SOP Klasifikasi dan Penanganan Informasi
1. Tujuan
Prosedur ini bertujuan untuk:
1.1. Menetapkan identifikasi, klasifikasi, dan pemilik informasi dan asset pengolah informasi.
1.2. Menetapkan cara penanganan yang meliputi pelabelan, penyimpanan, pengiriman, pengamanan informasi agar sesuai dengan kebijakan keamanan informasi perusahaan.
2. Ruang lingkup
Ruang lingkup prosedur ini mencakup klasifikasi dan penanganan informasi. Informasi yang dicakup dalam prosedur ini meliputi:
2.1 Informasi tercetak seperti informasi tertulis dalam bentuk kertas, meskipun mula-mula dihasilkan dari sebuah komputer. Risiko dalam bentuk kertas antara lain hilang, rusak (tidak bisa dibaca), tercecer dan dibaca oleh orang yang tidak berkepentingan.
2.2 Informasi elektronik. Informasi jenis ini dalam bentuk elektronik seperti informasi yang tersimpan dalam pc/laptop, hard disk, flash disc.
3. Tanggung jawab
Management representative bertanggung jawab dalam penerapan prosedur ini.
4. Definisi
4.1. Klasifikasi Informasi sesuai dengan tingkat kerahasiaan, nilai, tingkat kritikalitas serta aspek hukum.
4.2. Pemilik informasi adalah setiap unit kerja yang menghasilkan informasi dan bertanggung jawab terhadap informasi tersebut.
5. Referensi
5.1 ISO/IEC 27001:2022 A.5.12 Klasifikasi informasi.
5.2 ISO/IEC 27001:2022 A.7.10 Penyimpanan media
6. Prosedur
6.1. Identifikasi dan klasifikasi informasi
6.1.1. Setiap unit kerja mengidentifikasi informasi yang menjadi tanggung jawabnya, diluar dokumen yang telah dicontohkan di tabel klasifikasi informasi, dan mendokumentasikannya ke dalam daftar inventaris aset informasi.
6.1.2. Informasi yang telah diidentifikasi wajib diklasifikasikan sesuai tingkat kerahasiaan, nilai, tingkat kritikalitas serta aspek hukum.
6.1.3. Ketentuan rinci klasifikasi informasi diuraikan berdasarkan tabel Skema Klasifikasi Informasi di bawah dan menetapkan persyaratan pengamanan yang memadai sesuai tingkat klasifikasi informasi yang telah ditentukan.
6.1.4. Pemberian label klasfikasi informasi harus dilakukan secara konsisten terhadap seluruh informasi.
6.1.5. Dalam pengelolaan informasi PT Metalogix infolink Persada, informasi diklasifikasikan seperti pada Tabel Skema Klasifikasi Informasi berikut:
SKEMA KLASIFIKASI INFORMASI
| KLASIFIKASI | KETERANGAN |
|---|---|
| RAHASIA (CONFIDENTIAL) | Aset informasi yang sangat peka dan berisiko tinggi yang pembocoran atau penyalahgunaan akses bisa mengganggu citra dan reputasi perusahaan serta dampaknya termasuk pelanggaran hukum, kontrak, Contoh: Data karyawan, data hasil tes, data customer, penawaran harga (quotation), notulen rapat, program-program, rumus-rumus, laporan-laporan, dokumen tender/MoU/kontrak kerja, denah dan foto lokasi, dokumen/transaksi keuangan, akta perusahaan, perizinan perusahaan, peraturan perusahaan, alur proyek, dan aktifitas/kegiatan kerja (baik visual maupun verbal), dan informasi/data-data lain yang dinyatakan “rahasia”. Pengecualian dalam hal ini adalah apabila data atau informasi tersebut diperlukan untuk kepentingan Negara, pengadilan, tender, atau ada persetujuan dari Direktur. |
| INTERNAL (INTERNAL USE ONLY) | Informasi yang telah terdistribusi secara luas di lingkungan internal perusahaan yang penyebarannya secara internal tidak lagi memerlukan izin dari pemilik informasi dan risiko penyebarannya tidak menimbulkan kerugian signifikan. Contoh: SOP, panduan kerja, memo, publikasi internal, materi training. |
| PUBLIK | Informasi yang secara sengaja disediakan perusahaan untuk diketahui publik. Contoh: Brosur marketing, informasi website |
6.2. Tata Cara Pelabelan Informasi
| Jenis | KETERANGAN |
|---|---|
| Dokumen cetak | Diberi label di header/footer atau diberi cap disetiap halamannya atau tertutup rapat, kecuali SOP yang digunakan secara internal. |
| Electronic mail (e-mail) | Attachment harus diberi password atau zip file dengan proteksi password. |
| Dokumen elektronik (file word, pdf, dll) | Diberikan tanda pada folder. |
| Tape, CD, DVD removable harddisk, | Label dicantumkan dalam bentuk kode di media fisik dengan memakai gambar tempel/sticker atau ditulis dengan metode lainnya yang mudah dipahami tetapi tidak mudah rusak. |
6.3. Tata Cara Penyimpanan
| KLASIFIKASI | Metode Penyimpanan | |
|---|---|---|
| Dokumen cetak | Arsip elektronik | |
| RAHASIA (CONFIDENTIAL) | · Disimpan di lokasi yang aman atau di lemari terkunci · Tidak diletakkan di tempat yang mudah diakses orang lain |
· Disimpan di server, diberi password atau digunakan enkripsi (jika diperlukan) dan akses dibatasi. · Disimpan di laptop tertentu dengan password atau digunakan enkripsi (jika diperlukan) · Tidak disimpan di shared folder · Di-back up secara berkala |
| INTERNAL (*INTERNAL USE ONLY*) | · Disimpan di lemari, di meja kerja atau tempat penyimpanan yang lain | · Disimpan di laptop dengan otorisasi akses |
| PUBLIK | · Tidak diatur secara khusus | · Tidak diatur secara khusus |
6.4. Tata Cara Pengiriman
| KLASIFIKASI | Metode Pengiriman Dokumen Cetak | Metode Pengiriman Arsip Elektronik |
|---|---|---|
| RAHASIA (CONFIDENTIAL) | · Dimasukkan ke dalam amplop khusus, tidak mudah rusak dan mudah diketahui jika ada usaha untuk merusak amplop. · Dikirim melalui kurir yang terpecaya dan telah diverifikasi keamanannya · Dokumen harus diterima langsung oleh penerima disertai bukti sertah terima dokumen |
· File diberi password atau di-enkripsi dan password diberitahu via media lain · File dikirim ke pihak ketiga yang telah menandatangani perjanjian kerahasiaan atau NDA · Pengirim harus disetujui oleh manager unit terkait |
| INTERNAL (INTERNAL USE ONLY) | Bukti distribusi dokumen | Dikirim via email atau media penyimpanan (flash disc) |
| PUBLIK | Tidak diatur secara khusus | Tidak diatur secara khusus |
6.5. Tata Cara Penghancuran
| KLASIFIKASI | Metode Penghancuran Dokumen Cetak | Metode Penghancuran Arsip Elektronik |
|---|---|---|
| RAHASIA (CONFIDENTIAL) | Dihancurkan dengan penghancur kertas | Dirusak atau dihancurkan dengan cara yang tidak memungkinkan media digunakan |
| INTERNAL (INTERNAL USE ONLY) | Dihancurkan dengan penghancur kertas | Dihapus dari media penyimpanan dengan cara penghapusan yang aman sehingga tidak bisa dibaca. |
6.6. Perlindungan dan Pengamanan
Pemilik informasi bertanggungjawab mengidentifikasi informasi yang dikelola, melakukan klasifikasi dan melindungi informasi dengan control pengaman yang memadai sesuai tingkat klasifikasinya.
6.7. Akses Pihak Ketiga
Akses pihak ketiga seperti supplier, auditor atau pihak eksternal, karyawan di luar bagian pemilik informasi rahasia, dilarang mengakses informasi, kecuali mendapat pesetujuan pimpinan PT Metalogix infolink Persada dengan syarat harus menandatangani Pernyataan Penjagaan Kerahasiaan (Non-Disclosure Agreement – NDA)
6.8. Informasi Dari Pihak Ketiga
Informasi yang berasal dari pihak ketiga akan diklasifikasikan dan diberi perlindungan berdasarkan persyaratan dari pihak ketiga yang disetujui oleh pimpinan PT Metalogix infolink Persada. Bila tidak dipersyaratkan oleh pihak ketiga, maka diperlakukan sesuai persyaratan yang berlaku di PT Metalogix infolink Persada.