Get best of the week

Analisis dokumen internasional tentang manajemen risiko keamanan informasi. Bagian 2

Pada bagian sebelumnya , kami menggambarkan konsep umum manajemen risiko dan mengungkapkan metode manajemen risiko sesuai dengan dokumen seri NIST SP 800. Pada bagian ini kami akan terus meninjau dokumen internasional tentang manajemen risiko keamanan informasi: kami memiliki standar ISO 27005 dan 31010 dalam pipa. Mari kita mulai!

gambar

Publikasi khusus yang sebelumnya diulas NIST SP 800-39, NIST SP 800-37, dan NIST SP 800-30 menawarkan pendekatan sistematis yang koheren untuk penilaian risiko dan pemrosesan, sedangkan NIST SP 800-53, NIST SP 800-53A dan NIST SP 800-137 menawarkan langkah-langkah khusus untuk meminimalkan risiko keamanan informasi. Namun, harus diingat bahwa dokumen-dokumen ini pada dasarnya bersifat penasehat dan bukan standar (misalnya, tidak seperti dokumen NIST FIPS), dan juga bahwa dokumen-dokumen tersebut awalnya dikembangkan untuk perusahaan dan organisasi dari Amerika Serikat. Ini memberlakukan batasan tertentu pada penggunaannya: misalnya, organisasi tidak dapat memperoleh sertifikasi internasional untuk implementasi ketentuan dokumen-dokumen ini, dan penggunaan seluruh rangkaian kerangka kerja NIST terkait dapat terbukti terlalu padat karya dan tidak praktis.Seringkali, perusahaan memilih jalur sertifikasi sesuai dengan persyaratan Organisasi Internasional untuk Standarisasi (ISO), menerima, misalnya, status "Sertifikasi ISO 27001", diakui di seluruh dunia. Seri ISO 27000 standar mencakup dokumen tentang keamanan informasi dan manajemen risiko. Pertimbangkan dokumen utama seri ini tentang manajemen risiko IS: standar ISO / IEC 27005: 2018.

ISO / IEC 27005: 2018


Standar ISO / IEC 27005: 2018 "Teknologi informasi - Teknik keamanan - Manajemen risiko keamanan informasi"("Teknologi Informasi - Teknik Keamanan - Manajemen Risiko Keamanan Informasi") adalah revisi ketiga: versi standar pertama kali diterbitkan pada tahun 2005, dan yang kedua pada tahun 2011. Dokumen ini memperkenalkan beberapa istilah khusus risiko. Jadi, sarana perlindungan (kontrol bahasa Inggris) adalah ukuran yang mengubah risiko. Konsep konteks (konteks bahasa Inggris) mencakup konteks eksternal, yang berarti lingkungan eksternal perusahaan (misalnya, lingkungan politik, ekonomi, budaya, serta hubungan dengan pemangku kepentingan eksternal), dan konteks internal, yang berarti lingkungan internal perusahaan (proses internal, kebijakan, standar, sistem, tujuan dan budaya organisasi, hubungan dengan pemangku kepentingan internal, serta kewajiban kontrak).

Risiko- ini adalah hasil dari ketidakakuratan (ketidakpastian bahasa Inggris) dalam mencapai tujuan; Namun, ketidaktepatan berarti keadaan kurangnya informasi terkait dengan peristiwa tertentu, konsekuensinya atau kemungkinan terjadinya. Di bawah tingkat risiko (Eng. Level risiko) dipahami besarnya risiko, dinyatakan sebagai produk dari efek peristiwa signifikan dan probabilitas terjadinya peristiwa ini. Risiko residual ( Risiko residual ) - risiko yang tersisa setelah prosedur perawatan risiko. Di bawah penilaian risiko(Penilaian risiko bahasa Inggris) memahami proses umum identifikasi (yaitu, pencarian, definisi, dan deskripsi risiko), analisis (yaitu memahami sifat risiko dan menentukan tingkatnya) dan penilaian bahaya (yaitu membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan diterimanya nilainya) risiko. Perawatan risiko adalah proses modifikasi risiko yang dapat mencakup:

  • penghindaran risiko dengan menghindari tindakan yang dapat menyebabkan risiko;
  • Penerimaan atau peningkatan risiko untuk mencapai tujuan bisnis;
  • penghapusan sumber risiko;
  • perubahan probabilitas terjadinya risiko;
  • perubahan konsekuensi yang diharapkan dari penerapan risiko;
  • transfer risiko (divisi);
  • pelestarian risiko.

Proses manajemen risiko IS dari sudut pandang penulis standar ISO / IEC 27005: 2018 harus ditandai dengan fitur berikut:

  1. . , ( -).
  2. .
  3. .
  4. , .
  5. .
  6. .
  7. .
  8. .

Proses manajemen risiko itu sendiri terdiri dari langkah-langkah (proses) berikut yang sesuai dengan pendekatan PDCA (Plan-Do-Check-Act) yang diadopsi dalam ISO 27001:

  1. Definisi konteks.
  2. Tugas beresiko.
  3. Kembangkan rencana perawatan risiko.
  4. Mengambil resiko
  5. Implementasi rencana perawatan risiko yang dikembangkan.
  6. Pemantauan dan peninjauan risiko yang berkelanjutan.
  7. Dukungan dan peningkatan proses manajemen risiko IS.

Selanjutnya kami akan mempertimbangkan masing-masing langkah ini secara lebih rinci.

1. Definisi konteks


Saat menentukan konteks, data input adalah semua informasi tentang perusahaan yang relevan dengan manajemen risiko. Sebagai bagian dari proses ini, pendekatan manajemen risiko dipilih, yang harus mencakup kriteria penilaian risiko, kriteria untuk menilai dampak negatif (dampak bahasa Inggris), dan kriteria untuk menerima risiko. Selain itu, sumber daya yang diperlukan untuk pelaksanaan proses ini harus dievaluasi dan dialokasikan.

Kriteria penilaian risiko harus dikembangkan untuk menilai risiko IS di perusahaan dan harus memperhitungkan nilai aset informasi, persyaratan kerahasiaan, integritas, aksesibilitas, peran proses informasi bisnis, persyaratan undang-undang dan kewajiban kontrak, harapan pemangku kepentingan, kemungkinan konsekuensi negatif untuk niat baik dan reputasi perusahaan.

Kriteria untuk menilai dampak negatif harus mempertimbangkan tingkat kerusakan atau pengeluaran perusahaan untuk pulih dari risiko keamanan informasi yang direalisasikan, dengan mempertimbangkan tingkat pentingnya aset TI, pelanggaran keamanan informasi (mis., Hilangnya privasi aset, integritas, sifat aksesibilitas), downtime proses bisnis yang dipaksakan, kerugian ekonomi , pelanggaran rencana dan tenggat waktu, kerusakan reputasi, pelanggaran persyaratan hukum dan kewajiban kontrak.

Kriteria Penerimaan Risikodapat dinyatakan sebagai rasio manfaat bisnis yang diharapkan dengan risiko yang diharapkan. Pada saat yang sama, kriteria yang berbeda dapat diterapkan untuk kelas risiko yang berbeda: misalnya, risiko ketidakpatuhan terhadap undang-undang mungkin tidak diterima pada prinsipnya, dan risiko keuangan yang tinggi dapat diterima jika mereka merupakan bagian dari kewajiban kontrak. Selain itu, periode waktu yang diperkirakan dari relevansi risiko (risiko jangka panjang dan jangka pendek) harus diperhitungkan. Kriteria untuk menerima risiko harus dikembangkan, dengan mempertimbangkan tingkat risiko yang diinginkan (target) dengan kemungkinan manajemen puncak menerima risiko di atas tingkat ini dalam keadaan tertentu, serta kemungkinan menerima risiko yang tunduk pada pemrosesan risiko selanjutnya setelah periode waktu yang ditentukan.

