2.5.1
NIST Special Publication 800-30
NIST
(National
Institute
of Standard
and
Technology)
mengeluarkan
rekomendasi
melalui
publikasi
khusus
800
–
30
tentang
Risk
Management
Guide
for
Information
Technology
System. Terdapat tiga proses pengelolaan
risiko, yaitu:
1. Proses Penilaian Risiko
a.
Karakteristik
Sistem
Dalam
menilai
risiko
untuk
sebuah
sistem
TI, langkah
pertama
adalah
untuk
menentukan
cakupan
usaha.
Pada
tahap
ini, batas-batas
terhadap
sistem
yang
diidentifikasi,
bersama
dengan
sumber
daya
dan informasi
yang
merupakan
sistem.
Karakteristik
sebuah
sistem
TI
membentuk
ruang
lingkup
dari
risiko
usaha,
yang
menggambarkan
operasional
otorisasi
atau
akreditasi
batas-batas,
dan
menyediakan informasi
(misalnya,
perangkat
keras,
perangkat
lunak,
sistem konektivitas, dan divisi yang bertanggung jawab atau dukungan
personil) yang penting untuk menentukan
risiko.
b.
Identifikasi Ancaman
Identifikasi
ancaman
yang
mungkin
menyerang
kelemahan
sistem
TI. Sebuah
kelemahan
atau
kerentanan
dapat
dipicu
dari kesengajaan
ataupun
ketidaksengajaan,
sebuah sumber ancaman tidak akan menghasilkan sebuah
risiko
jika
tidak
ada kelemahan
yang
dibiarkan.
Dalam
mempertimbangkan
kemungkinan
adanya
ancaman,
hal yang
tidak
boleh
diabaikan,
yaitu:
mempertimbangkan
sumber ancaman, potensi kerentanan, dan kontrol yang
ada.
 |