Enterprise information security policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
Kebijakan Infosec Perusahaan /Enterprise InfoSec Policy (EISP)
1 Menetapkan arah strategi, jangkauan, & sifat
Untuk berbagai area keamanan organisasi
2 Menugaskan tanggung jawab untuk berbagai area infosec
3 Mengembangkan panduan, implementasi,
& Kebutuhan manajemen ttg program infosec
Dokumen EISP perlu menyediakan :
1 Suatu ikhtisar filosopi corporate atas keamanan
2 Informasi ttg organisasi infosec
& tugas infosec :
3 Tanggung jawab untuk keamanan
bersama oleh semua anggota organisasi
4 Tanggung jawab untuk keamanan yg khusus/khas untuk masing2 tugas organisasi
Komponent EISP
1 Statement dari tujuan: What the policy is for
2 Unsur keamanan teknologi Informasi : menetapkan infosec
3 Kebutuhan untuk keamanan teknologi informasi : membenarkan pentingnya infosec didalam organisasi
4 Tanggung jawab dan tugas keamanan teknologi informasi :
Menetapkan struktur organisasi
5 Standar dan petunjuk acuan teknologi informasi
Contoh EISP
Melindungi informasi :
Informasi harus dilindungi
dalam suatu caranya dengan sensitivitas, nilai dan kekritisan
Menggunakan informasi :
Informasi perusahaan X
Harus digunakan hanya untuk tujuan bisnis
Diotorisasi dengan jelas oleh manajemen
Menangani Informasi, mengakses, & pemakaian :
Informasi adalah suatu aset yg penting
& semua akses untuk, penggunaan, & pemrosesan dari
informasi perusahaan X
Harus konsisten dengan kebijakan & standard
Penolakan kerusakan program dan data :
Perusahaan X melepaskan tanggung jawabnya
Karena kerugian atau kerusakan pada data atau software
Yg diakibatkan dari usahanya untuk melindungi
confidentiality, integrity, & availability
Ttg informasi yg ditangani oleh komputer
& sistem komunikasi
Legal Conflicts:
Kebijakan infosec perusahaan X yg telah dibuat garis besarnya
Untuk menemukan perlindungan Hukum dan aturan,
& kebijakan infosec perusahaan X
Dipercayai bila menemukan konflik
Haruslah melaporkan kepada manajemen infosec
Perkecualian pada kebijakan:
Perkecualian pada kebijakan infosec kejadiannya jarang dimana penilaian resiko telah diuji implikasinya lebih dahulu
Kebijakan Non-Enforcement :
Manajemen non-enforcement
Ttg syarat kebijakan yg
tidak mendasari persetujuan tersebut
Pelanggaran hukum :
Manajemen perusahan X
Harus dengan serius mempertimbangkan
Penuntutan hukum pada semua pelanggaran hukum
yg di ketahui
Pembatalan hak akses :
Perusahaan X menyediakan hak
Untuk membatalkan hak teknologi informasi para user pada setiap saat
Standard infosec Industry-Specific :
Sistem informasi perusahaan X
Harus memperkerjakan standard infosec industry-specific
Penggunaan prosedur dan kebijakan infosec :
Semua dokumentasi infosec perusahaan X
Termasuk, tetapi tidak dibatasi pada,
Kebijakan, standard, & prosedur,
Harus di klasifikasikan sebagai “Internal Use Only,”
Kecuali jika dibuat untuk
proses bisnis external atau mitra
Pelaksanaan kendali keamanan :
Semua kendali keamanan sistem informasi harus
dapat dilaksanakan sebelum disetujui sebagai bagian
Dari prosedur baku operasi
http://syopian.net/blog/?p=629
Tidak ada komentar:
Posting Komentar