Manajemen resiko memegang peranan penting sebagai tindakan perlindungan bagi aset informasi dan seluruh hal yang berkaitan dengan Teknologi informasi
Tujuan dan Kegunaan
Tujuan
• Resiko Merupakan Dampak negatif yang diakibatkan oleh kelemahan (vulnerability).
• Manajemen resiko merupakan proses identifikasi resiko, mengkaji resiko, dan membuat tindakan untuk mengurangi resiko pada batasan yang dapat diterima.
Kegunaan:
Pengamanan yang baik bagi IT/IS yang berfungsi sebagai penyiman, pengolah, dan penyebar informasi bagi organisasi.
Risk Asessment
System Characterization
Melakukan identifikasi batasan sistem yang ada, sehingga dapat dengan jelas melihat batasan fungsionalitas.
Batasan tersebut didapatkan dengan cara :
Mengumpulkan informasi mengenai sistem yang berkaitan seperti
- Hardwere
- Softwere
- System Interface
- Data and Information
- Person who support and use the IT system.
- System mission
- System and data critically.
- System and data sensitivity.
- Functional Requirements Of IT systems
- Users Of The system
- System security policies governing the IT system.
- System security Architecture
- Current Network Topology
- Information Storage Protection that safeguards system and data availability,
- Integrity, confidentiality.
- Flow of Information
- Technical Control used for the IT system.
- Management Control used for the IT system
- Operational control used for the IT system
- Physical security environment of the IT system
- Environmental security implemented for the IT
- System processing environment (e.g.,controlsfor humidity, water, power, pollution, temperature, and chemicals).
- Threat Identification
- Threat merupakan potensi yang ditimbulkan akibatadanya kelemahan (vulnerability)
- Threat Source identification:
- Natural Threats.
- Human Threats
- Evironmental Threats
- Human threats,motivation and action
- Vulnerability identification, merupakan kelemahan sistem yang mengakibatkan terjadinya pelanggaran keamanan.
- Vulnerability resource
- Development of security requirements checklist.
- Security Criteria
- Likelihood determination
- Impact Analysis
- Control recommendation
- Risk Mitigation
- Management Security Controls
- Detection Management Security Controls
- Operational Security Control
Tiga Sasaran Keamanan :
- Loss of Integrity
- Loss of Availability
- Loss of Confidentiality
Technical Security Control
- Support
- Prevent
- Detect and Recover