juga memberikan informasi tentang efektivitas pengendalian yang ada
Kontrol yang direncanakan akan dilaksanakan sesuai dengan rencana implementasi penanganan resiko harus dipertimbangkan dalam cara yang sama seperti yang sudah dilaksanakan
Kontrol yang ada atau direncanakan dapat diidentifikasi sebagai tidak efektif atau tidak cukup atau tidak dibenarkan Jika tidak dibenarkan atau tidak cukup kontrol harus diperiksa untuk menentukan apakah itu harus dihapus diganti dengan lain kontrol yang lebih cocok atau apakah harus tinggal di tempat misalnya untuk alasan biaya
Untuk identifikasi kontrol yang ada atau direncanakan kegiatan berikut dapat membantu
Dokumen Reviewing 1048707 berisi informasi tentang kontrol ( misalnya perlakuan resiko rencana implementasi ) Jika proses manajemen keamanan informasi yang didokumentasikan dengan baik semua ada atau kontrol direncanakan dan status pelaksanaannya harus tersedia
1048707 Memeriksa dengan orang-orang yang bertanggung jawab untuk keamanan informasi ( misalnya petugas keamanan informasi dan petugas keamanan sistem informasi manajer bangunan atau manajer operasi ) dan pengguna sebagai mana kontrol benar-benar dilaksanakan untuk proses informasi atau sistem informasi yang sedang dipertimbangkan
1048707 Melakukan review on-site kontrol fisik membandingkan mereka diimplementasikan dengan daftar apa kontrol harus ada dan memeriksa mereka diimplementasikan sebagai apakah mereka bekerja dengan benar dan efektif atau Hasil Reviewing 1048707 audit internal
Output Daftar semua kontrol yang ada dan yang direncanakan pelaksanaannya dan status penggunaan
8215 Identifikasi kerentanan
Input Sebuah daftar ancaman diketahui daftar aset dan kontrol yang ada
Tindakan Kerentanan yang dapat dimanfaatkan oleh ancaman untuk menyebabkan kerusakan pada aset atau organisasi tersebut diidentifikasi (berkaitan dengan ISO IEC 27001 Pasal 421 d) 3))
Pelaksanaan bimbingan
Kerentanan dapat diidentifikasi dalam bidang-bidang berikut
Organisasi Proses dan prosedur rutinitas Manajemen Personil Lingkungan fisik Konfigurasi sistem Informasi Hardware perangkat lunak atau peralatan komunikasi Ketergantungan pada pihak eksternal
Kehadiran kerentanan tidak menyebabkan kerusakan dalam dirinya sendiri karena perlu ada ancaman hadir untuk memanfaatkannya Sebuah kerentanan yang tidak memiliki ancaman yang sesuai mungkin tidak memerlukan pelaksanaan kontrol tetapi harus diakui dan dimonitor untuk perubahan Perlu dicatat bahwa salah menerapkan atau rusak control atau kontrol yang digunakan secara tidak benar bisa sendiri menjadi kerentanan Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi Sebaliknya ancaman yang tidak memiliki sesuai kerentanan mungkin tidak mengakibatkan risiko
Kerentanan dapat dikaitkan dengan sifat dari aset yang dapat digunakan dengan cara atau untuk suatu tujuan selain yang dimaksudkan ketika aset tersebut dibeli atau dibuat Kerentanan yang timbul dari sumber yang berbeda harus dipertimbangkan misalnya yang intrinsik atau ekstrinsik untuk aset
Contoh kerentanan dan metode untuk penilaian kerentanan dapat ditemukan di Lampiran D
Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa
8216 Identifikasi konsekuensi
Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya
Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )
Pelaksanaan bimbingan
Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset
CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan
Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)
Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill
Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak
Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Pelaksanaan bimbingan
Risiko adalah kombinasi dari konsekuensi yang akan mengikuti dari terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya peristiwa tersebut Penilaian risiko mengkuantifikasi atau kualitatif menggambarkan risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan mereka dirasakan atau kriteria yang telah ditetapkan lainnya
Penilaian risiko terdiri dari kegiatan sebagai berikut
a) Analisis risiko 1048707 (Klausul 82) yang terdiri dari - Identifikasi risiko (Klausul 821) - Estimasi Risiko (Klausul 822)
b) Evaluasi Risiko 1048707 (Klausul 83)
Penilaian risiko menentukan nilai aset informasi mengidentifikasi ancaman-ancaman yang berlaku dan kerentanan yang ada (atau bisa ada) mengidentifikasi kontrol yang ada dan efeknya pada risiko yang diidentifikasi menentukan konsekuensi potensial dan akhirnya memprioritaskan risiko diturunkan dan peringkat mereka terhadap risiko kriteria evaluasi yang ditetapkan dalam pembentukan konteks
Penilaian risiko sering dilakukan dalam dua (atau lebih) iterasi Pertama penilaian tingkat tinggi dilakukan untuk mengidentifikasi risiko yang berpotensi tinggi yang menjamin penilaian lebih lanjut Iterasi berikutnya dapat melibatkan lebih mendalam pertimbangan risiko yang berpotensi tinggi terungkap dalam iterasi awal Dimana ini menyediakan cukup informasi untuk menilai risiko maka analisis rinci lebih lanjut dilakukan mungkin pada bagian-bagian dari total ruang lingkup dan mungkin menggunakan metode yang berbeda
Terserah kepada organisasi untuk memilih pendekatan sendiri untuk penilaian risiko berdasarkan tujuan dan tujuan dari penilaian risiko
Pembahasan pendekatan penilaian risiko keamanan informasi dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dinilai diprioritaskan sesuai dengan kriteria evaluasi resiko
82 Analisis Risiko
821 Identifikasi risiko
8211 Pengantar risiko identifikasi
Tujuan dari identifikasi risiko adalah untuk menentukan apa yang bisa terjadi menyebabkan potensi kerugian dan untuk mendapatkan
wawasan tentang bagaimana di mana dan mengapa kerugian yang mungkin terjadi Langkah-langkah yang dijelaskan dalam subpasal berikut
821 harus mengumpulkan data masukan untuk kegiatan estimasi risiko
CATATAN Kegiatan yang dijelaskan dalam klausa berikutnya dapat dilakukan dalam urutan yang berbeda tergantung pada Metodologi yang diterapkan
8212 Identifikasi aset
Input Ruang Lingkup dan batas-batas untuk penilaian risiko yang akan dilakukan daftar konstituen dengan pemilik lokasi fungsi dll
Tindakan Aset dalam lingkup yang ditetapkan harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Klausul 421 d ) 1 ) )
Pelaksanaan bimbingan
Aset adalah segala sesuatu yang memiliki nilai untuk organisasi dan yang karena itu memerlukan perlindungan Untuk identifikasi aset itu harus diingat bahwa sistem informasi terdiri dari lebih dari hardware dan perangkat lunak
Identifikasi aset harus dilakukan pada tingkat yang sesuai detail yang memberikan informasi yang cukup untuk penilaian risiko Tingkat detail yang digunakan pada identifikasi aset akan mempengaruhi jumlah keseluruhan informasi yang dikumpulkan selama penilaian risiko Tingkat dapat disempurnakan dalam iterasi lebih lanjut dari risiko penilaian
Seorang pemilik aset harus diidentifikasi untuk setiap aset untuk memberikan tanggung jawab dan akuntabilitas untuk aset tersebut Pemilik aset mungkin tidak memiliki hak milik atas aset tetapi memiliki tanggung jawab untuk produksi pengembangan pemeliharaan penggunaan dan keamanan yang sesuai Pemilik aset seringkali yang paling cocok orang untuk menentukan nilai aset terhadap organisasi (lihat 8222 untuk penilaian aset )
Tinjauan batas adalah perimeter aset organisasi didefinisikan dikelola oleh informasi proses manajemen risiko keamanan Informasi lebih lanjut tentang identifikasi dan penilaian aset sebagai terkait dengan keamanan informasi dapat ditemukan dalam Lampiran B
Output Sebuah daftar aset yang akan risiko - dikelola dan daftar proses bisnis yang terkait dengan aset dan mereka relevansi
8213 Identifikasi ancaman
Input Informasi tentang ancaman yang diperoleh dari insiden meninjau pemilik aset pengguna dan sumber-sumber lain termasuk katalog ancaman eksternal
Tindakan Ancaman dan sumber mereka harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Pasal 421 d ) 2 ) )
Pelaksanaan bimbingan
Ancaman memiliki potensi untuk membahayakan aset seperti informasi proses dan sistem dan oleh karena itu organisasi Ancaman mungkin alam atau manusia asal dan bisa kebetulan atau disengaja Kedua sumber ancaman disengaja dan disengaja harus diidentifikasi Ancaman mungkin timbul dari dalam maupun dari luar organisasi Ancaman harus diidentifikasi secara umum dan menurut jenis ( misalnya tindakan yang tidak sah fisik kerusakan kegagalan teknis ) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik diidentifikasi
Ini berarti tidak ada ancaman yang terlupakan termasuk tak terduga tetapi volume pekerjaan yang diperlukan terbatas Beberapa ancaman dapat mempengaruhi lebih dari satu aset Dalam kasus seperti itu mereka dapat menyebabkan dampak yang berbeda tergantung padadimana aset yang terpengaruh
Masukan untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya (lihat 8223 ) dapat diperoleh dari pemilik aset atau pengguna dari staf sumber daya manusia dari manajemen fasilitas dan informasi spesialis keamanan para ahli keamanan fisik departemen hukum dan organisasi lain termasuk badan hukum otoritas cuaca perusahaan asuransi dan pemerintah nasional Aspek lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman
Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus dipertimbangkan dalam arus penilaian Mungkin ada baiknya untuk berkonsultasi katalog ancaman lain (mungkin spesifik untuk suatu organisasi atau bisnis) untuk melengkapi daftar ancaman generik jika relevan Katalog ancaman dan statistik yang tersedia dari badan-badan industri pemerintah nasional badan hukum perusahaan asuransi dan lain-lain
Bila menggunakan katalog ancaman atau hasil penilaian ancaman sebelumnya salah satu harus menyadari bahwa ada perubahan terus-menerus dari ancaman yang relevan terutama jika lingkungan bisnis atau sistem informasi berubah
Informasi lebih lanjut tentang jenis ancaman dapat ditemukan dalam Lampiran C
Output Sebuah daftar ancaman dengan identifikasi jenis ancaman dan sumber
8214 Identifikasi kontrol yang ada
Input Dokumentasi kontrol rencana implementasi penanganan resiko
Tindakan kontrol yang ada dan direncanakan harus diidentifikasi
Pelaksanaan bimbingan
Identifikasi kontrol yang ada harus dilakukan untuk menghindari yang tidak perlu kerja atau biaya misalnya dalam duplikasi kontrol Selain itu sementara mengidentifikasi kontrol yang ada cek harus dilakukan untuk memastikan bahwa kontrol bekerja dengan benar - referensi untuk sudah ada laporan audit ISMS harus membatasi waktu yang dihabiskan di tugas ini Jika kontrol tidak bekerja seperti yang diharapkan hal ini dapat menyebabkan kerentanan Pertimbangan harus diberikan pada situasi di mana kontrol yang dipilih ( atau strategi ) gagal dalam operasi dan karenanya kontrol pelengkap diperlukan untuk mengatasi risiko yang diidentifikasi secara efektif Dalam ISMS sesuai dengan ISO IEC 27001 ini didukung oleh pengukuran efektivitas pengendalian Sebuah cara untuk memperkirakan dampak dari kontrol adalah untuk melihat bagaimana mengurangi kemungkinan ancaman dan kemudahan mengeksploitasi kerentanan atau dampak dari insiden tersebut
Tinjauan manajemen dan laporan audit juga memberikan informasi tentang efektivitas pengendalian yang ada
Kontrol yang direncanakan akan dilaksanakan sesuai dengan rencana implementasi penanganan resiko harus dipertimbangkan dalam cara yang sama seperti yang sudah dilaksanakan
Kontrol yang ada atau direncanakan dapat diidentifikasi sebagai tidak efektif atau tidak cukup atau tidak dibenarkan Jika tidak dibenarkan atau tidak cukup kontrol harus diperiksa untuk menentukan apakah itu harus dihapus diganti dengan lain kontrol yang lebih cocok atau apakah harus tinggal di tempat misalnya untuk alasan biaya
Untuk identifikasi kontrol yang ada atau direncanakan kegiatan berikut dapat membantu
Dokumen Reviewing 1048707 berisi informasi tentang kontrol ( misalnya perlakuan resiko rencana implementasi ) Jika proses manajemen keamanan informasi yang didokumentasikan dengan baik semua ada atau kontrol direncanakan dan status pelaksanaannya harus tersedia
1048707 Memeriksa dengan orang-orang yang bertanggung jawab untuk keamanan informasi ( misalnya petugas keamanan informasi dan petugas keamanan sistem informasi manajer bangunan atau manajer operasi ) dan pengguna sebagai mana kontrol benar-benar dilaksanakan untuk proses informasi atau sistem informasi yang sedang dipertimbangkan
1048707 Melakukan review on-site kontrol fisik membandingkan mereka diimplementasikan dengan daftar apa kontrol harus ada dan memeriksa mereka diimplementasikan sebagai apakah mereka bekerja dengan benar dan efektif atau Hasil Reviewing 1048707 audit internal
Output Daftar semua kontrol yang ada dan yang direncanakan pelaksanaannya dan status penggunaan
8215 Identifikasi kerentanan
Input Sebuah daftar ancaman diketahui daftar aset dan kontrol yang ada
Tindakan Kerentanan yang dapat dimanfaatkan oleh ancaman untuk menyebabkan kerusakan pada aset atau organisasi tersebut diidentifikasi (berkaitan dengan ISO IEC 27001 Pasal 421 d) 3))
Pelaksanaan bimbingan
Kerentanan dapat diidentifikasi dalam bidang-bidang berikut
Organisasi Proses dan prosedur rutinitas Manajemen Personil Lingkungan fisik Konfigurasi sistem Informasi Hardware perangkat lunak atau peralatan komunikasi Ketergantungan pada pihak eksternal
Kehadiran kerentanan tidak menyebabkan kerusakan dalam dirinya sendiri karena perlu ada ancaman hadir untuk memanfaatkannya Sebuah kerentanan yang tidak memiliki ancaman yang sesuai mungkin tidak memerlukan pelaksanaan kontrol tetapi harus diakui dan dimonitor untuk perubahan Perlu dicatat bahwa salah menerapkan atau rusak control atau kontrol yang digunakan secara tidak benar bisa sendiri menjadi kerentanan Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi Sebaliknya ancaman yang tidak memiliki sesuai kerentanan mungkin tidak mengakibatkan risiko
Kerentanan dapat dikaitkan dengan sifat dari aset yang dapat digunakan dengan cara atau untuk suatu tujuan selain yang dimaksudkan ketika aset tersebut dibeli atau dibuat Kerentanan yang timbul dari sumber yang berbeda harus dipertimbangkan misalnya yang intrinsik atau ekstrinsik untuk aset
Contoh kerentanan dan metode untuk penilaian kerentanan dapat ditemukan di Lampiran D
Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa
8216 Identifikasi konsekuensi
Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya
Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )
Pelaksanaan bimbingan
Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset
CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan
Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)
Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill
Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak
Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Tujuan dari identifikasi risiko adalah untuk menentukan apa yang bisa terjadi menyebabkan potensi kerugian dan untuk mendapatkan
wawasan tentang bagaimana di mana dan mengapa kerugian yang mungkin terjadi Langkah-langkah yang dijelaskan dalam subpasal berikut
821 harus mengumpulkan data masukan untuk kegiatan estimasi risiko
CATATAN Kegiatan yang dijelaskan dalam klausa berikutnya dapat dilakukan dalam urutan yang berbeda tergantung pada Metodologi yang diterapkan
8212 Identifikasi aset
Input Ruang Lingkup dan batas-batas untuk penilaian risiko yang akan dilakukan daftar konstituen dengan pemilik lokasi fungsi dll
Tindakan Aset dalam lingkup yang ditetapkan harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Klausul 421 d ) 1 ) )
Pelaksanaan bimbingan
Aset adalah segala sesuatu yang memiliki nilai untuk organisasi dan yang karena itu memerlukan perlindungan Untuk identifikasi aset itu harus diingat bahwa sistem informasi terdiri dari lebih dari hardware dan perangkat lunak
Identifikasi aset harus dilakukan pada tingkat yang sesuai detail yang memberikan informasi yang cukup untuk penilaian risiko Tingkat detail yang digunakan pada identifikasi aset akan mempengaruhi jumlah keseluruhan informasi yang dikumpulkan selama penilaian risiko Tingkat dapat disempurnakan dalam iterasi lebih lanjut dari risiko penilaian
Seorang pemilik aset harus diidentifikasi untuk setiap aset untuk memberikan tanggung jawab dan akuntabilitas untuk aset tersebut Pemilik aset mungkin tidak memiliki hak milik atas aset tetapi memiliki tanggung jawab untuk produksi pengembangan pemeliharaan penggunaan dan keamanan yang sesuai Pemilik aset seringkali yang paling cocok orang untuk menentukan nilai aset terhadap organisasi (lihat 8222 untuk penilaian aset )
Tinjauan batas adalah perimeter aset organisasi didefinisikan dikelola oleh informasi proses manajemen risiko keamanan Informasi lebih lanjut tentang identifikasi dan penilaian aset sebagai terkait dengan keamanan informasi dapat ditemukan dalam Lampiran B
Output Sebuah daftar aset yang akan risiko - dikelola dan daftar proses bisnis yang terkait dengan aset dan mereka relevansi
8213 Identifikasi ancaman
Input Informasi tentang ancaman yang diperoleh dari insiden meninjau pemilik aset pengguna dan sumber-sumber lain termasuk katalog ancaman eksternal
Tindakan Ancaman dan sumber mereka harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Pasal 421 d ) 2 ) )
Pelaksanaan bimbingan
Ancaman memiliki potensi untuk membahayakan aset seperti informasi proses dan sistem dan oleh karena itu organisasi Ancaman mungkin alam atau manusia asal dan bisa kebetulan atau disengaja Kedua sumber ancaman disengaja dan disengaja harus diidentifikasi Ancaman mungkin timbul dari dalam maupun dari luar organisasi Ancaman harus diidentifikasi secara umum dan menurut jenis ( misalnya tindakan yang tidak sah fisik kerusakan kegagalan teknis ) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik diidentifikasi
