Kebijakan Kesadaran dan Pelatihan Keamanan
1. Tujuan
Menetapkan persyaratan untuk pendidikan kesadaran keamanan dan pelatihan keterampilan guna mengurangi risiko keamanan siber dari perilaku manusia di [ORGANIZATION].
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh karyawan, kontraktor, dan personel pihak ketiga yang mengakses sistem informasi [ORGANIZATION] atau menangani data [ORGANIZATION].
3. Kebijakan
3.1 Program Kesadaran Keamanan
[ORGANIZATION] harus memelihara program kesadaran keamanan yang ditinjau dan diperbarui setidaknya [CUSTOMIZE: tahunan].
Seluruh karyawan dan kontraktor baru harus menyelesaikan pelatihan kesadaran keamanan dalam waktu [CUSTOMIZE: 30] hari sejak tanggal mulai, sebelum menerima akses ke sistem informasi.
Seluruh personel harus menyelesaikan pelatihan penyegaran kesadaran keamanan tahunan. Penyelesaian pelatihan harus dilacak dan dilaporkan kepada [CUSTOMIZE: manajemen/SDM].
Konten kesadaran keamanan harus mencakup minimal: pengenalan phishing dan rekayasa sosial, keamanan kata sandi dan penggunaan MFA, persyaratan penanganan dan klasifikasi data, prosedur pelaporan insiden, persyaratan kebijakan penggunaan yang dapat diterima, kesadaran keamanan fisik, dan praktik keamanan kerja jarak jauh.
3.2 Simulasi Phishing
Kampanye simulasi phishing harus dilakukan setidaknya [CUSTOMIZE: triwulanan/bulanan] untuk menguji dan memperkuat kesadaran pengguna.
Pengguna yang gagal dalam simulasi phishing harus menerima pelatihan tambahan yang ditargetkan dalam waktu [CUSTOMIZE: 5/10] hari kerja.
Pengguna yang berulang kali gagal dalam simulasi phishing ([CUSTOMIZE: 3+] kegagalan dalam periode [CUSTOMIZE: 12 bulan]) harus dirujuk ke manajer mereka untuk konseling dan pelatihan tambahan.
Hasil simulasi phishing harus dilacak dan dilaporkan kepada [CUSTOMIZE: CISO/kepemimpinan eksekutif] setidaknya setiap triwulan.
3.3 Pelatihan Berbasis Peran
Personel dalam peran dengan tanggung jawab keamanan yang ditinggikan harus menerima pelatihan tambahan khusus peran:
Administrator TI: Administrasi sistem yang aman, prosedur respons insiden, manajemen konfigurasi yang aman.
Pengembang: Praktik pengkodean aman, OWASP Top 10, keamanan tinjauan kode, SDLC yang aman.
Eksekutif: Ancaman yang ditargetkan pada eksekutif, kompromi email bisnis, pengambilan keputusan respons insiden.
Tim keamanan: Deteksi ancaman lanjutan, forensik, perburuan ancaman, penanganan insiden.
Pelatihan berbasis peran harus diselesaikan dalam waktu [CUSTOMIZE: 60/90] hari setelah memangku peran dan disegarkan setidaknya setiap tahun.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen