Enterprise Information Security Program Policy ( Kebijakan Program )
Kebijakan program digunakan untuk membuat program keamanan komputer sebuah organisasi..Seorang pejabat manajemen, biasanya pimpinan organisasi atau pejabat senior pemerintah, program masalah kebijakan untuk membangun (atau restrukturisasi)'s komputer keamanan organisasi program dan struktur dasar. Hal ini kebijakan tingkat tinggi mendefinisikan tujuan program dan ruang lingkup dalam organisasi; memberikan tanggung jawab (kepada organisasi keamanan komputer) untuk pelaksanaan program langsung, serta tanggung jawab lain untuk dinas terkait (seperti Sumber Informasi [IRM] organisasi Manajemen), dan membahas masalah-masalah kepatuhan. Program menetapkan arah kebijakan strategis organisasi untuk keamanan dan memberikan sumber daya untuk pelaksanaannya.
Komponen Dasar Kebijakan Program
Komponen kebijakan program harus alamat:
Tujuan. Program kebijakan biasanya mencakup pernyataan yang menjelaskan mengapa program ini sedang dibangun. Ini mungkin termasuk mendefinisikan tujuan program. Keamanan yang berhubungan dengan kebutuhan, seperti integritas, ketersediaan, dan kerahasiaan, dapat membentuk dasar dari tujuan organisasi didirikan pada kebijakan. Sebagai contoh, dalam sebuah organisasi yang bertanggung jawab untuk memelihara database mission-critical besar, pengurangan kesalahan, kehilangan data, korupsi data, dan pemulihan mungkin akan secara khusus ditekankan. Dalam sebuah organisasi yang bertanggung jawab untuk menjaga data pribadi rahasia, bagaimanapun, tujuan mungkin menekankan perlindungan yang lebih kuat terhadap pengungkapan yang tidak sah.
Lingkup Program kebijakan harus jelas sebagai mana sumber daya-termasuk fasilitas, perangkat keras, dan perangkat lunak, informasi, dan personil - program keamanan komputer mencakupDalam banyak kasus, program akan mencakup semua sistem dan personel organisasi, tetapi hal ini tidak selalu benar. Dalam beberapa kasus, mungkin tepat untuk komputer keamanan sebuah program yang organisasi untuk menjadi lebih terbatas dalam cakupan.
Tanggung Jawab. Setelah program keamanan komputer didirikan, manajemen biasanya ditugaskan untuk baik yang dibuat atau yang sudah ada kantor yang baru.kebijakan menetapkan program keamanan dan memberikan manajemen program dan tanggung jawab yang mendukung
Tanggung jawab pejabat dan kantor di seluruh organisasi juga perlu ditangani, termasuk manajer, pemilik aplikasi, pengguna, dan pengolahan data atau organisasi IRM. Bagian ini pernyataan kebijakan, misalnya, akan membedakan antara tanggung jawab penyedia jasa komputer dan orang-orang dari para manajer aplikasi yang menggunakan layanan yang disediakan. Kebijakan ini juga dapat mendirikan kantor-kantor keamanan operasional untuk sistem utama, terutama mereka yang beresiko tinggi atau paling kritis pada operasi organisasi. Hal ini juga dapat berfungsi sebagai dasar untuk menetapkan akuntabilitas karyawan.
Elemen Kebijakan Program
Pada tingkat program, tanggung jawab harus secara spesifik ditugaskan untuk elemen-elemen organisasi dan pejabat bertanggung jawab terhadap pelaksanaan dan kesinambungan kebijakan keamanan computer. Kepatuhan Program kebijakan biasanya akan membahas dua isu kepatuhan:
1. kepatuhan Umum untuk memastikan memenuhi persyaratan untuk membentuk program dan tanggung jawab yang ditugaskan di dalamnya untuk komponen berbagai organisasi. Seringkali kantor pengawasan (misalnya, Inspektur Jenderal) diberikan tanggung jawab untuk pemantauan kepatuhan, termasuk seberapa baik organisasi menerapkan's prioritas manajemen untuk program tersebut.
2. Penggunaan hukuman yang ditetapkan dan tindakan disipliner. Karena kebijakan keamanan adalah dokumen tingkat tinggi, denda khusus untuk berbagai pelanggaran biasanya tidak rinci di sini, melainkan kebijakan dapat memberikan wewenang pembentukan struktur kepatuhan yang termasuk pelanggaran dan tindakan disiplin tertentu (s).
