arah kebijakan dan implementasi tata kelola datacenter€¦ · web hosting (3 vps) vps 9 datacenter...
TRANSCRIPT
Arah Kebijakan dan Implementasi
Tata Kelola DatacenterBerdasarkan ISO 27001 Berdasarkan ISO 27001
disampaikan oleh :
Ir. Ronny Primanto Hari, MT
Kepala Dinas Komunikasi dan InformatikaDaerah Istimewa Yogyakarta
Halo!Halo!Dinas Komunikasi dan InformatikaDaerah Istimewa Yogyakarta
Hubungi kami di [email protected]
2
1
PengembanganDatacenter Pemda DIY
InfrastrukturDC Pemda DIY
Datacente
Power(100kVA, 3
Phase)
PLN, Genset, UPS
SirkulasiAC Presisi
AC Split
Raised Floor
DRC
Active Passive di Batam dan
Jogja
4
Datacente
r (42m2)
Server
Blade
SAN Storage
Tower
RackNetwork
2 ISP (900 Mbps)
Fiber Optik60 km
Cat6
Software
VMWare
CentOS
Ubuntu
Win Server
● Peta Pembangunan Jaringan Kabel FO Mandiri Pemda DIY Tahun 2013 :
● Gambar infrastruktur pendukung Data Center Pemda DIY :
LayananDC Pemda DIY
Hosting
(6 Host)
Web Hosting (3 VPS)
VPS
9
Datacenter
(6 Host) VPS
(80 VPS)Colocation
(5 unit)
Dedicated Server
Pengamanan DC Pemda DIY1. KEBIJAKAN
a. Pergub Nomor 31 Tahun 2016 tentang SistemManajemen Keamanan Informasi ->
b. Pergub Nomor 2 Tahun 2018 tentang Tata KelolaTeknologi Informasi dan Komunikasi
2. PROSEDUR
a. Pengendalian akses
b. Manajemen Risiko
c. Pengamanan dan Pengelolaan asset
d. Pengamanan Pihak ketiga
e. Pengamanan SDM
f. …
10
4. LOGIC
a. IDS/IPS
b. Firewall
c. Monitoring (Log, Trafik, Uptime)
3. FISIK
a. CCTV
b. Log Book / Buku Tamu
c. Access Door
d. Sensor dan Notifikasi Kondisi DC
e. Penjaga Datacenter
f. Checklist harian
Datacenter
PengembanganDC Pemda DIY
1. Penguatan dan OptimalisasiDRC
11
2. Peningkatan Kapasitas DC
3. Sertifikasi Tier DC
How We Did ….How We Did ….Sistem Manajemen Keamanan Informasi
2
Profil SMKI di Pemda DIY
What had happened was...
2015
Menjadi pilot projectSMKI oleh Kemenkominfobekerjasama dengan JICA
2016
Membuat Pergub SMKI
Mematangkan konsep
2017
Implementasi SMKI
Audit surveillance ISO bekerjasama dengan JICA (Japan International Cooperation Agency)
Implementasi awal SMKI
Mulai aware denganKeamanan Informasi
Mematangkan konsepSMKI
Implementasi SMKI
Sertifikasi ISO 27001
Audit surveillance ISO 27001
14
DasarhukumSMKI di
UU
•UU No 11 Tahun 2008 tentang informasi dan transaksielektronik
PP
•PP No 82 Tahun 2012 tentang Penyelenggara Sistem danTransaksi Elektronik
SMKI di Pemda DIY
15
Permen
•Permenkominfo No. 4 Tahun 2016 tentang SistemManajemen Pengamanan Informasi
Pergub
•Pergub No 31 Tahun 2016 tentang Sistem ManajemenKeamanan Informasi
•Pergub No 2 Tahun 2018 tentang Tata Kelola TeknologiInformasi dan Komunikasi
Aspek Aspek SMKI
16
Konsep PDCA
17
3
Our steps…
Our easy process
first second third last
19
first
Persiapan Implementasi
second
Audit
Sertifikasi
third
Pasca Audit
last
3.1
Persiapan Tahapan SMKI
Actor : Pemda DIY● Komitmen Top Management● Penetapan Tim SMPI● Penetapan Tim SMPI● Penetapan Ruang Lingkup SMPI● Penyiapan Dukungan Anggaran untuk implementasi SMPI
21
3.2
ImplementasiTahapan SMKI
Actor : Pemda DIY + Pendamping SMKI
● Gap Assesment● Pembuatan Dokumen Prosedur dan Kebijakan SMPI● Awareness SMPI● Implementasi Prosedur dan Kebijakan SMPI● Audit Sertifikasi● Manajemen Review● Pendamping SMKI harus sudah terdaftar di Kementerian
Kominfo RI
23
3.3
Audit SertifikasiTahapan SMKI
Actor : Pemda DIY + Badan Sertifikasi
● Audit Sertifikasi dari Badan Sertifikasi :● Stage 1 (Audit Dokumen) ● Stage 2 (Audit Implementasi)● Badan Sertifikasi harus sudah terakreditasi KAN dan
terdaftar di Kementerian Kominfo RI
25
3.4
Pasca Audit Tahapan SMKI
Actor : Pemda DIY
● Menjawab dan Menindaklanjuti temuan audit Sertifikasi● Penyiapan Rencana Kerja SMPI tahun berikutnya
27
Succeed Factor
Komitmen Pemda DIY
Proses yang
terstruktur
Factor
28
SMKIInternalisasi Budaya
Satriya di ASN
Pemda DIY
Manfaat ImplementasiSMKI
Kesadaran terkait pentingnya informasi yang dimiliki beserta potensi ancaman dan cara pengamannya
Perubahan budayakerja ASN Diskominfo
DIY menjadi lebihterukur dan bertumpupada konsep Plan-Do-
Check-Act (PDCA)
Meningkatnyakepercayaan
stakeholder terhadapinformasi yang ditempatkan di
Datacenter Pemda DIY.
29
4
Peraturan Pendukung
Pergub DIY No. 31 Tahun
4.1
Pergub DIY No. 31 Tahun2016Sistem Manajemen Keamanan Informasi
Maksud dan Tujuan
Sebagai pedoman pengelolaanSMKI secara terpadu untuk
Pengelolaan SMKI meliputiinfrastruktur komputer, SMKI secara terpadu untuk
memastikanterjaganya kerahasiaan(confidentiality), keutuhan (integrity),
dan ketersediaan (availability)
infrastruktur komputer, jaringan, sistem
informasi/aplikasi, dansumber daya manusia
32
Ruang LingkupPengamanan Informasi
33
Aset Informasi
• Fisik• Elektronik
Aset PengolahanInformasi
• Peralatanmekanik
• Peralatanelektronik
PenyimpananInformasi
• Elektronik• Non-elektronik
Tugas OPD ● Menunjuk Koordinator Keamanan Teknologi Informasi
● Melakukan proses manajemen resiko
● Menyediakan SDM yang dibutuhkan untuk membentuk, mengimplementasikan, memelihara dan meningkatkan penerapan SMKI secara berkesinambungan
● Menyusun standar dan prosedur pengendalian kegiatan teknologi informasi yang ● Menyusun standar dan prosedur pengendalian kegiatan teknologi informasi yang memenuhi prasyarat keamanan informasi dan untuk mengimplementasikan tindakandalam mengelola risiko
● Memastikan kegiatan operasional Teknologi Informasi yang stabil dan aman
● Menerapkan prinsip pengendalian terhadap aktivitas TI melalui proses evaluasi danmonitoring secara berkala
● Apabila terjadi kebocoran informasi, OPD wajib menyediakan akses kepada auditor independen yang ditunjuk Pemda untuk melakukan pemeriksaan seluruh aspek terkaitpenyelenggaraan TI
34
Pergub DIY No. 2 Tahun
4.2
Pergub DIY No. 2 Tahun2018Tata Kelola Teknologi Informasi dan Komunikasi
Maksud dan TujuanSebagai pedoman bagi OPD dalam
pengelolaan TIK
Mewujudkan keselarasan antara pengelolaan TIK di OPD dengan kebijakan Pemerintah DaerahOPD dengan kebijakan Pemerintah Daerah
Mewujudkan sinkronisasi dan integrase pengelolaan TIK
Memastikan implementasi TIK berjalan dengan baikdan berkelanjutan
Ruang Lingkup
Perencanaan TIK
• Dinas Kominfo menyusun Renstra TIK untuk jangka waktu 5 tahun• Penyusunan Renstra dilakukan dengan melibatkan seluruh OPD• Renstra ditetapkan oleh Gubernur DIY• OPD dapat mengusulkan perubahan Renstra• Renstra yang sudah ditetapkan menjadi dokumen panduan pengembangan TIK di Pemda DIY yang harus
dipatuhi oleh semua OPD
Investasi TIK Pengelolaan Aset TIK Layanan TIKPengelolaanKeamanan
Pengelolaan Risikodan
KeberlangsunganKepatuhan dan
Penilaian Internal
Pelaksanaan TIK
Pemantauan danEvaluasi
Pengelolaan TIK
• Dinas Kominfo melaksanakan pemantauan dan evaluasi terhadap pelaksanaan TIK• Monev dilaksanakan melalui proses audit secara sistematis, objektif dan terdokumentasi
Investasi TIK Pengelolaan Aset TIK Layanan TIK KeamananInformasi
KeberlangsunganBisnis
Penilaian Internal