Daftar Isi:
Video: Aplikasi SPMI (Sistem Penjaminan Mutu Internal) Bagi Perguruan Tinggi 2024
Kebijakan keamanan, standar, prosedur, dan pedoman semuanya berbeda satu sama lain, namun juga saling berinteraksi satu sama lain dalam berbagai variasi. cara. Penting untuk memahami perbedaan dan hubungan ini, dan juga mengenali berbagai jenis kebijakan dan aplikasinya.
Untuk berhasil mengembangkan dan menerapkan kebijakan, standar, pedoman, dan prosedur keamanan informasi, Anda harus memastikan bahwa usaha Anda sesuai dengan misi, tujuan, dan tujuan organisasi.
Kebijakan, standar, prosedur, dan pedoman semuanya bekerja sama sebagai cetak biru untuk program keamanan informasi yang sukses. Mereka
- Menetapkan tata kelola.
- Berikan bimbingan dan dukungan keputusan yang berharga.
- Membantu membentuk otoritas hukum.
Terlalu sering, solusi keamanan teknis diimplementasikan tanpa cetak biru penting ini. Hasilnya seringkali merupakan kontrol yang mahal dan tidak efektif yang tidak diterapkan secara seragam dan tidak mendukung keseluruhan strategi keamanan.
Governance adalah istilah yang secara kolektif mewakili sistem kebijakan, standar, pedoman, dan prosedur yang membantu mengarahkan operasi dan keputusan sehari-hari organisasi.
Kebijakan
A kebijakan keamanan membentuk basis program keamanan informasi organisasi. RFC 2196, Site Security Handbook, mendefinisikan sebuah kebijakan keamanan sebagai "pernyataan peraturan formal yang dengannya orang-orang yang diberi akses terhadap teknologi dan aset informasi organisasi harus mematuhi. "
Empat jenis kebijakan utama adalah
- Manajemen Senior: Pernyataan manajemen tingkat tinggi tentang tujuan keamanan organisasi, tanggung jawab organisasi, individu, etika dan kepercayaan, dan persyaratan umum dan kontrol.
- Peraturan: Kebijakan yang sangat rinci dan ringkas biasanya diamanatkan oleh persyaratan federal, negara bagian, industri, atau persyaratan hukum lainnya.
- Penasehat: Tidak wajib, namun sangat dianjurkan, seringkali dengan hukuman atau konsekuensi khusus karena kegagalan untuk mematuhi. Sebagian besar kebijakan termasuk dalam kategori ini.
- Informatif: Hanya menginformasikan, tanpa persyaratan kepatuhan yang jelas.
Standar, prosedur, dan pedoman mendukung elemen kebijakan dan memberikan rincian pelaksanaan kebijakan yang spesifik.
ISO / IEC 27002, Teknologi Informasi - Teknik Keamanan - Kode Praktik untuk Manajemen Keamanan Informasi, merupakan standar internasional untuk kebijakan keamanan informasi.ISO / IEC adalah Organisasi Internasional untuk Standardisasi dan Komisi Elektroteknik Internasional. ISO / IEC 27002 terdiri dari 12 bagian yang sebagian besar (tapi tidak sepenuhnya) tumpang tindih dengan delapan domain keamanan (ISC) 2.
Standar (dan garis dasar)
Standar adalah persyaratan spesifik dan wajib yang selanjutnya menentukan dan mendukung kebijakan tingkat tinggi. Misalnya, standar mungkin memerlukan penggunaan teknologi tertentu, seperti persyaratan minimum untuk enkripsi data sensitif menggunakan AES. Standar mungkin berlaku sejauh untuk menentukan merek, produk, atau protokol yang tepat untuk diterapkan.
Baselines serupa dengan dan terkait dengan standar. Sebuah baseline dapat berguna untuk mengidentifikasi dasar yang konsisten untuk arsitektur keamanan organisasi, dengan mempertimbangkan parameter spesifik sistem, seperti sistem operasi yang berbeda. Setelah garis dasar yang konsisten ditetapkan, standar yang sesuai dapat didefinisikan di seluruh organisasi.
Beberapa organisasi memanggil standar dokumen konfigurasi mereka (dan yang lainnya menyebutnya sebagai lingkungan operasi standar) dan bukan baseline. Ini adalah praktik yang umum dan dapat diterima.
Prosedur
Prosedur memberikan petunjuk terperinci tentang bagaimana menerapkan kebijakan spesifik dan memenuhi kriteria yang ditetapkan dalam standar. Prosedur dapat mencakup Standard Operating Procedures (SOP), buku berjalan, dan panduan pengguna. Sebagai contoh, sebuah prosedur dapat menjadi panduan langkah demi langkah untuk mengenkripsi file sensitif dengan menggunakan produk enkripsi perangkat lunak tertentu.
Pedoman
Pedoman serupa dengan standar namun berfungsi sebagai rekomendasi dan bukan sebagai persyaratan wajib. Misalnya, panduan dapat memberikan tip atau rekomendasi untuk menentukan sensitivitas file dan apakah enkripsi diperlukan.
