rpm smpi 20150805 hasim gautama

24
1 Rancangan Peraturan Menteri Sistem Manajemen Pengamanan Informasi DR. Hasyim Gautama, CISM, ISMS-LA Direktorat Keamanan Informasi Ditjen Aplikasi Informatika BPRTIK, 5 Agustus 2015

Upload: directorate-of-information-security-ditjen-aptika

Post on 19-Aug-2015

213 views

Category:

Government & Nonprofit


1 download

TRANSCRIPT

Page 1: RPM SMPI 20150805 Hasim Gautama

1

Rancangan Peraturan Menteri Sistem ManajemenPengamanan Informasi

DR. Hasyim Gautama, CISM, ISMS-LA

Direktorat Keamanan InformasiDitjen Aplikasi Informatika

BPRTIK, 5 Agustus 2015

Page 2: RPM SMPI 20150805 Hasim Gautama

Kewajiban Pengamanan Sistem Elektronik bagi Penyelenggara Sistem Elektronik untuk Pelayanan Publik diatur dalam PP PSTE Pasal 20 Ayat (1) dan (2), yaitu:

(1) Penyelenggara Sistem Elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan Sistem Elektronik dalam menghindari gangguan, kegagalan, dan kerugian.

(2) Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.

Landasan Hukum

Page 3: RPM SMPI 20150805 Hasim Gautama

Amanat Penyusunan Peraturan Menteri

Penyusunan Peraturan Menteri tentang Sistem Pengamanan diamanatkan oleh PP PSTE dalam Pasal 20 Ayat (4), yaitu:

(4) Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri.

Page 4: RPM SMPI 20150805 Hasim Gautama

Amanat Penyusunan Peraturan Menteri

Penyusunan Peraturan Menteri tentang Sistem Pengamanan diamanatkan oleh PP PSTE dalam Pasal 20 Ayat (4), yaitu:

(4) Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri.

Page 5: RPM SMPI 20150805 Hasim Gautama

Daftar Isi RPM

Bab I : Ketentuan Umum

Bab II : Kategorisasi Sistem Elektronik

Bab III : Standar Sistem Manajemen Pengamanan Informasi

Bab IV : Penyelenggaraan

Bab V : Lembaga Sertifikasi

Bab VI : Penerbitan Sertifikat, Pelaporan Hasil Sertifikasi, dan Pencabutan Sertifikat

Bab VII : Penilaian Mandiri

Bab VIII : Pembinaan

Bab IX : Pengawasan

Bab X : Sanksi

Bab XI : Ketentuan Peralihan

Bab XII : Ketentuan Penutup

Page 6: RPM SMPI 20150805 Hasim Gautama

Asas dan Ruang LIngkup

• Asas

Peraturan Menteri ini bertujuan untuk mengatur penerapan Sistem Manajemen Pengamanan Informasi dalam penyelenggaraan Sistem Elektronik berdasarkan Asas Risiko

• Ruang Lingkup

Mencakup Penyelenggara Sistem Elektronik untuk Pelayanan Publik.

Page 7: RPM SMPI 20150805 Hasim Gautama

PSE Pelayanan Publik

• institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya;

• korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;

• lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya; atau

• badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara.

Page 8: RPM SMPI 20150805 Hasim Gautama

Kategorisasi Sistem Elektronik

No Sistem Elektronik

Penetap Kategori

1 Strategis Menteri dg rekomendasi Instansi Pengawas dan Pengatur Sektor setelah berkoordinasi dg Menteri

2 Tinggi Menteri

3 Rendah Menteri

Kategorisasi Sistem Elektronik didasarkan pada 10 kriteria

Page 9: RPM SMPI 20150805 Hasim Gautama

Kriteria Kategorisasi Sistem Elektronik

1. Nilai Investasi2. Total Anggaran

Operasional Tahunan3. Kewajiban Kepatuhan

thd Peraturan4. Algoritma Khusus5. Jumlah Pengguna

Sistem Elektronik6. Data Pribadi yang

dikelola Sistem Elektronik

7. Tingkat kekritisan Data dalam Sistem Elektronik

8. Tingkat kekritisan Proses dalam Sistem Elektronik

9. Dampak Kegagalan Sistem Elektronik

10. Potensi kerugian akibat ditembusnya Sistem Elektronik

Penilaian menggunakan metode pembobotan

Page 10: RPM SMPI 20150805 Hasim Gautama

Standar Manajemen Pengamanan

No Sistem Elektronik

Standar Manajemen Pengamanan Informasi

1 Strategis SNI ISO/IEC 27001 dan ketentuan pengamanan dari Instansi Pengawas dan Pengatur Sektor

2 Tinggi SNI ISO/IEC 27001

3 Rendah Indeks Keamanan Informasi

Penempatan Pusat Data dan Pemulihannya di Indonesia

Page 11: RPM SMPI 20150805 Hasim Gautama

Penyelenggaraan

• Penyelenggara Sistem Elektronik Strategis dan Tinggi wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi

• Penyelenggara Sistem Elektronik Rendah dapat memiliki Sertifikat Sistem Manajemen Pengamanan Informasi

Page 12: RPM SMPI 20150805 Hasim Gautama

Tenaga Ahli

• Dalam penerapan Sistem Manajemen Pengamanan Informasi Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli Internal dan/atau Eksternal

• Dalam hal penerapan pada Sistem Elektronik Strategis Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan Indonesia

Ketentuan lebih lanjut diatur dengan Peraturan Menteri

Page 13: RPM SMPI 20150805 Hasim Gautama

Lembaga Sertifikasi

• Sertifikasi dilakukan oleh Lembaga Sertifikasi• Syarat Lembaga Sertifikasi:

– Berbadan hukum Indonesia– Berdomisili di Indonesia– Terakreditasi Komite Akreditasi Nasional– Memiliki Tim Auditor minimal 1 orang Auditor

Permanen– Memiliki Tim Pengambil Keputusan Sertifikasi

• Dalam hal sertifikasi Sistem Elektronik Strategis Tim Auditor dan Tim Pengambil Keputusan Sertifikasi harus berkewarganegaraan Indonesia

Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri

Page 14: RPM SMPI 20150805 Hasim Gautama

Pendaftaran Lembaga Sertifikasi

• Permohonan penetapan diajukan kepada Menteri • Proses Penetapan paling lambat 14 hari kerja

setelah Permohonan dinyatakan lengkap• Penetapan berlaku paling lama 4 tahun• Lembaga Sertifikasi yang memperoleh penetapan

dimasukkan dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi

Page 15: RPM SMPI 20150805 Hasim Gautama

Tata Cara Sertifikasi

• Dilakukan terhadap seluruh ruang lingkup proses penyelenggaraan Sistem Elektronik sesuai dengan tingkat Risikonya

• Tim Auditor melakukan audit dan melaporkan hasil audit kepada Lembaga Sertifikasi

• Lembaga Sertifikasi mengkaji hasil audit• Lembaga Sertifikasi dapat menerbitkan atau

mencabut sertifikat Sistem Manajemen Pengamanan Informasi

• Sertifikat berlaku paling lama 3 tahun• Audit Pengawasan oleh Lembaga Sertifikasi paling

sedikit 1 kali dalam setahun

Page 16: RPM SMPI 20150805 Hasim Gautama

Tata Cara Pelaporan [1/2]

• Lembaga Sertifikasi menyerahkan hasil sertifikasi secara tertulis kepada Menteri paling sedikit 2 kali dalam setahun

• Laporan tsb memuat:– Data Penyelenggara Sistem Elektronik yang

mengajukan sertifikasi, mendapat sertifikat dan dicabut sertifikatnya.

– Ringkasan eksekutif– Perubahan daftar Tim Auditor dan Tim Pengambil

Keputusan

Page 17: RPM SMPI 20150805 Hasim Gautama

Tata Cara Pelaporan [2/2]

• Dalam hal pencabutan sertifikat lembaga sertifikasi harus melaporkan paling lambat 2 hari kerja

• Dalam hal Sertifikasi Sistem Elektronik Strategis perubahan Tim Auditor dan Tim Pengambil Keputusan dilaporkan kepada Menteri paling lambat 2 hari kerja

Page 18: RPM SMPI 20150805 Hasim Gautama

Penilaian Mandiri

• Penyelenggara Sistem Elektronik Strategis dan Tinggi dapat melakukan Penilaian Mandiri berdasarkan Standar SNI/ISO IEC 27001.

• Penilaian Mandiri berdasarkan Standar Indeks Keamanan Informasi wajib dilakukan terhadap Sistem Elektronik Rendah

• Hasil Penilaian Mandiri wajib dilaporkan setiap tahun

• Menteri dapat melakukan pemeriksaan atas hasil Penilaian Mandiri

Page 19: RPM SMPI 20150805 Hasim Gautama

Pembinaan

• Menteri dapat melakukan pembinaan penyelenggaraan sertifikasi Sistem Manajemen Pengamanan Informasi terhadap:– Lembaga Sertifikasi– Penyelenggara Sistem Elektronik– Masyarakat

Page 20: RPM SMPI 20150805 Hasim Gautama

Pengawasan

• Menteri melakukan pengawasan terhadap:– Lembaga Sertifikasi– Penyelenggara Sistem Elektronik

• Metode pengawasan berkala 1 kali dalam setahun atau sewaktu-sewaktu– Pemantauan– Pengendalian– Pemeriksaan– Penelurusan– Pengamanan

Page 21: RPM SMPI 20150805 Hasim Gautama

Sanksi

• Sanksi administratif terhadap Penyelenggara Sistem Elektronik:– Teguran tertulis– Jika tidak patuh dalam waktu 6 bulan, maka

dikenakan penghentian sementara Nama Domain Indonesia

• Sanksi administratif terhadap Lembaga Sertifikasi– Teguran tertulis– Jika tidak patuh dalam 30 hari kerja, maka

dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi

Page 22: RPM SMPI 20150805 Hasim Gautama

Ketentuan Peralihan [1/2]

• Penyelenggara Sistem Elektronik yg telah beroperasi wajib memiliki sertifikat paling lama 2 tahun

• Penyelenggara Sistem Elektronik yg telah memiliki sertifikat selain SNI 27001 wajib menyesuaikan dengan Peraturan Menteri ini paling lama 2 tahun

• Penyelenggara Sistem Elektronik yg baru beroperasi wajib memiliki sertifikat paling lama 1 tahun

• Menteri dapat menunjuk Auditor dalam hal Peraturan Menteri tentang Auditor belum diundangkan

Page 23: RPM SMPI 20150805 Hasim Gautama

Ketentuan Peralihan [2/2]

• Menteri dapat menunjuk Tenaga Ahli dalam hal Peraturan Menteri tentang Tenaga Ahli belum diundangkan

• Menteri dapat menunjuk Lembaga Sertifikasi dalam hal belum ada Lembaga Sertifikasi yang terdaftar

Page 24: RPM SMPI 20150805 Hasim Gautama

Terima Kasih

[email protected]