Upload
ngodat
View
229
Download
0
Embed Size (px)
Citation preview
1
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PERATURAN
PERPUSTAKAAN
2
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
SURAT KEPUTUSAN
KEPALA UPT. PERPUSTAKAAN UNIVERSITAS SYIAH KUALA
NOMOR 286 /UN.11.13 /TU /2018
PERATURAN KEAMANAN INFORMASI
DI UPT PERPUSTAKAAN
Menimbang:
(a) Bahwa Teknologi Informasi yang menjadi tulang punggung dalam operasional dan
pelayanan UPT Perpustakaan Unsyiah harus dilaksanakan secara terpadu dan
terkoordinasi dengan berbagai pihak.
(b) Bahwa pemanfaatan Teknologi Informasi di Perpustakaan Unsyiah harus
mempertimbangkan aspek risiko dan peluang supaya mendatangkan manfaat maksimal.
(c) Bahwa keamanan informasi adalah risiko yang harus dikendalikan untuk
mengoptimalkan pemanfaatan Teknologi Informasi, maka perlu dibuat ketentuan Tata
Kelola Keamanan Informasi di UPT Perpustakaan Unsyiah yang standar dan memiliki
kekuatan dalam bentuk dokumen Surat Keputusan Pimpinan.
Mengingat:
(a) Undang-undang Nomor 20 Tahun 2013 tentang Sistem Pendidikan Nasional;
(b) Undang-undang Nomor 12 Tahun 2012 tentang Pendidikan Tinggi;
(c) Peraturan Pemerintah R.I. Nomor 4 Tahun 2014 tentang Penyelenggaraan Pendidikan
Tinggi dan Pengelolaan Perguruan Tinggi;
(d) Undang-Undang Nomor 43 Tahun 2007 tentang Perpustakaan (Lembaran Negara
Republik Indonesia Tahun 2007 Nomor 129, Tambahan Lembaran Negara Republik
Indonesia Nomor 4774);
(e) Masukkan Undang Undang tentang TIK
(f) Peraturan Pemerintah Nomor 4 Tahun 2014 tentang Penyelenggaraan Pendidikan Tinggi
dan Pengelolaan Perguruan Tinggi (Lembaran Negara Republik Indonesia Tahun 2014
Nomor 16, Tambahan Lembaran Negara Republik Indonesia Nomor 5500);
(g) Peraturan Pemerintah Nomor 24 Tahun 2014 tentang Pelaksanaan Undang-Undang
Nomor 43 Tahun 2007 tentang Perpustakaan (Lembaran Negara Republik Indonesia
Tahun 2014 Nomor 76, Tambahan Lembaran Negara Republik Indonesia Nomor 5531);
(h) Masukkan Peraturan Pemerintah tentang TIK
(i) Peraturan Menteri Riset, Teknologi, dan Pendidikan Tinggi Nomor 44 Tahun 2015
tentang Standar Nasional Pendidikan Tinggi (Berita Negara Republik Indonesia Tahun
2015 Nomor 1952);
(j) Peraturan Menteri Riset, Teknologi dan Pendidikan Tinggi R.I. Nomor 48 Thaun 2015
tentang Organisasi dan Tata Kerja Universitas Syiah Kuala;
(k) Permenristekdikti Nomor 99 Tahun 2016 tentang Statuta Unsyiah.
(l) Masukkan Peraturan Menteri tentang TIK
(m) Peraturan Kepala Perpustakaan Nasional Republik Indonesia Nomor 13 Tahun 2017
tentang Standart Nasional Perpustakaan Perguruan Tinggi;
MEMUTUSKAN
Menetapkan: PERATURAN KEAMANAN INFORMASI DI UPT PERPUSTAKAAN
3
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
BAB I. KEBIJAKAN KEAMANAN INFORMASI
PASAL 1
Perpustakaan Unsyiah diharuskan menyusun pernyataan Kebijakan Keamanan Informasi sebagai
bagian dari Kebijakan Mutu yang tersebut dalam Pedoman Mutu Perpustakaan Unsyiah, yaitu
dengan pernyataan kebijakan:
“Menciptakan keamanan informasi yang menumbuhkan kepercayaaan dan loyalitas
civitas terhadap layanan Perpustakaan Unsyiah”
PASAL 2
Perubahan atas pernyataan kebijakan keamanan informasi dilakukan sebagai bagian dari
Tinjauan Manajemen sebagai bagian dari siklus Penjaminan Mutu Perpustakaan Unsyiah.
BAB II. ORGANISASI KEAMANAN INFORMASI
BAGIAN SATU: INTERNAL ORGANISASI
PASAL 3
Kepala Perpustakaan berkewajiban membangun kerangka manajemen untuk implementasi sistem
manajemen keamanan informasi di Perpustakaan Unsyiah.
PASAL 4
Kepala Perpustakaan berkewajiban membentuk Tim Keamanan Informasi, yang terdiri dari satu
orang ketua dibantu beberapa anggota , dengan tugas utama:
1. Memberikan perlindungan terhadap asset informasi;
2. Mengidentifikasi dan melaksanakan proses keamanan informasi;
3. Mengurangi risiko keamanan informasi.
PASAL 5
Wewenang dan tugas staf Perpustakaan Unsyiah disusun dengan memperhatikan persyaratan
keamanan informasi untuk mengurangi, yaitu:
1. Konflik kepentingan;
2. Risiko penyalahgunaan aset dan akses.
PASAL 6
Sebagai bagian dari Universitas Syiah Kuala, Perpustakaan Unsyiah wajib tunduk pada
kebijakan pengelolaan teknologi informasi yang ditetapkan oleh Universitas Syiah Kuala
4
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
BAGIAN DUA: TUGAS SECARA TELEWORKING
PASAL 7
Staf tertentu mendapat izin untuk bekerja secara remote atau teleworking dengan persyaratan:
1. Dapat dilakukan atas izin dari kepala Perpustakaan Unsyiah.
2. Login administrator hanya boleh dilakukan dijaringan Perpustakaan Unsyiah.
3. Setiap staf yang dihentikan atau berhenti akan dicabut kewenangan dan hak akses
teleworking.
BAGIAN TIGA: PENANGANAN MEDIA
PASAL 8
Perpustakaan harus mencegah pengungkapan, modifikasi, penghapusan atau merusak informasi
secara tidak sah yang disimpan pada media, dengan memperhatikan:
1. Pengelolaan Media yang dapat dilepas-pasang
2. Pembuangan/Penghapusan Media
3. Pemindahan Media Fisik
PASAL 9
Pengelolaan media lepas pasang dilakukan dengan mengikuti persyaratan:
1. Jika tidak diperlukan lagi, isi yang terdapat dalam setiap media reusable tersebut yang
akan dihapus, harus tidak dapat dipulihkan kembali;
2. Apabila perlu dan praktis, otorisasi harus disertakan untuk media yang dihapus dari
Perpustakaan Unsyiah dan catatan penghapusan tersebut harus disimpan secara berurut
untuk memelihara jejak audit;
3. Semua media harus disimpan dalam lingkungan yang aman, sesuai dengan instruksi
pabrik;
4. Jika kerahasiaan atau integritas data penting untuk diperhitungkan, teknik kriptografi
harus digunakan untuk melindungi data pada media lepas-pasang;
5. Untuk mengurangi risiko degradasi media dimana data yang tersimpan masih dibutuhkan,
data harus dipindahkan ke media baru sebelum data menjadi tidak terbaca;
6. Beberapa salinan data berharga harus disimpan dalam media terpisah untuk mengurangi
risiko kerusakan atau kehilangan data secara tidak disengaja;
7. Registrasi media lepas-pasang harus dipertimbangkan untuk membatasi peluang
hilangnya data;
8. Drive media lepas-pasang dapat diaktifkan hanya apabila terdapat alasan untuk
melakukannya;
9. Apabila perlu memakai media lepas-pasang, maka pemindahan informasi ke media
tersebut harus dipantau.
PASAL 10
Media harus dibuang dengan aman apabila tidak diperlukan lagi dengan menggunakan prosedur
yang resmi dan persyaratan:
5
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
1. Media yang berisi informasi rahasia harus disimpan dan dibuang secara aman, dengan
membakar atau merobeknya atau data media yang digunakan dengan aplikasi lain harus
dihapus;
2. Prosedur harus dilakukan untuk mengidentifikasi barang-barang yang perlu dibuang
secara aman;
3. Akan lebih mudah untuk mengatur seluruh barang media untuk dikumpulkan dan
dibuang secara aman, daripada mencoba untuk memisahkan barang-barang sensitif
tersebut;
4. Pembuangan barang sensitif tersebut harus dicatat untuk menjaga jejak audit.
PASAL 11
Media yang berisi informasi harus dilindungi terhadap akses yang tidak sah, penyalahgunaan
atau kecurangan selama pemindahan. Pemindahan harus mengikuti persyaratan:
1. Harus menggunakan transportasi atau kurir yang dapat diandalkan;
2. Daftar kurir yang berwenang harus sudah disetujui oleh manajemen;
3. Prosedur untuk memeriksa identifikasi kurir harus dilakukan;
4. Pengemasan harus cukup untuk melindungi konten dari kerusakan fisik yang
kemungkinan terjadi pada saat transit dan harus sesuai dengan instruksi pabrik, misalnya
melindungi dari faktor-faktor lingkungan yang dapat mengurangi efektivitas restorasi
media seperti terpapar panas, diletakkan pada tempat yang lembab atau elektromagnetis;
5. Harus membuat laporan tentang identifikasi konten media, perlindungan apa yang
dilakukan, waktu pemindahan petugas transit dan waktu penerimaan sampai ke tujuan.
