1. Tujuan

Prosedur ini untuk mengatur perlindungan yang diperlukan atas akses dan aset informasi penting layanan cloud yang digunakan PT Metalogix infolink Persada.

2. Ruang lingkup

Ruang lingkup prosedur ini meliputi proses akuisisi dan registrasi, penggunaan, pengelolaan data dan keluar dari layanan cloud computing PT Metalogix infolink Persada.

3. Tanggung jawab

3.1. Divisi Infrastruktur bertanggungjawab atas tata kelola penggunaan layanan cloud computing PT Metalogix infolink Persada.

4. Definisi

4.1. Cloud computing adalah sebuah sistem informasi yang memungkinkan kemudahan akses kepada komponen sumber daya seperti server, aplikasi, dan database melalui jaringan internet.

5. Referensi

5.1. ISO/IEC 27001:2022, A.5.21. Mengelola keamanan informasi Rantai Pasokan IT

5.2. ISO/IEC 27001:2022, A.5.22. Monitor, Review, dan Mengelola Perubahan Layanan Pemasok.

5.3. ISO/IEC 27001:2022, A.5.23. Keamanan Informasi untuk Penggunaan Layanan Cloud.

6. Prosedur

6.1. Akuisisi Layanan Cloud Computing

6.1.1. PT Metalogix infolink Persada harus memastikan dalam proses akuisisi layanan cloud computing yang digunakan harus memenuhi aspek berikut:

a. Keamanan data perusahaan termasuk kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) (CIA).

b. Kepatuhan terhadap hukum yang berlaku.

c. Infrastruktur dan arsitektur yang diberikan kepada perusahaan.

d. Kemudahan dalam pengelolaan cloud.

e. Tingkat layanan (SLA) yang ditawarkan oleh cloud service provider.

f. Support layanan terhadap perusahaan termasuk manajemen insiden keamanan informasi layanan cloud.

g. Biaya yang ditawarkan oleh cloud service provider.

h. Persyaratan internal perusahaan dan peraturan perundang-undangan yang berlaku.

i. Perjanjian dengan cloud service provider.

6.2. Penggunaan Layanan Cloud Computing

6.2.1. PT Metalogix infolink Persada harus memastikan dalam penggunaan cloud computing harus memperhatikan beberapa aspek:

a. Wajib selalu terkoneksi pada internet.

b. Monitoring kapasitas penyimpanan cloud yang digunakan, mengambil tindakan apabila ruang penyimpanan sudah mencapai threshold (batas wajar penggunaan ruang penyimpanan).

c. Data yang disimpan pada cloud computing memiliki backup (DRC).

d. Data dan informasi rahasia yang disimpan pada cloud computing harus menggunakan enkripsi dan hanya dapat diakses oleh pihak berwenang.

e. Meningkatkan keamanan data dengan menggunakan user authentication, enkripsi data atau SSL.

f. Menentukan peran dan tanggung jawab terpisah untuk penggunaan dan manajemen layanan cloud.

g. Apabila terjadi insiden keamanan informasi yang berkaitan dengan layanan cloud, maka pihak berwenang dapat melaporkan dan berkoordinasi dengan cloud service provider.

h. Memonitor, mereview, dan mengevaluasi penggunaan layanan cloud secara berkala untuk menghindari akses yang tidak berwenang.

i. Me-review perjanjian dengan cloud service provider.

6.3. Keluar Layanan Cloud Computing

6.3.1. PT Metalogix infolink Persada harus memastikan sebelum mengakhiri layanan cloud computing harus memperhatikan beberapa aspek:

  1. Mengubah atau menghentikan penggunaan layanan cloud apabila layanan yang diterima sudah tidak relevan dengan proses bisnis perusahaan.
  2. Data yang disimpan pada cloud secara keseluruhan harus dihapus, termasuk data backup yang ada.
  3. Menghapus seluruh akses cloud yang terhubung ke sistem internal perusahaan.