50

BAB V PENGAMANAN INFORMASI

5.1. PENDAHULUAN

Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial bagi Bank. Dampak dimaksud tidak hanya terbatas pada Bank tersebut, namun juga nasabah, Bank lain dan bahkan terhadap sistem perbankan nasional. Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh seluruh personil di Bank. Pengamanan informasi sangat bergantung pada pengamanan terhadap semua aspek dan komponen TI terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung misalnya sumber daya listrik, AC dan sumber daya manusia termasuk kualifikasi dan ketrampilan.

5.2. TUGAS DAN TANGGUNG JAWAB

5.2.1. Dewan Komisaris

Dalam tugasnya mengarahkan dan melakukan evaluasi terhadap kebijakan Bank dalam pengelolaan pengamanan Teknologi Informasi Dewan Komisaris hendaknya melakukan koordinasi dengan direksi, antara lain meminta Direksi melaporkan pembagian wilayah wewenang dan tanggung-jawab pada satuan kerja penyelenggara TI dan satuan kerja pengguna TI, upaya peningkatan pengendalian pengamanan informasi, serta penentuan risiko sisa residual risk yang akan ditanggung Bank. Evaluasi tersebut mencakup juga evaluasi terhadap dampak masalah informasi terhadap kelanjutan proses bisnis Bank.

5.2.2. Komite Pengarah Teknologi Informasi

IT Steering Commitee Komite Pengarah Teknologi Informasi bertanggung jawab untuk memberikan rekomendasi kepada direksi paling kurang mengenai hal-hal sebagai berikut: a. kebijakan pengamanan informasi sebagai bagian dari Rencana Strategis TI; b. efektivitas implementasi kebijakan pengamanan informasi Bank; c. efektivitas langkah-langkah mitigasi risiko yang dilakukan untuk meningkatkan pengamanan informasi Bank. 51

5.2.3 Direksi

Tanggung jawab Direksi untuk pengamanan informasi paling kurang mencakup hal-hal sebagai berikut: a. menetapkan kebijakan, sistem dan prosedur pengamanan informasi; b. mendukung semua aspek program pengamanan informasi; c. menetapkan pembagian tugas dan tanggung jawab untuk pengambilan keputusan terkait manajemen risiko pengamanan informasi; d. menetapkan tingkat risiko pengamanan informasi yang dapat diterima oleh Bank; e. melakukan evaluasi terhadap hasil penerapan mitigasi risiko pengamanan informasi; f. mengkomunikasikan kepada satuan kerja pengguna TI dan penyelenggara TI tentang pentingnya melakukan pengamanan informasi agar Bank dapat mencapai tujuan pengamanan informasi yang diharapkan sesuai ketentuan yang berlaku.

5.2.4. Pejabat Tertinggi Pengamanan Informasi

Sesuai dengan kebijakan dan arahan Direksi, Pejabat Tertinggi Pengamanan Informasi bertanggung jawab atas antara lain: a. pengelolaan fungsi pengamanan informasi agar sesuai dengan kebijakan dan ketentuan serta best practice yang berlaku; b. pemantauan pelaksanaan pengamanan informasi di setiap bagian atau satuan kerja; c. mengkomunikasikan program pengamanan informasi termasuk melakukan upaya peningkatan kesadaran akan pengamanan security awareness program d. menetapkan kriteria dan definisi pengukuran risiko pengamanan informasi; e. melaksanakan program penilaian risiko pengamanan informasi termasuk menilai kepatuhan seluruh bagian di Bank terhadap kebijakan pengamanan informasi dan merekomendasikan pengendalian yang perlu dilakukan; f. memastikan pihak ketiga yang memiliki akses terhadap informasi rahasia milik Bank telah menerapkan pengamanan informasi secara memadai dan konsisten; g. membantu koordinasi pengujian BCP; h. mengkoordinasikan upaya pengamanan informasi dengan audit intern TI.

5.3. PRINSIP, KEBIJAKAN DAN PROSEDUR PENGAMANAN INFORMASI