formulir pengendalian surat - masukportal.plnkaltimra.co.id/portal/sk/sk 026.k.2011.pdf · (2)....
TRANSCRIPT
FORMULIR PENGENDALIAN SURAT - MASUK
PT PLN (Persero)
KANTOR WILAYAH KALTIM
Kode Masalah : 060
No.Agenda 285/060/WKT/2011
Tanggal 07 Februari 2011
No. Surat 026.K/DIR/2011
Tanggal 21 Januari 2011
Dari PLN PUSAT - SETIO ANGGORO DEWO
Kepada PLN WILAYAH KALTIM
Perihal
PENGAMANANAN SISTEM TEKNOLOGI INFORMASI DI
LINGKUNGAN PT PLN (PERSERO)
Lampiran
Indeks :
Kode Tunjuk Silang :
Jadwal Retensi : 1 tahun
Pengendalian P e n g o l a h a n
Diteruskan
Kepada : Tanggal :
Catatan :
1. Jika surat ini selesai diproses, harap dikembalikan kepada Unit Tata Usaha2. Jika mengenai rahasia Perusahaan/Negara, berusaha dan bantulah untuk tetap memegang rahasia tersebut.
Tanggal :
Kembali ke Unit Tata Usaha
:
:
:
:
:
:
:
:
1. GENERAL MANAGER
2. KAI
3. MANBID TEKNIK
4. MANBID PERENCANAAN
5. MANBID NIAGA & PP
6. MANBID KEUANGAN7. MANBID SDM & KHA
8. P2K LISDES
9.
10.
11.
12.
07/02/2011
Disposisi
13.
14.
15.
16.
Nama File Arsip16966:
PT PLN (PERSERO)
KEPUTUSAN DIREKSI PT PLN (PERSERO)
NOMOR : 026 .K/DIR/2011
TENTANG
PENGAMANAN SISTEM TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN ( PERSERO)
DIREKSI PT PLN (PERSERO)
Menimbang a. bahwa dalam rangka meningkatkan produktivitas pekerjaan di lingkungan PTPLN (Persero) dan dalam mewujudkan rencana kerja yang berpedoman padaprinsip Good Coorporate Governance, maka perlu didukung dengankemajuan Teknologi Informasi;
b. bahwa untuk mendukung pelaksanaan pekerjaan agar lebih efisien, PT PLN(Persero) telah melengkapi kebutuhan pegawai dengan memberikan fasilitasTeknologi Informasi;
c. bahwa untuk melaksanakan kegiatan dengan menggunakan fasilitasTeknologi Informasi, dipandang perlu dilakukan pengamanan SistemTeknologi Informasi di Lingkungan PT PLN (Persero);
d. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, bdan c di atas, perlu menetapkan Keputusan Direksi PT PLN (Persero) tentangPengamanan Sistem Teknologi Informasi di Lingkungan PT PLN (Persero).
Mengingat 1. Undang-undang RI Nomor 19 Tahun 2003 tentang Badan Usaha MilikNegara;
2. Undang-undang RI Nomor 40 Tahun 2007 tentang Perseroan Terbatas;
3. Undang-Undang RI Nomor 11 Tahun 2008 tentang Informasi dan TransaksiElektronik;
4. Undang-Undang RI Nomor 30 Tahun 2009 tentang Ketenagalistrikan;
5. Peraturan Pemerintah RI Nomor 10 Tahun 1989 tentang Penyediaan danPemanfaatan Tenaga Listrik sebagaimana telah diubah dengan PeraturanPemerintah RI Nomor 3 Tahun 2005 dan Peraturan Pemerintah RI Nomor 26Tahun 2006;
6. Peraturan Pemerintah RI Nomor 23 Tahun 1994 tentang Pengalihan BentukPerusahaan Umum (Perum) Listrik Negara menjadi perusahaan Perseroan(Persero);
7. Peraturan Pemerintah RI Nomor 45 Tahun 2005 tentang Pendirian,
9.
Pengurusan, Pengawasan dan Pembubaran Badan Usaha Milik Negara;
Anggaran Dasar PT PLN (Persero);
Keputusan Menteri Negara Badan Usaha Milik Negara Nomor KEP-58/MBU/2008 jo Keputusan Menteri Badan Usaha Milik Negara Nomor KEP-252/MBU/2009 tentang Pemberhentian dan Pengangkatan Anggota-AnggotaDlreksi Perusahaan Perseroan (Persero) PT Perusahaan Listrik Negara;
10. Keputusan ...
10. Keputusan Direksi PT PLN (Persero) Nomor 001.K/030/DIR/1994 tentangPemberlakuan Peraturan Sehubungan Dengan Pengalihan Bentuk HukumPerusahaan;
11. Keputusan Direksi PT PLN (Persero) Nomor 304.K/DIR/2009 tentangBatasan Kewenangan Pengambilan Keputusan di Lingkungan PT PLN(Persero);
12. Keputusan Direksi PT PLN (Persero) Nomor 017.K/DIR/2010 tentangOrganisasi dan Tata Kerja PT PLN (Persero) sebagaimana telah diubahdengan Keputusan Direksi PT PLN (Persero) Nomor 055.K/DIR/2010;
13. Keputusan Direksi PT PLN (Persero) Nomor 529.K/DIR/2010 tentangPedoman dan Kebijakan Umum Tata Kelola Teknologi Informasi diLingkungan PT PLN (Persero).
MEMUTUSKAN:
Menetapkan KEPUTUSAN DIREKSI PT PLN (PERSERO) TENTANG PENGAMANAN SISTEMTEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN (PERSERO).
