Security Police adalah sebuah pengamanan untuk suatu sistem, organisasi atau entitas lain. Dalam organisasi dapat dicontohkan seperti kendala perilaku anggotanya, maupun musuh melalui pintu, kunci atau akses dari manapun. Lalu dalam sebuah sistem misalkan kendala pada fungsi sistem, kendala pengaksesan dari sistem eksternal, akses data untuk semua orang, dll.
Adapun fungsi security policy untuk sebuah perusahaan atau organisasi seperti:
- Untuk melindungi suatu perusahaan secara keseluruhan, baik SDM, informasi maupun sistemnya.
- Memberikan panduan tentang apa yang harus dilakukan untuk melindungi informasi yang disimpan pada komputer atau sistem
- Sebagai perlindungan dari orang-orang yang mecoba melakukan tindakan yang merugikan perusahaan
Jenis - Jenis Kebijakan
- Kebijakan Program: Kebijakan tingkat tinggi ini menentukan nada keseluruhan dari pendekatan keamanan organisasi. Biasanya singkat, cukup lama untuk menentukan arah. Biasanya, pedoman diberikan dengan kebijakan ini untuk memberlakukan jenis kebijakan lainnya dan menentukan siapa yang bertanggung jawab. Kebijakan ini dapat memberikan arahan untuk kepatuhan dengan standar industri dari organisasi seperti ISO (Organisasi Internasional untuk Standarisasi), Institut Standar Inggris (BSI), IEEE (Institut Insinyur Listrik dan Elektronik), dan Institut Nasional Standar dan Teknologi (NIST ), serta dengan hukum dan peraturan pemerintah yang berlaku.
- Kebijakan Khusus Masalah: Kebijakan ini dimaksudkan untuk memenuhi kebutuhan spesifik dalam suatu organisasi, seperti prosedur kata sandi dan pedoman penggunaan Internet. Ini tidak seluas kategori kebijakan sebagai kebijakan program; namun, ini lebih luas daripada kebijakan khusus sistem. Kebijakan khusus masalah khusus juga dapat mencakup kebijakan anti-virus dan cadangan. Kami membahas ini secara rinci di bagian "Kebijakan Keamanan Khusus Masalah" yang ditemukan kemudian dalam bab ini.
- Kebijakan Khusus Sistem: Untuk organisasi tertentu, beberapa sistem dapat melakukan fungsi yang berbeda, dan penggunaan satu kebijakan yang mengatur semuanya mungkin tidak tepat. Mungkin perlu untuk mengembangkan kebijakan yang diarahkan ke setiap sistem secara individual - kebijakan khusus sistem.
8 Elemen pada security policy
- Purpose
- Merupakan tujuan didirikanya atau dibuatnya kebijakan-kebijakan pada perusahaan tersebut.
- Related documents or references
Merupakan referensi kebijakan atau petunjuk pelaksanaan dalam membuat policy security. - Cancellation or expiration
Merupakan pembaruan kebijakan yang dapat menggantikan kebijakan yang lama, termasuk didalamnya masa berlaku dari kebijakan tersebut - Background
Merupakan bagian yang menyediakan informasi latar belakang/sejarah kebutuhan kebijakan yang relevan, bagian ini merupakan bagian opsional. - Scope
Merupakan bagian yang mengidentifikasikan sejauh apa kebijakan tersebut berlaku (kepada siapa saja atau apa saja). - Policy Statement
Merupakan petunjuk yang harus dilakukan yang dirancang untuk mempengaruhi dan menentukan keputusan. - Responsibility
Merupakan bagian untuk mengatur dokumen kebijakan keamanan yang bertanggungjawab dalam hal ini yang akan dibahas termasuk SDM, orang-orang departemen hukum. sistem administrator dan petugas keamanan informasi. metode atau teknis kepatuhan juga masuk kedalam bagian ini termasuk mengidentifikasi pihak yang bertanggung jawab untuk audit. - Action
Merupakan bagian untuk menentukan tindakan apa yang akan dilakukan ketika terdapat kebijakan yang perlu ditambahkan.
Kebijakan di Berbagai Level
Suatu kebijakan dapat ada pada tingkat yang berbeda dalam suatu organisasi. Kecuali Anda berada di puncak hierarki organisasi, ada kemungkinan bahwa ada bagian dari organisasi di atas level Anda yang mengeluarkan kebijakan yang diharapkan akan Anda terapkan. Hirarki umum untuk kebijakan dalam suatu organisasi terlihat seperti ini:
• Kebijakan Seluruh Perusahaan atau Perusahaan: Terdiri dari dokumen dari tingkat tertinggi (mungkin nasional atau di seluruh dunia) dalam organisasi yang menyediakan
arahan umum untuk diterapkan pada tingkat yang lebih rendah di perusahaan.
• Kebijakan Divisi: Terdiri dari, biasanya, amplifikasi kebijakan di seluruh perusahaan serta panduan implementasi. Tingkat ini mungkin berlaku untuk wilayah tertentu dari organisasi nasional atau multi-nasional.
• Kebijakan Lokal: Berisi informasi spesifik untuk organisasi lokal atau elemen perusahaan.
• Kebijakan spesifik-isu: Berisi informasi terkait isu-isu spesifik; misalnya, kebijakan firewall atau anti-virus.
• Prosedur Keamanan dan Daftar Periksa: Terdiri dari Prosedur Operasional Standar (SOP) setempat; selaras dengan dan mungkin berasal dari kebijakan keamanan.
• Kebijakan Seluruh Perusahaan atau Perusahaan: Terdiri dari dokumen dari tingkat tertinggi (mungkin nasional atau di seluruh dunia) dalam organisasi yang menyediakan
arahan umum untuk diterapkan pada tingkat yang lebih rendah di perusahaan.
• Kebijakan Divisi: Terdiri dari, biasanya, amplifikasi kebijakan di seluruh perusahaan serta panduan implementasi. Tingkat ini mungkin berlaku untuk wilayah tertentu dari organisasi nasional atau multi-nasional.
• Kebijakan Lokal: Berisi informasi spesifik untuk organisasi lokal atau elemen perusahaan.
• Kebijakan spesifik-isu: Berisi informasi terkait isu-isu spesifik; misalnya, kebijakan firewall atau anti-virus.
• Prosedur Keamanan dan Daftar Periksa: Terdiri dari Prosedur Operasional Standar (SOP) setempat; selaras dengan dan mungkin berasal dari kebijakan keamanan.
3 Kategori Umum Security Policy
- System Spesific Policy (SSP)
Merupakan kebijakan yang diberikan khusus untuk sistem karena pada suatu perusahaan mungkin ada beberapa kebijakan yang tidak sesuai, maka dari itu perlu adanya pengembangan kebijakan yang dikhususkan untuk setiap sistem.
- Program Security Policy (PSP)
Merupakan Kebijakan tingkat tertinggi yang mengatur secara keseluruhan pada keamanan informasi disuatu perusahaan, kebijakan ini mengarah pada standar industri seperti ISO,QS,BS,AS dll.
- Issue Spesific Security Policy (ISSP)
Merupakan kebijakan untuk memenuhi kebutuhan yang spesifik dalam suatu organisasi seperti pedoman penggunaan internet, prosedur pembuatan password dll yang lebih mengarah pada kebijakan program tetapi lebih secara umum jika dibandingkan System Spesific Policy (SSP).
0 komentar:
Posting Komentar