Post on 21-Jan-2018
Tentang Sistem Manajemen Pengamanan Informasi
Subdit Tata Kelola KI
Direktorat Keamanan Informasi
Serpong, 4 Oktober 2017
1
Jakarta, 20 April 2017
SOSIALISASI PERMENKOMINFO NOMOR 4 TAHUN 2016
TOWARD BETTER AND CLEAN CYBER ENVIRONMENT
Dasar Hukum (2)
UU ITE Pasal 15 ayat (1)
• “Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya”.
PP PSTE
Pasal 19
• “Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik sebagaimanamestinya”
PP PSTE Pasal 20 ayat (2)
• Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian”.
Dasar Hukum (3)
UU ITE
Pasal 20 ayat (3)
• “Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem lektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum atau Instansi Pengawas dan Pengatur Sektor terkait.”
PP PSTE
Pasal 20 ayat (4)
• “Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri”.
Asas dan Ruang Lingkup
Ruang Lingkup:
PSE untuk Pelayanan
Publik
Asas:Risiko
PSE Pelayanan Publik:
1. Instansi Pemerintah
2. Instansi Swasta
Definisi PSE untuk
pelayanan publik
(Pasal 2)
institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya
korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;
lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya
badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara
15
Definisi Instansi Pengawas dan Pengatur
Sektor
Instansi Pengawas dan Pengatur Sektor adalah
instansi yang bertugas mengawasi pelaksanaan tugas
sektor dan mengeluarkan pengaturan terhadap sektor
tersebut
misalnya :
1. Bank Indonesia adalah IPPSbagi sektor transaksipembayaran
2. Kementerian Komunikasidan Informatika adalah IPPSbagi sektor telekomunikasidan TIK
16
Kategorisasi Sistem Elektronik
No SistemElektronik
Penetap Kategori
1 Strategis Menteri + Rekomendasi IPPS
2 Tinggi Menteri
3 Rendah Menteri
Kategorisasi SE berdasarkan 10 kriteria
No Karakteristik SE A=5 B=2 C=1
1 Nilai investasi sistem elektronikyang terpasang
A. > 30 miliar rupiah B. 3 miliar rupiah -30 miliar rupiah
C. <3 miliar rupiah
2 Total anggaran operasionaltahun berjalan yang dialokasikanuntuk pengelolaan SistemElektronik
A. >10 miliar rupiah B. 1 miliar rupiah -10 miliar rupiah
C. <1 miliar rupiah
3 Memiliki kewajiban kepatuhanterhadap peraturan atau standartertentu
A. Peraturan atau standar nasional dan interna-sional
B. Peraturan atau standar nasional
C. Tidak ada peraturan khusus
4 Menggunakan algoritma khususuntuk keamanan informasidalam sistem elektronik
A. Algoritma khusus yang diguna-kan negara
B. Algoritma standar publik
C. Tidak ada algoritma khusus
5 Jumlah pemilik akun yangmenggunakan Sistem Elektronik
A. > 5000 pemilik akun
B. 1000 - 5000 pemilik akun
C. < 1000 pemilik akun
Kriteria Kategorisasi Sistem Elektronik
No Karakteristik SE A=5 B=2 C=1
6 Data Pribadi yang dikelola SistemElektronik
A. Data Pribadi yang memiliki hubungan dengan Data Pribadi lainnya
B. Data Pribadi yang bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha
C. Tidak ada Data Pribadi
7 Tingkat klasifikasi/kekritisan data yang ada dalam Sistem Elektronik
A. Sangat rahasia B. Rahasia dan/ atau terbatas
C. Biasa
8 Tingkat kekritisan proses yang adadalam Sistem Elektronik,
A. Proses yang berisiko meng-ganggu hajat hidup orang banyak dan memberi dampak langsung pada Pelayanan Publik
B. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung
C. Proses yang tidak berdampak bagi kepentingan orang banyak
9 Dampak dari kegagalan SistemElektronik
A. Tidak tersedia-nya Pelayanan Publik berskala nasional atau memba-hayakan pertaha-nan keama-nan negara
B. Tidak tersedianya layanan Publik atau proses penyelengga-raan negara dalam 1 (satu) provinsi atau lebih
C. Tidak tersedianya Pelayanan Publik atau proses penyelenggaraan negara dalam 1 (satu) kabupaten/kota atau lebih
10 Potensi kerugian atau dampak negatif dari insiden ditembusnya Keamanan Informasi Sistem Elektronik
A. Menimbulkan korban jiwa
B. Terbatas pada kerugian finansial
C. Mengakibatkan gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial
Kriteria Kategorisasi Sistem
Elektronik
Kategorisasi Sistem Elektronik
Total Bobot nilai 36-50 16-35 10 – 15
KETENTUAN PENILAIAN
Kategori Sistem Elektronik STRATEGIS TINGGI RENDAH
SE
BANK
UMUM
SE
PEMDA
BEKASI
(PERIZINAN)
SE
TELKOMSEL
SE
RUMAH
SAKIT
SE
HOTEL
SE
ISP ( KECIL DAN
SEDANG)
SE
ATM BERSAMA
(ex: artajasa
SE
LPSE PROVINSI
SE
e-ticketing
garuda
SE
tv kabel
SE
ATC
SE
e-KTP
Nasional
SE
e-KTP
di Kab
SE
websit
e
inform
SE
SPSE
KAB/K
OTA SE IDX
SE
JARDIK
NAS
SE
RTGS
SE
VOUC
HER
LISTRI
37 17 37 18 15 16 37 26 37 34 39 40 22 12 22 40 25 43 36
Manfaat Sertifikasi
Membantu organisasi
terkait dengan kesesuaian terhadap
kebutuhan standar
keamanan informasi yang
sudah best practice
Meningkatkan reputasi positif
organisasi
Meningkatkan kepercayaan masyarakat
terhadap layanan publik
yang diselenggarakan terjamin tingkat
keamanan, kehandalan dan
terpercaya.
Meminimalkan risiko keamanan
informasi melalui proses
manajemen risiko yang
sesuai dengan best practices.
“Information Security is not a cost, but an investment”
Tenaga Ahli Penerapan SMPI
Ketentuan lebih lanjut diatur dengan Peraturan Menteri
TA Internal &
TA Eksternal
Sistem Elektronik Strategis
harus menggunakan Tenaga Ahli yang WNI
Scope/Ruang Lingkup
Sertifikasi
Sistem elektronik yang termasuk
kategori strategis dan tinggi
Berkaitan dengan proses bisnis PSE
Tergantung dengan kebutuhan organisasi (PSE)
dalam hal perlindungan
informasi
Hasil Pendaftaran
SMPI
LS
• BSI Group Indonesia
• TUV Nord Indonesia
• Intertek
Auditor
• AU-1-2016-0001
• AU-1-2017-0002
• AU-1-2017-0003
• AU-1-2017-0004
Tenaga Ahli
• IM-1-2016-0001
• IM-1-2017-0002
• IM-1-2017-0002
Lembaga Konsultan
• Catur Daya Solusi
• LEMTI UI
alamat website: www.smpi.kominfo.go.idUpdate per 3 Oktober 2017
Terima Kasih
Subdit Tata Kelola Keamanan InformasiDirektorat Keamanan InformasiTelp/Fax: 021-3845786email : pancat.setyantana@kominfo.go.id
sistem manajemen pengamanan informasi