Risiko (risk) adalah peristiwa masa depan yang tidak pasti dengan kemungkinan terjadinya dan potensi kerugian. Dalam proyek pengembangan perangkat lunak, kegagalan menggambarkan dampak negatif terhadap proyek, yang dapat berupa penurunan kualitas proyek akhir, peningkatan biaya, penundaan penyelesaian, atau kegagalan total proyek. Manajemen risiko (Risk Management) adalah identifikasi, penilaian, dan penentuan prioritas risiko yang diikuti dengan penerapan sumber daya yang terkoordinasi dan ekonomis untuk meminimalkan, memantau, dan mengendalikan kemungkinan dan/atau dampak peristiwa yang tidak menguntungkan atau untuk memaksimalkan realisasi peluang. Manajemen risiko harus dilakukan selama siklus hidup pengembangan perangkat lunak (SDLC). Aktivitas manajemen risiko terdiri dari dua aktivitas besar. Penilaian risiko (Risk assessment) dan pelaporan risiko (risk reporting). Aktivitas penilaian risiko mencakup identifikasi Risiko, analisis Risiko, dan Prioritas Risiko. Dalam kerangka manajemen risiko yang diusulkan, siklus hidup disajikan untuk mengidentifikasi dan memitigasi risiko selama fase pengembangan perangkat lunak. Dari gambar Risk management activity in SDLC oleh Kavita et al (2014) dijelaskan bahwa aktivitas manajemen risiko melibatkan enam fase:
1. Fase Persyaratan (Requirement phase);
Pada fase persyaratan SDLC, persyaratan dikumpulkan dari pengguna. Risiko dapat terjadi pada setiap fase SDLC karenanya risiko diidentifikasi dan dinilai di sini. Ada dua proses terjadi dalam fase ini: a. Identifikasi aset:Evaluasi kemungkinan terjadinya gangguan tertentu dan pengendalian untuk mengurangi paparan organisasi terhadap risiko tersebut b. Identifikasi ancaman: Mengidentifikasi ancaman keamanan adalah aktivitas yang dipersiapkan dan memerlukan kreativitas karena banyak sistem memiliki persyaratan unik yang menimbulkan ancaman unik. Dalam kerangka ISO 27005 yaitu Identifikasi Risiko.
2. Fase Analisis (Analysis phase) ;
Untuk memahami sifat laporan risiko yang dikumpulkan pada tahap pertama , pengembang harus memahami domain informasi yang memerlukan fungsi, tindakan, dan rencana untuk memitigasi risiko terkait. Tujuan dari tahap analisis adalah untuk menilai probabilitas kerugian dan besarnya setiap item risiko, fase ini berkaiatan sesuai dengan kerangka ISO 27005 yaitu Analisis Risiko.
3. Fase Desain (Design phase);
Selama fase desain pengembangan, tinjau dengan cermat persyaratan dan ekspektasi keamanan dan privasi untuk mengidentifikasi masalah keamanan dan risiko privasi. Mengidentifikasi dan mengatasi kekhawatiran dan risiko ini selama tahap desain adalah hal yang efisien.
Kerangka Risiko ISO 27005 ( itgovernance.co.uk)
4. Fase Pengembangan (Development phase);
Tujuan utama selama fase pengembangan adalah membangun kode komponen solusi serta dokumentasi. Tim terus mengidentifikasi seluruh risiko selama fase ini dan mengatasi risiko-risiko baru yang muncul. Proses ini terdiri dari tiga langkah.