Dyah Retnani S 5211100003 PAI E

Dyah Retnani S 5211100003 PAI E

RISK MANAGEMENT REVIEW INDEKS KAMI DAN TOOLS LAINIndeks KAMI (Indeks Keamanan Informasi) Versi 2.2, 19 April 2012

PengertianIndeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan pengamanan informasi di sebuah instansi. Alat evaluasi ini tidak ditujukan untuk menganalisa kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005. Data yang digunakan dalam evaluasi ini nantinya akan memberikan snapshot indeks kesiapan - dari aspek kelengkapan maupun kematangan - kerangka kerja keamanan informasi yang diterapkan dan dapat digunakan sebagai pembanding dalam rangka menyusun langkah perbaikan dan penetapan prioritasnya. Area Indeks KAMIProses evaluasi dilakukan melalui sejumlah pertanyaan di masing-masing area di bawah ini:I. Peran TIK di dalam Instansi bagian ini memberikan tingkatan peran dan kepentingan TIK dalam sebuah instansiII. Tata Kelola Keamanan Informasi bagian ini mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta fungsi, tugas, tanggung jawab bagi pengelola keamananIII. Pengelolaan Risiko Keamanan Informasi Bagian ini mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi.IV. Kerangka Kerja Keamanan Informasi Bagian ini mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasi dan strategi penerapannya.V. Pengelolaan Aset Informasi Bagian ini mengevaluasi kelengkapan pengamanan aset informasi, termasuk keseluruhan siklus penggunaan aset tersebut.VI. Teknologi dan Keamanan Informasi Bagian ini mengevaluasi kelengkapan, konsistensi dan efektifitas penggunaan teknologi dalam pengamanan aset informasi.Area Risk ManagementUntuk risk management berada pada area III, di dalam bagian ini mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi. Terdapat beberapa penilaian yang bisa diajukan untuk pemantauan dan evaluasi di area ini, contohnya adalah seperti pada gambar di bawah ini:

Seperti pada gambar di atas, penilaian dilakukan dengan memberikan skor terhadap beberapa pernyataan yang telah ada dalam daftar.Cara PenilaianUntuk poin penilaian dapat dilihat pada contoh table di bawah ini sebagai contoh adalah penilaian untuk peran TIK. Pertanyaan dikelompokkan untuk 2 keperluan. Pertama, pertanyaan dikategorikan berdasarkan tingkat kesiapan penerapan pengamanan sesuai dengan kelengkapan kontrol yang diminta oleh standar ISO/IEC 27001:2005. Setiap jawaban diberikan skor yang nantinya dikonsolidasi untuk menghasilkan angka indeks sekaligus digunakan untuk menampilkan hasil evaluasi dalam dashboard di akhir proses ini.

Pengelompokan kedua dilakukan berdasarkan tingkat kematangan penerapan pengamanan dengan kategorisasi yang mengacu kepada tingkatan kematangan yang digunakan oleh keangka kerja COBIT atau CMMI. Tingkat kematangan ini nantinya akan digunakan sebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapan keamanan informasi di Instansi. Untuk keperluan Indeks KAMI, tingkat kematangan tersebut didefinisikan sebagai: Tingkat I - Kondisi Awal Tingkat II - Penerapan Kerangka Kerja Dasar Tingkat III - Terdefinisi dan Konsisten Tingkat IV - Terkelola dan Terukur Tingkat V - OptimalUntuk membantu memberikan uraian yang lebih detil, tingkatan ini ditambah dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9 tingkatan kematangan. Sebagai awal, semua responden akan diberikan kategori kematangan Tingkat I. Sebagai padanan terhadap standar ISO/IEC 2700:2005, tingkat kematangan yang diharapkan untuk ambang batas minimum kesiapan sertifikasi adalah Tingkat III+.

Gambar di atas merupakan hasil penghitungan skor untuk area Risk (Resiko) pada area 3.Tools LainERM (Enterprise Risk Management) Software

ERM merupakan sebuah framework yang meliputi metode dan proses yang digunakan oleh organisasi untuk mengelola risiko dan memperoleh peluang yang terkait dengan pencapaian tujuan mereka . ERM menyediakan kerangka kerja untuk manajemen risiko , yang biasanya melibatkan pengidentifikasiani peristiwa tertentu atau keadaan yang relevan dengan tujuan organisasi ( risiko dan peluang ) , penilaian meliputi kemungkinan dan besarnya dampak , menentukan strategi dan feedback , dan memantau kemajuan . Dengan mengidentifikasi dan proaktif menangani risiko dan peluang , perusahaan bisnis dapat melindungi dan menciptakan nilai bagi para pemangku kepentingan termasuk pemilik , karyawan, pelanggan , regulator , dan masyarakat secara keseluruhan.

ERM juga dapat digambarkan sebagai pendekatan berbasis risiko untuk mengelola suatu perusahaan , mengintegrasikan konsep pengendalian internal, dan perencanaan strategis . ERM berkembang untuk memenuhi kebutuhan berbagai pihak , yang ingin memahami spektrum yang luas dari risiko yang dihadapi organisasi untuk memastikan pengelolaaannya dilaksanakan secara tepat.

Kerangka kerja ERM yang terpenting adalah menggambarkan pendekatan untuk mengidentifikasi, menganalisis, menanggapi, memantau dan memanajemen. Analisa strategi untuk memberikan feedback mencakup:1. Avoidance : kegiatan dari luar yang menimbulkan resiko2. Reduction: mengambil tindakan untuk mengurangi adanya kemungkinan / dampak yang berkaitan dengan resiko3. Alternative Actions: memutuskan dan mempertimbangkan langkah langkah yang layak untuk meminimalkan resiko4. Share or Insure: mentransfer atau berbagi sebagian dari resiko yang dirasakan untuk mulai dilakukan pembiayaan5. Accept: tidak adanya tindakan yang diambil oleh perusahaan, jadi hanya menerima resiko yang adaPerbandinganNoIndeks KAMIERM

1Indeks penilaianframework

2Terdapat 6 area penilaianHanya merupakan framework penilain untuk risk management saja

3

4

gambar