BUKU PEDOMAN KEAMANAN SISTIM INFORMASI MANAJEMEN RUMAH SAKIT
KERAMAHAN SEBENARNYA
ELEKTRONIK DAT DATA PROSESSING (EDP)
RUMAH SAKIT PKU MUHAMMADIYAH WONOSOBO Jl. Gatot Subroto Sudungdewo Kertek Kertek Wonosobo Wonosobo
WONOSOBO 2016
KATA PENGANTAR
Puji dan syukur kita sampaikan kehadirat Allah SWT yang telah melimpahkan rahmat dan hidayah-Nya, sehingga dapat tersusun Buku
Pedoman Keamanan
Sistem Informasi Manajemen Rumah Sakit PKU Muhammadiyah Wonosobo. Buku ini berisikan Pedoman Keamanan Sistem Informasi Manajemen Rumah Sakit, Pedoman Pengendalian Hak Akses dan Pedoman Penggunaan Sumber Daya Informasi.
Buku Pedoman ini apabila dijalankan dengan benar, data-data yang dihasilkan akan tersimpan dengan aman dapat diakses oleh orang-orang yang berwenang dan akan mengurangi dampak dari terjadinya insiden keamanan. Kami harapkan Buku Pedoman Keamanan Sistem Informasi Manajemen Rumah Sakit ini dapat dijadikan pegangan bagi setiap bidang pelayanan Rumah Sakit dalam proses pelayanan dan dalam pembuatan laporan. Kepada semua pihak yang telah membantu sampai dengan tersusunnya Buku ini kami sampaikan penghargaan dan terima kasih. Kritik dan Saran membangun yang disampaikan kepada kami akan sangat bermanfaat untuk perbaikan dimasa mendatang.
Wonosobo, Januari 2016 Wadir Umum
Ir. Abud Baasir
DAFTAR ISI Kata Pengantar …………………………………………………………………
i
Daftar Isi …………………………………………………………………………
ii
Pedoman Keamanan Sistem Informasi 1. Pendahuluan...............................................................................................
1
2. Tujuan ……………………………………………………………………..
1
3. Ruang Lingkup …………………………………………………………..
1
4. Kebijakan ………………………………………………………………..
2
Pedoman Pengensalian Hak Akses 1. Tujuan ……………………………………………………………………..
4
2. Ruang Lingkup …………………………………………………………..
4
3. Referensi ……..…………………………………………………………..
4
4. Kebijakan Akses Kontrol .………………………………………………..
4
Pedoman Penggunaan Sumber Daya Informasi 1. Tujuan ……………………………………………………………………..
7
2. Ruang Lingkup …………………………………………………………..
7
3. Kebijakan Umum ………..………………………………………………..
7
4. Penggunaan Internet ..…..………………………………………………..
8
5. Penggunaan Email ..……..……………………………………………….. Lampiran-lampiran Formulir Permohonan Data/Informasi Formulir Permohonan Password/Kewenangan Daftar Kewenangan Penggunaan
PEDOMAN KEAMANAN SISTEM INFORMASI 1 Pend!"#"n Informasi merupakan aset yang sangat penting bagi
Instansi
penyelenggara layanan publik dan karenanya perlu dilindungi dari ancaman yang dapat mengganggu kelangsungan bisnisnya. Penggunaan fasilitas teknologi informasi selain memudahkan proses pekerjaan juga mengandung risiko bila tidak digunakan dan dikelola dengan tepat. Oleh karena itu, penggunaan teknologi informasi harus dikelola sedemikian rupa sehingga memberi manfaat sebesar- besarnya dengan kemungkinan risiko yang rendah. Kebijakan ini didokumentasikan sebagai panduan untuk melindungi informasi dari ancaman keamanan informasi yang meliputi kerahasiaan (confdentiality ), keutuhan (integrity ), dan ketersediaan ( availability ) dan mengurangi dampak dari terjadinya insiden keamanan.
2 T"$"n Melindungi aset informasi di RS PKU Muhammadiyah Wonosobo dari segala bentuk ancaman, baik eksternal maupun internal, sengaja atau tidak.
