Kebijakan ini merupakan dokumen umbrella yang mengatur kerangka keamanan informasi di Divistant. Seluruh sub-kebijakan keamanan berada di bawah payung kebijakan ini. Disusun berdasarkan ISO 27001:2022 (Information Security Management System) dan prinsip SOC 2 — Trust Services Criteria.
No. Dokumen
POL-LEG-009
Versi
2.1
Berlaku sejak
20 Februari 2026
Review berikutnya
20 Agustus 2026
Pemilik Dokumen
IT Security + Legal
Disetujui oleh
Director
Riwayat Revisi
Versi
Tanggal
Penulis
Perubahan
1.0
20 Februari 2026
IT Security
Dokumen original
2.0
20 Februari 2026
AI Audit System
Standardisasi Document Control section
2.1
21 Februari 2026
AI Audit System
Perbaikan nilai CIRCCA sesuai standar perusahaan
Filosofi CIRCCA
Keamanan informasi adalah tanggung jawab bersama. Dengan semangat Impact dan Courage, kami melindungi aset informasi perusahaan dan klien — memberikan dampak positif dan menjadikan kepercayaan sebagai fondasi setiap engagement.
Ruang Lingkup
Aspek
Keterangan
Berlaku untuk
Seluruh karyawan, kontraktor, vendor, dan pihak ketiga yang mengakses informasi Divistant
Cakupan aset
Data digital, dokumen fisik, sistem informasi, infrastruktur IT, dan intellectual property
Lokasi
Kantor, remote work, customer on-site, dan seluruh environment kerja
Definisi Istilah
Istilah
Definisi
ISMS
Information Security Management System — sistem manajemen keamanan informasi
CIA Triad
Confidentiality, Integrity, Availability — tiga pilar keamanan informasi
Data Breach
Insiden keamanan yang mengakibatkan akses tidak sah terhadap data
Threat
Potensi penyebab insiden yang dapat merugikan organisasi
Vulnerability
Kelemahan pada aset atau kontrol yang dapat dieksploitasi oleh threat
Risk
Kombinasi kemungkinan (likelihood) dan dampak (impact) dari threat yang mengeksploitasi vulnerability
Control
Tindakan yang memodifikasi risiko (kebijakan, prosedur, teknologi)
Pernyataan Kebijakan
Divistant berkomitmen untuk melindungi kerahasiaan, integritas, dan ketersediaan seluruh aset informasi melalui penerapan kontrol keamanan yang proporsional terhadap risiko, sesuai dengan persyaratan hukum, regulasi, dan kontraktual yang berlaku.
Prinsip Keamanan — CIA Triad
Prinsip
Definisi
Implementasi
Confidentiality
Informasi hanya diakses oleh pihak yang berwenang
Klasifikasi data, access control, enkripsi, NDA
Integrity
Informasi akurat, lengkap, dan tidak dimodifikasi tanpa otorisasi
Version control, audit trail, input validation
Availability
Informasi dan sistem tersedia saat dibutuhkan
Backup, redundancy, BCP, monitoring
Klasifikasi Data
Seluruh data di Divistant diklasifikasikan dalam 4 level:
Level
Label
Contoh
Kontrol
Level 4
Strictly Confidential
Data klien sensitif, credentials, financial data
Enkripsi wajib, akses sangat terbatas, audit trail
Level 3
Confidential
Strategi bisnis, data karyawan, kontrak
Akses need-to-know, NDA, enkripsi saat transit
Level 2
Internal
Prosedur internal, meeting notes, project docs
Akses karyawan, tidak boleh dishare ke eksternal tanpa approval
Selalu kunci workstation saat meninggalkan meja (Win+L / Cmd+Ctrl+Q)
Antivirus
Wajib aktif dengan update otomatis
Enkripsi
Full-disk encryption wajib untuk semua perangkat kerja
Updates
Install security patches dalam 7 hari setelah dirilis
Physical security
Jangan tinggalkan perangkat tanpa pengawasan di tempat umum
Keamanan Data
Aturan
Detail
Clean desk
Tidak meninggalkan dokumen sensitif di meja saat pergi
Secure disposal
Shred dokumen fisik sensitif; secure delete file digital
Data transfer
Gunakan channel terenkripsi untuk mengirim data sensitif
Cloud storage
Hanya gunakan platform yang disetujui perusahaan
Keamanan Jaringan
Aturan
Detail
VPN
Wajib saat mengakses sistem internal dari jaringan publik
WiFi publik
Hindari akses data sensitif tanpa VPN
Phishing
Laporkan email mencurigakan; jangan klik link atau buka attachment yang tidak dikenal
Training & Awareness
Aktivitas
Frekuensi
Sasaran
Security onboarding
Setiap karyawan baru
New hires
Annual security awareness
Tahunan
Seluruh karyawan
Phishing simulation
Semi-annual
Seluruh karyawan
Technical security training
Tahunan
Tim IT dan developers
Policy update communication
Saat ada perubahan
Seluruh karyawan
Audit & Compliance
Aktivitas
Frekuensi
Penanggung Jawab
Internal security audit
Tahunan
IT Lead + External (jika tersedia)
Access rights review
Quarterly
IT + Managers
Policy review & update
Tahunan atau saat ada perubahan signifikan
Director + IT Lead
Vendor security assessment
Saat onboarding + tahunan (untuk vendor strategis)
IT Lead
Pelanggaran
Pelanggaran terhadap kebijakan keamanan informasi akan ditangani sesuai severity berdasarkan Disciplinary Policy, dengan konsekuensi mulai dari peringatan lisan hingga pemutusan hubungan kerja dan potensi tuntutan hukum untuk pelanggaran berat.