BABI
KETENTUAN UMUM
Pasal 1Defenisi
Dalam Keputusan ini yang dimaksud dengan :
1. Perseroan adalah PT (Persero) Perusahaan Listrik Negara;
2. Direksi adalah Direksi Perseroan;
3. Manajemen adalah Organ Perseroan yang bertanggung jawab atas pengelolaan Unit Bisnis atauOrgan Perseroan satu tingkat di bawah Direksi;
4. Unit Bisnis adalah Unit Organisasi satu tingkat di bawah Kantor Pusat yang melaksanakan kegiatanusaha tertentu sesuai dengan tujuan dan kegiatan usaha Perseroan yang terdiri dari Unit BisnisPenyedia Tenaga Listrik dan Unit Bisnis Penunjang Tenaga Listrik;
5. Manajemen Unit Bisnis adalah Organ Perseroan yang bertanggung jawab atas pengelolaan UnitBisnis sesuai dengan maksud dan tujuan Unit Bisnis;
6. Stakeholder adalah pihak-pihak yang berkepentingan dengan Perseroan;
7. Data adalah suatu objek, kejadian atau fakta tentang Perseroan atau Stakeholder yangterdokumentasikan dengan memiliki pengodean terstruktur;
8. Informasi adalah hasil pengolahan Data Perseroan dengan menggunakan Teknologi Informasi milikatau disewa oleh Perseroan;
9. Teknologi Informasi adalah teknologi yang digunakan dalam proses kegiatan usaha Perseroanuntuk mencatat, menyimpan, mengolah, mengambil kembali, mengirim atau menerima Informasiyang berkaitan dengan Perseroan ataupun Stakeholder guna mencapai maksud dan tujuanPerseroan;
10. Sistem Teknologi Informasi adalah sistem yang terdiri dari sumber daya Teknologi Informasi yangmelakukan pengumpulan, proses dan penyimpanan data serta menghasilkan informasi yangberguna bagi kelangsungan bisnis Perseroan;
11. Aplikasi adalah software milik atau disewa oleh Perseroan yang digunakan dalam proses kegiatanusaha Perseroan;
12. Infrastruktur ...
12. Infrastruktur Teknologi Informasi adalah sarana Teknologi Informasi milik atau disewa olehPerseroan yang digunakan dalam proses kegiatan usaha Perseroan;
13. Aset Teknologi Informasi adalah semua perangkat keras, data/informasi dan Sistem TeknologiInformasi milik Perseroan yang digunakan dalam aktivitas operasional Perseroan;
14. Penyelenggara Teknologi Informasi adalah organisasi di dalam Perseroan yang bertanggung jawabterhadap penyelarasan pengelolaan Teknologi Informasi dengan kebutuhan Perseroan gunamenjamin keberhasilan usaha dan akuntabilitas Perseroan;
15. Pengguna Akhir adalah karyawan tetap atau karyawan tidak tetap dan pihak lain yang dalampekerjaannya berhubungan dengan Perseroan dan diberikan akses terhadap fasilitas TeknologiInformasi milik atau disewa oleh Perseroan sebagai sarana bekerja;
16. Rencana Strategis Teknologi Informasi adalah dokumen yang menggambarkan visi dan misiTeknologi Informasi Perseroan, strategi yang mendukung visi dan misi tersebut dan prinsip-prinsiputama yang menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhanbisnis dan mendukung rencana strategis jangka panjang Perseroan.
17. Pemilik Proses Bisnis adalah Organ Perseroan yang bertanggungjawab terhadap unjuk kerjaproses dalam mewujudkan tujuan Perseroan yang diukur dengan indikator unjuk kerja danberwenang untuk mengubah proses bila diperlukan.
18. Insiden Keamanan Sistem Informasi adalah suatu kejadian yang tidak diinginkan atau tidakdiharapkan yang dapat mengancam keamanan Sistem Teknologi Informasi;
19. Malicious codes adalah semua macam program, makro atau script yang dapat dieksekusi dandibuat dengan tujuan untuk melakukan akses tidak sah, mengganggu atau merusak sistemTeknologi Informasi Perseroan;
20. Mobile Computing adalah metode akses Layanan Teknologi Informasi dari lokasi tidak tetapmenggunakan komputer portabel/perangkat komunikasi seperti laptop, notebook, ponsel, PDA dll;
21. Teleworking adalah metode akses Layanan Teknologi Informasi dari lokasi yang berada di luarlingkungan Perseroan
22. Kriptographi adalah disiplin yang mencakup prinsip-prinsip, sarana dan metode untuk transformasidata dalam rangka untuk menyembunyikan isi data, mencegah penggunaan data yang tidak sahatau mencegah modifikasi yang tidak terdeteksi terhadap data;
23. Proses Enkripsi Kriptographi adalah sebuah proses yang mentransformasikan data/informasidengan menggunakan metode tertentu sehingga data/informasi tidak dapat dibaca/dimengerti olehpihak lain selain pihak yang memiliki pengetahuan atau kunci tertentu;
24. Proses disposal adalah proses penghapusan aset Teknologi Informasi dari daftar aset milikPerseroan sehingga aset tersebut tidak lagi dimiliki dan dikelola oleh Perseroan.
Pasal 2Maksud dan Tujuan
Maksud ditetapkannya Keputusan ini adalah :
a. Agar Seluruh kegiatan pengelolaan Teknologi Informasi dan penggunaan Fasilitas TeknologiInformasi mempertimbangkan Pengamanan Sistem Teknologi Informasi dengan prinsipmenjaga kerahasiaan, integritas dan ketersediaan Informasi sehingga ukuran-ukurankeamanannya sejalan dengan rencana kesinambungan bisnis (Business Continuity Planning)Perseroan.
b. Sebagai pedoman Penyelenggara Teknologi Informasi dalam menyusun dan menetapkanprosedur operasional.
(2). Tujuan ditetapkannya Keputusan ini adalah :
a. Melindungi sumber daya Teknologi Informasi Perseroan terhadap penggunaan, penyebaran,perusakan dan perubahan oleh pihak yang tidak bertanggung jawab.
b. Memberikan aturan tentang pengelolaan Pengamanan Sistem Teknologi Informasi Perseroanyang sesuai dengan peraturan dan hukum yang berlaku.
c. Memberi..
c. Memberi arah yang jelas bagi pelaksanaan pengelolaan Pengamanan Sistem TeknologiInformasi Perseroan agar sesuai dengan kebutuhan bisnis, peraturan dan hukum yangberlaku.
Pasal 3Ruang Lingkup Pengamanan Sistem Teknologi Informasi
Pengamanan Sistem Teknologi Informasi ini berlaku secara menyeluruh di lingkungan Perseroan danpihak eksternal yang melakukan akses terhadap Sistem Teknologi Informasi Perseroan.
BAB II
KEBIJAKAN UMUM
Pasal 4Komitmen Direksi
Informasi, sistem pengolahan Data dan Informasi, jaringan dan sarana penunjang merupakansumber daya Teknologi Informasi yang sangat penting bagi Perseroan.
