Arah Kebijakan dan Implementasi

Tata Kelola DatacenterBerdasarkan ISO 27001 Berdasarkan ISO 27001

disampaikan oleh :

Ir. Ronny Primanto Hari, MT

Kepala Dinas Komunikasi dan InformatikaDaerah Istimewa Yogyakarta

Halo!Halo!Dinas Komunikasi dan InformatikaDaerah Istimewa Yogyakarta

Hubungi kami di diskominfo@jogjaprov.go.id

2

1

PengembanganDatacenter Pemda DIY

InfrastrukturDC Pemda DIY

Datacente

Power(100kVA, 3

Phase)

PLN, Genset, UPS

SirkulasiAC Presisi

AC Split

Raised Floor

DRC

Active Passive di Batam dan

Jogja

4

Datacente

r (42m2)

Server

Blade

SAN Storage

Tower

RackNetwork

2 ISP (900 Mbps)

Fiber Optik60 km

Cat6

Software

VMWare

CentOS

Ubuntu

Win Server

● Peta Pembangunan Jaringan Kabel FO Mandiri Pemda DIY Tahun 2013 :

● Gambar infrastruktur pendukung Data Center Pemda DIY :

LayananDC Pemda DIY

Hosting

(6 Host)

Web Hosting (3 VPS)

VPS

9

Datacenter

(6 Host) VPS

(80 VPS)Colocation

(5 unit)

Dedicated Server

Pengamanan DC Pemda DIY1. KEBIJAKAN

a. Pergub Nomor 31 Tahun 2016 tentang SistemManajemen Keamanan Informasi ->

b. Pergub Nomor 2 Tahun 2018 tentang Tata KelolaTeknologi Informasi dan Komunikasi

2. PROSEDUR

a. Pengendalian akses

b. Manajemen Risiko

c. Pengamanan dan Pengelolaan asset

d. Pengamanan Pihak ketiga

e. Pengamanan SDM

f. …

10

4. LOGIC

a. IDS/IPS

b. Firewall

c. Monitoring (Log, Trafik, Uptime)

3. FISIK

a. CCTV

b. Log Book / Buku Tamu

c. Access Door

d. Sensor dan Notifikasi Kondisi DC

e. Penjaga Datacenter

f. Checklist harian

Datacenter

PengembanganDC Pemda DIY

1. Penguatan dan OptimalisasiDRC

11

2. Peningkatan Kapasitas DC

3. Sertifikasi Tier DC

How We Did ….How We Did ….Sistem Manajemen Keamanan Informasi

2

Profil SMKI di Pemda DIY

What had happened was...

2015

Menjadi pilot projectSMKI oleh Kemenkominfobekerjasama dengan JICA

2016

Membuat Pergub SMKI

Mematangkan konsep

2017

Implementasi SMKI

Audit surveillance ISO bekerjasama dengan JICA (Japan International Cooperation Agency)

Implementasi awal SMKI

Mulai aware denganKeamanan Informasi

Mematangkan konsepSMKI

Implementasi SMKI

Sertifikasi ISO 27001

Audit surveillance ISO 27001

14

DasarhukumSMKI di

UU

•UU No 11 Tahun 2008 tentang informasi dan transaksielektronik

PP

•PP No 82 Tahun 2012 tentang Penyelenggara Sistem danTransaksi Elektronik

SMKI di Pemda DIY

15

Permen

•Permenkominfo No. 4 Tahun 2016 tentang SistemManajemen Pengamanan Informasi

Pergub

•Pergub No 31 Tahun 2016 tentang Sistem ManajemenKeamanan Informasi

•Pergub No 2 Tahun 2018 tentang Tata Kelola TeknologiInformasi dan Komunikasi

Aspek Aspek SMKI

16

Konsep PDCA

17

3

Our steps…

Our easy process

first second third last

19

first

Persiapan Implementasi

second

Audit

Sertifikasi

third

Pasca Audit

last

3.1

Persiapan Tahapan SMKI

Actor : Pemda DIY● Komitmen Top Management● Penetapan Tim SMPI● Penetapan Tim SMPI● Penetapan Ruang Lingkup SMPI● Penyiapan Dukungan Anggaran untuk implementasi SMPI

21

3.2

ImplementasiTahapan SMKI

Actor : Pemda DIY + Pendamping SMKI

● Gap Assesment● Pembuatan Dokumen Prosedur dan Kebijakan SMPI● Awareness SMPI● Implementasi Prosedur dan Kebijakan SMPI● Audit Sertifikasi● Manajemen Review● Pendamping SMKI harus sudah terdaftar di Kementerian

Kominfo RI

23

3.3

Audit SertifikasiTahapan SMKI

Actor : Pemda DIY + Badan Sertifikasi

● Audit Sertifikasi dari Badan Sertifikasi :● Stage 1 (Audit Dokumen) ● Stage 2 (Audit Implementasi)● Badan Sertifikasi harus sudah terakreditasi KAN dan

terdaftar di Kementerian Kominfo RI

25

3.4

Pasca Audit Tahapan SMKI

Actor : Pemda DIY

● Menjawab dan Menindaklanjuti temuan audit Sertifikasi● Penyiapan Rencana Kerja SMPI tahun berikutnya

27

Succeed Factor

Komitmen Pemda DIY

Proses yang

terstruktur

Factor

28

SMKIInternalisasi Budaya

Satriya di ASN

Pemda DIY

Manfaat ImplementasiSMKI

Kesadaran terkait pentingnya informasi yang dimiliki beserta potensi ancaman dan cara pengamannya

Perubahan budayakerja ASN Diskominfo

DIY menjadi lebihterukur dan bertumpupada konsep Plan-Do-

Check-Act (PDCA)

Meningkatnyakepercayaan

stakeholder terhadapinformasi yang ditempatkan di

Datacenter Pemda DIY.

29

4

Peraturan Pendukung

Pergub DIY No. 31 Tahun

4.1

Pergub DIY No. 31 Tahun2016Sistem Manajemen Keamanan Informasi

Maksud dan Tujuan

Sebagai pedoman pengelolaanSMKI secara terpadu untuk

Pengelolaan SMKI meliputiinfrastruktur komputer, SMKI secara terpadu untuk

memastikanterjaganya kerahasiaan(confidentiality), keutuhan (integrity),

dan ketersediaan (availability)

infrastruktur komputer, jaringan, sistem

informasi/aplikasi, dansumber daya manusia

32

Ruang LingkupPengamanan Informasi

33

Aset Informasi

• Fisik• Elektronik

Aset PengolahanInformasi

• Peralatanmekanik

• Peralatanelektronik

PenyimpananInformasi

• Elektronik• Non-elektronik

Tugas OPD ● Menunjuk Koordinator Keamanan Teknologi Informasi

● Melakukan proses manajemen resiko

● Menyediakan SDM yang dibutuhkan untuk membentuk, mengimplementasikan, memelihara dan meningkatkan penerapan SMKI secara berkesinambungan

● Menyusun standar dan prosedur pengendalian kegiatan teknologi informasi yang ● Menyusun standar dan prosedur pengendalian kegiatan teknologi informasi yang memenuhi prasyarat keamanan informasi dan untuk mengimplementasikan tindakandalam mengelola risiko

● Memastikan kegiatan operasional Teknologi Informasi yang stabil dan aman

● Menerapkan prinsip pengendalian terhadap aktivitas TI melalui proses evaluasi danmonitoring secara berkala

● Apabila terjadi kebocoran informasi, OPD wajib menyediakan akses kepada auditor independen yang ditunjuk Pemda untuk melakukan pemeriksaan seluruh aspek terkaitpenyelenggaraan TI

34

Pergub DIY No. 2 Tahun

4.2

Pergub DIY No. 2 Tahun2018Tata Kelola Teknologi Informasi dan Komunikasi

Maksud dan TujuanSebagai pedoman bagi OPD dalam

pengelolaan TIK

Mewujudkan keselarasan antara pengelolaan TIK di OPD dengan kebijakan Pemerintah DaerahOPD dengan kebijakan Pemerintah Daerah

Mewujudkan sinkronisasi dan integrase pengelolaan TIK

Memastikan implementasi TIK berjalan dengan baikdan berkelanjutan

Ruang Lingkup

Perencanaan TIK

• Dinas Kominfo menyusun Renstra TIK untuk jangka waktu 5 tahun• Penyusunan Renstra dilakukan dengan melibatkan seluruh OPD• Renstra ditetapkan oleh Gubernur DIY• OPD dapat mengusulkan perubahan Renstra• Renstra yang sudah ditetapkan menjadi dokumen panduan pengembangan TIK di Pemda DIY yang harus

dipatuhi oleh semua OPD

Investasi TIK Pengelolaan Aset TIK Layanan TIKPengelolaanKeamanan

Pengelolaan Risikodan

KeberlangsunganKepatuhan dan

Penilaian Internal

Pelaksanaan TIK

Pemantauan danEvaluasi

Pengelolaan TIK

• Dinas Kominfo melaksanakan pemantauan dan evaluasi terhadap pelaksanaan TIK• Monev dilaksanakan melalui proses audit secara sistematis, objektif dan terdokumentasi

Investasi TIK Pengelolaan Aset TIK Layanan TIK KeamananInformasi

KeberlangsunganBisnis

Penilaian Internal

Matur nuwun!

38

Ada pertanyaan?Hubungi kami di diskominfo@jogjaprov.go.id