SOP Manajemen Aset dan Informasi
1. Tujuan
Prosedur ini bertujuan untuk:
1.1. Menetapkan tata kelola aset dan informasi PT Metalogix infolink Persada
1.2. Menetapkan identifikasi, klasifikasi, dan pemilik informasi dan asset pengolah informasi.
1.3. Menetapkan cara penanganan yang meliputi pelabelan, penyimpanan, pengiriman, pengamanan informasi agar sesuai dengan kebijakan keamanan informasi perusahaan.
2. Ruang lingkup
Ruang lingkup prosedur ini mencakup tanggung jawab aset, klasifikasi dan penanganan informasi atau media. Informasi yang dicakup dalam prosedur ini meliputi:
2.1. Informasi tercetak seperti informasi tertulis dalam bentuk kertas, meskipun mula-mula dihasilkan dari sebuah komputer. Risiko dalam bentuk kertas antara lain hilang, rusak (tidak bisa dibaca), tercecer dan dibaca oleh orang yang tidak berkepentingan.
2.2. Informasi elektronik. Informasi jenis ini dalam bentuk elektronik seperti informasi yang tersimpan dalam hard disk, flash disc.
3. Tanggung jawab
Departemen GA dan Infrastruktur bertanggung jawab atas penerapan prosedur ini.
4. Definisi
4.1. Klasifikasi Informasi: adalah penentuan indikator berdasarkan kepekaan (sensitivitas) dan risiko terhadap suatu informasi yang dibuat oleh originator untuk menentukan tingkat pengamanan yang diperlukan bagi informasi tersebut.
4.2. Pemilik informasi adalah setiap unit kerja yang menghasilkan informasi dan bertanggung jawab terhadap informasi tersebut
5. Referensi
5.1. ISO/IEC 27001:2022, A.5.9 Inventarisasi informasi dan aset lainnya.
5.2. ISO/IEC 27001:2022, A. 5.10 Penggunaan yang akseptabel dari informasi dan aset terkait lainnya.
5.3. ISO/IEC 27001:2022, Annex 5.11 Pengembalian Aset
5.4. ISO/IEC 27001:2022, Annex 5.12 Klasifikasi Informasi
5.5. ISO/IEC 27001:2022, Annex 5.13 Pelabelan Informasi
5.6. ISO/IEC 27001:2022, Annex 5.14 Transfer Informasi
6. Prosedur
6.1. Manajemen Aset
6.1.1. Inventarisasi Aset
6.1.1.1. Seluruh aset sistem informasi harus diinventarisasi serta diberi nomor unik sebagai bukti telah diinventarisasi oleh Divisi GA melalui Aset Management. Contoh Kode Aset yang digunakan yaitu:
YYYYMMDDRRRRC
Keterangan :
YYYY = Tahun pembelian aset
MM = Bulan pembelian aset
DD = Tanggal pembelian aset
RRRR = Nomor urut aset
C = Auto generated number
6.1.2. Kepemilikan Aset
6.1.2.1. Divisi GA mendistribusikan aset kepada pemakai aset dengan menggunakan Form In/Mutasi/Exit Clearance baik saat karyawan masuk, mutasi atau pemberian aset tambahan.
6.1.2.2. Pengguna hak akses untuk setiap aset sistem informasi harus ditetapkan sebagai pemilik aset.
6.1.3. Aturan Pemakaian Aset
6.1.3.1. Peraturan pengoperasian dan penggunaan aset sistem informasi harus ditetapkan dan dikomunikasikan dengan seluruh pengguna aset sistem informasi.
6.1.3.2. Pengguna aset sistem informasi yang sudah habis masa hak aksesnya, harus mengembalikan seluruh aset sistem informasi kepada penanggung jawab Aset (Divisi GA).
6.1.3.3. Penanggung jawab Aset harus menetapkan metode kontrol yang efektif untuk pengamanan aset sistem informasi dari ancaman kerahasiaan, keutuhan dan ketersediaan, penyimpanan, pengiriman, pemusnahan asset yang sudah tidak terpakai lagi.
6.1.4. Pengambilan Aset
6.1.4.1. Bagian GA menetapkan aturan pengambilan aset dari karyawan atau rekanan yang memiliki hak akses dikarenakan sebab berikut :
1. Habis masa kontrak kerja dengan PT Metalogix infolink Persada.
2. Teridentifikasi melakukan pelanggaran
6.1.4.2. Divisi GA menarik aset (pengembalian aset) dari pemakai aset dengan menggunakan Form In/Mutasi/Exit Clearance baik saat resign atau habis masa kontrak kerja.
6.1.5. Pemusnahan Aset
6.1.5.1. Divisi GA sebagai penanggung jawab aset mendata aset apa saja yang akan dimusnahkan.
6.1.5.2. Divisi GA melakukan pengecekan aset apakah sudah tidak bisa digunakan atau apakah masih terdapat data di dalam aset dibantu Tim IT jika dibutuhkan. Aset yang akan dimusnahkan harus dipastikan:
1. Sudah bersih dari data dan informasi
2. Tidak ada kemungkinan di-restore oleh pihak yang tidak berhak
3. Tidak ada kemungkinan dicuri
6.1.5.3. Divisi GA mengisi Form Berita Acara Pemusnahan dengan approval Finance Director.
6.1.5.4. Finance Director memutuskan aset tersebut boleh dimusnahkan atau tidak.
6.1.5.5. Jika disetujui, lanjut ke 7.
6.1.5.6. Jika tidak di-approve media disimpan kembali oleh Divisi GA.
6.1.5.7. Divisi GA melakukan pemusnahan aset tersebut dengan cara atau metode sebagai berikut:
a. Pemusnahan dengan metode pembakaran.
b. Pemusnahan dengan penghancuran fisik yang tidak memungkinkan aset dirakit ulang
6.1.5.8. Divisi GA mendokumentasikan proses pemusnahan dan menyimpan Berita Acara Pemusnahan.
6.1.6. Penggunaan Kembali Aset
6.1.6.1. Pengguna Aset melakukan permintaan penggunaan kembali aset dengan mengajukan perbaikan peralatan kepada Divisi GA.
6.1.6.2. Divisi GA melakukan pembersihan aset dari data informasi yang bersifat rahasia dan sangat rahasia. Divisi GA melakukan pengecekan dan memastikan bahwa data-data tersebut sudah bersih dibantu Tim IT jika dibutuhkan.
6.1.6.3. Divisi GA mengajukan list aset yang akan diperbaiki beserta permohonan biaya perbaikan kepada Finance Director.
6.1.6.4. Finance Director memeriksa dan/atau mengesahkan list permohonan perbaikan aset yang akan digunakan kembali.
6.1.6.5. Divisi GA melakukan perbaikan aset menggunakan jasa perbaikan dari pihak ketiga jika perbaikan tidak bisa dilakukan secara internal. Dalam hal perbaikan perangkat tidak dapat dilakukan oleh internal, maka pemindahan perangkat harus mendapatkan persetujuan Product & Service Director. Data yang memiliki klasifikasi rahasia yang disimpan dalam perangkat tersebut harus dipindahkan terlebih dahulu.
6.1.6.6. Divisi GA memberikan penomoran inventaris ulang sebelum digunakan.
6.1.6.7. Divisi GA menyerahkan aset yang kembali digunakan kepada personal atau pihak yang berhak menggunakan aset.
6.1.7. Pengiriman Aset
Setiap aset yang akan dikirim keluar kantor PT Metalogix infolink Persada wajib dibuat dokumen tanda terima berupa form terima barang dan disetujui Finance Director.
6.2. Klasifikasi Informasi
1. Setiap unit kerja mengidentifikasi informasi yang menjadi tanggung jawabnya, diluar dokumen yang telah dicontohkan di tabel klasifikasi informasi, dan mendokumentasikannya ke dalam daftar inventaris aset informasi.
2. Akses pihak ketiga seperti supplier, auditor atau pihak eksternal, karyawan di luar bagian pemilik informasi rahasia, dilarang masuk ke akses informasi, kecuali mendapat pesetujuan pimpinan PT Metalogix infolink Persada dengan syarat harus menandatangani Pernyataan Penjagaan Kerahasiaan (Non-Disclosure Agreement – NDA).
3. Informasi yang berasal dari pihak ketiga akan diklasifikasikan dan diberi perlindungan berdasarkan persyaratan dari pihak ketiga yang disetujui oleh pimpinan PT Metalogix infolink Persada. Bila tidak dipersyaratkan oleh pihak ketiga, maka diperlakukan sesuai persyaratan yang berlaku di PT Metalogix infolink Persada.
4. Informasi yang telah diidentifikasi wajib diklasifikasi berdasarkan Skema Klasifikasi Informasi di bawah dan menetapkan persyaratan pengamanan yang memadai sesuai tingkat klasifikasi informasi yang telah ditentukan. Skema Klasifikasi Informasi adalah sebagai berikut:
1. Rahasia (*Confidential*)
Aset informasi yang sangat peka dan berisiko tinggi yang pembocoran atau penyalahgunaan akses bisa mengganggu citra dan reputasi perusahaan. Contoh: Data karyawan, data hasil tes, data customer, penawaran harga (quotation), notulen rapat, program-program, rumus-rumus, laporan-laporan, dokumen tender/MoU/kontrak kerja, denah dan foto lokasi, dokumen/transaksi keuangan, akta perusahaan, perizinan perusahaan, peraturan perusahaan, alur proyek, dan aktifitas/kegiatan kerja (baik visual maupun verbal), dan informasi/data-data lain yang dinyatakan “rahasia”. Pengecualian dalam hal ini adalah apabila data atau informasi tersebut diperlukan untuk kepentingan Negara, pengadilan, tender, atau ada persetujuan dari President Director.
2. Internal Use
Informasi yang telah terdistribusi secara luas di lingkungan internal perusahaan yang penyebarannya secara internal tidak lagi memerlukan izin dari pemilik informasi dan risiko penyebarannya tidak menimbulkan kerugian signifikan. Contoh: SOP, panduan kerja, memo, publikasi internal, materi training.
3. Publik
Informasi yang secara sengaja disediakan perusahaan untuk dapat diketahui publik. Contoh: Brosur marketing, informasi website.
6.3. Pelabelan Informasi
1. Dokumen Cetak
Diberi label di header/footer atau diberi cap disetiap halamannya atau tertutup rapat, kecuali SOP yang digunakan secara internal.
2. Electronic Mail (e-Mail)
Attachment harus diberi password atau zip file dengan proteksi password.
3. Dokumen Elektronik (file word, pdf, dll)
Diberikan tanda pada folder.
4. Removable Media
Label dicantumkan dalam bentuk kode di media fisik dengan memakai gambar tempel/sticker atau ditulis dengan metode lainnya yang mudah dipahami tetapi tidak mudah rusak.
6.4. Penyimpanan Informasi
1. Rahasia (*Confidential*)
a. Dokumen Cetak
Disimpan di lokasi yang aman atau di lemari terkunci dan tidak diletakkan di tempat yang mudah diakses orang lain.
b. Dokumen Elektronik
● Disimpan di server, diberi password atau digunakan enkripsi (jika diperlukan) dan akses dibatasi.
● Disimpan di laptop tertentu dengan password atau digunakan enkripsi (jika diperlukan)
● Tidak disimpan di shared folder
● Di-back up secara berkala
2. Internal (*Internal Use Only)*
a. Dokumen cetak disimpan di lemari, di meja kerja atau tempat penyimpanan yang lain
b. Dokumen elektronik disimpan di laptop dengan otorisasi akses.
3. Publik
Penyimpanan dokumen cetak dan elektronik tidak diatur secara khusus.
6.5. Transfer Informasi
1. Rahasia
a. Dokumen Cetak
● Dimasukkan ke dalam amplop khusus, tidak mudah rusak dan mudah diketahui jika ada usaha untuk merusak amplop.
● Dikirim melalui kurir yang terpecaya dan telah diverifikasi keamanannya
● Dokumen harus diterima langsung oleh penerima disertai bukti serah terima dokumen.
b. Dokumen Elektronik
● File diberi password atau di-enkripsi dan password diberitahu via media lain
● File dikirim ke pihak ketiga yang telah menandatangani perjanjian kerahasiaan atau NDA.
● Pengirim harus disetujui oleh manager unit terkait.
2. Internal use
a. Dokumen cetak dikirim menggunakan bukti distribusi dokumen
b. Dokumen elekronik dikirim via email atau media penyimpanan (removable media seperti flashdisk)
6.6. Penghapusan Informasi
1. Rahasia (Confidential)
a. Dokumen cetak dihancurkan dengan penghancur kertas.
b. Dokumen elektronik dihapus, media yang digunakan untuk penyimpanan dirusak atau dihancurkan dengan cara yang tidak memungkinkan informasi atau media digunakan kembali.
2. Internal Use (Internal use only)
a. Dokumen cetak dihancurkan dengan penghancur kertas
b. Arsip elektronik dihapus dari media penyimpanan dengan cara penghapusan yang aman sehingga tidak bisa dibaca.
6.7. Manajemen Removable Media
Pengaturan penggunaan removeble media adalah sebagai berikut :
1. Hardisk eksternal dan flashdisc digunakan untuk menyimpan informasi rahasia untuk sementara waktu dan selanjutnya dipindahkan ke PC atau notebook yang telah di enkripsi.
2. Smartphone hanya yang terdaftar di PT Metalogix infolink Persada yang bisa digunakan untuk menerima dan menyimpan informasi dalam waktu sangat singkat dan harus segera dipindahkan PC atau notebook yang telah di enkripsi.
3. Pengguna harus memelihara keamanan removeable media yang digunakan untuk menyimpan informasi dengan cara:
a. Melindungi dari kerusakan dan kehilangan
b. Menyimpan dan removeable media dengan cara yang aman (tidak dibiarkan tergeletak di atas meja dan tempat terbuka tanpa terkunci)
c. Memastikan agar removeable media tidak mengandung virus
6.8. Perbaikan Komputer Oleh Supplier/Vendor
1. Perbaikan komputer harus dilakukan di luar lokasi yang menyimpan informasi dan di luar lokasi kegiatan yang menghasilkan informasi.
2. Tim IT harus memastikan bahwa komputer yang akan diperbaiki datanya telah dienskripsi dan harus terbebas dari informasi rahasia yang tersimpan sehingga tidak bisa diakses oleh pihak yang tidak berkepentingan.
3. Back up removeable media harus dilakukan untuk mengantisipasi retensi masa pakai removeable media
6.9. Pemusnahan Media (Berita Acara)
1. Tim IT harus memastikan bahwa informasi harus sudah dipindahkan ke PC atau Laptop serta memastikan sudah tidak ada lagi informasi yang tersimpan di removeable media sebelum dimusnahkan.
2. Tim IT mencatat identitas removeable media yang dimusnahkan atau dihancurkan dalam logbook.
3. Tim IT harus memastikan bahwa removeable media harus sudah dihancurkan dengan sempurna untuk mencegah penyalahgunaan.
6.10. Penyalinan Informasi Melalui Removeable Media
1. Peminta (internal/eksternal) informasi harus meminta secara tertulis kepada PT Metalogix infolink Persada melalui Management Representative.
2. Management Representative mempelajari dan mengklasifikasikan informasi sebelum memberi persetujuan
3. Management Representative menetapkan media removeable yang digunakan untuk penyalinan informasi.
4. Management Representative harus menyalin informasi menggunakan format file “pdf” dan diberi password khusus yang hanya bisa dibaca saja untuk menjamin agar informasi tidak bisa diubah
5. Memastikan tersedianya antivirus terbaru yang siap untuk digunakan
6. Pemindahan storage dari/ke removeable media ke/dari PC atau notebook.
7. Management Representative memastikan informasi dan identitas removeable media penyimpan informasi yang akan dipindahkan ke/dari PC atau notebook dalam logbook.
8. Management Representative meng-update aset di PC atau notebook
9. Memberi perlindungan fisik selama perjalanan agar removeable media bebas dari kerusakan dan kehilangan.
7. Dokumen Pendukung
| No. | Nama Dokumen | Tempat Simpan |
|---|---|---|
| 1 | Daftar Aset | Departemen GA |