Selain kriteria di atas, sebagai bagian dari proses penentuan konteks, batasan dan ruang lingkup proses manajemen risiko SI harus diperhitungkan: tujuan bisnis, proses bisnis, rencana dan kebijakan perusahaan, struktur dan fungsi organisasi, legislatif yang berlaku dan lainnya. persyaratan, aset informasi, harapan pemangku kepentingan, interaksi dengan rekanan. Anda dapat mempertimbangkan proses manajemen risiko dalam sistem TI spesifik, infrastruktur, proses bisnis, atau dalam bagian tertentu dari seluruh perusahaan.

2. Penilaian risiko


Sebagai bagian dari proses penilaian risiko, perusahaan harus menilai nilai aset informasi, mengidentifikasi ancaman dan kerentanan saat ini, memperoleh informasi tentang pemulihan saat ini dan efektivitasnya, dan menentukan konsekuensi potensial dari risiko tersebut. Sebagai hasil dari penilaian risiko, perusahaan harus menerima penilaian risiko kuantitatif atau kualitatif, serta memprioritaskan risiko ini, dengan mempertimbangkan kriteria untuk menilai risiko risiko dan tujuan perusahaan. Proses penilaian risiko itu sendiri terdiri dari identifikasi risiko, analisis risiko, penilaian risiko bahaya.

2.1. Identifikasi resiko


Tujuan mengidentifikasi risiko adalah untuk menentukan apa yang bisa terjadi dan mengarah pada potensi kerusakan, dan untuk mendapatkan pemahaman tentang bagaimana, di mana dan mengapa kerusakan ini bisa terjadi. Dalam hal ini, seseorang harus memperhitungkan risiko, terlepas dari apakah sumber risiko ini berada di bawah kendali organisasi atau tidak. Sebagai bagian dari proses ini, berikut ini harus dilakukan:

  1. identifikasi (inventaris) aset, menghasilkan daftar aset TI dan proses bisnis;
  2. identifikasi ancaman, sementara itu perlu untuk mempertimbangkan ancaman yang disengaja dan acak, sumber ancaman eksternal dan internal, dan informasi tentang ancaman yang mungkin dapat diperoleh baik dari sumber internal dalam organisasi (pengacara, SDM, TI, dll.) dan dari eksternal (asuransi perusahaan, konsultan eksternal, informasi statistik, dll.);
  3. ;
  4. , ; , , -, , , ;
  5. , , -.

2.2.


Analisis risiko dapat dilakukan dengan kedalaman berbeda, tergantung pada kekritisan aset, jumlah kerentanan yang diketahui, dan juga memperhitungkan insiden sebelumnya. Metodologi analisis risiko dapat bersifat kualitatif dan kuantitatif: sebagai aturan, pertama analisis kualitatif digunakan untuk menyoroti risiko prioritas tinggi, dan kemudian analisis kuantitatif diterapkan pada risiko yang diidentifikasi, yang lebih memakan waktu dan memberikan hasil yang lebih akurat.

Ketika menggunakan analisis kualitatif, spesialis beroperasi pada skala penilaian bahaya deskriptif (misalnya, rendah, sedang, tinggi) dari konsekuensi potensial dari peristiwa tertentu dan kemungkinan konsekuensi ini.

Saat menggunakan metode analisis kuantitatifnilai numerik sudah diterapkan, dengan mempertimbangkan data historis tentang insiden yang telah terjadi. Harus diingat bahwa jika tidak ada fakta yang dapat dipercaya dan dapat diverifikasi, penilaian risiko kuantitatif hanya dapat memberikan ilusi akurasi.

Ketika proses analisis risiko itu sendiri dilakukan, konsekuensi potensial dari insiden IS pertama-tama dinilai: tingkat dampak negatifnya terhadap perusahaan dinilai dengan mempertimbangkan konsekuensi pelanggaran kerahasiaan, integritas, dan ketersediaan aset informasi. Aset yang ada diperiksa dan diaudit dengan tujuan untuk mengklasifikasikannya sesuai dengan kritikalitasnya, dan potensi dampak negatif dari pelanggaran keamanan informasi terhadap aset-aset ini pada bisnis juga dinilai (lebih disukai dalam istilah moneter). Penilaian aset dilakukan sebagai bagian dari analisis dampak negatif terhadap bisnis (Analisis Dampak Bisnis) dan dapat dihitung berdasarkan biaya penggantian atau pengembalian aset / informasi, serta konsekuensi dari kehilangan atau kompromi aset / informasi: aspek keuangan, hukum, dan reputasi dipertimbangkan.Harus juga diingat bahwa ancaman dapat memengaruhi satu atau beberapa aset yang saling terkait atau hanya memengaruhi sebagian saja.

Berikutnya, penilaian probabilitas suatu kejadian, yaitu semua skenario ancaman potensial. Penting untuk mempertimbangkan frekuensi ancaman dan kemudahan eksploitasi kerentanan, dipandu oleh informasi statistik tentang ancaman serupa, serta data tentang motivasi dan kemungkinan sumber ancaman yang disengaja (membangun model penyusup), daya tarik aset untuk penyerang, kerentanan yang ada, tindakan perlindungan yang diterapkan, dan dalam kasus pertimbangan tidak disengaja. ancaman - memperhitungkan lokasi, kondisi cuaca, fitur peralatan, kesalahan manusia, dll. Bergantung pada keakuratan penilaian yang diperlukan, aset dapat dikelompokkan atau dibagi berdasarkan skenario serangan yang berlaku untuk mereka.

Akhirnya, tingkat risiko ditentukan untuk semua skenario dari daftar skenario serangan yang dikembangkan. Besarnya risiko yang diharapkan adalah produk dari probabilitas skenario kejadian dan konsekuensinya.

2.3. Tugas beresiko


Sebagai bagian dari proses penilaian bahaya, tingkat risiko yang diperoleh pada tahap sebelumnya dibandingkan dengan kriteria perbandingan risiko dan kriteria penerimaan risiko yang diperoleh pada tahap penentuan konteks. Ketika membuat keputusan, konsekuensi dari penerapan ancaman, kemungkinan konsekuensi negatif, tingkat kepercayaan pribadi pada kebenaran identifikasi dan analisis risiko harus diperhitungkan. Penting untuk mempertimbangkan properti aset IS (misalnya, jika kehilangan kerahasiaan tidak relevan bagi organisasi, maka semua risiko yang melanggar properti ini dapat diabaikan), serta pentingnya proses bisnis yang dilayani oleh aset tertentu (misalnya, risiko yang memengaruhi proses bisnis yang tidak signifikan mungkin diakui sebagai prioritas rendah).

3. Perawatan risiko IS


Pada awal subproses ini, kami sudah memiliki daftar risiko yang diprioritaskan sesuai dengan kriteria untuk menilai risiko risiko yang terkait dengan skenario kejadian yang dapat mengarah pada realisasi risiko-risiko ini. Sebagai hasil dari melalui tahap pemrosesan risiko, kita harus memilih langkah-langkah perlindungan yang dirancang untuk memodifikasi (mempertahankan), mempertahankan (menghindari) atau mentransfer (berbagi) risiko, dan memproses risiko residual dan membentuk rencana perawatan risiko.

Opsi perlakuan risiko yang ditunjukkan (modifikasi, pelestarian, penghindaran atau transfer) harus dipilih tergantung pada hasil dari proses penilaian risiko, perkiraan biaya yang diharapkan dari pelaksanaan tindakan perlindungan dan manfaat yang diharapkan dari setiap opsi, sementara mereka dapat dikombinasikan (misalnya, memodifikasi probabilitas risiko dan mentransfer risiko residual). ) Preferensi harus diberikan pada langkah-langkah yang mudah diimplementasikan dan anggaran rendah, yang pada saat yang sama memberikan efek besar mengurangi risiko dan mencakup sejumlah besar ancaman, dan jika perlu, penggunaan solusi mahal harus memberikan justifikasi ekonomi untuk aplikasi mereka. Secara umum, seseorang harus berusaha untuk meminimalkan konsekuensi negatif, serta memperhitungkan risiko yang jarang namun merusak.

Akibatnya, orang yang bertanggung jawab harus merumuskan rencana perawatan risiko yang dengan jelas mendefinisikan prioritas dan interval waktu sesuai dengan metode pengolahan setiap risiko yang harus dilaksanakan. Prioritas dapat ditetapkan berdasarkan hasil peringkat risiko dan analisis biaya-manfaat. Jika ada langkah-langkah perlindungan yang telah diterapkan dalam organisasi, akan masuk akal untuk menganalisis relevansi dan biaya kepemilikannya, sambil mempertimbangkan hubungan antara langkah-langkah perlindungan dan ancaman yang menerapkan langkah-langkah perlindungan ini.

Pada akhir rencana perawatan risiko, risiko residual harus ditentukan. Ini mungkin memerlukan pembaruan atau pelaksanaan kembali penilaian risiko dengan mempertimbangkan efek yang diharapkan dari metode perawatan risiko yang diusulkan.

Selanjutnya, kami mempertimbangkan secara lebih rinci opsi yang memungkinkan untuk memproses risiko.

3.1. Modifikasi risiko


Modifikasi risiko menyiratkan manajemen risiko tersebut dengan menerapkan atau mengubah tindakan perlindungan, yang mengarah pada penilaian risiko residual yang dapat diterima. Ketika menggunakan opsi modifikasi risiko, tindakan perlindungan yang dibenarkan dan relevan dipilih yang memenuhi persyaratan yang ditetapkan pada tahap penilaian dan pemrosesan risiko. Berbagai batasan harus diperhitungkan, seperti biaya kepemilikan peralatan pelindung (dengan mempertimbangkan implementasi, administrasi dan pengaruh pada infrastruktur), kerangka waktu dan keuangan, kebutuhan personel yang merawat peralatan pelindung ini, dan persyaratan untuk integrasi dengan langkah-langkah keamanan saat ini dan yang baru. Juga diperlukan untuk membandingkan biaya dari biaya yang ditunjukkan dengan nilai aset yang dilindungi. Tindakan perlindungan meliputi: koreksi, eliminasi, pencegahan, minimalisasi dampak negatif,pencegahan potensi pelanggar, deteksi, pemulihan, pemantauan dan peningkatan kesadaran karyawan.

Hasil dari langkah "Modifikasi Risiko" harus menjadi daftar langkah-langkah perlindungan yang mungkin dengan biayanya, manfaat yang diusulkan dan prioritas implementasi.

3.2. Pelestarian risiko


Pelestarian risiko berarti bahwa, berdasarkan hasil penilaian risiko bahaya, diputuskan bahwa tidak diperlukan langkah-langkah lebih lanjut untuk pengolahannya, yaitu Tingkat estimasi risiko yang diharapkan memenuhi kriteria penerimaan risiko. Perhatikan bahwa opsi ini sangat berbeda dari praktik setan yang mengabaikan risiko, di mana risiko yang sudah diidentifikasi dan dinilai tidak diproses dengan cara apa pun, mis. keputusan adopsi tidak secara resmi diadopsi, meninggalkan risiko dalam keadaan "ditangguhkan".

3.3. Penghindaran risiko


Saat memilih opsi ini, keputusan dibuat untuk tidak melakukan aktivitas tertentu atau mengubah kondisi pelaksanaannya untuk menghindari risiko yang terkait dengan aktivitas ini. Keputusan ini dapat dibuat jika ada risiko tinggi atau jika biaya penerapan tindakan perlindungan melebihi manfaat yang diharapkan. Sebagai contoh, sebuah perusahaan dapat menolak untuk menyediakan layanan online tertentu kepada pengguna yang terkait dengan data pribadi, berdasarkan analisis kemungkinan risiko kebocoran informasi tersebut dan biaya penerapan tindakan perlindungan yang memadai.

3.4. Transfer risiko


Risiko dapat ditransfer ke organisasi yang dapat mengelolanya dengan paling efektif. Dengan demikian, berdasarkan penilaian risiko, keputusan dibuat untuk mentransfer risiko tertentu kepada orang lain, misalnya, dengan mengasuransikan risiko dunia maya (layanan yang semakin populer di Rusia, tetapi masih beberapa kali di belakang ukuran pasar ini, misalnya, di AS) atau dengan mentransfer tanggung jawab untuk memantau dan menanggapi insiden IS pada MSSP (Managed Security Service Provider) atau MDR (Managed Detection and Response), yaitu dalam SOC komersial. Ketika memilih opsi transfer risiko, harus dicatat bahwa transfer risiko itu sendiri bisa menjadi risiko, serta fakta bahwa tanggung jawab untuk mengelola risiko dapat ditransfer ke perusahaan lain, tetapi tanggung jawab atas konsekuensi negatif dari suatu insiden yang mungkin tidak dapat ditransfer ke sana.

4. Penerimaan Risiko


Data input untuk tahap ini adalah rencana penanganan risiko yang dikembangkan pada langkah sebelumnya dan penilaian risiko residual. Rencana manajemen risiko harus menggambarkan bagaimana risiko yang dinilai akan diproses untuk memenuhi kriteria untuk menerima risiko. Orang-orang yang bertanggung jawab menganalisis dan menyetujui rencana perawatan risiko yang diusulkan dan risiko residual akhir, serta menunjukkan semua kondisi di mana persetujuan ini dibuat. Dalam model yang disederhanakan, perbandingan sepele dari risiko residual dengan tingkat yang dapat diterima yang ditetapkan sebelumnya dibuat. Namun, harus diingat bahwa dalam beberapa kasus mungkin perlu untuk meninjau kriteria untuk menerima risiko yang tidak memperhitungkan keadaan atau kondisi baru. Dalam hal ini, mereka yang bertanggung jawab mungkin dipaksa untuk menerima risiko seperti itu,menunjukkan alasan dan komentar tentang keputusan ketidakpatuhan dengan kriteria untuk menerima risiko dalam kasus tertentu.

Sebagai hasilnya, daftar risiko yang diterima dibentuk dengan justifikasi bagi mereka yang tidak memenuhi kriteria yang ditetapkan sebelumnya untuk menerima risiko.

5. Implementasi rencana perawatan risiko yang dikembangkan. Komunikasi risiko IS


Pada tahap ini, rencana perawatan risiko yang dikembangkan dilaksanakan secara langsung: sesuai dengan keputusan yang dibuat, peralatan dan peralatan perlindungan dibeli dan dikonfigurasikan, asuransi cyber dan kontrak respons insiden disimpulkan, dan pekerjaan hukum dilakukan dengan kontraktor. Pada saat yang sama, informasi tentang risiko IS yang teridentifikasi dan langkah-langkah yang diambil untuk mengatasinya dalam rangka mencapai pemahaman bersama tentang kegiatan dikomunikasikan kepada manajemen dan pemangku kepentingan.
Rencana komunikasi risiko keamanan informasi sedang dikembangkan untuk kegiatan terkoordinasi dalam situasi normal dan darurat (misalnya, dalam kasus insiden keamanan informasi utama).