Ini berarti tidak ada ancaman yang terlupakan termasuk tak terduga tetapi volume pekerjaan yang diperlukan terbatas Beberapa ancaman dapat mempengaruhi lebih dari satu aset Dalam kasus seperti itu mereka dapat menyebabkan dampak yang berbeda tergantung padadimana aset yang terpengaruh
Masukan untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya (lihat 8223 ) dapat diperoleh dari pemilik aset atau pengguna dari staf sumber daya manusia dari manajemen fasilitas dan informasi spesialis keamanan para ahli keamanan fisik departemen hukum dan organisasi lain termasuk badan hukum otoritas cuaca perusahaan asuransi dan pemerintah nasional Aspek lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman
Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus dipertimbangkan dalam arus penilaian Mungkin ada baiknya untuk berkonsultasi katalog ancaman lain (mungkin spesifik untuk suatu organisasi atau bisnis) untuk melengkapi daftar ancaman generik jika relevan Katalog ancaman dan statistik yang tersedia dari badan-badan industri pemerintah nasional badan hukum perusahaan asuransi dan lain-lain
Bila menggunakan katalog ancaman atau hasil penilaian ancaman sebelumnya salah satu harus menyadari bahwa ada perubahan terus-menerus dari ancaman yang relevan terutama jika lingkungan bisnis atau sistem informasi berubah
Informasi lebih lanjut tentang jenis ancaman dapat ditemukan dalam Lampiran C
Output Sebuah daftar ancaman dengan identifikasi jenis ancaman dan sumber
8214 Identifikasi kontrol yang ada
Input Dokumentasi kontrol rencana implementasi penanganan resiko
Tindakan kontrol yang ada dan direncanakan harus diidentifikasi
Pelaksanaan bimbingan
Identifikasi kontrol yang ada harus dilakukan untuk menghindari yang tidak perlu kerja atau biaya misalnya dalam duplikasi kontrol Selain itu sementara mengidentifikasi kontrol yang ada cek harus dilakukan untuk memastikan bahwa kontrol bekerja dengan benar - referensi untuk sudah ada laporan audit ISMS harus membatasi waktu yang dihabiskan di tugas ini Jika kontrol tidak bekerja seperti yang diharapkan hal ini dapat menyebabkan kerentanan Pertimbangan harus diberikan pada situasi di mana kontrol yang dipilih ( atau strategi ) gagal dalam operasi dan karenanya kontrol pelengkap diperlukan untuk mengatasi risiko yang diidentifikasi secara efektif Dalam ISMS sesuai dengan ISO IEC 27001 ini didukung oleh pengukuran efektivitas pengendalian Sebuah cara untuk memperkirakan dampak dari kontrol adalah untuk melihat bagaimana mengurangi kemungkinan ancaman dan kemudahan mengeksploitasi kerentanan atau dampak dari insiden tersebut
Tinjauan manajemen dan laporan audit juga memberikan informasi tentang efektivitas pengendalian yang ada
Kontrol yang direncanakan akan dilaksanakan sesuai dengan rencana implementasi penanganan resiko harus dipertimbangkan dalam cara yang sama seperti yang sudah dilaksanakan
Kontrol yang ada atau direncanakan dapat diidentifikasi sebagai tidak efektif atau tidak cukup atau tidak dibenarkan Jika tidak dibenarkan atau tidak cukup kontrol harus diperiksa untuk menentukan apakah itu harus dihapus diganti dengan lain kontrol yang lebih cocok atau apakah harus tinggal di tempat misalnya untuk alasan biaya
Untuk identifikasi kontrol yang ada atau direncanakan kegiatan berikut dapat membantu
Dokumen Reviewing 1048707 berisi informasi tentang kontrol ( misalnya perlakuan resiko rencana implementasi ) Jika proses manajemen keamanan informasi yang didokumentasikan dengan baik semua ada atau kontrol direncanakan dan status pelaksanaannya harus tersedia
1048707 Memeriksa dengan orang-orang yang bertanggung jawab untuk keamanan informasi ( misalnya petugas keamanan informasi dan petugas keamanan sistem informasi manajer bangunan atau manajer operasi ) dan pengguna sebagai mana kontrol benar-benar dilaksanakan untuk proses informasi atau sistem informasi yang sedang dipertimbangkan
1048707 Melakukan review on-site kontrol fisik membandingkan mereka diimplementasikan dengan daftar apa kontrol harus ada dan memeriksa mereka diimplementasikan sebagai apakah mereka bekerja dengan benar dan efektif atau Hasil Reviewing 1048707 audit internal
Output Daftar semua kontrol yang ada dan yang direncanakan pelaksanaannya dan status penggunaan
8215 Identifikasi kerentanan
Input Sebuah daftar ancaman diketahui daftar aset dan kontrol yang ada
Tindakan Kerentanan yang dapat dimanfaatkan oleh ancaman untuk menyebabkan kerusakan pada aset atau organisasi tersebut diidentifikasi (berkaitan dengan ISO IEC 27001 Pasal 421 d) 3))
Pelaksanaan bimbingan
Kerentanan dapat diidentifikasi dalam bidang-bidang berikut
Organisasi Proses dan prosedur rutinitas Manajemen Personil Lingkungan fisik Konfigurasi sistem Informasi Hardware perangkat lunak atau peralatan komunikasi Ketergantungan pada pihak eksternal
Kehadiran kerentanan tidak menyebabkan kerusakan dalam dirinya sendiri karena perlu ada ancaman hadir untuk memanfaatkannya Sebuah kerentanan yang tidak memiliki ancaman yang sesuai mungkin tidak memerlukan pelaksanaan kontrol tetapi harus diakui dan dimonitor untuk perubahan Perlu dicatat bahwa salah menerapkan atau rusak control atau kontrol yang digunakan secara tidak benar bisa sendiri menjadi kerentanan Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi Sebaliknya ancaman yang tidak memiliki sesuai kerentanan mungkin tidak mengakibatkan risiko
Kerentanan dapat dikaitkan dengan sifat dari aset yang dapat digunakan dengan cara atau untuk suatu tujuan selain yang dimaksudkan ketika aset tersebut dibeli atau dibuat Kerentanan yang timbul dari sumber yang berbeda harus dipertimbangkan misalnya yang intrinsik atau ekstrinsik untuk aset
Contoh kerentanan dan metode untuk penilaian kerentanan dapat ditemukan di Lampiran D
Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa
8216 Identifikasi konsekuensi
Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya
Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )
Pelaksanaan bimbingan
Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset
CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan
Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)
Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill
Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak
Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
8213 Identifikasi ancaman
Input Informasi tentang ancaman yang diperoleh dari insiden meninjau pemilik aset pengguna dan sumber-sumber lain termasuk katalog ancaman eksternal
Tindakan Ancaman dan sumber mereka harus diidentifikasi ( berkaitan dengan ISO IEC 27001 Pasal 421 d ) 2 ) )
Pelaksanaan bimbingan
Ancaman memiliki potensi untuk membahayakan aset seperti informasi proses dan sistem dan oleh karena itu organisasi Ancaman mungkin alam atau manusia asal dan bisa kebetulan atau disengaja Kedua sumber ancaman disengaja dan disengaja harus diidentifikasi Ancaman mungkin timbul dari dalam maupun dari luar organisasi Ancaman harus diidentifikasi secara umum dan menurut jenis ( misalnya tindakan yang tidak sah fisik kerusakan kegagalan teknis ) dan kemudian di mana ancaman individu yang sesuai dalam kelas generik diidentifikasi
Ini berarti tidak ada ancaman yang terlupakan termasuk tak terduga tetapi volume pekerjaan yang diperlukan terbatas Beberapa ancaman dapat mempengaruhi lebih dari satu aset Dalam kasus seperti itu mereka dapat menyebabkan dampak yang berbeda tergantung padadimana aset yang terpengaruh
Masukan untuk identifikasi ancaman dan perkiraan kemungkinan terjadinya (lihat 8223 ) dapat diperoleh dari pemilik aset atau pengguna dari staf sumber daya manusia dari manajemen fasilitas dan informasi spesialis keamanan para ahli keamanan fisik departemen hukum dan organisasi lain termasuk badan hukum otoritas cuaca perusahaan asuransi dan pemerintah nasional Aspek lingkungan dan budaya harus dipertimbangkan ketika mengatasi ancaman
Pengalaman internal dari insiden dan penilaian ancaman masa lalu harus dipertimbangkan dalam arus penilaian Mungkin ada baiknya untuk berkonsultasi katalog ancaman lain (mungkin spesifik untuk suatu organisasi atau bisnis) untuk melengkapi daftar ancaman generik jika relevan Katalog ancaman dan statistik yang tersedia dari badan-badan industri pemerintah nasional badan hukum perusahaan asuransi dan lain-lain
Bila menggunakan katalog ancaman atau hasil penilaian ancaman sebelumnya salah satu harus menyadari bahwa ada perubahan terus-menerus dari ancaman yang relevan terutama jika lingkungan bisnis atau sistem informasi berubah
Informasi lebih lanjut tentang jenis ancaman dapat ditemukan dalam Lampiran C
Output Sebuah daftar ancaman dengan identifikasi jenis ancaman dan sumber
8214 Identifikasi kontrol yang ada
Input Dokumentasi kontrol rencana implementasi penanganan resiko
Tindakan kontrol yang ada dan direncanakan harus diidentifikasi
Pelaksanaan bimbingan
Identifikasi kontrol yang ada harus dilakukan untuk menghindari yang tidak perlu kerja atau biaya misalnya dalam duplikasi kontrol Selain itu sementara mengidentifikasi kontrol yang ada cek harus dilakukan untuk memastikan bahwa kontrol bekerja dengan benar - referensi untuk sudah ada laporan audit ISMS harus membatasi waktu yang dihabiskan di tugas ini Jika kontrol tidak bekerja seperti yang diharapkan hal ini dapat menyebabkan kerentanan Pertimbangan harus diberikan pada situasi di mana kontrol yang dipilih ( atau strategi ) gagal dalam operasi dan karenanya kontrol pelengkap diperlukan untuk mengatasi risiko yang diidentifikasi secara efektif Dalam ISMS sesuai dengan ISO IEC 27001 ini didukung oleh pengukuran efektivitas pengendalian Sebuah cara untuk memperkirakan dampak dari kontrol adalah untuk melihat bagaimana mengurangi kemungkinan ancaman dan kemudahan mengeksploitasi kerentanan atau dampak dari insiden tersebut
Tinjauan manajemen dan laporan audit juga memberikan informasi tentang efektivitas pengendalian yang ada
Kontrol yang direncanakan akan dilaksanakan sesuai dengan rencana implementasi penanganan resiko harus dipertimbangkan dalam cara yang sama seperti yang sudah dilaksanakan
Kontrol yang ada atau direncanakan dapat diidentifikasi sebagai tidak efektif atau tidak cukup atau tidak dibenarkan Jika tidak dibenarkan atau tidak cukup kontrol harus diperiksa untuk menentukan apakah itu harus dihapus diganti dengan lain kontrol yang lebih cocok atau apakah harus tinggal di tempat misalnya untuk alasan biaya
Untuk identifikasi kontrol yang ada atau direncanakan kegiatan berikut dapat membantu
Dokumen Reviewing 1048707 berisi informasi tentang kontrol ( misalnya perlakuan resiko rencana implementasi ) Jika proses manajemen keamanan informasi yang didokumentasikan dengan baik semua ada atau kontrol direncanakan dan status pelaksanaannya harus tersedia
1048707 Memeriksa dengan orang-orang yang bertanggung jawab untuk keamanan informasi ( misalnya petugas keamanan informasi dan petugas keamanan sistem informasi manajer bangunan atau manajer operasi ) dan pengguna sebagai mana kontrol benar-benar dilaksanakan untuk proses informasi atau sistem informasi yang sedang dipertimbangkan
1048707 Melakukan review on-site kontrol fisik membandingkan mereka diimplementasikan dengan daftar apa kontrol harus ada dan memeriksa mereka diimplementasikan sebagai apakah mereka bekerja dengan benar dan efektif atau Hasil Reviewing 1048707 audit internal
Output Daftar semua kontrol yang ada dan yang direncanakan pelaksanaannya dan status penggunaan
8215 Identifikasi kerentanan
Input Sebuah daftar ancaman diketahui daftar aset dan kontrol yang ada
Tindakan Kerentanan yang dapat dimanfaatkan oleh ancaman untuk menyebabkan kerusakan pada aset atau organisasi tersebut diidentifikasi (berkaitan dengan ISO IEC 27001 Pasal 421 d) 3))
Pelaksanaan bimbingan
Kerentanan dapat diidentifikasi dalam bidang-bidang berikut
Organisasi Proses dan prosedur rutinitas Manajemen Personil Lingkungan fisik Konfigurasi sistem Informasi Hardware perangkat lunak atau peralatan komunikasi Ketergantungan pada pihak eksternal
Kehadiran kerentanan tidak menyebabkan kerusakan dalam dirinya sendiri karena perlu ada ancaman hadir untuk memanfaatkannya Sebuah kerentanan yang tidak memiliki ancaman yang sesuai mungkin tidak memerlukan pelaksanaan kontrol tetapi harus diakui dan dimonitor untuk perubahan Perlu dicatat bahwa salah menerapkan atau rusak control atau kontrol yang digunakan secara tidak benar bisa sendiri menjadi kerentanan Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi Sebaliknya ancaman yang tidak memiliki sesuai kerentanan mungkin tidak mengakibatkan risiko
Kerentanan dapat dikaitkan dengan sifat dari aset yang dapat digunakan dengan cara atau untuk suatu tujuan selain yang dimaksudkan ketika aset tersebut dibeli atau dibuat Kerentanan yang timbul dari sumber yang berbeda harus dipertimbangkan misalnya yang intrinsik atau ekstrinsik untuk aset
Contoh kerentanan dan metode untuk penilaian kerentanan dapat ditemukan di Lampiran D
Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa
8216 Identifikasi konsekuensi
Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya
Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )
Pelaksanaan bimbingan
Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset
CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan
Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)
Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill
Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak
Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
8214 Identifikasi kontrol yang ada
Input Dokumentasi kontrol rencana implementasi penanganan resiko
Tindakan kontrol yang ada dan direncanakan harus diidentifikasi
Pelaksanaan bimbingan
Identifikasi kontrol yang ada harus dilakukan untuk menghindari yang tidak perlu kerja atau biaya misalnya dalam duplikasi kontrol Selain itu sementara mengidentifikasi kontrol yang ada cek harus dilakukan untuk memastikan bahwa kontrol bekerja dengan benar - referensi untuk sudah ada laporan audit ISMS harus membatasi waktu yang dihabiskan di tugas ini Jika kontrol tidak bekerja seperti yang diharapkan hal ini dapat menyebabkan kerentanan Pertimbangan harus diberikan pada situasi di mana kontrol yang dipilih ( atau strategi ) gagal dalam operasi dan karenanya kontrol pelengkap diperlukan untuk mengatasi risiko yang diidentifikasi secara efektif Dalam ISMS sesuai dengan ISO IEC 27001 ini didukung oleh pengukuran efektivitas pengendalian Sebuah cara untuk memperkirakan dampak dari kontrol adalah untuk melihat bagaimana mengurangi kemungkinan ancaman dan kemudahan mengeksploitasi kerentanan atau dampak dari insiden tersebut
Tinjauan manajemen dan laporan audit juga memberikan informasi tentang efektivitas pengendalian yang ada
Kontrol yang direncanakan akan dilaksanakan sesuai dengan rencana implementasi penanganan resiko harus dipertimbangkan dalam cara yang sama seperti yang sudah dilaksanakan
Kontrol yang ada atau direncanakan dapat diidentifikasi sebagai tidak efektif atau tidak cukup atau tidak dibenarkan Jika tidak dibenarkan atau tidak cukup kontrol harus diperiksa untuk menentukan apakah itu harus dihapus diganti dengan lain kontrol yang lebih cocok atau apakah harus tinggal di tempat misalnya untuk alasan biaya
Untuk identifikasi kontrol yang ada atau direncanakan kegiatan berikut dapat membantu
Dokumen Reviewing 1048707 berisi informasi tentang kontrol ( misalnya perlakuan resiko rencana implementasi ) Jika proses manajemen keamanan informasi yang didokumentasikan dengan baik semua ada atau kontrol direncanakan dan status pelaksanaannya harus tersedia
1048707 Memeriksa dengan orang-orang yang bertanggung jawab untuk keamanan informasi ( misalnya petugas keamanan informasi dan petugas keamanan sistem informasi manajer bangunan atau manajer operasi ) dan pengguna sebagai mana kontrol benar-benar dilaksanakan untuk proses informasi atau sistem informasi yang sedang dipertimbangkan
1048707 Melakukan review on-site kontrol fisik membandingkan mereka diimplementasikan dengan daftar apa kontrol harus ada dan memeriksa mereka diimplementasikan sebagai apakah mereka bekerja dengan benar dan efektif atau Hasil Reviewing 1048707 audit internal
Output Daftar semua kontrol yang ada dan yang direncanakan pelaksanaannya dan status penggunaan
8215 Identifikasi kerentanan
Input Sebuah daftar ancaman diketahui daftar aset dan kontrol yang ada
Tindakan Kerentanan yang dapat dimanfaatkan oleh ancaman untuk menyebabkan kerusakan pada aset atau organisasi tersebut diidentifikasi (berkaitan dengan ISO IEC 27001 Pasal 421 d) 3))
Pelaksanaan bimbingan
Kerentanan dapat diidentifikasi dalam bidang-bidang berikut
Organisasi Proses dan prosedur rutinitas Manajemen Personil Lingkungan fisik Konfigurasi sistem Informasi Hardware perangkat lunak atau peralatan komunikasi Ketergantungan pada pihak eksternal
Kehadiran kerentanan tidak menyebabkan kerusakan dalam dirinya sendiri karena perlu ada ancaman hadir untuk memanfaatkannya Sebuah kerentanan yang tidak memiliki ancaman yang sesuai mungkin tidak memerlukan pelaksanaan kontrol tetapi harus diakui dan dimonitor untuk perubahan Perlu dicatat bahwa salah menerapkan atau rusak control atau kontrol yang digunakan secara tidak benar bisa sendiri menjadi kerentanan Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi Sebaliknya ancaman yang tidak memiliki sesuai kerentanan mungkin tidak mengakibatkan risiko
Kerentanan dapat dikaitkan dengan sifat dari aset yang dapat digunakan dengan cara atau untuk suatu tujuan selain yang dimaksudkan ketika aset tersebut dibeli atau dibuat Kerentanan yang timbul dari sumber yang berbeda harus dipertimbangkan misalnya yang intrinsik atau ekstrinsik untuk aset
Contoh kerentanan dan metode untuk penilaian kerentanan dapat ditemukan di Lampiran D
Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa
8216 Identifikasi konsekuensi
Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya
Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )
Pelaksanaan bimbingan
Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset
CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan
Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)
Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill
Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak
Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
1048707 Melakukan review on-site kontrol fisik membandingkan mereka diimplementasikan dengan daftar apa kontrol harus ada dan memeriksa mereka diimplementasikan sebagai apakah mereka bekerja dengan benar dan efektif atau Hasil Reviewing 1048707 audit internal
Output Daftar semua kontrol yang ada dan yang direncanakan pelaksanaannya dan status penggunaan
8215 Identifikasi kerentanan
Input Sebuah daftar ancaman diketahui daftar aset dan kontrol yang ada
Tindakan Kerentanan yang dapat dimanfaatkan oleh ancaman untuk menyebabkan kerusakan pada aset atau organisasi tersebut diidentifikasi (berkaitan dengan ISO IEC 27001 Pasal 421 d) 3))
Pelaksanaan bimbingan
Kerentanan dapat diidentifikasi dalam bidang-bidang berikut
Organisasi Proses dan prosedur rutinitas Manajemen Personil Lingkungan fisik Konfigurasi sistem Informasi Hardware perangkat lunak atau peralatan komunikasi Ketergantungan pada pihak eksternal
Kehadiran kerentanan tidak menyebabkan kerusakan dalam dirinya sendiri karena perlu ada ancaman hadir untuk memanfaatkannya Sebuah kerentanan yang tidak memiliki ancaman yang sesuai mungkin tidak memerlukan pelaksanaan kontrol tetapi harus diakui dan dimonitor untuk perubahan Perlu dicatat bahwa salah menerapkan atau rusak control atau kontrol yang digunakan secara tidak benar bisa sendiri menjadi kerentanan Kontrol bisa efektif atau tidak efektif tergantung pada lingkungan di mana ia beroperasi Sebaliknya ancaman yang tidak memiliki sesuai kerentanan mungkin tidak mengakibatkan risiko
Kerentanan dapat dikaitkan dengan sifat dari aset yang dapat digunakan dengan cara atau untuk suatu tujuan selain yang dimaksudkan ketika aset tersebut dibeli atau dibuat Kerentanan yang timbul dari sumber yang berbeda harus dipertimbangkan misalnya yang intrinsik atau ekstrinsik untuk aset
Contoh kerentanan dan metode untuk penilaian kerentanan dapat ditemukan di Lampiran D
Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa
8216 Identifikasi konsekuensi
Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya
Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )
Pelaksanaan bimbingan
Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset
CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan
Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)
Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill
Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak
Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Output Daftar kerentanan dalam kaitannya dengan aset ancaman dan kontrol daftar kerentanan yang tidak berhubungan dengan setiap ancaman yang diidentifikasi untuk diperiksa
8216 Identifikasi konsekuensi
Input Sebuah daftar aset daftar proses bisnis dan daftar ancaman dan kerentanan bila sesuai terkait dengan aset dan relevansinya
Tindakan Konsekuensi bahwa kerugian kerahasiaan integritas dan ketersediaan mungkin memiliki atas asset harus diidentifikasi (lihat ISO IEC 27001 421 d ) 4 ) )
Pelaksanaan bimbingan
Konsekuensi dapat kehilangan efektivitas kondisi operasi yang merugikan kerugian bisnis reputasi kerusakan dll
Kegiatan ini mengidentifikasi kerusakan atau konsekuensi kepada organisasi yang bisa disebabkan oleh sebuah insiden skenario Sebuah skenario insiden adalah deskripsi dari ancaman memanfaatkan kerentanan tertentu atau set kerentanan dalam insiden keamanan informasi (lihat ISO IEC 27002 Ayat 13 ) Dampak dari kejadian tersebut skenario akan ditentukan mempertimbangkan kriteria dampak didefinisikan selama kegiatan konteks pembentukan itu dapat mempengaruhi satu atau lebih aset atau sebagian aset Dengan demikian aset mungkin telah menetapkan nilai-nilai baik untuk mereka biaya keuangan dan karena konsekuensi bisnis jika mereka rusak atau dikompromikan Konsekuensi mungkin bersifat sementara atau mungkin permanen seperti dalam kasus penghancuran aset
CATATAN ISO IEC 27001 menjelaskan terjadinya skenario insiden sebagai kegagalan keamanan
Organisasi harus mengidentifikasi konsekuensi operasional skenario insiden dalam hal (namun tidak terbatas untuk)
Investigasi dan waktu perbaikan (Work) waktu yang hilang Peluang hilang Kesehatan dan Keselamatan Biaya Keuangan keterampilan khusus untuk memperbaiki kerusakan Reputasi Gambar dan goodwill
Rincian tentang penilaian kerentanan teknis dapat ditemukan dalam B3 Dampak
Output Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
822 estimasi Risiko
8221 metodologi estimasi Risiko
Analisis risiko dapat dilakukan dalam berbagai tingkat detail yang tergantung pada kekritisan aset tingkat kerentanan diketahui dan insiden sebelumnya yang melibatkan dalam organisasi Metodologi estimasi mungkin kualitatif atau kuantitatif atau kombinasi dari ini tergantung pada keadaan Dalam prakteknya kualitatif estimasi sering digunakan pertama untuk mendapatkan indikasi umum tingkat risiko dan untuk mengungkapkan risiko utama Kemudian mungkin perlu untuk melakukan analisis yang lebih spesifik atau kuantitatif pada risiko utama karena biasanya kurang kompleks dan lebih murah untuk melakukan kualitatif dari analisis kuantitatif
Bentuk analisis harus konsisten dengan kriteria evaluasi resiko dikembangkan sebagai bagian dari pembentukan konteks
Rincian lebih lanjut dari metodologi estimasi sekarang dijelaskan
a) estimasi kualitatif
Estimasi kualitatif menggunakan skala kualifikasi atribut untuk menggambarkan besarnya potensi konsekuensi ( misalnya Low Medium dan High ) dan kemungkinan bahwa konsekuensi yang akan terjadi sebuah keuntungan dari estimasi kualitatif adalah kemudahan pemahaman oleh semua personil yang relevan sementara kerugian adalah ketergantungan pada pilihan subjektif dari skala
Timbangan ini dapat diadaptasi atau disesuaikan agar sesuai dengan situasi dan deskripsi yang berbeda dapat digunakan untuk risiko yang berbeda Estimasi kualitatif dapat digunakan
Sebagai kegiatan screening awal untuk mengidentifikasi risiko yang memerlukan analisis yang lebih rinci
Dimana analisis semacam ini cocok untuk keputusan Dimana data numerik atau sumber daya yang memadai untuk estimasi kuantitatif Analisis kualitatif harus menggunakan informasi faktual dan data mana yang tersedia
b) estimasi kuantitatif
Estimasi kuantitatif menggunakan skala dengan nilai-nilai numerik ( bukan skala deskriptif yang digunakan dalam estimasi kualitatif ) untuk kedua konsekuensi dan kemungkinan menggunakan data dari berbagai sumber kualitas analisis tergantung pada keakuratan dan kelengkapan dari nilai-nilai numerik dan validitas model yang digunakan Estimasi kuantitatif dalam banyak kasus menggunakan data kejadian historis memberikan keuntungan yang dapat berhubungan langsung dengan tujuan keamanan informasi dan keprihatinan organisasi
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
kelemahan adalah kurangnya data tersebut pada risiko baru atau kelemahan keamanan informasi Kerugian dari pendekatan kuantitatif dapat terjadi di mana faktual data yang diaudit tidak tersedia sehingga menciptakan ilusi layak dan akurasi penilaian risiko
Cara di mana konsekuensi dan kemungkinan disajikan dan cara-cara di mana mereka dikombinasikan untuk memberikan tingkat risiko akan bervariasi sesuai dengan jenis risiko dan tujuan yang penilaian risiko output yang akan digunakan Ketidakpastian dan variabilitas dari kedua konsekuensi dan kemungkinan harus dipertimbangkan dalam analisis dan dikomunikasikan secara efektif
8222 Penilaian konsekuensi
Input Daftar diidentifikasi skenario yang relevan insiden termasuk identifikasi ancaman kerentanan terpengaruh aset konsekuensi terhadap aset dan proses bisnis
Tindakan Dampak bisnis pada organisasi yang mungkin timbul dari informasi yang mungkin atau actual insiden keamanan harus dinilai dengan mempertimbangkan konsekuensi dari pelanggaran informasi keamanan seperti hilangnya kerahasiaan integritas atau ketersediaan aset ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 1 ) )
Pelaksanaan Bimbingan
Setelah mengidentifikasi semua aset review nilai-nilai ditugaskan untuk aset-aset ini harus diperhitungkan pada saat menilai konsekuensi Nilai dampak bisnis dapat dinyatakan dalam bentuk kualitatif dan kuantitatif tetapi metode apapun menetapkan nilai moneter pada umumnya dapat memberikan informasi lebih lanjut untuk pengambilan keputusan dan karenanya memfasilitasi lebih efisien proses pengambilan keputusan Penilaian aset dimulai dengan klasifikasi aset sesuai dengan kekritisan mereka dalam hal pentingnya aset untuk memenuhi tujuan bisnis dari organisasi Penilaian ini kemudian ditentukan dengan menggunakan dua langkah-langkah
