Pembuatan Tata Kelola Keamanan Informasi Kontrol Fisik dan Lingkungan Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan Perbendaharaan Negara Surabaya II
RIZKY DIAN BARETA – 5210105002 Pembimbing I : Ir. Ahmad Holil Noor Ali, M.Kom Pembimbing II : Yudhistira Kesuma, S.Kom, M.Kom
Standar keamanan informasi dari Kementrian Kominfo Kebijakan Kementrian Keuangan -> Renstra Kemenkeu 2010-2014 Resiko yang pernah terjadi -> kebakaran KPPN Kolaka 5 Desember 2008, dll
Bagaimana tata kelola keamanan informasi yang berfokus pada fisik dan lingkungan yang sesuai dengan Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 pada KPPN Surabaya II? Hal-hal apa yang tercakup dalam kontrol fisik dan lingkungan pada KPPN Surabaya II? Panduan apa yang perlu ada dalam kontrol fisik dan lingkungan? Prosedur apa yang perlu ada dalam kontrol fisik dan lingkungan? Pedoman apa yang perlu ada dalam kontrol fisik dan lingkungan? Instruksi kerja apa yang perlu ada dalam kontrol fisik dan lingkungan? Formulir apa yang perlu ada dalam kontrol fisik dan lingkungan?
Perancangan tata kelola keamanan informasi difokuskan pada pembuatan pedoman, prosedur, instruksi kerja dan formulir. Pembuatan dokumen tata kelola keamanan informasi mengacu pada kebijakan dan standar yang telah ditetapkan dalam Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. Pembuatan tata kelola keamanan informasi terbatas pada KPPN Surabaya II yang terletak pada lantai 7 GKN Surabaya II Jalan Dinoyo.
Kumpulan proses yang saling terkait dan terstrukturisasi untuk mengarahkan dan mengontrol organisasi dalam mencapai tujuan. (ITSM, 2007)
Segala bentuk teknologi yang diterapkan untuk memproses dan mengirimkan informasi dalam bentuk eletronis (Lucas, 2000) Sebuah rangkaian prosedur formal dimana data dikelompokkan, diproses menjadi beberapa informasi dan didistribusikan kepada pemakai. (Hall, 2001)
Suatu upaya untuk melindungi aset informasi yang dimiliki. (Sarno, 2009) Aspek keamanan : kerahasiaan, integritas, ketersediaan (Triantono, 2007)
Standard keamanan informasi yang dikembangkan oleh International Organization for Standarization (ISO) dan International Electrotecnical Comission (IEC) Sebuah panduan pembuatan, penerapan, pelaksanaan, pengawasan, analisis, pemeliharaan dan pendokumentasian Sistem Manajemen Keamanan Informasi
Pengamanan Area : pegawai, tamu dan pihak ketiga Pengamanan Perangkat Penempatan dan perlindungan perangkat Penyediaan perangkat pendukung Pengamanan kabel Pemeliharaan perangkat Pengamanan perangkat di luar area Pengamanan penggunaan kembali / penghapusan perangkat
STUDI LITERATUR SMKI, ISO 27001:2005, PERATURAN/KEBIJAKAN
Daftar standar dan referensi
STUDI LAPANGAN KONDISI ORGANISASI
Penjelasan organisasi objek
PERANCANGAN DOKUMEN TATA KELOLA Perancangan dengan teknik pemetaan
Pedoman, prosedur, intruksi kerja, formulir
VERIFIKASI DOKUMEN TATA KELOLA Verifikasi tengan teknik trace back
Checklist dan kesesuaian dokumen
Satuan kerja yang terdapat di dalam GKN Surabaya II antara lain: KPP Pratama Surabaya Tegalsari, yang berada pada lantai 1, 2 dan 3 dengan luas lahan 2.181 m2. KPP Pratama Surabaya Sawahan, yang berada pada lantai 1, 2 dan 3 dengan luas lahan 2.181 m2. KPP Pratama Surabaya Simokerto, yang berada pada lantai 5, 6 dan 8 dengan luas lahan 3.283 m2. KPPN Surabaya II, yang berada pada lantai 7 dengan luas lahan 1.313 m2. Kanwil X DJKN Surabaya, yang berada pada lantai 4 dan 8 dengan luas lahan 1.970 m2.