(2). Direksi mendukung penerapan, pengelolaan dan pengembangan Pengamanan Sistem TeknologiInformasi Perseroan untuk :
a. Melindungi sumber daya Teknologi Informasi Perseroan dari berbagai ancaman yang dapatmengganggu kelangsungan bisnis Perseroan;
b. Memberikan perlindungan terhadap sumber daya Teknologi Informasi Perseroan sesuaidengan tingkat kerahasiaan dan nilainya bagi Perseroan;
c. Meningkatkan kepatuhan terhadap peraturan perundangan yang berlaku denganmemperhatikan kelangsungan bisnis Perseroan;
d. Pengelolaan risiko penyelenggaraan Teknologi Informasi.
Direksi mendukung pengalokasian sumber daya Perseroan dalam rangka penerapan, pengelolaandan pengembangan Pengamanan Sistem Teknologi Informasi Perseroan.
Pasal 5Kerangka Kerja Pengamanan Sistem Teknologi Informasi
Perseroan melalui Komite Teknologi Informasi menetapkan standard Pengamanan SistemTeknologi Informasi dengan prinsip menjaga kerahasiaan, integritas dan ketersediaan TeknologiInformasi sehingga ukuran-ukuran keamanannya sejalan dengan :
a. Rencana Kesinambungan Bisnis (Business Continuity Plan);b. Kepatuhan terhadap peraturan dan hukum yang berlaku;c. Pengelolaan risiko penyelenggaraan Teknologi Informasi.
(2). Ukuran ketersediaan Teknologi Informasi ditetapkan dalam suatu standard unjuk kerja layananyang sejalan dengan Rencana Kesinambungan Bisnis (Business Continuity Plan).
(3). Pengembangan Pengamanan Sistem Teknologi Informasi Perseroan dilakukan melalui evaluasisecara berkala oleh Komite Teknologi Informasi, pengembangan kompetensi serta pengembangankebijakan-kebijakan lainnya.
(4). Pengelolaan Pengamanan Sistem Teknologi Informasi harus didefinisikan dalam proseduroperasional yang disahkan oleh Manajemen.
(5). Penyelenggara Teknologi Informasi bertanggung jawab terhadap Pengamanan Sistem TeknologiInformasi dan mengkoordinasikan kegiatan pengelolaan Pengamanan Sistem Teknologi Informasidengan pihak-pihak yang terkait.
(6). Penyelenggara Teknologi Informasi berkewajiban untuk menyiapkan Sumber Daya Manusia yangbertanggung jawab terhadap pengembangan, implementasi, monitoring dan evaluasi PengamananSistem Teknologi Informasi Perseroan.
(7). Dalam ...
Dalam hal terjadi kondisi tertentu yang memerlukan bantuan dari pihak di luar Perseroan (Polisi,Pemadam Kebakaran, dsb), maka hal tersebut hanya dapat dilakukan oleh Penanggung JawabPengamanan Sistem Teknologi Informasi setelah mendapat persetujuan dari Manajemen.
(8). Penyelenggara Teknologi Informasi berkewajiban merintis atau memelihara komunikasi denganpihak-pihak yang berkompeten dengan Pengamanan Sistem Teknologi Informasi dan menjadianggota asosiasi atau forum Pengamanan Sistem Teknologi Informasi untuk mendukungpengembangan Pengamanan Sistem Teknologi Informasi.
(9). Penyelenggara Teknologi Informasi wajib mengkomunikasikan semua Prosedur dan KebijakanPengamanan Sistem Teknologi Informasi secara jelas sehingga dipahami dan diterima oleh semuaStakeholder.
(10). Ketentuan Pengamanan Sistem Teknologi Informasi akan ditinjau ulang secara berkala atau dapatdilakukan perubahan sesuai dengan kebutuhan bisnis Perseroan.
BAB III
PENGELOLAAN ASET
Pasal 6Inventarisasi Aset Teknologi Informasi
Penyelenggara Teknologi Informasi berkewajiban melakukan identifikasi yang jelas danmenyimpan data detail (spesifikasi, konfigurasi, dsb) dari setiap Aset Teknologi Informasi sertamelakukan updating sesuai kondisi terakhir.
(2). Setiap Aset Teknologi Informasi harus mempunyai status kepemilikan, klasifikasi keamanan danpembatasan akses yang didefinisikan dengan jelas dan ditinjau ulang secara periodik.
(3). Setiap Aset Teknologi Informasi milik Perseroan hanya digunakan untuk kepentingan Perseroandan tidak dapat dipindahtangankan atau digunakan secara tidak sah.
(4). Definisi klasifikasi pengamanan dan pembatasan akses terhadap Aset Teknologi Informasi dibuatdengan memperhatikan tingkat sensitivitas dan kepentingannya.
Pasal 7Klasifikasi Informasi
Klasifikasi Informasi ditetapkan oleh Perseroan dengan memperhatikan tingkat sensitivitas dankepentingannya.
(2). Klasifikasi Informasi harus didokumentasikan dan ditinjau ulang secara periodik.
(3). Penyelenggara Teknologi Informasi dan Pemilik Teknologi Informasi membuat prosedurpengelolaan Informasi berdasarkan tingkat sensitivitas dan kepentingannya yang telah ditetapkanPerseroan.
BAB IV
PENGELOLAAN SUMBER DAYA MANUSIA
Pasal 8Pengelolaan Sumber Daya Manusia
(1). Penyelenggara Teknologi Informasi harus mendefenisikan peran dan tanggung jawab pihak-pihakyang melakukan akses terhadap Sistem Teknologi Informasi Perseroan.
(2). Pembuatan prosedur yang mengatur pelaksanaan pemberian dan pencabutan hak akses terhadapSistem Teknologi Informasi Perseroan menjadi tanggung jawab Penyelenggara TeknologiInformasi.
(3). Prosedur ...
Prosedur pemberian hak akses terhadap Sistem Teknologi Informasi juga harus meliputipemeriksaan latar belakang keamanan, kualifikasi profesional dan pemeriksaan identitas.
(4). Penyelenggara Teknologi Informasi berkewajiban untuk melaksanakan pelatihan ataumenyediakan referensi penunjang yang memungkinkan Pengguna Akhir memahami peran dantanggung jawabnya dalam Pengamanan Sistem Teknologi Informasi Perseroan.
(5). Pengguna Akhir Sistem Teknologi Informasi berkewajiban untuk melaporkan perubahan statusnyadalam Perseroan kepada Penyelenggara Teknologi Informasi.
