KEBIJAKAN KEAMANAN INFORMASI PT. XYZ
PERATURAN TERKAIT 1. Umum
PT. XYZ
Kode
Doku-men Nomor Revisi Tanggal Revisi Halaman
4 PENGENDALIAN VIRUS
TUJUAN
Kebijakan ini dimaksudkan untuk mengatur langkah-langkah pencegahan, pendetek-sian, dan penanggulangan serangan virus.
RUANG LINGKUP
Kebijakan ini berlaku untuk semua sistem komputer yang terhubung ke dalam sistem jaringan informasi perusahaan ataupun sistem jaringan yang digunakan di dalam lingkungan perusahaan. DEFINISI Istilah Definisi Perusahaan PT. XYZ PERATURAN TERKAIT 1. Umum
1.1. Perusahaan harus menetapkan kebijakan formal melarang penggunaan perangkat lunak tanpa izin.
1.2. Perusahaan harus memberlakukan dan menginformasikan kepada Pengguna langkah-langkah pencegahan, pendeteksian, dan pembersihannya virus menggunakan anti-virus Perusahaan.
2. Pencegahan
2.1. Perusahaan harus memberlakukan penggunaan piranti anti virus untuk setiap pengguna atau perangkat yang terhubung ke infrastrukutur jaringan.
2.2. Pengguna sistem jaringan perusahaan harus memastikan bahwa anti virus da-lam sistem komputer yang digunakannya berfungsi efektif.
2.3. Pengguna yang bekerjasama dengan mitra dari kalangan luar Perusahaan yang datang membawa komputer dan akan bekerja dalam sistem jaringan pe-rusahaan, harus memastikan bahwa mitra kerjanya mengefektifkan piranti an-ti virus yang memadai dalam komputernya.
2.4. Tidak dibenarkan berbagi folder dengan akses WRITE kecuali ada kebutuhan bisnis yang sangat penting atau untuk kalangan yang sangat terbatas.
2.5. Pengguna sistem jaringan prusahaan harus memastikan bahwa dokumen elek-tronik yang akan dikirimkan melalui jaringan bersih dari virus.
3. Pendeteksian
3.1. Melakukan instalasi dan update anti-virus secara berkala serta melakukan scanning secara rutin terhadap semua server dan desktop; scanning dilakukan harus mencakup:
a. Memeriksa lampiran surat elektronik terhadap virus sebelum digunakan pada mail server.
b. Memeriksa setiap file yang diterima melalui jaringan terhadap virus sebelum digunakan.
3.2. Melakukan tinjauan rutin terhadap konten software dan data dari sistem pen-dukung business process yang kritis.
4. Pembersihan
4.1. Pihak yang menemukan atau mencurigai adanya serangan virus dalam sistem jaringan perusahaan yang digunakannya harus segera memutuskan hubungan untuk sementara waktu dari sistem jaringan perusahaan dan segera melapor-kannya kepada IT Helpdesk.
4.2. Setiap virus yang tidak dapat dibersihkan oleh anti-virus dikatakan sebagai insiden dan harus dilaporkan kepada IT Helpdesk.
STANDAR TERKAIT
ISO 27002:2005 Pasal 10.4.1 Control against malicious code.
- PT. XYZ Kode Doku-men
Nomor Revisi Tanggal Revisi Halaman
5 PENGELOLAAN AKSES USER
TUJUAN
Kebijakan ini dimaksudkan untuk melindungi dan menjaga kerahasiaan, integritas, dan ketersediaan sumberdaya informasi perusahaan terhadap akses yang tidak memi-liki otorisasi dan tidak memimemi-liki kepentingan bisnis.
RUANG LINGKUP
Kebijakan ini berlaku terhadap unit ataupun fungsi yang diberikan kewenangan untuk mengelola sistem atau sumberdaya informasi perusahaan serta unit ataupun fungsi yang ditunjuk oleh perusahaan berdasarkan penugasan sebagai pemilik sistem atau sumberdaya informasi perusahaan.
DEFINISI
Perusahaan PT. XYZ
Sistem Aplikasi, Sistem Operasi, Basis Data, Sistem
Jaringan, dan lain-lain PERATURAN TERKAIT
1. Setiap permintaan user-id akses terhadap sistem atau sumberdaya informasi peru-sahaan harus disetujui oleh manajemen minimal setingkat Division Head dari unit pemohon.
2. Pemilik sistem atau sumberdaya informasi perusahaan diharuskan menyampai-kan pemberitahuan sesegera mungkin ke unit pengelola sistem atau sumberdaya informasi perusahaan terkait dengan adanya perubahan kebijakan terhadap sistem
atau sumberdaya informasi perusahaan seperti adanya pemblokiran, penonaktifan serta perubahan kewenangan terhadap suatu akses user,
3. Setiap user-id akses yang terdaftar dalam sistem atau sumberdaya informasi pe-rusahaan akan diberlakukan kebijakan seperti di bawah ini;
a. Pemblokiran akses terhadap suatu user-id akan diberlakukan jika suatu user-id tidak pernah mengakses sistem atau sumberdaya informasi peru-sahaan dalam kurun waktu 1 bulan. Dan akan diaktifkan kembali jika ada pemberitahuan secara tertulis dari pemilik user-id akses dengan di-ketahui oleh Manajer atau Division Head atasannya.
b. Penghapusan secara permanen terhadap suatu user-id akan diberlakukan jika suatu user-id tidak pernah mengakses sistem atau sumberdaya in-formasi perusahaan dalam kurun waktu 3 bulan.
4. Penggunaan user-id harus unik dan tidak boleh redundant untuk memungkinkan pengguna dihubungkan ke tanggung jawabnya. Penggunaan grup-id hanya dapat diijinkan untuk alasan operasional atau bisnis perusahaan.
5. Pemilik user-id harus menandatangani pernyataan tertulis yang menyatakan bahwa mereka memahami kondisi akses tersebut.
STANDAR TERKAIT
ISO 27002:2005 Pasal 11.2.1 User registration, 11.2.2 Privilage management, 11.2.4 Review of user access rights
KEBIJAKAN TERKAIT -
PT. XYZ
Kode
Doku-men Nomor Revisi Tanggal Revisi Halaman
6 JUMLAH OPTIMUM ADMINISTRATOR
TUJUAN
Kebijakan ini dimaksudkan agar supaya jumlah administrator yang secara optimum memenuhi kebutuhan administrasi sistem dan memenuhi standar pengendalian dan pemantauan penggunaan account berkemampuan tinggi.
RUANG LINGKUP
Seluruh sistem yang digunakan dalam rangka kepentingan bisnis perusahaan. DEFINISI
Perusahaan PT. XYZ
Administrator Semua yang menggunakan account Root atau account berkemampuan tinggi setara atau hampir. Contoh Sistem Administra-tor, Database AdministraAdministra-tor, Network Administrator, Application Administrator
PERATURAN TERKAIT
1. Jumlah Administrator untuk sistem harus memenuhi secara memadai kebututuhan administrasi sistem bersangkutan dan mematuhi standar keamanan informasi yang dianut oleh perusahaan.
2. Jumlah Administrator untuk sebuah sistem tidak boleh satu orang dan tidak mele-bihi tiga orang.
3. Nama-nama Administrator dan Sistem harus dilaporkan secara berkala setidaknya sekali setiap 6 bulan atau adanya perubahan administrator dengan ditandatangani oleh Division Head terkait ke fungsi yang ditunjuk atau ditetapkan oleh perusa-haan untuk
mengelola keamanan informasi perusahaan. STANDAR TERKAIT
-
KEBIJAKAN -
PT. XYZ
Kode
Doku-men Nomor Revisi Tanggal Revisi Halaman
7 INFRASTRUKTUR JARINGAN
TUJUAN
Kebijakan ini dimaksudkan untuk menetapkan aturan dalam penggunaan, perluasan dan pemeliharaan infrastruktur jaringan perusahaan. Kebijakan ini diperlukan untuk dapat mempertahankan integritas, ketersedian dan kerahasiaan informasi perusahaan. RUANG LINGKUP
Kebijakan ini meliputi seluruh infrastruktur jaringan perusahaan tidak terbatas hanya kepada perangkat-rangkat jaringan seperti komputer, printer, server, router, hub, firewall serta pengkabelan yang terhubung ke dalam jaringan LAN dan WAN serta Sistem Transmisi ( Radio, Fiber Optic, Satelit dll) yang dimiliki perusahaan.
