unduh paparan
TRANSCRIPT
ROADMAP PENCAPAIANSTANDAR SISTEM KEAMANAN INFORMASI
KEMENTERIAN PERHUBUNGAN
Zulfikar TontowiKepala Bidang Perencanaan Dan
Kebijakan TIK - Pustikomhub
Dasar Hukum
• Perpres 4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi
• KP. 374 Tahun 2015 Tentang Kebijakan Pengelolaan TIK di Lingkungan Kemhub
• KP. 536 Tahun 2016 Tentang Panduan Teknis Penerapan SDLC di Lingkungan Kemhub
TUJUAN UMUM
• Melindungi Kerahasian (Confidentialy)
• Menjaga Keutuhan (Integrity)
• Memastikan Ketersediaan (Availabilty)
“ ASET INFORMASI “
Maksud dan Tujuan Penyusunan Roadmap• Menyusun strategi dalam pencapaian
standar sistem keamanan informasi di Kementerian Perhubungan
• Untuk memetakan langkah-langkah kegiatan yang akan ditempuh untuk dapat lebih terarah, terstruktur dan terukur dalam memperoleh standar sistem keamanan sistem informasi
Kondisi Saat IniMasih rendahnya kesadaran pentingnya keamanan Informasi
Belum adanya kebijakan dan standar keamanan informasi di Kementerian Perhubungan
Belum terbentuknya stuktur tata kelola keamanan informasi
Masih lemahnya pengawasan
Kurangnya kompetensi SDM dibidang Keamanan Informasi
Kondisi IdealTersedianya Kebijakan Keamanan Informasi
Terbentuknya Organisasi Keamanan Informasi
Terpenuhinya kompetensi SDM di bidang Keamanan Informasi
Dilaksanakannya Manajemen Asset
Pengaturan pengendalian hak akses
Kriptografi
Keamanan Lingkungan dan Fisik
Akusisi, Pengembangan dan Pemeliharaan Keamanan Informasi
Hubungan dan Pengaturan kepada Pihak Ketiga
Manajemen pengamanan Keamanan Informasi
Manajemen Bisnis Continuity
Kesesuaian (Compliance)
Roadmap Pencapaian Standar Sistem Keamanan Informasi Kementerian Perhubungan
PENUTUP
• Roadmap Pencapaian Standar Sistem Keamanan Informasi agar DAPAT menjadi Acuan bagi Kementerian Perhubungan dalam mencapai Kondisi Ideal
• Dukungan dan Komitmen yang kuat dari seluruh stakeholder dibutuhkan untuk mencapai keberhasilan pencapaian standar Keamanan Informasi
Kebijakan dan Standar Sistem Manajemen Keamanan Informasi (SMKI)
di Lingkungan Kementerian Perhubungan
ZULFIKAR TONTOWIKEPALA BIDANG PERENCANAAN DAN KEBIJAKAN TIK
PUSTIKOMHUB
• Kebijakan dan Standar SMKI dikoordinasikan oleh Chief Information Officer (CIO)Kementerian Perhubungan, yang sekaligus berperansebagai Chief Information Security Officer (CISO).
• CISO KementerianPerhubungan membentukTim Keamanan InformasiKementerian Perhubunganyang diketuai oleh CISO Kementerian Perhubungandan beranggotakan para CISO Unit Eselon I,
• (CISO)Unit Eselon I dilaksanakan oleh Sekretaris Inspektorat Jenderal/ParaSekretaris Direktorat Jenderal dan Badan
1. Umum2. Organisasi Keamanan Informasi3. Pengelolaan Aset Informasi4. Keamanan Sumber Daya Manusia5. Keamanan Fisik dan Lingkungan6. Pengelolaan Komunikasi dan Operasional7. Akses8. Keamanan Informasi dalam Pengadaan, Pengembangan
dan Pemeliharaan Sistem Informasi9. Pengelolaan Gangguan Keamanan Informasi10. Keamanan Informasi dalam Pengelolaan kelangsungan Kegiatan11. Kepatuhan
A. Tujuan
Sebagai pedoman dalam rangka melindungi aset informasi Kementerian Perhubungan dari berbagai bentuk ancaman
B. Ruang Lingkup
Pengelolaan pengamanan seluruh aset informasi Kementerian Perhubungan dan dilaksanakan oleh seluruh unit kerja,
C. Kebijakan
Setiap pimpinan Unit eselon I bertanggung jawab mengatur penerapan Kebijakan dan Standar SMKI di lingkungan Kementerian Perhubungan yang ditetapkan dalam Keputusan Menteri Perhubungan ini di lingkungan unit eselon I masing-masing.
D. Standar
Catatan Penerapan Kebijakan dan Standar SMKI di Lingkungan Kementerian Perhubungan
A. Tujuan
Pedoman membentuk organisasi fungsional keamanan informasi yang bertanggung jawab untuk mengelola keamanan informasi dan perangkat pengolah informasi
B. Ruang Lingkup
Struktur Tim, Perjanjian Kerahasian, Hubungan dengan Pihak lainnya
C. Kebijakan
Uraian dari Ruang Lingkup
D. Standar
Uraian dari Ruang Lingkup
A. Tujuan
Pedoman dalam mengelola aset informasi di lingkungan Kementerian Perhubungan untuk melindungi dan menjamin keamanan aset informasi.
B. Ruang Lingkup
Tanggung Jawab Es I terhadap Aset informasi dan Pengklasifikasikan Aset informasi
C. Kebijakan
Tanggung Jawab : Unit TIK pusat dan unit TIK eselon I mengidentifikasi aset informasi dan mendokumentasikannya dalam daftar inventaris aset informasi
D. Standar
Pengelolaan Aset Informasi
Klasifikasi Aset : Aset informasi diklasifikasikan sesuai tingkat kerahasiaan, nilai, tingkat kritikalitas, serta aspek hukumnya.
A. Tujuan
Memastikan bahwa seluruh pegawai dan pihak ketiga di lingkungan KementerianPerhubungan memahami tanggung jawabnya masing-masing, sadar atas ancamankeamanan informasi
B. Ruang Lingkup
Mencakup peran dan tanggung jawab seluruh pegawai dan pihak ketiga di lingkungan Kementerian Perhubungan yang harus dipahami dan dilaksanakan
C. Kebijakan
Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi Kementerian Perhubungan sesuai dengan tugas dan fungsinya.
D. Standar
Peran dan tanggung jawab pegawai terhadap keamanan informasi harus menjadibagian dari penjabaran tugas dan fungsi, khususnya bagi yang memiliki aksesterhadap aset informasi
A. Tujuan
Untuk mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinyakerusakan pada perangkat pengolah informasi serta gangguan pada aktifitas organisasi.
B. Ruang Lingkup
Pengamanan Area dan Pengamanan Perangkat
C. Kebijakan
Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi Kementerian Perhubungan sesuai dengan tugas dan fungsinya.
D. Standar
Perangkat harus dipelihara sesuai dengan petunjuk manualnya. Untuk pemeliharaan yang dilakukan oleh pihak ketiga, harus diadakan Perjanjian Tingkat Layanan (Service Level Agreement/SLA) yang mendefinisikan tingkat pemeliharaan yang disediakan dan tingkat kinerja yang harus dipenuhi pihak ketiga
A. Tujuan
Untuk memastikan operasional yang aman dan benar pada perangkat pengolah informasi.
B. Ruang Lingkup
Prosedur Operasional, Pengelolaan Layanan, Perencanaan dan Penerimaan Sistem,Perlindungan terhadap ancaman program, BackUp, Pengelolaan Keamanan jaringan, Penanganan Media Penyimpanan Data, Pertukaran Informasi dan Pemantauan
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Dokumentasi Prosedur Operasional
A. TujuanMemastikan otorisasi akses pengguna dan mencegah akses pihak yang tidak berwenangterhadap aset informasi khususnya perangkat pengolah informasi.
B. Ruang Lingkup
Persyaratan pengendalian akses, Pengelolaan Akses, Tanggung Jawab Pengguna, Pengendalian Akses Jaringan, Pengendalian ke Sistem Operasi, Pengendalian ke Aplikasi dan Sistem Informasi, Mobile Computing
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Persyaratan Pengendalian Akses
A. Tujuan
Memastikan bahwa keamanan informasi merupakan bagian yang terintegrasi dengansistem informasi, mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihakyang tidak berwenang.
B. Ruang Lingkup
Pengolahan Informasi pada aplikasi, Pengendalian Kriptografi, Keamanan file System, Keamanan dalam proses Pengembangan, Pengelolaan kerentanan teknis
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Spesifikasi kebutuhan perangkat pengolah informasi di dokumentasikan secara formal
A. Tujuan
Memastikan kejadian dan kelemahan keamanan informasi yang terhubung dengan sisteminformasi dikomunikasikan untuk dilakukan perbaikan
B. Ruang Lingkup
Pelaporan Kejadian dan Kelemahan Keamanan Informasi dan Pengelolaan gangguan keamanan informasi dan perbaikannya
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Uraian dan jenis dari Ruang Lingkup
A. Tujuan
Untuk melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layananpada saat keadaan darurat, serta memastikan pemulihan yang tepat.
B. Ruang Lingkup
Proses Pengelolaan Kelangsungan Kegiatan, Penilaian Resiko dan Analisa Dampak Bisnis, Penyusunan dan penerpan Rencana Kelangsungan Kegiatan, Pengujian dan kaji ulang Rencana Kelangsungan Kegiatan
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Uraian dan jenis dari Ruang Lingkup
A. Tujuan
Untuk menghindari pelanggaran terhadap peraturan perundangan yang terkait keamananinformasi
B. Ruang Lingkup
Kepatuhan terhadap peraturan perundangan yang terkait keamanan informasi, kepatuhan teknis dan Audit Sistem Informasi
C. Kebijakan
Kepatuhan terhadap Peraturan Perundangan yang terkait Keamanan Informasi.
D. Standar
Uraian dan jenis dari Ruang Lingkup