• Tidak ada hasil yang ditemukan

Artikel Elemen Kritis Atau Program Sukses Keamanan Informasi

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan " Artikel Elemen Kritis Atau Program Sukses Keamanan Informasi"

Copied!
17
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 17 Halaman )

Teks penuh

(1)

Elemen Kritis tentang Program Sukses Keamanan Informasi

Dicetak di Amerika Serikat

Ringkasan Eksekutif

Tantangan pelaksanaan yang efektif program keamanan informasi yang luas dan beragam.. Untuk mengatasi tantangan tersebut Sistem Informasi Audit dan Control Association (ISACA) yang disponsori kelompok fokus internasional dan survei, yang menghasilkan laporan ini, untuk mengidentifikasi unsur-unsur yang mempengaruhi keberhasilan program keamanan informasi.

10 orang kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis, pemerintahan dan konsultasi, yang diambil dari delapan negara, termasuk Kanada, Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Sementara perwakilan ini tidak mencakup semua anggota ISACA, itu tidak memanfaatkan pengalaman yang beragam dan tajam.

Kelompok survei yang menanggapi perwakilan dari 157 termasuk jasa keuangan, transportasi, retail / grosir, pemerintah (nasional, negara bagian dan lokal), manufaktur, utilitas, kesehatan dan konsultasi." Responden perwakilan geografis termasuk Afrika, Amerika, Asia, Eropa dan Oseania. Organisasi ukuran sama baiknya diwakili dalam kelompok survei oleh organisasi responden mulai dari "kurang dari 50 karyawan" untuk "lebih dari 50.000 karyawan."

Proses, secara singkat, termasuk pembangunan yang komprehensif daftar unsur-unsur penting yang digunakan oleh kelompok-kelompok fokus dan survei untuk memilih atas 10 unsur penting bagi keberhasilan program keamanan informasi. Hasil yang menarik.

Kelompok terarah dan kelompok survei independen diidentifikasi komitmen manajemen senior untuk inisiatif keamanan informasi sebagai satu elemen penting yang berdampak pada keamanan informasi keberhasilan program. Kedua kelompok ini juga secara konsisten mengidentifikasi lima tambahan elemen kritis di top 10, termasuk:

 Pemahaman manajemen masalah keamanan informasi

 Perencanaan keamanan informasi sebelum implementasi teknologi baru

 Integrasi antara bisnis dan informasi keamanan

 Alignment keamanan informasi dengan tujuan organisasi

 Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi

(2)

Elemen penting Program Sukses Keamanan Informasi

Bagian berikutnya dari laporan ini memberikan khusus diidentifikasi terkait dengan unsur-unsur penting di samping pertimbangan solusi yang dikembangkan oleh kelompok terarah. Elemen kritis telah dibagi menjadi dua kategori: prioritas elemen-elemen kritis, yang mewakili enam unsur yang antara 10 teratas yang dipilih oleh kedua kelompok, dan tambahan unsur-unsur kritis, yang mewakili sisa empat elemen yang berbeda di antara dua kelompok. Masing-masing elemen kritis prioritas diikuti oleh tiga pertimbangan solusi untuk keamanan informasi digunakan oleh manajer dan rekan bisnis sebagai pemikiran ide-ide atau tindakan item.

Solusi pertimbangan diidentifikasi untuk enam prioritas elemen-elemen penting juga membantu mengatasi sejumlah elemen penting lainnya, termasuk semua kecuali satu tambahan unsur-unsur penting yang diidentifikasi oleh kelompok-kelompok fokus dan survei. Tambahan unsur-unsur penting yang diidentifikasi oleh kelompok adalah:

 Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi  Konsisten penegakan kebijakan keamanan informasi dan standar

 Penempatan keamanan informasi dalam organisasi hirarki  Anggaran untuk keamanan informasi strategi dan rencana taktis

 Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi keamanan prioritas

 Fokus pada tujuan jangka pendek yang dihasilkan dalam kelemahan kontrol jangka panjang

 Kemampuan untuk membenarkan biaya keamanan informasi  praktik terbaik keamanan informasi / metrik diterima secara umum

Secara ringkas, analisis dengan jelas menunjukkan perlunya eksekutif dan manajemen senior dan manajer keamanan informasi untuk menjalin hubungan yang memungkinkan pesan yang konsisten mengenai prioritas organisasi tempat untuk melindungi informasi yang berharga dan aset kekayaan intelektual. Namun, analisis juga menunjukkan kebutuhan yang kuat untuk pesan yang akan didukung dengan tindakan nyata dan konsisten. Tindakan, mengatakan hasil, adalah pembentukan dan pelaksanaan yang konsisten dan standar kebijakan perusahaan. Selanjutnya, hasil menunjukkan bahwa tingkat tertinggi tanpa terlihat memantau keberhasilan pelaksanaan strategi keamanan informasi, kepatuhan tidak konsisten akan terus mengikis kemajuan dan memberikan kenyamanan palsu mengenai perlindungan aset. Hari-hari prioritas konflik terus mempengaruhi kualitas dan konsistensi informasi perlindungan aset. Untuk memastikan bahwa risiko yang terkait diambil serius oleh setiap karyawan dan agen dari organisasi, eksekutif dan manajemen senior harus menjadi tampak tertarik dalam memastikan informasi keberhasilan program keamanan dalam organisasi mereka.

