II. Tata Kelola-2.1
Referensi:
SNI ISO/IEC 27001:2022
- 5.1 Kepemimpinan dan komitmen
SNI ISO/IEC 27002:2022
- 5.1 Kebijakan Keamanan Informasi
Pertanyaan
Apakah pimpinan instansi/perusahaan anda secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi (misal yang tercantum dalam ITSP), termasuk penetapan kebijakan terkait?
Penjelasan
Dalam mengimplementasikan SMKI/ program keamanan informasi perlu dukungan pimpinan organisasi, hal ini penting dalam memastikan implementasinya sesuai kebijakan dan didukung dari sisi sumberdaya. Dukungan pimpinan ini diharapkan dituangkan ke dalam dokumen yang sah untuk memastikan integritas komitmen pimpinan.
SNI ISO/IEC 27001:2022, 5.1 Kepemimpinan dan komitmen
Manajemen puncak harus menunjukkan kepemimpinan dan komitmen atas sistem manajemen keamanan informasi dengan cara:
- memastikan kebijakan keamanan informasi dan sasaran keamanan informasi ditetapkan dan kompatibel dengan arah strategis organisasi;
- memastikan persyaratan sistem manajemen keamanan informasi terintegrasi ke dalam proses organisasi;
- memastikan tersedianya sumber daya yang dibutuhkan untuk sistem manajemen keamanan informasi;
- mengomunikasikan pentingnya manajemen keamanan informasi yang efektif dan kesesuaian dengan persyaratan sistem manajemen keamanan informasi;
- memastikan bahwa sistem manajemen keamanan informasi mencapai manfaat yang diintensikan;
- mengarahkan dan mendukung person-person untuk berkontribusi dalam efektivitas sistem manajemen keamanan informasi;
- mempromosikan peningkatan berkelanjutan; dan
- mendukung peran manajemen yang relevan lainnya untuk menunjukkan kepemimpinannya sebagaimana hal ini menjadi wilayah tanggung jawabnya.
Contoh
SumberStatus
Tidak Dilakukan
- Pimpinan organisasi belum secara prinsip dan resmi bertanggung jawab atas pelaksanaan program keamanan informasi.
- Tidak memiliki/ tidak dapat menunjukkan bukti dukung.
Dalam Perencanaan
- Pimpinan organisasi berkomitmen melaksanakan program keamanan informasi.
- Komitmen pimpinan tersebut baru terjabarkan ke dalam konsep dokumentasi perencanaan program.
- Bukti dukung berupa kebijakan/ sejenisnya masih dalam konsep (belum disahkan).
- Contoh bukti dukung, tidak terbatas pada:
- Konsep kebijakan Sistem Manajemen Keamanan Informasi (SMKI).
- Konsep Rencana Strategis (Renstra) yang memuat rencana implementasi SMKI. dsb.
Dalam Penerapan atau Diterapkan Sebagian
- Pimpinan organisasi telah berkomitmen melaksanakan SMKI.
- Komitmen pimpinan tersebut belum terjabarkan ke dalam dokumen perencanaan program.
- Pimpinan organisasi secara prinsip dan resmi bertanggung jawab atas pelaksanaan kebijakan dan rencana pengembangan IT ataupun sejenisnya, namun di dalamnya belum memuat rencana pelaksanaan program keamanan informasi.
- Contoh bukti dukung, tidak terbatas pada:
- Maklumat implementasi SMKI oleh pimpinan puncak (komitmen pimpinan menerapkan SMKI).
- Rencana Strategis (Renstra) yang belum memuat strategi keamanan informasi/ penerapan SMKI.
Diterapkan Secara Menyeluruh
- Pimpinan organisasi telah berkomitmen melaksanakan program keamanan informasi/ SMKI.
- Komitmen pimpinan tersebut dituangkan ke dalam dokumen yang sah.
- Contoh bukti dukung, tidak terbatas pada Bukti Dukung
Bukti Dukung
tidak terbatas pada:
- Maklumat implementasi SMKI oleh pimpinan puncak (komitmen pimpinan menerapkan SMKI). Contoh:
- Dokumen kebijakan Sistem Manajemen Keamanan Informasi (SMKI). Contoh:
- Dokumen Rencana Strategis (Renstra) yang memuat rencana implementasi SMKI. Contoh:
- Dokumen Rencana Kerja/Program/Kegiatan terkait Keamanan Informasi.
- Roadmap TIK (SPBE)/ Masterplan TIK yang memuat strategi penerapan SMKI. Contoh:
Pertanyaan terkait
tidak ada.
