Kontrol Keamanan dan Privasi untuk Sistem Informasi dan Organisasi UPMEDIK

Tanggal Efektif: 1 Juni 2024

Tanggal Revisi: 1 Juni 2025

Departemen: Departemen Keamanan Informasi

1. Pernyataan Tujuan

Tujuan dari kebijakan ini adalah untuk menetapkan kontrol keamanan dan privasi yang diperlukan untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem informasi dan data organisasi UPMEDIK. Kebijakan ini menguraikan langkah-langkah yang diperlukan untuk melindungi informasi sensitif dari akses, pengungkapan, perubahan, dan penghancuran yang tidak sah.

2. Pernyataan Kebijakan

UPMEDIK berkomitmen untuk menerapkan kontrol keamanan dan privasi yang kuat untuk melindungi sistem informasi dan data organisasi. Semua karyawan, kontraktor, dan mitra pihak ketiga harus mematuhi kontrol yang ditetapkan untuk memastikan perlindungan informasi sensitif dan kepatuhan terhadap peraturan dan standar yang relevan.

3. Definisi

a. Sistem Informasi: Sekumpulan perangkat keras, perangkat lunak, dan jaringan yang digunakan untuk mengumpulkan, memproses, menyimpan, dan menyebarkan informasi.

b. Kerahasiaan: Memastikan bahwa informasi hanya dapat diakses oleh mereka yang berwenang.

c. Integritas: Menjaga keakuratan dan kelengkapan informasi dan metode pemrosesan.

d. Ketersediaan: Memastikan bahwa pengguna yang berwenang memiliki akses ke informasi dan aset terkait ketika diperlukan.

e. Informasi Sensitif: Data yang harus dilindungi dari akses tidak sah untuk menjaga privasi atau keamanan individu atau organisasi.

4. Prosedur

a. Kontrol Akses

  • Menerapkan kontrol akses berbasis peran (RBAC) untuk membatasi akses ke informasi sensitif.
  • Menggunakan autentikasi multi-faktor (MFA) untuk mengakses sistem dan data kritis.
  • Meninjau dan memperbarui izin akses secara berkala.

b. Enkripsi Data

  • Mengenkripsi data sensitif saat disimpan dan ditransmisikan menggunakan protokol enkripsi standar industri.
  • Menggunakan saluran komunikasi yang aman untuk transfer data (mis. HTTPS, SFTP).

c. Respons Insiden

  • Mengembangkan dan memelihara rencana respons insiden untuk menangani pelanggaran keamanan dan kehilangan data.
  • Melakukan latihan dan pelatihan respons insiden secara berkala.
  • Melaporkan insiden dengan segera ke Departemen Keamanan Informasi.

d. Keamanan Jaringan

  • Menggunakan firewall, sistem deteksi/pencegahan intrusi (IDS/IPS), dan solusi anti-malware.
  • Memperbarui dan menambal semua sistem dan aplikasi secara berkala untuk melindungi terhadap kerentanan.

e. Cadangan dan Pemulihan Data

  • Melakukan pencadangan data dan sistem kritis secara berkala.
  • Menyimpan cadangan di lokasi yang aman dan terpisah.
  • Menguji prosedur cadangan dan pemulihan secara berkala untuk memastikan integritas dan ketersediaan data.

f. Pelatihan Karyawan

  • Melakukan pelatihan kesadaran keamanan secara berkala untuk semua karyawan.
  • Memberikan pelatihan khusus bagi karyawan yang menangani informasi sensitif.

5. Tata Tertib

Karyawan diharapkan mematuhi pedoman berikut untuk memastikan keamanan dan privasi sistem informasi UPMEDIK:

  • Jangan berbagi kata sandi atau kredensial akses dengan individu yang tidak berwenang.
  • Melaporkan aktivitas mencurigakan atau insiden keamanan segera.
  • Mengikuti prosedur yang ditetapkan untuk menangani dan membuang informasi sensitif.
  • Pelanggaran kebijakan ini dapat mengakibatkan tindakan disipliner, hingga dan termasuk pemutusan hubungan kerja.

6. Persyaratan Pelaporan

a. Pelaporan Insiden: Karyawan harus melaporkan setiap insiden atau pelanggaran keamanan kepada Departemen Keamanan Informasi segera melalui sistem pelaporan insiden.

b. Prosedur:

  • Mengidentifikasi insiden dan mendokumentasikan detail relevan (mis. waktu, sifat insiden).
  • Memberitahu supervisor langsung dan Departemen Keamanan Informasi.
  • Mengisi formulir laporan insiden dan mengirimkannya ke Departemen Keamanan Informasi untuk penyelidikan dan penyelesaian.

7. Tanggung Jawab Tata Kelola

a. Pengawasan Kebijakan: Departemen Keamanan Informasi bertanggung jawab atas pengawasan dan administrasi kebijakan ini. Ini termasuk memastikan bahwa kebijakan ini mutakhir, relevan, dan diterapkan secara efektif di seluruh organisasi.

b. Peran dan Tanggung Jawab:

  • Chief Information Security Officer (CISO): Bertanggung jawab atas manajemen keseluruhan kontrol keamanan dan privasi informasi, memastikan kepatuhan terhadap peraturan yang relevan, dan melaporkan kepada manajemen senior tentang efektivitas kontrol ini.
  • Manajer Keamanan Informasi: Mengawasi operasi sehari-hari program keamanan, termasuk penerapan langkah-langkah keamanan, respons insiden, dan pelatihan karyawan.
  • Petugas Kepatuhan: Memastikan bahwa UPMEDIK mematuhi semua hukum dan peraturan yang relevan, melakukan audit secara berkala, dan mengelola dokumentasi kepatuhan.
  • Departemen TI: Bertanggung jawab untuk menerapkan dan memelihara langkah-langkah keamanan teknis, termasuk firewall, IDS/IPS, enkripsi, dan sistem cadangan data.
  • Karyawan: Semua karyawan bertanggung jawab untuk mengikuti kontrol keamanan dan privasi yang diuraikan dalam kebijakan ini, berpartisipasi dalam sesi pelatihan, dan melaporkan setiap insiden atau pelanggaran keamanan.

c. Tinjauan dan Pembaruan Kebijakan: Departemen Keamanan Informasi akan meninjau kebijakan ini setiap tahun, atau lebih sering jika diperlukan, untuk memastikan kebijakan ini tetap relevan dan efektif. Setiap perubahan pada kebijakan akan didokumentasikan dalam riwayat revisi dan dikomunikasikan kepada semua karyawan.

d. Pelaporan dan Manajemen Insiden: Semua insiden keamanan dan privasi harus dilaporkan segera kepada Departemen Keamanan Informasi. Tim respons insiden akan menyelidiki dan menanggapi insiden sesuai dengan rencana respons insiden yang telah ditetapkan.