Konsultan sertifikasi ISO no. 1 di Jepang
Apa itu risk register? Risk register adalah dokumen yang digunakan organisasi untuk mengidentifikasi, menganalisis, dan mengelola risiko yang berpotensi memengaruhi keberlangsungan bisnis atau sistem keamanan informasi. Dalam konteks ISO 27001, risk register bukan sekadar spreadsheet pelengkap audit. Ini adalah output wajib dari proses risk assessment yang menjadi tulang punggung seluruh sistem manajemen keamanan informasi (ISMS).
Sayangnya, masih banyak perusahaan yang mengisi risk register menjelang audit, lalu menutupnya hingga siklus audit berikutnya. Pertanyaannya sederhana: apakah risk register Anda benar-benar bekerja sebagai sistem manajemen risiko yang hidup, atau hanya dokumen tersimpan di folder compliance?
Artikel ini membahas secara lengkap apa itu risk register, komponen yang wajib ada, contoh format untuk ISO 27001, hingga kesalahan umum yang justru membuat perusahaan gagal di audit sertifikasi.
Apa Itu Risk Register? Definisi dan Fungsinya dalam Manajemen Risiko
Banyak tim IT dan compliance yang masih menyamakan risk register dengan risk assessment. Keduanya berbeda secara fundamental, dan pencampuradukan keduanya adalah awal dari risk register yang tidak efektif.
Risk Register Adalah Dokumen Manajemen Risiko, Bukan Sekadar Checklist
Risk register (risk log atau daftar risiko) adalah dokumen terstruktur yang merekam setiap risiko yang telah diidentifikasi, termasuk analisis kemungkinan terjadinya, dampak yang ditimbulkan, siapa yang bertanggung jawab, dan rencana tindakan yang diambil untuk mengelolanya.
Fungsinya tidak hanya sekedar dokumentasi. Risk register yang dikelola dengan benar menjadi sistem peringatan dini bagi manajemen, alat prioritisasi sumber daya, dan bukti nyata bahwa organisasi menjalankan manajemen risiko secara sistematis, bukan reaktif.
Dalam konteks ISO 27001, risk register adalah output langsung dari proses risk assessment yang dipersyaratkan oleh Klausul 6.1.2. Tanpa risk register yang terdokumentasi, auditor sertifikasi tidak memiliki bukti bahwa organisasi telah melaksanakan risk assessment sama sekali.
Risk Register vs Risk Assessment: Apa Bedanya?
Perbedaan keduanya perlu dipahami sejak awal agar tidak terjadi miskonsepsi dalam penyusunannya.
| Aspek | Risk Assessment | Risk Register |
|---|---|---|
| Definisi | Proses evaluasi sistematis untuk mengidentifikasi, menganalisis, dan mengevaluasi risiko | Dokumen output yang mencatat hasil risk assessment dan rencana penanganannya |
| Sifat | Proses (kegiatan yang dilakukan) | Artefak (dokumen yang dihasilkan) |
| Referensi ISO 27001 | Klausul 6.1.2 | Output wajib dari Klausul 6.1.2 dan 6.1.3 |
| Analogi sederhana | Proses pemeriksaan kesehatan | Rekam medis hasil pemeriksaan |
Baca Juga: Apa Itu ISO 27001: Pengertian, Manfaat, dan Cara Implementasi
Komponen Utama Risk Register yang Wajib Ada
Sebelum membuat risk register, penting untuk memahami apa saja yang harus ada di dalamnya. Risk register yang tidak lengkap komponenya bukan hanya lemah secara analisis, tetapi juga rentan menjadi temuan auditor.
8 Komponen Standar Risk Register
| No. | Komponen | Keterangan |
|---|---|---|
| 1 | ID Risiko | Kode unik untuk setiap risiko. Memudahkan referensi silang dengan dokumen lain seperti risk treatment plan. |
| 2 | Deskripsi Risiko | Penjelasan singkat tentang apa yang bisa terjadi, dari mana sumber risikonya, dan area bisnis yang terdampak. |
| 3 | Likelihood (Kemungkinan) | Penilaian seberapa mungkin risiko ini terjadi. Umumnya menggunakan skala 1 sampai 5 atau Low/Medium/High. |
| 4 | Impact (Dampak) | Seberapa besar kerusakan yang ditimbulkan jika risiko tersebut benar-benar terjadi. |
| 5 | Risk Score | Hasil perkalian atau kalkulasi antara likelihood dan impact. Digunakan untuk memprioritaskan risiko mana yang ditangani lebih dahulu. |
| 6 | Risk Owner | Individu atau tim yang bertanggung jawab memantau dan mengelola risiko tersebut secara aktif. |
| 7 | Response Strategy | Strategi penanganan yang dipilih: mitigate (kurangi), transfer (asuransi/pihak ketiga), avoid (hentikan aktivitas), atau accept (terima risikonya). |
| 8 | Status | Status terkini risiko dan tindak lanjutnya: open, in progress, closed, atau monitored. |
Komponen Tambahan yang Diperlukan untuk ISO 27001
Untuk risk register yang selaras dengan ISO 27001:2022, tiga komponen berikut perlu ditambahkan di luar komponen standar di atas:
- Referensi Annex A Control: Setiap risiko harus dikaitkan dengan kontrol spesifik dari Annex A ISO 27001:2022 yang dipilih sebagai respons. ISO 27001:2022 menyediakan 93 kontrol yang terorganisasi dalam 4 kategori.
