Elemen Kritis tentang Program Sukses Keamanan Informasi

Dicetak di Amerika Serikat

Ringkasan Eksekutif

Tantangan pelaksanaan yang efektif program keamanan informasi yang luas dan
beragam.. Untuk mengatasi tantangan tersebut Sistem Informasi Audit dan Control
Association (ISACA) yang disponsori kelompok fokus internasional dan survei, yang
menghasilkan laporan ini, untuk mengidentifikasi unsur-unsur yang mempengaruhi
keberhasilan program keamanan informasi.

10 orang kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari
bisnis, pemerintahan dan konsultasi, yang diambil dari delapan negara, termasuk Kanada,
Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Sementara
perwakilan ini tidak mencakup semua anggota ISACA, itu tidak memanfaatkan
pengalaman yang beragam dan tajam.

Kelompok survei yang menanggapi perwakilan dari 157 termasuk jasa keuangan,
transportasi, retail / grosir, pemerintah (nasional, negara bagian dan lokal), manufaktur,
utilitas, kesehatan dan konsultasi." Responden perwakilan geografis termasuk Afrika,
Amerika, Asia, Eropa dan Oseania. Organisasi ukuran sama baiknya diwakili dalam
kelompok survei oleh organisasi responden mulai dari "kurang dari 50 karyawan" untuk
"lebih dari 50.000 karyawan."

Proses, secara singkat, termasuk pembangunan yang komprehensif daftar unsur-unsur

penting yang digunakan oleh kelompok-kelompok fokus dan survei untuk memilih atas
10 unsur penting bagi keberhasilan program keamanan informasi. Hasil yang menarik.

Kelompok terarah dan kelompok survei independen diidentifikasi komitmen manajemen

senior untuk inisiatif keamanan informasi sebagai satu elemen penting yang berdampak
pada keamanan informasi keberhasilan program. Kedua kelompok ini juga secara
konsisten mengidentifikasi lima tambahan elemen kritis di top 10, termasuk:

• Pemahaman manajemen masalah keamanan informasi

• Perencanaan keamanan informasi sebelum implementasi teknologi baru
• Integrasi antara bisnis dan informasi keamanan
• Alignment keamanan informasi dengan tujuan organisasi
• Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk
mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi

Sisanya empat unsur penting yang membentuk target atas 10 dari kelompok masing-
masing berbeda.
Elemen penting Program Sukses Keamanan Informasi
Bagian berikutnya dari laporan ini memberikan khusus diidentifikasi terkait dengan
unsur-unsur penting di samping pertimbangan solusi yang dikembangkan oleh kelompok
terarah. Elemen kritis telah dibagi menjadi dua kategori: prioritas elemen-elemen kritis,
yang mewakili enam unsur yang antara 10 teratas yang dipilih oleh kedua kelompok, dan
tambahan unsur-unsur kritis, yang mewakili sisa empat elemen yang berbeda di antara
dua kelompok. Masing-masing elemen kritis prioritas diikuti oleh tiga pertimbangan
solusi untuk keamanan informasi digunakan oleh manajer dan rekan bisnis sebagai
pemikiran ide-ide atau tindakan item.
Solusi pertimbangan diidentifikasi untuk enam prioritas elemen-elemen penting juga
membantu mengatasi sejumlah elemen penting lainnya, termasuk semua kecuali satu
tambahan unsur-unsur penting yang diidentifikasi oleh kelompok-kelompok fokus dan
survei. Tambahan unsur-unsur penting yang diidentifikasi oleh kelompok adalah:
• Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi
• Konsisten penegakan kebijakan keamanan informasi dan standar
• Penempatan keamanan informasi dalam organisasi hirarki
• Anggaran untuk keamanan informasi strategi dan rencana taktis
• Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi
keamanan prioritas
• Fokus pada tujuan jangka pendek yang dihasilkan dalam kelemahan kontrol
jangka panjang
• Kemampuan untuk membenarkan biaya keamanan informasi
• praktik terbaik keamanan informasi / metrik diterima secara umum

Secara ringkas, analisis dengan jelas menunjukkan perlunya eksekutif dan manajemen
senior dan manajer keamanan informasi untuk menjalin hubungan yang memungkinkan
pesan yang konsisten mengenai prioritas organisasi tempat untuk melindungi informasi
yang berharga dan aset kekayaan intelektual. Namun, analisis juga menunjukkan
kebutuhan yang kuat untuk pesan yang akan didukung dengan tindakan nyata dan
konsisten. Tindakan, mengatakan hasil, adalah pembentukan dan pelaksanaan yang
konsisten dan standar kebijakan perusahaan. Selanjutnya, hasil menunjukkan bahwa
tingkat tertinggi tanpa terlihat memantau keberhasilan pelaksanaan strategi keamanan
informasi, kepatuhan tidak konsisten akan terus mengikis kemajuan dan memberikan
kenyamanan palsu mengenai perlindungan aset. Hari-hari prioritas konflik terus
mempengaruhi kualitas dan konsistensi informasi perlindungan aset. Untuk memastikan
bahwa risiko yang terkait diambil serius oleh setiap karyawan dan agen dari organisasi,
eksekutif dan manajemen senior harus menjadi tampak tertarik dalam memastikan
informasi keberhasilan program keamanan dalam organisasi mereka.

Tujuan Proyek
Sementara banyak alamat publikasi risiko teknis dan keamanan, beberapa laporan telah
mengidentifikasi, secara komprehensif, aspek yang lebih luas dari keberhasilan
menghadapi hambatan yang manajer keamanan informasi dan solusi potensial yang
diusulkan kepada hambatan. ISACA mengakui bahwa hambatan yang harus diatasi oleh
manajer keamanan dan unit bisnis mereka melampaui rekan-rekan teknis dan risiko
kepatuhan peraturan dan meliputi: budaya organisasi dan hubungan, anggaran, sumber
daya manusia, pendidikan dan kesadaran, dan outsourcing, untuk beberapa nama. Melalui
proyek ISACA sponsor untuk memfasilitasi identifikasi, analisis dan laporan ini,
perangkat yang penting telah dibuat untuk posisi untuk keberhasilan manajemen
keamanan informasi program dan organisasi yang program-program ini merupakan
bagiannya.
Ada analisis dan fokus tak terbatas kesempatan mengenai keamanan informasi, sehingga
tujuan proyek diuraikan secara hati-hati dan mencakup:

• Keamanan informasi memberikan manajer sebuah perspektif rekan elemen kritis

mencapai sukses pelaksanaan program keamanan informasi.
• Berikan saran pada pemecahan, bukan hanya menyatakan, masalah.
• Memberikan laporan yang dapat melayani eksekutif dan manajemen senior serta
manajer keamanan informasi.

Meskipun hasil rinci dari proyek ini terutama ditujukan untuk manajer keamanan
informasi, tujuan proyek dan hasil yang telah diringkas dalam Ringkasan Eksekutif untuk
mengaktifkan informasi kunci dalam laporan ini untuk dibagikan dengan eksekutif dan
manajemen senior.

Pendahuluan
Laporan ini mencerminkan pengalaman dan pendapat dari beragam kelompok profesional
mengenai unsur-unsur penting dari keberhasilan program keamanan informasi. Para
peserta termasuk 10-orang dan kelompok fokus 157-responden kelompok survei.
130 kelompok diberikan dalam hal representasi negara, industri dan ukuran organisasi.
Kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis,
pemerintah dan konsultan yang diambil dari delapan negara, termasuk Kanada, Perancis,
Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Kelompok survei industri
dan negara perwakilan digambarkan dalam gambar 1.
Responden survei sama-sama beragam dalam posisi profesional yang diselenggarakan,
termasuk C-level eksekutif, manajemen senior, manajer keamanan informasi, keamanan
informasi staf, direktur riset dan konsultasi mitra dan staf.

Elemen penting
Elemen kritis disajikan dalam dua subbagian yang berbeda dari laporan ini: prioritas
elemen kritis dan tambahan elemen kritis.
Daftar awal lebih dari 70 elemen ini dikembangkan melalui dua hari sesi yang difasilitasi
kelompok terarah. Dari daftar itu, 35 elemen 'dipilih untuk mewakili populasi dari mana
masing-masing individu dalam kelompok terarah dan survei kelompok (kelompok) akan
mengidentifikasi bagian atas 10. Proses seleksi ini menghasilkan dua subkategori
berbeda, prioritas elemen-elemen kritis dan tambahan elemen kritis, dengan prioritas
unsur-unsur penting yang mewakili enam elemen yang diidentifikasi dalam kedua
kelompok top 10 pilihan mereka. Tambahan mewakili unsur-unsur penting yang tersisa
empat elemen dari masing-masing kelompok yang memilih di atas 10, tetapi berbeda
antara kelompok terarah dan kelompok survei.
Tujuan utama dan pembeda dari laporan ini adalah untuk menawarkan solusi potensial.
Untuk mencapai tujuan ini, namun laporan tetap terfokus, jumlah pertimbangan solusi
telah dibatasi untuk tiga untuk masing-masing unsur prioritas. Detail solusi akan
bervariasi dari satu organisasi ke organisasi lain serta dari satu negara ke negara lain.
Sementara pertimbangan solusi disajikan dalam laporan ini mungkin berhubungan
dengan beberapa organisasi, untuk orang lain mereka disediakan sebagai pemikiran ide.
Penting untuk dicatat bahwa setiap organisasi harus bingkai informasi yang disajikan
dalam laporan ini dalam konteks yang unik persyaratan program keamanan informasi.
Prioritas unsur-unsur penting adalah:

• Komitmen manajemen senior inisiatif keamanan informasi

• Pemahaman manajemen tentang masalah keamanan informasi
• Perencanaan keamanan informasi sebelum implementasi teknologi baru
• Integrasi antara bisnis dan informasi keamanan
• Alignment keamanan informasi dengan tujuan organisasi
• Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk
mengimplementasikan, pemantauan dan pelaporan tentang keamanan informasi

Tambahan unsur-unsur penting adalah:

• Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi

• Konsisten penegakan kebijakan keamanan dan standar informasi
• Penempatan keamanan informasi dalam hirarki organisasi
• Anggaran untuk keamanan strategi informasi dan rencana taktis
• Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi
keamanan prioritas
• Fokus pada tujuan jangka pendek yang dihasilkan dalam jangka panjang
kelemahan kontrol
• Kemampuan membenarkan untuk biaya keamanan informasi
• Generally accepted information security best practices/metrics Diterima secara
umum praktik terbaik keamanan informasi / metrik

Prioritas Elemen Kritis dan Solusi Pertimbangan

Komitmen Manajemen Senior untuk Inisiatif Keamanan Informasi
Komitmen manajemen senior diperlukan dari semua usaha dan inisiatif strategis,
sehingga keamanan informasi adalah bagian dari daftar panjang proyek-proyek dan
inisiatif yang harus memiliki manajemen eksekutif senior dan komitmen. Tanpa
komitmen, proyek-proyek dan inisiatif ini tidak akan aktif. Namun demikian, karyawan
dihadapkan dengan prioritas yang saling bertentangan dari hari ke hari, dan karena itu,
fokus usaha-usaha mereka pada hal-hal yang mempengaruhi evaluasi kinerja mereka dan
secara positif mempengaruhi sistem hadiah yang terkait dengan perfornlance mereka.
Akibatnya, apa yang dipantau oleh manajemen senior dan eksekutif harus ia dimasukkan
ke dalam kinerja / sistem penghargaan dan, karenanya, dapat berhasil dilaksanakan.
Solusi pertimbangan harus mencakup sebagai berikut:

• Senior manajemen harus mensyaratkan bahwa semua permintaan untuk

pengeluaran teknologi termasuk risiko teknologi identifikasi dan mitigasi risiko
 persyaratan sebagai bagian dari analisis biaya-manfaat, tujuan proyek, penyerahan
dan permintaan dana.
• Senior manajemen harus berkomunikasi secara konsisten bahwa setiap karyawan
bertanggung jawab untuk keamanan informasi dengan memastikan bahwa
harapan secara jelas dikomunikasikan dalam informasi perusahaan dan standar
kebijakan keamanan, dan secara konsisten menunjukkan bahwa pelanggaran tidak
akan ditoleransi.
• Setiap karyawan, termasuk manajemen, harus diminta untuk menghadiri sebuah
kesadaran keamanan informasi diperbaharui setiap tahun dan baru karyawan
harus tepat diberitahu tentang keamanan informasi perusahaan konsep dan
praktik.

Pemahaman manajemen tentang Masalah Keamanan Informasi

Membangun pemahaman tentang isu-isu keamanan informasi membutuhkan komunikasi
yang efektif tentang risiko bisnis yang tidak tepat yang dirancang hasil dari teknologi dan
dihilangkan kontrol manajemen risiko. Keamanan informasi merupakan salah satu aspek
kunci dari manajemen risiko teknologi dan manajer keamanan informasi harus terampil
di mengikatkan risiko bisnis untuk keamanan informasi risiko dan mengungkapkan risiko
pada setiap tingkat manajemen dalam organisasi. Hal ini juga perlu bahwa tingkat
manajemen masing-masing memahami risiko dan berpartisipasi secara aktif dalam
memastikan bahwa solusi manajemen risiko yang tepat diidentifikasi dan diterapkan
dengan cara yang paling efisien dan efektif. Prioritas konflik, kurangnya akuntabilitas
dan kurangnya keterampilan komunikasi bisnis manajer keamanan informasi semua ikut
bertanggung jawab atas kegagalan untuk meningkatkan pemahaman manajemen i,
iformation solusi keamanan yang membantu menjamin kerahasiaan, integritas dan
ketersediaan informasi perusahaan dan aset kekayaan intelektual.
Solusi pertimbangan harus mencakup sebagai berikut:

• Manajer keamanan informasi harus meningkatkan pemahaman mereka tentang

bisnis dan kemampuan mereka dalam industri komunikasi melalui pendidikan
khusus dan tingkat eksekutif program pendidikan berkelanjutan.
• Sesi kesadaran keamanan informasi harus dimulai dari tingkat eksekutif dan
hierarkis lanjutkan ke dimasukkannya semua tingkat manajemen dan karyawan.
• Manajer keamanan informasi harus mencari industri dan publikasi lain yang
menargetkan eksekutif dan manajemen senior dan memastikan bahwa mereka
publikasi yang dibuat tersedia untuk tim manajemen.

Perencanaan Keamanan Informasi Sebelum Implementasi Teknologi Baru

Keamanan informasi merupakan komponen penting tata kelola perusahaan jaminan.
Apakah perusahaan tersebut diatur, publik diadakan, besar atau kecil, integritas dari
laporan keuangan dilaksanakan dengan benar bergantung pada program keamanan
informasi. Implementasi teknologi kontrol yang tepat tanpa memasukkan investasi
merongrong keamanan informasi dan dapat menyebabkan kerusakan pada pengolahan
data dan integritas yang boleh pergi tak ketahuan sampai kerusakan jauh melebihi
ambang batas risiko perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:
 • Kebijakan perusahaan dan standar harus harus ditinjau dan otorisasi formal
perubahan pada lingkungan teknologi sebelum pelaksanaan. Penunjukan
kewenangan untuk memberikan izin tersebut seharusnya posisi manajemen, tanpa
pemisahan tugas konflik, dan termasuk tanggung jawab pelaporan status
keamanan informasi kepada dewan.
• Pengecualian terhadap kebijakan perusahaan dan standar yang berkaitan dengan
manajemen perubahan harus secara resmi diminta dan disetujui oleh kebijakan
perusahaan komite pengawas atau setara.
• Keamanan informasi manajer dan manajer audit harus bekerja sama untuk
memantau lingkungan untuk implementasi teknologi yang tidak memenuhi
persyaratan kebijakan perusahaan dan standar.

Integrasi Antara Bisnis dan Keamanan Informasi

Sementara aspek-aspek tertentu dari sebuah program keamanan informasi mengikuti
model layanan bersama, sebagian besar inisiatif keamanan informasi harus erat selaras
dengan bisnis yang mendasari inisiatif mereka melindungi. Namun, biaya informasi dan
melindungi aset intelektual tidak boleh melebihi nilai aset. Untuk benar align risiko
bisnis dan solusi keamanan informasi, koperasi dialog antara daerah bisnis dan pakar
keamanan informasi yang diperlukan.
Setiap aspek teknologi tepat risiko harus dianalisis, termasuk risiko untuk kerahasiaan,
integritas dan ketersediaan seperti yang berkaitan dengan transaksi seluruh aliran.
Selain itu, fokus dari analisis ini harus pada transaksi bisnis yang material bagi bisnis
keuangan, memerlukan kepatuhan terhadap peraturan perundang-undangan, dan dapat
berdampak negatif pada reputasi perusahaan.
Solusi pertimbangan harus mencakup sebagai berikut:

• Senior manajemen harus memastikan bahwa Liaisons bisnis bertanggung jawab

untuk berinteraksi dengan manajer keamanan informasi untuk mencapai
disepakati bersama tujuan manajemen risiko.
• Senior manajemen harus memastikan bahwa strategi bisnis dibagi dengan
teknologi informasi dan manajemen risiko yang sesuai kelompok, seperti
informasi keamanan. Ini akan membantu memastikan bahwa diperlukan
penyesuaian terhadap strategi keamanan informasi dan kemampuan infrastruktur
teknologi dapat secara proaktif merencanakan untuk membantu mengelola biaya
dan risiko.
• Status keamanan informasi yang berkaitan dengan risiko tinggi kepatuhan hukum
dan peraturan yang harus dipantau pada tingkat eksekutif yang sesuai untuk
memastikan bahwa prioritas diberikan kepada inisiatif-inisiatif pengelolaan risiko.

Alignment Keamanan Informasi Dengan Tujuan Organisasi keamanan informasi ini

sering dianggap sebagai tanggung jawab departemen keamanan informasi. Persepsi ini
umumnya diabadikan melalui inisiatif keamanan informasi yang didanai sebagai proyek
yang berdiri sendiri dan kegagalan untuk menginformasikan karyawan dari peran mereka
dalam perlindungan informasi dan aset kekayaan intelektual. Bagi banyak perusahaan, ini
adalah perubahan budaya dan harus didorong dari atas. Sementara perubahan budaya
memerlukan komitmen jangka panjang dan lambat untuk menyadari, umumnya efektif
dimulai dengan pengembangan strategi yang bersangkutan pernyataan dan tindakan
manajemen mendukung persyaratan.
Solusi pertimbangan harus mencakup sebagai berikut:

• Sebuah strategi keamanan informasi yang sesuai dengan perusahaan manajemen

risiko dan tata kelola perusahaan persyaratan harus dikembangkan dan
dilaksanakan.
• Setiap lini bisnis yang "memiliki" informasi yang spesifik yang memerlukan
tingkat kerahasiaan, integritas dan ketersediaan harus menunjuk penghubung
untuk bekerja dengan manajer keamanan informasi untuk memastikan bahwa
persyaratan dengan benar tercermin dan prioritas dalam strategi keamanan
informasi
• Pengukuran efektivitas pengendalian harus mencakup sejalan dengan peraturan
dan undang-undang dan orang-orang pengukuran harus dilaporkan kepada dewan
pada basis kuartalan dan tahunan melalui, atau dengan, ketua penasehat hukum,
petugas kepatuhan kepala, dan kepala auditor atau setara mereka.

Eksekutif dan Jalur Manajemen Kepemilikan dan Akuntabilitas untuk Pelaksanaan,

Monitoring dan Pelaporan pada Keamanan Informasi
Kegagalan untuk mendukung dan melaksanakan inisiatif keamanan informasi ini sering
masalah prioritas yang saling bertentangan. Bertentangan prioritas dan proses
kepemilikan pada umumnya diselesaikan melalui perusahaan sistem penghargaan kinerja.
Yang mengatakan, tujuan kinerja yang berhubungan dengan keamanan informasi harus
masuk akal dan mendukung, bukan menghambat, proses bisnis. Prioritas harus jelas
diatur dan ditetapkan dalam strategi keamanan dengan indikator kinerja utama yang
disetujui oleh tingkat tertinggi organisasi untuk membantu memastikan bahwa tujuan
akan dikelola secara efektif dan konsisten, dimonitor dan dieksekusi.
Solusi pertimbangan harus mencakup sebagai berikut:

• Keamanan informasi harus memiliki struktur pelaporan yang independen untuk

memastikan bahwa keprihatinan, prestasi dan pandangan tentang tata
pemerintahan yang baik diwakili kepada mereka bertanggung jawab kepada para
pemangku kepentingan.
• Tujuan pengendalian kunci yang bersangkutan harus dimasukkan ke dalam proses
pengukuran kinerja untuk semua karyawan.
• Tingkat yang tepat dari manajemen harus memiliki tanggung jawab untuk
memastikan bahwa pelanggaran keamanan informasi, otorisasi pengecualian dan
pengukuran keamanan terkait lainnya berkaitan dengan lini bisnis mereka proses
yang diteliti dan ditindaklanjuti atas nama mereka.

Elemen Kritis tambahan dan Solusi Pertimbangan

Seperti tercantum dalam bagian pengantar laporan ini, proses identifikasi atas 10 unsur
termasuk hasil dari kelompok fokus dan kelompok survei. Hasil jatuh ke dalam dua
subkategori berbeda-prioritas unsur-unsur penting dan unsur-unsur penting tambahan,
dengan tambahan unsur-unsur penting yang mewakili empat elemen dari masing-masing
kelompok tidak tercermin dalam prioritas elemen-elemen kritis.
Walaupun masing-masing unsur-unsur penting tambahan berdiri sendiri sebagai syarat
unik untuk sukses menerapkan program keamanan informasi yang layak, semua elemen
dalam kategori ini, dengan pengecualian yang diterima secara umum praktik terbaik
keamanan informasi / metrik, biasanya cukup diatasi dengan solusi yang disajikan untuk
prioritas unsur-unsur penting. Oleh karena itu, unsur-unsur penting tambahan disajikan
dalam format tabel (lihat Gambar 2) untuk menyelaraskan elemen, solusi pertimbangan
dan prioritas elemen dari solusi pertimbangan yang telah diambil. Solusi pertimbangan
telah dibatasi untuk tiga, seperti juga unsur-unsur prioritas, dengan tujuan menjaga fokus
laporan.

Gambar 2-Solution Pertimbangan untuk

tambahan Elemen Kritis
Tambahan Elemen Solusi Pertimbangan Solusi Pertimbangan
Kritis Diambil Dari Prioritas
Elemen penting

Karyawan sesuai • Setiap karyawan harus diminta untuk Komitmen Manajemen

pendidikan dan kesadaran menghadiri informasi kesadaran keamanan senior terhadap inisiatif
perlindungan informasi diperbaharui setiap tahun dan karyawan baru keamanan informasi
aset harus tepat diinformasikan mengenai informasi
konsep dan praktik keamanan perusahaan
• Manajemen senior harus berkomunikasi
secara konsisten bahwa setiap karyawan
bertanggung jawab untuk keamanan informasi
dengan memastikan bahwa harapan secara
jelas dikomunikasikan dalam keamanan
informasi perusahaan, kebijakan dan standar,
dan secara konsisten menunjukkan bahwa.
pelanggaran tidak akan ditoleransi.
• Manajemen senior harus memastikan
bisnis yang diselenggarakan bertanggung
jawab untuk berinteraksi dengan keamanan
informasi manajer ke manajer mencapai risiko
disepakati bersama tujuan pengelolaan. Integrasi antara
information bisnis dan
keamanan
Konsisten penegakan • Kebijakan perusahaan dan standar harus Keamanan informasi
keamanan informasi harus ditinjau dan formal otorisasi perubahan perencanaan sebelum
kebijakan dan standar pada lingkungan teknologi sebelum pelaksanaan teknologi baru
pelaksanaan. Penunjukan wewenang untuk
memberikan otorisasi seharusnya posisi
manajemen, tanpa pemisahan tugas konflik,
dan bertanggung jawab untuk melaporkan
status keamanan informasi kepada dewan
• Pengecualian terhadap kebijakan
perusahaan dan standar yang berkaitan dengan
perubahan manajemen harus secara resmi
diminta dan disetujui oleh kebijakan
perusahaan komite pengawas atau setara. Alignment informasi
keamanan dengan tujuan
• Pengukuran efektivitas pengendalian
organisasi
harus mencakup sejalan dengan peraturan dan
hukum dan pengukuran mereka harus
dilaporkan pada kuartalan dan tahunan atau
dengan, kepala nasihat hukum, kepala petugas
kepatuhan, dan kepala auditor atau setara
mereka.

Gambar 2-Solusi Pertimbangan untuk Tambahan

Elemen kritis (lanjutan)

Tambahan Elemen Solusi Pertimbangan Solusi Pertimbangan

Kritis Diambil Dari Prioritas
Elemen penting
Penempatan keamanan • Manajer keamanan informasi harus Pemahaman Manajemen
informasi dalam hierarki meningkatkan pemahaman bisnis dan tentang isu keamanan
organisasi kemampuan komunikasi mereka melalui industri informasi
- level pendidikan khusus dan tingkat eksekutif -
program pendidikan berkelanjutan.
• Informasi status keamanan berhubungan
dengan risiko tinggi hukum dan kepatuhan Integrasi antara bisnis dan
peraturan harus dipantau di tingkat eksekutif keamanan informasi
untuk memastikan bahwa prioritas diberikan
sesuai inisiatif pengelolaan risiko.
Eksekutif dan garis
manajemen kepemilikan
• Keamanan informasi harus memiliki Dan akuntabilitas untuk
struktur pelaporan independen untuk memastikan pelaksanaan, pemantauan
bahwa keprihatinan, prestasi dan pandangan pelaporan keamanan
pemerintahan dengan benar diwakili yang pada informasi
akhirnya bertanggung jawab kepada stakeholder.
Anggaran keamanan • Manajemen senior seharusnya memerlukan Manajemen senior komitmen
informasi strategi dan bahwa semua permintaan untuk solusi terhadap inisiatif keamanan
taktik rencana pengeluaran teknologi termasuk risiko informasi
identifikasi teknologi dan permintaan risiko
mitigasi sebagai bagian dari biaya manfaat,
tujuan proyek, penyerahan dan permintaan dana.
• Sebuah strategi keamanan informasi yang
Alignment keamanan
sejajar dengan risiko perusahaan manajemen dan
informasi dengan tujuan
perusahaan persyaratan pemerintahan harus
organisasi
dikembangkan dan dilaksanakan.

• Setiap baris usaha yang "memiliki"

informasi memerlukan tingkat tertentu
kerahasiaan, integritas dan ketersediaan harus
menunjuk penghubung untuk bekerja dengan
keamanan informasi manajer untuk memastikan
bahwa persyaratan dengan benar tercermin dan
prioritas dalam strategi keamanan informasi.

Gambar 2-Solusi Pertimbangan untuk Tambahan

Elemen kritis (lanjutan)

Tambahan Elemen Solusi Pertimbangan Solusi Pertimbangan

Kritis Diambil Dari Prioritas
Elemen penting

Konsisten dewan / • Berkomunikasi secara konsisten bahwa Manajemen senior komitmen

eksekutif manajemen setiap karyawan bertanggung jawab untuk inisiatif keamanan informasi.
pesan mengenai keamanan informasi dengan memastikan bahwa
informasi prioritas harapan secara jelas dikomunikasikan dalam
keamanan keamanan informasi kebijakan perusahaan dan
standar dan konsisten menunjukkan bahwa
pelanggaran tidak akan ditoleransi. Integrasi antara bisnis dan
• Manajemen senior harus memastikan bisnis keamanan informasi.
yang diselenggarakan bertanggung jawab untuk
berinteraksi dengan manajer keamanan informasi
mencapai tujuan pengelolaan risiko disepakati
bersama. Integrasi antara bisnis dan
• Informasi status keamanan yang terkait keamanan informasi
dengan risiko tinggi hukum dan peraturan
kepatuhan harus dipantau pada tingkat eksekutif
untuk memastikan bahwa sesuai prioritas
diberikan kepada inisiatif risiko manajemen .
Fokus pada tujuan • Manajemen senior seharusnya memerlukan Manajemen senior komitmen
jangka pendek bahwa semua permintaan untuk pengeluaran inisiatif keamanan informasi.
menghasilkan solusi teknologi teknologi termasuk identifikasi
kelemahan kontrol risiko dan mitigasi risiko merupakan persyaratan
jangka panjang sebagai bagian dari biaya manfaat, tujuan
proyek, penyerahan dan permintaan dana.
• Pengecualian terhadap kebijakan Perencanaan Keamanan
perusahaan dan standar yang berkaitan dengan informasi sebelum
perubahan manajemen harus secara resmi pelaksanaan teknologi baru
diminta dan disetujui oleh kebijakan perusahaan
komite pengawas atau setara.
• Para manajer keamanan informasi dan
manajer audit harus bekerja sama untuk
memantau lingkungan untuk implementasi
teknologi yang melakukan tidak memenuhi
persyaratan kebijakan dan standar perusahaan.

Gambar 2-Solusi Pertimbangan untuk Tambahan

Elemen kritis (lanjutan)

Tambahan Elemen Solusi Pertimbangan Solusi Pertimbangan

Kritis Diambil Dari Prioritas
Elemen penting

Kemampuan untuk • Senior manajemen harus memerlukan bahwa Manajemen senior inisiatif
membenarkan biaya- semua permintaan untuk solusi teknologi keamanan informasi.
keamanan informasi pengeluaran teknologi termasuk identifikasi
 risiko dan mitigasi risiko merupakan persyaratan
sebagai bagian dari biaya manfaat, tujuan
proyek, penyerahan dan permintaan dana.
• Permintaan sebuah strategi keamanan Alignment informasi
informasi yang sejajar dengan risiko manajemen keamanan dengan tujuan
dan kebijakan perusahaan seharusnya organisasi
dikembangkan dan dilaksanakan.
• Setiap baris usaha yang "memiliki"
informasi memerlukan tingkat tertentu
kerahasiaan, integritas dan ketersediaan harus
menunjuk penghubung untuk bekerja dengan
keamanan informasi manajer untuk memastikan
bahwa persyaratan dengan benar tercermin dan
prioritas dalam strategi keamanan informasi.
Praktek / metrik terbaik • Manajer keamanan informasi harus (Element tidak dialamatkan
keamanan informasi berpartisipasi dalam industri organisasi yang oleh dimanapun solusi
diterima umumnya aktif bekerja mengembangkan metrik dan pertimbangan ditetapkan)
praktek-praktek keseimbangan secara efektif
bisnis pengembangan produk kebutuhan dan
risiko manajemen.
• Para manajer keamanan informasi harus
mencari dalam proses pelatihan manajemen,
seperti ITIL.
• Para manajer keamanan informasi harus
bekerja sama dengan line-of manajer bisnis
untuk memastikan bahwa pengukuran yang
berkaitan dengan tali keamanan informasi bisnis
riil risiko.

Ringkasan

Informasi yang terkandung dalam laporan ini mencerminkan semakin pengakuan bahwa
keamanan informasi tidak hanya masalah teknologi informasi, yang merupakan masalah
bisnis yang tidak dapat diatasi hanya dengan merekrut profesional keamanan informasi
dan menciptakan judul mengesankan. Kemampuan untuk mengidentifikasi resiko baik
terhadap informasi dan aset kekayaan intelektual membutuhkan kerjasama dari para
peserta di seluruh organisasi.
Yang paling penting, bagaimanapun, adalah kebutuhan untuk eksekutif dan manajemen
senior untuk tidak hanya menyediakan sumber daya yang tepat, tetapi juga untuk secara
konsisten mendukung keputusan-keputusan sulit sehubungan dengan melindungi aset-
aset.
Hasil kelompok terarah dan survei juga menunjukkan bahwa tanpa keamanan informasi
didefinisikan secara tepat pengukuran, dan dewan tingkat pengukuran yang pemantauan,
perlindungan aset akan terus palsu dengan "mendesak" implementasi kebijakan-kebijakan
yang ditetapkan mengelakkan, standar dan prosedur bisnis merongrong infrastruktur
teknologi. Temuan kunci lainnya adalah profesional keamanan informasi bahwa mulai
menyadari bahwa mereka perlu mengembangkan pemahaman yang kuat tentang bisnis
sebagai peran mereka menjadi lebih terlihat di dalam organisasi, keputusan-keputusan
mereka menuntut pembenaran risiko bisnis, dan ketergantungan pada teknologi drive
meningkat interaksi dengan hukum dan sesuai dengan rekan-rekan di organisasi.

Lampiran A- List Master Elemen Kritis List berdasarkan Kategori

Culture Budaya

1. Eksekutif pesan manajemen yang berkaitan dengan prioritas keamanan

informasi

2. Dewan eksekutif pemantauan manajemen risiko keamanan informasi

3. Reguler, keamanan informasi berkelanjutan item pada papan agenda

4. Eksekutif dan garis kepemilikan manajemen dan akuntabilitas untuk pelaksanaan,

pemantauan dan pelaporan tentang keamanan informasi

Sumber Daya Manusia / Orang / Anggaran dan Keuangan

5. Efektif proses penganggaran keamanan informasi
6. Anggaran untuk keamanan informasi strategi dan rencana taktis

Organisasi / Hubungan Organisasi

7. Jelas dikomunikasikan tanggung jawab pelanggan dan kehilangan tanggung jawab
terkait dengan penggunaan teknologi untuk transaksi pelanggan
8. Komitmen manajemen senior inisiatif keamanan informasi
9. Mengakibatkan pengaruh manajemen layanan produk seleksi yang tidak terbaik
memecahkan masalah

10. Keselarasan antara tujuan perusahaan dan tujuan keamanan

11. Integrasi antara bisnis dan keamanan

12. Ditetapkan struktur manajemen

13. Fokus pada tujuan jangka pendek untuk mencegah keamanan jangka panjang
kelemahan

14. Informasi keamanan didefinisikan secara tepat dengan visibilitas yang

memadai dalam perusahaan

15. Tepat penempatan keamanan di dalam hirarki organisasi

16. Integrasi keamanan IT dengan tradisional / fasilitas keamanan

Teknologi dan Teknologi yang berhubungan dengan Proses

17. Perencanaan keamanan yang memadai sebelum implementasi teknologi baru
18. Sesuai prosedur manajemen perubahan
19. Kemampuan untuk merespon span.ming / serangan phishing dan yang berkaitan
20. Menyeimbangkan harapan dengan kelayakan teknis solusi otomatis

Hukum / Peraturan / Pemerintahan / Kebijakan dan Standar

21. Kepatuhan terhadap peraturan beberapa yurisdiksi di sepanjang jalan transaksi
22. Sesuai / efektif / peraturan perundang-undangan yang bertentangan
23. Informasi kebijakan keamanan dan standar penegakan
24. Konsisten penegakan kebijakan keamanan informasi dan standar

