Network Security Policy
Network Security Policy
PUBLIK
Keamanan jaringan
Kebijakan
Versi 10.0
PUBLIK
10.0 03/11/2020 Ditinjau oleh Grup Tata Kelola Informasi. Tidak ada Jo Putih
perubahan.
Dokumen ini disusun dengan menggunakan kontrol standar ISO27001 berikut sebagai referensi:
PUBLIK
PUBLIK
1. Perkenalan
Derbyshire County Council memiliki infrastruktur TIK yang besar dan kompleks.
Fondasi dari struktur ini adalah Jaringan Data dan Komunikasi yang difasilitasi dan
didukung oleh banyak jenis perangkat keras termasuk pemasangan kabel ekstensif dan sistem
pendukung yang dipasang di berbagai gedung dan kantor Dewan di Derbyshire.
Dewan sangat bergantung pada infrastruktur Jaringan Data dan Komunikasi yang
memungkinkannya untuk:
2 Tujuan
Tujuan dari kebijakan ini adalah untuk memastikan keamanan, integritas, dan
ketersediaan Jaringan Data dan Komunikasi Dewan dan untuk menetapkan praktik
dan prosedur kerja profesional yang baik.
3 Ruang
Lingkup Cakupan kebijakan ini mencakup semua administrasi, instalasi, dan
konfigurasi peralatan Jaringan Data dan Komunikasi Dewan dan sistem terkait yang
merupakan bagian dari infrastruktur TI Dewan dan yang berada di bawah tanggung
jawab tim Dukungan Jaringan. Kebijakan ini harus dilakukan sejalan dengan semua
kebijakan dan prosedur Dewan yang ada.
4 Pernyataan Kebijakan
Peralatan Jaringan Data dan Komunikasi Dewan dipelihara dan dipasang di
sebagian besar gedung dan lokasi Dewan. Markas utama Dewan di Matlock
adalah lokasi Pusat Data. Pusat Data menampung sebagian besar peralatan Jaringan
Data dan Komunikasi dan berfungsi sebagai area akses utama ke Infrastruktur TIK
Dewan. Pusat Data kedua telah didirikan di Shand House di Darley Dale sebagai
lokasi siaga atau failover jika Pusat Data utama tidak dapat beroperasi.
Dewan telah menunjuk Manajer Pusat Data yang mengelola jaringan data dan
komunikasi.
Untuk mengamankan jaringan data dan komunikasi, Manajer Pusat Data harus
memastikan:
PUBLIK
4. Akses ke dan pengetahuan tentang kode kunci pintu dibatasi hanya untuk personel yang
berwenang dan tidak boleh dibagikan dengan orang yang tidak berwenang.
5. Kode akses yang digunakan untuk mekanisme penguncian yang aman harus diubah pada a
secara teratur seperti yang ditentukan oleh Manajer Pusat Data sejalan dengan kode praktik
ISO27002 dan segera ketika seorang karyawan (yang memiliki akses ke area TIK yang
sensitif) berhenti dipekerjakan oleh Dewan 6. Tag akses elektronik harus dikeluarkan untuk
staf yang berwenang di dasar individu. Staf yang diberikan tag akses harus memiliki nama dan
nomor karyawan yang dicatat dengan nomor tag akses terdaftar termasuk tanggal dan waktu
penerbitan 7. Tag akses hanya boleh digunakan oleh pengguna terdaftar dan tidak boleh
dipinjamkan atau diberikan kepada staf lain, terlepas dari dari senioritas mereka. Dalam
situasi darurat, personel yang berwenang dapat diizinkan untuk menggunakan tanda orang lain
yang berwenang jika tersedia dengan izin dari manajer lini dan pengguna yang direkam harus
hadir atau diberi tahu bahwa tanda mereka sedang digunakan.
Setiap penggunaan tersebut harus dicatat dan dipelihara dalam sistem pencatatan untuk
jenis kejadian ini dan disimpan dengan aman dengan akses terbatas.
8. Akses ke area Pusat Data, termasuk kantor yang bersebelahan yang dapat menyediakan
akses, harus dikunci dan diamankan dengan mekanisme penguncian yang sesuai
9. Tag akses yang dikeluarkan untuk personel yang tidak lagi bekerja untuk Dewan harus segera
dinonaktifkan dan dipulihkan – catatan tindakan ini harus disimpan, menggunakan sistem
pencatatan resmi
10. Pintu yang menyediakan akses Jaringan Data dan Komunikasi
peralatan tidak boleh dibiarkan/terjepit terbuka kecuali untuk tujuan pengiriman peralatan
baru, untuk mengakomodasi pergerakan peralatan yang ada, pengangkutan peralatan
pemeliharaan atau pembersihan – anggota staf yang berwenang harus hadir setiap saat
untuk mengawasi akses saat pintu dibiarkan terbuka
11. Semua Dewan/Pembersih yang Dikontrak harus memiliki dan menampilkan yang sesuai
identifikasi dan mengetahui persyaratan dalam kebijakan ini 12. Kunjungan pribadi,
akses khusus dari kerabat atau kenalan personel
tidak diizinkan di dalam area aman. Harus ada alasan yang sah untuk semua kunjungan dan
setiap pengunjung tersebut harus melalui prosedur masuk/keluar standar
13. Masalah apa pun yang berkaitan dengan otorisasi resmi akses ke Area Pusat Data harus
dimintakan dari Manajer Pusat Data – jika Manajer Pusat Data tidak ada, izin harus diminta
dari Asisten Direktur Layanan TIK atau Manajer Keamanan Informasi
Semua staf harus mematuhi Kebijakan Kontrol Akses Fisik Pusat Data yang tersedia
dari manajer Pusat Data
4.1 LINGKUNGAN
Pusat Data mengakomodasi peralatan infrastruktur TIK dari tim pendukung Jaringan dan Server. Akses
ke Pusat Data yang diberikan oleh personel dari salah satu tim kepada pengunjung harus secara resmi
disahkan oleh Manajer Pusat Data karena setiap akses yang diberikan akan memberikan akses ke
peralatan infrastruktur Jaringan dan Server. Jika Manajer Pusat Data tidak ada, izin resmi harus diminta
dari Asisten Direktur Layanan TIK atau Manajer Keamanan Informasi.
