Panduan Pengelolaan Sistem Informasi dan Keamanan Jaringan di Jurusan Sistem Informasi ITS

(1)

JURUSAN SISTEM INFORMASI

INSTITUT TEKNOLOGI SEPULUH NOPEMBER

DSS05 - ACCESS AND BANDWITH : PENGATURAN PERANGKAT ELEKTRONIK BESERTA AKSESNYA DI JURUSAN SISTEM

INFORMASI

KELOMPOK 12

ADI SATRIA 5213100180

SARAH PUTRI RAMADHANI 5213100185 PRAMITA LUCIANA P. S. 5213100186

TATA KELOLA - D

(2)

JURUSAN SISTEM INFORMASI

1

Daftar Isi

Mapping of Controls ... 3

Mapping of Policies, Procedures, and Form ... 10

Mapping of Documents... 13

PEDOMAN ... 14

PEDOMAN (PE-01) ... 15

PANDUAN ... 35

PANDUAN MENGELOLA LAYANAN KEAMANAN (PA-01) ... 36

KEBIJAKAN ... 39

Kebijakan Pelatihan dan Awareness Karyawan ... 40

Kebijakan Perlindungan Aset TI ... 41

Kebijakan Perlindungan Informasi ... 43

Kebijakan Operasional TI ... 44

Kebijakan Hak Akses ... 45

PROSEDUR ... 47

Prosedur Pelatihan Layanan Keamanan (PR-01) ... 49

Prosedur Pengajuan Hak Akses Pengguna (PR-02)... 55

Prosedur Pengaturan Hak Akses Pengguna (PR-03) ... 60

Prosedur Akses Fisik Perangkat Elektronik (PR-04) ... 66

Prosedur Pertukaran Informasi melalui Media Telekomunikasi (PR-05) ... 71

Prosedur Penggunaan Perangkat TI (PR-0-6) ... 75

Prosedur Penanganan Insiden TI (PR-07)... 80

Prosedur Keamanan Jaringan (PR-08) ... 85

Prosedur Keamanan Perangkat Keras TI (PR-09) ... 89

FORMULIR ... 95

Surat Tugas Mengikuti Pelatihan (FR-01-01)... 98

(3)

JURUSAN SISTEM INFORMASI

2

Berita Acara Kegiatan Pelatihan (FR-01-02) ... 101

Laporan Pertanggung Jawaban Acara (FR-01-03) ... 104

Surat Permohonan Akses Pengguna Baru (FR-02-01) ... 107

Surat Persetujuan Akses Pengguna Baru (FR-02-02) ... 110

Daftar Registrasi Akun dan Hak Akses (FR-02-03) ... 113

Surat Permohonan Modifikasi Akses Akun (FR-03-01) ... 116

Formulir Log Perubahan Hak Akses (FR-03-02) ... 119

Surat Persetujuan Modifikasi Hak Akses (FR-03-03) ... 122

Surat Permohonan Akses Perangkat Elektronik Baru (FR-04-01) ... 125

Surat Persetujuan Akses Perangkat Elektronik Baru (FR-04-02) ... 128

Formulir Data File Tidak Aman (FR-05-01) ... 131

Surat Pengajuan Pengadaan Perangkat TI (FR-06-01) ... 134

Surat Persetujuan Pengadaan Perangkat TI (FR-06-02) ... 138

Formulir Izin Menggunakan Perangkat TI (FR-06-03) ... 142

Formulir Pengguna Perangkat TI (FR-06-04)... 145

Formulir Disposisi Perangkat TI (FR-06-05) ... 148

Formulir Pelaporan Insiden (FR-07-01) ... 151

Formulir Penyelesaian Insiden (FR-07-02) ... 154

Formulir Identifikasi Insiden (FR-07-03) ... 157

Formulir Kasus Keamanan Jaringan (FR-08-01) ... 160

Formulir Ancaman, Penyebab, dan Dampak Perangkat Keras TI (FR-09-01) ... 163

(4)

JURUSAN SISTEM INFORMASI

3

Mapping of Controls

Pada COBIT 5 Proses DSS05 Manage Security Services, terdapat tujuh Key Management Practice dan masing-masing memiliki beberapa aktivitas kontrol. Pada studi kasus “Access and Bandwith: Pengaturan Perangkat Elektronik beserta Aksesnya di Jurusan Sistem Informasi ITS”, digunakan tujuh Key Management Practice dengan beberapa aktivitas terpilih yang disesuaikan dengan proses bisnis yang telah ada di JSI berdasarkan wawancara yang dilakukan dengan pengelola operasional sekaligus teknisi JSI-NET, yaitu mas Nanok.

Untuk kebijakan yang berlaku di JSI-NET, mencakup beberapa prosedur pengelolaan.

Sedangkan setiap prosedur dapat meliputi beberapa aktivitas kontrol terpilih. Berikut pemetaan antara Key Management Process, Aktivitas, Jenis Kontrol, Kebijakan, dan Prosedur yang terpilih untuk pengendalian tata kelola :

Key Management

Process Aktivitas Jenis

Kontrol Kebijakan Prosedur DSS05.01

Protect Against Malware (Perlindungan terhadap Malware)

Mengimplementasi dan memelihara pengukuran preventive, detective, dan corrective di suatu tempat

5. Menyaring arus masuk seperti email atau

unduhan untuk

perlindungan terhadap informasi yang tidak diinginkan (contoh spyware, email phising).

Preventive

Kebijakan Perlindunga n Informasi Kebijakan Operasional

TI

Pertukaran informasi

melalui media telekomuni

kasi 6. Mengadakan pelatihan

berkala mengenai malware pada email dan penggunaan internet.

Pengguna dilatih untuk tidak menginstal perangkat lunak yang terbagi atau tidak disetujui.

Preventive

Kebijakan Pelatihan

dan awareness

karyawan

Pelatihan Layanan Kemanan

DSS05.02

Manage Network and Connectivity Security

(Pengelolaan pada keamanan

jaringan dan konektivitas)

1. Membuat dan

mengelola peraturan untuk keamanan konektivitas berbasis dari penilaian risiko dan kebutuhan bisnis.

Preventive

Kebijakan Operasional

TI

Keamanan Jaringan 2. Memberikan akses

informasi dan jaringan kepada perangkat-

Preventive Kebijakan Hak Akses

Pengaturan hak akses pengguna

(5)

JURUSAN SISTEM INFORMASI

4 Mengunakan

pengukuran keamanan dan prosedur

manajemen terkait untuk menjaga informasi melalui seluruh metode konektivitas

perangkat yang telah terdaftar. Melakukan konfigurasi perangkat agar memiliki password untuk mengaksesnya.

3. Implementasi mekanisme

penyaringan jaringan seperti firewall dan perangkat lunak pendeteksi penyusup sesuai dengan peraturan yang terkait untuk mengontrol arus masuk dan arus keluar pada jaringan.

Preventive dan Detective

Kebijakan Perlindunga

n Aset TI

Keamanan Jaringan

4. Mengenkripsi

Informasi yang dikirim berdasarkan klasifikasi

informasi Preventive

Kebijakan Perlindunga n Informasi

kasi 5. Mengaplikasikan

protokol keamanan yang sudah disetujui terhadap konektivitas jaringan.

Detective

n Aset TI

Keamanan Jaringan 6. Melakukan konfigurasi

peralatan jaringan dengan cara yang aman

Preventive

n Aset TI

Keamanan Jaringan Keamanan

Perangkat Keras TI 7. Membuat mekanisme

terpercaya untuk mendukung

pemancaran dan penerimaan informasi yang aman.

Preventive

Kebijakan Operasioana

l TI

kasi DSS05.03

Manage Endpoint Security

1. Melakukan konfigurasi sistem operasi secara

aman. Preventive

n Aset TI

Keamanan Perangkat Keras TI

(6)

JURUSAN SISTEM INFORMASI

5 (Pengelolaan

keamanan pada perangkat endpoint) Memastikan endpoint (laptop, dekstop, server, dll) diamankan pada level yang sama atau lebih besar dari kebutuhan keamanan informasi yg didefinisikan

Kebijakan Perlindunga n Informasi Kebijakan Operasional

TI 3. Melakukan enkripsi

informasi pada media penyimpanan yang

sesuai dengan

klasifikasinya.

Preventive

kasi 4. Mengelola akses dan

kontrol jarak jauh. Detective Kebijakan Hak Akses

Pengaturan Hak Akses Pengguna 5. Mengelola konfigurasi

jaringan secara aman. Preventive

n Aset TI

Keamanan Jaringan 6. Mengimplementasikan

penyaringan arus jaringan pada perangkat endpoint.

Preventive

n Aset TI

Keamanan Jaringan 8. Menyediakan

perlindungan secara fisik pada perangkat

endpoint. Preventive

kasi 9. Membuang perangkat

endpoint secara aman. Preventive

n Aset TI

Penggunaa n Perangkat

TI DSS05.04

Manage User Identify and Logical Access (Mengelola identitas pengguna dan akses logikal) Menentukan seluruh pengguna akses informasi

1. Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses. Menyelaraskan identitas manajemen dan hak akses terhadap peran dan tanggung jawab masing-masing berdasrkan prinsip least-previlege, need- tohave, dan need-to know

Detective

TI

Pengajuan Hak akses pengguna Pengaturan

Hak akses pengguna

(7)

JURUSAN SISTEM INFORMASI

6 yang tepat sesuai

kebutuhan bisnis dan

mengkoordinasikan dengan unit bisnis

2. Mengidentifikasi semua aktivitas memproses informasi berdasarkan peran fungsional,

berkordinasi dengan unit bisnis untuk memastikan bahwa semua peran sudah terdefinisi secara konsisten, termasuk peran-peran yang didefinisikan oleh bisnis sendiri dalam aplikasi proses bisnis

Preventive

TI

Pelatihan Layanan Kemanan

3. Melakukan autentikasi semua akses terhadap aset informasi berdasarkan dengan klasifikasi keamanan dan mengkoordinasikan dengan unit bisnis yang mengelola autentikasi pada aplikasi yang digunakan di proses

bisnis untuk

memastikan kontrol autentikasi telah dilakukan secara benar.

Detective Kebijakan Hak Akses

Pengaturan Hak akses

pengguna

4. Mengatur semua perubahan terhadap hak akses (pembuatan, modifikasi dan penghapusan) untuk dilakukan pada waktu yang tepat hanya berdasrakan

persetujuan dan semua transaksi

didokumentasikan oleh individu yang ditunjuk oleh pihak manajemen

pengguna

5. Memisahkan dan mengelola hak akses akun pengguna.

Detective Kebijakan Hak Akses

pengguna

(8)

JURUSAN SISTEM INFORMASI

7 6. Melakukan pengecekan

manajemen secara berkala pada seluruh akun dan hak akses terkait.

Corrective

Kebijakan Hak Akses

TI

pengguna 7. Memastikan seluruh

pengguna (internal, eksternal, dan sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI, operasi sistem, pengembangan, dan pemeliharaan)

teridentifikasi secara unik. Semua aktivitas pemprosesan informasi

oleh pengguna

diidentifikasi secara unik.

Detective

TI

pengguna

8. Memelihara jejak audit pada akses informasi yang terklasifikasi sangat sensitif.

pengguna DSS05.05

Manage Physical Access to IT Assets

(Mengelola akses fisik terhadap aset TI)

Mendefinisikan dan

mengimplementasi kan prosedur untuk grant, limit, dan revoke akses untuk premises, building, dan area terhadap kebutuhan bisnis

1. Mengelola permintaan dan pemberian akses ke dalam fasilitas komputer. Permintaan akses formal akan diselesaikan dan disetujui oleh pihak manajemen pada lokasi TI, dan permintaan kunjungan dicatat.

Formilir harus secara spesifik

mengidentifikasi

daerah mana yang disetujui untuk dikunjungi

Akses Fisik Perangkat Elektronik

(9)

JURUSAN SISTEM INFORMASI

8 DSS05.06

Manage Sensitive Documents and Output Devices (Mengelola dokumen dan perangkat output sensitif)

Menentuan pengamanan fisik yang tepat,

memperhitungkan praktik dan manajemen inventory melalui aset TI

1. Membuat prosedur untuk mengelola penerimaan,

penggunan,

pemindahan, dan pembuangan benda khusus beserta perangkat output, masuk ke dalam, di dalam, dan keluar dari Jurusan.

Preventive

TI

Penggunaa n perangkat

TI

2. Menetapkan hak akses terhadap dokumen dan perangkat output sensitif berdasarkan prinsip hak-terkecil, risiko yang seimbang, dan kebutuhan bisnis.

Preventive

TI

TI 3. Membangun sebuah

inventarisasi untuk dokumen dan perangkat output sensitif dan melakukan penyesuaian secara berkala.

Preventive

TI

TI 4. Membangun

perlindungan fisik yang sesuai terhadap perangkat yang sensitif dan berbentuk khusus.

Preventive

n Aset TI

Keamanan Fisik Perangkat

TI 5. Menghilangkan

informasi sensitif dan melindungi perangkat output (contoh gangguan pada media elektronik,

pengrusakan fisik pada perangkat memori, penyediaan penghancur kertas atau wadah kertas yang terkunci untuk menghancurkan dokumen penting)

Preventive

Keamanan Fisik Perangkat

TI

DSS05.07 Monitor the Infrastructure for

1. Mencatat peristiwa

keamanan yang

dilaporkan oleh

Detective

TI

(10)

JURUSAN SISTEM INFORMASI

9 Security-Related

Events (Memantau infrastruktur yang berkaitan dengan

keamanan) Menggunakan alat pendeteksi,

memonitor

infrastruktur untuk akses yg tidak terotorisasi dan memastikan bahwa event yang

diintegrasikan dengan event umum

memonitoring dan manajemen insiden

infrastruktur pemantau

keamanan yang

mengidentifikasi

tingkat informasi yang

akan direkam

berdasarkan

pertimbangan terhadap risiko. Catatan itu digunakan sementara untuk membantu investigasi lanjutan.

Penangana n insiden

TI

2. Merumuskan dan mengkomunikasikan sifat dan karateristik dari insiden keamanan potensial sehingga dapat dikenal secara mudah dan dapat memberikan respon yang tepat terhadap dampaknya.

Preventive

TI

Penangana n insiden

TI

3. Memeriksa catatan peristiwa secara berkala untuk mengecek potensi insiden.

Corrective

TI

Penangana n insiden

TI 4. Menjaga kesetaraan

prosedur pengumpulan bukti dengan peraturan forensik setempat mengenai bukti dan memastikan semua staf sadar akan kebutuhan tersebut.

Preventive

Kebijakan Pelatihan

dan awareness Karyawan

Penangana n insiden

TI

5. Memastikan tiket insiden keamanan dibuat sesegera

mungkin saat

pemantauan terhadap identifikasi potensi insiden keamanan

Detective

TI

Penangana n insiden

TI

(11)

JURUSAN SISTEM INFORMASI

10

Mapping of Policies, Procedures, and Form

Key Management

Process and Acivities

Nama Kebijakan

No.

Dokumen Prosedur

Nama Prosedur

No.

Formulir

Nama Formulir

DSS05.01 – 6

KB-01 Kebijakan

Pelatihan dan Awareness

Karyawan KB-04 Kebijakan Operasional

TI

PR-01

Prosedur Pelatihan Layanan Keamanan

FR-01-01

Surat Tugas Mengikuti Pelatihan FR-01-02

Berita Acara Kegiatan Pelatihan FR-01-03

Laporan Pertanggung Jawaban Acara

DSS05.04 – 1

KB-03 Kebijakan Perlindungan

Informasi KB-04 Kebijakan Operasional

TI

PR-02

Prosedur Pengajuan Hak Akses

Pengguna

FR-02-01

Permohonan Akses Pengguna Baru FR-02-02

Surat Persetujuan Akses

Pengguna baru FR-02-03

Daftar Registrasi Akun dan Hak Akses

DSS05.02 – 2 DSS05.03 – 4 DSS05.04 – 1 DSS05.04 – 3 DSS05.04 – 4 DSS05.04 – 5 DSS05.04 – 6 DSS05.04 – 7 DSS05.04 – 8

TI KB-05

PR-03

Prosedur

Pengaturan Hak Akses

Pengguna

FR-03-01

Surat

Permohonan Modifikasi Akses Akun FR-03-02

Log Perubahan Hak Akses FR-03-03 Surat

Persetujuan

(12)

11 Kebijakan

Hak Akses

Modifikasi Hak Akses

DSS05.05 – 1

KB-05 Kebijakan

Hak Akses PR-04

Prosedur Akses Fisik Perangkat Elektronik

FR-04-01

Surat

Permohonan Akses Perangkat Elektronik Baru

FR-04-02

Surat Persetujuan Akses Perangkat Elektronik Baru DSS05.01 – 5

DSS05.02 – 4 DSS05.02 – 7 DSS05.03 – 3 DSS05.03 – 8

TI

PR-05

Prosedur Pertukaran Informasi melalui Media Telekomunikasi

FR-05-01 Data File Tidak Aman

DSS05.06 – 1 DSS05.06 – 2 DSS05.06 – 3 DSS05.03 – 9

Aset TI KB-04 Kebijakan Operasional

TI

PR-06

Prosedur Penggunaan perangkat TI

FR-06-01

Surat Pengajuan Pengadaan Perangkat TI FR-06-02

Surat

Persetujuan Pengadaan Perangkat TI FR-06-03

Formulir Izin Menggunakan Perangkat TI FR-06-04

Formulir Pengguna Perangkat TI FR-06-05

Formulir Disposisi Perangkat TI DSS05.07 – 1

DSS05.07 – 2 DSS05.07 – 3

KB-01 Kebijakan

Pelatihan

PR-07

Prosedur Penanganan Insiden TI

FR-07-01

Formulir pelaporan insiden

(13)

12 DSS05.07 – 4

DSS05.07 – 5

dan Awareness

Karyawan KB-04 Kebijakan Operasional

TI

FR-07-02

Formulir Penyelesaian insiden FR-07-03

Formulir Identifikasi Insiden

DSS05.02 – 1 DSS05.02 – 3 DSS05.02 – 5 DSS05.02 – 6 DSS05.03 – 5 DSS05.03 – 6

Aset TI KB-04 Kebijakan Operasional

TI

PR-08

Prosedur Keamanan Jaringan

FR-08-01

Formulir kasus keamanan jaringan

DSS05.02 – 6 DSS05.03 – 1 DSS05.06 – 4 DSS05.06 – 5

Aset TI KB-03 Kebijakan Perlindungan

TI

PR-09

Prosedur Keamanan Perangkat Keras TI

FR-09-01

Ancaman, Penyebab, dan Dampak Perangkat Keras TI

(14)

13

Mapping of Documents

Pedoman

Panduan

Kebijakan

Prosedur

Formulir

(15)

14

PEDOMAN

(16)

15

LEMBAR PENGESAHAN

PEDOMAN (PE-01)

Judul : PENDAHULUAN

No. Dokumen : PE-01

Rilis : 00

Revisi : 00

Historis Distribusi

:

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Jabatan Jabatan Jabatan Kepala Jurusan Tanggal:

/

(17)

16

RIWAYAT PERUBAHAN

Keterangan:

*T: Penambahan – M: Modifikasi – X: Penghapusan

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

(18)

17

PE- 01

^{NO. RILIS} ^{: 00}

NO. REVISI : 00

PENDAHULUAN

TANGGAL TERBIT :

HALAMAN :

PEDOMAN

Penggunaan IS-net pada Jurusan Sistem Informasi telah menjadi salah satu komponen penting dalam mendukung kegiatan bisnis akademik. Kecepatan, akurasi, serta keamanan transaksi informasi tentu merupakan nilai-nilai yang diharapkan dari penerapan IS-net untuk menunjang bisnis. Namun dalam kegiatan operasinya tidak dapat dihindari bahwa IS-net memiliki kerentanan keamanan yang berpotensi menjadi insiden . Tentu hal ini akan berdampak pada tingkatan kualitas IS-net sehingga tidak mampu menghasilkan nilai bisnis sesuai dengan ekspektasi.

Maka dari itu dalam konteks keamanan, perlu diterapkan tata kelola dalam pengelolaan kejadian atau insiden yang terkait dengan keamanan. Dengan penerapan tata kelola insiden pada aset IS-net maka dapat diraih sistem yang lebih rapih dan terstandar dalam segi pengelolaan mencakup pemantauan hingga pengendalian sistem, kegiatan operasional yang lebih efisien sebab memiliki pedoman aktivitas yang terstandar, terminimalisirnya risiko dan insiden yang merugikan organisasi. Dengan penerapan tata kelola dalam pengelolaan keamanan, maka ditentukan kegiatan yang perlu dilakukan, bagaimana pelaksanaannya, implementasi dari proses, struktur dan mekanisme yang saling berhubungan untuk memudahkan pihak pengelola dan TI dalam melaksanakan tanggung jawab dalam mendukung keselarasan bisnis dan TI, dan penciptaan nilai dari TI yang menentukan tingkatan kesuksesan investasi TI. Maka dari itu TI dan tata kelola merupakan kesatuan untuk memwujudkan nilai bisnis yang berdampak baik terhadap JSI.

Terdapat banyak standar internasional yang mencakup tata kelola dalam menanggapi isu terkait dengan keamanan, salah satunya adalah COBIT 5 for risk. Standar ini menyediakan pedoman mengenai bagaimana organisasi mengidentifikasi resiko, menganalisa resiko, hingga bentuk tanggapan terhadap resiko melalui proses pengelolaan yang disediakan oleh COBIT 5.

Untuk konteks terkait dengan isu keamanan, COBIT 5 menganjurkan untuk melakukan implementasi fase pengelolaan resiko operasional yang lebih tepatnya proses DSS05 Manage security services. Sesuai dengan namanya proses ini berfokus pada tata kelola dalam layanan keamanan TI. Proses ini memiliki 7 praktik pengelolaan antara lain:

 DSS05.01 proteksi terhadap malware

 DSS05.02 mengelola kemanan jaringan dan konektvitas

 DSS05.03 mengelola keamanan perangkat endpoint

 DSS05.04 mengelola identitas user dan akses

 DSS05.05 megelola akses fisik terhadap aset TI

 DSS05.06 mengelola dokumen yang bersifat sensitif dan perangkat output

 DSS05.07 memantau infrastruktur terkait dengan kejadian keamanan

(19)

JURUSAN SISTEM INFORMASI

18

LEMBAR PENGESAHAN

PEDOMAN (PE-02)

Judul : DASAR DAN ACUAN

No. Dokumen : PE-02

Rilis : 00

Revisi : 00

Historis Distribusi

:

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Jabatan Jabatan Koordinator IS Net Jabatan Kepala Jurusan Tanggal:

(20)

19

Keterangan:

(21)

20

PE-02

^{NO. RILIS} ^{: 00}

NO. REVISI : 00

DASAR DAN ACUAN

TANGGAL TERBIT :

HALAMAN :

PEDOMAN

1. Dasar

1.1.Kebijakan Jurusan Sistem Informasi

1.2.Kebijakan Institut Teknologi Sepuluh Nopember

1.3.Peraturan Menteri Badan Usaha Milik Negara No. PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara 1.4. Peraturan Menteri Badan Usaha Milik Negara No. PER-13/MBU/2014 tentang

Pedoman Pendayagunaan Aset Tetap Badan Usaha Milik Negara 2. Acuan

Adapun pembuatan tata kelola ini mengacu pada:

- COBIT 5

- ISO 27002:2011

(22)

JURUSAN SISTEM INFORMASI

21

LEMBAR PENGESAHAN

PEDOMAN (PE-03)

Judul : TUJUAN

No. Dokumen : PE-03

Rilis : 00

Revisi : 00

Historis Distribusi

:

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(23)

22

Keterangan:

(24)

23

TUJUAN

TANGGAL TERBIT :

HALAMAN :

PEDOMAN

1. Tujuan dan Indikator

Tujuan Indikator

Menjamin penyesuaian dan dukungan TI agar

bisnis sesuai dengan hukum dan peraturan

eksternal

 Biaya dari ketidaksesuaian TI, termasuk denda dan biaya penyelesaian dan dampak dari penurunan reputasi.

 Isu ketidaksesuaian TI yang dilaporkan kepada dewan atau yang menyebabkan penurunan citra di publik

 isu ketidaksesuaian yang terkait dengan perjanjian kontrak dengan pihak penyedia layanan TI.

