Insiden keamanan informasi dan eskalasi khusus keamanan
Informasi Dokumen
| Atribut | Keterangan |
|---|---|
| Kode Dokumen | DTSI-SOP-INC-01 |
| Kode LPM | — |
| Revisi | 1.0 |
| Tanggal Efektif | — (ditetapkan saat persetujuan Kepala DTSI) |
| Pemilik Dokumen | Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa |
| Pemilik Proses | Kepala Departemen Teknologi dan Sistem Informasi (DTSI) |
| Kelas | Wajib |
| Status | DRAFT — siap peninjauan pimpinan |
1. Tujuan
Menanggapi peristiwa yang mengancam kerahasiaan, integritas, atau ketersediaan informasi dan sistem TI dengan kontainmen cepat, pengumpulan bukti yang terjaga, eskalasi ke pemangku kebijakan, serta pemulihan dan perbaikan kontrol—selaras ISO/IEC 27002 (insiden keamanan informasi) dan selaras dengan DTSI-SOP-INC-02 untuk aspek pemulihan layanan.
2. Ruang lingkup
Mencakup antara lain: kebocoran/pembocoran data, akses tidak sah, malware, ransomware, defacement, penyalahgunaan akun privilese, kehilangan perangkat berisi data sensitif, indikasi APT, dan pelanggaran kebijakan keamanan serius.
3. Dokumen terkait
| Dokumen | Relasi |
|---|---|
| DTSI-SOP-INC-02 | Pemulihan layanan, komunikasi pengguna operasional |
| DTSI-SOP-OPS-01 | Titik laporan awal |
| DTSI-SOP-ACC-01 | Pencabutan akses, reset kredensial |
| DTSI-SOP-CPL-02 | Notifikasi PDP bila data pribadi terdampak |
| DTSI-SOP-ADM-01 | Rantai bukti |
4. Klasifikasi tingkat (indikatif)
| Tingkat | Ciri | Eskalasi wajib |
|---|---|---|
| SEV-1 | Data sensitif massal, sistem kritis dikompromi, ransomware aktif | Kepala DTSI + pimpinan universitas + hukum/PDP bila perlu |
| SEV-2 | Pelanggaran terbatas, akun privilese disalahgunakan | Kepala DTSI + pemilik data |
| SEV-3 | Indikasi ringan, belum ada bukti eksploitasi | Manajer keamanan / tim respons |
[Diisi institusi: penamaan dan kontak pasti.]
5. Tim respons insiden keamanan (CSIRT ringkas)
Peran minimal:
- Incident Lead (ditunjuk Kepala DTSI per insiden).
- Ahli infrastruktur, aplikasi, dan logs.
- Focal PDP/hukum bila data pribadi.
- Perwakilan humas hanya jika disetujui pimpinan untuk pernyataan publik.
6. Prinsip penanganan
- Jangan menghancurkan bukti (hindari shutdown sembarangan tanpa arahan; dokumentasikan keadaan).
- Kontainmen lebih dulu daripada investigasi panjang jika risiko menyebar.
- Need-to-know untuk detail insiden.
- Semua tindakan dengan stempel waktu dan penanggung jawab.
7. Prosedur
7.1 Deteksi dan pelaporan
- Laporan dapat dari pengguna, pemantauan, vendor, atau otoritas.
- Buka tiket insiden keamanan terpisah dari tiket layanan umum; tautkan ke tiket DTSI-SOP-INC-02 jika ada gangguan layanan.
- Tetapkan Incident Lead dan klasifikasi SEV awal.
7.2 Kontainmen
- Isolasi sistem (segmentasi jaringan, cabut akses, blokir akun) sesuai risiko.
- Simpan image memori atau disk bila diperlukan investigasi forensik—gunakan prosedur yang disetujui.
- Rotasi kredensial yang terdampak (DTSI-SOP-ACC-01).
7.3 Investigasi
- Kumpulkan log terpusat; jaga integritas rantai bukti.
- Jangan mengakses data pribadi di luar kebutuhan investigasi.
- Gunakan mitra forensik bila internal tidak cukup—dengan perjanjian kerahasiaan.
7.4 Eskalasi dan notifikasi
- SEV-1: informasikan Kepala DTSI segera; pimpinan universitas sesuai protokol krisis; pertimbangkan DTSI-SOP-CPL-02 untuk PDP.
- Dokumentasikan keputusan untuk memberi tahu atau tidak memberi tahu subjek data/pengguna.
7.5 Pemulihan
- Hapus persistence penyerang, patch kerentanan, pulihkan dari backup bersih jika perlu.
- Verifikasi bersih sebelum reconnect ke jaringan produksi.
7.6 Pasca-insiden
- Laporan insiden keamanan (isi: garis waktu, akar, dampak, tindakan, rekomendasi) dalam [Diisi: mis. 10 hari kerja] untuk SEV-1/2.
- Buka RFC perbaikan kontrol (DTSI-SOP-OPS-02).
- Pelajaran dimasukkan tinjauan SMKI (DTSI-SOP-ADM-02).
Diagram alur
flowchart TD
rep([Laporan]) --> tiket[Buka_tiket_keamanan]
tiket --> sev[Klasifikasi_SEV]
sev --> cont[Kontainmen]
cont --> inv[Investigasi_bukti]
inv --> esc{Eskalasi_pimpinan}
esc -->|Perlu| notif[Notifikasi_hukum_PDP]
esc -->|Tidak| rem[Pemulihan]
notif --> rem
rem --> report[Laporan_pascainsiden]
report --> rfc[Perbaikan_kontrol]
8. Rujukan ISO (indikatif)
- ISO/IEC 27002 — information security incident management and reporting.
9. Rekaman wajib
- Tiket, log terkumpul, notulen keputusan, laporan akhir, bukti notifikasi regulator/subjek data (jika ada).
10. Indikator kinerja
| Indikator | Definisi | Target |
|---|---|---|
| Waktu kontainmen SEV-1 | Menit hingga isolasi efektif | [Diisi] |
| Laporan tepat waktu | % SEV-1/2 dengan laporan sesuai SLA | 100% |
| Tindakan ulang | Insiden serupa dalam 90 hari | 0 untuk tema sama |
11. Tinjauan dokumen
Minimal tahunan atau setelah SEV-1, perubahan regulasi, atau audit keamanan.
Register SOP: Daftar SOP Operasional