Sebuah sistem manajemen keamanan informasi (SMKI) adalah seperangkat kebijakan berkaitan dengan keamanan informasi manajemen atau TI resiko terkait.
Prinsip yang mengatur di belakang SMKI adalah bahwa organisasi harus merancang, menerapkan dan memelihara seperangkat kebijakan, proses dan sistem untuk mengelola risiko aset informasi perusahaan, sehingga menjamin tingkat risiko yang dapat diterima informasi keamanan.
SMKI yang paling terkenal adalah yang diuraikan dalam ISO / IEC 27001 dan ISO / IEC 27002 dan standar terkait yang diterbitkan bersama oleh ISO dan IEC .
ISMS lain bersaing adalah Keamanan Informasi Forum 's Standar Praktek yang Baik (SOGP). Hal ini lebih baik praktik berbasis datang dari industri pengalaman's ISF. Kerangka lain seperti COBIT dan ITIL menyentuh isu-isu keamanan, namun terutama diarahkan untuk menciptakan kerangka tata kelola untuk informasi dan IT secara umum.
Organisasi besar atau organisasi seperti bank dan lembaga keuangan, operator telekomunikasi, rumah sakit dan lembaga kesehatan dan badan publik atau pemerintah memiliki banyak alasan untuk mengatasi keamanan informasi dengan sangat serius. Hukum dan peraturan persyaratan yang bertujuan untuk melindungi atau personal data sensitif serta persyaratan umum keamanan umum mendorong mereka untuk mencurahkan perhatian sepenuhnya dan prioritas risiko keamanan informasi.
Dalam keadaan ini pengembangan dan pelaksanaan proses manajemen yang independen dan terpisah yakni suatu Sistem Manajemen Keamanan Informasi adalah satu-satunya alternatif. Pengembangan suatu kerangka SMKI mencakup langkah-langkah berikut:
1. Definisi Kebijakan Keamanan,
2. Definisi Ruang Lingkup SMKI,
3. Penilaian Risiko (sebagai bagian dari Manajemen Risiko),
4. Manajemen Risiko,
5. Pemilihan yang tepat dan Kontrol
6. Pernyataan Berlakunya.
Agar SMKI efektif diperlukan:
# Mendapatkan dukungan terus menerus, teguh dan terlihat dan komitmen manajemen puncak organisasi;
# Dikelola terpusat, berdasarkan strategi umum dan kebijakan di seluruh organisasi;
# Menjadi bagian tak terpisahkan dari keseluruhan manajemen organisasi yang berkaitan dengan dan merefleksikan pendekatan organisasi untuk Manajemen Risiko, tujuan kontrol dan kontrol dan tingkat keyakinan yang diperlukan;
# Memiliki tujuan keamanan dan kegiatan didasarkan pada tujuan bisnis dan persyaratan dan dipimpin oleh manajemen bisnis;
# Hanya melakukan tugas-tugas yang diperlukan dan menghindari over-DNS dan pemborosan sumber daya yang berharga;
# Sepenuhnya sesuai dengan filosofi organisasi dan pola pikir dengan menyediakan sistem yang bukan mencegah orang dari melakukan apa yang mereka digunakan untuk melakukannya, itu akan memungkinkan mereka untuk melakukannya di kontrol dan menunjukkan akuntabilitas mereka terpenuhi;
# Didasarkan pada pelatihan yang berkesinambungan dan kesadaran staf dan menghindari penggunaan tindakan disiplin dan "polisi" atau "militer" praktek;
# Menjadi proses yang tidak pernah berakhir.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar