II. Tata Kelola-2.2

Referensi:

SNI ISO/IEC 27001:2022

• 5.3 Peran, tanggung jawab dan wewenang organisasional

SNI ISO/IEC 27002:2022

• 5.1 Kebijakan Keamanan Informasi
• 5.2 Peran dan tanggung jawab keamanan informasi

Pertanyaan

2.2

Apakah instansi/ perusahaan anda memiliki fungsi atau bagian yang secara spesifik mempunyai tugas dan tanggungjawab mengelola keamanan informasi dan menjaga kepatuhannya?

Penjelasan

Peran dan tanggung jawab keamanan informasi harus didefinisikan dan dialokasikan sesuai dengan kebutuhan organisasi.

Oleh karena itu, organisasi perlu menetapkan struktur/ fungsi/ unit yang terdefinisi,disetujui, dan dipahami untuk implementasi, pengoperasian, menjaga kepatuhan, dan manajemen keamanan informasi dalam organisasi.

note

SNI ISO/IEC 27001:2022, 5.3 Peran, tanggung jawab dan wewenang organisasional

Manajemen puncak harus menugaskan tanggung jawab dan wewenang untuk:

• memastikan bahwa sistem manajemen keamanan informasi sesuai dengan persyaratan dari dokumen ini;
• melaporkan kinerja sistem manajemen keamanan informasi kepada manajemen puncak.

note

SNI ISO/IEC 27002:2022, 5.2 Peran dan tanggung jawab keamanan informasi

Alokasi peran dan tanggung jawab keamanan informasi sebaiknya dilakukan sejalan dengan kebijakan keamanan informasi dan kebijakan topik spesifik¹. Organisasi sebaiknya mendefinisikan dan memanajemeni tanggung jawab untuk:

• Perlindungan informasi dan aset terkait lainnya;
• Melaksanakan proses keamanan informasi spesifik;
• Aktivitas manajemen risiko keamanan informasi dan khususnya penerimaan risiko residual (misalnya kepada pemilik risiko);
• Semua personel yang menggunakan informasi organisasi dan aset terkait lainnya.

Contoh

Pembentukan Tim Pelaksana SMKI, Kota Jogjakarta

---

Pembentukan Tim Pelaksana MKI, Provinsi Lampung

Sumber

Status

Tidak Dilakukan

• Belum memiliki struktur/ fungsi/ unit yang mengemban tugas dan tanggungjawab mengelola keamanan informasi dan menjaga kepatuhannya.

Dalam Perencanaan

• Memiliki konsep struktur/ fungsi/ unit yang mengemban tugas dan tanggungjawab mengelola keamanan informasi dan menjaga kepatuhannya.

Dalam Penerapan atau Diterapkan Sebagian

• Telah menetapkan struktur/ fungsi/ unit yang mengemban tugas dan tanggungjawab mengelola keamanan informasi dan menjaga kepatuhannya, namun belum personalianya.
• Telah ditetapkan SOTK yang memiliki fungsi melaksanakan keamanan informasi (misalkan SOTK Diskominfo yang memuat Bidang/Unit Persandian dalam melaksanan tugas dan tanggungjawab keamanan informasi/ melaksanakan SMKI).

Diterapkan Secara Menyeluruh

• Telah menetapkan struktur/ fungsi/ unit yang mengemban tugas dan tanggungjawab mengelola keamanan informasi dan menjaga kepatuhannya serta peran personalianya.

Bukti Dukung

tidak terbatas pada:

• Dokumen Pembentukan/ Penetapan Tim Pelaksana SMKI.
  • Keputusan Kadiskominfosan Kota Jogjakarta No.24/KEP/KOMINFOSAN/VI/2023:Tim Pelaksana SMKI, memuat susunan tim SMKI.
  • Keputusan Gubernur Lampung No.G/768/V.14/HK/2023:Kebijakan Teknis dan Pembentukan Tim Pelaksana MKI Provinsi Lampung.
• Dokumen Struktur Organisasi (misal SOTK), yang memuat tugas dan fungsi pengelolaan keamanan informasi pada unit tertentu.

Pertanyaan terkait

• Takel-2.3
• Takel-2.4
• Takel-2.5

---

Footnotes

1. Topik Spesifik di antaranya (SNI ISO/IEC 27001:2022, 5.1 Kebijakan Keamanan Informasi):

   • kontrol akses;
   • keamanan fisik dan lingkungan;
   • manajemen aset;
   • transfer informasi;
   • konfigurasi dan penanganan peranti titik akhir pengguna yang aman;
   • keamanan jaringan;
   • manajemen insiden keamanan informasi;
   • pencadangan;
   • kriptografi dan manajemen kunci;
   • klasifikasi dan penanganan informasi;
   • manajemen kerentanan teknis;
   • pengembangan yang aman.
   ↩