IT Policy and Procedure
Tugas Disaster
RecoveryIT Policy and Procedure
DAFTAR ISI
Daftar Gambar ......................................................................................................................................3
1. Pendahuluan ..................................................................................................................................4
1.1 Latar belakang ...............................................................................................................................4
1.2 Rumusan masalah..........................................................................................................................4
1.3 Tujuan ..........................................................................................................................................4
1.4 Batasan masalah ............................................................................................................................5
2.Dasar teori ............................................................................................................................................6
2.1 Policy.......................................................................................................................................6
2.2 Standard...................................................................................................................................7
2.3 Procedure.................................................................................................................................7
2.4 Keterkaitan ..............................................................................................................................7
3.Hasil .....................................................................................................................................................8
3.1 Policy Penggunaan Komputer dan Printer ...................................................................................8
3.2 Policy penggunaan external storage ...........................................................................................10
3.3 Policy Account dan Password ....................................................................................................11
3.4 Policy penggunaan software.......................................................................................................12
3.5 Policy penggunaan email perusahaan.........................................................................................13
3.6 Policy penggunaan Internet ........................................................................................................14
6. Penutup ........................................................................................................................................17
5.1 Kesimpulan ..............................................................................................................................17
5.2 Saran.........................................................................................................................................17
Daftar Pustaka .......................................................................................................................................18
Daftar Gambar
Figure 1. Keterkaitan antara policy, standard, dan procedure.................................................................8
1. Pendahuluan
1.1 Latar belakang
Policy merupakan hal yang sangat penting untuk diperhatikan dalam menjalankan suatu perusahaan atau organisasi. Policy sendiri adalah pernyataan dari aturan keamanan yang teridentifikasi oleh manajemen sebagai cara untuk mencapai obyektif. Dengan adanya policy, diharapkan proses bisnis berjalan sebagaimana mestinya, dan perusahaan atau organisasi dapat meminimalisasi resiko yang mungkin terjadi dari perusahaan tersebut. Berkaitan dengan procedure yang merupakan cara spesifik yang dapat digunakan oleh user untuk tunduk (comply) pada policy dan standar. Sedangkan standar merupakan metode, produk atau teknologi untuk mengimplementasikan keamanan.
Dalam tugas kali ini, permasalahan yang diangkat adalah IT Policy dan Prosedur dari Rumah Sakit Umum Muhammadiyah. Hal ini menjadi penting dibahas Karena terkadang, policy menjadi hal yang dikesampingkan dan tidak terlalu diperhatikan, padahal keberlangsungan sangat dipengaruhi oleh policy itu sendiri.
1.2 Rumusan masalah
1. Bagaimana contoh policy, standar, dan procedure yang bisa diterapkan dalam Rumah Sakit Umum Muhammadiyah?
2. Tindakan apa yang harus dilakukan jika policy tidak terpenuhi?
1.3 Tujuan
1. Untuk mengetahui policy-policy, standar, dan procedure yang berlaku di RSU Muhammadiyah berkaitan dengan teknologi informasi.
2. Untuk mengetahui tindakan yang harus dilakukan jika policy tidak terpenuhi.
1.4 Batasan masalah
Dalam pembahasan ini hanya akan menjelaskan tentang :
1. Policy, standar, dan procedure yang dikemukan adalah Policy, standar, dan procedure yang berlaku di RSU Muhammadiyah berkaitan dengan infrastruktur IT.