 Cakupan dari penilaian kesesuaian.

Menangani risiko bisnis yang terkait dengan TI

 % proses bisnis yang kritis, servis TI, dan program bisnis berbasis TI yang termasuk ke dalam penilaian risiko

 insiden signifikan terkait TI yang tidak teridentifikasi pada penilaian risiko

 Frekuensi pembaharuan profil risiko.

Menyediakan keamanan untuk informasi, infrastruktur, dan aplikasi pengolahan

 insiden keamanan yang menyebabkan kehilangan finansial, gangguan pada bisnis, atau penurunan citra di public

 layanan TI dengan kebutuhan keamanan tingkat tinggi

 Waktu untuk memenuhi, mengganti, dan menghilangkan hak akses khusus dibandingkan dengan level pelayanan pada perjanjian.

 Frekuensi penilaian keamanan dibandingkan dengan standar dan panduan terbaru

(25)

JURUSAN SISTEM INFORMASI

24

LEMBAR PENGESAHAN

PEDOMAN (PE-04)

Judul : Ruang Lingkup

No.Dokumen : PE-04

Rilis : 00

Revisi : 00

Histori Distribusi :

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(26)

25

Keterangan:

(27)

26

PE-04

^{NO. RILIS} ^{: 00}

NO. REVISI : 00

RUANG LINGKUP

TANGGAL TERBIT :

HALAMAN :

PEDOMAN

Adapun ruang lingkup proses-proses mengelola layanan keamanan pada pembuatan dokumen tata kelola ini, yaitu sebagai berikut :

a. Perlindungan Terhadap Malware (DSS05 – 01)

Menerapkan pencegahan, deteksi dan langkah perbaikan di seluruh aset informasi Institut Teknologi Sepuluh Nopember (ITS) terhadap serangan malware.

5. Menyaring arus data yang masuk, seperti email dan download untuk perlindungan terhadap informasi yang tidak diinginkan (contoh spyware, email phising).

6. Mengadakan pelatihan berkala mengenai malware pada email dan penggunaan internet. Pengguna dilatih untuk tidak menginstal perangkat lunak yang saling berbagi penggunaannya atau tidak disetujui.

b. Mengelola Jaringan dan Keamanan Konektivitas (DSS05 – 02)

Menggunakan langkah-langkah keamanan dan manajemen terkait prosedur untuk melindungi informasi dari semua metode konektivitas.

1. Membuat dan mengelola peraturan untuk keamanan konektivitas berbasis dari penilaian risiko dan kebutuhan bisnis.

2. Hanya perangkat-perangkat terdaftar yang memiliki akses pada informasi korporasi dan jaringan Jurusan. Melakukan konfigurasi perangkat untuk memiliki password agar dapat diakses.

3. Menerapkan mekanisme penyaringan jaringan seperti firewall dan pendeteksi perangkat lunak dengan kebijakan yang tepat untuk mengatur lalu lintas keluar masuk jaringan.

4. Informasi yang dikirim dienkripsi sesuai dengan klasifikasinya.

5. Mengaplikasikan protokol keamanan yang sudah disetujui ke konektivitas jaringan.

6. Konfigurasi perangkat jaringan secara aman.

7. Membuat mekanisme terpercaya untuk mendukung pengiriman dan penerimaan informasi yang aman.

c. Mengelola Keamanan Endpoint (DSS05 – 03)

Memastikan perangkat endpoint (misalnya, laptop, desktop, server dan perangkat mobile dan jaringan lain atau perangkat lunak) dijamin keamanannya.

1. Konfigurasi sistem operasi dengan aman.

3. Enkripsi informasi pada media penyimpanan sesuai dengan klasifikasinya.

4. Mengelola akses dan kontrol jarak jauh.

5. Mengelola konfigurasi jaringan secara aman.

6. Mengimplementasikan penyaringan arus jaringan pada perangkat endpoint.

(28)

JURUSAN SISTEM INFORMASI

27 7. Melindungi integrasi sistem.

8. Menyediakan perlindungan secara fisik pada perangkat endpoint.

9. Membuang perangkat endpoint secara aman.

d. Mengelola identitas pengguna dan akses logical (DSS – 04)

Memastikan bahwa semua pengguna memiliki hak akses informasi sesuai dengan kebutuhan bisnis dan mengelola hak akses semua pengguna

1. Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses. Menyelaraskan manajemen identifikasi dan hak akses dengan peran dan tanggung jawab yang jelas sesuai dengan prinsip hak-akses-paling-rendah, kebutuhan-untuk-memiliki, dan kebutuhan-untuk-mengetahui.

2. Identifikasi seluruh aktivitas pemprosesan informasi berdasarkan peran fungsional secara unik, mengkoordinasikan dengan unit bisnis terkait untuk mamstikan semua peran sudah terdefinisikan termasuk peran yang terdefinisikan melalui bisnis itu sendiri di dalam aplikasi proses bisnis.

3. Autentikasi semua akses terhadap aset informasi berdasarkan dengan klasifikasi keamanan dan mengkoordinasikan dengan unit bisnis yang mengelola autentikasi pada aplikasi yang digunakan di proses bisnis untuk memastikan kontrol autentikasi telah dilakukan secara benar.

4. Mengatur seluruh perubahan pada hak akses (pembuatan, modifikasi, penghapusan) untuk mengambil efek pada waktu yang tepat berdasarkan hanya pada transaksi yang disetujui dan didokumentasikan oleh individual yang bertanggung jawab.

5. Memisahkan dan mengelola hak akses akun pengguna.

6. Melakukan pengecekan manajemen secara berkala pada seluruh akun dan hak akses terkait.

7. Memastikan seluruh pengguna (internal, eksternal, dan sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI, operasi sistem, pengembangan, dan pemeliharaan) teridentifikasi secara unik. Semua aktivitas pemprosesan informasi oleh pengguna diidentifikasi secara unik.

8. Pemeliharaan jejak audit pada akses informasi yang terklasifikasi sangat sensitif.

e. Mengelola akses fisik terhadap aset TI

Menentukan dan menerapkan hak akses ke bangunan dan area Institut Teknologi Sepuluh Nopember (ITS)sesuai dengan kebutuhan bisnis.

1. Mengelola permintaan dan penjaminan akses ke dalam fasilitas komputasi.

Permintaan akses formal diselesaikan dan diautentikasi oleh manajeman pada lokasi TI yang terkait dan catatan permintaan ditahan oleh manajemen yang terkait.

Formulir harus mengidentifikasi area dimana akses diberikan kepada seorang individu.

2. Memastikan akses terhadap profil tetap ada. Akses dasar terhadap area TI (ruang server, bangunan, area atau zona) pada fungsional dan tanggung jawab kerja.

3. Pengukuran dan pemantauan semua seluruh titik masuk pada lokasi TI termasuk kontraktor dan vendor pada lokasi TI.

(29)

JURUSAN SISTEM INFORMASI

28

4. Menginstruksikan seluruh personil untuk menunjukkan identifikasi yang jelas pada setiap waktu. Mencegah penggunaan kartu identitas atau lencana tanpa pengautentikasian yang tepat.

5. Mewajibkan pengawasan kepada pengunjung sepanjang waktu saat mereka ada di area. Apabila ada orang yang tidak dikenal dan tidak ditemani siapapun yang tidak menggunakan identifikasi staf, peringatkan personil keamanan.

6. Membatasi akses ke dalam area TI yang sensitif dengan memasang batasan seperti pagar,

7. tembok, dan perangkat keamanan pada interior dan eksterior area. Memastikan perangkat untuk mencatat dan memicu alarm saat terjadi akses yang tidak terautentikasi. Contoh perangkat terasuk di dalamnya lencana atau kartu akses, keypad

8. Melakukan pelatihan kesadaran keamanan fisik secara berkala f. Mengelola dokumen dan perangkat output sensitive

1. Membuat prosedur untuk mengelola penerimaan, penggunaan, pencabutan, dan pembuangan formulir khusus dan perangkat output ke dalam, di dalam, dan keluar dari Jurusan.

2. Menetapkan hak akses terhadap dokumen dan perangkat output sensitif berdasarkan prinsip hak-terkecil, risiko yang seimbang, dan kebutuhan bisnis.

3. Membangun sebuah inventarisasi untuk dokumen dan perangkat output sensitif dan melakukan penyesuaian secara berkala.

4. Membangun perlindungan fisik yang sesuai terhadap perangkat yang sensitif dan berbentuk khusus.

5. Menghilangkan informasi sensitif dan melindungi perangkat output (contoh gangguan pada media elektronik, pengrusakan fisik pada perangkat memori, penyediaan penghancur kertas atau wadah kertas yang terkunci untuk menghancurkan dokumen penting)

g. Memantau infrastruktur yang berkaitan dengan keamanan

1. Mencatat peristiwa keamanan yang dilaporkan oleh infrastruktu pemantau keamanan yang mengidentifikasi tingkat informasi yang akan direkam berdasarkan pertimbangan terhadap risiko. Catatan itu digunakan sementara untuk membantu investigasi lanjutan.

2. Merumuskan dan mengkomunikasikan sifat dan karateristik dari insiden keamanan potensial sehingga dapat dikenal secara mudah dan dapat memberikan respon yang tepat terhadap dampaknya.

3. Memeriksa catatan peristiwa secara berkala untuk mengecek potensi insiden.

4. Menjaga kesetaraan prosedur pengumpulan bukti dengan peraturan forensik setempat mengenai bukti dan memastikan semua staf sadar akan kebutuhan tersebut.

5. Memastikan tiket insiden keamanan dibuat sesegera mungkin saat pemantauan terhadap identifikasi potensi insiden keamanan

(30)

JURUSAN SISTEM INFORMASI

29

LEMBAR PENGESAHAN

PEDOMAN (PE-05)

Judul : PROSES BISNIS

No. Dokumen : PE-05

Rilis : 00

Revisi : 00

Historis Distribusi

:

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(31)

30

Keterangan:

(32)

31

PE-05

^{NO. RILIS} ^{: 00}

NO. REVISI : 00

PROSES BISNIS

TANGGAL TERBIT :

HALAMAN :

PEDOMAN

Proses Bisnis

Jurusan Sistem Informasi telah menetapkan proses bisnis untuk mengelola layanan keamanan sebagaimana direpresentasikan pada Gambar 1.

Gambar 1 Proses Bisnis Jurusan Sistem Informasi ITS

Penanggung Jawab

Penanggung jawab yang ditetapkan Institut Teknologi Sepuluh Nopember (ITS)untuk melaksanakan tata kelola pengelolaan pengetahuan adalah sebagai berikut

Jabatan Penanggung Jawab pada Jurusan/Jurusan Operasional TI Mas Nanok

Administrator TI Mas Nanok Kepala Jurusan Bapak Aris Koordinator IS Net Bapak Radityo

LPTSI Teknisi LPTSI

P3AI Operasional TI P3AI

Kemahasiswaan Dosen TKK

(33)

JURUSAN SISTEM INFORMASI

32

LEMBAR PENGESAHAN

PEDOMAN (PE-06)

Judul : ISTILAH DAN DEFINISI

No.Dokumen : PE-06

Rilis : 00

Revisi : 00

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(34)

33

Keterangan:

(35)

34

PE-06

^{NO. RILIS} ^{: 00}

NO. REVISI : 00

ISTILAH DAN DEFINISI

TANGGAL TERBIT :

HALAMAN :

Berikut daftar definisi dari istilah-istilah yang digunakan dalam dokumen tata kelola ini :

 JSI : Jurusan Sistem Informasi

 ITS : Institut Teknologi Sepuluh Nopember

 IS Net : Information Systems Net , merupakan unit pengelola dan pengembangan TI di Jurusan Sistem Informasi ITS

(36)

JURUSAN SISTEM INFORMASI

35

PANDUAN

(37)

36

PANDUAN MENGELOLA LAYANAN KEAMANAN (PA-01)

PA-01

^{NO. RILIS} ^{: 00}

NO. REVISI : 00

MENGELOLA LAYANAN KEAMANAN

TANGGAL TERBIT :

HALAMAN :

Deskripsi Proses

Melindungi informasi Institut Teknologi Sepuluh Nopember (ITS) untuk mempertahankan tingkat resiko keamanan informasi yang dapat diterima oleh per sesuai dengan kebijakan keamanan. Membangun dan memelihara peran keamanan informasi dan hak akses serta pemantauan kemananan

Tujuan Proses

Mengurangi pengaruh terhadap bisnis dari kerentanan dan kejadian penerapan/operasional kemananan informasi

Tujuan dan Indikator Kerja

Tujuan Indikator Kinerja

1. Keamanan jaringan dan komunikasi sesuai dengan keinginan bisnis

 Jumlah kerentanan yang ditemukan

 Jumlah firewall yang tembus 2. Informasi yang diproses, disimpan

dan dipancarkan oleh perangkat titik akhir dilindungi

 Persentase individu yang menerima training awareness yang

berhubungan untuk menggunakan perangkat titik akhir

 Jumlah kejadian yang melibatkan perangkat titik akhir

 Jumlah perangkat yang tidak dikenali yang dideteksi pada jaringan atau lingkungan pengguna akhir 3. Semua pengguna diidentifikasi secara

unik dan memiliki hak akses sesuai dengan peran bisnisnya

 Rata-rata waktu antara perubahan dan pembaharuan akun

 Jumlah akun (vs. jumlah pengguna atau staff yang tidak dikenali) 4. Tindakan/ukuran fisik telah

diimplementasikan untuk melindungi

 Persentase tes secara berkala terhadap lingkungan perangkat kemanan.

(38)

JURUSAN SISTEM INFORMASI

37 Praktik Manajemen Kunci

Dalam proses mengelola layanan keamanan, terdapat tujuh praktik manajemen kunci yang melibatkan pemangku kepentingan terkait, sebagaimana terlihat pada tabel berikut ini.

Praktek Manajemen Kunci

Operasion al TI Administr ator TI Kepala Jurusan Koordinat or IS Net LPTSI P3AI Kemahasi swaan

DSS05-01

Melindungi Terhadap Malware

I R C A

DSS05.02

Mengelola jaringan dan

keamanan konektivitas I R C A R

DSS05.03

Mengelola keamanan endpoint

I R C A

DSS05.04

Mengelola identifikasi

penggunaan akses logis I R C A R A

DSS05.05

Mengelola akses fisik

terhadap akses TI I R C A

DSS05.06

Mengelola kepekaan dokumen dan output perangkat

I R C A

informasi dari akses yang tidak dikenali, bahaya dan campur tangan ketika diproses, disimpan dan dipancarkan

 Rata-rata penilaian untuk perkiraan keamanan fisik

 Jumlah keamanan fisik yang berhubungan dengan kejadian

5. Informasi elektronik diamankan dengan baik ketika disimpan, dipancarkan atau dihancurkan

 Jumlah kejadian yang berhubungan dengan akses terhadap informasi yang tidak dikenali

(39)

JURUSAN SISTEM INFORMASI

38 DSS05.07

Mengamati

infrastruktur untuk keamanan yang berhubungan dengan kejadian

R R I A/C

(40)

JURUSAN SISTEM INFORMASI

39

KEBIJAKAN

(41)

40

KB-01

Kebijakan Pelatihan dan Awareness Karyawan

Kebijakan Kualitas Sumber Daya Manusia merupakan kebijakan yang mencakup :

 Peningkatan kualitas sumber daya manusia (staff)

 Meningkatkan pengetahuan dan kesadaran sumber dayya manusia terhadap prosedur yang berlaku.

1. Mengadakan pelatihan berkala mengenai malware pada email dan penggunaan internet.

Pengguna dilatih untuk tidak menginstal perangkat lunak yang terbagi atau tidak disetujui. (DSS05.01 – Aktivitas 6)

1.1 Pelatihan mengenai malware pada email dan penggunaan internet harus diadakan secara berkala oleh jurusan.

1.2 Pelatihan mengenai malware pada email dan penggunaan internet harus diikuti oleh karyawan (staff) jurusan pengguna sumberdaya TI.

1.3 Peserta pelatihan mengenai malware pada email dan penggunaan internet harus memenuhi persyaratan sebagai berikut:

a. sehat jasmani dan rohani

b. secara resmi tercatat sebagai bagian dari jurusan c. lulus seleksi dan perekrutan peserta

1.4 Materi pelatihan harus tediri dari dua materi utama, yakni malware pada email dan penggunaan internet.

1.5 Pemateri pelatihan mengenai malware paa email dan penggunaan internet harus sudah diakui kemampuannya dengan bukti sertifikasi.

2. Melakukan pelatihan kesadaran keamanan fisik secara berkala. (DSS05.05 – Aktivitas 5)) 2.1 Pelatihan kesadaran terhadap keamanan fisik harus diadakan oleh jurusan secara

berkala.

2.2 Peserta pelatihan kesadaran terhadap keamanan fisik harus terdiri dari pekerja, kontraktor, dan juga pihak ketiga.

2.3 Peserta pelatihan kesadaran terhadap keamanan fisik harus lulus perekrutan peserta.

2.4 Peserta harus mengikuti serangkaian kegiatan pelatihan dari awal hingga akhir, kecuali beberapa alasan berikut ini:

a. Sakit yang tidak memungkinkan peserta datang ke tempat pelatihan b. Adanya jadwal ibadah keagamaan

c. Adanya berita duka

2.5 Pelatihan kesadaran terhadap keamanan fisik harus dilakukan di luar area jurusan.

2.6 Materi pelatihan harus mengenai keamanan fisik dan sudah disetujui oleh Koordinator IS Net untuk disampaikan dalam pelatihan

2.7 Pemateri pelatihan kesadaran keamanan fisik harus pihak yang ditunjuk jurusan..

(42)

JURUSAN SISTEM INFORMASI

41

KB-02

Kebijakan Perlindungan Aset TI

Dalam Kebijakan Perlindungan Infrastruktur TI merupakan kebijakan yang mencakup:

 Perlindungan perangkat fisik TI (hardware)

 Perlindungan sistem perangkat fiiski TI

 Perlindungan jaringan

A. Perlindungan perangkat fisik TI (hardware)

1. Menyediakan perlindungan secara fisik pada perangkat endpoint (DSS05.03 - Aktivitas 08)

1.1 Perangkat endpoint harus dibatasi dari luar dengan memasang pembatas untuk melindungi dari ancaman terjadinya bencana alam atau ancaman dari perbuatan manusia.

1.2 Keamanan harus diterapkan untuk peralatan yang berada diluar lokasi jurusan untuk memperhitungkan resiko yang berbeda terjadi diluar area jurusan 1.3 Perangkat endpoint harus diletakkan di luar jangkauan pihak yang tidak

berkepentingan

2. Membuang perangkat endpoint secara aman (DSS05.03 - Aktivitas 09)

2.1 Melakukan pengecekan atau pendataan perangkat endpoint yang sudah tidak digunakan

2.2 Memastikan perangkat endpoint dibuang di tempat yang sesuai

3. Membangun perlindungan fisik yang sesuai terhadap perangkat yang sensitif dan berbentuk khusus (DSS05.06 - Aktivitas 04)

3.1 Membangun pengaman misalnya tempat khusus sesuai dengan perangkat sensitif yang ingin dilindungi.

3.2 Memastikan setiap perangkat senstif memiliki perlindungan fisik khusus B. Perlindungan sistem perangkat fisik TI

1. Melakukan konfigurasi sistem operasi secara aman (DSS05.03 - Aktivitas 01) a. Sistem operasi pada perangkat TI disepakati bersama

b. Sistem operasi pada perangkat TI harus bebas dari segala kemungkinan adanya ancaman

c. Memastikan sistem operasi perangkat TI sesuai dengan hardware yang dimiliki jurusan

C. Perlindungan jaringan

1. Implementasi mekanisme penyaringan jaringan seperti firewall dan perangkat lunak pendeteksi penyusup sesuai dengan peraturan yang terkait untuk mengontrol arus masuk dan arus keluar pada jaringan (DSS05.02 - Aktivitas 03)

(43)

JURUSAN SISTEM INFORMASI

42

1.1 Jaringan jurusan harus memiliki sistem penyaringan khusus terhadap arus masuk dan arus keluar contohnya dengan memasang firewall pada jaringan jurusan.

1.2 Sistem penyaringan khusus yang dipasang pada jaringan jurusan harus sesuai dengan peraturan yang berlaku di jurusan.

1.3 Jaringan yang telah dipasangn perangkat lunak pendeteksi penyusup harus di uji ketahanannya terhadap serangan dari luar

2. Mengaplikasikan protokol keamanan yang sudah disetujui terhadap konektivitas jaringan (DSS05.02 - Aktivitas 05)

2.1 Peraturan/konfigurasi yang telah dibuat dan disetujui harus diimplementasikan ke jaringan jurusan.

3. Melakukan konfigurasi peralatan jaringan dengan cara yang aman (DSS05.02 - Aktivitas 06)

3.1 Perangkat jaringan jurusan harus dikonfigurasi/diatur secara aman.

3.2 Melakukan konfigurasi sesuai dengan SOP atau user manual

3.3 Memastikan peralatan jaringan tidak menjadi rusak ketika dilakukan konfigurasi

3.4 Memastikan tidak ada proses yang berlangsung ketika melakukan konfigurasi 4. Mengelola konfigurasi jaringan secara aman (DSS05.03 - Aktivitas 05)

4.1 Perangkat jaringan jurusan harus dikonfigurasi/diatur secara aman.

4.2 Melakukan konfigurasi ulang jika konfigurasi yang sebelumnya tidak memenuhi kebutuhan jurusan

5. Mengimplementasikan penyaringan arus jaringan pada perangkat endpoint (DSS05.03 - Aktivitas 06)

5.1 Memasang perangkat perlindungan pada perangkat endpoint untuk melindungi dari arus jaringan yang tidak diinginkan

5.2 Memasang software perlindungan untuk melindungi dari jaringan dari penyusup

5.3 Memasang software pemantau untuk memantau kondisi pada arus jaringan 5.4 Melakukan pemeriksaan secara rutin pada perangkat endpoint

(44)

JURUSAN SISTEM INFORMASI

43

KB-03

Kebijakan Perlindungan Informasi

Dalam Kebijakan Perlindungan Informasi merupakan kebijakan yang mencakup perlindungan informasi yang ada di Jurusan.

1. Menyaring arus masuk seperti email atau unduhan untuk perlindungan terhadap informasi yang tidak diinginkan (contoh spyware, email phising). (DSS05.01 - Aktivitas 05) 1.1 Seluruh karyawan Jurusan Sistem Informasi Institut Teknologi Sepuluh Nopember

(ITS) hanya boleh berkirim email dengan menggunakan akun resmi yang diberikan oleh Jurusan

1.2 Membatasi akses terhadap situs-situs di internet yang memiliki unsur pornografi dan pornoaksi

1.3 Data pribadi karyawan tidak boleh diunggah ke publik

1.4 Data Jurusan Sistem Informasi dan Institut Teknologi Sepuluh Nopember (ITS) hanya bisa diserahkan ke publik atas izin pihak yang berwenang .

2. Melakukan konfigurasi sistem operasi secara aman (DSS05.03 - Aktivitas 01)

2.1 Konfigurasi sistem operasi didokumentasikan dengan baik, dan tidak boleh disebar luaskan, hanya untuk kepentingan yang berwenang

3. Menghilangkan informasi sensitif dan melindungi perangkat output (contoh gangguan pada media elektronik, pengerusakan fisik pada perangkat memori, penyediaan penghancur kertas atau wadah kertas yang terkunci untuk menghancurkan dokumen penting) (DSS05.06 - Aktivitas 05)

3.1. Informasi yang sudah tidak digunakan harus dimusnahkan

3.2. Pemusnahan harus disetujui oleh kepala bagian unit bisnis yang berwenang 3.3. Cara pemusnahan harus disesuaikan dengan objek aset informasi tersebut

(45)

JURUSAN SISTEM INFORMASI

44

KB-04

Kebijakan Operasional TI

Dalam Kebijakan Perlindungan Informasi merupakan kebijakan yang mencakup :

 Batasan penggunaan fasilitas TI bagi civitas akademik (mahasiswa, dosen, dan karyawan)

 Hal dasar apa yang perlu dilakukan dalam beberapa kegiatan.

1. Menyaring arus masuk seperti email atau unduhan untuk perlindungan terhadap informasi yang tidak diinginkan (contoh spyware, email phising). (DSS05.01 - Aktivitas 05)

1.1 Membatasi akses terhadap situs-situs di internet yang memiliki unsur pornografi dan/atau pornoaksi.

1.2 Dilarang mengunduh atau meng-install software yang tidak berhubungan dengan pendidikan dan pekerjaan.

1.3 Dilarang mengunduh file (seperti video, foto, musik, dsb.) yang tidak berhubungan dengan pendidikan dan pekerjaan.

2. Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses.

Menyelaraskan manajemen identifikasi dan hak akses dengan peran dan tanggung jawab yang jelas sesuai dengan prinsip hak-akses-paling-rendah (least-privilige), kebutuhan- untuk-emiliki (need-to-have), dan kebutuhan-untuk-mengetahui (need-to-know).

2.1 Dilarang menggunakan email Institut Teknologi Sepuluh Nopember (ITS) untuk bisnis komersil maupun non-komersil demi keuntungan pribadi

2.2 Dilarang menyimpan file yang tidak berhubungan dengan pendidikan dan pekerjaan dalam sistem TI milik Institut Teknologi Sepuluh Nopember (ITS).

2.3 Perlunya izin dalam menggunakan peralatan TI pribadi (seperti flashdisk, harddisk, dsb.)

2.4 Setiap personil diwajibkan untuk mengenakan tanda pengenal selama berada di kantor.

3. Melakukan konfigurasi sistem operasi secara aman (DSS05.03 - Aktivitas 01) 3.1 Konfigurasi sistem operasi dilakukan oleh pihak berwenang dari jurusan 3.2 Konfigurasi sistem operasi dilakukan setiap 1 tahun sekali

(46)

JURUSAN SISTEM INFORMASI

45

KB-05

Kebijakan Hak Akses

1. Memberikan akses informasi dan jaringan kepada perangkat-perangkat yang telah terdaftar. Melakukan konfigurasi perangkat agar memiliki password untuk mengaksesnya. (DSS05.02 - Aktivitas 02)

1.1 Hak akses terhadap dokumen dan perangkat yang penting hanya diberikan kepada orang-orang yang berwenang, yang memilki surat persetujuan akses akun

1.2 Username dan password tidak boleh disebarkan ke orang lain 2. Mengelola akses dan kontrol jarak jauh. (DSS05.03 - Aktivitas 04)

2.1 Akses jarak jauh hanya diberikan kepada staff atau karyawan yang menggunakan komputer di jurusan

2.2 Akses jarak jauh hanya bisa dilakukan pada komputer pribadi karyawan

2.3 Untuk melakukan akses dan kontrol jarak jauh, perlu dilengkapi dengan persetujuan dari yang berwenang

2.4 Harus ada daftar komputer yang diakses secara jauh

2.5 Komputer yang ada di laboratorium tidak boleh diakses secara jauh

3 Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses.

Menyelaraskan identitas manajemen dan hak akses terhadap peran dan tanggung jawab masing-masing berdasrkan prinsip least-previlege, need-to-have, dan need-to-know (DSS05.04 - Aktivitas 01)

3.1 Hak akses pengguna harus berdasarkan peran fungsional masing-masing

3.2 Manajemen identitas dan hak akses harus diselaraskan dengan peran dan tanggung jawab yang jelas dengan prinsip least previlege, need-to-have, dan need-to-know 3.3 Seluruh hak akses logical harus terdaftar, dan hanya pihak yang berwenang yang

memiliki akses terhadap daftar hak akses logical

4 Melakukan autentikasi semua akses terhadap aset informasi berdasarkan dengan klasifikasi keamanan dan mengkoordinasikan dengan unit bisnis yang mengelola autentikasi pada aplikasi yang digunakan di proses bisnis untuk memastikan kontrol autentikasi telah dilakukan secara benar. (DSS05.04 - Aktivitas 03)

4.1 Semua akses terhadap aset informasi oleh pengguna harus diautentikasi berdasarkan klasifikasi keamanan

4.2 Auntentikasi semua akses terhadap aset informasi harus dikoordinasian dengan IS Net 4.3 Kontrol autentikasi dilakukan setiap akhir semester.

5 Mengatur semua perubahan terhadap hak akses (pembuatan, modifikasi dan penghapusan) untuk dilakukan pada waktu yang tepat hanya berdasrakan persetujuan dan semua transaksi didokumentasikan oleh individu yang ditunjuk oleh pihak manajemen (DSS05.04 - Aktivitas 04)

(47)

JURUSAN SISTEM INFORMASI

46

5.1 Pembuatan hak akses akun harus disetujui oleh P3AI ITS dan/atau IS Net

5.2 Karyawan yang sudah tidak bekerja di Institut Teknologi Sepuluh Nopember (ITS) maka hak akses miliknya harus dicabut.

5.3 Perubahan baik peningkatan maupun penurunan hak akses akun harus disetujui oleh P3AI ITS dan/atau IS Net

5.4 Segala aktivitas pembuatan, perubahan, dan penghapusan hak akses harus didokumentasikan oleh pihak yang berwenang

5.5 Dokumentasi aktivitas pembuatan, perubahan, dan penghapusan hak akses hanya bisa diakses oleh pihak yang berwenang.

6 Memisahkan dan mengelola hak akses akun pengguna. (DSS05.04 - Aktivitas 05)

6.1 Hak akses akun pengguna harus dipisahkan antara pengguna biasa dan administrator 6.2 Hak akses akun pengguna diperiksa, dan diperbarui setiap semester.

7 Melakukan pengecekan manajemen secara berkala pada seluruh akun dan hak akses terkait. (DSS05.04 - Aktivitas 06)

8.1.Evaluasi terhadap hak akses akun dilakukan setiap semester.

8 Mengelola permintaan dan pemberian akses ke dalam fasilitas komputer. Permintaan akses formal akan diselesaikan dan disetujui oleh P3AI ITS dan/atau IS Net, dan permintaan kunjungan dicatat. Formilir harus secara spesifik mengidentifikasi daerah mana yang disetujui untuk dikunjungi (Aktivitas 01)

8.1 Permintaan akses formal harus diselesaikan dan disetujui oleh P3AI ITS dan/atau IS Net

8.2 Permintaan akses formal harus dicatat dan didokumentasikan oleh P3AI ITS dan/atau IS Net

8.3 Catatan permintaan akses formal disimpan oleh P3AI ITS dan/atau IS Net 8.4 Terdapat formulir yang mengidentifikasi area yang bisa diakses

(48)

JURUSAN SISTEM INFORMASI

47

PROSEDUR

PR-01 Prosedur Pelatihan Layanan Keamanan PR-02 Prosedur Pengajuan Hak Akses Pengguna PR-03 Prosedur Pengaturan Hak Akses Pengguna PR-04 Prosedur Akses Fisik Perangkat Elektronik

PR-05 Prosedur Pertukaran Informasi melalui Media Telekomunikasi PR-06 Prosedur Penggunaan perangkat TI

PR-07 Prosedur Penanganan Insiden TI PR-08 Prosedur Keamanan Jaringan

PR-09 Prosedur Keamanan Perangkat Keras TI

(49)

JURUSAN SISTEM INFORMASI

48

LEMBAR PENGESAHAN

PROSEDUR

Judul : Prosedur Pelatihan Layanan Keamanan No.Dokumen : PR-01

Rilis : 00

Revisi : 00

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(50)

49

Prosedur Pelatihan Layanan Keamanan (PR-01)

PR-01

^{NO. RILIS}NO. REVISI ^{: 00}: 00 Prosedur Pelatihan Layanan

Keamanan

TANGGAL TERBIT :

HALAMAN :

1. DESKRIPSI

Prosedur ini menjelaskan tata cara mengadakan pendidikan dan pelatihan terkait kesadaran keamanan untuk semua elemen jurusan untuk memberikan informasi akan pentingnya pengelola layanan keamanan terutama tentang malware pada email, penggunaan internet, dan keamanan fisik.

2. STANDAR YANG BERLAKU

2.1 . COBIT 5 : DSS05.01 Perlindungan terhadap malware DSS05.04 Mengelola identitas pengguna dan akses logical

2.2 . ISO/IEC 27002:2005 poin 8.2.2 Information security awareness, education, and training

3. TUJUAN

3.1. Meningkatkan pemahaman karyawan pengguna sistem informasi di JSI terhadap keamanan penggunaan email dan internet

3.2. Meningkatkan keterampilan karyawan pengguna sistem informasi di JSI untuk menjaga sistem dari malware, spyware, dan ancaman lainnya.

4. INDIKATOR KERJA

4.1. Jumlah training yang diadakan dalam satu semester (minimal 1 kali)

4.2. Jumlah kehadiran individu yang menerima training terkait kesadaran keamanan (minimal 3 peserta)

5. MASUKAN

No. Sumber

Masukan Jenis Masukan

Nama dan Nomor Dokumen 1. Internal Surat Tugas Mengikuti Pelatihan FR-01-01

(51)

JURUSAN SISTEM INFORMASI

50 6. KELUARAN

No. Tujuan

Keluaran Jenis Keluaran

Tujuan dan Nomor Dokumen 1. Internal Berita Acara Kegiatan Pelatihan FR-01-02 2. Internal Laporan Pertanggung jawaban acara FR-01-03 7. PERALATAN DAN PERLENGKAPAN

7.1. Buku dan Alat Tulis 7.2. Perangkat Komputer 7.3. Perangkat Presentasi 8. AKTIVITAS

8.1. Melakukan persiapan pelatihan terkait kesadaran keamanan

8.1.1. Koordinator IS Net melakukan pembentukan tim pengadaan pelatihan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan

8.1.2. Koordinator IS Net menentukan tempat dan waktu pengadaan pelatihan

8.1.3. Koordinator IS Net menentukan kebutuhan pengadaan pelatihan dengan rincian sebagai berikut:

a. Menentukan jumlah peserta pelatihan dan sistem perekrutan peserta b. Menentukan kebutuhan konsumsi

c. Menentukan kebutuhan transportasi untuk pelatihan yang dilakukan di luar kantor

d. Menentukan kebutuhan penginapan untuk pelatihan yang dilakukan di luar dan menginap

8.1.4. Koordinator IS Net menentukan kebutuhan materi dan rundown acara pelatihan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan poin 2,6, dan 2.7 dengan rincian sebagai berikut:

a. Menentukan materi yang akan disajikan dalam pelatihan b. Menentukan pemateri untuk tiap materi

8.1.5. Koordinator IS Net mendokumentasikan hasil persiapan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan

8.2. Pre-pelaksanaan pelatihan mengenai layanan keamanan

8.2.1. Koordinator IS Net melakukan seleksi peserta berdasarkan Kebijakan Pelatihan dan Awarness Karyawan poin 2.3

8.2.2. Operasional TI membuat daftar peserta pelatihan berdasarkan Kebijakan Pelatihan dan Awarness Karyawan poin 2.3

8.2.3. Operasional TI menyerahkan daftar peserta pelatihan kepada Koordinator IS Net

(52)

JURUSAN SISTEM INFORMASI

51

8.2.4. Koordinator IS Net mengeluarkan surat tugas pelatihan dalam bentuk dokumen FR-01-01 berdasarkan Kebijakan Pelatihan dan Awarness Karyawan poin 3.2 8.3. Pelaksanaan pelatihan mengenai layanan keamanan

8.3.1. Koordinator IS Net bersama tim pelaksana pelatihan melaksanakan pelatihan 8.3.2. Koordinator IS Net mendokumentasikan kegiatan pelatihan dengan bukti berita

acara dalam dokumen FR-01-02

8.4. Evaluasi pelatihan mengenai layanan keamanan

8.4.1. Koordinator IS Net bersama Operasional TI mengadakan evaluasi kegiatan pelatihan

8.4.2. Koordinator IS Net mendokumentasikan hasil evalusi dalam draf laporan pertanggung jawaban kegiatan pelatihan

8.4.3. Koordinator IS Net mengkonsultasikan draf laporan pertanggung jawaban kegiatan pelatihan kepada Kepala Jurusan

8.4.4. Kepala Jurusan mereview dan menyetujui draf laporan pertanggung jawaban kegiatan pelatihan dan terbentuk dokumen FR-01-03

8.4.5. Koordinator IS Net mengarsipkan dokumen laporan pertanggungjawaban FR- 01-03

(53)

JURUSAN SISTEM INFORMASI

52 9. Alur Prosedur

AKTIVITAS SUB- AKTIVITAS

PELAKSANA DOKUMEN

TERKAIT Koordinator

IS Net

Operasi onal TI

Kepala Jurusan

8.1 Persiapan pelatihan terkait kesadaran keamanan

8.1.1

Pembentukan tim pengadaan pelatihan 8.1.2

Menentukan tempat dan waktu pengadaan

pelatihan 8.1.3

Menentukan kebutuhan pengadaan pelatihan 8.1.4

Menentukan kebutuhan materi dan rundown acara pelatihan 8.1.5

Mendokumentasik an hasil persiapan

8.2 Pre-

pelaksanaan pelatihan mengenai layanan keamanan

8.2.1 Melakukan seleksi peserta 8.2.2

Menentukan peserta pelatihan 8.2.3

Menyerahkan daftar peserta pelatihan 8.2.4

Mengeluarkan surat tugas pelatihan

FR-01-01

(54)

JURUSAN SISTEM INFORMASI

53 8.3

Pelaksanaan pelatiha

8.3.1

Melaksanakan pelatihan 8.3.2

Mendokumentasik an kegiatan pelatihan

FR-01-02

8.4 Evaluasi pelatihan mengenai layanan keamanan

8.4.1

Mengadakan evaluasi kegiatan pelatihan

8.4.2

Mendokumentasik an hasil evalusi 8.4.3

Mengkonsultasika n draf laporan pertanggung jawaban 8.4.4

Mereview dan menyetujui draf laporan

pertanggung jawaban

FR-01-03

8.4.5

Mengarsipkan dokumen laporan pertanggungjawab an

FR-01-03

(55)

JURUSAN SISTEM INFORMASI

54

LEMBAR PENGESAHAN

PROSEDUR

Judul : Prosedur Pengajuan Hak Akses Pengguna No.Dokumen : PR-02

Rilis : 00

Revisi : 00

No Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(56)

55

Prosedur Pengajuan Hak Akses Pengguna (PR-02)

PR-02

^{NO. RILIS} ^{: 00}

NO. REVISI : 00

Prosedur Pengajuan Hak Akses Pengguna

TANGGAL TERBIT :

HALAMAN :

1. DESKRIPSI

Prosedur ini berisikan tata cara untuk pengajuan hak akses pengguna baru pada Jurusan Sistem Informasi Institut Teknologi Sepuluh Nopember (ITS) (user registration)

2. STANDAR YANG BERLAKU

2.1. COBIT 5 : DSS05.04 - Mengelola identitas pengguna dan akses logikal 2.2. ISO/IEC 27002 : Access Controls, User Registration

3. TUJUAN

3.1. Memberi arahan proses pengajuan hak akses dari pengguna baru

3.2. Menyediakan hak akses bagi pengguna baru yang sesuai dengan otoritasnya dan proses bisnis jurusan dan ITS

4. INDIKATOR KERJA

4.1. Waktu yang diperlukan untuk melakukan persetujuan (maksimal 2x24 jam) 4.2. Persentase persetujuan yang dikeluarkan per permohonan yang masuk (80%) 4.3. Kesesuaian jumlah akun yang ada dengan yang ada di formulir daftar akun 5. MASUKAN

No Sumber Masukan Jenis Masukan

Nomor dan Nama Dokumen 1. APO01.02 Definisi dari peran dan tanggung

jawab berkaitan dengan IT

- 2. Internal Surat pengajuan hak akses

pengguna

FR-02-01

6. KELUARAN No Tujuan

Keluaran Jenis Keluaran

Nomor dan Nama Dokumen 1. Internal Surat persetujuan hak akses pengguna baru FR-02-02

(57)

JURUSAN SISTEM INFORMASI

56

2. Internal Daftar registrasi akun dan hak akses FR-02-03 7. PERALATAN DAN PERLENGKAPAN

7.1. Buku dan Alat Tulis 7.2. Perangkat Komputer 8. AKTIVITAS

8.1. Mengelola hak akses pengguna sesuai dengan fungsional bisnis dan kebutuhan proses.

8.1.1. Operasional TI mengajukan permohonan tertulis akses pengguna baru ke Administrator TI (FR-02-01)

8.1.2. Administr