Berdasarkan definisi dari ISO Guide 73, risiko adalah dampak dari ketidakpastian terhadap suatu objektif atau tujuan. Dampak tersebut merupakan deviasi dari keadaan yang diinginkan, baik bernilai positif maupun negatif. Hal yang perlu ditekankan disini adalah risiko tidak hanya hal-hal yang bernilai negatif saja, melainkan risiko juga dapat berupa hal-hal yang positif (dapat pula disebut sebagai suatu opportunity).
Apa tujuan dilakukannya Penanganan Risiko Keamanan Informasi (Information Security Risk Treatment) ?
Berdasarkan klausul 6.1.3, ISO27001:2013, organisasi harus mendefinisikan dan menerapkan proses Penanganan Risiko Keamanan Informasi (Information Security Risk Treatment) untuk:
Memilih opsi penanganan risiko yang sesuai
Menentukan semua kendali yang mencukupi untuk mengimplementasikan pilihan penanganan risiko keamanan informasi
Membandingkan kendali yang telah ditentukan dengan Annex A dan melakukan verifikasi untuk memastikan bahwa tidak ada kendali penting yang diabaikan
Menghasilkan Statement of Applicability yang mengandung kendali yang dibutuhkan serta justifikasi yang menentukan apakah kendali telah diimplementasikan atau tidak.
Memformulasikan perencanaan penanganan risiko keamanan informasi
Memperoleh persetujuan dari risk owner terkait perencanaan penanganan risiko keamanan informasi dan persetujuan dari resiko residu keamanan informasi
