6.1.3 Penanganan risiko keamanan informasi

Organisasi harus mengaplikasikan proses penanganan risiko keamanan informasi untuk:

a) memilih opsi penanganan risiko keamanan informasi yang tepat, dengan mempertimbangkan hasil asesmen risiko;

b) menentukan semua kontrol yang diperlukan untuk mengimplementasikan opsi penanganan risiko keamanan informasi yang dipilih;

c) melakukan komparasi kontrol yang ditentukan pada 6.1.3 b) di atas kontrol dalam Lampiran A dan memverifikasi bahwa tidak ada kontrol yang diperlukan terhilangkan;

d) Menyusun SoA (statement of applicability) yang memuat:

• kontrol yang diperlukan 

• justifikasi inklusinya;

• apakah kontrol yang diperlukan tersebut telah diimplementasikan atau tidak; dan

• justifikasi eksklusi dari kontrol Lampiran A;

e) menyusun rencana penanganan risiko keamanan informasi; 

f) memperoleh persetujuan pemilik risiko terhadap rencana penanganan risiko keamanan informasi dan akseptasi risiko keamanan informasi residual.

Organisasi harus menyimpan informasi yang terdokumentasi tentang proses penanganan risiko keamanan informasi.