Definisi Risiko Menurut ISO 31000
ISO 31000 mendefinisikan risiko sebagai "efek dari ketidakpastian terhadap pencapaian sasaran" (the effect of uncertainty on objectives). Efek ini dapat berupa deviasi positif atau negatif dari yang diharapkan.
Dalam konteks keamanan sistem informasi, risiko menurut ISO 31000 diadaptasi sebagai segala bentuk ketidakpastian yang dapat berdampak pada atau menghambat pencapaian tujuan organisasi terkait perlindungan informasi, khususnya kerahasiaan, integritas, dan ketersediaan data (CIA Triad).
Contoh penerapan definisi risiko menurut ISO 31000 dalam konteks keamanan sistem informasi adalah sebagai berikut:
Sebuah perusahaan perbankan memiliki tujuan untuk menjaga kerahasiaan dan integritas data nasabah agar tidak bocor atau dimanipulasi. Namun, terdapat ketidakpastian berupa kemungkinan serangan siber (ancaman) yang memanfaatkan kelemahan sistem keamanan yang belum diperbarui (kerentanan). Risiko yang muncul adalah terjadinya kebocoran data nasabah yang dapat merusak reputasi perusahaan dan mengganggu operasional bisnis. Oleh karena itu, perusahaan harus melakukan penilaian risiko dengan mengidentifikasi, menganalisis, dan mengelola risiko ini agar tujuan keamanan informasi tetap tercapai.
No comments:
Post a Comment