8.3 Penanganan risiko keamanan informasi
8.3 Penanganan risiko keamanan informasi
Persyaratan ini mengharuskan organisasi untuk menerapkan rencana penanganan risiko keamanan informasi (risk treatment plan) dan kemudian mendokumentasikan hasil penanganan risiko tersebut.
Panduan:
Rencana penanganan risiko keamanan informasi harus dibuat dan diterapkan. Manajemen harus mengalokasikan sumber daya yang cukup untuk penerapan rencana ini. Tujuan penanganan risiko adalah untuk mengatasi risiko yang diidentifikasi.
Dalam praketeknya mengurangi risiko berarti mengubah kemungkinan terjadinya suatu peristiwa (likelihood) atau mengurangi dampak (severity). Rencana penanganan risiko Anda disetujui oleh pengambil keputusan dan pemilik risiko yang relevan.
Memantau dan melacak pelaksanaan risk treatment pkan dengan mempertimbangkan apakah jadwalnterpenuhi, sumber dayanya mencukupi atau tidak, dan apakah personel cukup kompeten untuk melaksanakan kegiatan dan menerapkan pengendalian.
informasi terdokumentasi tentang hasil penerapan penanganan risiko keamanan informasi harus disimpan, termasuk infromasi setiap perubahan yang dilakukan pada rencana penanganan risiko, status penerapan, dan setiap risiko residual yang masih ada. Ini juga harus mencakup bukti penerapan kontrol dan setiap risiko residual. Dokumentasi ini harus tersedia untuk ditinjau oleh pengambil keputusan dan auditor terkait.
Penganan risiko harus dikaji dan rencana penanganan risiko diperbaharui sebagaimana diperlukan untuk mencerminkan perubahan dalam profil risiko.