6.2 Sasaran keamanan informasi dan perencanaan untuk mencapai sasaran

Organisasi harus menetapkan sasaran keamanan informasi pada fungsi dan tingkat yang relevan.

Sasaran keamanan informasi harus mencakup hal-hal sebagai berikut:

a) konsisten dengan kebijakan keamanan informasi.

b) dapat diukur (jika memungkinkan).

c) mempertimbangkan persyaratan keamanan informasi yang berlaku dan hasil dari asesmen risiko (risk assessment) dan penanganan risiko (risk treatment).

d) dikomunikasikan; dan

e) di update.

Organisasi harus mendokumentasikan sasaran keamanan informasi. Untuk membuat sasaran keamanan informasi, organisasi harus menetapkan:

f) hal-hal yang akan dilakukan.

g) sumber daya yang dibutuhkan.

h) pihak yang bertanggung jawab.

i) waktu penyelesaian.

j) cara mengevaluasi hasil yang dicapai.

back next