1. Tujuan
Menetapkan persyaratan untuk mengelola perubahan pada infrastruktur jaringan [ORGANIZATION] guna mempertahankan stabilitas, keamanan, dan kepatuhan.
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh perubahan pada infrastruktur jaringan termasuk router, switch, firewall, load balancer, titik akses nirkabel, konsentrator VPN, dan konfigurasi jaringan cloud.
3. Kebijakan
3.1 Proses Perubahan
Seluruh perubahan jaringan harus mengikuti proses manajemen perubahan [ORGANIZATION], termasuk: permintaan perubahan terdokumentasi dengan justifikasi bisnis, penilaian dampak dan rencana rollback, persetujuan dari [CUSTOMIZE: Tim Keamanan Jaringan/Dewan Penasihat Perubahan], jendela implementasi terjadwal, dan verifikasi pasca-perubahan.
Perubahan darurat yang melewati proses standar memerlukan persetujuan lisan dari [CUSTOMIZE: CISO/Direktur TI] dan harus didokumentasikan dalam waktu [CUSTOMIZE: 24/48] jam setelah implementasi.
Konfigurasi perangkat jaringan harus dikontrol versinya, dengan kemampuan untuk membandingkan konfigurasi saat ini dengan konfigurasi dasar yang disetujui.
3.2 Standar Konfigurasi
Perangkat jaringan harus dikonfigurasi sesuai dengan standar konfigurasi dasar aman [ORGANIZATION] (berdasarkan CIS Benchmarks atau panduan pengerasan vendor).
Port, protokol, dan layanan yang tidak digunakan harus dinonaktifkan pada seluruh perangkat jaringan.
String komunitas SNMP, jika digunakan, harus menggunakan SNMPv3 dengan autentikasi dan enkripsi. SNMPv1 dan SNMPv2c dilarang.
Manajemen perangkat jaringan harus dilakukan secara eksklusif melalui protokol terenkripsi (SSH, HTTPS). Telnet dan HTTP dilarang.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen