6.1.1 Umum

Organisasi harus menentukan risiko dan peluang untuk:

a) menjamin bahwa sistem manajemen keamanan informasi dapat mencapai hasil yang diinginkan.

b) mencegah atau mengurangi dampak yang tidak diinginkan.

c) mencapai perbaikan yang berkesinambungan.

Organisasi harus membuat rencana untuk tindakan penanggulangan risiko dan menyusun rencana dengan cara:

1) mengintegrasikan dan mengambil tindakan yang berhubungan dengan proses SMKI.

2) melakukan evaluasi keefektifan tindakan yang diambil.

6.1.2 Asesmen Risiko Keamanan Informasi (risk assessment)

Organisasi harus:

a) menetapkan kriteria risiko keamanan informasi yang mencakup:

• kriteria keberterimaan risiko (risk acceptance).

• kriteria untuk melakukan asesmen risiko keamanan informasi.

b) menjamin bahwa asesmen keamanan informasi yang dilakukan berulang-ulang menghasilkan hasil yang konsisten, valid dan sebanding (comparable results).

c) mengidentifikasi risiko keamanan informasi:

• menerapkan asesmen risiko untuk mengidentifikasi risiko yang terkait dengan hilangnya kerahasiaan, integritas dan ketersediaan informasi.

• menentukan pemilik risiko (risk owners).

d) melakukan analisis risiko keamanan informasi:

• menilai konsekuensi bila terjadi risiko.

• menilai kemungkinan terjadinya risiko.

• menentukan tingkat risiko.

e) melakukan evaluasi risiko keamanan informasi:

• membandingkan hasil analisis risiko dengan kriteria risiko.

• menentukan prioritas risiko yang telah dianalisis guna penanganan risiko (risk treatment).

Hasil asesmen risiko harus terdokumentasi.

6.1.3 Penanganan Risiko Keamanan Informasi (risk treatment)

Organisasi harus:

a) memilih penanganan risiko (risk treatment) yang tepat dengan mempertimbangkan hasil asesmen risiko.

b) menentukan setiap kontrol yang diperlukan untuk melaksanakan pilihan penangan risiko yang dipilih.

c) membandingkan kontrol yang telah ditetapkan diatas dengan kontrol pada Lampiran A dan melakukan verifikasi untuk memastikan tidak ada kontrol yang diabaikan.

d) membuat Statement of Applicability yang memuat .

• kontrol keamanan informasi yang diperlukan,

• justifikai pemberlakuan dan pengecualian kontrol Lampiran A.

e) menyusun rencana penanganan resiko (risk treatment plan).

f) meminta persetujuan pemilik risiko (risk owners) atas rencana penanganan risiko dan keberterimaan sisa risiko.

Penanganan risiko (risk treatment) harus terdokumentasi.

back next