7.2 Kompetensi

Panduan:

Maksud dari subklausul ini adalah untuk menetapkan kompetensi yang dibutuhkan bagi karyawan yang bekerja di perusahaan, termasuk pihak-pihak yang bekerja atas nama perusahaan, agar mampu menerapkan sistem manajemen keamanan informasi dengan baik. Tujuannya adalah untuk memastikan bahwa manajer dan staf yang melaksanakan pekerjaan atau aktivitas memiliki kompetensi yang sesuai dalam menjalankan tugas dan tanggung jawabnya.

Kompetensi merupakan kombinasi dari pendidikan, pelatihan, keterampilan, dan pengalaman.

Sebagai contoh, seseorang yang terlibat dalam kegiatan penilaian risiko seharusnya memiliki pengetahuan dan keterampilan mengenai prinsip-prinsip manajemen risiko. Selain itu, yang bersangkutan perlu memahami cara melibatkan manajemen dan pemilik risiko (risk owner) dalam proses penilaian risiko, menetapkan kriteria penilaian risiko, melakukan identifikasi, analisis, serta evaluasi risiko, serta berkomunikasi dan berkoordinasi dengan staf lain untuk membahas risiko yang terkait dengan bisnis perusahaan, termasuk cara mendokumentasikan risiko keamanan informasi.