DEFINISI
Perusahaan PT. XYZ
LAN (Local Area Network) Suatu jaringan lokal adalah suatu kelom-pok
komputer dan atau perangkat komputasi yang dihubungkan satu sama lain dengan menggunakan infrastruktur jaringan yang sama untuk berbagi sumber daya yang tersedia pada jaringan tersebut.
WAN (Wide Area Network) Suatu jaringan yang menghubungkan jaringan-jaringan LAN yang terpisah se-cara
geografis PERATURAN TERKAIT
1. Setiap fungsi di perusahaan yang memiliki dan bertanggungjawab terhadap infra-struktur jaringan perusahaan secara berkesinambungan melakukan pengembangan dan peningkatan infrastruktur jaringan perusahaan lebih lanjut.
2. Infrastruktur jaringan perusahaan harus dirancang untuk dapat memenuhi kebutu-han bisnis perusahaan saat ini serta fleksibel dalam pengembangan lebih lanjut. Pengaturan infrastruktur jaringan perusahaan dilakukan dengan memperhatikan dan menerapkan aspek-aspek keamanan baik dalam kontrol akses ataupun pemba-tasan-pembatasan melalui pemberian privilege.
3. Infrastruktur jaringan perusahaan harus disegmentasi secara fisik ataupun logik berdasarkan fungsi dan sumber yang mengakses. Setiap segmentasi infrastruktur jaringan perusahaan tersebut harus menerapkan kontrol akses dan pembatasan-pembatasan autorisasi serta hak akses yang jelas yang dimaksudkan untuk melin-dungi kerahasiaan dan integritas data.
4. Penyambungan kabel jaringan dan atau pemasangan perangkat ke infrastruktur jaringan perusahaan harus dilakukan melalui persetujuan dari fungsi terkait yang bertanggung jawab pada pengelolaan infrastruktur jaringan perusahaan tersebut. 5. Teknologi keamanan jaringan seperti otentikasi, enkripsi, dan control koneksi
ja-ringan harus diterapkan untukkeamanan jaja-ringan.
6. Perangkat-perangkat keamanan infrastruktur jaringan perusahaan harus dipasang dan dikonfigurasi dengan mengikuti kaidah-kaidah keamanan yang telah dite-tapkan.
7. Perubahan terhadap konfigurasi perangkat yang telah terhubung ke infrastruktur jaringan perusahaan harus melalui pemberitahuan dan persetujuan dari fungsi ter-kait.
8. Seluruh koneksi dari infrastruktur jaringan perusahaan ke jaringan lain pihak ke-tiga atau kebalikannya harus melalui persetujuan fungsi yang bertanggungjawab terhadap insfrasturktur jaringan perusahaan tersebut.
9. Seluruh akses ke dan dari infrastruktur jaringan pihak ketiga harus dikontrol me-lalui perangkat-perangkat keamanan infrastruktur jaringan informasi.
10. Pemakai infrastruktur jaringan perusahaan tidak dibenarkan memperluas atau mentransmisikan kembali layanan-layanan yang ada pada jaringan perusahaan da-lam bentuk apapun. Pemasangan perangkat-perangkat infrastruktur jaringan se-perti router, hub, switch ataupun Wireless Access Point harus dengan persetujuan fungsi terkait.
11. Pemakai infrastruktur jaringan perusahaan tidak dibenarkan memasang perangkat keras ataupun perangkat lunak yang menyediakan network services tanpa persetu-juan dari fungsi terkait.
12. Setiap perangkat yang terpasang pada infrastruktur jaringan perusahaan hanya membuka port aplikasi yang bersesuaian dengan layanan yang diberikan. Sedang-kan port-port lainya harus ditutup atau tidak diaktifSedang-kan.
13. Pengkabelan infrastruktur jaringan perusahaan dipasang dengan memenuhi kai-dah-kaidah instalasi yang ada. Kabel listrik harus dipisahkan dari kabel komuni-kasi untuk mencegah interferensi.
14. Dokumentasi infrastruktur jaringan perusahaan harus terus diperbaharui dan sela-lu tersedia bagi unit yang bertanggung jawab dalam memberikan dukungan teknis dan pemeliharaan infrastruktur jaringan dan harus tersedia pada level yang semi-nimum mungkin.
STANDAR TERKAIT
ISO 27002:2005 Pasal 9.2.3 Cabling security, Pasal 10.6.1 Network control, Pasal 10.6.2 Security of network service
KEBIJAKAN
- PT. XYZ
Kode Doku-men
Nomor Revisi Tanggal Revisi Halaman
8 PEMANTAUAN KEAMANAN INFORMASI
TUJUAN
Kebijakan ini dimaksudkan untuk mempertahankan lingkungan komputasi yang aman. Aktifitas yang terkait terhadap penggunaan sumberdaya informasi korporat harus dipantau untuk menjamin integritas, kerahasiaan dan ketersedian informasi ataupun data perusahaan dapat dipelihara. Pemantauan keamanan adalah suatu meto-da yang digunakan untuk mengkonfirmasikan bahwa kebijakan-kebijakan yang telah dibuat sesuai dan efektif dalam implementasinya. Selain itu memastikan jika ada anomali yang terjadi dan dapat menekan potensi dampak-dampak negatif yang mungkin muncul akibat adanya pelanggaran tersebut.
RUANG LINGKUP
Kebijakan ini meliputi semua fungsi yang bertanggungjawab atas instalasi, konfigu-rasi dan atau pengopekonfigu-rasian dari infrastruktur jaringan perusahaan serta fungsi yang terkait dengan penyediaan dan pengelolaan infrastruktur keamanan informasi perusa-haan.
DEFINISI
Perusahaan PT. XYZ
LAN (Local Area Network) Suatu jaringan lokal adalah suatu kelom-pok
komputer dan atau perangkat komputasi yang dihubungkan satu sama lain dengan menggunakan infrastruktur jaringan yang
sama untuk berbagi sumber daya yang tersedia pada jaringan tersebut.
WAN (Wide Area Network) Suatu jaringan yang menghubungkan jaringan-jaringan LAN yang terpisah se-cara
geografis PERATURAN TERKAIT
1. Pemantauan keamanan harus dilakukan terhadap infrastruktur jaringan perusa-haan untuk mendapatkan notifikasi sedini mungkin terhadap gangguan yang di-akibatkan oleh ekploitasi dari teknologi yang digunakan ataupun aktifitas intrusi dari pihak-pihak yang tidak bertanggungjawab. Pemantauan tersebut meliputi ; 1.1 lalulintas trafik Internet, interkoneksi dengan pihak ketiga dari dan ke
infra-struktur perusahaan 1.2 lalulintas trafik email
1.3 lalulintas trafik LAN dan WAN
1.4 parameter-parameter keamanan sistem operasi, platform aplikasi dan database serta perangkat jaringan
2. Seluruh sumberdaya informasi perusahaan yang meliputi platform sistem operasi, aplikasi dan database serta perangkat jaringan ataupun sistem lain harus menye-diakan kapabilitas pencatatan atau logging. Adapun jenis informasi yang harus disimpan dalam log tersebut adalah :
2.1 Seluruh perubahan terhadap parameter keamanan dan konfigurasi sistem, user profile dan password.
2.2 Seluruh perubahan yang dilakukan oleh user-id yang memiliki kewenangan khusus seperti sistem administrator, proses ataupun program.
2.4 Seluruh pelanggaran keamanan, termasuk di dalamnya aktifitas untuk menco-ba akses ke sistem dengan melakukan beberapa kali login dengan menemenco-bak kemungkinan passwordnya.
2.5 Melakukan pencatatan terhadap user-id dari pengguna yang melakukan aktifi-tas dalam suatu sistem, waktu aktifiaktifi-tas dilakukan (log on – log off), sumber-daya yang diakses, aktifitas yang dilakukan, serta network address dan proto-kol dari pengguna yang mengakses.
3. Proses audit log yang terdapat pada sistem operasi dan perangkat lunak aplikasi harus diaktifkan pada seluruh sistem produksi.
4. Fungsi-fungsi peringatan dini (alarm & alert) dan audit log pada perangkat-perangkat perimeter jaringan dan perangkat-perangkatperangkat-perangkat keamanan jaringan harus diaktifkan.
5. Seluruh log harus dilindungi dari segala kemungkinan modifikasi ataupun usaha penghapusan dan hanya bisa diakses oleh individu yang mempunyai autorisasi terhadap log tersebut.
6. Seluruh log harus disimpan dalam periode waktu tertentu untuk diperlukan dalam review ataupun keperluan investigasi lebih lanjut.
7. Seluruh log dan atau data yang dihasilkan dari pemantauan keamanan harus dire-view secara berkala oleh sistem administrator dan atau fungsi yang ditunjuk. Be-rikut ini adalah log atau data yang harus direview secara berkala, yaitu :
7.1 Log dari sistem instrusi 7.2 Log dari perangkat jaringan
7.3 Log dari perangkat keamanan jaringan 7.4 Log user account
7.5 Log sistem error 7.6 Log aplikasi
7.7 Log backup dan restorasi
8. Pemeriksaan secara berkala perlu dilakukan terhadap beberapa hal di bawah ini ; 8.1 Efektifitas password yang digunakan
8.2 Perangkat-perangkat infrastruktur jaringan yang terhubung ke infrastruktur ja-ringan perusahaan yang tidak memiliki autorisasi
8.3 Perangkat-perangkat yang digunakan secara bersama (file sharing, printer sharing) yang tidak memenuhi kriteria keamanan.
8.4 Pemasangan personal modem
8.5 Lisensi Sistem Operasi dan Perangkat lunak yang digunakan STANDAR TERKAIT
ISO 27002:2005 Pasal 10.10.1 Audit logging, Pasal 10.10.2 Monitoring system use, 10.10.3 Protection of log information, Pasal 13.1.1 Reporting information security events, Pasal 13.1.2 Reporting security weaknesses
KEBIJAKAN -
PT. XYZ
Kode Doku-men
Nomor Revisi Tanggal Revisi Halaman
9 REMOTE ACCESS
TUJUAN
Kebijakan ini dimaksudkan untuk menetapkan aturan dan persyaratan minimal yang harus dipenuhi untuk dapat mengakses sistem atau sumberdaya informasi perusahaan secara remote.
RUANG LINGKUP
Kebijakan ini berlaku bagi seluruh karyawan perusahaan ataupun pihak ketiga yang memiliki kewenangan dan fasilitas untuk dapat mengakses sistem atau sumberdaya informasi perusahaan secara remote.
DEFINISI
Perusahaan PT. XYZ
Enkripsi Suatu mekanisme yang gunakan untuk mengkonversi data ke dalam suatu bentuk form atau yang disebut chipertext sehing-ga
tidak dengan mudah dapat dimengerti oleh
pihak yang tidak berwenang
VPN Jaringan yang dibangun berdasarkan in-frastruktur jaringan publik dengan mene-rapkan mekanisme enkripsi di kedua sisi untuk dapat terhubung ke jaringan inter-nal perusahaan dengan tetap
memperta-
hankan keamanan data yang dilewatkan pada infrastruktur jaringan publik terse-but.
PERATURAN TERKAIT
1. Merupakan tanggungjawab dari karyawan perusahaan ataupun pihak ketiga yang diberi kewenangan untuk dapat mengakses sistem ataupun sumberdaya informasi perusahaan secara remote untuk memastikan bahwa fasilitas tersebut diberikan dengan pertimbangan seperti karyawan ataupun pihak ketiga bekerja dengan ter-hubung langsung dengan fasilitas jaringan perusahaan di lokasi kantor.
2. Seluruh pengguna yang akan melakukan akses sistem atau sumber daya informasi perusahaan secara remote harus telah memiliki izin akses dengan menandatangani serta melengkapi formulir perjanjian akses secara remote.