nilai penggantian aset biaya pemulihan pembersihan dan mengganti informasi ( jika sama sekali mungkin) dan
konsekuensi bisnis dari kerugian atau kompromi dari aset seperti bisnis yang merugikan potensi dan atau konsekuensi hukum atau peraturan dari pengungkapan modifikasi non - ketersediaan dan atau penghancuran informasi dan informasi lainnya aset
Penilaian ini dapat ditentukan dari analisis dampak bisnis Nilai ditentukan oleh konsekuensi untuk bisnis biasanya secara signifikan lebih tinggi daripada biaya penggantian sederhana tergantung pada pentingnya aset bagi organisasi dalam mencapai tujuan usahanya
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Penilaian aset merupakan faktor kunci dalam penilaian dampak skenario insiden karena insiden itu mungkin mempengaruhi lebih dari satu asset ( aset misalnya tergantung ) atau hanya bagian dari aset Ancaman yang berbeda dan kerentanan akan memiliki dampak yang berbeda pada aset seperti hilangnya kerahasiaan integritas atau ketersediaan Penilaian konsekuensi demikian terkait dengan valuasi aset berdasarkan analisis dampak bisnis Konsekuensi atau dampak bisnis dapat ditentukan dengan pemodelan hasil dari suatu peristiwa atau serangkaian peristiwa atau dengan ekstrapolasi dari studi eksperimental atau data masa lalu
Konsekuensi dapat dinyatakan dalam hal kriteria dampak moneter teknis atau manusia atau kriteria lain relevan dengan organisasi Dalam beberapa kasus lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi untuk waktu yang berbeda tempat kelompok atau situasi
Konsekuensi dalam waktu dan keuangan harus diukur dengan pendekatan yang sama digunakan untuk ancaman kemungkinan dan kerentanan Konsistensi harus dipertahankan pada kuantitatif atau pendekatan kualitatif
Informasi lebih lanjut baik pada penilaian aset dan penilaian dampak dapat ditemukan dalam Lampiran B
Output Daftar konsekuensi dinilai dari skenario insiden diungkapkan sehubungan dengan aset dan dampak kriteria
8223 Penilaian insiden kemungkinan
Input Daftar diidentifikasi skenario kejadian yang relevan termasuk identifikasi ancaman aset yang terkena dampak kerentanan dieksploitasi dan konsekuensi terhadap aset dan proses bisnis Selanjutnya daftar semua yang ada dan kontrol yang direncanakan efektivitas mereka pelaksanaan dan status penggunaan
Tindakan Kemungkinan skenario insiden harus dinilai ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 2 ) )
Pelaksanaan bimbingan
Setelah mengidentifikasi skenario insiden perlu untuk menilai kemungkinan dari setiap skenario dan dampaknya terjadi dengan menggunakan teknik estimasi kualitatif atau kuantitatif Ini harus mempertimbangkan seberapa sering ancaman terjadi dan bagaimana dengan mudah kerentanan dapat dieksploitasi mengingat
Pengalaman 1048707 dan statistik yang berlaku untuk ancaman kemungkinan
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
untuk sumber yang disengaja ancaman motivasi dan kemampuan yang akan berubah dari waktu ke waktu dan sumber daya tersedia untuk memungkinkan penyerang serta persepsi daya tarik dan kerentanan aset untuk mungkin penyerang
sumber ancaman disengaja faktor geografis misalnya kedekatan dengan pabrik kimia atau minyak bumikemungkinan kondisi cuaca ekstrim dan faktor-faktor yang dapat mempengaruhi kesalahan manusia dan peralatan gagal
kerentanan baik secara individual maupun agregasi Kontrol yang ada 1048707 dan seberapa efektif mereka mengurangi kerentanan
Sebagai contoh sebuah sistem informasi mungkin memiliki kerentanan terhadap ancaman menyamar identitas pengguna dan penyalahgunaan sumber daya Kerentanan menyamar identitas pengguna mungkin tinggi karena kurangnya otentikasi pengguna Di sisi lain kemungkinan penyalahgunaan sumber daya mungkin rendah meskipun kurangnya pengguna otentikasi karena cara menyalahgunakan sumber daya yang terbatas
Tergantung pada kebutuhan untuk akurasi aset dapat dikelompokkan atau mungkin perlu untuk membagi aset ke elemen mereka dan berhubungan skenario ke elemen Sebagai contoh di seluruh lokasi geografis sifat ancaman terhadap jenis yang sama aset dapat berubah atau efektivitas pengendalian yang ada dapat bervariasi
Output Kemungkinan skenario kejadian ( kuantitatif atau kualitatif )
8224 Tingkat estimasi risiko
Input Daftar skenario insiden dengan konsekuensi mereka terkait dengan aset dan proses bisnis dan mereka kemungkinan ( kuantitatif atau kualitatif )
Tindakan Tingkat risiko harus diperkirakan untuk semua skenario insiden yang relevan ( berkaitan dengan ISO IEC 27001 Klausul 421 e ) 4 ) )
Pelaksanaan bimbingan
Estimasi risiko memberikan nilai untuk kemungkinan dan konsekuensi dari risiko Nilai-nilai ini mungkin kuantitatif atau kualitatif Estimasi risiko berdasarkan konsekuensi dinilai dan kemungkinan Selain itu dapat mempertimbangkan biaya manfaat keprihatinan pemangku kepentingan dan variabel lainnya yang sesuai untuk evaluasi risiko Perkiraan risiko adalah kombinasi dari kemungkinan skenario insiden dan konsekuensinya
Contoh metode estimasi resiko keamanan informasi yang berbeda atau pendekatan dapat ditemukan dalam Lampiran E
Output Sebuah daftar risiko dengan tingkat nilai yang diberikan
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
83 Evaluasi Risiko
Input Sebuah daftar risiko dengan tingkat nilai yang diberikan dan kriteria evaluasi resiko
Tindakan Tingkat risiko harus dibandingkan terhadap kriteria evaluasi risiko dan kriteria penerimaan risiko ( berhubungan ISO IEC 27001 Ayat 421 e ) 4 ) )
Pelaksanaan bimbingan
Sifat dari keputusan yang berkaitan dengan risiko kriteria evaluasi dan evaluasi risiko yang akan digunakan untuk membuat keputusan tersebut akan diputuskan saat membuat konteks Keputusan-keputusan ini dan konteks harus ditinjau kembali secara lebih rinci pada tahap ini ketika lebih yang diketahui tentang risiko tertentu diidentifikasi Untuk mengevaluasi risiko organisasi harus membandingkan risiko diperkirakan ( menggunakan metode yang dipilih atau pendekatan sebagai dibahas dalam Lampiran E ) dengan kriteria evaluasi resiko didefinisikan selama pembentukan konteks
Kriteria evaluasi risiko yang digunakan untuk membuat keputusan harus konsisten dengan didefinisikan eksternal dan internal konteks pengelolaan resiko keamanan informasi dan memperhitungkan tujuan organisasi dan pandangan para pemangku kepentingan dll Keputusan sebagaimana diambil dalam kegiatan evaluasi risiko terutama didasarkan pada diterima tingkat risiko Namun konsekuensi kemungkinan dan tingkat kepercayaan dalam identifikasi risiko dan analisis harus dipertimbangkan juga Agregasi beberapa risiko rendah atau menengah dapat mengakibatkan jauh lebih tinggi risiko secara keseluruhan dan perlu ditangani sesuai
Pertimbangan harus mencakup
Sifat keamanan informasi 1048707 jika salah satu kriteria tidak relevan bagi organisasi ( misalnya hilangnya kerahasiaan ) maka semua risiko yang berdampak kriteria ini mungkin tidak relevan
1048707 Pentingnya proses usaha atau kegiatan yang didukung oleh aset tertentu atau mengatur aset jika Proses bertekad untuk menjadi penting rendah risiko yang terkait dengan itu harus diberikan lebih rendah pertimbangan dari risiko yang berdampak proses atau kegiatan yang lebih penting
Evaluasi risiko menggunakan pemahaman risiko yang diperoleh dengan analisis risiko untuk membuat keputusan tentang masa depan tindakan Keputusan harus mencakup
Apakah suatu kegiatan harus dilakukan Prioritas untuk perlakuan resiko mempertimbangkan perkiraan tingkat risiko
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Selama tahap evaluasi risiko persyaratan kontrak hukum dan peraturan merupakan faktor yang harus diperhitungkan selain risiko estimasi
Output Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengakibatkan risiko tersebut
9 Informasi penanganan resiko keamanan
91 Gambaran umum perlakuan resiko
Input Sebuah daftar risiko diprioritaskan sesuai dengan kriteria evaluasi risiko dalam kaitannya dengan skenario insiden yang mengarah untuk risiko tersebut
Tindakan Kontrol untuk mengurangi mempertahankan menghindari atau mentransfer resiko harus dipilih dan rencana penanganan resiko didefinisikan
Pelaksanaan bimbingan
Ada empat pilihan yang tersedia untuk perlakuan resiko pengurangan risiko (lihat 92 ) retensi risiko (lihat 93 ) risiko penghindaran (lihat 94 ) dan transfer risiko (lihat 95 )
CATATAN ISO IEC 27001 421 f ) 2 ) menggunakan istilah menerima resiko bukan mempertahankan risiko
Gambar 2 mengilustrasikan kegiatan perlakuan resiko dalam proses manajemen risiko keamanan informasi sebagai disajikan pada Gambar 1
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Pilihan pengobatan risiko harus dipilih berdasarkan pada hasil penilaian risiko biaya yang diharapkan untuk melaksanakan opsi ini dan manfaat yang diharapkan dari pilihan ini
