Embedded Files
Organisasi harus menerapkan proses penanganan risiko keamanan informasi untuk:
a) memilih opsi penanganan risiko keamanan informasi yang tepat dengan mempertimbangkan hasil asesmen risiko;
b) menentukan seluruh kontrol yang diperlukan untuk mengimplementasikan opsi penanganan risiko keamanan informasi yang dipilih;
c) melakukan komparasi antara kontrol yang ditentukan pada butir 6.1.3 b) dengan kontrol dalam Lampiran A (Annex A) serta memverifikasi bahwa tidak ada kontrol yang diperlukan yang terlewatkan;
d) menyusun SoA (Statement of Applicability) yang memuat:
1) kontrol yang diperlukan;
2) justifikasi inklusi kontrol;
3) status implementasi kontrol (diimplementasikan atau tidak); dan
4) justifikasi eksklusi kontrol dari Lampiran A;
e) menyusun rencana penanganan risiko keamanan informasi;
f) memperoleh persetujuan pemilik risiko terhadap rencana penanganan risiko keamanan informasi serta akseptasi risiko keamanan informasi residual.
Organisasi harus menyimpan informasi terdokumentasi yang berkaitan dengan proses penanganan risiko keamanan informasi
Contoh SoA (Statement of Applicability) bisa lihat dokumen di bawah ini:
SoA_SO27001-2022.xlsxPage updated
Google Sites
Report abuse