Machine Translated by Google

PUBLIK

Dokumen Keamanan Informasi

Keamanan jaringan
Kebijakan

Versi 10.0

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

1
Machine Translated by Google

PUBLIK

Tanggal Versi 1.0 Detil Pengarang

1.0 2.0 02/03/2011 Selesai untuk Distribusi Jo Putih
31/03/2011 Disetujui oleh Information Governance Group Jo White
28/03/2012 Ditinjau oleh Tata Kelola Informasi Jo White
Kelompok
3.0 22/04/2013 Ditinjau oleh Tata Kelola Informasi Jo White
Kelompokkan dan ubah menjadi kebijakan
dari prosedur.
4.0 19/05/2014 Ditinjau oleh Tata Kelola Informasi Jo Putih
Kelompok
5.0 15/06/2015 Ditinjau oleh Tata Kelola Informasi Jo White
Kelompok.
6.0 07/11/2016 Ditinjau oleh Grup Tata Kelola Informasi. Jo White
Amandemen terhadap akses pihak ketiga.
7.0 07/08/2017 Ditinjau oleh Tata Kelola Informasi Jo Putih
Kelompok. Transformasi berubah menjadi TIK.
8.0 09/10/2018 Ditinjau oleh Grup Tata Kelola Informasi. Tidak ada Jo White
perubahan.
9.0 08/10/2019 Ditinjau oleh Grup Tata Kelola Informasi. Akses Jo White
Juniper diubah menjadi Akses Langsung. Manajer
Jaringan diubah menjadi Manajer Pusat Data.

10.0 03/11/2020 Ditinjau oleh Grup Tata Kelola Informasi. Tidak ada Jo Putih
perubahan.

Dokumen ini disusun dengan menggunakan kontrol standar ISO27001 berikut sebagai referensi:

Kontrol ISO Keterangan

A.6.1.2 Pemisahan tugas
A.7.2.2 Kesadaran keamanan informasi, pendidikan dan pelatihan
A.9.1.2 Akses ke jaringan dan layanan jaringan
A.9.2.1 Registrasi pengguna dan de-registrasi
A.9.2.3 Manajemen hak akses istimewa
A.9.2.6 Penghapusan atau penyesuaian hak akses
A.9.3.1 Penggunaan informasi otentikasi rahasia
A.9.4 Kontrol akses sistem dan aplikasi
A.10.1.2 Manajemen kunci
A.11 Keamanan fisik dan lingkungan
A.11.2 Peralatan
A.12.1.1 > 2 Prosedur operasi terdokumentasi/Manajemen perubahan
A.12.1.3 Manajemen kapasitas
A.12.1.4 Pemisahan lingkungan pengembangan, pengujian dan operasional
A.12.2.1 Kontrol terhadap malware
A.12.4 Pencatatan dan pemantauan
A.12.5.1 Instalasi perangkat lunak pada sistem operasional
A.12.6.1 Manajemen kerentanan teknis
A.12.7.1 Kontrol audit sistem informasi
A.13.1.1 > 2 Manajemen keamanan jaringan

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

2
Machine Translated by Google

PUBLIK

A.13.1.3 Segregasi dalam jaringan

A.14.1.1 Analisis dan spesifikasi persyaratan keamanan informasi
A.14.2.2 > 4 Keamanan dalam proses pengembangan dan dukungan
A.14.2.7 Pengembangan outsourcing
A.14.2.9 Pengujian penerimaan sistem
A.14.3.1 Perlindungan data uji
A.15 Hubungan pemasok
A.17.1.1 Merencanakan kontinuitas keamanan informasi
A.17.1.2 Menerapkan kontinuitas keamanan informasi
A.18.2 Tinjauan keamanan informasi

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

3
Machine Translated by Google

PUBLIK

1. Perkenalan
Derbyshire County Council memiliki infrastruktur TIK yang besar dan kompleks.
Fondasi dari struktur ini adalah Jaringan Data dan Komunikasi yang difasilitasi dan
didukung oleh banyak jenis perangkat keras termasuk pemasangan kabel ekstensif dan sistem
pendukung yang dipasang di berbagai gedung dan kantor Dewan di Derbyshire.

Dewan sangat bergantung pada infrastruktur Jaringan Data dan Komunikasi yang
memungkinkannya untuk:

• Menjalankan fungsi dan aktivitas bisnisnya menggunakan sistem TI yang terhubung

• Berkomunikasi melalui sistem telepon terintegrasi • Memfasilitasi teknologi Konferensi
Video • Menyediakan zona akses nirkabel “Hot Spot” dan layanan yang terhubung
dengan TIK ke
publik

2 Tujuan
Tujuan dari kebijakan ini adalah untuk memastikan keamanan, integritas, dan
ketersediaan Jaringan Data dan Komunikasi Dewan dan untuk menetapkan praktik
dan prosedur kerja profesional yang baik.

3 Ruang
Lingkup Cakupan kebijakan ini mencakup semua administrasi, instalasi, dan
konfigurasi peralatan Jaringan Data dan Komunikasi Dewan dan sistem terkait yang
merupakan bagian dari infrastruktur TI Dewan dan yang berada di bawah tanggung
jawab tim Dukungan Jaringan. Kebijakan ini harus dilakukan sejalan dengan semua
kebijakan dan prosedur Dewan yang ada.

4 Pernyataan Kebijakan
Peralatan Jaringan Data dan Komunikasi Dewan dipelihara dan dipasang di
sebagian besar gedung dan lokasi Dewan. Markas utama Dewan di Matlock
adalah lokasi Pusat Data. Pusat Data menampung sebagian besar peralatan Jaringan
Data dan Komunikasi dan berfungsi sebagai area akses utama ke Infrastruktur TIK
Dewan. Pusat Data kedua telah didirikan di Shand House di Darley Dale sebagai
lokasi siaga atau failover jika Pusat Data utama tidak dapat beroperasi.

Dewan telah menunjuk Manajer Pusat Data yang mengelola jaringan data dan
komunikasi.

Untuk mengamankan jaringan data dan komunikasi, Manajer Pusat Data harus
memastikan:

1. Semua pengunjung ke lingkungan Jaringan Data dan Komunikasi diberi lencana

pengunjung Dewan resmi dan masuk/keluar menggunakan prosedur yang benar
(Kebijakan Kontrol Akses Fisik Pusat Data)
2. Setiap pengunjung area lingkungan Jaringan Data dan Komunikasi harus
didampingi setiap saat oleh personel Dewan yang berwenang 3.
Setiap orang yang tidak dikenal oleh personel Jaringan harus ditantang untuk
menetapkan siapa mereka dan apakah otorisasi telah diberikan bagi mereka untuk
berada di sana

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

4
Machine Translated by Google

PUBLIK

4. Akses ke dan pengetahuan tentang kode kunci pintu dibatasi hanya untuk personel yang
berwenang dan tidak boleh dibagikan dengan orang yang tidak berwenang.
5. Kode akses yang digunakan untuk mekanisme penguncian yang aman harus diubah pada a
secara teratur seperti yang ditentukan oleh Manajer Pusat Data sejalan dengan kode praktik
ISO27002 dan segera ketika seorang karyawan (yang memiliki akses ke area TIK yang
sensitif) berhenti dipekerjakan oleh Dewan 6. Tag akses elektronik harus dikeluarkan untuk
staf yang berwenang di dasar individu. Staf yang diberikan tag akses harus memiliki nama dan
nomor karyawan yang dicatat dengan nomor tag akses terdaftar termasuk tanggal dan waktu
penerbitan 7. Tag akses hanya boleh digunakan oleh pengguna terdaftar dan tidak boleh
dipinjamkan atau diberikan kepada staf lain, terlepas dari dari senioritas mereka. Dalam
situasi darurat, personel yang berwenang dapat diizinkan untuk menggunakan tanda orang lain
yang berwenang jika tersedia dengan izin dari manajer lini dan pengguna yang direkam harus
hadir atau diberi tahu bahwa tanda mereka sedang digunakan.

Setiap penggunaan tersebut harus dicatat dan dipelihara dalam sistem pencatatan untuk
jenis kejadian ini dan disimpan dengan aman dengan akses terbatas.
8. Akses ke area Pusat Data, termasuk kantor yang bersebelahan yang dapat menyediakan
akses, harus dikunci dan diamankan dengan mekanisme penguncian yang sesuai

9. Tag akses yang dikeluarkan untuk personel yang tidak lagi bekerja untuk Dewan harus segera
dinonaktifkan dan dipulihkan – catatan tindakan ini harus disimpan, menggunakan sistem
pencatatan resmi
10. Pintu yang menyediakan akses Jaringan Data dan Komunikasi
peralatan tidak boleh dibiarkan/terjepit terbuka kecuali untuk tujuan pengiriman peralatan
baru, untuk mengakomodasi pergerakan peralatan yang ada, pengangkutan peralatan
pemeliharaan atau pembersihan – anggota staf yang berwenang harus hadir setiap saat
untuk mengawasi akses saat pintu dibiarkan terbuka

11. Semua Dewan/Pembersih yang Dikontrak harus memiliki dan menampilkan yang sesuai
identifikasi dan mengetahui persyaratan dalam kebijakan ini 12. Kunjungan pribadi,
akses khusus dari kerabat atau kenalan personel
tidak diizinkan di dalam area aman. Harus ada alasan yang sah untuk semua kunjungan dan
setiap pengunjung tersebut harus melalui prosedur masuk/keluar standar

13. Masalah apa pun yang berkaitan dengan otorisasi resmi akses ke Area Pusat Data harus
dimintakan dari Manajer Pusat Data – jika Manajer Pusat Data tidak ada, izin harus diminta
dari Asisten Direktur Layanan TIK atau Manajer Keamanan Informasi

Semua staf harus mematuhi Kebijakan Kontrol Akses Fisik Pusat Data yang tersedia
dari manajer Pusat Data

4.1 LINGKUNGAN

Pusat Data mengakomodasi peralatan infrastruktur TIK dari tim pendukung Jaringan dan Server. Akses
ke Pusat Data yang diberikan oleh personel dari salah satu tim kepada pengunjung harus secara resmi
disahkan oleh Manajer Pusat Data karena setiap akses yang diberikan akan memberikan akses ke
peralatan infrastruktur Jaringan dan Server. Jika Manajer Pusat Data tidak ada, izin resmi harus diminta
dari Asisten Direktur Layanan TIK atau Manajer Keamanan Informasi.

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

5
Machine Translated by Google

PUBLIK

Penting untuk mempertahankan tingkat profesionalisme yang tinggi untuk memastikan keamanan,
integritas, dan keselamatan Jaringan Data dan Komunikasi Dewan serta lingkungan pendukungnya.
Pusat Data adalah area TIK yang sensitif dan karenanya, memerlukan kontrol fisik dan lingkungan
tingkat tinggi. Kebijakan Kontrol Akses Fisik Pusat Data menjelaskan kontrol ini.

Semua personel yang berwenang harus memastikan bahwa mereka mematuhi kebijakan, prosedur, dan
praktik terbaik khusus untuk lingkungan kerja Jaringan Data dan Komunikasi dan Pusat Data.

4.2 KONFIGURASI DAN PEMELIHARAAN

Administrasi, pemeliharaan, dan dukungan untuk infrastruktur Jaringan TIK Dewan biasanya disediakan
oleh tim khusus yang terdiri dari personel Dukungan Jaringan.
Hal-hal berikut harus diperhatikan untuk melindungi keamanan, integritas dan reputasi Dewan:

