UPTTIK – Universitas Muhammadiyah Bengkulu
Version: 1.0
1. Purpose
Kebijakan ini menetapkan kerangka kerja pengamanan sistem informasi di UPTTIK. Kebijakan ini bertujuan untuk melindungi data institusi, memastikan keberlangsungan operasional, dan menjaga kepatuhan terhadap standar yang berlaku, termasuk SNI ISO/IEC 27001.
2. Scope
Kebijakan ini berlaku untuk seluruh personel, termasuk staf, mahasiswa, kontraktor, dan vendor pihak ketiga yang mengakses atau mengelola infrastruktur digital UPTTIK. Infrastruktur tersebut meliputi SIKAMU, SIMARU, SIKAWAN, SIMKU, SISENJA, SERUNAI, KELAS KITO, dan semua Sistem Informasi yang digunakan dalam proses bisnis lingkungan Universitas Muhammadiyah Bengkulu.
3. Security Objectives
- Memastikan kerahasiaan, integritas, dan ketersediaan aset informasi.
- Mencegah akses tidak sah, pelanggaran data, dan penyalahgunaan sistem.
- Menyelaraskan dengan standar keamanan siber nasional dan internasional.
4. Roles and Responsibilities
| Role | Responsibility |
|---|---|
| IT Security Officer | Mengawasi implementasi kebijakan, audit, dan kepatuhan. |
| System Administrators | Pertahankan konfigurasi yang aman, pantau sistem, dan kelola kontrol akses. |
| Users | Ikuti protokol keamanan dan laporkan insiden dengan segera. |
5. Risk Management
- Melakukan penilaian risiko berkala.
- Mengidentifikasi kerentanan dan menerapkan strategi mitigasi.
- Mendokumentasikan insiden dan tindakan korektif.
6. Access Control
- Terapkan akses berbasis peran ke sistem dan data.
- Terapkan autentikasi multifaktor untuk sistem sensitif.
- Tinjau dan perbarui hak istimewa pengguna secara berkala.
7. Data Protection
- Enkripsikan data sensitif, baik saat transit maupun saat tidak digunakan.
- Pastikan pembuangan data dan perangkat keras usang secara aman.
- Patuhi peraturan privasi data yang berlaku.
8. Monitoring and Audit
- Memantau sistem secara berkelanjutan untuk mendeteksi anomali dan ancaman.
- Melakukan audit keamanan dan uji penetrasi tahunan.
- Menyimpan log dan peringatan untuk sistem kritis.
9. Training and Awareness
- Memberikan pelatihan keamanan siber wajib bagi seluruh staf.
- Berbagi informasi terkini secara berkala tentang ancaman yang muncul dan praktik terbaik.
- Mempromosikan budaya kesadaran keamanan.
10. Incident Response
- Tetapkan prosedur yang jelas untuk melaporkan dan menanggapi insiden.
- Tetapkan tim tanggap darurat dengan jalur eskalasi yang jelas.
- Lakukan tinjauan pasca-insiden dan perbarui kebijakan sesuai kebutuhan.
11. Policy Review
- Tinjau kebijakan ini setiap tahun atau setelah insiden besar.
- Perbarui untuk mencerminkan perubahan teknologi, ancaman, atau peraturan.
- Dokumentasikan revisi dan komunikasikan perubahan kepada para pemangku kepentingan.
12. Compliance
Kegagalan untuk mematuhi kebijakan ini dapat mengakibatkan tindakan disipliner, termasuk pencabutan hak akses, penangguhan, atau konsekuensi hukum sesuai peraturan institusi.