Tujuan dari kebijakan ini adalah untuk menetapkan kerangka kerja dalam mengelola keamanan informasi di dalam organisasi yang mendukung pengelolaan aplikasi SIMRS dan rekam medik.
Kebijakan ini memastikan kerahasiaan, integritas, dan ketersediaan informasi di seluruh fungsi bisnis, teknologi, dan ketergantungan, serta selaras dengan standar ISO/IEC 27001:2022 Sistem Manajemen Keamanan Informasi.
Kebijakan ini berlaku untuk semua Pegawai Negeri Sipil, Pegawai Pemerintah dan Perjanjian Kerja, Pegawai Honorer, kontraktor, pemagang, dan pihak eksternal yang terlibat dengan aset informasi dan sistem teknologi organisasi.
Lingkup kebijakan ini mencakup namun tidak terbatas pada hal-hal berikut:
Organisasi berkomitmen untuk melindungi aset informasi melalui penerapan yang efektif dari Sistem Manajemen Keamanan Informasi (SMKI) yang memenuhi persyaratan standar ISO/IEC 27001:2022.
Ini mencakup:
Secara umum, setiap proses bisnis akan memiliki tanggung jawab berikut:
Memastikan pembentukan, dukungan, dan komitmen berkelanjutan terhadap SMKI, serta menyediakan sumber daya yang diperlukan untuk implementasi dan pemeliharaannya.
Mengawasi pelaksanaan dan peningkatan berkelanjutan dari SMKI. Memastikan bahwa semua kebijakan, prosedur, dan kontrol keamanan informasi diterapkan dengan efektif serta tujuan keamanan terpenuhi. Melaporkan kinerja SMKI kepada manajemen senior.
Melakukan audit internal secara rutin untuk menilai efektivitas SMKI dan kepatuhannya terhadap ISO/IEC 27001:2022. Mengidentifikasi ketidaksesuaian, area potensial untuk perbaikan, dan memastikan tindakan korektif diambil.
Mengidentifikasi, menilai, dan memantau risiko keamanan informasi. Mengembangkan rencana penanganan risiko dan memastikan kontrol yang tepat diterapkan untuk mengurangi risiko yang teridentifikasi. Melakukan penilaian risiko secara rutin untuk memastikan postur risiko organisasi tetap sesuai.
Mengkoordinasikan respons terhadap insiden keamanan informasi, memastikan identifikasi, penilaian, dan penyelesaian insiden secara tepat waktu. Mengelola proses respon terhadap insiden, termasuk pelaporan dan analisis pasca-insiden untuk mencegah terulangnya insiden.
Bertanggung jawab atas penerapan dan pemeliharaan kontrol keamanan untuk teknologi dan proses dalam area operasinya, memastikan bahwa kebijakan keamanan informasi diikuti serta menerapkan praktik pengembangan perangkat lunak yang aman dan memastikan bahwa semua kegiatan pemeliharaan sistem sesuai dengan kebijakan dan kontrol keamanan.
Bertanggung jawab untuk memastikan penanganan rekam medis yang aman, sesuai dengan kebijakan keamanan informasi, serta melaporkan setiap insiden atau risiko. Menjaga kerahasiaan, integritas, dan ketersediaan informasi pasien serta mematuhi semua peraturan dan pedoman rumah sakit terkait pengelolaan data yang aman.
Memastikan kesadaran dan pelatihan keamanan informasi untuk semua personel. Memeriksa pemasok dan penyedia layanan untuk memastikan bahwa persyaratan keamanan informasi diperhatikan dalam perjanjian dan kontrak.
Harus mematuhi kebijakan ini dan melaporkan setiap insiden keamanan, kerentanan, atau risiko kepada manajer yang sesuai.
Organisasi akan menetapkan tujuan yang terukur untuk:
Pendekatan berbasis risiko akan diterapkan untuk mengidentifikasi, menilai, dan menangani risiko terhadap aset informasi organisasi. Penilaian risiko rutin akan dilakukan untuk memastikan bahwa risiko dikelola dan diminimalkan dengan tepat.
Proses manajemen insiden keamanan informasi akan ditetapkan untuk memastikan bahwa setiap kejadian keamanan diidentifikasi, dinilai, dan dikelola dengan tepat. Semua personel diwajibkan melaporkan insiden keamanan yang dicurigai atau dikonfirmasi ke departemen TIK.
Organisasi akan mematuhi semua persyaratan hukum, peraturan, dan kontrak yang terkait dengan keamanan informasi. Audit dan tinjauan rutin akan dilakukan untuk memastikan kepatuhan terhadap SMKI dan kebijakan ini.
Sistem Manajemen Keamanan Informasi dan kebijakan ini akan ditinjau dan diperbaharui secara terus-menerus berdasarkan kebutuhan bisnis yang berubah, ancaman yang muncul, dan perbaikan yang diidentifikasi melalui audit dan kegiatan pemantauan.
Kebijakan ini akan ditinjau setiap tahun oleh Manajemen Puncak untuk memastikan kesesuaian dan efektivitasnya yang berkelanjutan sesuai dengan tujuan organisasi dan persyaratan ISO/IEC 27001:2022.
Kebijakan Keamanan Informasi ini disetujui oleh Manajemen Senior dan berlaku efektif mulai 1 Oktober 2024.