UPT PERPUSTAKAAN UNIVERSITAS SYIAH...

UPT PERPUSTAKAAN UNIVERSITAS SYIAH KUALA

STATEMENT OF APPLICABILITY

NO. LAM- QM – 01-07

Dibuat Oleh Diperiksa Oleh Disetujui Oleh

Saiful Bahri Badratun Nafis Dr.Taufiq Abdul Gani,

M.Eng.Sc.

Ketua Bidang teknologi

Informasi

Manajemen Representatif Kepala Perpustakaan

UNIVERSITAS SYIAH KUALA

Darussalam, Banda Aceh

Lampiran

JUDUL: Statement Of Applicability (SOA)

Kode : LAM-QM-01-07 Tanggal Efektif : 30 April 2018

Area : UPT. Perpustakaan Universitas Syiah Kuala

No. Revisi : 03

Hak cipta dokumen ini dipegang oleh UPT Perpustakaan Unsyiah dengan lisensi CC BY-NC-SA 4.0,

dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/collections/show/37

merupakan dokumen terkendali, selain pada alamat web tersebut merupakan dokumen tidak terkendali.

Halaman Pengesahan Revisi

Revisi Tgl. Penjelasan Perubahan Diperiksa oleh Disetujui oleh

0 05 Februari 2018 Pengesahan Dokumen Badratun Nafis Taufiq Abdul Gani

1 27 Maret 2018 Update Dokumen Badratun Nafis Taufiq Abdul Gani

2 27 Maret 2018 Revisi control yang non applicable Badratun Nafis Taufiq Abdul Gani

3 30 April 2018 Revisi control yang non applicable Badratun Nafis Taufiq Abdul Gani

http://uilis.unsyiah.ac.id/unsyiana/collections/show/37



Lampiran




No. Revisi : 03







Lampiran




No. Revisi : 03




Annex Control Status Tujuan/Justifikasi, Sasaran Implementasi DOC

A.5 Security Policy

A.5.1 Management direction for

information security

Tujuan: Perpustakaan Unsyiah mengarahkan dan mendukung

pengelolaan keamanan informasi dengan menetapkan dan

menjalankan peraturan dan persyaratan dalam pelayanan dan

operasional perpustakaan.

Kebijakan dan keamanan

informasi, Ketentuan dan

syarat menggunakan

layanan internet melalui

wifi atau lan informasi,

Syarat dan ketentuan

penggunaan aplikasi

perpustakaan unsyiah

A.5.1.1. Policies for

information

security

Applicable Justifikasi, Sasaran & Implementasi: Kebijakan keamanan

informasi Perpustakaan Unsyiah dilakukan dengan penetapan oleh

pimpinan, dipublikasikan dan dikomunikasikan kepada semua

pustakawan, staf dan pihak lain seperti student library assistant,

mahasasiswa, dosen, pimpinan universitas.

Pedoman Mutu, SK

Penempatan Staf, Nota

Tugas




Lampiran




No. Revisi : 03




A.5.1.2. Review of the

policies for

information

security

Applicable Justifikasi, Sasaran & Implementasi: Kebijakan keamanan

informasi Perpustakaan Unsyiah ditinjau kembali setiap tahun

melalui Tinjauan Manajemen yang pelaksanaan sesuai dengan

Prosedur Operasional Baku. Peninjauan ini bertujuan untuk

memastikan kesesuaian, kecukupan dan efektivitas kebijakan.

POB Internal Audit,

Tinjauan Manajemen,

Pengendalian Dokumen

A.6 Organization of Information

Security

A.6.1. Internal Organization

Tujuan: Perpustakaan Unsyiah Untuk membangun kerangka

manajemen untuk memulai dan mengelola implementasi dan operasi

keamanan informasi di dalam Perpustakaan Unsyiah. .

A.6.1.1. Information

security roles

and

responsibility;

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah

menentapkan dan mengalokasikan sumber daya untuk menjalankan

peranan dan tanggung jawab keamanan informasi

Jobdesk Perpustakaan

Unsyiah

A.6.1.2. Segregation of

duties;


menjaga tidak terjadi konflik kepentingan dalam pengelolaan

informasi dengan membuat pemisahan tanggung jawab melalui

dokumen Job Description, Peraturan Pengelolaan Keamanan

Informasi, Surat Penugasan, terlampir.




Lampiran




No. Revisi : 03




A.6.1.3. Contact with

authorities;

Applicable Justifikasi, Sasaran & Implementasi: Dalam mengendalikan

keamanan informasi Perpustakaan Unsyiah berhubungan dengan

unit terkait, UPT Teknologi Informasi dan Komputer Unsyiah

sebagai unit yang memegang kendali operasional sistem jaringan dan

aplikasi komputer di Unsyiah dan juga Bagian Rumah Tangga

Kantor Pusat Administrasi dalam hal suplai tenaga listrik.

A.6.1.4. Contact with

special interest

groups;


berhubungan dengan group kelompok yang berhubungan dengan

teknologi informasi dan perpustakaan, misalnya Kelompok Pencita

Linux, Komunitas SLIMS, kelompok Riset Telematika dll.


security in

project

management


memperlakukan pob dalam setiap kepanitian, task force dan project

yang dilaksanakan didalam organisasi perpustakaan unsyian.

A.6.2. Mobile devices and

teleworking

Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah

memperlakukan pob dalam setiap kepanitian, task force dan project

yang dilaksanakan didalam organisasi perpustakaan unsyiah.

A.6.2.1. Mobile device

policy;

Non

Applicable

Perpustakaan Unsyiah tidak mengaplikasikan mobile device.

A.6.2.2. Teleworking.

Applicable

Justifikasi, Sasaran & Implementasi: Perpustakan Unsyiah

menetapkan SOP untuk bekerja secara remote atau teleworking untuk

pengendalian operasional jaringan dan sistem aplikasi di luar jam

kerja,

POB Teleworking

A.7 Human Resource Security




Lampiran




No. Revisi : 03




A.7.1. Prior to

Employment

Tujuan: Perpustakaan Unsyiah harus memastikan dan menjamin staf

yang akan bekerja cocok dengan pekerjaan yang akan ditawarkan.

A.7.1.1. Screening; Applicable Justifikasi, Sasaran & Implementasi: Perpustakan Unsyiah

menetapkan ketentuan bahwa sebelum ditempatkan untuk bekerja,

sumber daya manusia harus memahami tanggung jawab mereka dan

menilai kecocokan dengan pekerjaan yang akan ditawarkan, dengan

menjalankan seleksi rekruitmen dan persetujuan syarat dan ketentuan

kerja.

Peraturan Administrasi

BAB I SDM dan Pasal 3

A.7.1.2. Terms and

conditions of

employment


membuat persyaratan bagi pegawai negeri, pegawai kontrak dan

student help assistant dalam hal keamanan informasi menyangkut

pribadi dan organisasi Perpustakaan Unsyiah.

A.7.2. During employment

Tujuan: Perpustakaan Unsyiah harus memastikan dan menjamin staf

yang bekerja mengetahui tanggung jawab keamanan informasi dan

dapat memenuhinya.

A.7.2.1. Management

responsibilities;

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah harus

mengupayakan dan memastikan bahwa staf pegawai dan student help

assistant mengetahui tanggung jawab keamanan informasi dan dapat

memenuhinya selama bekerja.


BAB I dan POB PRO-PS-

06 Tentang Peningkatan

Sumber Daya


security

awareness,

education and

training;


mengadakan kegiatan peningkatan kesadaran awareness, pelatihan

reguler dalam kebijakan dan prosedur perpustakaan , yang sesuai

dengan pekerjaan mereka.




Lampiran




No. Revisi : 03




A.7.2.3. Disciplinary

process.


mengadakan penegakan disiplin kepada staf yang melakukan

pelanggaran keamanan informasi.


BAB I, BAG. Dua Pasal 10

dan 12

A.7.3. Termination or change of

employment

Tujuan: Untuk melindungi kepentingan Perpustakaan Unsyiah

sebagai bagian dari proses mengganti atau mengakhiri pekerjaan.

A.7.3.1. Termination or

change of

employment

responsibilities


menetapkan kapan akhir berlakunya tanggung jawab dan tugas

keamanan informasi karena bergantinya sebuah jabatan/pekerjaan.


BAB I SDM dan Pasal 3

A.8 Asset Management

A.8.1. Responsibility

for Assets

Tujuan: Mengidentifikasi aset-aset Perpustakaan Unsyiah dan

menetapkan tanggung jawab perlindungan yang sesuai.

A.8.1.1. Inventory of

assets;


mengidentifikasi semua asset yang berhubungan dengan pengelolaan

informasi dan memasukkan dalam daftar invetaris yang terkelola

dengan baik.

Peraturan Sistem

Pengelolaan Asset Negara

(SIMAK BMN)

A.8.1.2. Ownership of

assets;


menentukan dan menyebutkan secara jelas siapa pengelola dari setiap

Aset yang ada dalam daftar inventaris.




Lampiran




No. Revisi : 03




A.8.1.3. Acceptable use

of assets;


menetapkan peraturan atau prosedur operasional baku (terlampir)

untuk penggunaan informasi dan aset yang diperbolehkan, yang

berkaitan dengan fasilitas pengolahan informasi harus diidentifikasi,

didokumentasikan dan diterapkan.

A.8.1.4. Return of

assets.


menetapkan peraturan atau prosedur operasional baku (terlampir)

untuk pengembalian semua aset Perpustakaan Unsyiah yang

dipergunakan atau dikelola oleh Staf dan Student Help Assistant saat

mereka tidka bekerja lagi.

A.8.2. Information classification

Tujuan: Perpustakaan Unsyiah memastikan bahwa informasi

mendapatkan tingkat perlindungan yang sesuai untuk kepentingan

Perpustakaan Unsyiah .

