Elemen Kritis tentang Program Sukses Keamanan Informasi
Dicetak di Amerika Serikat
Ringkasan Eksekutif
Tantangan pelaksanaan yang efektif program keamanan informasi yang luas dan beragam.. Untuk mengatasi tantangan tersebut Sistem Informasi Audit dan Control Association (ISACA) yang disponsori kelompok fokus internasional dan survei, yang menghasilkan laporan ini, untuk mengidentifikasi unsur-unsur yang mempengaruhi keberhasilan program keamanan informasi.
10 orang kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis, pemerintahan dan konsultasi, yang diambil dari delapan negara, termasuk Kanada, Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Sementara perwakilan ini tidak mencakup semua anggota ISACA, itu tidak memanfaatkan pengalaman yang beragam dan tajam.
Kelompok survei yang menanggapi perwakilan dari 157 termasuk jasa keuangan, transportasi, retail / grosir, pemerintah (nasional, negara bagian dan lokal), manufaktur, utilitas, kesehatan dan konsultasi." Responden perwakilan geografis termasuk Afrika, Amerika, Asia, Eropa dan Oseania. Organisasi ukuran sama baiknya diwakili dalam kelompok survei oleh organisasi responden mulai dari "kurang dari 50 karyawan" untuk "lebih dari 50.000 karyawan."
Proses, secara singkat, termasuk pembangunan yang komprehensif daftar unsur-unsur penting yang digunakan oleh kelompok-kelompok fokus dan survei untuk memilih atas 10 unsur penting bagi keberhasilan program keamanan informasi. Hasil yang menarik.
Kelompok terarah dan kelompok survei independen diidentifikasi komitmen manajemen senior untuk inisiatif keamanan informasi sebagai satu elemen penting yang berdampak pada keamanan informasi keberhasilan program. Kedua kelompok ini juga secara konsisten mengidentifikasi lima tambahan elemen kritis di top 10, termasuk:
Pemahaman manajemen masalah keamanan informasi
Perencanaan keamanan informasi sebelum implementasi teknologi baru
Integrasi antara bisnis dan informasi keamanan
Alignment keamanan informasi dengan tujuan organisasi
Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi
Elemen penting Program Sukses Keamanan Informasi
Bagian berikutnya dari laporan ini memberikan khusus diidentifikasi terkait dengan unsur-unsur penting di samping pertimbangan solusi yang dikembangkan oleh kelompok terarah. Elemen kritis telah dibagi menjadi dua kategori: prioritas elemen-elemen kritis, yang mewakili enam unsur yang antara 10 teratas yang dipilih oleh kedua kelompok, dan tambahan unsur-unsur kritis, yang mewakili sisa empat elemen yang berbeda di antara dua kelompok. Masing-masing elemen kritis prioritas diikuti oleh tiga pertimbangan solusi untuk keamanan informasi digunakan oleh manajer dan rekan bisnis sebagai pemikiran ide-ide atau tindakan item.
Solusi pertimbangan diidentifikasi untuk enam prioritas elemen-elemen penting juga membantu mengatasi sejumlah elemen penting lainnya, termasuk semua kecuali satu tambahan unsur-unsur penting yang diidentifikasi oleh kelompok-kelompok fokus dan survei. Tambahan unsur-unsur penting yang diidentifikasi oleh kelompok adalah:
Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi Konsisten penegakan kebijakan keamanan informasi dan standar
Penempatan keamanan informasi dalam organisasi hirarki Anggaran untuk keamanan informasi strategi dan rencana taktis
Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi keamanan prioritas
Fokus pada tujuan jangka pendek yang dihasilkan dalam kelemahan kontrol jangka panjang
Kemampuan untuk membenarkan biaya keamanan informasi praktik terbaik keamanan informasi / metrik diterima secara umum
Secara ringkas, analisis dengan jelas menunjukkan perlunya eksekutif dan manajemen senior dan manajer keamanan informasi untuk menjalin hubungan yang memungkinkan pesan yang konsisten mengenai prioritas organisasi tempat untuk melindungi informasi yang berharga dan aset kekayaan intelektual. Namun, analisis juga menunjukkan kebutuhan yang kuat untuk pesan yang akan didukung dengan tindakan nyata dan konsisten. Tindakan, mengatakan hasil, adalah pembentukan dan pelaksanaan yang konsisten dan standar kebijakan perusahaan. Selanjutnya, hasil menunjukkan bahwa tingkat tertinggi tanpa terlihat memantau keberhasilan pelaksanaan strategi keamanan informasi, kepatuhan tidak konsisten akan terus mengikis kemajuan dan memberikan kenyamanan palsu mengenai perlindungan aset. Hari-hari prioritas konflik terus mempengaruhi kualitas dan konsistensi informasi perlindungan aset. Untuk memastikan bahwa risiko yang terkait diambil serius oleh setiap karyawan dan agen dari organisasi, eksekutif dan manajemen senior harus menjadi tampak tertarik dalam memastikan informasi keberhasilan program keamanan dalam organisasi mereka.
Tujuan Proyek
kepatuhan peraturan dan meliputi: budaya organisasi dan hubungan, anggaran, sumber daya manusia, pendidikan dan kesadaran, dan outsourcing, untuk beberapa nama. Melalui proyek ISACA sponsor untuk memfasilitasi identifikasi, analisis dan laporan ini, perangkat yang penting telah dibuat untuk posisi untuk keberhasilan manajemen keamanan informasi program dan organisasi yang program-program ini merupakan bagiannya.
Ada analisis dan fokus tak terbatas kesempatan mengenai keamanan informasi, sehingga tujuan proyek diuraikan secara hati-hati dan mencakup:
Keamanan informasi memberikan manajer sebuah perspektif rekan elemen kritis mencapai sukses pelaksanaan program keamanan informasi.
Berikan saran pada pemecahan, bukan hanya menyatakan, masalah.
Memberikan laporan yang dapat melayani eksekutif dan manajemen senior serta manajer keamanan informasi.
Meskipun hasil rinci dari proyek ini terutama ditujukan untuk manajer keamanan informasi, tujuan proyek dan hasil yang telah diringkas dalam Ringkasan Eksekutif untuk mengaktifkan informasi kunci dalam laporan ini untuk dibagikan dengan eksekutif dan manajemen senior.
Pendahuluan
Laporan ini mencerminkan pengalaman dan pendapat dari beragam kelompok profesional mengenai unsur-unsur penting dari keberhasilan program keamanan informasi. Para peserta termasuk 10-orang dan kelompok fokus 157-responden kelompok survei.
130 kelompok diberikan dalam hal representasi negara, industri dan ukuran organisasi. Kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis, pemerintah dan konsultan yang diambil dari delapan negara, termasuk Kanada, Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Kelompok survei industri dan negara perwakilan digambarkan dalam gambar 1.
Responden survei sama-sama beragam dalam posisi profesional yang diselenggarakan, termasuk C-level eksekutif, manajemen senior, manajer keamanan informasi, keamanan informasi staf, direktur riset dan konsultasi mitra dan staf.
Elemen penting
Elemen kritis disajikan dalam dua subbagian yang berbeda dari laporan ini: prioritas elemen kritis dan tambahan elemen kritis.
Daftar awal lebih dari 70 elemen ini dikembangkan melalui dua hari sesi yang difasilitasi kelompok terarah. Dari daftar itu, 35 elemen 'dipilih untuk mewakili populasi dari mana masing-masing individu dalam kelompok terarah dan survei kelompok (kelompok) akan mengidentifikasi bagian atas 10. Proses seleksi ini menghasilkan dua subkategori berbeda, prioritas elemen-elemen kritis dan tambahan elemen kritis, dengan prioritas unsur-unsur penting yang mewakili enam elemen yang diidentifikasi dalam kedua kelompok top 10 pilihan mereka. Tambahan mewakili unsur-unsur penting yang tersisa empat elemen dari masing-masing kelompok yang memilih di atas 10, tetapi berbeda antara kelompok terarah dan kelompok survei.
