Manajemen identitas, akses, dan hak istimewa (privilege)
Informasi Dokumen
| Atribut | Keterangan |
|---|---|
| Kode Dokumen | DTSI-SOP-ACC-01 |
| Kode LPM | — |
| Revisi | 1.0 |
| Tanggal Efektif | — (ditetapkan saat persetujuan Kepala DTSI) |
| Pemilik Dokumen | Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa |
| Pemilik Proses | Kepala Departemen Teknologi dan Sistem Informasi (DTSI) |
| Kelas | Wajib |
| Status | DRAFT — siap peninjauan pimpinan |
1. Tujuan
Memastikan hanya subjek yang sah yang memperoleh akses ke sistem dan data sesuai kebutuhan tugas (need-to-know / least privilege), dengan persetujuan terdokumentasi, review berkala, dan pencabutan tepat waktu—selaras ISO/IEC 27002 (identitas, akses, manajemen rahasia autentikasi).
2. Ruang lingkup
- Akun pada IdP kampus, direktori (LDAP/Entra ID, dll. [Diisi]), aplikasi yang dikelola DTSI.
- Akses administrator infrastruktur, basis data produksi, cloud konsol.
- Akses ke data klasifikasi menengah/tinggi (selaras DTSI-SOP-AST-02).
Akses jarak jauh administratif mengikuti juga DTSI-SOP-ACC-02.
3. Dokumen terkait
| Dokumen | Relasi |
|---|---|
| DTSI-SOP-OPS-10 | Permintaan layanan standar |
| DTSI-SOP-HR-01 | Onboarding/offboarding SDM |
| DTSI-SOP-INC-01 | Pencabutan darurat |
| DTSI-SOP-CRY-01 | Rahasia dan MFA |
4. Definisi
| Istilah | Makna |
|---|---|
| Joiner / Mover / Leaver | Mulai, pindah peran, berhenti. |
| Privileged account | Akun yang dapat mengubah keamanan, data massal, atau infrastruktur. |
5. Prinsip kebijakan
- Satu identitas unik per orang (no shared account untuk manusia; akun layanan khusus terdaftar).
- Least privilege default; eskalasi sementara dengan kedaluwarsa otomatis jika sistem mendukung.
- MFA wajib untuk akses jarak jauh dan akun privilese [sesuaikan dengan kebijakan institusi].
- Review akses privilese minimal kuartalan; review akses data sensitif sesuai risiko.
6. Peran dan tanggung jawab
| Peran | Tanggung jawab |
|---|---|
| Pemilik data / layanan | Menyetujui siapa yang berhak mengakses data/aplikasi. |
| Administrator identitas | Provisioning, grup, audit log IdP. |
| Kepala unit pengguna | Memvalidasi bahwa permintaan sesuai tugas pegawai. |
| Kepala DTSI | Persetujuan akun privilese tinggi dan pengecualian kebijakan. |
7. Prosedur — Joiner (pegawai/baruan baru)
- Terima notifikasi resmi SDM/kepegawaian (bukan hanya email informal).
- Buat akun sesuai template peran (role profile) yang telah disetujui.
- Jangan aktifkan grup privilese hingga pelatihan kesadaran minimum selesai jika kebijakan mensyaratkan.
- Catat di tiket/HR feed dengan ID referensi.
8. Prosedur — Mover (perubahan jabatan/unit)
- Bandingkan peran lama dan baru; cabut grup yang tidak relevan sebelum atau bersamaan dengan penambahan baru.
- Perbarui tiket dengan persetujuan atasan baru.
9. Prosedur — Leaver (berhenti/berakhir kontrak)
- Pada hari terakhir kerja (atau segera setelah keputusan): nonaktifkan akun; cabut sesi aktif.
- Alihkan mailbox sesuai kebijakan humas/kepegawaian; jangan biarkan forward permanen tanpa persetujuan.
- Dokumentasikan bukti penonaktifan untuk audit.
10. Prosedur — permintaan akses ad hoc
- Pengguna mengajukan melalui DTSI-SOP-OPS-10 dengan item yang memetakan ke sistem/data.
- Pemilik data menyetujui; administrator identitas melaksanakan.
- Untuk akses DB produksi atau konsol admin: butuh persetujuan Kepala DTSI atau delegasi tertulis + jangka waktu maksimal [Diisi: mis. 90 hari] untuk akses sementara.
11. Review berkala
- Ekspor daftar grup privilese; verifikasi setiap anggota masih membutuhkan akses.
- Tindak lanjuti temuan dalam [Diisi: mis. 15 hari kerja].
- Simpan laporan review.
12. Pelanggaran dan insiden
- Indikasi penyalahgunaan akun → DTSI-SOP-INC-01; cabut akses segera.
Diagram — alur permintaan akses
flowchart TD
req([Permintaan]) --> val[Validasi_identitas]
val --> own[Persetujuan_pemilik_data]
own --> prv[Provisioning_dengan_least_privilege]
prv --> log[Catat_di_log_IdP]
log --> rev[Jadwalkan_review]
13. Rujukan ISO (indikatif)
- ISO/IEC 27002 — identity and access management, privileged access, authentication secrets.
14. Rekaman wajib
- Tiket persetujuan, log perubahan grup, laporan review kuartal, bukti offboarding.
15. Indikator kinerja
| Indikator | Definisi | Target |
|---|---|---|
| Akun orphan | Akun aktif tanpa pemilik SDM valid | 0 |
| Review privilese tepat waktu | % kuartal selesai sesuai jadwal | 100% |
| Leaver same-day lockout | % nonaktif hari-H | 100% |
16. Tinjauan dokumen
Minimal tahunan atau setelah insiden akses, migrasi IdP, atau audit.
Register SOP: Daftar SOP Operasional