arah kebijakan dan implementasi tata kelola...
TRANSCRIPT
Arah Kebijakan dan Implementasi
Tata Kelola DatacenterBerdasarkan ISO 27001 Berdasarkan ISO 27001
disampaikan oleh :
Ir. Ronny Primanto Hari, MT
Kepala Dinas Komunikasi dan InformatikaDaerah Istimewa Yogyakarta
Halo!Halo!Dinas Komunikasi dan InformatikaDaerah Istimewa Yogyakarta
Hubungi kami di [email protected]
2
InfrastrukturDC Pemda DIY
Datacente
Power(100kVA, 3
Phase)
PLN, Genset, UPS
SirkulasiAC Presisi
AC Split
Raised Floor
DRC
Active Passive di Batam dan
Jogja
4
Datacente
r (42m2)
Server
Blade
SAN Storage
Tower
RackNetwork
2 ISP (900 Mbps)
Fiber Optik60 km
Cat6
Software
VMWare
CentOS
Ubuntu
Win Server
LayananDC Pemda DIY
Hosting
(6 Host)
Web Hosting (3 VPS)
VPS
9
Datacenter
(6 Host) VPS
(80 VPS)Colocation
(5 unit)
Dedicated Server
Pengamanan DC Pemda DIY1. KEBIJAKAN
a. Pergub Nomor 31 Tahun 2016 tentang SistemManajemen Keamanan Informasi ->
b. Pergub Nomor 2 Tahun 2018 tentang Tata KelolaTeknologi Informasi dan Komunikasi
2. PROSEDUR
a. Pengendalian akses
b. Manajemen Risiko
c. Pengamanan dan Pengelolaan asset
d. Pengamanan Pihak ketiga
e. Pengamanan SDM
f. …
10
4. LOGIC
a. IDS/IPS
b. Firewall
c. Monitoring (Log, Trafik, Uptime)
3. FISIK
a. CCTV
b. Log Book / Buku Tamu
c. Access Door
d. Sensor dan Notifikasi Kondisi DC
e. Penjaga Datacenter
f. Checklist harian
Datacenter
PengembanganDC Pemda DIY
1. Penguatan dan OptimalisasiDRC
11
2. Peningkatan Kapasitas DC
3. Sertifikasi Tier DC
What had happened was...
2015
Menjadi pilot projectSMKI oleh Kemenkominfobekerjasama dengan JICA
2016
Membuat Pergub SMKI
Mematangkan konsep
2017
Implementasi SMKI
Audit surveillance ISO bekerjasama dengan JICA (Japan International Cooperation Agency)
Implementasi awal SMKI
Mulai aware denganKeamanan Informasi
Mematangkan konsepSMKI
Implementasi SMKI
Sertifikasi ISO 27001
Audit surveillance ISO 27001
14
DasarhukumSMKI di
UU
•UU No 11 Tahun 2008 tentang informasi dan transaksielektronik
PP
•PP No 82 Tahun 2012 tentang Penyelenggara Sistem danTransaksi Elektronik
SMKI di Pemda DIY
15
Permen
•Permenkominfo No. 4 Tahun 2016 tentang SistemManajemen Pengamanan Informasi
Pergub
•Pergub No 31 Tahun 2016 tentang Sistem ManajemenKeamanan Informasi
•Pergub No 2 Tahun 2018 tentang Tata Kelola TeknologiInformasi dan Komunikasi
Our easy process
first second third last
19
first
Persiapan Implementasi
second
Audit
Sertifikasi
third
Pasca Audit
last
Actor : Pemda DIY● Komitmen Top Management● Penetapan Tim SMPI● Penetapan Tim SMPI● Penetapan Ruang Lingkup SMPI● Penyiapan Dukungan Anggaran untuk implementasi SMPI
21
Actor : Pemda DIY + Pendamping SMKI
● Gap Assesment● Pembuatan Dokumen Prosedur dan Kebijakan SMPI● Awareness SMPI● Implementasi Prosedur dan Kebijakan SMPI● Audit Sertifikasi● Manajemen Review● Pendamping SMKI harus sudah terdaftar di Kementerian
Kominfo RI
23
Actor : Pemda DIY + Badan Sertifikasi
● Audit Sertifikasi dari Badan Sertifikasi :● Stage 1 (Audit Dokumen) ● Stage 2 (Audit Implementasi)● Badan Sertifikasi harus sudah terakreditasi KAN dan
terdaftar di Kementerian Kominfo RI
25
Actor : Pemda DIY
● Menjawab dan Menindaklanjuti temuan audit Sertifikasi● Penyiapan Rencana Kerja SMPI tahun berikutnya
27
Succeed Factor
Komitmen Pemda DIY
Proses yang
terstruktur
Factor
28
SMKIInternalisasi Budaya
Satriya di ASN
Pemda DIY
Manfaat ImplementasiSMKI
Kesadaran terkait pentingnya informasi yang dimiliki beserta potensi ancaman dan cara pengamannya
Perubahan budayakerja ASN Diskominfo
DIY menjadi lebihterukur dan bertumpupada konsep Plan-Do-
Check-Act (PDCA)
Meningkatnyakepercayaan
stakeholder terhadapinformasi yang ditempatkan di
Datacenter Pemda DIY.
29
Maksud dan Tujuan
Sebagai pedoman pengelolaanSMKI secara terpadu untuk
Pengelolaan SMKI meliputiinfrastruktur komputer, SMKI secara terpadu untuk
memastikanterjaganya kerahasiaan(confidentiality), keutuhan (integrity),
dan ketersediaan (availability)
infrastruktur komputer, jaringan, sistem
informasi/aplikasi, dansumber daya manusia
32
Ruang LingkupPengamanan Informasi
33
Aset Informasi
• Fisik• Elektronik
Aset PengolahanInformasi
• Peralatanmekanik
• Peralatanelektronik
PenyimpananInformasi
• Elektronik• Non-elektronik
Tugas OPD ● Menunjuk Koordinator Keamanan Teknologi Informasi
● Melakukan proses manajemen resiko
● Menyediakan SDM yang dibutuhkan untuk membentuk, mengimplementasikan, memelihara dan meningkatkan penerapan SMKI secara berkesinambungan
● Menyusun standar dan prosedur pengendalian kegiatan teknologi informasi yang ● Menyusun standar dan prosedur pengendalian kegiatan teknologi informasi yang memenuhi prasyarat keamanan informasi dan untuk mengimplementasikan tindakandalam mengelola risiko
● Memastikan kegiatan operasional Teknologi Informasi yang stabil dan aman
● Menerapkan prinsip pengendalian terhadap aktivitas TI melalui proses evaluasi danmonitoring secara berkala
● Apabila terjadi kebocoran informasi, OPD wajib menyediakan akses kepada auditor independen yang ditunjuk Pemda untuk melakukan pemeriksaan seluruh aspek terkaitpenyelenggaraan TI
34
Maksud dan TujuanSebagai pedoman bagi OPD dalam
pengelolaan TIK
Mewujudkan keselarasan antara pengelolaan TIK di OPD dengan kebijakan Pemerintah DaerahOPD dengan kebijakan Pemerintah Daerah
Mewujudkan sinkronisasi dan integrase pengelolaan TIK
Memastikan implementasi TIK berjalan dengan baikdan berkelanjutan
Ruang Lingkup
Perencanaan TIK
• Dinas Kominfo menyusun Renstra TIK untuk jangka waktu 5 tahun• Penyusunan Renstra dilakukan dengan melibatkan seluruh OPD• Renstra ditetapkan oleh Gubernur DIY• OPD dapat mengusulkan perubahan Renstra• Renstra yang sudah ditetapkan menjadi dokumen panduan pengembangan TIK di Pemda DIY yang harus
dipatuhi oleh semua OPD
Investasi TIK Pengelolaan Aset TIK Layanan TIKPengelolaanKeamanan
Pengelolaan Risikodan
KeberlangsunganKepatuhan dan
Penilaian Internal
Pelaksanaan TIK
Pemantauan danEvaluasi
Pengelolaan TIK
• Dinas Kominfo melaksanakan pemantauan dan evaluasi terhadap pelaksanaan TIK• Monev dilaksanakan melalui proses audit secara sistematis, objektif dan terdokumentasi
Investasi TIK Pengelolaan Aset TIK Layanan TIK KeamananInformasi
KeberlangsunganBisnis
Penilaian Internal