Tentang Sistem Manajemen Pengamanan Informasi

Subdit Tata Kelola KI

Direktorat Keamanan Informasi

Serpong, 4 Oktober 2017

1

Jakarta, 20 April 2017

SOSIALISASI PERMENKOMINFO NOMOR 4 TAHUN 2016

TOWARD BETTER AND CLEAN CYBER ENVIRONMENT

Dasar Hukum Permenkominfo

No 4 Th 2016

Amanat

PP PSTE pasal 20 ayat (4)

UU ITE Pasal 15 ayat (1)

Dasar Hukum (2)

UU ITE Pasal 15 ayat (1)

• “Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya”.

PP PSTE

Pasal 19

• “Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik sebagaimanamestinya”

PP PSTE Pasal 20 ayat (2)

• Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian”.

Dasar Hukum (3)

UU ITE

Pasal 20 ayat (3)

• “Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem lektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum atau Instansi Pengawas dan Pengatur Sektor terkait.”

PP PSTE

Pasal 20 ayat (4)

• “Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri”.

Asas dan Ruang Lingkup

Ruang Lingkup:

PSE untuk Pelayanan

Publik

Asas:Risiko

PSE Pelayanan Publik:

1. Instansi Pemerintah

2. Instansi Swasta

Definisi PSE untuk

pelayanan publik

(Pasal 2)

institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya

korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;

lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya

badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara

15

Definisi Instansi Pengawas dan Pengatur

Sektor

Instansi Pengawas dan Pengatur Sektor adalah

instansi yang bertugas mengawasi pelaksanaan tugas

sektor dan mengeluarkan pengaturan terhadap sektor

tersebut

misalnya :

1. Bank Indonesia adalah IPPSbagi sektor transaksipembayaran

2. Kementerian Komunikasidan Informatika adalah IPPSbagi sektor telekomunikasidan TIK

16

Kategorisasi Sistem Elektronik

No SistemElektronik

Penetap Kategori

1 Strategis Menteri + Rekomendasi IPPS

2 Tinggi Menteri

3 Rendah Menteri

Kategorisasi SE berdasarkan 10 kriteria

No Karakteristik SE A=5 B=2 C=1

1 Nilai investasi sistem elektronikyang terpasang

A. > 30 miliar rupiah B. 3 miliar rupiah -30 miliar rupiah

C. <3 miliar rupiah

2 Total anggaran operasionaltahun berjalan yang dialokasikanuntuk pengelolaan SistemElektronik

A. >10 miliar rupiah B. 1 miliar rupiah -10 miliar rupiah

C. <1 miliar rupiah

3 Memiliki kewajiban kepatuhanterhadap peraturan atau standartertentu

A. Peraturan atau standar nasional dan interna-sional

B. Peraturan atau standar nasional

C. Tidak ada peraturan khusus

4 Menggunakan algoritma khususuntuk keamanan informasidalam sistem elektronik

A. Algoritma khusus yang diguna-kan negara

B. Algoritma standar publik

C. Tidak ada algoritma khusus

5 Jumlah pemilik akun yangmenggunakan Sistem Elektronik

A. > 5000 pemilik akun

B. 1000 - 5000 pemilik akun

C. < 1000 pemilik akun

Kriteria Kategorisasi Sistem Elektronik

No Karakteristik SE A=5 B=2 C=1

6 Data Pribadi yang dikelola SistemElektronik

A. Data Pribadi yang memiliki hubungan dengan Data Pribadi lainnya

B. Data Pribadi yang bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha

C. Tidak ada Data Pribadi

7 Tingkat klasifikasi/kekritisan data yang ada dalam Sistem Elektronik

A. Sangat rahasia B. Rahasia dan/ atau terbatas

C. Biasa

8 Tingkat kekritisan proses yang adadalam Sistem Elektronik,

A. Proses yang berisiko meng-ganggu hajat hidup orang banyak dan memberi dampak langsung pada Pelayanan Publik

B. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung

C. Proses yang tidak berdampak bagi kepentingan orang banyak

9 Dampak dari kegagalan SistemElektronik

A. Tidak tersedia-nya Pelayanan Publik berskala nasional atau memba-hayakan pertaha-nan keama-nan negara

B. Tidak tersedianya layanan Publik atau proses penyelengga-raan negara dalam 1 (satu) provinsi atau lebih

C. Tidak tersedianya Pelayanan Publik atau proses penyelenggaraan negara dalam 1 (satu) kabupaten/kota atau lebih

10 Potensi kerugian atau dampak negatif dari insiden ditembusnya Keamanan Informasi Sistem Elektronik

A. Menimbulkan korban jiwa

B. Terbatas pada kerugian finansial

C. Mengakibatkan gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial

Kriteria Kategorisasi Sistem

Elektronik

Kategorisasi Sistem Elektronik

Total Bobot nilai 36-50 16-35 10 – 15

KETENTUAN PENILAIAN

Kategori Sistem Elektronik STRATEGIS TINGGI RENDAH

SE

BANK

UMUM

SE

PEMDA

BEKASI

(PERIZINAN)

SE

TELKOMSEL

SE

RUMAH

SAKIT

SE

HOTEL

SE

ISP ( KECIL DAN

SEDANG)

SE

ATM BERSAMA

(ex: artajasa

SE

LPSE PROVINSI

SE

e-ticketing

garuda

SE

tv kabel

SE

ATC

SE

e-KTP

Nasional

SE

e-KTP

di Kab

SE

websit

e

inform

SE

SPSE

KAB/K

OTA SE IDX

SE

JARDIK

NAS

SE

RTGS

SE

VOUC

HER

LISTRI

37 17 37 18 15 16 37 26 37 34 39 40 22 12 22 40 25 43 36

Standar Manajemen Pengamanan

Informasi

Penyelenggaraan Sistem Elektronik

Manfaat Sertifikasi

Membantu organisasi

terkait dengan kesesuaian terhadap

kebutuhan standar

keamanan informasi yang

sudah best practice

Meningkatkan reputasi positif

organisasi

Meningkatkan kepercayaan masyarakat

terhadap layanan publik

yang diselenggarakan terjamin tingkat

keamanan, kehandalan dan

terpercaya.

Meminimalkan risiko keamanan

informasi melalui proses

manajemen risiko yang

sesuai dengan best practices.

“Information Security is not a cost, but an investment”

Tenaga Ahli Penerapan SMPI

Ketentuan lebih lanjut diatur dengan Peraturan Menteri

TA Internal &

TA Eksternal

Sistem Elektronik Strategis

harus menggunakan Tenaga Ahli yang WNI

Lembaga Sertifikasi

Ketentuan lebih lanjut mengenai Auditor diatur dengan

Peraturan Menteri

Syarat Lembaga Sertifikasi

Tata Cara Sertifikasi

Scope/Ruang Lingkup

Sertifikasi

Sistem elektronik yang termasuk

kategori strategis dan tinggi

Berkaitan dengan proses bisnis PSE

Tergantung dengan kebutuhan organisasi (PSE)

dalam hal perlindungan

informasi

Penilaian Mandiri

Pembinaan

Menteri dapat membina:

Pengawasan

Menteri dapat mengawasi: 1x setahun atau sewaktu-waktu

Metode Pengawasan

Sanksi Administratif

Berlaku : April 2018

Ketentuan Peralihan [1/2]

Wajib

memiliki

sertifikat

dari SE

beroperasi

Hasil Pendaftaran

SMPI

LS

• BSI Group Indonesia

• TUV Nord Indonesia

• Intertek

Auditor

• AU-1-2016-0001

• AU-1-2017-0002

• AU-1-2017-0003

• AU-1-2017-0004

Tenaga Ahli

• IM-1-2016-0001

• IM-1-2017-0002

• IM-1-2017-0002

Lembaga Konsultan

• Catur Daya Solusi

• LEMTI UI

alamat website: www.smpi.kominfo.go.idUpdate per 3 Oktober 2017

Terima Kasih

Subdit Tata Kelola Keamanan InformasiDirektorat Keamanan InformasiTelp/Fax: 021-3845786email : pancat.setyantana@kominfo.go.id

sistem manajemen pengamanan informasi