6.1.1 Umum
6.1.1 Umum
Persyaratan ini mengharuskan organisasi menyusun perencanaan tindakan untuk mengatasi semua jenis risiko dan peluang yang relevan dengan SMKI.
Struktur ISO 27001 membagi risiko menjadi dua kategori:
Mengidentifikasi risiko dan peluang untuk mencapai hasil hasil yang diharapkan dari penerapan SMKI
Mengidentifikasi risiko untuk melindungi informasi dari aspek confidentiality, integrity dan availability
Panduan:
Persyaratan ini mengharuskan organisasi mengevaluasi konteks organisasi berdasarkan subklausul 4.1 dan 4.2, kemudian memastikan risiko dan peluang yang perlu ditangani. Hal ini bertujuan meminimalkan atau menghilangkan kemungkinan risiko yang merugikan operasional sistem manajemen organisasi yang efektif, dan juga untuk memanfaatkan berbagai peluang.
Organiasi wajib menentukan dan menangani risiko dan peluang yang terkait dengan kebutuhan dan harapan pihak-pihak yang berkepentingan. Pihak-pihak ini antara lain pelanggan, klien, user, dan regulator.
Risiko memiliki banyak definisi. Risiko biasanya dinyatakan sebagai potensi terjadinya suatu insiden (seperti akses tidak sah ke informasi Anda) untuk mengeksploitasi kerentanan (kelemahan) dalam sistem kontrol akses Anda yang mengakibatkan pencurian informasi.