Bab 3 - Kebijakan Perusahaan
3.1. Kebijakan Keamanan Informasi
Manajemen PT Metalogix infolink Persada menetapkan Kebijakan Sistem Manajemen Keamanan Informasi dalam rangka komitmennya dalam mendukung penerapan SMKI. Kebijakan tersebut dapat dilihat pada Lampiran 1. Kebijakan SMKI.
Kebijakan keamanan informasi akan selalu dikaji ulang dan disesuaikan dengan tujuan strategis PT Metalogix infolink Persada.
3.2. Sasaran Keamanan Informasi
PT. Metalogix infolink Persada menetapkan sasaran keamanan informasi yang terukur di setiap tingkatan dan fungsi yang relevan dalam jajaran perusahaan. Sasaran keamanan informasi menjadi Lampiran 4 manual ini.
3.3. Definisi
3.3.1. Access Control adalah proses pemberian izin/menolak permintaan, mendapatkan dan menggunakan informasi dan layanan informasi terkait pengolahan; dan memasukİ fasilitas fisik tertentu (misalnya, gedung, kantor, ruang data center, fasilitas pemrosesan data)
3.3.2. Activity Log adalah catatan yang menerangkan kegiatan pengguna atau sistem dalam periode tertentu untuk suatu proses kegiatan sistem informasi.
3.3.3. Administrator adalah personil yang bertanggung jawab secara teknis terhadap kelancaran operasional sistem aplikasi atau infrastruktur sistem informasi
3.3.4. Alerts adalah pemberitahuan bahwa serangan tertentu telah diarahkan pada sistem informasi Perusahaan
3.3.5. Aplikasi adalah perangkat lunak yang dibuat dan disesuaikan terhadap kebutuhan bisnis organisasi sehingga dapat membantu proses bisnis yang dijalankan organisasi.
3.3.6. Area Khusus adalah lokasi yang dibatasi oleh keamanan fisik tempat keberadaan aset informasi secara fisik dalam media dan/atau fasilitas pengolah informasi.
3.3.7. Aset Informasi merupakan aset dalam bentuk hardware, software dan aplikasi
3.3.8. Attack adalah upaya untuk mendapatkan akses tidak sah ke layanan sistem, sumber daya, İnformasi, atau upaya untuk berkompromi dengan integritas sistem.
3.3.9. Availability adalah memastikan akses yang tepat dan dapat diandalkan untuk penggunaan informasi
3.3.10. Awareness Information Security adalah kegiatan yang bertujuan untuk memfokuskan kepedulian dan perhatian seseorang kepada isu (keamanan informasi) atau serangkaian isu yang terkait dengan keamanan İnformasi
3.3.11. Backup adalah sebuah proses pembuatan salinan data ke dalam media backup (tape, harddisk dan CD) sehingga salinan tersebut dapat digunakan untuk mengembalikan data atau konfigurasi ke keadaan sebelumnya**.**
3.3.12. Business Continuity Plan (BCP) adalah dokumentasi rencana manajemen risİko yang berfokus untuk pengembangan strategi, kebijakan, rencana-rencana, aturan-aturan organisasi dan tanggung jawab, dan prosedur eskalasi untuk memastikan kesinambungan proses bisnis dan kegiatan-kegiatan dalam hal terjadinya peristiwa yang membahayakan dan atau interupsi berkelanjutan.
3.3.13. Business Continuity Management (BCM) adalah proses manajemen yang mengidentifikasi potensi dampak yang mengancam suatu organisasi dan menyediakan kerangka kerja bagi ketahanan bangunan dan kemampuan untuk respon yang efektif yang menjaga kepentingan pemegang saham utamanya, reputasi, merek dan nilai menciptakan kegiatan
3.3.14. Classified Information Proses adalah penentuan indikator berdasarkan kepekaan (sensitivitas) dan risiko terhadap suatu informasi yang dibuat oleh originator atau custodian untuk menentukan tingkat pengamanan yang diperlukan bagi informasi tersebut
3.3.15. Compliance adalah Suatu kondisi yang disikapi agar memenuhi persyaratan peraturan dan undang-undang dan peraturan pihak yang berkepentingan lainnya.
3.3.16. Confidentiality adalah aset informasi penting yang tidak diungkapkan kepada individu yang tidak berwenang atau badan. Aset yang informasi yang tidak diungkapkan kepada entitas sistem (users, pemrosesan, perangkat) kecuali mereka telah diizinkan untuk mengakses informasi.
3.3.17. Control adalah teknik yang memanfaatkan temuan dari penilaian risiko (faktor risiko mengidentifikasi potensi dalam operasi perusahaan, seperti aspek teknis dan nonteknis dari bisnis, kebijakan keuangan dan kebijakan Iain yang dapat berpengaruh terhadap performansi perusahaan), dan menerapkan perubahan untuk mengurangi risiko.
3.3.18. Database adalah sekumpulan data yang disusun dan dikelompokkan sesuai atributnya untuk menyimpan dan memberikan Informasi bagi penggunanya.
3.3.19. Denial of Service (DoS) adalah kondisi dimana sistem tidak dapat memberikan layanan secara total akibat suatu proses yang tidak terkendali baik dari dalam maupun dari Iuar system.
3.3.20. Digital Signature adalah kode-kode digital yang disertakan pada suatu pesan atau dokumen elektronik yang digunakan dalam proses verifikasi, otentikasi, dan otorisasi suatu transaksi.
3.3.21. Disaster Recovery Plan (DRP*)* adalah dokumen yang digunakan untuk memandu perusahaan dalam merespon kejadian yang mengakibatkan kerugian atau kerusakan besar pada fasilitas perusahaan. DRP adalah rencana kedua yang dibutuhkan oleh manajer risiko perusahaan dan digunakan ketika perusahaan harus memulihkan (di fasilitas aslinya) dari hilangnya peluang bisnis selama hitungan jam atau hari.
3.3.22. Enkripsi adalah proses pengacakan informasi dengan menggunakan sandi atau kode tertentu sehingga tidak dapat dibaca oleh orang lain tanpa mengetahui kunci dari sandi atau kode tersebut.
3.3.23. Firewall adalah perangkat baik hardware maupun software teknologi informasi yang digunakan dalam konteks komunikasi jaringan data untuk mencegah masuknya paket data yang secara aturan tidak diperbolehkan ke dalam lingkungan internal.
3.3.24. Integrity adalah keutuhan informasi, yang berarti tidak ada perubahan, penghilangan atau penambahan yang tidak semestinya terjadi. Integritas informasi juga menjamin tentang kebenaran dari data dan lengkap dengan atributnya
3.3.25. Internet adalah jaringan komputer yang sangat luas yang menghubungkan satu komputer dengan komputer lainnya dimana di dalamnya terdapat berbagai aneka ragam informasi.
3.3.26. Intranet adalah jaringan pribadi yang menggunakan protocol komunikasi internet protocol, dapat terhubung ke internet (tidak selalu), dan hanya dapat digunakan dalam lingkungan terbatas.
3.3.27. Kebijakan keamanan informasi adalah kebijakan tingkat tinggi yang digunakan untuk membuat program keamanan informasi perusahaan, menentukan ruang lingkup dalam perusahaan, menetapkan tanggung javvab pelaksanaan, menetapkan arah strategis dan menetapkan sumber daya untuk implementasi.
3.3.28. Keamanan informasi (information security) adalah suatu upaya yang dilakukan untuk mengamankan informasi, agar terhindar dari berbagai ancaman maupun kejadian yang dapat mengganggu pencapaian tujuan, yaitu; ketersediaan, integritas dan kerahasiaan informasi.
3.3.29. Kerahasiaan informasi (information confidentiality) adalah perlindungan informasi agar tidak dapat diakses (dilihat/diketahui) oleh pihak yang tidak berhak.
3.3.30. Ketersediaan informasi (information availability) adalah tersedianya akses dan pemanfaatan informasi setiap saat diperlukan.
3.3.31. Klasifikasi informasi adalah proses penentuan indikator nilai, indikator kepekaan (sensitivitas) dan risiko terhadap suatu informasi yang dibuat oleh originator atau Custodian untuk menentukan tingkat pengamanan yang diperlukan bagi informasi tersebut.
3.3.32. Logon atau login adalah proses yang disediakan oleh sistem komputer untuk mengidentifikasi dan otentifikasi pengguna pada saat mulai mengakses (berinteraksi dengan) sistem komputer. Biasanya pengguna lebih dahulu memasukkan kode identitas (user-id) dan kata sandi (password), kemudian sistem melakukan proses validasi (pengesahan).
3.3.33. Malicious Code adalah kode program yang dapat melakukan pemodifikasian program-program komputer dengan tanpa disadari oleh penggunanya, dapat menghancurkan sistem, mencuri atau memodifikasi data, menyisipkan kode lain padasistem yang dapat menghancurkan sistem aplikasi beberapa waktu kemudian.
3.3.34. Malware adalah perangkat lunak komputer (program kecil) yang dibuat untuk tujuan mengganggu dan/atau merusak operasi sistem komputer atau melakukan suatu tujuan tertentu yang tidak baik dan diluar kehendak pengguna sistem komputer, seperti ; virus, worms, spyware, spam, dan lain-lain.
3.3.35. Mitra Kerja/Pihak ke-3 adalah Individu atau organisasi yang menyediakan jasa atau unit perangkat yang sesuai dengan perjanjian kontrak.
3.3.36. Mobile Code adalah kode program yang ditransfer dari satu komputer ke komputer lain untuk kemudian dieksekusi secara otomatis dengan menjalankan suatu fungsi tertentu tanpa atau dengan campur tangan pengguna.
3.3.37. Non-disclosure Agreement (NDA) atau Perjanjian Kerahasiaan adalah suatu hukum kontrak antara setidaknya dua pihak yang menguraikan bahan rahasia, pengetahuan, atau informasi bahwa pihak-pihak yang ingin berbagi dengan satu sama lain untuk tujuan tertentu, tetapi ingin membatasi akses dari pihak ketiga.
3.3.38. Password adalah kata sandi yang digunakan bersamaan dengan username (sign on/sign in/log-on/log-in) oleh pemilik yang sah sebelum melakukan koneksi/akses ke sistem computer.
3.3.39. Patches Rutin adalah program atau sekumpulan kecil instruksi yang biasanya dibuat sebagai solusi sementara untuk mengatasi atau memperbaiki permasalahan (bugs) pada program komputer dan sering dibuat dalam bentuk “objectcode” yang disisipkan ke dalam program yang akan dieksekusi.
3.3.40. Removable media adalah media yang mengandung informasi dan secara fisik dapat dipindahkan dengan mudah.
3.3.41. Restore Proses adalah mengembalikan data atau konfigurasi dari hasil backup.
3.3.42. Segregation of Duties adalah satu konsep pengaturan terhadap lebih dari satu pegawai yang dibutuhkan untuk menyelesaikan suatu tugas.
3.3.43. Server adalah sebuah sistem computer yang menyediakan jenis layanan tertentu dalam sebuah jaringan computer.
3.3.44. Teleworking adalah pelaksanaan pekerjaan dalam sistem informasi yang dilaksanakan secara jarak jauh dengan menggunakan fasilitas jaringan (Wide Area Network/WAN).
3.3.45. Virtual Private Network (VPN) adalah jaringan komunikasi khusus yang digunakan untuk kepentingan internal perusahaan dengan memanfaatkan infrastruktur jaringan publik.
3.3.46. Workstation adalah komputer yang terhubung dengan sebuah local-area network (LAN)