Kebijakan AP 2021

KEBIJAKAN SISTEM MANAJEMEN KEAMANAN INFORMASI
CV ANUGRAH PRATAMA
2021
DOKUMEN INI MERUPAKAN DOKUMEN YANG SENANTIASA DAPAT BERUBAH (LIVING DOCUMENT) SESUAI
DENGAN PERKEMBANGAN BISNIS DAN TEKNOLOGI, SEHINGGA PERLU DILAKUKAN TINJAUAN SEKURANG-
KURANGNYA SETAHUN SEKALI (ANNUAL REVIEW)
KEBIJAKAN SISTEM MANAJEMEN KEAMANAN INFORMASI
DI LINGKUNGAN
CV. ANUGRAH PRATAMA

Nomor Dokumen : 001/SMKI/AP/IT/II/2021
Tanggal Terbit : 1 Februari 2021
Nomor Revisi : 00
Status : Aktif
Disusun oleh: Direview oleh: Diketahui oleh: Disahkan oleh:
Alvita Ayu Febriyanti Slamet Riadi K I Made Gery Inggrayana Oliver Johanes
ISMS Document ISMS Coordinator Manager Business Setiawan Direktur
Control Development
No. Dokumen : 001/SMKI/AP/IT/II/2021
KEBIJAKAN SISTEM MANAJEMEN
Tanggal : 1 Februari 2021
KEAMANAN INFORMASI
Revisi : 00
Catatan Revisi
Versi Tanggal Diusulkan Oleh Deskripsi dan Riwayat Perubahan
00 1 Februari 2021 ISMS Coordinator Dokumen Baru
Distribusi Dokumen
No. Penerima
1. Direktur
2. Manager HRD- GA
3. Manager Sales
4. Manager Business Development
5. Manager Financial, Accounting & Tax
i
KEAMANAN INFORMASI
Revisi : 00
DAFTAR ISI
1. Pendahuluan ................................................................................................................................... 7
2. Sasaran ............................................................................................................................................ 7
3. Tujuan.............................................................................................................................................. 7
4. Ruang Lingkup ................................................................................................................................. 8
5. Kebijakan Keamanan Informasi....................................................................................................... 8
5.1. Arahan Manajemen Untuk Keamanan Informasi .................................................................... 8
5.1.1. Kebijakan Keamanan Informasi ....................................................................................... 8
5.1.2. Peninjauan (review) Kebijakan Keamanan Informasi ...................................................... 8
6. Organisasi Keamanan Informasi...................................................................................................... 9
6.1. Organisasi Internal................................................................................................................... 9
6.1.1. Tugas dan Tanggung Jawab keamanan informasi ........................................................... 9
6.1.2. Pemisahan Tugas dan Tanggung Jawab ........................................................................... 9
6.1.3. Hubungan dengan pihak berwenang ............................................................................. 10
6.1.4. Hubungan dengan Special Interest Group ..................................................................... 10
6.1.5. Keamanan Informasi Dalam Manajemen Proyek .......................................................... 10
6.2. Mobile Computing dan Teleworking ..................................................................................... 11
6.2.1. Kebijakan perangkat mobile .......................................................................................... 11
6.2.2. Teleworking.................................................................................................................... 11
7. Keamanan Sumber Daya Manusia ................................................................................................ 12
7.1. Sebelum status kepegawaian dimulai (Prior to employment)............................................... 12
7.1.1. Penyaringan (screening) ................................................................................................ 12
7.1.2. Syarat dan Ketentuan Kepegawaian .............................................................................. 12
7.2. Pada saat status kepegawaian berjalan ................................................................................ 12
7.2.1. Tanggung Jawab Manajemen ........................................................................................ 13
7.2.2. Kesadaran, Pendidikan dan Pelatihan Terkait Dengan Keamanan Informasi................ 13
7.2.3. Proses Pendisiplinan ...................................................................................................... 13
7.3. Pemberhentian atau pergantian status kepegawaian. ......................................................... 13
7.3.1. Pemberhentian atau Pergantian Status Kepegawaian. ................................................. 13
1
KEAMANAN INFORMASI
Revisi : 00
8. Pengelolaan Aset ........................................................................................................................... 15

8.1. Tanggung Jawab Terkait Aset ................................................................................................ 15
8.1.1. Inventarisasi Aset ........................................................................................................... 15
8.1.2. Kepemilikan Aset ........................................................................................................... 15
8.1.3. Penggunaan Aset Yang Diterima.................................................................................... 16
8.1.4. Pengembalian Aset ........................................................................................................ 17
8.2. Klasifikasi Informasi ............................................................................................................... 17
8.2.1. Klasifikasi Informasi ....................................................................................................... 17
8.2.2. Pelabelan dan Penanganan Informasi ........................................................................... 18
8.2.3. Penanganan Aset ........................................................................................................... 19
8.3. Penanganan Media Penyimpanan Informasi ........................................................................ 22
8.3.1. Pengelolaan Removable Media ..................................................................................... 22
8.3.2. Pemusnahan Media ....................................................................................................... 23
8.3.3. Pertukaran Media Fisik .................................................................................................. 23
9. Pengendalian Akses....................................................................................................................... 24
9.1. Prasyarat Bisnis Dalam Pengendalian Akses ......................................................................... 24
9.1.1. Kebijakan pengendalian hak akses ................................................................................ 24
9.1.2. Akses Ke Jaringan Dan Layanan Jaringan ....................................................................... 24
9.2. Pengelolaan Akses Pengguna ................................................................................................ 25
9.2.1. Pendaftaran dan penghapusan pengguna (user) sistem informasi ............................... 25
9.2.2. Pemberian Hak Akses Pengguna.................................................................................... 26
9.2.3. Pengelolaan Hak Akses Khusus (privileged access rights) ............................................. 26
9.2.4. Pengelolaan Informasi Otentifikasi Rahasia Milik Pengguna......................................... 27
9.2.5. Peninjauan Terhadap Hak Akses Pengguna ................................................................... 27
9.2.6. Perubahan atau Pencabutan Hak Akses ........................................................................ 28
9.3. Tanggung Jawab Pengguna (user) ......................................................................................... 28
9.3.1. Penggunaan Informasi Otentifikasi Pengguna yang Bersifat Rahasia ........................... 29
9.4. Pengendalian Akses Informasi dan Aplikasi .......................................................................... 30
9.4.1. Pembatasan akses informasi ......................................................................................... 30
9.4.2. Prosedur log-on secara aman ........................................................................................ 30
9.4.3. Sistem Pengelolaan Password ....................................................................................... 30
9.4.4. Penggunaan Program Utilisasi Khusus........................................................................... 31
2
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
9.4.5. Pengendalian akses ke kode program (source code). ................................................. 31

10. Kriptografi ..................................................................................................................................... 32
10.1. Pengendalian Kriptografi ....................................................................................................... 32
10.1.1. Kebijakan penggunaan kriptografi ................................................................................. 32
10.1.2. Manajemen dari key untuk kebutuhan kriptografi........................................................ 32
11. Keamanan Fisik Dan Lingkungan ................................................................................................... 33
11.1. Wilayah yang Aman ............................................................................................................... 33
11.1.1. Perimeter Keamanan Fisik ............................................................................................. 33
11.1.2. Pengendalian akses fisik ................................................................................................ 33
11.1.3. Pengamanan Ruang Kantor dan Fasilitasnya ................................................................. 33
11.1.4. Perlindungan Terhadap Ancaman Eksternal dan Lingkungan ....................................... 34
11.1.5. Bekerja di Area Aman (Operasional) ............................................................................. 34
11.1.6. Area untuk delivery dan loading .................................................................................... 34
11.2. Perangkat............................................................................................................................... 34
11.2.1. Perlindungan dan penempatan peralatan ..................................................................... 35
11.2.2. Sarana Pendukung ......................................................................................................... 35
11.2.3. Pengamanan pengkabelan............................................................................................. 35
11.2.4. Pemeliharaan peralatan................................................................................................. 35
11.2.5. Pemindahan Peralatan Milik Operasional CV. Anugrah Pratama .................................. 35
11.2.6. Pengamanan peralatan diluar wilayah CV. Anugrah Pratama....................................... 35
11.2.7. Pemusnahan atau Penggunaan Kembali Peralatan Secara Aman ................................. 36
11.2.8. Perlindungan untuk perangkat yang tidak dalam pengawasan..................................... 36
11.2.9. Clear desk dan clear screen............................................................................................ 36
12. Keamanan Operasional ................................................................................................................. 37
12.1. Tanggung Jawab dan Prosedur Operasional ......................................................................... 37
12.1.1. Prosedur Operasional Yang Terdokumentasi ................................................................ 37
12.1.2. Manajemen Perubahan ................................................................................................. 37
12.1.3. Manajemen Kapasitas.................................................................................................... 37
12.1.4. Pemisahan lingkungan pengembangan, pengujian dan operasional sistem informasi. 38
12.2. Perlindungan terhadap Malware .......................................................................................... 38
12.2.1. Pengendalian Terhadap Malware .................................................................................. 38
3
KEAMANAN INFORMASI
Revisi : 00
12.3. Back-up .................................................................................................................................. 39

12.3.1. Back-up Informasi .......................................................................................................... 39
12.4. Logging dan Pemantauan ...................................................................................................... 39
12.4.1. Event Logging................................................................................................................. 39
12.4.2. Perlindungan terhadap informasi log ............................................................................ 40
12.4.3. Log bagi administrator dan operator sistem ................................................................. 40
12.4.4. Sinkronisasi waktu ......................................................................................................... 40
12.5. Keamanan Operasional ......................................................................................................... 40
12.5.1. Instalasi perangkat lunak pada sistem operasional ....................................................... 40
12.6. Pengelolaan technical vulnerability ....................................................................................... 41
12.6.1. Pengendalian terhadap kelemahan teknis (technical vulnerability).............................. 41
12.6.2. Pembatasan instalasi perangkat lunak .......................................................................... 41
12.7. Pertimbangan dalam audit sistem informasi ........................................................................ 42
12.7.1. Pengendalian terhadap audit sistem informasi ............................................................. 42
13. Keamanan Komunikasi .................................................................................................................. 42
13.1. Manajemen Keamanan Jaringan ........................................................................................... 42
13.1.1. Pengendalian jaringan ................................................................................................... 42
13.1.2. Keamanan Layanan Jaringan.......................................................................................... 43
13.1.3. Pemisahan (segregation) dalam jaringan ...................................................................... 43
13.2. Pertukaran Informasi ............................................................................................................. 44
13.2.1. Kebijakan dan Prosedur Pertukaran Informasi .............................................................. 44
13.2.2. Perjanjian Pertukaran .................................................................................................... 44
13.2.3. Pesan Elektronik (e-mail) ............................................................................................... 44
13.2.4. Perjanjian Kerahasiaan .................................................................................................. 45
14. Akuisisi Dan Pemeliharaan Sistem ................................................................................................ 45
14.1. Requirement keamanan sistem informasi ............................................................................. 45
14.1.1. Analisa dan penentuan spesifikasi dari kebutuhan keamanan dalam sistem
informasi ........................................................................................................................ 45
14.1.2. Pengujian Penerimaan Sistem ....................................................................................... 45
14.1.3. Pengamanan Lingkungan Pengembangan ..................................................................... 45
14.1.4. Pengujian Keamanan Sistem.......................................................................................... 46
14.1.5. Penerapan keamanan informasi pada layanan aplikasi yang melewati jaringan
publik ............................................................................................................................. 46
4
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
14.1.6. Kaidah rekayasa sistem yang aman ............................................................................... 46

14.1.7. Reviu Teknikal dari aplikasi setelah Perubahan Sistem Operasi.................................... 46
14.1.8. Keamanan Dalam Proses Pengembangan ..................................................................... 47
15. Hubungan Dengan Supplier ........................................................................................................... 48
15.1. Pengamanan pada Proses Pengembangan dan Support ....................................................... 48
15.1.1. Kebijakan keamanan informasi untuk hubungan dengan supplier ............................... 48
15.1.2. Menangani keamanan informasi dalam perjanjian dengan supplier ............................ 48
15.1.3. Supply Chain dari teknologi informasi dan komunikasi ................................................. 48
15.2. Pengelolaan Pemberian Layanan (Service Delivery) .............................................................. 49
15.2.1. Pemantauan dan Peninjauan Layanan dari Supplier ..................................................... 49
15.2.2. Mengelola perubahan kepada layanan dari Supplier .................................................... 49
16. Manajemen Insiden Keamanan Informasi .................................................................................... 49
16.1. Manajemen insiden keamanan informasi dan perbaikan terhadap sistem .......................... 49
16.1.1. Tanggung jawab dan prosedur penanganan insiden keamanan informasi ................... 49
16.1.2. Pelaporan insiden dalam sistem keamanan informasi .................................................. 50
16.1.3. Proses pelaporan kelemahan dalam sistem keamanan informasi ................................ 50
16.1.4. Assessment dari dan Keputusan terhadap kejadian keamanan informasi .................... 50
16.1.5. Response terhadap insiden keamanan informasi .......................................................... 50
16.1.6. Proses pembelajaran dari insiden keamanan informasi................................................ 50
16.1.7. Pengumpulan bukti (evidence) ...................................................................................... 50
17. Keamanan Informasi Dalam Kelangsungan Bisnis......................................................................... 51
17.1. Keberlanjutan Keamanan Informasi ...................................................................................... 51
17.1.1. Penerapan proses business continuity management .................................................... 51
17.1.2. Pengembangan dan implementasi continuity plan yang mencakup aspek keamanan
informasi ........................................................................................................................ 52
17.1.3. Pengujian continuity plan yang mencakup aspek keamanan informasi ........................ 52
17.2. Redundancies......................................................................................................................... 52
17.2.1. Ketersediaan dari fasilitas pemrosesan informasi ......................................................... 52
18. Kepatuhan (Complience) ............................................................................................................... 53
18.1. Kepatuhan Terhadap Prasyarat Hukum dan Kontraktual ..................................................... 53
18.1.1. Identifikasi aturan hukum, regulasi maupun kontrak yang berlaku .............................. 53
5
KEAMANAN INFORMASI
Revisi : 00
18.1.2. Hak Atas Kekayaan Intelektual (HAKI) ........................................................................... 53

18.1.3. Perlindungan terhadap record CV. Anugrah Pratama ................................................... 53
18.1.4. Pengamanan Data Pribadi ............................................................................................. 54
18.2. Kepatuhan terhadap kebijakan, standar, dan technical complience..................................... 54
18.2.1. Kepatuhan terhadap kebijakan dan standard keamanan informasi ............................. 54
18.2.2. Pemeriksaan technical compliance ................................................................................ 54
6
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
1. Pendahuluan
Keamanan informasi menjadi hal yang sangat penting bagi CV. Anugrah Pratama yang
menggunakan teknologi informasi, hal ini dikarenakan informasi merupakan aset yang harus
dilindungi keamanannya. Penerapan Keamanan informasi bertujuan untuk menjamin
keberlangsungan ketersediaan informasi dari risiko yang mungkin terjadi yang dapat
menyebabkan pengelolaan proses menjadi terganggu. Untuk itu, CV. Anugrah Pratama
mempunyai tanggung jawab dalam mengelola informasi agar terhindar dari risiko kerusakan,
kehilangan atau terungkapnya informasi ke pihak luar. Proses perlindungan terhadap informasi
tersebut harus dikelola dengan baik sehingga informasi yang dihasilkan dapat terjaga
kerahasiannya, keakuratannya, dan ketersedian secara efektif. Semakin banyak informasi
Organisasi yang disimpan dan dikelola, maka semakin besar pula risiko terjadinya kerusakan,
kehilangan atau terungkapnya informasi ke pihak luar yang tidak diinginkan. Proses
perlindungan terhadap informasi tersebut harus dikelola dengan baik sehingga informasi yang
dihasilkan dapat terjaga kerahasiannya (confidentiality), keakuratannya (integrity), dan
ketersedian (availability) secara efektif.
2. Sasaran
Sejalan dengan pentingnya informasi di Layanan sistem elektronik perdagangan CV.
Anugrah Pratama, maka sasaran utama dari kebijakan keamanan informasi adalah memberikan
arahan mengenai proses-proses keamanan informasi terkait dengan perlindungan terhadap
aset teknologi informasi yang digunakan. Keamanan informasi dapat dicapai dengan penerapan
secara menyeluruh dan konsisten terhadap kontrol keamanan informasi yang tertuang dalam
kebijakan ini. Penggunaan dan pengelolaan informasi melatarbelakangi disusunnya kebijakan
keamanan informasi yang mengacu pada standar internasional sistem manajemen keamanan
informasi sebagai panduan dalam penerapan Sistem Manajemen Keamanan Informasi (SMKI)
di lingkungan CV. Anugrah Pratama khususnya Layanan sistem elektronik perdagangan CV.
Anugrah Pratama.
3. Tujuan
Dokumen ini bertujuan untuk menyediakan kerangka kerja dalam penerapan
pengendalian pengamanan informasi dan untuk meningkatkan pengertian umum mengenai
penerapan Sistem Manajemen Kemanan Informasi (SMKI) yang disesuaikan dengan standar
yang berlaku mengenai Pengamanan Informasi.
Dengan adanya Sistem Manajemen Keamanan Informasi (SMKI) yang diterapkan di
Layanan sistem elektronik perdagangan CV. Anugrah Pratama diharapkan dapat meningkatkan
perlindungan terhadap perangkat dan aplikasi dan mengurangi resiko penyalahgunaan
informasi yang ada dalam rangka mengamankan data dan informasi milik CV. Anugrah Pratama.
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
4. Ruang Lingkup
Lingkup dalam kebijakan keamanan informasi di Layanan sistem elektronik perdagangan
CV. Anugrah Pratama ini mengacu kepada kontrol keamanan standard ISO 27001:2013.
5. Kebijakan Keamanan Informasi

5.1. Arahan Manajemen Untuk Keamanan Informasi
Kebijakan Keamanan informasi bertujuan untuk melindungi aset Organisasi yang
dikelola dan digunakan agar terhindar dari berbagai ancaman internal maupun
eksternal yang meliputi keamanan data, perangkat teknologi, infrastruktur dan
sistem, seluruh aktivitas serta proses yang terkait dengan penyediaan informasi.
5.1.1. Kebijakan Keamanan Informasi

Aturan Kebijakan :
(1) Dokumen kebijakan keamanan informasi harus disetujui oleh CV. Anugrah
Pratama untuk penerapan di Layanan sistem elektronik perdagangan CV.
Anugrah Pratama.
(2) Dokumen Kebijakan Keamanan Informasi ini harus disosialisasikan kepada
seluruh pegawai CV. Anugrah Pratama.
5.1.2. Peninjauan (review) Kebijakan Keamanan Informasi

Aturan Kebijakan :
(1) Dokumen kebijakan keamanan informasi harus dievaluasi setidaknya 1 kali
dalam 1 tahun untuk menjaga kesesuaian efektifitas penerapannya.
(2) Apabila dari hasil peninjauan terdapat perubahan maka harus dilakukan
pengkinian terhadap dokumen kebijakan tersebut.
8
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
6. Organisasi Keamanan Informasi

6.1. Organisasi Internal
Manajemen CV. Anugrah Pratama harus secara jelas menetapkan tugas dan
tanggung jawab serta proses koordinasi dalam proses keamanan informasi.
6.1.1. Tugas dan Tanggung Jawab keamanan informasi

Aturan Kebijakan :
(1) Tugas dan tanggung jawab terkait keamanan informasi di Layanan sistem
elektronik perdagangan CV. Anugrah Pratama harus didefinisikan dan
dialokasikan secara formal.
(2) Tugas dan tanggung jawab yang dimaksud dalam butir (1) diatas perlu
mencakup
a. Tugas dan tanggung jawab pengamanan aset informasi dan
pengelolaan informasi yang dimiliki dan/atau dikelola dalam
Layanan sistem elektronik perdagangan CV. Anugrah Pratama.
b. Tugas dan tanggung jawab untuk pengambilan keputusan terkait
proses keamanan informasi.
(3) Setiap pegawai CV. Anugrah Pratama harus memahami mengenai tugas
dan tanggung jawab terkait proses operasional yang dilakukan dan kontrol
keamanan informasi yang diterapkan dalam melindungi aset informasi
dan aset pengolahan informasi yang dimiliki dan/atau dikelola dalam
lingkungan Layanan sistem elektronik perdagangan CV. Anugrah Pratama.
6.1.2. Pemisahan Tugas dan Tanggung Jawab

Aturan Kebijakan :
(1) Tugas dan tanggung jawab dalam pekerjaan kritikal perlu dipisahkan
untuk mengurangi risiko adanya penyalahgunaan aset informasi dan
pengolahan informasi, baik disengaja maupun tidak disengaja.
(2) Pekerjaan kritikal yang dimaksud dalam butir (1) diatas mencakup namun
tidak terbatas dalam:
a. Pengembangan dan Operasional Sistem Informasi;
b. Operasional dan Keamanan Sistem Informasi;
c. Proses permohonan dan otorisasinya.
(3) Apabila pemisahan tugas dan tanggung jawab tidak dapat
diimplementasikan, kontrol tambahan perlu diimplementasikan.
(4) Kontrol yang dimaksudkan dalam butir (3) diatas mencakup namun tidak
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
terbatas pada:
a. Pemantauan aktifitas pekerjaan;
b. Mengaktifkan log/audit trail;
c. Pengawasan manajemen;
d. Rotasi tugas secara berkala
6.1.3. Hubungan dengan pihak berwenang

Aturan Kebijakan :
(1) Daftar nomor telepon pihak berwenang seperti pihak ketiga Polisi,
Pemadam Kebakaran, Pihak Keamanan Gedung, Pihak Penyedia Layanan
Komunikasi dan lainnya perlu didata untuk melaporkan dan/atau
menanggulangi insiden keamanan informasi.
6.1.4. Hubungan dengan Special Interest Group

Aturan Kebijakan :
(1) Hubungan dengan pihak-pihak khusus seperti forum atau asosiasi
profesional yang terkait dengan keamanan informasi harus dimiliki
sebagai media untuk:
a. Mendapat informasi terkini mengenai risiko atau ancaman terkait
keamanan informasi;
b. Mendapatkan informasi mengenai solusi terkini terkait kontrol
keamanan informasi.
(2) Implementasi dari butir (1) diatas mencakup namun tidak terbatas pada
keanggotaan pada forum, asosiasi profesional maupun mailing list terkait
keamanan informasi.
6.1.5. Keamanan Informasi Dalam Manajemen Proyek

Aturan Kebijakan :
(1) Setiap pelaksanaan Proyek di lingkungan CV. Anugrah Pratama perlu
memperhatikan aspek keamanan informasi.
(2) Aspek keamanan informasi yang dimaksud mencakup proses risk
assessment serta identifikasi dan implementasi kontrol keamanan
informasi dalam pengelolaan setiap proyek.
(3) Setiap proyek yang melibatkan pihak eksternal perlu memasukkan aspek
kerahasiaan dalam perjanjian kerja sama.
10
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
6.2. Mobile Computing dan Teleworking

Proses ini bertujuan untuk memastikan keamanan informasi saat bekerja
menggunakan perangkat mobile computing dan aktifitas teleworking.
6.2.1. Kebijakan perangkat mobile

Aturan Kebijakan :
(1) Pengguna fasilitas Notebook harus menjaga keamanan dari perangkat
dan informasi yang disimpan pada perangkat pada saat digunakan diluar
area organisasi.
(2) Penggunaan fasilitas Notebook di luar area CV. Anugrah Pratama harus
dilengkapi dengan kontrol keamanan fisik untuk mencegah terjadinya
pencurian/kehilangan perangkat.
(3) Fasilitas Notebook milik CV. Anugrah Pratama tidak boleh ditinggalkan
tanpa pengawasan atau tanpa pengamanan pada saat digunakan diluar
area CV. Anugrah Pratama.
(4) Penggunaan fasilitas Notebook milik CV. Anugrah Pratama yang
menyimpan informasi sensitif pada area publik, seperti restoran, stasiun,
atau bandara harus sangat dibatasi.
(5) Penggunaan fasilitas Wifi publik untuk mengirim informasi sensitif milik
CV. Anugrah Pratama harus sangat dibatasi.
6.2.2. Teleworking
Aturan Kebijakan :
(1) Aktifitas teleworking didefinisikan sebagai aktifitas yang memungkinkan
personil CV. Anugrah Pratama untuk bekerja secara remote dari sebuah
lokasi tetap yang telah ditentukan, seperti rumah atau area kerja lain,
diluar jaringan komunikasi CV. Anugrah Pratama.
(2) Kegiatan teleworking hanya dilaksanakan untuk keperluan kedinasan.
(3) Personil yang akan melaksanakan kegiatan teleworking perlu
memperhatikan lokasi tempat bekerja, antara lain sebagai berikut:
a. Menghindari bekerja di tempat umum yang terbuka,
b. Memperhatikan keamanan fisik sekitar lokasi tempat teleworking
dilakukan.
(4) Setiap jaringan lokal teleworking yang dipersiapkan harus
memperhatikan faktor keamanan jaringan.
11
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
7. Keamanan Sumber Daya Manusia

7.1. Sebelum status kepegawaian dimulai (Prior to employment)
Proses keamanan sumber daya manusia dimulai sejak sebelum status kepegawaian
dimulai. Status kepegawaian ini juga mencakup pihak ketiga yang memiliki aktivitas
pekerjaan di lingkungan CV. Anugrah Pratama serta terkait Layanan sistem elektronik
perdagangan CV. Anugrah Pratama.
7.1.1. Penyaringan (screening)

Aturan Kebijakan :
(1) Pemeriksaan latar belakang harus dilakukan untuk setiap calon pegawai
CV. Anugrah Pratama termasuk pihak ketiga (vendor) yang memegang
tugas pokok kritikal pada sistem.
(2) Proses verifikasi latar belakang dapat dilakukan antara lain dengan:
a. Verifikasi terhadap referensi pengalaman pekerjaan;
b. Verifikasi terhadap kualifikasi akademik;
c. Verifikasi terhadap catatan kepolisian;
(3) Verifikasi juga perlu dilakukan terhadap kompetensi calon pegawai dalam
melaksanakan tugas dan tanggung jawab di unit kerja CV. Anugrah
Pratama.
(4) Pegawai tidak tetap, magang, dan vendor yang bekerja di CV. Anugrah
Pratama harus menandatangin perjanjian kerahasiaan atau Non Disclosure
Agreement (NDA) sebelum mengakses informasi penting milik CV.
Anugrah Pratama.
7.1.2. Syarat dan Ketentuan Kepegawaian

Aturan Kebijakan :
(1) Kewajiban pegawai untuk menjaga keamanan informasi perlu
dicantumkan dalam kontrak kerja dan/atau tata tertib organisasi.
(2) Setiap pegawai harus memahami kewajibannya untuk menjaga keamanan
informasi yang terdapat dalam kontrak kerja dan/atau tata tertib
organisasi.
7.2. Pada saat status kepegawaian berjalan

Proses ini bertujuan untuk menjamin bahwa personil CV. Anugrah Pratama dan pihak
ketiga yang bekerja di lingkungan CV. Anugrah Pratama memahami ancaman yang
12
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
terkait dengan keamanan informasi termasuk tanggung jawabnya.
7.2.1. Tanggung Jawab Manajemen

Aturan Kebijakan :
(1) Semua Pimpinan Terkait di lingkungan CV. Anugrah Pratama perlu
memastikan bahwa pegawai CV. Anugrah Pratama memahami dan
menjalankan kebijakan dan prosedur kerja yang berlaku.
7.2.2. Kesadaran, Pendidikan dan Pelatihan Terkait Dengan Keamanan Informasi.

Aturan Kebijakan :
(1) Sosialisasi mengenai keamanan informasi kepada semua Pegawai CV.
Anugrah Pratama harus dilakukan secara berkala.
(2) Materi sosialisasi pada butir (1) perlu disesuaikan dengan tugas dan
tanggung pekerjaan dari pegawai.
7.2.3. Proses Pendisiplinan

Aturan kebijakan :
(1) Setiap pegawai dalam lingkungan CV. Anugrah Pratama yang melakukan
pelanggaran terkait keamanan informasi harus ditangani sesuai dengan
proses pendisiplinan formal yang terdapat di dalam tata tertib organisasi.
(2) Pemberian sanksi harus menimbang dan disesuaikan dengan tingkat
pelanggaran yang dilakukan.
7.3. Pemberhentian atau pergantian status kepegawaian.

Untuk menjaga keamanan informasi organisasi pada saat proses pemberhentian dan
penggantian status kepegawaian
7.3.1. Pemberhentian atau Pergantian Status Kepegawaian.

Aturan Kebijakan :
(1) Tanggung jawab keamanan informasi yang masih berlaku setelah
pegawai sudah tidak bekerja lagi di lingkungan CV. Anugrah Pratama
atau setelah proses mutasi kerja, perlu diinformasikan kepada personil
tersebut.
(2) Hal ini mencakup namun tidak terbatas dari:
a. Tidak menyebarkan informasi sensitif milik CV. Anugrah Pratama
kepada pihak yang tidak berwenang.
b. Tidak melakukan aktifitas yang dapat mengganggu keamanan
13
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
informasi di lingkungan CV. Anugrah Pratama.
14
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
8. Pengelolaan Aset
8.1. Tanggung Jawab Terkait Aset
Untuk menjamin dan menjaga perlindungan terhadap aset Informasi dan pengolahan
informasi milik CV. Anugrah Pratama maka setiap aset harus diidentifikasi serta
ditentukan kepemilikannya
8.1.1. Inventarisasi Aset

Aturan Kebijakan :
(1) Semua aset informasi dan pengolahan informasi yang dimiliki, digunakan
dan/atau dikelola di lingkungan CV. Anugrah Pratama harus
diinventarisasi. Aset yang dimaksud meliputi:
 Aset informasi, dalam bentuk softcopy maupun hardcopy.
 Aset perangkat lunak dan aplikasi.
 Aset fisik yang mengolah dan menyimpan informasi meliputi PC,
Notebook,server, removable media, printer, dan scanner, dan untuk
mesin fotokopi.
 Aset jaringan, yang meliputi perangkat, layanan koneksi, dan
keamanan jaringan.
 Aset sarana maupun layanan pendukung seperti, Genset, UPS serta
AC.
 Aset sumber daya manusia.
(2) Daftar inventarisasi aset tersebut harus diperiksa kesesuaiannya dan
dilakukan pengkinian secara berkala, minimal satu kali dalam satu tahun.
(3) Setiap terdapat perubahan pada inventarisasi aset, sebagai contoh karena
ada aset baru, perubahan peruntukan maupun penghapusan aset, harus
tercermin dalam daftar inventarisasi aset.
8.1.2. Kepemilikan Aset

Aturan Kebijakan :
(1) Setiap aset dalam daftar inventarisasi asset harus dilokasikan
kepemilikannya.
(2) Kepemilikan aset dapat dialokasikan kepada individu atau unit kerja dalam
lingkungan CV. Anugrah Pratama.
(3) Pemilik dari aset tersebut akan bertanggung jawab dalam proses
pengamanan aset tersebut.
15
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
8.1.3. Penggunaan Aset Yang Diterima

Aturan Kebijakan :
(1) Aset informasi dan pengolahan informasi milik CV. Anugrah Pratama
hanya boleh digunakan untuk kebutuhan pekerjaan CV. Anugrah Pratama.
(2) Penggunaan perangkat pribadi untuk mengakses informasi dan jaringan
komunikasi CV. Anugrah Pratama harus melalui persetujuan Pimpinan
terkait.
(3) Pada saat jam kerja, penggunaan jaringan komunikasi dan layanan
jaringan, seperti fasilitas internet serta email, milik CV. Anugrah Pratama
hanya untuk kebutuhan pekerjaan.
(4) Penggunaan fasilitas internet CV. Anugrah Pratama untuk melakukan
akses ke situs-situs yang mengandung materi pornografi, kekerasan,
materi yang dapat mengundang kebencian terkait dengan suku, agama
dan ras serta materi bajakan yang melanggar hak atas kekayaan
intelektual, sangat dilarang.
(5) Penggunaan modem data pada komputer milik CV. Anugrah Pratama
dilarang dilakukan pada saat komputer tersebut terhubung ke jaringan
komunikasi CV. Anugrah Pratama.
(6) Menjaga kerahasiaan aset informasi dan/atau informasi yang ada di dalam
suatu aset.
(7) Tidak menggunakan aset untuk hal-hal yang bertentangan dengan etika
,hukum dan merugikan Organisasi.
(8) Pengguna akun bertanggung jawab atas keamanan data dan informasi
yang berada/disimpan di dalam akunnya.
(9) Pengguna akun tidak diperbolehkan untuk memberikan akses akunnya
kepada orang lain, termasuk kepada atasan, bawahan, keluarga, dan/atau
teman. Apabila suatu keadaan memerlukan untuk memberikan akses
akun kepada orang lain, maka hal ini (atau keadaan yang mengharuskan
untuk melakukan hal ini) harus mendapatkan persetujuan dari minimal
manajemen setingkat Manager.
(10) Password untuk akun level sistem dan akun level user harus dipelihara
sesuai dengan kebijakan keamanan informasi mengenai password.
(11) Ketika ditinggalkan, segala mobile/portable device seperti laptop,
komputer tablet, dan smartphone yang digunakan untuk memproses
informasi milik Organisasi (walaupun device tersebut adalah milik pribadi)
harus dalam keadaan terkunci misalnya menggunakan kabel (sling)
pengunci laptop atau disimpan di dalam laci/lemari yang terkunci.
(12) Semua PC, komputer tablet, laptop, dan smartphone (termasuk
16
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
perangkat pribadi) yang digunakan untuk memproses informasi milik

Organisasi harus terlindungi dengan password.
(13) Screen lock (screen saver) yang terproteksi oleh password harus secara
otomatis aktif untuk semua PC, komputer tablet, laptop, smartphone
(termasuk perangkat pribadi) yang digunakan untuk memproses informasi
milik Organisasi, dalam waktu maksimum 5 menit perangkat tersebut
dalam keadaan idle.
(14) Ketika meninggalkan PC, komputer tablet, laptop, smartphone (termasuk
perangkat pribadi) yang digunakan untuk memproses informasi, walaupun
hanya sebentar, pastikan dalam keadaan screen locked yang terproteksi
password.
(15) Dilarang untuk melakukan instalasi / uninstalasi / reinstalasi aplikasi,
fitur, ekstensi sistem operasi tanpa seizin administrator yang berwenang.
(16) Apabila terjadi kehilangan/kerusakan terhadap aset komputasi yang
digunakan untuk memproses informasi Organisasi (walaupun aset
tersebut adalah milik pribadi) harus dilaporkan melalui mekanisme
penanganan insiden.
8.1.4. Pengembalian Aset

Aturan Kebijakan :
(1) Setiap pegawai yang sudah tidak bekerja di lingkungan CV. Anugrah
Pratama harus mengembalikan aset informasi dan pengolahan informasi
milik CV. Anugrah Pratama yang sudah bukan menjadi kewenangannya.
(2) Pengembalian aset tersebut dilakukan secara formal dan terdokumentasi
sesuai dengan ketentuan yang berlaku.
8.2. Klasifikasi Informasi

Untuk menjaga dan menjamin keamanan informasi, klasifikasi terhadap informasi
perlu dilakukan dengan mempertimbangkan kebutuhan, prioritas, sensitifitas, dan
kritikalitas dalam proses bisnis Layanan sistem elektronik perdagangan CV. Anugrah
Pratama.
8.2.1. Klasifikasi Informasi

Aturan Kebijakan :
(1) Klasifikasi jenis aset informasi di CV. Anugrah Pratama disesuaikan dengan
kebutuhan dan dampak bisnis. Klasifikasi tersebut meliputi:
17
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
 Informasi Rahasia, yaitu informasi yang sangat sensitif dan hanya

dapat diakses oleh individu / pihak tertentu.
 Informasi Terbatas, yaitu data yang hanya dapat diakses secara
internal dalam lingkungan CV. Anugrah Pratama.
 Informasi Publik, yaitu informasi yang dapat disebarkan ke publik.
(2) Setiap Pimpinan terkait di CV. Anugrah Pratama dapat mengklasifikasikan
informasi yang dianggap perlu sebagai informasi rahasia, diluar ketentuan
perundang-undangan yang berlaku untuk mencegah gangguan terhadap
proses bisnis organisasi.
(3) Perlindungan terhadap aset informasi harus dilakukan secara memadai
sesuai dengan klasifikasinya.
(4) Tingkat perlindungan aset informasi dilakukan sesuai dengan aturan
penanganan informasi yang diterapkan di CV. Anugrah Pratama.
8.2.2. Pelabelan dan Penanganan Informasi

Aturan Kebijakan :
(1) Informasi harus diberi label/kode untuk memastikan penanganan
informasi tersebut sesuai dengan tingkat klasifikasinya. Tingkat Klasifikasi
masing-masing informasi dapat mengacu kedalam dokumen pedoman
klasifikasi yang sudah ditetapkan.
(2) Pelabelan informasi dapat dilakukan melalui:
a. Pelabelan secara fisik pada dokumen hardcopy;
b. Pemberian watermark pada dokumen softcopy;
c. Pemberian klasifikasi informasi pada metadata dari informasi
softcopy.
(3) Penanganan informasi harus dilakukan secara aman pada seluruh siklus
hidup informasi yang mencakup proses pemrosesan, penyimpanan,
distribusi, dan pemusnahan informasi.
(4) Penanganan informasi perlu disesuaikan dengan klasifikasi dari informasi
tersebut.
(5) Laporan yang dicetak (Dokumen)
Bila memungkinkan, hasil cetakan dari informasi diberikan penanda yang
menyatakan klasifikasi keamanan dari informasi dokumen sebagai
watermark. Watermark tersebut haruslah terlihat jelas pada setiap
halaman dokumen. Berikut metode yang dapat digunakan:
a. Klasifikasi akan ditampilkan secara jelas di halaman depan dan di
header/footer pada setiap halaman; dan
b. Pra-cetak kertas menunjukkan klasifikasi keamanan yang akan
18
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
digunakan;
(6) Screen Displays
Sistem komputer harus mengklasifikasi pengguna yang berwenang untuk
dapat mengakses informasi termasuk peringatan pada saat akan login.
Jika memungkinkan, pengguna akan diberikan peringatan apabila
pengguna akan masuk kedalam sistem atau area yang bukan merupakan
haknya.
Peringatan lebih lanjut juga harus ditampilkan pada saat memasuki pilihan
untuk mencetak atau menyimpan data dari sistem.
(7) Media Rekaman
Kontrol yang ketat ditempatkan pada penggunaan removable media
seperti CD, DVD, kaset, hard drive eksternal dan memori stick USB dalam
organisasi. Dimana hal tersebut sah digunakan untuk menyimpan data
rahasia mereka akan diberi label eksternal dengan klasifikasi keamanan
dari data yang paling sensitif pada media, bersama-sama dengan tanggal
pembuatan.
(8) Surat Elektronik (E-Mail)
Informasi rahasia yang dikirim melalui surat elektronik harus mencakup
tingkat klasifikasi dan, jika dikirim eksternal, pernyataan kontrol yang
harus ditempatkan informasi oleh penerima email. Informasi yang
terkandung dalam lampiran, juga harus menyatakan klasifikasi jelas pada
header dari jenis dokumen, spreadsheet, atau file lainnya.
(9) File Transfer
Prosedur untuk mendapatkan informasi rahasia dikirim melalui transfer
file harus menyertakan langkah di mana penerima jelas informasi dari
tingkat klasifikasi informasi yang sedang dikirim, sebelum dikirim.
8.2.3. Penanganan Aset

Aturan Kebijakan :
(1) Penanganan terhadap aset harus sesuai dengan klasifikasi dari aset
informasi yang disimpan dan/atau diproses oleh aset tersebut untuk
memastikan keamanan dari aset informasi.
(2) Untuk masing-masing tingkat klasifikasi keamanan satu set kontrol harus
memastikan bahwa aset informasi yang terlibat secara tepat dilindungi
setiap saat. Bagian berikut menetapkan komponen prosedural utama dari
kontrol yang telah ada.
A. Publik
1. Proses Pengamanan
19
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
Secara umum tidak ada kontrol khusus yang harus ditempatkan

pada pengolahan informasi tersebut meskipun dalam harus diingat
bahwa barang-barang seperti alat tulis menuju dan setara
elektronik mereka tidak harus dibuat tersedia secara bebas.
2. Penyimpanan
Informasi dapat disimpan di daerah aman diakses oleh publik.
Namun beberapa kontrol harus ditempatkan pada sejumlah besar
informasi tersebut seperti leaflet yang masih bisa dikenakan
terhadap pencurian atau penyalahgunaan.
3. Transmisi
Secara umum, informasi publik dapat dikirim melalui koneksi dan
tidak terenkripsi atau didistribusikan secara bebas dalam bentuk
hard copy.
4. Deklasifikasi
Informasi publik tidak akan dikenakan deklasifikasi karena sudah
pada tingkat terendah.
5. Pemusnahan
Informasi yang termasuk dalam klasifikasi umum dapat dibuang
melalui rute limbah normal tanpa perlu untuk kontrol seperti
merobek-robek. Bila memungkinkan, barang-barang harus didaur
ulang.
6. Proses pendistribusian Informasi
Aset informasi publik akan bebas didistribusikan di antara pegawai
CV. Anugrah Pratama, pelanggan, dan anggota masyarakat di
mana diperlukan.
7. Login Keamanan
Pada umumnya tidak perlu login insiden keamanan yang berkaitan
dengan item klasifikasi umum kecuali pada kegiatan kriminal
seperti pencurian dokumen dalam skala besar.
B. Terbatas
Informasi pada tingkat klasifikasi akan dikenakan untuk mengakses
kontrol yang melibatkan baik keamanan fisik atau log-on
penggunaan resmi atau keduanya. Akses untuk umum tidak boleh
diberikan di tempat umum dan output seperti cetakan harus ke
daerah-daerah di mana akses publik dicegah.
2. Penyimpanan
Informasi klasifikasi ini dapat disimpan pada media elektronik
seperti kaset, DVD, dan CD. Media ini harus disimpan di ruang
20
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
terkunci dan di daerah di mana tidak ada akses publik.

3. Transmisi
Informasi penting dikirim melalui koneksi aman dan
pendistribusiannya harus dengan persetujuan dari pemilik
informasi tersebut. Begitu pula dengan dalam bentuk hard copy.
4. Deklasifikasi
Informasi penting akan dikenakan deklasifikasi namun pada tingkat
yang rendah.
5. Pemusnahan
Informasi yang termasuk dalam klasifikasi penting perlu dikontrol
seperti merobek-robek. Bila memungkinkan barang-barang harus
dihanguskan.
6. Proses Pendistribusian Informasi
Aset informasi penting tidak dapat bebas didistribusikan. Aset
terbatas dapat didistribusikan hanya setelah mendapat izin dari
pihak CV. Anugrah Pratama, tanpa harus meminta izin kepada
pemilik aset informasi sebenarnya.
7. Login Keamanan
Diperlukan perizinan kepada pihak CV. Anugrah Pratama yang
berkaitan dengan kebaharuan dan penggunaan informasi.
C. Rahasia
Untuk mengakses informasi tidak diizinkan membawa barang-
barang seperti alat tulis, kamera, dan alat perekam lainnya pada
saat mengakses aset informasi rahasia. Selain itu perlu adanya
pendampingan pada saat akan mengakses aset informasi tersebut.
2. Penyimpanan
Informasi Rahasia harus disimpan di daerah yang sangat aman dan
tidak boleh ada akses publik. Hanya personel tertentu yang dapat
mengakses informasi tersebut dan dengan perizinan yang tertulis
disertakan maksud tujuan dari peminjaman informasi serta harus
ditandatangani minimal oleh Pimpinan terkait untuk mengakses
informasi tersebut.
3. Transmisi
Informasi Rahasia, tidak boleh dikirim melalui koneksi dan harus
dalam bentuk hard copy dan pendistribusiannya harus dengan
persetujuan dari pemilik informasi serta harus dengan surat izin
ataupun keterangan dari pihak yang akan mengakses. Begitu pula
21
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
dalam bentuk hard copy harus mendapatkan izin dari pemilik

informasi disertakan dengan surat perizinan yang menyatakan
tujuan penggunaan informasi serta harus ditanda tangani minimal
oleh Direktur CV. Anugrah Pratama.
4. Deklasifikasi
Informasi Rahasia deklasifikasi karena sudah berada pada tingkat
tinggi dalam klasifikasi aset informasi.
5. Pemusnahan
Informasi yang termasuk dalam klasifikasi Rahasia harus
dimusnahkan dengan cara dibakar.
6. Proses Pendistribusian Informasi
Aset informasi Rahasia didistribusikan sangat terbatas dan hanya
kepada pihak yang diizinkan oleh pemilik informasi yang dapat
mengaksesnya.
7. Login Keamanan
Terkait dengan proyek informasi rahasia tidak boleh dipinjamkan
untuk dibawa keluar dari area aman. Hanya diizinkan untuk dibaca
pada area aman dan sebelumnnya harus mendapatkan izin
terlebih dahulu dari pihak pemegang informasi dan pihak
pemegang proyek.
8.3. Penanganan Media Penyimpanan Informasi

Pengelolaan ini diperlukan untuk mencegah pengungkapan (disclosure), modifikasi,
removal atau penghancuran dari informasi sehingga harus dilindungi secara fisik.
8.3.1. Pengelolaan Removable Media

Aturan Kebijakan :
(1) Penanganan removable media perlu disesuaikan dengan klasifikasi dari
informasi yang disimpan didalamnya.
(2) Removable media yang digunakan dalam CV. Anugrah Pratama perlu
diinventarisasi.
(3) Perangkat yang digunakan untuk mengakses removable media tersebut
perlu mempunyai fitur keamanan yang memadai.
(4) Informasi dalam removable media yang tidak akan digunakan kembali
harus dihapus secara permanen.
(5) Pegawai CV. Anugrah Pratama harus selalu melakukan scanning virus
terhadap removable media (flash disk, external harddisk, tape back-up)
untuk mencegah adanya kerusakan informasi akibat malware.
(6) Removable media yang sensitif terhadap kondisi lingkungan (temperatur,
22
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
kelembaban, debu) harus disimpan dalam tempat yang sesuai dengan

spesifikasi teknis yang disarankan.
8.3.2. Pemusnahan Media

Aturan Kebijakan :
(1) Pemilik informasi atau pengelola media penyimpan informasi bertanggung
jawab terhadap pemusnahan data/informasi.
(2) Proses penghapusan informasi dari media penyimpanan perlu dilakukan
sedemikian rupa sehingga dapat dipastikan bahwa informasi yang sudah
dihapus, tidak dapat dibaca, digunakan dan diduplikasi kembali.
(3) Proses pemusnahan informasi dalam bentuk hardcopy dapat dilakukan
dengan menggunakan mesin shredding.
(4) Penghapusan informasi dari media penyimpanan informasi elektronis
dapat dilakukan dengan metode format ulang, penghancuran media, atau
dengan metode degaussing (magnetisasi).
(5) Dalam hal media penyimpan elektronis akan dialihkan peruntukkannya,
maka data/informasi yang tersimpan dalam media tersebut yang
dimaksud harus dihapus sebelum medianya dialihkan peruntukkannya.
8.3.3. Pertukaran Media Fisik

Aturan Kebijakan :
(1) Pertukaran informasi yang tidak menggunakan perangkat komunikasi
elektronik misalnya melalui jasa pengantar media informasi melalui
transportasi harus memperhatikan ketentuan-ketentuan berikut:
a. Menggunakan transportasi yang terproteksi;
b. Menggunakan kurir yang sudah terotorisasi dan sudah disetujui oleh
pihak manajemen;
c. Media yang menyimpan informasi harus dikemas dengan baik untuk
menghindarkan terjadinya kerusakan media selama perjalanan
d. Melakukan pencatatan terhadap media yang di kirim serta informasi
yang berada di dalamnya, dan pencatatan terhadap waktu pengiriman
dan waktu diterima media tersebut.
e. Bila informasi yang dikirimkan bersifat rahasia, perlu diterapkan teknik
enkripsi pada media penyimpanan.
23
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
9. Pengendalian Akses
9.1. Prasyarat Bisnis Dalam Pengendalian Akses
Proses ini bertujuan untuk mengendalikan akses kepada seluruh personil Layanan
sistem elektronik perdagangan CV. Anugrah Pratama dan pihak ketiga yang bekerja di
lingkungan CV. Anugrah Pratama untuk pengamanan informasi CV. Anugrah
Pratama.
9.1.1. Kebijakan pengendalian hak akses

Aturan Kebijakan :
(1) Pemberian hak akses terhadap Informasi dan sistem informasi harus
disesuaikan dengan kewenangan yang dimiliki dari pihak yang akan
mengakses dengan memperhatikan prinsip need to know dan need to
use.
(2) Pemetaan antara hak akses ke informasi dan sistem informasi, dengan
tugas pekerjaan (jobrole) pegawai perlu didokumentasikan secara
sebagai panduan dasar pemberian hak akses.
(3) Akses ke sistem informasi wajib menggunakan User ID yang bersifat
unique dan password.
(4) Hak akses khusus (privileged access rights), seperti administrator sistem
perlu teridentifikasi dan pemegang hak tersebut perlu
terdokumentasikan.
(5) Mekanisme untuk pengajuan, otorisasi, pengadministrasian, pemantauan
dan peninjauan hak akses, perlu didokumentasikan secara formal.
(6) Peninjauan terhadap pemetaan hak akses dan alokasi hak akses perlu
dilakukan secara berkala, paling sedikit satu kali dalam 6 (enam) bulan.
9.1.2. Akses Ke Jaringan Dan Layanan Jaringan

Aturan Kebijakan :
(1) Perangkat komputer yang terhubung ke jaringan dan layanan jaringan CV.
Anugrah Pratama harus dilengkapi dengan mekanisme pengendalian
akses pada sistem operasinya.
(2) Akses ke segmentasi jaringan perlu dibatasi sesuai dengan tugas dan
tanggung jawab operasional pengguna.
(3) Pemetaan antara segmentasi jaringan dengan pengguna jaringan perlu
ditetapkan dan didokumentasikan.
(4) Akses ke segmentasi jaringan dimana terdapat perangkat sistem informasi
kritikal (server farm atau storage farm) harus dikendalikan dan dibatasi
24
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
sesuai dengan kebutuhan dari pengguna.

(5) Akses ke jaringan nirkabel (Wifi) perlu diamankan dengan menggunakan
password yang sesuai dengan kebijakan manajemen password yang
berlaku.
(6) Perangkat milik pribadi diperkenankan untuk terhubung ke jaringan
internal CV. Anugrah Pratama dengan ijin Direktur CV. Anugrah Pratama.
(7) Semua akses ke perangkat jaringan CV. Anugrah Pratama hanya dapat
dilakukan oleh administrator jaringan yang telah mendapatkan otorisasi
dari Direktur CV. Anugrah Pratama.
(8) Akses ke jaringan internal secara remote harus dikontrol dan diamankan.
(9) Akses ke jaringan internal secara remote harus mendapatkan persetujuan
dari Direktur CV. Anugrah Pratama.
(10) Akses ke jaringan internal secara remote oleh pihak ketiga harus dibatasi
jangka waktunya hanya pada saat munculnya kebutuhan akses secara
remote.
(11) Penggunaan jaringan dan layanan jaringan perlu dipantau dan ditinjau
berkala melalui proses review dari audit log.
(12) Jaringan dan layanan jaringan di Layanan sistem elektronik perdagangan
CV. Anugrah Pratama sedapat mungkin menerapkan teknologi
pengamanan, seperti otentifikasi dan enkripsi jaringan.
9.2. Pengelolaan Akses Pengguna

Proses ini bertujuan untuk memastikan akses pengguna ke sistem informasi
merupakan akses yang telah terotorisasi dan mencegah akses yang tanpa otorisasi ke
dalam sistem informasi. Hal ini mencakup semua tahapan mulai registrasi account
pengguna baru sampai dengan penghapusan account dari pengguna yang tidak
memerlukan lagi akses ke dalam sistem informasi.
9.2.1. Pendaftaran dan penghapusan pengguna (user) sistem informasi

Aturan Kebijakan :
(1) Proses registrasi dan deregistrasi pengguna ke sistem informasi CV.
Anugrah Pratama harus ditetapkan secara formal dan diterapkan secara
konsisten.
(2) Hal ini mencakup proses permohonan, persetujuan dan pembuatan /
penghapusan user ID
(3) User ID harus bersifat unik dan dapat dipetakan dengan identitas
pengguna.
25
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(4) Penggunaan user ID secara sharing harus sangat dibatasi.

(5) Penggunaan user ID secara sharing hanya dapat diizinkan apabila
terdapat alasan operasional yang tidak dapat dihindari dan telah
disetujui oleh kepala unit kerja yang membidangi keamanan sistem
informasi di CV. Anugrah Pratama.
(6) Segera mencabut atau menonaktifkan user id personil CV. Anugrah
Pratama yang telah berganti fungsi pekerjaan atau telah meninggalkan
(7) Seluruh proses pendaftaran dan pencabutan pengguna harus
didokumentasikan dengan baik.
9.2.2. Pemberian Hak Akses Pengguna

Aturan Kebijakan :
(1) Permintaan untuk pemberian hak akses pengguna ke sistem informasi
harus disetujui oleh atasan dari pengguna dan pemilik dari informasi
atau sistem informasi.
(2) Persetujuan pemberian hak akses pengguna perlu menimbang
kebutuhan operasional pekerjaan yang telah didokumentasikan dalam
pemetaan hak akses.
(3) Pemberian hak akses hanya dapat dilakukan setelah persetujuan dalam
butir (1) telah diberikan.
(4) Seluruh proses pemberian hak akses pengguna harus terdokumentasi
dengan baik.
9.2.3. Pengelolaan Hak Akses Khusus (privileged access rights)

Aturan Kebijakan :
(1) Hak akses khusus adalah hak akses ke informasi maupun sistem informasi
dengan kemampuan (privilege) yang lebih tinggi dibandingkan hak akses
lainnya. Sebagai contoh adalah hak akses dengan kemampuan (privilege)
administrator atau full access.
(2) Pemberian dan penggunaan hak akses khusus harus dibatasi dan
dikendalikan kepada personil dengan tugas dan tanggung jawab yang
sesuai.
(3) Proses otorisasi dan catatan dari semua hak akses khusus yang diberikan
harus didokumentasikan.
(4) Hak akses khusus perlu diberikan dalam format user ID yang berbeda
dengan hak akses biasa dan bersifat sementara.
(5) Penggunaan hak akses khusus secara sharing harus sangat dibatasi.
26
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(6) Penggunaan hak akses khusus secara sharing hanya dapat diizinkan
apabila terdapat alasan operasional yang tidak dapat dihindari dan telah
disetujui oleh kepala unit kerja yang membidangi keamanan sistem
informasi di CV. Anugrah Pratama.
(7) Penggunaan hak akses khusus secara sharing harus dikendalikan antara
lain dengan kontrol-kontrol berikut:
a. Penggantian password secara berkala;
b. Penggantian password segera setelah salah satu pemegang hak
tersebut tidak bekerja lagi atau mengalami mutasi kerja.
(8) Penggunaan hak akses khusus harus dimonitor untuk memastikan tidak
adanya akses tanpa ijin.
(9) Hak akses khusus dengan tujuan untuk pelaksanaan audit terhadap
sistem informasi harus diberikan dengan kemampuan (privilege) read
only.
9.2.4. Pengelolaan Informasi Otentifikasi Rahasia Milik Pengguna

Aturan Kebijakan :
(1) Informasi otentikasi rahasia adalah informasi rahasia yang digunakan
untuk mengotentikasikan seorang pengguna. Contoh dari informasi ini
adalah password, smartcard, token atau PIN.
(2) Pengguna harus memahami kewajiban mereka untuk menjaga keamanan
dari informasi otentikasi rahasia yang mereka miliki.
(3) Pengguna dilarang untuk memberikan informasi otentikasi rahasia
miliknya kepada pihak lain.
(4) Untuk informasi otentikasi dalam bentuk password, apabila pengguna
terpaksa memberikan informasi tersebut kepada pihak lain, maka
pengguna tersebut harus mengganti informasi tersebut pada
kesempatan pertama.
(5) Pemberian informasi otentikasi dalam bentuk password untuk pertama
kali dapat menggunakan password sementara yang harus diganti oleh
pengguna setelah proses login untuk pertama kalinya.
(6) Informasi otentikasi yang bersifat default dari vendor perangkat atau
aplikasi sistem informasi harus diganti pada saat instalasi perangkat atau
aplikasi tersebut.
9.2.5. Peninjauan Terhadap Hak Akses Pengguna

Aturan Kebijakan :
27
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(1) Peninjauan hak akses dilakukan untuk memastikan kesesuaian hak akses
yang dialokasikan dengan kondisi terkini dari pengguna, terkait
kewenangan dan status kepegawaian, dari pengguna.
(2) Pemilik atau administrator dari perangkat dan aplikasi sistem informasi
harus melakukan peninjauan terhadap hak akses pengguna secara
berkala minimal satu kali dalam 6 (enam) bulan atau apabila terdapat
perubahan pada:
a. Status kepegawaian seperti mutasi atau terminasi.
b. Proses bisnis organisasi.
c. Proses sistem informasi.
(3) Hak akses khusus (privileged) harus ditinjau secara reguler dengan jangka
waktu setiap 6 (enam) bulan.
9.2.6. Perubahan atau Pencabutan Hak Akses

Aturan Kebijakan :
(1) Pengguna yang mengalami perubahan fungsi pekerjaan/mutasi harus
segera melaporkan perubahan tersebut dan mengajukan permintaan
perubahan hak akses paling lambat 7 hari setelah perubahan/mutasi
tersebut.
(2) Perubahan hak akses hanya dapat dilakukan setelah persetujuan dari
atasan pengguna dan pemilik informasi atau sistem informasi dengan
memperhatikan pemetaan hak akses pengguna.
(3) Pencabutan hak akses pengguna dapat dilakukan:
a. Atas permintaan dan persetujuan dari atasan pengguna dan
pemilik sistem informasi;
b. Secara otomatis, apabila pengguna sudah tidak bekerja lagi di
c. Sesuai hasil peninjauan hak akses pengguna yang minimal
dilakukan 6 (enam) bulan sekali sesuai ruang lingkup
implementasi SMKI.
(4) Hak akses untuk pengguna yang sudah tidak bekerja lagi di lingkungan
CV. Anugrah Pratama harus dicabut atau di-suspend satu hari setelah
hari terakhir pengguna tersebut.
(5) Seluruh proses perubahan dan pencabutan hak akses pengguna harus
terdokumentasi dengan baik.
9.3. Tanggung Jawab Pengguna (user)

Kontrol-kontrol ini bertujuan agar pengguna memiliki pemahaman mengenai
penggunaan akses secara aman.
28
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
9.3.1. Penggunaan Informasi Otentifikasi Pengguna yang Bersifat Rahasia

Aturan Kebijakan :
(1) Informasi otentikasi rahasia adalah informasi rahasia yang digunakan
untuk mengotentikasikan seorang pengguna. Contoh dari informasi ini
adalah password, smartcard, token atau PIN.
(2) Setiap pengguna wajib menggunakan Informasi otentikasi rahasia dalam
proses otentikasi ke perangkat dan aplikasi sistem informasi organisasi.
(3) Setiap pengguna wajib menjaga kerahasiaan informasi otentikasi rahasia
dan menghindari menyimpan informasi otentikasi rahasia di tempat
terbuka atau tempat yang tidak memiliki pengamanan yang memadai.
(4) Setiap Pegawai CV. Anugrah Pratama wajib mengganti informasi
otentikasi rahasia apabila ada indikasi adanya penyalahgunaan atau
kebocoran.
(5) Apabila password digunakan sebagai informasi otentikasi rahasia, maka
catatan yang berisi password tidak boleh disimpan pada tempat terbuka
atau tanpa pengamanan yang memadai.
(6) Apabila password digunakan sebagai informasi otentikasi rahasia, maka
password harus berkualitas dengan karakteristik sebagai berikut:
 Panjang minimal karakter password pada perangkat dan aplikasi
sistem informasi yang digunakan adalah 8 (delapan) karakter;
 Menggunakan kombinasi huruf dan angka dan sedapat mungkin
menggunakan karakter khusus (special character), seperti:
!$%#*,kecuali apabila perangkat atau aplikasi tidak
memungkinkan.
 Penggunaan perangkat atau aplikasi yang tidak dimungkinkan
mengikuti kebijakan penggunaan password yang berkualitas
harus mendapatkan persetujuan dari Koordinator SMKI dengan
mempertimbangkan kebutuhan operasional, risiko dan kontrol
kompensatif.
(7) Password tidak boleh sama dengan User ID dan tidak berdasar pada
sesuatu yang mudah ditebak misalnya: nama, nomor telepon, tanggal
lahir, nama anggota keluarga, nama/identitas perusahaan.
(8) Mengganti password secara berkala setiap 6 (enam) bulan dengan
menghindari menggunakan password yang sudah pernah digunakan.
(9) Setiap pengguna wajib menjaga kerahasiaan password dan tidak
diperkenankan memberikan password-nya kepada orang lain dan atau
menggunakan password milik orang lain.
29
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
9.4. Pengendalian Akses Informasi dan Aplikasi

Proses ini bertujuan untuk mencegah akses tanpa wewenang ke sistem di Layanan
sistem elektronik perdagangan CV. Anugrah Pratama dengan membatasi akses ke
sistem jaringan.
9.4.1. Pembatasan akses informasi

Aturan Kebijakan :
(1) Akses ke informasi oleh pengguna harus dibatasi sesuai dengan tugas
dan tanggung jawabnya.
9.4.2. Prosedur log-on secara aman

Aturan Kebijakan :
(1) Akses ke sistem operasi harus dikontrol dengan menggunakan
mekanisme secure log-on yang meliputi:
 Tidak memberikan informasi bantuan yang dapat menyebabkan log-
on tanpa ijin.
 Membatasi jumlah kesalahan dalam percobaan log-on sebanyak 3
(tiga) kali.
 Tidak menampilkan karakter password pada saat log-on. Tampilan
karakter password dapat diganti dengan simbol.
 Sistem dan/atau aplikasi hanya ditampilkan setelah log-on berhasil
dilaksanakan;
 Menampilkan notifikasi peringatan bahwa computer hanya boleh
diakses oleh pihak yang berwenang;
 Pembatasan lama waktu yang dibutuhkan untuk melakukan satu kali
proses log-on, sebelum proses log-on ditampilkan kembali;
 Password yang dikirim lewat jaringan harus dienkripsi terlebih
dahulu
9.4.3. Sistem Pengelolaan Password

Aturan Kebijakan :
(1) Sistem pengelolaan password harus dapat:
a. Memastikan penggantian password secara reguler yaitu maksimal
6 (enam) bulan sekali.
b. Memastikan kualitas password sesuai dengan aturan dalam
30
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
kebijakan ini.
c. Memastikan penyimpanan dan pengiriman informasi password
secara aman.
9.4.4. Penggunaan Program Utilisasi Khusus.

Aturan Kebijakan :
(1) Penggunaan system utility programs yang berpotensi dapat mengambil
alih pengendalian perangkat dan aplikasi sistem informasi harus dibatasi
dan dikendalikan secara ketat.
(2) Administrator harus melakukan proses identifikasi dan otorisasi untuk
seluruh system utilities yang digunakan.
(3) Permintaan terhadap penggunaan system utility programs harus melalui
Helpdesk
9.4.5. Pengendalian akses ke kode program (source code).

Aturan Kebijakan :
(1) Kode program (source code) tidak boleh disimpan pada sistem
operasional;
(2) Akses oleh Pengelola TIK ke kode program (source code) dan library harus
dibatasi;
(3) Proses pemutakhiran kode program (source code) dan item terkait,
serta pemberian kode program (source code) kepada programmer
hanya dapat dilakukan setelah melalui proses otorisasi;
(4) Listing program harus disimpan dalam area yang aman;
(5) Pemeliharaan dan penyalinan kode program (source code) library harus
mengikuti prosedur pengendalian perubahan.
31
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
10. Kriptografi
10.1. Pengendalian Kriptografi
Proses ini bertujuan untuk menjaga kerahasian, keaslian dan integritas informasi
dengan menggunakan teknologi kriptografi.
10.1.1. Kebijakan penggunaan kriptografi

Aturan Kebijakan :
(1) Penggunaan kriptografi perlu dipertimbangkan untuk menjaga
kerahasiaan, keaslian dan integritas informasi;
(2) Penggunaan kriptografi perlu mempertimbangkan kekuatan dari
algoritma kriptografi.
(3) Penggunaan kriptografi perlu dipertimbangkan untuk melindungi
informasi pada perangkat mobile atau removable media.
(4) Penggunaan teknologi kriptografi harus ditinjau terlebih dahulu oleh
kepala unit kerja yang membidangi keamanan informasi.
(5) Penggunaan teknologi kriptografi harus disetujui terlebih dahulu oleh
kepala unit kerja yang membidangi teknologi informasi.
10.1.2. Manajemen dari key untuk kebutuhan kriptografi

Aturan Kebijakan :
(1) Seluruh key kriptografi harus dilindungi dari modifikasi, kehilangan serta
kerusakan.
(2) Pengelolaan key kriptografi harus menggunakan prinsip dual custody,
dimana key kriptografi tidak boleh diketahui oleh hanya satu personil
saja.
(3) Untuk key kriptografi dalam bentuk cleartext, maka pengiriman informasi
dan key yang digunakan untuk mengenkripsi informasi tersebut harus
dilakukan dalam media komunikasi yang berbeda. Sebagai contoh,
pengiriman dokumen elektronik dilakukan melalui media email
sedangkan pengiriman password yang digunakan untuk mengenkripsi
dokumen tersebut dilakukan melalui SMS atau telefon.
(4) Pemantauan harus dilakukan terhadap kunci kriptografi yang diterapkan
minimal 1 kali dalam setahun.
32
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
11. Keamanan Fisik Dan Lingkungan

11.1. Wilayah yang Aman
Wilayah yang aman diperoleh melalui pembatasan wilayah dengan menggunakan
pembatasan fisik untuk mencegah akses fisik tanpa ijin yang dapat menimbulkan
gangguan, kehilangan atau kerusakan terhadap informasi milik CV. Anugrah Pratama.
11.1.1. Perimeter Keamanan Fisik

Aturan Kebijakan :
(1) Pembatasan wilayah dengan pembatas secara fisik harus digunakan untuk
melindungi area yang berisi informasi dan atau fasilitas pengolahan
informasi.
(2) Pengamanan fisik ruangan di Operasional CV. Anugrah Pratama mengacu
kepada klasifikasi wilayah masing-masing ruangan dengan menggunakan
pembatas dan pengendalian akses fisik.
11.1.2. Pengendalian akses fisik

Aturan Kebijakan :
(1) Akses fisik ke wilayah aman (operasional) harus dikendalikan untuk
menjamin tidak adanya akses tanpa ijin.
(2) Tamu atau pihak ketiga yang datang ke area kerja di Operasional CV.
Anugrah Pratama harus tetap didampingi atau diawasi.
(3) Tamu atau pihak ketiga yang mengakses area kritikal di Operasional CV.
Anugrah Pratama hanya untuk pegawai yang mempunyai kewenangannya
dan diotorisasi oleh Pemimpin penanggung jawab di ruang tersebut dan
harus diawasi dan didampingi oleh pegawal di ruangan tersebut.
11.1.3. Pengamanan Ruang Kantor dan Fasilitasnya

Aturan Kebijakan :
(1) Ruangan kerja dan fasilitas di Operasional CV. Anugrah Pratama perlu
diberikan pengamanan secara memadai dengan mempertimbangkan
pemisahan dari wilayah akses umum
(2) Untuk area kritikal di Operasional CV. Anugrah Pratama tidak dipasang
informasi/petunjuk lokasi yang jelas.
(3) Apabila memungkinkan, fasilitas yang digunakan untuk pemrosesan dan
penyimpanan informasi sensitif sebaiknya terpisah dengan fasilitas yang
digunakan untuk pekerjaan sehari-hari.
33
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(4) Area kerja Organisasi dibagi menjadi tiga :

 Area level 1, yaitu area yang dapat diakses oleh pegawai atau tamu
tanpa pengaturan khusus. Contohnya lobby dan ruang rapat.
 Area level 2, yaitu area di mana hanya pegawai dan tamu yang
terdaftar yang memperoleh akses sesuai ketentuan yang ada.
Contohnya ruang kerja.
 Area level 3, yaitu area aman atau area yang hanya dapat diakses oleh
pegawai dan tamu yang sudah diotorisasi. Contohnya ruang
operasional, ruang pimpinan terkait dan ruang server.
11.1.4. Perlindungan Terhadap Ancaman Eksternal dan Lingkungan

Aturan Kebijakan :
(1) Peralatan pemadam kebakaran yang memadai harus tersedia pada
tempat yang sesuai.
(2) Khusus ruangan kritikal di Operasional CV. Anugrah Pratama
menggunakan peralatan pemadam kebakaran yang bersifat non-liquid.
11.1.5. Bekerja di Area Aman (Operasional)

Aturan Kebijakan :
(1) Pekerjaan yang dilakukan oleh pihak ketiga di area kritikal di lingkungan
Operasional CV. Anugrah Pratama harus selalu diawasi oleh personil
penanggung jawab area tersebut untuk menghindari kegiatan yang tidak
diinginkan.
(2) Setiap pegawai dan pihak ketiga dilarang membawa makanan, minuman,
rokok, dan barang berbahaya ke dalam wilayah tertutup.
(3) Setiap pegawai dan pihak ketiga yang memasuki wilayah tertutup tidak
diperkenankan membawa peralatan visual recording (camera, handphone
berkamera) tanpa otorisasi dari pimpinan yang berwenang.
11.1.6. Area untuk delivery dan loading

Aturan Kebijakan :
(1) Akses di wilayah loading area yang dapat memasuki wilayah Operasional
CV. Anugrah Pratama harus diamankan untuk menghindari akses tanpa
ijin.
11.2. Perangkat
Pengamanan ini diperlukan untuk mencegah kehilangan, kerusakan, pencurian
terhadap aset atau gangguan terhadap aktivitas .
34
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
11.2.1. Perlindungan dan penempatan peralatan

Aturan Kebijakan :
(1) Perangkat pengolahan informasi yang dianggap kritikal perlu ditempatkan
secara aman termasuk membatasi sudut pandang untuk mengurangi
orang yang tidak berkepentingan yang dapat melihat informasi yang
ditampilkan.
11.2.2. Sarana Pendukung

Aturan Kebijakan :
(1) Semua sarana pendukung seperti power supply, genset, lampu darurat,
dan air conditioner harus tersedia untuk mendukung kegiatan Operasional
CV. Anugrah Pratama dan dipelihara secara berkala.
11.2.3. Pengamanan pengkabelan

Aturan Kebijakan :
(1) Kabel listrik dan jaringan komunikasi harus terlindungi dan tidak
diletakkan di area publik sehingga tidak mengalami kerusakan akibat
ketidaksengajaan oleh personil maupun gigitan binatang pengerat.
(2) Penandaan kabel digunakan di Ruang Server Jaringan untuk
mempermudah penanganan apabila terjadi masalah dan menghindari
kesalahan dan didokumentasikan dengan baik.
11.2.4. Pemeliharaan peralatan

Aturan Kebijakan :
(1) Peralatan sistem informasi seperti perangkat keras dan jaringan
komunikasi, serta sarana pendukung harus dipelihara untuk menjamin
ketersediaan dari peralatan tersebut secara terus menerus.
11.2.5. Pemindahan Peralatan Milik Operasional CV. Anugrah Pratama

Aturan Kebijakan :
(1) Peralatan, informasi, maupun perangkat lunak tidak boleh dibawa keluar
wilayah Operasional CV. Anugrah Pratama tanpa adanya ijin dari Pimpinan
terkait di CV. Anugrah Pratama.
11.2.6. Pengamanan peralatan diluar wilayah CV. Anugrah Pratama

Aturan Kebijakan :
35
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(1) Penggunaan peralatan pengolahan informasi diluar wilayah Operasional

CV. Anugrah Pratama mempertimbangkan kebutuhan penggunaan aset
tersebut.
(2) Aset TI yang bersifat portable seperti notebook yang dibawa ke luar area
kantor tidak boleh ditinggalkan di area publik tanpa pengamanan yang
memadai dengan kabel pengunci (cable lock) serta password.
11.2.7. Pemusnahan atau Penggunaan Kembali Peralatan Secara Aman

Aturan Kebijakan :
(1) Seluruh Aset TI yang akan dimusnahkan atau digunakan kembali harus
diperiksa dan dipastikan bahwa tidak ada lagi data sensitif yang tersimpan
dalam perangkat sehingga tidak dimungkinkan lagi untuk mengambil
informasi yang sebelumnya terkandung di perangkat tersebut.
11.2.8. Perlindungan untuk perangkat yang tidak dalam pengawasan

Aturan Kebijakan :
(1) Pengguna harus memastikan aset yang sedang tidak digunakan telah
terlindungi dengan baik dengan menghentikan (terminate) session aktif
terhadap sistem setelah selesai digunakan.
(2) Pengguna harus mengunci layar sistem operasi pada komputernya
(screen lock) apabila meninggalkan komputernya.
(3) Komputer perlu dilindungi dengan fitur penguncian layar secara otomatis
(screen saver lock) apabila tidak aktifitas pada layar komputer selama 5
menit.
11.2.9. Clear desk dan clear screen

Aturan Kebijakan :
(1) Seluruh personil CV. Anugrah Pratama harus menerapkan clear desk dan
clear screen terkait dengan keamanan informasi yang rahasia atau
sensitif.
(2) Semua informasi sensitif yang berbentuk hardcopy atau yang tersimpan
dalam media penyimpanan dalam lemari yang terkunci.
(3) Komputer harus di log-off/mengunci layar komputernya apabila sedang
tidak digunakan.
(4) Menerapkan fitur log-off/mengunci layar secara otomatis pada laptop
atau komputer (PC) yang digunakan untuk bekerja.
(5) Memindahkan dengan segera dokumen yang mengandung informasi
sensitif dari mesin printer.
36
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
12. Keamanan Operasional

12.1. Tanggung Jawab dan Prosedur Operasional
Kendali sistem keamanan ini berfungsi untuk memastikan bahwa proses operasional
fasilitas pengolahan informasi berjalan dengan benar dan aman.
12.1.1. Prosedur Operasional Yang Terdokumentasi

Aturan Kebijakan :
(1) Setiap sistem yang dioperasikan di CV. Anugrah Pratama harus dilengkapi
dengan prosedur dan petunjuk pengoperasian.
(2) Prosedur dan petunjuk ini harus dipelihara untuk menjaga kesesuaian
dengan kondisi terkini.
(3) Prosedur dan petunjuk ini harus tersedia bagi seluruh pengguna sistem
informasi yang membutuhkannya.
12.1.2. Manajemen Perubahan

Aturan Kebijakan :
(1) Seluruh perubahan dalam infrastruktur TI dan sistem aplikasi harus
dikelola dan dikendalikan untuk menghindari terjadinya kegagalan dalam
sistem informasi.
(2) Pengendalian perubahan diterapkan pada infrastruktur dan Sistem harus
mengacu pada prosedur yang mempertimbangkan antara lain:
 Aspek risiko yang muncul terhadap kebutuhan bisnis.
 Dokumentasi atas log perubahan sesuai urutan waktu perubahan.
 Perencanaan dan pengujian perubahan.
 Tersedianya persetujuan formal untuk usulan perubahan
 Review dan pemantauan terhadap pelaksanaan perubahan.
12.1.3. Manajemen Kapasitas

Aturan Kebijakan :
(1) Setiap penanggung jawab sistem di Operasional CV. Anugrah Pratama
harus melakukan mengelola kapasitas sistem informasi baik dalam
pengembangan sistem aplikasi baru maupun bagi sistem yang sedang
berjalan.
(2) Proses pengelolaan kapasitas ini mempertimbangkan proyeksi kebutuhan
operasional dan kebutuhan bisnis di masa datang.
(3) Pengukuran kapasitas beserta pelaporannya dilakukan secara periodik
37
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
minimal satu kali dalam satu tahun.
12.1.4. Pemisahan lingkungan pengembangan, pengujian dan operasional sistem

informasi.
(1) Lingkungan sistem informasi yang digunakan untuk proses
pengembangan, pengujian dan operasional sistem informasi di CV.
Anugrah Pratama harus dipisahkan.
(2) Lingkungan sistem informasi yang dimaksud mencakup namun tidak
terbatas pada server, hak akses pengguna dan/atau segmentasi jaringan.
(3) Pemisahan yang dimaksud dapat dilakukan secara fisik maupun logical.
12.2. Perlindungan terhadap Malware

Pengguna sistem informasi di Operasional CV. Anugrah Pratama perlu memahami
bahaya dari Malware dan mengetahui bagaimana mencegah serta menangani
adanya Malware.
12.2.1. Pengendalian Terhadap Malware

Aturan Kebijakan :
(1) Kontrol terhadap Malware dapat dilakukan melalui pendeteksian dan
pencegahan serangan Malware dan pemulihan setelah terjadi serangan
dari Malware.
(2) Pegawai Operasional CV. Anugrah Pratama harus melindungi sistem
informasi dari serangan Malware dengan tidak meng-install perangkat
lunak bajakan dan/atau perangkat lunak yang tidak sesuai dengan
kebutuhan kerja.
(3) Setiap perangkat seperti PC dan Notebook, dan server harus
menggunakan program antivirus untuk mencegah bahaya Malware (virus,
worm, trojan).
(4) Setiap personil Operasional CV. Anugrah Pratama harus memastikan
bahwa setiap file dokumen elektronis yang berasal dari media
penyimpanan atau jaringan, termasuk email dan internet, tidak
mengandung virus dengan melakukan scanning terhadap file atau
program tersebut sebelum mengakses atau menggunakan.
(5) Update dan scanning rutin harus dilakukan secara otomatis untuk
memastikan kemampuan program antivirus untuk mendeteksi dan
menangani malware pada komputer dan media penyimpanan.
38
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
12.3. Back-up
Proses back-up diperlukan untuk menjamin integritas dan ketersediaan informasi
serta fasilitas pengolahan informasi.
12.3.1. Back-up Informasi

Aturan Kebijakan :
(1) Informasi elektronis yang bersifat rahasia atau kritikal (memiliki tingkat
integritas dan ketersediaan tinggi) harus memiliki back-up, sehingga
apabila data/informasi utama tidak dapat dibaca, rusak, dan lain
sebagainya, masih dapat menggunakan data back-up.
(2) Frekuensi dan tingkat back-up (penuh atau parsial) disesuaikan dengan
kebutuhan kritikalitas bisnis.
(3) Hasil back-up harus disimpan pada tempat yang aman dan diusahakan
ditempatkan diluar lokasi utama dan diberikan perlindungan secara fisik
dan lingkungan yang memadai.
(4) Media back-up harus diuji secara berkala melalui uji restore untuk
memastikan media tersebut dapat berfungsi dengan baik pada saat
dibutuhkan.
(5) Masa retensi dari back-up informasi tergantung dari tingkat kritikalitas
suatu informasi dan sistem yang dioperasikan di Operasional CV. Anugrah
Pratama.
12.4. Logging dan Pemantauan

Sistem informasi Operasional CV. Anugrah Pratama perlu diawasi dan setiap kejadian
keamanan informasi harus didokumentasikan dan dievaluasi berkala untuk
memantau efektivitas dari kontrol keamanan informasi yang diterapkan.
12.4.1. Event Logging

Aturan kebijakan :
(1) Log audit harus direkam dan disimpan pada sistem untuk memantau
aktivitas pengguna dalam jangka waktu yang ditentukan.
(2) Log audit yang perlu disimpan mencakup pada aspek berikut :
 User ID
 Tanggal dan waktu serta detail dari kejadian penting (key events)
dalam sistem seperti log-on dan log-off.
 Records untuk percobaan akses baik yang berhasil maupun gagal.
39
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
12.4.2. Perlindungan terhadap informasi log

Aturan Kebijakan :
(1) Log system harus dilindungi dari modifikasi dan akses tanpa ijin yaitu
pembatasan terhadap perubahan atau penghapusan terhadap log files.
(2) Administrator sistem harus memastikan kapasitas penyimpanan dari log
files untuk menghindari penyimpanan yang penuh yang dapat
menyebabkan kegagalan dalam untuk mencatat kejadian (event) atau
over writing kejadian (event) yang lama.
(3) Penyimpanan audit log perlu mempertimbangkan masa retensi yang
telah ditentukan dan kebutuhan untuk pengumpulan bukti audit.
(4) Log system harus disimpan minimal selama 1 bulan.
12.4.3. Log bagi administrator dan operator sistem

Aturan Kebijakan :
(1) Seluruh aktivitas administrator dan operator sistem informasi harus
direkam dalam log dan ditinjau secara berkala yang mencakup :
 Waktu dari kejadian (event) baik yang sukses maupun gagal.
 Hak akses dan identitas dari administrator atau operator.
12.4.4. Sinkronisasi waktu

Aturan Kebijakan :
(1) Waktu (clock) pada sistem pengolahan informasi harus disinkronisasikan
dengan sebuah standar waktu yang akurat dan disepakati.
(2) Administrator server harus memastikan waktu pada setiap sistem kritikal
(server) telah disinkronisasi dengan standar waktu yang sesuai dengan
butir (1) diatas dan melakukan pemantauan dan koreksi apabila terdapat
deviasi.
12.5. Keamanan Operasional

Proses ini bertujuan untuk memastikan keamanan system file pada aplikasi.
Pengolahan data dalam lingkungan pengujian perlu diperhatikan agar tidak terjadi
pengungkapan dari data yang sensitif.
12.5.1. Instalasi perangkat lunak pada sistem operasional

Aturan Kebijakan :
(1) Operasional CV. Anugrah Pratama harus mengendalikan instalasi
software pada sistem operasional (production) di CV. Anugrah Pratama.
(2) Pengendalian terhadap sistem operasional meliputi:
40
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
 Sistem production hanya mengoperasikan sistem yang telah

disetujui oleh Direktur CV. Anugrah Pratama.
 Konfigurasi sistem operasional harus didokumentasikan dan di-
update setiap kali mengalami perubahan.
(3) Proses pemutakhiran perangkat lunak operasional, aplikasi, library
program hanya boleh dilakukan oleh system administrator terlatih
setelah melalui proses otorisasi;
(4) Sistem operasional hanya berisi program aplikasi executable yang telah
diotorisasi, tidak boleh berisi kode program (source code) atau compiler;
(5) Aplikasi dan perangkat lunak sistem operasi hanya dapat
diimplementasikan setelah melewati proses pengujian yang ekstensif;
(6) Sistem pengendalian konfigurasi harus digunakan untuk mengendalikan
seluruh perangkat lunak yang telah diimplementasikan beserta
dokumentasi sistem;
(7) Strategi rollback harus tersedia sebelum suatu perubahan
diimplementasikan;
(8) Catatan audit harus dipelihara untuk menjaga kemutakhiran library
program operasional;
(9) Versi terdahulu dari suatu aplikasi harus tetap disimpan untuk keperluan
kontinjensi.
12.6. Pengelolaan technical vulnerability

Manajemen technical vulnerabilities harus diimplementasikan secara efektif,
sistematik, dan secara rutin dengan disertai pengukuran efektivitasnya.
12.6.1. Pengendalian terhadap kelemahan teknis (technical vulnerability)

Aturan Kebijakan :
(1) Administrator sistem informasi perlu mencari informasi terkini tentang
technical vulnerability pada sistem informasi CV. Anugrah Pratama.
(2) Informasi terkini tentang technical vulnerability dapat diperoleh dari
proses vulnerability assessment atau dari forum terkait keamanan
informasi.
(3) Informasi mengenai technical vulnerability harus segera ditindaklanjuti
untuk menghilangkan atau mengurangi dampaknya.
12.6.2. Pembatasan instalasi perangkat lunak

Aturan Kebijakan :
41
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(1) Instalasi atau modifikasi perangkat lunak harus dikendalikan untuk

mengurangi risiko downtime pada sistem informasi
(2) Software atau aplikasi yang boleh di-instal adalah software yang hanya
diperbolehkan oleh CV. Anugrah Pratama. Daftar software dapat dilihat
pada lampiran.
12.7. Pertimbangan dalam audit sistem informasi

Proses ini bertujuan untuk memaksimalkan efektivitas dari proses audit dan
meminimalkan adanya campur tangan pada proses audit.
12.7.1. Pengendalian terhadap audit sistem informasi

Aturan Kebijakan :
(1) Auditor sistem informasi perlu merencanakan proses audit yang
melibatkan pemeriksaan sistem operasional. Perencanaan inimeliputi:
 Ruang lingkup dari pemeriksaan audit harus disepakati dengan
pihak manajemen terkait.
 Akses audit ke sistem informasi maupun informasi hanya dibatasi
dengan hak akses read only.
 Pemantauan dan pencatatan seluruh akses ke sistem informasi
untuk menghasilkan reference trail.
 Pelaksana audit harus memiliki independensi dari aktivitas yang
diaudit.
 Perlu dilakukan audit sistem informasi secara berkala minimal 1
tahun sekali.
13. Keamanan Komunikasi

13.1. Manajemen Keamanan Jaringan
Keamanan jaringan perlu dikelola dengan baik untuk menjamin perlindungan
terhadap informasi yang dikirimkan melalui jaringan dan infrastruktur pendukung
jaringan lainnya.Pengelolaan keamanan jaringan perlu mempertimbangkan
perlindungan informasi sensitif melalui jaringan publik.
13.1.1. Pengendalian jaringan

Aturan Kebijakan :
(1) Akses ke perangkat jaringan dan sistem pendukungnya hanya dapat
dilakukan oleh administrator jaringan atau pihak lainnya yang telah
42
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
mendapat izin dari administrator jaringan.

(2) Jaringan dan perangkat jaringan CV. Anugrah Pratama perlu dipantau
secara kontinu.
(3) Akses ke jaringan CV. Anugrah Pratama hanya diberikan kepada
perangkat milik CV. Anugrah Pratama.
(4) Konfigurasi jaringan CV. Anugrah Pratama perlu dirancang sedemikian
rupa sehingga kegagalan pada satu jalur komunikasi tidak akan membuat
terhentinya layanan jaringan komunikasi CV. Anugrah Pratama.
(5) Akses dari jaringan eksternal CV. Anugrah Pratama ke jaringan internal
CV. Anugrah Pratama harus melalui proses otentikasi.
(6) Akses dari jaringan eksternal CV. Anugrah Pratama ke jaringan internal
CV. Anugrah Pratama perlu mempertimbangkan teknologi kriptografi
pada jaringan, seperti teknologi VPN.
13.1.2. Keamanan Layanan Jaringan

Aturan Kebijakan :
(1) Layanan jaringan mencakup layanan sistem informasi yang menggunakan
jaringan komunikasi CV. Anugrah Pratama. Hal ini mencakup namun tidak
terbatas pada, email, internet, aplikasi berbasis web.
(2) Setiap akses ke layanan jaringan CV. Anugrah Pratama harus melalui
proses otentikasi.
(3) Penggunaan layanan jaringan perlu dipantau secara kontinu.
(4) Setiap layanan jaringan perlu dilengkapi dengan fitur keamanan untuk
menjaga aspek kerahasiaan dan integritas informasi.
13.1.3. Pemisahan (segregation) dalam jaringan

Aturan Kebijakan :
(1) Jaringan internal dan eksternal CV. Anugrah Pratama harus dipisahkan
menggunakan security gateway. Hal ini mencakup namun tidak terbatas
pada penggunaan firewall, filtering router atau server.
(2) Jaringan internal CV. Anugrah Pratama perlu dipisahkan berdasarkan
tingkat kritikalitas perangkat yang terdapat didalam jaringan tersebut
dan/atau bagian perusahaan.
(3) Server-server yang digunakan oleh CV. Anugrah Pratama harus terdapat
pada segmentasi jaringan tersendiri yang terpisah dari segmentasi
jaringan pengguna.
(4) Server-server yang digunakan untuk kegiatan operasional (production)
43
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
harus dipisahkan dari server-server untuk kegiatan pengembangan

dan/atau pengujian.
(5) Pemisahan atau segmentasi dapat dilakukan secara fisik maupun logical
berdasarkan risiko yang ada.
13.2. Pertukaran Informasi

Proses pertukaran informasi perlu diamankan untuk melindungi pertukaran informasi
antara Operasional CV. Anugrah Pratama dengan pihak eksternal dari ancaman.
13.2.1. Kebijakan dan Prosedur Pertukaran Informasi

Aturan Kebijakan :
(1) Pertukaran Informasi dengan menggunakan fasilitas e-mail harus
memperhatikan perlindungan terhadap informasi yang dipertukarkan
(dalam bentuk attachment) dari salah pengiriman dan perusakan. Jika
dimungkinkan menggunakan password untuk melindungi kerahasiaan,
integritas dan keaslian Informasi yang dipertukarkan.
13.2.2. Perjanjian Pertukaran

Aturan Kebijakan :
(1) CV. Anugrah Pratama harus memastikan adanya perjanjian formal dalam
melakukan pertukaran informasi dengan pihak lain untuk memastikan
semua pihak yang terlibat melakukan pengamanan informasi dengan
memuat hal-hal sebagai berikut :
 Kesepakatan dalam kesepahaman yang sama terkait keamanan
informasi sehingga informasi dapat dilindungi secara memadai
 Penyimpanan Informasi secara aman dan memadai.
 Penggunaan sistem pelabelan yang telah disepakati untuk informasi
yang sensitif.
 Penggunaan teknologi password yang diperlukan.
13.2.3. Pesan Elektronik (e-mail)

Aturan Kebijakan :
(1) Pengiriman informasi milik CV. Anugrah Pratama menggunakan e-mail
harus dilindungi untuk menghindari kebocoran informasi secara tidak
disengaja akibat kesalahan pengiriman dan tanpa ada pengamanan pada
file.
44
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
13.2.4. Perjanjian Kerahasiaan

Aturan Kebijakan :
(1) Setiap pegawai CV. Anugrah Pratama maupun pihak ketiga yang bekerja di
CV. Anugrah Pratama harus menyetujui dan menandatangani pernyataan
menjaga kerahasiaan informasi yang dituangkan dalam dokumen
pernyataan kerahasiaan informasi atau kontrak kerja dan berlaku selama
personil aktif di CV. Anugrah Pratama
14. Akuisisi Dan Pemeliharaan Sistem

14.1. Requirement keamanan sistem informasi
Semua persyaratan keamanan pada sistem informasi harus diidentifikasi pada tahap
analisa kebutuhan proyek untuk kemudian dipertimbangkan, disetujui, dan
didokumentasikan sebagai bagian dari kebutuhan bisnis CV. Anugrah Pratama.
14.1.1. Analisa dan penentuan spesifikasi dari kebutuhan keamanan dalam sistem
informasi
Aturan Kebijakan :
(1) Setiap perubahan terhadap sistem informasi CV. Anugrah Pratama, baik
pengembangan baru maupun perbaikan terhadap sistem yang sudah
ada, harus mempertimbangkan kebutuhan pengendalian keamanan
informasi.
(2) Untuk sistem yang disediakan melalui vendor penyedia, Operasional CV.
Anugrah Pratama perlu melakukan proses pengujian untuk menjamin
terpenuhinya seluruh kebutuhan keamanan dalam sistem informasi.
14.1.2. Pengujian Penerimaan Sistem

Aturan Kebijakan :
(1) Pengujian penerimaan sistem harus ditetapkan sesuai dengan kriteria
sistem informasi baru, upgrade dan versi baru. Pengujian penerimaan
sistem harus mencakup pengujian kebutuhan keamanan informasi dan
kepatuhan untuk mengamankan pengembangan sistem.
(2) Pengujian juga harus dilakukan pada komponen yang diterima dan sistem
terpadu.
14.1.3. Pengamanan Lingkungan Pengembangan

(1) Lingkungan Pengembangan harus diamankan untuk memastikan akses ke
45
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
lingkungan tersebut hanya diberikan kepada pihak pengembang yang

berwenang.
(2) Jalur komunikasi ke lingkungan pengembangan hanya diberikan kepada
pihak pengembang yang berwenang.
(3) Pengamanan infrastruktur pengembangan yang mencakup namun tidak
terbatas pada server dan jalur serta perangkat jaringan sedapat mungkin
sama dengan pengamanan pada lingkungan production.
14.1.4. Pengujian Keamanan Sistem

(1) Pengujian keamanan harus dilakukan pada sistem informasi yang baru
dikembangkan sebelum sistem informasi tersebut dioperasionalkan.
(2) Pengujian keamanan harus mencakup fitur keamanan pada infrastruktur
dan/atau aplikasi yang baru dikembangkan.
14.1.5. Penerapan keamanan informasi pada layanan aplikasi yang melewati

jaringan publik
(1) Melakukan penerapan proses autentikasi pada aplikasi seperti
penggunaan akun dan password.
(2) Menerapkan Perlindungan informasi menggunakan teknik enkripsi
seperti kriptografi, https, dsb
(3) Terdapat persyaratan dan ketentuan yang harus disepakati oleh pihak
penyedia layanan dan pengguna
(4) Terdapat persyaratan perlindungan terhadap informasi yang bersifat
rahasia
14.1.6. Kaidah rekayasa sistem yang aman

(1) Melakukan penerapan keamanan pada seluruh lapisan arsitektur (proses
kegiatan, data, aplikasi dan teknologi)
(2) Melakukan analisa dan kajian risiko keamanan terhadap teknologi baru.
(3) Menerapkan kaidah rekayasa sistem yang aman pada proses yang
dilakukan oleh pihak ketiga melalui perjanjian kontrak
14.1.7. Reviu Teknikal dari aplikasi setelah Perubahan Sistem Operasi
(1) Kajian teknis aplikasi setelah perubahan sistem operasi dan/atau

perangkat lunak harus meninjau dan menguji sistem operasi dan/atau
perangkat lunak untuk memastikan tidak ada dampak merugikan pada
proses operasional atau keamanan informasi CV. Anugrah Pratama pada
saat terjadi perubahan sistem operasi dan/atau perangkat lunak,
terutama pada perangkat lunak yang memproses informasi yang
46
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
memiliki klasifikasi RAHASIA.
14.1.8. Keamanan Dalam Proses Pengembangan
(1) Pengendalian perubahan sistem operasi dan perangkat lunak, mencakup:

a. Memelihara catatan persetujuan sesuai dengan kewenangannya;
b. Memastikan permintaan perubahan diajukan oleh pihak yang
berwenang;
c. Melakukan identifikasi terhadap perangkat lunak, informasi, basis
data, dan perangkat keras yang perlu diubah;
d. Mendapatkan persetujuan formal dari pihak yang berwenang
sebelum pelaksanaan perubahan;
e. Memastikan pihak yang berwenang menerima perubahan yang
diminta sebelum dilakukan implementasi;
f. Memastikan bahwa dokumentasi sistem mutakhir dan dokumen
versi sebelumnya diarsip;
g. Memelihara versi perubahan aplikasi;
h. Memelihara jejak audit perubahan aplikasi;
i. Memastikan bahwa implementasi perubahan dilakukan pada
waktu yang tepat dan tidak menganggu kegiatan.
(2) Kebocoran informasi
Pengendalian yang dapat diterapkan untuk membatasi risiko kebocoran
informasi, antara lain:
a. Melakukan pemantauan terhadap aktivitas pegawai dan pihak
ketiga, sistem sesuai dengan ketentuan yang berlaku; dan
b. Melakukan pemantauan terhadap aktivitas penggunaan desktop
dan perangkat mobile.
(3) Penerapan kajian teknis aplikasi setelah perubahan sistem operasi dan/
atau perangkat lunak, mencakup:
a. Memastikan pemberitahuan perubahan sistem informasi
dilakukan dalam jangka waktu yang tepat untuk memastikan tes
dan reviu telah dilaksanakan sebelum implementasi; dan
b. Memastikan bahwa perubahan telah diselaraskan dengan
rencana Kelangsungan kegiatan.
(4) Pengembangan perangkat lunak oleh pihak ketiga harus
mempertimbangkan:
a. Perjanjian lisensi, kepemilikan source code, dan Hak Atas
Kekayaan Intelektual (HAKI);
b. Perjanjian escrow;
47
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
c. Hak untuk melakukan audit terhadap kualitas dan akurasi

pekerjaan;
d. Persyaratan kontrak mengenai kualitas dan fungsi keamanan
aplikasi;
e. Uji coba terhadap aplikasi untuk memastikan tidak terdapat
malicious code sebelum implementasi;
14.1.9. Perlindungan terhadap sistem pengujian data
Bagian pengembangan harus menentukan sistem pengujian data,
melindunginya dari kemungkinan kerusakan, kehilangan atau perubahan
oleh pihak yang tidak berwenang.
15. Hubungan Dengan Supplier

15.1. Pengamanan pada Proses Pengembangan dan Support
Untuk memastikan perlindungan aset organisasi yang dapat diakses oleh supplier.
15.1.1. Kebijakan keamanan informasi untuk hubungan dengan supplier

Aturan Kebijakan :
(1) Proses keamanan informasi dengan supplier harus disepakati dengan
supplier terkait dengan akses pemasok untuk aset organisasi.
15.1.2. Menangani keamanan informasi dalam perjanjian dengan supplier

Aturan Kebijakan :
(1) Perjanjian dengan supplier harus mencakup klausul kerahasiaan
informasi yang disetujui oleh setiap supplier (dalam dokumen kontrak
atau perjanjian kerjasama)
(2) Setiap personil supplier yang dapat mengakses, memproses, menyimpan,
berkomunikasi, atau mengkonfigurasi komponen infrastruktur TI, dan
informasi untuk organisasi harus menandatangani perjanjian
kerahasiaan informasi.
15.1.3. Supply Chain dari teknologi informasi dan komunikasi

Aturan Kebijakan :
(1) Supply Chain dari teknologi informasi dan komunikasi harus mencakup
kebutuhan untuk mengatasi resiko terkait dengan keamanan informasi
48
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
dan layanan teknologi dan produk supply chain.
15.2. Pengelolaan Pemberian Layanan (Service Delivery)

Pengelolaan pemberian layanan bertujuan untuk menjaga tingkat keamanan
informasi dan tingkat layanan yang disetujui sesuai dengan perjanjian.
15.2.1. Pemantauan dan Peninjauan Layanan dari Supplier

Aturan Kebijakan :
(1) Pemantauan terhadap layanan yang disediakan oleh Pihak Ketiga meliputi
antara lain:
 Memantau tingkat layanan yang diberikan sesuai dengan perjanjian
kerja.
 Mengkaji laporan yang disampaikan oleh Pihak Ketiga dengan melakukan
pertemuan berkala yang dituangkan dalam risalah rapat atau laporan
progress pelaksanaan pekerjaan pihak ketiga.
15.2.2. Mengelola perubahan kepada layanan dari Supplier

Aturan Kebijakan :
(1) Seluruh perubahan terhadap layanan yang diberikan oleh pihak ketiga,
termasuk operasional dan pemeliharaan harus dikelola dengan
mempertimbangkan sistem yang dijalankan oleh CV. Anugrah Pratama.
16. Manajemen Insiden Keamanan Informasi

16.1. Manajemen insiden keamanan informasi dan perbaikan terhadap sistem
Proses ini bertujuan untuk memastikan bahwa manajemen insiden keamanan
informasi telah dijalankan secara konsisten dan efektif yang mencakup pengalokasian
tugas dan tanggung jawab terkait dengan penanganan insiden dankelemahan
keamanan informasi.
16.1.1. Tanggung jawab dan prosedur penanganan insiden keamanan informasi

Aturan Kebijakan :
(1) Manajemen CV. Anugrah Pratama mempunyai tanggung jawab untuk
memastikan penanganan insiden informasi yang ditangani oleh pegawai
CV. Anugrah Pratama yang mempunyai kewenangan dalam
mengkoordinasikan tindak lanjut insiden telah dijalankan dengan cepat
49
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
dan efektif.
16.1.2. Pelaporan insiden dalam sistem keamanan informasi

Aturan Kebijakan :
(1) Seluruh pegawai CV. Anugrah Pratama harus melaporkan insiden
keamanan informasi yang teridentifikasi secepat mungkin melalui
mekanisme pelaporan insiden di CV. Anugrah Pratama.
16.1.3. Proses pelaporan kelemahan dalam sistem keamanan informasi

Aturan Kebijakan :
(1) Semua pegawai CV. Anugrah Pratama yang menggunakan sistem wajib
melaporkan kelemahan dalam sistem jaringan secepat mungkin untuk
mencegah terjadinya insiden keamanan informasi.
16.1.4. Assessment dari dan Keputusan terhadap kejadian keamanan informasi

Aturan Kebijakan :
(1) Assessment dari dan keputusan terhadap kejadian keamanan informasi
harus diputuskan dan harus diklasifikasian sebagai insiden keamanan
informasi.
(2) klasifikasi prioritas insiden dapat membantu dampak dan tingkat insiden
16.1.5. Response terhadap insiden keamanan informasi

Aturan Kebijakan :
(1) Respon terhadap keamanan informasi harus ditanggapi sesuai dengan prosedur
yang terdokumentasi.
(2) Insiden keamanan informasi harus ditanggapi oleh pihak yang terkait
(manajemen, personil, pihak ketiga).
16.1.6. Proses pembelajaran dari insiden keamanan informasi

Aturan Kebijakan :
(1) Setiap insiden keamanan informasi yang terjadi harus dievaluasi terkait
dampak dan biaya dari insiden keamanan informasi dan digunakan
sebagai bahan masukan untuk proses peninjauan dari kebijakan
keamanan informasi.
16.1.7. Pengumpulan bukti (evidence)

Aturan Kebijakan :
50
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(1) Bukti dari tindak lanjut penanganan insiden harus dikumpulkan,

disimpan, dan ditunjukkan terkait dengan proses audit dan atau
evidence trail di kemudian hari.
(2) Bukti dalam bentuk kertas (hardcopy) perlu disimpan dengan catatan
mengenai siapa yang melaporkan bukti tersebut, serta dimana dan
kapan bukti itu ditemukan. Sedangkan bukti dalam bentuk softcopy perlu
dijamin bahwa bukti tersebut dapat selalu diakses bila dibutuhkan dan
bukti tersebut disimpan.
17. Keamanan Informasi Dalam Kelangsungan Bisnis

17.1. Keberlanjutan Keamanan Informasi
Proses business continuity management harus diterapkan untuk meminimalkan
dampak yang menghambat organisasi dan mencegah kehilangan aset informasi
(disebabkan kejadian seperti bencana alam, kecelakaan, kerusakan peralatan,
dan kesengajaan) pada acceptable level melalui kombinasi pengendalian
pencegahan dan pemulihan (recovery).
17.1.1. Penerapan proses business continuity management

Aturan Kebijakan :
(1) Proses business continuity management harus dikembangkan dan
dipelihara dengan mempertimbangkan kebutuhan keamanan
informasi untuk keberlangsungan bisnis CV. Anugrah Pratama
dengan mempertimbangkan:
 Pemahaman terhadap berbagai risiko yang dihadapi Operasional
CV. Anugrah Pratama terhadap insiden pada operasional atau
keadaan darurat yang disebabkan oleh bencana alam yang
mencakup prioritisasi dari proses bisnis kritikal.
 Indentifikasi dari seluruh aset yang digunakan oleh proses bisnis
kritikal.
 Pengembangan dan dokumentasi dari business continuity plan
yang mencakup strategi business continuity .
 Pengalokasian tugas dan tanggung jawab proses business
continuity dalam proses dan struktur CV. Anugrah Pratama.
(2) Manajemen Operasional CV. Anugrah Pratama harus menetapkan
tim penanggulangan dan pemulihan bencana dan menetapkan
koordinasi pemulihan BCP dalam kerangka kerja business continuity
51
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
plan.
17.1.2. Pengembangan dan implementasi continuity plan yang mencakup

aspek keamanan informasi
Aturan Kebijakan :
(1) Manajemen Operasional CV. Anugrah Pratama harus menilai risiko
yang berkaitan kritikalitas proses yang dijalankan terkait dengan
business continuity sebagai kajian mengenai Business Impact
Analysis (BIA) dengan mengidentifikasi dampak kegagalan maupun
gangguan terhadap proses bisnis.
17.1.3. Pengujian continuity plan yang mencakup aspek keamanan informasi

Aturan Kebijakan :
(1) Penanggung jawab sistem di Operasional CV. Anugrah Pratama
harus melakukan koordinasi terkait dengan perencanaan business
continuity dalam rangka memelihara dan memastikan proses
pemulihan operasi sistem informasi pada saat terjadi gangguan pada
proses bisnis yang kritikal.
(2) Proses perencanaan dan pengembangan business continuity plan
meliputi:
 Identifikasi dan kesepakatan untuk semua tanggung jawab
pada tim BCP di Operasional CV. Anugrah Pratama yang
terlibat dalam pemulihan proses darurat.
 Melengkapi prosedur operasional bisnis pada proses recovery
dan restoration.
 Rencana pelatihan untuk personil yang terlibat dalam proses-
proses dalam business continuity plan.
 Pengujian dari business continuity plan.
(3) Manajemen Operasional CV. Anugrah Pratama harus memastikan
dokumen BCP yang disimpan dan selalu up-to-date.
17.2. Redundancies
Bertujuan untuk menjamin ketersedian dari fasilitas pemrosesan informasi.
17.2.1. Ketersediaan dari fasilitas pemrosesan informasi

Aturan Kebijakan :
(1) Manajemen Operasional CV. Anugrah Pratama harus memastikan
52
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
infrastruktur sistem informasi CV. Anugrah Pratama mempunyai

redundancy yang memadai untuk memenuhi kebutuhan
ketersediaan sistem.
(2) Kebutuhan ketersediaan sistem perlu dijabarkan secara formal
berdasarkan kebutuhan penggunaan sistem informasi di CV.
Anugrah Pratama.
18. Kepatuhan (Complience)

18.1. Kepatuhan Terhadap Prasyarat Hukum dan Kontraktual
Proses ini bertujuan untuk mencegah terjadinya pelanggaran terhadap hukum,
undang-undang, contractual obligation, dan kebutuhan keamanan lainnya.
18.1.1. Identifikasi aturan hukum, regulasi maupun kontrak yang berlaku

Aturan Kebijakan :
(1) Manajemen CV. Anugrah Pratama harus mengidentifikasi semua
persyaratan legal, regulasi, dan kontraktual secara terdokumentasikan
untuk memastikan kesesuaiannya dengan peraturan/perundang-
undangan yang berlaku secara nasional terhadap proses keamanan
informasi yang diijalankan.
18.1.2. Hak Atas Kekayaan Intelektual (HAKI)

Aturan Kebijakan :
(1) Manajemen CV. Anugrah Pratama harus memastikan penggunaan aset TI
yang memiliki HAKI dan produk software berlisensi telah memenuhi
kepatuhan terhadap peraturan, dan kebutuhan kontrak.
(2) Terkait dengan pengelolaan software di Operasional CV. Anugrah
Pratama, Pusat Jaringan Komunikasi harus melaksanakan ketentuan
sebagai berikut:
 Perangkat lunak yang digunakan adalah perangkat lunak yang
berlisensi.
 Daftar Lisensi perangkat lunak ditatausahakan dengan baik,
diperiksa status lisensi dan kesesuaiannya secara berkala.
18.1.3. Perlindungan terhadap record CV. Anugrah Pratama

Aturan Kebijakan :
53
Dokumen Terbatas
KEAMANAN INFORMASI
Revisi : 00
(1) Record perlu dikategorikan sesuai dengan type-nya seperti record

database, log dari transaksi atau hasil audit yang perlu dilengkapi
dengan keterangan mengenai masa simpan dan masa retensi.
18.1.4. Pengamanan Data Pribadi

Aturan Kebijakan :
(1) CV. Anugrah Pratama perlu melindungi kepemilikan dan kerahasiaan
data pribadi pegawai. Data hanya digunakan untuk kepentingan yang
dibenarkan oleh peraturan perundangan dan kesepakatan.
18.2. Kepatuhan terhadap kebijakan, standar, dan technical complience

Proses ini bertujuan untukmemastikan kepatuhan sistem terhadap kebijakan dan
standar yang ditetapkan oleh CV. Anugrah Pratama dengan melakukan peninjauan
secara berkala.
18.2.1. Kepatuhan terhadap kebijakan dan standard keamanan informasi

Aturan Kebijakan :
(1) Manajemen CV. Anugrah Pratama harus secara reguler melakukan
tinjauan terhadap kepatuhan dari sistem informasi, termasuk
penggunaan fasilitas pengolahan informasi, proses penanganan
informasi dalam lingkup bagiannya sesuai dengan kebijakan, standar dan
requirement keamanan informasi yang berlaku.
18.2.2. Pemeriksaan technical compliance

Aturan Kebijakan :
(1) Penanggung jawab sistem di CV. Anugrah Pratama harus memeriksa
sistem secara berkala untuk memastikan kesesuaian terhadap standar
penerapan keamanan yang ditetapkan melalui pemeriksaan secara
teknis dari sisi perangkat lunak maupun perangkat keras sesuai dengan
spesifikasi yang telah ditetapkan.
(2) Apabila pemeriksaan technical compliance mencakup pelaksanaan
penetration test atau vulnerability assessment, maka kegiatan pengujian
tersebut perlu direncanakan dan didokumentasikan dengan baik untuk
mencegah risiko gangguan terhadap keamanan dari sistem informasi.
54
Dokumen Terbatas

Kebijakan AP 2021

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Kebijakan AP 2021

Diunggah oleh

Hak Cipta:

Format Tersedia

KEBIJAKAN SISTEM MANAJEMEN KEAMANAN INFORMASI

CV. ANUGRAH PRATAMA

Tanggal Terbit : 1 Februari 2021

Disusun oleh: Direview oleh: Diketahui oleh: Disahkan oleh:

Versi Tanggal Diusulkan Oleh Deskripsi dan Riwayat Perubahan

00 1 Februari 2021 ISMS Coordinator Dokumen Baru

8. Pengelolaan Aset ........................................................................................................................... 15

9.4.5. Pengendalian akses ke kode program (source code). ................................................. 31

12.3. Back-up .................................................................................................................................. 39

14.1.6. Kaidah rekayasa sistem yang aman ............................................................................... 46

18.1.2. Hak Atas Kekayaan Intelektual (HAKI) ........................................................................... 53

5. Kebijakan Keamanan Informasi

5.1.1. Kebijakan Keamanan Informasi

5.1.2. Peninjauan (review) Kebijakan Keamanan Informasi

6. Organisasi Keamanan Informasi

6.1.1. Tugas dan Tanggung Jawab keamanan informasi

6.1.2. Pemisahan Tugas dan Tanggung Jawab

6.1.3. Hubungan dengan pihak berwenang

6.1.4. Hubungan dengan Special Interest Group

6.1.5. Keamanan Informasi Dalam Manajemen Proyek

6.2. Mobile Computing dan Teleworking

6.2.1. Kebijakan perangkat mobile

7. Keamanan Sumber Daya Manusia

7.1.1. Penyaringan (screening)

7.1.2. Syarat dan Ketentuan Kepegawaian

7.2. Pada saat status kepegawaian berjalan

terkait dengan keamanan informasi termasuk tanggung jawabnya.

7.2.1. Tanggung Jawab Manajemen

7.2.2. Kesadaran, Pendidikan dan Pelatihan Terkait Dengan Keamanan Informasi.

7.2.3. Proses Pendisiplinan

7.3. Pemberhentian atau pergantian status kepegawaian.

7.3.1. Pemberhentian atau Pergantian Status Kepegawaian.

informasi di lingkungan CV. Anugrah Pratama.

8.1.1. Inventarisasi Aset

8.1.2. Kepemilikan Aset

8.1.3. Penggunaan Aset Yang Diterima

perangkat pribadi) yang digunakan untuk memproses informasi milik

8.1.4. Pengembalian Aset

8.2. Klasifikasi Informasi

8.2.1. Klasifikasi Informasi

 Informasi Rahasia, yaitu informasi yang sangat sensitif dan hanya

8.2.2. Pelabelan dan Penanganan Informasi

8.2.3. Penanganan Aset

Secara umum tidak ada kontrol khusus yang harus ditempatkan

terkunci dan di daerah di mana tidak ada akses publik.

dalam bentuk hard copy harus mendapatkan izin dari pemilik

8.3. Penanganan Media Penyimpanan Informasi

8.3.1. Pengelolaan Removable Media

kelembaban, debu) harus disimpan dalam tempat yang sesuai dengan

8.3.2. Pemusnahan Media

8.3.3. Pertukaran Media Fisik

9.1.1. Kebijakan pengendalian hak akses

9.1.2. Akses Ke Jaringan Dan Layanan Jaringan

sesuai dengan kebutuhan dari pengguna.

9.2. Pengelolaan Akses Pengguna

9.2.1. Pendaftaran dan penghapusan pengguna (user) sistem informasi

(4) Penggunaan user ID secara sharing harus sangat dibatasi.

9.2.2. Pemberian Hak Akses Pengguna

9.2.3. Pengelolaan Hak Akses Khusus (privileged access rights)

9.2.4. Pengelolaan Informasi Otentifikasi Rahasia Milik Pengguna

9.2.5. Peninjauan Terhadap Hak Akses Pengguna

9.2.6. Perubahan atau Pencabutan Hak Akses

9.3. Tanggung Jawab Pengguna (user)