KEBIJAKAN SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI)

No. Dokumen

Versi

Klasifikasi

Tanggal dibuat

Tanggal berlaku

PERSETUJUAN:

DISUSUN: DIKETAHUI: DISETUJUI:

1. Pendahuluan

Informasi merupakan aset yang sangat penting bagi organisasi Penyelenggara Sistem

Elektronik (PSE) dan oleh karenanya perlu dilindungi dari ancaman yang dapat

mengganggu kelangsungan bisnisnya. Penggunaan fasilitas teknologi informasi selain

memudahkan proses pekerjaan juga mengandung risiko bila tidak digunakan dan dikelola

dengan tepat. Oleh karena itu, penggunaan teknologi informasi harus dikelola sedemikian

sehingga memberi manfaat optimal dengan kemungkinan risiko yang rendah.

Kebijakan ini didokumentasikan sebagai panduan untuk melindungi informasi dari

ancaman keamanan informasi yang meliputi kerahasiaan (confidentiality), keutuhan

(integrity), dan ketersediaan (availability) dan mengurangi dampak dari terjadinya insiden

keamanan.

2. Tujuan

Sebagai acuan bagi perusahaan dalam mengimplementasikan keamanan informasi dan

melindungi asset organisasi dari ancaman, gangguan baik disengaja ataupun tidak

disengaja..
3. Ruang Lingkup

Kebijakan ini berlaku untuk seluruh unit organisasi yang berkaitan dengan layanan sistem

elektronik meliputi:

a. Lokasi. (isi sesuai lokasi perusahaan anda)

PT xxx berlokasi di xxx

b. Unit kerja Terkait (isi dengan unite kerja yang terkait dengan ruang lingkup SIstem

Elektronik)

4. Struktur SMKI:

<Gambarkan struktur SMKI berikut tugas dan fungsi dari masing-masing di struktur

tersebut.>

5. Aset:

Aset yang sesuai ruang lingkup meliputi:

a) Data / Informasi

Contoh: dokumen pengadaan dan kontrak, data pelanggan, data gaji, data

karyawan, sistem dokumentasi manajemen, dokumen teknis & konfigurasi jaringan,

hasil penetration test, materi pelatihan, prosedur operasional, rekaman operasional

penggunaan TI, business continuity plan dan hasil audit, dsb;

b) Software

Contoh : software aplikasi, operating system, development tool, dan software tool

(antivirus, audit tool), dsb;

c) Hardware

Contoh : Server, PC, Laptop, media penyimpan data (hard disk, flash disk), dsb;

d) Perangkat Jaringan Komunikasi

contoh : Router, Modem, Switch, Firewall, jaringan komunikasi, dsb;

e) Fasilitas Pendukung

Contoh : Ruang Server / Ruang Data Center, Ruang Kerja, Ruang Disaster

Recovery Center (DRC), UPS, Genset, A/C, CCTV, Fire Extinguisher, Access Door

Electronic, dsb

f) Sumber Daya Manusia

Contoh : Pimpinan, Operator, Administrator, vendor/pihak ketiga penyedia layanan

atau produk yang menunjang proses kerja organisasi.

6. Kebijakan

a) Seluruh informasi yang disimpan dalam media simpan, ditulis, dicetak, dan

dikomunikasikan langsung atau melalui teknologi komunikasi harus dilindungi

terhadap kemungkinan kerusakan, kesalahan penggunaan secara sengaja atau

tidak, dicegah dari akses oleh user yang tidak berwenang dan dilindungi dari

ancaman terhadap kerahasiaan (confidentiality), keutuhan (integrity) dan

ketersediaan (availability).

b) Kebijakan keamanan informasi harus dikomunikasikan ke seluruh karyawan dan

pihak ketiga terkait melalui media komunikasi yang ada agar dipahami dengan

mudah dan dipatuhi.

c) Penyelenggara Sistem Elektronik (PSE) meningkatkan kepedulian (awareness) dan

ketrampilan tentang keamanan informasi bagi karyawan. Sosialisasi perlu diberikan

kepada vendor, konsultan, dan pihak ketiga lainnya sepanjang diperlukan.

d) Seluruh kelemahan keamanan informasi yang berpotensi atau telah mengakibatkan

gangguan penggunaan TI harus segera dilaporkan ke penanggung jawab TI terkait.

e) Seluruh pimpinan di semua tingkatan bertanggungjawab memantau dan

mengavaluasi efektivitas penerapan kebijakan ini di seluruh unit kerja/bagian di

bawah pengawasannya.

f) Seluruh karyawan bertanggung jawab untuk menjaga dan melindungi keamanan

aset informasi serta mematuhi kebijakan dan prosedur keamanan informasi yang

telah ditetapkan.

g) Perusahaan wajib mengelola informasi sesuai dengan klasifikasi informasi yang

telah ditentukan.
 h) Perusahaan perlu mengelola dengan baik terkait :

1) Manajemen akses pengguna

2) Pertukaran informasi dan aliran datanya

3) Penanganan media/storage.

4) Log activity dari sistem elektronik yang dikelola

5) Layanan perubahan/change management

6) Manajemen insiden

7) Pemenuhan lisensi dan aspek HAKI

8) Perlindungan data pribadi dari client

i) Setiap pelanggaran terhadap kebijakan ini dan kebijakan lain yang terkait akan

dikenai sanksi administratif atau tindakan disiplin sesuai peraturan yang berlaku.

j) Kebijakan yang lebih teknis merujuk prinsip-prinsip yang ditetapkan dalam kebijakan

ini.

k) Setiap pengecualian terhadap kebijakan ini dan/atau kebijakan turunannya harus

mendapat persetujuan dari pimpinan yang berwenang.

Ditetapkan di , .....................

<Pimpinan Organisasi>
KONTROL DOKUMEN

Riwayat Perubahan

tanggal Versi Keterangan Perubahan

Kontak

(isi dengan kontak yang dapat dihubungi terkait dokumen ini)

Komunikasi dan pelatihan

Apakah dokumen ini akan dipublikasikan Ya/tidak

melalui komunikasi internal organisasi?

Apalah diperlukan pelatihan untuk Ya/tidak

memastikan kebijakan ini diketahui
dengan baik?