1. Semua perangkat Jaringan Data dan Komunikasi harus terpasang dan

dipelihara sesuai dengan pedoman pabrikan sejalan dengan semua kebijakan dan prosedur
Dewan yang relevan. Ini juga akan mencakup catu daya yang relevan untuk perangkat Jaringan
Data dan Komunikasi.
2. Semua perangkat keras dan perangkat lunak Jaringan Data dan Komunikasi harus dibeli/
diperoleh melalui prosedur pengadaan Dewan yang disetujui.
3. Tingkat kepegawaian yang memadai harus disediakan setiap saat – khususnya untuk tujuan
panggilan keluar atau sistem yang membutuhkan dukungan di luar jam kerja
4. Pembaruan/peningkatan firmware untuk perangkat keras Jaringan Data dan Komunikasi hanya
boleh dilakukan jika ada persyaratan yang teridentifikasi atau kebutuhan untuk melakukannya
sejalan dengan prosedur pemeliharaan yang terdokumentasi 5. Setiap pengunjung, kontraktor,
atau vendor yang menjalankan perangkat keras/perangkat lunak
instalasi dan/atau pemeliharaan tidak dibiarkan tanpa pengawasan saat bekerja - kecuali
diizinkan oleh Manajer Pusat Data atau penyelia yang sesuai
Akses di dalam gedung juga harus dibatasi pada area di mana pekerjaan akan dilakukan

6. Data dan Komunikasi Perangkat jaringan harus berada secara fisik

area aman (ruang atau lemari komunikasi terkunci) untuk melindungi dari akses, pelepasan,
pemutusan, gangguan dan/atau kerusakan yang tidak sah.
7. Semua layanan yang tidak diperlukan yang berjalan pada perangkat jaringan harus
dinonaktifkan sedapat mungkin
8. Kontrol harus diterapkan untuk mencegah komunikasi langsung yang tidak sah
dengan perangkat jaringan (Infrastruktur ACL).
9. Pemisahan logis jaringan harus diterapkan pada Lapisan 2 (VLAN) dan lapisan 3 (subnet) dengan
kontrol akses yang diterapkan (VLAN Pribadi, ACL, firewall).

10. Semua pertukaran protokol routing harus disahkan dan diverifikasi.

11. Semua perangkat keamanan yang dikerahkan harus sesuai dengan
EAL4 12. Kabel data harus dapat diidentifikasi secara individual melalui penerapan skema
pelabelan untuk memastikan kabel tidak dilepas atau ditambal ulang karena kesalahan 13.
Warna kabel standar harus digunakan jika memungkinkan untuk membedakan antara kabel yang
membawa data DCC dan kabel yang membawa data mitra atau koneksi eksternal (penyedia
layanan).
14. Detail konfigurasi dan informasi sensitif lainnya yang berkaitan dengan manajemen jaringan tidak
boleh diedarkan ke pihak mana pun di luar tim Dukungan Jaringan.

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

6
Machine Translated by Google

PUBLIK

15. Prosedur pemulihan bencana harus ada jika terjadi kehilangan

Infrastruktur Jaringan Data dan Komunikasi Dewan dan dokumentasi prosedural
harus diperbarui secara berkala untuk menyertakan setiap perubahan/pembaruan
pada prosedur atau proses yang ada yang terlibat
16. Toleransi Kesalahan Infrastruktur Jaringan Data dan Komunikasi dan
Prosedur redundansi harus ada dan diuji keefektifannya secara teratur. Dokumentasi
prosedural harus diperbarui secara berkala untuk memasukkan setiap perubahan
atau pembaruan
17. Prosedur Manajemen Jaringan harus ada untuk administrasi semua fungsi jaringan
penting termasuk pemeliharaan firewall, manajemen Sistem Deteksi Intrusi dan
pemeliharaan log aktivitas Internet 18. Setiap perangkat keras atau sistem baru
yang akan dipasang sebagai bagian dari Data Dewan
dan Jaringan Komunikasi harus dilengkapi dengan dokumentasi yang merinci
spesifikasi lingkungan berjalan, prosedur pemasangan, dan detail masalah yang
diketahui yang dapat berdampak buruk pada keamanan dan integritas jaringan.
Infrastruktur TIK Dewan – persyaratan ini harus diidentifikasi secara formal dan
disertakan dalam dokumentasi sistem dan perjanjian layanan pada pengadaan
perangkat keras atau sistem
19. Perubahan konfigurasi Jaringan Data dan Komunikasi harus melewati Prosedur
Kontrol Perubahan Dewan dan setiap pekerjaan yang direncanakan untuk
dijadwalkan harus menyertakan pemberitahuan kepada semua pihak yang terkena
dampak melalui Prosedur Kontrol Perubahan 20. Perubahan Darurat akan
mengikuti Prosedur Perubahan Darurat yang disetujui yang membutuhkan perubahan
darurat untuk disetujui oleh staf yang ditunjuk dan untuk perubahan yang akan
didokumentasikan dan diserahkan secara retrospektif 21. Jika aktivitas yang tidak
pantas atau penyalahgunaan jaringan diidentifikasi oleh Tim Jaringan, hal ini harus segera
dilaporkan melalui protokol Pelaporan Insiden Keamanan dan jika ada dugaan
penipuan atau penyalahgunaan sistem serius yang dilaporkan ke Audit Internal

4.3 ADMINISTRASI

1. Akses administratif untuk pengelolaan Data dan Komunikasi

Perangkat jaringan hanya diizinkan dari stasiun kerja manajemen resmi yang
ditentukan oleh tim Dukungan Jaringan 2. Personil resmi dengan akses administratif
ke Data dan
Perangkat Jaringan Komunikasi dan/atau Server harus segera dinonaktifkan
akunnya setelah penghentian pekerjaan dengan Dewan 3. Akses administratif
untuk pengelolaan perangkat jaringan diizinkan
hanya untuk personel yang berwenang. Semua akses manajemen administratif harus
dipantau (termasuk upaya akses yang gagal) dan log peristiwa harus diperiksa untuk
peristiwa seperti upaya akses yang tidak sah
4. Hanya personel yang berwenang yang diberikan akses administratif penuh ke
perangkat infrastruktur jaringan – akses hanya baca dapat disediakan untuk pihak
lain jika diperlukan 5. Semua antarmuka yang digunakan untuk manajemen
administrasi sistem harus
diamankan dengan
tepat 6. Semua sesi administrasi/manajemen dan data harus dilindungi melalui
penggunaan protokol aman sesuai dengan praktik terbaik industri 7. Semua kata
sandi dalam konfigurasi perangkat jaringan harus dienkripsi.
8. Kata sandi perangkat lokal harus diubah setiap tiga bulan dan harus sesuai dengan
Kebijakan Kata Sandi Dewan sedapat mungkin

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

7
Machine Translated by Google

PUBLIK

9. Pemulihan kata sandi harus dinonaktifkan di semua perangkat - konfigurasi cadangan harus
tersedia jika terjadi keadaan darurat
10. Salinan kata sandi cadangan harus disimpan di lokasi yang aman baik di dalam maupun di luar
lokasi dan mudah diakses oleh staf yang berwenang bila diperlukan 11. Pemberitahuan yang
menampilkan penggunaan yang dapat diterima (diotorisasi) termasuk peringatan untuk penggunaan
yang tidak sah harus disampaikan kepada setiap pengguna yang terhubung ke perangkat
jaringan infrastruktur 12. Semua peralatan Jaringan Data dan Komunikasi yang mungkin
memerlukan lokal
hak logon untuk konfigurasi dan pemeliharaan yaitu Router dll… semua harus memiliki kata
sandi akun admin default (atau yang setara) bawaan yang diubah sejalan dengan pedoman
kebijakan Kata Sandi Dewan sedapat mungkin 13. Semua kata sandi akun sistem administratif
dan istimewa (bukan individu akun pengguna) harus disimpan menggunakan enkripsi yang
menggunakan enkripsi AES minimal 128 Bit dan hanya dapat diakses oleh personel Dukungan
Jaringan

4.4 PEMANTAUAN DAN EVENT LOGING

1. Peristiwa jaringan yang meliputi berikut ini, harus dicatat dan direkam
lokasi yang diamankan secara
terpusat: o Peristiwa
keamanan o Akses perangkat
jaringan o Peringatan kesalahan sistem atau peringatan
kritis o Peringatan ambang batas CPU dan memori o
Peristiwa perubahan perutean o Perubahan topologi
jaringan

2. Server yang digunakan untuk mencatat peristiwa/file data harus diamankan dengan tepat dari
akses tidak sah sesuai dengan prosedur Keamanan Server Dewan

3. Log peristiwa ke perangkat jaringan individual harus dinonaktifkan 4. File log

harus dianalisis secara rutin untuk memastikan anomali, kegagalan,
perubahan tak terduga atau peristiwa penting lainnya dilaporkan di bawah proses manajemen
insiden/peristiwa Dewan 5. Semua jam perangkat jaringan harus disinkronkan dengan
sumber waktu pusat
(Server NTP)
6. Profil lalu lintas jaringan harus dipantau dan dianalisis kapasitasnya
manajemen dan deteksi anomali

4.5 AKSES REMOTE

1. Harus ada prosedur untuk memastikan bahwa setiap koneksi jarak jauh eksternal yang diaktifkan
untuk perangkat lunak/dukungan sistem pihak ketiga ke Jaringan/Server Dewan diatur untuk
terhubung melalui Portal Akses Jarak Jauh (RAP) Dewan yang aman.

2. Tim Network Support harus memastikan bahwa prosedur dan

proses tersedia untuk memfasilitasi dan memungkinkan vendor pihak ketiga memberikan
dukungan untuk perangkat lunak dan sistem Dewan menggunakan metode paling aman yang
tersedia

3. Akses jarak jauh yang disediakan untuk dukungan pihak ketiga harus dikelola melalui sesi
bersama Portal Akses Jarak Jauh (RAP) yang aman dengan anggota Tim Pusat Data/Jaringan
dan/atau staf Dewan yang berwenang secara tepat

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

8
Machine Translated by Google

PUBLIK

anggota yang bertanggung jawab untuk dan mengendalikan peningkatan/pencabutan

hak istimewa dalam sesi bersama dan untuk akun dukungan jarak jauh.
Dokumentasi yang merinci proses ini harus dikembangkan dan disebarluaskan ke area
yang relevan seperti Meja Layanan Layanan TIK untuk melindungi infrastruktur Jaringan
dan Server Dewan 4. Tim Dukungan Jaringan harus memfasilitasi staf Dewan untuk
mengakses
Jaringan Dewan/Server dari jarak jauh dan tim harus memastikan pengguna
dibatasi untuk menggunakan protokol paling aman dan mekanisme tunneling yang
tersedia
5. Staf Dukungan Jaringan yang bekerja dari jarak jauh atau dari rumah harus mematuhi
kontrol dan prosedur yang sama seperti saat bekerja di dalam kampus Dewan untuk
memastikan keamanan, integritas, dan untuk mencegah kehilangan dan/atau kerusakan
aset dan reputasi Dewan

5 Pelanggaran Kebijakan

Pelanggaran kebijakan dan/atau insiden keamanan ini dapat didefinisikan sebagai peristiwa
yang dapat mengakibatkan, atau mengakibatkan, kehilangan atau kerusakan aset Dewan, atau
peristiwa yang melanggar prosedur dan kebijakan keamanan Dewan.
Semua pegawai Dewan, anggota terpilih, agen mitra, kontraktor, dan vendor memiliki tanggung
jawab untuk melaporkan insiden keamanan dan pelanggaran kebijakan ini secepat mungkin
melalui Prosedur Pelaporan Insiden Dewan. Kewajiban ini juga meluas ke setiap organisasi
eksternal yang dikontrak untuk mendukung atau mengakses Sistem Informasi Dewan.

Dewan akan mengambil langkah-langkah yang tepat untuk memperbaiki setiap pelanggaran
kebijakan dan prosedur serta pedoman terkait melalui kerangka kerja relevan yang ada.
Dalam kasus individu maka masalah tersebut dapat ditangani di bawah proses disipliner.

Dokumen ini dimiliki oleh Grup Tata Kelola Informasi dan merupakan bagian dari
Kebijakan SMKI Dewan dan karenanya, harus dipatuhi sepenuhnya.

V10.0 Kebijakan Keamanan Jaringan Dewan Kabupaten Derbyshire

9