Selamat malam,
Berikut jawaban Quis ke-5 saya,
Matkul : Audit Sistem Informasi
Dosen  : Prof. Dr. Apollo, M.Si.,AK
Menurut ISO 27001, manajemen risiko dapat diintegrasikan dengan Kerangka Risiko. Beberapa penelitian telah dilakukan dengan menggunakan kerangka kerja ISO 31000 dan ISO/IEC 27005:2018 untuk merancang manajemen risiko keamanan informasi pada layanan jaringan (Putri dan Hakim, 2021), Sistem enterprise resource planning (Safitri, dkk., 2021) dan Direktorat Sistem Informasi. Selain itu, penelitian juga dilakukan untuk menilai manajemen risiko teknologi informasi pada Biro Teknologi dan Sistem Informasi (Wijaya, 2022). Penetapan konteks, penilaian risiko, perlakuan risiko, dan penerimaan risiko adalah langkah-langkah umum dalam manajemen risiko. Penilaian risiko dilakukan dengan menganalisis data yang diperoleh dari wawancara, observasi, telaah dokumen, dan kuisioner penilaian. Berdasarkan hasil penilaian, risiko dapat diterima, dikurangi, atau disarankan untuk melakukan perubahan atau kontrol.
Dalam dunia audit, integrasi manajemen risiko dengan System Development Life Cycle (SDLC) memastikan bahwa manajemen risiko dimasukkan ke dalam setiap fase SDLC. Hal ini dilakukan untuk memastikan bahwa risiko diidentifikasi dan ditangani sejak awal proses pengembangan, sehingga mengurangi kemungkinan kesalahan dan pelanggaran keamanan di kemudian hari. Ada beberapa cara manajemen risiko dapat diintegrasikan dengan SDLC:
- Fase Perencanaan: Pada fase ini, manajemen risiko harus dimasukkan ke dalam rencana proyek. Ini termasuk menemukan risiko yang mungkin terjadi dan membuat rencana manajemen risiko untuk mengatasinya (Zunaidi, dkk., 2022)
Fase Analisis: Pada tahap ini, risiko harus dianalisis untuk menentukan potensi dampaknya terhadap proyek. Ini mencakup menentukan kemungkinan setiap risiko terjadi dan konsekuensi yang mungkin terjadi jika risiko tersebut terjadi (Budiantoro, 2022)
- Fase Desain: Risiko harus ditangani selama fase ini dalam desain sistem. Ini termasuk membangun sistem untuk mengurangi dampak dari potensi risiko dan memastikan bahwa langkah-langkah keamanan dilakukan dengan memantau sistem terhadap potensi risiko dan mengatasi masalah.
- Fase Implementasi: Risiko harus ditangani selama fase implementasi sistem. Ini termasuk menguji sistem untuk memastikan bahwa sistem aman dan beroperasi dengan baik dan memastikan bahwa langkah-langkah keamanan sudah tersedia.
- Fase Pemeliharaan: Selama fase ini, risiko harus ditangani dalam pemeliharaan sistem yang sedang berlangsung. Ini termasuk memantau sistem untuk potensi risiko dan menangani masalah.
Menggabungkan manajemen risiko dengan SDLC sangat penting untuk memastikan bahwa risiko diidentifikasi dan ditangani di awal proses pengembangan, sehingga mengurangi kemungkinan terjadinya kesalahan dan pelanggaran keamanan di kemudian hari.
