Artikel Elemen Kritis Atau Program Sukses Keamanan Informasi
Elemen Kritis tentang Program Sukses Keamanan Informasi
Dicetak di Amerika Serikat
Ringkasan Eksekutif
Tantangan pelaksanaan yang efektif program keamanan informasi yang luas dan
beragam.. Untuk mengatasi tantangan tersebut Sistem Informasi Audit dan Control
Association (ISACA) yang disponsori kelompok fokus internasional dan survei, yang
menghasilkan laporan ini, untuk mengidentifikasi unsur-unsur yang mempengaruhi
keberhasilan program keamanan informasi.
10 orang kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari
bisnis, pemerintahan dan konsultasi, yang diambil dari delapan negara, termasuk Kanada,
Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Sementara
perwakilan ini tidak mencakup semua anggota ISACA, itu tidak memanfaatkan
pengalaman yang beragam dan tajam.
Kelompok survei yang menanggapi perwakilan dari 157 termasuk jasa keuangan,
transportasi, retail / grosir, pemerintah (nasional, negara bagian dan lokal), manufaktur,
utilitas, kesehatan dan konsultasi." Responden perwakilan geografis termasuk Afrika,
Amerika, Asia, Eropa dan Oseania. Organisasi ukuran sama baiknya diwakili dalam
kelompok survei oleh organisasi responden mulai dari "kurang dari 50 karyawan" untuk
"lebih dari 50.000 karyawan."
Proses, secara singkat, termasuk pembangunan yang komprehensif daftar unsur-unsur
penting yang digunakan oleh kelompok-kelompok fokus dan survei untuk memilih atas
10 unsur penting bagi keberhasilan program keamanan informasi. Hasil yang menarik.
Kelompok terarah dan kelompok survei independen diidentifikasi komitmen manajemen
senior untuk inisiatif keamanan informasi sebagai satu elemen penting yang berdampak
pada keamanan informasi keberhasilan program. Kedua kelompok ini juga secara
konsisten mengidentifikasi lima tambahan elemen kritis di top 10, termasuk:
Pemahaman manajemen masalah keamanan informasi
Perencanaan keamanan informasi sebelum implementasi teknologi baru
Integrasi antara bisnis dan informasi keamanan
Alignment keamanan informasi dengan tujuan organisasi
Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk
mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi
Sisanya empat unsur penting yang membentuk target atas 10 dari kelompok masingmasing berbeda.
Elemen penting Program Sukses Keamanan Informasi
Bagian berikutnya dari laporan ini memberikan khusus diidentifikasi terkait dengan
unsur-unsur penting di samping pertimbangan solusi yang dikembangkan oleh kelompok
terarah. Elemen kritis telah dibagi menjadi dua kategori: prioritas elemen-elemen kritis,
yang mewakili enam unsur yang antara 10 teratas yang dipilih oleh kedua kelompok, dan
tambahan unsur-unsur kritis, yang mewakili sisa empat elemen yang berbeda di antara
dua kelompok. Masing-masing elemen kritis prioritas diikuti oleh tiga pertimbangan
solusi untuk keamanan informasi digunakan oleh manajer dan rekan bisnis sebagai
pemikiran ide-ide atau tindakan item.
Solusi pertimbangan diidentifikasi untuk enam prioritas elemen-elemen penting juga
membantu mengatasi sejumlah elemen penting lainnya, termasuk semua kecuali satu
tambahan unsur-unsur penting yang diidentifikasi oleh kelompok-kelompok fokus dan
survei. Tambahan unsur-unsur penting yang diidentifikasi oleh kelompok adalah:
Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi
Konsisten penegakan kebijakan keamanan informasi dan standar
Penempatan keamanan informasi dalam organisasi hirarki
Anggaran untuk keamanan informasi strategi dan rencana taktis
Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi
keamanan prioritas
Fokus pada tujuan jangka pendek yang dihasilkan dalam kelemahan kontrol
jangka panjang
Kemampuan untuk membenarkan biaya keamanan informasi
praktik terbaik keamanan informasi / metrik diterima secara umum
Secara ringkas, analisis dengan jelas menunjukkan perlunya eksekutif dan manajemen
senior dan manajer keamanan informasi untuk menjalin hubungan yang memungkinkan
pesan yang konsisten mengenai prioritas organisasi tempat untuk melindungi informasi
yang berharga dan aset kekayaan intelektual. Namun, analisis juga menunjukkan
kebutuhan yang kuat untuk pesan yang akan didukung dengan tindakan nyata dan
konsisten. Tindakan, mengatakan hasil, adalah pembentukan dan pelaksanaan yang
konsisten dan standar kebijakan perusahaan. Selanjutnya, hasil menunjukkan bahwa
tingkat tertinggi tanpa terlihat memantau keberhasilan pelaksanaan strategi keamanan
informasi, kepatuhan tidak konsisten akan terus mengikis kemajuan dan memberikan
kenyamanan palsu mengenai perlindungan aset. Hari-hari prioritas konflik terus
mempengaruhi kualitas dan konsistensi informasi perlindungan aset. Untuk memastikan
bahwa risiko yang terkait diambil serius oleh setiap karyawan dan agen dari organisasi,
eksekutif dan manajemen senior harus menjadi tampak tertarik dalam memastikan
informasi keberhasilan program keamanan dalam organisasi mereka.
Tujuan Proyek
Sementara banyak alamat publikasi risiko teknis dan keamanan, beberapa laporan telah
mengidentifikasi, secara komprehensif, aspek yang lebih luas dari keberhasilan
menghadapi hambatan yang manajer keamanan informasi dan solusi potensial yang
diusulkan kepada hambatan. ISACA mengakui bahwa hambatan yang harus diatasi oleh
manajer keamanan dan unit bisnis mereka melampaui rekan-rekan teknis dan risiko
kepatuhan peraturan dan meliputi: budaya organisasi dan hubungan, anggaran, sumber
daya manusia, pendidikan dan kesadaran, dan outsourcing, untuk beberapa nama. Melalui
proyek ISACA sponsor untuk memfasilitasi identifikasi, analisis dan laporan ini,
perangkat yang penting telah dibuat untuk posisi untuk keberhasilan manajemen
keamanan informasi program dan organisasi yang program-program ini merupakan
bagiannya.
Ada analisis dan fokus tak terbatas kesempatan mengenai keamanan informasi, sehingga
tujuan proyek diuraikan secara hati-hati dan mencakup:
Keamanan informasi memberikan manajer sebuah perspektif rekan elemen kritis
mencapai sukses pelaksanaan program keamanan informasi.
Berikan saran pada pemecahan, bukan hanya menyatakan, masalah.
Memberikan laporan yang dapat melayani eksekutif dan manajemen senior serta
manajer keamanan informasi.
Meskipun hasil rinci dari proyek ini terutama ditujukan untuk manajer keamanan
informasi, tujuan proyek dan hasil yang telah diringkas dalam Ringkasan Eksekutif untuk
mengaktifkan informasi kunci dalam laporan ini untuk dibagikan dengan eksekutif dan
manajemen senior.
Pendahuluan
Laporan ini mencerminkan pengalaman dan pendapat dari beragam kelompok profesional
mengenai unsur-unsur penting dari keberhasilan program keamanan informasi. Para
peserta termasuk 10-orang dan kelompok fokus 157-responden kelompok survei.
130 kelompok diberikan dalam hal representasi negara, industri dan ukuran organisasi.
Kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis,
pemerintah dan konsultan yang diambil dari delapan negara, termasuk Kanada, Perancis,
Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Kelompok survei industri
dan negara perwakilan digambarkan dalam gambar 1.
Responden survei sama-sama beragam dalam posisi profesional yang diselenggarakan,
termasuk C-level eksekutif, manajemen senior, manajer keamanan informasi, keamanan
informasi staf, direktur riset dan konsultasi mitra dan staf.
Elemen penting
Elemen kritis disajikan dalam dua subbagian yang berbeda dari laporan ini: prioritas
elemen kritis dan tambahan elemen kritis.
Daftar awal lebih dari 70 elemen ini dikembangkan melalui dua hari sesi yang difasilitasi
kelompok terarah. Dari daftar itu, 35 elemen 'dipilih untuk mewakili populasi dari mana
masing-masing individu dalam kelompok terarah dan survei kelompok (kelompok) akan
mengidentifikasi bagian atas 10. Proses seleksi ini menghasilkan dua subkategori
berbeda, prioritas elemen-elemen kritis dan tambahan elemen kritis, dengan prioritas
unsur-unsur penting yang mewakili enam elemen yang diidentifikasi dalam kedua
kelompok top 10 pilihan mereka. Tambahan mewakili unsur-unsur penting yang tersisa
empat elemen dari masing-masing kelompok yang memilih di atas 10, tetapi berbeda
antara kelompok terarah dan kelompok survei.
Tujuan utama dan pembeda dari laporan ini adalah untuk menawarkan solusi potensial.
Untuk mencapai tujuan ini, namun laporan tetap terfokus, jumlah pertimbangan solusi
telah dibatasi untuk tiga untuk masing-masing unsur prioritas. Detail solusi akan
bervariasi dari satu organisasi ke organisasi lain serta dari satu negara ke negara lain.
Sementara pertimbangan solusi disajikan dalam laporan ini mungkin berhubungan
dengan beberapa organisasi, untuk orang lain mereka disediakan sebagai pemikiran ide.
Penting untuk dicatat bahwa setiap organisasi harus bingkai informasi yang disajikan
dalam laporan ini dalam konteks yang unik persyaratan program keamanan informasi.
