keamanan informasi dalam pelayanan publik pada kementerian keuangan
DESCRIPTION
Seminar Keamanan Informasi Sesi II "Keamanan Informasi dalam Pelayanan Publik pada Kementerian Keuangan" oleh Rachmad Solik (Kabid Perencanaan dan Kebijakan TIK Pusat Sistem Informasi dan Teknologi Keuangan Kementerian Keuangan) Jakarta, 1 Desember 2014TRANSCRIPT
KEMENTERIAN KEUANGAN PUSAT SISTEM INFORMASI DAN TEKNOLOGI KEUANGAN
Keamanan Informasi dalam Pelayanan Publik pada Kementerian Keuangan
J A KAR TA , 1 D E S EMBER 2 0 1 4
SEMINAR KESADARAN KEAMANAN INFORMASI
Bio Data :
• Nama : Rachmad Solik • Tempat, Tgl Lahir : Jombang, 5 Mei 1969 • Pendidikan : S2 Magister Manajemen • Pangkat : IVa/ Pembina • Jabatan :
Kepala Bidang Perencanaan dan Kebijakan TIK (PKTIK) Pusat Sistem Informasi dan Teknologi Keuangan Kementerian Keuangan
• Status : Menikah / 5 Anak • Telepon Kantor : 021-‐3441219 • email : [email protected]
LAYANAN PUBLIK KEMENTERIAN KEUANGAN
J A K A R T A , 1 D E S E M B E R 2 0 1 4
SEMINAR KESADARAN KEAMANAN INFORMASI
LAYANAN PUBLIK KEMENTERIAN KEUANGAN
• Dasar Hukum :
ü Keputusan Menteri Keuangan (KMK) No. 35/KMK.01/2014 tentang
Perubahan Atas Keputusan Menteri Keuangan No. 187/KMK.01/2010
tentang Standar Prosedur Operasi (Standard Operating Procedure)
Layanan Unggulan Kementerian Keuangan.
ü SOP Layanan Unggulan digunakan sebagai acuan bagi seluruh unit
Eselon I, baik di kantor pusat maupun instansi vertikal dan unit
pelaksana teknis di lingkungan Kementerian Keuangan dalam rangka
pelaksanaan pelayanan publik.
LAYANAN PUBLIK KEMENTERIAN KEUANGAN
• Layanan publik Kementerian Keuangan meliputi pelayanan di bidang:
a. anggaran;
b. perpajakan;
c. kepabeanan dan cukai;
d. perbendaharaan;
e. kekayaan negara dan lelang;
f. perimbangan keuangan;
g. pengelolaan utang;
h. kesekretariatan;
i. pengaduan masyarakat; dan
j. pendidikan dan pelatihan keuangan.
SERTIFIKASI INTERNASIONAL UNTUK MENDUKUNG LAYANAN PUBLIK KEMENTERIAN KEUANGAN
J A K A R T A , 1 D E S E M B E R 2 0 1 4
SEMINAR KESADARAN KEAMANAN INFORMASI
SERTIFIKASI INTERNASIONAL UNTUK MENDUKUNG LAYANAN PUBLIK KEMENTERIAN KEUANGAN
• Dalam penyelenggaraan layanan publik, Kementerian Keuangan dituntut
untuk menerapkan tata kelola keamanan informasi sesuai dengan Surat
Edaran Menteri KOMINFO No.05/SE/M.KOMINFO/07/2011 tentang
Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara
Pelayanan Publik.
• Sejalan dengan hal tersebut, Menteri Keuangan telah menetapkan KMK
No. 440/KMK.01/2011 tentang Grand Design Sertifikasi Kegiatan
Pelayanan Berstandar Internasional di Lingkungan Kementerian Keuangan
Tahun 2011-2014.
• Untuk Mendukung Kualitas Layanan TIK, telah ditetapkan KMK-338/KMK.
01/2012 tentang Arah Pengembangan TIK di Lingkungan Kementerian
Keuangan
Portofolio Arsitektur TIK Arsitektur TIK dalam KMK 338/KMK.01/2012 memuat Por;olio sistem TIK yang menggambarkan pembagian peran dan tanggung jawab pengelolaan TIK antara unit TIK Pusat dan unit TIK eselon I
Data Layer
Network Layer
Se
curit
y La
yer
Integration Layer
Common Application Layer
Presentation Layer System Management
Layer
Platform Layer
Common System Layer
Core Systems Layer
Service Support
Service D
elivery
DJP DJBC DJA DJKN
DJPK DJPU BAPEPAM LK
ITJEN BKF BPPK SETJEN
DJPBN
Standard, Procedure & CerPficate
Security Info & Event Management
Policies
Security Awareness
Risk Management
Security OperaPons Cent
Enforcement
Audit & Compliance
Security Management
Firewall Perimeter
Network Access Control
Network EncrypPon
Intrusion PrevenPon
Mail Protect & Encrypt.
Data EncrypPon
Web Content Filtering
AnP-‐spam Filtering
Content Security Network Security
Internet Branches & Reg.