2. Contoh policy yang diambil adalah :
a. Policy penggunaan komputer dan printer
b. Policy penggunaan external storage
c. Policy account dan password
d. Policy pengunaan Software
e. Policy penggunaan email perusahaan
f. Policy pengunaan layanan internet
2.Dasar teori
2.1 Policy
Policy adalah instruksi manajemen tingkat tinggi dan jangka panjang pada bagaimana suatu organisasi dijalankan dan secara umum digerakkan oleh legal concern. Policy merefleksikan tujuan dari organisasi, sasaran, budaya dan dimaksudkan untuk diketahui secara umum. Policy juga merupakan suatu perintah yang harus diterapkan oleh siapa pun dalam organisasi atau perusahaan, termasuk karyawan, kontraktor, manajer, dan lain-lain. Persetujuan khusus terkait dengan tidak dilaksanakannya suatu policy karena sesuatu hal harus di dokumentasikan. Karena policy menggerakkan standar, prosedur, dan technical control dalam suatu perusahaan atau organisasi. Policy penting untuk diperhatikan karena policy :
- Memperluas infrastruktur manajemen
- Mengganti sistem monitoring yang pasif dan human based intervention ke manajemen yang aktif
- Intervensi sebagai permasalahan yang muncul pada kecepatan komputasi, bukan pada waktu reaksi manusia
- Mengizinkan reuse dan duplikasi pengetahuan dan proses Level dari policy sendiri adalah sebagai berikut.
rules Device Commands
- Goals • Memperhatikan constraint ( apa yang dapat dan tidak dapat dilakukan)
- Ditujukan untuk mengalokasikan dan petunjuk untuk operasi komputasi dan sumber daya jaringan
Policy yang baik adalah policy yang :
- Ditulis dengan jelas, singkat dan dengan bahasa yang sederhana
- Statemen dalam policy lebih menjelaskan tentang peraturan bukan bagaimana menjalankan peraturan itu sendiri
- Statemen policy dapat dibaca oleh seluruh elemen organisasi dan otoritasnya jelas
- Sebagai bagian penting, policy merepresentasikan konsistensi, dan framework logis dari aksi organisasi
2.2 Standard
Standar mendefinisikan proses atau aturan yang akan digunakan untuk mendukung policy, misalnya system-design models atau software khusus, atau metodologi. Standar dapat disebarkan secara langsung atau hanya untuk beberapa kelompok saja (misalnya, pengembang software) dengan durasi yang terbatas serta merefleksikan perubahan organisasional atau perubahan lingkungan. Seperti halnya policy, standar adalah perintah (mandat) dan membutuhkan perlakuan khusus jika standar tidak dapat dipenuhi.
2.3 Procedure
Prosedur adalah instruksi khusus (task terurut) untuk melaksanakan beberapa fungsi atau aksi. Prosedur merupakan cara-cara untuk memenuhi policy itu sendiri. Misal jika policy-nya adalah “Penggunaan password untuk otentifikasi dan otorisasi” dan standardnya berupa “Password harus dibangun dari 6-8 karakter alpha-numeric” maka prosedurnya dapat berupa “untuk penggantian password, masukkan password lama, kemudian masukkan password baru”.
2.4 Keterkaitan Keterkaitan antara ketiga faktor diatas dapat dilihat dalam bagan berikut.
Figure 1. Keterkaitan antara policy, standard, dan procedure [5]
3.Hasil
3.1 Policy Penggunaan Komputer dan Printer
1.Tujuan dibuatnya policy Tujuan dari dibuatnya policy ini adalah untuk salah satu media atau sarana penjagaan terhadap komputer dan printer agar dalam penggunaannya, karyawan atau pihak- pihak yang berhubungan langsung dapat memperkecil resiko yang mungkin terjadi.
2.Ruang Lingkup Policy Policy ini berlaku untuk setiap karyawan RSU Muhammadiyah yang berhubungan secara langsung dengan perangkat komputer dan printer yang berkaitan dengan perlakuan teknis. Seperti, kasir, petugas penginputan data pada lab, petugas penjaga pendaftaran dan pencatatan pasien, serta petugas apotek.
3.Policy Setiap karyawan wajib menjaga dan merawat komputer dan printer dari segala bentuk kesalahan, kerusakan, dan ketidaktepatan dalam penggunaannya.
4.Standar a. Komputer dan printer harus selalu dalam keadaan bersih dari kotoran dan debu.
b. Komputer dan printer dalam keadaan mati jika tidak digunakan.
c. Komputer yang digunakan adalah satu unit komponennya tanpa tambahan apapun diluar ketentuan RSU Muhammadiyah (CPU, keyboard, monitor, mouse, dan power supply).
5.Procedure
a. Setiap karyawan yang menggunakan komputer dan printer harus memperhatikan kebersihan komputer dan printer yang digunakan.
b. Setiap karyawan tidak diperkenankan untuk menambahkan aplikasi apapun tanpa sepengetahuan manajer.
c. Setiap karyawan tidak diperkenankan untuk merubah atau mengganti tampilan fisik unit komputer atau printer, tanpa sepengetahuan manajer.
d. Setiap karyawan tidak diperkenankan untuk menggunakan komputer dan printer untuk keperluan pribadi.
e. Setiap karyawan harus mematikan komputer dan printer jika telah selesai menggunakannya. f. Aplikasi yang dapat ditambahkan ke dalam unit komputer adalah aplikasi yang berhubungan dengan pekerjaan karyawan, atau yang dapat membantu dengan persetujuan manajer.
g. Setiap karyawan wajib membersihkan komputer dan printer setelah digunakan.
h. Setiap karyawan wajib mencuci tangan terlebih dahulu sebelum berinteraksi dengan komputer atau printer. i. Setiap karyawan tidak diperkenankan makan ketika menggunakan komputer atau printer. j. Setiap karyawan tidak diperkenankan untuk menambahkan atau mengurangi hardware internal dari unit komputer atau printer. k. Setiap 3 kali pelanggaran ketentuan, karyawan akan mendapatkan satu surat teguran. l. Jika karyawan telah mendapatkan surat teguran sebanyak 2 kali, maka karyawan akan mendapatkan satu surat peringatan. m. Jika karyawan telah mendapatkan surat peringatan sebanyak 3 kali, maka karyawan akan mendapatkan hukuman sesuai dengan ketentuan yang berlaku.
3.2 Policy penggunaan external storage
1.Tujuan dibuatnya policy Kebutuhan transfer data dari dan ke perangkat komputer perusahaan saat ini sangatlah tinggi. Tentunya penggunaan external storage menjadi sangat penting.
Namun, dibalik kebutuhannya hal tersebut akan membuka celah keamanan baru untuk sistem komputer perusahaan, misalnya resiko komputer terinfeksi vrus dan perangkat lunak perusak lainnya. Policy ini dibangun untuk meminimalisir timbulnya celah baru dan penyalahgunaan perangkat media penyimpanan eksternal.
2. Ruang Lingkup Policy Guideline ini berlaku untuk semua perangkat komputer yang ada di perusahaan dan semua tingkatan karyawan dengan perangkat media penyimpanan exkternal apapun tanpa terkecuali (flashdisk, hardisk eksternal, disket, cd, dsb.)
3.Guideline
a. Setiap perangkat media penyimpanan eksternal harus dijamin tidak terinfeksi malware / perangkat lunak perusak, seperti virus, trojan, dan worm.
b. Setiap komputer di perusahaan harus menonaktifkan fitur autoplay untuk mencegah infeksi malware yang memanfaatkan fitur tersebut.
c. Sebelum melakukan transfer data scan perangkat external storage dengan anti virus yang tersedia pada setiap komputer pada perusahaan d. Tidak diperkanankan melakukan transfer data bersifat personal pada perangkat komputer kantor (foto, video, musik) yang sekiranya dapat menggangu.
e. Pengguna non-karyawan perusahaan tidak diperkenankan menggunakan perangkat penyimpanan eksternal pada perangkat komputer perusahaan untuk segala kepentingan.
f. Sifat guideline ini tidak mengikat dan tidak dikenakan sanksi bagi pelanggarnya
3.3 Policy Account dan Password
1. Tujuan dibuatnya policy Tujuan di adakan policy ini, tak lain adalah untuk menjaga authentitas pemilik akun, agar tidak ada penyalahgunaan data oleh pihak tertentu.
2. Ruang Lingkup Policy Policy ini mencakup penggunaan akun termasuk, username dan password user. User yang di maksud meliputi petugas penginput data, yaitu petugas lab, resepsionis, petugas apotek, dokter serta pegawai administrasi.
3.Policy
a. akun hanya dibuat oleh admin, berdasarkan nomer pegawai
b. setiap pengguna yang memiliki akun, wajib mengganti default password yang diberikan oleh admin c. setiap pengguna wajib keluar dari akunnya, sebelum meninggalkan ruangan. d. setiap pengguna wajib menjaga autentikasi akunnya.
4. Procedure
a. setiap pegawai harus verifikasi akun ke admin, untuk pembuatan akun baru
b. penggantian password setelah akun selesai dibuat
c. password yang diganti harus menggunakan kombinasi huruf dan angka
d. apabila lupa password, harus menghubungi admin e. setiap pegawai yang memiliki akun, tidak boleh di beritahu pada orang lain.
3.4 Policy penggunaan software
1. Tujuan dibuatnya policy Pembuatan policy ini ditujukan agar user dapat menjaga software yang ada pada computer. Sehingga system operasi akan lebih awet dan tidak terjadi kerusakan software.
2. Ruang Lingkup Policy Policy ini mencakup segala bentuk interaksi user terhadap software yang ada dikomputer. Policy ini diterapkan bagi personel yang meliputi petugas penginput data, yaitu petugas lab, kasir, petugas apotek, serta pegawai administrasi.
3.Policy
a. Setiap user tidak diperkenankan mendelete ataupun memodifikasi software yang ada di unit computer.
b. Setiap user tidak diperkenankan menjalankan aplikasi yang tidak berhubungan dengan deskjob masing-masing.
c. Setiap user tidak diperkenankan menginstall aplikasi pada unit computer. d. Setiap user tidek diperkenankan untuk menyalahgunakan aplikasi yang ada pada computer.
e. Setiap user tidak diperkenankan untuk memasukkan data palsu pada database.
f. Setiap user tidak diperkenankan memberikan data pada database ke pihak lain tanpa seijin rumah sakit.
4.Standar a. Penginstallan aplikasi hanya boleh dilakukan oleh administrator.
b. Update Operating System dan aplikasi-aplikasi di dalamnya dilakukan secara berkala oleh administrator.
5. Procedure
a. Jika ada keperluan untuk menginstall suatu aplikasi ke dalam computer, hubungi administrator.
b. Jika suatu OS atau aplikasi meminta untuk diupdate, segera laporkan administrator.
c. User yang mengalami hang, error, not respond software, atau computer tidak mau menyala dan tidak dapat menanganinya sendiri, dapat meminta bantuan administrator.
d. Jika user melihat keanehan dalam penggunaan software seperti adanya indikasi terkena virus, segera hubungi administrator.
e. Jika user melihat adanya keanehan data dalam database, segera laporkan kepada admin dan personel lain yg bertugas menginput data untuk verifikasi.
3.5 Policy penggunaan email perusahaan
1. Tujuan dibuatnya policy Policy ini dibuat dengan tujuan agar penggunaan email dengan menggunakan account perusahaan benar-benar hanya untuk kepentingan perusahaan tanpa ada hubungan dengan kepentingan pribadi dari pegawai.
2. Ruang Lingkup Policy
Policy ini hanya mencakup hal-hal yang berhubungan dengan penggunaan email peersahaan.
3. Policy Pengunaan email digunakan untuk kepentingan perusahaan.
4. Standar Dilakukan pengecekan penggunan email yang digunakan oleh pegawai setiap awal bulan.
5. Procedure
a. Segala bentuk komunikasi via email, messenger atau bentuk lainnya, yang menggunakan dan/atau disimpan dalam peralatan Perusahaan merupakan hak milik penuh dan eksklusif Perusahaan. Pihak Perusahaan dan personel yang berwenang memiliki wewenang untuk mengakses materi email atau data dalam unit komputer karyawan setiap saat diperlukan oleh pihak Perusahaan.
b. Seluruh media komunikasi elektronik, penyimpanan data maupun akses yang dihasilkan atau disimpan di peralatan Perusahaan, ditempat kerja atau merupakan materi pekerjaan dari Perusahaan dianggap bukan sebagai milik pribadi karyawan, namun sebagai hak milik penuh dan eksklusif Perusahaan.
c. Pegawai dilarang keras untuk membuka, mengirim, menerima, mendistribusikan, mencetak atau menyimpan dokumen dalam bentuk apapun, elektronik atau hardcopy yang mengandung pemahaman seksual, yang dapat memberikan penilaian yang tidak baik terhadap sumber daya TI Perusahaan.
3.6 Policy penggunaan Internet
1. Tujuan dibuatnya policy Policy ini ditujukan agar tidak terjadi penyalahgunaan fasilitas layanan internet yang disediakan oleh RSU Muhammadiyah kepada karyawannya. Agar layanan internet digunakan untuk kegiatan yang menunjang pekerjaan dari RSU Muhammadiyah bukan untuk keperluan pribadi ataupun yang menyimpang jauh dari kegiatan RSU Muhammadiyah.
2. Ruang Lingkup Policy Policy ini mencakup seluruh kegiatan yang menggunakan layanan internet seperti browsing, chat, dan lain sebagainya. Policy ini diterapkan bagi seluruh karyawan RSU yang menggunakan layanan internet yang disediakan di lingkungan rumah sakit oleh pihak RSU Muhammadiyah.
3. Policy Setiap karyawan dilarang menggunakan layanan internet untuk kegiatan yang tidak menunjang kinerja rumah sakit apalagi untuk membocorkan rahasia RSU Muhammadiyah.
4. Standar
a. Semua kegiatan internet dimonitor oleh IT support dalam hal ini Network Administrator.
b. Jaringan internet menggunakan firewall untuk menjamin keamanan jaringan.
c. Network administrator mambatasi akses internet pada jam kerja ( mem-blok situs-situs yang dianggap tidak menunjang kinerja perusahaan).
5. Procedure
a. Tidak diperkenankan menggunakan layanan internet untuk membuka situs-situs yang tidak menunjang kinerja rumah sakit maupun yang bersifat pribadi contohnya : situs pornografi, perjudian, lelang, biro jodoh, dan sebagainya.
b. Pada jam kerja tidak diperkenankan menggunakan layanan internet untuk melakukan chatting atau komunikasi via internet kecuali ada hubungannya dengan pekerjaan di RSU Muhammadyah.
c. Setiap pegawai dilarang menggunakan internet untuk melakukan hal-hal yang melanggar hukum yang berlaku di Indonesia. d. Jika akan mengunduh data atau file apapun dari situs yang tidak meyakinkan sebaiknya menanyakan dahulu kepada IT Support.
e. Jika akan mengunggah data atau file apapun sebaiknya dipastikan bahwa file itu bukan data perusahaan yang bersifat rahasia.
f. Setiap karyawan RSU Muhammadyah yang terbukti melanggar policy ini sebanyak 3x akan dikenakan sanksi yang sesuai dengan peraturan yang berlaku di lingkungan RSU Muhammadyah.
6. Penutup
5.1 Kesimpulan
Policy digunakan untuk menetapkan apa yang diperbolehkan dan tidak diperbolehkan untuk dilakukan sesuai dengan tujuan bisnis dan juga melindungi proses bisnis yang berlangsung. Policy dilengkapi dengan standar dan prosedur yang akan membantu pelaksanaan policy itu sendiri.
5.2 Saran Adapun saran yang dapat diberikan adalah sebagai berikut.
- Penulisan policy seharusnya dilakukan dengan singkat, padat, dan jelas tanpa mengurangi esensi dari policy itu sendiri
- Prosedur ditulis dengan jelas dan bersifat lebih menjelaskan dibandingkan policy itu sendiri
Daftar Pustaka
[1] Westerinen, Andrea. 2003. What is Policy and What Can It Be?. DMTF : IEEE Policy Conference 2003 [2] Torjman, Sherri. 2005. What is Policy. Canada : Caledon Institute of Social Policy.
[3] http://policy.ucsc.edu/pdf/guide.pdf [4] http://searchsecurity.techtarget.com/resources/Information-Security-Policies-Procedures-
and-Guidelines
[5] http://christodonte.com/2009/05/relationship-between-a-policy-standard-guideline-and-
procedure/