Bab 11 - Kebijakan Operasional

11.1. Kebijakan Kontrol Akses dan Jaringan link

1. Kontrol Akses link

1. Pengguna Perorangan dikategorikan menjadi dua (2) jenis:

   a. Pengguna internal adalah pengguna dengan hak istimewa terbatas berdasarkan perannya dalam lingkungan PT. Metalogix infolink Persada.

   b. Pengguna eksternal adalah pengguna dengan hak akses terbatas berdasarkan perjanjian di luar lingkungan PT. Metalogix infolink Persada.

2. Jika memungkinkan, hak akses harus ditetapkan ke peran dan tidak diberikan kepada pengguna individu.

3. Kata sandi yang disimpan dalam basis data harus di-hash dan tidak boleh dipulihkan ke teks biasa dengan cara apa pun yang mengacu pada standar umum yang memberikan perlindungan yang sesuai.

4. Manajemen PT Metalogix infolink Persada wajib memastikan akses dari pengguna yang berwenang dan untuk mencegah akses tidak sah ke sistem informasi.

5. Kebijakan kontrol akses yang telah ditetapkan dan dievaluasi sesuai keinginan dengan mengacu pada kebutuhan bisnis dan keamanan informasi.

6. Setiap aplikasi, dan manajemen jaringan yang ada di PT Metalogix infolink Persada harus memiliki role hak akses baik ke dalam aplikasi atau database yang harus disetujui oleh departemen IT dan direview secara berkala.

7. Manajemen harus memiliki policy tentang hak akses ke dalam network dan network services yang mencakup hak otorisasi user, area network dan network services yang diijinkan untuk diakses melalui VPN/wireless*, monitoring* penggunaan network dan network services, dan harus direview secara berkala.

8. Tata kelola pendaftaran pengguna dan pencabutan hak pengguna secara formal baik untuk pemberian dan pencabutan akses ke semua sistem informasi dan pelayanan harus ditetapkan.

9. Alokasi password harus dikendalikan, setiap permintaan informasi dan perubahan password diatur dengan prosedur yang tegas termasuk cara penyampaian password ke pengguna.

2. Manajemen Identitas link

2.1. Registrasi dan Deregistrasi Akses Pengguna link

1. Setiap pengguna diberikan/menggunakan ID pengguna unik untuk mengakses data atau aset. ID bersama hanya diizinkan untuk alasan bisnis atau operasional yang diperlukan dan harus disetujui serta didokumentasikan.
2. Pembuatan atau modifikasi ID Pengguna Internal harus dilakukan setidaknya satu (1) minggu setelah pengguna bergabung dengan perusahaan atau pindah ke unit lain masing-masing mengacu pada matriks akses pengguna.
3. Matriks Akses Pengguna dibangun dengan koneksi fungsi dan peran pekerjaan. Matriks ini harus menerapkan prinsip akses pengguna.
4. Permintaan Akses Pengguna harus dilakukan oleh setidaknya tingkat manajer melalui email.
5. Distribusi kata sandi setelah pembuatan pengguna, harus dikirimkan kepada individu/pengguna yang bersangkutan.
6. Pengguna eksternal dapat meminta akses pengguna dengan waktu terbatas berdasarkan persyaratan yang ditetapkan dalam perjanjian dan harus disetujui oleh Management dengan perwakilan sepengetahuan Management Representative.
7. ID Pengguna untuk internal harus dinonaktifkan atau dihapus tepat setelah pengguna meninggalkan perusahaan atau setelah peran yang ada diubah.
8. ID Pengguna untuk eksternal harus dinonaktifkan atau dihapus setelah periode akses berakhir atau masing-masing pribadi tidak aktif dalam perjanjian dengan entitas eksternal telah berakhir.

2.2. Peninjauan Pengguna link

1. Sebelum proses peninjauan dimulai, data terbaru dari pengguna yang ditinjau harus diterima sebagai bagian dari referensi utama.
2. Proses peninjauan harus didukung oleh matriks akses pengguna terbaru dan matriks akses berbasis peran untuk mengkonfirmasi apakah akses yang diberikan dalam sistem sesuai dengan matriks.
3. Tinjauan akses pengguna harus mencakup pengguna internal dan pengguna eksternal
4. Tinjauan akses pengguna harus dilakukan setiap enam bulan dan menghasilkan laporan tertulis.
5. Setiap ketidaksesuaian yang ditemukan selama peninjauan, akan dianalisis lebih lanjut alasannya dan mengambil tindakan yang diperlukan untuk menyesuaikan akses atau matriks.

2.3. Manajemen Konfigurasi Akses Pengguna link

a. Pengamanan Sandi Pengamanan Password

1. Tidak menuliskan password di media apapun tanpa adanya pengamanan penyimpanan password.
2. Penyampaian Akses Pengguna dari administrator ke multi pengguna tidak dilakukan secara bersama-sama, harus terpisah antara pengguna satu dengan yang lain.
3. Tidak memasukkan password ke dalam tempat penyimpanan dokumen yang tidak terenkripsi.
4. Tidak memberitahukan password kepada siapapun.
5. Tidak memberikan petunjuk format password maupun kata kunci kepada siapapun.
6. Tidak memberikan petunjuk format password maupun kata kunci pada form yang ada di internet.
7. Laporkan kepada Tim Infrastructure & Information Security setiap ada kecurigaan yang terjadi jika password tidak dapat digunakan saat login pada akun.
8. Jika ada yang meminta informasi password, harus terlebih dahulu melaporkan kepada Tim Infrastructure & Information Security.
9. Tidak menggunakan singkatan yang umum sebagai bagian dari password atau bagian password.
10. Tidak menggunakan nama orang, nama panggilan, nama anggota keluarga sebagai password atau bagian password.
11. Tidak menggunakan nama tempat sebagai password atau bagian password.
12. Tidak menggunakan nama email sebagai password atau bagian password.
13. Tidak menggunakan nomor yang mudah diingat seperti nomor telepon, tanggal lahir atau nomor/angka lainnya sebagai password atau bagian password.
14. Tidak menggunakan nama binatang kesayangan sebagai password atau bagian password.
15. Tidak diperkenankan orang lain melihat Anda saat mengetik password.
16. Password yang digunakan untuk mengakses layanan teknologi informasi PT Metalogix infolink Persada tidak boleh digunakan pada sistem lain di luar PT Metalogix infolink Persada, misalnya pada media sosial, toko online atau aplikasi lainnya.

b. Konfigurasi Kata Sandi

1. Password yang digunakan sebagai kredensial dalam otentikasi proses minimal harus mengikuti pedoman berikut:

   Parameter	Aplikasi/Laptop/Email
   Min. Panjang	8 karakter
   Maks. Usia Kata Sandi	6 bulan

2. Standarisasi Password ditentukan seperti contoh dibawah ini:

   Contoh password : Abcde@12

   Password harus terdiri dari minimal 8 karakter terdiri dari minimal satu huruf besar dan kombinasi huruf kecil dan angka dan minimal satu karakter khusus.

   Password tidak boleh:

   a. Diberitahukan kepada orang lain

   b. Ditulis di media yang mudah terlihat orang lain

3. Password diganti secara berkala atau segera diganti bila diduga telah diketahui orang lain. Mekanisme penggantian password sbb

   a. Untuk pengguna biasa (email, komputer) minimal setiap 180 hari

   b. Untuk pengguna sistem (root, admin server/aplikasi) minimum setiap 180 hari.

4. Proses penggantian (reset) password pengguna oleh system administrator dilakukan setelah melalui proses identifikasi dan verifikasi.

5. Proses pemberitahuan password bisa melalui email pribadi utama, nomor telepon pribadi dan atau melalui media pesan singkat atau online (seperti: whatsapp).

6. Password harus unik untuk setiap pengguna dan tidak mudah ditebak.

7. Password tidak boleh disimpan di sistem komputer tanpa perlindungan enkripsi.

2.4. Prosedur Pemberian/Pencabutan/Modifikasi Peran link

1. Pengguna dengan tingkat management meminta pemberian, pencabutan, atau modifikasi kepada pengguna yang dipilih.
2. Pemohon melakukan pengajuan permohonan kepada Pengelola Akses melalui media yang sudah ditentukan.
3. Pengelola Akses melakukan review terhadap permintaan tersebut sesuai dengan Form Review Hak Akses.
4. Pengelola Akses memeriksa status pengguna yang diminta kepada tim HR mengenai status pekerjaannya.
5. Setelah status pengguna dikonfirmasi, Pengelola Akses memberikan, mencabut, atau memodifikasi akses ke pengguna yang diminta.
6. Perubahan didokumentasikan dan dilaporkan kepada pengguna yang membuat permintaan dan pengguna yang diminta.
7. Pengelola Akses melakukan penutupan permintaan akses dan menyampaikan ke Pemohon.

2.5. Prosedur Peninjauan Hak Akses link

1. Proses review/peninjauan dimungkinkan dilakukan oleh pihak internal atau eksternal.

2. Pengelola Akses melakukan review terhadap akses dengan cara berikut, namun tidak terbatas pada:

   • Melakukan perbandingan antara Form Review Hak Akses dengan log aplikasi atau log access door.
   • Melakukan perbandingan antara Form Review Hak Akses dengan list pekerja yang aktif.
   • Untuk Pemilik dari setiap sistem/ layanan yang wajib memiliki hak akses harus meninjau kembali perihal kesesuaian hak akses yang diberikan dengan persyaratan bisnis dan keamanan informasi dalam jangka waktu minimal setahun sekali dan jika dibutuhkan.

3. Periode review terhadap hak akses dilakukan paling sedikit sebanyak satu kali dalam satu tahun.

   • Jika review membutuhkan tindak lanjut atau penyesuaian akses, maka dilanjutkan ke poin 5.
   • Jika tidak, maka selesai.

4. Pengelola Akses mengkoordinasikan kepada pihak terkait untuk menindaklanjuti hasil review.

5. Pihak terkait melakukan tindak lanjut atau penyesuaian akses (penambahan ataupun penghapusan) dan melakukan update pada Form Review Hak Akses*.*

2.6. Penghapusan Hak Akses link

1. Segera setelah ada perubahan kontrak kerja dengan pihak luar yang memiliki akses terhadap sistem, layanan dan fasilitas, ataupun setelah berakhirnya kontrak, pemilik kontrak harus segera memberitahu mengenai hal tersebut kepada Pihak Terkait yang bertanggung jawab memberikan hak akses kepada pihak luar yang bersangkutan.
2. Terhadap semua orang yang telah berubah status kepegawaiannya atau hubungan kontrak kerjanya, Pihak Terkait yang bertanggung jawab dalam hal pemberian hak akses harus segera menghapus ataupun mengubah Hak Akses Pihak Terkait yang bersangkutan.

3. Kontrol Jaringan link

1. PT Metalogix infolink Persada mengelola, memantau dan melindungi jaringan dari berbagai bentuk ancaman;

2. Pemantauan kegiatan pengelolaan jaringan untuk menjamin bahwa perangkat jaringan digunakan secara efektif dan efisien.

3. Pengendalian dan pengaturan akses ke sistem jaringan internal atau eksternal yang digunakan PT Metalogix infolink Persada harus ditetapkan.

4. Pencatatan informasi pihak ketiga yang diizinkan mengakses ke jaringan PT Metalogix infolink Persada dan menerapkan pemantauan serta pencatatan kegiatan selama menggunakan jaringan.

5. PT Metalogix infolink Persada mengidentifikasi fitur keamanan layanan, tingkat layanan, dan kebutuhan pengelolaan serta mencantumkannya dalam kesepakatan penyediaan layanan jaringan termasuk layanan jaringan yang disediakan oleh pihak ketiga.

6. Tim Infrastructure & Information Security melakukan pemisahan (segregasi) jaringan yang digunakan dan monitoring jaringan pada setiap segmen jaringan yang terhubung dengan jaringan PT Metalogix infolink Persada. Monitoring yang dilakukan meliputi:

   a. Analisa anomali pada jaringan yang berpotensi terhadap risiko keamanan informasi termasuk keamanan jaringan (network failure) dan penggunaan yang berlebihan terhadap sumber daya jaringan.

   b. Analisa trafik (bandwidth).

   c. Pola yang sudah diketahui terhadap serangan atau penyusupan.

7. Monitoring yang dilakukan berupa gambar yang dihasilkan dari graph, jika terjadi penurunan kualitas atau bandwith yang terpakai sudah hampir mencapai batas maksimal.

8. Hasil monitoring wajib dilaporkan kepada manajemen dan tidak boleh disebarluaskan atau diinformasikan kepada pihak lain tanpa persetujuan manajemen.

9. Monitoring terhadap jaringan yang dilakukan oleh Tim Infrastructure & Information Security tidak boleh digunakan sebagai bagian dari evaluasi kinerja karyawan atau investigasi non formal tanpa persetujuan tertulis dari Manajemen.

10. Apabila pada kegiatan monitoring ditemukan anomali atau hal-hal yang mencurigakan, maka anomali tersebut wajib ditangani.

11. Tim Infrastructure & Information Security wajib menyimpan rekaman dari semua kegiatan monitoring baik berupa log monitoring (perangkat) maupun penanganannya.

12. Tim Infrastructure & Information Security berhak untuk memutuskan akses jaringan dari peralatan komputer tertentu dengan persetujuan Manajemen, bila:

    a. Terjadi pelanggaran terhadap kebijakan keamanan informasi.

    b. Terbukti melakukan kegiatan yang berpotensi menimbulkan insiden keamanan informasi.

13. Pemutusan yang dilakukan oleh Tim Infrastructure & Information Security wajib diinformasikan dan dikonsultasikan terlebih dahulu kepada unit kerja terkait, kecuali terjadi suatu permasalahan yang mengakibatkan network secara luas mengalami dampaknya sehingga mengharuskan Tim Infrastructure & Information Security untuk mengambil tindakan pemutusan terlebih dahulu. Unit kerja terkait wajib melakukan tindakan perbaikan dan pencegahan yang diperlukan.

14. Jika terdapat permintaan bantuan monitoring dari pihak luar harus disetujui terlebih dahulu oleh Tim Infrastructure & Information Security.

15. Akses jaringan diberikan untuk mendorong karyawan dan personel lain mengakses sumber informasi yang dapat meningkatkan kompetensi dan kinerjanya.

16. Pengguna harus meningkatkan pengetahuan dan keterampilan dalam menggunakan internet untuk menghindari risiko terserang virus atau terjadinya akses secara tidak berwenang ke dalam jaringan dan sistem komputer PT Metalogix infolink Persada.

17. Akses jaringan tidak boleh digunakan untuk hal-hal :

    a. Mengunjungi situs (website) porno, mendorong tindak kekerasan, atau tindakan melanggar hukum lainnya.

    b. Mengunduh file dengan ekstensi .exe atau .com atau file executable lainnya karena sering mengandung virus.

18. Melakukan web filtering untuk menghindari akses ke situs (website) porno yang dapat mengurangi produktivitas, mendorong tindak kekerasan, atau tindakan melanggar hukum lainnya dan menghindari situs yang memuat konten malware atau phising.

    Web filtering dapat dilakukan dengan cara sebagai berikut:

    a. Membatasi penggunaan akses internet untuk laptop dan komputer yang digunakan pegawai dengan melakukan penyaringan pada jaringan lokal.

    b. Membuat whitelist atau daftar situs yang diperbolehkan untuk diakses.

    c. Menggunakan content filtering system sehingga konten negatif tidak dapat diakses pada jaringan kantor.

    d. Menggunakan bantuan aplikasi untuk memblokir akses ke situs yang tidak diizinkan.

19. Bekerjasama dengan Internet Service Provider (ISP) untuk pemblokiran akses ke situs yang masuk dalam blacklist.

11.2. Kebijakan Sinkronisasi Waktu (Clock Synchronisation) link

1. Setiap Departemen harus memastikan semua perangkat pengolah informasi yang tersambung dengan jaringan telah disinkronisasi dengan sumber waktu yang akurat dan disepakati.
2. Pemeriksaan sinkronisasi waktu minimal dilakukan sebulan sekali oleh Tim Infrastructure & Information Security.

11.3. Kebijakan Manajemen Insiden Keamanan Informasi link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi Jajaran manajemen PT Metalogix infolink Persada untuk memastikan kelemahan dan gangguan keamanan informasi dikomunikasikan dengan cara yang tepat sehingga memungkinkan dilakukan tindakan perbaikan secara cepat.

1. Semua karyawan, kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanannya Informasi harus menyampaikan catatan dan laporan kepada tim yang ditunjuk untuk menanggulangi kejadian keamanan informasi tentang adanya kelemahan dalam sistem dan layanan İnformasi.
2. Setiap terjadinya insiden harus dilakukan pencatatan yang dimulai dari pelaporan sampai dengan penyelesaian insiden tersebut. Dilakukan pencatatan sesuai dengan kategori insiden dan disimpan sampai batas waktu tertentu sesuaİ dengan kebutuhan untuk analisa dan evaluasi lebih lanjut.

11.4. Kebijakan Kepatuhan (Compliance) link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi Jajaran manajemen PT Metalogix infolink Persada untuk menghindari pelanggaran hukum, peraturan dan kewajiban kontraktual dan persyaratan keamanan

1. Semua perundang-undangan, peraturan, persyaratan kontrak dan peraturan Perusahaan secara eksplisit yang masih relevan hanıs didefinisikan dengan benar, didokumentasikan dan selalu up-to-date untuk memenuhi persyaratan sistem manajemen keamanan informasi.
2. Manajemen harus menjamin bahwa perundang-undangan, peraturan dan kontrak tentang penggunaan bahan/material yang ada pada hak atas kekayaan intelektual (HAKI) dan penggunaan produk perangkat lunak yang berhak cipta harus dipatuhi. PT Metalogix infolink Persada mengadopsi kebijakan tentang hak kekayaan intelektual. Kebijakan ini secara jelas berlaku di semua peralatan copy digitaI dan peralatan yang sejenis.
3. Data penting perusahaan harus dilindungi dari akibat kerugian, kehancuran dan pemalsuan sesuai dengan perundang-undangan, persyaratan peraturan, kontrak dan bisnis.
4. Perlindungan data dan informasi yang bersİfat prİbadİ dijamİn sepertİ yang dipersyaratkan dalam undang-undang, peraturan dan klausal kontrak.

11.5. Kebijakan Pengelolaan Kapasitas, Backup dan Restore link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi Jajaran manajemen PT Metalogix infolink Persada untuk menjaga integritas dan ketersediaan informasi dan fasilitas pengolahan informasi.

1. Pengelolaan manajemen kapasitas PT Metalogix infolink Persada dilakukan sebagai berikut:

   a. Tim Infrastructure & information security menetapkan batas penggunaan kapasitas sumberdaya IT dengan berkonsultasi dengan Product & Service Director.

   b. Tim Infrastructure & information security melakukan pemantauan penggunaan kapasitas sumberdaya IT terpasang seperti storage server, bandwidth jaringan, kapasitas UPS, storage cloud, dll dan membuat perkiraan pertumbuhan kebutuhan kedepan untuk memastikan ketersediaan kapasitas.

   c. Apabila penggunaan kapasitas sumberdaya IT mendekati/melewati batas ambang yaitu 80%, maka tim Infrastructure & information security melakukan usaha pembatasan dan pengawasan penggunaan kapasitas sumberdaya IT;

   d. Tim Infrastructure & information security membuat laporan penggunaan kapasitas sumberdaya IT untuk dilaporkan kepada pimpinan PT Metalogix infolink Persada, untuk penambahan kapasitas sumberdaya IT;

   e. Tim Infrastructure & information security melakukan evaluasi usulan penambahan kapasitas tersebut.

2. Back up salinan informasi dan software telah dilaksanakan dan diuji secara teratur sesuai dengan kebijakan back up yang disepakati.

3. PT Metalogix infolink Persada selalu memastikan bahwa aplikasi Manajemen Backup pada server berjalan dengan baik dan media backup tersimpan dan terkunci dengan baik pada tempatnya.

4. Setiap akan dilakukan upgrade/maintenance sistem/aplikasi PT Metalogix infolink Persada, maka dilakukan backup sistem/aplikasi terlebih dahulu untuk tindakan berjaga-jaga jika terjadi masalah.

5. Untuk menjaga ketersediaan server yang memiliki data/aplikasi penting maka dibutuhkan aktivitas backup yang sudah terjadwal dan level disiplin yang tinggi dalam menjalankannya.

6. Aplikasi Manajemen Backup digunakan untuk melakukan penjadwalan backup secara otomatis terhadap server.

7. Aplikasi Manajemen Backup akan menjalankan skenario yang sudah ditetapkan dalam strategi backup IT.

8. Kebijakan Backup dan Restore ini berlaku untuk semua sistem/aplikasi IT yang digunakan pada lingkungan PT Metalogix infolink Persada.

9. Media backup akan digunakan dengan standar sbb:

   a. Semua backup akan disimpan pada media server backup dan akan selalu melakukan cek kapasitas Backup.

   b. Backup Monthly untuk setiap Divisi dan akan disimpan pada tempat yang aman.

10. Aktivitas backup akan diperiksa secara periodik.

    a. Setiap hari akan dilakukan pengambilan log backup yang sudah atau sedang berjalan untuk dilakukan:

    ​ a) Perbaikan error jika terjadi.

    ​ b) Pemeriksaan lamanya proses backup.

    ​ c) Optimasi kinerja backup jika dimungkinkan

    b. Tim Infrastructure & information security akan melakukan identifikasi masalah dan perbaikan untuk mengurangi resiko gagal backup.

    c. Test Restore akan dilakukan secara acak satu kali dalam sebulan untuk memastikan backup sudah berhasil dilakukan.

    d. Tim Infrastructure & information security akan menyimpan data log backup dan test restore sebagai bukti kesesuaian dengan kebijakan ini.

    e. Jika terjadi kegagalan sistem yang besar, data backup akan tersedia kepada user dalam tiga hari kerja setelah perangkat yang rusak sudah diganti dengan yang baru.

    f. Jika terjadi kegagalan sistem yang kecil atau kesalahan user, data backup akan tersedia kepada user dalam satu hari kerja.

Permintaan pemulihan (restorasi) data karena terhapus secara tidak sengaja atau informasi yang hilang dapat dilakukan selama masih dalam periode penyimpanan data backup.

11.6. Kebijakan Pertukaran Informasi link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi PT Metalogix infolink Persada untuk menjaga keamanan informasi yang dipertukarkan antara informasi milik PT Metalogix infolink Persada dengan pihak ketiga (pihak eksternal).

1. Kebijakan tentang pertukaran formal, prosedur dan kontrol yang dipakai di tempat kerja untuk melindungi pertukaran informasi melalui penggunaan semua jenis fasilitas komunikasi.

2. Perjanjian harus ditetapkan untuk pengelola pertukaran informasi antara PT Metalogix infolink Persada dan pihak ketiga (pihak eksternal) yang akan dituangkan dalam dokumen yang dinamakan NDA atau perjanjian kerahasiaan informasi.

3. PT Metalogix infolink Persada atau pihak ketiga dapat mengajukan permintaan informasi atau memberikan informasi.

4. Informasi yang akan diberikan atau diterima harus diklasifikasikan (confidential, internal use only, atau public use) terlebih dahulu sebelum dilakukan proses pertukaran informasi sesuai klasifikasi informasi yang telah ditentukan

5. PT Metalogix infolink Persada atau pihak ketiga harus menandatangani dokumen perjanjian penjagaan kerahasiaan informasi Non-disclosure Agreement (NDA) atau Perjanjian Kerahasiaan sebelum dilakukan proses dipertukarkan dilakukan.

6. NDA atau Perjanjian kerahasiaan harus memuat unsur-unsur sebagai berikut:

   a. Definisi dari informasi yang akan dilindungi;

   b. Durasi yang diharapkan dari sebuah perjanjian kerahasiaan;

   c. Tanggung jawab dan tindakan penanda-tangan untuk menghindari pengungkapan informasi secara tidak sah;

   d. Perlindungan kepemilikan informasi, rahasia organisasi, dan kekayaan intelektual;

   e. Izin menggunakan informasi rahasia, dan hak-hak penanda-tangan untuk menggunakan informasi;

   f. Hak untuk melakukan audit dan memantau kegiatan yang melibatkan informasi rahasia;

   g. Proses untuk pemberitahuan dan pelaporan dari penyingkapan yang dilakukan secara tidak sah atau pelanggaran terhadap kerahasiaan informasi;

   h. Tindakan yang diperlukan pada saat sebuah perjanjian kerahasiaan diakhiri;

   i. Syarat-syarat untuk informasi yang akan dikembalikan atau dimusnahkan pada saat penghentian perjanjian; dan

   j. Tindakan yang akan diambil apabila terjadi pelanggaran terhadap perjanjian ini.

7. Seluruh informasi yang digunakan dalam bentuk pesan elektronik harus dilindungi dengan sistem keamanan yang memadai, antara lain:

   a. Akses ke email bersifat pribadi, pengguna dilarang membaca email orang lain tanpa sepengetahuan pemilik emailnya.

   b. Untuk menghindari salah kirim, pengguna harus memastikan kebenaran alamat email tujuan, memanfaatkan fasilitas penyimpanan alamat yang disediakan software email untuk menghindari salah kirim.

   c. Pengguna email harus memastikan bahwa attachment file yang dikirim atau diterima melalui email aman dari kandungan virus dengan cara melakukan scanning virus terlebih dahulu.

   d. Penggunan dilarang menggunakan email untuk hal-hal :

   1. Menyebarkan fitnah, menghina atau melecehkan orang/pihak lain, mengandung unsur SARA, menyebarkan iklan kepentingan pribadi atau menyebarkan spam.
   2. Menyebarkan virus, worm, Trojan, Denial of Service (DoS) atau software sejenis yang dapat mengganggu kinerja email dan sistem informasi PT Metalogix infolink Persada.
   3. Mengirim atau menerima file attachment dengan extension .exe atau .com

11.7. Kebijakan Keamanan Fisik dan Lingkungan link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi PT Metalogix infolink Persada untuk mencegah akses secara fisik dari pihak yang tidak mempunyai wewenang, kerusakan dan pengaruh terhadap bangunan dan informasi milik PT Metalogix infolink Persada.

1. Aset dan fasilitas informasi disimpan di dalam ruang yang tertutup dan dilengkapi dengan keterangan yang jelas serta dikondisikan dengan aman, dilengkapi dengan kontrol akses dan meja security yang siap membantu bila ada laporan tentang masalah yang terkait keamanan.

2. Ruangan kerja/perangkat dilindungi dengan kontrol akses untuk meyakinkan bahwa hanya personel yang punya wewenang yang diperbolehkan maşuk.

3. Jenis kontrol akses yang digunakan untuk masing-masing fasilitas pengolahan informasi dişesuaikan dari hasil penilaian risiko.

4. Pengamanan kantor, ruangan dan fasilitas harus memenuhi standar yang dipakai sesuai dengan pengelolaan keamanan informasi yang berlaku.

5. Aset informasi dengan risiko tinggi atau bersifat rahasia diamankan dengan standar pengamanan dan akses kontrol yang memadai. Fasilitas pengolahan informasi yang mengandung data rahasia tidak boleh di-sharing dengan pihak ketiga kecuali dibawah persyaratan kontrak khusus.

6. Perlindungan terhadap ancaman dari luar dan lingkungan wajib merancang ruangan perangkat IT dan mengimplementasikan agar kondisi menjadi aman dari segala bentuk ancaman dari luar dan lingkungan sekitar yang dapat menimbulkan kerusakan seperti: kebakaran, banjir, gempa, ledakan, kerusuhan sipil dan bentuk bencana lainnya baik secara alami atau akibat manusia.

7. Keamanan fisik dan Lingkungan (Pengamanan Kantor, Ruang Kerja, dan Ruang Sensitif Lainnya), antara lain:

   a. PT Metalogix Infolink Persada menyimpan infrastruktur network dan komunikasi serta perangkat IT sensitif lainnya di ruang yang dilindungi dengan sekat dan pengamanan fisik (perimeter) seperti pintu akses elektronik, CCTV, APAR dan fasilitas perlindungan fisik lainnya.

   b. Karyawan, tamu dan pihak ketiga lainnya tidak boleh merokok di ruang kantor.

   c. Karyawan dan pihak ketiga tidak boleh memotret atau mengambil gambar di lingkungan perusahaan tanpa izin fungsi yang berwenang.

   d. Area keluar masuk barang dan area lain yang memungkinkan orang yang tidak berwenang masuk area tersebut harus selalu diawasi petugas untuk menghindari ancaman terhadap keamanan informasi. Pada area keluar-masuk barang harus dilengkapi dengan CCTV.

8. Kebijakan keamanan peralatan (Pengamanan terhadap perangkat keras dan peralatan pendukung), antara lain:

   a. Peralatan lainnya yang berkategori sensitif harus ditempatkan di lokasi yang aman dan diposisikan sedemikian rupa sehingga tidak mudah dibaca atau diakses oleh pihak yang tidak berwenang.

   b. Sumber daya listrik dan kabel telekomunikasi yang membawa data atau mendukung proses bisnis harus dilindungi dari kerusakan atau penyambungan (intersepsi) secara tidak sah.

   c. Seluruh peralatan IT dan peralatan pendukungnya harus dirawat sesuai dengan instruksi pabrik pembuatnya. Hanya karyawan yang berwenang yang diizinkan melakukan perawatan terhadap hardware, software dan peralatan IT lainnya. Dalam hal perawatan yang tidak dapat dilakukan di lokasi PT Metalogix infolink Persada , Departemen Product & Service harus memastikan bahwa tidak ada lagi data sensitif dan rahasia di peralatan tersebut dan sudah dipindahkan terlebih dahulu.

   d. Penggunaan perangkat IT milik perusahaan diluar lokasi kantor, harus disetujui oleh Manager yang bertanggung jawab dan/atau manager IT, setiap kali perangkat akan dibawa keluar kantor. Otorisasi penggunaan harus dilakukan secara tertulis dan nama aset yang digunakan, lokasi dan tujuan penggunaan, dicatat dan disimpan sebagai rekaman. Pengecualian dapat diberikan kepada karyawan yang lingkup kerjanya PT Metalogix infolink Persada.

   e. Pengecualian diberikan setelah mendapat persetujuan dari Manager yang bertanggung jawab dan/atau Product & Service Director . Relevansi pemberian pengecualian kepada karyawan akan ditinjau (review) secara periodik, minimal setahun sekali. Pengecualian dicabut jika lingkup kerja karyawan berubah.

   f. Perangkat yang sudah tidak digunakan lagi baik karena rusak, diganti atau karena sebab lainnya harus dipastikan tidak mengandung data, sistem operasi, aplikasi atau informasi sensitif.

   g. Seluruh peralatan IT yang dikelola oleh pihak ketiga harus dipisahkan dengan peralatan IT milik PT Metalogix infolink Persada.

   h. Media penyimpanan informasi yang sudah tidak digunakan lagi harus dihapus isinya sampai tidak bisa dibaca dan digunakan lagi secara tidak berwenang dan disimpan di tempat yang telah ditentukan dan terkunci.

9. Kebijakan bekerja di rumah, antara lain:

   Setiap karyawan yang bekerja di rumah harus memastikan hal-hal sebagai berikut:

   a. Ketersediaan internet.

   b. Area dan ruang kerja yang kondusif.

   c. Bekerja sesuai ketentuan perusahaan yaitu 8 jam kerja/hari.

11.8. Kebijakan Klasifikasi Informasi link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi PT Metalogix infolink Persada untuk memastikan informasi telah mendapat tingkat perlindungan yang sesuai.

1. Informasi harus dilindungi dan tingkat perlindungan tersebut dişesuaikan dengan klasifikasi informasinya. Hal-hal yang dijadikan pertimbangan dalam membuat panduan untuk menentukan klasifikasi informasi adalah : nilai, persyaratan hukum, sensitivitas dan kritikal terhadap organisasi.
2. Klasifikasi informasi juga mempertimbangkan masalah sharing informasi serta dampak bisnİs yang mungkin terjadi.
3. Untuk memudahkan dalam penanganan informasi, wajib dilakukan labelisasi pada semua perangkat dan sistem pelabelannya dari suatu sistem informasi.
4. Penanganan dan penyimpanan informasi wajib diatur untuk melindungi informasi dari pengungkapan yang tidak sah atau penyalahgunaan.

Kebijakan klasifikasi informasi PT Metalogix infolink Persada lainnya adalah sebagai berikut:

1. Klasifikasi Informasi

Kategori klasifikasi informasi yang berlaku di lingkungan PT Metalogix infolink Persada mengacu kepada kategori sebagai berikut:

a. Rahasia/*Confidential*

Semua informasi atau dokumen yang tidak boleh diketahui oleh pihak lain atau pihak luar, dengan kata lain hanya boleh diketahui oleh pihak-pihak tertentu yang berkepentingan dan berwenang terhadap informasi atau dokumen yang dimaksud. Dapat menimbulkan dampak negatif bagi perusahaan bila informasi atau dokumen tersebut diketahui oleh pihak lain.

Contoh: Dokumen informasi konsumen, dokumen keuangan, dokumen informasi karyawan, data transaksi, source code, dokumen perjanjian, dan dokumen terkait lainnya.

b. Terbatas/Internal Use

Semua informasi atau dokumen yang boleh diketahui oleh pihak-pihak tertentu di dalam PT Metalogix infolink Persada yang berkepentingan dan berwenang terhadap informasi atau dokumen yang dimaksud.

Contoh: Manual, Prosedur, Instruksi kerja , dan dokumen pendukung lainnya.

c. Publik

Yaitu klasifikasi data yang diperbolehkan untuk dipergunakan baik pihak internal maupun eksternal PT Metalogix infolink Persada.

Contoh: Website PT Metalogix infolink Persada, brosur, dll.

Aturan dalam penanganan informasi berdasarkan tingkat kerahasiaan informasi sebagai berikut:

a. Informasi yang dinyatakan sangat rahasia:

1. Diperuntukkan hanya untuk pihak-pihak tertentu.
2. Data tidak diperbolehkan untuk keluar perusahaan.
3. Apabila informasi tersebut harus didistribusikan ke pihak selain yang berwenang namun masih di lingkungan PT Metalogix infolink Persada, maka harus mendapatkan persetujuan dari Manajemen PT Metalogix infolink Persada.
4. Apabila informasi tersebut harus didistribusikan ke luar perusahaan maka harus mendapatkan persetujuan dari Direksi yang berwenang.
5. Dokumen cetak disimpan di lokasi yang aman atau di lemari terkunci dan tidak diletakkan di tempat yang mudah diakses oleh orang lain.
6. Dokumen elektronik disimpan di server/laptop, diberi password atau enkripsi (jika diperlukan dengan pembatasan akses, tidak disimpan pada shared folder serta dilakukan backup secara berkala.
7. Dokumen cetak dikirim menggunakan amplop khusus tidak mudah rusak, dikirim melalui kurir terpercaya dan terverifikasi keamanannya, dokumen diterima secara langsung oleh penerima disertai bukti serah terima dokumen,
8. Dokumen elektronik dikirim dengan menggunakan password atau enkripsi, dikirim kepada pihak ketiga yang telah menandatangani NDA.
9. Dokumen rahasia (cetak dan elektronik) dihancurkan dengan cara yang tidak memungkinkan dokumen tersebut digunakan kembali.

b. Informasi yang dinyatakan terbatas/internal use:

1. Data Internal perusahaan diperuntukkan hanya untuk internal PT Metalogix infolink Persada.
2. Data tidak diperbolehkan untuk keluar perusahaan.
3. Apabila informasi tersebut harus didistribusikan ke luar perusahaan maka harus mendapatkan persetujuan dari Direksi yang berwenang.
4. Dokumen cetak disimpan di lemari, di lemari kerja atau tempat penyimpanan yang lain
5. Dokumen elektronik di simpan di laptop dengan otorisasi akses.
6. Dokumen cetak dikirim menggunakan bukti pengiriman dokumen.
7. Dokumen elektronik dikirim melalui email atau removable media.
8. Dokumen cetak dihancurkan dengan penghancur kertas dan dokumen elektronik dihapus dari media penyimpanan sehingga tidak dapat terbaca kembali.

c. Informasi yang dinyatakan umum/publik:

1. Data yang bersifat umum diperbolehkan untuk digunakan oleh pihak-pihak diluar perusahaan dengan mempertimbangkan ketentuan- ketentuan yang berlaku.
2. Setiap informasi yang dinyatakan internal dan rahasia maka harus diberi tanda pada informasi tersebut berdasarkan klasifikasi kerahasiaan selama masa penggunaan informasi berlaku.
3. Dokumen cetak dan elektronik cara penyimpanan dan pengirimannya tidak diatur secara khusus.

Penentuan klasifikasi informasi rahasia, sangat rahasia, internal dan publik sebagai berikut:

a. Dinyatakan oleh masing-masing unit dengan memperhatikan dampak kritikalitas dari informasi tersebut.

b. Dinyatakan oleh peraturan yang berlaku di lingkungan PT Metalogix infolink Persada.

c. Rincian informasi yang dinyatakan rahasia pada masing-masing departemen di PT Metalogix infolink Persada didokumentasikan dalam dokumen tertulis atau media digital yang disetujui oleh pimpinan departemen terkait.

d. Setiap informasi yang dinyatakan internal dan rahasia harus disimpan dalam media penyimpanan yang aman dari akses yang tidak terotorisasi.

e. Permintaan informasi internal dan rahasia oleh pihak di luar PT Metalogix infolink Persada seperti vendor, rekan bisnis kepada PT Metalogix infolink Persada hanya dapat dipenuhi berdasarkan adanya permintaan tertulis dengan menyebutkan alasan dan tujuan permintaan secara jelas disertai identitas pemohon serta harus disetujui oleh pejabat yang berwenang.

f. Penyampaian informasi internal dan rahasia kepada pihak di luar PT Metalogix infolink Persada harus memperhatikan proses keamanan informasi tersebut antara lain pelabelan pada dokumen baik hardcopy atau softcopy dan memberikan pemahaman kepada pengguna terkait perlindungan terhadap informasi tersebut.

g. Secara umum kepemilikan data/informasi di PT Metalogix infolink Persada dibagi menjadi 5, yaitu:

1. Data/Informasi keuangan milik Dept. Finance dan Accounting
2. Data/Informasi DB, Architect milik Dept. Technical
3. Data/Informasi Developer, Service Provider milik Dept Product & Service
4. Data//Informasi Customer milik Dept. Sales & Marketing
5. Data/Informasi Impelmentation & support milik Dept. Solution

h. Pemilik aset harus mengkaji tingkat kerahasiaan aset informasi sedikitnya satu kali dalam satu tahun dan menilai apakah tingkat kerahasiaan dapat diubah. Jika memungkinkan, tingkat kerahasiaan dapat diturunkan.

2. Pelabelan Informasi

Tata cara pelabelan informasi dilakukan secara:

a. Dokumen Cetak

Diberi label di header/footer atau diberi cap di setiap halamannya atau tertutup rapat, kecuali SOP yang digunakan secara internal.

b. E-mail

Attachment harus diberi password atau zip file dengan proteksi password.

c. Dokumen Elektronik (word, pdf, dll)

Diberikan tanda pada folder.

d. *Removable disk*

Label dicantumkan dalam bentuk kode di media fisik dengan memakai gambar tempel/stiker atau ditulis dengan metode lainnya yang mudah dipahami tetapi tidak mudah rusak.

Setiap penggunaan data yang bersifat rahasia harus sepengetahuan dan seizin pemilik data.

Setiap informasi berupa dokumen fisik apabila sudah melewati masa simpan akan dihancurkan sesuai ketentuan yang ada.

3. Manajemen Penggunaan Removable Media

1. Peraturan penggunaan removable media adalah sebagai berikut:

   a. Eksternal harddisk digunakan untuk menyimpan informasi RAHASIA untuk sementara waktu dan selanjutnya dipindahkan ke PC atau notebook yang telah di enkripsi

   b. Smartphone hanya yang terdaftar di PT Metalogix infolink Persada yang bisa digunakan untuk menerima dan menyimpan informasi dalam waktu sangat singkat dan harus segera dipindahkan PC atau notebook yang telah di enkripsi.

   c. Pengguna harus memelihara keamanan removable media yang digunakan untuk menyimpan informasi dengan cara:

   1. Melindungi dari kerusakan dan kehilangan.

   2. Menyimpan dan removable media dengan cara yang aman (tidak dibiarkan tergeletak di atas meja dan tempat terbuka tanpa terkunci).

   3. Memastikan agar removable media tidak mengandung virus.

2. Media penyimpanan informasi removable yang digunakan oleh pegawai PT Metalogix infolink Persada di lingkungan Perusahaan hanya untuk keperluan pekerjaan.

3. Pegawai PT Metalogix infolink Persada harus memastikan anti virus sudah aktif dan ter update pada PC/Notebook terhadap penggunaan media penyimpanan informasi removable untuk mencegah adanya kegagalan dan kerusakan informasi akibat penyebaran malicious code.

4. Pegawai PT Metalogix infolink Persada harus memastikan bahwa media penyimpanan informasi removable dalam keadaan bebas malicious code dengan cara selalu melakukan scanning ketika media penyimpanan informasi removable tersebut disambungkan ke PC/Notebook sebelum mengakses informasi di dalamnya.

5. Pegawai PT Metalogix infolink Persada Menggunakan dan menyimpan media penyimpanan informasi removable secara aman sehingga informasi yang tersimpan didalamnya terlindung dari pihak yang tidak berwenang.

6. Pegawai PT Metalogix infolink Persada harus memastikan media penyimpanan informasi removable yang sudah tidak digunakan lagi untuk menyimpan informasi rahasia harus bersih dari segala bentuk informasi dengan melakukan format (tidak menggunakan format quick) pada media penyimpanan informasi removable.

7. Pegawai PT Metalogix infolink Persada harus memastikan media penyimpanan informasi yang sudah rusak dan kadaluarsa harus dimusnahkan (dihancurkan secara fisik).

8. Pemindahan media penyimpanan informasi removable ke luar dari lingkungan Perusahaan menjadi tanggung jawab dari peminjam/pemilik media untuk melindungi informasi sesuai dengan klasifikasi Informasi yang terkandung di dalamnya.

9. Apabila media-media penyimpanan informasi removable digunakan sebagai media backup informasi, maka pegawai PT Metalogix infolink Persada harus melindungi media penyimpanan informasi removable tersebut pada tempat penyimpanan yang aman dan terkendali.

10. Peraturan untuk perbaikan perangkat removable media oleh supplier/vendor:

    a. Perbaikan perangkat harus dilakukan diluar lokasi yang menyimpan informasi dan diluar lokasi kegiatan yang menghasilkan informasi.

    b. PT Metalogix infolink Persada harus memastikan bahwa komputer yang akan diperbaiki datanya telah dienkripsi dan harus terbebas dari informasi rahasia yang tersimpan sehingga tidak bisa diakses oleh pihak yang tidak berkepentingan.

    c. Backup removable media harus dilakukan untuk mengantisipasi retensi masa pakai removable media.

4. Penghapusan dan Pemusnahan Media

Metode untuk penghapusan dan pemusnahan media yang aman ditentukan sebagai berikut:

1. Pembuangan/Pemusnahan Peralatan dan Media

a. Tim Infrastructure & Information Security sebagai penanggung jawab terhadap pemusnahan peralatan yang sudah tidak dapat dipakai atau rusak.

b. Tim Infrastructure & Information Security mendata peralatan-peralatan dan melakukan pengecekan peralatan apakah sudah tidak bisa digunakan atau apakah masih terdapat data di dalam media tersebut.

c. Tim Infrastructure & Information Security mengisi formulir Berita Acara Pemusnahan dan meminta approval ke Product & Service Director.

d. Tim Infrastructure & Information Security memutuskan peralatan tersebut boleh dimusnahkan atau tidak.

1. Jika disetujui, lanjut ke f pemusnahan perangkat media.
2. Jika tidak di approve media dikembalikan ke tempat penyimpanan.

e. Tim Infrastructure & Information Security melakukan penghapusan data-data yang berada di dalam peralatan atau media yang sudah tidak terpakai tersebut. Media yang akan dimusnahkan harus dipastikan:

1. Sudah bersih dari data dan informasi
2. Tidak ada kemungkinan di-restore oleh pihak yang tidak berhak
3. Tidak ada kemungkinan dicuri

f. Tim Infrastructure & Information Security melakukan pemusnahan perangkat media tersebut dengan cara-cara atau metode sebagai berikut:

1. Pemusnahan dengan metode pembakaran
2. Pemusnahan dengan penghancuran fisik yang tidak memungkinkan peralatan/media di rakit ulang

2. Penggunaan Kembali Peralatan

a. Pengguna peralatan mengajukan perbaikan peralatan kepada Tim Infrastructure & Information Security.

b. Tim Infrastructure & Information Security melakukan pembersihan aset dari data informasi yang bersifat rahasia dan sangat rahasia. Tim Infrastructure & Information Security melakukan pengecekan dan memastikan bahwa data-data tersebut sudah bersih.

c. Tim Infrastructure & Information Security mengajukan laporan aset yang akan diperbaiki beserta permohonan biaya perbaikan kepada Product & Service Director.

d. Tim Infrastructure & Information Security memeriksa dan/atau mengesahkan laporan permohonan perbaikan aset yang akan digunakan kembali.

e. Tim Infrastructure & Information Security melakukan perbaikan aset menggunakan jasa perbaikan dari pihak ketiga jika perbaikan tidak bisa dilakukan secara internal. Dalam hal perbaikan perangkat tidak dapat dilakukan oleh internal, maka pemindahan perangkat harus mendapatkan persetujuan Tim Infrastructure & Information Security. Terhadap data yang memiliki klasifikasi rahasia yang disimpan dalam perangkat tersebut harus dipindahkan terlebih dahulu.

f. Tim Infrastructure & Information Security memberikan penomoran inventarisasi ulang sebelum digunakan.

g. Tim Infrastructure & Information Security menyerahkan aset yang kembali digunakan kepada personel atau pihak yang berhak menggunakan aset.

11.9. Kebijakan Hubungan Pemasok link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi PT Metalogix infolink Persada untuk memastikan kontrol layanan pihak ketiga telah mendapat tingkat perlakuan yang sesuai.

1. PT Metalogix infolink Persada menjamin bahwa kontrol keamanan, definisi layanan, dan standar layanan yang akan diterima dari pihak ketiga dimasukkan di dalam perjanjian layanan pihak ketiga, dan telah diimplementasikan, dioperasikan dan dipelihara oleh mitra kerja atau pihak ketiga.

2. Persyaratan keamanan informasi bagi pihak ketiga harus ditetapkan untuk mengurangi risiko akses sistem informasi oleh supplier. Pihak ketiga harus menyatakan persetujuannya terhadap persyaratan yang ditetapkan oleh PT Metalogix infolink Persada.

3. Personel pihak ketiga yang diberi wewenang untuk melakukan akses terhadap ruang, fasilitas IT yang penting dan kritikal harus menandatangani Pernyataan Menjaga Kerahasiaan (non-disclosure agreements/NDA).

4. Kinerja penyediaan layanan oleh penyedia harus dipantau dan ditinjau ulang secara berkala. Pemantauan meliputi :

   a. Kinerja kesesuaian layanan terhadap perjanjian atau Service Level Agreement (SLA) yang disepakati.

   b. Laporan perawatan perangkat yang disediakan penyedia.

   c. Laporan masalah operasional layanan, insiden keamanan informasi dan status tindak lanjutnya.

5. Perubahan penyediaan layanan penyedia, termasuk pemeliharaan dan peningkatan kebijakan keamanan informasi, prosedur dan kontrol yang ada, dikelola dengan memperhitungkan kekritisan proses dan sistem informasi yang terlibat dan mengkaji ulang risiko.

PT Metalogix infolink Persada secara rutin memantau dan mengevaluasi layanan, laporan dan catatan yang diberikan oleh penyedia dan melakukan audit secara rutin untuk memastikan proses penyajian layanan oleh penyedia dilaksanakan sesuai perjanjian. Review kontrak harus dilakukan satu kali dalam satu tahun dan melibatkan semua pihak yang berkepentingan, termasuk wakil manajemen.

11.10. Kebijakan Perlindungan terhadap Malware link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi jajaran manajemen PT Metalogix infolink Persada untuk memastikan, informasi dan fasilitas pemrosesan informasi terlindung dari malware

1. Proses pendeteksian, pencegahan dan pemulihan akibat malware harus diterapkan dan digabungkan dengan kepedulian pengguna (user).
2. Tim Infrastructure & Information Security wajib menyediakan program anti malware untuk proteksi, scanning dan menghapus berbagai jenis malware. Program antivirus harus selalu di-update.
3. Laptop wajib dilindungi dengan program anti malware.
4. Program dan database malware pada server anti malware internal secara regular wajib diperbaharui dengan patch terbaru secara realtime jika ada yang terbaru dari website resmi anti malware.
5. PC dan laptop wajib mendapat update patch terbaru dari server anti malware internal via LAN.
6. External Harddisk yang dibawa dari luar perusahaan harus di-scanning terlebih dahulu untuk menghindari risiko negatif sebelum digunakan.
7. Tidak boleh menggunakan unauthorized software.
8. Semua bentuk demo aplikasi dari vendor sedapat mungkin dijalankan di server yang ditentukan dan bukan dijalankan dari laptop perusahaan untuk menghindari malware.
9. Tetap waspada ketika berselancar di situs web. Lihat sekilas alamat situs web setelah Anda mengikuti sebuah tautan dan pastikan dia terlihat tepat sebelum Anda memasukkan informasi sensitif seperti kata kunci. Perhatikan jendela peramban yang muncul secara otomatis dan bacalah dengan saksama, bukan hanya mengklik Yes atau OK.
10. Apabila terdapat kemungkinan serangan malware, user harus melapor kepada Tim Infrastructure & Information Security segera. Tim Infrastructure & Information Security harus melakukan investigasi terhadap PC/laptop secara menyeluruh dan mengambil tindakan perbaikan dengan menerbitkan form Laporan Permasalahan.

11.11. Kebijakan Manajemen Aset link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi jajaran manajemen PT Metalogix infolink Persada untuk mencapai dan mempertahankan perlindungan yang tepat bagi aset perusahaan.

1. Untuk memelihara dan melindungi aset, semua aset informasi diidentifikasi secara terinci dan khusus aset informasi yang penting disimpan dengan baik.
2. Pola klasifikasi data harus disusun secara sistematis dan terstruktur.
3. Semua aset IT atau layanannya ditentukan “pemiliknya”, baik dilekatkan pada individu yang ditunjuk atatı berdasarkan Subdirektorat.
4. Peraturan tentang penggunaan informasi dan fasilitas pengolahan informasi telah diidentifikasi, didokumentasikan dan diimplementasikan sesuai prosedur yang berlaku.
5. Mekanisme kontrol Asset IT dibuat dan diterapkan secara terintegrasi dalam bentuk kontrol administratif, kontrol logik, maupun kontrol fisİk.
6. Aset sistem informasi harus diinventarisasi serta pemberian nomor unik sebagai bukti telah diinventarisasi oleh Asset Management PT Metalogix infolink Persada.
7. Pengguna hak akses untuk setiap aset sistem informasi harus ditetapkan sebagai pemilik aset.
8. Peraturan pengoperasian dan penggunaan aset sistem informasi harus ditetapkan dan dikomunikasikan dengan seluruh pengguna aset sistem informasi.
9. Pengguna aset sistem informasi yang sudah habis masa hak aksesnya, harus mengembalikan seluruh aset sistem informasi kepada penanggung jawab Aset.
10. Penanggung jawab Aset harus menetapkan metode control yang efektif untuk pengamanan aset sistem informasi dari ancaman kerahasiaan, keutuhan dan ketersediaan, penyimpanan, pengiriman, pemusnahan aset yang sudah tidak terpakai lagi.
11. Asset Management menetapkan aturan pengambilan aset dari karyawan atau rekanan yang memiliki hak akses dikarenakan sebab berikut:

​ a. Habis masa kerja dengan PT Metalogix infolink Persada.

​ b. Teridentifikasi melakukan pelanggaran

12. Setiap unit kerja mengidentifikasi informasi yang menjadi tanggung jawabnya, informasi yang telah diidentifikasi wajib diklasifikasi berdasarkan klasifikasi informasi dan menetapkan persyaratan pengamanan yang memadai sesuai tingkat klasifikasi informasi yang telah ditentukan.

11.12. Kebijakan Kontrol Kriptografi link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi jajaran manajemen PT Metalogix infolink Persada untuk memastikan penggunaan kriptografi secara tepat dan efektif dalam melindungi kerahasiaan, keotentikan, dan/atau keutuhan informasi.

1. Kontrol Perlindungan Privasi Data

a. Personally Identifiable Information (PII) harus diberi nama samaran di lingkungan non-produksi, digunakan untuk pengembangan, pengujian, dan pelatihan tujuan untuk memberikan privasi yang lebih baik ke data pribadi yang sebenarnya.

b. Data PII diperbolehkan untuk disamarkan (penyamaran data) hanya untuk tujuan verifikasi, kontrol akses, kebijakan topik khusus, persyaratan bisnis dengan mempertimbangkan undang undang yang berlaku dan untuk tujuan lain data PII harus disimpan dalam format terenkripsi. Teknik yang bisa dilakukan untuk penyamaran data meliputi:

1. Enkripsi (mensyaratkan pengguna yang terotorisasi untuk memiliki kunci).
2. Membatalkan atau menghapus karakter (mencegah pengguna yang tak terotorisasi dapat melihat pesan lengkap).
3. Meragamkan angka dan tanggal.
4. Substitusi (mengganti satu nilai dengan yang lain untuk menyembunyikan data sensitif).
5. Mengganti nilai dengan hash-nya.

c. Penyamaran Data PII sebaiknya mempertimbangkan:

1. tidak memberikan semua pengguna akses ke semua data, sehingga perlu mendesain query dan samaran untuk hanya menampilkan data minimum yang diperlukan kepada pengguna;
2. Level kekuatan penyamaran data sesuai dengan penggunaan data yang diproses
3. Perjanjian atau pembatasan penggunaan data yang diproses
4. Persyaratan legal atau regulatori apapun.

d. Data PII hanya akan dikirimkan melalui media yang aman.

2. Ketentuan Enkripsi

a. Proses pengembangan sistem aplikasi yang mengolah informasi rahasia harus menerapkan pengamanan terhadap informasi yang dihasilkan dan dipertukarkan sehingga terhindar dari akses ilegal dan pencurian informasi oleh pihak-pihak tertentu, salah satunya adalah dengan menerapkan enkripsi yang handal.

b. Enkripsi diterapkan untuk memastikan keamanan informasi rahasia dalam proses pertukarannya pada area mobile apps dan website computing, sistem jaringan dan pembangunan sistem aplikasi.

c. Tidak disarankan menggunakan proprietary enkripsi yang belum teruji kehandalannya.

d. Enkripsi yang disarankan untuk diterapkan dalam penyimpanan informasi yang bersifat rahasia adalah dengan panjang key minimal 256 bit. Algoritma yang digunakan misalnya:

1. Advanced Encryption Standard (AES)
2. 3DES
3. HMAC
4. Atau algoritma lainnya yang menggunakan panjang key minimal 256 bit.
5. Pada sistem aplikasi web based maka harus diterapkan enkripsi pada protokol komunikasi.
6. Sistem aplikasi yang ada sebelum terbitnya pedoman ini dan belum memiliki fitur enkripsi untuk penyimpanan atau pertukaran informasi, maka perlu dilakukan review/asesmen risiko oleh pemilik sistem aplikasi bersama Fungsi Application Development terkait. Review ini selain menentukan klasifikasi informasinya, juga untuk mengidentifikasi kontrol pengamanan yang terpasang. Jika kontrol pengamanan yang ada dipandang belum cukup, maka perlu diterapkan kontrol tambahan (compensating control) yang memadai atau penerapan fitur enkripsi.

3. Ketentuan Key Management

1. Seluruh fungsi enkripsi baik yang digunakan langsung oleh pengguna maupun yang digunakan oleh aplikasi maupun peralatan jaringan harus menyimpan key enkripsi dalam suatu system key management yang tersentralisasi.
2. Sistem key management yang tersentralisasi ini harus menerapkan proses authentication, authorization dan auditing yang handal untuk menghindari akses atau modifikasi ilegal terhadap key enkripsi.
3. Apabila suatu Pengguna atau aplikasi/peralatan jaringan tidak dapat menggunakan key management yang tersentralisasi dalam membuat dan menyimpan key enkripsinya, maka Pengguna ataupun Fungsi tersebut harus memastikan pengamanan yang cukup.
4. Apabila key enkripsi berupa password (symmetric encryption) dimana pertukaran key harus dilakukan antar Pengguna atau fungsi, maka pertukaran tersebut harus melalui jalur out-of-band/media lain.
5. Untuk mempermudah dan memperkuat pengamanan key enkripsi maka penggunaan mekanisme asymmetric encryption perlu menjadi prioritas utama.
6. Apabila terjadi pelanggaran keamanan yang berkaitan dengan key enkripsi seperti hilangnya key, terjadinya tindak pencurian terhadap key enkripsi maka Fungsi yang menangani key management harus melakukan pencabutan (revoke) terhadap key tersebut.
7. Pembuatan, penyimpanan, dan penghancuran key harus terdokumentasi dan dilakukan oleh personil fungsi yang melakukan pengembangan aplikasi yang ditunjuk.
8. Dalam hal pengembangan sistem aplikasi oleh vendor/rekanan (outsource), maka key harus diserahkan kepada Fungsi yang melakukan pengembangan aplikasi serta disimpan di tempat yang aman dan diberikan pengamanan memadai.
9. Penggunaan key enkripsi maupun key management harus dikaji dan dievaluasi dalam jangka waktu tertentu untuk memastikan metode enkripsi yang digunakan selalu dalam kondisi terkini.
10. Pengubahan/pemutakhiran, pencabutan, dan pemusnahan key harus dilakukan dengan sepengetahuan pihak yang diberikan otorisasi.

11.13. Kebijakan Manajemen Teknik Kerentanan (Vulnerabilities) link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi Jajaran manajemen PT Metalogix infolink Persada untuk untuk mencegah kerusakan akibat eksploitasi kerentanan teknis (vulnerability teknis).

1. Untuk memperoleh İnformasi kerawanan dalam operasional, PT Metalogix infolink Persada harus menerapkan pengendalian kerentanan teknis (vulnerability teknik) agar informasİ tentang kerawanan tersebut dapat dideteksi secara dini dengan mudah dan cepat.
2. PT Metalogix infolink Persada harus melakukan evaluasi dan penilaian risiko terhadap kerentanan teknis yang ditemukan dalam sistem informasi serta menetapkan pengendalian yang tepat terhadap risiko terkait dilaksanakan minimal satu kali dalam satu tahun.

11.14. Kebijakan Keamanan Komunikasi link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi Jajaran manajemen PT Metalogix infolink Persada untuk menjamin perlindungan informasi dalam jaringan dan fasilitas pendukung pengolahan informasi.

1. Unit kerja mengidentifikasi metode komunikasi internal/eksternal yang digunakan dalam penerapan sistem manajemen keamanan informasi menggunakan matrik komunikasi internal/eksternal.
2. Menetapkan metode untuk proses komunikasi internal dan komunikasi eksternal.
3. Mensosialisasikan metode komunikasi internal/eksternal ke unit kerja terkait.
4. Unit kerja terkait melaksanakan dan memastikan proses komunikasi internal dan komunikasi eksternal yang sesuai dengan matrik komunikasi.
5. Pimpinan unit kerja terkait melakukan evaluasi terhadap pelaksanaan komunikasi internal/eksternal.
6. Mendokumentasikan hasil evaluasi komunikasi dalam Tabel Komunikasi Internal dan Eksternal.

11.15. Kebijakan Keamanan Sumber Daya Manusia link

Kebijakan ini menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi Jajaran manajemen PT Metalogix infolink Persada untuk menjamin keamanan sumber daya manusia.

1. Sebelum Kerja

Sasaran Pengendalian: Untuk meyakinkan bahwa Semua karyawan, kontraktor atau supplier/vendor memahami tanggung jawabnya dan sesuai dengan peran mereka, dan memperkecil risiko pencurian, penipuan atau menyalahgunakan fasilitas

2. Peran dan Tanggung Jawab

Peran Keamanan dan tanggung jawab karyawan, kontraktor atau supplier/vendor telah didefinisikan dan didokumentasikan sebagaimana disyaratkan kebijakan keamanan informasi perusahaan.

3. Screening

PT Metalogix infolink Persada mengecek Iatar belakang dan kemampuan karyawan. Pelaksanaannya dapat dilakukan bekerjasama dengan lembaga yang berkompeten di bidang ini.

4. Syarat dan Kondisi Pekerjaan

Karyawan, kontraktor atau supplier/vendor harus menyetujui serta menandatangani syarat dan ketentuan kontrak kerja atau perjanjian kerahasiaan (NDA) yang menyatakan tanggung jawab mereka dan perusahaan untuk keamanan informasi.

5. Selama Bekerja

Sasaran Pengendalian: untuk memastikan bahwa semua karyawan, kontraktor atau *supplier/*vendor menyadari ancaman keamanan informasi dan kepedulian, tanggung jawab dan kewajiban, dan dilengkapi untuk mendukung kebijakan keamanan Perusahaan untuk kerja normal mereka, serta untuk mengurangi risiko kesalahan manusia.

6. Tanggung Jawab Manajemen

Manajemen mewajibkan karyawan, kontraktor dan pengguna pihak ketiga untuk mengimplementasikan keamanan informasi sesuai dengan kebijakan Perusahaan dan hal hal yang dijelaskan dalam SMKI.

7. Kesadaran, Pendidikan dan Pelatihan Keamanan Informasi

Karyawan, kontraktor dan pengguna pihak ketiga harus peduli terhadap keamanan sistem informasi dan meningkatkan kemampuan dengan pelatihan keamanan Informasi yang sesuai dengan bidang dan fungsi pekerjaan mereka. Pelaksanaan pelatihan merupakan tanggung jawab masing-masing pihak dan mengacu dengan kontrak kerja yang telah disepakati. Setiap ada perubahan prosedur operasi dan aplikasİ baru dilaksanakan sosialisasi khususnya yang terkait dengan operasi keamanan sistem informasi

8. Proses Kedisiplinan

PT Metalogix infolink Persada mempunyai peraturan disiplin karyawan, dimana setiap pelanggaran yang dilakukan karyawan akan dilakukan pemrosesan sesuai dengan prosedur dan tata cara dalam menerapkan sanksİ kepada karyawan. Pelanggaran yang kritikal dari kebijakan ISMS dapat dianggap sebagai kesalahan serius yang dapat menyebabkan pemecatan karyawan.

9. Penghentian atau Perubahan Pekerjaan

Sasaran Pengendalian: untuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga keluar dari suatu perusahaan atau adanya perubahan pekerjaan dilakukan secara tertib.

10. Pemutusan Tanggung Jawab

Karyawan, kontraktor dan pengguna pihak ketiga dalam hal terjadi pemutusan hubungan kerja dengan PT Metalogix infolink Persada wajib menyelesaikan tanggung jawabnya sesuai dengan peraturan perusahaan atau kontrak kerja yang telah disepakati, termasuk jika ada pergantian personel untuk menunjang keberhasilan pekerjaan.

11. Pengembalian Aset

Karyawan, kontraktor dan pengguna pihak ketiga harus mengembalikan semua aset PT Metalogix infolink Persada yang mereka pegang pada saat berakhirnya pekerjaan, kontrak atau sesuai perjanjian antara kedua pihak.

12. Penghapusan Hak Akses

Hak akses informasi dan fasilitas pengolahan informasi milik karyawan, kontraktor dan pengguna pihak ketiga akan dihapus pada saat pemutusan hubungan kerja, pemutusan kontrak kerja atau dapat disesuaikan pada saat terjadi perubahan.

11.16. Kebijakan Mobile Devices link

Perangkat seluler seperti ponsel cerdas dan komputer tablet adalah alat penting untuk organisasi dan penggunaannya didukung untuk mencapai tujuan bisnis.

Namun perangkat seluler juga merupakan risiko signifikan terhadap keamanan informasi dan keamanan data, jika aplikasi dan prosedur keamanan yang sesuai tidak diterapkan, mereka dapat menjadi saluran untuk akses tidak sah ke data dan infrastruktur IT PT Metalogix infolink Persada yang dapat menyebabkan kebocoran data dan infeksi sistem.

PT Metalogix infolink Persada memiliki persyaratan untuk melindungi aset informasinya untuk melindungi pelanggan, kekayaan intelektual, dan reputasinya. Dokumen ini menguraikan serangkaian praktik dan persyaratan untuk penggunaan perangkat seluler yang aman.

1. Lingkup

Semua perangkat laptop yang dimiliki oleh PT Metalogix infolink Persada, yang memiliki akses ke jaringan, data, dan sistem perusahaan.

2. Persyaratan Teknis

a. Laptop harus menggunakan Sistem Operasi yang original.

b. Perangkat harus dikonfigurasikan dengan kata sandi aman yang sesuai dengan kebijakan kata sandi. Kata sandi ini tidak boleh sama dengan kredensial lain yang digunakan dalam organisasi.

c. Dengan pengecualian perangkat yang dikelola oleh IT, perangkat tidak diizinkan untuk terhubung langsung ke jaringan internal perusahaan.

3. Persyaratan Pengguna

a. Pengguna hanya boleh memuat data penting untuk peran mereka ke laptop mereka.

b. Pengguna harus segera melaporkan semua perangkat yang hilang atau dicuri ke PT Metalogix infolink Persada.

c. Jika pengguna mencurigai bahwa akses tidak sah ke data perusahaan telah terjadi melalui laptop, pengguna harus melaporkan kejadian tersebut sejalan dengan proses penanganan insiden PT Metalogix infolink Persada

d. Laptop tidak boleh atau memiliki perangkat lunak yang diinstal yang dirancang untuk mendapatkan akses ke fungsi yang tidak dimaksudkan untuk diekspos kepada pengguna.

e. Pengguna tidak boleh memuat perangkat lunak bajakan atau konten ilegal ke perangkat mereka.

f. Aplikasi hanya harus diinstal dari sumber resmi pemilik platform yang disetujui. Dilarang memasang kode dari sumber yang tidak terpercaya. Jika tidak yakin apakah aplikasi berasal dari sumber yang disetujui, hubungi PT Metalogix infolink Persada.

g. Perangkat harus selalu diperbarui dengan pabrikan atau tambalan yang disediakan jaringan. Sebagai tambalan minimum harus diperiksa untuk mingguan dan diterapkan setidaknya sebulan sekali.

h. Pengguna mungkin harus berhati-hati tentang penggabungan akun email pribadi dan kantor di perangkat mereka. Mereka harus berhati-hati untuk memastikan bahwa data perusahaan hanya dikirim melalui sistem email perusahaan. Jika pengguna mencurigai bahwa data perusahaan telah dikirim dari akun email pribadi, baik dalam teks tubuh atau sebagai lampiran, mereka harus segera memberitahu PT Metalogix infolink Persada.

11.17. Kebijakan Teleworking link

Tujuan dari kebijakan ini adalah untuk memastikan bahwa teleworking dilakukan dengan aman dari perspektif keamanan informasi. Oleh karena itu diperlukan bahwa risiko keamanan informasi, terkait dengan setiap skema teleworking tertentu, diidentifikasi dinilai dan dikelola.

1. Staf yang dilengkapi dengan peralatan komputasi dan komunikasi untuk teleworking secara khusus untuk melindungi keamanan informasi rahasia, tidak boleh membahayakan informasi tersebut dengan menggunakan peralatan lain yang kurang aman.
2. Peralatan teleworking yang disediakan oleh Perusahaan hanya dapat dimodifikasi atau diganti jika telah disahkan.
3. Peralatan teleworking disediakan oleh Perusahaan hanya untuk digunakan oleh staf perusahaan, terutama karena orang lain tidak terikat oleh perusahaan perjanjian dan kebijakan.
4. Staf Teleworking harus memastikan bahwa prosedur backup yang memadai untuk semua informasi yang disimpan di luar kantor dilaksanakan. Akan tetapi, biasanya lebih disukai untuk mengakses data dari jarak jauh yang disimpan di tempat dan sudah menjadi cadangan rutin.
5. Hanya ketika tidak terhindarkan staf harus mengambil, mengirim atau mencetak hard copy dokumen rahasia dari lokasi Perusahaan yang aman. Jika benar-benar diperlukan untuk menangani dokumen hardcopy rahasia, dokumen tersebut harus disimpan di lemari yang terkunci ketika tidak masuk (kebijakan meja yang jelas), dikirim melalui pos pengiriman khusus, dikirim dengan tangan jika memungkinkan dan dibuang dengan cara dihancurkan terlebih dahulu.

11.18. Kebijakan Clear Desk and Clear Screen link

Kebijakan clear desk and clear screen menetapkan hal-hal yang harus dipatuhi dan menjadi panduan bagi Jajaran PT Metalogix infolink Persada dalam menjaga kerahasiaan data dan informasi yang berada di dalam sistem manajemen keamanan informasi yang dikelola oleh PT Metalogix infolink Persada:

1. Clear Desk

a. Kebijakan “Clear Desk” menekankan agar karyawan membersihkan meja dari segala informasi yang berkaitan dengan pekerjaan pada akhir jam kerja. Informasi tersebut tidak hanya berupa dokumen dan catatan tetapi juga post-it, kartu bisnis dan removable media (flashdisk, hardisk portable). Kebijakan “Clear Desk” ini untuk mengurangi risiko pencurian informasi, penipuan atau pelanggaran keamanan informasi.

b. Penyimpanan digital seperti harddisk external maupun flashdisk sebagai aset informasi sensitif dengan menyimpan dalam lemari terkunci jika tidak digunakan;

c. Whiteboard yang berisi informasi sensitif/rahasia harus dihapus setelah selesai digunakan agar tidak ada orang yang tidak berhak melihat/membaca kemudian memanfaatkannya untuk merugikan organisasi;

d. Password dan catatan penting sebaiknya tidak ditulis dalam sticky notes maupun ditulis dan disimpan dalam tempat yang mudah diakses;

e. PT Metalogix infolink Persada menyediakan peralatan pendukung, misalnya meja dengan laci yang bisa dikunci atau lemari penyimpanan khusus yang dapat dikunci, sehingga karyawan dapat menyimpan dokumen sensitif secara aman.

2. Clear Screen

a. Kebijakan “Clear Screen” menekankan agar setiap karyawan mengunci layar komputer ketika meninggalkan meja kerja dan melakukan log off bila pergi untuk jangka waktu lama atau mengaktifkan fitur screen saver pada laptop atau PC. Kebijakan ini ditetapkan agar isi dari layar komputer dan informasi di dalamnya dilindungi dari kemungkinan dilihat dan diketahui oleh orang yang tidak berhak dan komputer dilindungi dari penggunaan yang tidak sah.

b. Personal Computer (PC) maupun laptop harus selalu dalam keadaan terkunci/logged off dengan dilengkapi password ketika Karyawan meninggalkan meja;

c. Layar komputer diarahkan dan diatur agar orang lain yang tidak berkepentingan tidak dapat melihat dokumen/informasi penting yang sedang dikerjakan Karyawan;

d. Log off otomatis diatur dalam kondisi aktif, sehingga layar monitor terkunci jika tidak ada aktivitas dalam periode waktu tertentu;

e. Pastikan PC/laptop sudah dalam kondisi mati ketika meninggalkan PC/laptop atau saat jam kerja berakhir.

f. Pastikan settingan clear screen pada setiap PC/laptop dengan waktu durasi 1 menit.

11.19. Kebijakan Pengembangan Sistem Informasi link

1. Pengadaan Sistem Informasi

1. Seluruh pengadaan fasilitas sistem informasi harus ditinjau dan diketahui oleh Departemen Product & Service, apakah sudah memenuhi kebutuhan berdasarkan kebutuhan keamanan.

2. PT Metalogix infolink Persada menetapkan dan mendokumentasikan persyaratan-persyaratan keamanan informasi yang relevan sebelum pengembangan, perluasan atau pengadaan sistem informasi baru.

3. Seluruh software yang dikembangkan baik secara in-house maupun outsource, dan dimaksudkan untuk mengolah informasi sensitif, bernilai atau kritikal, spesifiknya harus didokumentasikan secara formal.

4. Spesifikasi ini harus disetujui baik oleh pemilik informasi yang terlibat dan pengembang sistemnya sebelum kegiatan programming dimulai.

5. Identifikasi keamanan untuk mencegah, mendeteksi dan memulihkan dari kegagalan-kegagalan perlu dilakukan pada:

   a. Sistem Operasi

   1. Sistem administrasi (authentication and authorization)
   2. Konfigurasi sistem (services enabling/disabling)
   3. Monitoring sistem (audit catatan)
   4. Pemulihan bencana (backup and restoration)
   5. Kepatuhan hukum

   b. Aplikasi

   1. Administration aplikasi (authentication and authorization)
   2. Information administration (authorization)
   3. Information configuration (confidentiality and integrity protection)
   4. Konfigurasi aplikasi (services enabling/disabling)
   5. Monitoring aplikasi (audit catatan)
   6. Pemulihan bencana (backup and restoration)

   c. Kepatuhan Hukum Layanan Jasa

   1. Konfigurasi support (perlindungan akan kerahasiaan, integritas dan ketersediaan)
   2. Monitoring pelayanan
   3. Pengaturan
   4. Kepatuhan hukum

   d. Network

   1. Konfigurasi support (jaminan akan kerahasiaan, integritas dan ketersediaan)
   2. Jaminan ketersediaan komunikasi
   3. Pemulihan bencana
   4. Kepatuhan hukum
   5. Tim Infrastructure & Information Security melakukan pemeriksaan apakah implementasi sudah dilakukan dengan benar dan kemampuan fungsional PDCA harus dilaksanakan sepanjang pengembangan oleh para anggota kelompok pengembangan untuk memastikan bahwa keamanan diukur, dirancang, serta dibangun dan diuji seperti diinginkan.
   6. Persyaratan-persyaratan keamanan tersebut diatas perlu juga diterapkan ketika mengevaluasi paket perangkat lunak untuk aplikasi bisnis. Dimana yang sesuai, bisa dilakukan dievaluasi, paket software harus dianalisa sebelum evaluasi dan diuji untuk jaminan.

2. Pengembangan dan Perawatan Sistem Informasi

2.1. Kebijakan Pengembangan yang Aman.

1. Pengembangan dan penyebaran aplikasi di PT Metalogix infolink Persada harus memasukkan persyaratan keamanan dan control pada tahap siklus pengembangan software (SDLC). Tingkat keamanan harus searah dengan persyaratan sistem aplikasi bisnis dan operasi.
2. Persyaratan keamanan sistem yang dituju harus dimasukkan dan didokumentasikan dalam fase persyaratan fungsi dan teknis dari proyek.
3. Penilaian risiko keamanan harus dilakukan selama tahap perencanaan proyek pengembangan sistem informasi untuk membantu programmer dalam mengidentifikasi dan menentukan potensi kelemahan dan ancaman yang ada dalam sistem informasi.
4. Kontrol harus memasukkan aspek keamanan infrastruktur utama, yang dikemas dalam keamanan aplikasi dan standar keamanan aplikasi yang dikembangkan. Ini harus difokuskan pada control cara otomatisasi atau manual yang bisa diterapkan.
5. Semua sumber program yang digunakan pada sistem percobaan harus dihapus segera setelah masa percobaan selesai dilakukan.

2.2. Kontrol Perubahan

1. Input data pada sistem aplikasi harus dilakukan validasi untuk memperkecil kesalahan integritas data.
2. Data output dari sistem aplikasi harus dilakukan validasi untuk menjamin bahwa proses penyimpanan informasi benar dan tepat.
3. Sistem informasi harus memasukkan pemeriksaan kontrol untuk menjamin proses internal aplikasi yang benar, melakukan validasi data baru dan memecahkan kesalahan integritas data.
4. Pesan (pop up) harus digunakan untuk mendeteksi perubahan yang tidak diizinkan, atau korup, kandungan pesan elektronik yang dikirimkan, jika ada persyaratan keamanan bagi integritas pesan yang benar.

2.3. *Review* Teknis Aplikasi Setelah Perubahan Sistem Operasi

1. Melakukan review untuk memastikan bahwa tidak ada penurunan kualitas prosedur pengendalian dan integritas akibat permintaan perubahan.
2. Memastikan rencana dan anggaran annual support yang mencakup review dan sistem testing dari perubahan sistem operasi.
3. Memastikan pemberitahuan perubahan sistem informasi dilakukan dalam jangka waktu yang tepat untuk memastikan tes dan review telah dilaksanakan sebelum implementasi.
4. Memastikan bahwa perubahan telah diselaraskan dengan rencana kelangsungan kegiatan.

2.4. Pembatasan Perubahan Paket *Software*

Tim Infrastructure & Information Security bertanggung jawab untuk

1. Memastikan permintaan perubahan diajukan oleh pihak yang berwenang.
2. Tidak diperbolehkan memodifikasi paket software untuk menghindari kegagalan sistem dan hilangnya warranty dari manufaktur.
3. Memastikan bahwa dokumentasi sistem mutakhir dan dokumen versi sebelumnya di arsip.
4. Memelihara versi perubahan aplikasi.
5. Memelihara history perubahan aplikasi.
6. Memastikan dokumentasi penggunaan dan prosedur telah diubah sesuai dengan perubahan yang dilaksanakan.
7. Melakukan review untuk memastikan bahwa perubahan software tidak mempengaruhi penurunan kualitas proses dalam Perusahaan.
8. Memastikan pihak yang berwenang menerima perubahan software yang diminta sebelum dilakukan implementasi.
9. Memastikan bahwa implementasi perubahan dilakukan pada waktu yang tepat dan tidak mengganggu kegiatan operasional.

2.5. Prinsip Sistem *Engineering* yang Aman

Departemen Product & Service bertanggung jawab untuk

1. Memastikan tidak hilangnya data dalam proses perubahan aplikasi.
2. Memastikan sistem aplikasi yang akan dipakai aman guna mencegah masuknya penyusup.

2.6. Pengembangan yang Aman.

Departemen Product & Service bertanggung jawab untuk

1. Sumber program disimpan pada suatu tempat dimana hanya Sistem Developer dan Product & Service Director saja yang bisa mengakses tempat tersebut.

2. Mengupdate kumpulan program hanya bisa dilakukan oleh individu yang diajukan seperti IT administrasi berdasarkan izin dari pemilik aplikasi.

3. Kode executable harus dipisahkan secara jelas dari kode sumber/pengembangan.

4. Kode executable tidak harus dijalankan pada sistem operasional sampai:

   a. Bukti pengetesan yang sukses dan pengetesan penerimaan pemakai diperoleh.

   b. Prosedur perubahan pada seluruh kontrol telah diselesaikan secara sukses.

   c. Catatan audit harus dipelihara seluruh updatenya oleh IT administrasi serta sumber program.

   d. Versi software sebelumnya harus dipelihara/tidak boleh hilang.

   e. Upgrade atau pengaturan aplikasi baru yang diinstal oleh penjual pihak ketiga harus memasukkan keamanan sistem file dalam desain upgradenya.

   f. Vendor aplikasi harus dimonitor secara ketat untuk kegiatan yang tidak diizinkan.

2.7. Testing Keamanan Sistem

1. Penggunaan data secara langsung untuk tujuan pengetesan harus dikontrol sejauh mungkin, kecuali hal ini perlu persetujuan manajemen.

2. Persetujuan pengecualian diperlukan ketika sebagian data yang sedang dipakai dibutuhkan, jika data langsung digunakan untuk pengetesan:

   a. Data yang berhubungan dengan individu harus diubah menjadi bukan data individu.

   b. Kontrol harus dilaksanakan untuk melindungi data yang rahasia dan sensitif.

   c. Waktu yang cukup harus disiapkan antara pembuatan dan penggunaan untuk memvalidasi nilai komersial yang mungkin bergabung dengan data.

   d. Memastikan tidak hilangnya data saat dilakukannya pengetesan.

2.8. *Testing System Acceptance*

1. Memastikan sistem/aplikasi yang akan dipakai baik sistem informasi baru, upgrade atau versi baru benar-benar sudah melalui serangkaian uji tes dan dinyatakan aman.

2. Memastikan sistem memiliki:

   a. Keamanan dan keselamatan dalam operational.

   b. Kehandalan

   c. Dapat dirawat secara mudah dan murah

   d. Mudah dalam operational

3. Melakukan pengujian dan memastikan sistem sudah sesuai atau belum dengan apa yang tertuang dalam fungsional sistem (Validation).

4. Pengujian melibatkan semua aspek sistem mulai: hardware, software aplikasi, environment software, tempat dan operator, sehingga benar aplikasi tersebut bisa dan diterapkan.

5. Melakukan rangkain testing dan terdokumentasi.

11.20. Kebijakan Manajemen Konfigurasi link

Kebijakan ini bertujuan untuk memastikan perangkat keras (hardware), perangkat lunak (software), layanan (services) dan jaringan (network) berfungsi dengan benar sesuai dengan tingkat keamanan yang ditentukan dan perubahan konfigurasi dilakukan sesuai aturan yang berlaku.

1. Konfigurasi dan Instalasi Personal Computer atau Laptop

a. Melakukan pengecekkan fisik pada komputer atau laptop

b. Pastikan flashdisk dan harddisk media penyimpanan hasil download Windows 10 telah tersambung ke komputer atau laptop.

c. Restart perangkat komputer atau laptop

d. Pada tampilan startup screen, tekan ESC, F2, F4 atau F1 (hal ini bergantung dari jenis atau merek perangkat komputer atau laptop)

e. Pada saat masuk menu BIOS, pilih menu priority

f. Lalu pilih Secure boot, lalu enter pada keyboard lalu pilih disabled dan enter

g. Kemudian pilih boot lalu enter pastikan USB yang terhubung dengan perangkat komputer atau laptop terbaca dan pilih F6 pada keyboard komputer dan laptop USB option #1

h. Setelah itu F10 untuk save and exit dari BIOS

i. Setelah sudah selesai, muncul setup windows 10 pilih sesuai kebutuhan, lalu install ‘Now”

j. Masukan serial number/key pada OS Windows, jika tidak punya pilih “I don’t have product key”.

k. Setelah itu pilih dimana tempat penginstalan windows, tunggu sampai selesai.

l. Jika sudah selesai, komputer maupun laptop akan otomatis restart.

m. Tak lama akan masuk ke halaman pertama untuk setting negara dan setting keyboard pilih US.

n. Tekan selanjutnya, pilih setup for personal use, login Microsoft atau pilih Account.

o. Tahap selanjutnya buat nama dan password pada komputer atau laptop, jika tidak ingin menggunakan password lanjut enter.

2. Konfigurasi Standar Komputer dan Laptop

a. Membuat device name pada perangkat komputer dan laptop.

b. Melakukan pengecekkan driver dari OS windows

c. Membuat partisi hard disk 2 bagian C dan D

d. Melakukan setting Time Zone, Regional dan Language Format

e. Setting antivirus bawaan Komputer dan laptop (Windows Defender)

f. Pastikan antivirus ON

g. Setting change screen saver on resume, display logo screen 5 pilih Apply lalu Ok

h. Setting Bitlocker pada partisi hardisk C & D

i. Setting password Default Administrator pada komputer ataupun laptop

j. Setting password user standard 8 Character

k. Setting USB/DVD rom port Disable untuk mengamankan data perusahaan

3. Pemeliharaan dan Pembaharuan Perangkat Keras termasuk perangkat Jaringan

a. Untuk pemeliharaan dilakukan setiap 6 bulan sekali

b. Untuk pembaharuan (perangkat server dan network) akan dilakukan jika ada perangkat yang sudah waktunya untuk peremajaan atau rusak

4. Konfigurasi Perangkat Lunak

1. Pengaturan Utama

   a. Konfigurasi IP untuk setiap server

   b. Penamaan Hostname sesuai dengan service yang berjalan pada server tersebut

   c. Update OS

   d. Penggantian port SSH

2. Konfigurasi keamanan

   a. Setup port pada firewall

   b. Penerapan DNS pada setiap server

   c. Setup user dan password ​ d. Setup SSL (jika diperlukan)

   e. Disable user root

   f. Pemeliharaan dan pembaharuan perangkat lunak akan dilakukan jika adanya permintaan

11.21. Kebijakan Data Masking link

Tujuan dari kebijakan data masking adalah untuk melindungi privasi, mengurangi risiko pelanggaran data dan mematuhi regulasi yang berkaitan dengan perlindungan data.

1. Penggunaan Berdasarkan Kebijakan Spesifik Perusahaan

Penggunaan data masking harus selalu berdasarkan pada kebijakan spesifik perusahaan terkait kontrol akses dan kebijakan khusus topik terkait lainnya. Setiap tindakan data masking harus sesuai dengan prosedur dan pedoman yang ditetapkan oleh perusahaan.

2. Kepatuhan Hukum dan Persyaratan Bisnis

Seluruh kegiatan data masking harus mematuhi undang-undang yang berlaku dan persyaratan bisnis yang relevan. Data masking tidak boleh melanggar peraturan hukum dan regulasi yang mengatur privasi dan keamanan data, termasuk tetapi tidak terbatas pada undang-undang data perlindungan pribadi.

3. Personel yang Terlibat

Personel yang terlibat dalam kegiatan data masking harus memiliki pemahaman yang baik tentang metode masking yang digunakan, serta kebijakan dan prosedur yang terkait. Mereka wajib menjalankan tugas-tugas ini dengan integritas, tanggung jawab dan mengikuti prinsip-prinsip keamanan yang telah ditetapkan.

4. Identifikasi Data Sensitif

a. Data masking hanya boleh digunakan untuk melindungi data yang benar-benar sensitif.

b. Data masking hanya boleh digunakan sejauh yang diperlukan untuk melindungi data yang sensitif.

c. Data masking harus dapat disesuaikan dengan perubahan kebutuhan bisnis.

d. Data masking harus dapat diterapkan dengan cara yang efisien dan tid-ak mengganggu bisnis.

e. Proses data masking harus didokumentasikan untuk memastikan bahwa kebijakan dan prosedur diikuti.

5. Kontrol Akses

Penggunaan data masking harus sesuai dengan kontrol akses yang telah ditetapkan. Hanya personil yang memiliki otorisasi yang sesuai yang diperbolehkan untuk mengakses data yang telah di masked /disamarkan.

6. Pelaporan dan Ketaatan

Karyawan yang menemukan pelanggaran atau kecurigaan terkait penggunaan data masking yang tidak benar harus melaporkannya kepada manajemen atau tim keamanan informasi sesegera mungkin.

7. Pemantauan

Proses data masking harus dipantau secara berkala untuk memastikan bahwa data sensitif tetap terlindungi. Pemantauan harus mencakup langkah-langkah berikut:

a. Memeriksa data masked untuk memastikan bahwa data sensitif telah di masked dengan benar.

b. Memeriksa data masked untuk memastikan bahwa data sensitif tidak dapat diidentifikasi.

c. Memeriksa data masked untuk memastikan bahwa data sensitif tidak dapat diakses oleh orang yang tidak berhak.

11.22. Kebijakan Threat Intelligence link

Tujuan kebijakan ini adalah untuk menetapkan prinsip-prinsip dan praktik yang harus diikuti dalam mengumpulkan, menganalisa dan membagikan intelijen ancaman di PT Metalogix infolink Persada . Kebijakan ini bertujuan untuk membantu perusahaan melindungi diri dari ancaman keamanan cyber.

1. Pengumpulan Informasi Ancaman

a. Informasi tentang ancaman keamanan informasi harus dikumpulkan dari berbagai sumber yang dapat termasuk, namun tidak terbatas pada, pemberitahuan dari pihak internal, pihak eksternal, sumber-sumber berita, laporan industri, dan pusat intelijen ancaman.

b. Proses pengumpulan informasi harus memperhatikan keabsahan dan keandalan sumber yang digunakan untuk memastikan bahwa informasi yang diperoleh akurat dan bermanfaat.

c. Informasi yang ditemukan akan diintegrasikan ke dalam sistem manajemen keamanan informasi untuk mendukung tindakan pencegahan dan respons.

2. Analisis Ancaman

a. Informasi yang telah dikumpulkan harus dianalisis secara menyeluruh untuk mengidentifikasi tren, pola dan ancaman potensial yang dapat mempengaruhi keamanan informasi perusahaan.

b. Analisis harus mengambil pendekatan berbasis risiko untuk menilai dampak potensial dari berbagai ancaman terhadap sistem, data dan operasi organisasi.

3. Distribusi dan Pemantauan Ancaman Intelijen

a. Ancaman intelijen yang dihasilkan harus didistribusikan kepada pihak yang relevan dalam organisasi, termasuk tim keamanan informasi, manajemen dan departemen terkait.

b. Ancaman intelijen harus diperbaharui secara berkala sesuai dengan perubahan dalam ancaman atau lingkungan keamanan.

4. Tindakan Mitigasi dan Respons

a. Organisasi harus mengambil tindakan yang sesuai berdasarkan rekomendasi yang terdapat dalam ancaman intelijen.

b. Tim keamanan informasi harus mengkoordinasikan upaya mitigasi dan respons terhadap ancaman, serta melibatkan departemen yang relevan dalam proses tersebut.

c. Intelijen ancaman harus dianalisis untuk mengidentifikasi ancaman siber yang paling mungkin dihadapi perusahaan dengan mempertimbangkan berbagai faktor, seperti:

1. Sumber ancaman
2. Tujuan ancaman
3. Kemampuan ancaman
4. Kerentanan organisasi

e. Setiap karyawan harus menjaga perangkat milik pribadi agar tetap aman dengan menginstall perangkat lunak antivirus dan pembaruan keamanan.

Kebijakan ini akan dinilai ulang secara berkala untuk memastikan relevansi dan keefektifan dalam menghadapi ancaman yang terus berkembang. Perubahan atau pembaruan terhadap kebijakan akan diimplementasikan sesuai kebutuhan.

11.23. Kebijakan Pencegahan Kebocoran Data link

Tujuan dari kebijakan pencegahan kebocoran data adalah untuk mencegah terjadinya kebocoran data yang dimiliki PT Metalogix infolink Persada.

1. Kebijakan Pencegahan Kebocoran untuk Karyawan

a. Semua karyawan PT Metalogix infolink Persada perlu menyelesaikan pelatihan kesadaran keamanan dan setuju untuk menegakkan kebijakan penggunaan yang dapat diterima.

b. Jika karyawan mengidentifikasi orang yang tidak dikenal, tidak dikawal atau tidak sah berada di area PT Metalogix infolink Persada, karyawan harus segera memberitahu orang yang bertanggung jawab pada area yang dituju.

c. Tamu perusahaan harus selalu dikawal oleh pegawai yang berwenang, jika karyawan bertanggung jawab untuk mengawal pengunjung, karyawan harus membatasi tamu/pengunjung ke area yang sesuai dengan tujuan kedatangan.

d. Karyawan diminta untuk tidak merujuk subjek atau konten yang sensitif atau rahasia, data publik atau melalui sistem atau saluran komunikasi yang tidak dikendalikan oleh PT Metalogix infolink Persada. Contohnya, tidak diperbolehkan karyawan menggunakan sistem email eksternal yang tidak diizinkan oleh PT Metalogix infolink Persada untuk mendistribusikan data.

e. Harap menjalankan dan menjaga Clear Desk & Clear Screen Policy. Untuk menjaga keamanan informasi, karyawan perlu memastikan bahwa semua data tercetak dalam ruang lingkup tidak ditinggalkan tanpa pengawasan di workstation karyawan.

f. Karyawan harus menggunakan kata sandi yang aman di semua sistem sesuai dengan kebijakan kata sandi. Ini kredensial harus unik dan tidak boleh digunakan pada sistem eksternal atau jasa.

g. Karyawan yang diberhentikan akan diminta untuk mengembalikan semua catatan, dalam format apapun yang berisikan informasi pribadi. Persyaratan ini harus menjadi bagian dari proses orientasi karyawan, dan karyawan harus menandatangani dokumen untuk mengkonfirmasi bahwa mereka akan melakukan ini.

h. Karyawan harus segera menginformasikan kepada pihak berwenang dalam hal perangkat yang mengalami kehilangan (misalnya: ponsel, laptop dll) yang dimana di dalam perangkat tersebut memiliki data atau informasi milik PT Metalogix infolink Persada.

i. Jika karyawan menemukan sistem atau proses yang karyawan curigai tidak sesuai dengan kebijakan ini atau tujuan keamanan informasi, karyawan memiliki kewajiban untuk memberitahu otoritas yang tepat sehingga mereka dapat mengambil tindakan yang tepat.

j. Jika karyawan telah diberikan izin untuk bekerja dari jarak jauh, karyawan harus berhati-hati untuk memastikan bahwa data ditangani dengan tepat.

k. Wajib dipastikan bahwa aset yang menyimpan data dalam ruang lingkup tidak dibiarkan terlalu terbuka.

l. Data yang harus dipindahkan hanya dapat ditransfer melalui fitur/platform yang disediakan mekanisme transfer aman (misalnya berbagi file dengan acces sharing folder, cloud, email dll). PT Metalogix infolink Persada akan memberikan karyawan sistem atau perangkat yang sesuai dengan tujuan ini. Karyawan tidak boleh menggunakan mekanisme lain untuk menangani dalam lingkup data, jika karyawan memiliki pertanyaan tentang penggunaan mekanisme transfer file, karyawan harus mengajukan ini dengan Risk Manager atau manajemen PT Metalogix infolink Persada.

m. Setiap informasi yang dikirim melalui perangkat portable harus dienkripsi sesuai dengan praktik terbaik industri serta hukum dan peraturan yang berlaku.

n. Karyawan dilarang mengirimkan informasi yang bersifat rahasia kepada pihak yang tidak berkepentingan dengan bisnis perusahaan.

o. Setiap informasi rahasia yang dikirimkan melalui media elektronik wajib dienkripsi dan dikirimkan password pada pesan terpisah.

2. Pencegahan Kebocoran Data untuk Data yang Bergerak

a. Solusi DLP (Data Leakage Prevention) profesional akan dikonfigurasi di titik akhir untuk mengidentifikasi data yang bergerak ke browser, email client, perangkat penyimpanan massal dan removable media.

b. Teknologi DLP akan memindai data yang bergerak. DLP akan mengidentifikasi konten tertentu, seperti:

1. Alamat email, nama, alamat dan kombinasi lain dari informasi personal yang dapat diidentifikasi.
2. Dokumen yang secara eksplisit ditandai dengan string „confidential“

c. DLP akan dikonfigurasi untuk memperingatkan pengguna jika terjadi transmisi yang dicurigai data sensitif, dan pengguna akan diberikan pilihan untuk mengizinkan atau menolak data transfer. Hal ini memungkinkan pengguna untuk membuat keputusan yang masuk akal untuk melindungi data tanpa mengganggu fungsi bisnis.

d. Perubahan pada konfigurasi produk DLP ditangani melalui proses perubahan Teknologi Informasi PT Metalogix infolink Persada dengan melalui persetujuan manajemen keamanan informasi, untuk mengidentifikasi persyaratan dalam menyesuaikan kebijakan keamanan informasi atau dengan komunikasi kepada karyawan.

e. DLP akan mencatat insiden untuk dapat ditinjau, lalu Tim IT akan memprioritaskan tingkat tertinggi hingga terendah pada setiap kejadian, mengidentifikasi data yang sensitif dan situasi dimana transfer diotorisasi jika ada kekhawatiran penggunaan yang tidak tepat.

f. Jika terdapat perhatian terhadap pelanggaran data, proses manajemen insiden TI akan dijalankan dengan pemberitahuan khusus yang diberikan kepada otoritas yang sesuai (misalnya IT CIRT (Computer Incident Response Teams), SDM, Manajemen Hukum dan Keamanan). Akses ke log DLP akan dibatasi untuk sekelompok individu yang disebutkan untuk melindungi privasi karyawan. Log DLP bukan merupakan bukti bahwa seorang karyawan telah sengaja atau tidak sengaja kehilangan data, tetapi memberikan dasar yang cukup untuk penyelidikan guna memastikan data telah dilindungi dengan benar.

3. Kebijakan DLP untuk Endpoint dan Workstation

a. Semua perangkat dalam lingkup bisnis dan keamanan informasi akan mengaktifkan enkripsi disk secara penuh.

b. Kebijakan Penggunaan yang Dapat diterima (AUP/Acceptable Use Policy) dan pelatihan kesadaran keamanan PT Metalogix infolink Persada mengharuskan pengguna untuk beritahu pihak berwenang yang tepat jika mereka mencurigai atau mereka tidak mematuhi kebijakan ini.

c. Pelatihan AUP dan kesadaran keamanan informasi wajib mengharuskan pengguna untuk memberitahu otoritas yang tepat perangkat apapun yang hilang atau dicuri.

d. Kebijakan enkripsi harus dikelola dan kepatuhan divalidasi oleh otoritas yang tepat. Sistem perlu dirancang untuk dapat melapor ke infrastruktur manajemen terpusat untuk mengaktifkan catatan audit untuk menunjukkan kepatuhan seperti yang dipersyaratkan.

e. Jika manajemen tidak memungkinkan dan enkripsi dikonfigurasi secara mandiri (hanya sekali disetujui oleh penilaian risiko), pengguna perangkat harus memberikan salinan aktif kunci enkripsi untuk IT.

f. Hanya personil yang memiliki hak akses yang sesuai digunakan untuk dapat mengakses perangkat yang terenkripsi untuk tujuan investigasi, pemeliharaan atau ketidakhadiran seorang karyawan dengan akses sistem file.

g. Teknologi enkripsi harus dikonfigurasi sesuai dengan best practice dalam industri yang relevan untuk dimaksimalkan penguatan infrastruktur dan sistem dari serangan luar.

h. Semua peristiwa terkait keamanan akan dicatat dan diaudit oleh PT Metalogix infolink Persada untuk mengidentifikasi yang tidak pantas akses ke sistem atau penggunaan berbahaya lainnya.

i. Helpdesk PT Metalogix infolink Persada diijinkan untuk menerbitkan out-of-band challenge/respons untuk memungkinkan akses ke sistem jika terjadi kegagalan, kredensial yang hilang atau persyaratan pemblokiran bisnis lainnya. Tantangan/respons ini hanya akan diberikan jika identitas pengguna dapat ditetapkan menggunakan atribut challenge dan respons yang didokumentasikan dalam kebijakan kata sandi.

j. Mungkin terdapat beberapa kelompok data sensitif yang akan diidentifikasi oleh pembatasan kebijakan data privasi. Helpdesk tidak diizinkan untuk mengakses sistem tersebut tanpa otorisasi. Sistem ini diidentifikasi memiliki akses ke sangat sensitif, dibatasi menggunakan data dan memiliki persyaratan pemisahan tugas dan tanggung jawab. Dimana terdapat identifikasi oleh otentikasi dan pembatasan privasi policy, sistem/user akan diminta untuk menggunakan otentikasi dua arah / two factor authentication.

k. Perubahan konfigurasi harus dilakukan melalui proses kontrol perubahan PT Metalogix infolink Persada dengan Prosedur Change Management, mengidentifikasi risiko dan perubahan implementasi yang patut diperhatikan pada manajemen keamanan.

11.24. Kebijakan Monitoring dan Evaluasi link

Tujuan dari kebijakan monitoring dan evaluasi adalah untuk memastikan bahwa monitoring dan evaluasi yang efektif dilakukan untuk menjaga dan meningkatkan keamanan informasi.

1. Monitoring

a. Tim Infrastructure & Information Security harus melakukan monitoring harian. Monitoring yang dilakukan meliputi:

1. Penggunaan yang berlebihan terhadap sumber daya jaringan.
2. Analisa trafik.
3. Pola yang sudah diketahui terhadap serangan atau penyusupan.
4. Akses situs web eksternal yang berpotensi paparan konten jahat

b. Monitoring yang dilakukan oleh Tim Infrastructure & Information Security menggunakan aplikasi open source dan dikembangkan sendiri sesuai kebutuhan dari PT Metalogix infolink Persada.

2. Analisis dan Evaluasi Hasil

a. Tim Infrastructure & Information Security menganalisis dan mengevaluasi hasil dari monitoring dan pengukuran dengan tujuan untuk menilai kinerja keamanan informasi dan efektivitas sistem keamanan informasi.

b. Informasi yang terdokumentasi harus tersedia sebagai bukti dari hasil tersebut.

c. Apabila pada kegiatan monitoring ditemukan anomali atau hal yang mencurigakan, maka hal tersebut wajib ditangani sesuai dengan Prosedur Penangan Insiden Keamanan Informasi.

3. Pelaporan Hasil Evaluasi

Jika ditemukan tanda-tanda aktivitas ilegal atau kejahatan, segera melapor kepada pihak yang berwenang seperti kepolisian atau instansi penegak hukum.