Kebijakan Umum terkait Organisasi dari keamanan informasi

Pihak internal
Manajemen komitmen information security
Kendali Manajemen harus secara aktif mendukung keamanan dalam organisasi melalui arah yang jelas, komitmen yang ditunjukkan, penetapan eksplisit dan pengakuan tanggung-jawab keamanan informasi. Pedoman Pelaksanaan Manajemen harus: a. memastikan bahwa tujuan keamanan informasi adalah diidentifikasi, memenuhi persyaratan organisasi, dan terintegrasi dalam proses-proses yang relevan; b. merumuskan, meninjau dan menyetujui kebijakan keamanan informasi; c. meninjau efektivitas pelaksanaan kebijakan keamanan informasi; d. menyediakan arah yg jelas dan manajemen terlihat mendukung untuk keamanan inisiatif; e. menyediakan sumber daya yang diperlukan untuk keamanan informasi; f. menyetujui penetapan peran dan tanggung jawab keamanan informasi di seluruh organisasi; g. memulai rencana dan program untuk mempertahankan kesadaran keamanan informasi; h. memastikan bahwa pelaksanaan kontrol keamanan informasi terkoordinasi di seluruh organisasi Manajemen harus mengidentifikasi kebutuhan internal atau eksternal yang disarankan spesialis keamanan informasi, review dan koordinat hasil saran seluruh organisasi. Tergantung pada ukuran organisasi, tanggung jawab tersebut dapat ditangani oleh manajemen forum yang berdedikasi, seperti Dewan Direksi.

Koordinasi keamanan informasi

Kendali Kegiatan keamanan informasi harus terkoordinasi oleh perwakilan dari berbagai bagian organisasi dengan peran yang relevan dan fungsi kerja. Pedoman Pelaksanaan

Biasanya, koordinasi keamanan informasi harus melibatkan kerjasama dan kolaborasi manajer, pengguna, administrator, desainer aplikasi, auditor dan personil keamanan dan keterampilan khusus di bidang asuransi, isu-isu hukum, sumber daya manusia, manajemen atau risiko

Alokasi tanggung-jawab keamanan informasi

Kendali semua tanggung-jawab keamanan informasi harus didefinisikan dengan jelas. Pedoman Pelaksanaan Alokasi tanggung-jawab keamanan informasi harus dilakukan sesuai dengan kebijakan keamanan informasi. Tanggung jawab untuk melindungi aset-aset individu dan untuk melaksanakan proses keamanan tertentu harus clearlyidentified. Tanggung jawab ini harus dilengkapi, apabila diperlukan, dengan panduan yang lebih rinci untuk situs tertentu dan informasi fasilitas pengolahan. Tanggung jawab lokal untuk perlindungan aset dan untuk melaksanakan proses keamanan yang spesifik, seperti perencanaan keberlangsungan usaha, harus didefinisikan dengan jelas. Individu dengan tanggung-jawab keamanan dialokasikan dapat mendelegasikan tugas-tugas keamanan kepada orang lain. Namun mereka tetap bertanggung jawab dan harus menentukan bahwa setiap tugas yang didelegasikan telah dilakukan dengan benar.

Proses otorisasi untuk informasi pengolahan fasilitas

Kendali Proses manajemen otorisasi untuk fasilitas pengolahan informasi yang baru harus didefinisikan dan dilaksanakan. Pedoman Pelaksanaan a. Fasilitas baru harus memiliki pengguna sesuai manajemen otorisasi, otorisasi tujuan mereka dan menggunakan. Otorisasi juga harus beobtained dari manajer yang bertanggung jawab untuk menjaga lingkungan keamanan sistem informasi lokal untuk memastikan bahwa semua kebijakan keamanan yang relevan dan persyaratan terpenuhi; b. Di mana perlu, hardware dan software harus diperiksa untuk memastikan bahwa mereka kompatibel dengan komponen sistem lain; c. Penggunaan pribadi atau pribadi dimiliki fasilitas pengolahan informasi, misalnya laptop, komputer rumah, atau perangkat genggam, untuk memproses informasi bisnis, dapat memperkenalkan kerentanan baru dan kontrol yang diperlukan harus diidentifikasi dan diimplementasikan.

