1. Tujuan
Menetapkan persyaratan untuk penggunaan dan pengendalian media penyimpanan yang dapat dilepas guna mencegah kehilangan data dan masuknya malware di [ORGANIZATION].
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh media penyimpanan yang dapat dilepas termasuk flash drive USB, hard drive eksternal, kartu SD/microSD, media optik (CD/DVD), dan perangkat penyimpanan portabel lainnya yang digunakan dengan aset perusahaan [ORGANIZATION].
3. Kebijakan
3.1 Penggunaan Media yang Dapat Dilepas
Penggunaan media penyimpanan yang dapat dilepas pada aset perusahaan [CUSTOMIZE: dilarang kecuali dengan persetujuan terdokumentasi / dibatasi untuk perangkat terenkripsi yang disediakan organisasi / diizinkan dengan enkripsi wajib].
Jika penggunaan media yang dapat dilepas diotorisasi, hanya perangkat terenkripsi yang disediakan atau disetujui [ORGANIZATION] yang boleh digunakan.
Pengguna tidak boleh menyimpan data Terbatas pada media yang dapat dilepas tanpa persetujuan tertulis eksplisit dari [CUSTOMIZE: CISO/Pemilik Data] dan penggunaan perangkat terenkripsi yang disetujui.
Media yang dapat dilepas yang ditemukan atau tidak dikenal tidak boleh dihubungkan ke aset perusahaan mana pun. Perangkat tersebut harus diserahkan kepada [CUSTOMIZE: Keamanan TI/Meja Bantuan TI].
3.2 Kontrol Teknis
Aset perusahaan harus dikonfigurasi untuk menonaktifkan auto-run dan auto-play untuk seluruh media yang dapat dilepas.
Solusi perlindungan endpoint harus secara otomatis memindai media yang dapat dilepas saat terhubung.
Untuk lingkungan yang memerlukan kontrol ketat: Pemblokiran port USB harus ditegakkan melalui alat manajemen endpoint, dengan pengecualian diberikan hanya melalui [CUSTOMIZE: proses persetujuan Keamanan TI].
Transfer data ke media yang dapat dilepas harus dicatat dan dipantau oleh solusi DLP bila diterapkan.
3.3 Pembuangan
Media yang dapat dilepas yang berisi data [ORGANIZATION] harus dihapus secara aman atau dihancurkan secara fisik ketika tidak lagi diperlukan, mengikuti Kebijakan Retensi dan Pembuangan Data.
Pembuangan media yang dapat dilepas yang berisi data Rahasia atau Terbatas harus didokumentasikan.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen