Sop Keamanan Sistem Informasi

Standar Prosedur Operasional
Kemanan Sistem Informasi
© Hak Cipta
Dokumen ini adalah milik BPRS BAKTI ARTHA SEJAHTERA SAMPANG.., tidak boleh disalin atau
dicopy untuk keperluan apapun dan dalam bentuk apapun, secara menyeluruh atau sebagian tanpa seijin
BPRS BAKTI ARTHA SEJAHTERA SAMPANG BPRS BAKTI ARTHA SEJAHTERA SAMPANG.. tidak
bertanggung jawab atas kewajiban yang muncul
karena penyalahgunaan dokumen ini oleh pihak ketiga.
KEMANAN SISTEM INFORMASI
DAFTAR ISI
BAB I PENDAHULUAN.................................................................................................3
A. LATAR BELAKANG............................................................................................3
B. RUANG LINGKUP...............................................................................................3
C. ISTILAH DAN PENGERTIAN UMUM...............................................................4
BAB II KEBIJAKAN........................................................................................................6
A. KEAMANAN INFORMASI..................................................................................6
B. PENGORGANISASIAN KEAMANAN INFORMASI........................................6
C. KEAMANAN PERSONIL.....................................................................................6
D. KEAMANAN FISIK DAN LINGKUNGAN........................................................7
E. KLASIFIKASI DAN PENGGUNAAN ASET INFORMASI8
F. PENGGUNAAN ASET PC DAN/ ATAU LAPTOP9
G. PENGGUNAAN REMOVABLE MEDIA..........................................................10
H. PENGGUNAAN PERANGKAT MOBILE DAN TELEWORKING.................11
I. KERJASAMA DENGAN PIHAK KETIGA.......................................................11
J. PENGGUNAAN EMAIL DAN INTERNET......................................................12
K. PENGELOLAAN KEAMANAN JARINGAN...................................................13
L. PENGENDALIAN HAK AKSES........................................................................14
M. PENGGELOLAAN PASSWORD ASET SISTEM DAN
INFRASTRUKTUR.............................................................................................14
N. PEMELIHARAAN DAN OPERASIONAL SISTEM INFORMASI..................15
O. PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI............16
P. MANAJEMEN INSIDEN....................................................................................17
Q. KONTIJENSI DAN PEMULIHAN BENCANA.................................................17
R. KEPATUHAN......................................................................................................18
Standar Prosedur Operasional Keamnanan Sistem Informasi

2
BAB I
PENDAHULUAN
A. LATAR BELAKANG
Keamanan sistem informasi menjadi hal yang sangat penting bagi Bank Sampang dalam
rangka mengelola dan mengembangkan produk dan layanan digital yang mengedepankan
penerapan teknologi terkini. Informasi yang dikomunikasikan melalui sistem harus
dilindungi keamanannya sehingga secara tidak langsung dapat menjamin
keberlangsungan bisnis dari risiko yang mungkin terjadi. Semakin banyak informasi
nasabah yang disimpan dan dikelola, maka semakin besar pula risiko terjadinya
kerusakan, kehilangan atau terungkapnya informasi ke pihak luar yang tidak diinginkan.
Seluruh informasi transaksi data pelanggan yang digunakan melalui layanan sistem harus
dilindungi dari penyalahgunaan, modifikasi, pencurian, atau perusakan, baik oleh pihak
internal maupun pihak eksternal. Proses perlindungan terhadap informasi tersebut harus
dikelola dengan baik sehingga informasi yang dihasilkan dapat terjaga kerahasiaannya
(confidentiality), keakuratannya (integrity), dan ketersediaan (availability) secara efektif.
B. RUANG LINGKUP
Ruang Lingkup Kebijakan Keamanan Sistem Informasi berlaku pada seluruh informasi
dan unit bisnis dalam lingkup implementasi Sistem Manajemen Keamanan Informasi
dalam pengelolaan sistem aplikasi atau platform sehubungan dengan penyelenggaraan
proses bisnis oleh Bank Sampang...
C. TUJUAN
Kontrol keamanan sistem informasi yang diterapkan di Bank Sampang. bertujuan untuk:
1. Menjamin kesinambungan layanan yang diberikan dengan cara menghindari atau
setidaknya meminimalkan risiko bencana dan menghindari terjadinya pelanggaran-
pelanggaran kaidah pengamanan serta mengurangi berbagai dampak kerugian yang
potensial.
2. Memenuhi persyaratan regulasi yang ditetapkan regulator terkait keamanan
informasi.
3
D. ISTILAH DAN PENGERTIAN UMUM