BAB III. PENGENDALIAN AKSES
BAGIAN SATU: KEBIJAKAN PENGENDALIAN AKSES
PASAL 12
Pengendalian akses adalah pemberian dan pembatasan akses terhadap sumber daya untuk
operasional dan pelayanan Perpustakan Unsyiah
PASAL 13
Sumber daya yang dikendalikan aksesnya adalah:
1. Perangkat keras komputer dan jaringan
2. Perangkat keras mesin pendukung
3. Perangkat keras peralatan pendukung
4. Perangkat lunak sistem operasi
5. Perangkat lunak aplikasi
6. Data dan informasi
PASAL 14
Operasional dan pelayanan Perpustakaan Unsyiah yang memerlukan pengendalian akses
meliputi semua lingkup proses yang ada di Perpustakaan Unsyiah, yaitu Pelayanan Pengguna,
Pelayanan Teknis, Perencanaan dan Pengembangan Sistem, Penjaminan Mutu dan Tata Usaha.
6
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 15
Pengendalian akses dijalankan dengan persyaratan:
1. Prinsip utama pengendalian akses di Perpustakaan Unsyiah adalah “Segala sesuatu pada
umumnya adalah dilarang kecuali sesuatu tersebut sudah diizinkan dengan tegas”;
2. Akses hanya diberikan jika pengguna telah diberi wewenang tertulis;
3. Prinsip Need-to-know: akses hanya diberikan untuk informasi yang diperlukan untuk
melakukan tugas saja;
4. Prinsip Need-to-use: akses hanya diberikan untuk fasilitas pengolahan informasi yang
diperlukan untuk melakukan tugas saja.
PASAL 16
Pengendalian akses harus memisahkan dengan jelas tahapan proses permintaan, otentifikasi,
otorisasi, dan monitoring dan evaluasi akses, yaitu:
1. Otentifikasi dilakukan untuk memverifikasi hak akses pengguna.
2. Otorisasi digunakan untuk menentukan apakah pengguna memiliki hak dalam
memanipulasi (menambah, mengubah atau menambah) sumber daya.
3. Monitoring dan evaluasi merupakan bagian dari sistem manajemen mutu Perpustakaan
Unsyiah untuk mengawasi, melindungi akses terhadap koneksi dan layanan jaringan.
PASAL 17
Wewenang dan pengendalian akses ditulis dalam dokumen dengan ketentuan
1. Mempertimbangkan risiko keamanan informasi, kesehatan dan keselamatan kerja, dan
kepuasaan pengguna.
2. Merupakan bagian dari Sistem Manajemen Mutu Perpustakaan Unsyiah
PASAL 18
Wewenang akses diberikan kepada:
1. Pimpinan, staf tetap dan kontrak Perpustakaan Unsyiah
2. Mahasiswa, staf dan dosen Unsyiah
3. Anggota terdaftar,
4. Tamu
5. Pemustaka dan masyarakat umum
6. Pihak lain yang sudah ditunjuk oleh Kepala Perpustakaan Unsyiah untuk menjalankan
operasional dan pelayanan Perpustakaan Unsyiah dalam jangka waktu tertentu
PASAL 19
Kepala Perpustakaan Unsyiah menetapkan wewenang dan pengendalian akses secara tertulis,
dengan memperhatikan.
1. Wewenang akses dibuat dengan disatukan ke dalam job description;
2. Pengendalian akses diatur dalam prosedur operasional baku;
3. Job description, prosedur operasional baku adalah dokumen yang menjadi bagian sistem
manajemen mutu Perpustakaan Unsyiah
7
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
BAGIAN DUA: PENGELOLAAAN AKSES PENGGUNA
PASAL 20
Pengelolaan akses pengguna dimaksudkan untuk:
1. memastikan apakah pengguna diizinkan atau tidak untuk mengakses sistem dan layanan
2. mencegah akses tanpa izin
PASAL 21
Prosedur Operasional Baku untuk pengelolaan akses ditetapkan oleh Kepala Perpustakaan
Unsyiah yang meliputi:
1. Registrasi
2. Pemberian akses pengguna
3. Manajemen hak-hak akses istimewa
4. Manajemen kerahasiaan informasi otentikasi pengguna atau password
5. Peninjauan kembali hak akses pengguna
6. Penghapusan atau penyesuaian hak akses
PASAL 22
Registrasi adalah pendaftaran untuk pengguna baru atau pendaftaran ulang untuk pengguna lama,
baik pengguna aplikasi atau jaringan dengan ketentuan:
1. Register dilakukan secara formal dan terdokumentasi informasinya.
2. Pada saat registerasi dibuatkan ID pengguna yang unik sebagai keterikatan dan tangung
jawab atas tindakan yang dilakukan.
3. ID bersama dimungkinkan apabila penggunan bersama tersebut penting untuk alasan
operasional dan pelayanan dan harus disetujui terlebih dahulu oleh Kepala Perpustakaan
dan didokumentasikan;
4. ID harus segera dinonaktifkan atau dihapus jika pengguna sudah tidak aktif lagi
PASAL 23
Pemberian dan pencabutan hak akses ID pengguna harus dilakukan secara resmi dan
terdokumentasi dalam sebuah prosedur operasional baku, dengan ketentuan:
1. Mendapatkan persetujuan dari pengendali atau penanggung jawab penggunaan asset atau
sistem
2. Memverifikasi bahwa tingkat akses yang diberikan adalah sesuai dengan wewenang;
3. Hak-hak akses tidak diaktifkan sebelum prosedur otorisasi selesai;
4. Memperbaharui hak-hak akses pengguna yang posisi jabatan atau tanggung jawabnya
telah berubah, hak akses segera dihapus atau diblokir ;
5. Hak-hak akses yng telah diberikan harus ditinjau dan dievaluasi secara berkala.
6. Pelanggaran terhadap hak akses harus dikenakan sangsi dan mengikat
PASAL 24
Hak akses pengguna harus ditinjau kembali secara berkala bila ada:
1. Perubahan jabatan atau pemutusan hubungan kerja.
8
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
2. Berpindah dari satu peran ke peran kerja lainnya.
3. Penyalah-gunaan akses
PASAL 25
Penghapusan hak akses dilakukan dengan ketentuan:
1. Hak akses yang harus dihapus adalah hak fisik dan lojik.
2. Penghapusan dapat dilakukan dengan cara menghapus, mencabut atau mengganti
password, atau kartu identifikasi.
3. Jika pengguna sudah mengetahui kata sandi untuk ID pengguna yang aktif, maka kata
sandi tersebut harus diubah setelah penghentian atau pergantian pengguna tersebut.
PASAL 26
Hak-hak akses istimewa dapat dialokasikan dan diberikan secara terbatas, terkontrol dan
mendapatkan izin dari atau atas nama Kepala Perpustakaan Unsyiah, dengan ketentuan:
1. Hak akses istimewa harus dialokasikan kepada pengguna berdasarkan kebutuhannya
(need-to-use) dan berdasarkan acara per acara dengan mematuhi kebijakan pengendalian
akses
2. Pengguna yang diberikan hak akses istimewa harus diidentifikasi terlebih dahulu;
3. Memverifikasi bahwa tingkat akses yang diberikan adalah sesuai dengan wewenang
4. Proses otorisasi dan laporan seluruh hak istimewa yang telah dialokasikan, harus dijaga.
5. Hak akses istimewa tidak boleh diberikan sampai proses otorisasi selesai;
6. Persyaratan untuk berakhirnya hak akses istimewa harus ditentukan;
7. Hak akses istimewa harus ditetapkan untuk ID pengguna yang berbeda dari ID pengguna
yang biasa digunakan untuk satu kegiatan. Kegiatan reguler tidak boleh dilakukan dengan
memakai ID istimewa;
8. Kompetensi pengguna dengan hak akses istimewa harus ditinjau kembali secara teratur
untuk memverifikasi apakah mereka sesuai dengan tugas-tugas mereka;
PASAL 27
Kerahasiaan informasi otentifikasi atau password/pin harus dikendalikan melalui sebuah proses
manajemen resmi, dengan persyaratan:
1. Pengguna harus menandatangani sebuah pernyataan untuk menjaga kerahasiaan
password/pin pribadi atau grup; pernyataan yang ditandatangani ini dapat disertakan
dalam ketentuan dan persyaratan kerja atau keanggotaan;
2. Pengguna harus menjaga password/pin mereka sendiri, mula-mula harus diberikan
password sementara, dimana mereka harus mengubahnya pada saat pertama kali
digunakan;
3. Harus ada prosedur untuk memverifikasi identitas pengguna sebelum memberikan
password baru, pengganti atau sementara;
4. Password sementara harus diberikan kepada pengguna dengan cara yang aman;
penggunaan pihak eksternal atau pesan elektronik yang tidak diproteksi (teks yang jelas)
harus dihindari;
5. Password sementara harus unik untuk setiap individu;
9
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
6. Password disyaratkan memiliki panjang minimum yang cukup, mudah diingat, tidak
mudah ditebak, seperti nama, nomor telepon dan tanggal lahir;
7. Password bebas dari karakter-karakter identik yang seluruhnya numerik atau seluruhnya
alfabet secara berurutan;
8. Memastikan perlindungan yang baik untuk penggunaan password dalam perosedur log-
on otomatis dan pada saat disimpan;
9. Mengizinkan pengguna untuk memilih dan mengubah password mereka sendiri;
10. Pengguna melakukan penggantian password secara teratur sesuai dengan kebutuhan;
11. Tidak menunjukkan password pada layar ketika sedang dimasukkan.
12. Pengguna harus mengirimkan balasan bahwa password yang diberikan sudah diterima ;
13. Pasword bawaan dari vendor harus diubah setelah instalasi sistem atau software.
PASAL 28
Hak akses pengguna harus ditinjau ulang mengikuti hal-hal berikut ini:
1. Hak akses pengguna harus ditinjau kembali secara berkala dan setelah adanya perubahan,
seperti promosi, demosi atau pemutusan hubungan kerja ;
2. Hak akses pengguna harus ditinjau dan dialokasikan kembali pada saat berpindah dari
satu peran ke peran kerja lainnya yang berada di dalam organisasi;
3. Otorisasi untuk hak akses istimewa harus lebih sering ditinjau ulang;
4. Alokasi hak istimewa harus diperiksa secara berkala untuk memastikan bahwa hak
istimewa yang tidak sah tidak dapat diperoleh;
5. Perubahan pada akun istimewa harus dicatat untuk tinjauan berkala.
PASAL 29
Hak akses seluruh staf dan pengguna pada harus dihapus atau disesuaikan bila:
1. Berakhirnya pekerjaan, kontrak atau perjanjian,
2. Adanya perubahan, seperti promosi, demosi atau pemutusan hubungan kerja ;
3. berpindah dari satu peran ke peran kerja lainnya yang berada di dalam organisasi;
BAGIAN TIGA: SISTEM DAN APLIKASI UNTUK PENGENDALIAN AKSES
PASAL 30
Akses ke informasi dan fungsi-fungsi sistem aplikasi Perpustakaan Unsyiah harus dibatasi sesuai
dengan kebijakan pengendalian akses, dengan persyaratan:
1. Menyediakan menu untuk mengendalikan akses ke fungsi sistem aplikasi
2. Mengendalikan data mana yang dapat diakses oleh pengguna tertentu;
3. Mengendalikan hak akses pengguna, berupa membaca, menulis, menghapus dan
menjalankan;
4. Mengendalikan hak akses aplikasi lain;
5. Membatasi informasi yang dimuat dalam output;
6. Menyediakan pengendalian akses fisik dan logis untuk isolasi aplikasi sensitif, data
aplikasi, atau sistem.
10
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 31
Akses ke sistem dan aplikasi harus dikendalikan oleh sebuah prosedur log-on yang aman, dengan
persyaratan:
1. Tidak menampilkan sistem atau pengenal aplikasi sampai proses log-on telah berhasil
diselesaikan;
2. Menampilkan pemberitahuan peringatan umum bahwa komputer hanya dapat diakses
oleh pengguna yang telah diizinkan;
3. Tidak memberikan pesan bantuan sewaktu prosedur log-on yang mana akan membantu
pengguna yang tidak sah;
4. Memvalidasi informasi log-on hanya untuk menyelesaikan semua data input. Jika timbul
error, sistem tidak boleh menunjukkan data bagian manakah yang sudah benar atau
salah;
5. Melindungi atas upaya pemaksaan log-on secara kasar;
6. Simpan dalam log kan upaya login yang gagal ataupun sukses;
7. Meningkatkan keamanan jika terdeteksi adanya upaya atau pelanggaran log-on yang
berhasil dilakukan;
8. Menampilkan informasi berikut ini jika log-on berhasil, yaitu tanggal dan waktu log-on
yang sukses sebelumnya, rincian tiap upaya log-on yang gagal sejak waktu terakhir
melakukan sukses log-on;
9. Tidak menampilkan password yang dimasukkan;
10. Tidak mengirimkan password dalam teks yang jelas melalui jaringan;
11. Membatasi waktu koneksi untuk memberikan keamanan tambahan untuk aplikasi yang
berisiko tinggi dan mengurangi peluang untuk akses tanpa izin.
PASAL 32
Sistem manajemen password harus interaktif dan menjamin kualitas password, dengan
persyaratan:
1. Mewajibkan pengguna menggunkan ID dan password untuk menjaga akuntabilitas;
2. Mengizinkan pengguna untuk memilih dan mengubah password mereka sendiri dan
termasuk prosedur konfirmasi;
3. Mewajibkan menggunakan password yang berkualitas;
4. Mewajibkan pengguna untuk mengganti password mereka pada saat log-on pertama;
5. Mewajibkan penggantian password secara teratur sesuai dengan kebutuhan;
6. Menjaga catatan tentang password yang sudah pernah digunakan sebelumnya dan
mencegah penggunaan kembali password tersebut;
7. Tidak menunjukkan password pada layar ketika sedang dimasukkan;
8. Menyimpan file password secara terpisah dari data sistem aplikasi;
9. Menyimpan dan mengirim password dalam bentuk yang terlindungi.
PASAL 33
Penggunakan program utilitas yang dapat membatalkan pengaturan yang dilakukan oleh sistem
dan pengendali aplikasi harus diperketat, dengan persyaratan:
1. Menggunakan prosedur identifikasi, otentikasi dan otorisasi untuk program utilitas;
2. Memisahkan program utilitas dari software aplikasi;
11
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
3. Membatasi penggunaan program utilitas kepada pengguna yang terpercaya dan
berwenang;
4. Otorisasi untuk penggunaan khusus program utilitas;
5. Ketersediaan program utilitas dibatasi, misalnya untuk durasi tertentu;
6. Mencatat seluruh penggunaan program utilitas;
7. Menentukan dan mendokumentasikan tingkat otorisasi untuk program utilitas;
8. Menghapus atau menonaktifkan seluruh program utilitas yang tidak perlu;
9. Tidak menyediakan program utilitas untuk pengguna yang memiliki akses ke sistem
aplikasi yang membutuhkan pemisahan tugas.
PASAL 34
Perpustakaan Unsyiah harus mengembangkan dan mengoperasionalkan sistem dan aplikasi
untuk mencegah akses tanpa izin, dengan mempertimbangkan:
1. Pembatasan akses terhadap informasi
2. Prosedur log-on yang aman
3. Sistem manajaemen Password
4. Penggunaan program pengatur privilege
5. Pengendalian akses ke source codes
PASAL 35
Akses ke kode sumber program dan item terkait (seperti desain, spesifikasi, rencana verifikasi
dan rencana validasi) harus dikendalikan, dibatasi secara ketat, dengan maksud:
1. mencegah adanya fungsionalitas yang tidak sah
2. menghindari perubahan yang tidak disengaja
3. menjaga kerahasiaan kekayaan intelektual
PASAL 36
Kode sumber program dikendalikan di pusat penyimpanan atau perpustakaan sumber program
untuk mengurangi potensi kerusakan terhadap sumber tersebut.
PASAL 37
Akses ke perpustakaan sumber program harus dikendalikan untuk mengurangi potensi kerusakan
terhadap sumber tersebut. Pengendalian dilakukan dengan persyaratan:
1. Perpustakaan sumber program tidak boleh diletakkan dalam sistem operasional;
2. Kode sumber program dan perpustakaan sumber program harus dikelola sesuai dengan
prosedur yang telah dibentuk;
3. Personil pendukung tidak boleh memiliki akses yang tidak dibatasi terhadap
perpustakaan sumber program;
4. Pembaruan perpustakaan sumber program dan pembaruan item terkait lainnya, serta
pengeluaran sumber program untuk para programmer hanya dapat dilakukan setelah
otorisasi yang sesuai telah diterima;
5. Daftar program yang akan ditangani harus berada di lingkungan yang aman;
6. Seluruh akses ke perpustakaan sumber program harus tercatat didalam log audit;
12
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
7. Pemeliharaan dan penyalinan perpustakaan sumber program harus mengikuti prosedur
pengendalian perubahan yang ketat.
BAB IV. KEAMANAN FISIK DAN LINGKUNGAN
BAGIAN SATU: KEAMANAN AREA DAN RUANG
PASAL 38
Untuk menjamin keamanan area dan ruang, persyaratan yang harus dipenuhi adalah:
1. Penentuan batasan area (perimeter) yang diamankan
2. Pengendalian masuk
3. Pengamanan mengamankan kantor, ruangan dan fasilitas operasional
4. Perlindungan terhadap ancaman lingkungan dan eksternal
5. Pengamanan area dan ruangan kerja
PASAL 39
Lokasi dan batasan area (perimeter) yang akan diamankan harus ditentukan berdasarkan
persyaratan:
1. Batasan keliling area yang dijaga keamanannya harus ditentukan dengan pertimbangan
hasil-hasil penilaian risiko, yaitu: area check in, peminjaman mandiri, pengembalian
mandiri dan check out)
a. Setiap pemustaka wajib antri pada batas antrian yang telah ditentukan (check in,
peminjaman mandiri, pengembalian mandiri dan check out)
2. Area tempat fasilitas pengolahan informasi haruslah lebih aman (yaitu tidak
diperbolehkan adanya celah yang mudah untuk dihancurkan/dirusak); harus dilindungi
dari akses tanpa izin dengan mekanisme kontrol; pintu dan jendela harus dikunci;
3. Harus ditempatkan staf yang menjaga area yang harus diamankan, seperti ruangan
server, pelayanan teknis, ruang pimpinan. Akses ke area tersebut harus dibatasi untuk
yang berwenang saja
4. Penghalang fisik ke ruangan server harus disediakan untuk mencegah akses fisik yang
tidak sah
5. Sistem pendeteksian penyusup seperti CCTV harus dipasang dengan memenuhi standar ,
diuji secara teratur;
6. Kawasan kosong seperti ruang seminar, tangga perlu diwaspadai setiap saat.
13
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 40
Izin masuk ke ruangan tertentu harus diterapkan, hanya personil yang sudah diizinkan saja yang
dapat masuk. Penerapan dilakukan dengan langkah sebagai berikut.
