Logo PT Digital Solusi Grup New Color White 2024
CONTACT US

Cara Membuat Risk Treatment Plan untuk Sertifikasi ISO 27001

Cara Membuat Risk Treatment Plan

Daftar Isi

Banyak perusahaan di Indonesia yang sudah menginvestasikan waktu dan sumber daya berbulan-bulan untuk mempersiapkan sertifikasi ISO 27001, namun gagal di meja audit hanya karena satu dokumen yang dianggap sepele yaitu Risk Treatment Plan (RTP). 

Padahal, auditor ISO 27001 menjadikan dokumen ini sebagai salah satu penentu utama apakah seluruh sistem manajemen keamanan informasi perusahaan Anda dianggap valid atau tidak. 

Anda tentu tidak ingin hal serupa terjadi pada perusahaan Anda bukan? 

Artikel ini membantu Anda memahami bagaimana menyusun dokumen ini sesuai standar ISO 27001 dan apa saja yang harus dihindari agar proses sertifikasi berjalan lancar.

Cara Menyusun Risk Treatment Plan yang Lolos Audit ISO 27001

Risk treatment plan adalah dokumen formal yang menjelaskan siapa melakukan apa, kapan dilakukan, dan kontrol apa yang digunakan untuk menangani setiap risiko yang sudah diidentifikasi.

Dokumen ini wajib ada dan auditor juga mengecek apakah isinya konsisten dengan risk register dan Statement of Applicability. 

RTP yang lolos audit membutuhkan konsistensi dan traceability di setiap elemennya. Berikut lima langkah yang harus diikuti secara berurutan:

1. Pastikan Risk Register Sudah Lengkap

RTP tidak bisa disusun tanpa hasil asesmen risiko yang jelas. Setiap entri risiko harus mencakup:

  • Deskripsi risiko
  • Risk owner
  • Nilai likelihood
  • Nilai impact
  • Total risk score

Auditor ISO 27001 memiliki kebiasaan untuk menarik satu risiko secara acak dari register, lalu melacak alurnya dari risk register menuju RTP, kemudian ke Statement of Applicability. 

Jika ada mata rantai yang terputus di antara ketiga dokumen tersebut, hasilnya adalah temuan non-conformance yang bisa menghentikan proses sertifikasi.

2. Pilih Opsi Treatment dan Petakan ke Kontrol Annex A

Untuk setiap risiko yang melewati batas toleransi, tentukan opsi treatment yang paling sesuai. Lalu, hubungkan dengan kontrol di Annex A. ISO 27001:2022 yang relevan: 

  • Organizational
  • People
  • Physical
  • Technological

Kontrol yang tidak digunakan tetap harus dijelaskan alasannya dan jangan dibiarkan kosong.

3. Susun Statement of Applicability

SoA adalah salah satu dokumen paling krusial dalam ISO 27001. Isinya mencakup:

  • Semua kontrol Annex A
  • Status (Applicable / Not Applicable)
  • Justifikasi
  • Status implementasi

RTP dan SoA harus sinkron. Jika ada risiko yang dikategorikan sebagai High di risk register, tetapi kontrol justru ditandai Not Applicable di SoA tanpa justifikasi yang kuat, auditor akan langsung mencatat major non-conformance.

Baca Juga : Checklist Legkap Audit Internal ISO 27001: Terbaru 2026

4. Tetapkan Risk Owner dan Dapatkan Persetujuan Formal

Setiap risiko dalam RTP harus memiliki Risk Owner yang jelas dengan otoritas yang sesuai dengan level risiko yang dikelolanya. Contohnya CTO untuk risiko infrastruktur IT, Head of Legal untuk risiko yang berkaitan dengan kontrak vendor, dan seterusnya. 

Persetujuan terhadap residual risk harus terdokumentasi, baik dalam bentuk tanda tangan atau notulen rapat.

Sekali lagi perlu ditegaskan bahwa IT Manager tidak memiliki kewenangan untuk menerima risiko bisnis. Kesalahan penetapan Risk Owner adalah salah satu temuan major yang paling sering muncul dalam audit ISO 27001.

5. Update Residual Risk dan Jadwalkan Review Berkala

Setelah kontrol diimplementasikan, risk register harus diperbarui untuk mencerminkan residual risk score yaitu level risiko yang tersisa setelah treatment diterapkan. 

Jika residual risk masih berada di atas acceptance criteria, maka diperlukan treatment tambahan sebelum melangkah ke proses audit. 

RTP juga harus direview secara berkala, minimal setahun sekali atau saat ada perubahan signifikan (sistem, proses, ancaman baru). Tanpa update, Risk Treatment Plan akan dianggap tidak aktif.

4 Opsi Treatment dalam ISO 27001

ISO 27001 Clause 6.1.3 mengharuskan setiap risiko yang melebihi batas toleransi untuk ditangani secara formal. Ada empat opsi yang bisa dipilih:

1. Mitigasi Risiko (Reduce)

Mitigasi risiko siber adalah opsi yang paling umum dalam proses treatment. Pendekatan ini bertujuan mengurangi likelihood atau dampak dari sebuah risiko dengan cara mengimplementasikan kontrol keamanan dari Annex A ISO 27001. 

Dalam konteks mitigasi risiko, contoh implementasinya adalah: 

  • Penerapan multi-factor authentication yang merujuk pada kontrol A.8.5
  • Enkripsi data yang merujuk pada A.8.24
  • Patch management yang merujuk pada A.8.8. 

Opsi ini dipilih ketika risiko berada di atas acceptance criteria dan tersedia kontrol teknis yang memadai untuk menanganinya.

