50
BAB V PENGAMANAN INFORMASI
5.1. PENDAHULUAN
Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Kebocoran,
kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun
non-finansial bagi Bank. Dampak dimaksud tidak hanya terbatas pada Bank tersebut, namun juga nasabah, Bank lain dan bahkan terhadap sistem perbankan nasional.
Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh seluruh personil di Bank. Pengamanan informasi sangat bergantung pada pengamanan
terhadap semua aspek dan komponen TI terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung misalnya sumber daya listrik, AC dan sumber
daya manusia termasuk kualifikasi dan ketrampilan.
5.2. TUGAS DAN TANGGUNG JAWAB
5.2.1. Dewan Komisaris
Dalam tugasnya mengarahkan dan melakukan evaluasi terhadap kebijakan Bank dalam pengelolaan pengamanan Teknologi Informasi Dewan Komisaris hendaknya
melakukan koordinasi dengan direksi, antara lain meminta Direksi melaporkan pembagian wilayah wewenang dan tanggung-jawab pada satuan kerja penyelenggara
TI dan satuan kerja pengguna TI, upaya peningkatan pengendalian pengamanan informasi, serta penentuan risiko sisa residual risk yang akan ditanggung Bank.
Evaluasi tersebut mencakup juga evaluasi terhadap dampak masalah informasi terhadap kelanjutan proses bisnis Bank.
5.2.2. Komite Pengarah Teknologi Informasi
IT Steering Commitee
Komite Pengarah Teknologi Informasi bertanggung jawab untuk memberikan rekomendasi kepada direksi paling kurang mengenai hal-hal sebagai berikut:
a. kebijakan pengamanan informasi sebagai bagian dari Rencana Strategis TI;
b. efektivitas implementasi kebijakan pengamanan informasi Bank;
c. efektivitas langkah-langkah mitigasi risiko yang dilakukan untuk meningkatkan
pengamanan informasi Bank.
51
5.2.3 Direksi
Tanggung jawab Direksi untuk pengamanan informasi paling kurang mencakup hal-hal sebagai berikut:
a. menetapkan kebijakan, sistem dan prosedur pengamanan informasi;
b. mendukung semua aspek program pengamanan informasi;
c. menetapkan pembagian tugas dan tanggung jawab untuk pengambilan keputusan
terkait manajemen risiko pengamanan informasi; d.
menetapkan tingkat risiko pengamanan informasi yang dapat diterima oleh Bank; e.
melakukan evaluasi terhadap hasil penerapan mitigasi risiko pengamanan informasi;
f. mengkomunikasikan kepada satuan kerja pengguna TI dan penyelenggara TI
tentang pentingnya melakukan pengamanan informasi agar Bank dapat mencapai tujuan pengamanan informasi yang diharapkan sesuai ketentuan yang berlaku.
5.2.4. Pejabat Tertinggi Pengamanan Informasi
Sesuai dengan kebijakan dan arahan Direksi, Pejabat Tertinggi Pengamanan Informasi bertanggung jawab atas antara lain:
a. pengelolaan fungsi pengamanan informasi agar sesuai dengan kebijakan dan
ketentuan serta best practice yang berlaku; b.
pemantauan pelaksanaan pengamanan informasi di setiap bagian atau satuan kerja; c.
mengkomunikasikan program pengamanan informasi termasuk melakukan upaya peningkatan kesadaran akan pengamanan security awareness program
d. menetapkan kriteria dan definisi pengukuran risiko pengamanan informasi;
e. melaksanakan program penilaian risiko pengamanan informasi termasuk menilai
kepatuhan seluruh bagian di Bank terhadap kebijakan pengamanan informasi dan merekomendasikan pengendalian yang perlu dilakukan;
f. memastikan pihak ketiga yang memiliki akses terhadap informasi rahasia milik
Bank telah menerapkan pengamanan informasi secara memadai dan konsisten; g.
membantu koordinasi pengujian BCP; h.
mengkoordinasikan upaya pengamanan informasi dengan audit intern TI.
5.3. PRINSIP, KEBIJAKAN DAN PROSEDUR PENGAMANAN INFORMASI