KEPUTUSAN DIREKSI PT PLN (PERSERO) NOMOR : 529 .KDIR2010 TENTANG PEDOMAN DAN KEBIJAKAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN (PERSERO) DIREKSI PT PLN (PERSERO)
PT PLN (PERSERO)
KEPUTUSAN DIREKSI PT PLN (PERSERO)
NOMOR :
529
.K/DIR/2010
TENTANG
PEDOMAN DAN KEBIJAKAN UMUM TATA KELOLA TEKNOLOGI INFORMASI
DI LINGKUNGAN PT PLN (PERSERO)
DIREKSI PT PLN (PERSERO)
Menimbang
:
a.
b.
c..
d.
Mengingat
:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
bahwa dalam menunjang Tata Kelola Perusahaan yang baik atau Good Corporate
Governance, maka harus dipastikan adanya proses perbaikan yang terukur serta
efisien dan efektif;
bahwa adanya Tata Kelola Teknologi Informasi sangat penting dan saling terkait
terhadap keberhasilan Tata Kelola Perusahaan serta peran strategis dalam upaya
Perusahaan melaksanakan misi serta pencapaian sasaran usaha yang telah
ditetapkan;
bahwa untuk menjamin peran strategis Teknologi Informasi dalam pencapaian
sasaran Perusahaan, maka perlu disusun Pedoman dan Kebijakan Umum Tata
Kelola Teknologi informasi yang mampu menyelaraskan antara rencana strategis
bisnis dengan operasional Teknologi Informasi, namun tetap mengakomodasi
perkembangan Teknologi Informasi;
bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, b dan c
di atas, perlu menetapkan Keputusan Direksi PT PLN (Persero) tentang Pedoman
dan Kebijakan Umum Tata Kelola Teknologi informasi di Lingkungan PT PLN
(Persero).
Undang-undang RI Nomor 19 Tahun 2003 tentang Badan Usaha Milik Negara;
Undang-undang RI Nomor 40 Tahun 2007 tentang Perseroan Terbatas;
Undang-Undang RI Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik;
Undang-Undang RI Nomor 30 Tahun 2009 tentang Ketenagalistrikan;
Peraturan Pemerintah RI Nomor 10 Tahun 1989 tentang Penyediaan dan
Pemanfaatan Tenaga Listrik sebagaimana telah diubah dengan Peraturan
Pemerintah RI Nomor 3 Tahun 2005 dan Peraturan Pemerintah RI Nomor 26
Tahun 2006;
Peraturan Pemerintah RI Nomor 23 Tahun 1994 tentang Pengalihan Bentuk
Perusahaan Umum (Perum) Listrik Negara menjadi perusahaan Perseroan
(Persero);
Peraturan Pemerintah RI Nomor 45 Tahun 2005 tentang Pendirian, Pengurusan,
Pengawasan dan Pembubaran Badan Usaha Milik Negara;
Anggaran Dasar PT PLN (Persero);
Keputusan Menteri Negara Badan Usaha Milik Negara Nomor KEP-58/MBU/2008
jo Keputusan Menteri Badan Usaha Milik Negara Nomor KEP-252/MBU/2009
tentang Pemberhentian dan Pengangkatan Anggota-Anggota Direksi Perusahaan
Perseroan (Persero) PT Perusahaan Listrik Negara;
Keputusan Direksi PT PLN (Persero) Nomor 001.K/030/DIR/1994 tentang
Pemberlakukan Peraturan Sehubungan Dengan Pengalihan Bentuk Hukum
Perusahaan;
Keputusan Direksi PT PLN (Persero) Nomor 304.K/DIR/2009 tentang Batasan
Kewenangan Pengambilan Keputusan di Lingkungan PT PLN (Persero);
Keputusan Direksi PT PLN (Persero) Nomor 017.K/DIR/2010 tentang Organisasi
dan Tata Kerja PT PLN (Persero) sebagaimana telah diubah dengan Keputusan
Direksi PT PLN (Persero) Nomor 055.K/DIR/2010.
1 dari 10
MEMUTUSKAN :
Menetapkan
:
KEPUTUSAN DIREKSI PT PLN (PERSERO) TENTANG PEDOMAN DAN KEBIJAKAN
UMUM TATA KELOLA TEKNOLOGI INFORMASI
DI LINGKUNGAN PT PLN
(PERSERO).
BAB I
KETENTUAN UMUM
Pasal 1
Pengertian dan Istilah
Dalam Keputusan ini yang dimaksud dengan :
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Perseroan adalah PT (Persero) Perusahaan Listrik Negara.;
Direksi adalah Organ Perseroan yang bertanggung jawab atas pengelolaan perusahaan sesuai
dengan maksud dan tujuan Perseroan yang terdiri dari seorang Direktur Utama sebagai pimpinan
dengan beberapa Direktur sebagai anggota, dalam batasan yang ditentukan oleh Undang-Undang
Nomor 40 Tahun 2007 tentang Perseroan Terbatas dan/atau Anggaran Dasar Perseroan.
General Manager/Kepala Unit Bisnis adalah Pejabat yang bertanggung jawab atas pengelolaan Unit
Bisnis sesuai dengan maksud dan tujuan Unit Bisnis.
Unit Bisnis adalah Unit Organisasi satu tingkat di bawah Kantor Pusat yang melaksanakan kegiatan
usaha tertentu sesuai dengan tujuan dan kegiatan usaha Perseroan yang terdiri dari Unit Bisnis
Penyedia Tenaga Listrik dan Unit Bisnis Penunjang Tenaga Listrik.
Good Corporate Governance (GCG) adalah suatu proses dan struktur yang digunakan oleh RUPS,
Dewan Komisaris dan Direksi untuk meningkatkan keberhasilan usaha dan akuntabilitas Perseroan
guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan
kepentingan stakeholder lainnya, berlandaskan peraturan perundang-undangan dan nilai-nilai etika.
Data adalah suatu objek, kejadian, atau fakta tentang Perseroan yang terdokumentasikan dengan
memiliki kodifikasi terstruktur.
Informasi adalah adalah hasil pengolahan Data Perseroan dengan menggunakan Teknologi Informasi
milik atau disewa oleh Perseroan.
Teknologi Informasi adalah teknologi yang digunakan dalam proses kegiatan usaha Perseroan untuk
mencatat, menyimpan, mengolah, mengambil kembali, mengirim atau menerima Informasi yang
berkaitan dengan Perseroan guna mencapai maksud dan tujuan Perseroan.
Aplikasi adalah software milik atau disewa oleh Perseroan yang digunakan dalam proses kegiatan
usaha Perseroan.
Infrastruktur adalah sarana Teknologi Informasi milik atau disewa oleh Perseroan yang digunakan
dalam proses kegiatan usaha Perseroan.
Penyelenggara Teknologi Informasi adalah organisasi di dalam Perseroan yang bertanggung jawab
terhadap pengelolaan Teknologi Informasi dan penyelarasan Teknologi Informasi dengan kebutuhan
Perseroan guna menjamin keberhasilan usaha dan akuntabilitas Perseroan.
Pengguna Akhir adalah karyawan tetap atau karyawan tidak tetap dan pihak lain yang dalam
pekerjaannya berhubungan dengan Perseroan dan diberikan akses terhadap fasilitas Teknologi
Informasi milik atau disewa oleh Perseroan sebagai sarana bekerja.
Rencana Strategis Teknologi Informasi adalah dokumen yang menggambarkan visi dan misi Teknologi
Informasi Perseroan, strategi yang mendukung visi dan misi tersebut dan prinsip-prinsip utama yang
menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan bisnis dan
mendukung rencana strategis jangka panjang Perseroan.
Pemilik Proses Bisnis adalah Organ Perseroan yang bertanggungjawab terhadap unjuk kerja proses
dalam mewujudkan tujuan Perseroan yang diukur dengan indikator unjuk kerja dan berwenang untuk
mengubah proses bila diperlukan.
Fasilitas Teknologi Informasi adalah fasilitas yang digunakan untuk dapat mengakses Teknologi
Informasi yang disediakan Perseroan sebagai sarana bekerja.
Pasal 2
Maksud dan Tujuan
(1).
Maksud ditetapkan Keputusan ini adalah :
Memberikan kerangka pengaturan atau acuan kepada seluruh unit yang terkait dengan
penyelenggaraan Teknologi Informasi Perseroan dalam penyusunan dan penetapan petunjuk
pelaksanaan dan prosedur agar terjadi sinergi antara pengembangan dan operasional di lingkungan
2 dari 10
(2).
organisasi unit terkait.
