presentasi road smki
ROADMAP PENCAPAIAN
STANDAR SISTEM KEAMANAN INFORMASI
KEMENTERIAN PERHUBUNGAN
Zulfikar Tontowi
Kepala Bidang Perencanaan Dan
Kebijakan TIK - Pustikomhub
Dasar Hukum
• Perpres 4 Tahun 2016 Tentang Sistem
Manajemen Pengamanan Informasi
• KP. 374 Tahun 2015 Tentang Kebijakan
Pengelolaan TIK di Lingkungan Kemhub
• KP. 536 Tahun 2016 Tentang Panduan Teknis
Penerapan SDLC di Lingkungan Kemhub
TUJUAN UMUM
• Melindungi Kerahasian (Confidentialy)
• Menjaga Keutuhan (Integrity)
• Memastikan Ketersediaan (Availabilty)
“ ASET INFORMASI “
Maksud dan Tujuan Penyusunan
Roadmap
• Menyusun strategi dalam pencapaian
standar sistem keamanan informasi di
Kementerian Perhubungan
• Untuk memetakan langkah-langkah
kegiatan yang akan ditempuh untuk
dapat lebih terarah, terstruktur dan
terukur dalam memperoleh standar
sistem keamanan sistem informasi
Kondisi Saat Ini
Masih rendahnya kesadaran pentingnya keamanan
Informasi
Belum adanya kebijakan dan standar keamanan
informasi di Kementerian Perhubungan
Belum terbentuknya stuktur tata kelola keamanan
informasi
Masih lemahnya pengawasan
Kurangnya kompetensi SDM dibidang Keamanan
Informasi
Kondisi Ideal
Tersedianya Kebijakan Keamanan Informasi
Terbentuknya Organisasi Keamanan Informasi
Terpenuhinya kompetensi SDM di bidang Keamanan Informasi
Dilaksanakannya Manajemen Asset
Pengaturan pengendalian hak akses
Kriptografi
Keamanan Lingkungan dan Fisik
Akusisi, Pengembangan dan Pemeliharaan Keamanan Informasi
Hubungan dan Pengaturan kepada Pihak Ketiga
Manajemen pengamanan Keamanan Informasi
Manajemen Bisnis Continuity
Kesesuaian (Compliance)
Roadmap Pencapaian Standar Sistem Keamanan
Informasi Kementerian Perhubungan
PENUTUP
• Roadmap Pencapaian Standar Sistem
Keamanan Informasi agar DAPAT menjadi
Acuan bagi Kementerian Perhubungan dalam
mencapai Kondisi Ideal
• Dukungan dan Komitmen yang kuat dari
seluruh stakeholder dibutuhkan untuk
mencapai keberhasilan pencapaian standar
Keamanan Informasi
Kebijakan dan Standar
Sistem Manajemen Keamanan Informasi (SMKI)
di Lingkungan Kementerian Perhubungan
ZULFIKAR TONTOWI
KEPALA BIDANG PERENCANAAN DAN KEBIJAKAN TIK
PUSTIKOMHUB
• Kebijakan dan Standar SMKI
dikoordinasikan oleh Chief
Information Officer (CIO)
Kementerian Perhubungan,
yang sekaligus berperan
sebagai Chief Information
Security Officer (CISO).
• CISO Kementerian
Perhubungan membentuk
Tim Keamanan Informasi
Kementerian Perhubungan
yang diketuai oleh CISO
Kementerian Perhubungan
dan beranggotakan para
CISO Unit Eselon I,
• (CISO)Unit Eselon I
dilaksanakan oleh Sekretaris
Inspektorat Jenderal/Para
Sekretaris Direktorat
Jenderal dan Badan
1.
2.
3.
4.
5.
6.
7.
8.
