1 / 13

Risk Assessment ( Penilaian Resiko )

Risk Assessment ( Penilaian Resiko ). Risk Assessment. Risk Assessment adalah metode yang sistematis untuk menentukan apakah suatu kegiatan / aset mempunyai resiko yang dapat diterima atau tidak .

ping
Download Presentation

Risk Assessment ( Penilaian Resiko )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Risk Assessment(PenilaianResiko) Direktorat Sistem Informasi - Seksi Keamanan Data

  2. Risk Assessment • Risk Assessment adalahmetodeyang sistematisuntukmenentukanapakahsuatukegiatan/asetmempunyairesiko yang dapatditerimaatautidak. • Risk Assessment sangatpentingkarenamembantumenciptakankesadarantentangbahayadanresiko yang didapatkandariaset yang dimiliki. • Hal inibertujuanuntukmengurangikemungkinanbahayadenganmenambahkanlangkah-langkahpengendalian yang diperlukandantindakanpencegahan. • Penilaianjugamemprioritaskanbahayadanmembantumenentukanapakahtindakanpengendalian yang adamemadai • Risk assessment dilakukandenganmetode “Reproducible”, pengukuran yang digunakanharusdapatdigunakanlagi. Direktorat Sistem Informasi - Seksi Keamanan Data

  3. Langkah-langkah Direktorat Sistem Informasi - Seksi Keamanan Data

  4. Identifikasiresiko (1) • Asetinformasiadalahhal yang bernilaibagiperusahaanterkaitdenganpenyediaansuatuinformasi • Klasifikasiasetinformasi : • Informasiberupa database dan file data, kontrakdanperjanjian, dokumentasi system, penelitianinformasi, bukupetunjuk, jejak audit, dsb • Software (perangkatlunakaplikasi, perangkatlunaksistem, perangkatpengembangan, danutilitas) • Fisikberupaperalatankomputer, peralatankomunikasi, removable media, danperalatanlainnya • Jasa (service) berupakomputasidanlayanankomunikasi, utilitasumum, misalnyapemanas, penerangan, listrik, telepon, pipaservis, pelayanangenset, fotokopi, dll • Peopleberupadankualifikasi, keterampilan, danpengalaman • Intengiblesepertireputasidancitraorganisasi Direktorat Sistem Informasi - Seksi Keamanan Data

  5. Identifikasiresiko (2) • Masing-masingasetinformasididefinisikanproperti & atributnya yang dapatmenggambarkanprofilrisikodariasettersebut, yang terdiriatasnama, sub-klasifikasi, lokasipenyimpanan, update/revisi, dll, tergantungdarijenisasetnya. • Masing-masingasetinformasiditentukanpenanggungjawabnya (ownership-nya). • Masing-masingasetinformasidilakukanpenilaianaset (Asset Value) yang dihitungdariaspekConfidentiality, Integrity danAvailability-nyadenganberpedomanpada formula : Asset Value = (Confidentiality + Integrity + Availability) / 3 • Note : confidentiality, integrity dan availability adalah 3 untuktinggi, 2 untuksedangdan 1 untukrendah • Jikanilaiasset value >= 2 makaasettersebutdianggapmemilikiperananpentingdalambisnis • Untuk asset value >= 2, makadilakukanhalsebagaiberikut : • Identifikasithreat (ancaman) danvulnerability (kelemahan) terhadapsetiapaset • Menentukanrisk eventterhadapsetiapasetinformasi Direktorat Sistem Informasi - Seksi Keamanan Data

  6. EvaluasiNilaiResiko (1) • EvaluasiRisiko Residual dilakukandengancaramelakukananalisisnilai severity dan nilai probability dantingkatrisikountuksetiapakibatdariancaman yang terjadi. • Severity adalahdampak terukur yang ditimbulkanolehsuaturisiko, yang diukur berdasarkan tabel (contoh) berikut: Direktorat Sistem Informasi - Seksi Keamanan Data

  7. EvaluasiNilaiResiko (2) • Probabilityadalahpotensikemungkinanterjadinyarisk eventberdasarkandata history/current control/ knowledge base. AnalisisProbabilitydilakukandenganmenggunakan tabel berikut: Direktorat Sistem Informasi - Seksi Keamanan Data

  8. EvaluasiNilaiResiko (3) • Penentuannilaitingkatrisikountuk proses identifikasirisikodenganpendekatanbottom-updiawalidenganmelakukanagregasinilaiSeveritydanProbabilityuntukmasing – masingrisk event melalui tabelberikut: Direktorat Sistem Informasi - Seksi Keamanan Data

  9. EvaluasiNilaiResiko (4) • Tingkat exposurerisikoinformasiditentukanberdasarkanhasilpertambahanantaranilai final (aggregate) Probability(kecendurangan)dengannilai final (aggregate) Severity(Dampak), yang selanjutnyadipetakan di dalampetarisikoinformasiatau dengan berpedoman pada tabel : NRD (Nilai Resiko Dasar), sbb : Direktorat Sistem Informasi - Seksi Keamanan Data

  10. EvaluasiNilaiResiko(5) • Tingkatan-tingkatanrisikoinformasitersebutadalah: Direktorat Sistem Informasi - Seksi Keamanan Data

  11. IdentifikasiOpsiPenangananResiko • Tindakanpenangananresiko yang dapatdiambilantara lain : • Menerima Risiko (Accept Risk): mempertahankan risiko pada tingkat risiko saat ini dengan tidak mengambil tindakan lanjutan. Pilihan ini dapat dilakukan untuk risiko yang dianggap tidak signifikan atau memiliki tingkat kepentingan yang rendah bagi perusahaan. • Memindahkan Risiko (Transfer Risk): memindahkan/menggeser risiko yang ada kepada pihak ketiga yang independen dan memiliki kemampuan finansial yang kuat • Menghindari Risiko (Avoid Risk): menghindari paparan/exposure terhadap kemungkinan terjadinya suatu risiko yang berpotensi terjadi (contoh: menghentikan kegiatan/aktivitas yang dapat menimbulkan risiko tersebut). Tindakan ini dapat dipilih sebagai penanganan terhadap risiko yang memiliki tingkat risiko yang tidak dapat ditoleransi ataupun diterima oleh perusahaan karena memiliki Severity yang signifikan. • Mengurangi Risiko (Reduce Risk): Strategi untuk mengambil tindakan mengurangi tingkat risiko sampai pada tingkat yang dapat diterima dengan memfokuskan pada penurunan Probability dan Severity risiko. (Contoh: mengurangi tingkat risiko dengan menempatkan kontrol tambahan atau menguatkan kontrol dan proses yang sudah ada) Direktorat Sistem Informasi - Seksi Keamanan Data

  12. PenentuanRencanaPengendalianResiko • Untuksetiaprisiko yang tidakdapatditerima (non-acceptable risk) harusdilakukanrencanapengendalianrisiko yang terdiriatasrencana-rencanaterincidariatasopsi-opsi yang telahdipilihkanpadatahapansebelumnya. Apabiladiputuskanuntukmengambilopsimengurangirisiko, makaharusidentifikasirencanapengendalianrisiko yang terdiriatas: • Control Objective dan Control yang dijelaskan dalam Annex A standar ISO 27001:2005 dan tercakup dalam Statement of Applicability (SoA). • Peraturan-perundangan yang berlaku di wilayah Republik Indonesia dan/atau di mana pekerjaan dilakukan, dan • Kontrol-kontrol lain sesuai kebutuhan bisnis. Direktorat Sistem Informasi - Seksi Keamanan Data

  13. Penghitungannilairesiko yang diharapkan • Tingkat Risiko yang Diharapkan (expected risk) harusdihitungkembaliuntuksetiaptingkatrisiko yang telahditentukanuntuksetiapnon-acceptable risk. Tingkat risikosisainiharusdisetujuiolehPengelolaanPuncaksebelumdilakukanpengendalianrisiko. Direktorat Sistem Informasi - Seksi Keamanan Data

More Related