Tujuan ditetapkan Keputusan ini adalah :
a.
Sebagai pedoman untuk mewujudkan pola standardisasi kerangka pelaksanaan pengembangan,
penerapan dan operasi Teknologi Informasi yang selaras dengan kebutuhan strategis Perseroan;
b.
Sebagai pedoman untuk memantau dan mengevaluasi unjuk kerja Penyelenggara Teknologi
Informasi;
c.
Sebagai Pedoman untuk meningkatkan kapabilitas Perseroan dalam memberikan kontribusi bagi
penciptaan nilai tambah serta meningkatkan efektifitas dan efisiensi kegiatan operasional
Perseroan.
Pasal 3
Ruang Lingkup Pemberlakuan
(1).
Pedoman dan Kebijakan Umum Tata Kelola Teknologi Informasi diberlakukan secara menyeluruh di
Perseroan terhadap proses perencanaan, pengembangan, operasional dan tata kelola sumber daya
Teknologi Informasi Perseroan yang terdiri atas Aplikasi, Data/Informasi, Infrastruktur dan sumber daya
manusia.
(2).
Struktur Kebijakan Tata Kelola Teknologi Informasi diatur oleh penanggung jawab tertinggi
Penyelenggara Teknologi Informasi.
BAB II
PENETAPAN PERAN TEKNOLOGI INFORMASI PERSEROAN
Pasal 4
Peran Teknologi Informasi
Peran Teknologi Informasi adalah sebagai :
1.
Pendorong dalam meningkatkan kapabilitas proses bisnis Perseroan untuk meningkatkan nilai tambah
layanan;
2.
Penggerak penciptaan produk layanan baru dalam mencapai tujuan strategis Perseroan.
Pasal 5
Tanggung Jawab Manajemen
(1).
Untuk mewujudkan peran Teknologi Informasi Perseroan sebagaimana dimaksud dalam pasal 4
Keputusan ini, Direksi berwenang dan bertanggung jawab :
a.
b.
(2).
Menetapkan Rencana Strategis Teknologi Informasi dan Kebijakan Perseroan terkait penggunaan
Teknologi Informasi;
Menetapkan Komite Teknologi Informasi (Information Technology Commitee) untuk mengawasi
kegiatan terkait Teknologi Informasi.
Direksi dan General Manager/Kepala Unit Bisnis berwenang dan bertanggung jawab untuk
memastikan bahwa :
a.
b.
c.
d.
e.
f.
Terdapat keselarasan antara strategi bisnis dan strategi Teknologi Informasi;
Teknologi Informasi yang digunakan Perseroan dapat mendukung perkembangan usaha,
pencapaian tujuan bisnis dan kelangsungan pelayanan pelanggan;
Terdapat upaya peningkatan kompetensi sumber daya manusia yang terkait penggunaan
Teknologi Informasi;
Penerapan proses manajemen risiko dalam penggunaan Teknologi Informasi dilaksanakan secara
memadai dan efektif;
Tersedianya kebijakan dan prosedur Teknologi Informasi yang memadai dan dikomunikasikan
serta diterapkan secara efektif baik pada Penyelenggara Teknologi Informasi maupun Pengguna
Akhir;
Terdapat sistem pengukuran unjuk kerja pengelolaan Teknologi Informasi.
3 dari 10
(3).
Diagram dan jalur komunikasi kegiatan tata kelola Teknologi Informasi diatur oleh penanggung jawab
tertinggi penyelenggara Teknologi Informasi.
BAB III
RENCANA STRATEGIS TEKNOLOGI INFORMASI
Pasal 6
Penetapan Rencana Strategis Teknologi Informasi
(1).
Perseroan wajib memiliki Rencana Strategis Teknologi Infomasi untuk mengatur dan mengarahkan
semua sumber daya Teknologi Informasi sesuai dengan kebutuhan serta Rencana Strategis
Perseroan.
(2).
Rencana Strategis Teknologi Informasi meliputi :
a.
b.
c.
d.
e.
f.
g.
Visi dan misi Teknologi Informasi Perseroan;
Penyelarasan bisnis dan Teknologi Informasi;
Arahan strategis Teknologi Informasi;
Model pola operasi Teknologi Informasi;
Strategi pengelolaan sumber daya Teknologi Informasi;
Arsitektur Informasi, arsitektur Aplikasi dan arsitektur Infrastruktur;
Rencana pengembangan, implementasi dan investasi Teknologi Informasi.
(3).
Rencana Strategis Teknologi Informasi disusun berlandaskan azas efektifitas dan efisiensi dengan
mempertimbangkan manajemen risiko serta kebijakan hemat energi.
(4).
Rencana Strategis Teknologi Informasi dievaluasi dan ditinjau ulang secara berkala sesuai dengan
kebutuhan serta rencana strategis Perseroan
BAB IV
KERANGKA KERJA PROSES DAN ORGANISASI TEKNOLOGI INFORMASI
Pasal 7
Kerangka Kerja Proses Pengelolaan Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi mendefinisikan setiap kegiatan pengelolaan Teknologi Informasi
berupa prosedur pelaksanaan Teknologi Informasi dan ditetapkan oleh penanggung jawab tertinggi
Penyelenggara Teknologi Informasi atau General Manager/Kepala Unit Bisnis atau pejabat satu
tingkat di bawah General Manager/Kepala Unit Bisnis.
(2).
Penyelenggara Teknologi Informasi mengkomunikasikan kebijakan-kebijakan pengelolaan Teknologi
Informasi secara jelas sehingga dipahami dan diterima oleh semua Pengguna Akhir.
Pasal 8
Struktur Organisasi Teknologi Informasi
(1).
Struktur Organisasi Teknologi Informasi terdiri dari :
a.
b.
(2).
Komite Teknologi Informasi.
Penyelenggara Teknologi Informasi.
Komite Teknologi Informasi sebagaimana dimaksud pada ayat (1) huruf a bertanggung jawab atas
pengambilan keputusan strategis yang berdampak besar terhadap kelangsungan bisnis Perseroan
dan memberikan arahan, atas nama Direksi, dalam hal-hal yang berkaitan dengan :
a.
b.
Peran Teknologi Informasi dan penyelarasannya terhadap arah bisnis Perseroan yang disusun
dalam Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan);
Peningkatan pencapaian nilai dan investasi Teknologi Informasi;
4 dari 10
c.
d.
e.
(3).
Komite Teknologi Informasi sekurang-kurangnya beranggotakan :
a.
b.
(4).
Pemilihan strategi pengelolaan sumber daya Teknologi Informasi;
Penetapan ukuran unjuk kerja Penyelenggara Teknologi Informasi;
Pengelolaan risiko penyelenggaraan Teknologi Informasi.
Direktur yang membawahi satuan kerja Bisnis Perseroan.
Direktur yang membawahi satuan kerja Teknologi Informasi.
Perseroan wajib membentuk Penyelenggara Teknologi Informasi yang disusun berdasarkan kaidah
pemisahan tugas atau segregation of duty (SoD) yang meliputi fungsi-fungsi :
a.
b.
c.
d.
e.
Perencanaan strategis Teknologi Informasi;
Pengelolaan kebijakan Teknologi Informasi;
Pengembangan Teknologi Informasi;
Pengelolaan operasi Teknologi Informasi;
Audit Teknologi Informasi.
(5).
Struktur organisasi Teknologi Informasi sebagaimana dimaksud pada ayat (1) harus sesuai dengan
Rencana Strategis Teknologi Informasi.
(6).
Peran dan tanggung jawab pihak-pihak yang terkait dalam kegiatan penyelenggaraan Teknologi
Informasi diatur oleh penanggung jawab tertinggi Penyelenggara Teknologi Informasi.
BAB V
PENGELOLAAN SUMBER DAYA TEKNOLOGI INFORMASI
Pasal 9
Sumber Daya Teknologi Informasi
(1).
Sumber Daya Teknologi Informasi terdiri atas Sumber Daya Manusia, Data dan Informasi, Aplikasi dan
Infrastruktur yang merupakan aset Perseroan yang harus dikelola secara optimal, efektif dan efisien.
(2).
Pengadaan Sumber Daya Teknologi Informasi dilaksanakan sesuai peraturan yang berlaku di
Perseroan.
Pasal 10
Pengelolaan Sumber Daya Manusia
(1).
Level kompetensi dari setiap jenjang dan fungsi Sumber Daya Manusia harus didefinisikan dalam
aturan pengelolaan Sumber Daya Manusia Perseroan.
(2).
Peran dan tanggung jawab seluruh Sumber Daya Manusia harus didefinisikan secara jelas agar selalu
sesuai dengan kebijakan Perseroan, prosedur pelaksanaan dan level kompetensi Penyelenggara
Teknologi Informasi.
(3).
Sumber Daya Manusia maupun Pengguna Akhir harus mendapat pelatihan sehingga memiliki
kompetensi cukup terkait Teknologi Informasi yang dikelola.
Pasal 11
Pengelolaan Data dan Informasi
(1).
Pengelolaan Data dan Informasi berprinsip pada kelengkapan, kesesuaian, akurasi, validitas dan
pembagian hak akses sesuai kaidah pemisahan tugas yang dapat dipertanggungjawabkan.
(2).
Setiap proses Data dan Informasi dijaga kerahasiaan, integritas dan ketersediaannya yang terintegrasi
dalam pengelolaan keamanan Teknologi Informasi.
(3).
Pemilik Proses Bisnis harus memastikan kemutakhiran dan keakuratan Data dan Informasi dalam
5 dari 10
setiap proses yang mengolah Data dan Informasi tersebut.
(4).
Pemilik Proses Bisnis harus melakukan klasifikasi Data dan Informasi yang digunakan dalam proses
bisnis yang dijalankan.
(5).
Klasifikasi Data dan Informasi sebagaimana dimaksud pada ayat (4) disusun berdasarkan tingkat
kekritisan (criticality) dan sensitifitas (sensitivity) Data dan Informasi yang meliputi :
a.
b.
c.
Kepemilikan data (data ownership);
Tingkat Keamanan dan Pengendalian Proteksi (security level and protection controls);
Jangka waktu ketersediaan data dan kebutuhan penghancuran data (data retention and
destruction requirement).
Pasal 12
Pengelolaan Aplikasi
(1).
Aplikasi di Perseroan yang terdiri dari aplikasi yang mendukung proses bisnis Perseroan dan aplikasi
yang menambah nilai layanan dari proses bisnis Perseroan termasuk transaksi secara online, harus
dikelola secara efektif dan efisien dengan memenuhi tingkat layanan sesuai kebutuhan bisnis
Perseroan.
(2).
Dalam hal Perseroan melakukan akuisisi dan/atau pengembangan Aplikasi, maka wajib dilakukan
langkah-langkah pengendalian sehingga menghasilkan layanan Teknologi Informasi yang mendukung
pencapaian tujuan Perseroan, antara lain mencakup :
a.
b.
Menerapkan prosedur dan metodologi pengembangan Sistem Teknologi Informasi (System
Development Life Cycle) termasuk jaminan kualitas (Quality Assurance) secara konsisten;
Menerapkan manajemen proyek dalam pengembangan sistem.
(3).
Akuisisi dan/atau pengembangan Aplikasi sebagaimana dimaksud dalam ayat (3) harus sesuai
dengan kebutuhan bisnis dan selaras dengan Rencana Strategis Teknologi Informasi serta harus
memperhatikan keamanan (security), ketersediaan (availability), integrasi dengan sistem terkait,
kemudahan pemeliharaan (maintainablility) dan dapat diaudit (auditability).
(4).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis yang akan menggunakan Aplikasi
terlebih dahulu harus melakukan kajian kesiapan sistem Aplikasi dan kajian risiko meliputi
a.
b.
c.
(5).
Struktur organisasi yang mendukung termasuk fungsi pengawasan dari Pejabat Struktural Unit
Bisnis dan/ atau Pejabat Struktural Kantor Pusat yang bertanggung jawab di bidang Teknologi
Informasi;
Kebijakan dan prosedur pengelolaan Teknologi Informasi serta tanggung jawab dan kewenangan
pelaksana sistem Aplikasi;
Penerapan manajemen risiko khususnya pengendalian pengamanan yang berprinsip pada
kerahasiaan (confidentiality), integritas (integrity), keaslian (authentication), sifat bahwa penerima
mampu membuktikan bahwa pengirim data benar-benar mengirim data bahkan bilamana pengirim
kemudian berusaha menyangkal pernah mengirim data tersebut (Non Repudiation) dan
ketersediaan (availability).
Penyelenggara Teknologi Informasi melakukan pemeliharaan sistem secara rutin untuk menjamin
operasi sistem aplikasi berjalan secara optimal dengan mengacu pada prosedur dan instruksi kerja
terkait termasuk penjadwalan pekerjaan, pemantauan terhadap kesiapan, konfigurasi, ketersediaan
dan unjuk kerja sistem (system health, configuration , availability and performance check).
Pasal 13
Pengelolaan Infrastruktur
(1).
Akuisisi dan/atau pengembangan Infrastruktur harus sesuai dengan kebutuhan bisnis, kebutuhan
layanan Teknologi Informasi dan selaras dengan Rencana Strategis Teknologi Informasi.
(2).
Pemilihan perangkat Infrastruktur harus memenuhi persyaratan keamanan (security), ketersediaan
(availability), integrasi dengan sistem terkait, kemudahan pemeliharaan dan kemudahan operasional.
(3).
Untuk kebutuhan pengujian dan pengembangan Teknologi Informasi, Penyelenggara Teknologi
6 dari 10
Informasi harus menyediakan Infrastruktur yang memadai.
(4).
Penyelenggara Teknologi Informasi melakukan pemeliharaan sistem secara rutin untuk menjamin
operasi infrastruktur berjalan secara optimal dengan mengacu pada prosedur dan instruksi kerja terkait
termasuk penjadwalan pekerjaan, pemantauan terhadap kesiapan, konfigurasi, ketersediaan dan unjuk
kerja sistem (system health, configuration , availability and performance check).
BAB VI
TATA KELOLA INVESTASI TEKNOLOGI INFORMASI
Pasal 14
Pengelolaan Investasi Teknologi Informasi
(1).
Investasi Teknologi Informasi harus selaras dengan Rencana Strategis Teknologi Informasi dan
dilengkapi dengan kajian kelayakan sesuai ketentuan yang berlaku.
(2).
Investasi Teknologi Informasi dikoordinasikan oleh Penyelenggara Teknologi Informasi untuk
diusulkan dalam Rencana Kerja dan Anggaran Perseroan.
(3).
Investasi Teknologi Informasi yang bersifat strategis dan memiliki dampak luas terhadap proses bisnis
Perseroan, harus mendapatkan persetujuan Komite Teknologi Informasi terlebih dahulu, sebelum
diusulkan dalam Rencana Kerja dan Anggaran Perseroan.
(4).
Anggaran Teknologi Informasi dikelola dalam pos anggaran Teknologi Informasi.
(5).
Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis melakukan penilaian terhadap
manfaat yang telah dicapai dari investasi Teknologi Informasi.
(6).
Dalam menghitung nilai dan manfaat terhadap Investasi Teknologi Informasi, Penyelenggara Teknologi
Informasi dimungkinkan menerapkan sistem Pembebanan Kembali (Charge Back) yaitu sebuah
mekanisme pembebanan biaya operasional maupun investasi yang dikenakan kepada Pengguna Akhir
terhadap layanan yang telah diberikan.
BAB VII
TATA KELOLA RISIKO TEKNOLOGI INFORMASI
Pasal 15
Pengelolaan Risiko Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi harus melakukan Pengelolaan Risiko Teknologi Informasi terkait
layanan Teknologi Informasi antara lain identifikasi risiko, pengukuran dampak potensial dan rencana
mitigasi.
(2).
Pengelolaan Risiko Teknologi Informasi meliputi :
a.
b.
(3).
Pengembangan dan pengadaan Teknologi Informasi.
Operasional Teknologi Informasi.
Pengelolaan Risiko Teknologi Informasi yang berdampak terhadap bisnis Perseroan harus
diintegrasikan ke dalam pengelolaan risiko Perseroan.
BAB VIII
TATA KELOLA LAYANAN TEKNOLOGI INFORMASI
Pasal 16
Layanan Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi sesuai dengan fungsi tugasnya harus melakukan identifikasi,
definisi fungsi dan pengelolaan layanan dari setiap layanan Teknologi Informasi yang disediakan.
7 dari 10
(2).
Pengelolaan layanan Teknologi Informasi yang disediakan meliputi pengelolaan :
a.
b.
c.
d.
e.
f.
(3).
Penerimaan laporan insiden, gangguan dan keluhan;
Permasalahan layanan;
Perubahan layanan;
Versi dan konfigurasi;
Tingkat dan kapasitas layanan;
Kesinambungan layanan.
Semua Layanan Teknologi Informasi harus mempunyai :
a.
b.
c.
d.
e.
f.
g.
h.
Standard tingkat layanan yang jelas dan terukur;
Pemilahan tugas dan tanggung jawab yang jelas;
Prosedur operasional;
Prosedur pemeliharaan rutin;
Prosedur penanganan gangguan;
Prosedur pemantauan kesiapan layanan;
Fasilitas riwayat akses (access log);
Kajian analisa risiko.
(4).
Penyelenggara Teknologi Informasi berkewajiban untuk memonitor pelaksanaan dan meninjau
kembali prosedur operasi dan prosedur pemeliharaan Layanan Teknologi Informasi baik yang dikelola
oleh Penyelenggara Teknologi Informasi maupun yang dikelola oleh pihak ketiga.
(5).
Kesepakatan Tingkat layanan dan pencapaian tingkat layanan harus
didokumentasikan dengan baik serta ditinjau ulang pada periode waktu tertentu.
dipublikasikan
dan
Pasal 17
Pengelolaan End User Computing
(1).
End User Computing (EUC) adalah layanan Teknologi Informasi yang menjalankan operasi bisnis
Perseroan dimana kendali terhadap pengembangan Teknologi Informasi serta pengelolaannya
dilakukan oleh Pengguna Akhir atau Unit Bisnis dan bukan oleh Penyelenggara Teknologi Informasi.
(2).
Prosedur pelaksanaan EUC harus tertulis, disetujui oleh Pejabat Struktural yang menggunakan
layanan EUC dan Penyelenggara Teknologi Informasi, dikaji ulang secara berkala, serta
disosialisasikan kepada seluruh Pengguna Akhir.
(3).
Dalam prosedur pelaksanaan EUC dicantumkan secara jelas wewenang dan tanggung jawab dari
Pejabat Struktural yang menggunakan layanan EUC dan Penyelenggara Teknologi Informasi.
(4).
Pengembangan layanan Teknologi Informasi yang disediakan melalui EUC harus memiliki analisis
kebutuhan dan persetujuan Pejabat Struktural yang menggunakan layanan EUC dan Penyelenggara
Teknologi Informasi.
BAB IX
PENGELOLAAN KEAMANAN TEKNOLOGI INFORMASI
Pasal 18
Pengelolaan Keamanan Sistem
(1).
(2).
(3).
Seluruh kegiatan pengelolaan Teknologi Informasi dan penggunaan Fasilitas Teknologi Informasi
harus mempertimbangkan keamanan Teknologi Informasi dengan prinsip menjaga kerahasiaan,
integritas dan ketersediaan Informasi sehingga ukuran-ukuran keamanannya sejalan dengan rencana
kesinambungan bisnis (Business Continuity Planning) Perseroan.
Penyelenggara Teknologi Informasi bersama-sama Pemilik Proses Bisnis harus membuat prosedur
pengelolaan keamanan Sumber Daya Teknologi Informasi.
Pengelolaan keamanan Sumber Daya Teknologi Informasi meliputi :
a.
b.
c.
d.
e.
f.
Klasifikasi aset Teknologi Informasi;
Perencanaan pengamanan Teknologi Informasi;
Pengaturan penggunaan Fasilitas Teknologi Informasi;
Prosedur otentikasi dan mekanisme otorisasi;
Pengujian keamanan Teknologi Informasi;
Pengawasan dan pendeteksian ancaman;
8 dari 10
g.
(4).
Penyelesaian insiden keamanan dan kerentanan (vulnerabilities) Teknologi Informasi.
Semua pihak yang mengakses sistem Teknologi Informasi Perseroan harus mematuhi kebijakan
keamanan dan prosedur penggunaan layanan Teknologi Informasi.
BAB X
PENGELOLAAN LAYANAN PIHAK KETIGA
Pasal 19
Pengelolaan Layanan Pihak Ketiga
(1).
Kerjasama dengan pihak ketiga untuk penyediaan layanan Teknologi Informasi harus memenuhi
persyaratan kepatuhan terhadap peraturan-peraturan yang diterbitkan Perseroan dan efektivitas
layanan Teknologi Informasi.
(2).
Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis mendefinisikan dengan jelas tugas,
tanggung jawab dan tingkat layanan yang diberikan pihak ketiga.
(3).
Pejabat Struktural yang menggunakan layanan EUC sebagaimana dimaksud dalam pasal 17, harus
mendefinisikan dengan jelas tugas, tanggung jawab dan tingkat layanan yang diberikan pihak ketiga.
(4).
Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis harus melakukan pengawasan dan
pengukuran terhadap kewajiban pihak ketiga yang harus dipenuhi.
(5).
Apabila pihak ketiga tidak memenuhi kewajiban sesuai dengan perjanjian kerjasama, Perseroan harus
memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan dengan meminimalkan
risiko.
BAB XI
MONITOR DAN EVALUASI KINERJA TEKNOLOGI INFORMASI
Pasal 20
Indikator Unjuk Kerja Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis harus mengukur dan mengevaluasi
unjuk kerja layanan dan pengelolaan Teknologi Informasi sehingga dapat meningkatkan unjuk kerja
layanan Teknologi Informasi sesuai dengan arahan, kebijakan dan kebutuhan Perseroan.
(2).
Pengukuran unjuk kerja layanan Teknologi Informasi antara lain meliputi:
a.
b.
c.
d.
Penetapan metode monitoring unjuk kerja;
Pelaporan unjuk kerja;
Pengukuran kepuasan Pengguna Akhir;
Evaluasi unjuk kerja.
BAB XII
MONITOR DAN EVALUASI PENGENDALIAN INTERNAL
Pasal 21
Pengawasan Pengendalian Internal
(1).
Fungsi audit Teknologi Informasi dibentuk untuk mengawasi efektivitas dan kepatuhan aturan dari
seluruh Pengelolaan Teknologi Informasi.
(2).
Pengawasan fungsi audit Teknologi informasi sebagaimana dimaksud pada ayat (1) paling sedikit
meliputi :
a.
b.
c.
d.
(3).
Pengawasan oleh Direksi dan Manajemen Unit Bisnis serta adanya budaya pengendalian;
Identifikasi dan penilaian risiko;
Kegiatan pengendalian dan pemisahan fungsi;
Kegiatan pemantauan dan koreksi penyimpangan terhadap pengelolaan Teknologi Informasi.
Kegiatan pemantauan dan koreksi penyimpangan sebagaimana dimaksud pada ayat (2) huruf d,
9 dari 10
paling sedikit meliputi:
a.
b.
c.
Kegiatan pemantauan secara terus menerus;
Pelaksanakan fungsi audit Teknologi Informasi yang efektif dan menyeluruh;
Perbaikan terhadap penyimpangan yang teridentifikasi.
(4).
Pengawasan internal Perseroan harus mencakup pengawasan terhadap seluruh penggunaan
Teknologi Informasi, baik yang disediakan oleh Penyelenggara Teknologi Informasi maupun pihak
ketiga penyedia layanan Teknologi Informasi
(5).
Dalam hal terdapat keterbatasan kemampuan fungsi audit Teknologi Informasi, maka pelaksanaan
fungsi audit dapat dilakukan oleh auditor eksternal independen.
BAB XIII
TATA KELOLA KEPATUHAN PERATURAN PERUNDANG-UNDANGAN
Pasal 22
Kepatuhan Terhadap Peraturan Perundang-undangan
(1).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis melakukan identifikasi dan memastikan
pelaksanaan Peraturan Perundang-undangan yang harus dipatuhi Perseroan dalam setiap kegiatan
penyelenggaraan Teknologi Informasi.
(2).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis melakukan pengawasan dan usulan
koreksi terhadap layanan dan pengelolaan Teknologi Informasi terkait kepatuhan terhadap Peraturan
Perundang-undangan yang berlaku.
(3).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis menyusun laporan kepatuhan terhadap
Peraturan Perundang-undangan untuk diintegrasikan dalam laporan bisnis Perseroan.
BAB XIII
PENUTUP
Pasal 23
Ketentuan Penutup
Pada saat Keputusan ini mulai berlaku, maka ketentuan-ketentuan lain yang bertentangan dengan Keputusan
ini, dinyatakan tidak berlaku.
Keputusan ini mulai berlaku terhitung sejak tanggal ditetapkan.
