51

5.2.3 Direksi

Tanggung jawab Direksi untuk pengamanan informasi paling kurang mencakup hal-hal sebagai berikut: a. menetapkan kebijakan, sistem dan prosedur pengamanan informasi; b. mendukung semua aspek program pengamanan informasi; c. menetapkan pembagian tugas dan tanggung jawab untuk pengambilan keputusan terkait manajemen risiko pengamanan informasi; d. menetapkan tingkat risiko pengamanan informasi yang dapat diterima oleh Bank; e. melakukan evaluasi terhadap hasil penerapan mitigasi risiko pengamanan informasi; f. mengkomunikasikan kepada satuan kerja pengguna TI dan penyelenggara TI tentang pentingnya melakukan pengamanan informasi agar Bank dapat mencapai tujuan pengamanan informasi yang diharapkan sesuai ketentuan yang berlaku.

5.2.4. Pejabat Tertinggi Pengamanan Informasi

Sesuai dengan kebijakan dan arahan Direksi, Pejabat Tertinggi Pengamanan Informasi bertanggung jawab atas antara lain: a. pengelolaan fungsi pengamanan informasi agar sesuai dengan kebijakan dan ketentuan serta best practice yang berlaku; b. pemantauan pelaksanaan pengamanan informasi di setiap bagian atau satuan kerja; c. mengkomunikasikan program pengamanan informasi termasuk melakukan upaya peningkatan kesadaran akan pengamanan security awareness program d. menetapkan kriteria dan definisi pengukuran risiko pengamanan informasi; e. melaksanakan program penilaian risiko pengamanan informasi termasuk menilai kepatuhan seluruh bagian di Bank terhadap kebijakan pengamanan informasi dan merekomendasikan pengendalian yang perlu dilakukan; f. memastikan pihak ketiga yang memiliki akses terhadap informasi rahasia milik Bank telah menerapkan pengamanan informasi secara memadai dan konsisten; g. membantu koordinasi pengujian BCP; h. mengkoordinasikan upaya pengamanan informasi dengan audit intern TI.

5.3. PRINSIP, KEBIJAKAN DAN PROSEDUR PENGAMANAN INFORMASI

5.3.1 Prinsip Pengamanan Informasi

Pengamanan informasi sekurang-kurangnya memperhatikan prinsip-prinsip sebagai berikut: a. dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga kerahasiaan confidentiality, integritas integrity dan ketersediaannya availability secara 52 efektif dan efisien dengan memperhatikan kepatuhan compliance terhadap ketentuan yang berlaku; b. memperhatikan aspek sumber daya manusia , proses dan teknologi; c. dilakukan berdasarkan hasil penilaian risiko risk assessment dengan memperhatikan strategi bisnis Bank dan ketentuan yang berlaku; d. menerapkan pengamanan informasi secara komprehensif dan berkesinambungan yaitu dengan menetapkan tujuan dan kebijakan pengamanan informasi, mengimplementasikan pengendalian pengamanan informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan pengamanan informasi serta melakukan penyempurnaan. Disamping hal-hal tersebut diatas, Bank perlu mempertimbangkan implementasi standar internasional di bidang pengamanan informasi seperti ISO, IEC, COBIT, IT-IL dan standar nasional seperti SNI, dengan memperhatikan kompleksitas usaha yang meliputi antara lain keragaman dalam jenis transaksiprodukjasa dan jaringan kantor serta teknologi pendukung yang digunakan.

5.3.2. Kebijakan Pengamanan Informasi

Manajemen Bank harus menetapkan kebijakan dan memiliki komitmen yang tinggi terhadap pengamanan informasi. Kebijakan tersebut harus dikomunikasikan secara berkala kepada seluruh pegawai Bank dan pihak eksternal yang terkait. Disamping itu dilakukan evaluasi secara berkala dan apabila terdapat perubahan penting. Kebijakan tentang pengamanan informasi harus mencakup sekurang-kurangnya: a. tujuan pengamanan informasi yang sekurang-kurangnya meliputi pengelolaan aset, sumber daya manusia, pengamanan fisik, pengamanan logic logical security, pengamanan operasional TI, penanganan insiden pengamanan informasi, dan pengamanan informasi dalam pengembangan sistem; b. komitmen manajemen terhadap pengamanan informasi sejalan dengan strategi dan tujuan bisnis; c. kerangka acuan dalam menetapkan pengendalian melalui pelaksanaan manajemen risiko Bank; d. prinsip dan standar pengamanan informasi, termasuk kepatuhan terhadap ketentuan yang berlaku, pelatihan dan peningkatan kesadaran atas pentingnya pengamanan informasi security awareness program, rencana kelangsungan bisnis dan sanksi atas pelanggaran; e. tugas dan tanggung jawab pihak-pihak dalam pengamanan informasi; f. dokumen atau ketentuan lain yang mendukung kebijakan pengamanan informasi. 53

5.3.3. Prosedur Pengamanan Informasi