Pedoman Kontrol Keamanan Informasi

Pedoman Kontrol Keamanan Informasi

KSP Credit Union Khatulistiwa Bakti

Daftar Isi

  • 1. Pendahuluan
  • 1.1 Latar Belakang
  • 1.2 Tujuan
  • 2. Ruang Lingkup Dokumen
  • 3. Referensi
  • 4. Definisi
  • 5. Kebijakan
  • 5.1 Keamanan Informasi
  • 5.2 Pengorganisasian Keamanan Informasi
  • 5.3 Keamanan Personil
  • 5.4 Keamanan Fisik dan Lingkungan
  • 5.5 Penanganan Informasi
  • 5.6 Penggunaan Aset PC dan Notebook
  • 5.7 Penggunaan Removable Media
  • 5.8 Pengelolaan Pihak Ketiga
  • 5.9 Penggunaan Email dan Internet
  • 5.10 Pengendalian Akses
  • 5.11 Pengelolaan Otentikasi Aset Sistem dan Infrastruktur
  • 5.12 Penggunaan dan Pengelolaan Kunci Kriptografi
  • 5.13 Pengembangan dan Pemeliharaan Infrastruktur pada Layanan Awan
  • 5.14 Pemeliharaan dan Operasional Sistem Informasi
  • 5.15 Pengembangan dan Pemeliharaan Sistem Informasi
  • 5.16 Manajemen Insiden
  • 5.17 Kontinjensi dan Pemulihan Bencana
  • 5.18 Kepatuhan
  • 6. Pengkajian Dokumen

1. PENDAHULUAN

1.1 Latar Belakang

Keamanan informasi menjadi hal yang sangat penting bagi KSP Credit Union Khatulistiwa Bakti dalam rangka memberikan layanan pengelolaan data kepada anggota. Informasi yang dikomunikasikan melalui sistem harus dilindungi keamanannya sehingga secara tidak langsung dapat menjamin keberlangsungan bisnis dari risiko yang mungkin terjadi. Semakin banyak informasi yang disimpan dan dikelola, maka semakin besar pula risiko terjadinya kerusakan, kehilangan atau terungkapnya informasi ke pihak luar yang tidak diinginkan.

Seluruh informasi data yang digunakan melalui layanan sistem harus dilindungi dari penyalahgunaan, modifikasi, pencurian, atau perusakan, baik oleh pihak internal maupun pihak eksternal. Proses perlindungan terhadap informasi tersebut harus dikelola dengan baik sehingga informasi yang dihasilkan dapat terjaga kerahasiaannya (confidentiality), keakuratannya (integrity), dan ketersediaannya (availability) secara efektif.

1.2 Tujuan

Kontrol keamanan informasi yang diterapkan di KSP Credit Union Khatulistiwa Bakti bertujuan untuk:

  • Menjamin kesinambungan layanan yang diberikan dengan cara menghindari atau setidaknya meminimalkan risiko bencana dan menghindari terjadinya pelanggaran kaidah pengamanan data serta mengurangi berbagai dampak kerugian yang potensial.
  • Memenuhi persyaratan regulasi yang ditetapkan agar sesuai dengan peraturan regulasi khususnya di bidang layanan pengembangan aplikasi berbasis teknologi informasi termasuk regulasi dari sektor finansial dan perbankan.
  • Sebagai persyaratan kelengkapan Sistem dan Tata Kerja Tata Kelola Layanan berbasis sistem aplikasi.

2. RUANG LINGKUP DOKUMEN

Ruang Lingkup Kebijakan Keamanan Informasi adalah mencakup pengelolaan data berbasiskan teknologi informasi yang tercangkup dalam proses implementasi SMKI yang dijalankan di KSP Credit Union Khatulistiwa Bakti.

3. REFERENSI

  • SNI ISO/IEC 27001:2022;

4. DEFINISI

  • Informasi : Satu atau lebih entitas data yang saling berhubungan dan mempunyai makna tertentu.
  • Aset TI : Sumber daya TI (aplikasi, data/informasi, infrastruktur dan sumber daya manusia) yang mempunyai nilai dukung/manfaat bagi keberhasilan penyelenggaraan proses TI.
  • NDA : Suatu dokumen yang berisi pernyataan untuk berkewajiban menjaga kerahasiaan informasi.
  • Security Screening : Suatu proses untuk memperhatikan keamanan bagi personil pada saat menjadi pegawai dengan cara melakukan pemeriksaan data diri dan pada saat keluar dari lingkungan organisasi dengan cara memeriksa aset yang dikembalikan.
  • Security Awareness : Suatu bentuk kesadaran dan sikap peduli pada aspek pengamanan.
  • Removable Media : Suatu media yang bersifat mobile yang dapat menyimpan informasi.
  • Pihak Ketiga : Personil di luar pegawai organisasi dan organisasi yang mempunyai kerja sama pekerjaan.
  • Pengamanan Informasi (Information Security) : Suatu upaya yang dilakukan untuk mengamankan informasi, agar terhindar dari berbagai ancaman maupun kejadian yang dapat mengganggu pencapaian tujuan, yaitu ketersediaan, integritas dan kerahasiaan informasi.
  • Akun Pegawai (User Account) : Kode yang digunakan di samping username (nama pengguna) dalam melakukan authentication layanan dan otorisasi mengakses sistem komputer (termasuk jaringan). Akun pegawai identik dengan user identity (user-id) dan digunakan untuk berbagai jenis kepentingan operasional komputer, seperti akuntansi, pengamanan, logging (pencatatan aktivitas pada sistem komputer) dan manajemen sumber daya TI.
  • Source Code : Suatu bahasa program pada sistem aplikasi untuk mengoperasionalkan fungsi aplikasi tersebut.
  • Insiden : Kejadian yang dapat menyebabkan gangguan keamanan informasi.
  • Kepatuhan (Compliance) : Suatu kondisi yang disikapi agar memenuhi persyaratan peraturan dan undang-undang yang berlaku maupun perjanjian atas kepemilikan suatu perangkat TI, sehingga bebas dari tuntutan hukum.
  • Kontinjensi (Contingency) : Suatu sikap dan tindakan siaga yang dilakukan untuk menghadapi suatu keadaan darurat (tidak normal) yang mungkin timbul akibat dari suatu kejadian yang tidak diharapkan (seperti bencana), yang dapat mengancam fungsi dan proses layanan sebagai sub sistem dari proses bisnis.

5. KEBIJAKAN

5.1 Keamanan Informasi

  1. Keamanan informasi bertujuan untuk melindungi aset KSP Credit Union Khatulistiwa Bakti yang berbentuk informasi dan data agar terhindar dari berbagai ancaman internal maupun eksternal, baik yang disengaja maupun tidak disengaja, sehingga dengan demikian dapat memberikan jaminan tentang ketersediaan, integritas dan kerahasiaan informasi dalam menunjang kontinuitas bisnis KSP Credit Union Khatulistiwa Bakti.
  2. Keamanan informasi meliputi keamanan data, perangkat keras dan perangkat lunak, seluruh aktivitas serta proses yang terkait dengan penyediaan informasi.
  3. Koordinasi keamanan informasi dilakukan melalui Rapat Manajemen untuk:
    • Mengevaluasi data penanganan insiden dan kelemahan pengamanan informasi.
    • Menilai kecukupan tingkat kesesuaian proses sistem manajemen.

5.2 Pengorganisasian Keamanan Informasi

  1. Manajemen KSP Credit Union Khatulistiwa Bakti bertindak sebagai penanggung jawab utama sistem manajemen keamanan informasi, yang bertugas untuk melakukan pengarahan, koordinasi, dan membuat keputusan tentang keamanan informasi.
  2. Manajemen KSP Credit Union Khatulistiwa Bakti bertanggung jawab untuk membangun komunikasi dan kerja sama dengan organisasi lain di KSP Credit Union Khatulistiwa Bakti untuk hal yang terkait dengan masalah keamanan informasi.
  3. Setiap kejadian pelanggaran keamanan informasi maupun berbagai ancaman yang berpotensi melanggar keamanan TI harus dilaporkan untuk ditindaklanjuti.

5.3 Keamanan Personil

  1. Peran dan tanggung jawab setiap personil terhadap perangkat teknologi informasi (perangkat keras dan perangkat lunak) harus diatur dan ditentukan dengan jelas. Hal ini termasuk pengaturan para pengguna (users).
  2. Pada saat melakukan penerimaan pegawai baru, pemindahan dan pemutusan hubungan kerja, harus dilakukan “security screening”.
  3. Prosedur untuk menjamin pengamanan informasi pada pegawai mencakup:
    • Kewajiban bagi setiap pegawai untuk menandatangani perjanjian menjaga kerahasiaan informasi (non-disclosure agreement/NDA).
    • Proses pengenalan mengenai keamanan informasi diberikan kepada seluruh pegawai pada waktu yang disediakan khusus untuk itu, atau minimal saat pegawai masuk ke KSP Credit Union Khatulistiwa Bakti.
  4. Aset informasi dan aset perangkat keras harus dilindungi dan diterapkan pada saat terjadi pengubahan status kepegawaian.
  5. Penyesuaian hak akses berkaitan dengan terjadinya pengubahan status kepegawaian dilakukan dengan mencakup pencabutan hak akses yang berkaitan dengan peran dan tugas yang lama.
  6. Pemisahan tugas dan tanggung jawab untuk menghindari konflik kepentingan harus diterapkan di KSP Credit Union Khatulistiwa Bakti.

5.4 Keamanan Fisik dan Lingkungan

  1. Area yang aman harus dikontrol untuk mencegah akses ilegal yang berhubungan langsung ke aset informasi yang dapat menyebabkan kerusakan.
  2. Pengendalian keamanan fisik dan lingkungan diimplementasikan yang mencakup:
    1. Penetapan garis batas ruangan (security perimeter).
    2. Pemberian izin, pembatasan ataupun pelarangan akses ke lokasi fisik.
  3. Setiap pegawai/personil yang berkunjung ke KSP Credit Union Khatulistiwa Bakti merupakan tamu. Pengunjung wilayah terbatas harus diawasi dan didampingi oleh pihak yang berwenang.
  4. Setiap pegawai KSP Credit Union Khatulistiwa Bakti harus memiliki izin untuk memasuki wilayah terbatas penyimpanan aset informasi.
  5. Perlindungan fisik terhadap ancaman kebakaran, gempa bumi, ledakan, demonstrasi, dan ancaman fisik lainnya perlu diterapkan untuk mencegah terjadinya kerusakan dan meminimalkan risiko yang dapat terjadi.

5.5 Penanganan Informasi

  1. Seluruh informasi milik KSP Credit Union Khatulistiwa Bakti harus diklasifikasi dan diberikan penanganan secara memadai, sesuai dengan panduan yang diberikan pada dokumen ini.
  2. Tanggung jawab untuk pengklasifikasian informasi berada pada pemilik informasi.
  3. Skema klasifikasi informasi yang digunakan di KSP Credit Union Khatulistiwa Bakti adalah sebagai berikut:
Rahasia Internal Umum
Informasi yang hanya diketahui oleh pegawai atau divisi yang telah diberikan otoritas oleh pimpinan organisasi. Informasi yang hanya diketahui oleh pegawai atau divisi yang ada pada internal organisasi atau terbatas hanya pada divisi tertentu. Informasi yang bersifat umum sehingga pihak lain di luar organisasi dapat melihat dan mengetahuinya.
  1. Klasifikasi dari informasi harus dinyatakan secara jelas dalam daftar aset informasi.
  2. Perjanjian antara KSP Credit Union Khatulistiwa Bakti dan pihak eksternal perlu mengatur mengenai aspek pengamanan dalam transfer informasi sensitif KSP Credit Union Khatulistiwa Bakti ke pihak eksternal tersebut.
  3. Prasyarat untuk perjanjian kerahasiaan yang mencerminkan kebutuhan organisasi untuk pengamanan informasi organisasi harus diidentifikasi, secara berkala ditinjau, dan didokumentasikan. Prasyarat tersebut harus mempertimbangkan hal-hal sebagai berikut:
    1. Tipe klasifikasi informasi yang perlu dilindungi, misalnya informasi rahasia.
    2. Jangka waktu perjanjian.
    3. Tanggung jawab dari penandatangan untuk mencegah kebocoran informasi.
    4. Penggunaan informasi yang diperbolehkan.

5.6 Penggunaan Aset PC dan Notebook

  1. Penggunaan perangkat TI hanya untuk kepentingan pekerjaan dan merupakan perangkat yang diotorisasi untuk digunakan di lingkungan KSP Credit Union Khatulistiwa Bakti.
  2. Manajemen KSP Credit Union Khatulistiwa Bakti menetapkan proses otorisasi manajemen terhadap aset pemrosesan informasi dan memastikan setiap perangkat dan sistem yang digunakan telah sesuai terhadap standar perangkat organisasi dan diotorisasikan penggunaannya.
  3. Perangkat pengolahan informasi perlu ditempatkan secara aman, untuk mengurangi akses tanpa ijin dan adanya orang yang tidak berkepentingan yang dapat melihat informasi yang ditampilkan.
  4. Setiap perangkat pemrosesan informasi seperti PC, Notebook, harus menggunakan perangkat pengamanan seperti antivirus untuk mencegah bahaya Malicious Code.
  5. Pegawai harus memastikan perangkat PC / Notebook terhindar dari ancaman virus dengan melakukan update antivirus dan melakukan full scan secara berkala.
  6. Pegawai harus memastikan perangkat PC / Notebook yang sedang tidak digunakan dalam jangka waktu lama telah terlindungi dengan baik dengan melakukan screensaver lock / lock computer (Windows+L). Sedapat mungkin melakukan log-off pada komputer setelah sesi selesai digunakan. Apabila pegawai hendak pulang kerja maka pegawai wajib mematikan perangkat PC untuk menghindari kerusakan yang dapat terjadi.
  7. Seluruh Aset TI yang akan dihapuskan (disposal) atau digunakan kembali oleh pegawai lain harus diperiksa dan dipastikan bahwa tidak ada data sensitif yang tersimpan dalam perangkat.
  8. Pegawai dilarang menjalankan dan atau meng-install perangkat lunak ilegal, dan / atau Unwanted Program.
  9. Teleworking sangat dibatasi hanya untuk pegawai atau pihak ketiga yang diberi izin berdasarkan kebutuhan bisnis dan operasional.
  10. Kegiatan teleworking hanya akan diizinkan apabila mendapat persetujuan dari pihak manajemen yang berwenang, yang mencakup unit yang membidangi keamanan informasi di KSP Credit Union Khatulistiwa Bakti.

Kebijakan Penggunaan Aset Pribadi (BYOD)

  1. Perusahaan KSP Credit Union Khatulistiwa Bakti memberikan hak istimewa kepada karyawannya untuk membeli dan menggunakan smartphone, tablet , dan PC/Notebook pilihan mereka di tempat kerja demi kenyamanan mereka. Perusahaan KSP Credit Union Khatulistiwa Bakti berhak untuk mencabut hak istimewa ini jika pengguna tidak mematuhi kebijakan yang diuraikan di bawah ini.
  2. Kebijakan ini dimaksudkan untuk melindungi keamanan dan integritas data serta teknologi infrastruktur pada KSP Credit Union Khatulistiwa Bakti.
  3. Karyawan KSP Credit Union Khatulistiwa Bakti harus menyetujui syarat dan ketentuan yang ditetapkan dalam kebijakan ini agar dapat menghubungkan perangkatnya ke jaringan perusahaan.
  4. Untuk mencegah akses yang tidak sah, perangkat harus dilindungi kata sandi menggunakan fitur perangkat dan kata sandi yang kuat diperlukan untuk mengakses jaringan perusahaan.
  5. Ketentuan penggunaan kata sandi (password) yang harus diterapkan pada perangkat PC/Notebook pribadi sebagai berikut:
    • Panjang minimal karakter password yang digunakan adalah 8 karakter.
    • Tidak berdasar pada sesuatu yang mudah ditebak atau menggunakan Informasi terkait dengan Pengguna, misalnya: nama, nomor telepon, tanggal lahir.
    • Menggunakan kombinasi huruf dan angka, sedapat mungkin menggunakan spesial karakter (seperti: !$%#*)
    • Pengguna diimbau mengubah password secara berkala dengan maksimal jangka waktu penggunaan password selama 3 bulan.
  6. Pegawai harus memastikan perangkat PC / Notebook yang sedang tidak digunakan dalam jangka waktu lama telah terlindungi dengan baik dengan melakukan screensaver lock / lock computer (Windows+L).
  7. Pegawai harus menggunakan perangkat lunak (software) sesuai daftar software yang diizinkan oleh perusahaan.
  8. Perangkat pribadi wajib menggunakan antivirus yang berlisensi, melakukan pembaharuan (update) dan scan virus secara berkala.
  9. Penggunaan smartphone dan atau tablet (iPhone, Android, dan Windows Phone) diperbolehkan.
  10. Jika terjadi masalah konektivitas dukungan dilakukan oleh Administrator.
  11. Perangkat pribadi harus dilaporkan kepada Administrator untuk penyediaan pekerjaan yang tepat dan konfigurasi aplikasi standar.
  12. Akses pegawai ke data perusahaan menggunakan perangkat pribadi dibatasi berdasarkan profil pengguna yang ditentukan oleh Administrator.
  13. Akun yang berkaitan dengan pekerjaan yang tersimpan pada perangkat pribadi yang digunakan pegawai dapat dihapus dari perangkat ataupun dari sistem apabila:
    1. Perangkat hilang.
    2. Karyawan menghentikan pekerjaannya.
    3. Administrator mendeteksi pelanggaran data atau kebijakan.
  14. Perangkat pribadi yang hilang atau dicuri harus dilaporkan ke perusahaan dalam waktu 24 jam.
  15. Pegawai diharapkan untuk menggunakan perangkatnya dengan cara yang etis setiap saat dan mematuhi kebijakan penggunaan yang dapat diterima perusahaan seperti yang diuraikan di atas.

5.7 Penggunaan Removable Media

  1. Penggunaan peralatan pemrosesan dan penyimpanan informasi elektronis seperti flash disk, hardisk eksternal, dan lain – lain harus memperhatikan aspek pengamanan informasi.
  2. Data yang tersimpan dalam removable media yang tidak akan digunakan kembali harus dihapus secara permanen dan dipastikan tidak dapat dimunculkan kembali.
  3. File yang tersimpan dalam removable media pada saat dinas sebaiknya segera disalin dalam PC pada saat pegawai berada di kantor.
  4. Pegawai harus selalu melakukan scanning virus terhadap removable media (flash disk, external hard disk) untuk mencegah adanya kerusakan informasi akibat ancaman virus.
  5. Pemindahan removable media berisi informasi keluar lingkungan KSP Credit Union Khatulistiwa Bakti menjadi tanggung jawab dari pegawai untuk melindungi informasi sesuai dengan klasifikasi Informasi yang terkandung di dalamnya.
  6. Removable Media yang dapat digunakan sebagai media backup adalah external harddisk dan tempat penyimpanan media tersebut harus secara aman dan terlindungi.
  7. Removable media yang sudah rusak atau tidak digunakan lagi harus dimusnahkan secara fisik sehingga informasi yang mungkin masih ada didalamnya tidak dapat diambil kembali.

5.8 Pengelolaan Pihak Ketiga

  1. KSP Credit Union Khatulistiwa Bakti yang mengadakan kerjasama dengan pihak ketiga harus diberikan pemahaman mengenai kebijakan keamanan informasi yang berlaku terhadap aset atau akses ke sistem.
  2. Perjanjian dengan pihak ketiga harus memuat kebutuhan-kebutuhan pengamanan informasi yang relevan, antara lain:
    • Menjamin pengembalian atau penghancuran informasi dan atau aset informasi setelah berakhirnya perjanjian atau setelah masa yang ditentukan dalam perjanjian.
    • Pembatasan atau larangan untuk menyalin atau mengungkapkan informasi melalui perjanjian kerahasiaan.
    • Pernyataan bahwa akses yang diberikan hanyalah akses yang diizinkan untuk dilakukan oleh pihak ketiga.
    • Target tingkat layanan termasuk tingkat pelayanan minimum dari pihak ketiga termasuk metode pengawasan dan pelaporannya.
  3. Setiap personil pihak ketiga harus menyetujui dan menandatangani pernyataan menjaga kerahasiaan informasi yang dituangkan dalam dokumen pernyataan kerahasiaan informasi selama personil bekerja.
  4. Manajemen KSP Credit Union Khatulistiwa Bakti harus memantau pekerjaan yang dilakukan oleh pihak ketiga untuk memastikan keamanan informasi.

5.9 Penggunaan Email dan Internet

  1. Fasilitas Email dan internet diprioritaskan untuk mendukung pelaksanaan tugas dengan memperhatikan keterkaitan dengan pelaksanaan tugas pegawai dan Pengamanan Informasi.
  2. Akses Internet dari dalam lingkungan KSP Credit Union Khatulistiwa Bakti dilindungi oleh sistem web filtering pada Firewall yang terpasang untuk mencegah akses internet ke situs yang tidak diinginkan.
  3. Setiap pegawai KSP Credit Union Khatulistiwa Bakti yang menggunakan e-mail:
    • Tidak boleh membocorkan Informasi Rahasia milik KSP Credit Union Khatulistiwa Bakti dan melakukan perbuatan melanggar hukum, terindikasi SARA, provokasi, kepentingan politik, pornografi, pencemaran nama baik dan atau pelecehan seksual.
    • Memastikan bahwa file yang di-download dari internet dan e-mail telah diperiksa dan dibersihkan dari Malicious Code (virus, worm, trojan, spyware, dan lain-lain) sebelum digunakan.
    • Memperhatikan efisiensi penggunaan bandwidth layanan internet, misalnya tidak men-download file berukuran besar atau streaming (radio, movie, dan lain-lain).
    • Tidak mengakses situs-situs internet dan menggunakan fitur/layanan di internet dan e-mail yang dilarang.
    • Berhati-hati dalam memberikan Informasi pribadi seperti password, nomor rekening/kartu kredit, PIN, e-mail address, tanggal lahir, dan lain sebagainya.
    • Berhati-hati dalam memberikan informasi pribadi melalui fasilitas email.
    • Melaksanakan pengamanan terhadap Informasi Rahasia yang dikirimkan melalui email dengan metode pengamanan yang memadai.
    • Mewaspadai adanya berbagai risiko dalam penggunaan e-mail seperti spoofing, spamming, atau phishing.