A.8.2.1. Classification

of information;


mengelompokkan informasi berdasarkan persyaratan seperti nilai,

kritikal dan sensitivitas terhadap keterbukaan atau modifikasi yang

tidak sah.

Kebijakan Keamanan

Informasi (I.Klasifikasi

Data dan Akses Kontrol)

A.8.2.2. Labelling of

information;


menetapkan persyaratan untuk pelabelan informasi harus

dikembangkan dan diterapkan sesuai dengan skema klasifikasi

informasi yang diadopsi oleh Perpustakaan Unsyiah.

A.8.2.3. Handling of

assets.

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah menetapkan dan menterapkan prosedur untuk menangani aset sesuai

dengan skema klasifikasi informasi yang digunakan.




Lampiran




No. Revisi : 03




A.8.3. Media Handling

Tujuan: Perpustakaan Unsyiah mencegah keterbukaan, modifikasi,

penghapusan atau kerusakan informasi yang tidak sah yang disimpan

pada media.

A.8.3.1. Management of

removable

media;

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah menetapkan dan menerapkan prosedur pengelolaan media lepas-

pasang

Kebijakan Keamanan

Informasi (N.Kebijakan

Pengamanan Data dan

Dokumen ) A.8.3.2. Disposal of

media;

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah menetapkan dan menerapkan prosedur penghapusan dan membuang

media apabila tidak diperlukan lagi .

A.8.3.3. Physical media

transfer

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah menetapkan dan menerapkan prosedur akses, penyalahgunaan atau

kecurangan selama pemindahan

A.9 Access Control

A.9.1. Business requirement for

access control

Tujuan: Perpustakaan Unsyiah membatasi akses informasi dan

fasilitas pengolahan informasi.

A.9.1.1. Access control

policy;


meninjau dan menyusun kebijakan pengendalian akses berdasarkan

persyaratan pelayanan, operasional dan keamanan informasi

perpustakaan.

Pedoman Mutu, Manual

Operasional, Job

Description

A.9.1.2. Access to

networks and

network

services

Applicable Justifikasi, Sasaran & Implementasi: Akses dan layanan jaringan

dapat digunakan oleh pengguna atau staf setelah Perpustakaan

Unsyiah memberikan wewenang kepadanya.

POB Wewenang Atas

Pengendalian Jaringan,

Ketentuan dan Syarat

menggukanan layanan

internet melalui wifi atau

LAN




Lampiran




No. Revisi : 03




A.9.2. User access management

Perpustakaan Unsyiah memastikan pengguna yang diizinkan atau

dilarang untuk untuk mengakses ke sistem dan layanan.

A.9.2.1. User

registration

and de-

registration;


menyediakan fasilitas formal registrasi dan registrasi ulang pengguna

untuk mendapatkan hak-hak akses (peraturan terlampir).

POB Wewenang atas

Pengendalian Jaringan

Ketentuan dan Syarat

menggukanan layanan

internet melalui wifi atau

LAN A.9.2.2. User access

provisioning;


memberikan atau mencabut akses pengguna secara resmi untuk tiap

jenis pengguna di seluruh sistem dan layanan.


privileged

access rights;


mengalokasikan penggunaan hak-hak akses istimewa secara terbatas

dan terkontrol.


secret

authentication

information of

users


secara resmi mengendalikan pemberian password

A.9.2.5. Review of user

access rights;


meninjau kembali secara berkala hak akses penggun

A.9.2.6. Removal or

adjustment of

access rights.


menghapus hak akses seluruh staf dan pengguna pada saat

berakhirnya pekerjaan, kontrak atau perjanjian, atau disesuaikan

dengan perubahan yang terjadi.




Lampiran




No. Revisi : 03




A.9.3. User responsibilities

Tujuan: Perpustakaan Unsyiah menetapkan tanggung jawab

pengguna untuk menjaga informasi otentikasinya .

A.9.3.1. Use of secret

authentication

information


mewajibkan pengguna harus mengikuti aturan penggunaan otentikasi

rahasia.

Kebijakan Keamanan

Informasi Kriptografi.

Peraturan Syarat dan

Ketentuan Penggunaan

Aplikasi Perpustakaan

Unsyiah

A.9.4. System and application

access control

Tujuan: Perpustakaan Unsyiah mencegah akses tanpa izin ke

sistem dan aplikasi.


access

restriction;


mengendalikan akses ke informasi dan fungsi-fungsi sistem aplikasi

secara terbatas dengan kebijakan pengendalian akses.

POB Wewenang atas

Pengendalian Aplikasi

A.9.4.2. Secure log-on

procedure;


mensyaratkan akses ke sistem dan aplikasi harus dikendalikan oleh

sebuah prosedur log-on yang aman.

A.9.4.3. Password

management

system;


menyediakan Sistem Manajemen Password yang interaktif dan

terjamin kualitas password-nya.