PUBLIK
Penting untuk mempertahankan tingkat profesionalisme yang tinggi untuk memastikan keamanan,
integritas, dan keselamatan Jaringan Data dan Komunikasi Dewan serta lingkungan pendukungnya.
Pusat Data adalah area TIK yang sensitif dan karenanya, memerlukan kontrol fisik dan lingkungan
tingkat tinggi. Kebijakan Kontrol Akses Fisik Pusat Data menjelaskan kontrol ini.
Semua personel yang berwenang harus memastikan bahwa mereka mematuhi kebijakan, prosedur, dan
praktik terbaik khusus untuk lingkungan kerja Jaringan Data dan Komunikasi dan Pusat Data.
Administrasi, pemeliharaan, dan dukungan untuk infrastruktur Jaringan TIK Dewan biasanya disediakan
oleh tim khusus yang terdiri dari personel Dukungan Jaringan.
Hal-hal berikut harus diperhatikan untuk melindungi keamanan, integritas dan reputasi Dewan:
PUBLIK
4.3 ADMINISTRASI
PUBLIK
9. Pemulihan kata sandi harus dinonaktifkan di semua perangkat - konfigurasi cadangan harus
tersedia jika terjadi keadaan darurat
10. Salinan kata sandi cadangan harus disimpan di lokasi yang aman baik di dalam maupun di luar
lokasi dan mudah diakses oleh staf yang berwenang bila diperlukan 11. Pemberitahuan yang
menampilkan penggunaan yang dapat diterima (diotorisasi) termasuk peringatan untuk penggunaan
yang tidak sah harus disampaikan kepada setiap pengguna yang terhubung ke perangkat
jaringan infrastruktur 12. Semua peralatan Jaringan Data dan Komunikasi yang mungkin
memerlukan lokal
hak logon untuk konfigurasi dan pemeliharaan yaitu Router dll… semua harus memiliki kata
sandi akun admin default (atau yang setara) bawaan yang diubah sejalan dengan pedoman
kebijakan Kata Sandi Dewan sedapat mungkin 13. Semua kata sandi akun sistem administratif
dan istimewa (bukan individu akun pengguna) harus disimpan menggunakan enkripsi yang
menggunakan enkripsi AES minimal 128 Bit dan hanya dapat diakses oleh personel Dukungan
Jaringan
1. Peristiwa jaringan yang meliputi berikut ini, harus dicatat dan direkam
lokasi yang diamankan secara
terpusat: o Peristiwa
keamanan o Akses perangkat
jaringan o Peringatan kesalahan sistem atau peringatan
kritis o Peringatan ambang batas CPU dan memori o
Peristiwa perubahan perutean o Perubahan topologi
jaringan
2. Server yang digunakan untuk mencatat peristiwa/file data harus diamankan dengan tepat dari
akses tidak sah sesuai dengan prosedur Keamanan Server Dewan
1. Harus ada prosedur untuk memastikan bahwa setiap koneksi jarak jauh eksternal yang diaktifkan
untuk perangkat lunak/dukungan sistem pihak ketiga ke Jaringan/Server Dewan diatur untuk
terhubung melalui Portal Akses Jarak Jauh (RAP) Dewan yang aman.
3. Akses jarak jauh yang disediakan untuk dukungan pihak ketiga harus dikelola melalui sesi
bersama Portal Akses Jarak Jauh (RAP) yang aman dengan anggota Tim Pusat Data/Jaringan
dan/atau staf Dewan yang berwenang secara tepat
PUBLIK
5 Pelanggaran Kebijakan
Pelanggaran kebijakan dan/atau insiden keamanan ini dapat didefinisikan sebagai peristiwa
yang dapat mengakibatkan, atau mengakibatkan, kehilangan atau kerusakan aset Dewan, atau
peristiwa yang melanggar prosedur dan kebijakan keamanan Dewan.
Semua pegawai Dewan, anggota terpilih, agen mitra, kontraktor, dan vendor memiliki tanggung
jawab untuk melaporkan insiden keamanan dan pelanggaran kebijakan ini secepat mungkin
melalui Prosedur Pelaporan Insiden Dewan. Kewajiban ini juga meluas ke setiap organisasi
eksternal yang dikontrak untuk mendukung atau mengakses Sistem Informasi Dewan.
Dewan akan mengambil langkah-langkah yang tepat untuk memperbaiki setiap pelanggaran
kebijakan dan prosedur serta pedoman terkait melalui kerangka kerja relevan yang ada.
Dalam kasus individu maka masalah tersebut dapat ditangani di bawah proses disipliner.
Dokumen ini dimiliki oleh Grup Tata Kelola Informasi dan merupakan bagian dari
Kebijakan SMKI Dewan dan karenanya, harus dipatuhi sepenuhnya.