Web Filtering --> Manual
-
Manajemen PT Sumber Alfaria Trijaya Tbk harus mengurangi risiko personelnya
mengakses situs web yang mengandung illegal informasi atau diketahui mengandung
virus atau materi phishing dengan memblokir alamat IP atau domain situs web yang
bersangkutan.
-
Manajemen PT Sumber Alfaria Trijaya Tbk harus mengidentifikasi jenis situs web yang
harus atau tidak boleh diakses oleh personel. Manajemen PT Sumber Alfaria Trijaya
Tbk harus mempertimbangkan untuk memblokir akses ke jenis situs web berikut:
a.
situs web yang memiliki fungsi pengunggahan informasi kecuali diizinkan untuk
alasan bisnis yang sah;
b.
situs web berbahaya yang diketahui atau dicurigai (mis. situs web yang
mendistribusikan malware atau konten phishing);
c.
situs web yang dapat melakukan kendali server (komputer yang dikendalikan oleh
penyerang atau penjahat dunia maya yang digunakan untuk mengirim perintah ke
sistem yang disusupi malware dan menerima data yang dicuri dari jaringan target);
d.
situs web berbahaya yang diperoleh dari intelijen ancaman;
e.
situs web berbagi konten ilegal.
Cloud Security
1. Tujuan
Tujuan dari kebijakan ini adalah untuk menentukan aktivitas yang terkait dengan penyediaan
keamanan untuk aktivitas yang didukung cloud yang melindungi sistem informasi, jaringan, data,
database, dan aset informasi berbasis cloud milik <nama perusahaan>. Kebijakan tambahan yang
mengatur aktivitas keamanan informasi lainnya akan dibahas secara terpisah.
2. Ruang Lingkup
Ruang lingkup kebijakan keamanan cloud ini adalah seluruh sistem teknologi informasi, perangkat
lunak, database, aplikasi dan sumber daya jaringan yang diimplementasikan dalam infrastruktur
layanan berbasis cloud dan/atau terkelola yang diperlukan oleh Perusahaan untuk menjalankan
bisnisnya.
3. Kebijakan
Sebagai bagian dari kewajibannya untuk menjaga pelanggannya dan sebagai praktik bisnis yang baik,
kerahasiaan, integritas, dan ketersediaan semua aplikasi TI, data, sistem, dan sumber daya jaringan
yang diterapkan di lingkungan cloud di <nama perusahaan> harus dikelola oleh program manajemen
keamanan informasi formal. Program ini akan menyediakan metode yang terkendali dan teratur yang
meminta dan memberikan akses ke sistem informasi <nama perusahaan> berbasis cloud, memantau
dan menganalisis keamanan sistem dan data berbasis cloud, menangani dan memitigasi pelanggaran
keamanan cloud, dan perubahan pada sistem dan prosedur keamanan cloud diminta, diuji, disetujui,
dan dikomunikasikan untuk tujuan audit dan pencatatan.
1.
Kebijakan ini menangani semua teknologi, sistem, data, dan jaringan <nama perusahaan>
yang diterapkan pada infrastruktur cloud privat, hibrid, dan/atau publik, ditambah semua
aset TI <nama perusahaan> lainnya yang diterapkan dalam layanan cloud sebagaimana
diidentifikasi oleh manajemen departemen TI.
2. Departemen TI akan menentukan proses dan prosedur keamanan cloud; mengamankan dan
memanfaatkan perangkat lunak dan sistem khusus untuk mengurangi ancaman pelanggaran
keamanan cloud; secara rutin menguji keamanan perimeter perusahaan dan perimeter
vendor layanan cloud menggunakan uji penetrasi dan metode forensik lainnya; dan
mendokumentasikan semua prosedur dan kontrol cloud informasi.
3. Departemen TI <nama perusahaan> akan menyiapkan dan mendokumentasikan rencana
keamanan informasi TI dan keamanan siber dengan fokus pada layanan cloud; ini akan
memfasilitasi pemeliharaan dan peninjauan rencana tersebut.
4. Departemen TI akan secara berkala melakukan penilaian risiko terhadap ancaman dan
kerentanan internal dan eksternal lingkungan TI, sebagaimana berlaku untuk semua
lingkungan cloud.
5. Departemen TI akan menetapkan kebijakan untuk media data yang diterapkan dalam layanan
cloud, pembuatan, penyimpanan, dan pemusnahannya.
