PERPUSTAKAAN - uilis.unsyiah.ac.iduilis.unsyiah.ac.id/unsyiana/files/original/34fa57f6af709fa55ac... · Wewenang dan pengendalian akses ditulis dalam dokumen dengan ketentuan 1. Mempertimbangkan

1

Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,

dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37

merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.

PERATURAN

PERPUSTAKAAN

2




SURAT KEPUTUSAN

KEPALA UPT. PERPUSTAKAAN UNIVERSITAS SYIAH KUALA

NOMOR 286 /UN.11.13 /TU /2018

PERATURAN KEAMANAN INFORMASI

DI UPT PERPUSTAKAAN

Menimbang:

(a) Bahwa Teknologi Informasi yang menjadi tulang punggung dalam operasional dan

pelayanan UPT Perpustakaan Unsyiah harus dilaksanakan secara terpadu dan

terkoordinasi dengan berbagai pihak.

(b) Bahwa pemanfaatan Teknologi Informasi di Perpustakaan Unsyiah harus

mempertimbangkan aspek risiko dan peluang supaya mendatangkan manfaat maksimal.

(c) Bahwa keamanan informasi adalah risiko yang harus dikendalikan untuk

mengoptimalkan pemanfaatan Teknologi Informasi, maka perlu dibuat ketentuan Tata

Kelola Keamanan Informasi di UPT Perpustakaan Unsyiah yang standar dan memiliki

kekuatan dalam bentuk dokumen Surat Keputusan Pimpinan.

Mengingat:

(a) Undang-undang Nomor 20 Tahun 2013 tentang Sistem Pendidikan Nasional;

(b) Undang-undang Nomor 12 Tahun 2012 tentang Pendidikan Tinggi;

(c) Peraturan Pemerintah R.I. Nomor 4 Tahun 2014 tentang Penyelenggaraan Pendidikan

Tinggi dan Pengelolaan Perguruan Tinggi;

(d) Undang-Undang Nomor 43 Tahun 2007 tentang Perpustakaan (Lembaran Negara

Republik Indonesia Tahun 2007 Nomor 129, Tambahan Lembaran Negara Republik

Indonesia Nomor 4774);

(e) Masukkan Undang Undang tentang TIK

(f) Peraturan Pemerintah Nomor 4 Tahun 2014 tentang Penyelenggaraan Pendidikan Tinggi

dan Pengelolaan Perguruan Tinggi (Lembaran Negara Republik Indonesia Tahun 2014

Nomor 16, Tambahan Lembaran Negara Republik Indonesia Nomor 5500);

(g) Peraturan Pemerintah Nomor 24 Tahun 2014 tentang Pelaksanaan Undang-Undang

Nomor 43 Tahun 2007 tentang Perpustakaan (Lembaran Negara Republik Indonesia

Tahun 2014 Nomor 76, Tambahan Lembaran Negara Republik Indonesia Nomor 5531);

(h) Masukkan Peraturan Pemerintah tentang TIK

(i) Peraturan Menteri Riset, Teknologi, dan Pendidikan Tinggi Nomor 44 Tahun 2015

tentang Standar Nasional Pendidikan Tinggi (Berita Negara Republik Indonesia Tahun

2015 Nomor 1952);

(j) Peraturan Menteri Riset, Teknologi dan Pendidikan Tinggi R.I. Nomor 48 Thaun 2015

tentang Organisasi dan Tata Kerja Universitas Syiah Kuala;

(k) Permenristekdikti Nomor 99 Tahun 2016 tentang Statuta Unsyiah.

(l) Masukkan Peraturan Menteri tentang TIK

(m) Peraturan Kepala Perpustakaan Nasional Republik Indonesia Nomor 13 Tahun 2017

tentang Standart Nasional Perpustakaan Perguruan Tinggi;

MEMUTUSKAN

Menetapkan: PERATURAN KEAMANAN INFORMASI DI UPT PERPUSTAKAAN

3




BAB I. KEBIJAKAN KEAMANAN INFORMASI

PASAL 1

Perpustakaan Unsyiah diharuskan menyusun pernyataan Kebijakan Keamanan Informasi sebagai

bagian dari Kebijakan Mutu yang tersebut dalam Pedoman Mutu Perpustakaan Unsyiah, yaitu

dengan pernyataan kebijakan:

“Menciptakan keamanan informasi yang menumbuhkan kepercayaaan dan loyalitas

civitas terhadap layanan Perpustakaan Unsyiah”

PASAL 2

Perubahan atas pernyataan kebijakan keamanan informasi dilakukan sebagai bagian dari

Tinjauan Manajemen sebagai bagian dari siklus Penjaminan Mutu Perpustakaan Unsyiah.

BAB II. ORGANISASI KEAMANAN INFORMASI

BAGIAN SATU: INTERNAL ORGANISASI

PASAL 3

Kepala Perpustakaan berkewajiban membangun kerangka manajemen untuk implementasi sistem

manajemen keamanan informasi di Perpustakaan Unsyiah.

PASAL 4

Kepala Perpustakaan berkewajiban membentuk Tim Keamanan Informasi, yang terdiri dari satu

orang ketua dibantu beberapa anggota , dengan tugas utama:

1. Memberikan perlindungan terhadap asset informasi;

2. Mengidentifikasi dan melaksanakan proses keamanan informasi;

3. Mengurangi risiko keamanan informasi.

PASAL 5

Wewenang dan tugas staf Perpustakaan Unsyiah disusun dengan memperhatikan persyaratan

keamanan informasi untuk mengurangi, yaitu:

1. Konflik kepentingan;

2. Risiko penyalahgunaan aset dan akses.

PASAL 6

Sebagai bagian dari Universitas Syiah Kuala, Perpustakaan Unsyiah wajib tunduk pada

kebijakan pengelolaan teknologi informasi yang ditetapkan oleh Universitas Syiah Kuala

4




BAGIAN DUA: TUGAS SECARA TELEWORKING

PASAL 7

Staf tertentu mendapat izin untuk bekerja secara remote atau teleworking dengan persyaratan:

1. Dapat dilakukan atas izin dari kepala Perpustakaan Unsyiah.

2. Login administrator hanya boleh dilakukan dijaringan Perpustakaan Unsyiah.

3. Setiap staf yang dihentikan atau berhenti akan dicabut kewenangan dan hak akses

teleworking.

BAGIAN TIGA: PENANGANAN MEDIA

PASAL 8

Perpustakaan harus mencegah pengungkapan, modifikasi, penghapusan atau merusak informasi

secara tidak sah yang disimpan pada media, dengan memperhatikan:

1. Pengelolaan Media yang dapat dilepas-pasang

2. Pembuangan/Penghapusan Media

3. Pemindahan Media Fisik

PASAL 9

Pengelolaan media lepas pasang dilakukan dengan mengikuti persyaratan:

1. Jika tidak diperlukan lagi, isi yang terdapat dalam setiap media reusable tersebut yang

akan dihapus, harus tidak dapat dipulihkan kembali;

2. Apabila perlu dan praktis, otorisasi harus disertakan untuk media yang dihapus dari

Perpustakaan Unsyiah dan catatan penghapusan tersebut harus disimpan secara berurut

untuk memelihara jejak audit;

3. Semua media harus disimpan dalam lingkungan yang aman, sesuai dengan instruksi

pabrik;

4. Jika kerahasiaan atau integritas data penting untuk diperhitungkan, teknik kriptografi

harus digunakan untuk melindungi data pada media lepas-pasang;

5. Untuk mengurangi risiko degradasi media dimana data yang tersimpan masih dibutuhkan,

data harus dipindahkan ke media baru sebelum data menjadi tidak terbaca;

6. Beberapa salinan data berharga harus disimpan dalam media terpisah untuk mengurangi

risiko kerusakan atau kehilangan data secara tidak disengaja;

7. Registrasi media lepas-pasang harus dipertimbangkan untuk membatasi peluang

hilangnya data;

8. Drive media lepas-pasang dapat diaktifkan hanya apabila terdapat alasan untuk

melakukannya;

9. Apabila perlu memakai media lepas-pasang, maka pemindahan informasi ke media

tersebut harus dipantau.

PASAL 10

Media harus dibuang dengan aman apabila tidak diperlukan lagi dengan menggunakan prosedur

yang resmi dan persyaratan:

5




1. Media yang berisi informasi rahasia harus disimpan dan dibuang secara aman, dengan

membakar atau merobeknya atau data media yang digunakan dengan aplikasi lain harus

dihapus;

2. Prosedur harus dilakukan untuk mengidentifikasi barang-barang yang perlu dibuang

secara aman;

3. Akan lebih mudah untuk mengatur seluruh barang media untuk dikumpulkan dan

dibuang secara aman, daripada mencoba untuk memisahkan barang-barang sensitif

tersebut;

4. Pembuangan barang sensitif tersebut harus dicatat untuk menjaga jejak audit.

PASAL 11

Media yang berisi informasi harus dilindungi terhadap akses yang tidak sah, penyalahgunaan

atau kecurangan selama pemindahan. Pemindahan harus mengikuti persyaratan:

1. Harus menggunakan transportasi atau kurir yang dapat diandalkan;

2. Daftar kurir yang berwenang harus sudah disetujui oleh manajemen;

3. Prosedur untuk memeriksa identifikasi kurir harus dilakukan;

4. Pengemasan harus cukup untuk melindungi konten dari kerusakan fisik yang

kemungkinan terjadi pada saat transit dan harus sesuai dengan instruksi pabrik, misalnya

melindungi dari faktor-faktor lingkungan yang dapat mengurangi efektivitas restorasi

media seperti terpapar panas, diletakkan pada tempat yang lembab atau elektromagnetis;

5. Harus membuat laporan tentang identifikasi konten media, perlindungan apa yang

dilakukan, waktu pemindahan petugas transit dan waktu penerimaan sampai ke tujuan.

