1. **Actions to Address Risks and Opportunities**
1.1. **Implementing Actions to Manage Risks and Opportunities**
1.1.1. Setelah risiko dan peluang diidentifikasi, organisasi perlu merencanakan tindakan yang sesuai untuk mengurangi risiko dan memanfaatkan peluang.
1.1.2. Tindakan-tindakan ini harus diintegrasikan ke dalam proses ISMS, dan organisasi perlu memantau efektivitas tindakan ini untuk memastikan hasil yang diinginkan tercapai.
1.1.3. Penilaian risiko perlu terdokumentasi dan mencakup pemilihan metode penanganan, seperti mengurangi, mentransfer, menerima, atau menghindari risiko.
1.2. **Identifying Risks and Opportunities**
1.2.1. Organisasi harus mengidentifikasi risiko dan peluang yang relevan dengan keamanan informasi, mempertimbangkan faktor eksternal dan internal yang dapat mempengaruhi ISMS.
1.2.2. Risiko ini harus dianalisis berdasarkan dampak dan kemungkinannya, dan hasilnya digunakan untuk merencanakan tindakan mitigasi yang tepat.
2. **Information Security Objectives and Planning to Achieve Them **
2.1. **Setting Information Security Objectives**
2.1.1. Tujuan keamanan informasi ditetapkan untuk memastikan bahwa ISMS mencapai hasil yang sejalan dengan kebijakan dan kebutuhan organisasi.
2.1.2. Setiap tujuan harus terukur, sesuai dengan kebijakan keamanan informasi, dan mempertimbangkan hasil penilaian risiko.
2.2. **Documenting, Communicating, and Reviewing Objectives**
2.2.1. Tujuan-tujuan ini perlu didokumentasikan dan dikomunikasikan ke seluruh organisasi agar setiap orang memahami kontribusi mereka.
2.2.2. Organisasi juga harus secara berkala mengevaluasi tujuan ini untuk memastikan bahwa tujuan tetap relevan dan memungkinkan tercapainya perbaikan terus-menerus dalam keamanan informasi.
3. **Planning of Changes**
3.1. **Identifying and Planning Changes**
3.1.1. Organisasi perlu mengidentifikasi kebutuhan akan perubahan dalam ISMS, seperti karena perubahan regulasi, teknologi, atau risiko baru.
3.1.2. Rencana perubahan disusun untuk memastikan semua langkah yang dibutuhkan, termasuk sumber daya dan tanggung jawab, terdefinisi dengan jelas.
3.2. **Implementing and Reviewing Changes**
3.2.1. Perubahan yang telah disetujui diimplementasikan ke dalam ISMS tanpa mengganggu operasi yang sedang berjalan.
3.2.2. Setelah diimplementasikan, perubahan ini dievaluasi untuk memastikan efektivitasnya dan menyesuaikan jika diperlukan untuk memenuhi tujuan keamanan informasi.