% R"n& L'n&" Kebijakan ini berlaku untuk seluruh aset informasi yang digunakan
di RS
PKU Muhammadiyah Wonosobo yang meliputi: 3.1 Organisasi dan Lokasi: Seluruh unit kerja di RS PKU Muhammadiyah Wonosobo
dan
lokasi kerja yang digunakan untuk mengelola dan menyediakan layanan internal dan eksternal. 3.2 Aset: Aset yang dicakup meliputi, tetapi tidak terbatas pada:
Data dan Informasi Termasuk data dan informasi meliputi:dokumen pengadaan dan kontrak, database pasien, data transaksi pasien rawat inap maupun rawat jalan, manajemen, materi
data
karyawan,
pelatihan,
prosedur
sistem dokumentasi operasional, data
obat-obatan/farmasi.
Sotware Yang termasuk dalam aset perangkat lunak atau sotware antara lain : sotware aplikasi, operating system, development tool, dan
sotware tool (antivirus, audit tool);
Hardware Yang termasuk dalam aset perangkat keras atau hardware misalnya : Server, PC, Laptop, media penyimpan data;
Perangkat Jaringan Komunikasi Yang termasuk dalam aset perangkat jaringan komunikasi antara lain : Router, Modem, Switch, Kabel UTP, Kabel serat optic.
Fasilitas Pendukung Yang termasuk dalam aset fasilitas pendukung antara lain Ruang Server / Ruang ata !enter , Ruang Kerja, UPS, Genset, A/C, CCTV, "ire #$tinguisher , Access oor #lectronic, dan sebagainya.
Sumber Daya Manusia Yang termasuk dalam aset sumber daya manusia misalnya karyawan tetap, calon karyawan tetap, karyawan kontrak, mitra, vendor dan pihak ketiga lainnya yang menyediakan layanan, jasa, serta produk yang menunjang bisnis Instansi penyelenggara layanan publik.
* Ke+'$n 4.1. Seluruh inormasi yang disimpan dalam media ditulis, dicetak, dan dikomunikasikan langsung atau melalui teknologi komunikasi harus dilindungi terhadap kemungkinan kerusakan, kesalahan penggunaan secara senga%a atau tidak, dicegah dari akses oleh user yang tidak berwenang dan dari ancaman terhadap kerahasiaan &confdentiality', keutuhan
&integrity' dan ketersediaan &availability'
4.2 (ebi%akan keamanan inormasi harus dikomunikasikan ke
seluruh karyawan dan pihak ketiga terkait melalui media komunikasi yang ada agar dipahami dengan mudah dan dipatuhi) 4.3 *nstansi
penyelenggar layanan publik meningkatkan a
kepedulian &awareness', pengetahuan dan keterampilan tentang keamanan inormasi bagi karyawan)Sosialisasi %uga perlu diberkan kepada vendor, konsultan, mitra, dan pihak ketiga lainnya sepan%ang diperlukan) 4.4 Seluruh kelemahan keamanan inormasi yang berpotensi
atau
telah mengakibatkan gangguan penggunaan +* harus
segera dilaporkan ke penanggung %awab +* terkait) 4.5 Seluruh pimpinan di semua tingkatan bertanggung%awab
men%amin kebi%akan ini diterapkan di seluruh unit ker%a di bawah pengawasannya) 4.6 Seluruh karyawan bertanggung %awab untuk men%aga dan
melindungi keamanan aset inormasi serta mematuhi kebi%akan dan prosedur keamanan inormasi yang telah ditetapkan) 4.7 Setiap pelanggaran terhadap kebi%akan ini yang relevan
dapat dikenai sanksi atau tindakan disiplin sesuai peraturan yang berlaku) 4.8 (ebi%akan yang lebih teknis meru%uk prinsipprinsip yang
ditetapkan dalam kebi%akan ini) 4.9 Setiap pengecualian terhadap kebi%akan ini dan kebi%akan
turunnya harus mendapat persetu%uan minimum dari -ana%er yang berwenang)
3
PEDOMAN PENGENDALIAN HAK AKSES 1 T"$"n -en%amin persyaratan akses kontrol terhadap inormasi dan asilitas sistem inormasi &aplikasi, sistem operasi, internet, email dan akses ruang ata !enter . isaster /ecovery !enter' didefnisikan dengan tepat) 2 R"n& L'n&" Kebijakan ini berlaku untuk: 2.1 Akses lo%ik atau fsik terhadap inormasi dan asilitas sistem
inormasi yang dikelola /S 0(1 -uhammmadiyah 2onosobo dalam menyelenggarakan pelayanan publik) 2.2
(aryawan, kontraktor, vendor, konsultan atau pihak ketiga , lainnya yang memerlukan akses ke sistem inormasi /S 0(1 -uhammmadiyah 2onosobo)
% Ke+'$n A,e, K-n./-# 3.1 Pemberian setiap hak akses, baik lojik maupun fisik (seperti ruang DC/DRC) harus dibatasi berdasarkan tugas pokok dan fungsi (tupoksi) pengguna dan harus disetujui minimum oleh pejabat setingkat manajer unit. 3.2 Tingkatan akses harus diberikan dengan prinsip minimum yang cukup untuk memenuhi kebutuhan pengguna. 3.3 Pemberian hak akses yang tingkatannya tinggi (root, super user atau administrator) hanya diberikan kepada karyawan yang benar-benar kompeten, memiliki pengalaman kerja di bagian TI minimum 3 tahun, dan harus disetujui minimum oleh pejabat setingkat Manajer. 3.4 Hak akses pengguna yang menjalani mutasi atau tidak lagi bekerja di RS PKU Muhammmadiyah Wonosobo harus segera di non-aktifkan maksimum 7 (hari) setelah tanggal yang ditetapkan. 3.5 Hak akses tidak boleh dipinjamkan kepada pengguna lain. 3.6 Seluruh hak akses pengguna akan direview setiap 6 (enam) bulan sekali.
3.7 Tata cara pendaftaran, penutupan dan peninjauan hak akses diatur dalam Prosedur Pengendalian Hak Akses. 3.8 Setiap pengecualian terhadap kebijakan ini hanya dapat dilakukan atas persetujuan pejabat setingkat Manajer. 3.9 Akses Pihak Ketiga a.
Vendor, konsultan, mitra, atau pihak ketiga lainnya yang melakukan akses fisik atau lojik ke dalam aset RS PKU Muhammmadiyah
Wonosobo
harus
menandatangani
Ketentuan/Persyaratan Menjaga Kerahasiaan Informasi. b.
Hak
akses
pihak
ketiga
hanya
diberikan
berdasarkan kepentingan RS PKU Muhammmadiyah Wonosobo yang disahkan melalui kerjasama atau kontrak. c.
Seluruh hak akses pihak ketiga harus dibatasi waktunya, dicatat dan ditinjaupenggunaannya (log).
d.
Seluruh
akses
yang
disediakan
bagi
pelanggan
RS PKU
Muhammmadiyah Wonosobo harus mematuhi kebijakan keamanan informasi. e.
Seluruh koneksi pihak ketiga ke dalam network RS PKU Muhammmadiyah Wonosobo harus dibatasi hanya terhadap host dan/atau aplikasi tertentu yang ditetapkan oleh Satuan Kerja EDP.
3.10 Pengelolaan Password a. 0assword minimum terdiri dari 5 karakter kombinasi angka dan huruf serta tidak boleh menggunakan karakter yangmudah ditebak. b. Pengguna harus mengganti deault password yang diberikan saat pertama kali mendapatkan hak akses. c. 0assword tidak boleh:
diberitahukan kepada orang lain
ditulis di media yang mudah terlihat orang lain
.
d. 0assword diganti secara berkala atau segera diganti bila diduga telah diketahui orang lain. Periode penggantian password:
untuk pengguna biasa
•
&seperti: email,
web,
komputer:minimum setiap 345 hari untuk
pengguna
sistem
&seperti:
root,
admin server.aplikasi': minimum setiap 65 hari e.
Seluruh deault password dan password dari vendor harus diganti segera setelah instalasi selesai atau sistem diserahkan ke RS PKU Muhammmadiyah Wonosobo
f.
Hak akses akan direset atau dinonaktifkan jika tak pernah digunakan
selama
mengaktifkannya
90
hari
kembali,
secara pengguna
berturut-turut. harus
Untuk
mengajukan
pendaftaran kembali sesuai Prosedur Pengendalian Hak Akses.
PEDOMAN PENGGUNAAN SUMBER DAYA INFORMASI 1 T"$"n a. Menetapkan
aturan
umum
penggunaan
sumber
daya
sistem
informasi Di RS PKU Muhammmadiyah Wonosobo b.
Mendorong agar email dan internet dapat semaksimal mungkin digunakan untuk kepentingan RS PKU Muhammmadiyah Wonosobo.
c.
Mencegah menimbulkan
penggunaan
email
dan
internet
agar
tidak
resiko yang merugikan RS PKU Muhammmadiyah
Wonosobo atau menimbulkan gangguan terhadap penyediaan layanan sistem informasi.
2 R"n& L'n&" Kebijakan ini berlaku bagi: 2.1
Karyawan, kontraktor, konsultan, termasuk seluruh personel pihak ketiga yang menggunakan / mengakses sistem informasi PKU Muhammmadiyah Wonosobo
2.2
Seluruh
sumber
daya
sistem
informasi
yang
dimiliki
atau
disewa RS PKU Muhammmadiyah Wonosobo meliputi antara lain: a. Perangkat Komputer/Laptop/Server b. Perangkat Komunikasi c. Aplikasi dan Software lainnya d. Fasilitas Internet dan Email
% Ke+'$n U" 3.1 Penggunaan sumber daya sistem informasi harus dimanfaatkan sebesar- besarnya untuk kepentingan pekerjaan dan kegiatan yang menunjang usaha RS PKU Muhammmadiyah Wonosobo 3.2 Setiap penggunaan komputer harus joint domain selama fasilitas untuk itu telah disediakan. 3.3 Seluruh komputer harus dipastikan terpasang software antivirus terkini.
3.4 Pengguna dilarang meminjamkan User ID dan password miliknya kepada orang lain. Penyalahgunaan User ID menjadi tanggungjawab pemiliknya. 3.5 Pengguna dilarang menggunakan User ID atau fasilitas sistem informasi untuk kegiatan yang dapat menggangggu kinerja jaringan, mengurangi keandalan sistem informasi, atau mengganggu operasional layanan TI. 3.6 Setiap
pengguna
harus
melaporkan
adanya
kelemahan
atau
gangguan sistem informasi, jaringan komunikasi, atau masalah penggunaan TI lainnya ke penanggungjawab terkait. 3.7 Selama
menggunakan
Mobile
Computing(laptop,PC)
di
luar
lokasi RS PKU Muhammmadiyah Wonosobo , pengguna agar menghindari dari melakukan akses jaringan hotspot yang tidak dikenalnya (untrusted network). 3.8 Penanggungjawab hak akses berhak mematikan proses penggunaan sumber daya sistem informasi atau menutup hak akses pengguna yang berpotensi mengganggu atau menurunkan kinerja sistem informasi. 3.9 Setiap pengguna harus mengembalikan sumber daya informasi milik RS PKU Muhammmadiyah Wonosobo yang digunakannya segera setelah penugasannya berakhir, atau sumber daya informasi tersebut tidak lagi digunakan untuk bekerja di RS PKU Muhammmadiyah Wonosobo.
* Pen&&"nn In.e/ne. 4.1 Akses Internet diberikan untuk mendorong karyawan mengakses sumber informasi yang dapat meningkatkan kompetensi dan kinerjanya. 4.2 Pengguna harus sadar bahwa penggunaan Internet mengandung beberapa risiko, antara lain: Pencurian, pengubahan atau penghapusan informasi oleh pihak
yang tidak berwenang Penyusupan (intrusion) oleh pihak luar yang tidak berwenang
ke dalam sistem informasi RS PKU Muhammmadiyah Wonosobo. Terserang virus
4.3 Akses Internet tidak boleh digunakan untuk, antara lain: Mengunjungi
situs
(website)
yang
mengandung
unsur
pornografi, mendorong tindak terorisme / kriminal atau tindakan pelanggaran hukum lainnya. Mengakses Facebook, Twitter, atau situs jejaring sosial sejenis
lainnya. Mengunduh file audio, video, file dengan ekstensi .exe atau .com
atau file executable lainnya kecuali berwenang untuk itu. Mengunduh software yang melanggar ketentuan lisensi / standar
software yang ditetapkan RS PKU Muhammmadiyah Wonosobo..
Pen&&"nn E'# 5.1 Email
harus
digunakan
sebagai
fasilitas pertukaran
informasi
bagi kelancaran tugas dan pekerjaan pengguna bagi kepentingan instansi/lembaga. 5.2 Setiap
pengguna
harus
mematuhi
etika
penggunaan
email
dan bertanggungjawab atas setiap tindakan terkait email. 5.3 Pengguna
dilarang
membaca
email
orang
lain
tanpa
sepengetahuan pemiliknya. 5.4 Pengguna
harus
memastikan
bahwa
lampiran (attachment)
file
yang diterima dari email aman dari kandungan virus. 5.5 Email atau posting pengguna ke suatu newsgroup, chat room (messenger), atau pernyataan
forum
sejenis
lainnya,
bukan
merupakan
resmi RS PKU Muhammmadiyah Wonosobo,
sudah mendapat
kecuali
persetujuan Pejabat yang berwenang.
5.6 Pengguna dilarang menggunakan e-mail untuk, antara lain : Menyebarkan
orang/pihak
fitnah,
menghina
atau
melecehkan
lain, mengandung unsur SARA, menyebarkan iklan
pribadi atau menyebarkan SPAM.
Menyebarkan virus, worm, trojan, Denial of Service (DoS), atau
software sejenis yang dapat mengganggu kinerja email dan jaringan.
6.7 Pencantuman Identiftas Pengirim/Sender a. Gunakan
email
komunikasi
RS PKU Muhammmadiyah Wonosobo
resmi
untuk
yang berhubungan dengan RS PKU
Muhammmadiyah Wonosobo . b. Identitas email pengguna ditetapkan oleh Administrator.
6.8 Lampiran (Attachment) Pengiriman lampiran dalam email dibatasi maksimum 5 MB. Lampiran email yang melebihi 5 MB akan di-disable.
FORMULIR PERMOHONAN DATAINFORMASI
Kepada Yth.
D'/e."/ R"! S'. c/q Manajer Unit Rekam Medik RS PKU Muhammadiyah Wonosobo
Mohon diberikan data/Informasi : 1. …………………………………………………………………… 2. …………………………………………………………………… Untuk Keperluan : 1. ………………………………………………………………….. 2. …………………………………………………………………. Demikian permohonan kami, atas kerjasamanya kami ucapkan banyak terima kasih.
Wonosobo ……………….. !"….. Pemohon
(------------------------------- )
D',e."$"' O#e!3 #. ………………………...
Tanda Tangan$ …………………..
Nama & Jabatan
11
FORMULIR PERMOHONAN HAK AKSES
Kepada Yth.
Mn&e/ Un'. EDP RS PKU Muhammadiyah Wonosobo
Mohon dibuatkan / dirubah password atas nama :
N-
N
B&'n
Ke4enn&n
1. 2. 3. 4. 5. 6. 7. 8. 9. Demikian permohonan kami, atas kerjasamanya kami ucapkan banyak terima kasih.
Wonosobo ……………….. !"….. Pemohon ( ---------------------------------- )
D',e."$"' O#e!3 12
#. ………………………...
Tanda Tangan$ …………………..
13