8.2 Asesmen risiko keamanan informasi

Panduan:

Manajemen perlu melakukan penilaian risiko keamanan informasi pada selang waktu yang terencana atau ketika terjadi perubahan yang signifikan. Perubahan bisa berasal dari berbagai sumber. Misalnya perubahan persyaratan dari pihak berkepentingan, atau perubahan penggunaan teknologi baru,  Melakukan penilaian risiko keamanan informasi secara berkala merupakan aktivitas penting untuk memastikan SMKI mutakhir dan efektif. atau perubahan layanan yang lebih efisien. Semua perubahan itu memiliki risiko terhadap keamanan informasi.

Frekuensi penilaian rsiiko akan bergantung pada ukuran dan kompleksitas perusahaan. Tidak ada periode yang ditetapkan kapan harus melakukan penilaian risiko. Penetapan ini ditentukan internal perusahaan. Manajemen sebaiknya menentukan, misalnya, apakah penilaian risiko dilakukan per tahun atau periode yang lebih singkat.  Diluar periode penilaian yang telah ditentukan , tentu ada penilaian risiko yang diluar jadwal, misalnya jika terjadi perubahan atau adanya insiden.

Dengan melakukan penilaian risiko keamanan informasi secara berkala dapat dipastikan bahwa perusahaan  mengelola risiko keamanan informasi dan melindungi aset informasinya secara efektif. Dokumentasi mengenai hasil penilaian risiko ini merupakan sumber penting untuk memahami risiko keamanan informasi dan tindakan yang diambil untuk mitigasi risiko.