Tiêu đề 26 - PROSEDUR PENGENDALIAN PENGAMANAN (HELPDESK).pdf ✅

Prosedur Pengendalian Pengamanan (security control) Environment sistem PT WAHANA PEMBAYARAN DIGITAL dibangun dan dikelola dengan menggunakan prinsip-prinsip dan kaidah-kaidah ISO 27001:2013 dan PCI DSS. Environment sistem PT WAHANA PEMBAYARAN DIGITAL saat ini juga dalam proses mendapatkan ISO 27001:2013 serta PCI DSS. ISO 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau ISMS (Information Security Management System), yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh perusahaan dalam proses mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan "best practice" dalam pengamanan informasi. PCI DSS (Payment Card Industry – Data Security Standard) adalah sebuah standar keamanan data pemegang kartu baik kartu kredit, ATM, debit, maupun e-money. PCI DSS dipelopori dan didirikan oleh 5 jaringan pembayaran internasional American Express, Discover, JCB, Mastercard, dan Visa. PCI DSS merupakan sebuah standar keamanan yang didesain untuk memastikan bahwa seluruh perusahaan yang menerima data dan informasi kartu kredit telah menerapkan standar keamanan sesuai dengan ketentuan di lingkungan usaha. Prosedur pengendalian pengamanan dalam environment PT WAHANA PEMBAYARAN DIGITAL diatur menggunakan kaidah-kaidah ISO 27001:2013 dan PCI DSS yang telah tersertifikasi. Berikut dokumen-dokumen yang mewakili kaidah ISO 27001:2013 dan PCI DSS yang terkait dalam prosedur pengendalian pengamanan: 1. Kebijakan Keamanan Informasi 1.1 Komitmen Pimpinan Puncak Keamanan Informasi Kebijakan Keamanan informasi bertujuan untuk melindungi informasi yang dikelola dan digunakan agar terhindar dari berbagai ancaman internal maupun eksternal yang meliputi keamanan data, perangkat teknologi, infrastruktur dari sistem, seluruh aktivitas serta proses yang terkait dengan penyediaan informasi. CEO dan seluruh manajemen perusahaan yang meliputi Divisi IT (Information Technology) beserta jajaran manajemen lainnya diharapkan berkomitmen dalam proses keamanan informasi yang mencakup sebagai berikut: ▪ Menjamin bahwa semua informasi diproses dengan menjaga kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability). ▪ Menjamin bahwa sasaran SMKI dibuat dan dikomunikasikan ke semua unit kerja dalam perusahaan. ▪ Patuh pada peraturan yang terkait pada keamanan informasi yang berlaku di Indonesia. ▪ Melakukan tindakan perbaikan yang berkesinambungan. ▪ Menjamin bahwa kebijakan dikomunikasikan ke semua personel internal dan eksternal yang terlibat pada sistem manajemen keamanan informasi. ▪ Memastikan bahwa kebijakan harus selalu dipatuhi oleh semua pihak tanpa adanya deviasi/diskresi yang tidak melalui prosedur yang benar. ▪ Memastikan bahwa kebijakan ditinjau melalui proses evaluasi bersama dengan CEO dan disetujui oleh CEO. 1.2 Tinjauan kebijakan untuk keamanan informasi IT Project Manager (sebagai CISO) bersama dengan Head of System Analyst & Quality Assurance (sebagai Security Coordinator) perlu mengevaluasi dokumen kebijakan keamanan informasi satu kali dalam satu tahun untuk menjaga kesesuaian efektifitas penerapannya yang harus didokumentasikan dan dilaporkan kepada CEO.
Apabila terdapat perubahan pada hasil peninjauan terhadap kebijakan keamanan informasi, maka dilakukan pengkinian dan meminta persetujuan kepada personel terkait. 1.3 Organisasi Keamanan Informasi 1.3.1 Internal Organisasi Pimpinan puncak harus secara jelas menetapkan struktur, tugas dan tanggung jawab serta proses koordinasi dalam sistem manajemen keamanan informasi dan melakukan proses tinjauan (review) pada implementasi keamanan informasi. 1.3.1.1 Peran dan Tanggung jawab Keamanan Informasi ▪ Tanggung jawab keamanan informasi harus dipahami oleh seluruh personil dan pihak ketiga yang berkerja di Iingkungan unit perusahaan untuk melindungi informasi selama diproses / diolah. ▪ Pendefinisian tanggung jawab mencakup penetapan tugas dan tanggung jawab didokumentasikan secara jelas dalam deskripsi pekerjaan masing-masing unit khususnya mengenai otorisasi penggunaan asset dan pengolahan informasi di setiap proses yang telah di identifikasi. 1.3.1.2 Pemisahan Tugas ▪ Tugas dan tanggung jawab dalam pekerjaan kritikal, dipisahkan untuk mengurangi risiko adanya perubahan tanpa ijin atau tidak disengaja dan penyalahgunaan aset tanpa otorisasi. ▪ Proses pengerjaan pekerjaan harus dipisahkan dengan proses otorisasinya. ▪ Kontrol harus diterapkan untuk menghindari resiko adanya karyawan yang tidak terotorisasi untuk mengakses, memodifikasi sistem, atau menggunakan aset tanpa otorisasi. ▪ Kontrol harus diterapkan untuk menghindari resiko adanya karyawan yang tidak terotorisasi untuk mengakses, memodifikasi sistem, atau menggunakan aset tanpa otorisasi. ▪ Aktivitas pemantauan, audit trail, dan manajemen pengendalian harus dipertimbangkan untuk mengurangi modifikasi yang tidak disengaja atau tidak terotorisasi terhadap aset. 1.3.1.3 Hubungan dengan Pihak Berwenang  HR GA Division (Human Resources General Affairs) harus memelihara dan mendokumentasikan nomor telepon pihak berwenang, seperti pemadam kebakaran, kepolisian, dan lainnya.  Terkait dengan penyediaan layanan Internet, Divisi IT perlu mendata kontak penyedia jasa layanan internet atau operator telekomunikasi apabila terdapat gangguan terhadap layanan tersebut. 1.3.1.4 Keamanan Informasi dalam Manajemen Proyek Perusahaan memastikan keamanan informasi untuk manajemen proyek IT yang mempengaruhi layanan IT dalam pengolahan informasi. Metode manajemen proyek harus menetapkan: ▪ Sasaran keamanan informasi dalam proyek IT ▪ Penilaian risiko dilakukan sebelum proyek IT dilakukan ▪ Tinjauan Keamanan Informasi dalam manajemen proyek dilakukan secara berkala ▪ Peran dan tanggung jawab terkait keamanan informasi ditetapkan dalam manajemen proyek
2. Mobile Computing dan Teleworking 2.1 Mobile Computing dan komunikasi Perusahaan tidak membatasi penggunaan mobile computing, selama pengguna perangkat mobile tersebut menerapkan prinsip kehati-hatian untuk memastikan bahwa informasi yang terkandung di dalamnya tidak bocor dan menjaga penggunaannya di lingkungan publik, misalnya jangan sampai perangkat mobile tersebut tercuri atau hilang. 2.2 Teleworking Seluruh aktivitas teleworking hanya dapat dilakukan oleh personel yang mempunyai kewenangan dan melalui ijin dari Security Coordinator. Beberapa hal yang perlu dipertimbangkan dalam pelaksanaan teleworking antara lain:  Selalu mengusahakan menggunakan line khusus atau fixed line yang aman.  Pembatasan waktu akses dari lokasi remote.  Penggunaan metode keamanan khusus dengan akses melalui VPN.  Personel harus menjaga kerahasiaan password saat akses ke dalam infrastruktur maupun setelah melakukan teleworking. 3. Keamanan Sumber Daya Manusia 3.1 Sebelum menjadi personil a. Penyaringan Penyaringan latar belakang (background screening) harus dilakukan pada setiap calon personel dan pihak ketiga dengan melakukan verifikasi terhadap informasi pribadi yang antara lain mencakup:  Referensi mengenai pengalaman, baik pribadi maupun profesional.  Verifikasi kelengkapan dan kebenaran CV pribadi.  Konfirmasi kebenaran kualifikasi akademik dan profesional.  Pemeriksaan catatan kriminal apabila diperlukan. Informasi mengenai calon personel harus dikumpulkan dan ditangani oleh HR GA Division (Recruitment & Training Staff) sesuai dengan aturan hukum dan perundang-undangan yang berlaku. b. Syarat dan Kondisi Setiap personel dan pihak ketiga harus menyetujui dan menandatangani syarat dan ketentuan dari kontrak pekerjaan. Hal ini untuk memastikan tanggung jawab terkait dengan proses keamanan informasi di unit kerja masing-masing. Perjanjian kerja harus sesuai dengan kebijakan keamanan informasi yang menekankan pada:  Bahwa semua personel dan pihak ketiga yang akan diberikan akses ke informasi yang bersifat sensitif harus menandatangani perjanjian kerahasiaan (non-disclosure agreement).  Tanggung jawab terkait dengan perlindungan informasi, khususnya informasi terkait data customer.  Tindak lanjut yang harus dilakukan apabila pengguna tidak memenuhi persyaratan perjanjian yang telah ditentukan. 3.2 Selama menjadi personil a. Tanggungjawab Manajemen Manajemen melalui pimpinan dari fungsi kerja di unit kerja perusahaan perlu memastikan bahwa personil dan pihak ketiga yang bekerja di lingkungan tersebut memahami proses keamanan informasi sesuai dengan kebijakan dan prosedur yang berlaku. b. Kesadaran Keamanan Informasi
Sosialisasi mengenai keamanan informasi kepada personel dan pihak ketiga yang bekerja di lingkungan perusahaan harus dilakukan secara berkala sesuai dengan tugas dan wewenang yang diberikan. Proses pengenalan mengenai keamanan informasi diberikan kepada seluruh personel pada waktu yang disediakan khusus untuk itu melalui induksi yang dilakukan oleh Divisi IT dan/atau Divisi HR GA, atau saat kick-off meeting pekerjaan kontrak bagi pihak ketiga. c. Proses Pendisplinan Proses pendisiplinan secara formal harus dilakukan bagi yang melakukan pelanggaran terkait dengan sistem keamanan informasi di perusahaan yang diatur dalam perjanjian kerjasama perusahaan (kontrak) dan prosedur terkait. Sanksi yang tegas seperti pemberhentian kerja atau pencabutan hak akses harus diberlakukan sesuai dengan pelanggaran yang dilakukan berdasarkan perjanjian kerja yang berlaku. 3.3 Pemberhentian atau pergantian status kepegawaian Personel atau pihak ketiga yang pindah atau tidak bekerja lagi di lingkup keamanan informasi perusahaan wajib melapor ke pihak terkait (atasan terkait dan Divisi HR GA) pada hari kepindahan / pemberitahuan personel yang bersangkutan. Divisi HR GA dan Divisi IT memastikan tidak ada keamanan informasi yang terganggu ketika personel bersangkutan keluar atau pindah. Tanggung jawab untuk melakukan proses pemberhentian atau pergantian status karyawan diatur dalam prosedur penerimaan dan pemberhentian karyawan. 4. Manajemen asset Untuk menjamin dan menjaga perlindungan terhadap informasi maka setiap aset informasi harus diidentifikasi serta ditentukan kepemilikannya. 4.1 Tanggung jawab terhadap asset a. Inventarisasi Aset Inventarisasi aset didokumentasikan dan diperiksa kesesuaiannya secara periodik minimal satu tahun sekali atau apabila ada penambahan dan pengurangan aset. Aset yang harus diinventarisasi berupa:  Informasi, yang dikelola oleh masing-masing unit kerja  Perangkat Layanan IT seperti (namun tidak terbatas) server, alat jaringan, layanan jaringan, dan keamanan jaringan yang dikelola oleh Divisi IT  Aset Penunjang IT seperti (namun tidak terbatas) PC, laptop, perangkat mobile, removable media, printer, dan scanner dikelola Divisi HR GA.  Bagian gedung untuk public area dikelola oleh Divisi HR GA.  Sumber daya manusia yang dikelola oleh Divisi HR GA (Human Resources General Affairs). b. Kepemilikan aset Kepemilikan untuk seluruh informasi dan aset pemrosesan informasi di dalam perusahaan perlu ditetapkan. Proses penentuan dan perubahan kepemilikan dan penanggungjawaban aset harus diotorisasikan oleh pihak yang berwenang, dan didokumentasikan dengan baik. c. Hak Akses Pengunaan Aset Divisi IT harus memonitor peraturan mengenai penggunaan fasilitas pemrosesan informasi meliputi: ▪ Penggunaan layanan jaringan, email dan penggunaan internet yang hanya diperuntukkan bagi personel atau pihak ketiga: