C002 - Information Technology Security-Revisi 04 [PDF]

Citation preview

PT. WILLBES GLOBAL



PROSEDUR KEAMANAN INFORMASI & TEKNOLOGI (IT) INFORMATION TECHNOLOGY SECURITY SOP Number P.CTPAT.002.04 Revise Number 04 Superseded Version Number and Date



Effective Date Review Date P.CTPAT.002.03



Author



Position



Signature



Rina Isnaeni Asmalia



Compliance Manager



_________________



Responsible Dede Achmad R.



IT Officer



_________________



Approved by



Position



Thomas Chae



Director



24 Sep 2018 24 Sep 2019 19 Jan 2017 Date



_________________



Disclaimer When using this document, please ensure that the version you are using is the most up to date or contact compliance dept. to confirm the current version. Out of date documents must not be relied upon and should be destroyed.



P.CTPAT.002.04



Page 1 of 6



Version Number 02



03 04



Changes to Document



Changes Date Approved authored by Rina Isnaeni A. 17 Dec 2015



Minor changes were made including formatting and alteration of wording. Contact information updated. Change the document numbering (eg 010WG-CTPAT-2012 as P.CTPAT.002.02) Review procedure Rina Isnaeni A. Adding responsible by IT Officer to implementation this procedure Review procedure and adding the backup of Rina Isnaeni A. server and use of combination of password at the computer



P.CTPAT.002.04



Page 2 of 6



19 Jan 2017 24 Sep 2018



1. TUJUAN  Sebagai panduan diseluruh Dept IT yang berkaitan dengan persyaratan C-TPAT  Untuk menjaga keamanan terhadap Akses Informasi dan Teknologi 2. RUANG LINGKUP Seluruh kegiatan yang berhubungan dengan proses C-TPAT di PT. Willbes Global Ruang lingkup untuk prosedur ini yaitu : • Kebijakan IT 3. DEFINISI C-TPAT: Customs Trade Partnership Against Terrorism 4. PROSEDUR 4.1 Operasional 4.1.1 PT. Willbes Global akan merancang teknologi informasi untuk memastikan hardware dan software sudah cocok sesuai dengan kebutuhan, serta memiliki kemampuan untuk melindungi sistem dan data dari pengguna yang tidak sah atau kejadian tidak terduga. 4.1.2 Departemen IT dengan persetujuan dari Management akan menjadi departemen yang akan mengelola sistem dan kinerja di dept. tersebut. 4.2



Prosedur Pemakaian Komputer 4.2.1 Setiap pemakai harus menjaga dan memelihara dengan sebaik-baiknya setiap komputer yang dipakainya. 4.2.2 Setiap komputer harus diberi password oleh pemakainya (password sebaiknya diganti secara berkala setiap 3 bulan). Password bersifat rahasia dan hanya diketahui si pemakai dan Department IT. Password harus menggunakan kombinasi antara huruf, angka atau symbol. 4.2.3 4.2.4 4.2.5



P.CTPAT.002.04



Review untuk password yang salah dan akses file secara periodik Setiap komputer dilengkapi dengan perangkat lunak antivirus dan tahan panas serta pembaharuan antivirus. Untuk data/ dokumen penting harus disimpan juga di dalam server PT. Willbes Global untuk antisipasi hilang data. Pemakai Komputer harus memiliki back up data untuk semua sistem komputer berikut ini : a. Pemakai komputer harus membuat back up untuk data penting dalam basis harian; b. Pemakai komputer harus melindungi seluruh perangkat lunak, sistem data, data aplikasi. c. Pemakai komputer sebaiknya menyimpan back up data pada tempat yang aman dan terkontrol dan koordinasi dengan petugas IT. d. Pemakaian komputer sebaiknya koordinasi dengan petugas IT/ Department IT untuk proses penyimpanan seluruh sistem perangkat lunak dan media back up data bulanan disimpan dalam tempat yang aman. e. Hal-hal yang harus disimpan dalam proses back up data adalah:  Tanggal back up data Page 3 of 6



        



Tipe back up data (incremental, full) Nomor generation Penanggung jawab back up data Kapasitas/ Daya tampung back up data (files/ directories) Media data tempat penyimpanan data operasional Media data tempat penyimpanan back up data Data back up hard ware and soft ware Parameter back up data Tempat penyimpanan back up data.



Menyimpan informasi backup di fasilitas situs aman. 4.2.7



Setiap komputer harus dimatikan dengan cara SHUT DOWN apabila pekerjaan telah selesai dilakukan agar komputer tidak mudah rusak. 4.2.8 Setiap komputer harus diberikan screen saver oleh setiap user masing-masing, untuk keamanan data dari akses orang lain yang tidak berkepentingan dan akan aktif minimal 5 menit setelah komputer tidak digunakan. 4.2.9 Untuk hari libur panjang/ cuti bersama, komputer sebaiknya bila telah dimatikan, dicabut dari saklar listrik. Hal ini untuk mencegah kerusakan dan pencegahan bahaya kebakaran. 4.2.10 Apabila terjadi hal-hal luar biasa (force majeur) misalnya: Pemadaman lampu, Kebakaran, Arus listrik tidak stabil dll., maka segera dilakukan tindakan cepat untuk mematikan sementara komputer sambil menunggu perbaikan ataupun keadaan kembali normal dari Pihak Yang Berwenang. Hal ini bertujuan untuk mencegah kerusakan berat/ fatal pada komputer & jaringannya. 4.2.11 Jika ada masalah dengan sistem komputer, setiap pemakai segera menghubungi Department IT/ Petugas IT PT. Willbes Global. 4.3



Prosedur Pengontrolan Akses Informasi 4.3.1 Semua informasi dan data yang berkaitan dengan dokumen kerja/ dokumen shipping/ bongkar-muat kargo/ data seals hanya bisa diakses oleh Petugas yang ditunjuk dan bersifat rahasia. 4.3.2 Setiap kesalahan dan gangguan dalam akses informasi seperti kesalahan dalam memasukkan password, gangguan sistem internet atau kerusakan sistem data komputer, harus segera dilaporkan ke Department IT/ bagian terkait. 4.3.3 Semua karyawan/ karyawati dilarang untuk memberikan informasi penting perusahaan secara tidak sah. Apabila ditemukan ada pihak-pihak yang meminta informasi baik melalui telephone, e-mail, hand phone, maupun datang langsung ke lingkungan perusahaan, karyawan/ karyawati harus segera melaporkan ke atasannya atau melaporkan ke Department IT dan HRD. 4.3.4 Bila diketahui atau ditemukan terjadinya penyalahgunaan/ pelanggaran/ pencurian akses informasi maka segera hubungi Department IT dan HRD.



4.4



Tindakan terhadap penyalahgunaan/ pelanggaran kejahatan terhadap akses Informasi & Teknologi 4.4.1 Apabila dicurigai/ diketahui/ ditemukan adanya penyalahgunaan/ pelanggaran atau kejahatan terhadap akses IT perusahaan, maka harap segera dilaporkan



P.CTPAT.002.04



Page 4 of 6



4.4.2 4.4.3



kepada Pihak Management (HRD) untuk selanjutnya diproses sesuai dengan peraturan yang berlaku. Semua jenis pelanggaran/ kejahatan tersebut harus dilaporkan ke Pihak Management untuk dibuatkan Berita Acara Pemeriksaan serta didokumentasikan (Recorded). Laporan disimpan sekurang-kurangnya selama 12 bulan. Pihak Management akan melakukan investigasi atas laporan tersebut untuk mendapatkan alat bukti yang lengkap dan kuat. Apabila kemudian benar-benar terbukti telah terjadi penyalahgunaan/ pelanggaran/ kejahatan maka akan diproses sesuai dengan hukum yang berlaku yang disesuaikan dengan kategori penyalahgunaan/ pelanggaran/ kejahatan tersebut: A. Ringan: Memakai komputer tanpa ijin pemilik atau atasannya, Merubah password tanpa ijin pemilik atau atasannya (Diberikan Surat Peringatan I). B. Sedang: Membuat back-up data dan informasi perusahaan tanpa ijin management/ pihak terkait, memasuki jaringan/ network internal yang terlarang. (Diberikan Surat Peringatan II). C. Berat:



4.4.4 4.4.5 4.4.6 4.5



Membocorkan informasi milik perusahaan, pencurian IT, pengrusakan sistem IT perusahaan, memperjualbelikan sistem IT perusahaan ke pihak luar, sengaja menghapus/ menghilangkan data-data IT perusahaan yang dapat menimbulkan kerugian & keresahan bagi perusahaan dan karyawan (Surat Peringatan III sampai PHK).



