II. Tata Kelola-2.8
Referensi: SNI ISO/IEC 27001:2022
- 7.3 Kesadaran
SNI ISO/IEC 27002:2022
- 6.3 Kesadaran, pendidikan, dan pelatihan keamanan informasi
Pertanyaan
Apakah instansi/ perusahaan anda sudah menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait?
Penjelasan
7.3 Kesadaran
Person yang bekerja di bawah kontrol organisasi harus memiliki kesadaran akan:
- kebijakan keamanan informasi;
- kontribusi mereka terhadap efektivitas sistem manajemen keamanan informasi, termasuk keuntungan dari peningkatan kinerja keamanan informasi; dan
- implikasi dari ketidaksesuaian dengan persyaratan sistem manajemen keamanan informasi.
6.3 Kesadaran, pendidikan, dan pelatihan keamanan informasi
Program kesadaran keamanan informasi sebaiknya bertujuan untuk membuat personel menyadari tanggung jawabnya untuk keamanan informasi dan cara pelaksanaan tanggung jawab tersebut.
Program kesadaran sebaiknya termasuk sejumlah aktivitas peningkatan kesadaran melalui saluran fisik atau virtual yang tepat seperti kampanye, buklet, poster, buletin, situs web, sesi informasi, pengarahan, modul pembelajaran daring, dan surel.
Kesadaran keamanan informasi sebaiknya mencakup aspek umum seperti:
Details
- komitmen manajemen terhadap keamanan informasi di seluruh organisasi;
- kebutuhan pengetahuan dan kepatuhan mengenai aturan dan kewajiban keamanan informasi yang berlaku, dengan memperhitungkan kebijakan keamanan informasi dan kebijakan topik spesifik, standar, hukum, statuta, regulasi, kontrak, dan perjanjian;
- akuntabilitas personal atas tindakan dan keputusan untuk tidak bertindak, dan tanggung jawab umum untuk mengamankan atau memproteksi informasi milik organisasi dan pihak yang terkait;
- prosedur keamanan informasi dasar [misalnya pelaporan peristiwa keamanan informasi (6.8)] dan kontrol garis acuan [misalnya keamanan kata sandi (5.17)];
- titik kontak dan sumber daya untuk informasi tambahan dan saran tentang masalah keamanan informasi, termasuk materi kesadaran keamanan informasi lebih lanjut.
Ketika menyusun program kesadaran, jika memungkinkan, penting untuk tidak hanya fokus pada 'apa' dan 'bagaimana', tetapi juga 'mengapa'. Penting bagi personel untuk memahami tujuan keamanan informasi dan efek potensial, positif dan negatif, pada organisasi dari perilaku mereka sendiri.
Contoh
Status
Tidak Dilakukan
- Organisasi belum menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait.
Dalam Perencanaan
- Organisasi merencakanan kegiatan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait.
- Contoh: kegiatan peningkatan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi sudah teranggarkan di DPA/ program kerja.
Dalam Penerapan atau Diterapkan Sebagian
- Organisasi sudah menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi sebagian pihak yang terkait.
Diterapkan Secara Menyeluruh
- Organisasi sudah menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait.
Bukti Dukung
tidak terbatas pada:
- Laporan pelaksanaan kegiatan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi (biasanya memuat pula daftar hadir dan dokumentasi).
- Dokumentasi kegiatan sosialisasi dan peningkatan pemahaman untuk keamanan informasi (bisa melalui media elektronik maupun non-elektronik).
- Materi sosialisasi dan peningkatan pemahaman untuk keamanan informasi.
Pertanyaan terkait
tidak ada.
