a. Manajemen risiko keamanan informasi menggunakan pendekatan berbasis aset informasi.
b. Proses penilaian risiko dan penanganan risiko dilakukan minimal 1 tahun sekali.
c. Keseluruhan proses penilaian risiko keamanan informasi dan proses penanganan risiko keamanan informasi menggunakan Lembar Manajemen Risiko Keamanan Informasi (STD-MNRG-CQM-QCM-009). Lembar manajemen risiko keamanan informasi diperiksa oleh Management Representative dan disetujui oleh Presiden Direktur.
d. Divisi sebagai risk owner yang memiliki aset informasi di dalam ruang lingkup sistem manajemen informasi bertanggung jawab sebagai asset owner yang wajib melakukan pengamanan informasi dan identifikasi aset informasi serta hubungannya dengan risiko keamanan informasi.
