Satu Kebijakan Keamanan Informasi, atau Beberapa kebijakan?
Kebijakan Keamanan Informasi vs. Kebijakan ISMS Pertama-tama, mari kita perjelas perbedaan antara kedua dokumen ini: Revisi ISO 27001 2005 dalam klausul 4.2.1 b) mengharuskan Kebijakan ISMS menjadi kebijakan tingkat tinggi, dengan tujuannya adalah agar manajemen dapat menentukan bagaimana ia akan mengendalikan ISMS – misalnya bagaimana menetapkan tujuan keamanan, bagaimana menyesuaikan manajemen risiko informasi dengan manajemen risiko secara keseluruhan, persyaratan kepatuhan, dll. Di sisi lain, Kebijakan keamanan informasi disebutkan dalam kontrol A.5.1.1 dari Lampiran A, dan dapat menggambarkan aturan keamanan apa pun seperti kata sandi, cadangan, anti-virus, keamanan jaringan, dll. Jadi, intinya adalah bahwa Kebijakan ISMS ditujukan terutama untuk manajer tingkat atas (untuk pemahaman mereka tentang apa yang perlu dicapai oleh keamanan informasi dan bagaimana mengendalikannya), dan Kebijakan keamanan informasi harus...