II. Tata Kelola-2.3

Referensi:

SNI ISO/IEC 27001:2022

• 5.3 Peran, tanggung jawab dan wewenang organisasional

SNI ISO/IEC 27002:2022

• 5.2 Peran dan tanggung jawab keamanan informasi

Pertanyaan

2.3

Apakah pejabat/ petugas pelaksana pengamanan informasi mempunyai wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program keamanan informasi?

Penjelasan

Memastikan bahwa pengelola keamanan informasi memiliki wewenang sesuai delegasi tim yang diemban, dalam hal ini dapat dituangkan ke dalam Kebijakan SMKI maupun Keputusan Pembentukan TIM SMKI.

note

SNI ISO/IEC 27001:2022, 5.3 Peran, tanggung jawab dan wewenang organisasional

Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang untuk peran-peran yang relevan dengan keamanan informasi telah ditugaskan dan dikomunikasikan dalam organisasi.

note

SNI ISO/IEC 27002:2022, 5.2 Peran dan tanggung jawab keamanan informasi

Tanggung jawab Tim SMKI sebaiknya dilengkapi, jika diperlukan, dengan panduan yang lebih mendetail untuk situs dan fasilitas pemrosesan informasi tertentu. Individu dengan tanggung jawab keamanan informasi yang dialokasikan dapat memberikan tugas keamanan kepada orang lain. Namun, mereka tetap bertanggung jawab dan sebaiknya memastikan bahwa setiap tugas yang didelegasikan telah dilakukan dengan benar.

Setiap area keamanan yang menjadi tanggung jawab individu sebaiknya didefinisikan, didokumentasikan, dan dikomunikasikan. Level otorisasi sebaiknya didefinisikan dan didokumentasikan. Individu yang mengambil peran keamanan informasi spesifik sebaiknya memiliki pengetahuan dan keterampilan yang diperlukan untuk peran tersebut dan sebaiknya didukung untuk mengikuti perkembangan yang terkait dengan peran tersebut dan diperlukan untuk memenuhi tanggung jawab peran tersebut.

Contoh

Pembentukan Tim Pelaksana SMKI, Kota Jogjakarta

---

Pembentukan Tim Pelaksana MKI, Provinsi Lampung

Sumber

Status

Tidak Dilakukan

• Pelaksana pengamanan informasi belum memiliki wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program keamanan informasi.
• SK Tim SMKI belum memuat wewenang Tim SMKI.

Dalam Perencanaan

• Wewenang untuk menerapkan dan menjamin kepatuhan program keamanan informasi oleh pelaksana pengamanan informasi masih dalam proses penyusunan (konsep terdokumentasi).

Dalam Penerapan atau Diterapkan Sebagian

• Pelaksana pengamanan informasi memiliki wewenang yang sesuai, namun belum memadai untuk menerapkan dan menjamin kepatuhan program keamanan informasi serta terdokumentasi (baik dalam bentuk Keputusan, Surat Perintah, dsb).

Diterapkan Secara Menyeluruh

• Seluruh pelaksana pengamanan informasi memiliki wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program keamanan informasi serta terdokumentasi (baik dalam bentuk Keputusan, Surat Perintah, dsb).

Bukti Dukung

tidak terbatas pada:

• Dokumen Pembentukan/ Penetapan Tim Pelaksana SMKI.
  • Keputusan Kadiskominfosan Kota Jogjakarta No.24/KEP/KOMINFOSAN/VI/2023:Tim Pelaksana SMKI, memuat susunan tim SMKI.
  • Keputusan Gubernur Lampung No.G/768/V.14/HK/2023:Kebijakan Teknis dan Pembentukan Tim Pelaksana MKI Provinsi Lampung.
• Dokumen Struktur Organisasi (misal SOTK), yang memuat tugas dan fungsi pengelolaan keamanan informasi pada unit tertentu.

Pertanyaan terkait

• Takel-2.2
• Takel-2.4
• Takel-2.5

---