BUKU PEDOMAN KEAMANAN

SISTIM INFORMASI MANAJEMEN RUMAH SAKIT

KERAMAHAN SEBENARNYA

ELEKTRONIK DATA PROSESSING

(EDP)

RUMAH SAKIT PKU MUHAMMADIYAH WONOSOBO

Jl. Gatot Subroto Sudungdewo Kertek Wonosobo
WONOSOBO
2016

KATAPENGANTAR
PujidansyukurkitasampaikankehadiratAllahSWTyangtelahmelimpahkan
rahmatdanhidayahNya,sehinggadapattersusunBuku

PedomanKeamanan

SistemInformasiManajemenRumahSakitPKUMuhammadiyahWonosobo.Buku
iniberisikanPedomanKeamananSistemInformasiManajemenRumahSakit,
PedomanPengendalianHakAksesdanPedomanPenggunaanSumberDaya
Informasi.
BukuPedomaniniapabiladijalankandenganbenar,datadatayangdihasilkan
akantersimpandenganamandapatdiaksesolehorangorangyangberwenangdan
akanmengurangidampakdariterjadinyainsidenkeamanan.
KamiharapkanBukuPedomanKeamananSistemInformasiManajemen
RumahSakitinidapatdijadikanpeganganbagisetiapbidangpelayananRumah
Sakitdalamprosespelayanandandalampembuatanlaporan.
Kepadasemuapihakyangtelahmembantusampaidengantersusunnya
Bukuinikamisampaikanpenghargaandanterimakasih.KritikdanSaran
membangunyangdisampaikankepadakamiakansangatbermanfaatuntuk
perbaikandimasamendatang.
Wonosobo, Januari2016
WadirUmum

Ir.AbudBaasir

DAFTAR ISI
Kata Pengantar

DaftarIsi

ii

PedomanKeamananSistemInformasi
1.Pendahuluan...............................................................................................

2. Tujuan ..

3. Ruang Lingkup ..

4. Kebijakan ..

PedomanPengensalianHakAkses
1. Tujuan ..

2. Ruang Lingkup ..

3. Referensi ....

4. Kebijakan Akses Kontrol ...

PedomanPenggunaanSumberDayaInformasi
1. Tujuan ..

2. Ruang Lingkup ..

3. Kebijakan Umum ....

4. Penggunaan Internet ......

5. Penggunaan Email ......

Lampiranlampiran
FormulirPermohonanData/Informasi
FormulirPermohonanPassword/Kewenangan
DaftarKewenanganPenggunaan

PEDOMAN KEAMANAN SISTEM INFORMASI

1 Pendahuluan
Informasimerupakanasetyangsangatpentingbagi

Instansi

penyelenggaralayananpublikdankarenanyaperludilindungidariancaman
yangdapatmengganggukelangsunganbisnisnya.Penggunaanfasilitas
teknologiinformasiselainmemudahkanprosespekerjaanjugamengandung
risikobilatidakdigunakandandikeloladengantepat.Olehkarenaitu,
penggunaanteknologiinformasiharusdikelolasedemikianrupasehingga
memberimanfaatsebesarbesarnyadengankemungkinanrisikoyangrendah.
Kebijakaninididokumentasikansebagaipanduanuntukmelindungi
informasidariancamankeamananinformasiyangmeliputikerahasiaan
(confidentiality),keutuhan(integrity),danketersediaan(availability)dan
mengurangidampakdariterjadinyainsidenkeamanan.
2 Tujuan
MelindungiasetinformasidiRSPKUMuhammadiyahWonosobodari
segalabentukancaman,baikeksternalmaupuninternal,sengajaatautidak.
3 Ruang Lingkup
Kebijakaniniberlakuuntukseluruhasetinformasiyangdigunakan

diRS

PKUMuhammadiyahWonosoboyangmeliputi:
3.1 Organisasi dan Lokasi:
SeluruhunitkerjadiRSPKUMuhammadiyahWonosobo

dan

lokasikerjayangdigunakanuntukmengeloladanmenyediakan
layananinternaldaneksternal.
3.2 Aset:
Asetyangdicakupmeliputi,tetapitidakterbataspada:
DatadanInformasi
Termasukdatadaninformasimeliputi:dokumenpengadaandan
kontrak,databasepasien,datatransaksipasienrawatinap
maupunrawatjalan,
manajemen,materi

data

karyawan,

pelatihan,

prosedur

sistemdokumentasi
operasional,data

obatobatan/farmasi.
Software
Yangtermasukdalamasetperangkatlunakatau softwareantara
lain: softwareaplikasi, operating system, development tool,dan
software tool(antivirus, audit tool);
Hardware
Yangtermasukdalamasetperangkatkerasatau hardware
misalnya:Server,PC,Laptop,mediapenyimpandata;
PerangkatJaringanKomunikasi
Yangtermasukdalamasetperangkatjaringankomunikasiantara
lain:Router,Modem,Switch,KabelUTP,Kabelseratoptic.
FasilitasPendukung
Yangtermasukdalamasetfasilitaspendukungantaralain
RuangServer/Ruang Data Center,RuangKerja,UPS,Genset,
A/C,CCTV, Fire Extinguisher, Access Door Electronic,dan
sebagainya.
SumberDayaManusia
Yangtermasukdalamasetsumberdayamanusiamisalnya
karyawantetap,calonkaryawantetap,karyawankontrak,mitra,
vendordanpihakketigalainnyayangmenyediakanlayanan,
jasa,sertaprodukyangmenunjangbisnisInstansipenyelenggara
layananpublik.
4 Kebijakan
4.1. Seluruh informasi yang disimpan dalam media
ditulis, dicetak, dan dikomunikasikan langsung atau melalui
teknologi komunikasi harus dilindungi terhadap kemungkinan
kerusakan, kesalahan penggunaan secara sengaja atau tidak,
simpan,
dicegah dari akses oleh user yang tidak berwenang dan dari
ancaman terhadap kerahasiaan (confidentiality), keutuhan

(integrity) dan ketersediaan (availability)

4.2 Kebijakan keamanan informasi harus dikomunikasikan ke

seluruh karyawan dan pihak ketiga terkait melalui media
komunikasi yang ada agar dipahami dengan mudah dan
dipatuhi.
4.3 Instansi

penyelenggar layanan publik meningkatkan

a

kepedulian (awareness), pengetahuan dan keterampilan tentang

keamanan informasi bagi karyawan.Sosialisasi juga perlu
diberkan kepada vendor, konsultan, mitra, dan pihak ketiga
lainnya sepanjang diperlukan.
4.4 Seluruh kelemahan keamanan informasi yang berpotensi
atau

telah mengakibatkan gangguan penggunaan TI harus

segera dilaporkan ke penanggung jawab TI terkait.

4.5 Seluruh pimpinan di semua tingkatan bertanggungjawab
menjamin kebijakan ini diterapkan di seluruh unit kerja di
bawah pengawasannya.
4.6 Seluruh karyawan bertanggung jawab untuk menjaga dan
melindungi keamanan aset informasi serta mematuhi kebijakan
dan prosedur keamanan informasi yang telah ditetapkan.
4.7 Setiap pelanggaran terhadap kebijakan ini yang relevan
dapat dikenai sanksi atau tindakan disiplin sesuai peraturan
yang berlaku.
4.8 Kebijakan yang lebih teknis merujuk prinsip-prinsip yang
ditetapkan dalam kebijakan ini.
4.9 Setiap pengecualian terhadap kebijakan ini dan kebijakan
turunnya harus mendapat persetujuan minimum dari Manajer
yang berwenang.

PEDOMAN PENGENDALIAN HAK AKSES

1 Tujuan
Menjamin persyaratan akses kontrol terhadap informasi dan fasilitas
sistem informasi (aplikasi, sistem operasi, internet, email dan akses ruang
Data Center / Disaster Recovery Center) didefinisikan dengan tepat.
2 Ruang Lingkup
Kebijakaniniberlakuuntuk:
2.1

Akses lojik atau fisik terhadap informasi dan fasilitas sistem

informasi yang dikelola RS PKU Muhammmadiyah Wonosobo dalam
menyelenggarakan pelayanan publik.

2.2

Karyawan, kontraktor, vendor, konsultan atau pihak ketiga

,
lainnya yang memerlukan akses ke sistem informasi RS PKU
Muhammmadiyah Wonosobo.

3 Kebijakan Akses Kontrol

3.1Pemberiansetiaphakakses,baiklojikmaupunfisik(sepertiruang
DC/DRC)harusdibatasiberdasarkantugaspokokdanfungsi(tupoksi)
penggunadanharusdisetujuiminimumolehpejabatsetingkatmanajer
unit.
3.2Tingkatanaksesharusdiberikandenganprinsipminimumyangcukup
untukmemenuhikebutuhanpengguna.
3.3Pemberianhakaksesyangtingkatannyatinggi(root,superuseratau
administrator)hanyadiberikankepadakaryawanyangbenarbenar
kompeten,memilikipengalamankerjadibagianTIminimum3tahun,dan
harusdisetujuiminimumolehpejabatsetingkatManajer.
3.4Hakaksespenggunayangmenjalanimutasiatautidaklagibekerjadi
RSPKUMuhammmadiyahWonosoboharussegeradinonaktifkan
maksimum7(hari)setelahtanggalyangditetapkan.
3.5Hakaksestidakbolehdipinjamkankepadapenggunalain.
3.6Seluruhhakaksespenggunaakandireviewsetiap6(enam)bulansekali.

3.7Tatacarapendaftaran,penutupandanpeninjauanhakaksesdiaturdalam
ProsedurPengendalianHakAkses.
3.8Setiappengecualianterhadapkebijakaninihanyadapatdilakukan
ataspersetujuanpejabatsetingkatManajer.
3.9AksesPihakKetiga
a.

Vendor,konsultan,mitra,ataupihakketigalainnya
yangmelakukanaksesfisikataulojikkedalamasetRSPKU
Muhammmadiyah

Wonosobo

harus

menandatangani

Ketentuan/PersyaratanMenjagaKerahasiaanInformasi.
b.

Hak

akses

pihak

ketiga

hanya

diberikan

berdasarkankepentinganRSPKUMuhammmadiyahWonosoboyang
disahkanmelaluikerjasamaataukontrak.
c.

Seluruhhakaksespihakketigaharusdibatasiwaktunya,dicatat
danditinjaupenggunaannya(log).

d.

Seluruh

akses

yang

disediakan

bagi

pelanggan

RSPKU

MuhammmadiyahWonosoboharusmematuhikebijakankeamanan
informasi.
e.

SeluruhkoneksipihakketigakedalamnetworkRSPKU
MuhammmadiyahWonosoboharusdibatasihanyaterhadaphost
dan/atauaplikasitertentuyangditetapkanolehSatuanKerjaEDP.

3.10PengelolaanPassword
a. Passwordminimumterdiridari5karakterkombinasiangkadan
hurufsertatidakbolehmenggunakankarakteryangmudahditebak.
b.Penggunaharusmengganti default passwordyangdiberikansaat
pertamakalimendapatkanhakakses.
c. Passwordtidakboleh:
diberitahukan kepada orang lain
ditulis di media yang mudah terlihat orang lain.
d. Passworddigantisecaraberkalaatausegeradigantibiladiduga
telahdiketahuioranglain.Periodepenggantian password:
untuk pengguna biasa (seperti: email, web,
5

komputer:minimum setiap 180 hari

untuk

pengguna

sistem

(seperti:

root,

admin server/aplikasi): minimum setiap 60 hari

e.

Seluruh default passworddanpassworddarivendorharus

digantisegerasetelahinstalasiselesaiatausistemdiserahkan
keRSPKUMuhammmadiyahWonosobo

f.

Hakaksesakandiresetataudinonaktifkanjikatakpernah
digunakan

selama

mengaktifkannya

90

hari

kembali,

secara
pengguna

berturutturut.
harus

Untuk

mengajukan

pendaftarankembalisesuaiProsedurPengendalianHakAkses.

PEDOMAN PENGGUNAAN SUMBER DAYA INFORMASI

1 Tujuan
a.Menetapkan

aturan

umum

penggunaan

sumber

daya

sistem

informasiDiRSPKUMuhammmadiyahWonosobo
b.

Mendorongagaremaildaninternetdapatsemaksimalmungkin
digunakanuntukkepentinganRSPKUMuhammmadiyahWonosobo.

c.

Mencegah
menimbulkan

penggunaan

email

dan

internet

agar

tidak

resikoyangmerugikanRSPKUMuhammmadiyah

Wonosoboataumenimbulkangangguanterhadappenyediaanlayanan
sisteminformasi.
2 Ruang Lingkup
Kebijakaniniberlakubagi:
2.1

Karyawan,kontraktor,konsultan,termasukseluruhpersonelpihak
ketigayangmenggunakan/mengaksessisteminformasiPKU
MuhammmadiyahWonosobo

2.2 Seluruh

sumber

daya

sistem

informasi

yang

dimiliki

atau

disewaRSPKUMuhammmadiyahWonosobomeliputiantaralain:
a.PerangkatKomputer/Laptop/Server
b.PerangkatKomunikasi
c.AplikasidanSoftwarelainnya
d.FasilitasInternetdanEmail
3 Kebijakan Umum
3.1Penggunaansumberdayasisteminformasiharusdimanfaatkan
sebesarbesarnyauntukkepentinganpekerjaandankegiatanyang
menunjangusahaRSPKUMuhammmadiyahWonosobo
3.2Setiappenggunaankomputerharusjointdomainselamafasilitasuntuk
itutelahdisediakan.
3.3Seluruhkomputerharusdipastikanterpasangsoftwareantivirusterkini.

3.4PenggunadilarangmeminjamkanUserIDdanpasswordmiliknya
kepadaoranglain.PenyalahgunaanUserIDmenjaditanggungjawab
pemiliknya.
3.5PenggunadilarangmenggunakanUserIDataufasilitassistem
informasiuntukkegiatanyangdapatmenggangggukinerjajaringan,
mengurangikeandalansisteminformasi,ataumenggangguoperasional
layananTI.
3.6Setiap

pengguna

harus

melaporkan

adanya

kelemahan

atau

gangguansisteminformasi,jaringankomunikasi,ataumasalah
penggunaanTIlainnyakepenanggungjawabterkait.
3.7Selama

menggunakan

Mobile

Computing(laptop,PC)

di

luar

lokasiRSPKUMuhammmadiyahWonosobo,penggunaagarmenghindari
darimelakukanaksesjaringanhotspotyangtidakdikenalnya(untrusted
network).
3.8Penanggungjawabhakaksesberhakmematikanprosespenggunaan
sumberdayasisteminformasiataumenutuphakaksespenggunayang
berpotensimenggangguataumenurunkankinerjasisteminformasi.
3.9Setiappenggunaharusmengembalikansumberdayainformasi
milikRSPKUMuhammmadiyahWonosoboyangdigunakannyasegera
setelahpenugasannyaberakhir,atausumberdayainformasitersebut
tidaklagidigunakanuntukbekerjadiRSPKUMuhammmadiyah
Wonosobo.
4 Penggunaan Internet
4.1AksesInternetdiberikanuntukmendorongkaryawanmengakses
sumberinformasiyangdapatmeningkatkankompetensidankinerjanya.
4.2PenggunaharussadarbahwapenggunaanInternetmengandung
beberaparisiko,antaralain:
Pencurian,pengubahanataupenghapusaninformasiolehpihak
yangtidakberwenang
Penyusupan(intrusion)olehpihakluaryangtidakberwenang

kedalamsisteminformasiRSPKUMuhammmadiyahWonosobo.
Terserangvirus
4.3AksesInternettidakbolehdigunakanuntuk,antaralain:
Mengunjungi

situs

(website)

yang

mengandung

unsur

pornografi,mendorongtindakterorisme/kriminalatautindakan
pelanggaranhukumlainnya.

MengaksesFacebook,Twitter,atausitusjejaringsosialsejenis
lainnya.

Mengunduhfileaudio,video,filedenganekstensi.exeatau.com
ataufileexecutablelainnyakecualiberwenanguntukitu.
Mengunduhsoftwareyangmelanggarketentuanlisensi/standar
softwareyangditetapkanRSPKUMuhammmadiyahWonosobo..
5 Penggunaan Email
5.1Email

harus

digunakan

sebagai fasilitaspertukaran

informasi

bagikelancarantugasdanpekerjaanpenggunabagikepentingan
instansi/lembaga.
5.2Setiap

pengguna

harus

mematuhi

etika

penggunaan

email

danbertanggungjawabatassetiaptindakanterkaitemail.
5.3Pengguna

dilarang

membaca

email

orang

lain

tanpa

sepengetahuanpemiliknya.
5.4Pengguna

harus

memastikan

bahwa

lampiran(attachment)

file

yangditerimadariemailamandarikandunganvirus.
5.5Emailataupostingpenggunakesuatunewsgroup,chatroom
(messenger),atau
pernyataan

forum

sejenis

lainnya,

bukan

merupakan

resmiRSPKUMuhammmadiyahWonosobo,

sudahmendapat

kecuali

persetujuanPejabatyangberwenang.

5.6Penggunadilarangmenggunakanemailuntuk,antaralain:
Menyebarkan
orang/pihak

fitnah,

menghina

atau

melecehkan

lain,mengandungunsurSARA,menyebarkaniklan

pribadiataumenyebarkanSPAM.

 Menyebarkanvirus,worm,trojan,DenialofService(DoS),atau
softwaresejenisyangdapatmengganggukinerjaemaildan
jaringan.
6.7PencantumanIdentiftasPengirim/Sender
a.Gunakan

email

komunikasi

RSPKUMuhammmadiyahWonosobo

resmi

untuk

yangberhubungandenganRSPKU

MuhammmadiyahWonosobo.
b.IdentitasemailpenggunaditetapkanolehAdministrator.
6.8Lampiran(Attachment)
Pengirimanlampirandalamemaildibatasimaksimum5MB.
Lampiranemailyangmelebihi5MBakandidisable.

10

FORMULIR PERMOHONAN DATA/INFORMASI

KepadaYth.
Direktur Rumah Sakit
c/qManajerUnitRekamMedik
RSPKUMuhammadiyahWonosobo

Mohondiberikandata/Informasi:
1.
2.
UntukKeperluan:
1. ..
2. .
Demikianpermohonankami,ataskerjasamanyakamiucapkanbanyakterimakasih.
Wonosobo, .. 20..
Pemohon

()

Disetujui Oleh:
1. ...

TandaTangan: ..

Nama&Jabatan

11

FORMULIR PERMOHONAN HAK AKSES

KepadaYth.
Manager Unit EDP
RSPKUMuhammadiyahWonosobo

Mohondibuatkan/dirubahpasswordatasnama:
No

Nama

Bagian

Kewenangan

1.
2.
3.
4.
5.
6.
7.
8.
9.
Demikianpermohonankami,ataskerjasamanyakamiucapkanbanyakterimakasih.
Wonosobo, .. 20..
Pemohon
()
Disetujui Oleh:
12

1. ...
Nama&Jabatan

TandaTangan: ..

13