INDIKATOR 8
Tingkat Kematangan Kebijakan Internal Manajemen Keamanan Informasi.
- Manajemen Keamanan Informasi dilakukan melalui serangkaian proses yang meliputi penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan terhadap keamanan informasi dalam SPBE.
- Manajemen Keamanan Informasi bertujuan untuk menjamin keberlangsungan SPBE dengan meminimalkan dampak risiko keamanan informasi.
- Kebijakan internal dalam hal ini mengatur terkait penerapan Manajemen Keamanan Informasi pada Instansi Pusat/Pemerintah Daerah.
Penilaian dilakukan terhadap pengaturan/norma yang memenuhi kriteria muatan Manajemen Keamanan Informasi dan ruang lingkup pemanfaatan kebijakannya, serta memenuhi kekuatan hukum yang mengikat secara internal.
Bukti dukung tingkat kematangan dilampirkan berupa muatan pengaturan/norma yang tercantum dalam dokumen kebijakan sesuai huruf c. Dokumen kebijakan dalam hal ini antara lain: Peraturan Menteri/Badan/ Lembaga/Daerah/Gubernur/Bupati/Walikota atau Keputusan Pimpinan Instansi Pusat/Pemerintah Daerah yang sudah ditetapkan sesuai ketentuan perundang- undangan. Data Pendukung dapat disampaikan lebih dari 1 (satu) jenis dokumen.
Konsep kebijakan internal terkait Manajemen Keamanan Informasi telah tersedia.
Instansi Pusat/Pemerintah Daerah belum atau telah memiliki konsep kebijakan mengenai Manajemen Keamanan Informasi.
Draf kebijakan berupa rancangan Peraturan atau rancangan Keputusan atau Surat Edaran/dokumen yang berisi pengaturan/norma mengenai penerapan Manajemen Keamanan Informasi; Notulensi/ catatan/laporan hasil penyusunan kebijakan internal penerapan Manajemen Keamanan Informasi; bukti undangan rapat penyusunan kebijakan internal penerapan Manajemen Keamanan Informasi; dan/atau dokumentasi aktivitas-aktivitas penyusunan kebijakan internal penerapan Manajemen Keamanan Informasi.
Kebijakan internal terkait Manajemen Keamanan Informasi
telah ditetapkan.
Kondisi: Kebijakan internal terkait Manajemen Keamanan
Informasi belum mengatur secara lengkap mengenai cakupan
Manajemen Keamanan Informasi (penetapan ruang lingkup,
penetapan penanggung jawab, perencanaan, dukungan
pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan
terhadap Keamanan Informasi).
Instansi Pusat/Pemerintah Daerah telah menetapkan kebijakan mengenai Manajemen Keamanan Informasi namun belum mengatur secara lengkap cakupan Manajemen Keamanan Informasi (penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan terhadap Keamanan Informasi).
Konteks pengaturan/norma penerapan Manajemen Keamanan Informasi, dimana terdapat sebagian cakupan Manajemen Keamanan Informasi yang tertuang dalam dokumen kebijakan Instansi Pusat/Pemerintah Daerah;
Kriteria tingkat 2 telah terpenuhi dan kebijakan internal terkait Manajemen Keamanan Informasi mengatur seluruh cakupan Manajemen Keamanan Informasi secara lengkap (penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan terhadap Keamanan Informasi).
Kebijakan mengenai Manajemen Keamanan Informasi telah mengatur cakupan Manajemen Keamanan Informasi secara lengkap.
Konteks pengaturan/norma penerapan Manajemen Keamanan Informasi berisi cakupan (penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan terhadap Keamanan Informasi) diuraikan secara lengkap yang tertuang dalam dokumen kebijakan Instansi Pusat/Pemerintah Daerah;
Kriteria tingkat 3 telah terpenuhi dan kebijakan internal terkait Manajemen Keamanan Informasi telah mengatur penerapan untuk seluruh unit kerja/perangkat daerah di Instansi Pusat/Pemerintah Daerah. Selain itu, kebijakan internal terkait Manajemen Keamanan Informasi telah direviu dan dievaluasi secara periodik.
Kebijakan telah mengatur penerapan Manajemen Keamanan Informasi untuk seluruh unit kerja/perangkat daerah di Instansi Pusat/Pemerintah Daerah dan kebijakan telah direviu dan dievaluasi secara periodik.
- Konteks pengaturan/norma penerapan Manajemen Keamanan Informasi bagi seluruh unit kerja/perangkat daerah di Instansi Pusat/Pemerintah Daerah yang tertuang dalam dokumen kebijakan Instansi Pusat/Pemerintah Daerah; dan
- Terdapat notulensi/catatan/laporan hasil evaluasi kebijakan internal penerapan Manajemen Keamanan Informasi, bukti undangan rapat evaluasi kebijakan internal penerapan Manajemen Keamanan Informasi, dan/atau dokumentasi aktivitas-aktivitas evaluasi kebijakan internal penerapan Manajemen Keamanan Informasi.
Kriteria tingkat 4 telah terpenuhi serta hasil reviu dan evaluasi kebijakan internal terkait Manajemen Keamanan Informasi telah ditindaklanjuti dengan kebijakan baru.
Instansi Pusat/Pemerintah Daerah telah menindaklanjuti hasil reviu dan evaluasi kebijakan penerapan Manajemen Keamanan Informasi dengan menetapkan kebijakan baru agar sesuai dengan kebutuhan Instansi Pusat/Pemerintah Daerah ataupun perubahan lingkungan dan teknologi.
- Terdapat notulensi/catatan/laporan hasil reviu/evaluasi dan rekomendasi tindak lanjut kebijakan internal penerapan Manajemen Keamanan Informasi, yang dapat dilengkapi dengan bukti undangan rapat pembahasan penyempurnaan kebijakan internal penerapan Manajemen Keamanan Informasi, dan/atau dokumentasi aktivitas-aktivitas penyempurnaan kebijakan internal penerapan Manajemen Keamanan Informasi;
- Dokumen kebijakan Instansi Pusat/Pemerintah Daerah yang berlaku sebelumnya; dan
- Dokumen kebijakan Instansi Pusat/Pemerintah Daerah yang memuat pengaturan/norma penerapan Manajemen Keamanan Informasi yang telah disempurnakan dan telah ditetapkan.