1. Tujuan
Menetapkan persyaratan untuk mengendalikan dan memantau akses ke sumber daya jaringan [ORGANIZATION] guna mencegah akses yang tidak sah dan pergerakan lateral.
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh metode akses jaringan termasuk kabel, nirkabel, VPN, dan akses jarak jauh ke infrastruktur jaringan [ORGANIZATION].
3. Kebijakan
3.1 Autentikasi Akses Jaringan
Seluruh akses jaringan harus diautentikasi. Akses tanpa autentikasi hanya diizinkan untuk jaringan tamu yang ditunjuk yang sepenuhnya terisolasi dari sumber daya internal.
Kontrol akses jaringan berbasis port (802.1X) harus diterapkan pada seluruh titik akses kabel dan nirkabel bila secara teknis memungkinkan.
Autentikasi jaringan harus terintegrasi dengan sistem manajemen identitas terpusat [ORGANIZATION].
Sertifikat mesin atau verifikasi kepatuhan berbasis agen harus diperlukan untuk akses jaringan penuh ke segmen jaringan internal.
3.2 Akses Jarak Jauh
Akses jarak jauh ke jaringan [ORGANIZATION] hanya boleh melalui VPN yang disetujui atau solusi akses jaringan zero-trust dengan: autentikasi multi-faktor, split-tunnel dinonaktifkan (atau dengan kontrol keamanan yang memadai pada konfigurasi split-tunnel), verifikasi kepatuhan endpoint, dan batas waktu sesi setelah [CUSTOMIZE: 8/12/24] jam tidak aktif.
Akses jarak jauh pihak ketiga harus menggunakan koneksi khusus dengan batas waktu yang dipantau dan dicatat.
Koneksi akses jarak jauh harus diputus segera setelah pemisahan personel.
3.3 Penegakan Segmentasi Jaringan
Akses antara segmen jaringan harus mengikuti prinsip hak istimewa minimum, dengan hanya aliran komunikasi yang diperlukan yang diizinkan.
Mikro-segmentasi atau jaringan yang ditentukan perangkat lunak harus diterapkan untuk aset dan penyimpanan data kritis bila secara teknis memungkinkan.
Kebijakan akses segmen jaringan harus ditinjau setidaknya [CUSTOMIZE: triwulanan/dua kali setahun].
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen