Kerangka Kebijakan Risiko Siber - Kewajiban Staf dan Kontraktor

Semua Personel: Mematuhi semua kebijakan dan standar risiko siber; menyelesaikan pelatihan kesadaran keamanan yang diwajibkan; melaporkan dugaan insiden keamanan, kerentanan, atau pelanggaran kebijakan ke [CUSTOMIZE: Security Team / IT Help Desk]; melindungi kredensial dan token akses yang diberikan; menangani data sesuai tingkat klasifikasinya.

Manajer Personel: Memastikan bawahan langsung menyelesaikan pelatihan keamanan yang diwajibkan; menegakkan kepatuhan kebijakan dalam tim mereka; memastikan akses dicabut untuk personel yang meninggalkan organisasi dalam [CUSTOMIZE: same business day]; berpartisipasi dalam kegiatan kesadaran keamanan sesuai arahan.

Pemilik Sistem dan Data: Memelihara inventaris akurat sistem dan data yang dimiliki; memastikan kontrol keamanan yang tepat diimplementasikan; mengotorisasi dan meninjau akses ke sistem yang dimiliki; memastikan kepatuhan terhadap persyaratan regulasi yang berlaku.

Kontraktor dan Personel Pihak Ketiga: Mematuhi semua kebijakan risiko siber [ORGANIZATION] sebagai syarat keterlibatan; menyelesaikan orientasi keamanan khusus [ORGANIZATION]; segera melaporkan setiap insiden keamanan yang melibatkan data atau sistem [ORGANIZATION] ke [CUSTOMIZE: Vendor Management / Security Team].

Personel TI dan Keamanan: Mengimplementasikan dan memelihara kontrol keamanan; memantau sistem untuk kejadian keamanan; merespons insiden sesuai buku pedoman yang ditetapkan; memelihara pengetahuan terkini tentang ancaman dan kerentanan.

Semua personel harus menggunakan sistem informasi [ORGANIZATION] hanya untuk tujuan yang diotorisasi dan sesuai dengan semua kebijakan yang berlaku.

Semua personel harus melindungi data [ORGANIZATION] sesuai klasifikasinya dan tidak boleh membagikan, mengirimkan, atau menyimpan data menggunakan metode atau sistem yang tidak diotorisasi.

Semua personel harus menggunakan kredensial individu yang unik dan tidak boleh membagikan, menggunakan ulang, atau mengekspos kredensial otentikasi.

Semua personel harus mengunci stasiun kerja saat ditinggalkan dan mengamankan secara fisik perangkat portabel yang berisi data [ORGANIZATION].

Semua personel harus menyelesaikan semua pelatihan keamanan siber yang ditugaskan dalam [CUSTOMIZE: 30 days] sejak penugasan dan memelihara status pelatihan yang terkini setiap saat.

Semua personel harus melaporkan dugaan phishing, rekayasa sosial, malware, akses tidak sah, atau paparan data ke [CUSTOMIZE: Security Team / IT Help Desk] segera setelah ditemukan.

Semua personel harus bekerja sama dengan investigasi dan audit keamanan sesuai permintaan.

Personel tidak boleh menginstal, menjalankan, atau menyebarkan perangkat lunak, perangkat keras, atau layanan yang tidak diotorisasi pada sistem yang dikelola [ORGANIZATION] tanpa persetujuan terlebih dahulu dari [CUSTOMIZE: IT Security].

Personel tidak boleh menonaktifkan, melewati, atau mengganggu kontrol keamanan, agen pemantauan, atau teknologi pelindung.

Personel tidak boleh mengakses sistem, data, atau fasilitas yang tidak secara eksplisit diotorisasi untuk mereka.

Personel tidak boleh mengeluarkan data [ORGANIZATION] dari sistem dan penyimpanan yang disetujui tanpa otorisasi dari pemilik data.

Personel tidak boleh menghubungkan perangkat pribadi atau tidak diotorisasi ke segmen jaringan internal [ORGANIZATION] tanpa persetujuan dari [CUSTOMIZE: IT Security].

Personel tidak boleh menggunakan sistem [ORGANIZATION] untuk aktivitas ilegal, pelecehan, pengumpulan data tidak sah, atau tujuan apa pun yang melanggar undang-undang yang berlaku atau kebijakan [ORGANIZATION].

Personel tidak boleh merepresentasikan diri mereka kepada pihak eksternal dalam kapasitas keamanan kecuali secara khusus diotorisasi untuk melakukannya.

[ORGANIZATION] menganggap serius kepatuhan terhadap kebijakan risiko siber. Ketidakpatuhan dapat mengakibatkan satu atau lebih tindakan berikut, tergantung pada sifat dan tingkat keparahan pelanggaran:

Peringatan lisan dan pelatihan perbaikan wajib (Pelanggaran minor pertama kali)

Peringatan tertulis yang ditempatkan dalam berkas personel (Pelanggaran minor berulang atau pelanggaran sedang)

Penangguhan atau pembatasan hak akses sistem (Pelanggaran signifikan atau menunggu investigasi)

Pemutusan hubungan kerja atau keterlibatan kontrak (Pelanggaran serius, ketidakpatuhan yang disengaja, atau pelanggaran yang mengakibatkan kerugian material)

Tindakan hukum perdata atau pidana (Pelanggaran yang melibatkan aktivitas ilegal, penipuan, atau pencurian data yang disengaja)

Untuk kontraktor: Penalti kontrak dan/atau pemutusan sebagaimana ditentukan dalam perjanjian layanan

[CUSTOMIZE: HR Department / Legal Team] berkonsultasi dengan [CUSTOMIZE: CISO / Security Team] harus menentukan konsekuensi yang tepat berdasarkan keadaan pelanggaran.

Semua tindakan penegakan harus didokumentasikan dan disimpan sesuai jadwal retensi catatan.

Semua personel harus mengakui kebijakan ini pada saat orientasi awal dan setidaknya [CUSTOMIZE: annually] setelahnya melalui proses pengakuan yang ditentukan.

Catatan pengakuan harus dipelihara oleh [CUSTOMIZE: HR / Security Team] dan tersedia untuk audit sesuai permintaan.

Kontraktor dan personel pihak ketiga harus mengakui kebijakan ini sebagai bagian dari proses orientasi yang dikelola oleh [CUSTOMIZE: Vendor Management / Procurement].

Kegagalan menyelesaikan pengakuan kebijakan dalam [CUSTOMIZE: 14 days] sejak permintaan akan mengakibatkan penangguhan akses sistem sampai pengakuan diperoleh.