1. Bank Sampang yang selanjutnya disebut sebagai bank.
2. Aplikasi inti perbankan (core banking system) adalah sistem elektronik berupa
aplikasi untuk proses akhir seluruh transaksi perbankan yang terjadi sepanjang hari,
termasuk pengkinian data dalam pembukuan bank, yang paling sedikit mencakup
fungsi nasabah, simpanan, pinjaman, akuntansi, dan pelaporan
3. Arsistektur TI adalah Sebuah kesepakatan bersama yang diformalkan mengenai
prinsip, kebijakan, layanan-layanan beserta komponen pendukungnya serta produk-
produk teknologi dari vendor tertentu yang digunakan oleh Departemen IT Bank.
4. Aset Informasi adalah Sistem komputer, data, database, perangkat TI dan/atau
informasi.
5. Aset TI adalah Segala bentuk teknologi, informasi, proses dan sumber daya manusia
yang dikelola Departemen IT dan memiliki nilai bagi penggunaan TI di Perusahaan.
6. Best Practice adalah Suatu cara paling efisien (upaya paling sedikit) dan efektif
(hasil terbaik) untuk menyelesaikan suatu tugas, berdasarkan suatu prosedur yang
dapat diulangi yang telah terbukti berguna untuk banyak orang dalam jangka waktu
yang cukup lama.
7. Business Impact Analyst (BIA) adalah Proses untuk memastikan akibat yang
ditimbulkan dari ketidaktersediaannya dukungan resource. Pada fase ini mencakup
identifikasi beragam kejadian yang dapat mengakibatkan pada kelangsungan
kegiatan operasional dan financial, sumber daya manusia dan dampak terhadap
reputasi perusahaan. Business Impact Analysis (BIA) merupakan langkah kritikal
dalam pengembangan BCP.
8. Computer Platform adalah Kombinasi perangkat keras dan perangkat lunak yang
membuat suatu aplikasi bisa dijalankan. Umumnya mencakup perangkat keras,
sistem operasi, bahasa pemrograman dan pemrograman library.
9. Data Center adalah Pusat pemrosesan informasi yang terdiri dari ruangan, perangkat
keras, jaringan komunikasi, serta komponen pendukung dan fasilitas penunjang
lainnya. Dalam kebijakan ini yang termasuk dalam kategori data center adalah data
center utama dan disaster recovery site.
4
10. Database adalah Kumpulan informasi yang disimpan di dalam komputer secara
sistematik sehingga dapat diperiksa menggunakan suatu program komputer untuk
memperoleh informasi dari basis data tersebut.
11. Fasilitas Penunjang adalah Perangkat atau sistem yang mendukung pengendalian
aspek lingkungan (environment) data center, seperti: AC, raised floor, fire
suppression systems, pengatur kelembaban.
12. Kepatuhan (compiance) adalah Suatu kondisi yang disikapi agar memenuhi
persyaratan peraturan dan undang-undang yang berlaku maupun perjanjian atas
pemilikan suatu perangkat TI, sehingga bebas dari tuntutan hukum.
13. Kontijensi adalah Suatu sikap dan tindakan siaga yang dilakukan untuk
menghadapi suatu keadaan darurat (tidak normal) yang mungkin timbul akibat
dari suatu kejadian yang tidak diharapkan (seperti bencana), yang dapat mengancam
fungsi dan proses layanan sebagai sub sistem dari proses bisnis.
14. Komponen Pendukung Lainnya adalah Hal-hal yang mendukung kelancaran layanan
TI dalam mendukung proses operasional.
15. Kiptografi adalah Proses mengamankan suatu data/informasi dengan menggunakan
algoritma pengkodean tertentu agar tidak dapat dibaca oleh pihak yang tidak
berwenang.
16. Malicious Code adalah Program komputer yang diciptakan dengan maksud dan
tujuan utama untuk membobol atau merusak suatu sistem seperti virus, worms dan
trojan.
17. Source Code adalah Instruksi program piranti lunak yang ditulis dalam suatu format
(bahasa) dan dapat dibaca oleh manusia.
18. Source Code Library adalah Kumpulan teks yang ditulis dalam bahasa
pemrograman. Merupakan referensi dalam pengembangan suatu program.
19. System Libraries adalah Kumpulan piranti lunak atau data yang memiliki fungsi
tertentu dan disimpan sebagai referensi dalam pengembangan sistem pada
production environment.

5
BAB II
KEBIJAKAN
A. KEAMANAN INFORMASI
1. Keamanan informasi bertujuan untuk melindungi aset Bank Sampang yang
berbentuk informasi agar terhindar dari berbagai ancaman internal maupun
eksternal, baik yang disengaja maupun tidak disengaja, sehingga dengan demikian
dapat memberikan jaminan tentang: ketersediaan, integritas dan kerahasiaan
informasi dalam menunjang kontinuitas bisnis Bank Sampang
2. Keamanan informasi meliputi keamanan data, perangkat keras dan perangkat lunak,
seluruh aktivitas serta proses yang terkait dengan penyediaan informasi.
3. Koordinasi keamanan informasi dilakukan melalui Rapat Manajemen untuk:
3.1 Mengevaluasi data penanganan insiden dan kelemahan pengamanan informasi.
3.2 Menilai kecukupan tingkat kesesuaian proses sistem manajemen.
3.3 Peningkatan keberlanjutan yang dapat diterapkan.
B. PENGORGANISASIAN KEAMANAN INFORMASI

1. Manajemen Bank Sampang bertindak sebagai penanggung jawab utama sistem
manajemen keamanan informasi, yang bertugas untuk melakukan pengarahan,
koordinasi, membuat keputusan tentang keamanan informasi.
3. Manajemen Bank Sampang bertanggungjawab untuk membangun komunikasi dan
kerja sama dengan organisasi lain di perusahaan, untuk hal yang terkait dengan
masalah keamanan informasi.
4. Setiap kejadian pelanggaran keamanan informasi maupun berbagai ancaman yang
berpotensi melanggar keamanan TI harus dilaporkan untuk ditindaklanjuti.
C. KEAMANAN PERSONIL
1. Peran dan tanggung jawab setiap personil terhadap perangkat teknologi informasi
(perangkat keras dan perangkat lunak) harus diatur dan ditentukan dengan jelas. Hal
ini termasuk pengaturan para pengguna (users).
6
2. Pada saat melakukan penerimaan karyawan baru, pemindahan dan pemutusan

hubungan kerja, harus dilakukan “security screening”.
3. Prosedur untuk menjamin pengamanan informasi pada karyawan mencakup :
3.1 Kewajiban bagi tiap karyawan untuk menandatangani perjanjian menjaga
kerahasiaan informasi. Perjanjian berlaku selama karyawan aktif di Bank
Sampang dan beberapa masa setelah selesai menjalankan ikatan kerja sesuai
ketentuan dalam perjanjian tersebut.
3.2 Proses pengenalan mengenai keamanan informasi diberikan kepada seluruh
karyawan pada waktu yang disediakan khusus untuk itu, atau minimal saat
karyawan masuk ke Bank Sampang.
4. Perlindungan terhadap aset informasi dan aset perangkat keras harus diterapkan pada
saat terjadi pengubahan status kekaryawanan.
5. Penyesuaian hak akses berkaitan dengan terjadinya pengubahan status kekaryawanan
dilakukan dengan mencakup pencabutan hak akses yang berkaitan dengan peran dan
tugas yang lama.
6. Pemisahan tugas dan tanggung jawab untuk menghindari konflik kepentingan harus
diterapkan di Bank Sampang
D. KEMANAN FISIK DAN LINGKUNGAN

1. Area yang aman harus dikontrol untuk mencegah akses ilegal yang berhubungan
langsung ke aset informasi yang dapat menyebabkan kerusakan.
2. Pengendalian keamanan fisik dan lingkungan diimplementasikan yang mencakup :
2.1 Area Kerja merupakan wilayah terbatas;
2.2 Area Tamu merupakan wilayah publik.
3. Setiap yang berkunjung ke Bank Sampang merupakan tamu. Pengunjung wilayah
terbatas harus diawasi dan didampingi oleh pihak yang berwenang.
4. Perlindungan fisik terhadap ancaman kebakaran, gempa bumi, ledakan, demonstrasi,
dan ancaman fisik lainnya perlu diterapkan untuk mencegah terjadinya kerusakan
dan meminimalkan risiko yang dapat terjadi.

7
E. KLASISIKASI DAN PENANGANAN ASET INFORMASI

1. Klasifikasi aset informasi harus disusun dan diterapkan, kemudian secara berkala
diperbaharui dan disesuaikan dengan kebutuhan, kepentingan dan dampak bisnis.
Kepemilikan atau alokasi dan tanggung jawab aset juga harus dinyatakan dengan
jelas.
5. Pembubuhan identitas (labelling) aset harus dibuat untuk mempermudah pencatatan
dan pendataan ulang serta membantu proses manajemen.
6. Perlindungan terhadap aset informasi harus disesuaikan dengan tingkatan risiko dan
berdasarkan tingkat kerahasiaannya dengan memastikan setiap aset Informasi
mendapat pengamanan yang memadai.
7. Mekanisme penanganan informasi di Bank Sampang adalah sebagai berikut:
Penanganan Informasi
Klasifikasi Definisi Disimpan
Distribusi Dimusnahkan
Hardcopy Softcopy
Informasi yang
jika disiarkan
Perangkat Dilarang
secara tidak
penyimpanan untuk
sah atau jatuh Tempat Dilarutkan atau
elektronik didistribusikan
Rahasia ditangan yang penyimpan menggunakan
harus tanpa
tidak berhak, an dikunci Paper Shredder
diberikan persetujuan
akan
password Manajemen
merugikan
Bank Jogha
Informasi yang
hanya
diketahui oleh
pejabat yang
berwenang
Perangkat
atau yang
penyimpanan
ditunjuk. Diizinkan Dilarutkan atau
Disimpan elektronik
Internal Informasi yang untuk menggunakan
dengan rapi harus
membutuhkan didistribusikan Paper Shredder
diberikan
pengamanan
password
yang erat
hubungannya
dengan tugas
khusus Bank
Sampang
Publik Informasi Tidak ada aturan khusus untuk informasi yang bersifat biasa
umum yang

8
tidak
berdampak
materil kepada
Bank Sampang
8. Karyawan harus melaksanakan proses backup terhadap informasi yang mempunyai
kritikal untuk menjamin ketersediaan pada saat dibutuhkan.
9. Pertukaran informasi yang bersifat “rahasia” khususnya kepada pihak lain harus
dikontrol untuk mencegah modifikasi dan hilangnya data atau informasi. Manajemen
Bank Sampang harus memastikan adanya kesepakatan bersama dalam melakukan
pertukaran informasi dengan pihak lain untuk memastikan semua pihak yang terlibat
memahami dan melaksanakan tanggung jawab pengamanan informasi dalam
pertukaran informasi dengan memuat hal-hal sebagai berikut :
8.1 Tanggung jawab masing-masing pihak untuk mengendalikan pertukaran
Informasi.
8.2 Kesepakatan dalam penggunaan tanda terhadap Informasi “Rahasia” untuk
memastikan masing-masing pihak memiliki kesepahaman yang sama sehingga
Informasi dapat dilindungi secara memadai.
8.3 Penyimpanan Informasi yang memenuhi persyaratan Keamanan Informasi.
10. Pertukaran informasi yang bersifat rahasia dengan menggunakan email harus
memperhatikan perlindungan terhadap Informasi yang dipertukarkan (termasuk
dalam bentuk attachment) dari duplikasi, modifikasi, salah pengiriman dan
perusakan. Jika dimungkinkan menggunakan password untuk melindungi
kerahasiaan, integritas dan keaslian Informasi yang dipertukarkan.
11. Manajemen Bank Sampang harus menerapkan aturan untuk membersihkan meja dari
kertas-kertas dan media penyimpan informasi lainnya.
12. Setiap karyawan harus memastikan bahwa setiap file dokumen yang berasal dari
media penyimpanan atau jaringan, termasuk email dan intemet, tidak mengandung
Malicious Code (virus).
F. PENGGUNAAN ASET PC DAN/ ATAU LAPTOP

1. Penggunaan perangkat TI hanya untuk kepentingan pekerjaan dan merupakan
perangkat yang diotorisasi untuk digunakan di lingkungan Bank Sampang

9
2. Manajemen Bank Sampang menetapkan proses otorisasi manajemen terhadap aset TI

dan memastikan setiap perangkat dan sistem yang digunakan telah sesuai terhadap
standar perangkat organisasi dan diotorisasikan penggunaannya.
3. Perangkat TI perlu ditempatkan secara aman, untuk mengurangi akses tanpa ijin dan
adanya orang yang tidak berkepentingan yang dapat melihat informasi yang
ditampilkan.
4. Setiap perangkat TI seperti PC, Laptop, harus menggunakan perangkat pengamanan
antivirus minimal antivirus bawaan untuk mencegah bahaya Malicious Code (virus).
5. Karyawan harus memastikan perangkat PC / Laptop terhindar dari ancaman virus
dengan melakukan update antivirus dan melakukan full scan secara berkala.
6. Karyawan harus memastikan perangkat PC / Laptop yang sedang tidak digunakan
dalam jangka waktu lama telah terlindungi dengan baik dengan melakukan screen
saver lock / lock computer (Windows+L). Sedapat mungkin melakukan log-off pada
komputer setelah session selesai digunakan. Apabila karyawan hendak pulang kerja
maka karyawan wajib mematikan perangkat PC / Laptop untuk menghindari
kerusakan yang dapat terjadi.
7. Seluruh Aset TI yang akan dihapuskan (disposal) atau digunakan kembali oleh
karyawan lain harus diperiksa dan dipastikan bahwa tidak ada data sensitif yang
tersimpan dalam perangkat.
G. PENGGUNAAN REMOVABLE MEDIA

1. Penggunaan peralatan pemrosesan dan penyimpanan informasi elektronis seperti
flash disk, hardisk eksternal, dan lain – lain di lingkunganBank Sampang hanya
diperbolehkan untuk kebutuhan bisnis dan harus menerapkan prinsip kehati-hatian
dalam penggunaannya.
2. Data yang tersimpan dalam removable media yang tidak akan digunakan kembali
harus dihapus secara permanen dan dipastikan tidak dapat dimunculkan kembali.
3. File yang tersimpan dalam removable media sebaiknya segera disalin dalam PC/
Laptop pada saat karyawan berada di kantor.

10
4. Karyawan harus selalu melakukan scanning virus terhadap removable media (flash
disk, external harddisk) untuk mencegah adanya kerusakan informasi akibat ancaman
virus.
5. Pemindahan removable media berisi informasi keluar lingkungan Bank Sampang
menjadi tanggung jawab dari karyawan untuk melindungi informasi sesuai dengan
klasifikasi Informasi yang terkandung di dalamnya.
6. Removable Media yang dapat digunakan sebagai media backup adalah external
harddisk dan tempat penyimpanan media tersebut harus secara aman dan terlindungi.
7. Removable Media yang sudah rusak atau tidak digunakan lagi harus dimusnahkan
secara fisik sehingga informasi yang mungkin masih ada didalamnya tidak dapat
diambil kembali.
H. PENGGUNAAN PERANGKAT MOBILE DAN TELEWORKING

1. Penggunaan perangkat mobile untuk mendukung pelaksanaan tugas dikontrol
menggunakan VPN.
2. Perangkat mobile berupa laptop, smartphone, tablet, dsb. harus diamankan dengan
mengaktifkan fitur password, dan anti-virus.
3. Perangkat mobile milik pribadi boleh digunakan untuk pelaksanaan pekerjaan setelah
mendapat persetujuan dari Departemen TI.
4. Pelaksanaan kerja di luar area kantor (teleworking) diperbolehkan bagi personil –
personil yang memiliki tugas pokok bersifat mobile atau tidak terbatas jam kerja.
5. Personil di luar kriteria di atas dapat memperoleh akses teleworking atau VPN,
apabila memang memiliki kebutuhan pekerjaan dan disetujui oleh atasan terkait dan
Departemen TI.
6. Pelaksanaan teleworking harus memperhatikan keamanan lingkungan kerjanya baik
dari aspek keamanan fisik maupun logical (network).
I. KERJASAMA DENGAN PIHAK KETIGA

1. Pihak Ketiga yang bekerjasama dengan Bank Sampang harus diberikan pemahaman
mengenai kebijakan keamanan informasi yang berlaku terhadap aset atau akses ke
sistem.
11
2. Perjanjian dengan pihak ketiga harus memuat kebutuhan – kebutuhan pengamanan

informasi yang relevan, antara lain:
2.1 Menjamin pengembalian atau penghancuran informasi dan atau aset informasi
setelah berakhirnya perjanjian atau setelah masa yang ditentukan dalam
perjanjian.
2.2 Pembatasan atau larangan untuk menyalin atau mengungkapkan informasi
melalui perjanjian kerahasiaan.
2.3 Pernyataan bahwa akses yang diberikan hanyalah akses yang diijinkan untuk
dilakukan oleh pihak ketiga.
2.4 Target tingkat layanan termasuk tingkat layanan minimum dari pihak ketiga
termasuk metode pengawasan dan pelaporannya.
3. Setiap personil pihak ketiga harus menyetujui dan menandatangani pernyataan
menjaga kerahasiaan informasi yang dituangkan dalam dokumen pernyataan
kerahasiaan informasi selama personil bekerja.
4. Manajemen Bank Sampang harus memantau pekerjaan yang dilakukan oleh pihak
ketiga untuk memastikan keamanan informasi.
J. PENGGUNAAN EMAIL DAN INTERNET

1. Fasilitas Email / internet diprioritaskan untuk mendukung pelaksanaan tugas dengan
memperhatikan keterkaitan dengan pelaksanaan tugas karyawan dan Pengamanan
Informasi.
2. Setiap karyawan Bank Sampang yang menggunakan e-mail :
2.1 Tidak boleh membocorkan Informasi Rahasia milik Bank Sampang dan
melakukan perbuatan melanggar hukum, berindikasi SARA, provokasi,
kepentingan politik, pornografi, pencemaran nama baik dan atau pelecehan
seksual.
2.2 Memastikan bahwa file yang di-download dari internet dan email telah
diperiksa dan dibersihkan dari Malicious Code (virus, worm, trojan, spyware,
dan lain-lain) sebelum digunakan.
2.3 Memperhatikan efisiensi penggunaan bandwidth layanan internet, misalnya
tidak men-download file berukuran besar.
12
2.4 Tidak mengakses situs-situs internet dan menggunakan fitur/layanan di

internet dan email yang dilarang oleh Regulator.
2.5 Berhati-hati dalam memberikan Informasi pribadi seperti password, nomor
rekening/kartu kredit, PIN, email address, tanggal lahir, dan lain sebagainya.
2.6 Berhati-hati dalam memberikan informasi pribadi melalui fasilitas email.
2.7 Melaksanakan pengamanan terhadap Informasi Rahasia yang dikirimkan
melalui email dengan metode pengamanan yang memadai.
2.8 Mewaspadai adanya berbagai risiko dalam penggunaan email seperti,
spoofing, spamming, atau phising.
K. PENGELOLAAN KEAMANAN JARINGAN

1. Jaringan internal Bank Sampang harus diamankan untuk menjamin:
1.1 Pencegahan akses tanpa izin ke jaringan, layanan jaringan dan perangkat TI
dalam jaringan;
1.2 Keamanan dari informasi milik organisasi yang dikirimkan melalui jaringan;
1.3 Integritas dan ketersediaan dari layanan jaringan Bank Sampang.
2. Konfigurasi dari jaringan, perangkat aktif dan perangkat keamanan jaringan harus
ditinjau secara berkala untuk:
1.1 Memastikan kesesuaian dengan kondisi terkini;
1.2 Mengidentifikasi kerawanan pada jaringan, layanan jaringan dan Perangkat TI
dalam jaringan.
3. Akses dari jaringan eksternal ke dalam jaringan internal Bank Sampang harus
melewati security gateway atau firewall;
4. Koneksi tersebut harus diotentikasikan, diotorisasi dan diamankan dengan metode
pengamanan yang sesuai, seperti virtual private network (VPN), secure shell (SSH)
atau metode kriptografi;
5. Jaringan internal Bank Sampang harus dipisahkan dan diamankan dari jaringan
eksternal dengan menggunakan security gateway atau firewall;
6. Jaringan internal Bank Sampang harus disegmentasi untuk meningkatkan keamanan;

13
7. Akses internet untuk tamu atau Pihak Ketiga harus menggunakan segmen jaringan
khusus yang terpisah, secara logical dan/atau fisik, dari jaringan internal Bank
Sampang;
8. Akses dari eksternal dan akses oleh pihak ketiga, baik secara fisik maupun logical, ke
jaringan komunikasi dan perangkat jaringan organisasi harus disetujui secara formal
dan terdokumentasi;
9. Perangkat jaringan harus ditempatkan pada lokasi yang aman untuk menghindari
akses tanpa izin dan ancaman fisik maupun lingkungan;
10. Akses, baik fisik maupun logical ke perangkat jaringan harus dibatasi untuk tujuan
administrasi dan pemeliharaan jaringan;
11. Port dan layanan jaringan, baik fisik maupun logical, yang tidak digunakan tidak
boleh diaktifkan.
L. PENGENDALIAN HAK AKSES

1. Pengendalian hak akses didasarkan pada hal-hal sebagai berikut:
1.1 Kebutuhan pengamanan pada wilayah dan sistem informasi.
1.2 Mekanisme untuk kegiatan pengajuan hak akses, otorisasi hak akses,
pengadministrasian hak akses, pemantauan hak akses secara periodik dan
pencabutan hak akses.
2. Para pengguna harus mengerti tanggung jawab dan konsekwensi dari kewenangan
akses secara terkendali.
3. Semua proses yang berhubungan dengan ’user account’ harus ditentukan dalam
manajemen ’user account’. Hal ini berlaku untuk semua pengguna termasuk
administrator dan juga para pengguna eksternal, baik dalam kondisi normal maupun
darurat.
4. Hak akses pengguna sistem informasi harus ditinjau secara berkala untuk
memelihara kesesuaian pemberian akses terhadap informasi dan sistem informasi.

14
M. PENGGELOLAAN PASSWORD ASET SISTEM DAN INFRASTRUKTUR

1. Pengelolaan password yang meliputi: aturan penyusunan password, penyimpanan,
masa berlaku, perlindungan, pemulihan akibat lupa dan reset password, termasuk
dalam tugas dan tanggung jawab fungsi Pengelola Sistem.
2. Pengguna harus menjaga kerahasiaan password dan harus menghindari menyimpan
catatan password, kecuali telah disimpan secara aman.
3. Untuk melindungi kerahasiaan password, maka tampilan karakter password harus
disamarkan.
4. Password yang pertama kali diberikan kepada pengguna hanya berlaku untuk masa
aktivasi, yang harus diganti oleh pengguna pada kesempatan akses pertama.
5. Pengguna harus menggunakan password yang berkualitas, dengan kriteria sebagai
berikut:
1.1 Panjang minimal karakter password yang digunakan adalah 6 (enam)
1.2 Tidak berdasar pada sesuatu yang mudah ditebak atau mengunakan Informasi
terkait dengan Pengguna, misalnya: nama, nomor telepon, tanggal lahir
1.3 Menggunakan kombinasi huruf dan angka, sedapat mungkin menggunakan
spesial karakter (seperti: !$%#*)
1.4 Pengguna harus mengubah password secara berkala dengan maksimal jangka
waktu penggunaan password selama 90 (sembilan puluh) hari.
1.5 Pengguna harus menghindari penggunaan kembali password.
1.6 Pengguna dilarang berbagi password.
1.7 Kesalahan login sebanyak 3 kali berturut-turut harus mengakibatkan user ID
user terkunci (lockout) dan hanya dapat dilepaskan melalui bantuan
administrator.
6. Pengguna bertanggung jawab terhadap password yang dimiliki, dan wajib menjaga
kerahasiaannya agar tidak disalahgunakan oleh orang lain.
7. Pengguna harus mengubah password ketika ada indikasi penyalahgunaan password.
N. PEMELIHARAAN DAN OPERASIONAL SISTEM INFORMASI

1. Dalam pemeliharaan dan operasional aplikasi harus dipertimbangkan aspek
kebutuhan pengguna aplikasi tersebut.
15
2. Dalam proses pengembangan modul sistem aplikasi yang mungkin dapat dilakukan,
perlu mempertimbangkan aspek keamanan informasi seperti penggunaan kriptografi,
kriteria pengujian sistem yang disepakati, dan pengaturan source code.
3. Dalam rangka menjamin ketersediaan data pada sistem informasi maka perlu
dilakukan proses backup dan uji restore secara berkala. Fasilitas backup yang
memadai harus tersedia untuk menjamin Informasi dan dapat dipulihkan ketika
terjadi gangguan.
4. Pelaksanaan backup sekurang-kurangnya harus memperhatikan hal-hal sebagai
berikut:
4.1 Cakupan Informasi yang akan di-backup.
4.2 Frekuensi dan jenis backup disesuaikan dengan kebutuhan operasional,
pengamanan, dan tingkat kerahasian Informasi.
4.3 Media backup yang digunakan.
4.4 Pemeriksaan dan pengujian kelengkapan hasil backup.
5. Hasil backup disimpan di tempat yang terpisah dari tempat utama dan aman, serta
mendapat pengamanan logikal dan fisikal yang sama dengan pengamanan data pada
lokasi utama sesuai dengan klasifikasi Informasi.
O. PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI

1. Persyaratan keamanan informasi yang relevan harus diidentifikasi secara jelas
sebelum pengembangan, perluasan, atau pengadaan sistem informasi baru.
2. Spesifikasi kebutuhan harus disetujui oleh pemilik sistem sebelum dilakukan fase
pengkodean (coding) dalam pengembangan sistem.
3. Aturan untuk pengembangan sistem harus ditetapkan dan diimplementasikan untuk
proses pengembangan sistem yang mencakup:
3.1 Pengamanan dari lingkungan pengembangan, seperti pemisahan lingkungan
pengembangan baik secara fisik dan/atau logical, pengendalian akses,
pengelolaan perubahan.
3.2 Panduan secure coding.
3.3 Pengendalian versi aplikasi.
3.4 Penyimpanan dari source code.
16
3.5 Metode pengujian untuk mengidentifikasi dan memperbaiki vulnerability.

4. Perubahan terhadap sistem selama siklus pengembangan sistem harus dikendalikan
melalui proses manajemen perubahan yang berlaku.
5. Koordinator Pengembangan Aplikasi harus mengawasi aktivitas pengembangan
sistem yang di-outsourced. Hal ini dapat mencakup:
5.1 Perjanjian terkait lisensi dan kepemilikan sistem.
5.2 Pengujian penerimaan sistem untuk menguji kualitas dan akurasi dari sistem.
5.3 Prasyarat dokumentasi untuk sistem.
6. Pengujian dari fitur keamanan sistem harus dilakukan pada saat pengembangan
sistem informasi.
7. Fungsi dan kinerja sistem operasional harus ditinjau setelah implementasi perubahan
untuk memastikan tidak ada dampak yang dapat menghambat operasional bisnis
maupun keamanan informasinya.
8. Pengamanan terhadap data hasil pengujian perlu diperhatikan sebagai berikut:
5.4 Data untuk pengujian sistem harus dipilih secara hati-hati untuk menghindari
pengungkapan atau perubahan informasi sensitif oleh pihak yang tidak berhak,
serta melindung dari kemungkinan kerusakan dan kehilangan informasi;
5.5 Masking data harus dilakukan apabila data operasional yang sensitif digunakan
untuk keperluan pengujian;
9. Data operasional yang digunakan untuk keperluan pengujian harus dihapus segera
setelah proses pengujian telah selesai dilaksanakan.
P. MANAJEMEN INSIDEN
1. Karyawan harus melaporkan setiap terdapat kejadian insiden dan kelemahan
keamanan informasi untuk dilakukan tindakan yang diperlukan.
2. Mekanisme untuk menangani kejadian insiden keamanan informasi memuat data
penanggung jawab, tindak lanjut dan klasifikasi insiden.
3. Tindakan pencegahan, deteksi, dan tindakan perbaikan harus dipastikan ada untuk
melindungi sistem informasi dan teknologi dari ancaman/gangguan dari insiden.

17
Q. KONTIJENSI DAN PEMULIHAN BENCANA

1. Untuk menghadapi kemungkinan gangguan atau kegagalan layanan yang dapat
mengancam kelancaran proses bisnis, harus dilakukan kontinjensi (penyiagaan).
Kontinjensi harus dikelola dengan baik, karena itu harus direncanakan dan
dipersiapkan, diorganisasikan dengan menentukan peran dan tanggung jawab
masing-masing fungsi organisasi maupun karyawan, serta dilaksanakan secara
terkendali dengan mempertimbangkan aspek pembiayaan, operasi, sumberdaya dan
fasilitas.
2. Beberapa hal yang perlu diperhatikan dalam rencana kontinjensi antara lain:
2.1 Pengidentifikasian sumber daya yang bersifat kritis.
2.2 Pengawasan dan pelaporan ketersediaan (availability) sumber daya.
2.3 Ketentuan tentang prinsip-prinsip dari backup dan pemulihan serta alternatif
untuk menjalankan fungsi layanan.
2.4 Pengidentifikasian terhadap hal-hal yang paling kritis pada rencana
kesinambungan layanan untuk menentukan prioritas terhadap fungsi layanan
pada saat proses pemulihan.
3. Rencana pemulihan bencana harus didokumentasikan, yang intinya mengatur tentang
prosedur saat terjadi bencana (disaster), struktur organisasi pada saat terjadi bencana,
definisi peran, tugas dan tanggung jawab dari personil yang terlibat.
4. Rencana kesinambungan proses layanan harus diuji secara berkala untuk memastikan
bahwa pemulihan sistem akan dapat berjalan secara efektif, berbagai kekurangan
dapat teridentifikasi dan rencana pemulihan dapat dilakukan hingga kondisi terkini
(up-to-date). Hasil pengujian harus terdokumentasi dan bilamana perlu dapat
dilakukan langkah perbaikan sesuai dengan rekomendasi dari hasil pengujian.
R. KEPATUHAN
1. Pengamanan informasi harus selalu dievaluasi dan dapat dilakukan penyesuaian
berdasarkan adanya penerapan kebutuhan bisnis yang baru atau perubahan hukum
dan perundang-undangan yang berlaku.
2. Hal-hal yang berkaitan dengan kepatuhan (compliance), seperti hak atas kekayaan
intelektual (HAKI), peraturan dan perundang-undangan serta informasi lain yang
18
sejenis, termasuk tentang penjagaan kerahasiaan organsasi, harus disosialisasikan

kepada seluruh karyawan.

19

Sop Keamanan Sistem Informasi

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Sop Keamanan Sistem Informasi

Diunggah oleh

Hak Cipta:

Format Tersedia

Standar Prosedur Operasional

Kemanan Sistem Informasi

Standar Prosedur Operasional Keamnanan Sistem Informasi

D. ISTILAH DAN PENGERTIAN UMUM

Standar Prosedur Operasional Keamnanan Sistem Informasi

B. PENGORGANISASIAN KEAMANAN INFORMASI

2. Pada saat melakukan penerimaan karyawan baru, pemindahan dan pemutusan

D. KEMANAN FISIK DAN LINGKUNGAN

Standar Prosedur Operasional Keamnanan Sistem Informasi

E. KLASISIKASI DAN PENANGANAN ASET INFORMASI

Standar Prosedur Operasional Keamnanan Sistem Informasi

F. PENGGUNAAN ASET PC DAN/ ATAU LAPTOP

Standar Prosedur Operasional Keamnanan Sistem Informasi

2. Manajemen Bank Sampang menetapkan proses otorisasi manajemen terhadap aset TI

G. PENGGUNAAN REMOVABLE MEDIA

Standar Prosedur Operasional Keamnanan Sistem Informasi

H. PENGGUNAAN PERANGKAT MOBILE DAN TELEWORKING

I. KERJASAMA DENGAN PIHAK KETIGA

2. Perjanjian dengan pihak ketiga harus memuat kebutuhan – kebutuhan pengamanan

J. PENGGUNAAN EMAIL DAN INTERNET

2.4 Tidak mengakses situs-situs internet dan menggunakan fitur/layanan di

K. PENGELOLAAN KEAMANAN JARINGAN

Standar Prosedur Operasional Keamnanan Sistem Informasi

L. PENGENDALIAN HAK AKSES

Standar Prosedur Operasional Keamnanan Sistem Informasi

M. PENGGELOLAAN PASSWORD ASET SISTEM DAN INFRASTRUKTUR

N. PEMELIHARAAN DAN OPERASIONAL SISTEM INFORMASI

O. PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI

3.5 Metode pengujian untuk mengidentifikasi dan memperbaiki vulnerability.

Standar Prosedur Operasional Keamnanan Sistem Informasi

Q. KONTIJENSI DAN PEMULIHAN BENCANA

sejenis, termasuk tentang penjagaan kerahasiaan organsasi, harus disosialisasikan

Standar Prosedur Operasional Keamnanan Sistem Informasi

Anda mungkin juga menyukai