2. Transfer Risiko (Transfer)

Transfer risiko berarti memindahkan tanggung jawab finansial atas suatu risiko kepada pihak ketiga. Mekanisme yang umum digunakan antara lain pembelian cyber insurance atau penetapan klausul SLA yang ketat dalam kontrak dengan vendor cloud.

Namun perlu diingat bahwa transfer risiko tidak memindahkan akuntabilitas regulasi. Perusahaan tetap bertanggung jawab secara hukum atas keamanan data, termasuk dalam konteks UU PDP.

3. Penghindaran Risiko (Avoid)

Penghindaran risiko berarti menghentikan aktivitas yang menjadi sumber risiko. Opsi ini bisa diambil ketika risiko dinilai terlalu tinggi dan tidak ada kontrol yang cukup efektif untuk mereduksinya ke level yang dapat diterima. 

Contohnya seperti keputusan untuk tidak menyimpan data sensitif klien di sistem legacy yang sudah tidak mendapat dukungan patch keamanan.

4. Penerimaan Risiko (Accept)

Penerimaan risiko dipilih ketika biaya penanganan celah lebih tinggi dari dampak yang ditimbulkan. 

Namun penerimaan risiko bukan berarti mengabaikan begitu saja karena keputusan ini harus didokumentasikan secara formal dan ditandatangani oleh Risk Owner yang memiliki otoritas setara dengan level risiko yang diterima, umumnya setingkat C-level. 

Jangan sampai penerimaan risiko hanya ditandatangani oleh IT Manager yang sebenarnya tidak memiliki kewenangan untuk membuat keputusan bisnis tersebut.

Baca Juga : Panduan ISO 27001:2022: Analisis hingga Sertifikasinya

3 Kesalahan yang Sering Membuat Audit ISO 27001 Gagal

Berdasarkan pengalaman audit, berikut tiga kesalahan utama yang paling sering muncul dan menghambat proses sertifikasi: 

1. Risk Treatment Plan dibuat sekali dan tidak pernah diperbarui. 

Auditor akan memeriksa tanggal dokumen dan riwayat revisinya, jika tidak ada perubahan maka menjadi petunjuk bahwa ISMS perusahaan tidak berjalan sebagaimana mestinya. 

2. Risk Owner yang salah menandatangani persetujuan residual risk. 

Kesalahan ini sering terjadi karena perusahaan tidak mendefinisikan secara jelas siapa Risk Owner untuk setiap kategori risiko sebelum proses dokumentasi dimulai. 

Solusinya adalah menetapkan matriks Risk Owner berdasarkan kategori risiko sejak tahap awal implementasi ISMS.

3. Tidak Sinkron antara RTP dan Statement of Applicability. 

Kondisi di mana risiko bertanda High di register tetapi kontrol terkaitnya justru Not Applicable di SoA tanpa alasan yang memadai adalah temuan klasik yang sering ditemukan auditor. 

Cara mencegahnya adalah membuat traceability matrix yang menghubungkan risiko dengan kontrol secara langsung.

Mengapa RTP Penting bagi Bisnis di Indonesia?

Selain untuk kebutuhan sertifikasi, dokumen ini juga diperlukan untuk kepentingan bisnis seperti: 

1. Syarat Masuk Ekosistem Enterprise

BUMN, lembaga perbankan, dan perusahaan multinasional yang beroperasi di Indonesia mensyaratkan sertifikasi ISO 27001 dalam proses tender dan due diligence mitra bisnis.

2. Kepatuhan Regulasi

UU PDP No. 27/2022 dan regulasi OJK mensyaratkan adanya dokumentasi manajemen risiko siber.

3. Estimasi Biaya Jangka Panjang

Investasi dalam mitigasi risiko siber jauh lebih kecil dibanding menanggung kerugian akibat insiden. Rata-rata biaya kebocoran data global mencapai jutaan dolar, belum termasuk kerugian reputasi yang berdampak jangka panjang terhadap kepercayaan klien.

Siap Menyusun RTP untuk Sertifikasi ISO 27001?

Menyusun risk treatment plan yang benar adalah fondasi dari seluruh proses sertifikasi ISO 27001. Dokumen ini menjadi bukti bahwa sistem keamanan informasi perusahaan Anda dikelola secara sistematis, konsisten, dan dapat dipertanggungjawabkan di hadapan auditor maupun klien bisnis.

Di lapangan, proses ini tidak sederhana. Mulai dari risk register, pemetaan kontrol Annex A, hingga menjaga konsistensi SoA, semuanya butuh ketelitian dan pengalaman.

Tim konsultan DSG telah mendampingi berbagai perusahaan di Indonesia dalam proses persiapan dan sertifikasi ISO 27001. Mulai dari penyusunan dokumen risiko treatment, pembangunan ISMS, hingga pendampingan di hari audit. 

Jika perusahaan Anda sedang mempersiapkan sertifikasi ISO 27001 atau ingin memastikan Risk Treatment Plan yang ada sudah memenuhi standar, kami siap membantu.

Jadwalkan konsultasi gratis tentang kesiapan sertifikasi ISO 27001 perusahaan Anda bersama tim DSG sekarang!

Isi form berikut! Tim kami segera menghubungi Anda.

Konsultasi Keamanan Data DSG
Picture of Nadia Kamila

Nadia Kamila

Hi, I'm Nadia Lidzikri Kamila, an SEO Content Writer specializing in cybersecurity and digital security. Focused on creating well-researched content on malware, ransomware, antivirus solutions, and data protection to help users stay safe in the digital world.
Promo Bitdefender GravityZone September 2024

Temukan kami di Google News

Google News PT Digital Solusi Grup

Postingan Terbaru

Kosakata Cyber

Event DSG