SNI ISO/IEC 27001:2013 dapat digunakan pada setiap organisasi dimana salah penggunaan, korupsi, atau hilangnya data bisnis atau informasi pelanggan yang dapat berdampak merugikan pada aktifitas komersial utama. Penerapan lainnya untuk SNI ISO/IEC 27001:2013 untuk berbagai macam sektor-sektor penyimpanan dan pergudangan, keamanan data program, telekomunikasi, periklanan, proses sub-kontrak keuangan dan pengembangan piranti lunak.
Untuk meminimalkan risiko terhadap insiden keamanan informasi, SNI ISO/IEC 27001:2103 mempersyaratkan manajemen untuk:
- Memeriksa resiko keamanan informasi organisasi, dengan mempertimbangkan ancaman (threats), kerentanan (vulnerabilities), dan dampaknya (impacts) secara sistematis.
- Merancangan dan mengimplementasikan kontrol keamanan informasi yang koheren dan komprehensif dan/atau bentuk pengendalian resiko lainnya untuk menghadapi resiko-resiko tersebut yang dianggap tidak dapat diterima.
- Mengadopsi proses manajemen yang menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi kebutuhan keamanan informasi organisasi secara berkelanjutan.
Dalam penerapan SNI ISO/IEC 27001:2013 menggunakan siklus Plan-Do-Check-Act (PDCA) untuk semua proses di ISMS. Siklus PDCA mencakup:
- Plan (menentukan ISMS)
- Do (mengimplementasikan ISMS)
- Check (mengawasi dan meninjau ulang ISMS)
- Act (memperbaharui dan memperbaiki ISMS)
Semua aset yang berada dalam sebuah perusahaan akan diidentifikasi agar terhindar dari insiden keamanan informasi yang menyebabkan Confideality, Integrity dan Availability sebuah data menjadi rusak. Proses manajemen risiko sesuai ISO 31000 dapat diterapkan dalam beberapa langkah kerja.
Proses Manajemen Risiko Keamanan Informasi tidak terlepas dari proses risk assessment dan risk treatment. Namun sayangnya pemahaman terhadap risiko seringkali masih terbatas pada sesuatu yang bersifat negatif. Padahal risiko yang dimaksud pada SNI ISO/IEC 27001:2013 adalah risiko negatif dan risiko positif (peluang). Pemanfaatan pemahaman terhadap kedua jenis risiko ini dapat memaksimalkan potensi yang dimiliki oleh organisasi sehingga dapat mencapai tujuan organisasi dengan baik.
SNI ISO/IEC 27001;2013 menetapkan proses penanganan risiko dan peluang sesuai dengan klausul 6.1 Penanganan Risiko dan Peluang, yang dapat dijabarkan dalam beberapa langkah kerja sebagai berikut :
- Metodologi Penilaian Risiko, perusahaan perlu menentukan aturan bagaimana akan melakukan penilaian atas manajemen risiko dikarenakan seluruh bagian/ departemen dalam sebuah perusahaan harus melakukannya dengan cara yang sama, perusahaan perlu menentukan apakah ia ingin penilaian kualitatif atau kuantitatif dalam hal penilaian risiko, dalam skala apa perusahaan menggunakan penilaian kualitatif, apa yang akan menjadi tingkat risiko yang dapat diterima, dll.
- Pelaksanaan Penilaian Risiko, setelah adanya aturan tesebut, perusahaan dapat mulai mencari tahu potensi masalah yang bisa terjadi. Buat daftar semua aset perusahaan, identifikasi ancaman dan kerentanan yang berkaitan dengan aset tersebut, nilai dampak dan kemungkinan untuk setiap kombinasi dari aset / ancaman / kerentanan dan akhirnya hitung tingkat risiko.
- Pelaksanaan Penanganan Risiko, Tentu saja, tidak semua risiko memiliki nilai yang sama, perusahaan harus fokus pada risiko yang paling penting, yang biasa disebut “risiko yang tidak dapat diterima”. Sementara risiko yang dapat diterima ditempatkan pada prioritas akhir. Ada empat pilihan yang dapat dipilih dari untuk penanganan risiko yang tidak dapat diterima:
- Terapkan kontrol keamanan dari Lampiran A ISO 27001.
- Transfer risiko ke pihak lain – misalnya kepada perusahaan asuransi dengan membeli polis asuransi.
- Hindari risiko dengan menghentikan kegiatan yang terlalu berisiko, atau dengan melakukan hal itu dengan cara yang sama sekali berbeda.
- Menerima risiko, jika misalnya biaya untuk mengurangi risiko lebih tinggi dibandingkan kerusakan yang ditimbulkan.
- Lakukan Penilaian Risiko, perusahaan perlu membuat penilaian risiko dan peluang untuk menempatkan yang prioritas sebagai sasaran utama pelaksanaan penanganan risiko.
- Buat Dokumen Penerapan Keamanan, berdasarkan hasil perlakuan resiko, perusahaan perlu membuat daftar apa saja kontrol yang telah diterapkan, mengapa perusahaan menerapkannya dan bagaimana penerapannya. Dokumen ini sebagai bukti telah diterapkannya penerapan manajemen risiko dan sekaligus sebagai eviden saat akan diaudit
- Rencana Pengelolaan Risiko, sebagai kelanjutan dari semua proses tentu harus ada peningkatan daalam pengelolaan risiko secara berkesinambungan.
About the author