Contoh

KEBIJAKAN UMUM
SISTEM MANAJEMEN KEAMANAN INFORMASI
(SMKI)*)

*) Kebijakan ini harus dilengkapi dengan kebijakan lain yang disyaratkan SNI ISO/IEC 27001 a.l:
 Organisasi, Peran & Tanggungjawab Keamanan Informasi
 Pengelolaan Risiko TI dan Kelangsungan Layanan (Bisnis)
 Akses Kontrol (akses fisik: Ruang Data Center/DRC, Ruang kerja dan akses lojik:
aplikasi, database, sistem operasi, dsb)
 Pengamanan Ruang DC/DRC dan Ruang Kerja
 Pelaporan dan Pengelolaan Gangguan TI/Insiden Keamanan Informasi
 Backup,
 Penggunaan aset TI (komputer, email, internet, sistem informasi)
 Clear desk and clear screen,
 Pengamanan network
 Perangkat mobile computing dan komunikasi
 Teleworking,
 Pengendalian kriptografik

No Dokumen:
Revisi:
☐ Dokumen Terkendali ☐ Dokumen Tak Terkendali

Sebelum menggunakan, pastikan dokumen ini adalah revisi terkini dengan memeriksa Daftar
Induk Dokumen (Master Document List). Permintaan perubahan dapat disampaikan kepada
Pengendali Dokumen
1 Pendahuluan
Informasi merupakan aset yang sangat penting bagi Instansi penyelenggara layanan
publik dan karenanya perlu dilindungi dari ancaman yang dapat mengganggu
kelangsungan layanannya. Penggunaan fasilitas teknologi informasi selain
memudahkan proses pekerjaan juga mengandung risiko bila tidak digunakan dan
dikelola dengan tepat. Oleh karena itu, penggunaan teknologi informasi harus
dikelola sedemikian sehingga memberi manfaat sebesar-besarnya dengan
kemungkinan risiko yang rendah.

Kebijakan ini didokumentasikan sebagai panduan untuk melindungi informasi dari

ancaman keamanan informasi yang meliputi kerahasiaan (confidentiality), keutuhan
(integrity), dan ketersediaan (availability) dan mengurangi dampak dari terjadinya
insiden keamanan.

2 Tujuan
Melindungi aset informasi Instansi penyelenggara layanan publik dari segala bentuk
ancaman, baik eksternal maupun internal, sengaja atau tidak.

3 Ruang Lingkup
Kebijakan ini berlaku untuk seluruh aset informasi yang digunakan Instansi
penyelenggara layanan publik yang meliputi:

Organisasi dan Lokasi (contoh):

3.1 Organisasi: Unit Kerja PDE, Diskominfo, Bappeda, dsb
3.2 Lokasi: Jl. .............

Proses Bisnis / Layanan TI (contoh):

3.3 LPSE
3.4 Data Center / Network Operation Center (NOC)
3.5 Pengembangan & Operasional Aplikasi e-Governance (e-Gov)

Aset:
Aset yang dicakup meliputi, tetapi tidak terbatas pada:
 Data / Informasi
Contoh: dokumen pengadaan dan kontrak, data pelanggan, data gaji, data
karyawan, sistem dokumentasi manajemen, dokumen teknis & konfigurasi
jaringan, hasil penetration test, materi pelatihan, prosedur operasional, rekaman
operasional penggunaan TI, business continuity plan dan hasil audit, dsb;

 Software
Contoh : software aplikasi, operating system, development tool, dan software tool
(antivirus, audit tool), dsb;

Klasifikasi : Publik
  Hardware
Contoh : Server, PC, Laptop, media penyimpan data (hard disk, flash disk), dsb;

 Perangkat Jaringan Komunikasi

contoh : Router, Modem, Switch, Firewall, jaringan komunikasi, dsb;

 Fasilitas Pendukung
Contoh : Ruang Server / Ruang Data Center, Ruang Kerja, Ruang Disaster
Recovery Center (DRC), UPS, Genset, A/C, CCTV, Fire Extinguisher, Access
Door Electronic, dsb

 Sumber Daya Manusia

Contoh : Pimpinan, Operator, Administrator, vendor/pihak ketiga yang penyedia
layanan/dukungan atau produk utama yang menunjang Instansi.

4 Kebijakan
Seluruh informasi yang disimpan dalam media simpan, ditulis, dicetak, dan
dikomunikasikan langsung atau melalui teknologi komunikasi harus dilindungi terhadap
kemungkinan kerusakan, kesalahan penggunaan secara sengaja atau tidak, dicegah
dari akses oleh user yang tidak berwenang dan dari ancaman terhadap kerahasiaan
(confidentiality), keutuhan (integrity) dan ketersediaan (availability).

Kebijakan keamanan informasi harus dikomunikasikan ke seluruh karyawan dan pihak

ketiga terkait melalui media komunikasi yang ada agar dipahami dengan mudah dan
dipatuhi.

Instansi penyelenggara layanan publik meningkatkan kepedulian (awareness),

pengetahuan dan ketrampilan tentang keamanan informasi bagi karyawan. Sosialisasi
juga perlu diberkan kepada vendor, konsultan, mitra, dan pihak ketiga lainnya sepanjang
diperlukan.

Seluruh kelemahan keamanan informasi yang berpotensi atau telah mengakibatkan

gangguan penggunaan TI harus segera dilaporkan ke penanggung jawab TI terkait.

Seluruh pimpinan di semua tingkatan bertanggungjawab memantau dan mengavaluasi

efektivitas penerapan kebijakan ini di seluruh unit kerja/bagian di bawah
pengawasannya.

Seluruh karyawan bertanggung jawab untuk menjaga dan melindungi keamanan aset
informasi serta mematuhi kebijakan dan prosedur keamanan informasi yang telah
ditetapkan.

Setiap pelanggaran terhadap kebijakan ini dan kebijakan lain yang terkait akan dikenai
sanksi administratif seperti pencabutan hak akses sistem informasi dan tindakan disiplin
sesuai peraturan yang berlaku.

Klasifikasi : Publik
Kebijakan yang lebih teknis atau prosedur akan ditetapkan dengan merujuk prinsip-
prinsip yang ditetapkan dalam kebijakan ini.

Setiap pengecualian terhadap kebijakan ini dan kebijakan turunannya harus mendapat
persetujuan minimum dari pimpinan yang berwenang.

Ditetapkan di , .....................
<Pimpinan Instansi/Lembaga>

Klasifikasi : Publik