- Aset Informasi Terdampak: Identifikasi aset informasi spesifik mana (sistem, data, proses, atau orang) yang terekspos oleh risiko tersebut.
- Residual Risk: Tingkat risiko yang tersisa setelah kontrol diterapkan. Auditor ISO 27001 akan memeriksa apakah residual risk berada di bawah batas penerimaan risiko yang telah ditetapkan organisasi.
Risk Register dalam ISO 27001: Perannya dalam Membangun ISMS yang Efektif
Bayangkan ISMS sebagai bangunan. Kebijakan keamanan informasi adalah pondasinya, kontrol teknis adalah dindingnya, dan audit internal adalah inspeksi rutin yang memastikan bangunan itu kokoh. Risk register adalah peta risiko yang menentukan di mana dinding paling rapuh, bagian mana yang paling rentan diserang, dan kontrol apa yang paling mendesak untuk diperkuat. Tanpa peta itu, seluruh bangunan dibangun di atas asumsi, bukan data.
Klausul ISO 27001 yang Mensyaratkan Risk Register
Kewajiban menyusun risk register tercantum secara eksplisit dalam dua klausul utama ISO 27001:2022:
- Klausul 6.1.2 (Information Security Risk Assessment): Organisasi wajib menetapkan dan menjalankan proses risk assessment yang mencakup identifikasi risiko terhadap kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) aset informasi, serta menetapkan risk owner untuk setiap risiko yang teridentifikasi.
- Klausul 6.1.3 (Information Security Risk Treatment): Setelah risiko diidentifikasi, organisasi wajib memilih opsi penanganan risiko dan mengaitkannya dengan kontrol dari Annex A. Output dari klausul ini adalah Risk Treatment Plan dan Statement of Applicability (SoA). Risk register adalah dokumen yang menghubungkan kedua klausul ini menjadi satu alur yang kohesif.
Risk Assessment vs Risk Register dalam ISO 27001: Apa Bedanya?
Dalam praktik implementasi ISO 27001, risk assessment adalah proses yang dijalankan, sementara risk register adalah bukti dokumentasi bahwa proses tersebut telah dilaksanakan. Keduanya tidak bisa dipisahkan, tetapi juga tidak bisa disamakan.
Risk assessment menjawab pertanyaan: apa yang bisa salah, seberapa besar kemungkinannya, dan seberapa parah dampaknya? Sementara risk register mendokumentasikan jawaban dari semua pertanyaan itu beserta keputusan yang diambil untuk setiap risiko.
Peran Risk Register dalam Siklus ISMS yang Berkelanjutan
Risk register bukan dokumen statis yang dibuat sekali lalu disimpan. Dalam ISO 27001, ia harus diperbarui setiap kali ada perubahan signifikan: penambahan sistem baru, perubahan struktur organisasi, munculnya ancaman baru, atau ketika hasil audit internal ISO 27001 mengidentifikasi celah yang belum tercover.
Pola ini selaras dengan siklus PDCA (Plan, Do, Check, Act) yang menjadi fondasi ISO 27001. Risk register yang dikelola secara aktif adalah bukti bahwa ISMS berjalan sebagai sistem yang hidup, bukan sekadar kumpulan dokumen untuk keperluan sertifikasi.
Contoh Format Risk Register ISO 27001 yang Siap Pakai
Salah satu tantangan terbesar bagi tim yang baru pertama kali menyusun risk register adalah tidak tahu seperti apa format yang diterima auditor. Berikut adalah pendekatan bertahap dan contoh format yang bisa langsung dijadikan acuan.
Langkah Utama Menyusun Risk Register ISO 27001
Proses penyusunan risk register ISO 27001 mengikuti alur yang terstruktur:
- Identifikasi aset informasi: Petakan semua aset yang berada dalam ruang lingkup ISMS, termasuk sistem IT, data pelanggan, proses bisnis, dan personel kunci.
- Identifikasi ancaman dan kerentanan: Untuk setiap aset, identifikasi ancaman yang relevan (misalnya ransomware, akses tidak sah, kesalahan konfigurasi) dan kerentanan yang bisa dieksploitasi.
- Analisis likelihood dan impact: Berikan skor untuk kemungkinan terjadinya risiko (1 sampai 5) dan dampak yang ditimbulkan (1 sampai 5). Risk score dihitung dari perkalian keduanya.
- Pilih Annex A control yang relevan: Untuk setiap risiko yang berada di atas batas penerimaan risiko, tentukan kontrol dari Annex A ISO 27001:2022 yang akan diterapkan.
- Dokumentasikan risk treatment plan dan residual risk: Catat rencana implementasi kontrol, PIC, tenggat waktu, dan hitung residual risk setelah kontrol diterapkan.
Contoh Tabel Risk Register ISO 27001 (Format Sederhana)
Berikut contoh risk register sederhana dengan empat skenario risiko keamanan informasi yang umum dijumpai:
| ID | Aset | Ancaman | L | I | Score | Kontrol Annex A | Status |
|---|---|---|---|---|---|---|---|
| R-01 | Server aplikasi | Akses tidak sah oleh pihak eksternal | 3 | 4 | 12 | A.8.3 Info Access Restriction | Open |
| R-02 | Data pelanggan | Ransomware / enkripsi data ilegal | 4 | 5 | 20 | A.8.13 Info Backup + A.8.7 Malware Protection | In Progress |
| R-03 | Akun karyawan | Kebocoran kredensial akibat phishing | 4 | 4 | 16 | A.5.15 Access Control + A.8.5 Secure Authentication | Open |
| R-04 | Data vendor/mitra | Akses pihak ketiga yang tidak terkontrol | 3 | 4 | 12 | A.5.19 Info Security in Supplier Relations | Open |
Keterangan: L = Likelihood (1–5), I = Impact (1–5), Score = L × I. Risk score di atas 12 umumnya diperlakukan sebagai risiko tinggi yang memerlukan tindakan segera. Batas penerimaan risiko ditetapkan oleh masing-masing organisasi sesuai konteks dan risk appetite-nya.
5 Kesalahan Umum Perusahaan Saat Menyusun Risk Register
Dari pendampingan sertifikasi ISO 27001 yang telah kami lakukan, ada pola kesalahan yang berulang. Kesalahan ini bukan hanya menghasilkan temuan di audit, tetapi dalam beberapa kasus membuat perusahaan harus menunda sertifikasi.
| No. | Kesalahan | Konsekuensi Nyata |
|---|---|---|
| #1 | Risk register dibuat sekali saat audit, lalu tidak diperbarui | Saat surveillance audit, auditor menemukan risk register sudah tidak mencerminkan kondisi sistem terkini. Ini salah satu temuan Minor NC paling umum di audit ISO 27001. |
| #2 | Risk owner tidak ditetapkan atau hanya nama tanpa tanggung jawab nyata | Tanpa risk owner yang accountable, tidak ada yang memantau status risiko. Tindak lanjut mitigasi terhenti di atas kertas. |
| #3 | Tidak ada metodologi risk scoring — semua dinilai ‘High’ tanpa kriteria | Risk scoring tanpa kriteria yang konsisten membuat prioritisasi tidak bermakna. Auditor ISO 27001 akan mempertanyakan bagaimana scoring dilakukan. |
| #4 | Risk treatment plan tidak terhubung ke Annex A ISO 27001 | Mencantumkan ‘pasang antivirus’ sebagai mitigasi tanpa menyebutkan referensi kontrol Annex A spesifik. Ini berpotensi menjadi temuan Major NC. |
| #5 | Risk register hanya mencakup risiko IT, mengabaikan risiko people dan process | ISO 27001 mensyaratkan cakupan menyeluruh: risiko dari orang (insider threat, kesalahan manusia), proses (prosedur tidak terdokumentasi), dan teknologi. |
Risk register yang dibuat hanya sebagai formalitas audit dapat menimbulkan risiko serius. Banyak insiden keamanan, seperti kebocoran data, akses tidak sah, atau gangguan sistem, sebenarnya berasal dari risiko yang sudah teridentifikasi tetapi tidak pernah ditindaklanjuti.
Susun Risk Register ISO 27001 yang Audit-Ready Bersama 3AC
Risk register bukan beban administratif. Ia adalah bukti bahwa perusahaan Anda tahu di mana titik lemahnya dan sudah mengambil langkah nyata untuk mengatasinya.
3AC adalah bagian dari 3A Consulting Co., Ltd. Jepang, konsultan sertifikasi ISO nomor satu di Jepang sejak 1999. Selama lebih dari 23 tahun mendampingi ribuan perusahaan, kami tahu persis di mana auditor paling sering menemukan celah dalam risk register dan bagaimana menutupnya sebelum audit dimulai.
Kami menangani seluruh prosesnya, mulai dari penyusunan risk register hingga pendampingan di hari audit, sehingga operasional bisnis Anda tetap berjalan tanpa gangguan. Jika perusahaan Anda sedang mempersiapkan sertifikasi dan membutuhkan layanan konsultasi ISO 27001 atau ingin memastikan risk register yang ada sudah audit-ready, hubungi kami untuk konsultasi awal tanpa biaya.