(6). Pihak Manajemen berkewajiban untuk mengingatkan pegawai yang berada dalam rentangkendalinya untuk selalu mematuhi kebijakan ataupun prosedur Pengamanan Sistem TeknologiInformasi
Pasal 9Sanksi terhadap Pelanggaran Ketentuan
(1). Pelanggaran yang dilakukan oleh pihak internal Perseroan terhadap ketentuan ini dapat dikenakansanksi berupa peringatan tertulis, pemblokiran akses, pencabutan akses sampai dengan diusulkanke atasan pengguna atau bagian kepegawaian oleh Penyelenggara Teknologi Informasi untukdikenakan sanksi kepegawaian sesuai ketentuan Peraturan Disiplin Pegawai Perseroan.
(2). Pelanggaran yang dilakukan oleh pihak eksternal terhadap ketentuan ini dapat berakibat dikenakansanksi berupa peringatan tertulis, pencabutan akses sampai dengan pemutusan hubungan kerjaatau dilaporkan ke pihak yang berwajib untuk diproses sesuai hukum yang berlaku.
BAB V
PENGELOLAAN KEAMANAN FISIK DAN LINGKUNGAN
Pasal 10Pengelolaan Keamanan infrastruktur Teknologi Informasi
(1). Infrastruktur Teknologi Informasi harus ditempatkan pada area yang mempunyai pembatas secarafisik dan mempunyai kontrol keamanan untuk memastikan bahwa Infrastruktur Teknologi Informasihanya dapat diakses oleh pihak yang diberi wewenang sehingga dapat terhindar dari penggunaan,perusakan dan perubahan oleh pihak yang tidak memiliki hak akses.
(2). Infrastruktur Teknologi Informasi harus ditempatkan pada area yang sesuai dengan persyaratanmasing-masing peralatan serta mempertimbangkan faktor keamanan terhadap kebakaran, banjir,gempa bumi ataupun kejadian alam lainnya yang dapat menimbulkan kerusakan pada InfrastrukturSistem Informasi.
(3). Penyelenggara Teknologi Informasi harus membuat :
a. Identifikasi, labeling dan dokumentasi semua peralatan yang termasuk Infrastruktur TeknologiInformasi dalam rentang kendali masing-masing;
b. Daftar hak akses Infrastruktur Teknologi Informasi, prosedur pengendalian dan monitoringakses terhadap Infrastruktur Teknologi Informasi;
c. Prosedur pengendalian dan monitoring akses terhadap Infrastruktur Teknologi Informasi;d. Prosedur dalam menghadapi keadaaan darurat.
(4). Sistem sumber daya tenaga listrik Infrastruktur Teknologi Informasi harus dapat memenuhikebutuhan tenaga listrik minimum Infrastruktur Teknologi Informasi yang sesuai dengan tingkatsensitivitas dan kepentingannya.
(5). Instalasi sistem tenaga listrik Infrastruktur Teknologi Informasi harus ditempatkan pada jalur danatau rak yang berbeda dari instalasi jaringan komunikasi data.
(6). Pemeliharaan rutin dan atau pemeliharaan non rutin Infrastruktur Teknologi Informasi dilaksanakanoleh pelaksana yang telah mendapat persetujuan dari Penyelenggara Teknologi Informasi.
(7). Kegiatan ...
Kegiatan-kegiatan yang tidak berkaitan langsung dengan pengoperasian Layanan TeknologiInformasi tidak diperkenankan untuk dilaksanakan pada area pengoperasian Layanan TeknologiInformasi ataupun pada area Infrastruktur Teknologi Informasi.
Kegiatan pemeliharaan Infrastruktur Teknologi Informasi secara off-line harus dilaksanakan di luararea pengoperasian Layanan Teknologi Informasi dan area Infrastruktur Teknologi Informasi.
Infrastruktur Teknologi Informasi tidak diperkenankan untuk dibawa ke luar area Perseroan tanpaseijin Penyelenggara Teknologi Informasi dan atau pihak lain yang berwenang.
Pasal 11Pengelolaan Keamanan Data dan Informasi
M. Data dan Informasi adalah aset penting Perseroan yang harus diproteksi dan dikelola sesuaidengan ketentuan yang berlaku.
(2). Pemilik Data dan Informasi harus memastikan kemutakhiran dan validitas dalam setiap prosesyang mengolah Data dan Informasi tersebut.
(3). Keamanan Data dan Informasi Perseroan dikelola berdasarkan prinsip kelengkapan, kesesuaian,akurasi, validitas dan pembagian hak akses sesuai kaidah pemisahan tugas yang dapatdipertanggungjawabkan.
(4). Data dan Informasi yang tersimpan harus mempunyai kontrol keamanan sesuai tingkatkerahasiaan Data dan Informasi untuk memastikan bahwa Data dan Informasi hanya dapat diaksesoleh pihak yang diberi wewenang sehingga terhindar dari penggunaan, penyebaran, perusakandan perubahan oleh pihak yang tidak bertanggung jawab.
(5). Data dan Informasi milik Pengguna Akhir dan tidak terkait dengan kegiatan operasional Perseroandilarang untuk disimpan di fasilitas Teknologi Informasi Perseroan.
(6). Data dan Informasi yang disimpan pada media backup atau Data dan Informasi yang akanberpindah tempat dengan melalui media jaringan milik pihak eksternal adalah Data dan Informasiyang telah melalui Proses Enkripsi Kriptographi tertentu.
(7)- Proses disposal media penyimpanan Data dan Informasi dilakukan setelah Data dan Informasiyang tersimpan di dalam media melalui suatu proses sehingga Data dan Informasi tersebut tidakdapat diakses.
(8). Proses disposal dokumen yang berisi Data dan Informasi rahasia hanya dapat dilakukan setelahdokumen dihancurkan dengan menggunakan mesin penghancur.
(9). Data dan Informasi Perseroan yang bersifat rahasia tidak diperkenankan direkam ke dalam mediapenyimpanan ataupun peralatan Sistem Informasi milik pribadi kecuali mendapat persetujuantertulis dari pihak yang berwenang terhadap Data dan Informasi tersebut.
(10). Akses terhadap Data dan Informasi Perseroan harus termonitor dan terdokumentasi dengan baik.
Pasal12Pengelolaan Pengamanan Aplikasi Sistem Informasi
Aplikasi yang digunakan di lingkungan Perseroan harus memenuhi syarat pengamanansebagaimana diatur dalam Keputusan ini dan ketentuan-ketentuan lainnya.
(2). Data dan Informasi yang digunakan dalam proses sebuah aplikasi yang melibatkan pihak eksternaladalah Data dan Informasi yang telah melalui Proses Enkripsi Kriptographi tertentu.
(3).
(4).
Sistem Pengamanan Aplikasi harus terintegrasi dengan Sistem Pengamanan Jaringan.
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis menyusun dokumen analisa risikoterhadap Aplikasi yang digunakan di lingkungan Perseroan dan dokumen tersebut disetujui olehManajemen.
BAB VI....
BAB VI
PENGELOLAAN DAN OPERASIONALPENGAMANAN SISTEM TEKNOLOGI INFORMASI
Pasal 13Tanggung Jawab dan Prosedur Operasional Pengamanan Sistem Teknologi Informasi
Pengelolaan Pengamanan Sistem Teknologi informasi meliputi pengembangan, implementasi,review dan evaluasi Pengamanan Sistem Teknologi Informasi Perseroan.
(2). Masing - masing kegiatan sebagaimana dimaksud dalam ayat (1) harus mempunyai penanggungjawab yang ditetapkan oleh Manajemen.
(3). Pengaturan hak akses aplikasi dan Data/Informasi yang berada di bawah pengelolaanPenyelenggara Teknologi Informasi dilakukan dengan tetap mengutamakan Pengamanan SistemTeknologi Informasi.
(4). Seluruh prosedur kegiatan operasional Pengamanan Sistem Teknologi Informasi harusterdokumentasi dan ditempatkan pada lokasi yang aman dan mudah dijangkau.
(5). Prosedur yang digunakan dalam kegiatan operasional Pengamanan Sistem Teknologi Informasiatau perubahannya adalah dokumen formal yang mengikat dan harus mendapatkan pengesahanManajemen.
(6). Infrastruktur yang digunakan untuk keperluan pengembangan dan uji coba harus terpisah dariInfrastruktur operasional.
Pasal 14Pengelolaan Layanan Dengan Pihak Ketiga
Perjanjian Layanan dengan Pihak Ketiga harus mencantumkan definisi layanan, kontrol keamanan,dan standar tingkat layanan.
(2). Penyelenggara Teknologi Informasi harus memastikan bahwa Pihak Ketiga memenuhi perjanjianlayanan yang telah disepakati dengan memonitor dan mengevaluasi laporan operasional PihakKetiga.
(3). Setiap perubahan layanan dengan Pihak Ketiga (antara lain meliputi kontrol keamanan ataupunprosedur operasional) harus didokumentasikan dan mendapat persetujuan dari Manajemen.
Pasal 15Perencanaan dan Penerimaan Sistem Teknologi Informasi
(1). Penyelenggara Teknologi Informasi harus membuat proyeksi kebutuhan kemampuan proses dankapasitas Sistem Teknologi Informasi untuk memastikan bahwa kebutuhan perkembangan bisnisPerseroan dapat terpenuhi.
(2). Penyelenggara Teknologi Informasi harus membuat kriteria - kriteria yang menjadi prasyaratpenerimaan perangkat keras atau perangkat lunak Sistem Teknologi Informasi dari Pihak Ketigasebelum perangkat keras atau perangkat lunak Sistem Teknologi Informasi di uji coba.
(3). Perangkat keras atau perangkat lunak Sistem Teknologi Informasi dari Pihak Ketiga dikatakanlayak diterima apabila memenuhi kriteria - kriteria yang dibuat oleh Penyelenggara TeknologiInformasi dan menyelesaikan tahapan uji coba yang dibuktikan dengan berita acara.
Pasal 16Perlindungan Terhadap Malicious Code
Penyelenggara Teknologi Informasi berkewajiban untuk memastikan bahwa aplikasi atau sistemoperasi yang digunakan oleh Pengguna Akhir merupakan aplikasi atau sistem operasi yang tidakmengandung Malicious Code yang dapat membahayakan keamanan Sistem Teknologi InformasiPerseroan.
(2). Penyelenggara ...
(2). Penyelenggara Teknologi Informasi berhak meng-uninstall aplikasi atau sistem operasi yangbermasalah dengan kompatibilitas atau membahayakan keamanan Sistem Teknologi InformasiPerseroan.
(3). Semua fasilitas Teknologi Informasi yang mengakses jaringan Sistem Informasi Perseroan harusmenggunakan Sistem Aplikasi Anti Virus Korporat yang pengelolaan Sistem Aplikasi Anti VirusKorporat dilakukan oleh Penyelenggara Teknologi Informasi.
(4). Aplikasi yang berada di dalam Sistem Teknologi Informasi Perseroan ditinjau secara berkala untukmemastikan bahwa aplikasi tersebut tidak menimbulkan masalah dengan kompatibilitas ataumembahayakan Sistem Teknologi Informasi Perseroan.
Pasal 17Prosedur Backup dan Restore Teknologi Informasi
Backup secara berkala dilaksanakan oleh Penyelenggara Teknologi Informasi atau pihak yangtelah diberi kewenangan sesuai dengan prosedur yang berlaku.
(2). Penyelenggara Teknologi Informasi berkewajiban untuk menyusun prosedur Backup danmemastikan bahwa keseluruhan Layanan Teknologi Informasi mempunyai Backup yang dapatdigunakan untuk mempercepat waktu pemulihan apabila terjadi gangguan pada Layanan TeknologiInformasi.
Hasil Backup dari masing-masing Layanan Teknologi Informasi ditempatkan di area yang amandan diberi Identifikasi yang standard.
(4). Pengujian Restore harus dilaksanakan untuk memastikan bahwa prosedur Backup telah berhasildilaksanakan.
(5). Pengujian Restore dilakukan pada infrastruktur yang terpisah sehingga tidak menggangguoperasional Layanan Teknologi Informasi.
Pasal 18Pengelolaan Keamanan Jaringan Sistem Informasi
Penyelenggara Teknologi Informasi bertanggung jawab terhadap Pengelolaan PengamananJaringan Sistem Teknologi Informasi Perseroan.
(2). Penyelenggara Teknologi Informasi harus mempunyai diagram topology jaringan Sistem TeknologiInformasi terkini yang berada dalam rentang kendali Penyelenggara Teknologi Informasi
(3). Akses terhadap konfigurasi Pengamanan Jaringan Sistem Teknologi Informasi Perseroan olehpihak eksternal harus dibatasi.
(4). Pembuatan prosedur yang mengatur tata cara pemberian hak akses konfigurasi PengamananJaringan Sistem Teknologi Informasi Perseroan kepada pihak eksternal dan dokumentasi detailpemberian hak akses menjadi tanggung jawab Penyelenggara Teknologi Informasi.