Metrics Metrik

25. Enterprise kerangka kerja manajemen risiko yang mengintegrasikan

keamanan

26. Universal telah disepakati metodologi untuk penilaian risiko

27. Secara umum diterima metrik keamanan untuk keamanan terbaik

28. Pelaporan dan metrik terkait dengan tujuan bisnis dan strategi

'Craining / Pendidikan / Kesadaran

29. Ketersediaan terlatih dan berpengalaman profesional keamanan informasi

30. Pemahaman manajemen masalah keamanan

31. Karyawan pendidikan, dan memperbarui pendidikan, perlindungan aset informasi

32. Kesadaran keamanan berkelanjutan

33. Pengetahuan tentang kejahatan formal dan sistem pelaporan insiden

34. Harapan pengguna seimbang vs apa yang secara teknis layak

35. Pendidikan yang bersangkutan pakar keamanan, yaitu, pendidikan profesional (CPE)
berkelanjutan.

Appendix B-Priority Critical Elements Lampiran B-

Elemen Kritis Prioritas
Summary Table Ringkasan Tabel

Elemen penting
Manajemen senior komitmen
inisiatif keamanan informasi
Pemahaman manajemen tentang 
isu keamanan informasi
 Sesi kesadaran keamanan informasi harus dimulai pada tingkat
Perencanaan keamanan informasi 
sebelum pelaksanaan teknologi
baru
Ringkasan Tabel Prioritas Elemen penting
Solution Pertimbangan
 Senior manajemen harus mensyaratkan bahwa semua permintaan
untuk teknologi termasuk pengeluaran teknologi identifikasi risiko dan
risiko mitigasi persyaratan sebagai bagian dari analisis biaya-manfaat,
tujuan proyek, penyerahan dan permintaan dana.
 Manajemen senior harus berkomunikasi secara konsisten bahwa
setiap karyawan bertanggung jawab untuk keamanan informasi dengan
memastikan bahwa harapan secara jelas dikomunikasikan dalam
perusahaan kebijakan keamanan informasi dan standar, dan konsisten
menunjukkan bahwa pelanggaran tidak akan ditoleransi.
 Setiap karyawan, termasuk manajemen, harus diminta untuk
menghadiri sebuah kesadaran keamanan informasi update setiap tahun
dan karyawan baru harus tepat informasi dari keamanan informasi
perusahaan konsep dan praktik.
Manajer keamanan informasi harus meningkatkan pemahaman
mereka bisnis dan kemampuan mereka dalam komunikasi melalui
industri pendidikan khusus dan eksekutif - program tingkatpendidikan
berkelanjutan
eksekutif dan hierarkis lanjutkan ke dimasukkannya semua tingkat
manajemen dan karyawan.
 Manajer keamanan informasi harus mencari industri dan lain
publikasi yang menargetkan eksekutif dan manajemen senior dan
memastikan bahwa orang-publikasi yang dibuat tersedia untuk tim
manajemen.
Kebijakan perusahaan dan standar harus harus ditinjau dan
otorisasi formal perubahan pada lingkungan teknologi sebelum
pelaksanaan. Penetapan kewenangan untuk memberikan otorisasi tersebut
seharusnya posisi manajemen, tanpa pemisahan tugas konflik, dan
termasuk responsiblity untuk pelaporan status keamanan informasi
kepada dewan.
 Pengecualian terhadap kebijakan perusahaan dan standar yang
berkaitan dengan manajemen perubahan harus secara resmi diminta dan
disetujui oleh kebijakan perusahaan atau setara komite pengawas.
 Keamanan informasi manajer dan manajer audit harus bekerja
sama untuk memantau lingkungan untuk teknologi implementasi yang
tidak memenuhi persyaratan kebijakan perusahaan dan standar.
 Ringkasan Tabel Prioritas Elemen penting. (lanjutan)

Elemen penting Solution Pertimbangan

Integrasi antara bisnis dan bisnis 
dan keamanan informasi
 Senior manajemen harus memastikan bahwa strategi bisnis berbagi
Senior manajemen harus memastikan bahwa Liaisons bisnis
diadakan bertanggung jawab untuk berinteraksi dengan manajer
keamanan informasi disepakati bersama untuk mencapai tujuan
pengelolaan risiko.
dengan teknologi informasi dan risiko yang sesuai manajemen kelompok,
seperti informasi keamanan. Ini akan membantu memastikan bahwa
diperlukan penyesuaian terhadap keamanan informasi strategi dan
kemampuan infrastruktur teknologi dapat secara proaktif direncanakan
untuk membantu mengelola biaya dan risiko.

 Status keamanan informasi yang berkaitan dengan risiko tinggi

Penyelarasan keamanan
informasi dengan tujuan
organisasi
hukum dan kepatuhan peraturan harus dipantau pada tingkat eksekutif
untuk memastikan bahwa prioritas yang tepat diberikan kepada
manajemen risiko inisiatif.
 Sebuah strategi keamanan informasi yang sejalan dengan
perusahaan manajemen risiko dan tata kelola perusahaan persyaratan
harus dikembangkan dan dilaksanakan.
 Setiap lini bisnis yang "memiliki" informasi yang spesifik yang
memerlukan tingkat kerahasiaan, integritas dan ketersediaan harus
menunjuk seorang penghubung untuk bekerja dengan manajer keamanan
informasi untuk memastikan bahwa persyaratan dengan benar tercermin
dan prioritas dalam strategi keamanan informasi.

 Pengukuran efektivitas pengendalian harus mencakup keselarasan

dengan peraturan dan undang-undang dan orang pengukuran harus
dilaporkan kepada dewan pada basis kuartalan dan tahunan melalui, atau
dengan, kepala penasihat hukum, petugas kepatuhan kepala, dan kepala
auditor atau setara mereka.
Eksekutif dan garis manajemen  Keamanan informasi harus memiliki laporan independen struktur
kepemilikan dan akuntabilitas untuk memastikan bahwa keprihatinan, prestasi dan pandangan tentang
pelaksanaan, pemantauan dan pemerintahan yang baik diwakili kepada mereka akhirnya bertanggung
melaporkan keamanan informasi jawab kepada para pemangku kepentingan.
 Tujuan pengendalian kunci yang bersangkutan harus dimasukkan
ke dalam proses pengukuran kinerja untuk semua karyawan.

 Tingkat yang tepat dari manajemen harus memiliki tanggung jawab

untuk memastikan bahwa pelanggaran keamanan informasi, otorisasi
pengecualian dan pengukuran keamanan terkait lainnya yang terkait
dengan jalur proses bisnis yang diteliti dan bertindak atas nama mereka.