II. Tata Kelola-2.4

Referensi:

SNI ISO/IEC 27001:2022

• 5.1 Kepemimpinan dan komitmen
• 7.1 Sumber Daya

Pertanyaan

2.4

Apakah penanggungjawab pelaksanaan pengamanan informasi diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi?

Penjelasan

Alokasi sumber daya yang memadai untuk melaksankaan pengelolaan keamanan infromasi dan mengatasi risiko yang teridentifikasi.

Sumber daya dalam hal ini dapat dipetakan ke dalam 4 aspek, tidak terbatas pada:

1. Sumber Daya Manusia (Pepople)
2. Kebijakan, Prosedur dan sejenisnya (Process)
3. Teknologi (Techonlogy)
4. Anggaran (Money)

SNI ISO/IEC 27001:2022

5.1 Kepemimpinan dan komitmen

Manajemen puncak harus menunjukkan kepemimpinan dan komitmen atas sistem manajemen keamanan informasi dengan cara:

c. memastikan tersedianya sumber daya yang dibutuhkan untuk sistem manajemen keamanan informasi;

7.1 Sumber Daya

Organisasi harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk penetapan, implementasi, pemeliharaan dan peningkatan berkelanjutan dari suatu sistem manajemen keamanan informasi.

SNI ISO/IEC 27002:2022

Sebaiknya terdapat keseimbangan antara sumber daya yang digelar untuk mengimplementasikan kontrol dan potensi dampak bisnis yang dihasilkan dari insiden keamanan dengan tidak adanya kontrol tersebut.

Contoh

• Sumber Daya Manusia (People):

  Matriks Kompetensi Tim SMKI
  Sertifikat Personil Tim SMKI
  Personalia Tim SMKI

• Kebijakan (Process):

  Daftar Induk Dokumen (memuat kebijakan, pedoman, prosedur, formulir, dsb SMKI)

• Teknologi (Technology):

  Daftar aset teknologi, misalkan dalam topologi infrastruktur, apliaksi untuk vulnerability assessment, sistem tiket, firewall, dsb.

• Anggaran (Money):

  Dokumen Pelaksanaan Anggaran (DPA), yang memuat kegiatan SMKI. Sumber

Status

Tidak Dilakukan

• Penanggungjawab pelaksanaan pengamanan informasi belum memiliki alokasi sumber daya (Personil, Anggaran, Teknologi, dan Kebijakan) yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi.

Dalam Perencanaan

• Penanggungjawab pelaksanaan pengamanan informasi memiliki alokasi sebagian kecil sumber daya (Personil, Anggaran, Teknologi, dan Kebijakan) yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi.

Dalam Penerapan atau Diterapkan Sebagian

• Penanggungjawab pelaksanaan pengamanan informasi memiliki alokasi sebagian besar sumber daya (Personil, Anggaran, Teknologi, dan Kebijakan) yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi.

Diterapkan Secara Menyeluruh

• Penanggungjawab pelaksanaan pengamanan informasi memiliki alokasi sumber daya (Personil, Anggaran, Teknologi, dan Kebijakan) yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi.

Bukti Dukung

tidak terbatas pada:

• Sumber Daya Manusia:
  • Keputusan Kadiskominfosan Kota Jogjakarta No.24/KEP/KOMINFOSAN/VI/2023:Tim Pelaksana SMKI, memuat susunan tim SMKI.
• Kebijakan:
  • Daftar Induk Dokumen (memuat kebijakan, pedoman, prosedur, formulir, dsb SMKI). Contoh: Daftar Induk Dokumen CDAKB
• Teknologi:
  • Daftar aset teknologi, misalkan dalam topologi infrastruktur, apliaksi untuk vulnerability assessment, sistem tiket, firewall, dsb. Contoh: soc.cyber.wa.gov.au
• Anggaran:
  • Dokumen Pelaksanaan Anggaran (DPA), yang memuat kegiatan SMKI. Contoh: DPA Persandian-Provinsi Jateng 2024

Pertanyaan terkait

• Takel-2.2
• Takel-2.3
• Takel-2.5

---