3. Akses secara remote ke sistem atau sumberdaya informasi perusahaan hanya di-izinkan melalui fasilitas yang telah disediakan oleh perusahaan melalui persetu-juan dari fungsi di Direktorat di perusahaan yang memiliki kewenangan terhadap sistem atau sumberdaya informasi yang diakses.
4. Fasilitas remote access untuk informasi bisnis hanya dapat berlangsung setelah berhasil melakukan identifikasi dan otentikasi.
5. Untuk mengamankan remote access dibutuhkan pengaturan yang mencakup pe-nyediaan peralatan komunikasi yang sesuai.
6. Seluruh pengaksesan secara remote terhadap sistem atau sumberdaya informasi perusahaan melalui jaringan publik Internet diharuskan untuk menggunakan me-tode enkripsi untuk melindungi kerahasiaan data dalam sesi komunikasi
7. Seluruh akses secara remote ke sistem atau sumberdaya informasi internal peru-sahaan dibedakan atas tiga tipe klasifikasi akses yang harus mengikuti kriteria persyaratan minimal berikut ini ;
7.1 Akses Administratif – yang termasuk ke dalam tipe akses administratif adalah pengguna sistem secara remote yang mempunyai kewenangan untuk
melaku-
kan aktifitas-aktifitas fungsi administratif kesistiman. Seluruh sesi komunikasi data antara pengguna dengan sistem yang diakses harus menerapkan enkripsi (end-to-end).
7.2 Akses End-user – yang termasuk ke dalam tipe akses end-user adalah aktifi-tas-aktifitas bagi pengguna yang dapat mengakses, mendownload serta meng-upload data ke system informasi perusahaan. Seluruh pengguna aplikasi bisnis perusahaan termasuk dalam tipe akses ini dan sangat direkomendasikan untuk menerapkan enkripsi dalam sesi komunikasi data yang dilakukan antara peng-guna dan perimeter jaringan internal perusahaan.
7.3 Akses General User – yang termasuk ke dalam kategori tipe akses ini adalah seluruh pengguna yang hanya dapat mengakses informasi-informasi perusa-haan yang disediakan melalui portal intranet perusaperusa-haan serta aktifitas dalam mengirim dan menerima e-mail. Tipe akses ini membutuhkan standar minimal kontrol keamanan dan pengguna dapat menggunakan komputer ataupun pera-latan mobile yang lainnya seperti mobile phone.
8. Penerapan perangkat keamanan jaringan seperti firewall harus digunakan untuk koneksi VPN melalui Internet dan melakukan enkripsi terhadap trafik VPN serta membuat filtering dengan membatasi layanan yang diperlukan saja.
9. Penggunaan modem yang dihubungkan ke komputer kerja yang terhubung ke in-frastruktur jaringan perusahaan untuk keperluan akses ke sistem atau sumberdaya informasi perusahaan tidak dibenarkan.
STANDAR TERKAIT
ISO 27002:2005 Pasal 11.7.1 Mobile computing and communications, Pasal 11.7.2 Teleworking
KEBIJAKAN TERKAIT -
PT. XYZ
Kode Doku-men
Nomor Revisi Tanggal Revisi Halaman 10
AKSES PIHAK KETIGA
TUJUAN
Kebijakan ini dimaksudkan untuk menetapkan aturan dan persyaratan minimal yang harus dipenuhi oleh pihak ketiga untuk dapat mengakses sistem atau sumberdaya in-formasi perusahaan dan ataupun menghubungkan sistem atau perangkat pihak ketiga ke infrastruktur jaringan perusahaan baik secara lokal ataupun remote.
RUANG LINGKUP
Kebijakan ini berlaku bagi seluruh pihak ketiga yang memiliki fasilitas untuk dapat mengakses sumberdaya informasi perusahaan dan atau menghubungkan perangkat dan sistem pihak ketiga ke infrastruktur jaringan perusahaan. Yang termasuk ke da-lam cakupan kebijakan pihak ketiga ini tidak hanya akses secara lokal tetapi berlaku juga untuk pengaksesan secara remote.
DEFINISI
Perusahaan PT. XYZ
Pihak ketiga Individu, kelompok, vendor, agent, atau pihak lain yang tidak terdaftar sebagai internal Perusahaan
PERATURAN TERKAIT
1. Pemberian fasilitas akses dan ataupun menghubungkan perangkat pihak ketiga ke infrastruktur jaringan perusahaan merupakan bagian dari kebutuhan bisnis peru-sahaan.
2. Permintaan untuk pihak ketiga agar dapat terhubung dan atau mengakses sistem atau sumberdaya informasi perusahaaan diharuskan memenuhi kriteria-kriteria di bawah ini ;
2.1 Permintaan akses pihak ketiga harus disetujui secara tertulis oleh fungsi yang bertanggungjawab dalam pengelolaan hak akses ke sistem atau sumberdaya informasi perusahaan.
2.2 Fungsi kerja perusahaan yang mengajukan pihak ketiga sebagai mitra bisnis perusahaan harus menyetujui untuk bertindak sebagai sponsor dari pihak keti-ga dan bertanggungjawab terhadap seluruh aktifitas pihak ketiketi-ga dalam rangka akses ke sistem atau sumberdaya informasi perusahaan.
2.3 Kontrol-kontrol keamanan informasi perusahaan yang diterapkan harus dis-etujui dan didefinisikan di dalam kontrak kerjasama dengan pihak ketiga. 2.4 Akses pihak ketiga ke sistem atau sumberdaya informasi perusahaan belum
akan disediakan sampai dengan kontrol keamanan informasi perusahaan di-implementasikan dan kontrak kerjasama yang ditandatangani mendefinisikan kebijakan akses pihak ketiga.
2.5 Cakupan fasilitas, layanan dan aplikasi serta data yang dapat diakses pihak ke-tiga terbatas kepada fasilitas yang dibutuhkan pihak keke-tiga dalam aktifitas yang sesuai dengan yang diajukan oleh fungsi yang menjadi sponsor pihak ke-tiga dan didasarkan kepada kontrak kerjasama antara perusahaan dan pihak ketiga.
3. Kontrol-kontrol keamanan informasi perusahaan yang didefinisikan dalam kon-trak kerjasama perusahaan dengan pihak ketiga, meliputi ;
3.1 Deskripsi dari setiap fasilitas, layanan yang diberikan atau aplikasi yang dibu-tuhkan dan tipe data yang disediakan oleh perusahaan untuk pihak ketiga. 3.2 Penggunaan user-id dan password yang bersifat unik sebagai metode dan
kon-trol akses.
3.3 Mempersyaratkan pihak ketiga untuk memiliki daftar individu ataupun ka-ryawan yang bersangkutan yang dapat menggunakan fasilitas yang diberi-kan.
3.4 Meminta komitmen pihak ketiga yang diberi akses agar menginformasikan ke perusahaan dalam bentuk tertulis jika terjadi pergantian pegawai yang menggunakan fasilitas akses tersebut karena alasan rotasi ataupun
pember-
hentian karyawan dari pihak ketiga agar tetap dapat mempertahankan inte-gritas serta mengamankan sumberdaya informasi yang diakses dari potensi penyalahgunaan akses.
3.5 Perusahaan mempunyai hak untuk memantau seluruh aktifitas pihak ketiga dalam menggunakan fasilitas akses perusahaan yang diberikan dan dapat ju-ga menarik kembali atau mencabut fasilitas akses yang telah diberikan. 3.6 Penjelasan hak dan kewajiban perusahaan ataupun pihak ketiga terkait dengan
penyediaan, instalasi dan pemeliharaan perangkat keras dan perangkat lunak serta infrastruktur dan komponen-komponen pendukung lainnya yang digu-nakan untuk akses pihak ketiga.
3.7 Pembatasan dalam penggandaan ataupun penyebarluasan informasi yang ter-kait dengan perusahaan.
3.8 Perusahaan mempunyai kewenangan dalam melakukan audit terhadap tang-gungjawab yang tertuang dalam kontrak kerjasama.
3.9 Perusahaan dapat melakukan evaluasi terhadap sejauhmana penyalahgunaan infromasi yang terjadi selama tenggat kerjasama dengan pihak ketiga
3.10 Ukuran yang diperlukan untuk menjaga dan mempertahankan sumberdaya