Evaluasi Penerapan Manajemen Risiko Keamanan Informasi Berbasis ISO 27005

Paparan disampaikan oleh PT. Pilar terkait dengan pekerjaan Jasa Konsultansi Pelaksana Keamanan Informasi. Paparan disampaikan sesuai dengan revisi dan masukan dari internal dari Diskominfo SP sesuai dengan Kerangka Acuan Kerja yang telah ditetapkan. Kegiatan dilaksanakan secara daring pada hari Selasa (21/7/2020).

Dari pekerjaan yang telah diselesaikan, terdapat risk register yang akan digunakan sebagai dasar acuan pembuatan risk treatment. Adapun rangkuman yang didapat adalah rekap nilai risiko tiap jenis aset, 21 risiko aset perangkat keras, 17 risiko aset jaringan komputer, 22 risiko aset perangkat lunak, 35 risiko aset data dan informasi, serta 17 risiko aset personil (SDM).

Secara umum terdapat beberapa rekomendasi agar dapat dilakukan tidak lanjut perbaikan untuk masing-masing risiko, yaitu pengendalian terhadap risiko bersifat terus-menerus dan selalu harus disesuaikan dengan perkembangan tehadap teknologi. Perlu juga dilakukan pengujian kembali terhadap risiko dan dampak setelah diterapkan Pengendalian untuk mendapatkan Nilai Residual dan Nilai Risiko Akhir yang diharapkan.

Nilai risiko akhir yang diharapkan adalah LOW, apabila belum didapatkan nilai tersebut, maka perlu dilakukan pengendalian yang paling efektif dan efisien terhadap risiko. Pengendalian yang dibangun sebaiknya disesuaikan dengan Jenis Ancaman yang terdapat pada ISO 27005, serta perlu dibuat peta jalan risk treatment sesuai dengan risk register yang disusun.

Gegayutan kaliyan pedamelan Jasa Konsultasi Pelaksana Keamanan Informasi, PT PILAR  ngaturaken paparan trep kaliyan revisi lan usulan saking Diskominfo SP ingkang kajumbuhaken kaliyan Kerangka Acuan Kerja (KAK) ingkang sapun dipun tetepaken. Meniko kalampahan sacara daring ing dinten Selasa (21/7/2020).

Saking pedamelan ingkang sampun kalampahan, pinanggih risk register ingkang kaginakaken pinangka dasar acuan ndamel risk treatmen. Dene rangkuman ingkang pinanggih inggih menika rekap nilai resiko saben jinising asset, 21 risiko aset perangkat keras, 17 resiko jaringan computer, 22 risiko aset perangkat lunak, 35 risiko aset data lan informasi sarta 17 risiko aset personil (SDM).

Sacara umum, pinanggih sawetawis rekomendasi supados saget dipun tindak lanjuti ndandosi kangge ing saben risiko, inggih menika ngendaleni tumrap risiko asipat lelajengan lan kedah terus kajumbuhaken kaliyan perkembangan tumrap teknologi. Perlu ugi dipun lampahi pengujian malih ing bab risiko lan dampak saksampunipun katrapaken Pengendalian supados pikantuk Nilai Residual lan Nilai Risiko Akhir ingkang dipun pikajengaken.

Nilai Risiko Akhir ingkang dipun pikajengaken inggih menika LOW, menawi dereng pikantuk nilai kasebat pramila kedah dipun lampahi pengendalian ingkang langkung efektif lan efisien tumrap risiko. Pengendalian ingkang kabangun saenipun kajumbuhaken kaliyan Jenis Ancaman ingkang wonten ing ISO 27005 sarta perlu kadamel peta margi risk treatment ingkang trep kaliyan risk register ingkang sampun kadamel.

The presentation was delivered by PT. Pillars related to the work of Information Security Implementing Consultancy Services. The presentation is delivered in accordance with revisions and internal input from Diskominfo SP in accordance with the Terms of Reference that have been determined. The activity was held online on Tuesday (7/21/2020).

From the completed work, there is a risk register that will be used as a basis for making risk treatment. The summary obtained is a recap of the risk value of each type of asset, 21 hardware asset risk, 17 computer network asset risk, 22 software asset risk, 35 data and information asset risk, and 17 personnel asset risk (HR).

In general, there are a number of recommendations so that improvements can be made to further the respective risks, namely the control of risk is continuous and must always be adjusted to the development of technology. It is also necessary to retest the risks and impacts after applying Control to obtain the expected Residual Value and Final Risk Value.

The final expected risk value is LOW, if no such value has been obtained, then the most effective and efficient control of risk needs to be carried out. The control that is built should be adjusted to the type of Threat contained in ISO 27005, and a risk treatment road map must be made in accordance with the risk register prepared.