to select ↑↓ to navigate
Company Playbook

Company Playbook

Company Playbook Data & AI Playbook Delivery Playbook Engineering Playbook Finance Playbook HR Playbook Learning Playbook Marketing Playbook Partnership Playbook Presales Playbook Product Playbook QA & Testing Playbook Sales Playbook Strategy & Advisory Playbook
Edit
Open in ChatGPT
Ask ChatGPT about this page
Open in Claude
Ask Claude about this page

Access Control & Password Policy

Access Control & Password Policy

Kebijakan ini mengatur standar pengelolaan akses dan kata sandi untuk seluruh sistem informasi Divistant. Disusun berdasarkan ISO 27001 Annex A.9 (Access Control), prinsip SOC 2 — CC6 (Logical and Physical Access Controls), dan best practices keamanan siber.

No. Dokumen POL-ITC-009
Versi 2.2
Berlaku sejak 20 Februari 2026
Review berikutnya 20 Agustus 2026
Pemilik Dokumen IT Security
Disetujui oleh Director

Riwayat Revisi

Versi Tanggal Penulis Perubahan
1.0 20 Februari 2026 IT Security Dokumen original
2.0 20 Februari 2026 AI Audit System Standardisasi Document Control section
2.1 21 Februari 2026 AI Audit System Koreksi CIRCCA values (Responsibility → Accountability)
2.2 21 Februari 2026 Andri Divistant Koreksi CIRCCA values

Filosofi CIRCCA

Akses yang tepat ke informasi yang tepat adalah fondasi keamanan dan produktivitas. Dengan semangat Integrity dan Adaptability, kami menerapkan prinsip least privilege — memberikan akses secukupnya untuk menjalankan tugas, tidak lebih.

Ruang Lingkup

Aspek Keterangan
Berlaku untuk Seluruh sistem informasi, aplikasi, dan infrastruktur IT Divistant
Cakupan Manajemen akses, standar password, MFA, session management, privileged access, audit
Pihak terkait Seluruh karyawan, contractor, vendor yang mengakses sistem Divistant

Definisi Istilah

Istilah Definisi
Least Privilege Prinsip pemberian akses minimum yang diperlukan untuk menjalankan tugas
RBAC Role-Based Access Control — pemberian akses berdasarkan peran/jabatan dalam organisasi
MFA Multi-Factor Authentication — autentikasi menggunakan dua atau lebih faktor verifikasi
Privileged Account Akun dengan hak istimewa (admin, root, service account) yang memerlukan kontrol tambahan
Provisioning Proses pemberian akses sistem kepada pengguna baru
Deprovisioning Proses pencabutan seluruh akses sistem saat karyawan offboarding

Pernyataan Kebijakan

Divistant menerapkan kontrol akses berbasis prinsip least privilege dan need-to-know untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem informasi. Seluruh akses dikelola melalui lifecycle yang terstruktur (provisioning, modification, review, deprovisioning) dengan MFA wajib untuk sistem kritis dan audit berkala untuk memastikan kepatuhan.

ACCESS CONTROL & PASSWORD POLICY — PT DIVISTANT TEKNOLOGI INDONESIA LIFECYCLE MANAJEMEN AKSES 1. PROVISIONING New hire request People Ops + IT 2. MODIFICATION Role change request Manager + IT 3. REVIEW Quarterly audit Manager + IT 4. DEPROVISIONING Offboarding revoke 24 jam setelah exit STANDAR PASSWORD Min 12 karakter Huruf besar+kecil+angka+simbol Masa berlaku 90 hari (standar) | 60 hari (admin) Lockout 5x gagal login = terkunci Dilarang: info pribadi | kata umum | reuse 5 terakhir ROLE-BASED ACCESS CONTROL (RBAC) ADMIN Full access MANAGER Data tim + approval STANDARD Operasional harian LIMITED Intern/Contractor GUEST Read-only Prinsip: Least Privilege | Need-to-Know | Separation of Duties | Defense in Depth MFA WAJIB Email (Google Workspace) WAJIB Source Code Repo WAJIB Cloud Infra + VPN WAJIB HR/Payroll System WAJIB Internal tools (non-critical) RECOMMENDED

Prinsip Dasar

Prinsip Penjelasan
Least Privilege Akses diberikan hanya untuk yang diperlukan dalam menjalankan tugas
Need-to-Know Informasi hanya diakses oleh pihak yang membutuhkan
Separation of Duties Tugas kritis dipisahkan antar individu untuk mencegah fraud
Defense in Depth Lapisan keamanan berganda untuk melindungi aset kritis

Standar Password

Aspek Persyaratan
Panjang minimum 12 karakter
Kompleksitas Kombinasi huruf besar, huruf kecil, angka, dan simbol
Password history Tidak boleh menggunakan 5 password terakhir
Masa berlaku Maksimal 90 hari untuk akun standar; 60 hari untuk akun admin
Lockout Akun terkunci setelah 5 kali percobaan login gagal
Recovery Reset melalui IT dengan verifikasi identitas

Password yang Dilarang

Larangan Contoh
Informasi pribadi Nama, tanggal lahir, nomor telepon
Kata umum "password", "123456", "divistant"
Sequential/repetitive "abcdef", "111111", "qwerty"
Password yang sama Menggunakan password yang sama di beberapa sistem

Multi-Factor Authentication (MFA)

Sistem MFA Wajib? Metode
Email perusahaan (Google Workspace) ✅ Wajib Authenticator app atau security key
Source code repository ✅ Wajib Authenticator app
Cloud infrastructure ✅ Wajib Authenticator app atau hardware token
VPN ✅ Wajib Authenticator app
HR/Payroll system ✅ Wajib Authenticator app
Internal tools (non-critical) ⚠️ Recommended Authenticator app
Sistem klien Sesuai kebijakan klien Sesuai requirement klien

Manajemen Akses

Lifecycle Akses

Fase Proses Penanggung Jawab
Provisioning (New hire) Request akses berdasarkan role → approval manager → IT setup People Ops + IT
Modification (Role change) Request perubahan akses → approval manager baru → IT update Manager + IT
Review (Periodic) Quarterly access review — validasi bahwa akses masih sesuai Manager + IT
Deprovisioning (Offboarding) Revoke seluruh akses dalam 24 jam setelah last day People Ops + IT

Role-Based Access Control (RBAC)

Level Akses Deskripsi Contoh Role
Admin Full access ke sistem dan konfigurasi IT Lead, Director
Manager Akses ke data tim dan approval workflow Team Lead, PM
Standard Akses operasional sehari-hari Developer, Consultant
Limited Akses terbatas untuk kebutuhan spesifik Intern, Contractor
Guest Akses read-only atau sangat terbatas External auditor, Visitor

Akses ke Sistem Klien

Aspek Ketentuan
Approval Akses ke sistem klien memerlukan approval Project Manager dan klien
Scope Akses terbatas pada scope pekerjaan yang disepakati
Credential management Gunakan credential terpisah; jangan gunakan akun pribadi
Logging Aktivitas di sistem klien harus traceable
Offboarding Akses dicabut saat project selesai atau karyawan offboarding

Pengelolaan Akun Privileged

Akun dengan hak istimewa (admin, root, service account) memerlukan kontrol tambahan:

Kontrol Detail
Dedicated account Admin menggunakan akun terpisah untuk aktivitas privileged
Stronger password Minimal 16 karakter dengan rotasi 60 hari
MFA wajib Multi-factor authentication tanpa pengecualian
Activity logging Seluruh aktivitas admin di-log dan di-review
Just-in-time access Akses privileged diberikan sementara saat dibutuhkan

Session Management

Aspek Ketentuan
Auto-lock Workstation terkunci otomatis setelah 5 menit idle
Session timeout Sesi web/aplikasi timeout setelah 30 menit idle
Concurrent sessions Batasi concurrent login untuk akun sensitif
Remote logout IT dapat melakukan remote session termination jika diperlukan

Training & Awareness

Aktivitas Frekuensi Sasaran
Access control & password policy onboarding Saat onboarding Karyawan baru
Security awareness training Tahunan Seluruh karyawan
Privileged access management training Semi-annual IT team, admin account holders
Phishing simulation Semi-annual Seluruh karyawan

Audit & Monitoring

Aktivitas Frekuensi Penanggung Jawab
Access rights review Quarterly Manager + IT
Privileged access audit Bulanan IT Lead
Failed login monitoring Real-time (automated) IT
Dormant account review Quarterly (disable setelah 90 hari inactive) IT
Access log review Bulanan (sampling) IT Lead

Pelanggaran

Pelanggaran Konsekuensi
Sharing password Peringatan tertulis; pencabutan akses sementara
Bypass access controls SP; investigasi oleh IT
Unauthorized access ke data SP berat; investigasi; kemungkinan PHK
Membiarkan workstation unlocked dengan data sensitif terbuka Peringatan lisan; edukasi

Pelanggaran ditangani sesuai Disciplinary Policy.

Kebijakan Terkait

Kontak

Pertanyaan tentang akses atau reset password:

email people@divistant.com | BizOps Chat: #it-support

Last updated 3 months ago
Was this helpful?
Thanks!