Bab 6 - Perencanaan
6.1. Tindakan pada peluang dan risiko
6.1.1. Umum
Pengembangan sistem manajemen keamanan informasi harus mempertimbangkan isu internal dan eksternal serta risiko dan peluang untuk:
a) Menjamin bahwa sistem manajemen keamanan informasi mencapai hasil yang diharapkan;
b) Mencegah atau mengurangi dampak yang tidak diinginkan;
c) Mencapai perbaikan kinerja yang berkelanjutan.
PT Metalogix infolink Persada wajib menyusun rencana untuk:
a) Tindakan penanganan risiko dan peluang keamanan informasi;
b) Mengintegrasikan dan menerapkan tindakan ke dalam sistem manajemen keamanan informasi
c) Mengevaluasi keefektifan tindakan yang diambil.
6.1.2. Penilaian Risiko Keamanan Informasi
PT. Metalogix infolink Persada harus menerapkan proses penilaian risiko keamanan informasi (risk assesment) dengan cara:
a) Menetapkan kriteria risiko keamanan informasi yang meliputi kriteria keberterimaan risiko dan kriteria untuk melakukan penilaian risko keamanan informasi
b) Memastikan penilaian risiko yang dilakukan berulang memberikan hasil yang konsisten dan valid
c) Mengidentifikasi risiko keamanan informasi dengan cara
-
Menerapkan proses penilaian risiko keamanan informasi untuk mengidentifikasi risiko yang terkait dengan hilangnya kerahasiaan, integritas dan ketersediaan informasi
-
Mengidentifikasi pemilik risiko
d) Melakukan analisis risiko keamanan informasi
-
Menilai konsekuensi potensial yang akan terjadi jika risiko yang telah teridentifikasi dan menilai kemungkinan realistis terjadinya risiko yang teridentifikasi
-
Menentukan tingkat risiko
e) Melakukan evaluasi risiko keamanan informasi
-
Membandingkan hasil analisis risiko dengan kriteria risiko yang ditetapkan
-
Memprioritaskan risiko yang dianalisis untuk penanganan risiko
Hasil proses penilaian risiko harus didokumentasikan dan dipeliihara.
6.1.3. Penanganan Risiko Keamanan Informasi
PT Metalogix infolink Persada menetapkan penanganan risiko keamanan informsi dengan cara:
a) Memilih opsi penanganan risiko yang tepat
b) Menentukan semua kendali yang diperlukan
c) Membandingkan kendali yang diperlukan dengan security control yang terdapat pada lampiran A standar ISO/IEC 27001:2022
d) Membuat statement of applicability (SoA)
e) Menentukan rencanan pengendalian risiko
f) Mendapatkan persetujuan dari pemilik risiko terhadap rencana pengendalian risiko, termasuk kriteria keberterimaan risiko.
Hasil penanganan risiko harus didokumentasikan dan dipelihara.
6.2. Sasaran keamanan informasi dan rencana untuk mencapai sasaran
6.2.1. PT Metalogix infolink Persada menetapkan sasaran keamanan informasi pada fungsi, tingkatan dan proses yang relevan.
Sasaran keamanan informasi harus memuat hal-hal sebagai berikut:
a) Konsisten dengan kebijakan keamanan informasi;
b) Terukur (jika memungkinkan);
c) Mempertimbangkan persyaratan keamanan informasi, termasuk dari hasil penilaian dan penanganan risiko
d) Dikomunikasikan;
e) Dimutakhirkan seperlunya.
Sasasan keamanan informasi harus didokumentasikan dan dipelihara
Untuk mencapai sasaran keamanan informasi, PT Metalogix infolink Persada harus menjamin hal-hal sbb:
a) Hal-hal yang akan dikerjakan;
b) Sumber daya apa yang diperlukan;
c) Pihak yang bertanggung jawab;
d) Batas waktu penyelesaian;
e) Metode atau cara evaluasi hasil.
6.3. Perencanaan Perubahan
Ketika PT Metalogix infolink Persada menentukan kebutuhan perubahan atas sistem manajemen keamanan informasi, perubahan tersebut harus dilakukan dengan cara yang terencana.