Tujuan Proyek

(3)

kepatuhan peraturan dan meliputi: budaya organisasi dan hubungan, anggaran, sumber daya manusia, pendidikan dan kesadaran, dan outsourcing, untuk beberapa nama. Melalui proyek ISACA sponsor untuk memfasilitasi identifikasi, analisis dan laporan ini, perangkat yang penting telah dibuat untuk posisi untuk keberhasilan manajemen keamanan informasi program dan organisasi yang program-program ini merupakan bagiannya.

Ada analisis dan fokus tak terbatas kesempatan mengenai keamanan informasi, sehingga tujuan proyek diuraikan secara hati-hati dan mencakup:

 Keamanan informasi memberikan manajer sebuah perspektif rekan elemen kritis mencapai sukses pelaksanaan program keamanan informasi.

 Berikan saran pada pemecahan, bukan hanya menyatakan, masalah.

 Memberikan laporan yang dapat melayani eksekutif dan manajemen senior serta manajer keamanan informasi.

Meskipun hasil rinci dari proyek ini terutama ditujukan untuk manajer keamanan informasi, tujuan proyek dan hasil yang telah diringkas dalam Ringkasan Eksekutif untuk mengaktifkan informasi kunci dalam laporan ini untuk dibagikan dengan eksekutif dan manajemen senior.

Pendahuluan

Laporan ini mencerminkan pengalaman dan pendapat dari beragam kelompok profesional mengenai unsur-unsur penting dari keberhasilan program keamanan informasi. Para peserta termasuk 10-orang dan kelompok fokus 157-responden kelompok survei.

130 kelompok diberikan dalam hal representasi negara, industri dan ukuran organisasi. Kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis, pemerintah dan konsultan yang diambil dari delapan negara, termasuk Kanada, Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Kelompok survei industri dan negara perwakilan digambarkan dalam gambar 1.

Responden survei sama-sama beragam dalam posisi profesional yang diselenggarakan, termasuk C-level eksekutif, manajemen senior, manajer keamanan informasi, keamanan informasi staf, direktur riset dan konsultasi mitra dan staf.

Elemen penting

Elemen kritis disajikan dalam dua subbagian yang berbeda dari laporan ini: prioritas elemen kritis dan tambahan elemen kritis.

Daftar awal lebih dari 70 elemen ini dikembangkan melalui dua hari sesi yang difasilitasi kelompok terarah. Dari daftar itu, 35 elemen 'dipilih untuk mewakili populasi dari mana masing-masing individu dalam kelompok terarah dan survei kelompok (kelompok) akan mengidentifikasi bagian atas 10. Proses seleksi ini menghasilkan dua subkategori berbeda, prioritas elemen-elemen kritis dan tambahan elemen kritis, dengan prioritas unsur-unsur penting yang mewakili enam elemen yang diidentifikasi dalam kedua kelompok top 10 pilihan mereka. Tambahan mewakili unsur-unsur penting yang tersisa empat elemen dari masing-masing kelompok yang memilih di atas 10, tetapi berbeda antara kelompok terarah dan kelompok survei.

(4)

telah dibatasi untuk tiga untuk masing-masing unsur prioritas. Detail solusi akan bervariasi dari satu organisasi ke organisasi lain serta dari satu negara ke negara lain. Sementara pertimbangan solusi disajikan dalam laporan ini mungkin berhubungan dengan beberapa organisasi, untuk orang lain mereka disediakan sebagai pemikiran ide. Penting untuk dicatat bahwa setiap organisasi harus bingkai informasi yang disajikan dalam laporan ini dalam konteks yang unik persyaratan program keamanan informasi. Prioritas unsur-unsur penting adalah:

 Komitmen manajemen senior inisiatif keamanan informasi

 Pemahaman manajemen tentang masalah keamanan informasi

 Perencanaan keamanan informasi sebelum implementasi teknologi baru

 Integrasi antara bisnis dan informasi keamanan

 Alignment keamanan informasi dengan tujuan organisasi

 Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi

Tambahan unsur-unsur penting adalah:

 Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi

 Konsisten penegakan kebijakan keamanan dan standar informasi

 Penempatan keamanan informasi dalam hirarki organisasi

 Anggaran untuk keamanan strategi informasi dan rencana taktis

 Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi keamanan prioritas

 Fokus pada tujuan jangka pendek yang dihasilkan dalam jangka panjang kelemahan kontrol

 Kemampuan membenarkan untuk biaya keamanan informasi

 Generally accepted information security best practices/metrics Diterima secara umum praktik terbaik keamanan informasi / metrik

Prioritas Elemen Kritis dan Solusi Pertimbangan

Komitmen Manajemen Senior untuk Inisiatif Keamanan Informasi

Komitmen manajemen senior diperlukan dari semua usaha dan inisiatif strategis, sehingga keamanan informasi adalah bagian dari daftar panjang proyek-proyek dan inisiatif yang harus memiliki manajemen eksekutif senior dan komitmen. Tanpa komitmen, proyek-proyek dan inisiatif ini tidak akan aktif. Namun demikian, karyawan dihadapkan dengan prioritas yang saling bertentangan dari hari ke hari, dan karena itu, fokus usaha-usaha mereka pada hal-hal yang mempengaruhi evaluasi kinerja mereka dan secara positif mempengaruhi sistem hadiah yang terkait dengan perfornlance mereka. Akibatnya, apa yang dipantau oleh manajemen senior dan eksekutif harus ia dimasukkan ke dalam kinerja / sistem penghargaan dan, karenanya, dapat berhasil dilaksanakan. Solusi pertimbangan harus mencakup sebagai berikut:

 Senior manajemen harus mensyaratkan bahwa semua permintaan untuk pengeluaran teknologi termasuk risiko teknologi identifikasi dan mitigasi risiko persyaratan sebagai bagian dari analisis biaya-manfaat, tujuan proyek, penyerahan dan permintaan dana.

(5)

harapan secara jelas dikomunikasikan dalam informasi perusahaan dan standar kebijakan keamanan, dan secara konsisten menunjukkan bahwa pelanggaran tidak akan ditoleransi.

 Setiap karyawan, termasuk manajemen, harus diminta untuk menghadiri sebuah kesadaran keamanan informasi diperbaharui setiap tahun dan baru karyawan harus tepat diberitahu tentang keamanan informasi perusahaan konsep dan praktik.

Pemahaman manajemen tentang Masalah Keamanan Informasi

Membangun pemahaman tentang isu-isu keamanan informasi membutuhkan komunikasi yang efektif tentang risiko bisnis yang tidak tepat yang dirancang hasil dari teknologi dan dihilangkan kontrol manajemen risiko. Keamanan informasi merupakan salah satu aspek kunci dari manajemen risiko teknologi dan manajer keamanan informasi harus terampil di mengikatkan risiko bisnis untuk keamanan informasi risiko dan mengungkapkan risiko pada setiap tingkat manajemen dalam organisasi. Hal ini juga perlu bahwa tingkat manajemen masing-masing memahami risiko dan berpartisipasi secara aktif dalam memastikan bahwa solusi manajemen risiko yang tepat diidentifikasi dan diterapkan dengan cara yang paling efisien dan efektif. Prioritas konflik, kurangnya akuntabilitas dan kurangnya keterampilan komunikasi bisnis manajer keamanan informasi semua ikut bertanggung jawab atas kegagalan untuk meningkatkan pemahaman manajemen i, iformation solusi keamanan yang membantu menjamin kerahasiaan, integritas dan ketersediaan informasi perusahaan dan aset kekayaan intelektual.

Solusi pertimbangan harus mencakup sebagai berikut:

 Manajer keamanan informasi harus meningkatkan pemahaman mereka tentang bisnis dan kemampuan mereka dalam industri komunikasi melalui pendidikan khusus dan tingkat eksekutif program pendidikan berkelanjutan.

 Sesi kesadaran keamanan informasi harus dimulai dari tingkat eksekutif dan hierarkis lanjutkan ke dimasukkannya semua tingkat manajemen dan karyawan.

 Manajer keamanan informasi harus mencari industri dan publikasi lain yang menargetkan eksekutif dan manajemen senior dan memastikan bahwa mereka publikasi yang dibuat tersedia untuk tim manajemen.

Perencanaan Keamanan Informasi Sebelum Implementasi Teknologi Baru

Keamanan informasi merupakan komponen penting tata kelola perusahaan jaminan. Apakah perusahaan tersebut diatur, publik diadakan, besar atau kecil, integritas dari laporan keuangan dilaksanakan dengan benar bergantung pada program keamanan informasi. Implementasi teknologi kontrol yang tepat tanpa memasukkan investasi merongrong keamanan informasi dan dapat menyebabkan kerusakan pada pengolahan data dan integritas yang boleh pergi tak ketahuan sampai kerusakan jauh melebihi ambang batas risiko perusahaan.

