SOP Keamanan Fisik dan Lingkungan
1. Tujuan
Prosedur ini sebagai panduan dan aturan untuk mencegah akses fisik yang tidak sah yang dapat mengakibatkan kerusakan dan gangguan pada fasilitas informasi dan pengolahan informasi perusahaan.
2. Ruang lingkup
2.1. Prosedur ini berlaku bagi semua karyawan PT. Metalogix infolink Persada, termasuk pihak ketiga seperti karyawan kontrak, kontraktor, konsultan atau pihak ketiga lainnya perlu mengakses sistem informasi PT. Metalogix infolink Persada.
2.2. Departemen IT dan pemilik-pemilik sistem/aplikasi akan bertanggung jawab untuk memastikan akses pemakai yang diberi hak dan untuk mencegah akses yang tidak sah kepada sistem informasi.
3. Tanggung jawab
Divisi GA dan Infrastruktur bertanggung jawab atas pengelolaan prosedur ini.
4. Definisi
4.1. Perangkat Keras : Laptop dan Komputer .
4.2. Perangkat Sensitif : flashdisk, dokumen rahasia.
4.3. Ruang Sensitif adalah : ruang server, ruang finance dan HRD, ruang direktur, ruang IT dan ruang gudang.
4.4. Pihak Ketiga adalah kontraktor, vendor atau tamu
5. Referensi
ISO/IEC 27001:2022, A.7 Kontrol fisik (A.7.1 ~ A.7.14)
6. Prosedur
6.1. Keamanan Fisik dan Lingkungan (Pengamanan Kantor, Ruang Kerja, Ruang Server)
6.1.1. Seluruh karyawan, kontraktor, pihak ketiga dan tamu yang memasuki lokasi Kantor di lingkungan PT. Metalogix infolink Persada harus mengenakan tanda pengenal (ID Card) resmi yang berlaku.
6.1.2. Akses terhadap ruang server dan ruang sensitif lainnya dibatasi dan harus mendapakan ijin dari penanggung jawab ruangan.
6.1.3. PT. Metalogix infolink Persada menyimpan server, infrastruktur network dan komunikasi serta perangkat IT sensitif lainnya di ruang server (Data Center) yang dilindungi dengan sekat dan pengamanan fisik (perimeter) seperti pintu akses elektronik, CCTV, system pemadam kebakaran, alarm bahaya dan fasilitas perlindungan fisik lainnya.
6.1.4. Pihak ketiga seperti kontraktor, vendor atau tamu yang memasuki ruang server atau ruang kerja sensitif dipersyaratkan:
6.1.4.1.Pihak ketiga harus mencatat tanggal dan waktu akses masuk dan keluar dalam buku tamu (log book) yang tersedia di resepsionis atau security.
6.1.4.2.Pihak ketiga harus didampingi staff IT sepanjang waktu
6.1.4.3.Tidak boleh memotret atau mengambil gambar isi ruang kerja dan ruang server atau menyebarkan informasi, termasuk dengan smart phone. Jika aturan dilanggar akan terkena sangsi sesuai dengan peraturan perusahaan yang berlaku.
6.1.4.4.Tidak boleh mencatat dan/atau membocorkan informasi yang diketahuinya ke pihak lain yang tidak berwenang.
6.1.5. Karyawan, tamu dan pihak ketiga lainnya tidak boleh merokok, makan, minum di ruang server (Data Center) dan ruang sensitif lainnya.
6.1.6. Karyawan dan pihak ketiga tidak boleh memotret atau mengambil gambar di lingkungan perusahaan tanpa seijin IT/Ops Head
6.1.7. Area keluar masuk barang dan area lain yang memungkinkan orang yang tidak berwenang masuk area tersebut harus selalu diawasi petugas untuk menghindari ancaman terhadap keamanan informasi. Pada area Keluar masuk barang harus dilengkapi dengan CCTV.
6.2. Keamanan peralatan (Pengamanan terhadap perangkat keras dan peralatan pendukung)
6.2.1. Server, computer dan peralatan lainnya yang berkategori sensitif harus ditempatkan di lokasi yang aman dan diposisikan sedemikian rupa sehingga tidak mudah dibaca atau diakses oleh pihak yang tidak berwenang.
6.2.2. PT. Metalogix infolink Persada menyediakan Uninterruptible Power Supply (UPS) untuk melindungi fasilitas sistem informasi dari gangguan jaringan listrik utama (PLN). Peralatan pendukung ini harus secara berkala diperiksa, dipelihara dan dirawat sesuai petunjuk vendor pembuatnya.
6.2.3. Sumber daya listrik dan kabel telekomunikasi yang membawa data atau mendukung proses bisnis harus dilindungi dari kerusakan atau penyambungan (intersepsi) secara tidak sah.
6.2.4. Seluruh peralatan IT dan peralatan pendukungnya harus dirawat sesuai dengan instruksi pabrik pembuatnya. Hanya karyawan yang berwenang yang diijinkan melakukan perawatan terhadap hardware, software dan peralatan IT lainnya. Dalam hal perawatan yang tidak dapat dilakukan di lokasi PT. Metalogix infolink Persada (on site), maka Departemen IT harus memastikan bahwa tidak ada lagi data sensitif dan rahasia di peralatan tersebut dan sudah dipindahkan terlebih dahulu.
6.2.5. Penggunaan perangkat IT milik perusahaan diluar lokasi kantor, harus disetujui oleh Manager yang bertanggung jawab dan/atau manager IT, setiap kali perangkat akan dibawa keluar kantor. Otorisasi penggunaan harus dilakukan secara tertulis dan nama aset yang digunakan, lokasi dan tujuan penggunaan, dicatat dan disimpan sebagai rekaman. Pengeculian dapat diberikan kepada karyawan yang lingkup kerjanya di PT. Metalogix infolink Persada. Pengecualian diberikan setelah mendapat persetujuan dari Manager yang bertanggung jawab dan/atau Manager IT. Relevansi pemberian pengecualian kepada karyawan akan ditinjau (review) secara periodik, minimal setahun sekali. Pengecualian dicabut jika lingkup kerja karyawan berubah.
6.2.6. Komputer/laptop yang sudah tidak digunakan lagi baik karena rusak, diganti atau karena sebab lainnya harus dipastikan tidak mengandung data, sistem operasi, aplikasi atau informasi sensitif.
6.2.7. Seluruh peralatan IT yang dikelola oleh pihak ketiga harus dipisahkan dengan peralatan IT milik PT. Metalogix infolink Persada.
6.3. Media penyimpanan informasi yang sudah tidak digunakan lagi harus dihapus isinya sampai tidak bisa dibaca dan digunakan lagi secara tidak berwenang dan disimpan di tempat yang telah ditentukan dan terkunci.
7. Dokumen Pendukung
| No. | Nama Dokumen | Tempat Simpan |
|---|---|---|
| 1 | Log book tamu | Departemen GA |
| 2 | Cheklist Maintenance cctv-apar | Departemen GA |