51
5.2.3 Direksi
Tanggung jawab Direksi untuk pengamanan informasi paling kurang mencakup hal-hal sebagai berikut:
a. menetapkan kebijakan, sistem dan prosedur pengamanan informasi;
b. mendukung semua aspek program pengamanan informasi;
c. menetapkan pembagian tugas dan tanggung jawab untuk pengambilan keputusan
terkait manajemen risiko pengamanan informasi; d.
menetapkan tingkat risiko pengamanan informasi yang dapat diterima oleh Bank; e.
melakukan evaluasi terhadap hasil penerapan mitigasi risiko pengamanan informasi;
f. mengkomunikasikan kepada satuan kerja pengguna TI dan penyelenggara TI
tentang pentingnya melakukan pengamanan informasi agar Bank dapat mencapai tujuan pengamanan informasi yang diharapkan sesuai ketentuan yang berlaku.
5.2.4. Pejabat Tertinggi Pengamanan Informasi
Sesuai dengan kebijakan dan arahan Direksi, Pejabat Tertinggi Pengamanan Informasi bertanggung jawab atas antara lain:
a. pengelolaan fungsi pengamanan informasi agar sesuai dengan kebijakan dan
ketentuan serta best practice yang berlaku; b.
pemantauan pelaksanaan pengamanan informasi di setiap bagian atau satuan kerja; c.
mengkomunikasikan program pengamanan informasi termasuk melakukan upaya peningkatan kesadaran akan pengamanan security awareness program
d. menetapkan kriteria dan definisi pengukuran risiko pengamanan informasi;
e. melaksanakan program penilaian risiko pengamanan informasi termasuk menilai
kepatuhan seluruh bagian di Bank terhadap kebijakan pengamanan informasi dan merekomendasikan pengendalian yang perlu dilakukan;
f. memastikan pihak ketiga yang memiliki akses terhadap informasi rahasia milik
Bank telah menerapkan pengamanan informasi secara memadai dan konsisten; g.
membantu koordinasi pengujian BCP; h.
mengkoordinasikan upaya pengamanan informasi dengan audit intern TI.
5.3. PRINSIP, KEBIJAKAN DAN PROSEDUR PENGAMANAN INFORMASI
5.3.1 Prinsip Pengamanan Informasi
Pengamanan informasi sekurang-kurangnya memperhatikan prinsip-prinsip sebagai berikut:
a. dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga kerahasiaan
confidentiality, integritas integrity dan ketersediaannya availability secara
52
efektif dan efisien dengan memperhatikan kepatuhan compliance terhadap ketentuan yang berlaku;
b. memperhatikan aspek sumber daya manusia , proses dan teknologi;
c. dilakukan berdasarkan hasil penilaian risiko risk assessment dengan
memperhatikan strategi bisnis Bank dan ketentuan yang berlaku; d.
menerapkan pengamanan informasi secara komprehensif dan berkesinambungan yaitu dengan menetapkan tujuan dan kebijakan pengamanan informasi,
mengimplementasikan pengendalian pengamanan informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan pengamanan informasi serta
melakukan penyempurnaan. Disamping hal-hal tersebut diatas, Bank perlu mempertimbangkan implementasi
standar internasional di bidang pengamanan informasi seperti ISO, IEC, COBIT, IT-IL dan standar nasional seperti SNI, dengan memperhatikan kompleksitas usaha yang
meliputi antara lain keragaman dalam jenis transaksiprodukjasa dan jaringan kantor serta teknologi pendukung yang digunakan.
5.3.2. Kebijakan Pengamanan Informasi
Manajemen Bank harus menetapkan kebijakan dan memiliki komitmen yang tinggi terhadap pengamanan informasi. Kebijakan tersebut harus dikomunikasikan secara
berkala kepada seluruh pegawai Bank dan pihak eksternal yang terkait. Disamping itu dilakukan evaluasi secara berkala dan apabila terdapat perubahan penting. Kebijakan
tentang pengamanan informasi harus mencakup sekurang-kurangnya: a.
tujuan pengamanan informasi yang sekurang-kurangnya meliputi pengelolaan aset, sumber daya manusia, pengamanan fisik, pengamanan logic logical security,
pengamanan operasional TI, penanganan insiden pengamanan informasi, dan pengamanan informasi dalam pengembangan sistem;
b. komitmen manajemen terhadap pengamanan informasi sejalan dengan strategi dan
tujuan bisnis; c.
kerangka acuan dalam menetapkan pengendalian melalui pelaksanaan manajemen risiko Bank;
d. prinsip dan standar pengamanan informasi, termasuk kepatuhan terhadap ketentuan
yang berlaku, pelatihan dan peningkatan kesadaran atas pentingnya pengamanan informasi security awareness program, rencana kelangsungan bisnis dan sanksi
atas pelanggaran; e.
tugas dan tanggung jawab pihak-pihak dalam pengamanan informasi; f.
dokumen atau ketentuan lain yang mendukung kebijakan pengamanan informasi.
53
5.3.3. Prosedur Pengamanan Informasi