Implementasi Risk Assessment Pada Divisi Teknologi Informasi Di Pt. Xyz Menggunakan Iso 27005:2008

Authors

  • Muhammad Tsany Malik Atha Nur Telkom University
  • Irfan Darmawan Telkom University
  • Rokhman Fauzi Telkom University

Abstract

Abstrak PT. XYZ merupakan perusahaan yang bergerak dalam pembuatan produk militer dan komersial di Indonesia. PT. XYZ memiliki penerapan manajemen risiko dalam pengelolaan TI (Teknologi Informasi) dan proses bisnis pada divisi TI. Akan tetapi, penerapan tersebut belum sepenuhnya menilai adanya ancaman pada aset TI di divisi TI dan menilai seberapa jauh kontrol yang sudah ada dapat mengurangi ancaman maupun risiko yang akan datang serta dampaknya. Implementasi dan penilaian risk assessment terhadap aset TI dilakukan menggunakan ISO 27005 yang difokuskan untuk melakukan pengelolaan/kontrol terhadap risiko TI. Penerapan risk assessment dilakukan dengan mengacu pada risk scenario pada ISO 27005. Penelitian ini dilakukan dengan mengidentifikasi risk scenario pada aset TI berdasarkan penilaian kontrol yang ada pada ISO 27001. Hasil pada penelitian ini berdasarkan latar belakang tersebut, risk assessment pada aset TI menghasilkan level of risk yang mempunyai nilai ekstrem 2, tinggi 4, moderat 24. Risk response terhadap 6 ancaman yang harus dimitigasi. Risk treatment seperti perencanaan dan penerapan disaster recovery, pengecekan fungsi keamanan fisik untuk mengurangi dampak kebakaran dan cek fungsi alarm di setiap ruangan, asuransi seluruh hardware untuk mengurangi biaya dampak kerusakan, dan menambahkan kapasitas dari web hosting atau dilakukannya pemakaian secara bergantian. Sebagai solusi yang menjadi rekomendasi untuk PT. XYZ sebagai panduan dalam mengelola aset TI. Kata Kunci: ISO 27005, risk assessment, risk scenario, ISO 27001, level of risk, risk treatment. Abstract PT. XYZ is a company engaged in manufacturing military and commercial products in Indonesia. PT. XYZ has the application of risk management in the management of IT (Information Technology) and business processes in the IT division. However, the application has not fully assessed the threats to IT assets in the IT division and assessed the extent to which existing controls can reduce future threats and risks and their impact. Implementation and assessment of risk assessment of IT assets is carried out using ISO 27005 which is focused on managing / controlling IT risks. The application of risk assessment is carried out by referring to the risk scenario at ISO 27005. This study was conducted by identifying risk scenarios on IT assets based on the assessment of controls that exist at ISO 27001. The results of this study based on this background, risk assessment of IT assets generates level of risk has extreme values 2, high 4, moderate 24. Risk response to 6 threats that must be mitigated. Risk treatment such as planning and implementing disaster recovery, checking physical security functions to reduce the impact of fire and checking the alarm function in every room, insurance of all hardware to reduce the cost of damage, and adding capacity of web hosting or using it alternately. As a solution that becomes a recommendation for PT. XYZ as a guide in managing IT assets. Keywords: ISO 27005, risk assessment, risk scenario, ISO 27001, level of risk, risk treatment

Downloads

Published

2020-04-01

Issue

Vol. 7 No. 1 (2020): April 2020

Section

Program Studi S1 Sistem Informasi