Offices 3rd parPes Stakeholders
Secure Gateway
Access Mgmt IdenPty Mgmt Token Mgmt Host Security Module & Key Mgmt
ApplicaPon Security
End-‐point Security
End-‐point ProtecPon Patch Management AnP-‐virus Host Intrusion PrevenPon
2011 2012 dan 2013 2014 dan 2015
9
Operating Model – Security Framework
Sertifikasi internasional yang telah diraih
Kementerian Keuangan hingga saat ini antara
lain: 1. ISO 9000 mengenai Quality Management System (QMS);
2. ISO 27001 mengenai Information Security Management System
(ISMS); a. ISO 27001 untuk Layanan Pengadaan Secara Elektronik (Sertifikasi Tahun
2013 dan Survaillance 2014)
b. ISO 27001 untuk Facility Pusat Data (Sertifikasi Tahun 2013 dan
Survaillance Tahun 2014)
3. ISO 20000 mengenai Information Technology Service Management
(ITSM) ( Sertifikasi 2013 dan Survaillance 2014)
Beberapa Prestasi Layanan TIK Kemenkeu 1. Peringkat 1 E-‐Gov Tingkat K/L tahun 2013 dari
Kominfo 2. Peringkat 1 E-‐Government Awards Kategori
Kementerian dari Warta Ekonomi 3. E-‐Transparansi Awards Peringkat 2 Tahun 2014 4. Penghargaan Futuregov Area Data Center 5. Penghargaan Terbaik Untuk SJDIH Kemenkeu 6. Tingkat Kematangan Manajemen Resiko TIK (Tahun
2013 Kategori C-‐Risk Define dan Meningkat di tahun 2014 Kategori B-‐Risk Manage)
7. Ser`fikasi Internasional (ISO 9000,ISO 27001,ISO 20000)
KILAS BALIK PENCAPAIAN SERTIFIKASI ISO 27001 PADA AREA PUSAT DATA KEMENTERIAN KEUANGAN
Kilas Balik
STAGE 1 (British Standards
Institutions) 19 – 20 September 2013
STAGE 2 (British Standards
Institutions)
18 – 20 November 2013
PERAIHAN SERTIFIKASI 4 Desember 2013
Kilas Balik ( Stage 1)
• Menyiapkan Peraturan perihal SMKI (Sejak Tahun 2010);
• Konsultansi SMKI (2012);
• SMKI Awareness (Periodik);
• Penandatanganan sasaran dan target kinerja penerapan SMKI (22 Agustus
2013);
• Melaksanakan Audit Intenal ISO 27001:2005 (26 - 30 Agustus 2013);
• Rapat Tinjauan Manajemen (30 Agustus 2013);
• Rapat persiapan pelaksanaan ISO 27001:2005 (9 September 2013) ;
• Persiapan pelaksanaan ISO 270001:2005 dan pemaparan dokumen cek list
ISO 270001:2005 (18 September 2013);
• Melaksanakan Audit Eksternal Stage I ISO 27001:2005 (19 s.d 20
September 2013);
Kilas Balik ( Stage 2)
• SMKI Awareness (November 2013);
• Rapat persiapan Audit Eksternal Stage II ISO 27001:2005 (14 November
2013);
• Audit Ekstermal Stage II ISO 27001:2005 (18 s.d 20 November 2013);
• Pembahasan CAP Audit Eksternal Stage II ISO 27001:2005 (25
November 2013);
• Workshop Rencana Tindak Lanjut Audit Eksternal Stage II ISO
27001:2005 (4 - 6 Desember 2013) dengan mengundang KOMINFO;
• PUSINTEK mendapatkan ISO 27001:2005 (4 Desember 2013).
• Survailance ISO 27001:2005 – September 2014
RUANG LINGKUP SERTIFIKASI ISO 27001:2005
Ruang Lingkup SerPfikasi ISO 27001:2005 Cakupan implementasi Sistem Manajemen Keamanan Informasi berbasis ISO/IEC 27001:2005 adalah ”Area Pusat Data” yang mencakup dua sub
area sebagai berikut:
• Sub area Physical Facilities, mencakup:
pengelolaan keamanan fisik seperti (visitor handling, phyiscal access control, surveillance system, physical protection), keamanan lingkungan seperti (air-conditioning, fire detection/ supression system) dan pengendalian pihak ketiga terkait.
• Sub area Network Facilities, mencakup:
pengelolaan keamanan jaringan seperti (segmentasi network, pengendalian akses ke network, pengendalian akses perangkat network, identitas perangkat, anti interusi, patching-hardening perangkat network, pengelolaan log dan kapasitas perangkat) dan pengendalian terhadap pihak ketiga terkait.
KUNCI SUKSES PELAKSANAAN ISO 27001:2005
Kunci Sukses
• Komitmen Semua Pihak ( Pimpinan dan Pihak-‐pihak yang terlibat)
• Budaya Kerja yang Konsisten
• Implementasi berar` melakukan apa yang disyaratkan dalam ISO 27000
(ISMS: Informa?on Security Management System) sesuai ruang lingkup
ser`fikasi.
• Hasil dari implementasi harus dapat dibukPkan, sebagai berikut:
– Seluruh persyaratan dokumen ISO dapat ditunjukkan dan masih berlaku baik dalam
bentuk soDcopy maupun hardcopy.
– BukP terdokumentasi bahwa suatu kontrol/sistem pengendali telah dilakukan, sesuai
dengan persyaratan secara konsisten.
– BukP lain yang dapat didemonstrasikan terkait dengan pemenuhan persyaratan.
• Kerjasama `m
TERIMA KASIH