Enterprise Information Security Program Policy

Enterprise Information Security Program Policy ( Kebijakan Program )
Kebijakan program digunakan untuk membuat program keamanan komputer sebuah organisasi..Seorang pejabat manajemen, biasanya pimpinan organisasi atau pejabat senior pemerintah, program masalah kebijakan untuk membangun (atau restrukturisasi)'s komputer keamanan organisasi program dan struktur dasar. Hal ini kebijakan tingkat tinggi mendefinisikan tujuan program dan ruang lingkup dalam organisasi; memberikan tanggung jawab (kepada organisasi keamanan komputer) untuk pelaksanaan program langsung, serta tanggung jawab lain untuk dinas terkait (seperti Sumber Informasi [IRM] organisasi Manajemen), dan membahas masalah-masalah kepatuhan. Program menetapkan arah kebijakan strategis organisasi untuk keamanan dan memberikan sumber daya untuk pelaksanaannya.
Komponen Dasar Kebijakan Program
Komponen kebijakan program harus alamat:
Tujuan. Program kebijakan biasanya mencakup pernyataan yang menjelaskan mengapa program ini sedang dibangun. Ini mungkin termasuk mendefinisikan tujuan program. Keamanan yang berhubungan dengan kebutuhan, seperti integritas, ketersediaan, dan kerahasiaan, dapat membentuk dasar dari tujuan organisasi didirikan pada kebijakan. Sebagai contoh, dalam sebuah organisasi yang bertanggung jawab untuk memelihara database mission-critical besar, pengurangan kesalahan, kehilangan data, korupsi data, dan pemulihan mungkin akan secara khusus ditekankan. Dalam sebuah organisasi yang bertanggung jawab untuk menjaga data pribadi rahasia, bagaimanapun, tujuan mungkin menekankan perlindungan yang lebih kuat terhadap pengungkapan yang tidak sah.
Lingkup Program kebijakan harus jelas sebagai mana sumber daya-termasuk fasilitas, perangkat keras, dan perangkat lunak, informasi, dan personil - program keamanan komputer mencakupDalam banyak kasus, program akan mencakup semua sistem dan personel organisasi, tetapi hal ini tidak selalu benar. Dalam beberapa kasus, mungkin tepat untuk komputer keamanan sebuah program yang organisasi untuk menjadi lebih terbatas dalam cakupan.
Tanggung Jawab. Setelah program keamanan komputer didirikan, manajemen biasanya ditugaskan untuk baik yang dibuat atau yang sudah ada kantor yang baru.kebijakan menetapkan program keamanan dan memberikan manajemen program dan tanggung jawab yang mendukung
Tanggung jawab pejabat dan kantor di seluruh organisasi juga perlu ditangani, termasuk manajer, pemilik aplikasi, pengguna, dan pengolahan data atau organisasi IRM. Bagian ini pernyataan kebijakan, misalnya, akan membedakan antara tanggung jawab penyedia jasa komputer dan orang-orang dari para manajer aplikasi yang menggunakan layanan yang disediakan. Kebijakan ini juga dapat mendirikan kantor-kantor keamanan operasional untuk sistem utama, terutama mereka yang beresiko tinggi atau paling kritis pada operasi organisasi. Hal ini juga dapat berfungsi sebagai dasar untuk menetapkan akuntabilitas karyawan.
Elemen Kebijakan Program
Pada tingkat program, tanggung jawab harus secara spesifik ditugaskan untuk elemen-elemen organisasi dan pejabat bertanggung jawab terhadap pelaksanaan dan kesinambungan kebijakan keamanan computer. Kepatuhan Program kebijakan biasanya akan membahas dua isu kepatuhan:

1. kepatuhan Umum untuk memastikan memenuhi persyaratan untuk membentuk program dan tanggung jawab yang ditugaskan di dalamnya untuk komponen berbagai organisasi. Seringkali kantor pengawasan (misalnya, Inspektur Jenderal) diberikan tanggung jawab untuk pemantauan kepatuhan, termasuk seberapa baik organisasi menerapkan's prioritas manajemen untuk program tersebut.
2. Penggunaan hukuman yang ditetapkan dan tindakan disipliner. Karena kebijakan keamanan adalah dokumen tingkat tinggi, denda khusus untuk berbagai pelanggaran biasanya tidak rinci di sini, melainkan kebijakan dapat memberikan wewenang pembentukan struktur kepatuhan yang termasuk pelanggaran dan tindakan disiplin tertentu (s).

Mereka kebijakan kepatuhan berkembang harus ingat bahwa pelanggaran kebijakan bisa tidak disengaja pada bagian dari karyawan Sebagai contoh, nonconformance sering bisa karena kurangnya pengetahuan atau pelatihan.
http://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/chapter5-printable.html