Kebijakan Penyaringan Keamanan Personel
Kontrol Tata Kelola: Pemeriksaan Latar Belakang Personel
1. Tujuan
Menetapkan persyaratan untuk melakukan pemeriksaan latar belakang dan penyaringan keamanan untuk semua kategori personel yang sepadan dengan sensitivitas aset dan data yang akan mereka akses, termasuk persyaratan untuk penyedia pihak ketiga.
2. Ruang Lingkup
Kebijakan ini berlaku untuk semua karyawan, kontraktor, staf sementara, peserta magang, dan personel penyedia pihak ketiga yang mengakses sistem informasi, data, atau fasilitas [ORGANIZATION].
3. Konten Kebijakan
3.1 Persyaratan Tingkat Penyaringan
[ORGANIZATION] menerapkan pendekatan penyaringan berjenjang berdasarkan sensitivitas peran dan aset yang diakses:
| Tingkat | Peran yang Berlaku | Komponen Penyaringan | Frekuensi Penyaringan Ulang |
|---|---|---|---|
| Tingkat 1 - Standar | Staf umum dengan akses sistem standar | Verifikasi identitas, pemeriksaan latar belakang kriminal, riwayat pekerjaan ([CUSTOMIZE: 5 years] terakhir) | Saat perekrutan; [CUSTOMIZE: every 5 years] |
| Tingkat 2 - Ditingkatkan | Staf TI, pengelola data, supervisor dengan akses yang ditingkatkan | Tingkat 1 ditambah pemeriksaan kredit, verifikasi pendidikan, pemeriksaan referensi profesional | Saat perekrutan; [CUSTOMIZE: every 3 years] |
| Tingkat 3 - Sensitivitas Tinggi | Administrator sistem, tim keamanan, eksekutif, personel dengan akses ke aset kritis | Tingkat 2 ditambah pemeriksaan kriminal yang diperluas (semua yurisdiksi), pemeriksaan diskualifikasi regulasi | Saat perekrutan; [CUSTOMIZE: every 2 years] |
| Tingkat 4 - Kritis | Personel dengan akses root/domain admin, manajemen kunci, atau akses ke data yang sangat dibatasi | Tingkat 3 ditambah [CUSTOMIZE: security clearance verification, additional screening as required] | Saat perekrutan; [CUSTOMIZE: annually] |
3.2 Persyaratan Pra-Keterlibatan
Tidak ada personel yang boleh diberikan akses ke sistem informasi, data, atau fasilitas aman [ORGANIZATION] sampai penyaringan yang diperlukan untuk tingkat yang ditugaskan telah diselesaikan dan diluluskan.
Dalam keadaan luar biasa di mana kebutuhan bisnis memerlukan akses sebelum penyaringan selesai, pengecualian sementara dapat diberikan oleh [CUSTOMIZE: CISO/HR Director] dengan ketentuan berikut: akses dibatasi pada minimum yang diperlukan, individu diawasi, pemantauan yang ditingkatkan diaktifkan, dan penyaringan diselesaikan dalam [CUSTOMIZE: 30 days].
Persetujuan pengecualian harus didokumentasikan dan dipelihara dalam catatan penyaringan.
3.3 Persyaratan Penyedia Pihak Ketiga
Semua kontrak dengan penyedia pihak ketiga yang personelnya akan mengakses aset [ORGANIZATION] harus mencakup persyaratan penyaringan latar belakang yang sepadan dengan tingkat akses.
Penyedia pihak ketiga harus memberikan pernyataan tertulis tentang penyaringan yang telah diselesaikan untuk semua personel yang ditugaskan ke keterlibatan [ORGANIZATION], sebelum akses diberikan.
[CUSTOMIZE: Vendor Management / Procurement] harus memverifikasi kepatuhan penyaringan pihak ketiga selama orientasi dan secara berkala sepanjang masa kontrak.
Standar penyaringan yang diperlukan untuk personel pihak ketiga adalah sama dengan yang berlaku untuk peran [ORGANIZATION] yang setara sebagaimana ditetapkan dalam Persyaratan Tingkat Penyaringan.
3.4 Temuan Merugikan
Temuan penyaringan yang merugikan harus dievaluasi oleh [CUSTOMIZE: HR / Security] secara kasus per kasus dengan mempertimbangkan sifat dan tingkat keparahan temuan, relevansinya dengan peran, waktu yang telah berlalu sejak kejadian, dan keadaan yang meringankan.
Keputusan untuk merekrut, mempertahankan, atau menolak akses berdasarkan temuan merugikan harus didokumentasikan dengan alasan dan disetujui oleh [CUSTOMIZE: HR Director / CISO].
Temuan merugikan yang menghadirkan risiko keamanan yang jelas dan segera harus mengakibatkan penolakan atau penangguhan segera akses sambil menunggu peninjauan.
Personel yang menyadari perubahan status penyaringan mereka sendiri (misalnya, penangkapan, hukuman) harus diwajibkan untuk melaporkan perubahan tersebut ke [CUSTOMIZE: HR / Security] dalam [CUSTOMIZE: 5 business days].
3.5 Catatan dan Privasi
Semua catatan penyaringan harus dipelihara secara aman oleh [CUSTOMIZE: HR Department] dengan akses yang dibatasi pada personel yang berwenang berdasarkan kebutuhan untuk mengetahui.
Kegiatan penyaringan harus mematuhi semua undang-undang dan regulasi privasi yang berlaku di yurisdiksi operasi, termasuk [CUSTOMIZE: applicable privacy regulations].
Individu harus diinformasikan tentang persyaratan penyaringan dan memberikan persetujuan sebelum penyaringan dilakukan.
Catatan penyaringan harus disimpan selama durasi keterlibatan individu ditambah [CUSTOMIZE: 7 years] sesuai jadwal retensi catatan.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen