Академический Документы
Профессиональный Документы
Культура Документы
Ringkasan Eksekutif
Tantangan pelaksanaan yang efektif program keamanan informasi yang luas dan
beragam.. Untuk mengatasi tantangan tersebut Sistem Informasi Audit dan Control
Association (ISACA) yang disponsori kelompok fokus internasional dan survei, yang
menghasilkan laporan ini, untuk mengidentifikasi unsur-unsur yang mempengaruhi
keberhasilan program keamanan informasi.
10 orang kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari
bisnis, pemerintahan dan konsultasi, yang diambil dari delapan negara, termasuk Kanada,
Perancis, Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Sementara
perwakilan ini tidak mencakup semua anggota ISACA, itu tidak memanfaatkan
pengalaman yang beragam dan tajam.
Kelompok survei yang menanggapi perwakilan dari 157 termasuk jasa keuangan,
transportasi, retail / grosir, pemerintah (nasional, negara bagian dan lokal), manufaktur,
utilitas, kesehatan dan konsultasi." Responden perwakilan geografis termasuk Afrika,
Amerika, Asia, Eropa dan Oseania. Organisasi ukuran sama baiknya diwakili dalam
kelompok survei oleh organisasi responden mulai dari "kurang dari 50 karyawan" untuk
"lebih dari 50.000 karyawan."
Sisanya empat unsur penting yang membentuk target atas 10 dari kelompok masing-
masing berbeda.
Elemen penting Program Sukses Keamanan Informasi
Bagian berikutnya dari laporan ini memberikan khusus diidentifikasi terkait dengan
unsur-unsur penting di samping pertimbangan solusi yang dikembangkan oleh kelompok
terarah. Elemen kritis telah dibagi menjadi dua kategori: prioritas elemen-elemen kritis,
yang mewakili enam unsur yang antara 10 teratas yang dipilih oleh kedua kelompok, dan
tambahan unsur-unsur kritis, yang mewakili sisa empat elemen yang berbeda di antara
dua kelompok. Masing-masing elemen kritis prioritas diikuti oleh tiga pertimbangan
solusi untuk keamanan informasi digunakan oleh manajer dan rekan bisnis sebagai
pemikiran ide-ide atau tindakan item.
Solusi pertimbangan diidentifikasi untuk enam prioritas elemen-elemen penting juga
membantu mengatasi sejumlah elemen penting lainnya, termasuk semua kecuali satu
tambahan unsur-unsur penting yang diidentifikasi oleh kelompok-kelompok fokus dan
survei. Tambahan unsur-unsur penting yang diidentifikasi oleh kelompok adalah:
• Karyawan sesuai pendidikan dan kesadaran perlindungan aset informasi
• Konsisten penegakan kebijakan keamanan informasi dan standar
• Penempatan keamanan informasi dalam organisasi hirarki
• Anggaran untuk keamanan informasi strategi dan rencana taktis
• Konsisten board / eksekutif pesan manajemen yang berkaitan dengan informasi
keamanan prioritas
• Fokus pada tujuan jangka pendek yang dihasilkan dalam kelemahan kontrol
jangka panjang
• Kemampuan untuk membenarkan biaya keamanan informasi
• praktik terbaik keamanan informasi / metrik diterima secara umum
Secara ringkas, analisis dengan jelas menunjukkan perlunya eksekutif dan manajemen
senior dan manajer keamanan informasi untuk menjalin hubungan yang memungkinkan
pesan yang konsisten mengenai prioritas organisasi tempat untuk melindungi informasi
yang berharga dan aset kekayaan intelektual. Namun, analisis juga menunjukkan
kebutuhan yang kuat untuk pesan yang akan didukung dengan tindakan nyata dan
konsisten. Tindakan, mengatakan hasil, adalah pembentukan dan pelaksanaan yang
konsisten dan standar kebijakan perusahaan. Selanjutnya, hasil menunjukkan bahwa
tingkat tertinggi tanpa terlihat memantau keberhasilan pelaksanaan strategi keamanan
informasi, kepatuhan tidak konsisten akan terus mengikis kemajuan dan memberikan
kenyamanan palsu mengenai perlindungan aset. Hari-hari prioritas konflik terus
mempengaruhi kualitas dan konsistensi informasi perlindungan aset. Untuk memastikan
bahwa risiko yang terkait diambil serius oleh setiap karyawan dan agen dari organisasi,
eksekutif dan manajemen senior harus menjadi tampak tertarik dalam memastikan
informasi keberhasilan program keamanan dalam organisasi mereka.
Tujuan Proyek
Sementara banyak alamat publikasi risiko teknis dan keamanan, beberapa laporan telah
mengidentifikasi, secara komprehensif, aspek yang lebih luas dari keberhasilan
menghadapi hambatan yang manajer keamanan informasi dan solusi potensial yang
diusulkan kepada hambatan. ISACA mengakui bahwa hambatan yang harus diatasi oleh
manajer keamanan dan unit bisnis mereka melampaui rekan-rekan teknis dan risiko
kepatuhan peraturan dan meliputi: budaya organisasi dan hubungan, anggaran, sumber
daya manusia, pendidikan dan kesadaran, dan outsourcing, untuk beberapa nama. Melalui
proyek ISACA sponsor untuk memfasilitasi identifikasi, analisis dan laporan ini,
perangkat yang penting telah dibuat untuk posisi untuk keberhasilan manajemen
keamanan informasi program dan organisasi yang program-program ini merupakan
bagiannya.
Ada analisis dan fokus tak terbatas kesempatan mengenai keamanan informasi, sehingga
tujuan proyek diuraikan secara hati-hati dan mencakup:
Meskipun hasil rinci dari proyek ini terutama ditujukan untuk manajer keamanan
informasi, tujuan proyek dan hasil yang telah diringkas dalam Ringkasan Eksekutif untuk
mengaktifkan informasi kunci dalam laporan ini untuk dibagikan dengan eksekutif dan
manajemen senior.
Pendahuluan
Laporan ini mencerminkan pengalaman dan pendapat dari beragam kelompok profesional
mengenai unsur-unsur penting dari keberhasilan program keamanan informasi. Para
peserta termasuk 10-orang dan kelompok fokus 157-responden kelompok survei.
130 kelompok diberikan dalam hal representasi negara, industri dan ukuran organisasi.
Kelompok fokus terdiri dari spesialis manajemen keamanan informasi dari bisnis,
pemerintah dan konsultan yang diambil dari delapan negara, termasuk Kanada, Perancis,
Jerman, Israel, Italia, Jepang, Amerika Serikat dan Venezuela. Kelompok survei industri
dan negara perwakilan digambarkan dalam gambar 1.
Responden survei sama-sama beragam dalam posisi profesional yang diselenggarakan,
termasuk C-level eksekutif, manajemen senior, manajer keamanan informasi, keamanan
informasi staf, direktur riset dan konsultasi mitra dan staf.
Elemen penting
Elemen kritis disajikan dalam dua subbagian yang berbeda dari laporan ini: prioritas
elemen kritis dan tambahan elemen kritis.
Daftar awal lebih dari 70 elemen ini dikembangkan melalui dua hari sesi yang difasilitasi
kelompok terarah. Dari daftar itu, 35 elemen 'dipilih untuk mewakili populasi dari mana
masing-masing individu dalam kelompok terarah dan survei kelompok (kelompok) akan
mengidentifikasi bagian atas 10. Proses seleksi ini menghasilkan dua subkategori
berbeda, prioritas elemen-elemen kritis dan tambahan elemen kritis, dengan prioritas
unsur-unsur penting yang mewakili enam elemen yang diidentifikasi dalam kedua
kelompok top 10 pilihan mereka. Tambahan mewakili unsur-unsur penting yang tersisa
empat elemen dari masing-masing kelompok yang memilih di atas 10, tetapi berbeda
antara kelompok terarah dan kelompok survei.
Tujuan utama dan pembeda dari laporan ini adalah untuk menawarkan solusi potensial.
Untuk mencapai tujuan ini, namun laporan tetap terfokus, jumlah pertimbangan solusi
telah dibatasi untuk tiga untuk masing-masing unsur prioritas. Detail solusi akan
bervariasi dari satu organisasi ke organisasi lain serta dari satu negara ke negara lain.
Sementara pertimbangan solusi disajikan dalam laporan ini mungkin berhubungan
dengan beberapa organisasi, untuk orang lain mereka disediakan sebagai pemikiran ide.
Penting untuk dicatat bahwa setiap organisasi harus bingkai informasi yang disajikan
dalam laporan ini dalam konteks yang unik persyaratan program keamanan informasi.
Prioritas unsur-unsur penting adalah:
Kemampuan untuk • Senior manajemen harus memerlukan bahwa Manajemen senior inisiatif
membenarkan biaya- semua permintaan untuk solusi teknologi keamanan informasi.
keamanan informasi pengeluaran teknologi termasuk identifikasi
risiko dan mitigasi risiko merupakan persyaratan
sebagai bagian dari biaya manfaat, tujuan
proyek, penyerahan dan permintaan dana.
• Permintaan sebuah strategi keamanan Alignment informasi
informasi yang sejajar dengan risiko manajemen keamanan dengan tujuan
dan kebijakan perusahaan seharusnya organisasi
dikembangkan dan dilaksanakan.
• Setiap baris usaha yang "memiliki"
informasi memerlukan tingkat tertentu
kerahasiaan, integritas dan ketersediaan harus
menunjuk penghubung untuk bekerja dengan
keamanan informasi manajer untuk memastikan
bahwa persyaratan dengan benar tercermin dan
prioritas dalam strategi keamanan informasi.
Praktek / metrik terbaik • Manajer keamanan informasi harus (Element tidak dialamatkan
keamanan informasi berpartisipasi dalam industri organisasi yang oleh dimanapun solusi
diterima umumnya aktif bekerja mengembangkan metrik dan pertimbangan ditetapkan)
praktek-praktek keseimbangan secara efektif
bisnis pengembangan produk kebutuhan dan
risiko manajemen.
• Para manajer keamanan informasi harus
mencari dalam proses pelatihan manajemen,
seperti ITIL.
• Para manajer keamanan informasi harus
bekerja sama dengan line-of manajer bisnis
untuk memastikan bahwa pengukuran yang
berkaitan dengan tali keamanan informasi bisnis
riil risiko.
Ringkasan
Informasi yang terkandung dalam laporan ini mencerminkan semakin pengakuan bahwa
keamanan informasi tidak hanya masalah teknologi informasi, yang merupakan masalah
bisnis yang tidak dapat diatasi hanya dengan merekrut profesional keamanan informasi
dan menciptakan judul mengesankan. Kemampuan untuk mengidentifikasi resiko baik
terhadap informasi dan aset kekayaan intelektual membutuhkan kerjasama dari para
peserta di seluruh organisasi.
Yang paling penting, bagaimanapun, adalah kebutuhan untuk eksekutif dan manajemen
senior untuk tidak hanya menyediakan sumber daya yang tepat, tetapi juga untuk secara
konsisten mendukung keputusan-keputusan sulit sehubungan dengan melindungi aset-
aset.
Hasil kelompok terarah dan survei juga menunjukkan bahwa tanpa keamanan informasi
didefinisikan secara tepat pengukuran, dan dewan tingkat pengukuran yang pemantauan,
perlindungan aset akan terus palsu dengan "mendesak" implementasi kebijakan-kebijakan
yang ditetapkan mengelakkan, standar dan prosedur bisnis merongrong infrastruktur
teknologi. Temuan kunci lainnya adalah profesional keamanan informasi bahwa mulai
menyadari bahwa mereka perlu mengembangkan pemahaman yang kuat tentang bisnis
sebagai peran mereka menjadi lebih terlihat di dalam organisasi, keputusan-keputusan
mereka menuntut pembenaran risiko bisnis, dan ketergantungan pada teknologi drive
meningkat interaksi dengan hukum dan sesuai dengan rekan-rekan di organisasi.
Culture Budaya
13. Fokus pada tujuan jangka pendek untuk mencegah keamanan jangka panjang
kelemahan
Metrics Metrik
28. Pelaporan dan metrik terkait dengan tujuan bisnis dan strategi
35. Pendidikan yang bersangkutan pakar keamanan, yaitu, pendidikan profesional (CPE)
berkelanjutan.