1. Pemustaka yang berkepentingan dengan Pimpinan dan Staf wajib melapor kepada
petugas Helpdesk/Ka. Bid. Layanan Pemustaka
2. Setiap pemustaka yang berkepentingan dengan bagian Automasi wajib mengisi buku
tamu.
3. Setiap staf atau pemustaka yang ingin mengakses ruang server harus mendapat
persetujuan dan didampingi oleh salah satu staf IT yang ditunjuk oleh pimpinan.
4. Tanggal dan waktu masuk dan keluarnya pengunjung harus tercatat
5. Seluruh pengunjung harus diawasi kecuali akses mereka telah disetujui sebelumnya;
6. Mereka hanya boleh diberikan akses untuk tujuan tertentu serta berwenang, dan harus
diberikan instruksi tentang persyaratan keamanan kawasan tersebut dan tentang prosedur
darurat.
7. Identitas pengunjung harus diautentikasi dengan cara yang sesuai;
8. Akses ke wilayah di mana informasi rahasia diproses atau disimpan harus dibatasi hanya
untuk individu yang sudah diizinkan dengan melakukan pengendalian akses yang sesuai,
9. Sebuah buku catatan atau jejak audit elektronik dari seluruh akses harus dijaga dengan
ketat dan dipantau;
10. Semua personil diharuskan untuk mengenakan suatu bentuk identifikasi yang terlihat dan
harus segera memberitahu personil keamanan jika mereka menemui pengunjung yang
tidak ditemani dan siapapun yang tidak mengenakan identifikasi;
11. Personil luar harus diberikan akses terbatas ke kawasan yang perlu diamankan seperti
fasilitas pengolahan informasi;
12. Hak akses ke kawasan yang diamankan harus ditinjau dan diperbarui secara teratur, dan
dicabut apabila perlu.
PASAL 41
Perpustakaan Unsyiah memiliki ruangan yang diamankan dan terbatas untuk akses publik secara
langsung seperti ruang pimpinan, tata usaha, pelayanan teknis, penjaminan mutu, perencanaan
dan pengembangan sistem, server dan AC sentral.
PASAL 42
Ruangan yang dibatasi akses, seperti rusang server, pusat data dirancang dan diterapkan dengan
persyaratan:
1. Harus dikonfigurasi untuk mencegah informasi rahasia atau aktivitas terlihat dan
terdengar dari luar.
2. Dirancang tidak mencolok dan memberikan indikasi minimum terhadap fungsi, tidak ada
tanda yang jelas dari luar yang menunjukkan ada kegiatan pelayanan teknis, administrasi,
pengolahan data dan informasi.
3. Ada tanda atau pemberitahuan kepada setiap orang yang berada didalam bahwa berada
diruangan yang diamankan
14
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
4. Harus dihindari berada atau bekerja di ruangan yang diamankan tanpa pengawasan untuk
alasan keselamatan dan untuk mencegah peluang-peluang terjadinya kegiatan berbahaya;
5. Harus dikunci dan ditinjau secara berkala;
6. Tidak diperbolehkan mengoperasionalkan kamera foto, video, audio atau alat perekam
lainnya, kecuali jika diizinkan.
PASAL 43
Perlindungan ruang secara fisik terhadap bencana alam, serangan berbahaya atau kecelakaan
harus dirancang dan diterapkan sesuai standard dan tersertifikasi.
BAGIAN KEDUA: KEAMANAN PERALATAN
PASAL 44
Keamanan peralatan diperlukan untuk mencegah kerugian, kerusakan, pencurian atau gangguan
operasional dan pelayanan Perpustakan Unsyiah, dengan memperhatikan persyaratan:
1. Penempatan dan perlindungan peralatan
2. Utilitas pendukung
3. Keamanan kabel
4. Pemeliharaan peralatan
5. Pemindahan peralatan
6. Keamanan peralatan yang berada di luar lokasi
7. Keamanan barang habis pakai atau digunakan berulang
8. Peralatan di luar pengawasan
9. Kebijakan clear desk dan clear screen
PASAL 45
Peralatan Teknologi Informasi harus ditempatkan dan dilindungi untuk mengurangi resiko dari
ancaman lingkungan dan bahaya-bahaya, dan peluang terjadinya akses tidak sah, dengan
persyaratan:
1. Harus ditempatkan pembatas untuk mengurangi akses yang tidak perlu;
2. Harus diposisikan secara hati-hati untuk mengurangi risiko informasi dilihat oleh orang
yang tidak berwenang pada saat digunakan;
3. Harus dijaga untuk menghindari akses yang tidak sah;
4. Pengendalian harus dilakukan untuk meminimalkan risiko potensi adanya ancaman
lingkungan dan fisik, misalnya pencurian, kebakaran, ledakan, asap, air (atau kegagalan
pasokan air), debu, getaran, efek kimia, gangguan pasokan listrik, gangguan komunikasi,
radiasi elektromagnetik dan perusakan;
5. Harus ada larangan makan, minum dan merokok;
6. Kondisi lingkungan, seperti suhu dan kelembapan, harus dipantau untuk kondisi yang
dapat berpengaruh buruk terhadap operasional;
7. Pelindung petir harus diaplikasikan ke semua bangunan dan filter pelindung petir harus
dipasang;
15
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 46
Utilitas pendukung (misalnya listrik, telekomunikasi, pasokan air, sistem pipa pembuangan,
ventilasi, dan pendingin udara) harus dilindungi dari kegagalan daya dan gangguan lain, dengan
persyaratan:
1. Sesuai dengan spesifikasi yang ditentukan oleh produsen peralatan dan sesuai dengan
persyaratan standard an sertifikasi;
2. Dinilai secara teratur kapasitasnya untuk memenuhi pertumbuhan kebutuhan dan
interaksi dengan utilitas pendukung lainnya;
3. Diperiksa dan diuji secara teratur untuk memastikan utilitas tersebut berfungsi dengan
baik;
4. Selalu berwaspada untuk mendeteksi malfungsi;
5. Memiliki berbagai pasokan dengan rute yang beragam.
6. Lampu dan komunikasi darurat harus disediakan. Saklar dan katup darurat untuk
memutuskan listrik, air, gas atau utilitas lain harus berada di dekat pintu keluar darurat
atau ruang peralatan.
7. Tambahan redundansi untuk konektivitas jaringan dapat diperoleh melalui banyak rute
yang berasal dari banyak (lebih dari satu) penyedia utilitas.
PASAL 47
Kabel untuk saluran listrik, telekomunikasi dan jaringan komputer harus dilindungi dari
intersepsi, gangguan atau kerusakan, dengan persyaratan:
1. Kabel harus tertanam di dinding, di lantai atau terbungkus ducting mengikuti
perlindungan alternatif yang memadai;
2. Kabel listrik harus terpisah dari kabel jaringan komunikasi untuk mencegah gangguan;
3. Titik terminasi berada pada ruangan/kotak terkunci
4. Kabel terlindungi dari pengaruh elektromagnetik;
5. Harus ada pemeriksaan fisik untuk menghindari perangkat yang tidak sah terpasang pada
kabel;
6. Harus ada pengendalian akses ke ruang kabel atau panel patch.
PASAL 48
Peralatan teknologi informasi harus dirawat dengan benar untuk memastikan ketersediaan dan
integritas yang berkelanjutan, dengan persyaratan:
1. Sesuai dengan interval servis dan spesifikasi yang dianjurkan pemasok;
2. Hanya petugas perawatan yang berwenang saja yang dapat memperbaiki dan memeriksa
peralatan;
3. Seluruh kerusakan baik berupa dugaan atau yang sebenarnya harus dicatat untuk
perawatan pencegahan atau perbaikan;
4. Pengendalian harus dilaksanakan ketika perawatan peralatan dijadwalkan, dilakukan oleh
petugas Perpustakaan Unsyiah atau pihak luar. Informasi rahasia harus dipindahkan,
disingkirkan terlebih dahulu dari peralatan tersebut;
5. Sebelum meletakkan peralatan kembali setelah pemeliharaannya, peralatan tersebut harus
diperiksa dahulu untuk memastikan bahwa peralatan tersebut tidak dikutak-katik dan
tidak rusak.
16
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 49
Peralatan tidak diperbolehkan untuk dipindahkan atau diambil dari tempatnya tanpa izin.
Pengendalian dilakukan dengan persyaratan:
1. Personil yang memiliki kewenangan untuk memindahkan peralatan dari tempatnya harus
diidentifikasi;
2. Batas waktu untuk pemindahan peralatan harus ditetapkan dan pengembaliannya harus
diverifikasi;
3. Pemindahan dan pengembalian peralatan harus dicatat, didokumentasikan berupa bukti
serah terima dengan mencantumkan identitas personil yang memindahkan;
4. Pemeriksaan ditempat harus dilakukan secara berkala untuk mendeteksi pemindahan
perlatan yang tidak sah, juga dapat dilakukan untuk mendeteksi dan mencegah masuknya
peralatan lain yang tidak sah ke ruangan.
5. Pemeriksaan ditempat dilakukan sesuai dengan POB, diketahui bahwa bahwa
pemeriksaan sedang berlangsung. Verifikasi hanya boleh dilakukan dengan otorisasi yang
sesuai POB.
PASAL 50
Penggunaan peralatan di luar Perpustakaan Unsyiah harus mendapat persetujuan Kepala
Perpustaaan Unsyiah terlebih dahulu, baik berupa peralatan yang dimiliki oleh Perpustakaan
Unsyiah atau peralatan yang dimiliki secara pribadi namun digunakan atas nama Perpustakaan
Unsyiah, dengan persyaratan:
1. Peralatan yang diambil tidak boleh ditinggalkan tanpa pengawasan di tempat umum;
2. Petunjuk produsen untuk melindungi peralatan harus diobservasi setiap saat;
3. Pengendalian untuk di luar lokasi, seperti berkerja di rumah, teleworking dan lokasi
sementara harus dinilai risiko dan pengendalian diterapkan sebaik-baiknya.
4. Ketika peralatan dipindahkan ke berbagai individu atau pihak eksternal, maka catatan
tentang kronologis penanganan barang bukti (chain of custody) peralatan tersebut seperti
nama individu dan organisasi yang bertanggung jawab untuk peralatan haruslah ada.
5. Risiko, misalnya kerusakan, pencurian atau pencurian informasi, mungkin berbeda-beda
tiap lokasinya dan pengendalian yang paling sesuai terhadap risiko tersebut haruslah
diperhitungkan.
PASAL 51
Peralatan harus diverifikasi untuk memastikan apakah media penyimpanan terdapat di dalamnya
atau tidak, sebelum dibuang atau digunakan kembali.
PASAL 52
Media penyimpanan yang berisi informasi rahasia atau informasi yang dilindungi hak cipta harus
dimusnahkan secara fisik atau informasi harus dimusnahkan, dihapus atau ditimpa dengan
menggunakan teknik-teknik yang membuat informasi aslinya tidak dapat diambil kembali, cara
tersebut lebih baik daripada menghapus dengan cara yang biasa atau melakukan format.
17
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 53
Pengguna harus memastikan bahwa peralatan tanpa pengawasan telah dilindungi dengan baik
dan harus diberitahu untuk:
1. Mengakhiri sesi aktif setelah selesai, kecuali jika sesi tersebut dapat diamankan oleh
mekanisme pengunci yang baik, misalnya sebuah screen saver yang dilindungi kata
sandi;
2. Log off dari aplikasi atau layanan jaringan apabila tidak lagi dibutuhkan;
3. Mengamankan komputer atau perangkat mobile dari penggunaan yang tidak sah dengan
kata kunci atau pengendalian yang setara, seperti akses menggunakan password, apabila
tidak digunakan.
PASAL 54
Perpustakan menjalankan kebijakan clear desk dan clear screen dengan mempertimbangkan
klasifikasi informasi, risiko dan aspek kultural, dengan berpandu pada:
1. Screen operator tidak boleh dilihat oleh Pemustakarr.
2. Informasi sensitif atau penting, seperti informasi pada kertas atau pada media
penyimpanan elektronik, harus dikunci pada saat tidak digunakan, khususnya pada saat
kantor sedang kosong;
3. Komputer dan terminal harus di log off pada saat ditinggalkan, atau dilindungi dengan
mekanisme penguncian layar dan keyboard yang dikendalikan dengan password, token
atau mekanisme otentikasi pengguna serupa ketika digunakan tanpa pengawasan dan
harus dilindungi dengan kunci, password atau kontrol lain apabila sedang tidak
digunakan;
4. Mencegah penggunaan mesin fotokopi yang tidak sah dan teknologi reproduksi lainnya
(seperti scanner, kamera digital);
5. Media yang berisi informasi sensitif atau rahasia harus diambil dari printer secepatnya.
BAB V. KEAMANAN OPERASIONAL
BAGIAN SATU: PROSEDUR OPERASIONAL DAN TANGGUNG JAWAB
PASAL 55
Perpustakaan Unsyiah harus memastikan operasional dan pelayanan berjalan sesuai peraturan
dan standar manajemen mutu berlaku, mempertimbangkan risiko dan mengutamakan kepuasaan
pengguna, kesehatan dan keselamatan kerja serta keamanan informasi, dengan persyaratan:
1. Adanya prosedur operasi yang didokumentasikan
2. Memperhatikan manajemen perubahan
3. Memperhatikan manajemen kapasitas
4. Pemisahan pengembangan, pengujian dan operasional lingkungan
PASAL 56
Kegiatan operasional harus memiliki prosedur didokumentasikan yang menjelaskan:
1. Pemasangan sistem konfigurasi;
18
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
2. Pengolahan dan penanganan informasi secara otomatis dan manual;
3. Backup
4. Persyaratan penjadwalan, termasuk ketergantungan dengan sistem lain, waktu tercepat
mulainya suatu pekerjaan dan waktu terlama suatu pekerjaan selesai;
5. Instruksi untuk penanganan error atau kondisi luar biasa lainnya, yang mungkin muncul
selama pelaksanaan pekerjaan, termasuk pembatasan penggunaan utilitas sistem;
6. Dukungan dan kontak eskalasi termasuk kontak dukungan eksternal jika terjadi kesulitan
operasional atau teknis yang tidak terduga;
7. Instruksi penanganan output dan media, seperti penggunaan alat tulis kantor khusus atau
pengelolaan output rahasia termasuk prosedur untuk pembuangan output dari pekerjaan
yang gagal secara aman;
8. Prosedur untuk menghidupkan ulang dan pemulihan sistem dilakukan jika terjadi
kegagalan sistem;
9. Pengelolaan jejak audit trail dan informasi log sistem;
10. Prosedur pengawasan.
PASAL 57
Perubahan pada operasional dan pelayanan, fasilitas pengolahan informasi dan sistem yang
mempengaruhi keamanan informasi harus dikendalikan, dengan pertimbangan:
1. Identifikasi dan merekam perubahan yang penting;
2. Perencanaan dan pengujian perubahan;
3. Penilaian dampak potensial, termasuk dampak keamanan informasi terhadap perubahan
tersebut;
4. Prosedur persetujuan resmi untuk perubahan yang diusulkan;
5. Verifikasi keamanan informasi yang telah memenuhi persyaratan;
6. Mengkomunikasikan perubahan rincian kepada seluruh orang yang relevan;
7. Prosedur fall-back, termasuk prosedur dan tanggung jawab untuk membatalkan dan
memulihkan dari perubahan yang gagal dan peristiwa tak terduga;
8. Penyediaan proses perubahan darurat untuk memungkinkan pelaksanaan perubahan yang
cepat dan terkendali yang dibutuhkan untuk menyelesaikan suatu insiden.
PASAL 58
Perpustakaan Unsyiah harus mengidentifikasi dan mengimplementasi pemisahan lingkungan
antara pengembangan, pengujian dan operasional untuk mengurangi risiko akses yang tidak sah,
dengan memperhatikan:
1. Aturan untuk memindahkan software dari pengembangan ke status operasional harus
didefinisikan dan didokumentasikan;
2. Software pengembangan dan operasional harus dijalankan pada sistem atau prosesor
komputer yang berbeda dan dijalankan dalam domain atau direktori yang berbeda;
3. Perubahan pada sistem operasional dan aplikasi harus diuji dalam pengujian atau
pementasan lingkungan sebelum diterapkan ke sistem operasional;
4. Selain di dalam keadaan yang tidak biasa, pengujian tidak boleh dilakukan pada sistem
operasional;
19
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
5. Compiler, editor dan alat bantu pengembangan lainnya atau utilitas sistem tidak boleh
diakses dari sistem operasional bila tidak diperlukan;
6. Pengguna harus menggunakan profil pengguna yang berbeda untuk sistem operasional
dan pengujian, dan menu harus menampilkan pesan identifikasi yang baik untuk
mengurangi risiko error;
7. Data sensitif tidak boleh disalin ke dalam sistem pengujian lingkungan kecuali terdapat
pengendalian yang setara untuk menguji system tersebut
BAGIAN DUA: PROTEKSI MALWARE
PASAL 59
Perpustakaan Unsyiah harus melakukan pengontrolan, pendeteksian, pencegahan dan pemulihan
untuk melindungi dari malware, dengan cara:
1. Membuat suatu kebijakan resmi yang melarang penggunaan software yang tidak
memiliki izin;
2. Menerapkan kontrol yang mencegah atau mendeteksi penggunaan software yang tidak
sah (misalnya penerapan whitelisting);
3. Menerapkan kontrol yang mencegah atau mendeteksi penggunaan situs web yang
diketahui atau dicurigai berbahaya (misalnya blacklisting);
4. Membuat kebijakan resmi untuk perlindungan terhadap risiko yang terkait dengan
perolehan file dan software baik dari atau melalui jaringan eksternal atau media lainnya,
yang mengindikasikan langkah-langkah perlindungan apa saja yang harus dilakukan;
5. Mengurangi celah keamanan yang dapat dieksploitasi oleh malware, misalnya melalui
manajemen kerentanan teknis;
6. Melakukan tinjauan secara rutin terhadap software dan konten data sistem yang
mendukung proses bisnis penting, keberadaan setiap file yang tidak disetujui atau
amandemen tidak sah harus diselidiki secara resmi;
7. Melakukan instalasi dan pembaruan deteksi malware dan perbaikan software secara rutin
untuk memindai komputer dan media sebagai kontrol pencegahan, atau pemindaian yang
dilakukan secara rutin harus mencakup:
8. Memindai tiap file dari malware, dimana file tersebut diterima melalui jaringan atau
melalui medium penyimpanan lainnya sebelum digunakan;
9. Memindai lampiran email dan file download dari malware sebelum digunakan;
pemindaian ini harus dilakukan di tempat-tempat yang berbeda, misalnya pada server
email, desktop komputer dan ketika memasuki jaringan organisasi;
10. Memindai halaman web dari malware;
4. Menentukan prosedur dan tanggung jawab untuk menangani proteksi malware pada sistem, pelatihan dalam penggunaannya, pelaporan dan pemulihan dari serangan
malware;
5. Menyiapkan rencana kelanjutan bisnis yang baik untuk pulih dari serangan malware, termasuk semua data yang diperlukan dan pencadangan software dan pengaturan
pemulihan;
6. Menerapkan prosedur untuk mengumpulkan informasi secara rutin, seperti berlangganan
milis atau memeriksa situs web yang memberikan informasi tentang malware baru;
20
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
7. Menerapkan prosedur untuk memverifikasi informasi yang berhubungan dengan malware, dan memastikan bahwa buletin peringatan bersifat akurat dan informatif;.
8. Mengisolasi lingkungan dimana dampak bencana dapat terjadi.
BAGIAN TIGA: BACKUP
PASAL 60
Perpustakaan Unsyiah wajib memiliki Prosedur Operasional Baku melakukan Backup untuk
melindungi data, software dan sistem, dengan persyaratan:
1. Tersedia prosedur backup dan restore yang lengkap
2. Fasilitas yang diperlukan untuk back-up harus mencukupi
3. Hasil backup harus disimpan di lokasi yang jauh, pada jarak yang cukup untuk
menghindari kerusakan akibat bencana yang terjadi di Perpustakaan Unsyiah;
4. Media backup harus diuji secara teratur untuk memastikan bahwa backup tersebut dapat
diandalkan pada saat diperlukan di keadaan darurat;
5. juga harus dikombinasikan dengan pengujian prosedur pemulihan dan diperiksa berapa
lamakah waktu pemulihan yang dibutuhkan.
6. Menguji kemampuan pemulihan harus dilakukan pada media tes khusus, bukan dengan
cara menimpa media aslinya;
BAGIAN EMPAT: EVENT LOGGING DAN MONITORING
PASAL 61
Perpustakaan Unsyiah mengimplementasikan logging untuk pencatatan kejadian dan
dipergunakan sebagai bukti. Pelaksanaannya mengikuti persyaratan:
1. Tersedianya fasilitas event logging
1. Tersedianya proteksi atas informasi log
2. Tersedia administrator dan operator
PASAL 62
Event logging atas aktivitas pengguna, kesalahan dan pelanggaran kebijakan keamanan harus
dapat dihasilkan, disimpan dan direview secara berkala. Event log harus mencantumkan: 1. ID Pengguna
2. Kegiatan sistem
3. Tanggal dan waktu pengaksesan
4. Identitas perangkat
5. Laporan upaya akses sistem yang berhasil dan ditolak.
6. Laporan keberhasilan dan penolakan data dan upaya akses sumber daya lainnya.
7. Parubahan sistem konfigurasi
8. File yang diakses dan jenis-jenis akses
9. Alamat jaringan dan protokol;
10. Peringatan yang ditimbulkan oleh sistem pengendalian akses;
21
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
11. Aktivasi dan deaktivasi sistem proteksi, seperti sistem anti-virus dan sistem pendeteksi
gangguan;
12. Laporan transaksi yang dilakukan oleh pengguna.
PASAL 63
Fasilitas logging dan log informasinya harus dilindungi dari gangguan dan akses yang tidak sah.
Pengendalian haru dilakukan untuk mencegah:
1. Perubahan pada jenis pesan yang di log;
2. File log diedit atau dihapus;
3. Kapasitas penyimpanan media file laporan sudah penuh sehingga gagal untuk mencatat
peristiwa atau laporan peristiwa yang sebelumnya akan tertimpa (overwritten).
PASAL 64
Aktivitas administrator sistem dan operator sistem harus terekam dan laporan tersebut dilindungi
dan diperiksa secara teratur.
PASAL 65
Waktu/jam yang diikuti untuk seluruh sistem pengolahan informasi harus disinkronisasi menjadi
satu sumber waktu yang sama.
BAGIAN LIMA: PENGENDALIAN SOFTWARE OPERASIONAL
PASAL 66
Perpustakaan Unsyiah menetapkan prosedur untuk mengendalikan Software untuk sistem
operasional, dengan ketentuan:
1. Pembaruan software operasional, aplikasi dan perpustakaan program hanya boleh
dilakukan oleh administrator terlatih atas otorisasi kepala Perpustakaan;
2. Sistem operasional sebaiknya hanya memegang kode yang telah disetujui dan sudah
dapat dieksekusi atau dijalankan, bukan kode atau compiler masih dalam pengembangan;
3. Aplikasi dan software sistem operasional software hanya dapat diterapkan setelah
pengujian panjang dan sukses; pengujian tersebut harus mencakup kegunaan, keamanan,
dampak ke sistem lain dan kemudahan penggunaan dan harus dilakukan pada sistem
yang terpisah; Dipastikan juga bahwa seluruh sumber perpustakaan program yang terkait
telah diperbarui;
4. Sistem kendali konfigurasi harus digunakan untuk menjaga kendali seluruh software
yang diterapkan, serta menjaga kendali dokumentasi sistem;
5. Strategi rollback harus dilakukan sebelum perubahan dilaksanakan;
6. Laporan audit harus dipelihara dari seluruh pembaruan ke perpustakaan program
operasional;
7. Aplikasi software versi sebelumnya harus disimpan sebagai pengukur kontingensi;
8. Versi lama dari software harus diarsipkan, bersama-sama dengan seluruh informasi dan
parameter, prosedur, rincian konfigurasi dan software pendukung yang diperlukan
selama data disimpan di dalam arsip.
22
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
BAGIAN ENAM: PENGELOLAAN KERENTANAN
PASAL 67
Perpustakaan Unsyiah harus segera melakukan penanggulangan atas kerentanan (vulnerability)
teknis dari sistem informasi yang digunakan. Penanggulan dilakukan melalui:
1. Mengelola kerentanan teknis
2. Membatasi instalasi software
PASAL 68
Pengelolaan kerentanan teknis dilakukan dengan cara:
1. Menentukan dan menetapkan peran dan tanggung jawab yang terkait dengan manajemen
kerentanan teknis, termasuk kerentanan pengawasan, kerentanan penilaian risiko,
penambalan (patching), pelacakan aset dan tanggung jawab koordinasi yang diperlukan;
2. Sumber informasi yang akan digunakan untuk mengidentifikasi kerentanan teknis yang
relevan dan untuk menjaga kesadaran akan hal tersebut, harus diidentifikasi untuk
software dan teknologi lain; sumber daya informasi ini harus diperbarui berdasarkan
perubahan dalam persediaan atau ketika ditemukannya sumber daya informasi baru atau
berguna lainnya;
3. Timeline harus ditetapkan untuk bereaksi terhadap notifikasi mengenai potensi
kerentanan teknis yang relevan;
4. Setelah potensi kerentanan teknis telah diidentifikasi, organisasi harus mengidentifikasi
risiko yang terkait dan tindakan-tindakan yang harus diambil, tindakan-tindakan tersebut
dapat melibatkan penambalan sistem yang rentan atau penerapan kontrol lain;
5. Bergantung pada seberapa penting kerentanan teknis perlu diatasi, tindakan yang diambil
harus sesuai dengan kontrol yang terkait dengan manajemen perubahan atau dengan
mengikuti prosedur penanganan insiden keamanan informasi;
6. Jika patch tersedia dari sumber terpercaya, risiko yang berhubungan dengan pemasangan
patch harus dinilai (resiko yang ditimbulkan oleh kerentanan harus dibandingkan dengan
risiko pemasangan patch);
7. Patch harus diuji dan dievaluasi sebelum diinstal untuk memastikan patch tersebut
efektif dan tidak menyebabkan efek samping yang tidak dapat ditoleransi; jika tidak ada
patch yang tersedia, kontrol lain harus dipertimbangkan, seperti:
8. mematikan layanan atau kemampuan yang berkaitan dengan kerentanan;
9. mengadaptasi atau menambah pengendalian akses, seperti firewall pada batasan
jaringan;
10. meningkatkan pengawasan untuk mendeteksi serangan aktual;
11. meningkatkan kesadaran terhadap kerentanan;
12. Laporan audit harus disimpan untuk semua prosedur yang dilakukan;
13. Proses pengelolaan kerentanan teknis harus diawasi dan dievaluasi secara rutin untuk
memastikan efektivitas dan efisiensinya;
14. Sistem yang berisiko tinggi harus diatasi terlebih dahulu;
15. Proses pengelolaan kerentanan teknis yang efektif harus sejalan dengan kegiatan
pengelolaan insiden, untuk mengkomunikasikan data kerentanan terhadap fungsi
penanganan insiden dan menyediakan prosedur teknis untuk dilakukan ketika insiden
terjadi;
23
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
16. Mendefinisikan suatu prosedur untuk mengatasi situasi di mana sebuah kerentanan telah
diidentifikasi, tetapi tindakan balasan yang sesuai. Dalam situasi ini, organisasi harus
mengevaluasi risiko yang berhubungan dengan kerentanan yang telah diketahui dan
menentukan tindakan detektif dan korektif yang sesuai.
PASAL 69
Perpustakaan Unsyiah membuat kebijakan dalam instalasi software, dengan persyaratan:
1. Instalasi aplikasi atau software hanya boleh dilakukan oleh tim IT.
2. Staf tidak diperkenankan menggunakan software selain kebutuhan kerja.
3. Staf tidak diperkenankan menginstall/menggunakan software yang tidak memiliki izin.
4. Staf dilarang menggunakan peralatan yang berisiko dan dapat merusak sistem operasi
komputer.
BAGIAN TUJUH: PERTIMBANGAN AUDIT SISTEM INFORMASI
PASAL 70
Persyaratan audit dan kegiatan yang melibatkan sistem operasional yang direncanakan telah
diatur atau tercantum pada Prosedur Operasional Baku Perpustakaan Unsyiah tentang “Internal
Audit”.
PASAL 71
Audit bisa dilakukan sewaktu-waktu diperlukan dengan batasan yang ditentukan terlebih dahulu.
PASAL 72
Untuk keperluan khusus dan teknis Pepustakaan Unsyiah bisa menggunakan tenaga audit ahli
dari luar Perpustakaan
BAB VI. KEAMANAN KOMUNIKASI
PASAL 73
Pengendalian jaringan Perpustakaan Unsyiah dilakukan dengan persyaratan
1. Harus mengikuti Prosedur Opersional Baku tentang “Pemeliharaan Jaringan, Hardware
dan Software”.
2. Sistem pada jaringan harus dikonfirmasi (login SSO) untuk pemustaka.
3. Koneksi sistem ke jaringan harus dibatasi bandwidthnya.
4. Firewall harus dikelola dengan baik untuk nilai tambah keamanan jaringan.
5. Pengelolaan bandwidth harus mengikuti perubahan zaman dari pemustaka.
6. Penggunaan layanan jaringan harus mengikuti prosedur yang ada di Perpustakaan
Unsyiah.
7. Grup layanan jaringan informasi harus dipisahkan dalam jaringan antara pengguna dan
sistem informasi.
24
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 74
Transfer atau pertukaran informasi harus dijaga keamanannya dengan persyaratan:
1. Sesuai dengan kebijakan atau prosedur atasan/Kepala Perpustakaan Unsyiah.
2. Analisa, antisipasi dan pemusnahan malware yang kemungkinan disalurkan melalui
penggunaan komunikasi elektronik.
3. Setiap penggunaan fasilitas komunikasi harus berkonsultasi terlebih dahulu dengan
staf/unit yang ada diperpustakaan untuk menentukan fasilitas yang cocok untuk di
pergunakan.
4. Staf, pihak eksternal dan pengguna lainnya bertanggung jawab untuk tidak merusak
Perpustakaan Unsyiah, misalanya melalui fitnah, pelecehan peniruan, penerusan surat
berantai, pembelian tidak sah dan sebagainya.
5. Pengendalian atau batasan terkait penggunaan fasilitas komunikasi, misalnya penerusan
surat secara elektronik secara otomatis ke alamat surat eksternal harus melalui atau atas
izin kepala Perpustakaan Unsyiah atau atasan bagian yang bersangkutan.
6. Setiap perjanjian transfer informasi harus menyertakan hal berikut:
9. Tanggung jawab manajemen untuk mengendalikan dan memberitahukan tentang transmisi, penugasan dan penerimaan;
10. Standar teknis minimum untuk pengepakan dan transmisi;
11. Standar identifikasi kurir;
12. Penggunaan sistem pelabelan yang disepakati untuk informasi sensitif atau kritis, memastikan bahwa arti label dapat segera dipahami dan informasi tersebut dilindungi
dengan benar;
13. Pertimbangan dan perlindungan keamanan informasi untuk pesan elektronik harus
menyertakan hal-hal berikut:
14. Memastikan pengalamatan dan transportasi pesan dengan benar;
15. Keandalan dan ketersediaan layanan;
16. Memperoleh persetujuan sebelum menggunakan layanan publik eksternal seperti pesan
singkat, jejaring sosial atau file sharing;
17. Pertimbangan dan perlindungan keamanan untuk perjanjian rahasia atau tertutup harus menyertakan hal-hal berikut:
a) Definisi informasi yang harus dilindungi (misalnya informasi rahasia);
b) Durasi yang diharapkan dari sebuah perjanjian, termasuk pada saat dimana
kerahasiaan harus dijaga tanpa batas waktu;
c) Hak untuk mengaudit dan memantau kegiatan yang melibatkan informasi rahasia;
d) Proses untuk pemberitahuan dan pelaporan terhadap penyingkapan informasi
rahasia yang tidak sah ataupun kebocoran informasi rahasia;
18. Perjanjian rahasia atau tertutup harus mematuhi seluruh hukum dan peraturan yang berlaku untuk yurisdiksi yang berlaku.
25
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
BAB VII. AKUISI, PENGEMBANGAN DAN PEMELIHARAAN SISTEM
BAGIAN SATU: PERSYARATAN KEAMANAN SISTEM INFORMASI
PASAL 75
Pengembangan dan perawatan sistem perlu mempertimbangkan persyaratan keamanan informasi
berikut:
1. Proses penyediaan dan otorisasi akses, untuk pengguna maupun pengguna istimewa atau teknis;
19. Memberitahukan staf tentang tugas dan tanggung jawab mereka; 20. Kebutuhan perlindungan yang dibutuhkan dari aset yang terlibat, khususnya mengenai
ketersediaan, kerahasiaan, integritas;
PASAL 76
Pertimbangan keamanan informasi untuk layanan aplikasi melalui jaringan umum dengan
memperhatikan sebagai berikut:
1. Tingkat kepercayaan yang dibutuhkan oleh setiap pihak dalam identitas yang telah
diklaim satu sama lain, misalnya melalui otentikasi;
2. Persyaratan proteksi tiap rahasia informasi;
PASAL 77 Setiap tingkat pengendalian yang diadopsi harus sepadan dengan tingkat risiko yang berkaitan
dengan tiap bentuk transaksi layanan aplikasi.
BAGIAN DUA: KEAMANAN DALAM PROSES PENGEMBANGAN DAN DUKUNGAN
PASAL 78
Proses pengembangan dan dukungan harus memastikan keamanan, dengan mempertimbangkan
aspek-aspek berikut:
1. Keamanan pengembangan menurut lingkungan;
2. Panduan keamanan dalam pengembangan software, seperti Keamanan dalam metodologi
pengembangan software dan pengkodean yang aman untuk setiap bahasa pemrograman
yang digunakan;
3. Repositori yang aman;
4. Keamanan dalam kontrol versi;
5. Pengetahuan keamanan aplikasi yang dibutuhkan;
6. Kemampuan para pengembang dalam menghindari, mencari dan memperbaiki
kerentanan.
7. Pengkodean harus mengikuti standart yang aman dan sesuai untuk digunakan.
26
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
PASAL 79
Jika pengembangan dilakukan oleh outsource, Perpustakaan Unsyiah harus mendapatkan
jaminan bahwa pihak eksternal mematuhi peraturan-peraturan ini untuk pembangunan yang
aman.
PASAL 80
Perubahan pada system/aplikasi dilakukan dengan persyaratan:
1. harus dikendalikan oleh penggunaan prosedur pengendalian perubahan dan atas
sepengetahuan atau izin atasan.
2. harus terdokumentasi dan diterapkan untuk memastikan integritas sistem, aplikasi dan
produk, mulai dari tahap perancangan awal sampai seluruh upaya pemeliharaan
selanjutnya.
3. harus mengikuti proses dokumentasi resmi, sepesifikasi, pengujian, pengendalian mutu
dan implementasi yang terkelola.
4. Pada saat platform operasi diubah, aplikasi dan sistem harus ditinjau dan diuji untuk
memastikan tidak ada dampak buruk pada operasi Perpustakaan Unsyiah dan keamanan.
21. peninjauan terhadap prosedur pengendalian dan integritas aplikasi untuk memastikan bahwa aplikasi tersebut tidak bermasalah dikarenakan perubahan platform operasi;
22. penjaminan bahwa pemberitahuan perubahan platform operasi diberikan tepat waktu
untuk memungkinkan pengujian dan ulasan yang tepat untuk dilakukan sebelum
implementasi;
PASAL 81
Pembatasan pada perubahan terhadap software harus dikurangi sampai perubahan yang
diperlukan saja dan seluruh perubahan harus dikontrol secara rutin dan ketat.
PASAL 82
Jika ada software diperlukan modifikasi, maka perlu dipertimbangkan hal-hal berikut:
1. Risiko pengendalian internal dan proses integritas yang bermasalah;
2. Penilaian resiko, analisis dampak perubahan, spesifikasi pengendalian keamanan yang
dibutuhkan dan memastikan dukungan progremer untuk keamanan dan pengendalian.
3. Dampak apabila organisasi bertanggung jawab atas pemeliharaan software ke depannya
sebagai akibat dari perubahan;
4. Kompatibilitas dengan software lain yang sedang digunakan.
PASAL 83.
Pada saat perubahan diperlukan, software asli harus dipertahaankan dan perubahan diterapkan
pada salinan yang ditujukan.
PASAL 84
Pengendalian sistem harus mencakup namun tidak terbatas pada:
1. pemeliharaan laporan dari tingkat otorisasi yang disepakati;
27
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
2. penjaminan bahwa perubahan diajukan oleh pengguna yang berwenang; 3. peninjauan prosedur pengendalian dan integritas untuk memastikan bahwa mereka tidak
akan bermasalah dikarenakan terjadi perubahan; 4. identifikasi semua software, informasi, entitas database dan hardware yang memerlukan
amandemen; 5. identifikasi dan pemeriksaan kode penting keamanan untuk meminimalkan kemungkinan
kelemahan keamanan yang diketahui; 6. penjaminan bahwa pengguna yang berwenang menerima perubahan sebelum
pelaksanaan; 7. penjaminan bahwa kumpulan dokumentasi sistem diperbarui setiap perubahan telah
selesai dan dokumentasi yang sudah lama diarsipkan atau dibuang; 8. pemeliharaan kontrol versi untuk seluruh pembaruan software; 9. pemeliharaan jejak audit dari seluruh permintaan perubahan; 10. penjaminan bahwa prosedur dokumentasi dan prosedur pengguna diubah
seperlunya agar tetap sesuai;
PASAL 85
Proses pengalihan staf untuk pengembangan dikarenakan hal tertentu harus memperhatikan hal-
hal berikut:
1. Setiap kepemilikan kode dan hak kekayaan intelektual yang berkaitan degan konten di
alihdayakan akan sepenuhnya jadi pengelolaan staf selanjutnya;
2. Pengujian yang memadai telah diterapkan untuk mencegah adanya konten berbahaya
yang sengaja dan tidak disengaja;
3. Dokumentasi dari sistem yang dibangun
4. Perpustakaan Unsyiah menentukan kepada pihak yang ditentukan/dikontrak untuk tetap
bertanggung jawab atas ketundukan terhadap undang-undang yang berlaku dan verifikasi
efisiensi pengadilan.
PASAL 86
Setiap pengembangan sistem mensyaratkan:
1. Pengujian fungsi keamanan yang telah diterapkan secara terdokumentasi.
2. Pengujian menentukan penerimaan dan kelayakan pakai dengan membuat spesifikasi
dan versi baru.
BAGIAN TIGA: UJI DATA
PASAL 87
Setiap data yang akan diuji harus dilakukan pemilihan secara hati-hati, dilindungi dan di kontrol.
PASAL 88
Proses pelindungan dan operasional harus meliputi panduan berikut:
1. prosedur pengendalian akses yang berlaku untuk sistem aplikasi, juga berlaku untuk
sistem uji aplikasi;
28
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
2. harus ada otorisasi terpisah setiap kali informasi operasional disalin ke area pengujian;
3. informasi operasional harus dihapus dari area pengujian segera setelah pengujian selesai;
4. Penyalinan dan penggunaan informasi operasional harus dicatat untuk memberikan jejak
audit.
BAB VIII. PENGELOLAAN INSIDEN KEAMANAN INFORMASI
PASAL 89
Perpustakaan Unsyiah menetapkan Prosedur Operasional Baku untuk Penanganan Incident.
PASAL 90
Tanggung jawab terhadap pengelolaan insiden keamanan informasi ditetapkan dengan
memperhatikan perencanaan, analisis, penilaian, penanganan dan pemulihan;
PASAL 91
Penanganan insiden terhadap keamanan informasi dilakukan dengan cara;
1. Setiap insiden keamanan informasi harus tercatat dan terdokumentasi
2. Mencataat detil dari setiap insiden keamanan informasi;
3. Adanya proses umpan balik untuk memastikan bahwa penanganan insiden ioformasi
sudah selelesai atau masih tahap penanganan.
PASAL 92
Setiap ada kelemahan keamanan informasi yang terdeteksi atau yang dicurigai dalam system atau
layanan harus dicatat dan dilaporkan.
PASAL 93
Penilaian dan Keputusan pada Peristiwa Keamanan Informasi; Setiap peristiwa dari keamanan
informasi harus secepatnya ditindaklanjuti dengan menilai dan mengelompokkan informasi
tersebut.
PASAL 94
Insiden keamanan informasi harus ditangani sesuai dengan prosedur yang terdokumentasi
dengan memperhatikan:
1. Mengumpulkan bukti terhadap kejadian kemaanan informasi;
2. Melakukan analisis terhadap keamanan informasi;
3. Kegiatan penanganan terhadap insiden harus ditargetkan penyelesaiannya;
4. Semua kegiatan penanganan yang terlibat harus tercatat untuk analisis selanjutnya;
5. Mensosialisasikan setiap ada perubahan atau perbaikan system kepada seluruh staff,
internal atau eksternal lain yang perlu diketahui;
6. Mendokumentasi setiap insiden yang berhasil ditangani, meliputi:
a) Penanganan;
b) Keamanan;
29
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
c) Peran dan tanggung jawab terhadap personil yang mengumpulkan bukti.
BAB IX. PANDUAN JAMINAN KEBERLANJUTAN KEMANAN INFORMASI
PASAL 95
Perpustakaan Unsyiah harus memiliki:
1. Manajemen kontinuitas keamanan informasi jika terjadi sesuatu diluar kendali, atau
keadaan tidak normal;
2. Kepastian apakah kontinuitas keamanan inforamsi sudah terdapat dalam bisnis proses dan
proses manajemen yang berlangsung;
3. Kepastian bahwa tersedia staff berkompeten dan bertanggung jawab terhadap keamanan
informasi;
PASAL 96
Perpustakaan harus memverifikasi secara berkala pengendalian kontinuitas keamanan informasi
yang telah ditetapkan dengan:
1. Melaksanakan dan menguji fungsionalitas proses, prosedur dan pengendalian keamanan
informasi untuk memastikan bahwa hal tersebut telah konsisten dengan objektif
kontinuitas keamanan informasi;
2. Melaksanakan dan menguji pengetahuan dan rutinitas untuk mengoperasikan proses,
prosedur dan pengendalian kontinuitas keamanan informasi untuk memastikan bahwa
kinerjanya konsisten dengan objektif kontinuitas keamanan informasi;
BAB X. KEPATUHAN
Untuk memastikan setiap bisnis proses di perpustakaan berjalan sesuai dengan hukum yang
berlaku, maka perlu dilakukan identifikasi dengan memastikan bahwa:
1. Semua peraturan perundang-undangan, peraturan dan persyaratan kontrak harus
diidentifikasi dan didokumentasikan;
23. Diperbarui secara eksplisit untuk setiap sistem informasi dan organisasi;
PASAL 97
Setiap aset baik informasi, hak cipta hak paten atau dokumen yang dimiliki oleh perpustakaan
dipelihara dan dilindungi dengan panduan sebagai berikut:
1. Patuh terhadap hak kekayaan intelektual yang mendefinisikan penggunaan software dan
informasi secara legal;
2. Memelihara kesadaran akan kebijakan untuk melindungi hak kekayaan intelektual dan
memberi tahu maksud dari melakukan tindakan disipliner terhadap personil yang
melanggarnya;
30
Isi dokumen ini sepenuhnya merupakan milik UPT Perpustakaan Unsyiah,
dokumen yang terdapat pada alamat web http://uilis.unsyiah.ac.id/unsyiana/comllections/show/37
merupakan dokumen terkendali,selain pada alamat web tersebut merupakan dokumen tidak terkendali, semua dokumen yang terdapat pada web tersebut bersifat open access.
3. Memelihara daftar aset yang sesuai dan mengidentifikasi seluruh aset dengan
persyaratan untuk melindungi hak kekayaan intelektual;
4. Tidak melakukan duplikasi, mengkonversi ke format lain atau mengekstrak rekaman
komersial (film, audio) selain diizinkan oleh undang-undang hak cipta;
5. Tidak menyalin seluruh atau sebagian dari buku, artikel, laporan atau dokumen lainnya,
selain diizinkan oleh undang-undang hak cipta.
PASAL 98
Rekaman Informasi yang dimiliki oleh Perpustakaan harus dilindungi dari kehilangan,
pemusnahan, pemalsuan, dilindungi sesuai dengan peraturan perundang-undangan, peraturan,
persyaratan kontrak dan bisnis.
PASAL 99
Setiap data dan informasi identitas pribadi harus dipastikan terlidungi dengan aturan-aturan yang
berlaku di perpustakaan. Ketaatan untuk menjaga identitas pribadi harus dikomunikasikan
kepada semua orng yang terlibat dalam pengolahan infomasi identitas pribadi dengan menunjuk
seseorang yang bertanggung jawab untuk menangani informasi tersebut
PASAL 100
Pengendalian kriptografi digunakan untuk memenuhi persyaratan seluruh perjanjian dan undang-
undang.
PASAL 101
Mengidentifikasi secara teratur terhadap kebijakan dan standar keamanan yang diterapkan
dengan melakukan peninjauan diantaranya:
1. Identifikasi penyebab dari ketidak taatan terhadap perturan yang berlaku;
2. Evaluasi tindakan yang dibutuhkan untuk taat peraturan;
3. Menerapkan tidakan perbaikan yang tepat;
4. Meninjau tindakan koreektif untuk memverifikasi dan mengidentifikasi kekurangan dan
kelemahan lainnya.
Ditetapkan di : Darussalam, Banda Aceh
Pada Tanggal : 19 Februari 2018
Kepala UPT. Perpustakaan
Universitas Syiah Kuala,
Dr. Taufiq Abdul Gani, S.Kom., M.Eng.,Sc
NIP. 196904101995121001