Cybersecurity Law and Regulation Training

Latihan Pembuatan Kebijakan IT (TEMPLATE)

Kebijakan Umum Penggunaan Teknologi Informasi

Dokumen ini harus disesuaikan dengan kondisi dan kebutuhan khusus organisasi.

Kebijakan Umum Penggunaan Teknologi Informasi ini mencakup keamanan dan penggunaan
semua informasi ***nama-organisasi dan peralatan Teknologi Informasi. Ini juga mencakup
penggunaan email, internet, peralatan komunikasi suara, dan peralatan seluler. Kebijakan ini
berlaku untuk semua karyawan ***nama-organisasi, kontraktor dan mitra, yang semuanya
selanjutnya disebut sebagai 'individu'.

Kebijakan ini berlaku untuk semua informasi, dalam bentuk apa pun, yang berkaitan dengan
aktivitas bisnis, dan untuk semua informasi yang ditangani oleh ***nama-organisasi terkait
dengan organisasi lain yang berhubungan dengannya. Ini juga mencakup semua Teknologi
Informasi dan fasilitas komunikasi informasi yang dioperasikan oleh ***nama-organisasi atau
atas namanya.

Akses

Akses ke Sistem Teknologi Informasi dikendalikan oleh penggunaan ID Pengguna, kata sandi
dan / atau perangkat token.

Semua ID Pengguna dan kata sandi harus ditetapkan secara unik kepada individu yang
disebutkan dan sebagai akibatnya individu bertanggung jawab atas semua tindakannya pada
sistem Teknologi Informasi ***nama-organisasi.

Individu tidak diperbolehkan :

1. Mengizinkan orang lain untuk menggunakan ID pengguna / token dan kata sandi
mereka pada sistem Teknologi Informasi ***nama-organisasi

2. Membiarkan akun pengguna mereka tetap masuk di komputer yang tidak dijaga dan
tidak terkunci.

3. Menggunakan ID pengguna dan sandi orang lain untuk mengakses sistem Teknologi
Informasi ***nama-organisasi.

4. Membiarkan sandi mereka tidak terlindungi (misalnya menuliskannya).

 5. Melakukan perubahan yang tidak sah pada Sistem Teknologi Informasi ***nama-
organisasi

6. Mencoba mengakses data di luar hak dan kewenangan.

7. Melampaui batas otorisasi mereka atau kebutuhan bisnis khusus untuk

menginterogasi sistem atau data.

8. Menghubungkan perangkat resmi ***nama-organisasi ke jaringan di luar ***nama-

organisasi tanpa wewenang.

9. Memberikan atau mentransfer data ***nama-organisasi data atau perangkat lunak

kepada orang atau organisasi di luar ***nama-organisasi tanpa wewenang.

Penggunaan Internet dan Email

1. Penggunaan jaringan internet dan sarana lain ***nama-organisasi ditujukan semata-

mata untuk penggunaan kegiatan organisasi.

2. Penggunaan pribadi diizinkan jika penggunaan tersebut tidak mempengaruhi kinerja

bisnis individu, tidak merugikan ***nama-organisasi dengan cara apapun, tidak
melanggar syarat dan ketentuan kerja apa pun dan tidak menyebabkan individu
maupun ***nama-organisasi melanggar peraturan perundangan.

3. Semua individu bertanggung jawab atas tindakan mereka di internet dan sistem email.

Individu tidak diperbolehkan :

1. Menggunakan internet atau email untuk tujuan pelecehan atau penyalahgunaan.
2. Menggunakan kata-kata yang tidak senonoh, tidak jelas, atau menghina dalam
komunikasi.
3. Mengakses, mengunduh, mengirim atau menerima bentuk informasi apa pun yang
(***nama-organisasi) mengandung muatan melanggar hukum.
4. Menggunakan internet atau email untuk mendapatkan keuntungan pribadi atau
menjalankan bisnis pribadi.
5. Menggunakan internet atau email untuk berjudi.
6. Menggunakan sistem email dengan cara yang dapat mempengaruhi keandalan atau
keefektifannya, misalnya mendistribusikan surat berantai atau spam.
7. Menempatkan informasi apa pun di Internet yang berhubungan dengan ***nama-
organisasi, mengubah informasi apapun tentangnya, atau mengungkapkan pendapat
apa pun tentang ***nama-organisasi, kecuali mereka secara khusus berwenang untuk
melakukan ini.
8. Mengirimkan informasi yang bersifat sensitif atau rahasia yang tidak dilindungi ke luar.
 9. Membuat komitmen resmi melalui internet atau email atas nama ***nama-organisasi
kecuali diizinkan untuk melakukannya.
10. Mengunduh materi yang dilindungi hak ciptanya tanpa persetujuan dan kewenangan
yang sesuai.

Clear Desk dan Clear Screen

Untuk mengurangi risiko akses tidak sah atau hilangnya informasi, ***nama-organisasi
memberlakukan kebijakan meja dan layar sebagai berikut:

1. Informasi organisasi yang perlu dilindungi harus menggunakan fitur keamanan yang
disediakan seperti enkripsi dan lain lain.

2. Komputer harus dimatikan / dikunci atau dilindungi dengan mekanisme penguncian

layar yang dikendalikan oleh kata sandi saat tidak diawasi.

3. Hati-hati untuk tidak meninggalkan materi rahasia seperti mesin cetak, fotokopi dan
lain lain.

4. Semua barang cetakan yang berhubungan dengan kegiatan organisasi yang bersifat
rahasia harus dibuang menggunakan tempat sampah atau penghancur limbah rahasia.

Bekerja di luar kantor

Penggunaan perangkat teknologi informasi di luar lokasi kantor harus dilakukan dengan
menerapkan praktik menjaga keamanan dari pencurian seperti:

1. Peralatan dan media di luar lokasi kantor tidak diperbolehkan ditinggalkan begitu saja
di tempat umum dan di dalam kendaraan secara tidak aman.

2. Peralatan yang terhubung dengan jaringan harus mengikuti ketentuan keamanan

***nama-organisasi

Perangkat Penyimpanan

1. Perangkat penyimpanan seperti flashdisk, CD, DVD, dan penyimpanan yang dapat
dilepas digunakan hanya dalam situasi ketika konektivitas jaringan tidak tersedia atau
tidak ada metode aman lain untuk mentransfer data.

2. Hanya perangkat penyimpanan resmi dengan enkripsi yang diaktifkan yang boleh
digunakan, saat mentransfer data sensitif atau rahasia.
Perangkat lunak resmi

1. Karyawan hanya boleh menggunakan perangkat lunak resmi yang diizinkan oleh
***nama-organisasi pada peralatan dan jaringan ***nama-organisasi.

2. Perangkat lunak resmi harus digunakan sesuai dengan perjanjian lisensi pemasok
perangkat lunak. Semua perangkat lunak pada ***nama-organisasi harus disetujui
dan / atau diinstal oleh petugas ***nama-organisasi yang berwenang.

3. Individu tidak diperbolehkan menyimpan dokumen elektronik pribadi seperti musik,

video, foto, atau gim pada peralatan ***nama-organisasi.

Virus dan malware

***nama-organisasi telah menerapkan deteksi virus dan malware otomatis secara terpusat
dan pembaruan informasi terkait. Semua perangkat pengguna harus menggunakan perangkat
lunak antivirus yang diinstal untuk mendeteksi dan menghapus virus apapun secara otomatis.

Individu tidak diperbolehkan :

1. Menghapus atau menonaktifkan perangkat lunak anti-virus.

2. Mencoba menghapus file yang terinfeksi virus atau membersihkan infeksi, selain
dengan menggunakan ***nama-organisasi perangkat lunak dan prosedur anti-virus
yang disetujui.

Penggunaan Peralatan Teleponi (Suara)

Penggunaan perlengkapan teleponi (suara) ***nama-organisasi ditujukan untuk penggunaan

bisnis.

Individu tidak menggunakan fasilitas suara ***nama-organisasi untuk mengirim atau

menerima komunikasi pribadi kecuali dalam keadaan luar biasa. Semua komunikasi pribadi
yang tidak mendesak harus dilakukan dengan biaya sendiri menggunakan sarana Komunikasi
alternatif

Individu tidak diperbolehkan :

1. Menggunakan peralatan komunikasi ***nama-organisasi untuk menjalankan bisnis

pribadi.

2. Melakukan panggilan bermuatan penipuan, ancaman atau melawan hukum lainnya

yang ditujukan ke pihak internal atau eksternal organisasi.
 3. Menerima panggilan balik biaya dari operator domestik atau internasional, kecuali
untuk penggunaan bisnis.

Penggunaan Sesudah Berakhir Masa Tugas

1. Semua peralatan teknologi informasi dan data harus dikembalikan sesudah

berakhirnya masa tugas atau berakhirnya kontrak kerja.

2. Semua data atau kekayaan intelektual yang dikembangkan atau diperoleh selama
masa kerja atau masa kontrak tetap menjadi milik ***nama-organisasi dan tidak
diperbolehkan disimpan oleh individu setelah berakhirnya masa tugas atau
penghentian atau digunakan kembali untuk tujuan lain.

Pemantauan Pengguna

1. Semua data yang dibuat dan disimpan pada perangkat ***nama-organisasi adalah
milik ***nama-organisasi dan tidak ada ketentuan resmi untuk privasi data individu,
namun jika memungkinkan ***nama organisasi menghindari membuka komunikasi
informasi pribadi (seperti email).

2. ***nama-organisasi memiliki hak (dalam kondisi tertentu) untuk memantau aktivitas

pada sistemnya, termasuk penggunaan internet dan email, untuk memastikan
keamanan sistem dan pengoperasian yang efektif, dan untuk melindungi dari
penyalahgunaan.

3. Setiap pemantauan akan dilakukan sesuai dengan proses internal yang diaudit dan
dikendalikan, hukum dan peraturan terkait

4. Investigasi dapat dilakukan bilamana ada kecurigaan terjadinya pelanggaran atas

kebijakan ini atau kebijakan lainnya. Bilamana investigasi mengungkapkan adanya
pelanggaran, tindakan disipliner dapat dilakukan sesuai dengan kebijakan dan
peraturan ***nama-organisasi

5. Individu bertanggung jawab untuk melaporkan dugaan pelanggaran kebijakan

keamanan pada kesempatan pertama tanpa penundaan kepada yang berwenang di
dalam organisasi ***nama-organisasi.