Kebijakan Keamanan Fisik
1. Tujuan
Menetapkan persyaratan untuk perlindungan fisik fasilitas, peralatan, dan aset informasi [ORGANIZATION] dari akses fisik yang tidak sah, kerusakan, dan gangguan.
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh fasilitas yang dimiliki, disewa, atau dikelola [ORGANIZATION], pusat data, ruang server, dan lokasi mana pun di mana sistem informasi atau catatan fisik [ORGANIZATION] ditempatkan.
3. Kebijakan
3.1 Kontrol Akses Fasilitas
Akses fisik ke fasilitas [ORGANIZATION] harus dikendalikan melalui: sistem kontrol akses lencana/kartu kunci di seluruh titik masuk, prosedur masuk/keluar pengunjung dengan persyaratan pendampingan untuk area non-publik, dan pengawasan CCTV di pintu masuk, pintu keluar, dan area sensitif dengan rekaman disimpan setidaknya selama [CUSTOMIZE: 30/90] hari.
Area sensitif (pusat data, ruang server, lemari jaringan, kantor eksekutif) harus memiliki pembatasan akses tambahan dengan akses dibatasi untuk personel yang secara khusus diotorisasi.
Lencana/kartu akses harus dinonaktifkan dalam waktu [CUSTOMIZE: 24 jam] setelah pemisahan personel dan dikumpulkan selama proses pelepasan.
Log akses fisik harus ditinjau setidaknya [CUSTOMIZE: bulanan/triwulanan] untuk mengidentifikasi anomali.
3.2 Keamanan Pusat Data dan Ruang Server
Pusat data dan ruang server harus dilindungi dengan: kontrol akses fisik multi-faktor (lencana + PIN atau biometrik), kontrol lingkungan (pemadaman kebakaran, HVAC, deteksi air), catu daya tak terputus (UPS) dan pembangkit listrik cadangan, manajemen kabel untuk mencegah pemutusan yang tidak disengaja, dan kunci rak peralatan untuk server yang berisi data Rahasia atau Terbatas.
Log pengunjung harus dipelihara untuk seluruh akses non-reguler ke pusat data dan ruang server.
Tidak ada makanan, minuman, atau merokok yang diizinkan di pusat data atau ruang server.
3.3 Keamanan Peralatan
Laptop dan perangkat portabel harus diamankan secara fisik ketika tidak dijaga (kunci kabel, laci/lemari terkunci, atau kantor terkunci).
Pembuangan peralatan harus mengikuti Kebijakan Retensi dan Pembuangan Data, dengan media penyimpanan disanitasi atau dihancurkan sebelum peralatan meninggalkan kendali [ORGANIZATION].
Peralatan yang dipindahkan dari lokasi [ORGANIZATION] (untuk perbaikan, pembuangan, atau penugasan ulang) harus diotorisasi oleh [CUSTOMIZE: Manajemen Aset TI/Manajer] dan dicatat.
3.4 Meja Bersih dan Layar Bersih
Dokumen sensitif tidak boleh dibiarkan tanpa pengawasan di atas meja atau di area umum. Kebijakan meja bersih harus dipatuhi di akhir setiap hari kerja.
Layar stasiun kerja harus dikunci ketika pengguna meninggalkan stasiun kerja mereka, dengan kunci layar otomatis dikonfigurasi setelah [CUSTOMIZE: 5/10] menit tidak aktif.
Papan tulis dan layar bersama di ruang rapat harus dihapus setelah diskusi yang melibatkan informasi sensitif.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen