RISK ASSESSMENT (ISO 22301:2019)
Tahap inti dari implementasi ISO 22301:2019 BCMS (Business Continuity Management System). Terdiri dari tiga elemen penting, yaitu Business Impact Analysis (BIA), Risk Assessment, dan penyusunan BC Strategy (Business Continuity Strategy). Berikut penjelasan lebih rinci:
RISK ASSESSMENT
- Melakukan identifikasi, analisis, dan evaluasi risiko yang dapat mengganggu kelangsungan bisnis.
- Mengidentifikasi ancaman internal (seperti kebakaran, kebocoran data) dan eksternal (bencana alam, gangguan utilitas).
- Menganalisis kemungkinan terjadinya risiko dan dampak potensialnya terhadap aktivitas bisnis kritikal.
- Mengevaluasi risiko berdasarkan kriteria yang ditetapkan untuk menentukan risiko yang dapat diterima atau tidak.
- Hasilnya adalah pemahaman yang mendalam tentang risiko yang dihadapi organisasi.
Tahapan Threat Assessment (Penilaian Ancaman) sebagai bagian dari implementasi ISO 22301 BCMS:
- Penetapan Ruang Lingkup dan Tujuan
- Menetapkan ruang lingkup dan tujuan dari Threat Assessment, seperti cakupan aset, proses, atau lokasi yang akan dinilai.
- Menentukan jenis ancaman yang akan dipertimbangkan (ancaman internal, eksternal, fisik, siber, dll.).
- Pembentukan Tim Penilaian Ancaman
- Membentuk tim khusus yang terdiri dari perwakilan dari berbagai departemen terkait, seperti operasional, keamanan, TI, fasilitas, dan lain-lain.
- Dapat melibatkan ahli eksternal atau konsultan jika diperlukan.
- Identifikasi Ancaman
- Mengidentifikasi potensi ancaman yang relevan dengan organisasi dan lingkungan operasionalnya.
- Mengumpulkan data dan informasi dari berbagai sumber, seperti catatan insiden sebelumnya, laporan keamanan, analisis risiko industri, dan masukan dari pemangku kepentingan.
- Membuat daftar lengkap ancaman yang teridentifikasi.
- Analisis dan Evaluasi Ancaman
- Untuk setiap ancaman yang teridentifikasi, lakukan analisis terperinci untuk memahami karakteristik, kemungkinan terjadinya, dan dampak potensial.
- Gunakan teknik seperti analisis skenario, pemodelan, dan simulasi untuk membantu evaluasi ancaman.
- Tentukan tingkat risiko setiap ancaman berdasarkan kombinasi kemungkinan dan dampak.
- Penilaian Kerentanan
- Identifikasi kerentanan dalam organisasi yang dapat dieksploitasi oleh ancaman yang teridentifikasi.
- Evaluasi efektivitas kontrol keamanan dan mitigasi yang sudah ada untuk mengatasi kerentanan tersebut.
- Pengembangan Strategi Mitigasi
- Berdasarkan hasil penilaian ancaman dan kerentanan, kembangkan strategi mitigasi yang sesuai untuk mengurangi atau menghilangkan risiko.
- Strategi mitigasi dapat mencakup langkah-langkah seperti pengendalian preventif, rencana tanggap darurat, prosedur pemulihan, pelatihan, atau peningkatan kontrol keamanan.
- Dokumentasi dan Pelaporan
- Dokumentasikan hasil Threat Assessment secara terperinci, termasuk daftar ancaman, evaluasi risiko, kerentanan yang teridentifikasi, dan strategi mitigasi yang direkomendasikan.
- Siapkan laporan yang jelas dan terstruktur untuk dikomunikasikan kepada manajemen dan pemangku kepentingan terkait.
- Pemantauan dan Peninjauan Berkala
- Lakukan pemantauan secara berkala untuk mengidentifikasi perubahan lingkungan, teknologi, atau faktor-faktor lain yang dapat memengaruhi profil ancaman organisasi.
- Tinjau dan perbarui Threat Assessment secara reguler untuk memastikan bahwa penilaian tetap relevan dan up-to-date.
Threat Assessment yang komprehensif dan berkelanjutan membantu organisasi memahami ancaman yang dihadapi dan mengembangkan strategi mitigasi yang efektif. Ini merupakan komponen penting dalam membangun ketahanan dan kesiapan organisasi dalam menghadapi gangguan atau insiden keamanan yang dapat mengancam kelangsungan bisnis.