KEBIJAKAN KEAMANAN

KEPUTUSAN REKTOR INSTITUT TEKNOLOGI TELKOM Nomor: KPXX/X/XX/XX-XX
tentang KEBIJAKAN KEAMANAN INFORMASI INSTITUT TEKNOLOGI TELKOM REKTOR INSTITUT TEKNOLOGI TELKOM
Menimbang : a. bahwa guna memberikan perspektif mengenai posisi strategis Keamanan Informasi di lingkungan Institut Teknologi Telkom, perlu diterbitkan Kebijakan Keamanan Informasi Institut Teknologi Telkom; b. bahwa sehubungan dengan huruf a di atas, dipandang perlu untuk menetapkan Kebijakan Keamanan Informasi di lingkungan Institut Teknologi Telkom dalam suatu keputusan Rektor. Mengingat : 1. Peraturan Pemerintah Nomor 60 Tahun 1999 tentang Pendidikan Tinggi; 2. Undang-undang Nomor 20 Tahun 2003 tentang Sistem Pendidikan Nasional; 3. Keputusan Yayasan Pendidikan Telkom KR.193,196,197 dan 198 / SDM 26/0.0.0/2011. tentang Pengangkatan Rektor ITT Memperhati kan : 1. Akta Pendirian/Anggaran Dasar ITT
MEMUTUSKAN Menetapkan : KEPUTUSAN REKTOR INSTITUT TEKNOLOGI TELKOM TENTANG
Jl. Telekomunikasi Terusan Buah Batu Bandung 40257 Indonesia Telp: 62-22-756 4108 Fax: 62-22 756 5200 Email: info@ittelkom.ac.id website : www.ittelkom.ac.id
KEBIJAKAN KEAMANAN INFORMASI INSTITUT TEKNOLOGI TELKOM
BAB I Ketentuan Umum

a. Pengertian Umum
Dalam keputusan ini, yang dimaksud dengan: a) b) c) d) e) Awareness adalah kesadaran akan sesuatu kebutuhan Dokumen adalah informasi dan media pendukungnya. Informasi adalah data dalam bentuknya (input, output, dan data terproses) yang digunakan oleh aktivitas bisnis. Information security officer adalah suatu pekerjaan yang berhubungan dengan keamanan informasi di suatu organisasi. Infrastruktur adalah teknologi (hardware, sistem operasi, database, networking, multimedia) dan fasilitas yang memungkinkan pemrosesan aplikasiaplikasi. ISO 27000 series adalah himpunan referensi standar internasional yang mengatur mengenai Information Security Management System (ISMS) dalam organisasi. IT Steering Committee yang selanjutnya disebut ITSC adalah komite di tingkat pimpinan senior untuk memberikan rekomendasi strategis kepada manajemen puncak dalam konteks TI. Keamanan Informasi availability informasi. adalah penjagaan confidentiality, integrity dan
f)
g)
h) i)
Kebijakan adalah dokumen panduan umum yang berisi prinsip-prinsip dasar yang diformulasikan oleh manajemen puncak untuk mengarahkan dan membatasi upaya pencapaian tujuan bisnis.
j) k) l)
Komite Anggaran adalah suatu komite representatif pimpinan yang bertanggung jawab dalam proses seleksi dan persetujuan anggaran institut. Layanan adalah mekanisme penyampaian value kepada pelanggan. Malicious code atau malcodes adalah suatu program, baik itu macro maupun script yang dapat dieksekusi dan dibuat dengan tujuan untuk merusak sistem komputer Masalah adalah root cause satu atau beberapa insiden. Manajemen puncak atau Rektor adalah dewan pimpinan eksekutif organisasi tertinggi yang mengarahkan dan mengendalikan penyedia layanan TI. Mobile code adalah perangkat lunak yang ditransfer di antara sistem, misalnya ditransfer di jaringan atau melalui USB flash drive, dan dijalankan pada sistem lokal tanpa instalasi eksplisit atau eksekusi oleh penerima. Pelanggan adalah organisasi atau sub-organisasi yang menerima layanan. Pengguna adalah individu atau menggunakan suatu layanan TI. kelompok dalam unit institut yang
m) n) o)
p) q) r) s) t) u)
Pengelola TI atau penyedia layanan TI adalah organisasi atau sub-organisasi yang mengelola dan menyampaikan layanan TI kepada pelanggan. Prosedur atau Standard Operating Procedure (SOP) adalah spesifikasi cara standar untuk melaksanakan satu aktivitas atau proses. Proses adalah himpunan aktivitas yang saling berhubungan satu sama lain untuk menghasilkan suatu output. Rencana Kerja dan Anggaran Institut, yang selanjutnya disebut RKAP merupakan rencana kerja operasional bisnis beserta alokasi anggaran yang dibutuhkan dalam waktu satu tahun ke depan. Risiko adalah potensi kejadian beserta konsekuensinya. Sistem Informasi atau Teknologi Informasi adalah suatu sistem terpadu yang terdiri dari hardware, software, network, sumber data, personil, serta prosedur yang berfungsi untuk mengumpulkan, memroses dan mendistribusikan informasi dalam suatu organisasi.
v) w)
x)
Up to date adalah sesuai dengan perkembangan yang ada
b. Maksud dan Tujuan