Umum
Organisasi Keamanan Informasi
Pengelolaan Aset Informasi
Keamanan Sumber Daya Manusia
Keamanan Fisik dan Lingkungan
Pengelolaan Komunikasi dan Operasional
Akses
Keamanan Informasi dalam Pengadaan, Pengembangan
dan Pemeliharaan Sistem Informasi
9. Pengelolaan Gangguan Keamanan Informasi
10. Keamanan Informasi dalam Pengelolaan kelangsungan Kegiatan
11. Kepatuhan
A. Tujuan
Sebagai pedoman dalam rangka melindungi aset informasi Kementerian
Perhubungan dari berbagai bentuk ancaman
B. Ruang Lingkup
Pengelolaan pengamanan seluruh aset informasi Kementerian Perhubungan dan
dilaksanakan oleh seluruh unit kerja,
C. Kebijakan
Setiap pimpinan Unit eselon I bertanggung jawab mengatur penerapan Kebijakan
dan Standar SMKI di lingkungan Kementerian Perhubungan yang ditetapkan dalam
Keputusan Menteri Perhubungan ini di lingkungan unit eselon I masing-masing.
D. Standar
Catatan Penerapan Kebijakan dan Standar SMKI di Lingkungan Kementerian
Perhubungan
A. Tujuan
Pedoman membentuk organisasi fungsional keamanan informasi yang bertanggung
jawab untuk mengelola keamanan informasi dan perangkat pengolah informasi
B. Ruang Lingkup
Struktur Tim, Perjanjian Kerahasian, Hubungan dengan Pihak lainnya
C. Kebijakan
Uraian dari Ruang Lingkup
D. Standar
Uraian dari Ruang Lingkup
A. Tujuan
Pedoman dalam mengelola aset informasi di lingkungan Kementerian Perhubungan untuk
melindungi dan menjamin keamanan aset informasi.
B. Ruang Lingkup
Tanggung Jawab Es I terhadap Aset informasi dan Pengklasifikasikan Aset informasi
C. Kebijakan
Tanggung Jawab : Unit TIK pusat dan unit TIK eselon I mengidentifikasi aset
informasi dan mendokumentasikannya dalam daftar inventaris aset informasi
Klasifikasi Aset : Aset informasi diklasifikasikan sesuai tingkat kerahasiaan, nilai,
tingkat kritikalitas, serta aspek hukumnya.
D. Standar
Pengelolaan Aset Informasi
A. Tujuan
Memastikan bahwa seluruh pegawai dan pihak ketiga di lingkungan Kementerian
Perhubungan memahami tanggung jawabnya masing-masing, sadar atas ancaman
keamanan informasi
B. Ruang Lingkup
Mencakup peran dan tanggung jawab seluruh pegawai dan pihak ketiga di
lingkungan Kementerian Perhubungan yang harus dipahami dan dilaksanakan
C. Kebijakan
Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi
Kementerian Perhubungan sesuai dengan tugas dan fungsinya.
D. Standar
Peran dan tanggung jawab pegawai terhadap keamanan informasi harus menjadi
bagian dari penjabaran tugas dan fungsi, khususnya bagi yang memiliki akses
terhadap aset informasi
A. Tujuan
Untuk mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinya
kerusakan pada perangkat pengolah informasi serta gangguan pada aktifitas organisasi.
B. Ruang Lingkup
Pengamanan Area dan Pengamanan Perangkat
C. Kebijakan
Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi
Kementerian Perhubungan sesuai dengan tugas dan fungsinya.
D. Standar
Perangkat harus dipelihara sesuai dengan petunjuk manualnya. Untuk pemeliharaan
yang dilakukan oleh pihak ketiga, harus diadakan Perjanjian Tingkat Layanan (Service
Level Agreement/SLA) yang mendefinisikan tingkat pemeliharaan yang disediakan
dan tingkat kinerja yang harus dipenuhi pihak ketiga
A. Tujuan
Untuk memastikan operasional yang aman dan benar pada perangkat pengolah informasi.
B. Ruang Lingkup
Prosedur Operasional, Pengelolaan Layanan, Perencanaan dan Penerimaan Sistem,
Perlindungan terhadap ancaman program, BackUp, Pengelolaan Keamanan
jaringan, Penanganan Media Penyimpanan Data, Pertukaran Informasi dan
Pemantauan
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Dokumentasi Prosedur Operasional
A. Tujuan
Memastikan otorisasi akses pengguna dan mencegah akses pihak yang tidak berwenang
terhadap aset informasi khususnya perangkat pengolah informasi.
