Download - RPM Sistem Manajemen Pengamanan Informasi
![Page 1: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/1.jpg)
1
Rancangan Peraturan Menteri Sistem Manajemen Pengamanan Informasi DR. Hasyim Gautama, CISM, ISMS-LA Direktorat Keamanan Informasi Ditjen Aplikasi Informatika
Jakarta, 1 Desember 2014
![Page 2: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/2.jpg)
Kewajiban Pengamanan Sistem Elektronik bagi Penyelenggara Sistem Elektronik untuk Pelayanan Publik diatur dalam PP PSTE Pasal 20 Ayat (1) dan (2), yaitu: (1) Penyelenggara Sistem Elektronik wajib memiliki dan
men ja lankan p rosedur dan sa rana un tuk pengamanan Sistem Elektronik dalam menghindari gangguan, kegagalan, dan kerugian.
(2) Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.
Landasan Hukum
![Page 3: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/3.jpg)
Amanat Penyusunan Peraturan Menteri
Penyusunan Peraturan Menteri tentang Sistem Pengamanan diamanatkan oleh PP PSTE dalam Pasal 20 Ayat (4), yaitu: (4) Ketentuan lebih lanjut mengenai sistem
pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri.
![Page 4: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/4.jpg)
Asas dan Ruang LIngkup
• Asas Peraturan Menteri ini bertujuan untuk mengatur penerapan Sistem Manajemen Pengamanan Informasi dalam penyelenggaraan Sistem Elektronik berdasarkan Asas Risiko
• Ruang Lingkup Mencakup Penyelenggara Sistem Elektronik untuk Pelayanan Publik.
![Page 5: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/5.jpg)
Kategorisasi Sistem Elektronik
No Sistem Elektronik Penetap Kategori 1 Strategis Instansi Pengawas dan Pengatur
Sektor setelah berkoordinasi dg Menteri
2 Tinggi Menteri 3 Rendah Menteri
Kategorisasi Sistem Elektronik didasarkan pada 10 kriteria
![Page 6: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/6.jpg)
Kriteria Kategorisasi Sistem Elektronik
1. Nilai Investasi 2. Total Anggaran
Operasional Tahunan 3. Kewajiban Kepatuhan
thd Peraturan 4. Algoritma Khusus 5. Jumlah Pengguna
Sistem Elektronik 6. Data Pribadi yang
dikelola Sistem Elektronik
7. Tingkat kekriJsan Data dalam Sistem Elektronik
8. Tingkat kekriJsan Proses dalam Sistem Elektronik
9. Dampak Kegagalan Sistem Elektronik
10. Potensi kerugian akibat ditembusnya Sistem Elektronik
Penilaian menggunakan metode pembobotan
![Page 7: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/7.jpg)
Standar Manajemen Pengamanan
No Sistem Elektronik Standar Manajemen Pengamanan Informasi
1 Strategis SNI ISO/IEC 27001 dan ketentuan pengamanan dari Instansi Pengawas dan Pengatur Sektor
2 Tinggi SNI ISO/IEC 27001 3 Rendah Indeks Keamanan Informasi
Penempatan Pusat Data dan Pemulihannya di Indonesia
![Page 8: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/8.jpg)
Penempatan Pusat Data & Pemulihan
Standar Manajemen Pengamanan Informasi untuk semua kategori Sistem Elektronik: • Pusat data dan pusat pemulihan bencana harus
ditempatkan di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warga negaranya
![Page 9: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/9.jpg)
Kewajiban Sertifikasi
• Penyelenggara Sistem Elektronik Strategis dan Tinggi wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi
• Penyelenggara Sistem Elektronik Rendah dapat m e m i l i k i S e r t i f i k a t S i s t e m M a n a j e m e n Pengamanan Informasi
• Sertifikat Sistem Manajemen Pengamanan Informasi wajib diperbarui paling lambat 3 bulan sebelum masa berlakunya berakhir
Sertifikat Sistem Manajemen Pengamanan Informasi diterbitkan oleh Lembaga Sertifikasi
![Page 10: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/10.jpg)
Tenaga Ahli
• D a l a m p e n e r a p a n S i s t e m M a n a j e m e n Pengamanan Informasi Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli Internal dan/atau Eksternal
• Dalam hal penerapan pada Sistem Elektronik Strategis Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan Indonesia
Ketentuan lebih lanjut diatur dengan Peraturan Menteri
![Page 11: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/11.jpg)
Lembaga Sertifikasi
• Sertifikasi dilakukan oleh Lembaga Sertifikasi • Syarat Lembaga Sertifikasi:
– Berbadan hukum Indonesia – Berdomisili di Indonesia – Terakreditasi Komite Akreditasi Nasional – Memiliki Tim Auditor minimal 1 orang Auditor
Permanen – Memiliki Tim Pengambil Keputusan Sertifikasi
• Dalam hal sertifikasi Sistem Elektronik Strategis Tim Auditor dan Tim Pengambil Keputusan Sertifikasi harus berkewarganegaraan Indonesia
Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri
![Page 12: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/12.jpg)
Pendaftaran Lembaga Sertifikasi
• Permohonan penetapan diajukan kepada Menteri • Proses Penetapan paling lambat 14 hari kerja
setelah Permohonan dinyatakan lengkap • Penetapan berlaku paling lama 4 tahun • Lembaga Sertifikasi yang memperoleh penetapan
dimasukkan dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi
![Page 13: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/13.jpg)
Tata Cara Sertifikasi
• Dilakukan terhadap seluruh ruang lingkup proses penyelenggaraan Sistem Elektronik sesuai dengan tingkat Risikonya
• Tim Auditor melakukan audit dan melaporkan hasil audit kepada Lembaga Sertifikasi
• Lembaga Sertifikasi mengkaji hasil audit • Lembaga Sertifikasi dapat menerbitkan atau
mencabu t se r t i f i ka t S i s tem Mana jemen Pengamanan Informasi
• Sertifikat berlaku paling lama 3 tahun • Audit Pengawasan oleh Lembaga Sertifikasi paling
sedikit 1 kali dalam setahun
![Page 14: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/14.jpg)
Tata Cara Pelaporan [1/2]
• Lembaga Sertifikasi menyerahkan hasil sertifikasi secara tertulis kepada Menteri paling sedikit 2 kali dalam setahun
• Laporan tsb memuat: – Data Penyelenggara Sistem Elektronik yang
mengajukan sertifikasi, mendapat sertifikat dan dicabut sertifikatnya.
– Ringkasan eksekutif – Perubahan daftar Tim Auditor dan Tim Pengambil
Keputusan
![Page 15: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/15.jpg)
Tata Cara Pelaporan [2/2]
• Dalam hal pencabutan sertifikat lembaga sertifikasi harus melaporkan paling lambat 2 hari kerja
• Dalam hal Sertifikasi Sistem Elektronik Strategis perubahan Tim Auditor dan Tim Pengambil Keputusan dilaporkan kepada Menteri paling lambat 2 hari kerja
![Page 16: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/16.jpg)
Penilaian Mandiri
• Penilaian Mandiri berdasarkan Standar Indeks Keamanan Informasi wajib dilakukan terhadap Sistem Elektronik Rendah
• Hasil Penilaian Mandiri wajib dilaporkan setiap tahun
• Menteri dapat melakukan pemeriksaan atas hasil Penilaian Mandiri
![Page 17: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/17.jpg)
Logo
• Lembaga Sertifikasi yang telah ditetapkan dapat mencantumkan logo: – Kementerian Komunikasi dan Informatika – Komite Akreditasi Nasional – Nomor registrasi Lembaga Sertifikasi
• Penyelenggara Sistem Elektronik yang lulus sertifikasi dapat mencantumkan logo: – Lembaga Sertifikasi – Kementerian Komunikasi dan Informatika – Komite Akreditasi Nasional – Nomor Sertifikasi
![Page 18: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/18.jpg)
Pembinaan
• M e n t e r i d a p a t m e l a k u k a n p e m b i n a a n penyelenggaraan sertifikasi Sistem Manajemen Pengamanan Informasi terhadap: – Lembaga Sertifikasi – Penyelenggara Sistem Elektronik – Masyarakat
![Page 19: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/19.jpg)
Pengawasan
• Menteri melakukan pengawasan terhadap: – Lembaga Sertifikasi – Penyelenggara Sistem Elektronik
• Metode pengawasan berkala 1 kali dalam setahun atau sewaktu-sewaktu – Pemantauan – Pengendalian – Pemeriksaan – Penelurusan – Pengamanan
![Page 20: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/20.jpg)
Sanksi
• Sanksi administratif terhadap Penyelenggara Sistem Elektronik: – Teguran tertulis – Jika tidak patuh dalam waktu 6 bulan, maka
dikenakan penghentian sementara Nama Domain Indonesia
• Sanksi administratif terhadap Lembaga Sertifikasi – Teguran tertulis – Jika tidak patuh dalam 30 hari kerja, maka
dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi
![Page 21: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/21.jpg)
Ketentuan Peralihan [1/2]
• Penyelenggara Sistem Elektronik yg telah beroperasi wajib memiliki sertifikat paling lama 2 tahun
• Penyelenggara Sistem Elektronik yg telah memiliki sertifikat selain SNI 27001 wajib menyesuaikan dengan Peraturan Menteri ini paling lama 2 tahun
• Penyelenggara Sistem Elektronik yg baru beroperasi wajib memiliki sertifikat paling lama 1 tahun
• Menteri dapat menunjuk Auditor dalam hal Peraturan Menteri tentang Auditor belum diundangkan
![Page 22: RPM Sistem Manajemen Pengamanan Informasi](https://reader033.vdocuments.pub/reader033/viewer/2022052413/559c57861a28ab0c588b4586/html5/thumbnails/22.jpg)
Ketentuan Peralihan [2/2]
• Menteri dapat menunjuk Tenaga Ahli dalam hal Peraturan Menteri tentang Tenaga Ahli belum diundangkan
• Menteri dapat menunjuk Lembaga Sertifikasi dalam hal belum ada Lembaga Sertifikasi yang terdaftar