Keamanan SDM TI: onboarding, mutasi, offboarding
Informasi Dokumen
| Atribut | Keterangan |
|---|---|
| Kode Dokumen | DTSI-SOP-HR-01 |
| Kode LPM | — |
| Revisi | 1.0 |
| Tanggal Efektif | — (ditetapkan saat persetujuan Kepala DTSI) |
| Pemilik Dokumen | Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa |
| Pemilik Proses | Kepala Departemen Teknologi dan Sistem Informasi (DTSI) |
| Kelas | Wajib |
| Status | DRAFT — siap peninjauan pimpinan |
1. Tujuan
Memastikan siklus hidup akses dan perangkat pegawai/mitra TI (masuk, pindah jabatan, keluar) dikelola terkendali sehingga tidak ada akun orphan, kebocoran kredensial, atau perangkat yang tidak dikembalikan—selaras ISO/IEC 27002 (screening, termination, akses) dan ISO/IEC 20000-1 (peran operasional).
2. Ruang lingkup
Staf tetap/kontrak DTSI, outsourcing dengan akses jaringan atau sistem kampus, dan magang yang mendapat akun institusi.
3. Dokumen terkait
| Dokumen | Relasi |
|---|---|
| DTSI-SOP-ACC-01 | Pencabutan/pembaruan hak akses |
| DTSI-SOP-SUP-02 | Mitra dengan akses |
| DTSI-SOP-INC-01 | Pelanggaran oleh insider |
| DTSI-SOP-HR-02 | Kompetensi & shift |
| DTSI-SOP-HR-03 | Kesadaran keamanan |
| DTSI-SOP-ADM-01 | Rekaman checklist |
| DTSI-SOP-CPL-02 | Data pribadi SDM |
4. Peran dan tanggung jawab
| Peran | Tanggung jawab |
|---|---|
| Kepala DTSI | Menyetujui akun privilese dan pengecualian offboarding. |
| Koordinator SDM TI | Checklist harian/mingguan, koordinasi dengan SDM kampus. |
| Manajer langsung | Menginformasikan tanggal efektif mutasi/keluar H+1. |
| Admin identitas | Eksekusi di IdP, AD, aplikasi sesuai tiket. |
5. Prosedur — onboarding
- Terima notifikasi resmi dari SDM kampus atau kontrak mitra.
- Tandatangani NDA / perjanjian keamanan jika wajib [Diisi].
- Buka akun sesuai role template; tidak ada akun admin untuk staf baru kecuali disetujui.
- Terapkan MFA untuk akun yang mendukung.
- Serahkan perangkat dengan inventaris (DTSI-SOP-AST-01).
- Jadwalkan orientasi DTSI-SOP-HR-03 dalam 30 hari pertama.
6. Prosedur — mutasi
- Tiket mutasi memuat: tanggal efektif, role lama/baru, sistem terdampak.
- Cabut hak lama pada atau sebelum tanggal efektif; berikan hak baru minimal yang diperlukan.
- Tinjau ulang keanggotaan grup, shared mailbox, dan API key pribadi.
7. Prosedur — offboarding
- Hari terakhir kerja: cabut VPN, remote admin, akses cloud; nonaktifkan IdP sesuai jadwal (biasanya akhir hari kerja terakhir).
- Alihkan mailbox dan data kerja ke manajer sesuai kebijakan kampus.
- Kumpulkan perangkat, kartu akses, token; catat di checklist.
- Simpan bukti penyelesaian minimal 3 tahun atau sesuai kebijakan arsip.
Diagram ringkas
flowchart LR
o[Onboarding] --> m[Mutasi]
m --> x[Offboarding]
x --> rev[Review_akses]
8. Rujukan ISO (indikatif)
- ISO/IEC 27002 — human resource security, akses.
- ISO/IEC 20000-1 — kompetensi dan peran layanan.
9. Rekaman wajib
- Checklist onboarding/mutasi/offboarding, tiket IAM, serah terima aset.
10. Indikator kinerja
| Indikator | Target |
|---|---|
| Akun aktif pasca tanggal offboarding tanpa pengecualian tercatat | 0 |
| Onboarding tanpa MFA bila layanan mensyaratkan | 0 |
11. Tinjauan dokumen
Minimal tahunan atau setelah insiden insider atau perubahan IdP.
Register SOP: Daftar SOP Operasional