Ditetapkan di Jakarta
pada tanggal
September 2010
DIREKTUR UTAMA,
DAHLAN ISKAN
10 dari 10
KEPUTUSAN DIREKSI PT PLN (PERSERO)
NOMOR :
529
.K/DIR/2010
TENTANG
PEDOMAN DAN KEBIJAKAN UMUM TATA KELOLA TEKNOLOGI INFORMASI
DI LINGKUNGAN PT PLN (PERSERO)
DIREKSI PT PLN (PERSERO)
Menimbang
:
a.
b.
c..
d.
Mengingat
:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
bahwa dalam menunjang Tata Kelola Perusahaan yang baik atau Good Corporate
Governance, maka harus dipastikan adanya proses perbaikan yang terukur serta
efisien dan efektif;
bahwa adanya Tata Kelola Teknologi Informasi sangat penting dan saling terkait
terhadap keberhasilan Tata Kelola Perusahaan serta peran strategis dalam upaya
Perusahaan melaksanakan misi serta pencapaian sasaran usaha yang telah
ditetapkan;
bahwa untuk menjamin peran strategis Teknologi Informasi dalam pencapaian
sasaran Perusahaan, maka perlu disusun Pedoman dan Kebijakan Umum Tata
Kelola Teknologi informasi yang mampu menyelaraskan antara rencana strategis
bisnis dengan operasional Teknologi Informasi, namun tetap mengakomodasi
perkembangan Teknologi Informasi;
bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, b dan c
di atas, perlu menetapkan Keputusan Direksi PT PLN (Persero) tentang Pedoman
dan Kebijakan Umum Tata Kelola Teknologi informasi di Lingkungan PT PLN
(Persero).
Undang-undang RI Nomor 19 Tahun 2003 tentang Badan Usaha Milik Negara;
Undang-undang RI Nomor 40 Tahun 2007 tentang Perseroan Terbatas;
Undang-Undang RI Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik;
Undang-Undang RI Nomor 30 Tahun 2009 tentang Ketenagalistrikan;
Peraturan Pemerintah RI Nomor 10 Tahun 1989 tentang Penyediaan dan
Pemanfaatan Tenaga Listrik sebagaimana telah diubah dengan Peraturan
Pemerintah RI Nomor 3 Tahun 2005 dan Peraturan Pemerintah RI Nomor 26
Tahun 2006;
Peraturan Pemerintah RI Nomor 23 Tahun 1994 tentang Pengalihan Bentuk
Perusahaan Umum (Perum) Listrik Negara menjadi perusahaan Perseroan
(Persero);
Peraturan Pemerintah RI Nomor 45 Tahun 2005 tentang Pendirian, Pengurusan,
Pengawasan dan Pembubaran Badan Usaha Milik Negara;
Anggaran Dasar PT PLN (Persero);
Keputusan Menteri Negara Badan Usaha Milik Negara Nomor KEP-58/MBU/2008
jo Keputusan Menteri Badan Usaha Milik Negara Nomor KEP-252/MBU/2009
tentang Pemberhentian dan Pengangkatan Anggota-Anggota Direksi Perusahaan
Perseroan (Persero) PT Perusahaan Listrik Negara;
Keputusan Direksi PT PLN (Persero) Nomor 001.K/030/DIR/1994 tentang
Pemberlakukan Peraturan Sehubungan Dengan Pengalihan Bentuk Hukum
Perusahaan;
Keputusan Direksi PT PLN (Persero) Nomor 304.K/DIR/2009 tentang Batasan
Kewenangan Pengambilan Keputusan di Lingkungan PT PLN (Persero);
Keputusan Direksi PT PLN (Persero) Nomor 017.K/DIR/2010 tentang Organisasi
dan Tata Kerja PT PLN (Persero) sebagaimana telah diubah dengan Keputusan
Direksi PT PLN (Persero) Nomor 055.K/DIR/2010.
1 dari 10
MEMUTUSKAN :
Menetapkan
:
KEPUTUSAN DIREKSI PT PLN (PERSERO) TENTANG PEDOMAN DAN KEBIJAKAN
UMUM TATA KELOLA TEKNOLOGI INFORMASI
DI LINGKUNGAN PT PLN
(PERSERO).
BAB I
KETENTUAN UMUM
Pasal 1
Pengertian dan Istilah
Dalam Keputusan ini yang dimaksud dengan :
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Perseroan adalah PT (Persero) Perusahaan Listrik Negara.;
Direksi adalah Organ Perseroan yang bertanggung jawab atas pengelolaan perusahaan sesuai
dengan maksud dan tujuan Perseroan yang terdiri dari seorang Direktur Utama sebagai pimpinan
dengan beberapa Direktur sebagai anggota, dalam batasan yang ditentukan oleh Undang-Undang
Nomor 40 Tahun 2007 tentang Perseroan Terbatas dan/atau Anggaran Dasar Perseroan.
General Manager/Kepala Unit Bisnis adalah Pejabat yang bertanggung jawab atas pengelolaan Unit
Bisnis sesuai dengan maksud dan tujuan Unit Bisnis.
Unit Bisnis adalah Unit Organisasi satu tingkat di bawah Kantor Pusat yang melaksanakan kegiatan
usaha tertentu sesuai dengan tujuan dan kegiatan usaha Perseroan yang terdiri dari Unit Bisnis
Penyedia Tenaga Listrik dan Unit Bisnis Penunjang Tenaga Listrik.
Good Corporate Governance (GCG) adalah suatu proses dan struktur yang digunakan oleh RUPS,
Dewan Komisaris dan Direksi untuk meningkatkan keberhasilan usaha dan akuntabilitas Perseroan
guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan
kepentingan stakeholder lainnya, berlandaskan peraturan perundang-undangan dan nilai-nilai etika.
Data adalah suatu objek, kejadian, atau fakta tentang Perseroan yang terdokumentasikan dengan
memiliki kodifikasi terstruktur.
Informasi adalah adalah hasil pengolahan Data Perseroan dengan menggunakan Teknologi Informasi
milik atau disewa oleh Perseroan.
Teknologi Informasi adalah teknologi yang digunakan dalam proses kegiatan usaha Perseroan untuk
mencatat, menyimpan, mengolah, mengambil kembali, mengirim atau menerima Informasi yang
berkaitan dengan Perseroan guna mencapai maksud dan tujuan Perseroan.
Aplikasi adalah software milik atau disewa oleh Perseroan yang digunakan dalam proses kegiatan
usaha Perseroan.
Infrastruktur adalah sarana Teknologi Informasi milik atau disewa oleh Perseroan yang digunakan
dalam proses kegiatan usaha Perseroan.
Penyelenggara Teknologi Informasi adalah organisasi di dalam Perseroan yang bertanggung jawab
terhadap pengelolaan Teknologi Informasi dan penyelarasan Teknologi Informasi dengan kebutuhan
Perseroan guna menjamin keberhasilan usaha dan akuntabilitas Perseroan.
Pengguna Akhir adalah karyawan tetap atau karyawan tidak tetap dan pihak lain yang dalam
pekerjaannya berhubungan dengan Perseroan dan diberikan akses terhadap fasilitas Teknologi
Informasi milik atau disewa oleh Perseroan sebagai sarana bekerja.
Rencana Strategis Teknologi Informasi adalah dokumen yang menggambarkan visi dan misi Teknologi
Informasi Perseroan, strategi yang mendukung visi dan misi tersebut dan prinsip-prinsip utama yang
menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan bisnis dan
mendukung rencana strategis jangka panjang Perseroan.
Pemilik Proses Bisnis adalah Organ Perseroan yang bertanggungjawab terhadap unjuk kerja proses
dalam mewujudkan tujuan Perseroan yang diukur dengan indikator unjuk kerja dan berwenang untuk
mengubah proses bila diperlukan.
Fasilitas Teknologi Informasi adalah fasilitas yang digunakan untuk dapat mengakses Teknologi
Informasi yang disediakan Perseroan sebagai sarana bekerja.
Pasal 2
Maksud dan Tujuan
(1).
Maksud ditetapkan Keputusan ini adalah :
Memberikan kerangka pengaturan atau acuan kepada seluruh unit yang terkait dengan
penyelenggaraan Teknologi Informasi Perseroan dalam penyusunan dan penetapan petunjuk
pelaksanaan dan prosedur agar terjadi sinergi antara pengembangan dan operasional di lingkungan
2 dari 10
(2).
organisasi unit terkait.
Tujuan ditetapkan Keputusan ini adalah :
a.
Sebagai pedoman untuk mewujudkan pola standardisasi kerangka pelaksanaan pengembangan,
penerapan dan operasi Teknologi Informasi yang selaras dengan kebutuhan strategis Perseroan;
b.
Sebagai pedoman untuk memantau dan mengevaluasi unjuk kerja Penyelenggara Teknologi
Informasi;
c.
Sebagai Pedoman untuk meningkatkan kapabilitas Perseroan dalam memberikan kontribusi bagi
penciptaan nilai tambah serta meningkatkan efektifitas dan efisiensi kegiatan operasional
Perseroan.
Pasal 3
Ruang Lingkup Pemberlakuan
(1).
Pedoman dan Kebijakan Umum Tata Kelola Teknologi Informasi diberlakukan secara menyeluruh di
Perseroan terhadap proses perencanaan, pengembangan, operasional dan tata kelola sumber daya
Teknologi Informasi Perseroan yang terdiri atas Aplikasi, Data/Informasi, Infrastruktur dan sumber daya
manusia.
(2).
Struktur Kebijakan Tata Kelola Teknologi Informasi diatur oleh penanggung jawab tertinggi
Penyelenggara Teknologi Informasi.
BAB II
PENETAPAN PERAN TEKNOLOGI INFORMASI PERSEROAN
Pasal 4
Peran Teknologi Informasi
Peran Teknologi Informasi adalah sebagai :
1.
Pendorong dalam meningkatkan kapabilitas proses bisnis Perseroan untuk meningkatkan nilai tambah
layanan;
2.
Penggerak penciptaan produk layanan baru dalam mencapai tujuan strategis Perseroan.
Pasal 5
Tanggung Jawab Manajemen
(1).
Untuk mewujudkan peran Teknologi Informasi Perseroan sebagaimana dimaksud dalam pasal 4
Keputusan ini, Direksi berwenang dan bertanggung jawab :
a.
b.
(2).
Menetapkan Rencana Strategis Teknologi Informasi dan Kebijakan Perseroan terkait penggunaan
Teknologi Informasi;
Menetapkan Komite Teknologi Informasi (Information Technology Commitee) untuk mengawasi
kegiatan terkait Teknologi Informasi.
Direksi dan General Manager/Kepala Unit Bisnis berwenang dan bertanggung jawab untuk
memastikan bahwa :
a.
b.
c.
d.
e.
f.
Terdapat keselarasan antara strategi bisnis dan strategi Teknologi Informasi;
Teknologi Informasi yang digunakan Perseroan dapat mendukung perkembangan usaha,
pencapaian tujuan bisnis dan kelangsungan pelayanan pelanggan;
Terdapat upaya peningkatan kompetensi sumber daya manusia yang terkait penggunaan
Teknologi Informasi;
Penerapan proses manajemen risiko dalam penggunaan Teknologi Informasi dilaksanakan secara
memadai dan efektif;
Tersedianya kebijakan dan prosedur Teknologi Informasi yang memadai dan dikomunikasikan
serta diterapkan secara efektif baik pada Penyelenggara Teknologi Informasi maupun Pengguna
Akhir;
Terdapat sistem pengukuran unjuk kerja pengelolaan Teknologi Informasi.
3 dari 10
(3).
Diagram dan jalur komunikasi kegiatan tata kelola Teknologi Informasi diatur oleh penanggung jawab
tertinggi penyelenggara Teknologi Informasi.
BAB III
RENCANA STRATEGIS TEKNOLOGI INFORMASI
Pasal 6
Penetapan Rencana Strategis Teknologi Informasi
(1).
Perseroan wajib memiliki Rencana Strategis Teknologi Infomasi untuk mengatur dan mengarahkan
semua sumber daya Teknologi Informasi sesuai dengan kebutuhan serta Rencana Strategis
Perseroan.
(2).
Rencana Strategis Teknologi Informasi meliputi :
a.
b.
c.
d.
e.
f.
g.
Visi dan misi Teknologi Informasi Perseroan;
Penyelarasan bisnis dan Teknologi Informasi;
Arahan strategis Teknologi Informasi;
Model pola operasi Teknologi Informasi;
Strategi pengelolaan sumber daya Teknologi Informasi;
Arsitektur Informasi, arsitektur Aplikasi dan arsitektur Infrastruktur;
Rencana pengembangan, implementasi dan investasi Teknologi Informasi.
(3).
Rencana Strategis Teknologi Informasi disusun berlandaskan azas efektifitas dan efisiensi dengan
mempertimbangkan manajemen risiko serta kebijakan hemat energi.
(4).
Rencana Strategis Teknologi Informasi dievaluasi dan ditinjau ulang secara berkala sesuai dengan
kebutuhan serta rencana strategis Perseroan
BAB IV
KERANGKA KERJA PROSES DAN ORGANISASI TEKNOLOGI INFORMASI
Pasal 7
Kerangka Kerja Proses Pengelolaan Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi mendefinisikan setiap kegiatan pengelolaan Teknologi Informasi
berupa prosedur pelaksanaan Teknologi Informasi dan ditetapkan oleh penanggung jawab tertinggi
Penyelenggara Teknologi Informasi atau General Manager/Kepala Unit Bisnis atau pejabat satu
tingkat di bawah General Manager/Kepala Unit Bisnis.
(2).
Penyelenggara Teknologi Informasi mengkomunikasikan kebijakan-kebijakan pengelolaan Teknologi
Informasi secara jelas sehingga dipahami dan diterima oleh semua Pengguna Akhir.
Pasal 8
Struktur Organisasi Teknologi Informasi
(1).
Struktur Organisasi Teknologi Informasi terdiri dari :
a.
b.
(2).
Komite Teknologi Informasi.
Penyelenggara Teknologi Informasi.
Komite Teknologi Informasi sebagaimana dimaksud pada ayat (1) huruf a bertanggung jawab atas
pengambilan keputusan strategis yang berdampak besar terhadap kelangsungan bisnis Perseroan
dan memberikan arahan, atas nama Direksi, dalam hal-hal yang berkaitan dengan :
a.
b.
Peran Teknologi Informasi dan penyelarasannya terhadap arah bisnis Perseroan yang disusun
dalam Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan);
Peningkatan pencapaian nilai dan investasi Teknologi Informasi;
4 dari 10
c.
d.
e.
(3).
Komite Teknologi Informasi sekurang-kurangnya beranggotakan :
a.
b.
(4).
Pemilihan strategi pengelolaan sumber daya Teknologi Informasi;
Penetapan ukuran unjuk kerja Penyelenggara Teknologi Informasi;
Pengelolaan risiko penyelenggaraan Teknologi Informasi.
Direktur yang membawahi satuan kerja Bisnis Perseroan.
Direktur yang membawahi satuan kerja Teknologi Informasi.
Perseroan wajib membentuk Penyelenggara Teknologi Informasi yang disusun berdasarkan kaidah
pemisahan tugas atau segregation of duty (SoD) yang meliputi fungsi-fungsi :
a.
b.
c.
d.
e.
Perencanaan strategis Teknologi Informasi;
Pengelolaan kebijakan Teknologi Informasi;
Pengembangan Teknologi Informasi;
Pengelolaan operasi Teknologi Informasi;
Audit Teknologi Informasi.
(5).
Struktur organisasi Teknologi Informasi sebagaimana dimaksud pada ayat (1) harus sesuai dengan
Rencana Strategis Teknologi Informasi.
(6).
Peran dan tanggung jawab pihak-pihak yang terkait dalam kegiatan penyelenggaraan Teknologi
Informasi diatur oleh penanggung jawab tertinggi Penyelenggara Teknologi Informasi.
BAB V
PENGELOLAAN SUMBER DAYA TEKNOLOGI INFORMASI
Pasal 9
Sumber Daya Teknologi Informasi
(1).
Sumber Daya Teknologi Informasi terdiri atas Sumber Daya Manusia, Data dan Informasi, Aplikasi dan
Infrastruktur yang merupakan aset Perseroan yang harus dikelola secara optimal, efektif dan efisien.
(2).
Pengadaan Sumber Daya Teknologi Informasi dilaksanakan sesuai peraturan yang berlaku di
Perseroan.
Pasal 10
Pengelolaan Sumber Daya Manusia
(1).
Level kompetensi dari setiap jenjang dan fungsi Sumber Daya Manusia harus didefinisikan dalam
aturan pengelolaan Sumber Daya Manusia Perseroan.
(2).
Peran dan tanggung jawab seluruh Sumber Daya Manusia harus didefinisikan secara jelas agar selalu
sesuai dengan kebijakan Perseroan, prosedur pelaksanaan dan level kompetensi Penyelenggara
Teknologi Informasi.
(3).
Sumber Daya Manusia maupun Pengguna Akhir harus mendapat pelatihan sehingga memiliki
kompetensi cukup terkait Teknologi Informasi yang dikelola.
Pasal 11
Pengelolaan Data dan Informasi
(1).
Pengelolaan Data dan Informasi berprinsip pada kelengkapan, kesesuaian, akurasi, validitas dan
pembagian hak akses sesuai kaidah pemisahan tugas yang dapat dipertanggungjawabkan.
(2).
Setiap proses Data dan Informasi dijaga kerahasiaan, integritas dan ketersediaannya yang terintegrasi
dalam pengelolaan keamanan Teknologi Informasi.
(3).
Pemilik Proses Bisnis harus memastikan kemutakhiran dan keakuratan Data dan Informasi dalam
5 dari 10
setiap proses yang mengolah Data dan Informasi tersebut.
(4).
Pemilik Proses Bisnis harus melakukan klasifikasi Data dan Informasi yang digunakan dalam proses
bisnis yang dijalankan.
(5).
Klasifikasi Data dan Informasi sebagaimana dimaksud pada ayat (4) disusun berdasarkan tingkat
kekritisan (criticality) dan sensitifitas (sensitivity) Data dan Informasi yang meliputi :
a.
b.
c.
Kepemilikan data (data ownership);
Tingkat Keamanan dan Pengendalian Proteksi (security level and protection controls);
Jangka waktu ketersediaan data dan kebutuhan penghancuran data (data retention and
destruction requirement).
Pasal 12
Pengelolaan Aplikasi
(1).
Aplikasi di Perseroan yang terdiri dari aplikasi yang mendukung proses bisnis Perseroan dan aplikasi
yang menambah nilai layanan dari proses bisnis Perseroan termasuk transaksi secara online, harus
dikelola secara efektif dan efisien dengan memenuhi tingkat layanan sesuai kebutuhan bisnis
Perseroan.
(2).
Dalam hal Perseroan melakukan akuisisi dan/atau pengembangan Aplikasi, maka wajib dilakukan
langkah-langkah pengendalian sehingga menghasilkan layanan Teknologi Informasi yang mendukung
pencapaian tujuan Perseroan, antara lain mencakup :
a.
b.
Menerapkan prosedur dan metodologi pengembangan Sistem Teknologi Informasi (System
Development Life Cycle) termasuk jaminan kualitas (Quality Assurance) secara konsisten;
Menerapkan manajemen proyek dalam pengembangan sistem.
(3).
Akuisisi dan/atau pengembangan Aplikasi sebagaimana dimaksud dalam ayat (3) harus sesuai
dengan kebutuhan bisnis dan selaras dengan Rencana Strategis Teknologi Informasi serta harus
memperhatikan keamanan (security), ketersediaan (availability), integrasi dengan sistem terkait,
kemudahan pemeliharaan (maintainablility) dan dapat diaudit (auditability).
(4).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis yang akan menggunakan Aplikasi
terlebih dahulu harus melakukan kajian kesiapan sistem Aplikasi dan kajian risiko meliputi
a.
b.
c.
(5).
Struktur organisasi yang mendukung termasuk fungsi pengawasan dari Pejabat Struktural Unit
Bisnis dan/ atau Pejabat Struktural Kantor Pusat yang bertanggung jawab di bidang Teknologi
Informasi;
Kebijakan dan prosedur pengelolaan Teknologi Informasi serta tanggung jawab dan kewenangan
pelaksana sistem Aplikasi;
Penerapan manajemen risiko khususnya pengendalian pengamanan yang berprinsip pada
kerahasiaan (confidentiality), integritas (integrity), keaslian (authentication), sifat bahwa penerima
mampu membuktikan bahwa pengirim data benar-benar mengirim data bahkan bilamana pengirim
kemudian berusaha menyangkal pernah mengirim data tersebut (Non Repudiation) dan
ketersediaan (availability).
Penyelenggara Teknologi Informasi melakukan pemeliharaan sistem secara rutin untuk menjamin
operasi sistem aplikasi berjalan secara optimal dengan mengacu pada prosedur dan instruksi kerja
terkait termasuk penjadwalan pekerjaan, pemantauan terhadap kesiapan, konfigurasi, ketersediaan
dan unjuk kerja sistem (system health, configuration , availability and performance check).
Pasal 13
Pengelolaan Infrastruktur
(1).
Akuisisi dan/atau pengembangan Infrastruktur harus sesuai dengan kebutuhan bisnis, kebutuhan
layanan Teknologi Informasi dan selaras dengan Rencana Strategis Teknologi Informasi.
(2).
Pemilihan perangkat Infrastruktur harus memenuhi persyaratan keamanan (security), ketersediaan
(availability), integrasi dengan sistem terkait, kemudahan pemeliharaan dan kemudahan operasional.
(3).
Untuk kebutuhan pengujian dan pengembangan Teknologi Informasi, Penyelenggara Teknologi
6 dari 10
Informasi harus menyediakan Infrastruktur yang memadai.
(4).
Penyelenggara Teknologi Informasi melakukan pemeliharaan sistem secara rutin untuk menjamin
operasi infrastruktur berjalan secara optimal dengan mengacu pada prosedur dan instruksi kerja terkait
termasuk penjadwalan pekerjaan, pemantauan terhadap kesiapan, konfigurasi, ketersediaan dan unjuk
kerja sistem (system health, configuration , availability and performance check).
BAB VI
TATA KELOLA INVESTASI TEKNOLOGI INFORMASI
Pasal 14
Pengelolaan Investasi Teknologi Informasi
(1).
Investasi Teknologi Informasi harus selaras dengan Rencana Strategis Teknologi Informasi dan
dilengkapi dengan kajian kelayakan sesuai ketentuan yang berlaku.
(2).
Investasi Teknologi Informasi dikoordinasikan oleh Penyelenggara Teknologi Informasi untuk
diusulkan dalam Rencana Kerja dan Anggaran Perseroan.
(3).
Investasi Teknologi Informasi yang bersifat strategis dan memiliki dampak luas terhadap proses bisnis
Perseroan, harus mendapatkan persetujuan Komite Teknologi Informasi terlebih dahulu, sebelum
diusulkan dalam Rencana Kerja dan Anggaran Perseroan.
(4).
Anggaran Teknologi Informasi dikelola dalam pos anggaran Teknologi Informasi.
(5).
Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis melakukan penilaian terhadap
manfaat yang telah dicapai dari investasi Teknologi Informasi.
(6).
Dalam menghitung nilai dan manfaat terhadap Investasi Teknologi Informasi, Penyelenggara Teknologi
Informasi dimungkinkan menerapkan sistem Pembebanan Kembali (Charge Back) yaitu sebuah
mekanisme pembebanan biaya operasional maupun investasi yang dikenakan kepada Pengguna Akhir
terhadap layanan yang telah diberikan.
BAB VII
TATA KELOLA RISIKO TEKNOLOGI INFORMASI
Pasal 15
Pengelolaan Risiko Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi harus melakukan Pengelolaan Risiko Teknologi Informasi terkait
layanan Teknologi Informasi antara lain identifikasi risiko, pengukuran dampak potensial dan rencana
mitigasi.
(2).
Pengelolaan Risiko Teknologi Informasi meliputi :
a.
b.
(3).
Pengembangan dan pengadaan Teknologi Informasi.
Operasional Teknologi Informasi.
Pengelolaan Risiko Teknologi Informasi yang berdampak terhadap bisnis Perseroan harus
diintegrasikan ke dalam pengelolaan risiko Perseroan.
BAB VIII
TATA KELOLA LAYANAN TEKNOLOGI INFORMASI
Pasal 16
Layanan Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi sesuai dengan fungsi tugasnya harus melakukan identifikasi,
definisi fungsi dan pengelolaan layanan dari setiap layanan Teknologi Informasi yang disediakan.
7 dari 10
(2).
Pengelolaan layanan Teknologi Informasi yang disediakan meliputi pengelolaan :
a.
b.
c.
d.
e.
f.
(3).
Penerimaan laporan insiden, gangguan dan keluhan;
Permasalahan layanan;
Perubahan layanan;
Versi dan konfigurasi;
Tingkat dan kapasitas layanan;
Kesinambungan layanan.
Semua Layanan Teknologi Informasi harus mempunyai :
a.
b.
c.
d.
e.
f.
g.
h.
Standard tingkat layanan yang jelas dan terukur;
Pemilahan tugas dan tanggung jawab yang jelas;
Prosedur operasional;
Prosedur pemeliharaan rutin;
Prosedur penanganan gangguan;
Prosedur pemantauan kesiapan layanan;
Fasilitas riwayat akses (access log);
Kajian analisa risiko.
(4).
Penyelenggara Teknologi Informasi berkewajiban untuk memonitor pelaksanaan dan meninjau
kembali prosedur operasi dan prosedur pemeliharaan Layanan Teknologi Informasi baik yang dikelola
oleh Penyelenggara Teknologi Informasi maupun yang dikelola oleh pihak ketiga.
(5).
Kesepakatan Tingkat layanan dan pencapaian tingkat layanan harus
didokumentasikan dengan baik serta ditinjau ulang pada periode waktu tertentu.
dipublikasikan
dan
Pasal 17
Pengelolaan End User Computing
(1).
End User Computing (EUC) adalah layanan Teknologi Informasi yang menjalankan operasi bisnis
Perseroan dimana kendali terhadap pengembangan Teknologi Informasi serta pengelolaannya
dilakukan oleh Pengguna Akhir atau Unit Bisnis dan bukan oleh Penyelenggara Teknologi Informasi.
(2).
Prosedur pelaksanaan EUC harus tertulis, disetujui oleh Pejabat Struktural yang menggunakan
layanan EUC dan Penyelenggara Teknologi Informasi, dikaji ulang secara berkala, serta
disosialisasikan kepada seluruh Pengguna Akhir.
(3).
Dalam prosedur pelaksanaan EUC dicantumkan secara jelas wewenang dan tanggung jawab dari
Pejabat Struktural yang menggunakan layanan EUC dan Penyelenggara Teknologi Informasi.
(4).
Pengembangan layanan Teknologi Informasi yang disediakan melalui EUC harus memiliki analisis
kebutuhan dan persetujuan Pejabat Struktural yang menggunakan layanan EUC dan Penyelenggara
Teknologi Informasi.
BAB IX
PENGELOLAAN KEAMANAN TEKNOLOGI INFORMASI
Pasal 18
Pengelolaan Keamanan Sistem
(1).
(2).
(3).
Seluruh kegiatan pengelolaan Teknologi Informasi dan penggunaan Fasilitas Teknologi Informasi
harus mempertimbangkan keamanan Teknologi Informasi dengan prinsip menjaga kerahasiaan,
integritas dan ketersediaan Informasi sehingga ukuran-ukuran keamanannya sejalan dengan rencana
kesinambungan bisnis (Business Continuity Planning) Perseroan.
Penyelenggara Teknologi Informasi bersama-sama Pemilik Proses Bisnis harus membuat prosedur
pengelolaan keamanan Sumber Daya Teknologi Informasi.
Pengelolaan keamanan Sumber Daya Teknologi Informasi meliputi :
a.
b.
c.
d.
e.
f.
Klasifikasi aset Teknologi Informasi;
Perencanaan pengamanan Teknologi Informasi;
Pengaturan penggunaan Fasilitas Teknologi Informasi;
Prosedur otentikasi dan mekanisme otorisasi;
Pengujian keamanan Teknologi Informasi;
Pengawasan dan pendeteksian ancaman;
8 dari 10
g.
(4).
Penyelesaian insiden keamanan dan kerentanan (vulnerabilities) Teknologi Informasi.
Semua pihak yang mengakses sistem Teknologi Informasi Perseroan harus mematuhi kebijakan
keamanan dan prosedur penggunaan layanan Teknologi Informasi.
BAB X
PENGELOLAAN LAYANAN PIHAK KETIGA
Pasal 19
Pengelolaan Layanan Pihak Ketiga
(1).
Kerjasama dengan pihak ketiga untuk penyediaan layanan Teknologi Informasi harus memenuhi
persyaratan kepatuhan terhadap peraturan-peraturan yang diterbitkan Perseroan dan efektivitas
layanan Teknologi Informasi.
(2).
Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis mendefinisikan dengan jelas tugas,
tanggung jawab dan tingkat layanan yang diberikan pihak ketiga.
(3).
Pejabat Struktural yang menggunakan layanan EUC sebagaimana dimaksud dalam pasal 17, harus
mendefinisikan dengan jelas tugas, tanggung jawab dan tingkat layanan yang diberikan pihak ketiga.
(4).
Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis harus melakukan pengawasan dan
pengukuran terhadap kewajiban pihak ketiga yang harus dipenuhi.
(5).
Apabila pihak ketiga tidak memenuhi kewajiban sesuai dengan perjanjian kerjasama, Perseroan harus
memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan dengan meminimalkan
risiko.
BAB XI
MONITOR DAN EVALUASI KINERJA TEKNOLOGI INFORMASI
Pasal 20
Indikator Unjuk Kerja Teknologi Informasi
(1).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis harus mengukur dan mengevaluasi
unjuk kerja layanan dan pengelolaan Teknologi Informasi sehingga dapat meningkatkan unjuk kerja
layanan Teknologi Informasi sesuai dengan arahan, kebijakan dan kebutuhan Perseroan.
(2).
Pengukuran unjuk kerja layanan Teknologi Informasi antara lain meliputi:
a.
b.
c.
d.
Penetapan metode monitoring unjuk kerja;
Pelaporan unjuk kerja;
Pengukuran kepuasan Pengguna Akhir;
Evaluasi unjuk kerja.
BAB XII
MONITOR DAN EVALUASI PENGENDALIAN INTERNAL
Pasal 21
Pengawasan Pengendalian Internal
(1).
Fungsi audit Teknologi Informasi dibentuk untuk mengawasi efektivitas dan kepatuhan aturan dari
seluruh Pengelolaan Teknologi Informasi.
(2).
Pengawasan fungsi audit Teknologi informasi sebagaimana dimaksud pada ayat (1) paling sedikit
meliputi :
a.
b.
c.
d.
(3).
Pengawasan oleh Direksi dan Manajemen Unit Bisnis serta adanya budaya pengendalian;
Identifikasi dan penilaian risiko;
Kegiatan pengendalian dan pemisahan fungsi;
Kegiatan pemantauan dan koreksi penyimpangan terhadap pengelolaan Teknologi Informasi.
Kegiatan pemantauan dan koreksi penyimpangan sebagaimana dimaksud pada ayat (2) huruf d,
9 dari 10
paling sedikit meliputi:
a.
b.
c.
Kegiatan pemantauan secara terus menerus;
Pelaksanakan fungsi audit Teknologi Informasi yang efektif dan menyeluruh;
Perbaikan terhadap penyimpangan yang teridentifikasi.
(4).
Pengawasan internal Perseroan harus mencakup pengawasan terhadap seluruh penggunaan
Teknologi Informasi, baik yang disediakan oleh Penyelenggara Teknologi Informasi maupun pihak
ketiga penyedia layanan Teknologi Informasi
(5).
Dalam hal terdapat keterbatasan kemampuan fungsi audit Teknologi Informasi, maka pelaksanaan
fungsi audit dapat dilakukan oleh auditor eksternal independen.
BAB XIII
TATA KELOLA KEPATUHAN PERATURAN PERUNDANG-UNDANGAN
Pasal 22
Kepatuhan Terhadap Peraturan Perundang-undangan
(1).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis melakukan identifikasi dan memastikan
pelaksanaan Peraturan Perundang-undangan yang harus dipatuhi Perseroan dalam setiap kegiatan
penyelenggaraan Teknologi Informasi.
(2).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis melakukan pengawasan dan usulan
koreksi terhadap layanan dan pengelolaan Teknologi Informasi terkait kepatuhan terhadap Peraturan
Perundang-undangan yang berlaku.
(3).
Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis menyusun laporan kepatuhan terhadap
Peraturan Perundang-undangan untuk diintegrasikan dalam laporan bisnis Perseroan.
BAB XIII
PENUTUP
Pasal 23
Ketentuan Penutup
Pada saat Keputusan ini mulai berlaku, maka ketentuan-ketentuan lain yang bertentangan dengan Keputusan
ini, dinyatakan tidak berlaku.
Keputusan ini mulai berlaku terhitung sejak tanggal ditetapkan.
Ditetapkan di Jakarta
pada tanggal
September 2010
DIREKTUR UTAMA,
DAHLAN ISKAN
10 dari 10