Profilerr

Kebijakan Keamanan Informasi

Kebijakan Keamanan Informasi mengemukakan dasar bagi perlindungan informasi, memfasilitasi keputusan pengelolaan keamanan, dan mengarahkan sasaran-sasaran itu yang membangun, mempromosikan, dan memastikan kontrol keamanan informasi terbaik. Kebijakan mencakup semua informasi dan sistem informasi termasuk informasi dan sistem informasi yang digunakan, dikelola atau dioperasikan oleh sebuah perusahaan di situs web ini. Kebijakan Keamanan Informasi melindungi kerahasiaan, integritas, dan ketersediaan datanya, untuk mengklasifikasikan dan menangani informasi, dan untuk berurusan dengan pelanggaran Kebijakan ini.  

Kebijakan Keamanan Informasi menyediakan serangkaian langkah perlindungan yang terintegrasi yang harus diterapkan secara sama guna memastikan lingkungan pengerjaan yang aman untuk pengoperasiannya. 

MAKSUD

Pengelolaan Keamanan Informasi merupakan pilihan yang wajar dan implementasi yang efektif dari kontrol yang tepat untuk melindungi aset informasi yang sangat penting. Proses kontrol dan pengelolaan, ditambah dengan pengawasan setelahnya terhadap kelayakan dan keefektifannya, membentuk dua unsur program Keamanan Informasi yang utama. Tiga tujuan Keamanan Informasi mencakup: 

  • Kerahasiaan: Melindungi informasi sensitif dari pengungkapan kepada orang atau sistem yang tidak berizin;
  • Integritas: Menjaga keakuratan, kelengkapan, dan aktualitas informasi;
  • Ketersediaan: Memastikan informasi dan layanan yang vital dapat diakses oleh para pengguna yang berizin saat diminta. 

CAKUPAN

Kebijakan ini berlaku untuk seluruh karyawan, kontraktor, mitra, Peserta Magang/Pelatihan yang bekerja di perusahaan kami. Penyedia layanan pihak ketiga yang menyediakan layanan hosting atau yang di mana datanya disimpan di luar gedung Perusahaan, juga akan tunduk dengan kebijakan ini. 

Cakupan Kebijakan Keamanan Informasi ini adalah informasi yang disimpan, yang dikomunikasikan dan yang diproses di dalam perusahaan kami dan data perusahaan pada lokasi-lokasi alih daya. 

TUJUAN

Tujuan dari Kebijakan Keamanan Informasi adalah untuk memberikan perusahaan kami, sebuah pendekatan pengelolaan risiko dan arahan informasi untuk perlindungan aset informasi ke seluruh unit, dan mereka yang dikontrak untuk menyediakan layanan. 

KLASIFIKASI ASET INFORMASI 

Aset informasi perusahaan diklasifikasikan ke dalam empat kategori: Publik, Internal, Rahasia dan Terbatas. Semua aset informasi yang utama harus memiliki calon pemilik yang bertanggung jawab untuk menetapkan prosedur-prosedur autentikasi dan otorisasi yang sesuai dengan kategori-kategori ini dengan catatan bahwa: 

  1. Informasi publik secara umum dapat disediakan atau distribusikan kepada masyarakat umum. Ini adalah informasi yang tidak memerlukan perlindungan dan ketika digunakan sebagaimana diinginkan, hampir tidak akan memiliki efek buruk terhadap pengoperasian, aset atau reputasi kewajiban perusahaan terkait privasi informasi.
  2. Informasi rahasia dikhususkan untuk penggunaan internal saja dengan akses hanya oleh staf yang memerlukannya saat dalam pelaksanaan tanggung jawabnya (informasi rahasia mencakup informasi yang dilindungi oleh hukum Negara Bagian atau kewajiban kontraktual bisnis) dan memerlukan perlindungan privasi dan keamanan.
  3. Informasi terbatas yang akan dijaga dengan sangat rahasia dengan akses berdasarkan semata-mata “harus mengetahui.” Contoh-contoh mencakup informasi yang berpengaruh pada kepentingan nasional dan/atau keamanan nasional. 

Semua staf harus menyadari akan tanggung jawab hukum dan korporat mereka terkait penggunaan, pembagian atau perilisan informasi yang tidak tepat ke pihak lainnya. Pihak ketiga yang menerima informasi rahasia atau terbatas harus memiliki izin untuk melakukannya dan individu tersebut atau organisasinya harus memiliki langkah-langkah keamanan informasi yang diadopsi, yang menjamin kerahasiaan dan integritas data itu. 

Informasi rahasia harus dilindungi guna mencegah akses atau eksposur yang tak berizin. 

Informasi terbatas memiliki tingkat sensitivitas tertinggi dan merepresentasikan risiko terbanyak bagi perusahaan, Negara Bagian, dan individu ketika informasi tersebut diakses atau terekspos kepada pihak-pihak yang tak berizin. Karenanya, karyawan perusahaan yang menangani Informasi Terbatas atau yang menggunakan sistem yang menyimpan, mengirimkan, atau memanipulasi Informasi Terbatas diwajibkan untuk menjaga kerahasiaan, integritas dan ketersediaan informasi/data tersebut sepanjang waktu. 

TATA KELOLA KEAMANAN INFORMASI

Tata kelola keamanan informasi terdiri dari pimpinan, struktur organisasional, dan proses yang melindungi informasi serta mitigasi ancaman keamanan informasi yang terus berkembang. 

Hasil-hasil terpenting dari tata kelola keamanan informasi mencakup:

  • Penyelarasan keamanan informasi dengan strategi bisnis untuk mendukung tujuan organisasional
  • Pengelolaan dan mitigasi risiko dan pengurangan dampak potensial terhadap sumber informasi ke level yang dapat diterima.
  • Pengelolaan kinerja keamanan informasi dengan mengukur, memonitor dan melaporkan metrik tata kelola keamanan informasi guna memastikan bahwa tujuan organisasional itu tercapai.
  • Optimalisasi investasi keamanan informasi dalam mendukung Tujuan organisasional. Adalah penting untuk mempertimbangkan kebutuhan organisasional dan manfaat dari tata kelola keamanan informasi.

TANGGUNG JAWAB

Departemen Pemasaran bertanggung jawab atas konten situs web dan memastikan bahwa materi memenuhi persyaratan hukum dan kebijakan. 

Departemen IT bertanggung jawab atas keamanan, fungsionalitas, dan infrastruktur situs web. Administrator Sistem akan memonitor situs web kami untuk waktu respons dan untuk memecahkan masalah yang dihadapi. 

KESADARAN DAN KOMUNIKASI

Adalah sangat penting agar semua aspek keamanan informasi, termasuk kerahasiaan, privasi dan prosedur yang terkait dengan akses sistem dimasukkan ke dalam prosedur orientasi staf resmi dan disampaikan kepada staf yang ada secara teratur. 

Di awal pengerjaan, staf harus diberikan kesadaran bahwa mereka tidak boleh membocorkan informasi yang kemungkinan mereka memiliki akses ke informasi tersebut dalam melaksanakan tugas normal mereka. Staf juga harus diberikan kesadaran bahwa mereka tidak boleh mencari akses ke data yang tidak diperlukan sebagai bagian dari tugas normal mereka.