Prioritas unsur-unsur penting adalah:
Komitmen manajemen senior inisiatif keamanan informasi
Pemahaman manajemen tentang masalah keamanan informasi
Perencanaan keamanan informasi sebelum implementasi teknologi baru
Integrasi antara bisnis dan informasi keamanan
Alignment keamanan informasi dengan tujuan organisasi
Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk
mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi
Tambahan unsur-unsur penting adalah:
Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi
Konsisten penegakan kebijakan keamanan dan standar informasi
Penempatan keamanan informasi dalam hirarki organisasi
Anggaran untuk keamanan strategi informasi dan rencana taktis
Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi
keamanan prioritas
Fokus pada tujuan jangka pendek yang dihasilkan dalam jangka panjang
kelemahan kontrol
Kemampuan membenarkan untuk biaya keamanan informasi
Generally accepted information security best practices/metrics Diterima secara
umum praktik terbaik keamanan informasi / metrik
Prioritas Elemen Kritis dan Solusi Pertimbangan
Komitmen Manajemen Senior untuk Inisiatif Keamanan Informasi
Komitmen manajemen senior diperlukan dari semua usaha dan inisiatif strategis,
sehingga keamanan informasi adalah bagian dari daftar panjang proyek-proyek dan
inisiatif yang harus memiliki manajemen eksekutif senior dan komitmen. Tanpa
komitmen, proyek-proyek dan inisiatif ini tidak akan aktif. Namun demikian, karyawan
dihadapkan dengan prioritas yang saling bertentangan dari hari ke hari, dan karena itu,
fokus usaha-usaha mereka pada hal-hal yang mempengaruhi evaluasi kinerja mereka dan
secara positif mempengaruhi sistem hadiah yang terkait dengan perfornlance mereka.
Akibatnya, apa yang dipantau oleh manajemen senior dan eksekutif harus ia dimasukkan
ke dalam kinerja / sistem penghargaan dan, karenanya, dapat berhasil dilaksanakan.
Solusi pertimbangan harus mencakup sebagai berikut:
Senior manajemen harus mensyaratkan bahwa semua permintaan untuk
pengeluaran teknologi termasuk risiko teknologi identifikasi dan mitigasi risiko
persyaratan sebagai bagian dari analisis biaya-manfaat, tujuan proyek, penyerahan
dan permintaan dana.
Senior manajemen harus berkomunikasi secara konsisten bahwa setiap karyawan
bertanggung jawab untuk keamanan informasi dengan memastikan bahwa
harapan secara jelas dikomunikasikan dalam informasi perusahaan dan standar
kebijakan keamanan, dan secara konsisten menunjukkan bahwa pelanggaran tidak
akan ditoleransi.
Setiap karyawan, termasuk manajemen, harus diminta untuk menghadiri sebuah
kesadaran keamanan informasi diperbaharui setiap tahun dan baru karyawan
harus tepat diberitahu tentang keamanan informasi perusahaan konsep dan
praktik.
Pemahaman manajemen tentang Masalah Keamanan Informasi
Membangun pemahaman tentang isu-isu keamanan informasi membutuhkan komunikasi
yang efektif tentang risiko bisnis yang tidak tepat yang dirancang hasil dari teknologi dan
dihilangkan kontrol manajemen risiko. Keamanan informasi merupakan salah satu aspek
kunci dari manajemen risiko teknologi dan manajer keamanan informasi harus terampil
di mengikatkan risiko bisnis untuk keamanan informasi risiko dan mengungkapkan risiko
pada setiap tingkat manajemen dalam organisasi. Hal ini juga perlu bahwa tingkat
manajemen masing-masing memahami risiko dan berpartisipasi secara aktif dalam
memastikan bahwa solusi manajemen risiko yang tepat diidentifikasi dan diterapkan
dengan cara yang paling efisien dan efektif. Prioritas konflik, kurangnya akuntabilitas
dan kurangnya keterampilan komunikasi bisnis manajer keamanan informasi semua ikut
bertanggung jawab atas kegagalan untuk meningkatkan pemahaman manajemen i,
iformation solusi keamanan yang membantu menjamin kerahasiaan, integritas dan
ketersediaan informasi perusahaan dan aset kekayaan intelektual.
Solusi pertimbangan harus mencakup sebagai berikut:
Manajer keamanan informasi harus meningkatkan pemahaman mereka tentang
bisnis dan kemampuan mereka dalam industri komunikasi melalui pendidikan
khusus dan tingkat eksekutif program pendidikan berkelanjutan.
Sesi kesadaran keamanan informasi harus dimulai dari tingkat eksekutif dan
hierarkis lanjutkan ke dimasukkannya semua tingkat manajemen dan karyawan.
Manajer keamanan informasi harus mencari industri dan publikasi lain yang
menargetkan eksekutif dan manajemen senior dan memastikan bahwa mereka
publikasi yang dibuat tersedia untuk tim manajemen.
Perencanaan Keamanan Informasi Sebelum Implementasi Teknologi Baru
Keamanan informasi merupakan komponen penting tata kelola perusahaan jaminan.
Apakah perusahaan tersebut diatur, publik diadakan, besar atau kecil, integritas dari
laporan keuangan dilaksanakan dengan benar bergantung pada program keamanan
informasi. Implementasi teknologi kontrol yang tepat tanpa memasukkan investasi
merongrong keamanan informasi dan dapat menyebabkan kerusakan pada pengolahan
data dan integritas yang boleh pergi tak ketahuan sampai kerusakan jauh melebihi
ambang batas risiko perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:
Kebijakan perusahaan dan standar harus harus ditinjau dan otorisasi formal
perubahan pada lingkungan teknologi sebelum pelaksanaan. Penunjukan
kewenangan untuk memberikan izin tersebut seharusnya posisi manajemen, tanpa
pemisahan tugas konflik, dan termasuk tanggung jawab pelaporan status
keamanan informasi kepada dewan.
Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan
manajemen perubahan harus secara resmi diminta dan disetujui oleh kebijakan
perusahaan komite pengawas atau setara.
Keamanan informasi manajer dan manajer audit harus bekerja sama untuk
memantau lingkungan untuk implementasi teknologi yang tidak memenuhi
persyaratan kebijakan perusahaan dan standar.
Integrasi Antara Bisnis dan Keamanan Informasi
Sementara aspek-aspek tertentu dari sebuah program keamanan informasi mengikuti
model layanan bersama, sebagian besar inisiatif keamanan informasi harus erat selaras
dengan bisnis yang mendasari inisiatif mereka melindungi. Namun, biaya informasi dan
melindungi aset intelektual tidak boleh melebihi nilai aset. Untuk benar align risiko
bisnis dan solusi keamanan informasi, koperasi dialog antara daerah bisnis dan pakar
keamanan informasi yang diperlukan.
Setiap aspek teknologi tepat risiko harus dianalisis, termasuk risiko untuk kerahasiaan,
integritas dan ketersediaan seperti yang berkaitan dengan transaksi seluruh aliran.
Selain itu, fokus dari analisis ini harus pada transaksi bisnis yang material bagi bisnis
keuangan, memerlukan kepatuhan terhadap peraturan perundang-undangan, dan dapat
berdampak negatif pada reputasi perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:
Senior manajemen harus memastikan bahwa Liaisons bisnis bertanggung jawab
untuk berinteraksi dengan manajer keamanan informasi untuk mencapai
disepakati bersama tujuan manajemen risiko.
Senior manajemen harus memastikan bahwa strategi bisnis dibagi dengan
teknologi informasi dan manajemen risiko yang sesuai kelompok, seperti
informasi keamanan. Ini akan membantu memastikan bahwa diperlukan
penyesuaian terhadap strategi keamanan informasi dan kemampuan infrastruktur
teknologi dapat secara proaktif merencanakan untuk membantu mengelola biaya
dan risiko.
Status keamanan informasi yang berkaitan dengan risiko tinggi kepatuhan hukum
dan peraturan yang harus dipantau pada tingkat eksekutif yang sesuai untuk
memastikan bahwa prioritas diberikan kepada inisiatif-inisiatif pengelolaan risiko.
Alignment Keamanan Informasi Dengan Tujuan Organisasi keamanan informasi ini
sering dianggap sebagai tanggung jawab departemen keamanan informasi. Persepsi ini
umumnya diabadikan melalui inisiatif keamanan informasi yang didanai sebagai proyek
yang berdiri sendiri dan kegagalan untuk menginformasikan karyawan dari peran mereka
dalam perlindungan informasi dan aset kekayaan intelektual. Bagi banyak perusahaan, ini
adalah perubahan budaya dan harus didorong dari atas. Sementara perubahan budaya
memerlukan komitmen jangka panjang dan lambat untuk menyadari, umumnya efektif
dimulai dengan pengembangan strategi yang bersangkutan pernyataan dan tindakan
manajemen mendukung persyaratan.
Solusi pertimbangan harus mencakup sebagai berikut:
Sebuah strategi keamanan informasi yang sesuai dengan perusahaan manajemen
risiko dan tata kelola perusahaan persyaratan harus dikembangkan dan
dilaksanakan.
Setiap lini bisnis yang "memiliki" informasi yang spesifik yang memerlukan
tingkat kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung
untuk bekerja dengan manajer keamanan informasi untuk memastikan bahwa
persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan
informasi
Pengukuran efektivitas pengendalian harus mencakup sejalan dengan peraturan
dan undang-undang dan orang-orang pengukuran harus dilaporkan kepada dewan
pada basis kuartalan dan tahunan melalui, atau dengan, ketua penasehat hukum,
petugas kepatuhan kepala, dan kepala auditor atau setara mereka.
Eksekutif dan Jalur Manajemen Kepemilikan dan Akuntabilitas untuk Pelaksanaan,
Monitoring dan Pelaporan pada Keamanan Informasi
Kegagalan untuk mendukung dan melaksanakan inisiatif keamanan informasi ini sering
masalah prioritas yang saling bertentangan. Bertentangan prioritas dan proses
kepemilikan pada umumnya diselesaikan melalui perusahaan sistem penghargaan kinerja.
Yang mengatakan, tujuan kinerja yang berhubungan dengan keamanan informasi harus
masuk akal dan mendukung, bukan menghambat, proses bisnis. Prioritas harus jelas
diatur dan ditetapkan dalam strategi keamanan dengan indikator kinerja utama yang
disetujui oleh tingkat tertinggi organisasi untuk membantu memastikan bahwa tujuan
akan dikelola secara efektif dan konsisten, dimonitor dan dieksekusi.
Solusi pertimbangan harus mencakup sebagai berikut:
Keamanan informasi harus memiliki struktur pelaporan yang independen untuk
memastikan bahwa keprihatinan, prestasi dan pandangan tentang tata
pemerintahan yang baik diwakili kepada mereka bertanggung jawab kepada para
pemangku kepentingan.
Tujuan pengendalian kunci yang bersangkutan harus dimasukkan ke dalam proses
pengukuran kinerja untuk semua karyawan.
Tingkat yang tepat dari manajemen harus memiliki tanggung jawab untuk
memastikan bahwa pelanggaran keamanan informasi, otorisasi pengecualian dan
pengukuran keamanan terkait lainnya berkaitan dengan lini bisnis mereka proses
yang diteliti dan ditindaklanjuti atas nama mereka.
Elemen Kritis tambahan dan Solusi Pertimbangan
Seperti tercantum dalam bagian pengantar laporan ini, proses identifikasi atas 10 unsur
termasuk hasil dari kelompok fokus dan kelompok survei. Hasil jatuh ke dalam dua
subkategori berbeda-prioritas unsur-unsur penting dan unsur-unsur penting tambahan,
dengan tambahan unsur-unsur penting yang mewakili empat elemen dari masing-masing
kelompok tidak tercermin dalam prioritas elemen-elemen kritis.
Walaupun masing-masing unsur-unsur penting tambahan berdiri sendiri sebagai syarat
unik untuk sukses menerapkan program keamanan informasi yang layak, semua elemen
dalam kategori ini, dengan pengecualian yang diterima secara umum praktik terbaik
keamanan informasi / metrik, biasanya cukup diatasi dengan solusi yang disajikan untuk
prioritas unsur-unsur penting. Oleh karena itu, unsur-unsur penting tambahan disajikan
dalam format tabel (lihat Gambar 2) untuk menyelaraskan elemen, solusi pertimbangan
dan prioritas elemen dari solusi pertimbangan yang telah diambil. Solusi pertimbangan
telah dibatasi untuk tiga, seperti juga unsur-unsur prioritas, dengan tujuan menjaga fokus
laporan.
Gambar 2-Solution Pertimbangan untuk
tambahan Elemen Kritis
Tambahan Elemen Kritis
Solusi Pertimbangan
Karyawan sesuai
pendidikan dan kesadaran
perlindungan informasi
aset
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Setiap karyawan harus diminta untuk Komitmen Manajemen
menghadiri informasi kesadaran keamanan senior terhadap inisiatif
diperbaharui setiap tahun dan karyawan baru keamanan informasi
harus tepat diinformasikan mengenai informasi
konsep dan praktik keamanan perusahaan
Manajemen senior harus berkomunikasi
secara konsisten bahwa setiap karyawan
bertanggung jawab untuk keamanan informasi
dengan memastikan bahwa harapan secara
jelas dikomunikasikan dalam keamanan
informasi perusahaan, kebijakan dan standar,
Konsisten
penegakan
keamanan
informasi
kebijakan dan standar
dan secara konsisten menunjukkan bahwa.
pelanggaran tidak akan ditoleransi.
Manajemen senior harus memastikan
bisnis yang diselenggarakan bertanggung
jawab untuk berinteraksi dengan keamanan
informasi manajer ke manajer mencapai risiko Integrasi antara
information bisnis dan
disepakati bersama tujuan pengelolaan.
keamanan
Kebijakan perusahaan dan standar harus Keamanan informasi
harus ditinjau dan formal otorisasi perubahan perencanaan sebelum
pada
lingkungan
teknologi
sebelum pelaksanaan teknologi
pelaksanaan. Penunjukan wewenang untuk baru
memberikan otorisasi seharusnya posisi
manajemen, tanpa pemisahan tugas konflik,
dan bertanggung jawab untuk melaporkan
status keamanan informasi kepada dewan
Pengecualian
terhadap
kebijakan
perusahaan dan standar yang berkaitan dengan
perubahan manajemen harus secara resmi
diminta dan disetujui oleh kebijakan
perusahaan komite pengawas atau setara.
Alignment informasi
Pengukuran efektivitas pengendalian
keamanan dengan tujuan
harus mencakup sejalan dengan peraturan dan organisasi
hukum dan pengukuran mereka harus
dilaporkan pada kuartalan dan tahunan atau
dengan, kepala nasihat hukum, kepala petugas
kepatuhan, dan kepala auditor atau setara
mereka.
Gambar 2-Solusi Pertimbangan untuk Tambahan
Elemen kritis (lanjutan)
Tambahan Elemen
Kritis
Solusi Pertimbangan
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Penempatan keamanan
informasi dalam hierarki
organisasi
Anggaran keamanan
informasi strategi dan
taktik rencana
Manajer
keamanan informasi harus Pemahaman Manajemen
meningkatkan
pemahaman
bisnis
dan tentang isu keamanan
kemampuan komunikasi mereka melalui industri informasi
- level pendidikan khusus dan tingkat eksekutif program pendidikan berkelanjutan.
Informasi status keamanan berhubungan Integrasi antara bisnis dan
dengan risiko tinggi hukum dan kepatuhan keamanan informasi
peraturan harus dipantau di tingkat eksekutif
untuk memastikan bahwa prioritas diberikan Eksekutif dan garis
sesuai inisiatif pengelolaan risiko.
manajemen kepemilikan
Dan akuntabilitas untuk
Keamanan informasi harus memiliki pelaksanaan, pemantauan
struktur pelaporan independen untuk memastikan pelaporan keamanan
bahwa keprihatinan, prestasi dan pandangan informasi
pemerintahan dengan benar diwakili yang pada
akhirnya bertanggung jawab kepada stakeholder.
Manajemen senior seharusnya memerlukan Manajemen senior
bahwa semua permintaan untuk solusi komitmen terhadap inisiatif
pengeluaran
teknologi
termasuk
risiko keamanan informasi
identifikasi teknologi dan permintaan risiko
mitigasi sebagai bagian dari biaya manfaat,
tujuan proyek, penyerahan dan permintaan dana.
Alignment keamanan
Sebuah strategi keamanan informasi yang informasi dengan tujuan
sejajar dengan risiko perusahaan manajemen dan organisasi
perusahaan persyaratan pemerintahan harus
dikembangkan dan dilaksanakan.
Setiap baris usaha yang "memiliki"
informasi
memerlukan
tingkat
tertentu
kerahasiaan, integritas dan ketersediaan harus
menunjuk penghubung untuk bekerja dengan
keamanan informasi manajer untuk memastikan
bahwa persyaratan dengan benar tercermin dan
prioritas dalam strategi keamanan informasi.
Gambar 2-Solusi Pertimbangan untuk Tambahan
Elemen kritis (lanjutan)
Tambahan Elemen
Kritis
Konsisten dewan /
eksekutif manajemen
pesan mengenai
informasi prioritas
keamanan
Solusi Pertimbangan
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Fokus pada tujuan
jangka pendek
menghasilkan
kelemahan kontrol
jangka panjang
Berkomunikasi secara konsisten bahwa Manajemen senior
setiap karyawan bertanggung jawab untuk komitmen inisiatif
keamanan informasi dengan memastikan bahwa keamanan informasi.
harapan secara jelas dikomunikasikan dalam
keamanan informasi kebijakan perusahaan dan
standar dan konsisten menunjukkan bahwa
pelanggaran tidak akan ditoleransi.
Manajemen senior harus memastikan bisnis Integrasi antara bisnis dan
yang diselenggarakan bertanggung jawab untuk keamanan informasi.
berinteraksi dengan manajer keamanan informasi
mencapai tujuan pengelolaan risiko disepakati
bersama.
Informasi status keamanan yang terkait Integrasi antara bisnis dan
dengan risiko tinggi hukum dan peraturan keamanan informasi
kepatuhan harus dipantau pada tingkat eksekutif
untuk memastikan bahwa sesuai prioritas
diberikan kepada inisiatif risiko manajemen .
senior
Manajemen senior seharusnya memerlukan Manajemen
komitmen
inisiatif
bahwa semua permintaan untuk pengeluaran
solusi teknologi teknologi termasuk identifikasi keamanan informasi.
risiko dan mitigasi risiko merupakan persyaratan
sebagai bagian dari biaya manfaat, tujuan
proyek, penyerahan dan permintaan dana.
Pengecualian
terhadap
kebijakan
perusahaan dan standar yang berkaitan dengan Perencanaan Keamanan
perubahan manajemen harus secara resmi informasi sebelum
diminta dan disetujui oleh kebijakan perusahaan pelaksanaan teknologi baru
komite pengawas atau setara.
Para manajer keamanan informasi dan
manajer audit harus bekerja sama untuk
memantau lingkungan untuk implementasi
teknologi yang melakukan tidak memenuhi
persyaratan kebijakan dan standar perusahaan.
Gambar 2-Solusi Pertimbangan untuk Tambahan
Elemen kritis (lanjutan)
Tambahan Elemen
Kritis
Solusi Pertimbangan
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Kemampuan
untuk
membenarkan
biayakeamanan informasi
Praktek / metrik terbaik
keamanan
informasi
diterima umumnya
Senior manajemen harus memerlukan bahwa Manajemen senior inisiatif
semua permintaan untuk solusi teknologi keamanan informasi.
pengeluaran teknologi termasuk identifikasi
risiko dan mitigasi risiko merupakan persyaratan
sebagai bagian dari biaya manfaat, tujuan
proyek, penyerahan dan permintaan dana.
Permintaan sebuah strategi keamanan Alignment informasi
informasi yang sejajar dengan risiko manajemen keamanan dengan tujuan
dan
kebijakan
perusahaan
seharusnya organisasi
dikembangkan dan dilaksanakan.
Setiap baris usaha yang "memiliki"
informasi
memerlukan
tingkat
tertentu
kerahasiaan, integritas dan ketersediaan harus
menunjuk penghubung untuk bekerja dengan
keamanan informasi manajer untuk memastikan
bahwa persyaratan dengan benar tercermin dan
prioritas dalam strategi keamanan informasi.
Manajer
keamanan
informasi
harus (Element tidak dialamatkan
dimanapun
solusi
berpartisipasi dalam industri organisasi yang oleh
pertimbangan
ditetapkan)
aktif bekerja mengembangkan metrik dan
praktek-praktek keseimbangan secara efektif
bisnis pengembangan produk kebutuhan dan
risiko manajemen.
Para manajer keamanan informasi harus
mencari dalam proses pelatihan manajemen,
seperti ITIL.
Para manajer keamanan informasi harus
bekerja sama dengan line-of manajer bisnis
untuk memastikan bahwa pengukuran yang
berkaitan dengan tali keamanan informasi bisnis
riil risiko.
Ringkasan
Informasi yang terkandung dalam laporan ini mencerminkan semakin pengakuan bahwa
keamanan informasi tidak hanya masalah teknologi informasi, yang merupakan masalah
bisnis yang tidak dapat diatasi hanya dengan merekrut profesional keamanan informasi
dan menciptakan judul mengesankan. Kemampuan untuk mengidentifikasi resiko baik
terhadap informasi dan aset kekayaan intelektual membutuhkan kerjasama dari para
peserta di seluruh organisasi.
Yang paling penting, bagaimanapun, adalah kebutuhan untuk eksekutif dan manajemen
senior untuk tidak hanya menyediakan sumber daya yang tepat, tetapi juga untuk secara
konsisten mendukung keputusan-keputusan sulit sehubungan dengan melindungi asetaset.
Hasil kelompok terarah dan survei juga menunjukkan bahwa tanpa keamanan informasi
didefinisikan secara tepat pengukuran, dan dewan tingkat pengukuran yang pemantauan,
perlindungan aset akan terus palsu dengan "mendesak" implementasi kebijakan-kebijakan
yang ditetapkan mengelakkan, standar dan prosedur bisnis merongrong infrastruktur
teknologi. Temuan kunci lainnya adalah profesional keamanan informasi bahwa mulai
menyadari bahwa mereka perlu mengembangkan pemahaman yang kuat tentang bisnis
sebagai peran mereka menjadi lebih terlihat di dalam organisasi, keputusan-keputusan
mereka menuntut pembenaran risiko bisnis, dan ketergantungan pada teknologi drive
meningkat interaksi dengan hukum dan sesuai dengan rekan-rekan di organisasi.
Lampiran A- List Master Elemen Kritis List berdasarkan Kategori
Culture Budaya
1. Eksekutif pesan manajemen yang berkaitan dengan prioritas keamanan
informasi
2. Dewan eksekutif pemantauan manajemen risiko keamanan informasi
3. Reguler, keamanan informasi berkelanjutan item pada papan agenda
4. Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk pelaksanaan,
pemantauan dan pelaporan tentang keamanan informasi
Sumber Daya Manusia / Orang / Anggaran dan Keuangan
5. Efektif proses penganggaran keamanan informasi
6. Anggaran untuk keamanan informasi strategi dan rencana taktis
Organisasi / Hubungan Organisasi
7. Jelas dikomunikasikan tanggung jawab pelanggan dan kehilangan tanggung jawab
terkait dengan penggunaan teknologi untuk transaksi pelanggan
8. Komitmen manajemen senior inisiatif keamanan informasi
9. Mengakibatkan pengaruh manajemen layanan produk seleksi yang tidak terbaik
memecahkan masalah
10. Keselarasan antara tujuan perusahaan dan tujuan keamanan
11. Integrasi antara bisnis dan keamanan
12. Ditetapkan struktur manajemen
13. Fokus pada tujuan jangka pendek untuk mencegah keamanan jangka panjang
kelemahan
14. Informasi keamanan didefinisikan secara tepat dengan visibilitas yang
memadai dalam perusahaan
15. Tepat penempatan keamanan di dalam hirarki organisasi
16. Integrasi keamanan IT dengan tradisional / fasilitas keamanan
Teknologi dan Teknologi yang berhubungan dengan Proses
17. Perencanaan keamanan yang memadai sebelum implementasi teknologi baru
18. Sesuai prosedur manajemen perubahan
19. Kemampuan untuk merespon span.ming / serangan phishing dan yang berkaitan
20. Menyeimbangkan harapan dengan kelayakan teknis solusi otomatis
Hukum / Peraturan / Pemerintahan / Kebijakan dan Standar
21. Kepatuhan terhadap peraturan beberapa yurisdiksi di sepanjang jalan transaksi
22. Sesuai / efektif / peraturan perundang-undangan yang bertentangan
23. Informasi kebijakan keamanan dan standar penegakan
24. Konsisten penegakan kebijakan keamanan informasi dan standar
Metrics Metrik
25. Enterprise kerangka kerja manajemen risiko yang mengintegrasikan
keamanan
26. Universal telah disepakati metodologi untuk penilaian risiko
27. Secara umum diterima metrik keamanan untuk keamanan terbaik
28. Pelaporan dan metrik terkait dengan tujuan bisnis dan strategi
'Craining / Pendidikan / Kesadaran
29. Ketersediaan terlatih dan berpengalaman profesional keamanan informasi
30. Pemahaman manajemen masalah keamanan
31. Karyawan pendidikan, dan memperbarui pendidikan, perlindungan aset informasi
32. Kesadaran keamanan berkelanjutan
33. Pengetahuan tentang kejahatan formal dan sistem pelaporan insiden
34. Harapan pengguna seimbang vs apa yang secara teknis layak
35. Pendidikan yang bersangkutan pakar keamanan, yaitu, pendidikan profesional (CPE)
berkelanjutan.
Appendix B-Priority Critical Elements Lampiran BElemen Kritis Prioritas
Summary Table Ringkasan Tabel
Ringkasan Tabel Prioritas Elemen penting
Elemen penting
Solution Pertimbangan
Senior manajemen harus mensyaratkan bahwa semua permintaan
untuk teknologi termasuk pengeluaran teknologi identifikasi risiko dan
risiko mitigasi persyaratan sebagai bagian dari analisis biaya-manfaat,
tujuan proyek, penyerahan dan permintaan dana.
Manajemen senior harus berkomunikasi secara konsisten bahwa
setiap karyawan bertanggung jawab untuk keamanan informasi dengan
memastikan bahwa harapan secara jelas dikomunikasikan dalam
perusahaan kebijakan keamanan informasi dan standar, dan konsisten
menunjukkan bahwa pelanggaran tidak akan ditoleransi.
Manajemen senior komitmen
inisiatif keamanan informasi
Setiap karyawan, termasuk manajemen, harus diminta untuk
menghadiri sebuah kesadaran keamanan informasi update setiap tahun
dan karyawan baru harus tepat informasi dari keamanan informasi
perusahaan konsep dan praktik.
Pemahaman manajemen tentang
Manajer keamanan informasi harus meningkatkan pemahaman
isu keamanan informasi
mereka bisnis dan kemampuan mereka dalam komunikasi melalui
industri pendidikan khusus dan eksekutif - program tingkatpendidikan
berkelanjutan
Sesi kesadaran keamanan informasi harus dimulai pada tingkat
eksekutif dan hierarkis lanjutkan ke dimasukkannya semua tingkat
manajemen dan karyawan.
Manajer keamanan informasi harus mencari industri dan lain
publikasi yang menargetkan eksekutif dan manajemen senior dan
memastikan bahwa orang-publikasi yang dibuat tersedia untuk tim
manajemen.
Kebijakan perusahaan dan standar harus harus ditinjau dan
otorisasi
formal perubahan pada lingkungan teknologi sebelum
Perencanaan keamanan informasi
pelaksanaan.
Penetapan kewenangan untuk memberikan otorisasi tersebut
sebelum pelaksanaan teknologi
seharusnya posisi manajemen, tanpa pemisahan tugas konflik, dan
baru
termasuk responsiblity untuk pelaporan status keamanan informasi
kepada dewan.
Pengecualian terhadap kebijakan perusahaan dan standar yang
berkaitan dengan manajemen perubahan harus secara resmi diminta dan
disetujui oleh kebijakan perusahaan atau setara komite pengawas.
Keamanan informasi manajer dan manajer audit harus bekerja
sama untuk memantau lingkungan untuk teknologi implementasi yang
tidak memenuhi persyaratan kebijakan perusahaan dan standar.
Ringkasan Tabel Prioritas Elemen penting. (lanjutan)
Elemen penting
Solution Pertimbangan
Senior manajemen harus memastikan bahwa Liaisons bisnis
diadakan bertanggung jawab untuk berinteraksi dengan manajer
keamanan informasi disepakati bersama untuk mencapai tujuan
pengelolaan risiko.
Senior manajemen harus memastikan bahwa strategi bisnis berbagi
dengan teknologi informasi dan risiko yang sesuai manajemen kelompok,
seperti informasi keamanan. Ini akan membantu memastikan bahwa
diperlukan penyesuaian terhadap keamanan informasi strategi dan
kemampuan infrastruktur teknologi dapat secara proaktif direncanakan
untuk membantu mengelola biaya dan risiko.
Integrasi antara bisnis dan bisnis
dan keamanan informasi
Status keamanan informasi yang berkaitan dengan risiko tinggi
hukum dan kepatuhan peraturan harus dipantau pada tingkat eksekutif
untuk memastikan bahwa prioritas yang tepat diberikan kepada
manajemen risiko inisiatif.
Sebuah strategi keamanan informasi yang sejalan dengan
perusahaan manajemen risiko dan tata kelola perusahaan persyaratan
harus dikembangkan dan dilaksanakan.
Penyelarasan keamanan
informasi dengan tujuan
organisasi
Setiap lini bisnis yang "memiliki" informasi yang spesifik yang
memerlukan tingkat kerahasiaan, integritas dan ketersediaan harus
menunjuk seorang penghubung untuk bekerja dengan manajer keamanan
informasi untuk memastikan bahwa persyaratan dengan benar tercermin
dan prioritas dalam strategi keamanan informasi.
Pengukuran efektivitas pengendalian harus mencakup keselarasan
dengan peraturan dan undang-undang dan orang pengukuran harus
dilaporkan kepada dewan pada basis kuartalan dan tahunan melalui, atau
dengan, kepala penasihat hukum, petugas kepatuhan kepala, dan kepala
auditor atau setara mereka.
Keamanan informasi harus memiliki laporan independen struktur
untuk memastikan bahwa keprihatinan, prestasi dan pandangan tentang
pemerintahan yang baik diwakili kepada mereka akhirnya bertanggung
jawab kepada para pemangku kepentingan.
Tujuan pengendalian kunci yang bersangkutan harus dimasukkan
ke dalam proses pengukuran kinerja untuk semua karyawan.
Tingkat yang tepat dari manajemen harus memiliki tanggung jawab
untuk memastikan bahwa pelanggaran keamanan informasi, otorisasi
pengecualian dan pengukuran keamanan terkait lainnya yang terkait
dengan jalur proses bisnis yang diteliti dan bertindak atas nama mereka .
Eksekutif dan garis manajemen
kepemilikan dan akuntabilitas
pelaksanaan, pemantauan dan
melaporkan keamanan informasi
Dicetak di Amerika Serikat
Ringkasan Eksekutif
Tantangan pelaksanaan yang efektif program keamanan informasi yang luas dan
beragam.. Untuk mengatasi tantangan tersebut Sistem Informasi Audit dan Control
Association (ISACA) yang disponsori kelompok fokus internasional dan survei, yang
menghasilkan laporan ini, untuk mengidentifikasi unsur-unsur yang mempengaruhi
keberhasilan program keamanan informasi.
10 orang kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari
bisnis, pemerintahan dan konsultasi, yang diambil dari delapan negara, termasuk Kanada,
Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Sementara
perwakilan ini tidak mencakup semua anggota ISACA, itu tidak memanfaatkan
pengalaman yang beragam dan tajam.
Kelompok survei yang menanggapi perwakilan dari 157 termasuk jasa keuangan,
transportasi, retail / grosir, pemerintah (nasional, negara bagian dan lokal), manufaktur,
utilitas, kesehatan dan konsultasi." Responden perwakilan geografis termasuk Afrika,
Amerika, Asia, Eropa dan Oseania. Organisasi ukuran sama baiknya diwakili dalam
kelompok survei oleh organisasi responden mulai dari "kurang dari 50 karyawan" untuk
"lebih dari 50.000 karyawan."
Proses, secara singkat, termasuk pembangunan yang komprehensif daftar unsur-unsur
penting yang digunakan oleh kelompok-kelompok fokus dan survei untuk memilih atas
10 unsur penting bagi keberhasilan program keamanan informasi. Hasil yang menarik.
Kelompok terarah dan kelompok survei independen diidentifikasi komitmen manajemen
senior untuk inisiatif keamanan informasi sebagai satu elemen penting yang berdampak
pada keamanan informasi keberhasilan program. Kedua kelompok ini juga secara
konsisten mengidentifikasi lima tambahan elemen kritis di top 10, termasuk:
Pemahaman manajemen masalah keamanan informasi
Perencanaan keamanan informasi sebelum implementasi teknologi baru
Integrasi antara bisnis dan informasi keamanan
Alignment keamanan informasi dengan tujuan organisasi
Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk
mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi
Sisanya empat unsur penting yang membentuk target atas 10 dari kelompok masingmasing berbeda.
Elemen penting Program Sukses Keamanan Informasi
Bagian berikutnya dari laporan ini memberikan khusus diidentifikasi terkait dengan
unsur-unsur penting di samping pertimbangan solusi yang dikembangkan oleh kelompok
terarah. Elemen kritis telah dibagi menjadi dua kategori: prioritas elemen-elemen kritis,
yang mewakili enam unsur yang antara 10 teratas yang dipilih oleh kedua kelompok, dan
tambahan unsur-unsur kritis, yang mewakili sisa empat elemen yang berbeda di antara
dua kelompok. Masing-masing elemen kritis prioritas diikuti oleh tiga pertimbangan
solusi untuk keamanan informasi digunakan oleh manajer dan rekan bisnis sebagai
pemikiran ide-ide atau tindakan item.
Solusi pertimbangan diidentifikasi untuk enam prioritas elemen-elemen penting juga
membantu mengatasi sejumlah elemen penting lainnya, termasuk semua kecuali satu
tambahan unsur-unsur penting yang diidentifikasi oleh kelompok-kelompok fokus dan
survei. Tambahan unsur-unsur penting yang diidentifikasi oleh kelompok adalah:
Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi
Konsisten penegakan kebijakan keamanan informasi dan standar
Penempatan keamanan informasi dalam organisasi hirarki
Anggaran untuk keamanan informasi strategi dan rencana taktis
Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi
keamanan prioritas
Fokus pada tujuan jangka pendek yang dihasilkan dalam kelemahan kontrol
jangka panjang
Kemampuan untuk membenarkan biaya keamanan informasi
praktik terbaik keamanan informasi / metrik diterima secara umum
Secara ringkas, analisis dengan jelas menunjukkan perlunya eksekutif dan manajemen
senior dan manajer keamanan informasi untuk menjalin hubungan yang memungkinkan
pesan yang konsisten mengenai prioritas organisasi tempat untuk melindungi informasi
yang berharga dan aset kekayaan intelektual. Namun, analisis juga menunjukkan
kebutuhan yang kuat untuk pesan yang akan didukung dengan tindakan nyata dan
konsisten. Tindakan, mengatakan hasil, adalah pembentukan dan pelaksanaan yang
konsisten dan standar kebijakan perusahaan. Selanjutnya, hasil menunjukkan bahwa
tingkat tertinggi tanpa terlihat memantau keberhasilan pelaksanaan strategi keamanan
informasi, kepatuhan tidak konsisten akan terus mengikis kemajuan dan memberikan
kenyamanan palsu mengenai perlindungan aset. Hari-hari prioritas konflik terus
mempengaruhi kualitas dan konsistensi informasi perlindungan aset. Untuk memastikan
bahwa risiko yang terkait diambil serius oleh setiap karyawan dan agen dari organisasi,
eksekutif dan manajemen senior harus menjadi tampak tertarik dalam memastikan
informasi keberhasilan program keamanan dalam organisasi mereka.
Tujuan Proyek
Sementara banyak alamat publikasi risiko teknis dan keamanan, beberapa laporan telah
mengidentifikasi, secara komprehensif, aspek yang lebih luas dari keberhasilan
menghadapi hambatan yang manajer keamanan informasi dan solusi potensial yang
diusulkan kepada hambatan. ISACA mengakui bahwa hambatan yang harus diatasi oleh
manajer keamanan dan unit bisnis mereka melampaui rekan-rekan teknis dan risiko
kepatuhan peraturan dan meliputi: budaya organisasi dan hubungan, anggaran, sumber
daya manusia, pendidikan dan kesadaran, dan outsourcing, untuk beberapa nama. Melalui
proyek ISACA sponsor untuk memfasilitasi identifikasi, analisis dan laporan ini,
perangkat yang penting telah dibuat untuk posisi untuk keberhasilan manajemen
keamanan informasi program dan organisasi yang program-program ini merupakan
bagiannya.
Ada analisis dan fokus tak terbatas kesempatan mengenai keamanan informasi, sehingga
tujuan proyek diuraikan secara hati-hati dan mencakup:
Keamanan informasi memberikan manajer sebuah perspektif rekan elemen kritis
mencapai sukses pelaksanaan program keamanan informasi.
Berikan saran pada pemecahan, bukan hanya menyatakan, masalah.
Memberikan laporan yang dapat melayani eksekutif dan manajemen senior serta
manajer keamanan informasi.
Meskipun hasil rinci dari proyek ini terutama ditujukan untuk manajer keamanan
informasi, tujuan proyek dan hasil yang telah diringkas dalam Ringkasan Eksekutif untuk
mengaktifkan informasi kunci dalam laporan ini untuk dibagikan dengan eksekutif dan
manajemen senior.
Pendahuluan
Laporan ini mencerminkan pengalaman dan pendapat dari beragam kelompok profesional
mengenai unsur-unsur penting dari keberhasilan program keamanan informasi. Para
peserta termasuk 10-orang dan kelompok fokus 157-responden kelompok survei.
130 kelompok diberikan dalam hal representasi negara, industri dan ukuran organisasi.
Kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis,
pemerintah dan konsultan yang diambil dari delapan negara, termasuk Kanada, Perancis,
Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Kelompok survei industri
dan negara perwakilan digambarkan dalam gambar 1.
Responden survei sama-sama beragam dalam posisi profesional yang diselenggarakan,
termasuk C-level eksekutif, manajemen senior, manajer keamanan informasi, keamanan
informasi staf, direktur riset dan konsultasi mitra dan staf.
Elemen penting
Elemen kritis disajikan dalam dua subbagian yang berbeda dari laporan ini: prioritas
elemen kritis dan tambahan elemen kritis.
Daftar awal lebih dari 70 elemen ini dikembangkan melalui dua hari sesi yang difasilitasi
kelompok terarah. Dari daftar itu, 35 elemen 'dipilih untuk mewakili populasi dari mana
masing-masing individu dalam kelompok terarah dan survei kelompok (kelompok) akan
mengidentifikasi bagian atas 10. Proses seleksi ini menghasilkan dua subkategori
berbeda, prioritas elemen-elemen kritis dan tambahan elemen kritis, dengan prioritas
unsur-unsur penting yang mewakili enam elemen yang diidentifikasi dalam kedua
kelompok top 10 pilihan mereka. Tambahan mewakili unsur-unsur penting yang tersisa
empat elemen dari masing-masing kelompok yang memilih di atas 10, tetapi berbeda
antara kelompok terarah dan kelompok survei.
Tujuan utama dan pembeda dari laporan ini adalah untuk menawarkan solusi potensial.
Untuk mencapai tujuan ini, namun laporan tetap terfokus, jumlah pertimbangan solusi
telah dibatasi untuk tiga untuk masing-masing unsur prioritas. Detail solusi akan
bervariasi dari satu organisasi ke organisasi lain serta dari satu negara ke negara lain.
Sementara pertimbangan solusi disajikan dalam laporan ini mungkin berhubungan
dengan beberapa organisasi, untuk orang lain mereka disediakan sebagai pemikiran ide.
Penting untuk dicatat bahwa setiap organisasi harus bingkai informasi yang disajikan
dalam laporan ini dalam konteks yang unik persyaratan program keamanan informasi.
Prioritas unsur-unsur penting adalah:
Komitmen manajemen senior inisiatif keamanan informasi
Pemahaman manajemen tentang masalah keamanan informasi
Perencanaan keamanan informasi sebelum implementasi teknologi baru
Integrasi antara bisnis dan informasi keamanan
Alignment keamanan informasi dengan tujuan organisasi
Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk
mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi
Tambahan unsur-unsur penting adalah:
Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi
Konsisten penegakan kebijakan keamanan dan standar informasi
Penempatan keamanan informasi dalam hirarki organisasi
Anggaran untuk keamanan strategi informasi dan rencana taktis
Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi
keamanan prioritas
Fokus pada tujuan jangka pendek yang dihasilkan dalam jangka panjang
kelemahan kontrol
Kemampuan membenarkan untuk biaya keamanan informasi
Generally accepted information security best practices/metrics Diterima secara
umum praktik terbaik keamanan informasi / metrik
Prioritas Elemen Kritis dan Solusi Pertimbangan
Komitmen Manajemen Senior untuk Inisiatif Keamanan Informasi
Komitmen manajemen senior diperlukan dari semua usaha dan inisiatif strategis,
sehingga keamanan informasi adalah bagian dari daftar panjang proyek-proyek dan
inisiatif yang harus memiliki manajemen eksekutif senior dan komitmen. Tanpa
komitmen, proyek-proyek dan inisiatif ini tidak akan aktif. Namun demikian, karyawan
dihadapkan dengan prioritas yang saling bertentangan dari hari ke hari, dan karena itu,
fokus usaha-usaha mereka pada hal-hal yang mempengaruhi evaluasi kinerja mereka dan
secara positif mempengaruhi sistem hadiah yang terkait dengan perfornlance mereka.
Akibatnya, apa yang dipantau oleh manajemen senior dan eksekutif harus ia dimasukkan
ke dalam kinerja / sistem penghargaan dan, karenanya, dapat berhasil dilaksanakan.
Solusi pertimbangan harus mencakup sebagai berikut:
Senior manajemen harus mensyaratkan bahwa semua permintaan untuk
pengeluaran teknologi termasuk risiko teknologi identifikasi dan mitigasi risiko
persyaratan sebagai bagian dari analisis biaya-manfaat, tujuan proyek, penyerahan
dan permintaan dana.
Senior manajemen harus berkomunikasi secara konsisten bahwa setiap karyawan
bertanggung jawab untuk keamanan informasi dengan memastikan bahwa
harapan secara jelas dikomunikasikan dalam informasi perusahaan dan standar
kebijakan keamanan, dan secara konsisten menunjukkan bahwa pelanggaran tidak
akan ditoleransi.
Setiap karyawan, termasuk manajemen, harus diminta untuk menghadiri sebuah
kesadaran keamanan informasi diperbaharui setiap tahun dan baru karyawan
harus tepat diberitahu tentang keamanan informasi perusahaan konsep dan
praktik.
Pemahaman manajemen tentang Masalah Keamanan Informasi
Membangun pemahaman tentang isu-isu keamanan informasi membutuhkan komunikasi
yang efektif tentang risiko bisnis yang tidak tepat yang dirancang hasil dari teknologi dan
dihilangkan kontrol manajemen risiko. Keamanan informasi merupakan salah satu aspek
kunci dari manajemen risiko teknologi dan manajer keamanan informasi harus terampil
di mengikatkan risiko bisnis untuk keamanan informasi risiko dan mengungkapkan risiko
pada setiap tingkat manajemen dalam organisasi. Hal ini juga perlu bahwa tingkat
manajemen masing-masing memahami risiko dan berpartisipasi secara aktif dalam
memastikan bahwa solusi manajemen risiko yang tepat diidentifikasi dan diterapkan
dengan cara yang paling efisien dan efektif. Prioritas konflik, kurangnya akuntabilitas
dan kurangnya keterampilan komunikasi bisnis manajer keamanan informasi semua ikut
bertanggung jawab atas kegagalan untuk meningkatkan pemahaman manajemen i,
iformation solusi keamanan yang membantu menjamin kerahasiaan, integritas dan
ketersediaan informasi perusahaan dan aset kekayaan intelektual.
Solusi pertimbangan harus mencakup sebagai berikut:
Manajer keamanan informasi harus meningkatkan pemahaman mereka tentang
bisnis dan kemampuan mereka dalam industri komunikasi melalui pendidikan
khusus dan tingkat eksekutif program pendidikan berkelanjutan.
Sesi kesadaran keamanan informasi harus dimulai dari tingkat eksekutif dan
hierarkis lanjutkan ke dimasukkannya semua tingkat manajemen dan karyawan.
Manajer keamanan informasi harus mencari industri dan publikasi lain yang
menargetkan eksekutif dan manajemen senior dan memastikan bahwa mereka
publikasi yang dibuat tersedia untuk tim manajemen.
Perencanaan Keamanan Informasi Sebelum Implementasi Teknologi Baru
Keamanan informasi merupakan komponen penting tata kelola perusahaan jaminan.
Apakah perusahaan tersebut diatur, publik diadakan, besar atau kecil, integritas dari
laporan keuangan dilaksanakan dengan benar bergantung pada program keamanan
informasi. Implementasi teknologi kontrol yang tepat tanpa memasukkan investasi
merongrong keamanan informasi dan dapat menyebabkan kerusakan pada pengolahan
data dan integritas yang boleh pergi tak ketahuan sampai kerusakan jauh melebihi
ambang batas risiko perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:
Kebijakan perusahaan dan standar harus harus ditinjau dan otorisasi formal
perubahan pada lingkungan teknologi sebelum pelaksanaan. Penunjukan
kewenangan untuk memberikan izin tersebut seharusnya posisi manajemen, tanpa
pemisahan tugas konflik, dan termasuk tanggung jawab pelaporan status
keamanan informasi kepada dewan.
Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan
manajemen perubahan harus secara resmi diminta dan disetujui oleh kebijakan
perusahaan komite pengawas atau setara.
Keamanan informasi manajer dan manajer audit harus bekerja sama untuk
memantau lingkungan untuk implementasi teknologi yang tidak memenuhi
persyaratan kebijakan perusahaan dan standar.
Integrasi Antara Bisnis dan Keamanan Informasi
Sementara aspek-aspek tertentu dari sebuah program keamanan informasi mengikuti
model layanan bersama, sebagian besar inisiatif keamanan informasi harus erat selaras
dengan bisnis yang mendasari inisiatif mereka melindungi. Namun, biaya informasi dan
melindungi aset intelektual tidak boleh melebihi nilai aset. Untuk benar align risiko
bisnis dan solusi keamanan informasi, koperasi dialog antara daerah bisnis dan pakar
keamanan informasi yang diperlukan.
Setiap aspek teknologi tepat risiko harus dianalisis, termasuk risiko untuk kerahasiaan,
integritas dan ketersediaan seperti yang berkaitan dengan transaksi seluruh aliran.
Selain itu, fokus dari analisis ini harus pada transaksi bisnis yang material bagi bisnis
keuangan, memerlukan kepatuhan terhadap peraturan perundang-undangan, dan dapat
berdampak negatif pada reputasi perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:
Senior manajemen harus memastikan bahwa Liaisons bisnis bertanggung jawab
untuk berinteraksi dengan manajer keamanan informasi untuk mencapai
disepakati bersama tujuan manajemen risiko.
Senior manajemen harus memastikan bahwa strategi bisnis dibagi dengan
teknologi informasi dan manajemen risiko yang sesuai kelompok, seperti
informasi keamanan. Ini akan membantu memastikan bahwa diperlukan
penyesuaian terhadap strategi keamanan informasi dan kemampuan infrastruktur
teknologi dapat secara proaktif merencanakan untuk membantu mengelola biaya
dan risiko.
Status keamanan informasi yang berkaitan dengan risiko tinggi kepatuhan hukum
dan peraturan yang harus dipantau pada tingkat eksekutif yang sesuai untuk
memastikan bahwa prioritas diberikan kepada inisiatif-inisiatif pengelolaan risiko.
Alignment Keamanan Informasi Dengan Tujuan Organisasi keamanan informasi ini
sering dianggap sebagai tanggung jawab departemen keamanan informasi. Persepsi ini
umumnya diabadikan melalui inisiatif keamanan informasi yang didanai sebagai proyek
yang berdiri sendiri dan kegagalan untuk menginformasikan karyawan dari peran mereka
dalam perlindungan informasi dan aset kekayaan intelektual. Bagi banyak perusahaan, ini
adalah perubahan budaya dan harus didorong dari atas. Sementara perubahan budaya
memerlukan komitmen jangka panjang dan lambat untuk menyadari, umumnya efektif
dimulai dengan pengembangan strategi yang bersangkutan pernyataan dan tindakan
manajemen mendukung persyaratan.
Solusi pertimbangan harus mencakup sebagai berikut:
Sebuah strategi keamanan informasi yang sesuai dengan perusahaan manajemen
risiko dan tata kelola perusahaan persyaratan harus dikembangkan dan
dilaksanakan.
Setiap lini bisnis yang "memiliki" informasi yang spesifik yang memerlukan
tingkat kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung
untuk bekerja dengan manajer keamanan informasi untuk memastikan bahwa
persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan
informasi
Pengukuran efektivitas pengendalian harus mencakup sejalan dengan peraturan
dan undang-undang dan orang-orang pengukuran harus dilaporkan kepada dewan
pada basis kuartalan dan tahunan melalui, atau dengan, ketua penasehat hukum,
petugas kepatuhan kepala, dan kepala auditor atau setara mereka.
Eksekutif dan Jalur Manajemen Kepemilikan dan Akuntabilitas untuk Pelaksanaan,
Monitoring dan Pelaporan pada Keamanan Informasi
Kegagalan untuk mendukung dan melaksanakan inisiatif keamanan informasi ini sering
masalah prioritas yang saling bertentangan. Bertentangan prioritas dan proses
kepemilikan pada umumnya diselesaikan melalui perusahaan sistem penghargaan kinerja.
Yang mengatakan, tujuan kinerja yang berhubungan dengan keamanan informasi harus
masuk akal dan mendukung, bukan menghambat, proses bisnis. Prioritas harus jelas
diatur dan ditetapkan dalam strategi keamanan dengan indikator kinerja utama yang
disetujui oleh tingkat tertinggi organisasi untuk membantu memastikan bahwa tujuan
akan dikelola secara efektif dan konsisten, dimonitor dan dieksekusi.
Solusi pertimbangan harus mencakup sebagai berikut:
Keamanan informasi harus memiliki struktur pelaporan yang independen untuk
memastikan bahwa keprihatinan, prestasi dan pandangan tentang tata
pemerintahan yang baik diwakili kepada mereka bertanggung jawab kepada para
pemangku kepentingan.
Tujuan pengendalian kunci yang bersangkutan harus dimasukkan ke dalam proses
pengukuran kinerja untuk semua karyawan.
Tingkat yang tepat dari manajemen harus memiliki tanggung jawab untuk
memastikan bahwa pelanggaran keamanan informasi, otorisasi pengecualian dan
pengukuran keamanan terkait lainnya berkaitan dengan lini bisnis mereka proses
yang diteliti dan ditindaklanjuti atas nama mereka.
Elemen Kritis tambahan dan Solusi Pertimbangan
Seperti tercantum dalam bagian pengantar laporan ini, proses identifikasi atas 10 unsur
termasuk hasil dari kelompok fokus dan kelompok survei. Hasil jatuh ke dalam dua
subkategori berbeda-prioritas unsur-unsur penting dan unsur-unsur penting tambahan,
dengan tambahan unsur-unsur penting yang mewakili empat elemen dari masing-masing
kelompok tidak tercermin dalam prioritas elemen-elemen kritis.
Walaupun masing-masing unsur-unsur penting tambahan berdiri sendiri sebagai syarat
unik untuk sukses menerapkan program keamanan informasi yang layak, semua elemen
dalam kategori ini, dengan pengecualian yang diterima secara umum praktik terbaik
keamanan informasi / metrik, biasanya cukup diatasi dengan solusi yang disajikan untuk
prioritas unsur-unsur penting. Oleh karena itu, unsur-unsur penting tambahan disajikan
dalam format tabel (lihat Gambar 2) untuk menyelaraskan elemen, solusi pertimbangan
dan prioritas elemen dari solusi pertimbangan yang telah diambil. Solusi pertimbangan
telah dibatasi untuk tiga, seperti juga unsur-unsur prioritas, dengan tujuan menjaga fokus
laporan.
Gambar 2-Solution Pertimbangan untuk
tambahan Elemen Kritis
Tambahan Elemen Kritis
Solusi Pertimbangan
Karyawan sesuai
pendidikan dan kesadaran
perlindungan informasi
aset
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Setiap karyawan harus diminta untuk Komitmen Manajemen
menghadiri informasi kesadaran keamanan senior terhadap inisiatif
diperbaharui setiap tahun dan karyawan baru keamanan informasi
harus tepat diinformasikan mengenai informasi
konsep dan praktik keamanan perusahaan
Manajemen senior harus berkomunikasi
secara konsisten bahwa setiap karyawan
bertanggung jawab untuk keamanan informasi
dengan memastikan bahwa harapan secara
jelas dikomunikasikan dalam keamanan
informasi perusahaan, kebijakan dan standar,
Konsisten
penegakan
keamanan
informasi
kebijakan dan standar
dan secara konsisten menunjukkan bahwa.
pelanggaran tidak akan ditoleransi.
Manajemen senior harus memastikan
bisnis yang diselenggarakan bertanggung
jawab untuk berinteraksi dengan keamanan
informasi manajer ke manajer mencapai risiko Integrasi antara
information bisnis dan
disepakati bersama tujuan pengelolaan.
keamanan
Kebijakan perusahaan dan standar harus Keamanan informasi
harus ditinjau dan formal otorisasi perubahan perencanaan sebelum
pada
lingkungan
teknologi
sebelum pelaksanaan teknologi
pelaksanaan. Penunjukan wewenang untuk baru
memberikan otorisasi seharusnya posisi
manajemen, tanpa pemisahan tugas konflik,
dan bertanggung jawab untuk melaporkan
status keamanan informasi kepada dewan
Pengecualian
terhadap
kebijakan
perusahaan dan standar yang berkaitan dengan
perubahan manajemen harus secara resmi
diminta dan disetujui oleh kebijakan
perusahaan komite pengawas atau setara.
Alignment informasi
Pengukuran efektivitas pengendalian
keamanan dengan tujuan
harus mencakup sejalan dengan peraturan dan organisasi
hukum dan pengukuran mereka harus
dilaporkan pada kuartalan dan tahunan atau
dengan, kepala nasihat hukum, kepala petugas
kepatuhan, dan kepala auditor atau setara
mereka.
Gambar 2-Solusi Pertimbangan untuk Tambahan
Elemen kritis (lanjutan)
Tambahan Elemen
Kritis
Solusi Pertimbangan
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Penempatan keamanan
informasi dalam hierarki
organisasi
Anggaran keamanan
informasi strategi dan
taktik rencana
Manajer
keamanan informasi harus Pemahaman Manajemen
meningkatkan
pemahaman
bisnis
dan tentang isu keamanan
kemampuan komunikasi mereka melalui industri informasi
- level pendidikan khusus dan tingkat eksekutif program pendidikan berkelanjutan.
Informasi status keamanan berhubungan Integrasi antara bisnis dan
dengan risiko tinggi hukum dan kepatuhan keamanan informasi
peraturan harus dipantau di tingkat eksekutif
untuk memastikan bahwa prioritas diberikan Eksekutif dan garis
sesuai inisiatif pengelolaan risiko.
manajemen kepemilikan
Dan akuntabilitas untuk
Keamanan informasi harus memiliki pelaksanaan, pemantauan
struktur pelaporan independen untuk memastikan pelaporan keamanan
bahwa keprihatinan, prestasi dan pandangan informasi
pemerintahan dengan benar diwakili yang pada
akhirnya bertanggung jawab kepada stakeholder.
Manajemen senior seharusnya memerlukan Manajemen senior
bahwa semua permintaan untuk solusi komitmen terhadap inisiatif
pengeluaran
teknologi
termasuk
risiko keamanan informasi
identifikasi teknologi dan permintaan risiko
mitigasi sebagai bagian dari biaya manfaat,
tujuan proyek, penyerahan dan permintaan dana.
Alignment keamanan
Sebuah strategi keamanan informasi yang informasi dengan tujuan
sejajar dengan risiko perusahaan manajemen dan organisasi
perusahaan persyaratan pemerintahan harus
dikembangkan dan dilaksanakan.
Setiap baris usaha yang "memiliki"
informasi
memerlukan
tingkat
tertentu
kerahasiaan, integritas dan ketersediaan harus
menunjuk penghubung untuk bekerja dengan
keamanan informasi manajer untuk memastikan
bahwa persyaratan dengan benar tercermin dan
prioritas dalam strategi keamanan informasi.
Gambar 2-Solusi Pertimbangan untuk Tambahan
Elemen kritis (lanjutan)
Tambahan Elemen
Kritis
Konsisten dewan /
eksekutif manajemen
pesan mengenai
informasi prioritas
keamanan
Solusi Pertimbangan
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Fokus pada tujuan
jangka pendek
menghasilkan
kelemahan kontrol
jangka panjang
Berkomunikasi secara konsisten bahwa Manajemen senior
setiap karyawan bertanggung jawab untuk komitmen inisiatif
keamanan informasi dengan memastikan bahwa keamanan informasi.
harapan secara jelas dikomunikasikan dalam
keamanan informasi kebijakan perusahaan dan
standar dan konsisten menunjukkan bahwa
pelanggaran tidak akan ditoleransi.
Manajemen senior harus memastikan bisnis Integrasi antara bisnis dan
yang diselenggarakan bertanggung jawab untuk keamanan informasi.
berinteraksi dengan manajer keamanan informasi
mencapai tujuan pengelolaan risiko disepakati
bersama.
Informasi status keamanan yang terkait Integrasi antara bisnis dan
dengan risiko tinggi hukum dan peraturan keamanan informasi
kepatuhan harus dipantau pada tingkat eksekutif
untuk memastikan bahwa sesuai prioritas
diberikan kepada inisiatif risiko manajemen .
senior
Manajemen senior seharusnya memerlukan Manajemen
komitmen
inisiatif
bahwa semua permintaan untuk pengeluaran
solusi teknologi teknologi termasuk identifikasi keamanan informasi.
risiko dan mitigasi risiko merupakan persyaratan
sebagai bagian dari biaya manfaat, tujuan
proyek, penyerahan dan permintaan dana.
Pengecualian
terhadap
kebijakan
perusahaan dan standar yang berkaitan dengan Perencanaan Keamanan
perubahan manajemen harus secara resmi informasi sebelum
diminta dan disetujui oleh kebijakan perusahaan pelaksanaan teknologi baru
komite pengawas atau setara.
Para manajer keamanan informasi dan
manajer audit harus bekerja sama untuk
memantau lingkungan untuk implementasi
teknologi yang melakukan tidak memenuhi
persyaratan kebijakan dan standar perusahaan.
Gambar 2-Solusi Pertimbangan untuk Tambahan
Elemen kritis (lanjutan)
Tambahan Elemen
Kritis
Solusi Pertimbangan
Solusi Pertimbangan
Diambil Dari Prioritas
Elemen penting
Kemampuan
untuk
membenarkan
biayakeamanan informasi
Praktek / metrik terbaik
keamanan
informasi
diterima umumnya
Senior manajemen harus memerlukan bahwa Manajemen senior inisiatif
semua permintaan untuk solusi teknologi keamanan informasi.
pengeluaran teknologi termasuk identifikasi
risiko dan mitigasi risiko merupakan persyaratan
sebagai bagian dari biaya manfaat, tujuan
proyek, penyerahan dan permintaan dana.
Permintaan sebuah strategi keamanan Alignment informasi
informasi yang sejajar dengan risiko manajemen keamanan dengan tujuan
dan
kebijakan
perusahaan
seharusnya organisasi
dikembangkan dan dilaksanakan.
Setiap baris usaha yang "memiliki"
informasi
memerlukan
tingkat
tertentu
kerahasiaan, integritas dan ketersediaan harus
menunjuk penghubung untuk bekerja dengan
keamanan informasi manajer untuk memastikan
bahwa persyaratan dengan benar tercermin dan
prioritas dalam strategi keamanan informasi.
Manajer
keamanan
informasi
harus (Element tidak dialamatkan
dimanapun
solusi
berpartisipasi dalam industri organisasi yang oleh
pertimbangan
ditetapkan)
aktif bekerja mengembangkan metrik dan
praktek-praktek keseimbangan secara efektif
bisnis pengembangan produk kebutuhan dan
risiko manajemen.
Para manajer keamanan informasi harus
mencari dalam proses pelatihan manajemen,
seperti ITIL.
Para manajer keamanan informasi harus
bekerja sama dengan line-of manajer bisnis
untuk memastikan bahwa pengukuran yang
berkaitan dengan tali keamanan informasi bisnis
riil risiko.
Ringkasan
Informasi yang terkandung dalam laporan ini mencerminkan semakin pengakuan bahwa
keamanan informasi tidak hanya masalah teknologi informasi, yang merupakan masalah
bisnis yang tidak dapat diatasi hanya dengan merekrut profesional keamanan informasi
dan menciptakan judul mengesankan. Kemampuan untuk mengidentifikasi resiko baik
terhadap informasi dan aset kekayaan intelektual membutuhkan kerjasama dari para
peserta di seluruh organisasi.
Yang paling penting, bagaimanapun, adalah kebutuhan untuk eksekutif dan manajemen
senior untuk tidak hanya menyediakan sumber daya yang tepat, tetapi juga untuk secara
konsisten mendukung keputusan-keputusan sulit sehubungan dengan melindungi asetaset.
Hasil kelompok terarah dan survei juga menunjukkan bahwa tanpa keamanan informasi
didefinisikan secara tepat pengukuran, dan dewan tingkat pengukuran yang pemantauan,
perlindungan aset akan terus palsu dengan "mendesak" implementasi kebijakan-kebijakan
yang ditetapkan mengelakkan, standar dan prosedur bisnis merongrong infrastruktur
teknologi. Temuan kunci lainnya adalah profesional keamanan informasi bahwa mulai
menyadari bahwa mereka perlu mengembangkan pemahaman yang kuat tentang bisnis
sebagai peran mereka menjadi lebih terlihat di dalam organisasi, keputusan-keputusan
mereka menuntut pembenaran risiko bisnis, dan ketergantungan pada teknologi drive
meningkat interaksi dengan hukum dan sesuai dengan rekan-rekan di organisasi.
Lampiran A- List Master Elemen Kritis List berdasarkan Kategori
Culture Budaya
1. Eksekutif pesan manajemen yang berkaitan dengan prioritas keamanan
informasi
2. Dewan eksekutif pemantauan manajemen risiko keamanan informasi
3. Reguler, keamanan informasi berkelanjutan item pada papan agenda
4. Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk pelaksanaan,
pemantauan dan pelaporan tentang keamanan informasi
Sumber Daya Manusia / Orang / Anggaran dan Keuangan
5. Efektif proses penganggaran keamanan informasi
6. Anggaran untuk keamanan informasi strategi dan rencana taktis
Organisasi / Hubungan Organisasi
7. Jelas dikomunikasikan tanggung jawab pelanggan dan kehilangan tanggung jawab
terkait dengan penggunaan teknologi untuk transaksi pelanggan
8. Komitmen manajemen senior inisiatif keamanan informasi
9. Mengakibatkan pengaruh manajemen layanan produk seleksi yang tidak terbaik
memecahkan masalah
10. Keselarasan antara tujuan perusahaan dan tujuan keamanan
11. Integrasi antara bisnis dan keamanan
12. Ditetapkan struktur manajemen
13. Fokus pada tujuan jangka pendek untuk mencegah keamanan jangka panjang
kelemahan
14. Informasi keamanan didefinisikan secara tepat dengan visibilitas yang
memadai dalam perusahaan
15. Tepat penempatan keamanan di dalam hirarki organisasi
16. Integrasi keamanan IT dengan tradisional / fasilitas keamanan
Teknologi dan Teknologi yang berhubungan dengan Proses
17. Perencanaan keamanan yang memadai sebelum implementasi teknologi baru
18. Sesuai prosedur manajemen perubahan
19. Kemampuan untuk merespon span.ming / serangan phishing dan yang berkaitan
20. Menyeimbangkan harapan dengan kelayakan teknis solusi otomatis
Hukum / Peraturan / Pemerintahan / Kebijakan dan Standar
21. Kepatuhan terhadap peraturan beberapa yurisdiksi di sepanjang jalan transaksi
22. Sesuai / efektif / peraturan perundang-undangan yang bertentangan
23. Informasi kebijakan keamanan dan standar penegakan
24. Konsisten penegakan kebijakan keamanan informasi dan standar
Metrics Metrik
25. Enterprise kerangka kerja manajemen risiko yang mengintegrasikan
keamanan
26. Universal telah disepakati metodologi untuk penilaian risiko
27. Secara umum diterima metrik keamanan untuk keamanan terbaik
28. Pelaporan dan metrik terkait dengan tujuan bisnis dan strategi
'Craining / Pendidikan / Kesadaran
29. Ketersediaan terlatih dan berpengalaman profesional keamanan informasi
30. Pemahaman manajemen masalah keamanan
31. Karyawan pendidikan, dan memperbarui pendidikan, perlindungan aset informasi
32. Kesadaran keamanan berkelanjutan
33. Pengetahuan tentang kejahatan formal dan sistem pelaporan insiden
34. Harapan pengguna seimbang vs apa yang secara teknis layak
35. Pendidikan yang bersangkutan pakar keamanan, yaitu, pendidikan profesional (CPE)
berkelanjutan.
Appendix B-Priority Critical Elements Lampiran BElemen Kritis Prioritas
Summary Table Ringkasan Tabel
Ringkasan Tabel Prioritas Elemen penting
Elemen penting
Solution Pertimbangan
Senior manajemen harus mensyaratkan bahwa semua permintaan
untuk teknologi termasuk pengeluaran teknologi identifikasi risiko dan
risiko mitigasi persyaratan sebagai bagian dari analisis biaya-manfaat,
tujuan proyek, penyerahan dan permintaan dana.
Manajemen senior harus berkomunikasi secara konsisten bahwa
setiap karyawan bertanggung jawab untuk keamanan informasi dengan
memastikan bahwa harapan secara jelas dikomunikasikan dalam
perusahaan kebijakan keamanan informasi dan standar, dan konsisten
menunjukkan bahwa pelanggaran tidak akan ditoleransi.
Manajemen senior komitmen
inisiatif keamanan informasi
Setiap karyawan, termasuk manajemen, harus diminta untuk
menghadiri sebuah kesadaran keamanan informasi update setiap tahun
dan karyawan baru harus tepat informasi dari keamanan informasi
perusahaan konsep dan praktik.
Pemahaman manajemen tentang
Manajer keamanan informasi harus meningkatkan pemahaman
isu keamanan informasi
mereka bisnis dan kemampuan mereka dalam komunikasi melalui
industri pendidikan khusus dan eksekutif - program tingkatpendidikan
berkelanjutan
Sesi kesadaran keamanan informasi harus dimulai pada tingkat
eksekutif dan hierarkis lanjutkan ke dimasukkannya semua tingkat
manajemen dan karyawan.
Manajer keamanan informasi harus mencari industri dan lain
publikasi yang menargetkan eksekutif dan manajemen senior dan
memastikan bahwa orang-publikasi yang dibuat tersedia untuk tim
manajemen.
Kebijakan perusahaan dan standar harus harus ditinjau dan
otorisasi
formal perubahan pada lingkungan teknologi sebelum
Perencanaan keamanan informasi
pelaksanaan.
Penetapan kewenangan untuk memberikan otorisasi tersebut
sebelum pelaksanaan teknologi
seharusnya posisi manajemen, tanpa pemisahan tugas konflik, dan
baru
termasuk responsiblity untuk pelaporan status keamanan informasi
kepada dewan.
Pengecualian terhadap kebijakan perusahaan dan standar yang
berkaitan dengan manajemen perubahan harus secara resmi diminta dan
disetujui oleh kebijakan perusahaan atau setara komite pengawas.
Keamanan informasi manajer dan manajer audit harus bekerja
sama untuk memantau lingkungan untuk teknologi implementasi yang
tidak memenuhi persyaratan kebijakan perusahaan dan standar.
Ringkasan Tabel Prioritas Elemen penting. (lanjutan)
Elemen penting
Solution Pertimbangan
Senior manajemen harus memastikan bahwa Liaisons bisnis
diadakan bertanggung jawab untuk berinteraksi dengan manajer
keamanan informasi disepakati bersama untuk mencapai tujuan
pengelolaan risiko.
Senior manajemen harus memastikan bahwa strategi bisnis berbagi
dengan teknologi informasi dan risiko yang sesuai manajemen kelompok,
seperti informasi keamanan. Ini akan membantu memastikan bahwa
diperlukan penyesuaian terhadap keamanan informasi strategi dan
kemampuan infrastruktur teknologi dapat secara proaktif direncanakan
untuk membantu mengelola biaya dan risiko.
Integrasi antara bisnis dan bisnis
dan keamanan informasi
Status keamanan informasi yang berkaitan dengan risiko tinggi
hukum dan kepatuhan peraturan harus dipantau pada tingkat eksekutif
untuk memastikan bahwa prioritas yang tepat diberikan kepada
manajemen risiko inisiatif.
Sebuah strategi keamanan informasi yang sejalan dengan
perusahaan manajemen risiko dan tata kelola perusahaan persyaratan
harus dikembangkan dan dilaksanakan.
Penyelarasan keamanan
informasi dengan tujuan
organisasi
Setiap lini bisnis yang "memiliki" informasi yang spesifik yang
memerlukan tingkat kerahasiaan, integritas dan ketersediaan harus
menunjuk seorang penghubung untuk bekerja dengan manajer keamanan
informasi untuk memastikan bahwa persyaratan dengan benar tercermin
dan prioritas dalam strategi keamanan informasi.
Pengukuran efektivitas pengendalian harus mencakup keselarasan
dengan peraturan dan undang-undang dan orang pengukuran harus
dilaporkan kepada dewan pada basis kuartalan dan tahunan melalui, atau
dengan, kepala penasihat hukum, petugas kepatuhan kepala, dan kepala
auditor atau setara mereka.
Keamanan informasi harus memiliki laporan independen struktur
untuk memastikan bahwa keprihatinan, prestasi dan pandangan tentang
pemerintahan yang baik diwakili kepada mereka akhirnya bertanggung
jawab kepada para pemangku kepentingan.
Tujuan pengendalian kunci yang bersangkutan harus dimasukkan
ke dalam proses pengukuran kinerja untuk semua karyawan.
Tingkat yang tepat dari manajemen harus memiliki tanggung jawab
untuk memastikan bahwa pelanggaran keamanan informasi, otorisasi
pengecualian dan pengukuran keamanan terkait lainnya yang terkait
dengan jalur proses bisnis yang diteliti dan bertindak atas nama mereka .
Eksekutif dan garis manajemen
kepemilikan dan akuntabilitas
pelaksanaan, pemantauan dan
melaporkan keamanan informasi