6.1.2 Asesmen risiko keamanan informasi
6.1.2 Asesmen risiko keamanan informasi
Organiasi harus memiliki proses yang sistematis untuk menentukan risiko keamanan informasi.
Kemudian organisasi wajib menilai risiko tersebut dengan mempertimbangkan peluang terjadinya insiden dan tingkat keparahan.
Organisasi perlu mendokumentasikan proses ini dengan baik
Panduan:
Maksud persyaratan di atas mengharuskan perusahaan membuat proses penilaian risiko keamanan informasi. Perlu ditetapkan metode dan kriteria yang digunakan untuk mengidentifikasi, menganalisis, dan mengevaluasi risiko keamanan infromasi, termasuk kriteria untuk menerima tingkat risiko.
Metode yang dipilih harus memungkinkan penilaian risiko dan penilaian ulang untuk menghasilkan hasil dengan cara yang valid, dan konsisten. ISO 27001 memberikan fleksibilitas bagi perusahaan untuk memilih metode yang paling sesuai dengan operasional perusahaan.
Manajemen_Risiko_Keamanan_Informasi.ppt