INDIKATOR 22
Tingkat Kematangan Penerapan Manajemen Keamanan Informasi.
- Manajemen Keamanan Informasi dilakukan melalui serangkaian proses yang meliputi penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan terhadap Keamanan Informasi dalam SPBE.
- Manajemen Keamanan Informasi bertujuan untuk menjamin keberlangsungan SPBE dengan meminimalkan dampak risiko Keamanan Informasi.
- Penerapan Keamanan Informasi berlandaskan penjaminan kerahasiaan, keutuhan, ketersediaan, keaslian, dan kenirsangkalan (non-repudiation) sumber daya terkait data dan informasi, Infrastruktur SPBE, dan aplikasi.
Penilaian dilakukan terhadap bukti dukung penerapan manajemen Keamanan Informasi Instansi Pusat/Pemerintah Daerah yang memenuhi kriteria ruang lingkup, serta terdokumentasi secara formal.
Bukti dukung tingkat kematangan dilampirkan berupa dokumentasi penerapan/pemenuhan sesuai huruf a. Data Pendukung dapat disampaikan lebih dari 1 (satu) jenis dokumen.
Pengendalian Keamanan Informasi belum atau telah tersedia dalam tahap pembangunan.
Instansi Pusat/Pemerintah Daerah belum atau sedang membangun pengendalian Keamanan Informasi.
Draf/rancangan penerapan Keamanan Informasi, notulensi/catatan penyusunan rancangan penerapan Keamanan Informasi, bukti undangan rapat penyusunan rancangan penerapan Keamanan Informasi, dan/atau dokumentasi aktivitas-aktivitas penyusunan Keamanan Informasi.
Pengendalian Keamanan Informasi telah tersedia.
Kondisi: Pengendalian Keamanan Informasi telah dilaksanakan
pada sebagian unit kerja/perangkat daerah di Instansi
Pusat/Pemerintah Daerah.
Instansi Pusat/Pemerintah Daerah sudah terdapat pengendalian Keamanan Informasi yang dilaksanakan oleh sebagian unit kerja/perangkat daerah.
Konteks pengendalian Keamanan Informasi yang selaras dengan arah dan perencanaan programnya dan terdokumentasi secara formal, namun pelaksanaannya hanya dilakukan oleh sebagian unit kerja/perangkat daerah.
Kriteria tingkat 2 telah terpenuhi dan pengendalian Keamanan Informasi telah dilaksanakan pada semua unit kerja/perangkat daerah di Instansi Pusat/Pemerintah Daerah.
Instansi Pusat/Pemerintah Daerah sudah terdapat pengendalian keamanan informasi yang dilaksanakan pada seluruh unit kerja/perangkat daerah.
Konteks pengendalian Keamanan Informasi yang selaras dengan arah dan perencanaan programnya dan terdokumentasi secara formal, dan pelaksanaannya sudah dilakukan oleh seluruh unit kerja/perangkat daerah.
Kriteria tingkat 3 telah terpenuhi dan pengendalian Keamanan Informasi dilakukan melalui strategi Keamanan Informasi yang ditetapkan oleh Tim Koordinasi SPBE Instansi Pusat/Pemerintah Daerah dengan berdasarkan Risiko SPBE. Selain itu, pengendalian Keamanan Informasi telah dilakukan reviu dan evaluasi secara periodik.
Instansi Pusat/Pemerintah Daerah telah menyusun strategi Keamanan Informasi yang ditetapkan oleh Tim Koordinasi SPBE berdasarkan risiko SPBE, serta telah dilakukan reviu dan evaluasi secara berkala.
- Konteks pengendalian Keamanan Informasi yang menguraikan seluruh pemenuhannya sesuai dengan pedoman/standar Keamanan Informasi yang telah ditentukan/ditetapkan dan terdokumentasi secara formal.
- Terdapat dokumentasi formal arah kebijakan strategis Keamanan Informasi yang ditetapkan oleh Tim Koordinasi SPBE kepada seluruh unit kerja/perangkat daerah.
- Terdapat dokumen reviu dan evaluasi penerapan Keamanan Informasi, bukti undangan rapat reviu dan evaluasi penerapan Keamanan Informasi, dan/atau dokumentasi aktivitas-aktivitas reviu dan evaluasi penerapan Keamanan Informasi.
Kriteria tingkat 4 telah terpenuhi serta hasil reviu dan evaluasi pengendalian Keamanan Informasi ditindaklanjuti melalui perbaikan penerapan proses pengendalian Keamanan Informasi.
Instansi Pusat/Pemerintah Daerah melakukan perbaikan penerapan proses pengendalian Keamanan Informasi sebagai tindak lanjut atas hasil reviu dan evaluasi secara berkesinambungan.
- Terdapat notulensi/catatan/laporan hasil reviu/evaluasi dan rekomendasi tindak lanjut penerapan Keamanan Informasi, bukti undangan rapat pembahasan penyempurnaan penerapan Keamanan Informasi, dan/atau dokumentasi aktivitas-aktivitas analisis komparasi atau penyempurnaan penerapan Keamanan Informasi;
- Dokumentasi penerapan Keamanan Informasi yang sebelumnya dan yang berisi penyempurnaan penerapan Keamanan Informasi.