Direktorat Keamanan Informasi Jakarta, 25 Oktober 2017
Jan 21, 2018
Seiring dengan semakin cepatnya perkembanganTIK telah membawa perubahan dari peran efisienke peran strategi. Perubahan peran tersebutterlihat dari fungsi teknologi informasi (TI)sebagai pendorong utama (enabler) dari suatuproses transformasi bisnis yang memberikanimbas penting bagi PSE dalam mencapai misi,visi, dan tujuan strategis.
Pengelolaan Sistem Elektronik yang baik akanmenjamin efisiensi dan pencapaian kualitaslayanan yang baik bagi tujuan bisnis PSE.
Penyusunan RPM ini merupakan pelaksanaanAmanat PP PSTE Pasal 14 ayat (2), Pasal 16 ayat(1), dan Pasal 16 ayat (4)
Meningkatkan
akuntabilitas kerja
dalam hal
pengelolaan SE
Memberikan
pedoman tata kelola
sistem elektronik
Mendapatkan
trust/tingkat
kepercayaan yang
tinggi dari
masyarakat atas
pengelolaan SE
oleh PSE memiliki
manfaat yang luas
PP PSTE Pasal
14 ayat (2)
•Ketentuan
lebih lanjut
mengenai
kebijakan tata
kelola,
prosedur kerja
pengoperasian,
dan
mekanisme
audit diatur
dalam
Peraturan
Menteri
PP PSTE Pasal
16 ayat (1)
•PSE untuk
pelayanan
publik
•wajib
menerapkan
tata kelola
yang baik dan
akuntabel
PP PSTE Pasal 16
ayat (4)
•Ketentuan
lebih lanjut
mengenai
pedoman
TKSE untuk
pelayanan
publik
diatur
dalam
Peraturan
Menteri
Tersedianya prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik yang
didokumentasikan dan/atau diumumkan dengan bahasa, informasi, atau simbol yang
dimengerti oleh pihak yang terkait dengan Penyelenggaraan Sistem Elektronik tersebut
Adanya mekanisme yang berkelanjutan untuk menjaga kebaruan dan kejelasan
prosedur pedoman pelaksanaan
Adanya kelembagaan dan kelengkapan personel pendukung bagi pengoperasian
Sistem Elektronik sebagaimana mestinya
Adanya penerapan manajemen kinerja pada Sistem Elektronik yang diselenggarakannya
untuk memastikan Sistem Elektronik beroperasi sebagaimana mestinya; dan
Adanya rencana menjaga keberlangsungan Penyelenggaraan Sistem Elektronik yang
dikelolanya
PSE harus memiliki
SOP Siklus
Pengelolaan SE
PSE harus mengelola
Daftar Induk SOP ( SOP
pengelolaan dokumen
terkait TKSE dan daftar
induk dokumen terkait
TKSE versi terkini)
Penyusunan SOP
harus sesuai
dengan ketentuan
PerUUan
Disusun dengan format baku, dilengkapi
dengan alur dan menggunakan bahasa
indonesia
Disosialisasikan melalui pendidikan,
pelatihan atau bimbingan teknis
Dievaluasi kesesuaian prosedur sesuai
dengan kondisi dan kebutuhan
Penyelenggara Sistem Elektronik
•PSE & Pengguna SE
•PSE dan Pihak Ketiga
PSE wajib menjamin
tersedianya
perjanjian tingkat
layanan antara:
•Strategis
•Tinggi
•Rendah
SLA dilakukan
berdasarkan
kategorisasi SE
berbasis risiko
Deskripsi dan
Ruang Lingkup
Layanan;
Persyaratan dan
Mekanisme
layanan;
Waktu dan Biaya
Layanan;
Tingkat Layanan;
Tingkat
Ketersediaan
Layanan;
Kinerja Layanan;
Keberlangsungan
Layanan;
Keamanan;Dukungan
Pelanggan;
Detail Kontak
Pihak terkait dan
Eskalasi;
Manajemen
Perubahan;
Pihak yang
bertanggung
jawab; dan
Laporan dan Hasil
Review Layanan.
Deskripsi dan
Ruang
Lingkup
Layanan;
Persyaratan
dan
Mekanisme
layanan;
Waktu dan
Biaya Layanan;
dan
Tingkat
Layanan.
menjamin penerapan
sistem manajemen
keamanan informasi
menjamin
perlindungan data
pribadi yang dikelola
Penanggung jawab TKSE
harus melakukan evaluasi
secara periodik dan
berkelanjutan atas
prosedur pedoman
pelaksanaan.
Evaluasi
dilakukan
dengan tujuan
untuk perbaikan
berkelanjutan.
Hasil evaluasi
harus diterapkan
dalam pembaruan
prosedur
pedoman
pelaksanaan.
Hasil audit dan kajian tata
kelola Sistem Elektronik
Umpan balik dari pihak
yang berkepentingan
Teknik, produk atau prosedur,
yang dapat digunakan dalam
Penyelenggara Sistem Elektronik
untuk meningkatkan kinerja dan
keefektifan tata kelola Sistem
Elektronik
Status tindakan korektif
dan tindakan pencegahan
Kelemahan atau ancamam
yang tidak ditangani
secara memadai dalam
asesmen risiko
sebelumnya
Hasil dari pengukuran
keefektifan
Tindak lanjut dari tinjauan
manajemen sebelumnya
Setiap perubahan yang
dapat mempengaruhi Tata
Kelola Sistem Elektronik;
dan
Rekomendasi untuk
peningkatan.
menyusun kelembagaan dan
struktur organisasi pengelola SE
menyusun pembagian tugas dan
fungsi organisasi pengelola SE
memiliki paling sedikit 1 (satu)
orang penanggung jawab pengelola
operasional penyelenggaraan SE
Pimpinan Tertinggi
• pemegang
akuntabilitas
TKSE
Komite
Pengarah SE
• penanggung
jawab TKSE
Susunan Komite
Pengarah SE
•Perwakilan dari
pemilik Sistem
Elektronik;
•Perwakilan dari
pengelola Sistem
Elektronik; dan
•Perwakilan dari
pengguna Sistem
Elektronik
Satu penanggungjawab keseluruhan tata laksana SE
Penetapan
indikator kinerja
penyelenggaraan
Sistem
Elektronik
Pengukuran
indikator kinerja
penyelenggaraan
Sistem
Elektronik
Pemantauan
terhadap
indikator kinerja
penyelenggaraan
Sistem
Elektronik
Pelaporan
kinerja
penyelenggaraan
Sistem
Elektronik
Pelaporan kinerja
penyelenggaraan
Sistem Elektronik
min 2 x setahun
PJ TATA
LAKSANA
SE
Evaluasi kinerja
penyelenggaraan
Sistem Elektronik
KOMITE
PENGARAH
SE
Menerima hasil
evaluasi kinerja
penyelenggaraan
Sistem Elektronik
PIMPINAN
TERTINGGI
INSTANSI
SE
PSE wajib menjamin setiap
komponen dan keterpaduan
seluruh Sistem Elektronik
beroperasi sebagaimana
mestinya
Keterpaduan seluruh sistem
elektronik dengan menyusun
standar interoperabilitas
kemampuan
saling
berkolaborasi;
keterpaduan
proses bisnis;
pertukaran
data dan
informasi; dan
keterpaduan
aspek teknis.
Aset Informasi yang
masuk dalam perjanjian;
Definisi Keamanan
informasi yang masuk
dalam perjanjian;
Tanggung jawab
pengamanan informasi;
Pelaporan insiden
keamanan informasi; dan
Hak untuk melakukan
audit keamanan
informasi
PSE untuk pelayanan
publik harus menerapkan
manajemen
keberlangsungan
Penyelenggaraan Sistem
Elektronik.
Prosedur/Rencana
Darurat,
•dilakukan saat
terjadi kondisi
darurat untuk
menjamin
keberlangsungan
kegiatan
Prosedur/Rencana
Pemulihan,
•dilakukan setelah
terjadinya
gangguan dan
bencana untuk
mengembalikan
kepada kondisi
semula
Prosedur/Rencana
Pelatihan;dan
•dilakukan
pelatihan
terhadap rencana
keberlangsungan
kegiatan yang
dilakukan
minimal 1 (satu)
kali dalam
setahun
Prosedur/Rencana
Pengujian.
•untuk berbagai
kemungkinan
gangguan dan
bencana
(simulasi) yang
dilakukan
minimal 1 (satu)
kali dalam
setahun
Identifikasi
kerusakan atau
kerugian yang
ditimbulkan
Analisis tingkat
kerusakan atau
kerugian yang
ditimbulkan
Evaluasi tingkat
kerusakan atau
kerugian yang
ditimbulkan
Tindak lanjut
terhadap
kerusakan atau
kerugian yang
ditimbulkan
Pemenuhan persyaratan harus
merupakan bagian dari kegiatan utama
TKSE yang meliputi: mengevaluasi,
mengarahkan, dan memantau
Penerapan kegiatan utama sesuai
dengan Standar SNI ISO/IEC 38500 versi
terkini
Pimpinan dan pegawai di lingkungan
Penyelenggara Sistem Elektronik harus
memahami dan menerima tanggung jawab
dalam hal penyediaan dan permintaan atas
pemanfaatan Sistem Elektronik, serta
melakukan berbagai tindakan terkait
tanggung jawab tersebut.
Strategi pencapaian sasaran Penyelenggara
Sistem Elektronik harus memperhitungkan
kemampuan Sistem Elektronik saat ini dan di
masa depan dengan menyusun rencana
pemanfaatan Sistem Elektronik untuk
memenuhi kebutuhan saat ini dan secara
berkelanjutan sesuai strategi bisnis
Penyelenggara Sistem Elektronik.
Akuisisi Sistem Elektronik dibuat berdasarkan
alasan yang valid, melalui analisis yang tepat
dan secara berkelanjutan, dengan
pengambilan keputusan yang jelas dan
transparan dan adanya keseimbangan antara
manfaat, peluang, biaya, dan risiko, baik
dalam jangka pendek maupun jangka
panjang.
Sistem Elektronik digunakan untuk
mendukung organisasi, menyediakan
layanan, dengan tingkat layanan dan kualitas
layanan yang diperlukan untuk memenuhi
persyaratan bisnis saat ini dan di masa
depan.
Pemanfaatan Sistem Elektronik harus
mematuhi semua peraturan perundangan
yang wajib sehingga kebijakan dan praktik
dengan jelas didefinisikan, dilaksanakan, dan
ditegakkan.
Kebijakan, praktik, dan keputusan Sistem
Elektronik memperhatikan perilaku manusia,
termasuk kebutuhan saat ini dan
perkembangannya dari semua orang yang
terkait dalam proses.
Tenaga Ahli Penerapan TKSE
Ketentuan lebih lanjut diatur dengan Peraturan Menteri
TA Internal &
TA Eksternal
Sistem Elektronik Strategis
harus menggunakan Tenaga Ahli yang
WNI
•wajib menjalani asesmen
TKSE 1 x setahunPSE-SES
•wajib menjalani asesmen
TKSE 2 x setahunPSE-SET
•Dapat menjalani asesmen
TKSE PSE-SER
Asesmen TKSE
ditujukan terhadap
keseluruhan
persyaratan TKSE
dengan
menggunakan
mekanisme PASS &
FAIL
Pelaksanaan
asesmen TKSE
merupakan bagian
dari sertifikasi
kelaikan Sistem
Elektronik.
Pelaksanaan
asesmen TKSE
dibuat sesuai
format 1
berdasarkan
penilaian pada
Lampiran I
Asesmen Surveillance wajib
dilakukan paling sedikit 1 (satu) kali
dalam 1 (satu) tahun terhadap
penerapan standar nasional
dan/atau internasional di bidang
tata kelola teknologi informasi.
Asesmen Surveillance Elektronik
mengacu pada tingkat kapabilitas
dalam SNI ISO/IEC 33001 versi
terkini di bidang penilaian proses
teknologi informasi.
Asesor TKSE
Ketentuan lebih lanjut diatur dengan Peraturan Menteri
Asesmen TKSE dilakukan oleh
Asesor yang diakui oleh Menteri
Sistem Elektronik Strategis
harus menggunakan Tenaga Ahli yang
WNI
PSE wajib menyerahkan laporan hasil
asesmen TKSE secara tertulis kepada
Direktur Jenderal
Laporan wajib diserahkan paling lambat
7 (tujuh) hari kerja setelah masa periode
asesmen berakhir
Laporan paling sedikit memuat:
a. Hasil asesmen TKSE; dan
b. Ringkasan eksekutif.
Tingkat 0 (Nihil)
•proses TKSE
belum
dilaksanakan
dan/atau tidak
ada
dokumentasi
pelaksanaannya
Tingkat 1
(Terlaksana)
•proses TKSE
telah terlaksana
dan sasarannya
terkadang tidak
tercapai.
Tingkat 2
(Teratur)
•proses TKSE
telah mencapai
tingkat 1
(Terlaksana) dan
dilaksanakan
dengan
terencana,
terkontrol dan
teratur serta
capaian
sasarannya
dapat dipelihara
konsistensinya
Tingkat 3
(Terkendali)
•proses TKSE
telah mencapai
tingkat 2
(Teratur)dan
dijadikan
sebagai standar
dan/atau acuan
bagi seluruh
unit dalam
organisasi
Tingkat 4
(Terukur)
•proses TKSE
telah mencapai
tingkat 3
(Terkendali) dan
pelaksanaannya
dikendalikan
dengan
menggunakan
metode
kuantitatif untuk
mengukur
kinerjanya.
Tingkat 5
(Optimal)
•proses TKSE
telah mencapai
tingkat 4
(terukur)) dan
dilaksanakan
perbaikan secara
terus menerus
Pembinaan & Pengawasan
Menteri
melakukan
pembinaan dan
pengawasan
penyelenggaraan
TKSE terhadap
PSE.
Menteri
memberikan
wewenang untuk
melakukan
pengawasan
kepada Direktur
Jenderal.
Pengawasan
dilakukan
melalui
pemantauan,
pengendalian,
pemeriksaan,
penelusuran,
dan
pengamanan.
Pengawasan
Intensif
PSE dengan
kapabilitas
Tingkat 0
(Nihil)
Pengawasan
khusus
PSE dengan
kapabilitas
Tingkat 1
(Terlaksana)
atau Tingkat 2
(Teratur).
Pembinaan
PSE dengan
kapabilitas
Tingkat 3
(Terkendali),
Tingkat 4
(Terukur), atau
Tingkat 5
(Optimal)
PSE wajib menjalani asesmen TKSE dalamjangka waktu paling lambat 2 (dua) tahunsejak berlakunya Peraturan Menteri .