Perjanjian kerahasiaan
Kendali Sesuai kontak dengan pihak terkait harus dipertahankan. Pedoman Pelaksanaan Organisasi harus memiliki prosedur di tempat yang menentukan kapan dan oleh siapa yang berwenang ( misalnya penegakan hukum, pemadam kebakaran, otoritas pengawas ) harus dihubungi, dan bagaimana mengidentifikasi keamanan informasi insiden harus dilaporkan ina tepat waktu cara jika itu diduga bahwa hukum mungkin telah rusak

Kontak dengan kelompok-kelompok kepentingan khusus

Kendali Sesuai kontak dengan kelompok-kelompok kepentingan khusus atau lainnya keamanan spesialis fora asosiasi dan profesional harus dipertahankan Pedoman Pelaksanaan Keanggotaan dalam kelompok minat khusus atau forum harus dipertimbangkan sebagai sarana untuk: a. meningkatkan pengetahuan tentang praktik terbaik dan tetap up to date dengan informasi relevan keamanan; b. memastikan pemahaman tentang lingkungan keamanan informasi terkini dan lengkap;M c. Menerima peringatan dini tanda, nasihat dan patch yang berkaitan dengan serangan dan kerentanan; d. Mendapatkan akses ke informasi keamanan saran; e. Berbagi dan bertukar informasi aboutnew teknologi, produk, ancaman, atau kerentanan;

Review dari independen keamanan informasi

Kendali Organisasi pendekatan untuk mengelola informasi keamanan dan pelaksanaannya ( yaitu mengontrol tujuan, mengontrol, kebijakan, proses, dan prosedur untuk informasi keamanan ) harus ditinjau ulang secara independen di direncanakan interval, atau ketika perubahan signifikan untuk keamanan terjadi. implementasi Pedoman Pelaksanaan

Organisasi pendekatan untuk mengelola informasi keamanan dan pelaksanaannya ( yaitu mengontrol tujuan, mengontrol, kebijakan, proses, dan prosedur untuk informasi keamanan ) harus ditinjau ulang secara independen di direncanakan interval, atau ketika perubahan signifikan untuk keamanan terjadi

Pihak Eksternal
Identification of risks related to external parties.
Kendali Risiko organisasi informasi dan pengolahan fasilitas dari proses bisnis yang melibatkan pihak luar informasi harus diidentifikasi dan sesuai kontrol diimplementasikan sebelum memberikan akses Pedoman Pelaksanaan Di mana ada kebutuhan untuk memungkinkan luar partai akses untuk fasilitas pemrosesan informasi atau informasi dari sebuah organisasi, sebuah penilaian resiko harus dilakukan untuk mengidentifikasi setiap persyaratan untuk kontrol. tertentu Identifikasi tersebut risiko yang terkait dengan pihak eksternal akses harus memperhitungkan

Menangani keamanan ketika berhadapan dengan pelanggan

Kendali Semua persyaratan keamanan yang diidentifikasi harus diatasi sebelum memberikan pelanggan akses ke informasi organisasi atau aset. Pedoman Pelaksanaan Persyaratan berikut harus dipertimbangkan untuk alamat keamanan sebelum memberikan pelanggan akses ke salah satu organisasi aset (tergantung pada jenis dan tingkat akses diberikan, tidak semua dari mereka mungkin berlaku): a. b. c. d. e. f. g. h. perlindungan asset mendiskripsikan produk atau layanan Berbagai alasan, persyaratan, dan manfaat untuk pelanggan akses; akses kontrol kebijakan Deskripsi yang masing-masing layanan harus dibuat tersedia; target tingkat layanan dan tidak dapat diterima tingkat layanan; hak untuk memantau, dan mencabut, setiap kegiatan yang berkaitan dengan organisasi kewajiban masing-masing organisasi dan pelanggan;

Menangani keamanan dalam Perjanjian pihak ketiga

Kendali Perjanjian dengan pihak ketiga yang melibatkan mengakses, pengolahan, berkomunikasi atau mengelola organisasi informasi atau informasi fasilitas pengolahan, atau menambahkan produk atau layanan ke fasilitas pengolahan informasi harus mencakup semua persyaratan keamanan yang relevan. Pedoman Pelaksanaan Perjanjian harus memastikan bahwa ada tidak ada kesalahpahaman antara organisasi dan pihak ketiga. Organisasi harus memuaskan diri untuk ganti rugi dari pihak ketiga. Persyaratan berikut harus dipertimbangkan untuk dimasukkan dalam perjanjian untuk memenuhi persyaratan keamanan diidentifikasi a. b. c. d. e. f. g. h. i. kebijakan keamanan informasi; kontrol untuk memastikan perlindungan asset pengguna dan administrator pelatihan metode, prosedur, dan keamanan; memastikan pengguna kesadaran untuk tanggung-jawab keamanan informasi dan masalah; penyediaan untuk transfer personil, dimana tepat; tanggung jawab mengenai perangkat keras dan perangkat lunak instalasi dan pemeliharaan; struktur pelaporan yang jelas dan format pelaporan yang telah disepakati jelas dan ditentukan proses manajemen perubahan; akses kontrol kebijakan