Fasilitas pada Gedung Keuangan Negara Surabaya II antara lain sebagai berikut: Daya listrik terpasang sebesar 800 KVA. AC sentral sebanyak 67 unit. AC split sebanyak 39 unit. Lift sebanyak 4 unit. Genset sebanyak 1 unit dengan daya listrik 750 KVA. Alat pencegah kebakaran sebanyak 33 unit. Pesawat telepon sebanyak 175 unit. Faksimili sebanyak 1 unit. Aula sebanyak 1 buah dengan luas 472 m2. Halaman parkir dengan luas 600 m2.
KPPN Surabaya II saat ini melayani 186 satuan kerja dan 37 bank persepsi dengan dibantu 4 bank operasional I dan 5 bank operasional II. Total pagu dana belanja negara yang dikelola KPPN Surabaya II adalah sebesar Rp.5.710.800.426.000,-. KPPN Surabaya II mempunyai 43 pegawai dengan rincian 1 orang eselon III, 4 orang eselon IV dan 38 pelaksana. KPPN Surabaya II terdiri dari 1 subbagian umum dan 3 seksi, yaitu seksi pencairan dana, seksi bendum dan seksi verifikasi dan akuntansi. Khusus untuk subbagian umum terbagi menjadi 3 bagian, yaitu TU/RT, kepegawaian dan keuangan. Untuk jabatan supervisor merupakan jabatan yang ditunjuk langsung oleh kepala KPPN.
Dalam kaidah umum pembuatan dokumen tersebut menggunakan format yang telah ditetapkan oleh Kementerian Komunikasi dan Informatika RI. Dalam format tersebut terdapat 4 susunan dokumen, yaitu: Identitas Pengesahan Daftar perubahan dokumen Isi dokumen
Isi dokumen: Dokumen tingkat 1 1. Kebijakan 2. Standar Dokumen tingkat 2 1. Panduan 2. Prosedur Dokumen tingkat 3 1. Petunjuk teknis 2. Instruksi kerja 3. formulir
Kebijakan keamanan informasi; Peran dan tanggung jawab organisasi keamanan informasi; Klasifikasi informasi; Kebijakan kontrol terkait; Standar yang telah ditetapkan organisasi.
Perimeter keamanan fisik; Pengendalian akses masuk; Mengamankan kantor, ruangan dan fasilitas; Perlindungan terhadap ancaman eksternal dan lingkungan; Bekerja di area yang aman; Area akses publik dan bongkar muat; Penempatan dan perlindungan peralatan; Sarana pendukung; Keamanan kabel; Pemeliharaan peralatan; Keamanan peralatan di luar lokasi; Pembuangan atau penggunaan kembali peralatan secara aman; Pemindahan barang.
Kebijakan dan standar kontrol keamanan fisik dan lingkungan Kementerian Keuangan sesuai KMK nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan Peran dan tanggung jawab organisasi keamanan informasi kontrol keamanan fisik dan lingkungan mengacu pada struktur organisasi pada KPPN Surabaya II. Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas TI melalui RACI-Chart (Responsible, Accountable, Consulted dan Informed) ke struktur organisasi KPPN Surabaya II. Responsible berarti pihak yang bertanggung jawab terhadap pelaksanaan aktifitas. Accountable berarti pihak yang memberikan arahan untuk pelaksanaan aktifitas. Consulted berarti pihak tersebut dilibatkan dalam pengambilan keputusan suatu aktifitas Informed berarti pihak tersebut diberi laporan terhadap suatu aktifitas.
Prosedur
Kepala kantor
Kepala subbagian umum
TU/RT
Supervisor
Perimeter keamanan fisik
I
A/R
R
R
Pengendalian akses masuk
A
R
R
R
Mengamankan kantor, ruangan dan fasilitas
A
R
R
Perlindungan terhadap ancaman eksternal dan lingkungan
I
A/R
R
Bekerja di area yang aman
I
A/R
R
Area akses publik dan bongkar muat
I
A
R
Penempatan dan perlindungan peralatan
I
A
R
R
Sarana pendukung
I
A/R
R
R
Keamanan kabel
I
A
R
R
Pemeliharaan peralatan
I
A
R
R
Keamanan peralatan di luar lokasi
I
A/R
R
Pembuangan atau penggunaan kembali peralatan secara aman
A
Pemindahan barang
I
R A/R
R
R
R
Dalam dokumen tingkat 2 ini berisi prosedur, panduan serta petunjuk pelaksanaan yang telah dikembangkan oleh internal organisasi dan berisi langkah-langkah cara menerapkan kebijakan serta penanggung jawab kegiatan. Dokumen ini bersifat operasional, dalam arti dilakukan sehari-hari sesuai tugas pokok dan fungsi penanggung jawab kegiatan. Prosedur-prosedur yang dihasilkan merupakan pemetaan dari kegiatan-kegiatan yang ada pada kontrol fisik dan keamanan di ISO 27001:2005 yang dipetakan dengan dokumen tingkat 1 yang telah terdokumentasi sebelumnya, sehingga dihasilkan 26 dokumen yang terangkum dalam 13 set dokumen tingkat 2.
Petunjuk teknis diambil dari petunjuk teknis organisasi dalam hal ini mengambil dari surat Direktorat Sistem Perbendaharaan Nomor S-9339/PB.7/2011 hal Petunjuk Teknis Pengelolaan Server, Sistem Jaringan, dan Database, namun dapat pula mengambil petunjuk teknis lintas departemen, seperti contohnya penggunaan Peraturan Menteri Pekerjaan Umum No. 24/PRT/M/2008 tentang Pedoman Pemeliharaan dan Perawatan Bangunan Gedung dalam petunjuk teknis kegiatan mengamankan kantor, ruangan dan fasilitas. Didapat 12 dokumen tingkat 3 yang terdiri dari 4 petunjuk teknis, 2 instruksi kerja dan 6 formulir yang terbagi ke 8 dokument tingkat 2.
Pembuatan dokumen tata kelola sistem manajemen keamanan informasi kontrol fisik dan lingkungan secara garis besar mengacu pada ISO/IEC 27001:2005 yang telah diadopsi pada Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. Standar pembuatan dokumen tata kelola sistem manajemen keamanan informasi kontrol fisik dan lingkungan mengadopsi template Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik yang disusun oleh Tim Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika RI. Ruang lingkup obyek yang tercakup dalam dokumen tata kelola sistem manajemen keamanan informasi kontrol fisik dan lingkungan ini adalah segala aset yang menjadi penguasaan dan tanggung jawab KPPN Surabaya II.
Dalam pembuatan dokumen terdapat 3 tingkat, yaitu: Dokumen tingkat 1 yang berisi kebijakan dan standar internal organisasi menghasilkan 13 dokumen. Dokumen tingkat 2 yang berisi prosedur, panduan dan petunjuk pelaksanaan menghasilkan 26 dokumen yang terangkum dalam 13 set dokumen. Dokumen tingkat 3 yang berisi petunjuk teknis, instruksi kerja dan formulir menghasilkan 12 dokumen yang terdiri dari 4 petunjuk teknis, 2 instruksi kerja dan 6 formulir terangkum ke dalam 8 set dokumen.
Pembuatan dokumen tata kelola sistem manajemen keamanan informasi ini hanya mencakup proses yang terkait dengan keamanan fisik dan lingkungan, oleh karena itu diharapkan kedepannya dapat dilakukan pengembangan untuk melengkapi dengan diadakan pembuatan dokumen tata kelola sistem manajemen keamanan informasi kontrol yang lainnya. Kantor Pusat Direktorat Jenderal Perbendaharaan dapat melakukan assessment terhadap risiko yang akan timbul pada semua layanan TI di seluruh lingkup organisasi agar dapat menentukan tindakan lebih lanjut serta meminimalkan risiko yang akan timbul. Terdapat beberapa peralatan atau sarana pendukung yang tidak dalam penguasaan serta tanggung jawab KPPN Surabaya II, sehingga diharapkan KPPN Surabaya II dapat menjalin koordinasi secara berkelanjutan mengenai ketersediaan dan kapabilitas peralatan dan sarana pendukung yang menjadi penguasaan dan tanggung jawab GKN Surabaya II.
