KEBIJAKAN IT POLICY UNIVERSITAS PELITA HARAPAN
IT Policy for UPH merupakan kebijakan yang mengatur segala sesuatu yang berhubungan dengan pemakaian perangkat keras komputer, piranti lunak, internet, email, dan lain-lain untuk memberikan batasan secara jelas mengenai hal-hal yang berhubungan dengan IT UPH.
IT Policy terdiri dari 2 kategori yang berbeda, yaitu :
1. UPH IT policy untuk pengguna secara general
Policy ini berisi kebijakan yang wajib diketahui dan dipatuhi oleh seluruh pengguna fasilitas IT di UPH. User atau pengguna mencakup :
- Seluruh karyawan UPH, yaitu perorangan baik karyawan administrasi maupun akademik dan unit organisasi (fakultas, direktorat, departemen, biro, dan bagian).
- Pihak ketiga seperti tamu, vendor.
- Umum (General)
- Definisi (Definition)
- Kebijakan Perangkat Keras (IT Hardware Policy)
- Kebijakan Piranti Lunak (IT Software Policy)
- Kebijakan Akses dan Kerahasiaan Data (Accessibility and Data Confidentiality Policy)
- Kebijakan Surat Elektronik (email) dan Chatting (Email and Chatting Policy)
- Kebijakan Lain (Other Policy)
2. UPH IT Policy untuk IT Direktorat
UPH IT Policy for IT Directorate
Policy ini berisi tambahan-tambahan kebijakan yang wajib diketahui dan dipatuhi oleh seluruh karyawan ITD UPH. Seluruh karyawan ITD UPH wajib mematuhi kedua kategori kebijakan (untuk UPH user dan untuk IT Directorate) yang dirangkum dalam IT Policy for UPH
Untuk semua kebijakan yang telah ditentukan untuk user, karyawan dibawah ITD memiliki wewenang dan hak untuk melakukan pemeriksaan untuk keamanan sistem dan kenyamanan semua pengguna fasilitas IT di UPH.
Untuk semua kebijakan yang telah ditentukan untuk user, karyawan dibawah ITD memiliki wewenang dan hak untuk melakukan pemeriksaan untuk keamanan sistem dan kenyamanan semua pengguna fasilitas IT di UPH.
- Data yang terdapat di dalam sistem dan diolah dengan perangkat IT UPH adalah milik UPH
- Yang boleh melakukan akses hanya mereka yang terotorisasi dan memiliki kewajiban di bagian tersebut, juga semua bagian atau departemen atau unit yang dikelola oleh ITD UPH.
- Yang tidak boleh melakukan akses adalah tamu, semua bagian atau departemen yang tidak dikelola oleh ITD UPH, dan mereka yang tidak mendapat ijin.
- Seluruh proses, pengolahan dan penggunaan data mengacu pada pasal V.c. (IT Policy For UPH User)
- Tidak diperbolehkan untuk memindahkan data yang ada didalam sistem.
- Proses maintenance harus ditemani oleh ITD.
- Kerahasiaan data harus dijaga oleh setiap karyawan yang diberikan akses, dilarang meletakkan username dan password aplikasi yang penting secara sembarangan (misalnya catatan ditempel pada monitor).
- Diberikan otoritas untuk melakukan akses untuk kepentingan proses back-up data.
Kebijakan ini mengatur manejemen dan pengoperasian asset-asset IT.
- Perangkat keras dan media piranti lunak harus diberi label dan atau barcode UPH.
- Konfigurasi dan maintenance harus di lakukan secara rutin dan dilakukan oleh ITD.
- Stock opname dilakukan minimal setiap 3 bulan sekali oleh masing-masing department IT terkait.
- SOE (standard operating environment) akan dibuat oleh ISD sebagai standard untuk pembelian perangkat komputer di UPH. SOE ini akan diupdate secara berkala.
- Untuk piranti lunak, harus ada copy sebagai backup, terutama untuk data yang penting dan sensitif.
Kebijakan ini mengatur hal-hal yang berhubungan dengan keamanan dan kerahasiaan system yang dikelola oleh ITD.
a. Keamanan secara fisik
Physical Security
Keamanan secara fisik mengacu ke kebijakan akses ruangan, kebijakan perangkat keras dan kebijakan manajemen media backup. Keamanan secara fisik menggunakan tanggung jawab dari pemilik sistem.
b. Keamanan dan kerahasiaan username dan password
a. Keamanan secara fisik
Physical Security
Keamanan secara fisik mengacu ke kebijakan akses ruangan, kebijakan perangkat keras dan kebijakan manajemen media backup. Keamanan secara fisik menggunakan tanggung jawab dari pemilik sistem.
b. Keamanan dan kerahasiaan username dan password
- Seluruh karyawan harus menjaga kerahasiaan username dan password miliknya atau milik orang lain yang dipercayakan kepadanya.
- ITD bertanggung jawab atas pengelolaan sistem, dan masing-masing karyawan harus memiliki
username dan password yang valid. - Username dan password masing-masing karyawan tidak diperkenankan diberitahukan kepada siapapun yang tidak berkepentingan, kecuali mendapat ijin dari atasan.
- Password harus diganti secara berkala oleh user.
- Pendistribusian userID dan password dari ITD dilakukan dengan cara yang dapat dipertanggungjawabkan oleh pihak ITD dan pihak penerima.
c. Instalasi perangkat pencegah kerusakan/ gangguan sistem, seperti antivirus, firewall, dll.
ITD berhak melakukan pemeriksaan secara rutin terhadap instalasi tersebut agar tetap aktif dan up to date.
d. Keamanan network
Peralatan network harus dijaga dan dikonfigurasi agar hanya dapat diakses oleh karyawan UPH yang terotorisasi.
ITD berhak melakukan pemeriksaan secara rutin terhadap instalasi tersebut agar tetap aktif dan up to date.
d. Keamanan network
Peralatan network harus dijaga dan dikonfigurasi agar hanya dapat diakses oleh karyawan UPH yang terotorisasi.
Bisnis sangat memerlukan keamanan informasi seiring dengan semakin meningkatnya ancaman pada keamanan sistem informasi pada akhir-akhir ini dan kemajuan teknologi yang semakin pesat. Dalam perancangan suatu IT Security Policy, konsep yang efektif adalah dengan membuat dokumen kebijakan (policy) yang mencakup semua informasi yang berdasarkan keamanan, hal ini mencakup pengguna (user) tertentu dan membuat proses yang efisien untuk semua orang.
Banyak metode bisa digunakan dalam perancangan IT security policy, banyak faktor yang perlu dipertimbangkan termasuk pengguna (user) dan bisnis perusahaan serta ukuran perusahaan tersebut. Berikut ini adalah pembahasan singkat (dasar) mengenai apa saja yang perlu dipertimbangkan dalam rancangan IT security Policy.
Tujuan dasar dari suatu kebijakan (Policy);
- Melindungi pengguna (user) dan informasi
- Membuat aturan sebagai arahan untuk pengguna (user), sistem administrator, manajemen dan petugas keamanan sistem informasi (IT security)
- Menetapkan petugas keamanan untuk pengawasan, penyelidikan atau pemeriksaan
- Membantu mengurangi resiko yang mungkin akan muncul
- Membantu arahan kepatuhan pada peraturan dan undang-undang
- Menetapkan peraturan resmi perusahaan mengenai keamanan
Siapa yang akan menggunakan IT security Policy;
- Manajemen – pada semua tingkatan
- Technical staff – sistem administrator dan lainny
- Pengguna (user)
Keamanan data akan sangat membantu user untuk pengawasan dan memastikan informasi tersebut aman dari gangguan ataupun ancaman dari pihak yang tidak berhak. Ada 3 aspek mengenai data security, sebagai berikut;
Confidentiality; melindungi informasi dari orang luar yang tidak berhak, atau penghapusan informasi.
Integrity; melindungi informasi dari modifikasi yang tidak berhak dan memastikan informasi tersebut akurat dan lengkap
Availability; memastikan informasi tersedia ketika dibutuhkan
Data-data tersebut disimpan dalam tempat yang beragam seperti server, PC, laptop, CD-ROM, Flash disk, Media backup dan lainnya. Kemungkinan yang bisa menjadi penyebab data-data tersebut hilang adalah
- Natural Disaster (seperti kebakaran, banjir, dan lainnya)
- Virus
- Kesalahan manusia (human errors)
- Software malfunction (kesalahan software)
- Hardware dan software malfunction
Dalam pembuatan kebijakan, berikut contoh topik yang termasuk dalam isi IT Security Policy adalah sebagai berikut
A. Kebijakan untuk pengguna umum (end users)
- Penggunaan CD, Flash disk
- Password
- Backup
- File
B. Kebijakan untuk Departemen
- Tentang prosedur keamanan tempat kerja, telephone
- alarm
- pengetahuan tentang keamanan sistem informasi
C. Kebijakan untuk Administrator
- Pembelian hardware
- Pengawasan hak akses
- Jaringan komputer
- Operating System (OS)
- Software
- Cyber crime
- Backup
- LAN
- Perlindungan terhadap virus
D. Kebijakan untuk DBA
- Transfer dan perubahan data
- Penyimpanan data
- Database
- DBA skill