A.9.4.4. Use of

privileged

utility

programs;


melakukan pengendalian dan membatasi ketat penggunaan program

utilitas yang dapat mengesampingkan sistem utama.

A.9.4.5. Access control

to program

source code.


membatasi akses ke kode sumber program.




Lampiran




No. Revisi : 03




A.10 Cryptography

A.10.1. Cryptographic controls Penggunaan kriptografi tidak aplicable dengan scope ISMS (OPAC,

OER dan Booking Room)

A.10.1.1. Policy on the

use of

cryptographic

controls;

Non

Applicable

Penggunaan kriptografi tidak aplicable dengan scope ISMS (OPAC,


A.10.1.2. Key

management

Non

Applicable

Penggunaan kriptografi tidak aplicable dengan scope ISMS (OPAC,


A.11 Physical and Environmental

Security

A.11.1. Secure areas Tujuan: Perpustakaan Unsyiah mencegah akses fisik yang tidak

sah, kerusakan dan interferensi terhadap informasi dan fasilitas

pengolahan informasi.

A.11.1.1. Physical

security

perimeter;


menentukan Perimeter keamanan dan digunakan untuk melindungi

area yang berisi informasi yang sensitif ataupun informasi yang kritis

dan fasilitas pengolahan informasi.

Kebijakan Keamanan

Informasi (A.Kebijakan

Pengendalian Akses) dan

(B Kebijakan Keamanan

Operasional) dan

(Z.Keamanan Fisik dan

Lingkungan)

A.11.1.2. Physical entry

control;


melindungi dan mengendalikan area yang harus diamankan,

memastikan bahwa hanya personil yang sudah diizinkan saja yang

dapat mengaksesnya.

A.11.1.3. Securing

offices, rooms

and facilities;

Applicable Justifikasi, Sasaran & Implementasi: Perpustakan Unsyiah

merancang keamanan fisik untuk kantor, ruangan dan fasilitas.




Lampiran




No. Revisi : 03




A.11.1.4. Protecting

against

external and

environmental

threats;


merancang dan menerapkan perlindungan fisik terhadap bencana

alam, serangan berbahaya atau kecelakaan.

A.11.1.5. Working in

secure areas;


merancang dan menerapkan prosedur bagaimana bekerja di kawasan

yang diamankan.

A.11.1.6. Delivery and

loading areas.


menentukan titik akses seperti kawasan pengiriman dan pemuatan

dan titik lain di mana seseorang yang tidak berwenang dapat

memasuki tempat-tempat tersebut haruslah dikendalikan dan, jika

mungkin, diisolasikan dari fasilitas pengolahan informasi untuk

menghindari akses yang tidak sah.

A.11.2. Equipment

Tujuan: Perpustakaan Unsyiah mencegah kerugian, kerusakan,

pencurian atau masalah aset-aset dan gangguan operasional dan

pelayanan.

A.11.2.1.

Equipment

siting and

protection;


menempatkan dan melindungi peralatan untuk mengurangi resiko

dari ancaman lingkungan dan bahaya-bahaya, dan peluang terjadinya

akses tidak sah.

Kebijakan Keamanan

Informasi (Inventaris asset)

dan (Z.Keamanan Fisik dan

Lingkungan) dan (H.

Kebijakan Acceptable use)

A.11.2.2.

Supporting

utilities;


melindungi peralatan dari kegagalan dan gangguan yang disebabkan

oleh kegagalan dalam utilitas pendukung.




Lampiran




No. Revisi : 03




A.11.2.3. Cabling

security;


melindungi kabel listrik dan telekomunikasi yang membawa data

atau mendukung layanan informasi dari intersepsi, gangguan atau

kerusakan.

A.11.2.4. Equipment

maintenance;


melakukan pemeliharaan peralatan dengan benar untuk memastikan

ketersediaan dan integritas yang berkelanjutan.

A.11.2.5. Removal of

assets;

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah tidak

membolehkan pengambilan peralatan, informasi atau software dari

tempatnya tanpa izin.

A.11.2.6. Security of

equipment and

assets off-

premises;


menerapkan Keamanan untuk aset yang berada di luar lokasi,

dengan mempertimbangkan risiko yang berbeda-beda pada saat

bekerja di luar Perpustakaan.

A.11.2.7. Secure disposal

or reuse of

equipment;

Applicable Justifikasi, Sasaran & Implementasi: Semua item peralatan yang

berisi media penyimpanan harus diverifikasi untuk memastikan

bahwa semua data sensitif dan software berlisensi telah dihapus atau

secara aman telah ditimpa sebelum dibuang atau digunakan kembali.

A.11.2.8. Unattended

user

equipment;


harus harus memastikan bahwa peralatan tanpa pengawasan telah

dilindungi dengan baik.

Kebijakan Keamanan

Informasi (N.Kebijakan

Pengamanan Data dan




Lampiran




No. Revisi : 03




A.11.2.9. Clear desk and

clear screen

policy.


menerapkan kebijakan clear desk untuk kertas-kertas dan

pembuangan media penyimpanan dan kebijakan clear screen untuk

fasilitas pengolahan informasi.

Dokumen)

A.12 Operations Security

A.12.1. Operational procedures and

responsibilities

Tujuan: Perpustakaan Unsyiah memastikan operasi fasilitas

pengolahan informasi sudah benar dan aman.

A.12.1.1. Documented

operation

procedure;


mendokumentasikan prosedur operasi dan menyediakannya kepada

seluruh pengguna

Kebijakan Keamanan

Informasi (F. Kebijakan

Informasi Kelangsungan

Bisnis) dan (G. Kebijakan

Kesesuaian Keamanan

Informasi)

A.12.1.2. Change

management;


menerapkan pengendalian terhadap perubahan pada organisasi,

proses bisnis, fasilitas pengolahan informasi dan sistem yang

mempengaruhi keamanan informasi .

A.12.1.3. Capacity

management;


memantau penggunaan sumber daya, menyesuaikan dan membuat

peramalan atas kebutuhan kapasitas ke depan untuk memastikan

kinerja sistem yang diperlukan.

A.12.1.4. Separation of

development,

testing and

operational

environment.


memisahkan lingkungan untuk pengembangan, pengujian dan

operasional untuk mengurangi risiko akses yang tidak sah atau

perubahan operasional lingkungan.




Lampiran




No. Revisi : 03




A.12.2. Protection from malware

Tujuan: Untuk memastikan bahwa informasi dan fasilitas

pengolahan informasi diproteksi terhadap malware.

A.12.2.1. Control against

malware


menerapkan pengendalian, pendeteksian, pencegahan dan pemulihan

sebagai perlindungan dari malware, juga bersama kesadaran dari

pengguna.

Kebijakan Keamanan

Informasi (B. Kebijakan

Keamanan Operasional 4.2.

Proteksi Malware)

A.12.3. Backup

Tujuan: Perpustakaan Unsyiah melindungi terhadap kehilangan

data


backup


melakukan backup salinan informasi, software dan gambar sistem

secara rutin dan menguji apakah sesuai dengan kebijakan yang sudah

disepakati.

Kebijakan Keamanan


Keamanan Operasional 4.3

Back Up)

A.12.4. Logging and Monitoring

Tujuan: Untuk mencatat peristiwa-peristiwa dan menghasilkan

bukti.

A.12.4.1. Event logging; Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan Unsyiah

melaporkan peristiwa yang berisi aktivitas pengguna, pengecualian,

kesalahan dan kejadian keamanan informasi. Laporan dibuat,

disimpan dan ditinjau secara rutin.

Kebijakan Keamanan

Informasi (G. Kebijakan

Kesesuaian Keamanan

Informasi)

A.12.4.2. Protection of

log

information;


melindungi fasilitas pelaporan dan laporan informasi dari gangguan

dan akses yang tidak sah.

A.12.4.3. Administrator

and operator

log;


melakukan pencatatan atas kegiatan administrator dan operator

sistem, laporannya dijaga dan diperiksa secara teratur




Lampiran




No. Revisi : 03




A.12.4.4. Clock

synchonization.


melakukan sikronisasi satu sumber waktu/jam yang sama untuk

seluruh sistem pengolahan informasi .

A.12.5. Control of operational

software

Tujuan: Perpustakaan Unsyiah menjaga integritas sistem

operasional.

A.12.5.1. Installation of

software on

operational

systems


menetapkan prosedur untuk mengendalikan instalasi software pada

sistem operasional.

Kebijakan Keamanan

Informasi (W. Kebijakan

Penginstalan Sofware 4.5.

Pengendalian Software

Aplikasi)

A.12.6. Technical vulnerability

management


technical

vulnerabilities;

Applicable Perpustakaan Unsyiah mengendalikan informasi tentang kerentanan

teknis sistem informasi.

Kebijakan Keamanan



Kerentanan Teknis)

A.12.6.2. Restrictions on

software

installation

Applicable Perpustakaan Unsyiah membentuk dan mengimplementasikan aturan

instalasi software oleh staf.

A.12.7. Information system audit

considerations

Tujuan: Perpustakaan Unsyiah meminimalisasi dampak kegiatan

audit pada sistem operasional.




Lampiran




No. Revisi : 03





system audit

control


menetapkan persyaratan audit dan merencanakan kegiatan yang

melibatkan verifikasi sistem operasional dengan hati-hati dan

disetujui untuk meminimalisasi gangguan terhadap operasional dan

pelayanan.

POB Internal Audit

A.13 Communications Security

A.13.1. Network security

management

Tujuan: Perpustakaan Unsyiah melakukan proteksi informasi

dalam jaringan dan fasilitas pendukung pengolahan informasi.

A.13.1.1. Network

controls;


mengendalikan pengelolaan jaringan untuk melindungi infomasi

yang berada dalam sistem dan aplikasi.