(5). Semua port/kanal komunikasi jaringan yang tidak digunakan dalam aplikasi dan layanan TeknologiInformasi harus ditutup.
(6). Jaringan Sistem Teknologi Informasi harus dilengkapi fasilitas monitoring akses jaringan yangmemungkinkan Penyelenggara Teknologi Informasi melakukan monitoring akses jaringan secarareal-time dan membuat laporan akses jaringan yang berada dalam kendali PenyelenggaraTeknologi.
Pasal 19Pengelolaan Media Backup
Penyelenggara Teknologi Informasi berkewajiban untuk menyusun prosedur pengelolaan MediaBackup dengan mengutamakan faktor keamanan dan kerahasiaan Data dan Informasi.
(2). Data ...
(2). Data dan Informasi yang disimpan dalam Media Backup adalah data yang telah melalui prosesvalidasi dan telah melalui Proses Enkripsi Kriptographi tertentu.
(3). Media Backup harus memiliki identifikasi yang unik dan ditempatkan pada area yang memilikikontrol keamanan yang sesuai dengan tingkat sensitifitas Data dan Informasi yang disimpan.
(4). Riwayat pengiriman dan penerimaan Media Backup didokumentasikan dalam bentuk hardcopymaupun softcopy.
Pasal 20Pertukaran Informasi
(1). Pemilik Proses Bisnis dan Penyelenggara Teknologi Informasi berkewajiban membuat prosedurpertukaran Informasi sehingga terhindar dari penggunaan, penyebaran, perusakan dan perubahanoleh pihak yang tidak bertanggung jawab.
(2). Pertukaran Informasi dengan pihak eksternal harus mendapat persetujuan tertulis dari Manajemenatau melalui perjanjian kerja sama dengan memperhatikan tingkat sensitifitas Informasi dan aturanlain yang berlaku serta didokumentasikan dengan baik.
(3). Media tempat penyimpanan Informasi yang akan dibawa ke luar Perseroan harus dilindungi darikemungkinan penggunaan, penyebaran, perusakan dan perubahan oleh pihak yang tidakbertanggung jawab.
Pasal 21Layanan Perniagaan Elektronik
(1). Layanan Perniagaan Elektronik adalah layanan online yang memungkinkan pelanggan melakukankegiatan perniagaan dengan Perseroan.
(2). Layanan Perniagaan Elektronik sebagaimana dimaksud dalam ayat (1) harus dapat melindungidata dan informasi dari pengiriman yang tidak sempurna, modifikasi, penggandaan sertapembacaan yang dilakukan oleh pihak yang tidak berwenang.
(3). Layanan Perniagaan Elektronik yang melibatkan Pihak Ketiga harus mematuhi aturan internalataupun eksternal Perseroan dengan memprioritaskan perlindungan data dan informasi.
Pasal 22Monitoring
(1). Fungsi monitoring Pengamanan Sistem Teknologi Informasi bertujuan untuk mengetahui aktivitassecara dini baik anomaly, serangan atau kegagalan dari sistem yang berjalan.
(2). Penyelenggara Teknologi Informasi melaksanakan fungsi monitoring dan memastikan bahwasemua aktivitas yang berjalan pada Sistem Teknologi Informasi Perseroan dapat dimonitor secarareal time atau secara berkala.
(3). Semua Infrastruktur Teknologi Informasi yang mempunyai pengaturan waktu harus mengacu padasatu standar waktu yang akurat.
BAB VII
KONTROL AKSES
Pasal 23Pengelolaan Akses Sistem Teknologi Informasi
Penyelenggara Teknologi Informasi dan pemilik proses bisnis menetapkan tingkat perlindungankeamanan atas Informasi dan sistem pendukungnya, sesuai dengan persyaratan proses bisnis dankeamanan Sistem Teknologi Informasi Perseroan.
(2). Penyelenggara ...
(2). Penyelenggara Teknologi Informasi bertanggung jawab atas pengelolaan Akses LayananTeknologi Informasi, yang meliputi:
a. Pengaturan hak akses;b. Monitoring & dokumentasi riwayat akses Layanan Teknologi Informasi;c. Peninjauan kembali secara berkala;d. Menetapkan syarat-syarat keamanan pada setiap Layanan Teknologi Informasi yang
melibatkan Pihak Ketiga;e. Memastikan bahwa syarat-syarat keamanan yang telah ditetapkan tercantum dalam perjanjian
dengan Pihak Ketiga.
Setiap Pengguna Akhir memiliki satu identitas dan kata sandi yang unik untuk akses ke SistemTeknologi Informasi Perseroan.
(4). Pengguna Akhir bertanggung jawab atas penggunaan dan kerahasiaan identitas dan kata sandiyang telah diberikan.
(5). Akses Sistem Teknologi Informasi kepada Pihak Ketiga diberikan setelah mendapat persetujuanmanajemen.
(6). Penanggung jawab pengelolaan Akses Pengguna Akhir harus telah mendapatkan pelatihan yangmemadai mengenai pengelolaan Akses Pengguna Akhir dan memahami proses bisnis yangbersangkutan.
(7). Kebijakan dan peraturan yang berkaitan dengan tugas dan tanggung jawab Pengguna Akhir dalammemanfaatkan Sistem Teknologi Informasi Perseroan dipublish ke website Perseroan sehinggadapat dibaca oleh Pengguna Akhir dengan mudah.
Pasal 24Pengelolaan Akses Pengguna Akhir Sistem Teknologi Informasi
(1). Pemberian, perubahan atau pencabutan hak Akses Pengguna Akhir Sistem Teknologi Informasidilaksanakan dengan mengacu pada prosedur pelaksanaan yang disusun oleh PenyelenggaraTeknologi Informasi dan didokumentasikan dengan baik.
(2). Risiko terhadap Pengamanan Sistem Teknologi Informasi sebagai akibat pemberian hak akseskepada pengguna akhir harus diidentifikasi dan diberikan kontrol yang sesuai.
(3). Pemberian , perubahan atau pencabutan hak akses Pengguna Akhir merupakan kegiatan yangpengaturannya dilaksanakan melalui proses manajemen formal.
(4). Pengguna Akhir harus menandatangani surat pernyataan kesanggupan untuk menjagakerahasiaan kata sandi yang diberikan.
(5). Hak akses Pengguna Akhir ditinjau ulang secara periodik atau setiap terjadi perubahan statusPengguna Akhir dalam Perseroan, melalui mekanisme yang ditentukan oleh PenyelenggaraTeknologi Informasi.
Pasal 25Tanggung Jawab Penyelenggara Teknologi Informasi
(1). Penyelenggara Teknologi Informasi berkewajiban mematuhi dan bertanggung jawab atasPengamanan Sistem Teknologi Informasi sesuai dengan ketentuan dalam Keputusan ini.
(2). Pembukaan akses khusus diluar prosedur Pengamanan Sistem Teknologi Informasi yang berlakudengan pertimbangan segala risiko keamanan Teknologi Informasi, harus didokumentasikansecara tertulis dalam bentuk Berita Acara yang ditandatangani Penyelenggara Teknologi Informasidan Pengguna Akhir.
(3). Penyelenggara Teknologi Informasi berkewajiban memberikan pelatihan kepada Pengguna Akhirsehingga dapat memahami tugas dan tanggung jawab Pengguna Akhir dalam menjagaPengamanan Sistem Teknologi Informasi Perseroan.
(4). Penyelenggara Teknologi Informasi berkewajiban untuk memenuhi tingkat Iayanan yang disepakatidan menyebarkan informasi realisasi tingkat Iayanan.
Pasal 26....
Pasal 26Tanggung Jawab Pengguna Akhir Teknologi Informasi
Pengguna Akhir yang melakukan akses terhadap Sistem Teknologi Informasi Perseroanberkewajiban mematuhi Ketentuan Pengamanan Sistem Teknologi Informasi Perseroan danketentuan-ketentuan lain yang terkait.
(2). Pengguna Akhir bertanggung jawab terhadap hak akses yang diberikan dan memastikan bahwahak akses tersebut tidak diberikan atau diwakilkan kepada pihak lain.
(3). Pengguna Akhir wajib melapor kepada Penyelenggara Teknologi Informasi apabila ada indikasipenyalahgunaan atau pemanfaatan hak akses oleh pihak lain.
(4). Pengguna Akhir tidak diperkenankan untuk melakukan pengujian terhadap Pengamanan SistemTeknologi Informasi Perseroan baik secara perorangan ataupun dengan bantuan pihak lain.
(5). Pengguna Akhir bertanggung jawab atas pelanggaran Ketentuan Pengamanan Sistem TeknologiInformasi Perseroan atau ketentuan-ketentuan lain yang terkait akibat kelalaian Pengguna Akhirdalam menjaga kerahasiaan hak akses yang diberikan.
Pasal 27Kontrol Akses Sistem Operasi
Penyelenggara Teknologi Informasi bertanggung jawab atas pengelolaan Sistem Operasi yangdigunakan di lingkungan Perseroan.
(2). Penyelenggara Teknologi Informasi harus membuat prosedur instalasi Sistem Operasi yangmengatur tata cara instalasi Sistem Operasi dan pengaturan hak instalasi Sistem Operasi dilingkungan Perseroan.
(3). Akses terhadap Sistem Operasi dengan hak administrator hanya diberikan kepada personelPenyelenggara Teknologi Informasi yang diberi tugas sebagai penanggung jawab pengelolaanSistem Operasi
(4). Riwayat Pelaksanaan instalasi Sistem Operasi harus didokumentasikan dengan balk.
Pasal 28Kontrol Akses Aplikasi dan Data dan Informasi
(1). Pengaturan hak akses aplikasi dan Data dan Informasi dilakukan dengan mengutamakanPengamanan Sistem Teknologi Informasi.
(2). Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis menetapkan tingkatan aksessetiap Pengguna Akhir dari aplikasi.
(3). Hak akses untuk mengubah data dan informasi Perseroan dibatasi dengan menggunakan aplikasiyang sudah diakui Perseroan.
(4). Pengguna Akhir tidak boleh membaca, mengubah, menghapus atau menyalin data dan informasimilik Pengguna Akhir lain tanpa memperoleh izin dari pemilik data dan infromasi tersebut.
(5). Dengan alasan Pengamanan Sistem Teknologi Informasi atau penegakan hukum dan mendapatizin tertulis dari penanggung jawab tertinggi Penyelenggara Teknologi Informasi, PenyelenggaraTeknologi Informasi berhak melakukan akses terhadap data dan informasi milik Pengguna Akhir.
(6). Aplikasi yang dapat diakses banyak Pengguna Akhir (Multiuser) harus mempunyai kemampuanidentifikasi dan autentikasi pengguna akhir dan mengarah kepada integrasi dengan prosesidentifikasi dan autentifikasi Sistem Teknologi Informasi yang sudah ada dan dapat menyimpanriwayat akses pengguna.
(7). Hak akses aplikasi kepada Pengguna Akhir hanya dapat diberikan setelah dilakukan analisa risikoPengamanan Sistem Teknologi Informasi.
(8). Riwayat ...
(8). Riwayat akses aplikasi dan Data/Informasi harus didokumentasikan dengan baik.
Pasal 29Mobile Computing dan Teleworking
Mobile Computing dan Teleworking terhadap Layanan Teknologi Informasi diperbolehkan setelahmendapat persetujuan dari Penyelenggara Teknologi Informasi.
(2). Penyelenggara Teknologi Informasi berkewajiban untuk memastikan bahwa metode akses secaraMobile Computing dan Teleworking tidak menimbulkan ancaman terhadap Pengamanan SistemTeknologi Informasi Perseroan.
(3). Akses secara Mobile Computing dan Teleworking harus mempunyai identifikasi yang unik sehinggadapat dimonitor dengan mudah.
(4). Riwayat akses secara Mobile Computing dan Teleworking harus didokumentasikan dengan baik.
BAB VIII
AKUISISI, PENGEMBANGAN dan PEMELIHARAAN SISTEM TEKNOLOGI INFORMASI
Pasal 30Prasyarat Keamanan Sistem Informasi
Proses akuisisi, pengembangan dan pemeliharaan Sistem Teknologi Informasi hanya dapatdilaksanakan setelah dilakukan pengujian dan kajian analisa risiko terhadap Pengamanan SistemTeknologi Informasi eksisting maupun terhadap kelangsungan bisnis Perseroan.
(2). Implementasi akuisisi, pengembangan dan pemeliharaan Sistem Teknologi Informasi tidakdiperkenankan membuka celah pengamanan yang baru pada Sistem Teknologi Informasi eksisting.
(3). Implementasi akuisisi, pengembangan dan pemeliharaan Sistem Teknologi Informasi mengacupada kajian analisa risiko yang telah dibuat.
Pasal 31Keabsahan Proses Aplikasi
Aplikasi harus dilengkapi dengan kemampuan pencegahan kesalahan input dan dapatmenampilkan pesan kegagalan validasi.
(2). Tugas dan tanggung jawab Pengguna Akhir yang terlibat dalam proses input data dan validasi datapada sebuah aplikasi harus didefinisikan dengan jelas.
(3). Aplikasi harus dilengkapi fungsi kontrol integritas data pada setiap proses untuk memastikanbahwa integritas data tetap terjaga pada setiap proses dalam aplikasi tanpa mengurangi unjukkerja dari aplikasi.
(4). Data hasil dari sistem aplikasi harus melalui proses validasi untuk memastikan bahwa keseluruhanproses dalam sistem aplikasi telah berhasil dengan baik.
Pasal 32Pengelolaan Kriptographi
(1). Data dan informasi Perseroan dilindungi dengan metoda kriptographi tertentu berdasarkansensitivitas dan kepentingan data dan informasi.
(2). Metoda kriptographi ditentukan dengan mengacu pada standar tertentu dan melakukan kajiananalisa risiko untuk mendapatkan metoda kriptographi yang efektif pada semua tingkatan data daninformasi.
(3). Metoda kriptographi ditetapkan oleh manajemen atau pihak yang telah diberikan wewenang.
(4). Penyelenggara...
(4). Penyelenggara Teknologi Informasi melakukan peninjauan secara berkala terhadap metodakriptographi yang diterapkan dan mengusulkan perubahan apabila diperlukan.
Pasal 33Pengelolaan Keamanan File Sistem
M. Aplikasi dan sistem operasi yang dipergunakan di Iingkungan Perseroan adalah aplikasi dan sistemoperasi dengan status kepemilikan yang jelas dan telah mendapat persetujuan dari PenyelenggaraTeknologi Informasi.
(2). Pengguna akhir tidak diperkenankan melakukan instalasi aplikasi atau sistem operasi padainfrastruktur ataupun peralatan Teknologi Informasi milik Perseroan.
(3). Penyelenggara Teknologi Informasi menyusun prosedur melakukan instalasi aplikasi atau sistemoperasi pada infrastruktur ataupun peralatan Teknologi Informasi milik Perseroan.
(4). Penyelenggara Teknologi Informasi berhak melakukan penghapusan aplikasi atau penggantiansistem operasi pada infrastruktur ataupun peralatan Teknologi Informasi milik Perseroan apabiladitemukan aplikasi atau sistem operasi yang tidak memiliki status kepemilikan yang jelas.
(5). Pengaturan instalasi, operasional dan pemeliharaan aplikasi atau sistem operasi hanya dapatdilakukan oleh Penyelenggara Teknologi Informasi atau pihak ketiga yang telah ditunjukberdasarkan perjanjian kerjasama.
(6). Semua kode sumber (source code) aplikasi yang dipergunakan di lingkungan Perseroan harusdilindungi dengan mekanisme pengamanan tertentu dan diperlakukan sebagai dokumen pentingPerseroan.
(7). Data dan informasi Perseroan yang dipergunakan dalam proses pengembangan aplikasi harusdilindungi dengan mekanisme pengamanan tertentu.
Pasal 34Pengelolaan Pengamanan dalam Pengembangan Layanan Teknologi Informasi
M. Pengembangan Layanan Teknologi Informasi harus melalui pengujian dan kajian analisa risikoserta mendapat persetujuan manajemen.
(2). Penyelenggara Teknologi Informasi harus melaksanakan peninjauan kembali atau pengujianterhadap keamanan aplikasi setelah dilaksanakan update sistem Teknologi Informasi padaLayanan Teknologi Informasi.
(3). Pengawasan dan pemantauan proses pengembangan Layanan Teknologi Informasi yangdilakukan oleh pihak ketiga, dilaksanakan oleh Penyelenggara Teknologi Informasi.
(4). Pembangunan atau pengembangan Layanan Teknologi Informasi oleh pihak ketiga dilakukandengan kontrak kerjasama dibuat secara detail (antara lain meliputi deliverable project, servicelevel agreement dan spesifikasi pekerjaan yang disepakati bersama).
Pasal 35
Pengelolaan Kerentanan Teknologi Informasi
Penyelenggara Teknologi Informasi melaksanakan pengujian terhadap Pengamanan SistemTeknologi Informasi secara berkala untuk mengetahui kerentanan Sistem Teknologi Informasi yangsudah ada.
(2). Semua langkah-langkah pengamanan terhadap kerentanan Sistem Teknologi Informasi harusdidokumentasikan dengan balk.
Pasal 36....
Pasal 36Pengelolaan Insiden Pengamanan Sistem Teknologi Informasi
Penyelenggara Teknologi Informasi berkewajiban menyusun prosedur yang mengatur langkah-langkah penanganan Insiden Pengamanan Sistem Teknologi Informasi.
(2). Pengguna Akhir berkewajiban untuk melaporkan Insiden Pengamanan Sistem Teknologi Informasikepada Penyelenggara Teknologi Informasi.
(3). Semua Insiden Pengamanan Sistem Teknologi Informasi atau kejadian yang mengancamintegritas , kerahasiaan dan ketersediaan informasi didokumentasikan dan dievaluasi untukpenerapan kontrol-kontrol Pengamanan yang diperlukan.
(4). Bukti-bukti yang ditemukan dalam sebuah Insiden Pengamanan Sistem Teknologi Informasi harusdisimpan dan dilindungi keamanannya untuk digunakan sebagai bukti forensik bagi proses dalamaspek teknis dan aspek hukum.
(5). Penanggung Jawab Pengamanan Sistem Teknologi Informasi harus membuat laporan lengkaptentang Insiden Pengamanan Sistem Teknologi Informasi dan mendokumentasikan laporantersebut dengan balk.
BAB XI
PENUTUP
Pasal 37Ketentuan Penutup
Pada saat Keputusan ini mulai berlaku, maka ketentuan-ketentuan lain yang bertentangan denganKeputusan ini, dinyatakan tidak berlaku.
Keputusan ini mulai berlaku terhitung sejak tanggal ditetapkan.
Ditetapkan di Jakartapads tanggal 21 Januari 2011
DIREKTUR KEUANGAN,
SETgOAWGG®R® DEWO