Skip to content

Insiden keamanan informasi dan eskalasi khusus keamanan

Informasi Dokumen

Atribut Keterangan
Kode Dokumen DTSI-SOP-INC-01
Kode LPM
Revisi 1.0
Tanggal Efektif — (ditetapkan saat persetujuan Kepala DTSI)
Pemilik Dokumen Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa
Pemilik Proses Kepala Departemen Teknologi dan Sistem Informasi (DTSI)
Kelas Wajib
Status DRAFT — siap peninjauan pimpinan

1. Tujuan

Menanggapi peristiwa yang mengancam kerahasiaan, integritas, atau ketersediaan informasi dan sistem TI dengan kontainmen cepat, pengumpulan bukti yang terjaga, eskalasi ke pemangku kebijakan, serta pemulihan dan perbaikan kontrol—selaras ISO/IEC 27002 (insiden keamanan informasi) dan selaras dengan DTSI-SOP-INC-02 untuk aspek pemulihan layanan.

2. Ruang lingkup

Mencakup antara lain: kebocoran/pembocoran data, akses tidak sah, malware, ransomware, defacement, penyalahgunaan akun privilese, kehilangan perangkat berisi data sensitif, indikasi APT, dan pelanggaran kebijakan keamanan serius.

3. Dokumen terkait

Dokumen Relasi
DTSI-SOP-INC-02 Pemulihan layanan, komunikasi pengguna operasional
DTSI-SOP-OPS-01 Titik laporan awal
DTSI-SOP-ACC-01 Pencabutan akses, reset kredensial
DTSI-SOP-CPL-02 Notifikasi PDP bila data pribadi terdampak
DTSI-SOP-ADM-01 Rantai bukti

4. Klasifikasi tingkat (indikatif)

Tingkat Ciri Eskalasi wajib
SEV-1 Data sensitif massal, sistem kritis dikompromi, ransomware aktif Kepala DTSI + pimpinan universitas + hukum/PDP bila perlu
SEV-2 Pelanggaran terbatas, akun privilese disalahgunakan Kepala DTSI + pemilik data
SEV-3 Indikasi ringan, belum ada bukti eksploitasi Manajer keamanan / tim respons

[Diisi institusi: penamaan dan kontak pasti.]

5. Tim respons insiden keamanan (CSIRT ringkas)

Peran minimal:

  • Incident Lead (ditunjuk Kepala DTSI per insiden).
  • Ahli infrastruktur, aplikasi, dan logs.
  • Focal PDP/hukum bila data pribadi.
  • Perwakilan humas hanya jika disetujui pimpinan untuk pernyataan publik.

6. Prinsip penanganan

  1. Jangan menghancurkan bukti (hindari shutdown sembarangan tanpa arahan; dokumentasikan keadaan).
  2. Kontainmen lebih dulu daripada investigasi panjang jika risiko menyebar.
  3. Need-to-know untuk detail insiden.
  4. Semua tindakan dengan stempel waktu dan penanggung jawab.

7. Prosedur

7.1 Deteksi dan pelaporan

  1. Laporan dapat dari pengguna, pemantauan, vendor, atau otoritas.
  2. Buka tiket insiden keamanan terpisah dari tiket layanan umum; tautkan ke tiket DTSI-SOP-INC-02 jika ada gangguan layanan.
  3. Tetapkan Incident Lead dan klasifikasi SEV awal.

7.2 Kontainmen

  1. Isolasi sistem (segmentasi jaringan, cabut akses, blokir akun) sesuai risiko.
  2. Simpan image memori atau disk bila diperlukan investigasi forensik—gunakan prosedur yang disetujui.
  3. Rotasi kredensial yang terdampak (DTSI-SOP-ACC-01).

7.3 Investigasi

  1. Kumpulkan log terpusat; jaga integritas rantai bukti.
  2. Jangan mengakses data pribadi di luar kebutuhan investigasi.
  3. Gunakan mitra forensik bila internal tidak cukup—dengan perjanjian kerahasiaan.

7.4 Eskalasi dan notifikasi

  1. SEV-1: informasikan Kepala DTSI segera; pimpinan universitas sesuai protokol krisis; pertimbangkan DTSI-SOP-CPL-02 untuk PDP.
  2. Dokumentasikan keputusan untuk memberi tahu atau tidak memberi tahu subjek data/pengguna.

7.5 Pemulihan

  1. Hapus persistence penyerang, patch kerentanan, pulihkan dari backup bersih jika perlu.
  2. Verifikasi bersih sebelum reconnect ke jaringan produksi.

7.6 Pasca-insiden

  1. Laporan insiden keamanan (isi: garis waktu, akar, dampak, tindakan, rekomendasi) dalam [Diisi: mis. 10 hari kerja] untuk SEV-1/2.
  2. Buka RFC perbaikan kontrol (DTSI-SOP-OPS-02).
  3. Pelajaran dimasukkan tinjauan SMKI (DTSI-SOP-ADM-02).

Diagram alur

flowchart TD
  rep([Laporan]) --> tiket[Buka_tiket_keamanan]
  tiket --> sev[Klasifikasi_SEV]
  sev --> cont[Kontainmen]
  cont --> inv[Investigasi_bukti]
  inv --> esc{Eskalasi_pimpinan}
  esc -->|Perlu| notif[Notifikasi_hukum_PDP]
  esc -->|Tidak| rem[Pemulihan]
  notif --> rem
  rem --> report[Laporan_pascainsiden]
  report --> rfc[Perbaikan_kontrol]

8. Rujukan ISO (indikatif)

  • ISO/IEC 27002 — information security incident management and reporting.

9. Rekaman wajib

  • Tiket, log terkumpul, notulen keputusan, laporan akhir, bukti notifikasi regulator/subjek data (jika ada).

10. Indikator kinerja

Indikator Definisi Target
Waktu kontainmen SEV-1 Menit hingga isolasi efektif [Diisi]
Laporan tepat waktu % SEV-1/2 dengan laporan sesuai SLA 100%
Tindakan ulang Insiden serupa dalam 90 hari 0 untuk tema sama

11. Tinjauan dokumen

Minimal tahunan atau setelah SEV-1, perubahan regulasi, atau audit keamanan.


Register SOP: Daftar SOP Operasional