(1) Maksud ditetapkannya keputusan ini adalah untuk memberikan referensi kepada seluruh komponen pelaksana keamanan informasi TI Institut Teknologi Telkom dalam menyusun dan menetapkan prosedur operasional agar terjadi keselarasan pada tataran strategis dan operasional (2) Tujuan ditetapkannya kebijakan ini adalah tersedianya panduan untuk mewujudkan standardisasi pelaksanaan keamanan informasi di Institut Teknologi Telkom.
c. Ruang Lingkup
(1) Kebijakan Keamanan Informasi ini diberlakukan secara menyeluruh di seluruh komponen organisasi Institut Teknologi Telkom. (2) Kebijakan Keamanan Informasi ini mengatur Tata Kelola keamanan informasi dan Management Keamanan informasi.
d. Kerangka Kerja
(1) Kerangka kerja yang digunakan dalam pelaksanaan Tata Kelola dan Manajemen TI mengadopsi standar ataupun best-practice kemanan Informasi yang terkini, serta didefinisikan berdasarkan keselarasan dengan tujuan bisnis Institut Teknologi Telkom. (2) Referensi kerangka kerja utama Tata Kelola dan Manajemen keamanan informasi Institut Teknologi Telkom adalah ISO 27001
BAB II Tata Kelola Keamanan informasi

Kepemimpinan
(1) Rektor mendelegasikan sebagian tanggung jawab Tata Kelola TI di Institut Teknologi Telkom kepada ITSC yang ditetapkan melalui Surat Keputusan Rektor. (2) ITSC bertanggung jawab untuk memberikan rekomendasi strategis kepada Rektor atas hasil Evaluation, Direction dan Monitoring TI di Institut Teknologi Telkom. (3) Pengaturan detail mengenai deskripsi kerja, kewenangan, keanggotaan, masa penugasan dan pembiayaan terkait ITSC dituangkan ke dalam Surat Keputusan Rektor sebagaimana dimaksud pada Ayat 1 (satu). (4) Berikut ini Peran Keamanan Informasi di Institut Teknologi Telkom: a. Untuk mencegah terjadinya kehilangan atau kerusakan informasi di Institut Teknologi Telkom b. Mengurangi risiko dari ancaman dari luar yang berkaitan dengan informasi di institute c. Menjaga informasi yang ada tidak digunakan secara sembarangan oleh pihak yang tidak berwenang
e. Struktur
(1) Struktur organisasi keamanan informasi dibentuk atas dasar kepentingan realisasi Peran Strategis keamanan informasi di Institut Teknologi Telkom sebagaimana dimaksud dalam Pasal 5 (lima). (2) Fungsi-fungsi utama di dalam organisasi Keamanan Informasi di Institut Teknologi Telkom adalah sebagai berikut: Supaya strategi bisnis bisa selaras dan terintegrasi dengan proses manajemen yang berhubungan dengan keamanan informasi Bisa menjamin keamanan informasi yang ada di lingkungan Institut Teknologi Telkom
(3) Pembagian tanggung jawab dan kewenangan, serta pengaturan sub-fungsi yang ada pada organisasi keamanan informasi di atas dideskripsikan secara jelas dalam dokumen deskripsi kerja dengan mengakomodasi konsep keamanan informasi perguruan tinggi. (4) Terdapat fungsi audit dan manajemen risiko keamanan informasi di dalam organisasi Institut Teknologi Telkom, baik secara internal ataupun eksternal, yang sekemudian me-monitor dan mereviu secara berkala agar risiko keamanan informasi kemudian terkontrol.
f. Mekanisme
(1) Pola pengambilan keputusan kemanan informasi di Institut Teknologi Telkom adalah sebagai berikut: a. Peran Strategis keamanan informasi diajukan oleh Pengelola keamanan informasi dan direviu oleh ITSC, kemudian ditetapkan oleh Rektor. b. Perencanaan Strategis keamanan informasi diajukan oleh Pengelola keamanan informasi direviu oleh ITSC, kemudian ditetapkan oleh Rektor. c. Pengelolaan Belanja keamanan informasi diajukan oleh Pengelola keamanan informasi oleh ITSC, kemudian ditetapkan oleh Komite Anggaran. d. Pengembangan Sistem Informasi dieksekusi oleh Pengelola keamanan informasi direviu oleh ITSC. e. Pengelolaan Infrastruktur keamanan informasi dieksekusi oleh Pengelola keamanan informasi dan direviu oleh ITSC. f. Pengoperasian dan Pelayanan kemanan informasi dieksekusi oleh Pengelola kemamanan informasi dan direviu oleh ITSC. (2) Rektor menetapkan Kebijakan Keamanan Informasi Institut Teknologi Telkom melalui Surat Keputusan Rektor, dan melaksanakan reviu secara berkala agar kebijakan sesuai dengan situasi dan kondisi terkini. (3) Prosedur atau SOP dirancang dengan mengacu kepada Kebijakan Keamanan Informasi yang berlaku, dan menjadi panduan dalam mengoperasikan proses-
proses yang ada di IT Telkom, serta direviu secara berkala untuk menyesuaikan dengan perkembangan situasi dan kondisi terkini. (4) Teknologi pendukung digunakan untuk me-monitor kinerja seluruh aset keamanan informasi institut secara otomatis sehingga memudahkan manajemen dalam mengelola keamanan informasi di Institut Teknologi Telkom.
BAB III
g. Kebijakan Keamanan Informasi
(1) Kebijakan keamanan informasi di Institut Teknologi Telkom menjadi panduan dan pedoman untuk melaksanakan kegiatan yang ada hubungannya dengan keamanan informasi di Institut ini (2) Untuk perubahan atau penambahan pada kebijakan informasi harus disetujui oleh bagian yang berkaitan, dan bisa dipertanggungjawabkan
h. Pengorganisasian Keamanan Informasi

(1) Institut Teknologi Telkom harus menetapkan pemegang fungsi, peran dan tanggung jawab keamanan informasi yang dapat disebut dengan information security officer (ISO) (2) Institut Teknologi Telkom harus menetapkan tim dan atau unit kerja yang akan membantu kerja IS officer. (3) Institut Teknologi Telkom harus menetapkan fungsi, peran dan tanggung jawab setiap unit kerja yang terkait keamanan informasi di Institut Teknologi Telkom. (4) IS Officer dan tim harus melakukan sosialisasi , awareness dan pelatihan terkait penerapan unit kebijakan informasi secara berkala di setiap unit kerja (5) IS Officer dan tim serta setiap unit kerja harus membuat prosedur mekanisme pelaksanaan keamanan informasi yang terkait hubungan antar unit kerja
(6) Institut Teknologi Telkom harus melakukan sosialisasi , awareness dan pelatihan terhadap kebijakan dan prosedur keamanan informasi kepada setiap pihak eksternal yang berhubungan dengan Institut Teknologi Telkom (7) IS Officer dan tim harus membuat standar keamanan informasi terhadap pihak eksternal yang bekerjasama dengan Institut Teknologi Telkom. Standar keamanan informasi untuk pihak eksternal, meliputi a. Tingkat hak akses kepada informasi dan sumber daya informasi di Institut Teknologi Telkom (level otoritas)
b. Batasan penggunaan kepada informasi dan sumber daya informasi di Institut Teknologi Telkom c. Pengelolaan terhadap informasi dan sumber daya informasi Institut Teknologi Telkom d. Batasan hubungan komunikasi kepada informasi dan sumber daya informasi di Institut Teknologi Telkom e. Pasal pasal yang terkait keamanan informasi dalam setiap kontrak kerja dengan pihak eksternal
i. Manajemen Aset
(1) Seluruh aset yang berkaitan dengan keamanan informasi harus diberi label penanda dan diawasi pada jangka waktu yang ditentukan, baik aset fisik maupun non fisik (2) Informasi pada Institut merupakan suatu asset yang meliputi data yang berbentuk elektronik dan data yang berbentuk fisik, manual dan atau disebut non elektronik (3) Unit kerja pengelola informasi institut harus membuat prosedur terkait pemberian label terhadap semua jenis informasi institut dan harus membuat prosedur cara penanganan semua jenis informasi institut yang disesuaikan dengan tingkat klasifikasi (4) Peralatan sumber daya informasi institut harus ditempatkan dengan aman dan terlindung untuk menurunkan risiko terhadap ancaman lingkungan dan bahaya serta peluang dari akses yang tidak memiliki wewenang, serta terlindungi dari
kegagalan suplai sumber daya energi dan gangguan lainnya yang diakibatkan kegagalan utility pendukung. (5) Peralatan sumber daya informasi perusahaan harus dilakukan perwatan secara tepat dan berkala untuk memastikan ketersediaan dan integritas tetap berlanjut (6) Penggunaan peralatan sumber daya informasi institut di luar area kerja lingkungan institut harus mendapatkan persetujuan pihak atasan atau manajemen yang terkait dan tercatat (7) Peralatan sumber daya informasi institut yang memiliki media penyimpanan yang tidak akan digunakan kembali atau yang akan dibuang institut harus memeriksa untuk memastikan segala jenis informasi dan data yang sangat sensitive dan perangkat lunak telah dihapus
j. Keamanan SDM
(1) Kebutuhan sumber daya manusia teknologi informasi didasarkan atas rencana strategis keamanan informasi institut. (2) Unit pengelola keamanan informasi di institute harus menetapkan standar, kualifikasi, dan kompetensi sumber daya manusia di bidang keamanan informasi. (3) Jenjang karir sumber daya manusia pada keamanan informasi ditetapkan oleh unit pimpinan Institut Teknologi Telkom berdasarkan aturan dan ketentuan kepegawaian yang berlaku.
k. Keamanan Fisik dan Lingkungan

(1) Institut Teknologi Telkom harus menetapkan unit kerja sebagai pemegang fungsi, peran dan tanggung jawab pengelola keamanan fisik dan lingkungan yang ada. (2) Unit kerja pengelola keamanan fisik dan lingkungan institut beserta unit kerja lainnya melakukan klasifikasi area kerja di institut dengan membuat table klasifikasi area kerja yaitu : VIP/terlarang, Terbatas dan Umum.
(3) Area terlarang/VIP seperti data-center dan area terbatas harus memiliki pengamanan fisik, seperti bangunan tembok, pintu akses bergembok. (4) Area terlarang/VIP harus menggunakan pengamanan fisik yang dapat tahan terhadap kerusakan yang diakibatkan oleh api, banjir, gempa bumi, ledakan, kerusuhan masa dan bentuk lain dari bencana yang disebabkan oleh alam atau oleh perbuatan manusia. (5) Setiap personil yang akan masuk ke area kerja harus memiliki identitas diri dan tercatat pada satuan pengamanan. (6) Barang dan objek yang akan masuk dan keluar di area kerja kampus harus dilakukan identifikasi dan verifikasi untuk mendapatkan izin masuk atau keluar serta harus tercatat pada satuan pengamanan Institut Teknologi Telkom.
Pasal 11 Manajemen Komunikasi dan Operasional

(1) Unit kerja Teknologi infomasi harus melakukan pengelolaan terhadap operasi prosedur terkait keamanan informasi, sehingga terdokumentasi, terpelihara dan tersedia bagi seluruh pengguna yang membutuhkannya. (2) Pengelolaan operasi prosedur terkait layanan pihak ketiga, harus di dokumentasikan melalui perjanjian pemberian layanan pihak ketiga yang meliputi pengendalian keamanan, pedefinisian layanan dan tingkat pemberian pada saat penerapan, penggunaan dan pemeliharaan dari layanan pihak ketiga. (3) Setiap perubahan operasional sumber daya informasi yang meliputi perubahan konfigurasi, kapasitas , dan status baik yang dilakukan oleh unit kerja yang ada (4) Setiap perubahan status, laporan dan rekaman layanan yang diberikan oleh pihak ketiga harus dilakukan pengawasan dan peninjauan ulang serta audit secara berkala. (5) Unit kerja Keamanan informasi harus melakukan pemisahan tugas dan area tanggung jawab terhadap masing-masing personilnya. (6) Unit kerja Keamanan informasi harus melakukan pemisahan penggunaan sumber daya informasi berdasarkan tahapan proses pengembangan sistem, yang terdiri atas tahapan pengembangan, tahapan uji coba, dan operasional.
(7) Unit kerja keamanan informasi harus melakukan perencanaan konfigurasi sistem sesuai dengan standar teknologi dan kebutuhan bisnis dan melakukan uji coba konfigurasi sistem tersebut serta menerapkan standar criteria konfigurasi sistem yang sesuai dengan kebutuhan bisnis dan kondisi IT Telkom. (8) Unit kerja Keamanan Informasi harus memastikan performa sistem sesuai yang dibutuhkan dengan melakukan pengawasan, pengaturan dan prediksi kebutuhan sumber daya yang digunakan sistem. (9) Setiap proses pengawasan, pengaturan dan prediksi terhadap kebutuhan sumber daya yang digunakan sistem harus terdokumentasi. (10)Unit kerja Keamanan Informasi harus melakukan perlindungan perangkat lunak dan informasi dengan melakukan pendeteksian, pencegahan dan pemulihan terhadap malicious code dan mobile code menggunakan antivirus, antispam, firewall dan program pemulihan serta utility program lainnya yang berlisensi. (11)Unit kerja Keamanan Informasi harus membuat prosedur bagi setiap pengguna perangkat lunak dan informasi dalam rangka perlindungan terhadap malicious code dan mobile code. (12)Unit kerja Teknologi dan Keamanan Informasi harus melakukan back-up terhadap sumberdaya informasi yang ada. (13)Pemilik informasi non elektronik dapat melakukan back-up dengan mengubah menjadi informasi elektronik yang harus diperlakukan seperti informasi elektronik lainnya. (14)Tempat penyimpanan media back-up informais dan perangkjat lunak dibagi 2 lokasi yaitu : Disimpan dilokasi proses back-up, hal ini digunakan untuk melakukan pemulihan terhadap kerusakan kecil yang diakibatkan kehilangan atau kerusakan file atau kegagalan sistem. Disimpan diluar lokasi proses back-up, hal iini digunakan untuk melakukan pemulihan akibat bencana, baik yang disebabkan oleh alam atau manusia. (15)Untuk melindungi sumber daya informasi dari bencana, baik yang disebabkan oleh alam atau oleh manusia, unit kerja Teknologi dan Keamanan informasi harus melakukan back-up dengan membuat Disaster Recovery Center (DRC).
(16)Unit kerja Teknologi dan Keamanan Informasi harus melakukan ujicoba hasil backup yang telah dilakukan secara berkala, untuk memastikan keutuhan dan ketersediaan informasi dan sumber daya informasi terjamin. (17)Unit kerja Teknologi dan Keamanan Informasi harus melakukan pengelolaan dan pengendalian jaringan dengan melakukan identifikasi setiap informasi dan sumber daya informasi yang terhubung jaringan kampus, baik jaringan yang dikelola sendiri ataupun pihak ketiga. (18)Pihak informasi dan sumber daya informasi yang teridentifikasi harus terdaftar dan mendapatkan izin dari unit kerja Teknologi dan Keamanan Informasi untuk dapat terhubung ke jaringan. (19)Pemutusan hubungan jaringan harus dilakukan terhadap informasi dan sember daya informasi yang tidak terdaftar atau yang dapat menyebabkan terjadinya pelanggaran keamanan informasi. (20)Setiap jenis media penyimpanan informasi institut, baik berbentuk elektronik atau non elektronik harus diidentifikasi dan terdaftar di unit kerja Teknologi dan Keamanan Informasi. (21)Media penyimpanan informasi yang tidak digunakan kembali, harus dimusnahkan untuk memastikan segala informasi yang sensitive tidak dapat diakses kembali oleh siapapun. (22)Unit kerja pengelola informasi harus menerapkan pengaman terhadap sistem dokumentasi sesuai dengan pengendalian informasi non elektronik. (23)Setiap aktifitas pada sumber daya informasi harus tercatat dengan mengaktifkan log pada perangkat sumber daya informasi yang mengelola informasi sensitive dan proses bisnis kritis. (24)File log harus dilindungi dari akses yang tidak memiliki otorisasi dan proses pengubahan. (25)Hasil pencatatan (file log) harus di back-up, dianalisa dan dilakukan tindakan lanjutan yang sesuai. (26)Pencatatan aktifitas (log) yang menggunakan sistem manual harus selalu di update dan dipelihara serta diamankan sesuai dengan pengendalian informasi non elektronik.
Pasal 12 Kontrol Akses

(1) Setiap pengguna yang akan mengakses seluruh sistem informasi dan layanan informasi lainnya harus terdaftar dan mendapat izin akses dari unit kerja Teknologi dan Keamanan informasi dan atau unit kerja pemilik informasi. (2) Hak akses akan diberikan kepada pengguna dalam bentuk user-id yang unik serta password yang kuat oleh unit kerja Teknologi dan Keamanan informasi dan atau unit kerja pemilik informasi. (3) Pengguna yang mendapat hak akses harus melakukan penggunaan password yang kuat, yaitu kumpulan karakter yang terdiri dari huruf, angka dan symbol dengan minimal jumlah 8 karakter serta pembatasan umur password maksimal 60 hari, untuk menghindari pembobolan password oleh pihak yang tidak memiliki otoritas. (4) Perangkat pengguna yang sedang tidak dalam pengawasan, harus mendapat perlindungan yang memadai terkait akses informasi dari pihak yang tidak memiliki otorisasi, seperti penggunaan rantai pengait pada notebook dan infokus, penggunaan screen saver (5) Setiap pengguna jaringan harus terdaftar dan mendapat izin akses dari unit kerja Teknologi dan Keamanan Informasi. (6) Unit kerja teknologi dan keamanan informasi harus melakukan pengendalian koneksi pada layanan jaringan melalui: Pemisahan jaringan harus berdasarkan grup layanan informasi, kelompok pengguna atau unit kerja serta lokasi dengan menerapkan segmentasi jaringan. Harus dilakukan pembatasan jumlah akses dan waktu akses terhadap layanan jaringan yang di-share Pengendalian harus di setiap jalur jaringan terhadap setiap koneksi computer dan alur informasi, sehingga tidak terjadi pelanggaran hak akses terhadap aplikasi bisnis
(7) Pembatasan akses informasi dan fungsi-fungsi harus terdapat pada system aplikasi, merupakan wewenang dan tanggung jawab unit kerja teknologi dan keamanan informasi. (8) Unit kerja teknologi dan keamanan informasi harus membuat prosedur pengamanan log on pada system operasi (9) Pengamanan log-on pada system operasi harus diberikan kepada pengguna dalam bentuk user-id yang unik dan digunakan secara personal serta menggunakan password yang kuat sebagai teknik otentifikasi yang memadai dan terkelola secara interaktif. (10) Penggunaan program system utility yang dapat mempengaruhi pengendalian system operasi dan aplikasi, harus mendapat izin dari unit kerja teknologi dan keamanan informasi, seperti penggunaan rege-edit, program pengubah alamat MAC pada jaringan, program games, dan lain sebagainya.
Pasal 13 Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi

(1) Unit kerja Teknologi dan Keamanan informasi harus membuat prosedur pengamanan untuk sistem informasi, baik untuk pembangunan sistem informasi baru dan atau untuk pengembangan dan pemeliharaan sistem informasi yang digunakan sesuai dengan kebutuhan masing-masing, dengan pemenuhan aspek kerahasiaan, keutuhan, ketersediaan, dan otentikasi serta otorisasi pada sistem informasi.
Pasal 14 Manajemen Insiden Keamanan Informasi

(1) Unit kerja Teknologi dan Keamanan Informasi harus membuat prosedur mekanisme pelaporan dan penanganan terhadap kejadian keamanan informasi (2) Unit kerja Teknologi dan Keamanan Informasi harus menetapkan tingkat kepentingan terhadap pelaporan kejadian keamanan informasi untuk memastikan pengendalian waktu terhadap tindakan perbaikan yang dilakukan. (3) Unit kerja Teknologi dan Keamanan Informasi harus melakukan dokumentasi terhadap seluruh pelaporan kejadian keamanan informasi, baik yang disampaikan secara lisan maupun tertulis, baik dalam bentuk dokumen ataupun dalam bentuk elektronik (email, form elektronik dan sebagainya)
(4) Unit kerja Teknologi Informasi harus membuat fungsi help-desk sebagai tempat penerimaan pelaporan kejadian keamanan informasi. (5) Kegiatan sosialisasi, awareness dan pelatihan harus dilaksanakan kepada seluruh stakeholder IT Telkom terhadap sistem informasi dan layanan untuk berperan serta memberikan laporan terhadap hasil pengamatan atau kecurigaan terhadap kelemahan keamanan pada sistem dan layanan di IT Telkom. (6) Unit kerja Teknologi dan Keamanan Informasi harus membuat prosedur mekanisme penanganan terhadap kecelakaan keamanan informasi. (7) Unit kerja Teknologi dan Keamanan Informasi harus menetapkan pelaksanaan penanganan kecelakaan keamanan informasi sesuai dengan tingkat kepentingan pelaporan kejadian keamanan informasi untuk memastikan penanganan berjalan dengan konsisten. (8) Unit kerja Teknologi dan Keamanan Informasi harus melakukan dokumentasi terhadap seluruh kegiatan penanganan kecelakaan keamanan informasi, berdasarkan hasil tindakan perbaikan pelaksanaan, baik dari pihak internal maupun eksternal. (9) Unit kerja Teknologi dan Keamanan Informasi harus melakukan pengumpulan bukti terkait kecelakaan keamanan informasi untuk penggunaan investigasi serta kecelakaan yang berdampak hukum. (10)Jika memungkinkan dokumentasi pelaporan kejadian keamanan informasi terkait kecelakaan harus memiliki criteria yang meliputi tipe kecelakaan, volume dan biaya dampak kecelakaan tersebut. (11)Unit kerja Teknologi dan Keamanan Informasi harus melakukan proses pembelajaran terkait kecelakaan informasi melalui dokumentasi pelaporan kejadian dan dokumentasi penanganan kecelakaan keamanan informasi untuk memastikan konsistensi dan keefektifan tindakan perbaikan sebagai upaya peningkatan pengelolaan kecelakaan keamanan informasi.
Pasal 15 Manajemen Kontinyuitas Bisnis

(1) Unit kerja Keamanan informasi harus membuat Disaster Recovery Plan (DRP) sebagai pemenuhan Business Continuity Management (BCM) aspek keamanan informasi. (2) Unit kerja Keamanan informasi harus membuat Disaster Recovery Center (DRC) sebagai tindak lanjut dokumen Disaster Recovery Plan (DRP). (3) Unit kerja Keamanan informasi dan unti kerja lainnya yang terkait harus melakukan ujicoba, pemeliharaan dan penilaian terhadap dokumen Disaster Recovery Plan (DRP) secara berkala, untuk memastikan tetap up to date dengan kebutuhan Institut Teknologi Telkom serta efektif terhadap penerapan dan pelaksanaan rencana.
Pasal 16 Kepatuhan Terhadap Ketentuan yang Berlaku

(1) Penanggung jawab unit kerja bertanggung jawab terhadap pelaksanaan keamanan informasi pada unit kerja masing-masing dan menjadi salah satu faktor penilaian performa kinerja unit kerja tersebut. (2) Unit kerja Teknologi dan Keamanan informasi melakukan pemeriksaan terhadap pemenuhan teknis standar keamanan pada sistem informasi secara berkala. Pemeriksaan pemenuhan teknis standar keamanan harus terdokumentasi, terpelihara dan dilakukan tinjauan ulang secara berkala untuk memastikan tetap up to date dengan kebutuhan bisnis dan perkembangan teknologi serta efektif terhadap penerapan dan pelaksanaan pemenuhan standar yang ada di IT Telkom. (3) Unit kerja teknologi dan keamanan informasi serta pemilik melakukan audit atas keefektifan penerapan dan pelaksanaan informasi dan ketidaksesuaian terhadap kebijakan keamanan, standar dan pemenuhan teknis serta hukum, undang-undang, regulasi atau kontrak terkait keamanan informasi yang berlaku di IT Telkom. informasi keamanan keamanan kewajiban
(4) Unit kerja keamanan informasi melakukan dokumentasi terhadap kegiatan dan hasil audit yang dilakukan untuk dilakukan tinjauan ulang oleh Rektor sebagai tindak lanjut perbaikan terhadap ketidaksesuaian di IT Telkom.
BAB IV Pelanggaran dan Sanksi

Pasal 17 Pelanggaran Privasi
(1) Siapa saja yang memberitahukan rahasia pribadi seseorang berupa username atau password, yang diperolehnya secara profesional atau resmi tanpa hak, dinyatakan bersalah dengan hukuman atas pelanggaran ringan. (2) Sanksi atas pelanggaran tersebut berupa pelayanan terhadap institut, atau denda, jika pelanggaran tersebut menyebabkan kerugian yang besar (3) Pelanggaran atas standar dan prosedur keamanan infrastruktur keamanan informasi akan dikenakan sanksi sesuai dengan aturan dan ketentuan yang berlaku.
Pasal 18 Penyalahgunaan Data Pribadi

(1) Siapa saja yang melakukan pelanggaran terhadap ketentuan terkait peraturan yang melingkupi perlindungan dan pemrosesan data pribadi berupa: a. Terlibat dalam pemrosesan yang tidak sah dan tidak pantas terhadap data pribadi b. Tidak dapat memberitahukan data subject sebagaimana yang diwajibkan oleh hukum c. Gagal mengambil tindakan untuk menjamin keamanan data dan menyebabkan seseorang atau sekumpulan orang mengalami kerugian materi yang besar dinyatakan bersalah dengan kategori pelanggaran ringan dengan sanksi berupa pelayanan terhadap institut, atau denda.
(2) Tindakan-tindakan yang dideskripsikan pada ayat (a) akan dikategorikan pelanggaran berat dengan sanksi dikeluarkan dari institut jika tindakan tersebut dilakukan oleh personil pengelola keamanan informasi
Pasal 19 Penyalahgunaan Informasi Umum

(1) Siapa saja yang melakukan pelanggaran terhadap ketentuan terkait peraturan yang melingkupi pengaksesan informasi umum berupa: Tidak memenuhi kewajiban untuk menyediakan informasi;
Memalsukan atau membuat menjadi tidak bisa diakses terhadap informasi umum apapun Menyampaikan atau mengumumkan informasi umum yang tidak benar atau telah dipalsukan; Dinyatakan bersalah dengan kategori pelanggaran ringan dengan sanksi berupa pelayanan terhadap institut, atau denda. (2) Tindakan-tindakan yang dideskripsikan pada ayat (a) akan dikategorikan pelanggaran berat jika tindakan tersebut dilakukan untuk keuntungan materi atau lainnya yang tidak sah.
Pasal 20 Pelanggaran terhadap Kerahasiaan Korespondensi

(1) Siapa saja yang membuka atau mengambil paket yang disegel yang mengandung komunikasi yang dimiliki orang lain untuk tujuan memperoleh pengetahuan dari isi paket tersebut, atau menyampaikannya kepada orang yang tidak berhak untuk tujuan yang sama, begitu juga setiap orang yang menyadap sebuah korespondensi melalui peralatan telekomunikasi dinyatakan bersalah dengan kategori pelanggaran ringan dengan hukuman denda, jika tindakan tersebut tidak berujung pada tindakan kriminal yang lebih besar. (2) Sanksinya berupa pelayanan terhadap institut, atau denda, jika kejahatan yang dideskripsikan pada ayat (1) dilakukan dalam kapasitas profesional atau resmi.
Pasal 21 Kepemilikan Terlarang Terhadap Informasi Pribadi Seseorang

(1) Siapa saja yang bertujuan untuk kepemilikan terhadap informasi pribadi seseorang yang terlarang: a. secara diam-diam mencari home atau hak milik lainnya, atau hal-hal yang terkait, dari orang lain b. mengawasi atau merekam kejadian-kejadian yang terjadi di home atau hak milik lainnya, atau hal-hal yang terkait, dari orang lain, dengan maksud tertentu c. membuka atau mengambil paket yang disegel yang berisi korespondensi orang lain dan merekamnya dengan maksud tertentu; d. menangkap korespondensi yang di-forward dengan sengaja menggunakan peralatan komunikasi atau jaringan komputer ke orang lain dan merekam isinya dengan maksud tertentu Dinyatakan bersalah dengan kategori pelanggaran berat. (2) Siapa saja yang menyampaikan atau menggunakan segala bentuk informasi pribadi yang diperoleh dari yang telah diuraikan dalam ayat (1) akan dihukum sesuai yang telah diuraikan pada ayat (1) (3) Kategori pelanggaran dinyatakan sebagai perbuatan kriminal dan akan dilaporkan kepada pihak yang berwajib, jika kegiatan dilakukan: a. berpura-pura sebagai operasi resmi; b. dalam sebuah pola dari operasi bisnis; c. sebagai bagian kelompok kriminal; d. menyebabkan kerugian materi yang besar.
Pasal 22 Perilaku Kejahatan untuk Pembobolan Sistem Komputer dan Data Komputer
(1) Siapa saja yang memperoleh akses yang tidak sah ke sebuah sistem komputer atau jaringan dengan bersekongkol atau mengelabui pertahanan dari sistem atau alat keamanan komputer, atau mengubah atau melanggar hak usernya, dinyatakan bersalah dengan kategori pelanggaran ringan dengan hukuman pelayanan kepada institut, atau denda. (2) Siapa saja yang: a. mengubah, merusak atau menghapus data yang tersimpan tanpa izin, memproses atau mengirim dalam sebuah sistem komputer atau jaringan atau menolak akses kepada pengguna yang berhak. b. menambah, mengirim, mengubah, merusak, menghapus data apapun tanpa izin, atau menggunakan peralatan lain untuk mengacaukan fungsi sistem komputer atau jaringan dinyatakan bersalah dengan kategori pelanggaran ringan dengan hukuman penjara hingga dua tahun, pelayanan masyarakat, atau denda (3) Siapa saja yang bertujuan untuk memperoleh keuntungan finansial atau keuntungan lainnya: a. mengubah, merusak atau menghapus data yang tersimpan, memproses atau mengirim dalam sebuah sistem komputer atau jaringan atau menolak akses kepada pengguna yang berhak; b. menambah, mengirim, mengubah, merusak, menghapus data atau menggunakan peralatan apapun untuk mengacaukan fungsi dari sistem komputer atau jaringan Dinyatakan bersalah dengan kategori pelanggaran berat.
Pasal 23 Pelanggaran Terhadap Hak Akses

Penyalahgunaan hak akses dan tidak melakukan otentifikasi pada saat akses aplikasi merupakan tindak pelanggaran dan akan dikenakan sanksi sesuai aturan dan ketentuan yang berlaku.
Pasal 24 Sanksi Atas Pelanggaran Peraturan

(1) Seluruh kegiatan yang dilakukan oleh user yang melanggar peraturanperaturan yang telah ditetapkan Institut Teknologi Telkom mengenai penggunaan sumberdaya informasi, dapat dikategorikan sebagai tindakan pelanggaran ringan akan dikenakan sanksi indisipliner dan hukumannya ditetapkan oleh unit pengelola keamanan informasi; (2) Seluruh kegiatan yang dilakukan oleh user yang melanggar peraturanperaturan yang telah ditetapkan Institut Teknologi Telkom mengenai penggunaan sumberdaya informasi, dapat dikategorikan sebagai tindakan pelanggaran berat akan dikenakan sanksi indisipliner dan hukumannya ditetapkan oleh institut; (3) Seluruh kegiatan yang dilakukan oleh user yang melanggar peraturanperaturan yang telah ditetapkan Institut Teknologi Telkom mengenai penggunaan sumberdaya informasi, dapat dikategorikan sebagai tindakan pelanggaran kriminal akan dikenakan sanksi pemecatan dan hukumannya diserahkan kepada pihak kepolisian;
Pasal 25 Sanksi Atas Pelanggaran Pemanfaatan dan Pengelolaan Data

(1) Siapa saja yang melakukan pelanggaran pemanfaatan data dan informasi, sehingga menyebabkan kerugian material dan atau kerugian nonmaterial bagi institut, dikenakan sanksi sesuai dengan ketentuan yang berlaku. (2) Pelanggaran terhadap pengelolaan data, sehingga menyebabkan tidak terpenuhinya kebutuhan data dan informasi dalam unit pelaksana kegiatan tersebut/unit pelaksana kegiatan lainnya, akan dikenakan sanksi sesuai dengan ketentuan yang berlaku.
Pasal 26 Pelanggaran Keamanan Infrastruktur Keamanan Informasi

Pelanggaran atas standar dan prosedur keamanan infrastruktur keamanan informasi akan dikenakan sanksi sesuai dengan aturan dan ketentuan yang berlaku.
BAB V KETENTUAN LAIN

Pasal 27 Ketentuan Lain
(1) Hal-hal lain yang belum diatur dalam kebijakan ini akan diatur lebih lanjut dan perlu dituangkan dalam perbaikan kebijakan.
Penutup
Pasal 28 Penutup
(2) Dengan diberlakukannya kebijakan ini maka kebijakan sebelumnya yang bertentangan dengan kebijakan ini dinyatakan tidak berlaku lagi. (3) Kebijakan ini berlaku efektif sejak tanggal ditetapkan.
Ditetapkan : Bandung di Pada : 10 Desember tanggal 2011 REKTOR INSTITUT TEKNOLOGI TELKOM
Ir. Ahmad Tri Hanuranto, MT Salinan keputusan ini disampaikan kepada: 1. XXX
2. XXX 3. XXX

KEBIJAKAN KEAMANAN

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

KEBIJAKAN KEAMANAN

Diunggah oleh

Hak Cipta:

Format Tersedia

KEPUTUSAN REKTOR INSTITUT TEKNOLOGI TELKOM Nomor: KPXX/X/XX/XX-XX

MEMUTUSKAN Menetapkan : KEPUTUSAN REKTOR INSTITUT TEKNOLOGI TELKOM TENTANG

KEBIJAKAN KEAMANAN INFORMASI INSTITUT TEKNOLOGI TELKOM

BAB I Ketentuan Umum

Up to date adalah sesuai dengan perkembangan yang ada

b. Maksud dan Tujuan

BAB II Tata Kelola Keamanan informasi

h. Pengorganisasian Keamanan Informasi

k. Keamanan Fisik dan Lingkungan

Pasal 11 Manajemen Komunikasi dan Operasional

Pasal 12 Kontrol Akses

Pasal 13 Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi

Pasal 14 Manajemen Insiden Keamanan Informasi

Pasal 15 Manajemen Kontinyuitas Bisnis

Pasal 16 Kepatuhan Terhadap Ketentuan yang Berlaku

BAB IV Pelanggaran dan Sanksi

Pasal 18 Penyalahgunaan Data Pribadi

Pasal 19 Penyalahgunaan Informasi Umum

Pasal 20 Pelanggaran terhadap Kerahasiaan Korespondensi

Pasal 21 Kepemilikan Terlarang Terhadap Informasi Pribadi Seseorang

Pasal 23 Pelanggaran Terhadap Hak Akses

Pasal 24 Sanksi Atas Pelanggaran Peraturan

Pasal 25 Sanksi Atas Pelanggaran Pemanfaatan dan Pengelolaan Data

Pasal 26 Pelanggaran Keamanan Infrastruktur Keamanan Informasi

BAB V KETENTUAN LAIN

Anda mungkin juga menyukai