Kebijakan Risiko Siber
Kerangka KerjaPernyataan Kontrol
Organisasi memiliki kebijakan risiko siber yang terdokumentasi untuk menjelaskan peran, tanggung jawab, aturan, dan batasan bagi staf dan kontraktor, serta kemungkinan sanksi atas ketidakpatuhan.
Deskripsi
Kebijakan risiko siber yang terdokumentasi menetapkan ekspektasi perilaku dan kewajiban kepatuhan bagi semua personel yang berinteraksi dengan sistem informasi dan data organisasi. Kebijakan yang efektif dengan jelas mengartikulasikan apa yang diharapkan dari staf dan kontraktor, tindakan apa yang dilarang, bagaimana peran dan tanggung jawab ditetapkan, dan konsekuensi apa yang mengikuti pelanggaran kebijakan. Kebijakan-kebijakan ini harus dikomunikasikan, diakui, dan ditegakkan agar efektif, dan membentuk dasar kontraktual dan disipliner untuk menangani ketidakpatuhan.
Aktivitas Implementasi Utama
- 1 Mengembangkan dan memelihara seperangkat kebijakan risiko siber yang komprehensif yang mencakup penggunaan yang dapat diterima, penanganan data, kontrol akses, pelaporan insiden, dan domain lain yang relevan
- 2 Mendefinisikan secara jelas peran dan tanggung jawab untuk semua kategori personel termasuk karyawan, kontraktor, staf sementara, dan pengguna pihak ketiga
- 3 Menetapkan aturan, batasan, dan aktivitas yang dilarang dengan kejelasan yang memadai untuk mendukung penegakan yang konsisten
- 4 Mendokumentasikan konsekuensi ketidakpatuhan termasuk tindakan disipliner, sanksi kontraktual, dan potensi implikasi hukum
- 5 Menerapkan proses pengakuan kebijakan yang memastikan semua personel mengonfirmasi bahwa mereka telah membaca, memahami, dan setuju untuk mematuhi kebijakan
Contoh Bukti
- Seperangkat lengkap kebijakan risiko siber dengan tanda tangan persetujuan, tanggal efektif, dan riwayat versi
- Catatan pengakuan kebijakan yang menunjukkan tanda tangan staf dan kontraktor beserta tanggal
- Matriks RACI atau tanggung jawab yang memetakan peran risiko siber ke individu atau posisi tertentu
- Catatan penegakan ketidakpatuhan yang menunjukkan bahwa konsekuensi diterapkan secara konsisten
- Catatan distribusi dan komunikasi kebijakan (pemberitahuan email, posting intranet, sesi pelatihan)
Tingkat Kematangan
Beberapa kebijakan ada tetapi tidak lengkap, usang, atau tidak dikomunikasikan secara efektif. Peran dan tanggung jawab ambigu. Konsekuensi ketidakpatuhan tidak didefinisikan atau ditegakkan.
Seperangkat kebijakan komprehensif dipelihara, dikomunikasikan kepada seluruh personel, dan diakui secara formal. Peran, aturan, dan konsekuensi didokumentasikan dengan jelas. Kebijakan ditinjau dan diperbarui sesuai jadwal yang ditetapkan.
Kebijakan secara terus-menerus ditingkatkan berdasarkan pelajaran dari insiden, umpan balik kepatuhan, dan praktik terbaik industri. Pemantauan kepatuhan otomatis memverifikasi kepatuhan terhadap kebijakan. Efektivitas kebijakan diukur melalui metrik dan pengujian.
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Seperangkat lengkap kebijakan risiko siber dengan tanda tangan persetujuan, tanggal efektif, dan kontrol versi | Ditinjau sesuai jadwal kebijakan | Wajib |
| Dokumen | Matriks RACI atau tanggung jawab yang memetakan peran risiko siber ke individu/posisi | Ditinjau setiap tahun | Wajib |
| Catatan | Catatan pengakuan kebijakan dengan tanda tangan staf dan kontraktor beserta tanggal | Pengakuan ulang tahunan | Wajib |
| Catatan | Catatan distribusi dan komunikasi kebijakan | Setiap pembaruan kebijakan | Wajib |
| Catatan | Tindakan penegakan ketidakpatuhan yang menunjukkan penerapan konsekuensi yang konsisten | Setiap insiden | Diharapkan |
| Catatan | Catatan tinjauan dan pembaruan kebijakan yang menunjukkan pembaruan berkala | Setiap siklus tinjauan kebijakan | Diharapkan |