telah dibatasi untuk tiga untuk masing-masing unsur prioritas. Detail solusi akan bervariasi dari satu organisasi ke organisasi lain serta dari satu negara ke negara lain. Sementara pertimbangan solusi disajikan dalam laporan ini mungkin berhubungan dengan beberapa organisasi, untuk orang lain mereka disediakan sebagai pemikiran ide. Penting untuk dicatat bahwa setiap organisasi harus bingkai informasi yang disajikan dalam laporan ini dalam konteks yang unik persyaratan program keamanan informasi. Prioritas unsur-unsur penting adalah:
Komitmen manajemen senior inisiatif keamanan informasi
Pemahaman manajemen tentang masalah keamanan informasi
Perencanaan keamanan informasi sebelum implementasi teknologi baru
Integrasi antara bisnis dan informasi keamanan
Alignment keamanan informasi dengan tujuan organisasi
Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi
Tambahan unsur-unsur penting adalah:
Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi
Konsisten penegakan kebijakan keamanan dan standar informasi
Penempatan keamanan informasi dalam hirarki organisasi
Anggaran untuk keamanan strategi informasi dan rencana taktis
Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi keamanan prioritas
Fokus pada tujuan jangka pendek yang dihasilkan dalam jangka panjang kelemahan kontrol
Kemampuan membenarkan untuk biaya keamanan informasi
Generally accepted information security best practices/metrics Diterima secara umum praktik terbaik keamanan informasi / metrik
Prioritas Elemen Kritis dan Solusi Pertimbangan
Komitmen Manajemen Senior untuk Inisiatif Keamanan Informasi
Komitmen manajemen senior diperlukan dari semua usaha dan inisiatif strategis, sehingga keamanan informasi adalah bagian dari daftar panjang proyek-proyek dan inisiatif yang harus memiliki manajemen eksekutif senior dan komitmen. Tanpa komitmen, proyek-proyek dan inisiatif ini tidak akan aktif. Namun demikian, karyawan dihadapkan dengan prioritas yang saling bertentangan dari hari ke hari, dan karena itu, fokus usaha-usaha mereka pada hal-hal yang mempengaruhi evaluasi kinerja mereka dan secara positif mempengaruhi sistem hadiah yang terkait dengan perfornlance mereka. Akibatnya, apa yang dipantau oleh manajemen senior dan eksekutif harus ia dimasukkan ke dalam kinerja / sistem penghargaan dan, karenanya, dapat berhasil dilaksanakan. Solusi pertimbangan harus mencakup sebagai berikut:
Senior manajemen harus mensyaratkan bahwa semua permintaan untuk pengeluaran teknologi termasuk risiko teknologi identifikasi dan mitigasi risiko persyaratan sebagai bagian dari analisis biaya-manfaat, tujuan proyek, penyerahan dan permintaan dana.
harapan secara jelas dikomunikasikan dalam informasi perusahaan dan standar kebijakan keamanan, dan secara konsisten menunjukkan bahwa pelanggaran tidak akan ditoleransi.
Setiap karyawan, termasuk manajemen, harus diminta untuk menghadiri sebuah kesadaran keamanan informasi diperbaharui setiap tahun dan baru karyawan harus tepat diberitahu tentang keamanan informasi perusahaan konsep dan praktik.
Pemahaman manajemen tentang Masalah Keamanan Informasi
Membangun pemahaman tentang isu-isu keamanan informasi membutuhkan komunikasi yang efektif tentang risiko bisnis yang tidak tepat yang dirancang hasil dari teknologi dan dihilangkan kontrol manajemen risiko. Keamanan informasi merupakan salah satu aspek kunci dari manajemen risiko teknologi dan manajer keamanan informasi harus terampil di mengikatkan risiko bisnis untuk keamanan informasi risiko dan mengungkapkan risiko pada setiap tingkat manajemen dalam organisasi. Hal ini juga perlu bahwa tingkat manajemen masing-masing memahami risiko dan berpartisipasi secara aktif dalam memastikan bahwa solusi manajemen risiko yang tepat diidentifikasi dan diterapkan dengan cara yang paling efisien dan efektif. Prioritas konflik, kurangnya akuntabilitas dan kurangnya keterampilan komunikasi bisnis manajer keamanan informasi semua ikut bertanggung jawab atas kegagalan untuk meningkatkan pemahaman manajemen i, iformation solusi keamanan yang membantu menjamin kerahasiaan, integritas dan ketersediaan informasi perusahaan dan aset kekayaan intelektual.
Solusi pertimbangan harus mencakup sebagai berikut:
Manajer keamanan informasi harus meningkatkan pemahaman mereka tentang bisnis dan kemampuan mereka dalam industri komunikasi melalui pendidikan khusus dan tingkat eksekutif program pendidikan berkelanjutan.