Mereka kebijakan kepatuhan berkembang harus ingat bahwa pelanggaran kebijakan bisa tidak disengaja pada bagian dari karyawan Sebagai contoh, nonconformance sering bisa karena kurangnya pengetahuan atau pelatihan.
http://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/chapter5-printable.html
Senin, 22 November 2010
Cybersecurity, Data Mining, Data and Informatics
Data Mining
Data Mining adalah suatu praktek pengumpulan resep resep tingkat informasi data,yang menggabungkan dan menjual informasi tersebut untuk farmasi memproduksi dan lain-lain untuk pemasaran atau penelitian. Kebijakan ini dimaksudkan untuk mengkomunikasikan bagaimana kita mengumpulkan dan menggunakan informasi tentang Anda, bagaimana kita melindunginya, dan bagaimana Anda dapat berpartisipasi dalam perlindungan nya.ENISA (European Network and Information Security Agency) memberikan pesan atau amanah untuk mengikutsertakan negara negara anggota dan para pemangku kepentingan swasta untuk bergabung secara aktif di seluruh Eropa,seperti gelar latihan – latihan cybersecurity,kemitraan dengan sector swasta untuk membangun ketahanan jaringan, analisa – analisa ekonomi dan asesmen resiko kampanye kewaspadaan.
cyber security
Inisiatif Nasional untuk cybersecurity pendidikan (NICE) didirikan untuk membantu menghadapi tantangan pada kepala dengan strategi untuk membangun sebuah bangsa cerdas cyber melalui pelatihan, kesadaran melalui program pendidikan pasca sarjana, dan pengembangan profesional bagi para profesional keamanan federal.29 Mei 2010 menandai bahwa 1 tahun sejak administrasi mengumumkan pembentukan NICE. Co-memimpin upaya adalah Departemen Keamanan Dalam Negeri (DHS), Departemen Pendidikan (DOE), Kantor Kebijakan Sains dan Teknologi (OSTP), Kantor Management Personalia (OPM), Departemen Pertahanan (DOD), dan Kantor Directur Inteligent Nasional (ODNI). Lembaga nasional standar dan teknologi (NIST) sudah bekerja untuk membangun konsensus untuk internasional dalam berbagai domain ilmu pengetahuan dan teknologi, telah dieri peran koordinasi di inisiatif. NIST mendukung misi dunia maya Administrasi, bersama dengan agenda yang lebih besar untuk pendidikan dan inovasi melalui koordinasi, kerjasama, fokus, keterlibatan publik, transfer teknologi, dan keberlanjutan NICE. Sementara masing-masing co-lead memiliki akuntabilitas yang spesifik dalam inisiatif, implementasi inisiatif akan sangat banyak upaya kolaborasi antara federal, negara bagian dan pemerintah daerah, industri, akademisi, organisasi non-pemerintah dan masyarakat umum. NIST akan membantu untuk memfasilitasi kolaborasi itu..
Nice akan mendirikan suatu program pendidikan cybersecurity operasional,yang berkelanjutan dan terus meningkatkan untuk segmen beberapa bangsa pada aplikasi yang benar praktik cyber suara.
Sumber : http://www.nist.gov/itl/csd/nice.cfm
Sunber :http://csrc.nist.gov/nice/document/cyber-education-wrkshp_aug2010/register-now.pdf
Komponen Kebijakan Keamanan Program informasi Pada Perusahaan (enterprise information security program)
Keamanan bisa di capai dengan beberapa strategi yang bisa dilakukan secara simultan , strategi keamanan informasi memiliki fokus dan mempunyai kefokusannya masing-masing , seperti contoh sebagai berikut :* physical Security : memfokuskan strategi anggotanya , aset fisik dan tempaat kerja dari berbagai ancaman bencana seperti kebakaran ,dan bencana alam yang lainnya .
* personal security : memfokuskan melindungi orang-orang yang di dalam anggotanya.
* Operation security : memfokuskan strategi untuk mengamankan kemampuan anggotanya untuk bekerja tanpa gangguan .
* comunication security : memfokuskan untuk mengamankan media komunikasi dan isinya ,dan memanfaatkan kemampuan untuk memanfaatkan alat ini untuk tujuan anggotanya/ organisasi .
* Network Security : memfokuskan pada pengamanan peralatan jaringan , data serta isi pada anggota dan organisasinya .
sumber : http://journal.uii.ac.id/index.php/Snati/article/viewFile/1650/1427
Langganan:
Postingan (Atom)