Kebijakan Akses Jarak Jauh
1. Tujuan
Menetapkan persyaratan untuk akses jarak jauh yang aman ke sistem informasi dan sumber daya jaringan [ORGANIZATION] guna melindungi dari akses yang tidak sah sambil mendukung produktivitas bisnis.
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh koneksi akses jarak jauh ke jaringan dan sistem informasi [ORGANIZATION] oleh karyawan, kontraktor, dan pihak ketiga yang diotorisasi.
3. Kebijakan
3.1 Metode Akses Jarak Jauh yang Disetujui
Akses jarak jauh ke jaringan [ORGANIZATION] hanya boleh dilakukan melalui metode yang disetujui: klien VPN yang disediakan [ORGANIZATION] dengan MFA, solusi akses jaringan zero-trust (ZTNA) yang disetujui, infrastruktur desktop virtual (VDI) yang disetujui, atau portal aplikasi cloud yang disetujui dengan MFA.
Koneksi langsung (RDP, SSH, koneksi basis data) ke sistem internal dari internet dilarang tanpa VPN atau gateway aman yang disetujui.
Split tunneling pada koneksi VPN [CUSTOMIZE: dilarang / diizinkan hanya dengan kontrol keamanan DNS dan endpoint yang aktif].
3.2 Persyaratan Perangkat
Perangkat yang digunakan untuk akses jarak jauh harus memenuhi persyaratan keamanan minimum: sistem operasi terkini dan didukung dengan pembaruan otomatis diaktifkan, perlindungan endpoint aktif (antivirus/EDR), firewall berbasis host diaktifkan, enkripsi disk penuh diaktifkan, dan kunci layar dikonfigurasi dengan batas waktu [CUSTOMIZE: 5/10] menit.
Perangkat pribadi (BYOD) yang digunakan untuk akses jarak jauh harus terdaftar dalam solusi manajemen perangkat [ORGANIZATION] dan harus memenuhi persyaratan keamanan yang sama dengan perangkat milik organisasi.
Komputer publik atau bersama tidak boleh digunakan untuk mengakses sistem internal [ORGANIZATION].
3.3 Manajemen Sesi
Sesi akses jarak jauh harus memiliki batas waktu tidak aktif [CUSTOMIZE: 30/60] menit dan durasi sesi maksimum [CUSTOMIZE: 10/12/24] jam.
Pengguna harus mengunci stasiun kerja mereka saat meninggalkan tempat selama sesi jarak jauh.
Aktivitas akses jarak jauh harus dicatat dan dipantau. Pola akses jarak jauh yang tidak normal harus memicu peringatan.
3.4 Akses Jarak Jauh Pihak Ketiga
Akses jarak jauh pihak ketiga harus diotorisasi sebelumnya, dibatasi waktu, dan didokumentasikan dengan: justifikasi bisnis, sistem yang diotorisasi, durasi akses, dan kontak [ORGANIZATION] yang bertanggung jawab.
Akses jarak jauh pihak ketiga harus dipantau secara real-time atau direkam bila secara teknis memungkinkan.
Koneksi akses jarak jauh pihak ketiga yang bersifat tetap (persisten) dilarang kecuali secara khusus disetujui oleh [CUSTOMIZE: CISO] dengan kontrol kompensasi yang didokumentasikan.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen