Yth. 1. Sekretaris Direktorat Jenderal Pajak

2. Para Direktur dan Tenaga Pengkaji di Lingkungan KP DJP 3. Kepala Pusat Pengolahan Data dan Dokumen Perpajakan 4. Para Kepala Kantor Wilayah DJP 5. Para Kepala Kantor Pelayanan Pajak di lingkungan Direktorat Jenderal Pajak

SURAT EDARAN Nomor SE-65/PJ/2011

TENTANG

PEDOMAN BUSINESS IMPACT ANALYSIS DAN PENILAIAN RISIKO

TEKNOLOGI INFORMASI DAN KOMUNIKASI

DIREKTORAT JENDERAL PAJAK

Sehubungan dengan telah ditetapkannya Peraturan Direktur Jenderal Pajak Nomor

PER-8/PJ/2011 tentang Kebijakan Pengelolaan Kelangsungan Layanan Teknologi Informasi

dan Komunikasi Direktorat Jenderal Pajak, dan perlunya pengaturan mengenai Business

Impact Analysis (analisis dampak bisnis) dan penilaian risiko terkait Teknologi Informasi dan

Komunikasi (TIK) Direktorat Jenderal Pajak (DJP), dengan ini diatur hal-hal sebagai berikut:

1. Dalam Surat Edaran ini, yang dimaksud dengan:

a. Business Impact Analysis (BIA) adalah kegiatan mengidentifikasi proses bisnis inti dan

potensi dampak yang diderita apabila terjadi gangguan terhadap kelangsungan proses

tersebut.

b. Risiko adalah segala sesuatu yang berpotensi menimbulkan dampak negatif terhadap

pencapaian tujuan yang diukur berdasarkan kemungkinan dan dampaknya.

c. Penilaian Risiko (Risk Assessment) TIK adalah kegiatan untuk mengidentifikasi

ancaman-ancaman terhadap kegiatan dan Layanan TIK Utama, mengidentifikasi

kelemahan yang dapat meningkatkan risiko TIK berdasarkan ancaman yang ada,

dan/atau menentukan prioritas risiko TIK berdasarkan peluang terjadinya gangguan

kegiatan dan Layanan TIK Utama.

d. Mitigasi Risiko (Risk Mitigation) TIK adalah pengambilan langkah-langkah strategis

dalam rangka mengurangi dampak yang ditimbulkan oleh risiko TIK.

2. Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan

Komunikasi Direktorat Jenderal Pajak disusun dengan mengacu kepada Kebijakan

Pengelolaan Kelangsungan Layanan TIK, bab Business Impact Analysis dan Penilaian

Risiko TIK.

3. Pedoman BIA dan Penilaian Risiko TIK dibagi menjadi 3 bagian utama, yaitu:

a. Pedoman BIA;

b. Pedoman Penilaian Risiko TIK; dan

KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL PAJAK

Jalan Jend. Gatot Subroto 40-42 Jakarta 12190 Kotak Pos 124 Homepage: http://www.pajak.go.id

Telepon 5250208-5251609 5262880

Faksimile 584792

Pedoman Business Impact Analysis dan Penilaian Risiko

Teknologi Informasi dan Komunikasi Direktorat Jenderal Pajak

Direktorat Jenderal Pajak

Kementerian Keuangan Republik Indonesia

VERSI 1.0

KLASIFIKASI: TERBATAS

TANGGAL: 9 Agustus 2011

LAMPIRAN SE- 65/PJ/2011 TENTANG BUSINESS IMPACT ANALYSIS DAN PENILAIAN RISIKO TEKNOLOGI INFORMASI DAN KOMUNIKASI DIREKTORAT JENDERAL PAJAK

LEMBAR PENGENDALIAN

NO Penerima Dokumen Format Dokumen

1 Direktur Jenderal Pajak Cetakan

2 Direktorat TIP Cetakan

3 Direktorat TTKI Cetakan

4 Direktorat KITSDA Cetakan

5 Direktorat TPB Cetakan

6 Pegawai DJP Elektronik

Dokumen ini milik Direktorat Jenderal Pajak. Dilarang memperbanyak atau menggunakan

informasi yang terkandung di dalamnya untuk keperluan komersial atau lain-lain tanpa

persetujuan dari Direktur Jenderal Pajak.

HALAMAN REVISI

Bab/Sub-Bab Halaman Revisi Tanggal Uraian Revisi

v.1.0 Agustus 2011

DAFTAR ISI

A. Deskripsi ..............................................................................................................................1

B. Acuan ...................................................................................................................................1

C. Dokumen Terkait ..................................................................................................................1

D. Pedoman Business Impact Analysis (BIA)............................................................................2

E. Pedoman Penilaian Risiko (Risk Assessment) TIK ...............................................................5

F. Pedoman Mitigasi dan Review Risiko TIK ..........................................................................10

G. Definisi ...............................................................................................................................12

LAMPIRAN I. Formulir Business Impact Analysis

LAMPIRAN II. Tabel Business Impact Analysis

LAMPIRAN III. Formulir Penetapan Konteks Penilaian Risiko TIK DJP

LAMPIRAN VI. Formulir Identifikasi dan Analisis Risiko TIK

LAMPIRAN V. Laporan Pelaksanaan Penilaian Risiko TIK

LAMPIRAN VI. Action Plan Mitigasi Risiko TIK

1

A. Deskripsi

Pedoman Business Impact Analysis (BIA) dan Penilaian Risiko Teknologi Informasi dan

Komunikasi (TIK) disusun dengan tujuan untuk memberikan panduan dan aturan mengenai

metode dan sarana bagi unit kerja terkait dalam melaksanakan Business Impact Analysis

dan Penilaian Risiko TIK.

BIA disusun untuk menentukan tingkat kritikalitas dan prioritas dari proses bisnis yang

didukung oleh layanan TIK, sedangkan Penilaian Risiko TIK dilaksanakan untuk

mengetahui profil risiko TIK sehingga dapat dilakukan mitigasinya secara tepat. Penilaian

risiko TIK disusun dalam kerangka Pengelolaan Keamanan Informasi DJP sebagaimana

telah diatur dalam Peraturan Direktur Jenderal Pajak Nomor PER-41/PJ/2010 dan

Pengelolaan Kelangsungan Layanan Teknologi Informasi dan Komunikasi DJP

sebagaimana telah diatur dalam Peraturan Direktur Jenderal Pajak Nomor PER-8/PJ/2011.

Hal-hal yang diatur dalam Pedoman Business Impact Analysis (BIA) dan Penilaian Risiko

Teknologi Informasi dan Komunikasi adalah sebagai berikut:

1. Pedoman Business Impact Analysis (BIA) yang terdiri dari:

1.1. Ketentuan Umum dalam Business Impact Analysis (BIA)

1.2. Ketentuan dalam Penyusunan BIA

1.3. Dokumentasi dan Pelaporan Hasil BIA

1.4. Review dan perubahan atas BIA

2. Pedoman Penilaian Risiko TIK yang terdiri dari:

2.1. Ketentuan Umum dalam Penilaian Risiko TIK;

2.2. Identifikasi Risiko TIK;

2.3. Analisis Risiko TIK; dan

2.4. Evaluasi Risiko TIK.

3. Pedoman Mitigasi dan Review Risiko TIK yang terdiri dari

3.1. Mitigasi Risiko TIK, dan

3.2. Review Risiko TIK.

B. Acuan

1. Peraturan Menteri Keuangan Nomor PMK-191/PMK.09/2008 tentang Penerapan

Menejemen Risiko di Lingkungan Departemen Keuangan.

2. Kebijakan Pengelolaan Keamanan Informasi Direktorat Jenderal Pajak

3. Kebijakan Pengelolaan Kelangsungan Layanan Teknologi Informasi dan Komunikasi

Direktorat Jenderal Pajak.

4. ISO/IEC 27005:2008 – Information Security Risk Management.

5. NIST 800-30 – Risk Management Guide for Information Technology Sistem.

C. Dokumen Terkait

1. Kebijakan Pengelolaan Kelangsungan Layanan Teknologi Informasi dan Komunikasi

DJP.

2. Pedoman Backup dan Restore Sistem/Data/Informasi.

2

3. Pedoman Tinjauan Manajemen Pengelolaan Keamanan Informasi Direktorat Jenderal

Pajak.

4. Pedoman Pengendalian Dokumen dan Catatan Penerapan Tata Kelola TIK.

5. Pedoman Pelaksanaan Pengelolaan Kelangsungan Layanan TIK

D. Pedoman Business Impact Analysis (BIA)

1. Ketentuan Umum dalam Business Impact Analysis (BIA)

1.1. Penyusunan atau perubahan atas dokumen BIA dilaksanakan paling sedikit 1

(satu) tahun sekali atau menurut jangka waktu yang diatur tersendiri oleh Direktur

Jenderal Pajak, atau apabila terjadi perubahan profil risiko seperti aset, ancaman

(threat), atau kelemahan (vulnerability), yang dapat membawa kerugian bagi DJP

apabila terjadi, atau dapat menyebabkan keadaan darurat.

1.2. Direktorat Transformasi Proses Bisnis (TPB) bertugas untuk mengoordinasikan

penyusunan dan perubahan BIA, dilaksanakan oleh Kepala Subdirektorat terkait

yang ditunjuk oleh Direktur TPB.

1.3. Direktorat TPB menyusun panduan teknis dalam pelaksanaan BIA.

1.4. Dalam penyusunan BIA, Direktorat TPB melibatkan narasumber sebagai berikut:

1.4.1. Di lingkungan Sekretariat Direktorat Jenderal Pajak: Pejabat Eselon II

dan satu atau lebih Pejabat Eselon III di bawahnya;

1.4.2. Di lingkungan KPDJP: Pejabat Eselon II dan satu atau lebih Pejabat

Eselon III di bawahnya pada masing-masing Direktorat;

1.4.3. Perwakilan Kantor Wilayah DJP: Pejabat Eselon II dan satu atau lebih

Pejabat Eselon III di bawahnya dari satu atau lebih Kantor Wilayah;

1.4.4. Di lingkungan PPDDP: Pejabat Eselon II dan dan satu atau lebih

Pejabat Eselon III; dan

1.4.5. Perwakilan Kantor Pelayanan Pajak DJP: Pejabat Eselon III dari satu

atau lebih Kantor Pelayanan Pajak.

1.5. Kepala Subdirektorat yang ditugaskan oleh Direktur TPB untuk mengelola BIA

melakukan monitoring dalam pelaksanaan penyusunan maupun perubahan BIA

dan mengeskalasikan kepada Direktur TPB apabila terdapat permasalahan

terkait BIA yang membutuhkan kewenangan Direktur TPB.

2. Ketentuan dalam Penyusunan BIA

2.1. Dokumen BIA disetujui oleh Direktur TPB dan pihak-pihak sebagaimana

dimaksud dalam angka 1.4.

2.2. BIA setidak-tidaknya harus mencakup hal-hal sebagai berikut:

2.2.1. Identifikasi proses bisnis dan fungsi yang mendukung kegiatan utama

DJP dan tingkat kritikalitasnya;

2.2.2. Dependensi atau ketergantungan satu proses atau fungsi dengan

proses atau fungsi yang lain;

2.2.3. Identifikasi komponennya yang mendukung proses bisnis atau fungsi,

termasuk Layanan TIK dan SDM-nya;

3

2.2.4. Identifikasi dampak bagi DJP jika proses bisnis inti tidak dapat

dilaksanakan akibat terjadinya gangguan TIK pada durasi waktu

tertentu;

2.2.5. Prosedur alternatif jika terjadi gangguan;

2.2.6. Penentuan target waktu tanggap untuk setiap proses bisnis inti yang

meliputi:

2.2.6.1. Maximum Tolerable Outage (MTO) atau Maximum Tolerable

Downtime (MTD), yaitu batas waktu pemulihan yang diijinkan

hingga Layanan TIK kembali ke keadaan normal (back to

normal);

2.2.6.2. Recovery Point Objective (RPO), yaitu batas waktu

kehilangan data yang dapat diterima oleh DJP antara waktu

backup terakhir hingga terjadinya keadaan darurat;

2.2.6.3. Recovery Time Objective (RTO), batas waktu pemulihan

antara terjadinya gangguan hingga saat berlangsungnya

kembali proses bisnis inti yang didukung oleh Layanan TIK

Utama;

2.2.6.4. Work Recovery Time (WRT), yaitu batas waktu yang

diperlukan untuk menyelesaikan pekerjaan yang tertunda

atau tidak lengkap akibat adanya keadaan darurat; dan

2.2.7. Minimum Operating Requirement (MOR), yaitu kebutuhan sarana,

pegawai, teknologi, data, dan informasi minimum yang diperlukan untuk

melaksanakan proses bisnis inti pada saat terjadi keadaan darurat.

2.3. Proses dalam penyusunan BIA dibagi menjadi beberapa aktivitas sebagai

berikut:

2.3.1. Penyusunan Rencana Kegiatan;

2.3.2. Pengumpulan informasi dari narasumber;

2.3.3. Penentuan prioritas proses atau fungsi;

2.3.4. Penentuan target recovery time; dan

2.3.5. Penyusunan Dokumen BIA.

2.4. Rencana kegiatan penyusunan BIA terdiri dari antara lain hal-hal sebagai berikut:

2.4.1. Tujuan;

2.4.2. Ruang lingkup proses bisnis yang akan dicakup;

2.4.3. SDM yang akan terlibat;

2.4.4. Jadwal dan detil aktifitas;

2.4.5. Target narasumber BIA;

2.4.6. Metode pengumpulan informasi dari narasumber;

2.4.7. Rencana komunikasi dan pelaporan.

2.5. Ketentuan mengenai pengumpulan informasi dari narasumber:

2.5.1. Untuk mengumpulkan informasi dari narasumber, maka dilakukan

dengan metode wawancara dan/atau workshop dengan narasumber/

masing-masing pemilik proses bisnis.

4

2.5.2. Sebelum melakukan wawancara, Tim Penyusunan BIA terlebih dahulu

menentukan:

2.5.2.1. daftar pertanyaan yang akan disampaikan kepada

narasumber beserta skoringnya;

2.5.2.2. target narasumber beserta jadwal wawancara atau

pembahasan melalui workshop beserta jadwal wawancara/

pembahasan.

2.5.3. Daftar pertanyaan harus mewakili aspek-aspek sebagai berikut:

2.5.3.1. Kritikalitas dan dampak proses bisnis dan sistem

pendukungnya;

2.5.3.2. Adanya proses alternatif (manual dan semi manual); dan

2.5.3.3. Kompleksitas atau dependensi Layanan TIK dengan

Layanan TIK yang lainnya.

2.5.4. Contoh daftar pertanyaan sebagaimana dimaksud dalam angka 2.5.3

tertuang dalam Formulir Business Impact Analysis sebagaimana

tercantum dalam Lampiran I Pedoman ini. Apabila diperlukan, maka

terhadap Formulir Business Impact Analysis sebagaimana dimaksud

dalam Lampiran I dapat dilakukan penyesuaian oleh Direktorat TPB

sesuai kebutuhan.

2.6. Ketentuan mengenai penentuan prioritas Layanan TIK adalah sebagai berikut:

2.6.1. Penentuan prioritas Layanan TIK ditentukan berdasarkan jumlah skor

yang terkandung dari jawaban yang diperoleh dari narasumber.

2.6.2. Direktorat TPB dapat menentukan klasifikasi bagi masing-masing proses

bisnis atau fungsi yang dinilai berdasarkan persentase total skor yang

diperoleh sebagai berikut:

2.6.2.1. Kritikal yaitu total skor di atas 90%;

2.6.2.2. Tinggi yaitu total skor antara 70% - 90%;

2.6.2.3. Sedang yaitu total skor antara 50% - 70%; dan

2.6.2.4. Rendah yaitu total skor kurang dari 50%.

2.7. Setelah klasifikasi dari proses bisnis atau fungsi yang dinilai telah ditentukan,

maka ditentukan target waktu pemulihan dari masing-masing proses bisnis/fungsi

apabila terjadi gangguan atau keadaan darurat.

3. Dokumentasi dan Pelaporan Hasil BIA

3.1. Setelah dilakukan penggalian informasi, penentuan prioritas proses bisnis/fungsi,

dan target waktu pemulihan, maka dilakukan penyusunan Tabel Business Impact

Analysis sebagaimana tercantum dalam Lampiran II pedoman ini.

3.2. Dokumen BIA disahkan oleh Direktur TPB melalui Nota Dinas.

3.3. Dokumen BIA dijadikan masukan dalam proses mitigasi risiko TIK, terutama

terkait masalah strategi backup dan recovery untuk sistem pendukung proses

bisnis yang dinilai dalam BIA yang berupa:

3.3.1. Frekuensi backup;

3.3.2. Jenis backup; dan

5

3.3.3. Pilihan metode backup.

3.4. Hasil BIA menjadi masukan yang dapat mengubah tipe dan strategi dalam

instruksi kerja backup dan recovery yang tertuang dalam Pedoman Backup dan

Restore Sistem/Data/Informasi.

3.5. Dokumen BIA yang telah disusun disampaikan kepada pihak-pihak sebagai

berikut:

3.5.1. Ketua Tim Pengelolaan Kelangsungan Layanan TIK sebagai masukan

dalam penyusunan dan/atau perubahan Disaster Recovery Plan dan

untuk menjalankan strategi backup dan restore terhadap aplikasi,

sistem, basis data, atau infrastruktur pendukung Layanan TIK Utama;

3.5.2. Direktur Transformasi Teknologi Komunikasi dan Informasi sebagai

bahan masukan dalam penilaian risiko TIK;

3.5.3. Direktur Kepatuhan Internal dan Transformasi Sumber Daya Aparatur

dan CIO DJP sebagai bahan masukan dalam proses manajemen risiko

DJP;

3.5.4. Unit Kerja pemilik proses bisnis atau fungsi; dan

3.5.5. Seksi Penyusunan Prosedur Operasional, Direktorat TTKI untuk dikelola

penyimpanannya.

3.6. Pengelolaan Dokumen BIA oleh Seksi Penyusunan Prosedur Operasional

dilaksanakan dengan mengacu kepada Pedoman Pengendalian Dokumen dan

Catatan Penerapan Tata Kelola TIK.

3.7. Apabila diperlukan, maka terhadap Tabel Business Impact Analysis

sebagaimana dimaksud dalam Lampiran IV dapat dilakukan penyesuaian oleh

Direktorat TPB sesuai kebutuhan.

4. Review dan Perubahan atas BIA

4.1. Atas BIA yang telah disusun, Direktorat TPB melakukan review secara rutin

minimal setiap satu tahun sekali untuk memastikan bahwa komponen dalam BIA

sebagaimana dimaksud dalam angka 2.2 sesuai dengan kondisi sebenarnya.

4.2. Apabila terdapat kebutuhan untuk mengubah BIA atau memasukkan proses

bisnis baru ke BIA, maka usulan tersebut disampaikan kepada Direktorat TPB.

4.3. Usulan perubahan harus ditandatangani oleh Pimpinan Unit Kerja dan disertai

dengan alasan perubahan BIA.

4.4. Langkah-langkah dan pihak-pihak yang terlibat dalam review dan/atau

perubahan BIA tercantum dalam Tata Cara Review dan Perubahan Business

Impact Analysis sebagaimana dimaksud dalam Lampiran II Pedoman ini.

E. Pedoman Penilaian Risiko (Risk Assessment) TIK

1. Penilaian risiko TIK dilaksanakan untuk mengidentifikasi dan menilai risiko-risiko TIK

yang dihadapi oleh DJP dan menentukan langkah-langkah mitigasi risiko TIK yang tepat,

serta sebagai bagian dari pengelolaan keamanan informasi DJP.

6

2. Ketentuan Umum

2.1. Objek yang menjadi ruang lingkup dari penilaian risiko TIK adalah seluruh

sistem/layanan TIK DJP beserta atribut/komponen pendukungnya.

2.2. Penilaian risiko TIK menghasilkan profil risiko TIK.

2.3. Profil risiko TIK dimuktahirkan secara berkala melalui review risiko TIK, dalam hal

profil risiko TIK sudah tidak valid maka penilaian risiko TIK dapat dilakukan

kembali.

2.4. Penilaian risiko TIK dapat dilaksanakan di luar jadwal rutin dalam hal terdapat

usulan antara lain dari:

2.4.1. Ketua Tim Keamanan Informasi berdasarkan hasil tinjauan manajemen

pengelolaan keamanan informasi sebagaimana mengacu pada

Pedoman Tinjauan Manajemen Pengelolaan Keamanan Informasi

Direktorat Jenderal Pajak dan hasil Business Impact Analysis;

2.4.2. Ketua Tim Pengelolaan Kelangsungan Layanan TIK;

2.4.3. Pihak terkait berdasarkan hasil audit internal tata kelola TIK; dan/atau

2.4.4. Kepala Subdirektorat Analisis dan Evaluasi Sistem Informasi

berdasarkan hasil review risiko TIK.

2.5. Usulan penilaian risiko TIK disampaikan kepada Kepala Subdirektorat Analisis

dan Evaluasi Sistem Informasi, Direktorat Transformasi Teknologi Komunikasi

dan Informasi (TTKI).

2.6. Penilaian risiko TIK harus mempertimbangkan hasil review risiko TIK terhadap

profil risiko TIK periode sebelumnya (dalam hal profil risiko TIK sudah tersedia).

2.7. Penilaian risiko TIK merupakan bagian dari pengelolaan risiko DJP.

2.8. Koordinator penilaian risiko TIK adalah Seksi Evaluasi Sistem Informasi (ESI),

Direktorat TTKI.

2.9. Untuk mempemudah pengawasan dalam kegiatan penilaian risiko, Unit Kerja TIK

menggunakan Sistem Informasi Manajemen Risiko yang dapat mengelola

informasi jadwal penilaian risiko TIK, profil risiko, Action Plan mitigasi Risiko TIK,

dan informasi terkait lainnya.

3. Metode Penghimpunan Informasi

Metode penghimpunan informasi yang dapat digunakan dalam penilaian risiko TIK

antara lain:

3.1. Evaluasi dokumen. Dokumen yang dapat digunakan antara lain: Laporan

Gangguan Keamanan Informasi, Laporan Gangguan Layanan TIK, Laporan

Business Impact Analysis, Dokumen Inventarisasi aset TIK, Katalog Layanan

TIK, dan lain-lain.

3.2. Wawancara dengan narasumber. Narasumber yang dimaksud meliputi tetapi

tidak terbatas pada:

3.2.1. Pemilik atau penanggung jawab sistem/layanan;

3.2.2. Pengguna sistem/layanan;

3.2.3. Administrator sistem, Operator Console;

3.2.4. Tim Keamanan Informasi;

7

3.2.5. Tim Pengelolaan Kelangsungan Layanan TIK;

3.2.6. Seksi terkait di unit kerja TIK.

3.3. Riset terhadap data dan informasi dari sumber eksternal, misalnya: Internet,

publikasi tentang anti virus, layanan publik, dan sebagainya.

4. Tahap-Tahap Penilaian Risiko

4.1. Perencanaan dan Persiapan

4.1.1. Berdasarkan disposisi dari Kepala Subdirektorat Analisis dan Evaluasi

Sistem Informasi, Seksi ESI melakukan perencanaan dan persiapan

pelaksanaan penilaian risiko TIK.

4.1.2. Dalam perencanaan dan persiapan penilaian risiko TIK, Seksi ESI

menentukan:

4.1.2.1. Ruang lingkup penilaian risiko TIK;

4.1.2.2. Jadwal dan detil aktivitas;

4.1.2.3. Pelaksana penilaian risiko TIK;

4.1.2.4. Narasumber;

4.1.2.5. dan lain-lain.

4.2. Penetapan Konteks

4.2.1. Penetapan konteks dilakukan dengan tujuan untuk:

4.2.1.1. Mengidentifikasi hal-hal yang berhubungan dengan sistem/

layanan TIK termasuk komponen-komponen pendukungnya,

diantaranya: tujuan, sasaran, proses/alur, arsitektur, lokasi,

lingkungan operasional, input, output, wewenang akses, dan

pihak-pihak yang terlibat termasuk pihak ketiga (vendor), dan

lain-lain;

4.2.1.2. Mengidentifikasi dan menetapkan kriteria tingkat dampak risiko

(risk impact) TIK dan peluang kejadian (likelihood) yang

digunakan untuk menganalisis dan mengevaluasi risiko;

4.2.1.3. Menetapkan kriteria dampak (impact) yang akan digunakan

dalam analisis risiko TIK.

4.2.1.4. Menetapkan kriteria peluang kejadian (likelihood) yang akan

digunakan dalam analisis risiko TIK.

4.2.2. Contoh formulir yang digunakan dalam penetapan konteks sebagaimana

terdapat dalam Lampiran III (Formulir Penetapan Konteks Penilaian

Risiko TIK DJP).

4.3. Identifikasi Risiko TIK

4.3.1. Identifikasi risiko TIK bertujuan untuk mengidentifikasi ancaman (threat)

yang berpotensi untuk mengganggu layanan/sistem TIK dan komponen

pendukungnya.

4.3.2. Seksi ESI mengidentifikasi ancaman yang dapat mengganggu

sistem/layanan TIK dan komponen pendukungnya. Masing-masing

ancaman yang diidentifikasi dikelompokkan menjadi tiga kategori yaitu:

8

4.3.2.1. Ancaman yang bersumber dari alam (natural threat). Contoh:

banjir, gempa bumi, badai.

4.3.2.2. Ancaman yang bersumber dari manusia (human-caused

threat). Contoh: hacking, social engineering, kesalahan entri

data, pencurian, pelanggaran prosedur.

4.3.2.3. Ancaman teknis (technical threat). Contoh: kegagalan sistem

(system failure), fluktuasi daya listrik.

4.3.3. Seksi ESI mendokumentasikan tahap identifikasi risiko TIK ke dalam

Formulir Identifikasi dan Analisis Risiko TIK sebagaimana terdapat

dalam Lampiran IV.

4.4. Analisis Risiko TIK

Berdasarkan daftar ancaman yang diperoleh dari tahap identifikasi risiko TIK,

Seksi ESI melakukan analisis terhadap:

4.4.1. Penyebab ancaman, baik yang disengaja maupun yang tidak disengaja.

Penyebab dari ancaman harus diidentifikasi sebagai bahan

pertimbangan dalam penentuan rekomendasi kontrol, yaitu:

4.4.1.1. Maksud/tujuan/motivasi dari eksploitasi yang sifatnya disengaja,

misalnya: mencari keuntungan, balas dendam, ego, dan

sebagainya;

4.4.1.2. Penyebab dari ancaman yang sifatnya tidak disengaja,

misalnya: ketidaksadaran (unawareness), ketidakacuhan

(indifference), dan sebagainya;

4.4.2. Kelemahan (vulnerability) yang dapat dieksploitasi oleh ancaman yang

teridentifikasi. Untuk mengidentifikasi kelemahan, cara yang dapat

dilakukan antara lain:

4.4.2.1. Melakukan riset atau mencari informasi dari sumber-sumber

eksternal, misalnya: internet, studi banding.

4.4.2.2. Melakukan pengujian keamanan sistem, misalnya melalui audit

internal atau penetration test.

4.4.3. Ketersediaan kontrol yang telah dimiliki DJP untuk mengatasi maupun

mengantisipasi ancaman. Kontrol yang dimaksud antara lain:

4.4.3.1. Kontrol preventif (preventive), misalnya: enkripsi, autentikasi

user account/password.

4.4.3.2. Kontrol detektif (detective), misalnya: intrusion detection

system.

4.4.3.3. Kontrol korektif (corrective), misalnya: mekanisme rollback pada

sistem manajemen database.

4.4.3.4. Kontrol direktif (directive), misalnya: kebijakan dan pedoman

kebijakan keamanan informasi.

4.4.3.5. Kontrol pemulihan (recovery), misalnya: business continuity

plan, disaster recovery plan.

9

4.4.3.6. Kontrol penghindaran (deterrent), misalnya: CCTV, sanksi

terhadap pelanggaran.

4.4.4. Peluang kejadian (likelihood) dari ancaman yang telah teridentifikasi.

Setiap ancaman ditentukan peluang kejadiannya berdasarkan kategori

yang telah ditetapkan pada Formulir Penetapan Konteks Penilaian

Risiko TIK DJP Lampiran III.

4.4.5. Kerugian atau dampak (impact) yang diderita dalam hal ancaman

terjadi. Setiap ancaman ditentukan dampaknya berdasarkan kategori

yang telah ditetapkan pada Formulir Penetapan Konteks Penilaian

Risiko TIK DJP dan dengan mempertimbangkan dokumentasi/Laporan

BIA sehingga analisis dampak harus sinkron dengan hasil BIA.

4.4.6. Berdasarkan hasil analisis risiko, Seksi ESI menentukan level risiko TIK.

4.4.7. Seksi ESI menuangkan hasil analisis risiko dalam Formulir Identifikasi

dan Analisis Risiko TIK sebagaimana tertuang dalam Lampiran IV.

4.5. Evaluasi Risiko TIK

4.5.1. Evaluasi risiko TIK bertujuan untuk menetapkan prioritas mitigasi

terhadap risiko TIK.

4.5.2. Untuk setiap risiko TIK yang teridentifikasi, Seksi ESI mengurutkan risiko

TIK berdasarkan level risiko dan prioritas mitigasinya.

4.5.3. Hasil evaluasi risiko TIK dituangkan dalam Laporan Pelaksanaan

Penilaian Risiko TIK sebagaimana terdapat pada Lampiran V.

5. Laporan Pelaksanaan Penilaian Risiko TIK disampaikan kepada:

5.1. Direktur KITSDA sebagai bahan masukan dalam Pengelolaan Risiko DJP;

5.2. Direktur TPB sebagai bahan masukan dalam Review dan Perubahan BIA;

5.3. Direktur TIP sebagai bahan masukan dalam penyelenggaraan kegiatan

operasional TIK DJP;

5.4. Ketua Tim Keamanan Informasi sebagai bahan masukan dalam pengelolaan

keamanan informasi DJP;

5.5. Ketua Tim Pengelolaan Kelangsungan Layanan TIK sebagai masukan dalam

pengelolaan kelangsungan layanan TIK;

5.6. Seksi Penyusunan Prosedur Operasional, Direktorat TTKI untuk dikelola

penyimpanannya; dan

5.7. Direktorat/Pihak lain yang terkait.

6. Pengelolaan dokumen dan laporan dalam Penilaian Risiko TIK oleh Seksi Penyusunan

Prosedur Operasional dilaksanakan dengan mengacu kepada Pedoman Pengendalian

Dokumen dan Catatan Penerapan Tata Kelola TIK.

7. Apabila diperlukan, maka terhadap seluruh formulir yang digunakan dalam pelaksanaan

penilaian risiko TIK sebagaimana dimaksud dalam Lampiran III, Lampiran IV, dan

Lampiran V dapat dilakukan penyesuaian sesuai kebutuhan.

10

F. Pedoman Mitigasi dan Review Risiko TIK

1. Mitigasi Risiko TIK

1.1. Mitigasi risiko TIK dilakukan untuk menentukan kontrol yang efektif dan efisien

terhadap risiko TIK berdasarkan hasil Business Impact Analysis dan Penilaian

Risiko TIK.

1.2. Ketentuan Umum

1.2.1. Mitigasi risiko TIK diarahkan pada penanganan akar permasalahan (root

cause) dan bukan hanya pada gejala permasalahan.

1.2.2. Koordinator Mitigasi Risiko TIK adalah Kepala Subdirektorat Analisis

dan Evaluasi Sistem Informasi, Direktorat TTKI;

1.3. Hal-hal yang menjadi bahan pertimbangan dalam mitigasi risiko TIK antara lain:

1.3.1. Batas/Toleransi risiko TIK yang dapat diterima oleh DJP (risk appetite);

1.3.2. Prioritas mitigasi risiko TIK;

1.3.3. Estimasi biaya dan sumberdaya yang dibutuhkan dalam

implementasinya;

1.3.4. Manfaat yang dapat diperoleh dari tindakan mitigasi risiko TIK;

1.3.5. Pengaruh mitigasi risiko terhadap konteks yang lebih luas.

1.4. Kategori kontrol yang dapat digunakan antara lain:

1.4.1. Kontrol teknis, yaitu kontrol yang diterapkan secara teknis dalam sistem.

Contoh: enkripsi, sistem autentikasi user account/password, intrusion

detection system (IDS), dan sebagainya.

1.4.2. Kontrol manajemen, yaitu kontrol yang bersifat mengatur. Contoh:

kebijakan, pedoman, standar keamanan, dan sebagainya.

1.4.3. Kontrol operasional. Contoh: pengendalian akses terhadap data,

pengendalian pemusnahan data/dokumen, pengamanan fisik, dan

sebagainya.

1.5. Jenis-jenis mitigasi risiko TIK yang dapat diterapkan antara lain:

1.5.1. Penghindaran Risiko (risk avoidance), yaitu menghindari risiko dengan

cara menyingkirkan penyebabnya.

1.5.2. Pembatasan risiko (risk limitation), yaitu membatasi risiko dengan cara

menerapkan kontrol yang dapat meminimalkan dampak.

1.5.3. Transfer Risiko (risk transference), yaitu memindahkan risiko dengan

cara menggunakan opsi lain untuk mengkompensasi kerugian, misalnya

membeli asuransi.

1.5.4. Penerimaan Risiko (risk acceptance), yaitu menerima risiko yang

berpotensi terjadi, dengan mempertimbangkan bahwa dampak yang

terjadi masih dapat diterima.

1.6. Metodologi penerapan kontrol adalah sebagai berikut:

1.6.1. Memilih prioritas tindakan

1.6.1.1. Penentuan prioritas tindakan didasarkan pada skala risiko TIK

yang terdapat dalam Laporan Pelaksanaan Penilaian Risiko

TIK.

11

1.6.1.2. Dalam pengalokasian sumberdaya, prioritas tertinggi harus

diberikan pada item risiko TIK yang skalanya sangat tinggi.

1.6.2. Mengevaluasi pilihan kontrol yang direkomendasikan

Rekomendasi kontrol yang terdapat dalam Laporan Pelaksanaan

Penilaian Risiko TIK harus ditinjau kembali kelayakan dan efektivitasnya

untuk menentukan kontrol yang paling sesuai dalam mitigasi risiko TIK.

1.6.3. Memilih kontrol

1.6.3.1. Koordinator mitigasi risiko TIK menentukan kontrol yang dinilai

cost-effective untuk mengurangi risiko TIK.

1.6.3.2. Kontrol yang dipilih harus merupakan kombinasi kontrol

teknis, operasional, dan manajemen untuk memastikan

keamanan yg memadai bagi sistem TIK dan DJP.

1.6.3.3. Koordinator Mitigasi Risiko TIK mengoordinasikan

pelaksanaan mitigasi risiko dengan Penanggung Jawab

Mitigasi Risiko TIK.

1.6.3.4. Koordinator Mitigasi Risiko menyusun action plan terkait

pelaksanaan mitigasi risiko dengan format sebagaimana

terdapat dalam Lampiran VI (Action Plan Mitigasi Risiko TIK).

1.6.3.5. Apabila diperlukan, maka terhadap formulir yang digunakan

dalam mitigasi risiko TIK sebagaimana dimaksud Lampiran VI

dapat dilakukan penyesuaian sesuai kebutuhan.

1.6.4. Monitoring Mitigasi Risiko TIK

1.6.4.1. Monitoring mitigasi risiko TIK bertujuan untuk memantau

pelaksanaan mitigasi risiko TIK dan kesesuaiannya dengan

action plan pelaksanaan mitigasi risiko TIK.

1.6.4.2. Untuk mempermudah monitoring mitigasi risiko TIK, maka

Unit Kerja TIK menggunakan Sistem Informasi Manajemen

Risiko TIK yang dapat mengelola informasi profil risiko, Action

Plan mitigasi Risiko TIK, dan informasi terkait lainnya.

1.6.4.3. Masing-masing penanggung jawab mitigasi risiko TIK

melaporkan pelaksanaan mitigasi risiko TIK yang menjadi

tanggung jawabnya kepada Koordinator Mitigasi Risiko TIK

paling lama dua minggu setelah mitigasi risiko selesai

dilaksanakan.

1.6.4.4. Koordinator Mitigasi Risiko TIK melakukan pemutakhiran

(update) terhadap Action Plan Mitigasi Risiko TIK.

1.6.4.5. Kepala Subdirektorat Analisis dan Evaluasi Sistem Informasi

memeriksa Action Plan Mitigasi Risiko TIK setiap dua bulan

sekali dan mengeskalasi permasalahan terkait pelaksanaan

mitigasi risiko TIK yang membutuhkan kewenangan Direktur

TTKI maupun Direktur TIP, antara lain namun tidak terbatas

pada:

12

a. mitigasi atas risiko yang memiliki level tinggi;

b. mitigasi yang tertunda akibat masalah penganggaran;

c. mitigasi yang membutuhkan koordinasi dengan Pejabat

Eselon II lainnya;

d. mitigasi yang terkendala akibat masalah peraturan;

dan/atau

e. mitigasi yang terkendala akibat masalah kapasitas dan

ketersediaan SDM.

2. Review Risiko TIK

2.1. Seksi ESI melakukan review risiko TIK terhadap profil risiko TIK periode

sebelumnya minimal enam bulan sekali atau apabila menemukan data atau

informasi baru yang berpotensi menambah atau mengubah risiko TIK, atau

informasi bahwa mitigasi risiko yang sudah terlaksana tidak efektif.

2.2. Data atau informasi sebagaimana dimaksud dalam angka 2.1 antara lain sebagai

berikut:

2.2.1. Usulan perubahan profil risiko TIK dari pihak-pihak sebagaimana

dimaksud dalam Pedoman Penilaian Risiko (Risk Assessment) TIK pada

angka 2.4;

2.2.2. Terdapat perubahan aset/komponen pendukung layanan TIK yang tidak

tercakup dalam penilaian risiko TIK sebelumnya;

2.2.3. Kemungkinan ancaman (threat) atau kelemahan (vulnerability) baru

yang belum terdefinisi sebelumnya;

2.2.4. Hasil dari Post Disaster Review sebagaimana diatur dalam Pedoman

Pelaksanaan Pengelolaan Kelangsungan Layanan TIK; dan/atau

2.2.5. Angka insiden/gangguan keamanan informasi yang tinggi atau

meningkat.

2.3. Data atau informasi sebagaimana dimaksud dalam angka 2.3 disampaikan

kepada Kepala Subdirektorat AESI untuk ditindaklanjuti dengan:

2.3.1. Memasukkan data atau informasi sebagaimana dimaksud dalam angka

2.2 ke dalam Sistem Informasi Manajemen Risiko TIK;

2.3.2. Membuat usulan/rekomendasi penerapan kontrol sementara untuk

menanggulangi meluasnya dampak risiko TIK; dan

2.3.3. Menyampaikan usulan/rekomendasi sebagaimana dimaksud dalam

angka 2.4.1 kepada pihak-pihak terkait.

G. Definisi

1. Ancaman (threat) adalah potensi/kemungkinan suatu sumber ancaman untuk

mengeksploitasi suatu kelemahan (vulnerabiliity).

2. Sistem informasi manajemen risiko TIK adalah sistem informasi yang digunakan oleh

Direktorat Transformasi Teknologi Komunikasi dan Informasi dan Direktorat Teknologi

Informasi Perpajakan untuk mempermudah pengawasan dan pengelolaan risiko TIK.

Sistem Informasi Manajemen Risiko TIK mengelola informasi antara lain jadwal

13

penilaian risiko TIK, profil risiko, Action Plan mitigasi Risiko TIK, dan informasi terkait

lainnya.

3. Business Impact Analysis (BIA) adalah kegiatan mengidentifikasi proses bisnis inti

dan potensi dampak yang diderita apabila terjadi gangguan terhadap kelangsungan

proses tersebut.

4. Kelemahan (vulnerability) adalah kekurangan atau kerentanan dalam prosedur,

rancangan, dan implementasi keamanan sistem, atau kontrol internal yang dapat

dieksploitasi sehingga menyebabkan pelanggaran terhadap kebijakan keamanan

sistem.

5. Kontrol adalah sarana atau metode yang digunakan sebagai pengendali risiko.

6. Layanan TIK adalah fasilitas yang terdiri dari gabungan komponen teknologi, proses,

dan personil dalam rangka penyelenggaraan sistem informasi yang direncanakan,

dikembangkan, dioperasikan, dan dipelihara oleh Unit Kerja TIK baik secara terpusat

maupun terdistribusi, yang digunakan untuk memenuhi kepentingan pemenuhan tugas

dan fungsi unit kerja terkait maupun DJP pada umumnya. Layanan TIK yang dicakup

adalah Layanan yang terdaftar dalam Katalog Layanan TIK.

7. Mitigasi Risiko TIK adalah pengambilan langkah-langkah strategis dalam rangka

mengurangi dampak yang ditimbulkan oleh risiko TIK.

8. Penanggung Jawab Mitigasi Risiko TIK adalah pihak yang ditunjuk sebagai

penanggung jawab terhadap pelaksanaan mitigasi risiko TIK.

9. Penetration test adalah suatu metode untuk mengevaluasi keamanan dari suatu sistem

dengan cara menyimulasikan serangan dari sumber berbahaya.

10. Pengguna Layanan TIK yang selanjutnya disebut sebagai Pengguna adalah pihak-

pihak yang menggunakan/ memanfaatkan Layanan TIK melalui perangkat Teknologi

Informasi dan Komunikasi. Pengguna terdiri dari pihak internal yaitu pegawai DJP

maupun pihak eksternal (misalnya Wajib Pajak, mitra DJP, instansi terkait, Pihak Ketiga

Penyedia Barang/Jasa, dan lain-lain).

11. Penilaian Risiko (Risk Assessment) adalah kegiatan untuk:

11.1. Menentukan prioritas risiko berdasarkan peluang terjadinya gangguan kegiatan

dan Layanan TIK Utama;

11.2. Mengidentifikasi ancaman-ancaman terhadap kegiatan dan Layanan TIK Utama;

11.3. Mengidentifikasi kelemahan yang dapat meningkatkan risiko berdasarkan

ancaman yang ada; dan/atau

12. Risiko adalah segala sesuatu yang berdampak negatif terhadap pencapaian tujuan

yang diukur berdasarkan kemungkinan dan dampaknya.

13. Risiko residual (residual risk) adalah risiko yang tersisa setelah dilakukan penerapan

kontrol melalui mitigasi risiko.

14. Unit Kerja TIK DJP yang selanjutnya disebut sebagai Unit Kerja TIK adalah Direktorat

Teknologi Informasi Perpajakan (TIP) dan Direktorat Transformasi Teknologi

Komunikasi dan Informasi (TTKI).

1

KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL PAJAK

DIREKTORAT ………………………………………….

Jl. ………………………………….. Telepon : ......................... Fax : ......................... Homepage: http://www.pajak.go.id

FORMULIR BUSINESS IMPACT ANALYSIS

A. PENJELASAN PROSES BISNIS

1. Nama Proses Bisnis: [1]

2. Kode: [2]

3. Pihak-pihak yang terlibat: [3]

Pihak yang terlibat Jumlah

4. Deskripsi Proses Bisnis: [4]

5. Proses Bisnis lain yang terkait: [5]

6. Data/Informasi yang disajikan:

Jenis Data Klasifikasi*

[6] [7]

• diisi dengan Sangat Rahasia, Rahasia, Terbatas, atau Publik

7. Periode Puncak/Peak Time (Pilih satu atau lebih): [8]

Januari □ Senin □ Pertengahan-Akhir minggu □ Februari □ Selasa □ Pertengahan-Akhir bulan □ Maret □ Rabu □ Pertengahan-Akhir kuartal □ April □ Kamis □ Pertengahan-Akhir semester □ Mei □ Jumat □ Awal-pertengahan minggu □ Juni □ Sabtu □ Awal-pertengahan bulan □ Juli □ Minggu □ Awal-pertengahan kuartal □

Lampiran I Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi

2

Agustus □ Awal-pertengahan semester □ September □

Oktober □ □ Lainnya (jelaskan):__________________

November □ Contoh: setiap tanggal 15 setiap bulan

Desember □

8. Layanan/Aplikasi/Sistem Informasi yang digunakan

Nama Layanan TIK, Aplikasi, Sistem

Informasi

[9]

Jumlah Pengguna [10]

Aset TIK/perangkat di Data Center

[11]

Perangkat TIK yang digunakan

selain di DC

[12]

Berapa Lama proses bisnis dapat

berjalan tanpa aplikasi/sistem

informasi

[13]

9. Prosedur Alternatif Manual/Semi manual saat Aplikasi/Sistem Informasi tidak

tersedia: [14]

□ Ada (lampirkan)

□ Tidak ada

MOR (Minimum Operating Requirement) atau peralatan minimal yang

dibutuhkan untuk menjalankan proses bisnis jika sistem informasi/aplikasi tidak

tersedia: [15]

3

B. SCORING:

1. ASPEK CONFIDENTIALITY

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

1. Kriteria data/informasi yang diolah/disediakan pada proses ini*

Sangat Rahasia

Rahasia

Terbatas

Publik

Sangat Tinggi

Tinggi

Menengah

Rendah

4

3

2

1

*Keterangan:

Kategori Uraian Contoh Impact

Rating

Sangat Rahasia

Informasi yang jika diungkapkan secara tak berwenang dapat membuat kerusakan yang parah terhadap DJP. - Informasi yang secara alamiah bersifat sangat sensitif - Yang memerlukan verifikasi pejabat terhadap keperluan penerima informasi

(“need to know”) sebelum informasi boleh diberikan - Pengungkapan informasi akan menyebabkan kerugian besar secara finansial,

pelanggaran hukum, peraturan dan undang-undang, atau gangguan terhadap reputasi DJP, Wajib Pajak, atau karyawan DJP

- Laporan-laporan penting yang berisiko tinggi - Password milik root/operator dan PIN - Rencana strategis jangka panjang - Strategi investasi - Informasi sensitif tentang Wajib Pajak - Produk Hukum transaksi perpajakan, - dll

4

Rahasia Informasi yang jika diungkapkan secara tak berwenang dapat membuat kerusakan pada DJP. - Informasi yang harus tersedia secara luas untuk dapat menjalankan tugas,

tetapi harus tetap berada dalam pengendalian DJP dan tidak boleh diungkapkan ke publik tanpa ijin

- Pengungkapan informasi akan menyebabkan kerugian yang tidak diinginkan pada DJP, pelanggannya, pemasoknya dan atau karyawannya

- Laporan yang tidak diperuntukkan bagi publik - Laporan audit internal - Rencana kerja - Informasi penggajian (payroll) - Data pengadaan - Rencana pemulihan bencana (disaster recover plans) - Informasi Sumber Daya Manusia - Dokumentasi sistem informasi DJP , source-code, - dll

3

Terbatas/ Internal Informasi yang jika diungkapkan secara tak berwenang ke pihak diluar DJP akan

membuat hal-hal yang tidak diinginkan secara administratif dan keamanan. Ini adalah informasi diluar dua klasifikasi di atas, tapi tetap harus dilindungi keamanannya. - Tidak diperuntukkan untuk diungkapkan ke publik

- Konsep-konsep milik DJP - Data riset dan pengembangan - Bagan organisasi - Kebijakan-kebijakan TIK - Materi pelatihan - Daftar nomor telepon pegawai internal - dll.

2

Publik - Dokumen-dokumen, informasi atau materi yang dapat diungkapkan ke publik - Penyebaran ke publik melalui jalur-jalur resmi

- iklan DJP - Keterangan pers (Press releases) - Artikel-artikel majalah dan koran - Laporan tahunan

1

4

2. ASPEK INTEGRITY

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

1. Potensi dampak terhadap Pelaksanaan Tugas DJP akibat kehilangan Keutuhan Data dalam proses ini*.

Katastropik

Besar/signifikan

Minimal

Tidak ada

Sangat Tinggi

Tinggi

Menengah

Rendah

4

3

2

1

*Keterangan: Dampak Pontensial Impact

Rating Dampak negatif yang Parah atau katastropik - menyebabkan penurunan efektivitas yang parah pada fungsi Pelaksanaan Tugas sehingga DJP tidak dapat menjalankan fungsi utamanya - kerugian parah secara finansial, kerusakan parah pada sistem dan membahayakan keselamatan karyawan atau pihak lain sampai adanya

kerugian jiwa atau cedera yang membahayakan jiwa.

4

Dampak negatif yang Besar/Signifikan, dengan konsekuensi yang berat - menyebabkan penurunan efektivitas yang besar pada fungsi Pelaksanaan Tugas, tetapi DJP masih dapat menjalankan fungsi utamanya - kerugian besar secara finansial, kerusakan besar pada sistem dan membahayakan keselamatan karyawan atau pihak lain, tetapi tidak

mengakibatkan kehilangan jiwa atau cedera yang membahayakan jiwa.

3

Dampak minimal - menyebabkan sedikit penurunan efektivitas fungsi tetapi DJP masih dapat melakukan fungsi utamanya - kerugian minimal secara finansial, kerusakan minimal pada sistem atau ancaman cedera karyawan atau pihak lainnya. - masih dapat menjalankan fungsi utamanya, tetapi efektifitas fungsi terlihat jelas berkurang - kerugian kecil secara finansial, kerusakan kecil pada sistem atau ancaman cedera bagi karyawan atau pihak lainnya.

2

Tidak ada dampak 1

3. ASPEK AVAILABILITY

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

1. Dampak terhadap pelaksanaan Tugas DJP akibat ketidaktersediaan data/informasi pada proses ini*

s.d. 1 hari

2-4 hari

5-7 hari

> 1 minggu

>12 bulan

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

5

4

3

2

1

- Materi sosialisasi peraturan perpajakan - nomor telepon DJP yang diperuntukkan bagi pelayanan publik - dll.

5

*Keterangan:

Dampak Potensial Impact Rating

Toleransi maksimum terhadap gangguan/downtime adalah 1 hari 5

Toleransi maksimum terhadap gangguan/downtime adalah 2-4 hari 4

Toleransi maksimum terhadap gangguan/downtime 5-7 hari 3

Toleransi maksimum terhadap gangguan/downtime lebih dari 1 minggu 2

Toleransi maksimum terhadap gangguan/downtime lebih lama dari 12 bulan 1

4. ASPEK TINGKAT KRITIKALITAS

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

2. Seberapa besar dampak dari ketidak-tersediaan sistem terhadap tugas DJP dan kelangsungan kegiatan operasional utamanya?

Sangat besar

Besar

Cukup besar

Minimal

Tidak ada

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

3. Seberapa jauh DJP bergantung pada sistem dalam kondisi krisis?

Misalnya: pada saat pemulihan dari kondisi bencana (Disaster recovery), kelangsungan fungsi utama DJP dll.

Sangat bergantung

Bergantung berat

Cukup bergantung

Minimal

Tidak tergantung

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

4. Seberapa jauh dampak sistem terhadap tugas/misi DJP dan kelangsungan kegiatan operasional utamanya jika sistem mengalami gangguan lebih lama dari toleransi waktu gangguan maksimal?

Negara

Sektor Ekonomi

Kementerian

Direktorat Jenderal

Tidak ada

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

6

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

5. Berapa banyak staf DJP yang akan terkena dampak jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal

>500 orang

350 to 500

200 to 350

150 to 300

100 to 150

50 to 100

25 to 50

10 to 25

1 to 10

Tidak ada

Jumlah =

NA

10

9

8

7

6

5

4

3

2

1

6. Berapa banyak pihak luar (misalnya: kemeterian/lembaga lain, pemasok, pihak ketiga, kontraktor, dll) yang akan terkena dampak jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?

>30000

20000 ~ 30000

10000 ~ 20000

5000 ~ 10000

1000 ~ 5000

500 ~ 1000

100 ~ 500

50 ~ 100

0 ~ 50

Tidak ada

Jumlah=

NA

10

9

8

7

6

5

4

3

2

1

7. Seberapa sensitif informasi yang tersimpan dalam sistem?

Sangat Rahasia

Rahasia

Terbatas

Publik

Sangat Tinggi

Tinggi

Menengah

Rendah

7-8

5-6

3-4

1-2

8. Seberapa tinggi tingkat mission critical sistem ini bagi DJP?

Catatan: Mission Critical berarti segala proses yang menggunakan komputer yang tidak boleh gagal selama jam kerja normal. Beberapa proses yang menggunakan komputer harus berjalan sepanjang hari dan

Sangat kritis

Kritis

Cukup kritis

Minimal

Tidak kritis

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4 1-2

7

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

membutuhkan ketersediaan komputer (uptime) sebesar 100%.

SUBTOTAL

5. ASPEK WAKTU KRITIKALITAS

No PERTANYAAN ALASAN JAWABAN RISIKO Interval Nilai

NILAI

1. Saat masa sibuk, berapa lama anda dapat mentoleransi gangguan/ketidaktersediaan sistem?

1 jam

4 jam

8 jam

1 hari

3 hari

5 hari

1 minggu

2 minggu

1 bulan

lebih dari 1 bulan

NA

10

9

8

7

6

5

4

3

2

1

2. Saat terjadi sistem tidak berfungsi, seberapa besar dampaknya pada pelayanan terhadap masyarakat (wajib pajak) atau lembaga pemerintah?

Dampak Sangat Besar

Dampak Besar

Dampak Sedang

Dampak Minimal

Tidak ada dampak

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

3. Apakah ada proses manual yang dapat diaktifkan sehingga dapat memberikan pelayanan minimal saat sistem mengalami gangguan?

Jika menjawab YA, isi nomor 4 dan 5

Jika menjawab TIDAK, langsung ke aspek Ketergantungan dan Kerumitan sistem

Tidak

Ya

Tinggi

Rendah

2

1

4. Apakah proses manual dirasakan membantu saat sistem tidak berfungsi?

Tidak membantu

Bantuan Minimal

Cukup Membantu

Bantuan Besar

Ekstrem

Sangat Tinggi

Tinggi

Menengah

9-10

7-8

5-6

3-4

8

No PERTANYAAN ALASAN JAWABAN RISIKO Interval Nilai

NILAI

Sangat Membantu Rendah 1-2

5. Berapa lama proses manual dapat dijalankan?

1 jam

4 jam

8 jam

1 hari

3 hari

5 hari

1 minggu

2 minggu

1 bulan

lebih dari 1 bulan

NA

10

9

8

7

6

5

4

3

2

1

SUBTOTAL

6. ASPEK KETERGANTUNGAN DAN KERUMITAN SISTEM

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

1. Sejauh mana pihak luar (Satuan Kerja, Kementerian atau Lembaga lain) bergantung ke sistem ini?

Sangat bergantung

Bergantung berat

Cukup bergantung

Minimal

Tidak tergantung

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

2. Sejauh mana sistem ini bergantung ke pihak luar (mitra, vendor, teknisi dari pabrikan)?

Sangat bergantung

Bergantung berat

Cukup bergantung

Minimal

Tidak tergantung

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

3. Seberapa rumitkah sistem ini?

misalnya: sistem ini sangat rumit sehingga harus bertanya ke berbagai orang di DJP/mitra kerja dan membaca dokumentasi sistem untuk dapat menguasainya.

Sangat rumit

Rumit

Cukup rumit

Minimal

Tidak rumit

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

9

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

SUBTOTAL

4. ASPEK DAMPAK

a. DAMPAK MATERI

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

1. Apakah aplikasi ini secara langsung mengakibatkan menurunnya kinerja (tidak tercapainya target kinerja) pada DJP jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?

Ya

Tidak

Tinggi

Rendah

2

1

SUBTOTAL

b. DAMPAK NON-MATERI

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

1. Bagaimana dampak terhadap citra DJP jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?

Dampak Sangat Besar

Dampak Besar

Dampak Sedang

Dampak Minimal

Tidak ada dampak

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

2. Seberapa besar dampak terhadap kredibilitas dan reputasi DJP jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?

Dampak Sangat Besar

Dampak Besar

Dampak Sedang

Dampak Minimal

Tidak ada dampak

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

3. Seberapa besar dampak terhadap keyakinan dan kepercayaan publik pada DJP jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?

Dampak Sangat Besar

Dampak Besar

Dampak Sedang

Dampak Minimal

Tidak ada dampak

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

4. Seberapa besar dampak terhadap pengguna, Dampak Sangat Besar Ekstrem 9-10

10

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

kinerja staf atau waktu produktif jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?

Dampak Besar

Dampak Sedang

Dampak Minimal

Tidak ada dampak

Sangat Tinggi

Tinggi

Menengah

Rendah

7-8

5-6

3-4

1-2

5. Seberapa besar dampaknya pada DJP jika informasi secara sengaja atau tidak sengaja diubah?

Dampak Sangat Besar

Dampak Besar

Dampak Sedang

Dampak Minimal

Tidak ada dampak

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

6. Seberapa besar dampaknya pada DJP jika terjadi kebocoran informasi pribadi/data yang ada dalam sistem ini?

Dampak Sangat Besar

Dampak Besar

Dampak Sedang

Dampak Minimal

Tidak ada dampak

Ekstrem

Sangat Tinggi

Tinggi

Menengah

Rendah

9-10

7-8

5-6

3-4

1-2

SUBTOTAL

c. DAMPAK TERHADAP MISI DJP

No PERTANYAAN ALASAN JAWABAN RISIKO Interval

Nilai

NILAI

1. Peran apa yang dimainkan sistem ini dalam mendukung misi DJP?

Karena berpengaruh terhadap indeks performa DJP, yaitu penerimaan

Peran Utama

Pendukung

Tidak Langsung

Tidak ada

Ekstrem

Tinggi

Menengah

Rendah

7-8

5-6

3-4

1-2

2. Apakah ada proses atau sistem lain yang dapat digunakan sebagai pengganti saat sistem ini tidak tersedia?

Karena syarat sah pembayaran adalah terdapat NTPN

Tidak

Ya

Tinggi

Rendah

2

1

3. Bagaimana dampaknya jika DJP dituntut secara hukum akibat adanya kehilangan keutuhan dan/atau kerahasiaan data?

Karena DJP bukan bertindak sebagai pemilik data

Dampak Sangat Besar

Dampak Besar

Dampak Sedang

Dampak Minimal

Ekstrem

Sangat Tinggi

Tinggi

Menengah

9-10

7-8

5-6

3-4

11

pembayaran, karena pemiliknya adalah Kementerian keuangan

Tidak ada dampak

Rendah 1-2

SUBTOTAL

TOTAL SKOR (jumlahkan dari seluruh skor dari masing-masing aspek)

Disetujui Oleh: Tempat/tanggal Tanda tangan

Nama :

NIP :

Nama :

NIP :

Nama :

NIP :

12

Petunjuk Pengisian:

[1] diisi dengan nama proses bisnis

[2] diisi dengan kode proses bisnis jika ada (sesuai pengkodean yang dikeluarkan oleh

Direktorat TPB)

[3] diisi dengan pihak-pihak yang terlibat dan estimasi jumlahnya

[4] diisi dengan deskripsi mengenai proses bisnis

[5] diisi dengan nama proses bisnis lainnya yang terkait

[6] diisi dengan jenis data yang diolah atau disajikan dalam proses ini (contoh: data

pembayaran, data penagihan)

[7] diisi dengan klasifikasi data yang diolah atau disajikan

[8] diisi dengan periode puncak/peak time untuk menjalankan proses bisnis ini

[9] diisi dengan Layanan TIK/aplikasi/sistem informasi yang digunakan untuk mendukung

proses ini

[10] diisi dengan estimasi jumlah pengguna Layanan TIK/aplikasi/sistem informasi

[11] diisi dengan aset TIK/perangkat di Data Center (DC) yang mendukung Layanan

TIK/aplikasi/sistem informasi

[12] diisi dengan perangkat TIK yang digunakan selain di DC

[13] diisi dengan lama waktu proses bisnis dapat berjalan tanpa aplikasi/sistem informasi

[14] diisi dengan mengisi tanda cek list pada salah satu pilihan (ada atau tidak ada)

[15] diisi dengan peralatan minimal yang dibutuhkan untuk menjalankan proses bisnis jika

sistem informasi/aplikasi tidak tersedia.

1

KEMENTERIAN KEUANGAN REPUBLIK INDONESIA

DIREKTORAT JENDERAL PAJAK DIREKTORAT ………………………………………….

Jl. ………………………………….. Telepon : ......................... Homepage: http://www.pajak.go.id Fax : .........................

TABEL BUSINESS IMPACT ANALYSIS

No Nama Proses Bisnis/Fungsi

Aspek Confidentiality

Aspek Integrity

Aspek Availability

Aspek Kritikalitas Ketergantungan dan

Kerumitan Sistem

Aspek Dampak

Total Nilai Kualifikasi Kritikalitas

RPO RTO WRT MTO

Strategi Backup & recovery

Tingkat Waktu Materi Non

Materi Misi DJP

Tipe Media Strategi

1 2 3 4 5 6 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Persetujuan

Nama/NIP Tanggal Tanda Tangan

23 24 25

Lampiran II Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi

2

Petunjuk Pengisian:

1. diisi nomor urut

2. diisi nama proses bisnis/fungsi yang dinilai kritikalitasnya

3. diisi skor/nilai aspek Confidentiality

4. diisi skor/nilai aspek Integrity

5. diisi skor/nilai aspek Availability

6. diisi skor/nilai aspek tingkat Kritikalitas

7. diisi skor/nilai aspek waktu Kritikalitas

8. diisi skor/nilai aspek ketergantungan dan kerumitan sistem

9. diisi skor/nilai aspek Dampak Materi

10. diisi skor/nilai aspek Dampak Non Materi

11. diisi skor/nilai aspek Dampak terhadap Misi DJP

12. diisi dengan penjumlahan atau total skor/nilai dari kolom 2 sampai dengan kolom 13

13. diisi dengan kualifikasi kritikalitas berdasarkan total skor (Kritikal, Tinggi, Sedang, Rendah)

14. diisi dengan target RPO

15. diisi dengan target RTO

16. diisi dengan target WRT

17. diisi dengan target MTO

18. diisi dengan Tipe Backup (Full/ Incremental)

19. diisi dengan Media Backup (Tape, CD, dll)

20. diisi dengan Strategi Recovery (Hot Recovery, Warm Standby, Cold Standby)

1

FORMULIR PENETAPAN KONTEKS

PENILAIAN RISIKO TIK DJP

NAMA SISTEM/LAYANAN TIK : .................................................................................................................. [1]

TINGKAT KRITIKALITAS : .................................................................................................................. [2]

A. Data-Data Umum

Deskripsi Singkat Mengenai Sistem/Layanan TIK

.................................................................................................................................................................

.................................................................................................................................................................

................................................................................................................................................................. [3]

Tujuan/Sasaran dari Sistem/Layanan TIK

.................................................................................................................................................................

.................................................................................................................................................................

................................................................................................................................................................. [4]

Pemilik/Penanggung Jawab Sistem/Layanan

No. Jabatan Tanggung Jawab

[5] [6]

Lampiran III Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi

2

B. Arsitektur Sistem/Layanan TIK beserta Arsitektur Keamanannya [7]

C. Diagram Proses/Alur Kerja [8]

3

D. Data/Dokumen

No Nama Data Uraian Input/Output Sensitivitas

[9] [10] [11] [12]

E. Sistem Pendukung, Perangkat Pendukung, dan Lingkungan Operasional

No Kategori Nama [13]

Lokasi [14]

Penanggung Jawab [15]

Fungsi [16]

Keterangan [17]

1 Hardware

2 Software Pendukung

3 Sarana/Perangkat

Pendukung/Lokasi

F. Pihak-Pihak Yang Terlibat

Ø Pengelola

No Jabatan Tanggung Jawab Keterangan

[18] [19] [20]

4

Ø Pengguna

No Daftar Pengguna Keterangan

[21] [22]

Ø Pihak Ketiga

No Instansi/Perusahaan Nama Orang Tanggung Jawab Keterangan

[23] [24] [25] [26]

G. Keterangan Lain-Lain

Uraian dan Keterangan Tambahan .................................................................................................................................................................

.................................................................................................................................................................

................................................................................................................................................................. [27]

5

H. Kriteria Analisis Risiko

Tingkat Dampak dan Dasar Penentuan Kriterianya

No Tingkat Dampak Dasar Penentuan Kriteria Dampak 1 Tinggi - Menimbulkan korban jiwa

- Menyebabkan terhentinya pelayanan - Sangat mengancam visi, misi, dan reputasi DJP - Menimbulkan konsekuensi hukum berat - ....................................................................... [28]

2 Sedang - Menyebabkan kerugian terhadap aset DJP - Menimbulkan korban - ....................................................................... [29]

3 Rendah - Menyebabkan kerugian terhadap sejumlah aset DJP - ....................................................................... [30]

Peluang Kejadian

No Tingkat Peluang Kejadian

Keterangan

1 Tinggi Peluang kejadian sering atau hampir pasti terjadi, atau sulit dilakukan tindakan pengendaliannya

2 Sedang Sudah pernah terjadi sebelumnya atau belum dilakukan tindakan pengendalian yang memadai

3 Rendah Peluang kejadian jarang atau tidak pernah terjadi, atau telah dilakukan tindakan pengendalian yang memadai.

6

Matriks Penentuan Level Risiko

MATRIKS PENENTUAN LEVEL RISIKO

Kemungkinan Terjadinya Ancaman

Dampak

Rendah (10) Sedang (50) Tinggi (100) Tinggi (1.0) Rendah

10 x 1.0 =10 Sedang

50 x 1.0 = 5 Tinggi

100 x 1.0 = 100 Sedang (0.5) Rendah

10 x 0.5 = 5 Sedang

50 x 0.5 = 25 Sedang

100 x 0.5 = 50 Rendah (0.1) Rendah

10 x 0.1 = 1 Rendah

50 x 0.1 = 5 Rendah

100 x 0.1 = 10 Skala Risiko:

Tinggi (> 50 hingga 100) Sedang (> 10 hingga 50) Rendah (1 hingga 10)

Keterangan Skala Risiko

Tinggi, apabila level risiko tinggi, maka terdapat kebutuhan untuk melakukan tindakan korektif sesegera mungkin

Sedang, apabila level risiko sedang, maka tindakan korektif diperlukan dan harus dikembangkan rencana untuk menjalankan tindakan ini dalam periode waktu

yang tidak terlalu lama

Rendah, apabila level risiko rendah, maka X harus menentukan apakah diperlukan tindakan korektif, atau risiko yang ada akan diterima.

7

Petunjuk Pengisian

(1) Diisi dengan nama sistem/layanan TIK yang menjadi obyek penilaian risiko TIK (2) Diisi dengan tingkat kritikalitas sistem/layanan TIK sesuai hasil Business Impact

Analysis (3) Diisi dengan deskripsi singkat mengenai sistem/layanan TIK (4) Diisi dengan tujuan/sasaran dari sistem/layanan TIK (5) Diisi dengan jabatan dari pemilik/penanggung jawab sistem/layanan TIK (6) Diisi dengan uraian tanggung jawab dari pemilik/penanggung jawab sistem/layanan

TIK (7) Diisi dengan diagram arsitektur sistem/layanan beserta arsitektur keamanannya. (8) Diisi dengan diagram proses/alur kerja dari sistem/layanan TIK

Data/Dokumen

(9) Diisi dengan nama data/dokumen yang menjadi input/output dari sistem/layanan TIK (10) Diisi dengan uraian singkat tentang data/dokumen sebagaimana dimaksud pada

angka [9] (11) Diisi dengan jenis dokumen (input atau output) (12) Diisi dengan kategori sensitivitas dokumen (Publik/Terbatas/Rahasia/Sangat

Rahasia)

Sistem Pendukung, Perangkat Pendukung & Lingkungan Operasional

(13) Diisi dengan Nama (14) Diisi dengan lokasi (15) Diisi dengan pejabat/petugas penanggung jawab (16) Diisi dengan fungsinya (17) Diisi dengan uraian singkat/keterangan

Pihak-Pihak yang Terlibat: Pengelola

(18) Diisi dengan Jabatan Pengelola (19) Diisi dengan Tanggung Jawab Pengelola (20) Diisi dengan uraian/keterangan singkat bila perlu

Pihak-Pihak Terkait: Pengguna

(21) Diisi dengan Daftar Pengguna (22) Diisi dengan Keterangan atau Uraian Singkat

Pihak-Pihak Terkait: Pihak Ketiga

(23) Diisi dengan Perusahaan Pihak Ketiga (24) Diisi dengan Nama Pegawai Perusahaan Pihak Ketiga (25) Diisi dengan Tanggung Jawab Pihak Ketiga (26) Diisi dengan Keterangan atau uraian singkat

Keterangan Lain-Lain

(27) Diisi dengan uraian dan keterangan tambahan terkait sistem/layanan TIK yang belum terjabarkan

Kriteria Analisis Risiko

(28) Diisi dengan dasar penentuan kriteria dampak Tinggi. Dapat diisi pada tahap Analisis Risiko

(29) Diisi dengan dasar penentuan kriteria dampak Sedang. Dapat diisi pada tahap Analisis Risiko

(30) Diisi dengan dasar penentuan kriteria dampak Tinggi. Dapat diisi pada tahap Analisis Risiko

1

Nama Sistem/Aplikasi/Layanan TIK : ......................................................................... [1]

FORMULIR IDENTIFIKASI & ANALISIS RISIKO TIK

No Atribut/

Komponen Pendukung

Keterangan/ Uraian/Nama

Jenis Risiko [2]

ANCAMAN

Kelemahan [5]

Kontrol [6]

Peluang Kejadian (Sering/ Sedang/ Jarang)

[7]

Tingkat Dampak (Tinggi/ Sedang/ Rendah)

[8]

Level Risiko

(Tinggi/ Sedang/ Rendah)

[9]

Tren Risiko (Naik/ Turun/ Stabil)

[10]

Tindakan Ancaman

yang Mungkin Terjadi

[3]

Sumber Ancaman/ Penyebab/ Motivasi Ancaman

[4] 1 Hardware

NATURE/

HUMAN CAUSED/

TECHNICAL*)

2 Software

NATURE/ HUMAN

CAUSED/ TECHNICAL*)

3 SDM

NATURE/ HUMAN

CAUSED/ TECHNICAL*)

4 Lokasi/ Sarana/ Fasilitas

NATURE/ HUMAN

CAUSED/ TECHNICAL*)

5 Dokumen

NATURE/ HUMAN

CAUSED/ TECHNICAL*)

6 Lainnya

NATURE/ HUMAN

CAUSED/ TECHNICAL*)

Lampiran IV Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi

*) Coret yg tidak perlu

2

Petunjuk Pengisian

(1) Diisi dengan nama sistem/layanan TIK yang menjadi obyek penilaian risiko TIK (2) Diisi dengan jenis risiko TIK yang diidentifikasi (3) Diisi dengan tindakan ancaman yang mungkin terjadi (4) Diisi dengan sumber ancaman/penyebab/motivasi dari ancaman sebagaimana

dimaksud pada angka 3 (5) Diisi dengan kelemahan yang terdapat dalam sistem/atribut/komponen pendukung

terkait dengan ancaman yang mungkin terjadi (6) Diisi dengan kontrol yang terdapat dalam sistem/atribut/komponen pendukung terkait

dengan ancaman yang mungkin terjadi (7) Diisi dengan peluang kejadian dari ancaman sebagaimana dimaksud pada angka 3

dengan mempertimbangkan kelemahan dan kontrol yang ada (8) Diisi dengan tingkat dampak dalam hal ancaman benar-benar terjadi sesuai dengan

kriteria evaluasi risiko TIK pada Lampiran IV. (9) Diisi dengan level risiko TIK dengan mempertimbangkan peluang kejadian dan tingkat

dampak, menggunakan matriks penentuan level risiko TIK pada Lampiran IV (10) Diisi dengan tren risiko pada saat evaluasi risiko TIK, dengan cara membandingkan

level risiko TIK saat ini dengan level risiko sesuai profil risiko TIK sebelumnya

1

KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL PAJAK

DIREKTORAT .....................................................................................................

Jl......................... Telepon.......................... Homepage: http://www.pajak.go.id Fax ...............................

LAPORAN PELAKSANAAN PENILAIAN RISIKO TIK

I. Pendahuluan

1. Tujuan 2. Ruang Lingkup Penilaian Risiko 3. Lampiran III

II. Pendekatan Penilaian Risiko

Berisi penjelasan singkat mengenai pendekatan yang digunakan dalam pelaksanaan penilaian risiko, misalnya: 1. Para anggota tim penilai risiko 2. Teknik yang digunakan dalam menghimpun informasi (wawancara, riset, evaluasi

dokumen, dan sebagainya) 3. Kriteria dampak dan skala risiko yang digunakan

III. Hasil Penilaian Risiko TIK Lampiran IV

IV. Rangkuman No Risiko *) Skala Prioritas Rekomendasi Kontrol *) Risiko diurutkan berdasarkan skala dan prioritasnya Menyetujui, Diretur Transformasi Teknologi Komunikasi dan Informasi (..............................................) NIP ...................................

Mengetahui, Kepala Subdirektorat Analisis dan Evaluasi Sistem Informasi (......................................) NIP .................................

Lampiran V Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi

1

ACTION PLAN MITIGASI RISIKO TIK

Risiko

(Pasangan Kelemahan/ Ancaman)

Skala Risiko Rekomendasi Kontrol

Prioritas Tindakan

Kontrol Terpilih

Sumberdaya yang

Dibutuhkan

Penanggung Jawab

Mitigasi Risiko

Tanggal Mulai/ Selesai

Keterangan Lain-Lain

(1) (2) (3) (4) (5) (6) (7) (8) (9) Petunjuk Pengisian Action Plan Mitigasi Risiko TIK: 1. Diisi dengan risiko yang telah diidentifikasi dari tahap Penilaian Risiko TIK 2. Skala risiko yang diperoleh 3. Kontrol yang direkomendasikan berdasarkan penilaian risiko TIK 4. Diisi dengan Tinggi, Sedang, Rendah, sesuai dengan skala risikonya 5. Diisi dengan kontrol yang terpilih sesuai dengan hasil cost-benefit analysis. 6. Diisi dengan sumberdaya yang dibutuhkan dalam menerapkan kontrol yang dipilih 7. Diisi dengan pihak-pihak yang menjadi penanggung jawab mitigasi risiko TIK, bisa dari pegawai atau pihak ketiga 8. Diisi dengan target tanggal mulai dan tanggal akhir pelaksanaan mitigasi risiko TIK 9. Diisi dengan uraian yang dibutuhkan untuk menjelaskan mitigasi risiko TIK.

Lampiran VI Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi