IG1 IG2 IG3

Latih Tenaga Kerja tentang Praktik Terbaik Penanganan Data

Kelompok Kontrol: 14. Pelatihan Kesadaran dan Keterampilan Keamanan

Jenis Aset: T/A

Fungsi Keamanan: Lindungi

Deskripsi

Latih anggota tenaga kerja tentang cara mengidentifikasi dan menyimpan, mentransfer, mengarsipkan, dan menghancurkan data sensitif dengan benar. Ini juga termasuk melatih anggota tenaga kerja tentang praktik terbaik layar bersih dan meja bersih, seperti mengunci layar mereka saat meninggalkan aset perusahaan, menghapus papan tulis fisik dan virtual di akhir rapat, dan menyimpan data dan aset secara aman.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

Platform pelatihan kesadaran keamanan dengan simulasi phishing, modul pelatihan interaktif, dan pelaporan kepatuhan

KnowBe4 · Langganan per pengguna

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

Platform kesadaran keamanan adaptif dan perubahan perilaku dengan pelatihan tertarget berdasarkan data ancaman nyata

Proofpoint · Langganan per pengguna

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

Platform simulasi phishing dan kesadaran keamanan dengan intelijen ancaman real-time dan respons insiden

Cofense · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Data Sensitif Ditinggalkan di Shared Drive Tanpa Kontrol Akses

Confidentiality

Karyawan menyimpan data pelanggan yang sangat sensitif di berbagi jaringan terbuka yang dapat diakses semua staf karena mereka tidak pernah dilatih tentang penanganan data yang tepat dan persyaratan klasifikasi penyimpanan.

Pembuangan Dokumen Fisik yang Tidak Benar yang Berisi PII

Confidentiality

Karyawan membuang dokumen cetak yang berisi informasi identitas pribadi di tempat sampah biasa alih-alih menghancurkannya karena pelatihan penanganan data tidak pernah diberikan.

Data Sensitif Terlihat di Layar yang Tidak Dijaga

Confidentiality

Karyawan meninggalkan workstation mereka tidak terkunci menampilkan data keuangan sensitif saat jauh dari meja, mengekspos informasi kepada orang yang lewat karena praktik layar bersih tidak pernah diajarkan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tenaga Kerja Tidak Menyadari Prosedur Klasifikasi dan Penanganan Data

Tanpa pelatihan penanganan data, karyawan tidak memahami cara mengklasifikasikan data berdasarkan sensitivitas atau mengikuti prosedur yang tepat untuk menyimpan, mentransfer, mengarsipkan, dan menghancurkan informasi sensitif.

Tidak Ada Praktik Meja Bersih dan Layar Bersih

Ketiadaan pelatihan tentang praktik keamanan ruang kerja menyebabkan data sensitif dibiarkan terlihat di layar, meja, dan papan tulis di mana individu yang tidak berwenang dapat melihatnya.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Kesadaran dan Pelatihan Keamanan

Control 14

Pengamanan Terkait di Kontrol 14

14.1 Tetapkan dan Pelihara Program Kesadaran Keamanan

14.2 Latih Anggota Tenaga Kerja untuk Mengenali Serangan Rekayasa Sosial

14.3 Latih Anggota Tenaga Kerja tentang Praktik Terbaik Autentikasi

14.5 Latih Anggota Tenaga Kerja tentang Penyebab Paparan Data yang Tidak Disengaja

14.6 Latih Anggota Tenaga Kerja tentang Mengenali dan Melaporkan Insiden Keamanan

14.7 Latih Tenaga Kerja tentang Cara Mengidentifikasi dan Melaporkan Jika Aset Perusahaan Mereka Kehilangan Pembaruan Keamanan

14.8 Latih Tenaga Kerja tentang Bahaya Menghubungkan dan Mengirimkan Data Perusahaan melalui Jaringan yang Tidak Aman

14.9 Lakukan dan Pelihara Pelatihan Kesadaran Keamanan Khusus Peran