Embedded Files
Persyaratan ini mengharuskan organisasi untuk menerapkan rencana penanganan risiko keamanan informasi (risk treatment plan) dan kemudian mendokumentasikan hasil penanganan risiko tersebut.
Panduan:
Panduan:
Rencana penanganan risiko (risk treatment plan) keamanan informasi harus dibuat dan diterapkan. Manajemen harus mengalokasikan sumber daya yang cukup untuk penerapan rencana ini. Tujuan penanganan risiko adalah untuk mengatasi risiko yang diidentifikasi.
Dalam praktiknya, mengurangi risiko berarti mengubah kemungkinan terjadinya suatu peristiwa (likelihood) atau mengurangi dampak (severity). Rencana penanganan risiko Anda harus disetujui oleh pengambil keputusan dan pemilik risiko yang relevan.
Memantau dan melacak pelaksanaan risk treatment dilakukan dengan mempertimbangkan apakah jadwal terpenuhi, sumber daya mencukupi atau tidak, dan apakah personel cukup kompeten untuk melaksanakan kegiatan serta menerapkan pengendalian.
Informasi terdokumentasi tentang hasil penerapan penanganan risiko keamanan informasi harus disimpan, termasuk informasi mengenai setiap perubahan yang dilakukan pada rencana penanganan risiko, status penerapan, dan setiap risiko residual yang masih ada. Hal ini juga harus mencakup bukti penerapan kontrol dan setiap risiko residual. Dokumentasi ini harus tersedia untuk ditinjau oleh pengambil keputusan dan auditor terkait.
Penanganan risiko harus dikaji dan rencana penanganan risiko diperbarui sebagaimana diperlukan untuk mencerminkan perubahan dalam profil risiko
Page updated
Google Sites
Report abuse