Kemudian Direktorat Keamanan Informasi, Kementerian Komunikasi dan Informatika mencoba untuk merinci dokumen yang perlu dimiliki organisasi agar sesuai standar SMKI. Dokumen tersebut berhubungan dengan kebijakan dan prosedur/panduan.
Dokumen terkait dengan kebijakan adalah :
- Kebijakan Keamanan Informasi
- Organisasi, peran dan tanggungjawab keamanan informasi
- Panduan Klasifikasi Informasi
- Kebijakan Manajemen Risiko TIK
- Kerangka Kerja Manajemen Kelangsungan Usaha (Business Continuity Management)
- Kebijakan Penggunaan Sumber daya TIK
- Pengendalian Dokumen
- Pengendalian Rekaman
- Audit Internal SMKI
- Tindakan Perbaikan dan Pencegahan
- Pelabelan, Pengamanan, Pertukaran dan Disposal Informasi
- Pengelolaan Removable Media dan Disposal Media
- Pemantauan (Monitoring) Penggunaan Fasilitas TIK
- User Access Management
- Teleworking
- Pengendalian instalasi software dan Hak Kekayaan Intelektual
- Pengelolaan Perubahan (Change Management) TIK
- Pengelolaan dan Pelaporan Insiden Keamanan Informasi
- Definisi, sasaran dan ruang lingkup keamanan informasi
- Persetujuan terhadap kebijakan dan program keamanan informasi
- Kerangka kerja penetapan sasaran kontrol dan kontrol
- Struktur dan metodologi manajemen risiko
- Organisasi dan tanggungjawab keamanan informasi
Dokumen Panduan Klasifikasi Informasi berisi tentang petunjuk cara melakukan klasifikasi informasi yang ada di instansi/lembaga dan disusun dengan memperhatikan nilai penting dan kritikalitas informasi bagi penyelenggaraan pelayanan publik, baik yang dihasilkan secara intenal maupun diterima dari pihak eksternal. Klasifikasi informasi dilakukan dengan mengukur dampak gangguan operasional, jumlah kerugian uang, penurunan reputasi dan legal manakala terdapat ancaman menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi.
Dokumen Kebijakan Manajemen Risiko TIK berisi metodologi / ketentuan untuk mengkaji risiko mulai dari identifikasi aset, kelemahan, ancaman dan dampak kehilangan aspek kerahasiaan, keutuhan dan ketersediaan informasi termasuk jenis mitigasi risiko dan tingkat penerimaan risiko yang disetujui oleh pimpinan.
Dokumen Kerangka Kerja Manajemen Kelangsungan Usaha (Business Continuity Management) berisi komitmen menjaga kelangsungan pelayanan publik dan proses penetapan keadaan bencana serta penyediaan infrastruktur TIK pengganti saat infrastruktur utama tidak dapat beroperasi agar pelayanan publik tetap dapat berlangsung bila terjadi keadaan bencana/keadaan darurat. Dokumen ini juga memuat tim yang bertanggungjawab (ketua dan anggota tim), lokasi kerja cadangan, skenario bencana dan rencana pemulihan ke kondisi normal setelah bencana dapat diatasi/berakhir.
Dokumen Kebijakan Penggunaan Sumber daya TIK berisi aturan penggunaan komputer (desktop/laptop/modem atau email dan internet).
Prosedur Pengendalian Dokumen berisi proses penyusunan dokumen, wewenang persetujuan penerbitan, identifikasi perubahan, distribusi, penyimpanan, penarikan dan pemusnahan jika tidak digunakan, daftar dan pengendalian dokumen eksternal yang menjadi rujukan.
Prosedur Pengendalian Rekaman berisi pengelolaan rekaman yang meliputi: identifikasi rekaman penting, kepemilikan, pengamanan, masa retensi, dan pemusnahan jika tidak digunakan lagi.
Prosedur Audit Internal SMKI berisi proses audit internal: rencana, ruang lingkup, pelaksanaan, pelaporan dan tindak lanjut hasil audit serta persyaratan kompetensi auditor.
Prosedur Tindakan Perbaikan dan Pencegahan berisi tatacara perbaikan/pencegahan terhadap masalah/gangguan/insiden baik teknis maupun non teknis yang terjadi dalam pengembangan, operasional maupun pemeliharaan TI
Prosedur Pelabelan, Pengamanan, Pertukaran dan Disposal Informasi berisi aturan pelabelan, penyimpanan, distribusi, pertukaran, pemusnahan informasi/daya “rahasia” baik softcopy maupun hardcopy, baik milik instansi maupun informasi pelanggan/mitra yang dipercayakan kepada Instansi
Prosedur Pengelolaan Removable Media dan Disposal Media berisi aturan penggunaan, penyimpanan, pemindahan, pengamanan media simpan informasi (tape/hard disk/Flashdisk/CD) dan penghapusan informasi ataupun penghancuran media
Prosedur Pemantauan (Monitoring) Penggunaan Fasilitas TIK berisi proses monitoring penggunaan CPU, storage, email, internet, fasilitas TIK lainnya dan pelaporan serta tindak lanjut hasil monitoring
Prosedur User Access Management berisi proses dan tatacara pendaftaran, penghapusan dan review hak akses user, termasuk administrator, terhadap sumber daya informasi (aplikasi, sistem operasi, database, internet, email dan internet)
Prosedur Teleworking berisi proses pengendalian dan pengamanan penggunaan hak akses secara remote (misal melalui modem atau jaringan). Siapa yang berhak menggunakan dan cara mengontrol agar penggunaannya aman.
Prosedur Pengendalian instalasi software dan Hak Kekayaan Intelektual berisi daftar software standar yang diijinkan di Instansi, permintaan pemasangan dan pelaksana pemasangan termasuk penghapusan software yang tidak diijinkan
Prosedur Pengelolaan Perubahan (Change Management) TIK berisi proses permintaan dan persetujuan perubahan aplikasi/infrastruktur TIK, serta pengkinian konfigurasi/database/versi dari aset TIK yang mengalami perubahan.
Prosedur Pengelolaan dan Pelaporan Insiden Keamanan Informasi
berisi proses pelaporan & penanganan gangguan/insiden baik menyangkut ketersediaan layanan atau gangguan karena penyusupan/pengubahan informasi secara tidak berwenang. Termasuk analisis penyebab dan eskalasi jika diperlukan tindak lanjut ke aspek legal.