ISO/IEC 27001 dan ISO/IEC 31000:2009 memiliki definisi yang berbeda mengenai identifikasi risiko. Apa saja proses identifikasi risiko berdasarkan ISO/IEC 27001?
ISO/IEC 27001 merupakan standar yang dapat menjelaskan bagaimana proses identifikasi risiko yang komprehensif. Di bawah ini adalah proses identifikasi risiko berdasarkan ISO/IEC 27001, yaitu :
- Identifikasi aset-aset teknologi informasi yang dimiliki oleh organisasi.
- Identifikasi ancaman pada setiap aset-aset teknologi informasi.
- Identifikasi kerentanan yang diakibatkan oleh ancaman.
- Identifikasi dampak kerugian dalam aspek confidentiality, integrity dan availability.
Sehingga keterkaitan antara ISO/IEC 27001 dengan ISO/IEC 31000:2009 tercermin seperti gambar di bawah ini.