Tugas Disaster

Recovery

IT Policy and Procedure

 DAFTAR ISI

Daftar Gambar ......................................................................................................................................3

1. Pendahuluan ..................................................................................................................................4
1.1 Latar belakang ...............................................................................................................................4
1.2 Rumusan masalah..........................................................................................................................4
1.3 Tujuan ..........................................................................................................................................4
1.4 Batasan masalah ............................................................................................................................5
2.Dasar teori ............................................................................................................................................6
2.1 Policy.......................................................................................................................................6
2.2 Standard...................................................................................................................................7
2.3 Procedure.................................................................................................................................7
2.4 Keterkaitan ..............................................................................................................................7
3.Hasil.....................................................................................................................................................8
3.1 Policy Penggunaan Komputer dan Printer ...................................................................................8
3.2 Policy penggunaan external storage ...........................................................................................10
3.3 Policy Account dan Password ....................................................................................................11
3.4 Policy penggunaan software.......................................................................................................12
3.5 Policy penggunaan email perusahaan.........................................................................................13
3.6 Policy penggunaan Internet ........................................................................................................14
6. Penutup ........................................................................................................................................17
5.1 Kesimpulan ..............................................................................................................................17
5.2 Saran.........................................................................................................................................17
Daftar Pustaka .......................................................................................................................................18

2
 Daftar Gambar

Figure 1. Keterkaitan antara policy, standard, dan procedure.................................................................8

3
 1. Pendahuluan

1.1 Latar belakang

Policy merupakan hal yang sangat penting untuk diperhatikan dalam menjalankan suatu
perusahaan atau organisasi. Policy sendiri adalah pernyataan dari aturan keamanan yang
teridentifikasi oleh manajemen sebagai cara untuk mencapai obyektif. Dengan adanya policy,
diharapkan proses bisnis berjalan sebagaimana mestinya, dan perusahaan atau organisasi
dapat meminimalisasi resiko yang mungkin terjadi dari perusahaan tersebut. Berkaitan
dengan procedure yang merupakan cara spesifik yang dapat digunakan oleh user untuk
tunduk (comply) pada policy dan standar. Sedangkan standar merupakan metode, produk atau
teknologi untuk mengimplementasikan keamanan.

Dalam tugas kali ini, permasalahan yang diangkat adalah IT Policy dan Prosedur dari Rumah
Sakit Umum Muhammadiyah. Hal ini menjadi penting dibahas Karena terkadang, policy
menjadi hal yang dikesampingkan dan tidak terlalu diperhatikan, padahal keberlangsungan
sangat dipengaruhi oleh policy itu sendiri.

1.2 Rumusan masalah

1. Bagaimana contoh policy, standar, dan procedure yang bisa diterapkan dalam Rumah
Sakit Umum Muhammadiyah?

2. Tindakan apa yang harus dilakukan jika policy tidak terpenuhi?

1.3 Tujuan

1. Untuk mengetahui policy-policy, standar, dan procedure yang berlaku di RSU

Muhammadiyah berkaitan dengan teknologi informasi.

2. Untuk mengetahui tindakan yang harus dilakukan jika policy tidak terpenuhi.

4
1.4 Batasan masalah
Dalam pembahasan ini hanya akan menjelaskan tentang :

1. Policy, standar, dan procedure yang dikemukan adalah Policy, standar, dan procedure
yang berlaku di RSU Muhammadiyah berkaitan dengan infrastruktur IT.

2. Contoh policy yang diambil adalah :

a. Policy penggunaan komputer dan printer

b. Policy penggunaan external storage

c. Policy account dan password

d. Policy pengunaan Software

e. Policy penggunaan email perusahaan

f. Policy pengunaan layanan internet

5
 2.Dasar teori

2.1 Policy
Policy adalah instruksi manajemen tingkat tinggi dan jangka panjang pada bagaimana suatu
organisasi dijalankan dan secara umum digerakkan oleh legal concern. Policy merefleksikan
tujuan dari organisasi, sasaran, budaya dan dimaksudkan untuk diketahui secara umum.
Policy juga merupakan suatu perintah yang harus diterapkan oleh siapa pun dalam organisasi
atau perusahaan, termasuk karyawan, kontraktor, manajer, dan lain-lain. Persetujuan khusus
terkait dengan tidak dilaksanakannya suatu policy karena sesuatu hal harus di
dokumentasikan. Karena policy menggerakkan standar, prosedur, dan technical control dalam
suatu perusahaan atau organisasi.