Sesi kesadaran keamanan informasi harus dimulai dari tingkat eksekutif dan hierarkis lanjutkan ke dimasukkannya semua tingkat manajemen dan karyawan.
Manajer keamanan informasi harus mencari industri dan publikasi lain yang menargetkan eksekutif dan manajemen senior dan memastikan bahwa mereka publikasi yang dibuat tersedia untuk tim manajemen.
Perencanaan Keamanan Informasi Sebelum Implementasi Teknologi Baru
Keamanan informasi merupakan komponen penting tata kelola perusahaan jaminan. Apakah perusahaan tersebut diatur, publik diadakan, besar atau kecil, integritas dari laporan keuangan dilaksanakan dengan benar bergantung pada program keamanan informasi. Implementasi teknologi kontrol yang tepat tanpa memasukkan investasi merongrong keamanan informasi dan dapat menyebabkan kerusakan pada pengolahan data dan integritas yang boleh pergi tak ketahuan sampai kerusakan jauh melebihi ambang batas risiko perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:
Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan manajemen perubahan harus secara resmi diminta dan disetujui oleh kebijakan perusahaan komite pengawas atau setara.
Keamanan informasi manajer dan manajer audit harus bekerja sama untuk memantau lingkungan untuk implementasi teknologi yang tidak memenuhi persyaratan kebijakan perusahaan dan standar.
Integrasi Antara Bisnis dan Keamanan Informasi
Sementara aspek-aspek tertentu dari sebuah program keamanan informasi mengikuti model layanan bersama, sebagian besar inisiatif keamanan informasi harus erat selaras dengan bisnis yang mendasari inisiatif mereka melindungi. Namun, biaya informasi dan melindungi aset intelektual tidak boleh melebihi nilai aset. Untuk benar align risiko bisnis dan solusi keamanan informasi, koperasi dialog antara daerah bisnis dan pakar keamanan informasi yang diperlukan.
Setiap aspek teknologi tepat risiko harus dianalisis, termasuk risiko untuk kerahasiaan, integritas dan ketersediaan seperti yang berkaitan dengan transaksi seluruh aliran.
Selain itu, fokus dari analisis ini harus pada transaksi bisnis yang material bagi bisnis keuangan, memerlukan kepatuhan terhadap peraturan perundang-undangan, dan dapat berdampak negatif pada reputasi perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:
Senior manajemen harus memastikan bahwa Liaisons bisnis bertanggung jawab untuk berinteraksi dengan manajer keamanan informasi untuk mencapai disepakati bersama tujuan manajemen risiko.
Senior manajemen harus memastikan bahwa strategi bisnis dibagi dengan teknologi informasi dan manajemen risiko yang sesuai kelompok, seperti informasi keamanan. Ini akan membantu memastikan bahwa diperlukan penyesuaian terhadap strategi keamanan informasi dan kemampuan infrastruktur teknologi dapat secara proaktif merencanakan untuk membantu mengelola biaya dan risiko.
Status keamanan informasi yang berkaitan dengan risiko tinggi kepatuhan hukum dan peraturan yang harus dipantau pada tingkat eksekutif yang sesuai untuk memastikan bahwa prioritas diberikan kepada inisiatif-inisiatif pengelolaan risiko.
Alignment Keamanan Informasi Dengan Tujuan Organisasi keamanan informasi ini sering dianggap sebagai tanggung jawab departemen keamanan informasi. Persepsi ini umumnya diabadikan melalui inisiatif keamanan informasi yang didanai sebagai proyek yang berdiri sendiri dan kegagalan untuk menginformasikan karyawan dari peran mereka dalam perlindungan informasi dan aset kekayaan intelektual. Bagi banyak perusahaan, ini adalah perubahan budaya dan harus didorong dari atas. Sementara perubahan budaya memerlukan komitmen jangka panjang dan lambat untuk menyadari, umumnya efektif dimulai dengan pengembangan strategi yang bersangkutan pernyataan dan tindakan manajemen mendukung persyaratan.