B. Ruang Lingkup
Persyaratan pengendalian akses, Pengelolaan Akses, Tanggung Jawab Pengguna,
Pengendalian Akses Jaringan, Pengendalian ke Sistem Operasi, Pengendalian ke
Aplikasi dan Sistem Informasi, Mobile Computing
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Persyaratan Pengendalian Akses
A. Tujuan
Memastikan bahwa keamanan informasi merupakan bagian yang terintegrasi dengan
sistem informasi, mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak
yang tidak berwenang.
B. Ruang Lingkup
Pengolahan Informasi pada aplikasi, Pengendalian Kriptografi, Keamanan file
System, Keamanan dalam proses Pengembangan, Pengelolaan kerentanan teknis
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Spesifikasi kebutuhan perangkat pengolah informasi di dokumentasikan secara
formal
A. Tujuan
Memastikan kejadian dan kelemahan keamanan informasi yang terhubung dengan sistem
informasi dikomunikasikan untuk dilakukan perbaikan
B. Ruang Lingkup
Pelaporan Kejadian dan Kelemahan Keamanan Informasi dan Pengelolaan gangguan
keamanan informasi dan perbaikannya
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Uraian dan jenis dari Ruang Lingkup
A. Tujuan
Untuk melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layanan
pada saat keadaan darurat, serta memastikan pemulihan yang tepat.
B. Ruang Lingkup
Proses Pengelolaan Kelangsungan Kegiatan, Penilaian Resiko dan Analisa Dampak
Bisnis, Penyusunan dan penerpan Rencana Kelangsungan Kegiatan, Pengujian dan
kaji ulang Rencana Kelangsungan Kegiatan
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Uraian dan jenis dari Ruang Lingkup
A. Tujuan
Untuk menghindari pelanggaran terhadap peraturan perundangan yang terkait keamanan
informasi
B. Ruang Lingkup
Kepatuhan terhadap peraturan perundangan yang terkait keamanan informasi,
kepatuhan teknis dan Audit Sistem Informasi
C. Kebijakan
Kepatuhan terhadap Peraturan Perundangan yang terkait Keamanan Informasi.
D. Standar
Uraian dan jenis dari Ruang Lingkup
STANDAR SISTEM KEAMANAN INFORMASI
KEMENTERIAN PERHUBUNGAN
Zulfikar Tontowi
Kepala Bidang Perencanaan Dan
Kebijakan TIK - Pustikomhub
Dasar Hukum
• Perpres 4 Tahun 2016 Tentang Sistem
Manajemen Pengamanan Informasi
• KP. 374 Tahun 2015 Tentang Kebijakan
Pengelolaan TIK di Lingkungan Kemhub
• KP. 536 Tahun 2016 Tentang Panduan Teknis
Penerapan SDLC di Lingkungan Kemhub
TUJUAN UMUM
• Melindungi Kerahasian (Confidentialy)
• Menjaga Keutuhan (Integrity)
• Memastikan Ketersediaan (Availabilty)
“ ASET INFORMASI “
Maksud dan Tujuan Penyusunan
Roadmap
• Menyusun strategi dalam pencapaian
standar sistem keamanan informasi di
Kementerian Perhubungan
• Untuk memetakan langkah-langkah
kegiatan yang akan ditempuh untuk
dapat lebih terarah, terstruktur dan
terukur dalam memperoleh standar
sistem keamanan sistem informasi
Kondisi Saat Ini
Masih rendahnya kesadaran pentingnya keamanan
Informasi
Belum adanya kebijakan dan standar keamanan
informasi di Kementerian Perhubungan
Belum terbentuknya stuktur tata kelola keamanan
informasi
Masih lemahnya pengawasan
Kurangnya kompetensi SDM dibidang Keamanan
Informasi
Kondisi Ideal
Tersedianya Kebijakan Keamanan Informasi
Terbentuknya Organisasi Keamanan Informasi
Terpenuhinya kompetensi SDM di bidang Keamanan Informasi
Dilaksanakannya Manajemen Asset
Pengaturan pengendalian hak akses
Kriptografi
Keamanan Lingkungan dan Fisik
Akusisi, Pengembangan dan Pemeliharaan Keamanan Informasi
Hubungan dan Pengaturan kepada Pihak Ketiga
Manajemen pengamanan Keamanan Informasi
Manajemen Bisnis Continuity
Kesesuaian (Compliance)
Roadmap Pencapaian Standar Sistem Keamanan
Informasi Kementerian Perhubungan
PENUTUP
• Roadmap Pencapaian Standar Sistem
Keamanan Informasi agar DAPAT menjadi
Acuan bagi Kementerian Perhubungan dalam
mencapai Kondisi Ideal
• Dukungan dan Komitmen yang kuat dari
seluruh stakeholder dibutuhkan untuk
mencapai keberhasilan pencapaian standar
Keamanan Informasi
Kebijakan dan Standar
Sistem Manajemen Keamanan Informasi (SMKI)
di Lingkungan Kementerian Perhubungan
ZULFIKAR TONTOWI
KEPALA BIDANG PERENCANAAN DAN KEBIJAKAN TIK
PUSTIKOMHUB
• Kebijakan dan Standar SMKI
dikoordinasikan oleh Chief
Information Officer (CIO)
Kementerian Perhubungan,
yang sekaligus berperan
sebagai Chief Information
Security Officer (CISO).
• CISO Kementerian
Perhubungan membentuk
Tim Keamanan Informasi
Kementerian Perhubungan
yang diketuai oleh CISO
Kementerian Perhubungan
dan beranggotakan para
CISO Unit Eselon I,
• (CISO)Unit Eselon I
dilaksanakan oleh Sekretaris
Inspektorat Jenderal/Para
Sekretaris Direktorat
Jenderal dan Badan
1.
2.
3.
4.
5.
6.
7.
8.
Umum
Organisasi Keamanan Informasi
Pengelolaan Aset Informasi
Keamanan Sumber Daya Manusia
Keamanan Fisik dan Lingkungan
Pengelolaan Komunikasi dan Operasional
Akses
Keamanan Informasi dalam Pengadaan, Pengembangan
dan Pemeliharaan Sistem Informasi
9. Pengelolaan Gangguan Keamanan Informasi
10. Keamanan Informasi dalam Pengelolaan kelangsungan Kegiatan
11. Kepatuhan
A. Tujuan
Sebagai pedoman dalam rangka melindungi aset informasi Kementerian
Perhubungan dari berbagai bentuk ancaman
B. Ruang Lingkup
Pengelolaan pengamanan seluruh aset informasi Kementerian Perhubungan dan
dilaksanakan oleh seluruh unit kerja,
C. Kebijakan
Setiap pimpinan Unit eselon I bertanggung jawab mengatur penerapan Kebijakan
dan Standar SMKI di lingkungan Kementerian Perhubungan yang ditetapkan dalam
Keputusan Menteri Perhubungan ini di lingkungan unit eselon I masing-masing.
D. Standar
Catatan Penerapan Kebijakan dan Standar SMKI di Lingkungan Kementerian
Perhubungan
A. Tujuan
Pedoman membentuk organisasi fungsional keamanan informasi yang bertanggung
jawab untuk mengelola keamanan informasi dan perangkat pengolah informasi
B. Ruang Lingkup
Struktur Tim, Perjanjian Kerahasian, Hubungan dengan Pihak lainnya
C. Kebijakan
Uraian dari Ruang Lingkup
D. Standar
Uraian dari Ruang Lingkup
A. Tujuan
Pedoman dalam mengelola aset informasi di lingkungan Kementerian Perhubungan untuk
melindungi dan menjamin keamanan aset informasi.
B. Ruang Lingkup
Tanggung Jawab Es I terhadap Aset informasi dan Pengklasifikasikan Aset informasi
C. Kebijakan
Tanggung Jawab : Unit TIK pusat dan unit TIK eselon I mengidentifikasi aset
informasi dan mendokumentasikannya dalam daftar inventaris aset informasi
Klasifikasi Aset : Aset informasi diklasifikasikan sesuai tingkat kerahasiaan, nilai,
tingkat kritikalitas, serta aspek hukumnya.
D. Standar
Pengelolaan Aset Informasi
A. Tujuan
Memastikan bahwa seluruh pegawai dan pihak ketiga di lingkungan Kementerian
Perhubungan memahami tanggung jawabnya masing-masing, sadar atas ancaman
keamanan informasi
B. Ruang Lingkup
Mencakup peran dan tanggung jawab seluruh pegawai dan pihak ketiga di
lingkungan Kementerian Perhubungan yang harus dipahami dan dilaksanakan
C. Kebijakan
Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi
Kementerian Perhubungan sesuai dengan tugas dan fungsinya.
D. Standar
Peran dan tanggung jawab pegawai terhadap keamanan informasi harus menjadi
bagian dari penjabaran tugas dan fungsi, khususnya bagi yang memiliki akses
terhadap aset informasi
A. Tujuan
Untuk mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinya
kerusakan pada perangkat pengolah informasi serta gangguan pada aktifitas organisasi.
B. Ruang Lingkup
Pengamanan Area dan Pengamanan Perangkat
C. Kebijakan
Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi
Kementerian Perhubungan sesuai dengan tugas dan fungsinya.
D. Standar
Perangkat harus dipelihara sesuai dengan petunjuk manualnya. Untuk pemeliharaan
yang dilakukan oleh pihak ketiga, harus diadakan Perjanjian Tingkat Layanan (Service
Level Agreement/SLA) yang mendefinisikan tingkat pemeliharaan yang disediakan
dan tingkat kinerja yang harus dipenuhi pihak ketiga
A. Tujuan
Untuk memastikan operasional yang aman dan benar pada perangkat pengolah informasi.
B. Ruang Lingkup
Prosedur Operasional, Pengelolaan Layanan, Perencanaan dan Penerimaan Sistem,
Perlindungan terhadap ancaman program, BackUp, Pengelolaan Keamanan
jaringan, Penanganan Media Penyimpanan Data, Pertukaran Informasi dan
Pemantauan
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Dokumentasi Prosedur Operasional
A. Tujuan
Memastikan otorisasi akses pengguna dan mencegah akses pihak yang tidak berwenang
terhadap aset informasi khususnya perangkat pengolah informasi.
B. Ruang Lingkup
Persyaratan pengendalian akses, Pengelolaan Akses, Tanggung Jawab Pengguna,
Pengendalian Akses Jaringan, Pengendalian ke Sistem Operasi, Pengendalian ke
Aplikasi dan Sistem Informasi, Mobile Computing
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Persyaratan Pengendalian Akses
A. Tujuan
Memastikan bahwa keamanan informasi merupakan bagian yang terintegrasi dengan
sistem informasi, mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak
yang tidak berwenang.
B. Ruang Lingkup
Pengolahan Informasi pada aplikasi, Pengendalian Kriptografi, Keamanan file
System, Keamanan dalam proses Pengembangan, Pengelolaan kerentanan teknis
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Spesifikasi kebutuhan perangkat pengolah informasi di dokumentasikan secara
formal
A. Tujuan
Memastikan kejadian dan kelemahan keamanan informasi yang terhubung dengan sistem
informasi dikomunikasikan untuk dilakukan perbaikan
B. Ruang Lingkup
Pelaporan Kejadian dan Kelemahan Keamanan Informasi dan Pengelolaan gangguan
keamanan informasi dan perbaikannya
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Uraian dan jenis dari Ruang Lingkup
A. Tujuan
Untuk melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layanan
pada saat keadaan darurat, serta memastikan pemulihan yang tepat.
B. Ruang Lingkup
Proses Pengelolaan Kelangsungan Kegiatan, Penilaian Resiko dan Analisa Dampak
Bisnis, Penyusunan dan penerpan Rencana Kelangsungan Kegiatan, Pengujian dan
kaji ulang Rencana Kelangsungan Kegiatan
C. Kebijakan
Uraian dari Ruang Lingkup.
D. Standar
Uraian dan jenis dari Ruang Lingkup
A. Tujuan
Untuk menghindari pelanggaran terhadap peraturan perundangan yang terkait keamanan
informasi
B. Ruang Lingkup
Kepatuhan terhadap peraturan perundangan yang terkait keamanan informasi,
kepatuhan teknis dan Audit Sistem Informasi
C. Kebijakan
Kepatuhan terhadap Peraturan Perundangan yang terkait Keamanan Informasi.
D. Standar
Uraian dan jenis dari Ruang Lingkup