Kebijakan Keamanan

Informasi (C.Kebijakan

Keamanan Komunikasi 4.1.

manajemen Keamanan

Jaringan) A.13.1.2. Security of

network

services;


mengidentifikasi mekanisme dan tingkat keamanan, persyaratan

pengelolaan seluruh layanan jaringan dan termasuk dalam

persetujuan layanan jaringan, apakah layanan tersebut disediakan

oleh internal perpustakaan atau berasal dari outsource.

A.13.1.3. Segregation in

networks


memisahkan dalam jaringan grup layanan informasi, pengguna dan

sistem informasi .

A.13.2. Information transfer

Tujuan: Perpustakaan Unsyiah menjaga keamanan terhadap

informasi yang ditransfer ke dalam oleh entiti eksternal manapun.




Lampiran




No. Revisi : 03





transfer policy

and

procedures;


membuat kebijakan, prosedur secara resmi untuk mengendalikan dan

melindungi transfer informasi melalui penggunaan semua jenis

fasilitas komunikasi.

Kebijakan Keamanan

Informasi (C. Kebijakan

Keamanan Komunikasi 4.2.

Transfer Informasi) A.13.2.2. Agreements on

information

transfer;


membuat perjanjian dan kesepakatan dalam menangani transfer

informasi yang aman antara perpustakaan dan pihak eksternal.

A.13.2.3. Electronic

messaging;


melindungi dengan baik informasi yang terdapat dalam pesan

elektronik.

A.13.2.4. Confidentiality

or non

disclosure

agreements


memiliki persyaratan untuk merahasiakan atau menutupi informasi.

Proteksi ini diidentifikasi, dipantau dan didokumentasikan.

A.14 System acquisition,

development and

maintenance

A.14.1. Security requirements of

information systems

Tujuan: Perpustakaan Unsyiah menetapkan bahwa keamanan

informasi adalah bagian integral dari sistem informasi .


security

requirements

analysis and

specification;

Applicable Justifikasi, Sasaran & Implementasi: Perpustakan Unsyiah

menyertakan keamanan informasi sebagai persyaratan yang harus

disertakan dalam pengembangan sistem informasi baru atau

penyempurnaan yang ada.

Kebijakan Keamanan

Informasi (G. Kebijakan

Kesesuaian Keamanan

Informasi)




Lampiran




No. Revisi : 03




A.14.1.2. Securing

application

services on

public

networks;


memberikan perlindungan terhadap informasi yang terlibat dalam

layanan aplikasi melalui jaringan umum. Perlindungan dari penipuan,

perselisihan kontrak, keterbukaan dan modifikasi yang tidak sah.

A.14.1.3. Protecting

application

services

transactions

Applicable Justifikasi, Sasaran & Implementasi: Informasi yang terlibat

dalam transaksi layanan aplikasi harus dilindungi untuk mencegah

pengiriman yang tidak lengkap, kesalahan rute, perubahan pesan

yang tidak sah, keterbukaan yang tidak sah, duplikasi atau

pengulangan pesan yang tidak sah.

A.14.2. Security in development and

support processes

Tujuan: Untuk memastikan keamanan informasi dirancang dan

diterapkan dalam siklus pengembangan sistem informasi.

A.14.2.1. Secure

development

policy;

Applicable Justifikasi, Sasaran & Implementasi: Peraturan untuk

pengembangan software dan sistem harus ditetapkan dan diterapkan

pada perkembangan di dalam organisasi.

Kebijakan Keamanan



Pengendalian Software

Aplikasi) A.14.2.2. System change

control

procedure;

Applicable Justifikasi, Sasaran & Implementasi: Perubahan pada sistem di

dalam siklus pengembangan harus dikendalikan oleh penggunaan

prosedur pengendalian perubahan resmi.

A.14.2.3. Technical

review of

applications

after operating

platform

changes;

Applicable Justifikasi, Sasaran & Implementasi: Saat platform operasi diubah,

aplikasi bisnis yang penting harus ditinjau dan diuji untuk

memastikan tidak ada dampak buruk pada operasi organisasi atau

keamanan.




Lampiran




No. Revisi : 03




A.14.2.4. Restrictions on

changes to

software

packages;

Applicable Justifikasi, Sasaran & Implementasi: Modifikasi terhadap paket

software harus dikurangi, terbatas sampai perubahan yang diperlukan

saja dan seluruh perubahan harus dikontrol secara ketat.

A.14.2.5. Secure system

engineering

principles;

Applicable Justifikasi, Sasaran & Implementasi: Prinsip-prinsip untuk sistem

keamanan rekayasa harus dibentuk, didokumentasikan, dipelihara

dan diterapkan pada upaya implementasi sistem informasi.

A.14.2.6. Secure

development

environment;

Applicable Justifikasi, Sasaran & Implementasi: Organisasi harus membentuk

dan melindungi pengembangan lingkungan yang aman secara tepat

untuk upaya pengembangan dan integrasi sistem yang mencakup

seluruh siklus pengembangan sistem.

A.14.2.7 Outsourced

development;

Applicable Justifikasi, Sasaran & Implementasi: Organisasi harus mengawasi

dan memantau kegiatan pengembangan sistem alih daya.

A.14.2.8. System security

testing;

Applicable Justifikasi, Sasaran & Implementasi: Uji fungsi keamanan harus

dilakukan selama pengembangan

A.14.2.9 System

acceptances

testing

Applicable Justifikasi, Sasaran & Implementasi: Program pengujian

penerimaan dan kriteria yang terkait harus dibuat untuk sistem

informasi baru, pembaruan dan versi baru.

A.14.3. Test data

Tujuan: Untuk memastikan proteksi data yang digunakan untuk

pengujian.


test data

Applicable Justifikasi, Sasaran & Implementasi: Data uji harus dipilih secara

hati-hati, dilindungi dan dikontrol.

Kebijakan Keamanan

Informasi (D. Kebijakan

Keamanan Pengembangan

dan Perawatan Sistem)

A.15 Supplier relationship




Lampiran




No. Revisi : 03




A.15.1. Information security in

supplier relationship

Tujuan: Untuk memastikan perlindungan terhadap aset organisasi

yang dapat diakses oleh pemasok.


security policy

for supplier

relationship;


menentukan persyaratan keamanan informasi yang berkaitan

dengan akses suplier terhadap aset perpustakaan. Harus

disetujui oleh suplier dan didokumentasikan.

A.15.1.2. Addressing

security within

supplier

agreements;


menentukan Semua persyaratan keamanan informasi yang relevan

harus dan disepakati dengan tiap pemasok yang dapat mengakses,

memproses, menyimpan, berkomunikasi, atau menyediakan

komponen infrastruktur IT.


and

communication

technology

supply chain.


menentukan kesepakatan dengan pemasok mencakup persyaratan

untuk mengatasi risiko keamanan informasi yang berkaitan dengan

layanan teknologi informasi dan komunikasi dan rantai pasok

produk.

A.15.2. Supplier service delivery

management

Tujuan: Perpustakaan Unsyiah mempertahankan tingkat keamanan

informasi dan pelayanan yang disepakati sesuai dengan kesepakatan

pemasok.

A.15.2.1. Monitoring and

review of

supplier

services;


mengawasi, memantau dan mengaudit pelayanan pemasok secara

rutin.

A.15.2.2. Managing

changes to

Applicable Justifikasi, Sasaran & Implementasi: Perepustakaan Unsyiah melakukan seperlunya Perubahan terhadap pelayanan pemasok,




Lampiran




No. Revisi : 03




supplier

services

termasuk memelihara dan memperbaiki kebijakan, prosedur, dan

pengendalian keamanan informasi yang ada, haruslah dikelola

dengan mempertimbangkan kekritisan informasi bisnis, sistem dan

proses yang terlibat dan penilaian ulang terhadap risiko.

A.16 Information security incident

management

A.16.1. Management of information

security incidents and

improvements

Tujuan: memastikan pendekatan yang konsisten dan efektif pada

pengelolaan insiden keamanan informasi, termasuk komunikasi

mengenai peristiwa dan kelemahan keamanan.

A.16.1.1. Responsibilities

and

procedures;


bertanggung jawab dan menetapkan prosedur untuk memastikan

adanya penanganan yang cepat, efektif dan teratur terhadap insiden

keamanan informasi.

Kebijakan Keamanan

Informasi (E. Kebijakan

Insident Keamanan Informa

A.16.1.2. Reporting

informations

security events;

Applicable Justifikasi, Sasaran & Implementasi: Peristiwa keamanan

informasi harus dilaporkan melalui jalur manajemen yang tepat

secepat mungkin.

A.16.1.3. Reporting

informations

security

weaknesses;

Applicable Justifikasi, Sasaran & Implementasi: Staf yang menggunakan

sistem informasi dan layanan harus mencatat dan melaporkan

kelemahan keamanan informasi yang terlihat atau yang dicurigai

dalam sistem atau layanan.

A.16.1.4. Assessment of

and decision on

information

security events;

Applicable Justifikasi, Sasaran & Implementasi: Peristiwa keamanan

informasi harus dinilai dan harus diputuskan apakah peristiwa

tersebut diklasifikasikan sebagai insiden keamanan informasi.




Lampiran




No. Revisi : 03




A.16.1.5. Response to

information

security

incidents;

Applicable Justifikasi, Sasaran & Implementasi: Insiden keamanan informasi

harus ditanggapi sesuai dengan prosedur yang terdokumentasi.

A.16.1.6. Learning from

information

security

incidents;

Applicable Justifikasi, Sasaran & Implementasi: Pengetahuan yang diperoleh

dari menganalisis dan menyelesaikan insiden keamanan informasi

digunakan mengurangi kemungkinan atau dampak insiden di masa

mendatang.

A.16.1.7. Collection of

evidence


menentukan dan menerapkan prosedur identifikasi, pengumpulan,

akuisisi dan pemeliharaan informasi, yang dapat dijadikan bukti.

A.17 Information security aspects

of business continuity

management

A.17.1. Information security

continuity

Tujuan: Kontinuitas keamanan informasi harus disematkan dalam

sistem manajemen kontinuitas bisnis organisasi.

A.17.1.1. Planning

information

security

continuity;


menentukan persyaratan kontinuitas keamanan informasi dan

manajemen kontinuitas keamanan informasi jika berada di situasi

yang buruk, misalnya selama krisis atau bencana.




Lampiran




No. Revisi : 03




A.17.1.2. Implementing

informations

security

continuity;


menetapkan, mendokumentasikan, menerapkan dan memelihara

proses, prosedur dan pengendalian untuk memastikan tingkat

kontinuitas keamanan informasi yang diperlukan selama berada di

dalam situasi yang buruk.

A.17.1.3. Verify, review

and evaluate

informations

security

continuity

Applicable Justifikasi, Sasaran & Implementasi: Perpustakaan

memverifikasi secara berkala pengendalian kontinuitas keamanan

informasi yang telah ditetapkan dan diterapkan untuk memastikan

validitas dan efektivitasnya selama situasi buruk.

A.17.2. Redundancies

Tujuan: Perpustakaan Unsyiah memastikan ketersediaan fasilitas

pengolahan informasi

A.17.2.1. Availability of

information

processing

facilities

Applicable Justifikasi, Sasaran & Implementasi: Fasilitas pengolahan

informasi harus dilaksanakan dengan redundansi yang memadai

untuk memenuhi kebutuhan ketersediaan.

A.18 Compliance

A.18.1. Compliance with legal and

contractual requirements

Tujuan: Untuk menghindari pelanggaran kewajiban hukum, undang-

undang, peraturan atau kontrak yang berkaitan dengan keamanan

informasi dan persyaratan keamanan apa pun.




Lampiran




No. Revisi : 03




A.18.1.1. Identification of

applicable

legislation and

contractual

requirements;

Applicable Justifikasi, Sasaran & Implementasi: Semua peraturan perundang-

undangan, peraturan, persyaratan kontrak dan pendekatan organisasi

yang relevan untuk memenuhi persyaratan ini harus diidentifikasi,

didokumentasikan, dan terus diperbarui secara eksplisit untuk setiap

sistem informasi dan organisasi.

A.18.1.2. Intellectual

property rights;

Applicable Justifikasi, Sasaran & Implementasi: Prosedur yang tepat harus

dilaksanakan untuk mematuhi persyaratan legislatif, peraturan dan

kontrak yang berkaitan dengan hak kekayaan intelektual dan

penggunaan produk software berkepemilikan.


records;

Applicable Justifikasi, Sasaran & Implementasi: Rekaman harus dilindungi

dari kehilangan, pemusnahan, pemalsuan, akses yang tidak sah dan

dikeluarkan secara tidak sah, dilindungi sesuai dengan peraturan

perundang-undangan, peraturan, persyaratan kontrak dan bisnis.

A.18.1.4. Privacy and

protection of

personally

identifiable

information.

Applicable Justifikasi, Sasaran & Implementasi: informasi identitas pribadi

harus dilindungi dinyatakan privacy.

A.18.1.5. Regulation of

cryptographic

controls


menerapkan kriptografi untuk penyimpanan data tertentu (password

personal) kedalam database (md5)




Lampiran




No. Revisi : 03




A.18.2. Information security reviews

Tujuan: Untuk memastikan keamanan informasi diterapkan dan

dioperasikan sesuai dengan kebijakan dan prosedur organisasi.

A.18.2.1. Independent

review of

information

security;

Applicable Justifikasi, Sasaran & Implementasi: Pendekatan organisasi untuk

mengelola keamanan informasi dan implementasinya (yaitu tujuan

pengendalian, pengendalian, kebijakan, proses dan prosedur

keamanan informasi) harus ditinjau secara independen pada jarak

waktu yang direncanakan atau saat terjadinya perubahan yang

signifikan.

POB Audit Internal

A.18.2.2. Compliance

with security

policies and

standard;

Applicable Justifikasi, Sasaran & Implementasi: Pimpinan harus meninjau

secara teratur kepatuhan terhadap pengolahan dan prosedur informasi

di dalam wilayah tanggung jawab mereka dengan kebijakan, standar

keamanan, dan persyaratan keamanan lainnya yang sesuai.

A.18.2.3. Technical

compliance

review

Applicable Justifikasi, Sasaran & Implementasi: Sistem informasi harus

ditinjau secara teratur untuk memenuhi kebijakan dan standar

keamanan informasi organisasi.


UPT PERPUSTAKAAN UNIVERSITAS SYIAH...

Documents

Transcript of UPT PERPUSTAKAAN UNIVERSITAS SYIAH...