Solusi pertimbangan harus mencakup sebagai berikut:
Setiap lini bisnis yang "memiliki" informasi yang spesifik yang memerlukan tingkat kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung untuk bekerja dengan manajer keamanan informasi untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi
Pengukuran efektivitas pengendalian harus mencakup sejalan dengan peraturan dan undang-undang dan orang-orang pengukuran harus dilaporkan kepada dewan pada basis kuartalan dan tahunan melalui, atau dengan, ketua penasehat hukum, petugas kepatuhan kepala, dan kepala auditor atau setara mereka.
Eksekutif dan Jalur Manajemen Kepemilikan dan Akuntabilitas untuk Pelaksanaan, Monitoring dan Pelaporan pada Keamanan Informasi
Kegagalan untuk mendukung dan melaksanakan inisiatif keamanan informasi ini sering masalah prioritas yang saling bertentangan. Bertentangan prioritas dan proses kepemilikan pada umumnya diselesaikan melalui perusahaan sistem penghargaan kinerja. Yang mengatakan, tujuan kinerja yang berhubungan dengan keamanan informasi harus masuk akal dan mendukung, bukan menghambat, proses bisnis. Prioritas harus jelas diatur dan ditetapkan dalam strategi keamanan dengan indikator kinerja utama yang disetujui oleh tingkat tertinggi organisasi untuk membantu memastikan bahwa tujuan akan dikelola secara efektif dan konsisten, dimonitor dan dieksekusi.
Solusi pertimbangan harus mencakup sebagai berikut:
Keamanan informasi harus memiliki struktur pelaporan yang independen untuk memastikan bahwa keprihatinan, prestasi dan pandangan tentang tata pemerintahan yang baik diwakili kepada mereka bertanggung jawab kepada para pemangku kepentingan.
Tujuan pengendalian kunci yang bersangkutan harus dimasukkan ke dalam proses pengukuran kinerja untuk semua karyawan.
Tingkat yang tepat dari manajemen harus memiliki tanggung jawab untuk memastikan bahwa pelanggaran keamanan informasi, otorisasi pengecualian dan pengukuran keamanan terkait lainnya berkaitan dengan lini bisnis mereka proses yang diteliti dan ditindaklanjuti atas nama mereka.
Elemen Kritis tambahan dan Solusi Pertimbangan
Seperti tercantum dalam bagian pengantar laporan ini, proses identifikasi atas 10 unsur termasuk hasil dari kelompok fokus dan kelompok survei. Hasil jatuh ke dalam dua subkategori berbeda-prioritas unsur-unsur penting dan unsur-unsur penting tambahan, dengan tambahan unsur-unsur penting yang mewakili empat elemen dari masing-masing kelompok tidak tercermin dalam prioritas elemen-elemen kritis.
telah dibatasi untuk tiga, seperti juga unsur-unsur prioritas, dengan tujuan menjaga fokus laporan.
Gambar 2-Solution Pertimbangan untuk tambahan Elemen Kritis
Tambahan Elemen Kritis Solusi Pertimbangan Solusi Pertimbangan Diambil Dari Prioritas
Elemen penting
Karyawan sesuai
pendidikan dan kesadaran perlindungan informasi aset
Setiap karyawan harus diminta untuk menghadiri informasi kesadaran keamanan diperbaharui setiap tahun dan karyawan baru harus tepat diinformasikan mengenai informasi konsep dan praktik keamanan perusahaan
Manajemen senior harus berkomunikasi secara konsisten bahwa setiap karyawan bertanggung jawab untuk keamanan informasi dengan memastikan bahwa harapan secara jelas dikomunikasikan dalam keamanan informasi perusahaan, kebijakan dan standar,
dan secara konsisten menunjukkan bahwa. pelanggaran tidak akan ditoleransi.
Manajemen senior harus memastikan bisnis yang diselenggarakan bertanggung jawab untuk berinteraksi dengan keamanan informasi manajer ke manajer mencapai risiko disepakati bersama tujuan pengelolaan.
Integrasi antara information bisnis dan keamanan
Konsisten penegakan keamanan informasi kebijakan dan standar
Kebijakan perusahaan dan standar harus harus ditinjau dan formal otorisasi perubahan pada lingkungan teknologi sebelum pelaksanaan. Penunjukan wewenang untuk memberikan otorisasi seharusnya posisi manajemen, tanpa pemisahan tugas konflik, dan bertanggung jawab untuk melaporkan status keamanan informasi kepada dewan
Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan perubahan manajemen harus secara resmi diminta dan disetujui oleh kebijakan perusahaan komite pengawas atau setara.
Pengukuran efektivitas pengendalian harus mencakup sejalan dengan peraturan dan hukum dan pengukuran mereka harus dilaporkan pada kuartalan dan tahunan atau dengan, kepala nasihat hukum, kepala petugas kepatuhan, dan kepala auditor atau setara mereka.
Keamanan informasi perencanaan sebelum pelaksanaan teknologi baru
Alignment informasi keamanan dengan tujuan organisasi
Gambar2-Solusi Pertimbangan untukTambahan Elemen kritis (lanjutan)
Tambahan Elemen
Kritis Solusi Pertimbangan Solusi Pertimbangan Diambil Dari Prioritas
Penempatan keamanan informasi dalam hierarki organisasi
Manajer keamanan informasi harus meningkatkan pemahaman bisnis dan kemampuan komunikasi mereka melalui industri level pendidikan khusus dan tingkat eksekutif -program pendidikan berkelanjutan.
Informasi status keamanan berhubungan dengan risiko tinggi hukum dan kepatuhan pemerintahan dengan benar diwakili yang pada akhirnya bertanggung jawab kepada stakeholder.
Pemahaman Manajemen pengeluaran teknologi termasuk risiko identifikasi teknologi dan permintaan risiko mitigasi sebagai bagian dari biaya manfaat, tujuan proyek, penyerahan dan permintaan dana.
Sebuah strategi keamanan informasi yang sejajar dengan risiko perusahaan manajemen dan perusahaan persyaratan pemerintahan harus dikembangkan dan dilaksanakan.
Setiap baris usaha yang "memiliki" informasi memerlukan tingkat tertentu kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung untuk bekerja dengan keamanan informasi manajer untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi.
Tambahan Elemen
Berkomunikasi secara konsisten bahwa setiap karyawan bertanggung jawab untuk keamanan informasi dengan memastikan bahwa harapan secara jelas dikomunikasikan dalam keamanan informasi kebijakan perusahaan dan standar dan konsisten menunjukkan bahwa pelanggaran tidak akan ditoleransi.
Manajemen senior harus memastikan bisnis yang diselenggarakan bertanggung jawab untuk berinteraksi dengan manajer keamanan informasi mencapai tujuan pengelolaan risiko disepakati bersama.
Informasi status keamanan yang terkait dengan risiko tinggi hukum dan peraturan kepatuhan harus dipantau pada tingkat eksekutif untuk memastikan bahwa sesuai prioritas diberikan kepada inisiatif risiko manajemen .
Manajemen senior risiko dan mitigasi risiko merupakan persyaratan sebagai bagian dari biaya manfaat, tujuan proyek, penyerahan dan permintaan dana.
Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan perubahan manajemen harus secara resmi diminta dan disetujui oleh kebijakan perusahaan komite pengawas atau setara.
Tambahan Elemen
Senior manajemen harus memerlukan bahwa semua permintaan untuk solusi teknologi pengeluaran teknologi termasuk identifikasi risiko dan mitigasi risiko merupakan persyaratan sebagai bagian dari biaya manfaat, tujuan proyek, penyerahan dan permintaan dana.
Permintaan sebuah strategi keamanan informasi yang sejajar dengan risiko manajemen dan kebijakan perusahaan seharusnya dikembangkan dan dilaksanakan.
Setiap baris usaha yang "memiliki" informasi memerlukan tingkat tertentu kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung untuk bekerja dengan keamanan informasi manajer untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi.
Manajemen senior inisiatif keamanan informasi. berpartisipasi dalam industri organisasi yang aktif bekerja mengembangkan metrik dan praktek-praktek keseimbangan secara efektif bisnis pengembangan produk kebutuhan dan berkaitan dengan tali keamanan informasi bisnis riil risiko.
(Element tidak dialamatkan oleh dimanapun solusi pertimbangan ditetapkan)
Ringkasan
Informasi yang terkandung dalam laporan ini mencerminkan semakin pengakuan bahwa keamanan informasi tidak hanya masalah teknologi informasi, yang merupakan masalah bisnis yang tidak dapat diatasi hanya dengan merekrut profesional keamanan informasi dan menciptakan judul mengesankan. Kemampuan untuk mengidentifikasi resiko baik terhadap informasi dan aset kekayaan intelektual membutuhkan kerjasama dari para peserta di seluruh organisasi.
Hasil kelompok terarah dan survei juga menunjukkan bahwa tanpa keamanan informasi didefinisikan secara tepat pengukuran, dan dewan tingkat pengukuran yang pemantauan, perlindungan aset akan terus palsu dengan "mendesak" implementasi kebijakan-kebijakan yang ditetapkan mengelakkan, standar dan prosedur bisnis merongrong infrastruktur teknologi. Temuan kunci lainnya adalah profesional keamanan informasi bahwa mulai menyadari bahwa mereka perlu mengembangkan pemahaman yang kuat tentang bisnis sebagai peran mereka menjadi lebih terlihat di dalam organisasi, keputusan-keputusan mereka menuntut pembenaran risiko bisnis, dan ketergantungan pada teknologi drive meningkat interaksi dengan hukum dan sesuai dengan rekan-rekan di organisasi.
Lampiran A- List Master Elemen Kritis List berdasarkan Kategori
Culture Budaya
1. Eksekutif pesan manajemen yang berkaitan dengan prioritas keamanan informasi
2. Dewan eksekutif pemantauan manajemen risiko keamanan informasi
3. Reguler, keamanan informasi berkelanjutan item pada papan agenda
4. Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk pelaksanaan, pemantauan dan pelaporan tentang keamanan informasi
Sumber Daya Manusia / Orang / Anggaran dan Keuangan
5. Efektif proses penganggaran keamanan informasi
6. Anggaran untuk keamanan informasi strategi dan rencana taktis
Organisasi / Hubungan Organisasi
7. Jelas dikomunikasikan tanggung jawab pelanggan dan kehilangan tanggung jawab terkait dengan penggunaan teknologi untuk transaksi pelanggan
8. Komitmen manajemen senior inisiatif keamanan informasi
9. Mengakibatkan pengaruh manajemen layanan produk seleksi yang tidak terbaik memecahkan masalah
10. Keselarasan antara tujuan perusahaan dan tujuan keamanan
11. Integrasi antara bisnis dan keamanan
12. Ditetapkan struktur manajemen
13. Fokus pada tujuan jangka pendek untuk mencegah keamanan jangka panjang kelemahan
15. Tepat penempatan keamanan di dalam hirarki organisasi
16. Integrasi keamanan IT dengan tradisional / fasilitas keamanan
Teknologi dan Teknologi yang berhubungan dengan Proses
17. Perencanaan keamanan yang memadai sebelum implementasi teknologi baru 18. Sesuai prosedur manajemen perubahan
19. Kemampuan untuk merespon span.ming / serangan phishing dan yang berkaitan 20. Menyeimbangkan harapan dengan kelayakan teknis solusi otomatis
Hukum / Peraturan / Pemerintahan / Kebijakan dan Standar
21. Kepatuhan terhadap peraturan beberapa yurisdiksi di sepanjang jalan transaksi 22. Sesuai / efektif / peraturan perundang-undangan yang bertentangan
23. Informasi kebijakan keamanan dan standar penegakan
24. Konsisten penegakan kebijakan keamanan informasi dan standar
Metrics Metrik
25. Enterprise kerangka kerja manajemen risiko yang mengintegrasikan keamanan
26. Universal telah disepakati metodologi untuk penilaian risiko
27. Secara umum diterima metrik keamanan untuk keamanan terbaik
28. Pelaporan dan metrik terkait dengan tujuan bisnis dan strategi
'Craining / Pendidikan / Kesadaran
29. Ketersediaan terlatih dan berpengalaman profesional keamanan informasi
30. Pemahaman manajemen masalah keamanan
31. Karyawan pendidikan, dan memperbarui pendidikan, perlindungan aset informasi
32. Kesadaran keamanan berkelanjutan
33. Pengetahuan tentang kejahatan formal dan sistem pelaporan insiden
34. Harapan pengguna seimbang vs apa yang secara teknis layak
Appendix B-Priority Critical Elements
Lampiran
B-Elemen Kritis Prioritas
Summary Table Ringkasan Tabel
Ringkasan TabelPrioritas Elemen penting
Elemen penting Solution Pertimbangan
Manajemen senior komitmen inisiatif keamanan informasi
Senior manajemen harus mensyaratkan bahwa semua permintaan untuk teknologi termasuk pengeluaran teknologi identifikasi risiko dan risiko mitigasi persyaratan sebagai bagian dari analisis biaya-manfaat, tujuan proyek, penyerahan dan permintaan dana.
Manajemen senior harus berkomunikasi secara konsisten bahwa setiap karyawan bertanggung jawab untuk keamanan informasi dengan memastikan bahwa harapan secara jelas dikomunikasikan dalam perusahaan kebijakan keamanan informasi dan standar, dan konsisten menunjukkan bahwa pelanggaran tidak akan ditoleransi.
Setiap karyawan, termasuk manajemen, harus diminta untuk menghadiri sebuah kesadaran keamanan informasi update setiap tahun dan karyawan baru harus tepat informasi dari keamanan informasi perusahaan konsep dan praktik.
Pemahaman manajemen tentang isu keamanan informasi
Manajer keamanan informasi harus meningkatkan pemahaman mereka bisnis dan kemampuan mereka dalam komunikasi melalui industri pendidikan khusus dan eksekutif - program tingkatpendidikan berkelanjutan
Sesi kesadaran keamanan informasi harus dimulai pada tingkat eksekutif dan hierarkis lanjutkan ke dimasukkannya semua tingkat manajemen dan karyawan.
Manajer keamanan informasi harus mencari industri dan lain publikasi yang menargetkan eksekutif dan manajemen senior dan memastikan bahwa orang-publikasi yang dibuat tersedia untuk tim manajemen.
Perencanaan keamanan informasi sebelum pelaksanaan teknologi baru
Kebijakan perusahaan dan standar harus harus ditinjau dan otorisasi formal perubahan pada lingkungan teknologi sebelum pelaksanaan. Penetapan kewenangan untuk memberikan otorisasi tersebut seharusnya posisi manajemen, tanpa pemisahan tugas konflik, dan termasuk responsiblity untuk pelaporan status keamanan informasi kepada dewan.
Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan manajemen perubahan harus secara resmi diminta dan disetujui oleh kebijakan perusahaan atau setara komite pengawas.
tidak memenuhi persyaratan kebijakan perusahaan dan standar.
Ringkasan Tabel Prioritas Elemen penting. (lanjutan)
Elemen penting Solution Pertimbangan
Integrasi antara bisnis dan bisnis dan keamanan informasi
Senior manajemen harus memastikan bahwa Liaisons bisnis diadakan bertanggung jawab untuk berinteraksi dengan manajer keamanan informasi disepakati bersama untuk mencapai tujuan pengelolaan risiko.
Senior manajemen harus memastikan bahwa strategi bisnis berbagi dengan teknologi informasi dan risiko yang sesuai manajemen kelompok, seperti informasi keamanan. Ini akan membantu memastikan bahwa diperlukan penyesuaian terhadap keamanan informasi strategi dan kemampuan infrastruktur teknologi dapat secara proaktif direncanakan untuk membantu mengelola biaya dan risiko.
Status keamanan informasi yang berkaitan dengan risiko tinggi hukum dan kepatuhan peraturan harus dipantau pada tingkat eksekutif untuk memastikan bahwa prioritas yang tepat diberikan kepada manajemen risiko inisiatif.
Penyelarasan keamanan informasi dengan tujuan organisasi
Sebuah strategi keamanan informasi yang sejalan dengan perusahaan manajemen risiko dan tata kelola perusahaan persyaratan harus dikembangkan dan dilaksanakan.
Setiap lini bisnis yang "memiliki" informasi yang spesifik yang memerlukan tingkat kerahasiaan, integritas dan ketersediaan harus menunjuk seorang penghubung untuk bekerja dengan manajer keamanan informasi untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi.
Eksekutif dan garis manajemen kepemilikan dan akuntabilitas pelaksanaan, pemantauan dan melaporkan keamanan informasi
Keamanan informasi harus memiliki laporan independen struktur untuk memastikan bahwa keprihatinan, prestasi dan pandangan tentang pemerintahan yang baik diwakili kepada mereka akhirnya bertanggung jawab kepada para pemangku kepentingan.
Tujuan pengendalian kunci yang bersangkutan harus dimasukkan ke dalam proses pengukuran kinerja untuk semua karyawan.