Policy penting untuk diperhatikan karena policy :

• Memperluas infrastruktur manajemen

• Mengganti sistem monitoring yang pasif dan human based intervention ke manajemen
yang aktif

• Intervensi sebagai permasalahan yang muncul pada kecepatan komputasi, bukan pada
waktu reaksi manusia

• Mengizinkan reuse dan duplikasi pengetahuan dan proses

Level dari policy sendiri adalah sebagai berikut.

• Goals rules Device Commands

• Memperhatikan constraint ( apa yang dapat dan tidak dapat dilakukan)

• Ditujukan untuk mengalokasikan dan petunjuk untuk operasi komputasi dan sumber
daya jaringan

Policy yang baik adalah policy yang :

6
 • Ditulis dengan jelas, singkat dan dengan bahasa yang sederhana

• Statemen dalam policy lebih menjelaskan tentang peraturan bukan bagaimana

menjalankan peraturan itu sendiri

• Statemen policy dapat dibaca oleh seluruh elemen organisasi dan otoritasnya jelas

• Sebagai bagian penting, policy merepresentasikan konsistensi, dan framework logis

dari aksi organisasi

2.2 Standard
Standar mendefinisikan proses atau aturan yang akan digunakan untuk mendukung policy,
misalnya system-design models atau software khusus, atau metodologi. Standar dapat
disebarkan secara langsung atau hanya untuk beberapa kelompok saja (misalnya,
pengembang software) dengan durasi yang terbatas serta merefleksikan perubahan
organisasional atau perubahan lingkungan. Seperti halnya policy, standar adalah perintah
(mandat) dan membutuhkan perlakuan khusus jika standar tidak dapat dipenuhi.

2.3 Procedure
Prosedur adalah instruksi khusus (task terurut) untuk melaksanakan beberapa fungsi atau
aksi. Prosedur merupakan cara-cara untuk memenuhi policy itu sendiri. Misal jika policy-nya
adalah “Penggunaan password untuk otentifikasi dan otorisasi” dan standardnya berupa
“Password harus dibangun dari 6-8 karakter alpha-numeric” maka prosedurnya dapat berupa
“untuk penggantian password, masukkan password lama, kemudian masukkan password
baru”.

2.4 Keterkaitan
Keterkaitan antara ketiga faktor diatas dapat dilihat dalam bagan berikut.

7
 Figure 1. Keterkaitan antara policy, standard, dan procedure [5]

3.Hasil

3.1 Policy Penggunaan Komputer dan Printer

1.Tujuan dibuatnya policy

Tujuan dari dibuatnya policy ini adalah untuk salah satu media atau sarana penjagaan
terhadap komputer dan printer agar dalam penggunaannya, karyawan atau pihak-
pihak yang berhubungan langsung dapat memperkecil resiko yang mungkin terjadi.

8
2.Ruang Lingkup Policy

Policy ini berlaku untuk setiap karyawan RSU Muhammadiyah yang berhubungan
secara langsung dengan perangkat komputer dan printer yang berkaitan dengan
perlakuan teknis. Seperti, kasir, petugas penginputan data pada lab, petugas penjaga
pendaftaran dan pencatatan pasien, serta petugas apotek.

3.Policy

Setiap karyawan wajib menjaga dan merawat komputer dan printer dari segala
bentuk kesalahan, kerusakan, dan ketidaktepatan dalam penggunaannya.

4.Standar

a. Komputer dan printer harus selalu dalam keadaan bersih dari kotoran dan debu.

b. Komputer dan printer dalam keadaan mati jika tidak digunakan.

c. Komputer yang digunakan adalah satu unit komponennya tanpa tambahan

apapun diluar ketentuan RSU Muhammadiyah (CPU, keyboard, monitor, mouse,
dan power supply).

5.Procedure

a. Setiap karyawan yang menggunakan komputer dan printer harus memperhatikan

kebersihan komputer dan printer yang digunakan.

b. Setiap karyawan tidak diperkenankan untuk menambahkan aplikasi apapun tanpa

sepengetahuan manajer.

c. Setiap karyawan tidak diperkenankan untuk merubah atau mengganti tampilan

fisik unit komputer atau printer, tanpa sepengetahuan manajer.

d. Setiap karyawan tidak diperkenankan untuk menggunakan komputer dan printer

untuk keperluan pribadi.

e. Setiap karyawan harus mematikan komputer dan printer jika telah selesai
menggunakannya.

9
 f. Aplikasi yang dapat ditambahkan ke dalam unit komputer adalah aplikasi yang
berhubungan dengan pekerjaan karyawan, atau yang dapat membantu dengan
persetujuan manajer.

g. Setiap karyawan wajib membersihkan komputer dan printer setelah digunakan.

h. Setiap karyawan wajib mencuci tangan terlebih dahulu sebelum berinteraksi

dengan komputer atau printer.

i. Setiap karyawan tidak diperkenankan makan ketika menggunakan komputer atau

printer.

j. Setiap karyawan tidak diperkenankan untuk menambahkan atau mengurangi

hardware internal dari unit komputer atau printer.

k. Setiap 3 kali pelanggaran ketentuan, karyawan akan mendapatkan satu surat

teguran.

l. Jika karyawan telah mendapatkan surat teguran sebanyak 2 kali, maka karyawan
akan mendapatkan satu surat peringatan.

m. Jika karyawan telah mendapatkan surat peringatan sebanyak 3 kali, maka

karyawan akan mendapatkan hukuman sesuai dengan ketentuan yang berlaku.

3.2 Policy penggunaan external storage

1.Tujuan dibuatnya policy

Kebutuhan transfer data dari dan ke perangkat komputer perusahaan saat ini
sangatlah tinggi. Tentunya penggunaan external storage menjadi sangat penting.
Namun, dibalik kebutuhannya hal tersebut akan membuka celah keamanan baru
untuk sistem komputer perusahaan, misalnya resiko komputer terinfeksi vrus dan
perangkat lunak perusak lainnya. Policy ini dibangun untuk meminimalisir timbulnya
celah baru dan penyalahgunaan perangkat media penyimpanan eksternal.

2. Ruang Lingkup Policy

Guideline ini berlaku untuk semua perangkat komputer yang ada di perusahaan dan
semua tingkatan karyawan dengan perangkat media penyimpanan exkternal apapun
tanpa terkecuali (flashdisk, hardisk eksternal, disket, cd, dsb.)

10
 3.Guideline

a. Setiap perangkat media penyimpanan eksternal harus dijamin tidak terinfeksi

malware / perangkat lunak perusak, seperti virus, trojan, dan worm.

b. Setiap komputer di perusahaan harus menonaktifkan fitur autoplay untuk

mencegah infeksi malware yang memanfaatkan fitur tersebut.

c. Sebelum melakukan transfer data scan perangkat external storage dengan anti
virus yang tersedia pada setiap komputer pada perusahaan

d. Tidak diperkanankan melakukan transfer data bersifat personal pada perangkat

komputer kantor (foto, video, musik) yang sekiranya dapat menggangu.

e. Pengguna non-karyawan perusahaan tidak diperkenankan menggunakan

perangkat penyimpanan eksternal pada perangkat komputer perusahaan untuk
segala kepentingan.

f. Sifat guideline ini tidak mengikat dan tidak dikenakan sanksi bagi pelanggarnya

3.3 Policy Account dan Password

1. Tujuan dibuatnya policy

Tujuan di adakan policy ini, tak lain adalah untuk menjaga authentitas pemilik akun,
agar tidak ada penyalahgunaan data oleh pihak tertentu.

2. Ruang Lingkup Policy

Policy ini mencakup penggunaan akun termasuk, username dan password user. User
yang di maksud meliputi petugas penginput data, yaitu petugas lab, resepsionis,
petugas apotek, dokter serta pegawai administrasi.

3.Policy

a. akun hanya dibuat oleh admin, berdasarkan nomer pegawai

b. setiap pengguna yang memiliki akun, wajib mengganti default password yang
diberikan oleh admin

c. setiap pengguna wajib keluar dari akunnya, sebelum meninggalkan ruangan.

11
 d. setiap pengguna wajib menjaga autentikasi akunnya.

4. Procedure

a. setiap pegawai harus verifikasi akun ke admin, untuk pembuatan akun baru

b. penggantian password setelah akun selesai dibuat

c. password yang diganti harus menggunakan kombinasi huruf dan angka

d. apabila lupa password, harus menghubungi admin

e. setiap pegawai yang memiliki akun, tidak boleh di beritahu pada orang lain.

3.4 Policy penggunaan software

1. Tujuan dibuatnya policy

Pembuatan policy ini ditujukan agar user dapat menjaga software yang ada pada
computer. Sehingga system operasi akan lebih awet dan tidak terjadi kerusakan
software.

2. Ruang Lingkup Policy

Policy ini mencakup segala bentuk interaksi user terhadap software yang ada
dikomputer. Policy ini diterapkan bagi personel yang meliputi petugas penginput
data, yaitu petugas lab, kasir, petugas apotek, serta pegawai administrasi.

3.Policy

a. Setiap user tidak diperkenankan mendelete ataupun memodifikasi software yang

ada di unit computer.

b. Setiap user tidak diperkenankan menjalankan aplikasi yang tidak berhubungan

dengan deskjob masing-masing.

c. Setiap user tidak diperkenankan menginstall aplikasi pada unit computer.

12
 d. Setiap user tidek diperkenankan untuk menyalahgunakan aplikasi yang ada pada
computer.

e. Setiap user tidak diperkenankan untuk memasukkan data palsu pada database.

f. Setiap user tidak diperkenankan memberikan data pada database ke pihak lain
tanpa seijin rumah sakit.

4.Standar

a. Penginstallan aplikasi hanya boleh dilakukan oleh administrator.

b. Update Operating System dan aplikasi-aplikasi di dalamnya dilakukan secara

berkala oleh administrator.

5. Procedure

a. Jika ada keperluan untuk menginstall suatu aplikasi ke dalam computer, hubungi
administrator.

b. Jika suatu OS atau aplikasi meminta untuk diupdate, segera laporkan

administrator.

c. User yang mengalami hang, error, not respond software, atau computer tidak mau
menyala dan tidak dapat menanganinya sendiri, dapat meminta bantuan
administrator.

d. Jika user melihat keanehan dalam penggunaan software seperti adanya indikasi
terkena virus, segera hubungi administrator.

e. Jika user melihat adanya keanehan data dalam database, segera laporkan kepada
admin dan personel lain yg bertugas menginput data untuk verifikasi.

3.5 Policy penggunaan email perusahaan

1. Tujuan dibuatnya policy

Policy ini dibuat dengan tujuan agar penggunaan email dengan menggunakan
account perusahaan benar-benar hanya untuk kepentingan perusahaan tanpa ada
hubungan dengan kepentingan pribadi dari pegawai.

2. Ruang Lingkup Policy

13
 Policy ini hanya mencakup hal-hal yang berhubungan dengan penggunaan email
peersahaan.

3. Policy

Pengunaan email digunakan untuk kepentingan perusahaan.

4. Standar

Dilakukan pengecekan penggunan email yang digunakan oleh pegawai setiap awal
bulan.

5. Procedure

a. Segala bentuk komunikasi via email, messenger atau bentuk lainnya, yang
menggunakan dan/atau disimpan dalam peralatan Perusahaan merupakan hak
milik penuh dan eksklusif Perusahaan. Pihak Perusahaan dan personel yang
berwenang memiliki wewenang untuk mengakses materi email atau data dalam
unit komputer karyawan setiap saat diperlukan oleh pihak Perusahaan.

b. Seluruh media komunikasi elektronik, penyimpanan data maupun akses yang

dihasilkan atau disimpan di peralatan Perusahaan, ditempat kerja atau merupakan
materi pekerjaan dari Perusahaan dianggap bukan sebagai milik pribadi
karyawan, namun sebagai hak milik penuh dan eksklusif Perusahaan.

c. Pegawai dilarang keras untuk membuka, mengirim, menerima, mendistribusikan,

mencetak atau menyimpan dokumen dalam bentuk apapun, elektronik atau
hardcopy yang mengandung pemahaman seksual, yang dapat memberikan
penilaian yang tidak baik terhadap sumber daya TI Perusahaan.

3.6 Policy penggunaan Internet

1. Tujuan dibuatnya policy

Policy ini ditujukan agar tidak terjadi penyalahgunaan fasilitas layanan internet yang
disediakan oleh RSU Muhammadiyah kepada karyawannya. Agar layanan internet
digunakan untuk kegiatan yang menunjang pekerjaan dari RSU Muhammadiyah

14
 bukan untuk keperluan pribadi ataupun yang menyimpang jauh dari kegiatan RSU
Muhammadiyah.

2. Ruang Lingkup Policy

Policy ini mencakup seluruh kegiatan yang menggunakan layanan internet seperti
browsing, chat, dan lain sebagainya. Policy ini diterapkan bagi seluruh karyawan
RSU yang menggunakan layanan internet yang disediakan di lingkungan rumah sakit
oleh pihak RSU Muhammadiyah.

3. Policy

Setiap karyawan dilarang menggunakan layanan internet untuk kegiatan yang tidak
menunjang kinerja rumah sakit apalagi untuk membocorkan rahasia RSU
Muhammadiyah.

4. Standar

a. Semua kegiatan internet dimonitor oleh IT support dalam hal ini Network
Administrator.

b. Jaringan internet menggunakan firewall untuk menjamin keamanan jaringan.

c. Network administrator mambatasi akses internet pada jam kerja ( mem-blok

situs-situs yang dianggap tidak menunjang kinerja perusahaan).

5. Procedure

a. Tidak diperkenankan menggunakan layanan internet untuk membuka situs-situs

yang tidak menunjang kinerja rumah sakit maupun yang bersifat pribadi
contohnya : situs pornografi, perjudian, lelang, biro jodoh, dan sebagainya.

b. Pada jam kerja tidak diperkenankan menggunakan layanan internet untuk

melakukan chatting atau komunikasi via internet kecuali ada hubungannya
dengan pekerjaan di RSU Muhammadyah.

c. Setiap pegawai dilarang menggunakan internet untuk melakukan hal-hal yang

melanggar hukum yang berlaku di Indonesia.

15
d. Jika akan mengunduh data atau file apapun dari situs yang tidak meyakinkan
sebaiknya menanyakan dahulu kepada IT Support.

e. Jika akan mengunggah data atau file apapun sebaiknya dipastikan bahwa file itu
bukan data perusahaan yang bersifat rahasia.

f. Setiap karyawan RSU Muhammadyah yang terbukti melanggar policy ini

sebanyak 3x akan dikenakan sanksi yang sesuai dengan peraturan yang berlaku
di lingkungan RSU Muhammadyah.

16
 6. Penutup

5.1 Kesimpulan

Policy digunakan untuk menetapkan apa yang diperbolehkan dan tidak diperbolehkan untuk
dilakukan sesuai dengan tujuan bisnis dan juga melindungi proses bisnis yang berlangsung.
Policy dilengkapi dengan standar dan prosedur yang akan membantu pelaksanaan policy itu
sendiri.

5.2 Saran
Adapun saran yang dapat diberikan adalah sebagai berikut.

• Penulisan policy seharusnya dilakukan dengan singkat, padat, dan jelas tanpa
mengurangi esensi dari policy itu sendiri

• Prosedur ditulis dengan jelas dan bersifat lebih menjelaskan dibandingkan policy itu
sendiri

17
 Daftar Pustaka

[1] Westerinen, Andrea. 2003. What is Policy and What Can It Be?. DMTF : IEEE Policy
Conference 2003

[2] Torjman, Sherri. 2005. What is Policy. Canada : Caledon Institute of Social Policy.

[3] http://policy.ucsc.edu/pdf/guide.pdf

[4] http://searchsecurity.techtarget.com/resources/Information-Security-Policies-Procedures-
and-Guidelines

[5] http://christodonte.com/2009/05/relationship-between-a-policy-standard-guideline-and-
procedure/

18