Pemeriksaan Latar Belakang Personel
OperasiPernyataan Kontrol
Organisasi memastikan bahwa pemeriksaan latar belakang telah diterapkan untuk personel/kontraktor dan di penyedia pihak ketiga, sesuai dengan sensitivitas dan kebutuhan risiko siber dari aset organisasi yang dikelola.
Deskripsi
Pemeriksaan latar belakang merupakan kontrol keamanan personel fundamental yang mengurangi risiko ancaman dari dalam dengan memverifikasi kelayakan individu yang memiliki akses ke sistem, data, dan fasilitas organisasi. Kedalaman dan cakupan pemeriksaan latar belakang harus proporsional dengan tingkat akses yang diberikan dan sensitivitas aset yang terlibat. Kontrol ini melampaui karyawan langsung untuk mencakup kontraktor dan staf di penyedia pihak ketiga yang mengelola atau mengakses aset organisasi, dengan mengakui bahwa risiko dari dalam dapat berasal dari kategori personel mana pun dalam rantai pasokan.
Aktivitas Implementasi Utama
- 1 Mendefinisikan persyaratan pemeriksaan latar belakang berdasarkan sensitivitas peran, tingkat akses, dan klasifikasi aset yang akan diakses
- 2 Menerapkan proses penyaringan pra-kerja dan pra-penugasan untuk karyawan dan kontraktor yang selaras dengan persyaratan yang ditetapkan
- 3 Memasukkan persyaratan kontraktual bagi penyedia pihak ketiga untuk melakukan pemeriksaan latar belakang terhadap personel mereka yang akan mengakses aset organisasi
- 4 Menetapkan persyaratan penyaringan ulang berkala untuk individu dalam peran dengan sensitivitas tinggi atau dengan hak akses yang ditingkatkan
- 5 Memelihara catatan pemeriksaan latar belakang yang telah selesai dan memastikan akses tidak diberikan hingga persyaratan penyaringan terpenuhi
Contoh Bukti
- Kebijakan pemeriksaan latar belakang yang mendefinisikan persyaratan penyaringan berdasarkan tingkat sensitivitas peran
- Catatan pemeriksaan latar belakang yang telah diselesaikan untuk karyawan dan kontraktor (disunting sebagaimana mestinya untuk kepatuhan privasi)
- Kontrak pihak ketiga yang memuat persyaratan pemeriksaan latar belakang dengan ketentuan atestasi kepatuhan
- Catatan penyelesaian penyaringan ulang berkala untuk personel dalam peran dengan sensitivitas tinggi
- Dokumentasi proses yang menunjukkan bahwa penyediaan akses dikondisikan pada penyelesaian pemeriksaan latar belakang
Tingkat Kematangan
Pemeriksaan latar belakang dilakukan secara tidak konsisten atau hanya untuk sebagian personel. Persyaratan penyaringan personel pihak ketiga tidak didefinisikan. Tidak ada penjenjangan kedalaman penyaringan berbasis risiko.
Pemeriksaan latar belakang secara sistematis dilakukan untuk semua personel dan kontraktor berdasarkan model penjenjangan risiko yang ditetapkan. Kontrak pihak ketiga mencakup persyaratan penyaringan. Akses bergantung pada penyelesaian penyaringan.
Pendekatan pemeriksaan berkelanjutan melengkapi pemeriksaan latar belakang titik waktu tradisional. Kepatuhan pihak ketiga terhadap persyaratan penyaringan diverifikasi melalui audit. Persyaratan penyaringan disesuaikan secara dinamis berdasarkan intelijen ancaman yang berkembang.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Kebijakan pemeriksaan latar belakang yang mendefinisikan persyaratan penyaringan berdasarkan tingkat sensitivitas peran | Ditinjau setiap tahun | Wajib |
| Catatan | Catatan pemeriksaan latar belakang yang telah diselesaikan untuk karyawan dan kontraktor (disunting sebagaimana mestinya) | Setiap perekrutan/penugasan | Wajib |
| Catatan | Kontrak pihak ketiga yang memuat persyaratan penyaringan latar belakang | Setiap kontrak | Wajib |
| Catatan | Atestasi kepatuhan penyaringan pihak ketiga | Setiap tahun per penyedia | Wajib |
| Catatan | Catatan penyelesaian penyaringan ulang berkala untuk personel dengan sensitivitas tinggi | Setiap siklus penyaringan ulang | Diharapkan |
| Catatan | Dokumentasi proses yang menunjukkan penyediaan akses dikondisikan pada penyelesaian penyaringan | Ditinjau setiap tahun | Diharapkan |