Unit:
Quality Assurance, Risk
STANDARD OPERATING PROCEDURE Management and Information
System and Technology
(SOP)
No. Dokumen: Nomor Revisi
PENGENDALIAN AKSES DAN P-RUI-RUIS-002 01
I. TUJUAN
1.1. Akses ke aset yang terkait dengan Sistem Manajemen Keamanan Informasi (SMKI) harus
dikendalikan, baik akses secara logical maupun fisik Aset terkait dengan SMKI yang perlu
dikendalikan aksesnya mencakup informasi, fasilitas pengolahan informasi beserta
sarana pendukungnya.
1.2. Pengendalian akses kepada aset ini dilakukan untuk mencegah hilangnya aspek
kerahasiaan, integritas dan ketersediaan dari aset tersebut.
1.3. Selain itu pengendalian akses juga dilakukan untuk memastikan kepatuhan terhadap
prasyarat hukum dan kontraktual.
1.4. Kebijakan dan Prosedur ini ditetapkan untuk menjadi panduan untuk mengendalikan
akses ke aset terkait SMKI milik perusahaan
II. RUANG LINGKUP
2.1. Tata Letak Jaringan;
2.2. Network Devices;
2.3. Pengelolaan Akses;
2.4. Kriptografi.
III. DEFINISI
3.1. Pengendalian akses adalah fitur keamanan yang mengontrol bagaimana user dan sistem
berkomunikasi dan berintegrasi dengan sistem dan sumber lainnya untuk melindungi
sistem dan sumber daya dari akses yang tidak berhak.
3.2. Kriptografi adalah suatu ilmu yang mempelajari bagaimana cara menjaga agar data atau
pesan tetap aman saat dikirimkan, dari pengirim ke penerima tanpa mengalami
gangguan dari pihak ketiga.
3.3. Sistem Manajemen Keamanan Informasi (SMKI) adalah sistem manajemen yang
diterapkan perusahaan untuk melindungi, mengelola dan mengamankan aset informasi
terhadap ancaman yang mungkin terjadi untuk menjamin kelangsungan bisnis
perusahaan.
3.4. Admin Sistem adalah pemilik aplikasi (BPO) di Unit Sistem Informasi yang berwenang
untuk memberikan hak akses.
3.6. Router adalah suatu perangkat keras pada jaringan komputer yang berfungsi untuk
menghubungkan beberapa jaringan, baik itu jaringan yang sama maupun jaringan yang
berbeda dari sisi teknologinya.
3.7. HRIS (Human Resources Information System) adalah aplikasi yang terhubung dengan
Aplikasi SAP HCM.
3.8. Secure shell atau SSH adalah protokol transfer yang memungkinkan penggunanya untuk
mengontrol sebuah perangkat secara remote atau dari jarak jauh melalui koneksi
internet.
3.9. Simple Network Management Protocol (SNMP) adalah protokol untuk menajemen
peralatan yang terhubung dalam jaringan IP (Internet Protocol).
3.10. Hackable adalah kemudahan untuk di Hacking atau diterobos system keamananya oleh
orang/pihak lain.
3.11. Jaringan adalah jaringan telekomunikasi yang memungkinkan komputer untuk saling
menukar data.
3.12. Diagram Jaringan atau skema jaringan adalah gambar dari hubungan perangkat-
perangkat di system jaringan.
3.13. Firewall adalah sistem keamanan jaringan komputer yang mampu melindungi dari
serangan virus, malware, spam, dan serangan jenis yang lainnya.
3.14. Internet Protocol atau disebut IP adalah standart komunikasi data yang digunakan
dalam proses tukar menukar data dari satu computer ke computer lain didalam jaringan
internet.
3.17. Konfigurasi jaringan adalah kegiatan yang berhubungan dengan membangun dan
mempertahankan jaringan data.
3.18. IP Spoofing adalah jenis spoofing (mengakses secara illegal) dengan memanfaatkan IP
untuk menyembunyikan atau menyamarkan lokasi darimana asal mereka mengirim dan
menerima data secara online.
3.19. Internet Control Message Protocol (ICMP) adalah bagian dari Internet Protocol dimana
ICMP digunakan peralatan-peralatan yg terhubung melalui jaringan internet untuk
keperluan analisa jaringan.
3.20. Prompt adalah sebutan bagi tanda kesiapan sistem operasi berbasis antarmuka baris
perintah untuk menerima perintah dari pengguna.
3.21. Telnet adalah protokol aplikasi yang digunakan di internet atau jaringan area lokal untuk
menyediakan fasilitas komunikasi berorientasi teks interaktif dua arah menggunakan
koneksi terminal virtual
3.22. Virtual Local Area Network atau VLAN adalah sekumpulan perangkat yang ada di satu
atau lebih jaringan LAN dan dikonfigurasikan oleh perangkat lunak sehingga dapat
berkomunikasi antara satu dengan lainnya seolah-olah berada di saluran yang sama.
3.23. Local Area Network (LAN) adalah suatu jaringan komputer yang hanya mencakup
wilayah lokal.
3.24. Access Control List (ACL) adalah daftar access control yang berisi perizinan serta data
kemana user akan diberikan izin.
3.25. IPS (Intrusion Prevention System) adalah sebuah perangkat jaringan atau perangkat
lunak yang berjalan di belakang firewall untuk mengidentifikasi dan memblokir
ancaman terhadap jaringan dengan menilai setiap paket yang melintas berdasarkan
protokol jaringan dalam aplikasi dan melakukan pelacakan ancaman terhadap
keamanan jaringan.
3.26. Virtual Private Network (VPN) layanan yang memungkinkan pengguna untuk mengakses
situs secara pribadi melalui server jaringan lain.
3.27. Bandwith adalah maksimal besar transfer yang dapat dilakukan pada satu waktu dalam
pertukaran data.
3.28. SLA (Service Level Agrement) adalah perjanjian tingkat layanan yang merupakan kontrak
penetapan dari serangkaian hasil persetujuan oleh satu pihak kepada pihak lain dalam
ranah bisnis.
3.29. Super User adalah user yang mempunyai hak admin maupun merubah konfigurasi dasar
dan mempunyai hak akses penuh terhadap system.
3.30. User adalah pengguna yang mempunyai hak terbatas terhadap sistem.
3.31. RDS (Reska Document System) adalah sistem untuk pembuatan surat internal (nota
dinas) maupun eksternal (surat keluar) yang berbasis web browser sehingga
meminimalisir penggunaan kertas
3.32. Berita Acara Serah Terima (BAST) adalah berkas yang menerangkan objek yang
diserahkan atau diterima pihak dalam satu persetujuan
3.33. Enkripsi adalah teknis yang mengonversikan informasi menjadi kode rahasia, sehingga
mengaburkan data yang dikirim, diterima, atau disimpan
IV. PENANGGUNG JAWAB
4.1. Vice President Quality Assurance, Risk Management and Information System and
Technology;
4.2. Manager Information System and Technology;
4.3. Junior Manager IT Planning, Maintenance and Administration;
4.4. Junior Manager IT Development;
4.5. Junior Manager Systems Application and Products in Data Processing (SAP);
4.6. Tim IT Helpdesk
V. REFERENSI
5.1. Undang-undangan nomor 19 Tahun 2003 tentang Badan Usaha Milik Negara.
5.2. Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas.
5.3. Anggaran Dasar PT Reska Multi Usaha yang pendiriannya dicatat dalam Akta Nomor 18
tanggal 02 Juli 2003, dibuat dihadapan Darwin Ginting, SH., M.H., Notaris di Kabupaten
Bandung, yang laporannya telah dicatat dalam database Sistem Administrasi
Kementerian Hukum dan Hak Asasi Manusia No. C-21011HT.01.01 TH.2003 tanggal 04
September 2003, dan Perubahan Anggaran Dasar terakhir yang dinyatakan dalam Akta
No. 02 tanggal 17 November 2020 yang laporannya telah dicatat dalam database Sistem
Administrasi Kementerian Hukum dan Hak Asasi Manusia Republik Indonesia
sebagaimana Surat Penerimaan Pemberitahuan Perubahan Data Perseroan No. AHU-
AH.01.03-0408426 tanggal 17 November 2020 dan Perubahan Susunan Kepengurusan
terakhir dalam Akta No. 12 tanggal 06 Oktober 2021 yang laporannya telah dicatat
dalam database Sistem Administrasi Kementerian Hukum dan Hak Asasi Manusia
Republik Indonesia sebagaimana Surat Penerimaan Pemberitahuan Perubahan Data
Perseroan No. AHU-AH.01.03-0457606 tanggal 06 Oktober 2021, yang kedua akta
dibuat dihadapan Julius Purnawan S.H., M.Si., Notaris di Jakarta Selatan.
5.4. Keputusan Direksi No. KEP.U/KM.03/1/VI/RMU-2019 tanggal 21 Juni 2019 tentang
Kebijakan dan Prosedur Pengendalian Akses dan Kriptografi di Lingkungan PT Reska
Multi Usaha.
VI. RINCIANPROSEDUR
6.1. Tata Letak Jaringan
6.1.1. Organisasi yang memiliki jaringan komputer harus memiliki diagram jaringan
yang lengkap, dan rinci dalam "Diagram Jaringan".
6.1.2. Internal setiap fungsi memiliki jaringan terpisah melalui konfigurasi VLAN.
6.1.3. Semua perangkat jaringan akan memiliki label yang tepat pada perangkat.
6.1.4. Salinan terbaru dari diagram jaringan dipertahankan dan didistribusikan kepada
orang-orang yang relevan.
6.1.5. Aturan firewall harus terdokumentasi dengan jelas dan sesuai dengan aturan
yang di terapkan dalam perangkat "Firewall".
6.2. Network Devices
6.2.1. Router
6.2.1.1. Router yang digunakan untuk mengarahkan dan menyaring paket
informasi di seluruh jaringan. Router menggunakan protokol untuk
berhubungan dengan jaringan lain. Beberapa protokol lebih cenderung
menjadi "hackable" seperti IP (internet Protocol). Keamanan router
sangat penting untuk melindungi sumber daya informasi baik itu dari
eksternal perusahaan maupun ancaman internal perusahaan.
6.2.1.2. Akses konsol ke router, dan perangkat jaringan lainnya secara fisik
diamankan dan jika tidak memungkinkan, pengamanan akses untuk
6.2.1.11. Router akan memiliki banner login yang sesuai dengan peringatan
keamanan untuk pengguna yang tidak sah.
6.2.1.12. Semua router yang dipantau melalui Simple Network Management
Protocol (SNMP) akan memiliki non-default string SNMP community.
Standar string SNMP community, seperti 'publik' dan 'pribadi' atau
'membaca' dan 'menulis', yang mudah ditebak oleh penyusup
potensial. String SNMP community harus sesuai dengan pedoman
yang disebutkan dalam standar Password.
6.2.1.13. Router Status Antarmuka akan dipantau melalui SNMP.
6.2.1.14. Apabila diperlukan, router akan menggunakan Challenge-Handshake
Authentication Protocol (CHAP) atau Password Authentication Protocol
(PAP) otentikasi untuk koneksi Protokol Point-to-Point Protocol (PPP).
6.2.1.15. Sesi waktu idle keluar untuk semua mode sesi akses ke router (SSH,
Console, dan Aux) akan ditetapkan dengan waktu tidak lebih dari 5
menit.
6.2.1.16. Salinan dari file konfigurasi router akan dibatasi hanya untuk individu
yang berwenang.
6.2.1.17. Semua perbaikan pemeliharaan akan diterapkan pada router selama
tidak ada permasalahan atau hari libur.
6.2.1.18. IOS akan digunakan pada router dan IOS akan diuji untuk masalah
keamanan dan kinerja sebelum menggunakan yang sama pada router
production.
6.2.1.19. Backup konfigurasi router dilakukan secara teratur setiap melakukan
perubahan konfigurasi.
6.2.1.20. Semua peristiwa penting termasuk login, perubahan konfigurasi, pesan
pelanggaran akses dihasilkan oleh Access Control Lists (ACL), pesan
kesalahan sistem router akan dicatat dan log ini akan ditinjau oleh
Administrator Keamanan IT secara teratur.
6.2.2. Switch
6.2.2.1. Core Switch yang dikelola sistem Informasi PT Reska Multi Usaha adalah
core switch yang berada di Corporate Office PT Reska Multi Usaha.
6.2.2.2. Setup VLAN yang dikelola dibuat untuk membuat LAN lebih terstruktur
dan untuk mencapai throughput yang lebih baik.
6.2.2.3. ACL digunakan bila diperlukan untuk melindungi sistem VLAN.
6.2.2.4. Konfigurasi atau perubahan wajib melalui persetujuan dari unit IT.
6.2.2.5. Akses konsol ke switch, dan perangkat jaringan lainnya secara fisik
diamankan dan jika tidak memungkinkan, otentikasi akses
menggunakan konsol harus menggunakan otentikasi yang kuat
(minimal 8 karakter dan menggunakan satu huruf besar serta satu
angka) sebagai kompensasi kontrol.
6.2.2.6. Konfigurasi core switch akan diperiksa dan dilakukan backup konfigurasi
secara rutin setiap semester oleh pengelola operasional jaringan.
6.2.2.7. Jika terdapat kasus dari adanya perubahan konfigurasi maka harus
dilakukan setelah ada persetujuan dari Manager Information System
and Technology.
6.2.2.8.10. Salinan dari file konfigurasi core switch akan dibatasi hanya
untuk individu yang berwenang;
6.2.2.8.11. Semua perbaikan pemeliharaan akan diterapkan pada core
switch selama tidak ada permasalahan atau hari libur;
6.2.2.8.12. Sebelum melakukan perbaikan pemeliharaan, semua core
switch akan memiliki cadangan dari konfigurasi terbaru.
6.2.2.9. Backup konfigurasi core switch dilakukan secara teratur setiap
melakukan perubahan konfigurasi.
6.2.2.10. Semua peristiwa penting termasuk login, perubahan konfigurasi, pesan
pelanggaran akses dihasilkan oleh Access Control Lists (ACL), pesan
kesalahan sistem core switch akan dicatat.
6.2.3. WIFI Access Point
6.2.3.1. PT Reska Multi Usaha akan menggunakan teknologi keamanan untuk
Enterprise Wireless LAN.
6.2.3.2. Jaringan nirkabel dipisahkan dari jaringan internal melalui VLAN yang
terpisah.
6.2.3.3. Pelaksanaan jalur akses internet/intranet melalui Wifi Access Point
akan mematuhi:
6.2.3.3.1. WPA2;
6.2.3.3.2. 802.1x otentikasi;
6.2.3.3.3. Silent SSID mode;
6.2.3.3.4. Dukungan VLAN.
6.2.3.4. Setiap akses pengguna baru untuk koneksi WIFI harus mengikuti
prosedur pembuatan ID pengguna yang ada.
6.2.3.5. Jalur akses baru harus mengikuti proses perubahan kontrol yang ada.
6.2.7.2. Penggantian VPN hanya boleh dilakukan oleh administrator yang telah
mendapat persetujuan dari Manager Information System and
Technology.
6.2.7.3. Setup Gateways VPN akan dikelola oleh tim IT Network.
6.2.7.4. PT Reska Multi Usaha menyediakan layanan VPN untuk mengakses
jaringan internal PT Reska Multi Usaha berdasarkan urgensitas setiap
pengguna dan harus berdasarkan persetujuan dari Manager
Information System and Technology.
6.2.7.5. Apabila telah terhubung langsung dengan jaringan internal PT Reska
Multi Usaha maka setiap pengguna VPN wajib menonaktifkan VPN nya
sehingga dihubungkan hanya dengan satu jaringan pada satu waktu.
6.2.7.6. Penggunaan VPN dibuat atas dasar layanan yang dibutuhkan dan
menggunakan port yang tidak standar dan terikat dengan alamat IP.
6.2.7.7. Untuk alasan keamanan semua pengguna VPN harus terdokumentasi
dan tercatat dengan baik.
6.2.8. Bandwidth
6.2.8.1. PT Reska Multi Usaha memiliki koneksi data dari ISP atau NSP untuk
membuat konektivitas ke internet yang harus dikelola dengan baik.
6.2.8.2. SLA ditandatangani dengan Service Provider/ISP untuk memastikan
ketersediaan koneksi.
6.2.8.3. Pemanfaatan dan penggunaan koneksi dan konektivitas dimonitor
secara terus menerus.
6.2.8.4. Harus ada pengelolaan bandwidth yang tepat sesuai kapasitas
penggunaan dari setiap user ataupun penggunaan untuk setiap aplikasi
yang berjalan di PT Reska Multi Usaha.
6.4.2.5. Jika KEY enkripsi tercuri atau hilang, manajemen KEY harus segera
mencabut fungsi KEY yang hilang:
6.4.2.6. Produksi, penyimpanan dan penghancuran KEY harus
didokumentasikan oleh PIC yang berwenang.
6.4.2.7. Jika aplikasi dikembangkan oleh vendor atau outsource, KEY disimpan
atau dipegang oleh Unit IT.
6.4.2.8. KEY bersifat sangat rahasia dan disimpan ditempat yang aman.
6.4.2.9. KEY di evaluasi dengan jadwal yang terencana, minimal sekali dalam
setahun untuk meminimalkan resiko yang dapat terjadi.
6.4.2.10. Perubahan, pembatalan dan penghancuran KEY harus diproses
berdasarkan persetujuan oleh pihak terkait.
6.4.2.11. KEY tidak boleh dikirimkan atau disimpan bersama-sama dengan pesan
yang dikirimkan atau disimpan.
Start
No
Akses diberikan
sesuai Posisi
End
Prosedur Permohonan Dan Pemberian Hak Akses Khusus diberikan dengan cara User
mengirimkan RIMS/RDS/Email kepada Tim IT Helpdesk. Dan Pemberian akan
diberikan setelah ada persetujuan dari Manager Information System and Technology.
Start
No
User Mengajukan
Permohonan Mengajukan Ke
Pemberian Hak
melalui RIMS/RDS/ Manager untuk
Akses Khusus
Email Ke TIM IT Persetujuan
Helpdesk
End
Prosedur Pencabutan Hak Akses sudah menggunakan API yang tersambung dengan
aplikasi HRIS sehingga proses tersebut berjalan otomatis.
Start
Akses di cabut
End
VIII. LAMPIRAN
-
TAMSIL NURHAMEDI
NIPP. 40855