Solusi pertimbangan harus mencakup sebagai berikut:

(6)

 Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan manajemen perubahan harus secara resmi diminta dan disetujui oleh kebijakan perusahaan komite pengawas atau setara.

 Keamanan informasi manajer dan manajer audit harus bekerja sama untuk memantau lingkungan untuk implementasi teknologi yang tidak memenuhi persyaratan kebijakan perusahaan dan standar.

Integrasi Antara Bisnis dan Keamanan Informasi

Sementara aspek-aspek tertentu dari sebuah program keamanan informasi mengikuti model layanan bersama, sebagian besar inisiatif keamanan informasi harus erat selaras dengan bisnis yang mendasari inisiatif mereka melindungi. Namun, biaya informasi dan melindungi aset intelektual tidak boleh melebihi nilai aset. Untuk benar align risiko bisnis dan solusi keamanan informasi, koperasi dialog antara daerah bisnis dan pakar keamanan informasi yang diperlukan.

Setiap aspek teknologi tepat risiko harus dianalisis, termasuk risiko untuk kerahasiaan, integritas dan ketersediaan seperti yang berkaitan dengan transaksi seluruh aliran.

Selain itu, fokus dari analisis ini harus pada transaksi bisnis yang material bagi bisnis keuangan, memerlukan kepatuhan terhadap peraturan perundang-undangan, dan dapat berdampak negatif pada reputasi perusahaan.

Solusi pertimbangan harus mencakup sebagai berikut:

 Senior manajemen harus memastikan bahwa Liaisons bisnis bertanggung jawab untuk berinteraksi dengan manajer keamanan informasi untuk mencapai disepakati bersama tujuan manajemen risiko.

 Senior manajemen harus memastikan bahwa strategi bisnis dibagi dengan teknologi informasi dan manajemen risiko yang sesuai kelompok, seperti informasi keamanan. Ini akan membantu memastikan bahwa diperlukan penyesuaian terhadap strategi keamanan informasi dan kemampuan infrastruktur teknologi dapat secara proaktif merencanakan untuk membantu mengelola biaya dan risiko.

 Status keamanan informasi yang berkaitan dengan risiko tinggi kepatuhan hukum dan peraturan yang harus dipantau pada tingkat eksekutif yang sesuai untuk memastikan bahwa prioritas diberikan kepada inisiatif-inisiatif pengelolaan risiko.

Alignment Keamanan Informasi Dengan Tujuan Organisasi keamanan informasi ini sering dianggap sebagai tanggung jawab departemen keamanan informasi. Persepsi ini umumnya diabadikan melalui inisiatif keamanan informasi yang didanai sebagai proyek yang berdiri sendiri dan kegagalan untuk menginformasikan karyawan dari peran mereka dalam perlindungan informasi dan aset kekayaan intelektual. Bagi banyak perusahaan, ini adalah perubahan budaya dan harus didorong dari atas. Sementara perubahan budaya memerlukan komitmen jangka panjang dan lambat untuk menyadari, umumnya efektif dimulai dengan pengembangan strategi yang bersangkutan pernyataan dan tindakan manajemen mendukung persyaratan.

Solusi pertimbangan harus mencakup sebagai berikut:

(7)

 Setiap lini bisnis yang "memiliki" informasi yang spesifik yang memerlukan tingkat kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung untuk bekerja dengan manajer keamanan informasi untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi

 Pengukuran efektivitas pengendalian harus mencakup sejalan dengan peraturan dan undang-undang dan orang-orang pengukuran harus dilaporkan kepada dewan pada basis kuartalan dan tahunan melalui, atau dengan, ketua penasehat hukum, petugas kepatuhan kepala, dan kepala auditor atau setara mereka.

Eksekutif dan Jalur Manajemen Kepemilikan dan Akuntabilitas untuk Pelaksanaan, Monitoring dan Pelaporan pada Keamanan Informasi

Kegagalan untuk mendukung dan melaksanakan inisiatif keamanan informasi ini sering masalah prioritas yang saling bertentangan. Bertentangan prioritas dan proses kepemilikan pada umumnya diselesaikan melalui perusahaan sistem penghargaan kinerja. Yang mengatakan, tujuan kinerja yang berhubungan dengan keamanan informasi harus masuk akal dan mendukung, bukan menghambat, proses bisnis. Prioritas harus jelas diatur dan ditetapkan dalam strategi keamanan dengan indikator kinerja utama yang disetujui oleh tingkat tertinggi organisasi untuk membantu memastikan bahwa tujuan akan dikelola secara efektif dan konsisten, dimonitor dan dieksekusi.

Solusi pertimbangan harus mencakup sebagai berikut:

 Keamanan informasi harus memiliki struktur pelaporan yang independen untuk memastikan bahwa keprihatinan, prestasi dan pandangan tentang tata pemerintahan yang baik diwakili kepada mereka bertanggung jawab kepada para pemangku kepentingan.

 Tujuan pengendalian kunci yang bersangkutan harus dimasukkan ke dalam proses pengukuran kinerja untuk semua karyawan.

 Tingkat yang tepat dari manajemen harus memiliki tanggung jawab untuk memastikan bahwa pelanggaran keamanan informasi, otorisasi pengecualian dan pengukuran keamanan terkait lainnya berkaitan dengan lini bisnis mereka proses yang diteliti dan ditindaklanjuti atas nama mereka.

Elemen Kritis tambahan dan Solusi Pertimbangan

Seperti tercantum dalam bagian pengantar laporan ini, proses identifikasi atas 10 unsur termasuk hasil dari kelompok fokus dan kelompok survei. Hasil jatuh ke dalam dua subkategori berbeda-prioritas unsur-unsur penting dan unsur-unsur penting tambahan, dengan tambahan unsur-unsur penting yang mewakili empat elemen dari masing-masing kelompok tidak tercermin dalam prioritas elemen-elemen kritis.

(8)

telah dibatasi untuk tiga, seperti juga unsur-unsur prioritas, dengan tujuan menjaga fokus laporan.

Gambar 2-Solution Pertimbangan untuk tambahan Elemen Kritis

Tambahan Elemen Kritis Solusi Pertimbangan Solusi Pertimbangan Diambil Dari Prioritas

Elemen penting

Karyawan sesuai

pendidikan dan kesadaran perlindungan informasi aset

 Setiap karyawan harus diminta untuk menghadiri informasi kesadaran keamanan diperbaharui setiap tahun dan karyawan baru harus tepat diinformasikan mengenai informasi konsep dan praktik keamanan perusahaan

 Manajemen senior harus berkomunikasi secara konsisten bahwa setiap karyawan bertanggung jawab untuk keamanan informasi dengan memastikan bahwa harapan secara jelas dikomunikasikan dalam keamanan informasi perusahaan, kebijakan dan standar,

(9)

dan secara konsisten menunjukkan bahwa. pelanggaran tidak akan ditoleransi.

 Manajemen senior harus memastikan bisnis yang diselenggarakan bertanggung jawab untuk berinteraksi dengan keamanan informasi manajer ke manajer mencapai risiko disepakati bersama tujuan pengelolaan.

Integrasi antara information bisnis dan keamanan

Konsisten penegakan keamanan informasi kebijakan dan standar

 Kebijakan perusahaan dan standar harus harus ditinjau dan formal otorisasi perubahan pada lingkungan teknologi sebelum pelaksanaan. Penunjukan wewenang untuk memberikan otorisasi seharusnya posisi manajemen, tanpa pemisahan tugas konflik, dan bertanggung jawab untuk melaporkan status keamanan informasi kepada dewan

 Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan perubahan manajemen harus secara resmi diminta dan disetujui oleh kebijakan perusahaan komite pengawas atau setara.

 Pengukuran efektivitas pengendalian harus mencakup sejalan dengan peraturan dan hukum dan pengukuran mereka harus dilaporkan pada kuartalan dan tahunan atau dengan, kepala nasihat hukum, kepala petugas kepatuhan, dan kepala auditor atau setara mereka.

Keamanan informasi perencanaan sebelum pelaksanaan teknologi baru

Alignment informasi keamanan dengan tujuan organisasi

Gambar2-Solusi Pertimbangan untukTambahan Elemen kritis (lanjutan)

Tambahan Elemen

Kritis Solusi Pertimbangan Solusi Pertimbangan Diambil Dari Prioritas

(10)

Penempatan keamanan informasi dalam hierarki organisasi

 Manajer keamanan informasi harus meningkatkan pemahaman bisnis dan kemampuan komunikasi mereka melalui industri level pendidikan khusus dan tingkat eksekutif -program pendidikan berkelanjutan.

 Informasi status keamanan berhubungan dengan risiko tinggi hukum dan kepatuhan pemerintahan dengan benar diwakili yang pada akhirnya bertanggung jawab kepada stakeholder.

Pemahaman Manajemen pengeluaran teknologi termasuk risiko identifikasi teknologi dan permintaan risiko mitigasi sebagai bagian dari biaya manfaat, tujuan proyek, penyerahan dan permintaan dana.

 Sebuah strategi keamanan informasi yang sejajar dengan risiko perusahaan manajemen dan perusahaan persyaratan pemerintahan harus dikembangkan dan dilaksanakan.

 Setiap baris usaha yang "memiliki" informasi memerlukan tingkat tertentu kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung untuk bekerja dengan keamanan informasi manajer untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi.

(11)

Tambahan Elemen

 Berkomunikasi secara konsisten bahwa setiap karyawan bertanggung jawab untuk keamanan informasi dengan memastikan bahwa harapan secara jelas dikomunikasikan dalam keamanan informasi kebijakan perusahaan dan standar dan konsisten menunjukkan bahwa pelanggaran tidak akan ditoleransi.

 Manajemen senior harus memastikan bisnis yang diselenggarakan bertanggung jawab untuk berinteraksi dengan manajer keamanan informasi mencapai tujuan pengelolaan risiko disepakati bersama.

 Informasi status keamanan yang terkait dengan risiko tinggi hukum dan peraturan kepatuhan harus dipantau pada tingkat eksekutif untuk memastikan bahwa sesuai prioritas diberikan kepada inisiatif risiko manajemen .

Manajemen senior risiko dan mitigasi risiko merupakan persyaratan sebagai bagian dari biaya manfaat, tujuan proyek, penyerahan dan permintaan dana.

 Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan perubahan manajemen harus secara resmi diminta dan disetujui oleh kebijakan perusahaan komite pengawas atau setara.

(12)

Tambahan Elemen

 Senior manajemen harus memerlukan bahwa semua permintaan untuk solusi teknologi pengeluaran teknologi termasuk identifikasi risiko dan mitigasi risiko merupakan persyaratan sebagai bagian dari biaya manfaat, tujuan proyek, penyerahan dan permintaan dana.

 Permintaan sebuah strategi keamanan informasi yang sejajar dengan risiko manajemen dan kebijakan perusahaan seharusnya dikembangkan dan dilaksanakan.

 Setiap baris usaha yang "memiliki" informasi memerlukan tingkat tertentu kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung untuk bekerja dengan keamanan informasi manajer untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi.

Manajemen senior inisiatif keamanan informasi. berpartisipasi dalam industri organisasi yang aktif bekerja mengembangkan metrik dan praktek-praktek keseimbangan secara efektif bisnis pengembangan produk kebutuhan dan berkaitan dengan tali keamanan informasi bisnis riil risiko.

(Element tidak dialamatkan oleh dimanapun solusi pertimbangan ditetapkan)

Ringkasan

Informasi yang terkandung dalam laporan ini mencerminkan semakin pengakuan bahwa keamanan informasi tidak hanya masalah teknologi informasi, yang merupakan masalah bisnis yang tidak dapat diatasi hanya dengan merekrut profesional keamanan informasi dan menciptakan judul mengesankan. Kemampuan untuk mengidentifikasi resiko baik terhadap informasi dan aset kekayaan intelektual membutuhkan kerjasama dari para peserta di seluruh organisasi.

(13)

Hasil kelompok terarah dan survei juga menunjukkan bahwa tanpa keamanan informasi didefinisikan secara tepat pengukuran, dan dewan tingkat pengukuran yang pemantauan, perlindungan aset akan terus palsu dengan "mendesak" implementasi kebijakan-kebijakan yang ditetapkan mengelakkan, standar dan prosedur bisnis merongrong infrastruktur teknologi. Temuan kunci lainnya adalah profesional keamanan informasi bahwa mulai menyadari bahwa mereka perlu mengembangkan pemahaman yang kuat tentang bisnis sebagai peran mereka menjadi lebih terlihat di dalam organisasi, keputusan-keputusan mereka menuntut pembenaran risiko bisnis, dan ketergantungan pada teknologi drive meningkat interaksi dengan hukum dan sesuai dengan rekan-rekan di organisasi.

Lampiran A- List Master Elemen Kritis List berdasarkan Kategori

Culture Budaya

1. Eksekutif pesan manajemen yang berkaitan dengan prioritas keamanan informasi

2. Dewan eksekutif pemantauan manajemen risiko keamanan informasi

3. Reguler, keamanan informasi berkelanjutan item pada papan agenda

4. Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk pelaksanaan, pemantauan dan pelaporan tentang keamanan informasi

Sumber Daya Manusia / Orang / Anggaran dan Keuangan

5. Efektif proses penganggaran keamanan informasi

6. Anggaran untuk keamanan informasi strategi dan rencana taktis

Organisasi / Hubungan Organisasi

7. Jelas dikomunikasikan tanggung jawab pelanggan dan kehilangan tanggung jawab terkait dengan penggunaan teknologi untuk transaksi pelanggan

8. Komitmen manajemen senior inisiatif keamanan informasi

9. Mengakibatkan pengaruh manajemen layanan produk seleksi yang tidak terbaik memecahkan masalah

10. Keselarasan antara tujuan perusahaan dan tujuan keamanan

11. Integrasi antara bisnis dan keamanan

12. Ditetapkan struktur manajemen

13. Fokus pada tujuan jangka pendek untuk mencegah keamanan jangka panjang kelemahan

(14)

15. Tepat penempatan keamanan di dalam hirarki organisasi

16. Integrasi keamanan IT dengan tradisional / fasilitas keamanan

Teknologi dan Teknologi yang berhubungan dengan Proses

17. Perencanaan keamanan yang memadai sebelum implementasi teknologi baru 18. Sesuai prosedur manajemen perubahan

19. Kemampuan untuk merespon span.ming / serangan phishing dan yang berkaitan 20. Menyeimbangkan harapan dengan kelayakan teknis solusi otomatis

Hukum / Peraturan / Pemerintahan / Kebijakan dan Standar

21. Kepatuhan terhadap peraturan beberapa yurisdiksi di sepanjang jalan transaksi 22. Sesuai / efektif / peraturan perundang-undangan yang bertentangan

23. Informasi kebijakan keamanan dan standar penegakan

24. Konsisten penegakan kebijakan keamanan informasi dan standar

Metrics Metrik

25. Enterprise kerangka kerja manajemen risiko yang mengintegrasikan keamanan

26. Universal telah disepakati metodologi untuk penilaian risiko

27. Secara umum diterima metrik keamanan untuk keamanan terbaik

28. Pelaporan dan metrik terkait dengan tujuan bisnis dan strategi

'Craining / Pendidikan / Kesadaran

29. Ketersediaan terlatih dan berpengalaman profesional keamanan informasi

30. Pemahaman manajemen masalah keamanan

31. Karyawan pendidikan, dan memperbarui pendidikan, perlindungan aset informasi

32. Kesadaran keamanan berkelanjutan

33. Pengetahuan tentang kejahatan formal dan sistem pelaporan insiden

34. Harapan pengguna seimbang vs apa yang secara teknis layak

(15)

Appendix B-Priority Critical Elements

Lampiran

B-Elemen Kritis Prioritas

Summary Table Ringkasan Tabel

Ringkasan TabelPrioritas Elemen penting

Elemen penting Solution Pertimbangan

Manajemen senior komitmen inisiatif keamanan informasi

 Senior manajemen harus mensyaratkan bahwa semua permintaan untuk teknologi termasuk pengeluaran teknologi identifikasi risiko dan risiko mitigasi persyaratan sebagai bagian dari analisis biaya-manfaat, tujuan proyek, penyerahan dan permintaan dana.

 Manajemen senior harus berkomunikasi secara konsisten bahwa setiap karyawan bertanggung jawab untuk keamanan informasi dengan memastikan bahwa harapan secara jelas dikomunikasikan dalam perusahaan kebijakan keamanan informasi dan standar, dan konsisten menunjukkan bahwa pelanggaran tidak akan ditoleransi.

 Setiap karyawan, termasuk manajemen, harus diminta untuk menghadiri sebuah kesadaran keamanan informasi update setiap tahun dan karyawan baru harus tepat informasi dari keamanan informasi perusahaan konsep dan praktik.

Pemahaman manajemen tentang isu keamanan informasi

 Manajer keamanan informasi harus meningkatkan pemahaman mereka bisnis dan kemampuan mereka dalam komunikasi melalui industri pendidikan khusus dan eksekutif - program tingkatpendidikan berkelanjutan

 Sesi kesadaran keamanan informasi harus dimulai pada tingkat eksekutif dan hierarkis lanjutkan ke dimasukkannya semua tingkat manajemen dan karyawan.

 Manajer keamanan informasi harus mencari industri dan lain publikasi yang menargetkan eksekutif dan manajemen senior dan memastikan bahwa orang-publikasi yang dibuat tersedia untuk tim manajemen.

Perencanaan keamanan informasi sebelum pelaksanaan teknologi baru

 Kebijakan perusahaan dan standar harus harus ditinjau dan otorisasi formal perubahan pada lingkungan teknologi sebelum pelaksanaan. Penetapan kewenangan untuk memberikan otorisasi tersebut seharusnya posisi manajemen, tanpa pemisahan tugas konflik, dan termasuk responsiblity untuk pelaporan status keamanan informasi kepada dewan.

 Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan manajemen perubahan harus secara resmi diminta dan disetujui oleh kebijakan perusahaan atau setara komite pengawas.

(16)

tidak memenuhi persyaratan kebijakan perusahaan dan standar.

Ringkasan Tabel Prioritas Elemen penting. (lanjutan)

Elemen penting Solution Pertimbangan

Integrasi antara bisnis dan bisnis dan keamanan informasi

 Senior manajemen harus memastikan bahwa Liaisons bisnis diadakan bertanggung jawab untuk berinteraksi dengan manajer keamanan informasi disepakati bersama untuk mencapai tujuan pengelolaan risiko.

 Senior manajemen harus memastikan bahwa strategi bisnis berbagi dengan teknologi informasi dan risiko yang sesuai manajemen kelompok, seperti informasi keamanan. Ini akan membantu memastikan bahwa diperlukan penyesuaian terhadap keamanan informasi strategi dan kemampuan infrastruktur teknologi dapat secara proaktif direncanakan untuk membantu mengelola biaya dan risiko.

 Status keamanan informasi yang berkaitan dengan risiko tinggi hukum dan kepatuhan peraturan harus dipantau pada tingkat eksekutif untuk memastikan bahwa prioritas yang tepat diberikan kepada manajemen risiko inisiatif.

Penyelarasan keamanan informasi dengan tujuan organisasi

 Sebuah strategi keamanan informasi yang sejalan dengan perusahaan manajemen risiko dan tata kelola perusahaan persyaratan harus dikembangkan dan dilaksanakan.

 Setiap lini bisnis yang "memiliki" informasi yang spesifik yang memerlukan tingkat kerahasiaan, integritas dan ketersediaan harus menunjuk seorang penghubung untuk bekerja dengan manajer keamanan informasi untuk memastikan bahwa persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan informasi.

(17)

Eksekutif dan garis manajemen kepemilikan dan akuntabilitas pelaksanaan, pemantauan dan melaporkan keamanan informasi

 Keamanan informasi harus memiliki laporan independen struktur untuk memastikan bahwa keprihatinan, prestasi dan pandangan tentang pemerintahan yang baik diwakili kepada mereka akhirnya bertanggung jawab kepada para pemangku kepentingan.

 Tujuan pengendalian kunci yang bersangkutan harus dimasukkan ke dalam proses pengukuran kinerja untuk semua karyawan.

Gambar

Gambar 2-Solution Pertimbangan untuk

Referensi

Unduh sekarang ( DOC - 17 Halaman - 146.50 KB )

Garis besar

Artikel Elemen Kritis Atau Program Sukses Keamanan Informasi

Dokumen terkait

Pengaruh Model Pembelajaran Concept Sentence Terhadap Kemampuan Menulis Oleh Siswa Kelas X SMA Swasta Yaspenda Pulau Rakyat Tahun Pembelajaran 2012/ 2013

Penelitian ini bertujuan untuk menjelaskan pengaruh penggunaan model pembelajaran concept sentence terhadap kemampuan menulis puisi siswa kelas X SMA Swasta YASPENDA

Bab 3. Pengumpulan dan Pengolahan Data. Bab 3 Pengumpulan dan Pengolahan Data. 3.1 Pengumpulan Data

Grafik perbandingan antara data hasil pengukuran temperatur dengan data hasil polynomial curve fitting untuk stasiun GeoB10055-2 ditampilkan pada Gambar 3.21.

II. TINJAUAN PUSTAKA 2.1 Siklus Hidrologi

Selisih antara nilai presipitasi dan evapotranspirasi pada suatu daerah tangkapan disebut cadangan air yang berarti jumlah masukan air total pada keseluruhan luas lahan

Metode Klasifikasi Spasial sebagai Pendukung Informasi Kelas pada Data Indikator Banjir

Hasil penentuan jenis dan jumlah kelas ini adalah informasi jumlah kelas dan Nama-nama kelompok klasifikasi dari tiap-tiap data indikator banjir yang dalam point-point

PEMBELAJARAN SIMAYANG TIPE II UNTUK MENINGKATKAN KEMAMPUAN METAKOGNISI DAN KETERAMPILAN PROSES SAINS PADA MATERI LARUTAN ELEKTROLIT DAN NON ELEKTROLIT

Peneliti merekomendasikan kepada guru IPA untuk menerapkan pembel- ajaran dengan model SiMaYang tipe II karena dapat meningkatkan hasil belajar siswa serta khususnya pada

ASUHAN KEBIDANAN CONTINUITY OF CARE PADA NY.Y MASA HAMIL SAMPAI DENGAN KB DI BPM SITI SAUDAH LAPORAN TUGAS AKHIR. Oleh: DIANA IXMAWATI NIM.

Puji syukur kehadirat Tuhan Yang Maha Esa atas semua berkat dan rahmat-NYA sehingga dapat terselesaikannya Laporan Tugas Akhir yang berjudul “Asuhan Kebidanan Masa Hamil

Perkembangan Memory Di Processor Intel. Yulisda Nanda Sari ( )

Intel 286 atau yang lebih dikenal dengan nama 80286 adalah sebuah processor yang pertama kali dapat mengenali dan menggunakan software yang digunakan untuk processor

PEMBUATAN PAKAN KOMPLIT DARI PUCUK TEBU, BIOMASSA UBI KAYU DAN AMPAS TAHU SEBAGAI PAKAN KAMBING PERAH DI DESA DELITUA KECAMATAN NAMO RAMBE

Peternak pada umumnya mengalami kesulitan dalam menyadiakan pakan yang berkualitas karena kurangnya pengetahuan dan ketrampilan dalam teknologi pengolahan pakan. Pemberian

Image