6. Pemantauan dan tinjauan risiko berkelanjutan


Harus diingat bahwa risiko dapat berubah dengan tenang dari waktu ke waktu: aset dan nilainya berubah, muncul ancaman dan kerentanan baru, kemungkinan ancaman, dan tingkat dampak negatifnya berubah. Oleh karena itu, perlu untuk melakukan pemantauan berkelanjutan terhadap perubahan yang terjadi, termasuk dengan keterlibatan kontraktor eksternal yang mengkhususkan diri dalam analisis ancaman IS aktual. Hal ini diperlukan untuk melakukan tinjauan berkala terhadap risiko IS dan metode yang digunakan untuk memperlakukannya untuk relevansi dan kecukupan situasi yang berpotensi berubah. Perhatian khusus harus diberikan pada proses ini pada saat perubahan signifikan dalam pekerjaan perusahaan dan proses bisnis yang sedang berlangsung (misalnya, selama merger / akuisisi, peluncuran layanan baru, perubahan dalam struktur kepemilikan perusahaan, dll.).

7. Dukungan dan peningkatan proses manajemen risiko IS


Mirip dengan pemantauan risiko berkelanjutan, proses manajemen risiko itu sendiri harus terus dipertahankan dan ditingkatkan sehingga konteks, penilaian dan rencana perawatan tetap relevan dengan situasi dan keadaan saat ini. Semua perubahan dan perbaikan harus disepakati dengan pihak yang berkepentingan. Kriteria untuk menilai dan menerima risiko, mengevaluasi nilai aset, sumber daya yang tersedia, aktivitas pesaing dan perubahan peraturan dan kewajiban kontrak harus sesuai dengan proses bisnis saat ini dan tujuan perusahaan saat ini. Jika perlu, perlu untuk mengubah atau meningkatkan pendekatan saat ini, metodologi dan alat manajemen risiko IS.

IEC 31010: 2019


Kami sekarang meninjau secara singkat standar IEC 31010: 2019 “Manajemen risiko - teknik penilaian risiko” .

Standar ini adalah bagian dari serangkaian standar manajemen risiko bisnis yang tidak secara spesifik terkait dengan risiko IS. "Judul" standar adalah ISO 31000: 2018, "Manajemen risiko - Pedoman", yang menggambarkan kerangka kerja, prinsip-prinsip dan proses manajemen risiko itu sendiri. Proses manajemen risiko yang dijelaskan dalam dokumen ini mirip dengan yang dibahas di atas: konteks, batasan dan kriteria ditentukan, penilaian risiko dilakukan (terdiri dari identifikasi, analisis, penilaian risiko bahaya), kemudian ada perlakuan risiko yang diikuti oleh komunikasi, pelaporan, pemantauan dan tinjauan.

Standar IEC 31010: 2019 patut diperhatikan karena memberikan lebih dari 40 teknik penilaian risiko yang berbeda, masing-masing memberikan penjelasan, metode aplikasi untuk semua sub-proses penilaian risiko (identifikasi risiko, identifikasi sumber dan penyebab risiko, analisis tindakan perlindungan, analisis konsekuensi, probabilitas, hubungan dan interaksi, mengukur dan menilai tingkat risiko, pilihan tindakan perlindungan, pelaporan), dan untuk beberapa teknik contoh-contoh praktis penggunaan juga diberikan. Selain itu, untuk standar ini dalam versi domestiknya, GOST R ISO / IEC 31010-2011 “Manajemen risiko. Metode penilaian risiko ”merujuk 607-P dari Bank Sentral Federasi Rusia“ Mengenai persyaratan untuk prosedur untuk memastikan operasi tanpa gangguan dari sistem pembayaran, indikator operasi tanpa gangguan dari sistem pembayaran dan metode analisis risiko dalam sistem pembayaran, termasuk profil risiko ”.

More articles:


All Articles