5.10 Pengendalian Akses

  1. Pengendalian hak akses didasarkan pada hal-hal sebagai berikut:
    • Kebutuhan pengamanan pada wilayah dan Sistem Informasi.
    • Mekanisme untuk kegiatan pengajuan hak akses, otorisasi hak akses, pengadministrasian hak akses, pemantauan hak akses secara periodik dan pencabutan hak akses.
  2. Para pengguna harus mengerti tanggung jawab dan konsekuensi dari kewenangan akses secara terkendali.
  3. Semua proses yang berhubungan dengan user account harus ditentukan dalam manajemen user account.
  4. Manajemen KSP Credit Union Khatulistiwa Bakti harus memastikan adanya proses formal dalam mengevaluasi hak akses pengguna sistem informasi secara berkala untuk memelihara pengendalian akses terhadap informasi.

5.11 Pengelolaan Otentikasi Aset Sistem dan Infrastruktur

  1. Pengelolaan Otentikasi yang meliputi : aturan penyusunan password, penyimpanan, masa berlaku, perlindungan, pemulihan akibat lupa dan reset password, serta mekanisme otentikasi tambahan (MFA),termasuk dalam tugas dan tanggungjawab fungsi pengelola sistem.
  2. Pengguna harus menjaga kerahasiaan password dan harus menghindari menyimpan catatan password, kecuali telah disimpan secara aman.
  3. Untuk melindungi kerahasiaan password, maka tampilan karakter password disembunyikan.
  4. Password yang pertama kali diberikan kepada pengguna hanya berlaku untuk masa aktivasi, yang harus diganti oleh pengguna pada kesempatan akses pertama.
  5. Pengguna harus mengelola password yang berkualitas, dengan kriteria sebagai berikut:
    • Panjang minimal karakter password yang digunakan adalah 8.
    • Tidak berdasar pada sesuatu yang mudah ditebak atau menggunakan Informasi terkait dengan Pengguna, misalnya: nama, nomor telepon, tanggal lahir.
    • Menggunakan kombinasi huruf dan angka, sedapat mungkin menggunakan spesial karakter (seperti: !$%#*).
    • Pengguna diimbau mengubah password secara berkala dengan maksimal jangka waktu penggunaan password selama 3 bulan.
    • Pengguna harus menghindari penggunaan kembali password.
    • Pengguna dilarang berbagi password.
  6. Pengguna bertanggung jawab terhadap password yang dimiliki, dan wajib menjaga kerahasiaannya agar tidak disalahgunakan oleh orang lain.
  7. Pengguna harus mengubah password ketika ada indikasi penyalahgunaan password.
  8. Multi-Factor Authentication (MFA) dapat ditambahkan pada sistem untuk mengurangi kemungkinan percobaan akses yang tidak bertanggung jawab menggunakan akun pengguna yang terdaftar.

5.12 Penggunaan dan Pengelolaan Kunci Kriptografi

  1. Sistem pengolahan informasi yang membutuhkan penggunaan kriptografi harus diidentifikasi melalui proses penilaian risiko, yang dapat dijadikan dasar dalam memilih kriptografi yang akan digunakan.
  2. Penggunaan sistem kriptografi harus diuji secara komprehensif untuk menjamin keandalan sistem tersebut.
  3. Enkripsi yang disarankan untuk diterapkan dalam penyimpanan informasi yang bersifat rahasia adalah enkripsi dengan panjang kunci minimal 256 bit.
  4. Pembuatan, penyimpanan, dan penghancuran kunci kriptografi harus terdokumentasi dan dilakukan oleh personil fungsi pengelolaan kunci kriptografi yang ditunjuk. Dalam hal ini, fungsi pengelolaan kunci kriptografi didelegasikan kepada Administrator.
  5. Dalam pengembangan sistem aplikasi yang menggunakan teknologi kriptografi dan aplikasi tersebut dikembangkan oleh pihak ketiga, maka manajemen kriptografi kunci harus dilakukan oleh pihak KSP Credit Union Khatulistiwa Bakti.
  6. Kunci kriptografi bersifat rahasia oleh karena itu penyimpanannya dilakukan oleh fungsi khusus pengelola kunci kriptografi, disimpan di tempat yang aman dan diberikan pengamanan yang sesuai.
  7. Kunci kriptografi harus dievaluasi dalam jangka waktu tertentu, minimal satu tahun sekali untuk meminimalkan risiko apabila terjadi kebocoran.
  8. Apabila terdapat indikasi kebocoran pada kunci kriptografi, maka perlu dilakukan pengubahan terhadap kunci tersebut.
  9. Pengubahan/pengkinian, pencabutan, dan pemusnahan kunci harus dilakukan dengan sepengetahuan fungsi pengelola kunci kriptografi terkait.
  10. Kunci kriptografi tidak boleh dikirimkan atau disimpan bersama-sama dengan pesan yang dikirimkan atau disimpan.

5.13 Pengembangan dan Pemeliharaan Infrastruktur pada Layanan Awan

  1. Penggunaan layanan awan (cloud services) pada KSP Credit Union Khatulistiwa Bakti harus mempertimbangkan kebutuhan dan juga keandalan dari penyedia layanan awan.
  2. Konfigurasi layanan awan (cloud services) yang digunakan pada KSP Credit Union Khatulistiwa Bakti wajib didokumentasikan.
  3. Akun Root / Super Administrator pada layanan awan yang digunakan diusahakan tidak digunakan dalam operasional harian dan dijaga dengan baik untuk keperluan tertentu.
  4. Administrator memastikan ketersediaan dan keamanan informasi yang dikelola pada layanan awan.
  5. Administrator memantau penggunaan infrastruktur pada layanan awan dengan cara membuat aturan (rules) notifikasi atau peringatan penggunaan layanan infrastruktur awan.
  6. Jika memungkinkan, pengguna yang mengakses infrastruktur pada layanan awan KSP Credit Union Khatulistiwa Bakti menggunakan MFA sebagai pengamanan tambahan.

5.14 Pemeliharaan dan Operasional Sistem Informasi

  1. Dalam pemeliharaan dan operasional aplikasi harus dipertimbangkan aspek kebutuhan pengguna aplikasi tersebut.
  2. Dalam proses pengembangan modul sistem aplikasi yang mungkin dapat dilakukan, perlu mempertimbangkan aspek keamanan informasi seperti penggunaan kriptografi, kriteria pengujian sistem yang disepakati, dan pengaturan source code.
  3. Dalam rangka menjamin ketersediaan data pada sistem informasi maka perlu dilakukan proses backup dan uji restore secara berkala. Fasilitas backup yang memadai harus tersedia untuk menjamin Informasi dan dapat dipulihkan ketika terjadi gangguan.
  4. Pelaksanaan backup sekurang-kurangnya harus memperhatikan hal-hal sebagai berikut:
    • Cakupan Informasi yang akan di-backup.
    • Frekuensi dan jenis backup disesuaikan dengan kebutuhan operasional, pengamanan, dan tingkat kerahasiaan Informasi.
    • Media backup yang digunakan.
    • Pemeriksaan dan pengujian kelengkapan hasil backup.
  5. Hasil backup disimpan di tempat yang terpisah dari tempat utama dan aman serta mendapat pengamanan logikal dan fisikal yang sama dengan pengamanan data pada lokasi utama sesuai dengan klasifikasi Informasi.

5.15 Pengembangan dan Pemeliharaan Sistem Informasi

  1. Persyaratan keamanan informasi yang relevan harus diidentifikasi secara jelas sebelum pengembangan, perluasan, atau pengadaan sistem informasi baru.
  2. Spesifikasi kebutuhan harus disetujui oleh pemilik sistem sebelum dilakukan fase pengkodean (coding) dalam pengembangan sistem.
  3. Keamanan dalam proses pengembangan dan support yang perlu dipertimbangkan meliputi:
    1. Aturan untuk pengembangan sistem harus ditetapkan dan diimplementasikan untuk proses pengembangan sistem yang mencakup:
      • Pengamanan dari lingkungan pengembangan, seperti pemisahan lingkungan pengembangan baik secara fisik dan/atau logical, pengendalian akses, pengelolaan perubahan.
      • Panduan secure coding.
      • Pengendalian versi aplikasi.
      • Penyimpanan dari source code.
      • Metode pengujian untuk mengidentifikasi dan memperbaiki vulnerability.
    2. Perubahan terhadap sistem selama siklus pengembangan sistem harus dikendalikan melalui proses manajemen perubahan yang berlaku.
    3. Administrator harus mengawasi aktivitas pengembangan sistem yang dialihdayakan (outsourced). Hal ini dapat mencakup:
      • Perjanjian terkait lisensi dan kepemilikan sistem.
      • Pengujian penerimaan sistem untuk menguji kualitas dan akurasi dari sistem.
      • Prasyarat dokumentasi untuk sistem.
    4. Pengujian dari fitur keamanan sistem harus dilakukan pada saat pengembangan sistem informasi.
    5. Fungsi dan kinerja sistem operasional harus ditinjau setelah implementasi perubahan untuk memastikan tidak ada dampak yang dapat menghambat operasional bisnis maupun keamanan informasinya.
    6. Pengamanan terhadap Data hasil pengujian perlu diperhatikan sebagai berikut:
      • Data untuk pengujian sistem harus dipilih secara hati-hati untuk menghindari pengungkapan atau perubahan informasi sensitif oleh pihak yang tidak berhak, serta melindungi dari kemungkinan kerusakan dan kehilangan informasi.
      • Masking data harus dilakukan apabila data operasional yang sensitif digunakan untuk keperluan pengujian.
      • Data operasional yang digunakan untuk keperluan pengujian harus dihapus segera setelah proses pengujian telah selesai dilaksanakan.

5.16 Manajemen Insiden

  1. Pegawai harus melaporkan setiap terdapat kejadian insiden dan kelemahan keamanan informasi untuk dilakukan tindakan yang diperlukan.
  2. Mekanisme untuk menangani kejadian insiden keamanan informasi memuat data penanggung jawab, tindak lanjut dan klasifikasi insiden, seperti namun tidak terbatas pada: serangan malware, password, kehilangan data, dan kehilangan perangkat.
  3. Tindakan pencegahan, deteksi dan tindakan perbaikan harus dipastikan ada untuk melindungi sistem informasi dan teknologi dari ancaman atau gangguan dari insiden.

5.17 Kontinjensi dan Pemulihan Bencana

  1. Untuk menghadapi kemungkinan gangguan atau kegagalan layanan yang dapat mengancam kelancaran proses bisnis, harus dilakukan kontinjensi (penyiagaan). Kontinjensi harus dikelola dengan baik, karena itu harus direncanakan dan dipersiapkan, diorganisasikan dengan menentukan peran dan tanggung jawab masing-masing fungsi organisasi maupun pegawai, serta dilaksanakan secara terkendali dengan mempertimbangkan aspek pembiayaan, operasi, sumber daya dan fasilitas.
  2. Beberapa hal yang perlu diperhatikan dalam rencana kontinjensi antara lain:
    1. Pengidentifikasian sumber daya yang bersifat kritis.
    2. Pengawasan dan pelaporan ketersediaan (availability) sumber daya.
    3. Ketentuan tentang prinsip-prinsip dari backup dan pemulihan serta alternatif untuk menjalankan fungsi layanan.
    4. Pengidentifikasian terhadap hal-hal yang paling kritis pada rencana kesinambungan layanan untuk menentukan prioritas terhadap fungsi layanan pada saat proses pemulihan.
  3. Rencana pemulihan bencana harus didokumentasikan, yang intinya mengatur tentang prosedur saat terjadi bencana (disaster), struktur organisasi pada saat terjadi bencana, definisi peran, tugas dan tanggung jawab dari personil yang terlibat.
  4. Rencana kesinambungan proses layanan harus diuji secara berkala untuk memastikan bahwa pemulihan sistem akan dapat berjalan secara efektif, berbagai kekurangan dapat teridentifikasi dan rencana pemulihan dapat dilakukan hingga kondisi terkini (up-to-date). Hasil pengujian harus terdokumentasi dan bilamana perlu dapat dilakukan langkah perbaikan sesuai dengan rekomendasi dari hasil pengujian.

5.18 Kepatuhan

  1. Pengamanan informasi harus selalu dievaluasi dan dapat dilakukan penyesuaian berdasarkan adanya penerapan kebutuhan bisnis yang baru atau perubahan hukum dan perundang-undangan yang berlaku.
  2. Hal-hal yang berkaitan dengan kepatuhan (compliance), seperti hak atas kekayaan intelektual (HAKI), peraturan dan perundang-undangan serta informasi lain yang sejenis, termasuk tentang penjagaan kerahasiaan organisasi, harus disosialisasikan kepada seluruh pegawai.

6. PENGKAJIAN DOKUMEN

Dokumen ini dikelola oleh Pengelola Risiko dan Aset. Setiap masukan perubahan terhadap prosedur ini harus diajukan kepada Pengelola Risiko dan Aset dan perubahannya disetujui oleh pemegang kewenangan sesuai ketentuan yang berlaku di Organisasi.

Dokumen ini harus ditinjau ulang secara berkala oleh Pengelola Risiko dan Aset paling sedikit 1 (satu) kali dalam setahun untuk memastikan kesesuaiannya dengan kondisi organisasi.