© Hak Cipta
Dokumen ini adalah milik BPRS BAKTI ARTHA SEJAHTERA SAMPANG.., tidak boleh disalin atau
dicopy untuk keperluan apapun dan dalam bentuk apapun, secara menyeluruh atau sebagian tanpa seijin
BPRS BAKTI ARTHA SEJAHTERA SAMPANG BPRS BAKTI ARTHA SEJAHTERA SAMPANG.. tidak
bertanggung jawab atas kewajiban yang muncul
karena penyalahgunaan dokumen ini oleh pihak ketiga.
Standar Prosedur Operasional
KEMANAN SISTEM INFORMASI
DAFTAR ISI
BAB I PENDAHULUAN.................................................................................................3
A. LATAR BELAKANG............................................................................................3
B. RUANG LINGKUP...............................................................................................3
C. ISTILAH DAN PENGERTIAN UMUM...............................................................4
BAB II KEBIJAKAN........................................................................................................6
A. KEAMANAN INFORMASI..................................................................................6
B. PENGORGANISASIAN KEAMANAN INFORMASI........................................6
C. KEAMANAN PERSONIL.....................................................................................6
D. KEAMANAN FISIK DAN LINGKUNGAN........................................................7
E. KLASIFIKASI DAN PENGGUNAAN ASET INFORMASI8
F. PENGGUNAAN ASET PC DAN/ ATAU LAPTOP9
G. PENGGUNAAN REMOVABLE MEDIA..........................................................10
H. PENGGUNAAN PERANGKAT MOBILE DAN TELEWORKING.................11
I. KERJASAMA DENGAN PIHAK KETIGA.......................................................11
J. PENGGUNAAN EMAIL DAN INTERNET......................................................12
K. PENGELOLAAN KEAMANAN JARINGAN...................................................13
L. PENGENDALIAN HAK AKSES........................................................................14
M. PENGGELOLAAN PASSWORD ASET SISTEM DAN
INFRASTRUKTUR.............................................................................................14
N. PEMELIHARAAN DAN OPERASIONAL SISTEM INFORMASI..................15
O. PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI............16
P. MANAJEMEN INSIDEN....................................................................................17
Q. KONTIJENSI DAN PEMULIHAN BENCANA.................................................17
R. KEPATUHAN......................................................................................................18
BAB I
PENDAHULUAN
A. LATAR BELAKANG
Keamanan sistem informasi menjadi hal yang sangat penting bagi Bank Sampang dalam
rangka mengelola dan mengembangkan produk dan layanan digital yang mengedepankan
penerapan teknologi terkini. Informasi yang dikomunikasikan melalui sistem harus
dilindungi keamanannya sehingga secara tidak langsung dapat menjamin
keberlangsungan bisnis dari risiko yang mungkin terjadi. Semakin banyak informasi
nasabah yang disimpan dan dikelola, maka semakin besar pula risiko terjadinya
kerusakan, kehilangan atau terungkapnya informasi ke pihak luar yang tidak diinginkan.
Seluruh informasi transaksi data pelanggan yang digunakan melalui layanan sistem harus
dilindungi dari penyalahgunaan, modifikasi, pencurian, atau perusakan, baik oleh pihak
internal maupun pihak eksternal. Proses perlindungan terhadap informasi tersebut harus
dikelola dengan baik sehingga informasi yang dihasilkan dapat terjaga kerahasiaannya
(confidentiality), keakuratannya (integrity), dan ketersediaan (availability) secara efektif.
B. RUANG LINGKUP
Ruang Lingkup Kebijakan Keamanan Sistem Informasi berlaku pada seluruh informasi
dan unit bisnis dalam lingkup implementasi Sistem Manajemen Keamanan Informasi
dalam pengelolaan sistem aplikasi atau platform sehubungan dengan penyelenggaraan
proses bisnis oleh Bank Sampang...
C. TUJUAN
Kontrol keamanan sistem informasi yang diterapkan di Bank Sampang. bertujuan untuk:
1. Menjamin kesinambungan layanan yang diberikan dengan cara menghindari atau
setidaknya meminimalkan risiko bencana dan menghindari terjadinya pelanggaran-
pelanggaran kaidah pengamanan serta mengurangi berbagai dampak kerugian yang
potensial.
2. Memenuhi persyaratan regulasi yang ditetapkan regulator terkait keamanan
informasi.
Standar Prosedur Operasional Keamnanan Sistem Informasi
3
Standar Prosedur Operasional
KEMANAN SISTEM INFORMASI
10. Database adalah Kumpulan informasi yang disimpan di dalam komputer secara
sistematik sehingga dapat diperiksa menggunakan suatu program komputer untuk
memperoleh informasi dari basis data tersebut.
11. Fasilitas Penunjang adalah Perangkat atau sistem yang mendukung pengendalian
aspek lingkungan (environment) data center, seperti: AC, raised floor, fire
suppression systems, pengatur kelembaban.
12. Kepatuhan (compiance) adalah Suatu kondisi yang disikapi agar memenuhi
persyaratan peraturan dan undang-undang yang berlaku maupun perjanjian atas
pemilikan suatu perangkat TI, sehingga bebas dari tuntutan hukum.
13. Kontijensi adalah Suatu sikap dan tindakan siaga yang dilakukan untuk
menghadapi suatu keadaan darurat (tidak normal) yang mungkin timbul akibat
dari suatu kejadian yang tidak diharapkan (seperti bencana), yang dapat mengancam
fungsi dan proses layanan sebagai sub sistem dari proses bisnis.
14. Komponen Pendukung Lainnya adalah Hal-hal yang mendukung kelancaran layanan
TI dalam mendukung proses operasional.
15. Kiptografi adalah Proses mengamankan suatu data/informasi dengan menggunakan
algoritma pengkodean tertentu agar tidak dapat dibaca oleh pihak yang tidak
berwenang.
16. Malicious Code adalah Program komputer yang diciptakan dengan maksud dan
tujuan utama untuk membobol atau merusak suatu sistem seperti virus, worms dan
trojan.
17. Source Code adalah Instruksi program piranti lunak yang ditulis dalam suatu format
(bahasa) dan dapat dibaca oleh manusia.
18. Source Code Library adalah Kumpulan teks yang ditulis dalam bahasa
pemrograman. Merupakan referensi dalam pengembangan suatu program.
19. System Libraries adalah Kumpulan piranti lunak atau data yang memiliki fungsi
tertentu dan disimpan sebagai referensi dalam pengembangan sistem pada
production environment.
BAB II
KEBIJAKAN
A. KEAMANAN INFORMASI
1. Keamanan informasi bertujuan untuk melindungi aset Bank Sampang yang
berbentuk informasi agar terhindar dari berbagai ancaman internal maupun
eksternal, baik yang disengaja maupun tidak disengaja, sehingga dengan demikian
dapat memberikan jaminan tentang: ketersediaan, integritas dan kerahasiaan
informasi dalam menunjang kontinuitas bisnis Bank Sampang
2. Keamanan informasi meliputi keamanan data, perangkat keras dan perangkat lunak,
seluruh aktivitas serta proses yang terkait dengan penyediaan informasi.
3. Koordinasi keamanan informasi dilakukan melalui Rapat Manajemen untuk:
3.1 Mengevaluasi data penanganan insiden dan kelemahan pengamanan informasi.
3.2 Menilai kecukupan tingkat kesesuaian proses sistem manajemen.
3.3 Peningkatan keberlanjutan yang dapat diterapkan.
C. KEAMANAN PERSONIL
1. Peran dan tanggung jawab setiap personil terhadap perangkat teknologi informasi
(perangkat keras dan perangkat lunak) harus diatur dan ditentukan dengan jelas. Hal
ini termasuk pengaturan para pengguna (users).
Standar Prosedur Operasional Keamnanan Sistem Informasi
6
Standar Prosedur Operasional
KEMANAN SISTEM INFORMASI
tidak
berdampak
materil kepada
Bank Sampang
8. Karyawan harus melaksanakan proses backup terhadap informasi yang mempunyai
kritikal untuk menjamin ketersediaan pada saat dibutuhkan.
9. Pertukaran informasi yang bersifat “rahasia” khususnya kepada pihak lain harus
dikontrol untuk mencegah modifikasi dan hilangnya data atau informasi. Manajemen
Bank Sampang harus memastikan adanya kesepakatan bersama dalam melakukan
pertukaran informasi dengan pihak lain untuk memastikan semua pihak yang terlibat
memahami dan melaksanakan tanggung jawab pengamanan informasi dalam
pertukaran informasi dengan memuat hal-hal sebagai berikut :
8.1 Tanggung jawab masing-masing pihak untuk mengendalikan pertukaran
Informasi.
8.2 Kesepakatan dalam penggunaan tanda terhadap Informasi “Rahasia” untuk
memastikan masing-masing pihak memiliki kesepahaman yang sama sehingga
Informasi dapat dilindungi secara memadai.
8.3 Penyimpanan Informasi yang memenuhi persyaratan Keamanan Informasi.
10. Pertukaran informasi yang bersifat rahasia dengan menggunakan email harus
memperhatikan perlindungan terhadap Informasi yang dipertukarkan (termasuk
dalam bentuk attachment) dari duplikasi, modifikasi, salah pengiriman dan
perusakan. Jika dimungkinkan menggunakan password untuk melindungi
kerahasiaan, integritas dan keaslian Informasi yang dipertukarkan.
11. Manajemen Bank Sampang harus menerapkan aturan untuk membersihkan meja dari
kertas-kertas dan media penyimpan informasi lainnya.
12. Setiap karyawan harus memastikan bahwa setiap file dokumen yang berasal dari
media penyimpanan atau jaringan, termasuk email dan intemet, tidak mengandung
Malicious Code (virus).
4. Karyawan harus selalu melakukan scanning virus terhadap removable media (flash
disk, external harddisk) untuk mencegah adanya kerusakan informasi akibat ancaman
virus.
5. Pemindahan removable media berisi informasi keluar lingkungan Bank Sampang
menjadi tanggung jawab dari karyawan untuk melindungi informasi sesuai dengan
klasifikasi Informasi yang terkandung di dalamnya.
6. Removable Media yang dapat digunakan sebagai media backup adalah external
harddisk dan tempat penyimpanan media tersebut harus secara aman dan terlindungi.
7. Removable Media yang sudah rusak atau tidak digunakan lagi harus dimusnahkan
secara fisik sehingga informasi yang mungkin masih ada didalamnya tidak dapat
diambil kembali.
7. Akses internet untuk tamu atau Pihak Ketiga harus menggunakan segmen jaringan
khusus yang terpisah, secara logical dan/atau fisik, dari jaringan internal Bank
Sampang;
8. Akses dari eksternal dan akses oleh pihak ketiga, baik secara fisik maupun logical, ke
jaringan komunikasi dan perangkat jaringan organisasi harus disetujui secara formal
dan terdokumentasi;
9. Perangkat jaringan harus ditempatkan pada lokasi yang aman untuk menghindari
akses tanpa izin dan ancaman fisik maupun lingkungan;
10. Akses, baik fisik maupun logical ke perangkat jaringan harus dibatasi untuk tujuan
administrasi dan pemeliharaan jaringan;
11. Port dan layanan jaringan, baik fisik maupun logical, yang tidak digunakan tidak
boleh diaktifkan.
2. Dalam proses pengembangan modul sistem aplikasi yang mungkin dapat dilakukan,
perlu mempertimbangkan aspek keamanan informasi seperti penggunaan kriptografi,
kriteria pengujian sistem yang disepakati, dan pengaturan source code.
3. Dalam rangka menjamin ketersediaan data pada sistem informasi maka perlu
dilakukan proses backup dan uji restore secara berkala. Fasilitas backup yang
memadai harus tersedia untuk menjamin Informasi dan dapat dipulihkan ketika
terjadi gangguan.
4. Pelaksanaan backup sekurang-kurangnya harus memperhatikan hal-hal sebagai
berikut:
4.1 Cakupan Informasi yang akan di-backup.
4.2 Frekuensi dan jenis backup disesuaikan dengan kebutuhan operasional,
pengamanan, dan tingkat kerahasian Informasi.
4.3 Media backup yang digunakan.
4.4 Pemeriksaan dan pengujian kelengkapan hasil backup.
5. Hasil backup disimpan di tempat yang terpisah dari tempat utama dan aman, serta
mendapat pengamanan logikal dan fisikal yang sama dengan pengamanan data pada
lokasi utama sesuai dengan klasifikasi Informasi.
P. MANAJEMEN INSIDEN
1. Karyawan harus melaporkan setiap terdapat kejadian insiden dan kelemahan
keamanan informasi untuk dilakukan tindakan yang diperlukan.
2. Mekanisme untuk menangani kejadian insiden keamanan informasi memuat data
penanggung jawab, tindak lanjut dan klasifikasi insiden.
3. Tindakan pencegahan, deteksi, dan tindakan perbaikan harus dipastikan ada untuk
melindungi sistem informasi dan teknologi dari ancaman/gangguan dari insiden.
R. KEPATUHAN
1. Pengamanan informasi harus selalu dievaluasi dan dapat dilakukan penyesuaian
berdasarkan adanya penerapan kebutuhan bisnis yang baru atau perubahan hukum
dan perundang-undangan yang berlaku.
2. Hal-hal yang berkaitan dengan kepatuhan (compliance), seperti hak atas kekayaan
intelektual (HAKI), peraturan dan perundang-undangan serta informasi lain yang
Standar Prosedur Operasional Keamnanan Sistem Informasi
18
Standar Prosedur Operasional
KEMANAN SISTEM INFORMASI