Ketika pengurangan besar dalam risiko dapat diperoleh dengan pengeluaran yang relatif rendah opsi tersebut harus diimplementasikan Pilihan lebih lanjut untuk perbaikan mungkin tidak ekonomis dan pertimbangan perlu dilakukan sebagai apakah mereka dibenarkan
Secara umum konsekuensi merugikan dari risiko harus dibuat serendah cukup praktis dan terlepas dari kriteria mutlak Manajer harus mempertimbangkan resiko yang jarang namun parah Dalam kasus tersebut kontrol yang tidak dibenarkan atas alasan ekonomi ketat mungkin
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
perlu (misalnya bisnis yang akan dilaksanakan kontrol kontinuitas dianggap untuk menutupi risiko tinggi tertentu)
substansial dengan kombinasi pilihan seperti mengurangi kemungkinan risiko mengurangi konsekuensinya dan mentransfer atau mempertahankan risiko residual
Beberapa perawatan risiko dapat secara efektif mengatasi ( misalnya pelatihan keamanan informasi dan lebih dari satu risiko awareness) Rencana perlakuan resiko harus didefinisikan yang jelas mengidentifikasi urutan prioritas yang perawatan risiko individu harus dilaksanakan dan jangka waktu mereka Prioritas dapat dibangun dengan menggunakan berbagai teknik termasuk peringkat risiko dan analisis biaya-manfaat Ini adalah manajer organisasi tanggung jawab untuk menentukan keseimbangan antara biaya pelaksanaan pengendalian dan penugasan anggaran
Identifikasi kontrol yang ada dapat menentukan bahwa kontrol yang ada melebihi kebutuhan saat ini dalam hal perbandingan biaya termasuk pemeliharaan Jika menghapus kontrol berlebihan atau tidak perlu dianggap ( terutama jika kontrol memiliki biaya pemeliharaan yang tinggi ) keamanan informasi dan faktor biaya harus diambil ke rekening Karena kontrol dapat mempengaruhi satu sama lain menghapus kontrol berlebihan bisa mengurangi keseluruhan keamanan di tempat Selain itu mungkin akan lebih murah untuk meninggalkan kontrol berlebihan atau tidak perlu di tempat daripada menghapusnya
Pilihan pengobatan risiko harus dipertimbangkan dengan mempertimbangkan
Bagaimana risiko dirasakan oleh pihak-pihak yang terkena dampak Cara yang paling tepat untuk berkomunikasi dengan pihak-pihak
Pembentukan konteks (lihat 72 - kriteria evaluasi Risk ) memberikan informasi tentang hukum dan peraturan persyaratan dengan mana organisasi perlu mematuhi Risiko untuk organisasi adalah kegagalan untuk mematuhi dan pilihan pengobatan untuk membatasi kemungkinan ini harus dilaksanakan Semua kendala - organisasi teknis dll struktural - yang diidentifikasi selama kegiatan pembentukan konteks harus diperhitungkan selama perlakuan risiko
Setelah rencana perawatan telah ditetapkan risiko residual perlu ditentukan Ini melibatkan update atau re - iterasi dari penilaian risiko dengan mempertimbangkan efek yang diharapkan dari perlakuan resiko yang diusulkan Haruskah risiko residual masih belum memenuhi kriteria penerimaan risiko organisasi iterasi lebih lanjut dari risiko pengobatan mungkin diperlukan sebelum melanjutkan ke risiko penerimaan Informasi lebih lanjut dapat ditemukan di ISO IEC 27002 Klausul 03
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Output Rencana pengobatan Risiko dan risiko residual tunduk pada keputusan penerimaan organisasi manajer
92 Pengurangan Risiko
Tindakan Tingkat risiko harus dikurangi melalui pemilihan kontrol sehingga risiko residual dapat dinilai kembali sebagai diterima
Pelaksanaan bimbingan
Kontrol yang tepat dan dibenarkan harus dipilih untuk memenuhi persyaratan diidentifikasi oleh risiko penilaian dan penanganan resiko Pilihan ini harus mempertimbangkan kriteria penerimaan risiko serta hukum peraturan dan kontrak persyaratan Pilihan ini juga harus memperhitungkan biaya dan jangka waktu untuk pelaksanaan kontrol atau aspek-aspek teknis lingkungan dan budaya Hal ini sering mungkin untuk menurunkan total biaya kepemilikan sistem dengan benar dipilih kontrol keamanan informasi
Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran selama kontrol seleksi penting untuk mempertimbangkan biaya akuisisi implementasi administrasi operasi pemantauan dan pemeliharaan kontrol terhadap nilai aset dilindungi Selain itu laba atas investasi dalam hal pengurangan risiko dan potensi untuk mengeksploitasi peluang bisnis baru yang diberikan oleh tertentu kontrol harus dipertimbangkan Selain itu pertimbangan harus diberikan keterampilan khusus yang mungkin diperlukan untuk mendefinisikan dan menerapkan kontrol baru atau memodifikasi yang sudah ada
Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol Kendala teknis seperti persyaratan kinerja pengelolaan (persyaratan dukungan operasional) dan masalah kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol memberikan rasa aman palsu atau bahkan meningkatkan risiko luar tidak memiliki kontrol ( misalnya memerlukan password yang kompleks tanpa pelatihan yang tepat yang mengarah ke pengguna menulis password bawah) Selain itu bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sambil menjamin keamanan informasi yang memadai Hasil dari langkah ini adalah daftar kemungkinan kontrol dengan biaya mereka manfaat dan prioritas pelaksanaan
Berbagai kendala harus diperhitungkan ketika memilih kontrol dan selama pelaksanaan Biasanya berikut dipertimbangkan
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Kendala 1048707 Waktu Kendala keuangan 1048707 Kendala teknis 1048707 Kendala operasional 1048707 Kendala kultural 1048707 Kendala Etis 1048707 Kendala Lingkungan 1048707 Kendala Legal 1048707 Kemudahan penggunaan 1048707 Personil 1048707 kendala Kendala 1048707 untuk mengintegrasikan kontrol baru dan yang sudah ada
Informasi lebih lanjut tentang kendala untuk pengurangan risiko dapat ditemukan dalam Lampiran F
93 retensi Risiko
Tindakan Keputusan mempertahankan risiko tanpa tindakan lebih lanjut harus diambil tergantung pada evaluasi risiko
CATATAN ISO IEC 27001 421 f 2 ) dengan sengaja dan obyektif menerima risiko memberikan mereka jelas memenuhi kebijakan organisasi dan kriteria risiko menerima menggambarkan kegiatan yang sama
Pelaksanaan bimbingan
Jika tingkat risiko memenuhi kriteria penerimaan risiko tidak ada kebutuhan untuk menerapkan kontrol tambahan dan risiko dapat dipertahankan
94 Penghindaran risiko
Tindakan Kegiatan atau kondisi yang menimbulkan risiko tertentu harus dihindari
Pelaksanaan bimbingan
Ketika risiko yang teridentifikasi dianggap terlalu tinggi atau biaya penerapan perlakuan resiko lainnya optionsexceed manfaat keputusan dapat dilakukan untuk menghindari risiko sepenuhnya dengan menarik diri dari kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan atau mengubah kondisi di mana aktivitas tersebut dioperasikan Sebagai contoh untuk risiko yang disebabkan oleh alam mungkin biaya yang paling efektif alternatif untuk bergerak secara fisik fasilitas pengolahan informasi ke tempat di mana risiko tidak ada atau berada di bawah kendali
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
95 Transfer risiko
Tindakan Risiko harus ditransfer ke pihak lain yang dapat paling efektif mengelola risiko tertentu tergantung pada evaluasi risiko
Pelaksanaan bimbingan
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal Transfer risiko dapat menciptakan risiko baru atau memodifikasi risiko yang teridentifikasi yang ada Oleh karena itu perlakuan resiko tambahan mungkin diperlukan
Transfer dapat dilakukan oleh asuransi yang akan mendukung konsekuensi atau dengan sub-kontraktor mitra yang perannya adalah untuk memonitor sistem informasi dan mengambil tindakan segera untuk menghentikan serangan sebelum membuat tingkat didefinisikan kerusakan
Perlu dicatat bahwa dimungkinkan untuk mentransfer tanggung jawab untuk mengelola risiko tetapi biasanya tidak mungkin untuk mentransfer tanggung jawab dari dampak Pelanggan biasanya akan atribut berdampak buruk sebagai kesalahan organisasi
10 Informasi penerimaan resiko keamanan
Input Rencana pengobatan Risiko dan subjek penilaian risiko residual terhadap keputusan penerimaan manajer organisasi
Tindakan Keputusan untuk menerima risiko dan tanggung jawab untuk keputusan harus dibuat dan secara resmi direkam ( ini berkaitan dengan ISO IEC 27001 ayat 421 h) )
Pelaksanaan bimbingan
Rencana penanganan resiko menjelaskan bagaimana risiko yang dinilai harus diperlakukan untuk memenuhi kriteria penerimaan risiko ( lihat Ayat kriteria penerimaan 72 Risk ) Hal ini penting bagi manajer yang bertanggung jawab untuk meninjau dan menyetujui diusulkan rencana pengobatan risiko dan mengakibatkan risiko residual dan merekam setiap kondisi yang berhubungan dengan seperti persetujuan
Kriteria penerimaan risiko dapat lebih kompleks dari sekadar menentukan apakah atau tidak risiko residual jatuh di atas atau di bawah ambang batas tunggal
Dalam beberapa kasus tingkat risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku Sebagai contoh dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko yang sangat menarik atau karena biaya risiko reduksi terlalu tinggi Keadaan seperti itu
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan Namun tidak selalu mungkin untuk merevisi kriteria penerimaan risiko pada waktu yang tepat Dalam kasus tersebut pengambil keputusan mungkin harus menerima risiko yang tidak memenuhi kriteria penerimaan normal Jika ini adalah diperlukan pengambil keputusan harus secara eksplisit mengomentari risiko dan mencakup pembenaran untuk keputusan untuk mengesampingkan kriteria penerimaan risiko normal
Output Sebuah daftar risiko yang diterima dengan pembenaran bagi mereka yang tidak memenuhi risiko yang normal organisasi kriteria penerimaan
11 Informasi komunikasi risiko keamanan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Aksi Informasi tentang risiko harus ditukar dan atau bersama antara pembuat keputusan dan lainnya pemangku kepentingan
Pelaksanaan bimbingan
Komunikasi risiko adalah kegiatan untuk mencapai kesepakatan tentang bagaimana mengelola risiko dengan bertukar dan atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Informasi meliputi namun tidak terbatas pada keberadaan sifat bentuk kemungkinan tingkat keparahan pengobatan dan penerimaan risiko
Komunikasi yang efektif antara para pemangku kepentingan sangat penting karena ini mungkin memiliki dampak yang signifikan terhadap keputusan yang harus dibuat Komunikasi akan memastikan bahwa mereka yang bertanggung jawab untuk menerapkan risiko manajemen dan orang-orang yang memiliki kepentingan memahami dasar di mana keputusan dibuat dan mengapa tindakan tertentu yang diperlukan Komunikasi adalah bi - directional
Persepsi risiko dapat bervariasi karena perbedaan asumsi konsep dan kebutuhan masalah dan kekhawatiran pemangku kepentingan yang berkaitan dengan risiko atau isu-isu yang sedang dibahas Stakeholder cenderung membuat penilaian pada penerimaan risiko berdasarkan persepsi mereka tentang risiko Hal ini sangat penting untuk memastikan bahwa persepsi para pemangku kepentingan dari risiko serta persepsi mereka tentang manfaat dapat diidentifikasi dan didokumentasikan dan alasan yang mendasari jelas dipahami dan ditangani
Komunikasi risiko harus dilakukan untuk mencapai hal-hal berikut
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Untuk memberikan jaminan hasil manajemen risiko organisasi Untuk mengumpulkan informasi risiko Untuk berbagi hasil dari penilaian risiko dan menyajikan rencana penanganan resiko Untuk menghindari atau mengurangi terjadinya baik dan konsekuensi dari pelanggaran
keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan Untuk mendukung pengambilan keputusan Untuk mendapatkan pengetahuan keamanan informasi baru Untuk berkoordinasi dengan pihak lain dan tanggapan rencana untuk mengurangi
konsekuensi dari setiap kejadian Untuk memberikan pengambil keputusan dan stakeholder rasa tanggung jawab tentang
risiko Untuk meningkatkan kesadaran
Sebuah organisasi harus mengembangkan rencana komunikasi risiko untuk operasi normal maupun darurat situasi Oleh karena itu aktivitas komunikasi risiko harus dilakukan terus menerus
Koordinasi antara pengambil keputusan utama dan pemangku kepentingan dapat dicapai dengan pembentukankomite di mana perdebatan tentang risiko prioritas mereka dan pengobatan yang tepat dan penerimaan dapat mengambil tempat
Hal ini penting untuk bekerja sama dengan PR yang sesuai atau unit komunikasi dalam organisasi untuk mengkoordinasikan semua tugas yang berhubungan dengan komunikasi risiko Hal ini sangat penting dalam hal komunikasi krisis tindakan misalnya dalam menanggapi insiden tertentu
Output pemahaman terus menerus dari proses manajemen risiko keamanan informasi organisasi dan hasil
12 Informasi pemantauan resiko keamanan dan review
121 Pemantauan dan meninjau faktor risiko
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Risiko dan faktor mereka (yaitu nilai aset dampak ancaman kerentanan kemungkinan terjadinya ) harus dipantau dan dikaji ulang untuk mengidentifikasi perubahan dalam konteks organisasi pada tahap awal dan untuk mempertahankan gambaran gambar risiko yang lengkap
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Pelaksanaan bimbingan
Resiko tidak statis Ancaman kerentanan kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa indikasi Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman baru atau kerentanan
Organisasi harus memastikan bahwa berikut ini terus dimonitor
aset baru yang telah dimasukkan dalam ruang lingkup manajemen risiko modifikasi Diperlukan nilai aset misalnya karena kebutuhan bisnis berubah ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum Dinilai Kemungkinan 1048707 bahwa kerentanan baru atau meningkat dapat memungkinkan
ancaman untuk mengeksploitasi ini baru atau diubah kerentanan kerentanan Identified untuk menentukan mereka yang menjadi terkena ancaman baru
atau muncul kembali Dampak Peningkatan 1048707 atau konsekuensi dari ancaman dinilai kerentanan dan risiko di
agregasi menghasilkan di tingkat yang tidak dapat diterima risiko Insiden keamanan informasi 1048707
Ancaman baru kerentanan atau perubahan kemungkinan atau konsekuensi dapat meningkatkan risiko dinilai sebelumnya yang rendah Ulasan risiko rendah dan diterima harus mempertimbangkan setiap risiko secara terpisah dan semua risiko seperti agregat juga untuk menilai potensi akumulasi dampaknya Jika resiko tidak jatuh ke rendah atau diterima kategori risiko mereka harus diperlakukan dengan menggunakan satu atau lebih opsi dipertimbangkan dalam Pasal 9
Faktor-faktor yang mempengaruhi kemungkinan dan konsekuensi dari ancaman yang terjadi bisa berubah karena faktor-faktor yang bisa mempengaruhi kesesuaian atau biaya dari berbagai pilihan pengobatan Perubahan utama yang mempengaruhi organisasi harus menjadi alasan untuk review yang lebih spesifik Oleh karena itu kegiatan pemantauan risiko harus secara teratur diulang dan akan opsi yang dipilih untuk perlakuan resiko harus ditinjau secara berkala
Hasil dari kegiatan pemantauan risiko dapat menjadi masukan untuk kegiatan pengkajian risiko lainnya Organisasi harus meninjau semua risiko secara teratur dan ketika perubahan besar terjadi ( menurut ISO IEC 27001 Ayat 423 ) )
Output keselarasan terus menerus dari manajemen risiko dengan tujuan bisnis organisasi dan dengan risiko kriteria penerimaan
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
122 pemantauan manajemen risiko meninjau dan meningkatkan
Input Semua informasi risiko yang diperoleh dari kegiatan manajemen risiko ( lihat Gambar 1 )
Tindakan Proses manajemen risiko keamanan informasi harus terus dimonitor dan terakhir
ditingkatkan sesuai kebutuhan dan tepat
Pelaksanaan bimbingan
Pemantauan dan review diperlukan untuk memastikan bahwa konteks hasil dari penilaian risiko dan pengobatan risiko serta rencana manajemen tetap relevan dan sesuai dengan keadaan
Organisasi harus memastikan bahwa proses manajemen risiko keamanan informasi dan terkait kegiatan tetap sesuai dalam keadaan sekarang dan diikuti Perbaikan menyetujui proses atau tindakan yang diperlukan untuk meningkatkan kepatuhan dengan proses tersebut harus diberitahukan kepada yang sesuai manajer untuk memiliki jaminan bahwa tidak ada risiko atau risiko elemen diabaikan atau diremehkan dan bahwa tindakan perlu diambil dan keputusan dibuat untuk memberikan pemahaman risiko yang realistis dan kemampuan untuk merespon
Selain itu organisasi harus secara teratur memverifikasi bahwa kriteria yang digunakan untuk mengukur risiko dan unsur-unsurnya masih berlaku dan konsisten dengan tujuan bisnis strategi dan kebijakan dan bahwa perubahan pada konteks bisnis yang dipertimbangkan secara memadai selama manajemen risiko keamanan informasi proses Kegiatan monitoring dan review ini harus alamat (tapi tidak terbatas pada )
1048707 Hukum dan lingkungan konteks Konteks Kompetisi 1048707 Pendekatan Penilaian risiko 1048707 Nilai aset 1048707 dan kategori Kriteria Dampak 1048707 Kriteria evaluasi Risk 1048707 Kriteria penerimaan Risiko 1048707 1048707 Total biaya kepemilikan 1048707 sumber Diperlukan
Organisasi harus memastikan bahwa penilaian risiko dan pengobatan risiko sumber daya yang terus-menerus tersedia untuk meninjau risiko untuk mengatasi ancaman baru atau diubah atau kerentanan dan memberi nasihat kepada manajemen yang sesuai
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses
Pemantauan manajemen risiko dapat mengakibatkan memodifikasi atau menambahkan pendekatan metodologi atau alat yang digunakan tergantung pada
Perubahan 1048707 diidentifikasi Penilaian risiko iterasi Tujuan dari proses manajemen risiko keamanan informasi (misalnya kelangsungan
bisnis ketahanan terhadap insiden kepatuhan) Obyek dari proses manajemen risiko keamanan informasi (misalnya organisasi unit
bisnis informasi proses implementasi teknis aplikasi koneksi ke internet)
Output relevansi terus menerus dari proses manajemen risiko keamanan informasi bagi organisasi yang tujuan bisnis atau memperbarui proses