Untuk penyalahgunaan atau kejahatan terhadap IT dan telah terbukti kebenarannya serta sangat merugikan pihak perusahaan dan karyawan, maka akan diteruskan ke pihak kepolisian untuk proses hukum lebih lanjut. Penanganan gangguan komputer dilakukan secara langsung, artinya jika ada laporan gangguan maka IT akan langsung melakukan tindakan. Bagi yang melanggar standar prosedur tersebut maka akan dikenakan sanksi yang sesuai dengan peraturan perusahaan.



Tanggung Jawab 4.5.1 Direksi / Direktur Memiliki tanggung jawab utama untuk keputusan-keputusan Mengenai IT di PT. Willbes Global. 4.5.2



Manager Memiliki tanggung jawab untuk melakukan pemeriksaan setiap permintaan resmi dari Department nya ke IT dan memiliki tanggung jawab untuk memastikan dept. mereka mematuhi dan mengikuti kebijakan dan Prosedur IT.



4.5.3



IT Staff • Memberikan informasi kepada pengguna mengenai Teknologi Informasi dan memberikan bantuan kepada pengguna sesuai dengan kebutuhan/permintaan.



P.CTPAT.002.04



Page 5 of 6



• • •



4.6



Memonitor dan mengontrol kinerja sistem termasuk menghapus pengguna yang sudah tidak berlaku. Menilai dampak pada semua proses hilangnya IT infrastruktur, menentukan persyaratan perbaikan yang diperlukan dan menetapkan prosedur pemulihan bencana secara terperinci. Memastikan bahwa kebijakan tersebut dan standar yang terkandung di dalamnya sekarang dan saat ini tidak berat sebelah sejalan dengan PT. Willbes Global. Standar tersebut harus ditinjau setiap tahun, sebelum melakukan penganggaran dipastikan harus sesuai kebutuhan yang memadai.



4.5.4



User / Pengguna Komputer Semua pengguna memiliki tanggung jawab untuk membackup file mereka sendiri dan menjalankan scandisk untuk kinerja workstation yang lebih baik (setidaknya seminggu sekali), serta merawat dengan baik komputer dan perangkat lainnya.



4.5.5



Abusment Policy/Kebijakan penyalahgunaan Dalam kasus penyalahgunaan pada IT seperti akses yang tidak benar, mengubah data businness/ perusahaan, menyimpan data perusahaan yang tidak sah, menyimpan data yang tidak penting di komputer, mendistribusikan dan mengirimkan perangkat lunak yang tidak perlu, gambar tidak bermoral akan diberikan sangsi dengan surat peringatan dari tingkat 1 ke tingkat 3.



Prosedur Keamanan Password Komputer 1. Setiap karyawan yang bekerja menggunakan komputer wajib disertai dengan password. 2. Password yang digunakan pada komputer wajib menggunakan kombinasi huruf dan angka atau symbol. 3. Penggunaan password wajib diganti setiap 3 bulan secara berkala. 4. Dilarang memberitahukan password kepada orang lain. 5. Password wajib diingat oleh masing-masing pengguna komputer. 6. Setelah 2 X berturut-turut salah memasukkan password maka secara otomatis akan terblokir dan segera menghubungi pihak IT perusahaan untuk mendapat perbaikan. 7. Setiap karyawan pengguna komputer wajib memberitahukan passwordnya pada saat yang bersangkutan mengundurkan diri dari perusahaan kepada pihak IT dan HRD untuk kemudian akan dipulihkan/ clear passwordnya untuk pengisian password karyawan selanjutnya. 8. Departemen IT harus melakukan penyelidikan penyalahgunaan password dan melakukan analisa melalui laporan harian terkait hal tersebut. 9. Diberikan sangsi administrative kepada karyawan berupa surat peringatan dari manajemen terkait percobaan penyalahgunaan password/ komputer.



P.CTPAT.002.04



Page 6 of 6