6. Departemen TI akan menetapkan kebijakan untuk mengakses sistem, jaringan, aplikasi, dan
file <nama perusahaan> yang diterapkan dalam layanan cloud, baik secara lokal maupun
jarak jauh, termasuk kata sandi dan kontrol akses keamanan cloud lainnya; kebijakan ini juga
akan mencakup otentikasi pengguna <nama perusahaan> dan non-<nama perusahaan>.
7. Departemen TI akan memastikan bahwa malware (misalnya virus, spam, serangan phishing,
serangan penolakan layanan, dan upaya akses tidak sah lainnya) dapat dicegah melalui
penggunaan perangkat lunak antivirus dan sumber daya pencegahan dan deteksi lainnya
yang sesuai. Hal ini akan memastikan bahwa vendor layanan cloud memiliki kemampuan
antimalware serupa dan bahwa penggunaan layanan tersebut harus disetujui oleh <nama
perusahaan>.
8. Departemen TI akan menetapkan kebijakan keamanan perimeter jaringan untuk memastikan
bahwa upaya tidak sah untuk menembus perimeter keamanan cloud internal <nama
perusahaan> dapat dicegah. Kebijakan serupa juga akan diterapkan pada vendor layanan
cloud.
9. Departemen TI akan menetapkan dan mendokumentasikan proses formal untuk
mengidentifikasi kemungkinan pelanggaran dalam perimeter jaringan berbasis cloud
(misalnya, serangan penolakan layanan, phishing), menilai pelanggaran tersebut,
menentukan sifat dan kemungkinan dampak pelanggaran tersebut, memberi tahu
manajemen <nama perusahaan> mengenai pelanggaran tersebut, meminimalkan dampak
pelanggaran secepat mungkin, dan mendokumentasikan langkah-langkah yang diambil saat
menangani insiden tersebut. Proses ini akan berlaku untuk semua lingkungan cloud, baik
internal, hybrid, dan/atau publik.
10. Departemen TI akan menetapkan dan mendokumentasikan proses formal untuk
mengidentifikasi kemungkinan pelanggaran keamanan cloud internal (misalnya pencurian
informasi, rekayasa sosial, akses tidak sah ke sistem), menilai pelanggaran tersebut,
menentukan sifat dan kemungkinan dampak pelanggaran, memberi tahu manajemen <nama
perusahaan> mengenai pelanggaran tersebut, meminimalkan dampak pelanggaran secepat
mungkin, dan mendokumentasikan langkah-langkah yang diambil saat menangani insiden
tersebut.
11. Departemen TI akan memberikan pendidikan, pelatihan, dan program kesadaran keamanan
cloud.
12. Departemen TI akan memasukkan kelangsungan bisnis dan pemulihan bencana dalam
kontrol keamanan cloud-nya.
13. Departemen TI akan menentukan konsekuensi pelanggaran kebijakan keamanan cloud.
14. Departemen TI akan menentukan bagaimana insiden keamanan cloud dilaporkan dan
dikelola.
15. Departemen TI, bekerja sama dengan departemen hukum perusahaan, harus menyiapkan
dan melaksanakan perjanjian tingkat layanan (SLA) yang sesuai dengan penyedia layanan
cloud untuk memastikan kinerja vendor cloud pihak ketiga yang dapat diterima.
16. Data yang digunakan di <nama perusahaan>, baik saat diam atau bergerak, dalam lingkungan
cloud yang disetujui, harus dienkripsi.
17. Karyawan <nama perusahaan> harus menandatangani kontrak karyawan yang setuju untuk
menerima dan mematuhi kebijakan keamanan cloud pada saat mereka dipekerjakan dan
secara rutin (misalnya setiap tahun) melalui buku pegangan karyawan dan/atau dalam
perpanjangan kontrak untuk memperhitungkan perubahan kebijakan dari waktu ke waktu.
18. Semua usulan perubahan pada operasi keamanan cloud harus didokumentasikan secara rinci.
19. Pelanggaran keamanan cloud yang dapat berdampak pada operasi TI <nama perusahaan>
diidentifikasi dalam sistem manajemen keamanan informasi perusahaan dan rencana terkait.
20. Departemen TI akan mengembangkan jadwal seluruh aktivitas keamanan cloud yang relevan
bagi perusahaan, dan akan memastikan bahwa aktivitas tersebut diselesaikan tepat waktu.
21. Departemen TI akan memastikan semua kebijakan keamanan cloud dan prosedur terkait
akan mematuhi persyaratan legislatif, peraturan, dan kontrak yang sesuai, serta standar yang
diterima dan praktik yang baik.
Semua usulan perubahan terhadap kebijakan keamanan cloud TI ini harus diproses dan
didokumentasikan oleh sistem manajemen perubahan TI perusahaan.