BAB III. PENGENDALIAN AKSES

BAGIAN SATU: KEBIJAKAN PENGENDALIAN AKSES

PASAL 12

Pengendalian akses adalah pemberian dan pembatasan akses terhadap sumber daya untuk

operasional dan pelayanan Perpustakan Unsyiah

PASAL 13

Sumber daya yang dikendalikan aksesnya adalah:

1. Perangkat keras komputer dan jaringan

2. Perangkat keras mesin pendukung

3. Perangkat keras peralatan pendukung

4. Perangkat lunak sistem operasi

5. Perangkat lunak aplikasi

6. Data dan informasi

PASAL 14

Operasional dan pelayanan Perpustakaan Unsyiah yang memerlukan pengendalian akses

meliputi semua lingkup proses yang ada di Perpustakaan Unsyiah, yaitu Pelayanan Pengguna,

Pelayanan Teknis, Perencanaan dan Pengembangan Sistem, Penjaminan Mutu dan Tata Usaha.

6




PASAL 15

Pengendalian akses dijalankan dengan persyaratan:

1. Prinsip utama pengendalian akses di Perpustakaan Unsyiah adalah “Segala sesuatu pada

umumnya adalah dilarang kecuali sesuatu tersebut sudah diizinkan dengan tegas”;

2. Akses hanya diberikan jika pengguna telah diberi wewenang tertulis;

3. Prinsip Need-to-know: akses hanya diberikan untuk informasi yang diperlukan untuk

melakukan tugas saja;

4. Prinsip Need-to-use: akses hanya diberikan untuk fasilitas pengolahan informasi yang

diperlukan untuk melakukan tugas saja.

PASAL 16

Pengendalian akses harus memisahkan dengan jelas tahapan proses permintaan, otentifikasi,

otorisasi, dan monitoring dan evaluasi akses, yaitu:

1. Otentifikasi dilakukan untuk memverifikasi hak akses pengguna.

2. Otorisasi digunakan untuk menentukan apakah pengguna memiliki hak dalam

memanipulasi (menambah, mengubah atau menambah) sumber daya.

3. Monitoring dan evaluasi merupakan bagian dari sistem manajemen mutu Perpustakaan

Unsyiah untuk mengawasi, melindungi akses terhadap koneksi dan layanan jaringan.

PASAL 17

Wewenang dan pengendalian akses ditulis dalam dokumen dengan ketentuan

1. Mempertimbangkan risiko keamanan informasi, kesehatan dan keselamatan kerja, dan

kepuasaan pengguna.

2. Merupakan bagian dari Sistem Manajemen Mutu Perpustakaan Unsyiah

PASAL 18

Wewenang akses diberikan kepada:

1. Pimpinan, staf tetap dan kontrak Perpustakaan Unsyiah

2. Mahasiswa, staf dan dosen Unsyiah

3. Anggota terdaftar,

4. Tamu

5. Pemustaka dan masyarakat umum

6. Pihak lain yang sudah ditunjuk oleh Kepala Perpustakaan Unsyiah untuk menjalankan

operasional dan pelayanan Perpustakaan Unsyiah dalam jangka waktu tertentu

PASAL 19

Kepala Perpustakaan Unsyiah menetapkan wewenang dan pengendalian akses secara tertulis,

dengan memperhatikan.

1. Wewenang akses dibuat dengan disatukan ke dalam job description;

2. Pengendalian akses diatur dalam prosedur operasional baku;

3. Job description, prosedur operasional baku adalah dokumen yang menjadi bagian sistem

manajemen mutu Perpustakaan Unsyiah

7




BAGIAN DUA: PENGELOLAAAN AKSES PENGGUNA

PASAL 20

Pengelolaan akses pengguna dimaksudkan untuk:

1. memastikan apakah pengguna diizinkan atau tidak untuk mengakses sistem dan layanan

2. mencegah akses tanpa izin

PASAL 21

Prosedur Operasional Baku untuk pengelolaan akses ditetapkan oleh Kepala Perpustakaan

Unsyiah yang meliputi:

1. Registrasi

2. Pemberian akses pengguna

3. Manajemen hak-hak akses istimewa

4. Manajemen kerahasiaan informasi otentikasi pengguna atau password

5. Peninjauan kembali hak akses pengguna

6. Penghapusan atau penyesuaian hak akses

PASAL 22

Registrasi adalah pendaftaran untuk pengguna baru atau pendaftaran ulang untuk pengguna lama,

baik pengguna aplikasi atau jaringan dengan ketentuan:

1. Register dilakukan secara formal dan terdokumentasi informasinya.

2. Pada saat registerasi dibuatkan ID pengguna yang unik sebagai keterikatan dan tangung

jawab atas tindakan yang dilakukan.

3. ID bersama dimungkinkan apabila penggunan bersama tersebut penting untuk alasan

operasional dan pelayanan dan harus disetujui terlebih dahulu oleh Kepala Perpustakaan

dan didokumentasikan;

4. ID harus segera dinonaktifkan atau dihapus jika pengguna sudah tidak aktif lagi

PASAL 23

Pemberian dan pencabutan hak akses ID pengguna harus dilakukan secara resmi dan

terdokumentasi dalam sebuah prosedur operasional baku, dengan ketentuan:

1. Mendapatkan persetujuan dari pengendali atau penanggung jawab penggunaan asset atau

sistem

2. Memverifikasi bahwa tingkat akses yang diberikan adalah sesuai dengan wewenang;

3. Hak-hak akses tidak diaktifkan sebelum prosedur otorisasi selesai;

4. Memperbaharui hak-hak akses pengguna yang posisi jabatan atau tanggung jawabnya

telah berubah, hak akses segera dihapus atau diblokir ;

5. Hak-hak akses yng telah diberikan harus ditinjau dan dievaluasi secara berkala.

6. Pelanggaran terhadap hak akses harus dikenakan sangsi dan mengikat

PASAL 24

Hak akses pengguna harus ditinjau kembali secara berkala bila ada:

1. Perubahan jabatan atau pemutusan hubungan kerja.

8




2. Berpindah dari satu peran ke peran kerja lainnya.

3. Penyalah-gunaan akses

PASAL 25

Penghapusan hak akses dilakukan dengan ketentuan:

1. Hak akses yang harus dihapus adalah hak fisik dan lojik.

2. Penghapusan dapat dilakukan dengan cara menghapus, mencabut atau mengganti

password, atau kartu identifikasi.

3. Jika pengguna sudah mengetahui kata sandi untuk ID pengguna yang aktif, maka kata

sandi tersebut harus diubah setelah penghentian atau pergantian pengguna tersebut.

PASAL 26

Hak-hak akses istimewa dapat dialokasikan dan diberikan secara terbatas, terkontrol dan

mendapatkan izin dari atau atas nama Kepala Perpustakaan Unsyiah, dengan ketentuan:

1. Hak akses istimewa harus dialokasikan kepada pengguna berdasarkan kebutuhannya

(need-to-use) dan berdasarkan acara per acara dengan mematuhi kebijakan pengendalian

akses

2. Pengguna yang diberikan hak akses istimewa harus diidentifikasi terlebih dahulu;

3. Memverifikasi bahwa tingkat akses yang diberikan adalah sesuai dengan wewenang

4. Proses otorisasi dan laporan seluruh hak istimewa yang telah dialokasikan, harus dijaga.

5. Hak akses istimewa tidak boleh diberikan sampai proses otorisasi selesai;

6. Persyaratan untuk berakhirnya hak akses istimewa harus ditentukan;

7. Hak akses istimewa harus ditetapkan untuk ID pengguna yang berbeda dari ID pengguna

yang biasa digunakan untuk satu kegiatan. Kegiatan reguler tidak boleh dilakukan dengan

memakai ID istimewa;

8. Kompetensi pengguna dengan hak akses istimewa harus ditinjau kembali secara teratur

untuk memverifikasi apakah mereka sesuai dengan tugas-tugas mereka;

PASAL 27

Kerahasiaan informasi otentifikasi atau password/pin harus dikendalikan melalui sebuah proses

manajemen resmi, dengan persyaratan:

1. Pengguna harus menandatangani sebuah pernyataan untuk menjaga kerahasiaan

password/pin pribadi atau grup; pernyataan yang ditandatangani ini dapat disertakan

dalam ketentuan dan persyaratan kerja atau keanggotaan;

2. Pengguna harus menjaga password/pin mereka sendiri, mula-mula harus diberikan

password sementara, dimana mereka harus mengubahnya pada saat pertama kali

digunakan;

3. Harus ada prosedur untuk memverifikasi identitas pengguna sebelum memberikan

password baru, pengganti atau sementara;

4. Password sementara harus diberikan kepada pengguna dengan cara yang aman;

penggunaan pihak eksternal atau pesan elektronik yang tidak diproteksi (teks yang jelas)

harus dihindari;

5. Password sementara harus unik untuk setiap individu;

9




6. Password disyaratkan memiliki panjang minimum yang cukup, mudah diingat, tidak

mudah ditebak, seperti nama, nomor telepon dan tanggal lahir;

7. Password bebas dari karakter-karakter identik yang seluruhnya numerik atau seluruhnya

alfabet secara berurutan;

8. Memastikan perlindungan yang baik untuk penggunaan password dalam perosedur log-

on otomatis dan pada saat disimpan;

9. Mengizinkan pengguna untuk memilih dan mengubah password mereka sendiri;

10. Pengguna melakukan penggantian password secara teratur sesuai dengan kebutuhan;

11. Tidak menunjukkan password pada layar ketika sedang dimasukkan.

12. Pengguna harus mengirimkan balasan bahwa password yang diberikan sudah diterima ;

13. Pasword bawaan dari vendor harus diubah setelah instalasi sistem atau software.

PASAL 28

Hak akses pengguna harus ditinjau ulang mengikuti hal-hal berikut ini:

1. Hak akses pengguna harus ditinjau kembali secara berkala dan setelah adanya perubahan,

seperti promosi, demosi atau pemutusan hubungan kerja ;

2. Hak akses pengguna harus ditinjau dan dialokasikan kembali pada saat berpindah dari

satu peran ke peran kerja lainnya yang berada di dalam organisasi;

3. Otorisasi untuk hak akses istimewa harus lebih sering ditinjau ulang;

4. Alokasi hak istimewa harus diperiksa secara berkala untuk memastikan bahwa hak

istimewa yang tidak sah tidak dapat diperoleh;

5. Perubahan pada akun istimewa harus dicatat untuk tinjauan berkala.

PASAL 29

Hak akses seluruh staf dan pengguna pada harus dihapus atau disesuaikan bila:

1. Berakhirnya pekerjaan, kontrak atau perjanjian,

2. Adanya perubahan, seperti promosi, demosi atau pemutusan hubungan kerja ;

3. berpindah dari satu peran ke peran kerja lainnya yang berada di dalam organisasi;

BAGIAN TIGA: SISTEM DAN APLIKASI UNTUK PENGENDALIAN AKSES

PASAL 30

Akses ke informasi dan fungsi-fungsi sistem aplikasi Perpustakaan Unsyiah harus dibatasi sesuai

dengan kebijakan pengendalian akses, dengan persyaratan:

1. Menyediakan menu untuk mengendalikan akses ke fungsi sistem aplikasi

2. Mengendalikan data mana yang dapat diakses oleh pengguna tertentu;

3. Mengendalikan hak akses pengguna, berupa membaca, menulis, menghapus dan

menjalankan;

4. Mengendalikan hak akses aplikasi lain;

5. Membatasi informasi yang dimuat dalam output;

6. Menyediakan pengendalian akses fisik dan logis untuk isolasi aplikasi sensitif, data

aplikasi, atau sistem.

10




PASAL 31

Akses ke sistem dan aplikasi harus dikendalikan oleh sebuah prosedur log-on yang aman, dengan

persyaratan:

1. Tidak menampilkan sistem atau pengenal aplikasi sampai proses log-on telah berhasil

diselesaikan;

2. Menampilkan pemberitahuan peringatan umum bahwa komputer hanya dapat diakses

oleh pengguna yang telah diizinkan;

3. Tidak memberikan pesan bantuan sewaktu prosedur log-on yang mana akan membantu

pengguna yang tidak sah;

4. Memvalidasi informasi log-on hanya untuk menyelesaikan semua data input. Jika timbul

error, sistem tidak boleh menunjukkan data bagian manakah yang sudah benar atau

salah;

5. Melindungi atas upaya pemaksaan log-on secara kasar;

6. Simpan dalam log kan upaya login yang gagal ataupun sukses;

7. Meningkatkan keamanan jika terdeteksi adanya upaya atau pelanggaran log-on yang

berhasil dilakukan;

8. Menampilkan informasi berikut ini jika log-on berhasil, yaitu tanggal dan waktu log-on

yang sukses sebelumnya, rincian tiap upaya log-on yang gagal sejak waktu terakhir

melakukan sukses log-on;

9. Tidak menampilkan password yang dimasukkan;

10. Tidak mengirimkan password dalam teks yang jelas melalui jaringan;

11. Membatasi waktu koneksi untuk memberikan keamanan tambahan untuk aplikasi yang

berisiko tinggi dan mengurangi peluang untuk akses tanpa izin.

PASAL 32

Sistem manajemen password harus interaktif dan menjamin kualitas password, dengan

persyaratan:

1. Mewajibkan pengguna menggunkan ID dan password untuk menjaga akuntabilitas;

2. Mengizinkan pengguna untuk memilih dan mengubah password mereka sendiri dan

termasuk prosedur konfirmasi;

3. Mewajibkan menggunakan password yang berkualitas;

4. Mewajibkan pengguna untuk mengganti password mereka pada saat log-on pertama;

5. Mewajibkan penggantian password secara teratur sesuai dengan kebutuhan;

6. Menjaga catatan tentang password yang sudah pernah digunakan sebelumnya dan

mencegah penggunaan kembali password tersebut;

7. Tidak menunjukkan password pada layar ketika sedang dimasukkan;

8. Menyimpan file password secara terpisah dari data sistem aplikasi;

9. Menyimpan dan mengirim password dalam bentuk yang terlindungi.

PASAL 33

Penggunakan program utilitas yang dapat membatalkan pengaturan yang dilakukan oleh sistem

dan pengendali aplikasi harus diperketat, dengan persyaratan:

1. Menggunakan prosedur identifikasi, otentikasi dan otorisasi untuk program utilitas;

2. Memisahkan program utilitas dari software aplikasi;

11




3. Membatasi penggunaan program utilitas kepada pengguna yang terpercaya dan

berwenang;

4. Otorisasi untuk penggunaan khusus program utilitas;

5. Ketersediaan program utilitas dibatasi, misalnya untuk durasi tertentu;

6. Mencatat seluruh penggunaan program utilitas;

7. Menentukan dan mendokumentasikan tingkat otorisasi untuk program utilitas;

8. Menghapus atau menonaktifkan seluruh program utilitas yang tidak perlu;

9. Tidak menyediakan program utilitas untuk pengguna yang memiliki akses ke sistem

aplikasi yang membutuhkan pemisahan tugas.

PASAL 34

Perpustakaan Unsyiah harus mengembangkan dan mengoperasionalkan sistem dan aplikasi

untuk mencegah akses tanpa izin, dengan mempertimbangkan:

1. Pembatasan akses terhadap informasi

2. Prosedur log-on yang aman

3. Sistem manajaemen Password

4. Penggunaan program pengatur privilege

5. Pengendalian akses ke source codes

PASAL 35

Akses ke kode sumber program dan item terkait (seperti desain, spesifikasi, rencana verifikasi

dan rencana validasi) harus dikendalikan, dibatasi secara ketat, dengan maksud:

1. mencegah adanya fungsionalitas yang tidak sah

2. menghindari perubahan yang tidak disengaja

3. menjaga kerahasiaan kekayaan intelektual

PASAL 36

Kode sumber program dikendalikan di pusat penyimpanan atau perpustakaan sumber program

untuk mengurangi potensi kerusakan terhadap sumber tersebut.

PASAL 37

Akses ke perpustakaan sumber program harus dikendalikan untuk mengurangi potensi kerusakan

terhadap sumber tersebut. Pengendalian dilakukan dengan persyaratan:

1. Perpustakaan sumber program tidak boleh diletakkan dalam sistem operasional;

2. Kode sumber program dan perpustakaan sumber program harus dikelola sesuai dengan

prosedur yang telah dibentuk;

3. Personil pendukung tidak boleh memiliki akses yang tidak dibatasi terhadap

perpustakaan sumber program;

4. Pembaruan perpustakaan sumber program dan pembaruan item terkait lainnya, serta

pengeluaran sumber program untuk para programmer hanya dapat dilakukan setelah

otorisasi yang sesuai telah diterima;

5. Daftar program yang akan ditangani harus berada di lingkungan yang aman;

6. Seluruh akses ke perpustakaan sumber program harus tercatat didalam log audit;

12




7. Pemeliharaan dan penyalinan perpustakaan sumber program harus mengikuti prosedur

pengendalian perubahan yang ketat.

BAB IV. KEAMANAN FISIK DAN LINGKUNGAN

BAGIAN SATU: KEAMANAN AREA DAN RUANG

PASAL 38

Untuk menjamin keamanan area dan ruang, persyaratan yang harus dipenuhi adalah:

1. Penentuan batasan area (perimeter) yang diamankan

2. Pengendalian masuk

3. Pengamanan mengamankan kantor, ruangan dan fasilitas operasional

4. Perlindungan terhadap ancaman lingkungan dan eksternal

5. Pengamanan area dan ruangan kerja

PASAL 39

Lokasi dan batasan area (perimeter) yang akan diamankan harus ditentukan berdasarkan

persyaratan:

1. Batasan keliling area yang dijaga keamanannya harus ditentukan dengan pertimbangan

hasil-hasil penilaian risiko, yaitu: area check in, peminjaman mandiri, pengembalian

mandiri dan check out)

a. Setiap pemustaka wajib antri pada batas antrian yang telah ditentukan (check in,

peminjaman mandiri, pengembalian mandiri dan check out)

2. Area tempat fasilitas pengolahan informasi haruslah lebih aman (yaitu tidak

diperbolehkan adanya celah yang mudah untuk dihancurkan/dirusak); harus dilindungi

dari akses tanpa izin dengan mekanisme kontrol; pintu dan jendela harus dikunci;

3. Harus ditempatkan staf yang menjaga area yang harus diamankan, seperti ruangan

server, pelayanan teknis, ruang pimpinan. Akses ke area tersebut harus dibatasi untuk

yang berwenang saja

4. Penghalang fisik ke ruangan server harus disediakan untuk mencegah akses fisik yang

tidak sah

5. Sistem pendeteksian penyusup seperti CCTV harus dipasang dengan memenuhi standar ,

diuji secara teratur;

6. Kawasan kosong seperti ruang seminar, tangga perlu diwaspadai setiap saat.

13




PASAL 40

Izin masuk ke ruangan tertentu harus diterapkan, hanya personil yang sudah diizinkan saja yang

dapat masuk. Penerapan dilakukan dengan langkah sebagai berikut.

1. Pemustaka yang berkepentingan dengan Pimpinan dan Staf wajib melapor kepada

petugas Helpdesk/Ka. Bid. Layanan Pemustaka

2. Setiap pemustaka yang berkepentingan dengan bagian Automasi wajib mengisi buku

tamu.

3. Setiap staf atau pemustaka yang ingin mengakses ruang server harus mendapat

persetujuan dan didampingi oleh salah satu staf IT yang ditunjuk oleh pimpinan.

4. Tanggal dan waktu masuk dan keluarnya pengunjung harus tercatat

5. Seluruh pengunjung harus diawasi kecuali akses mereka telah disetujui sebelumnya;

6. Mereka hanya boleh diberikan akses untuk tujuan tertentu serta berwenang, dan harus

diberikan instruksi tentang persyaratan keamanan kawasan tersebut dan tentang prosedur

darurat.

7. Identitas pengunjung harus diautentikasi dengan cara yang sesuai;

8. Akses ke wilayah di mana informasi rahasia diproses atau disimpan harus dibatasi hanya

untuk individu yang sudah diizinkan dengan melakukan pengendalian akses yang sesuai,

9. Sebuah buku catatan atau jejak audit elektronik dari seluruh akses harus dijaga dengan

ketat dan dipantau;

10. Semua personil diharuskan untuk mengenakan suatu bentuk identifikasi yang terlihat dan

harus segera memberitahu personil keamanan jika mereka menemui pengunjung yang

tidak ditemani dan siapapun yang tidak mengenakan identifikasi;

11. Personil luar harus diberikan akses terbatas ke kawasan yang perlu diamankan seperti

fasilitas pengolahan informasi;

12. Hak akses ke kawasan yang diamankan harus ditinjau dan diperbarui secara teratur, dan

dicabut apabila perlu.

PASAL 41

Perpustakaan Unsyiah memiliki ruangan yang diamankan dan terbatas untuk akses publik secara

langsung seperti ruang pimpinan, tata usaha, pelayanan teknis, penjaminan mutu, perencanaan

dan pengembangan sistem, server dan AC sentral.

PASAL 42

Ruangan yang dibatasi akses, seperti rusang server, pusat data dirancang dan diterapkan dengan

persyaratan:

1. Harus dikonfigurasi untuk mencegah informasi rahasia atau aktivitas terlihat dan

terdengar dari luar.

2. Dirancang tidak mencolok dan memberikan indikasi minimum terhadap fungsi, tidak ada

tanda yang jelas dari luar yang menunjukkan ada kegiatan pelayanan teknis, administrasi,

pengolahan data dan informasi.

3. Ada tanda atau pemberitahuan kepada setiap orang yang berada didalam bahwa berada

diruangan yang diamankan

14




4. Harus dihindari berada atau bekerja di ruangan yang diamankan tanpa pengawasan untuk

alasan keselamatan dan untuk mencegah peluang-peluang terjadinya kegiatan berbahaya;

5. Harus dikunci dan ditinjau secara berkala;

6. Tidak diperbolehkan mengoperasionalkan kamera foto, video, audio atau alat perekam

lainnya, kecuali jika diizinkan.

PASAL 43

Perlindungan ruang secara fisik terhadap bencana alam, serangan berbahaya atau kecelakaan

harus dirancang dan diterapkan sesuai standard dan tersertifikasi.

BAGIAN KEDUA: KEAMANAN PERALATAN

PASAL 44

Keamanan peralatan diperlukan untuk mencegah kerugian, kerusakan, pencurian atau gangguan

operasional dan pelayanan Perpustakan Unsyiah, dengan memperhatikan persyaratan:

1. Penempatan dan perlindungan peralatan

2. Utilitas pendukung

3. Keamanan kabel

4. Pemeliharaan peralatan

5. Pemindahan peralatan

6. Keamanan peralatan yang berada di luar lokasi

7. Keamanan barang habis pakai atau digunakan berulang

8. Peralatan di luar pengawasan

9. Kebijakan clear desk dan clear screen

PASAL 45

Peralatan Teknologi Informasi harus ditempatkan dan dilindungi untuk mengurangi resiko dari

ancaman lingkungan dan bahaya-bahaya, dan peluang terjadinya akses tidak sah, dengan

persyaratan:

1. Harus ditempatkan pembatas untuk mengurangi akses yang tidak perlu;

2. Harus diposisikan secara hati-hati untuk mengurangi risiko informasi dilihat oleh orang

yang tidak berwenang pada saat digunakan;

3. Harus dijaga untuk menghindari akses yang tidak sah;

4. Pengendalian harus dilakukan untuk meminimalkan risiko potensi adanya ancaman

lingkungan dan fisik, misalnya pencurian, kebakaran, ledakan, asap, air (atau kegagalan

pasokan air), debu, getaran, efek kimia, gangguan pasokan listrik, gangguan komunikasi,

radiasi elektromagnetik dan perusakan;

5. Harus ada larangan makan, minum dan merokok;

6. Kondisi lingkungan, seperti suhu dan kelembapan, harus dipantau untuk kondisi yang

dapat berpengaruh buruk terhadap operasional;

7. Pelindung petir harus diaplikasikan ke semua bangunan dan filter pelindung petir harus

dipasang;

15




PASAL 46

Utilitas pendukung (misalnya listrik, telekomunikasi, pasokan air, sistem pipa pembuangan,

ventilasi, dan pendingin udara) harus dilindungi dari kegagalan daya dan gangguan lain, dengan

persyaratan:

1. Sesuai dengan spesifikasi yang ditentukan oleh produsen peralatan dan sesuai dengan

persyaratan standard an sertifikasi;

2. Dinilai secara teratur kapasitasnya untuk memenuhi pertumbuhan kebutuhan dan

interaksi dengan utilitas pendukung lainnya;

3. Diperiksa dan diuji secara teratur untuk memastikan utilitas tersebut berfungsi dengan

baik;

4. Selalu berwaspada untuk mendeteksi malfungsi;

5. Memiliki berbagai pasokan dengan rute yang beragam.

6. Lampu dan komunikasi darurat harus disediakan. Saklar dan katup darurat untuk

memutuskan listrik, air, gas atau utilitas lain harus berada di dekat pintu keluar darurat

atau ruang peralatan.

7. Tambahan redundansi untuk konektivitas jaringan dapat diperoleh melalui banyak rute

yang berasal dari banyak (lebih dari satu) penyedia utilitas.

PASAL 47

Kabel untuk saluran listrik, telekomunikasi dan jaringan komputer harus dilindungi dari

intersepsi, gangguan atau kerusakan, dengan persyaratan:

1. Kabel harus tertanam di dinding, di lantai atau terbungkus ducting mengikuti

perlindungan alternatif yang memadai;

2. Kabel listrik harus terpisah dari kabel jaringan komunikasi untuk mencegah gangguan;

3. Titik terminasi berada pada ruangan/kotak terkunci

4. Kabel terlindungi dari pengaruh elektromagnetik;

5. Harus ada pemeriksaan fisik untuk menghindari perangkat yang tidak sah terpasang pada

kabel;

6. Harus ada pengendalian akses ke ruang kabel atau panel patch.

PASAL 48

Peralatan teknologi informasi harus dirawat dengan benar untuk memastikan ketersediaan dan

integritas yang berkelanjutan, dengan persyaratan:

1. Sesuai dengan interval servis dan spesifikasi yang dianjurkan pemasok;

2. Hanya petugas perawatan yang berwenang saja yang dapat memperbaiki dan memeriksa

peralatan;

3. Seluruh kerusakan baik berupa dugaan atau yang sebenarnya harus dicatat untuk

perawatan pencegahan atau perbaikan;

4. Pengendalian harus dilaksanakan ketika perawatan peralatan dijadwalkan, dilakukan oleh

petugas Perpustakaan Unsyiah atau pihak luar. Informasi rahasia harus dipindahkan,

disingkirkan terlebih dahulu dari peralatan tersebut;

5. Sebelum meletakkan peralatan kembali setelah pemeliharaannya, peralatan tersebut harus

diperiksa dahulu untuk memastikan bahwa peralatan tersebut tidak dikutak-katik dan

tidak rusak.

16




PASAL 49

Peralatan tidak diperbolehkan untuk dipindahkan atau diambil dari tempatnya tanpa izin.

Pengendalian dilakukan dengan persyaratan:

1. Personil yang memiliki kewenangan untuk memindahkan peralatan dari tempatnya harus

diidentifikasi;

2. Batas waktu untuk pemindahan peralatan harus ditetapkan dan pengembaliannya harus

diverifikasi;

3. Pemindahan dan pengembalian peralatan harus dicatat, didokumentasikan berupa bukti

serah terima dengan mencantumkan identitas personil yang memindahkan;

4. Pemeriksaan ditempat harus dilakukan secara berkala untuk mendeteksi pemindahan

perlatan yang tidak sah, juga dapat dilakukan untuk mendeteksi dan mencegah masuknya

peralatan lain yang tidak sah ke ruangan.

5. Pemeriksaan ditempat dilakukan sesuai dengan POB, diketahui bahwa bahwa

pemeriksaan sedang berlangsung. Verifikasi hanya boleh dilakukan dengan otorisasi yang

sesuai POB.

PASAL 50

Penggunaan peralatan di luar Perpustakaan Unsyiah harus mendapat persetujuan Kepala

Perpustaaan Unsyiah terlebih dahulu, baik berupa peralatan yang dimiliki oleh Perpustakaan

Unsyiah atau peralatan yang dimiliki secara pribadi namun digunakan atas nama Perpustakaan

Unsyiah, dengan persyaratan:

1. Peralatan yang diambil tidak boleh ditinggalkan tanpa pengawasan di tempat umum;

2. Petunjuk produsen untuk melindungi peralatan harus diobservasi setiap saat;

3. Pengendalian untuk di luar lokasi, seperti berkerja di rumah, teleworking dan lokasi

sementara harus dinilai risiko dan pengendalian diterapkan sebaik-baiknya.

4. Ketika peralatan dipindahkan ke berbagai individu atau pihak eksternal, maka catatan

tentang kronologis penanganan barang bukti (chain of custody) peralatan tersebut seperti

nama individu dan organisasi yang bertanggung jawab untuk peralatan haruslah ada.

5. Risiko, misalnya kerusakan, pencurian atau pencurian informasi, mungkin berbeda-beda

tiap lokasinya dan pengendalian yang paling sesuai terhadap risiko tersebut haruslah

diperhitungkan.

PASAL 51

Peralatan harus diverifikasi untuk memastikan apakah media penyimpanan terdapat di dalamnya

atau tidak, sebelum dibuang atau digunakan kembali.

PASAL 52

Media penyimpanan yang berisi informasi rahasia atau informasi yang dilindungi hak cipta harus

dimusnahkan secara fisik atau informasi harus dimusnahkan, dihapus atau ditimpa dengan

menggunakan teknik-teknik yang membuat informasi aslinya tidak dapat diambil kembali, cara

tersebut lebih baik daripada menghapus dengan cara yang biasa atau melakukan format.

17




PASAL 53

Pengguna harus memastikan bahwa peralatan tanpa pengawasan telah dilindungi dengan baik

dan harus diberitahu untuk:

1. Mengakhiri sesi aktif setelah selesai, kecuali jika sesi tersebut dapat diamankan oleh

mekanisme pengunci yang baik, misalnya sebuah screen saver yang dilindungi kata

sandi;

2. Log off dari aplikasi atau layanan jaringan apabila tidak lagi dibutuhkan;

3. Mengamankan komputer atau perangkat mobile dari penggunaan yang tidak sah dengan

kata kunci atau pengendalian yang setara, seperti akses menggunakan password, apabila

tidak digunakan.

PASAL 54

Perpustakan menjalankan kebijakan clear desk dan clear screen dengan mempertimbangkan

klasifikasi informasi, risiko dan aspek kultural, dengan berpandu pada:

1. Screen operator tidak boleh dilihat oleh Pemustakarr.

2. Informasi sensitif atau penting, seperti informasi pada kertas atau pada media

penyimpanan elektronik, harus dikunci pada saat tidak digunakan, khususnya pada saat

kantor sedang kosong;

3. Komputer dan terminal harus di log off pada saat ditinggalkan, atau dilindungi dengan

mekanisme penguncian layar dan keyboard yang dikendalikan dengan password, token

atau mekanisme otentikasi pengguna serupa ketika digunakan tanpa pengawasan dan

harus dilindungi dengan kunci, password atau kontrol lain apabila sedang tidak

digunakan;

4. Mencegah penggunaan mesin fotokopi yang tidak sah dan teknologi reproduksi lainnya

(seperti scanner, kamera digital);

5. Media yang berisi informasi sensitif atau rahasia harus diambil dari printer secepatnya.

BAB V. KEAMANAN OPERASIONAL

BAGIAN SATU: PROSEDUR OPERASIONAL DAN TANGGUNG JAWAB

PASAL 55

Perpustakaan Unsyiah harus memastikan operasional dan pelayanan berjalan sesuai peraturan

dan standar manajemen mutu berlaku, mempertimbangkan risiko dan mengutamakan kepuasaan

pengguna, kesehatan dan keselamatan kerja serta keamanan informasi, dengan persyaratan:

1. Adanya prosedur operasi yang didokumentasikan

2. Memperhatikan manajemen perubahan

3. Memperhatikan manajemen kapasitas

4. Pemisahan pengembangan, pengujian dan operasional lingkungan

PASAL 56

Kegiatan operasional harus memiliki prosedur didokumentasikan yang menjelaskan:

1. Pemasangan sistem konfigurasi;

18




2. Pengolahan dan penanganan informasi secara otomatis dan manual;

3. Backup

4. Persyaratan penjadwalan, termasuk ketergantungan dengan sistem lain, waktu tercepat

mulainya suatu pekerjaan dan waktu terlama suatu pekerjaan selesai;

5. Instruksi untuk penanganan error atau kondisi luar biasa lainnya, yang mungkin muncul

selama pelaksanaan pekerjaan, termasuk pembatasan penggunaan utilitas sistem;

6. Dukungan dan kontak eskalasi termasuk kontak dukungan eksternal jika terjadi kesulitan

operasional atau teknis yang tidak terduga;

7. Instruksi penanganan output dan media, seperti penggunaan alat tulis kantor khusus atau

pengelolaan output rahasia termasuk prosedur untuk pembuangan output dari pekerjaan

yang gagal secara aman;

8. Prosedur untuk menghidupkan ulang dan pemulihan sistem dilakukan jika terjadi

kegagalan sistem;

9. Pengelolaan jejak audit trail dan informasi log sistem;

10. Prosedur pengawasan.

PASAL 57

Perubahan pada operasional dan pelayanan, fasilitas pengolahan informasi dan sistem yang

mempengaruhi keamanan informasi harus dikendalikan, dengan pertimbangan:

1. Identifikasi dan merekam perubahan yang penting;

2. Perencanaan dan pengujian perubahan;

3. Penilaian dampak potensial, termasuk dampak keamanan informasi terhadap perubahan

tersebut;

4. Prosedur persetujuan resmi untuk perubahan yang diusulkan;

5. Verifikasi keamanan informasi yang telah memenuhi persyaratan;

6. Mengkomunikasikan perubahan rincian kepada seluruh orang yang relevan;

7. Prosedur fall-back, termasuk prosedur dan tanggung jawab untuk membatalkan dan

memulihkan dari perubahan yang gagal dan peristiwa tak terduga;

8. Penyediaan proses perubahan darurat untuk memungkinkan pelaksanaan perubahan yang

cepat dan terkendali yang dibutuhkan untuk menyelesaikan suatu insiden.

PASAL 58

Perpustakaan Unsyiah harus mengidentifikasi dan mengimplementasi pemisahan lingkungan

antara pengembangan, pengujian dan operasional untuk mengurangi risiko akses yang tidak sah,

dengan memperhatikan:

1. Aturan untuk memindahkan software dari pengembangan ke status operasional harus

didefinisikan dan didokumentasikan;

2. Software pengembangan dan operasional harus dijalankan pada sistem atau prosesor

komputer yang berbeda dan dijalankan dalam domain atau direktori yang berbeda;

3. Perubahan pada sistem operasional dan aplikasi harus diuji dalam pengujian atau

pementasan lingkungan sebelum diterapkan ke sistem operasional;

4. Selain di dalam keadaan yang tidak biasa, pengujian tidak boleh dilakukan pada sistem

operasional;

19




5. Compiler, editor dan alat bantu pengembangan lainnya atau utilitas sistem tidak boleh

diakses dari sistem operasional bila tidak diperlukan;

6. Pengguna harus menggunakan profil pengguna yang berbeda untuk sistem operasional

dan pengujian, dan menu harus menampilkan pesan identifikasi yang baik untuk

mengurangi risiko error;

7. Data sensitif tidak boleh disalin ke dalam sistem pengujian lingkungan kecuali terdapat

pengendalian yang setara untuk menguji system tersebut

BAGIAN DUA: PROTEKSI MALWARE

PASAL 59

Perpustakaan Unsyiah harus melakukan pengontrolan, pendeteksian, pencegahan dan pemulihan

untuk melindungi dari malware, dengan cara:

1. Membuat suatu kebijakan resmi yang melarang penggunaan software yang tidak

memiliki izin;

2. Menerapkan kontrol yang mencegah atau mendeteksi penggunaan software yang tidak

sah (misalnya penerapan whitelisting);

3. Menerapkan kontrol yang mencegah atau mendeteksi penggunaan situs web yang

diketahui atau dicurigai berbahaya (misalnya blacklisting);

4. Membuat kebijakan resmi untuk perlindungan terhadap risiko yang terkait dengan

perolehan file dan software baik dari atau melalui jaringan eksternal atau media lainnya,

yang mengindikasikan langkah-langkah perlindungan apa saja yang harus dilakukan;

5. Mengurangi celah keamanan yang dapat dieksploitasi oleh malware, misalnya melalui

manajemen kerentanan teknis;

6. Melakukan tinjauan secara rutin terhadap software dan konten data sistem yang

mendukung proses bisnis penting, keberadaan setiap file yang tidak disetujui atau

amandemen tidak sah harus diselidiki secara resmi;

7. Melakukan instalasi dan pembaruan deteksi malware dan perbaikan software secara rutin

untuk memindai komputer dan media sebagai kontrol pencegahan, atau pemindaian yang

dilakukan secara rutin harus mencakup:

8. Memindai tiap file dari malware, dimana file tersebut diterima melalui jaringan atau

melalui medium penyimpanan lainnya sebelum digunakan;

9. Memindai lampiran email dan file download dari malware sebelum digunakan;

pemindaian ini harus dilakukan di tempat-tempat yang berbeda, misalnya pada server

email, desktop komputer dan ketika memasuki jaringan organisasi;

10. Memindai halaman web dari malware;

4. Menentukan prosedur dan tanggung jawab untuk menangani proteksi malware pada sistem, pelatihan dalam penggunaannya, pelaporan dan pemulihan dari serangan

malware;

5. Menyiapkan rencana kelanjutan bisnis yang baik untuk pulih dari serangan malware, termasuk semua data yang diperlukan dan pencadangan software dan pengaturan

pemulihan;

6. Menerapkan prosedur untuk mengumpulkan informasi secara rutin, seperti berlangganan

milis atau memeriksa situs web yang memberikan informasi tentang malware baru;

20




7. Menerapkan prosedur untuk memverifikasi informasi yang berhubungan dengan malware, dan memastikan bahwa buletin peringatan bersifat akurat dan informatif;.

8. Mengisolasi lingkungan dimana dampak bencana dapat terjadi.

BAGIAN TIGA: BACKUP

PASAL 60

Perpustakaan Unsyiah wajib memiliki Prosedur Operasional Baku melakukan Backup untuk

melindungi data, software dan sistem, dengan persyaratan:

1. Tersedia prosedur backup dan restore yang lengkap

2. Fasilitas yang diperlukan untuk back-up harus mencukupi

3. Hasil backup harus disimpan di lokasi yang jauh, pada jarak yang cukup untuk

menghindari kerusakan akibat bencana yang terjadi di Perpustakaan Unsyiah;

4. Media backup harus diuji secara teratur untuk memastikan bahwa backup tersebut dapat

diandalkan pada saat diperlukan di keadaan darurat;

5. juga harus dikombinasikan dengan pengujian prosedur pemulihan dan diperiksa berapa

lamakah waktu pemulihan yang dibutuhkan.

6. Menguji kemampuan pemulihan harus dilakukan pada media tes khusus, bukan dengan

cara menimpa media aslinya;

BAGIAN EMPAT: EVENT LOGGING DAN MONITORING

PASAL 61

Perpustakaan Unsyiah mengimplementasikan logging untuk pencatatan kejadian dan

dipergunakan sebagai bukti. Pelaksanaannya mengikuti persyaratan:

1. Tersedianya fasilitas event logging

1. Tersedianya proteksi atas informasi log

2. Tersedia administrator dan operator

PASAL 62

Event logging atas aktivitas pengguna, kesalahan dan pelanggaran kebijakan keamanan harus

dapat dihasilkan, disimpan dan direview secara berkala. Event log harus mencantumkan: 1. ID Pengguna

2. Kegiatan sistem

3. Tanggal dan waktu pengaksesan

4. Identitas perangkat

5. Laporan upaya akses sistem yang berhasil dan ditolak.

6. Laporan keberhasilan dan penolakan data dan upaya akses sumber daya lainnya.

7. Parubahan sistem konfigurasi

8. File yang diakses dan jenis-jenis akses

9. Alamat jaringan dan protokol;

10. Peringatan yang ditimbulkan oleh sistem pengendalian akses;

21




11. Aktivasi dan deaktivasi sistem proteksi, seperti sistem anti-virus dan sistem pendeteksi

gangguan;

12. Laporan transaksi yang dilakukan oleh pengguna.

PASAL 63

Fasilitas logging dan log informasinya harus dilindungi dari gangguan dan akses yang tidak sah.

Pengendalian haru dilakukan untuk mencegah:

1. Perubahan pada jenis pesan yang di log;

2. File log diedit atau dihapus;

3. Kapasitas penyimpanan media file laporan sudah penuh sehingga gagal untuk mencatat

peristiwa atau laporan peristiwa yang sebelumnya akan tertimpa (overwritten).

PASAL 64

Aktivitas administrator sistem dan operator sistem harus terekam dan laporan tersebut dilindungi

dan diperiksa secara teratur.

PASAL 65

Waktu/jam yang diikuti untuk seluruh sistem pengolahan informasi harus disinkronisasi menjadi

satu sumber waktu yang sama.

BAGIAN LIMA: PENGENDALIAN SOFTWARE OPERASIONAL

PASAL 66

Perpustakaan Unsyiah menetapkan prosedur untuk mengendalikan Software untuk sistem

operasional, dengan ketentuan:

1. Pembaruan software operasional, aplikasi dan perpustakaan program hanya boleh

dilakukan oleh administrator terlatih atas otorisasi kepala Perpustakaan;

2. Sistem operasional sebaiknya hanya memegang kode yang telah disetujui dan sudah

dapat dieksekusi atau dijalankan, bukan kode atau compiler masih dalam pengembangan;

3. Aplikasi dan software sistem operasional software hanya dapat diterapkan setelah

pengujian panjang dan sukses; pengujian tersebut harus mencakup kegunaan, keamanan,

dampak ke sistem lain dan kemudahan penggunaan dan harus dilakukan pada sistem

yang terpisah; Dipastikan juga bahwa seluruh sumber perpustakaan program yang terkait

telah diperbarui;

4. Sistem kendali konfigurasi harus digunakan untuk menjaga kendali seluruh software

yang diterapkan, serta menjaga kendali dokumentasi sistem;

5. Strategi rollback harus dilakukan sebelum perubahan dilaksanakan;

6. Laporan audit harus dipelihara dari seluruh pembaruan ke perpustakaan program

operasional;

7. Aplikasi software versi sebelumnya harus disimpan sebagai pengukur kontingensi;

8. Versi lama dari software harus diarsipkan, bersama-sama dengan seluruh informasi dan

parameter, prosedur, rincian konfigurasi dan software pendukung yang diperlukan

selama data disimpan di dalam arsip.

22




BAGIAN ENAM: PENGELOLAAN KERENTANAN

PASAL 67

Perpustakaan Unsyiah harus segera melakukan penanggulangan atas kerentanan (vulnerability)

teknis dari sistem informasi yang digunakan. Penanggulan dilakukan melalui:

1. Mengelola kerentanan teknis

2. Membatasi instalasi software

PASAL 68

Pengelolaan kerentanan teknis dilakukan dengan cara:

1. Menentukan dan menetapkan peran dan tanggung jawab yang terkait dengan manajemen

kerentanan teknis, termasuk kerentanan pengawasan, kerentanan penilaian risiko,

penambalan (patching), pelacakan aset dan tanggung jawab koordinasi yang diperlukan;

2. Sumber informasi yang akan digunakan untuk mengidentifikasi kerentanan teknis yang

relevan dan untuk menjaga kesadaran akan hal tersebut, harus diidentifikasi untuk

software dan teknologi lain; sumber daya informasi ini harus diperbarui berdasarkan

perubahan dalam persediaan atau ketika ditemukannya sumber daya informasi baru atau

berguna lainnya;

3. Timeline harus ditetapkan untuk bereaksi terhadap notifikasi mengenai potensi

kerentanan teknis yang relevan;

4. Setelah potensi kerentanan teknis telah diidentifikasi, organisasi harus mengidentifikasi

risiko yang terkait dan tindakan-tindakan yang harus diambil, tindakan-tindakan tersebut

dapat melibatkan penambalan sistem yang rentan atau penerapan kontrol lain;

5. Bergantung pada seberapa penting kerentanan teknis perlu diatasi, tindakan yang diambil

harus sesuai dengan kontrol yang terkait dengan manajemen perubahan atau dengan

mengikuti prosedur penanganan insiden keamanan informasi;

6. Jika patch tersedia dari sumber terpercaya, risiko yang berhubungan dengan pemasangan

patch harus dinilai (resiko yang ditimbulkan oleh kerentanan harus dibandingkan dengan

risiko pemasangan patch);

7. Patch harus diuji dan dievaluasi sebelum diinstal untuk memastikan patch tersebut

efektif dan tidak menyebabkan efek samping yang tidak dapat ditoleransi; jika tidak ada

patch yang tersedia, kontrol lain harus dipertimbangkan, seperti:

8. mematikan layanan atau kemampuan yang berkaitan dengan kerentanan;

9. mengadaptasi atau menambah pengendalian akses, seperti firewall pada batasan

jaringan;

10. meningkatkan pengawasan untuk mendeteksi serangan aktual;

11. meningkatkan kesadaran terhadap kerentanan;

12. Laporan audit harus disimpan untuk semua prosedur yang dilakukan;

13. Proses pengelolaan kerentanan teknis harus diawasi dan dievaluasi secara rutin untuk

memastikan efektivitas dan efisiensinya;

14. Sistem yang berisiko tinggi harus diatasi terlebih dahulu;

15. Proses pengelolaan kerentanan teknis yang efektif harus sejalan dengan kegiatan

pengelolaan insiden, untuk mengkomunikasikan data kerentanan terhadap fungsi

penanganan insiden dan menyediakan prosedur teknis untuk dilakukan ketika insiden

terjadi;

23




16. Mendefinisikan suatu prosedur untuk mengatasi situasi di mana sebuah kerentanan telah

diidentifikasi, tetapi tindakan balasan yang sesuai. Dalam situasi ini, organisasi harus

mengevaluasi risiko yang berhubungan dengan kerentanan yang telah diketahui dan

menentukan tindakan detektif dan korektif yang sesuai.

PASAL 69

Perpustakaan Unsyiah membuat kebijakan dalam instalasi software, dengan persyaratan:

1. Instalasi aplikasi atau software hanya boleh dilakukan oleh tim IT.

2. Staf tidak diperkenankan menggunakan software selain kebutuhan kerja.

3. Staf tidak diperkenankan menginstall/menggunakan software yang tidak memiliki izin.

4. Staf dilarang menggunakan peralatan yang berisiko dan dapat merusak sistem operasi

komputer.

BAGIAN TUJUH: PERTIMBANGAN AUDIT SISTEM INFORMASI

PASAL 70

Persyaratan audit dan kegiatan yang melibatkan sistem operasional yang direncanakan telah

diatur atau tercantum pada Prosedur Operasional Baku Perpustakaan Unsyiah tentang “Internal

Audit”.

PASAL 71

Audit bisa dilakukan sewaktu-waktu diperlukan dengan batasan yang ditentukan terlebih dahulu.

PASAL 72

Untuk keperluan khusus dan teknis Pepustakaan Unsyiah bisa menggunakan tenaga audit ahli

dari luar Perpustakaan

BAB VI. KEAMANAN KOMUNIKASI

PASAL 73

Pengendalian jaringan Perpustakaan Unsyiah dilakukan dengan persyaratan

1. Harus mengikuti Prosedur Opersional Baku tentang “Pemeliharaan Jaringan, Hardware

dan Software”.

2. Sistem pada jaringan harus dikonfirmasi (login SSO) untuk pemustaka.

3. Koneksi sistem ke jaringan harus dibatasi bandwidthnya.

4. Firewall harus dikelola dengan baik untuk nilai tambah keamanan jaringan.

5. Pengelolaan bandwidth harus mengikuti perubahan zaman dari pemustaka.

6. Penggunaan layanan jaringan harus mengikuti prosedur yang ada di Perpustakaan

Unsyiah.

7. Grup layanan jaringan informasi harus dipisahkan dalam jaringan antara pengguna dan

sistem informasi.

24




PASAL 74

Transfer atau pertukaran informasi harus dijaga keamanannya dengan persyaratan:

1. Sesuai dengan kebijakan atau prosedur atasan/Kepala Perpustakaan Unsyiah.

2. Analisa, antisipasi dan pemusnahan malware yang kemungkinan disalurkan melalui

penggunaan komunikasi elektronik.

3. Setiap penggunaan fasilitas komunikasi harus berkonsultasi terlebih dahulu dengan

staf/unit yang ada diperpustakaan untuk menentukan fasilitas yang cocok untuk di

pergunakan.

4. Staf, pihak eksternal dan pengguna lainnya bertanggung jawab untuk tidak merusak

Perpustakaan Unsyiah, misalanya melalui fitnah, pelecehan peniruan, penerusan surat

berantai, pembelian tidak sah dan sebagainya.

5. Pengendalian atau batasan terkait penggunaan fasilitas komunikasi, misalnya penerusan

surat secara elektronik secara otomatis ke alamat surat eksternal harus melalui atau atas

izin kepala Perpustakaan Unsyiah atau atasan bagian yang bersangkutan.

6. Setiap perjanjian transfer informasi harus menyertakan hal berikut:

9. Tanggung jawab manajemen untuk mengendalikan dan memberitahukan tentang transmisi, penugasan dan penerimaan;

10. Standar teknis minimum untuk pengepakan dan transmisi;

11. Standar identifikasi kurir;

12. Penggunaan sistem pelabelan yang disepakati untuk informasi sensitif atau kritis, memastikan bahwa arti label dapat segera dipahami dan informasi tersebut dilindungi

dengan benar;

13. Pertimbangan dan perlindungan keamanan informasi untuk pesan elektronik harus

menyertakan hal-hal berikut:

14. Memastikan pengalamatan dan transportasi pesan dengan benar;

15. Keandalan dan ketersediaan layanan;

16. Memperoleh persetujuan sebelum menggunakan layanan publik eksternal seperti pesan

singkat, jejaring sosial atau file sharing;

17. Pertimbangan dan perlindungan keamanan untuk perjanjian rahasia atau tertutup harus menyertakan hal-hal berikut:

a) Definisi informasi yang harus dilindungi (misalnya informasi rahasia);

b) Durasi yang diharapkan dari sebuah perjanjian, termasuk pada saat dimana

kerahasiaan harus dijaga tanpa batas waktu;

c) Hak untuk mengaudit dan memantau kegiatan yang melibatkan informasi rahasia;

d) Proses untuk pemberitahuan dan pelaporan terhadap penyingkapan informasi

rahasia yang tidak sah ataupun kebocoran informasi rahasia;

18. Perjanjian rahasia atau tertutup harus mematuhi seluruh hukum dan peraturan yang berlaku untuk yurisdiksi yang berlaku.

25




BAB VII. AKUISI, PENGEMBANGAN DAN PEMELIHARAAN SISTEM

BAGIAN SATU: PERSYARATAN KEAMANAN SISTEM INFORMASI

PASAL 75

Pengembangan dan perawatan sistem perlu mempertimbangkan persyaratan keamanan informasi

berikut:

1. Proses penyediaan dan otorisasi akses, untuk pengguna maupun pengguna istimewa atau teknis;

19. Memberitahukan staf tentang tugas dan tanggung jawab mereka; 20. Kebutuhan perlindungan yang dibutuhkan dari aset yang terlibat, khususnya mengenai

ketersediaan, kerahasiaan, integritas;

PASAL 76

Pertimbangan keamanan informasi untuk layanan aplikasi melalui jaringan umum dengan

memperhatikan sebagai berikut:

1. Tingkat kepercayaan yang dibutuhkan oleh setiap pihak dalam identitas yang telah

diklaim satu sama lain, misalnya melalui otentikasi;

2. Persyaratan proteksi tiap rahasia informasi;

PASAL 77 Setiap tingkat pengendalian yang diadopsi harus sepadan dengan tingkat risiko yang berkaitan

dengan tiap bentuk transaksi layanan aplikasi.

BAGIAN DUA: KEAMANAN DALAM PROSES PENGEMBANGAN DAN DUKUNGAN

PASAL 78

Proses pengembangan dan dukungan harus memastikan keamanan, dengan mempertimbangkan

aspek-aspek berikut:

1. Keamanan pengembangan menurut lingkungan;

2. Panduan keamanan dalam pengembangan software, seperti Keamanan dalam metodologi

pengembangan software dan pengkodean yang aman untuk setiap bahasa pemrograman

yang digunakan;

3. Repositori yang aman;

4. Keamanan dalam kontrol versi;

5. Pengetahuan keamanan aplikasi yang dibutuhkan;

6. Kemampuan para pengembang dalam menghindari, mencari dan memperbaiki

kerentanan.

7. Pengkodean harus mengikuti standart yang aman dan sesuai untuk digunakan.

26




PASAL 79

Jika pengembangan dilakukan oleh outsource, Perpustakaan Unsyiah harus mendapatkan

jaminan bahwa pihak eksternal mematuhi peraturan-peraturan ini untuk pembangunan yang

aman.

PASAL 80

Perubahan pada system/aplikasi dilakukan dengan persyaratan:

1. harus dikendalikan oleh penggunaan prosedur pengendalian perubahan dan atas

sepengetahuan atau izin atasan.

2. harus terdokumentasi dan diterapkan untuk memastikan integritas sistem, aplikasi dan

produk, mulai dari tahap perancangan awal sampai seluruh upaya pemeliharaan

selanjutnya.

3. harus mengikuti proses dokumentasi resmi, sepesifikasi, pengujian, pengendalian mutu

dan implementasi yang terkelola.

4. Pada saat platform operasi diubah, aplikasi dan sistem harus ditinjau dan diuji untuk

memastikan tidak ada dampak buruk pada operasi Perpustakaan Unsyiah dan keamanan.

21. peninjauan terhadap prosedur pengendalian dan integritas aplikasi untuk memastikan bahwa aplikasi tersebut tidak bermasalah dikarenakan perubahan platform operasi;

22. penjaminan bahwa pemberitahuan perubahan platform operasi diberikan tepat waktu

untuk memungkinkan pengujian dan ulasan yang tepat untuk dilakukan sebelum

implementasi;

PASAL 81

Pembatasan pada perubahan terhadap software harus dikurangi sampai perubahan yang

diperlukan saja dan seluruh perubahan harus dikontrol secara rutin dan ketat.

PASAL 82

Jika ada software diperlukan modifikasi, maka perlu dipertimbangkan hal-hal berikut:

1. Risiko pengendalian internal dan proses integritas yang bermasalah;

2. Penilaian resiko, analisis dampak perubahan, spesifikasi pengendalian keamanan yang

dibutuhkan dan memastikan dukungan progremer untuk keamanan dan pengendalian.

3. Dampak apabila organisasi bertanggung jawab atas pemeliharaan software ke depannya

sebagai akibat dari perubahan;

4. Kompatibilitas dengan software lain yang sedang digunakan.

PASAL 83.

Pada saat perubahan diperlukan, software asli harus dipertahaankan dan perubahan diterapkan

pada salinan yang ditujukan.

PASAL 84

Pengendalian sistem harus mencakup namun tidak terbatas pada:

1. pemeliharaan laporan dari tingkat otorisasi yang disepakati;

27




2. penjaminan bahwa perubahan diajukan oleh pengguna yang berwenang; 3. peninjauan prosedur pengendalian dan integritas untuk memastikan bahwa mereka tidak

akan bermasalah dikarenakan terjadi perubahan; 4. identifikasi semua software, informasi, entitas database dan hardware yang memerlukan

amandemen; 5. identifikasi dan pemeriksaan kode penting keamanan untuk meminimalkan kemungkinan

kelemahan keamanan yang diketahui; 6. penjaminan bahwa pengguna yang berwenang menerima perubahan sebelum

pelaksanaan; 7. penjaminan bahwa kumpulan dokumentasi sistem diperbarui setiap perubahan telah

selesai dan dokumentasi yang sudah lama diarsipkan atau dibuang; 8. pemeliharaan kontrol versi untuk seluruh pembaruan software; 9. pemeliharaan jejak audit dari seluruh permintaan perubahan; 10. penjaminan bahwa prosedur dokumentasi dan prosedur pengguna diubah

seperlunya agar tetap sesuai;

PASAL 85

Proses pengalihan staf untuk pengembangan dikarenakan hal tertentu harus memperhatikan hal-

hal berikut:

1. Setiap kepemilikan kode dan hak kekayaan intelektual yang berkaitan degan konten di

alihdayakan akan sepenuhnya jadi pengelolaan staf selanjutnya;

2. Pengujian yang memadai telah diterapkan untuk mencegah adanya konten berbahaya

yang sengaja dan tidak disengaja;

3. Dokumentasi dari sistem yang dibangun

4. Perpustakaan Unsyiah menentukan kepada pihak yang ditentukan/dikontrak untuk tetap

bertanggung jawab atas ketundukan terhadap undang-undang yang berlaku dan verifikasi

efisiensi pengadilan.

PASAL 86

Setiap pengembangan sistem mensyaratkan:

1. Pengujian fungsi keamanan yang telah diterapkan secara terdokumentasi.

2. Pengujian menentukan penerimaan dan kelayakan pakai dengan membuat spesifikasi

dan versi baru.

BAGIAN TIGA: UJI DATA

PASAL 87

Setiap data yang akan diuji harus dilakukan pemilihan secara hati-hati, dilindungi dan di kontrol.

PASAL 88

Proses pelindungan dan operasional harus meliputi panduan berikut:

1. prosedur pengendalian akses yang berlaku untuk sistem aplikasi, juga berlaku untuk

sistem uji aplikasi;

28




2. harus ada otorisasi terpisah setiap kali informasi operasional disalin ke area pengujian;

3. informasi operasional harus dihapus dari area pengujian segera setelah pengujian selesai;

4. Penyalinan dan penggunaan informasi operasional harus dicatat untuk memberikan jejak

audit.

BAB VIII. PENGELOLAAN INSIDEN KEAMANAN INFORMASI

PASAL 89

Perpustakaan Unsyiah menetapkan Prosedur Operasional Baku untuk Penanganan Incident.

PASAL 90

Tanggung jawab terhadap pengelolaan insiden keamanan informasi ditetapkan dengan

memperhatikan perencanaan, analisis, penilaian, penanganan dan pemulihan;

PASAL 91

Penanganan insiden terhadap keamanan informasi dilakukan dengan cara;

1. Setiap insiden keamanan informasi harus tercatat dan terdokumentasi

2. Mencataat detil dari setiap insiden keamanan informasi;

3. Adanya proses umpan balik untuk memastikan bahwa penanganan insiden ioformasi

sudah selelesai atau masih tahap penanganan.

PASAL 92

Setiap ada kelemahan keamanan informasi yang terdeteksi atau yang dicurigai dalam system atau

layanan harus dicatat dan dilaporkan.

PASAL 93

Penilaian dan Keputusan pada Peristiwa Keamanan Informasi; Setiap peristiwa dari keamanan

informasi harus secepatnya ditindaklanjuti dengan menilai dan mengelompokkan informasi

tersebut.

PASAL 94

Insiden keamanan informasi harus ditangani sesuai dengan prosedur yang terdokumentasi

dengan memperhatikan:

1. Mengumpulkan bukti terhadap kejadian kemaanan informasi;

2. Melakukan analisis terhadap keamanan informasi;

3. Kegiatan penanganan terhadap insiden harus ditargetkan penyelesaiannya;

4. Semua kegiatan penanganan yang terlibat harus tercatat untuk analisis selanjutnya;

5. Mensosialisasikan setiap ada perubahan atau perbaikan system kepada seluruh staff,

internal atau eksternal lain yang perlu diketahui;

6. Mendokumentasi setiap insiden yang berhasil ditangani, meliputi:

a) Penanganan;

b) Keamanan;

29




c) Peran dan tanggung jawab terhadap personil yang mengumpulkan bukti.

BAB IX. PANDUAN JAMINAN KEBERLANJUTAN KEMANAN INFORMASI

PASAL 95

Perpustakaan Unsyiah harus memiliki:

1. Manajemen kontinuitas keamanan informasi jika terjadi sesuatu diluar kendali, atau

keadaan tidak normal;

2. Kepastian apakah kontinuitas keamanan inforamsi sudah terdapat dalam bisnis proses dan

proses manajemen yang berlangsung;

3. Kepastian bahwa tersedia staff berkompeten dan bertanggung jawab terhadap keamanan

informasi;

PASAL 96

Perpustakaan harus memverifikasi secara berkala pengendalian kontinuitas keamanan informasi

yang telah ditetapkan dengan:

1. Melaksanakan dan menguji fungsionalitas proses, prosedur dan pengendalian keamanan

informasi untuk memastikan bahwa hal tersebut telah konsisten dengan objektif

kontinuitas keamanan informasi;

2. Melaksanakan dan menguji pengetahuan dan rutinitas untuk mengoperasikan proses,

prosedur dan pengendalian kontinuitas keamanan informasi untuk memastikan bahwa

kinerjanya konsisten dengan objektif kontinuitas keamanan informasi;

BAB X. KEPATUHAN

Untuk memastikan setiap bisnis proses di perpustakaan berjalan sesuai dengan hukum yang

berlaku, maka perlu dilakukan identifikasi dengan memastikan bahwa:

1. Semua peraturan perundang-undangan, peraturan dan persyaratan kontrak harus

diidentifikasi dan didokumentasikan;

23. Diperbarui secara eksplisit untuk setiap sistem informasi dan organisasi;

PASAL 97

Setiap aset baik informasi, hak cipta hak paten atau dokumen yang dimiliki oleh perpustakaan

dipelihara dan dilindungi dengan panduan sebagai berikut:

1. Patuh terhadap hak kekayaan intelektual yang mendefinisikan penggunaan software dan

informasi secara legal;

2. Memelihara kesadaran akan kebijakan untuk melindungi hak kekayaan intelektual dan

memberi tahu maksud dari melakukan tindakan disipliner terhadap personil yang

melanggarnya;

30




3. Memelihara daftar aset yang sesuai dan mengidentifikasi seluruh aset dengan

persyaratan untuk melindungi hak kekayaan intelektual;

4. Tidak melakukan duplikasi, mengkonversi ke format lain atau mengekstrak rekaman

komersial (film, audio) selain diizinkan oleh undang-undang hak cipta;

5. Tidak menyalin seluruh atau sebagian dari buku, artikel, laporan atau dokumen lainnya,

selain diizinkan oleh undang-undang hak cipta.

PASAL 98

Rekaman Informasi yang dimiliki oleh Perpustakaan harus dilindungi dari kehilangan,

pemusnahan, pemalsuan, dilindungi sesuai dengan peraturan perundang-undangan, peraturan,

persyaratan kontrak dan bisnis.

PASAL 99

Setiap data dan informasi identitas pribadi harus dipastikan terlidungi dengan aturan-aturan yang

berlaku di perpustakaan. Ketaatan untuk menjaga identitas pribadi harus dikomunikasikan

kepada semua orng yang terlibat dalam pengolahan infomasi identitas pribadi dengan menunjuk

seseorang yang bertanggung jawab untuk menangani informasi tersebut

PASAL 100

Pengendalian kriptografi digunakan untuk memenuhi persyaratan seluruh perjanjian dan undang-

undang.

PASAL 101

Mengidentifikasi secara teratur terhadap kebijakan dan standar keamanan yang diterapkan

dengan melakukan peninjauan diantaranya:

1. Identifikasi penyebab dari ketidak taatan terhadap perturan yang berlaku;

2. Evaluasi tindakan yang dibutuhkan untuk taat peraturan;

3. Menerapkan tidakan perbaikan yang tepat;

4. Meninjau tindakan koreektif untuk memverifikasi dan mengidentifikasi kekurangan dan

kelemahan lainnya.

Ditetapkan di : Darussalam, Banda Aceh

Pada Tanggal : 19 Februari 2018

Kepala UPT. Perpustakaan

Universitas Syiah Kuala,

Dr. Taufiq Abdul Gani, S.Kom., M.Eng.,Sc

NIP. 196904101995121001

Documents

PERPUSTAKAAN - uilis.unsyiah.ac.iduilis.unsyiah.ac.id/unsyiana/files/original/34fa57f6af709fa55ac... · Wewenang dan pengendalian akses ditulis dalam dokumen dengan ketentuan 1. Mempertimbangkan