Embed Size (px)
Citation preview
1
Panduan Kuesioner Sistem ManajemenPengamanan Informasi
DR. Hasyim Gautama, CISM, ISMS-LA
Direktorat Keamanan InformasiDitjen Aplikasi Informatika
Yogyakarta, 10 Maret 2015
Pengamanan Sistem Elektronik bagi PenyelenggaraSistem Elektronik untuk Pelayanan Publik diatur dalamPP PSTE Pasal 20 Ayat (1) dan (2), yaitu:(1) Penyelenggara Sistem Elektronik wajib memiliki dan
menjalankan prosedur dan sarana untukpengamanan Sistem Elektronik dalam menghindarigangguan, kegagalan, dan kerugian.
(2) Penyelenggara Sistem Elektronik wajib menyediakansistem pengamanan yang mencakup prosedur dansistem pencegahan dan penanggulangan terhadapancaman dan serangan yang menimbulkangangguan, kegagalan, dan kerugian.
Pendahuluan
Amanat Penyusunan Peraturan Menteri
Penyusunan Peraturan Menteri tentang SistemPengamanan diamanatkan oleh PP PSTE dalamPasal 20 Ayat (4), yaitu:(4) Ketentuan lebih lanjut mengenai sistem
pengamanan sebagaimana dimaksud pada ayat(2) diatur dalam Peraturan Menteri.
Peraturan Menteri Kominfo: Sistem ManajemenPengamanan Informasi
Asas dan Ruang Lingkup
• AsasPeraturan Menteri ini bertujuan untuk mengaturpenerapan Sistem Manajemen PengamananInformasi dalam penyelenggaraan SistemElektronik berdasarkan Asas Risiko
• Ruang LingkupMencakup Penyelenggara Sistem Elektronikuntuk Pelayanan Publik.
Kategorisasi Sistem Elektronik
No SistemElektronik
Penetap Standar Audit
1 Strategis InstansiPengawas danPengatur Sektor
SNI 27001 dan aturansektor
LembagaSertifikasi
2 Tinggi Menteri Kominfo SNI 27001 LembagaSertifikasi
3 Rendah Menteri Kominfo IndeksKAMI
PenilaianMandiri
Kategorisasi Sistem Elektronik didasarkan pada 10 kriteria
Kriteria Kategorisasi Sistem Elektronik
1. Nilai Investasi
2. Total AnggaranOperasional Tahunan
3. Kewajiban Kepatuhanthd Peraturan
4. Algoritma Khusus
5. Jumlah PenggunaSistem Elektronik
6. Data Pribadi yang dikelola SistemElektronik
7. Tingkat kekritisan Data dalam SistemElektronik
8. Tingkat kekritisanProses dalam SistemElektronik
9. Dampak KegagalanSistem Elektronik
10. Potensi kerugianakibat ditembusnyaSistem Elektronik
Pertanyaan 1 - 4No Kriteria A B C
1 Nilai investasisistem elektronikyang terpasang
Lebih dari 30 miliar rupiah
3 miliar rupiah sampai dengan 30 miliar rupiah
Kurang dari 3 miliar rupiah
2 Total anggaran operasional tahunberjalan yang dialokasikan untuk pengelolaan Sistem Elektronik
Lebih dari 10 miliar rupiah
1 miliar rupiah sampai dengan 10 miliar rupiah
Kurang dari 1 miliar rupiah
3 Memiliki kewajiban kepatuhan terhadap peraturan atau standar tertentu
Peraturan atau standar nasional dan internasional
Peraturan atau standar nasional
Tidak ada peraturan khusus
4 Menggunakan algoritma khusus untuk keamanan informasi dalam sistem elektronik
Algoritma khusus yang digunakan negara
Algoritma standar publik
Tidak ada algoritmakhusus
Pertanyaan 5 - 7NO Kriteria A B C
5 Jumlah pemilik akun yang menggunakan SistemElektronik
Lebih dari5000 pemilik akun
1000 sampaidengan 5000 pemilik akun
Kurangdari 1000 pemilik akun
6 Data Pribadi yang dikelolaSistem Elektronik
Data Pribadiyang memilikihubungandenganData Pribadilainnya
Data Pribadi yang bersifat individudan/atau DataPribadi yang terkait dengankepemilikanbadan usaha
Tidak adaDataPribadi
7 Tingkat klasifikasi / kekritisan data yang adadalam sistem elektronik, relatif terhadap ancamanupaya penyerangan ataupenerobosan keamananinformasi (merujuk pada Pedoman Tata Naskah Dinas Instansi Pemerintah Nomor 80 Tahun 2012)
Sangatrahasia
Rahasia dan/ atauterbatas
Biasa
Pertanyaan 8 - 10NO Kriteria A B C
8 Tingkat kekritisanproses yang adadalam sistemelektronik, relatifterhadap ancamanupaya penyeranganatau penerobosankeamanan informasi
Proses yang berisikomengganggu hajathidup orang banyakdan memberidampak langsungpada layanan publik
Proses yang berisikomengganggu hajathidup orang banyakdan memberidampak tidaklangsung
Proses yang tidakberdampak bagikepentinganorang banyak
9 Dampak darikegagalan SistemElektronik
Tidak tersedianyalayanan publikberskala nasionalataumembahayakanpertahanankeamanan Negara
Tidak tersedianyalayanan publik atauproses penyelenggaraannegara dalam 1 provinsi atau lebih
Tidak tersedianyalayanan publikatau proses penyelenggaraannegara dalam 1 kabupaten/kotaatau lebih
10 Potensi kerugian ataudampak negatif dariinsiden ditembusnyakeamanan informasisistem elektronik(sabotase, terorisme)
Menimbulkankorban jiwa
Terbatas padakerugian finansial
Mengakibatkangangguanoperasionalsementara (tidakmembahayakandan merugikanfinansial)
Skor Kuesioner
No Level Skor Total
1 Strategis 36 - 50
2 Tinggi 16 - 35
3 Rendah 10 - 15
Skor pilihan jawaban:A = 5B = 3C = 1
Skor total:
Pelaksanaan Survey
1. Kuesioner disebarkan bersamaan denganpenyebaran undangan
2. Kuesioner diisi secara mandiri oleh SKPD3. Kuesioner dikembalikan sebelum seminar4. Ada 8 kuesioner yang telah diisi dan dikembalikan
sebelum seminar:BPKP, Bapeljamkesos, BPBPTDK, Balapkes,RoOrg, BPTTG, BTKP, Dinsos
Hasil Kuesioner (Sementara)
2
6
Tinggi
Rendah
