II. Tata Kelola-2.10

Referensi: SNI ISO/IEC 27001:2022

• 5.1 Kepemimpinan dan komitmen
• 6.1 Tindakan untuk menangani risiko dan peluang

Pertanyaan

2.10

Apakah instansi/ perusahaan anda sudah mengintegrasikan keperluan/ persyaratan keamanan informasi dalam proses kerja yang ada?

Penjelasan

SNI ISO/IEC 27001:2022

5.1 Kepemimpinan dan komitmen

Manajemen puncak harus menunjukkan kepemimpinan dan komitmen atas sistem manajemen keamanan informasi dengan cara:

• ...
• memastikan persyaratan sistem manajemen keamanan informasi terintegrasi ke dalam proses organisasi;
• ...

6.1 Tindakan untuk menangani risiko dan peluang

6.1.1 Umum

Ketika merencanakan sistem manajemen keamanan informasi, organisasi harus mempertimbangkan isu yang dimaksud dalam 4.1 dan persyaratan yang dimaksud dalam 4.2 serta menentukan risiko dan peluang yang perlu ditangani untuk:

• memastikan sistem manajemen keamanan informasi dapat mencapai manfaat yang diharapkan;
• mencegah, atau mengurangi, efek yang tidak diinginkan;
• mencapai peningkatan berkelanjutan.

Tujuan penerapan persyaratan keamanan informasi sebagaimana dimaksud pada 6.1.1 pada SNI ISO/IEC 27001:2022 di atas.

Contoh :

• Persyaratan penerimaan pegawai (khsuusnya yang menangani aset informasi berklasifikasi), misalkan proses skirining dsb.
• Proses klasifikasi dan pelabelan aset informasi.
• Pengelolaan hak akses.
  SOP Penonaktivan Akses Persandian dan Keamanan lnformasi (Jogjaprov)

  
• dsb. Umumnya akan terlihat pada dokumen kebijakan SMKI dan turunannya (SOP, Formulir, dsb.)

Status

Tidak Dilakukan

• Organisasi belum mengintegrasikan keperluan/persyaratan keamanan informasi dalam proses kerja yang ada.

Dalam Perencanaan

• Organisasi telah merancang keperluan/persyaratan keamanan informasi dalam proses kerja yang ada.

Dalam Penerapan atau Diterapkan Sebagian

• Organisasi telah memiliki kebijakan integrasi keperluan/persyaratan keamanan informasi dalam proses kerja yang ada.

Diterapkan Secara Menyeluruh

• Organisasi telah memiliki kebijakan dan mengimplementasikan keperluan/persyaratan keamanan informasi dalam proses kerja yang ada.

Bukti Dukung

tidak terbatas pada:

• Dokumen kebijakan Sistem Manajemen Keamanan Informasi (SMKI). Contoh:
  • Surat Keputusan Direksi PT Kawasan Industri Wijayakusuma 5/SK/D.KIW/11/2023:Pedoman SMKI
  • Pergub Jawa Tengah 25/2023:SMKI Pemda
  • Perbup Bantul 35/2023:SMKI
• Prosedur pengelolaan SMKI.

Pertanyaan terkait

mayoritas pertanyaan pada Indeks KAMI.

---