ROADMAP PENCAPAIAN STANDAR SISTEM KEAMANAN INFORMASI KEMENTERIAN PERHUBUNGAN Zulfikar Tontowi Kepala Bidang Perencanaan Dan Kebijakan TIK - Pustikomhub
Dasar Hukum • Perpres 4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi • KP. 374 Tahun 2015 Tentang Kebijakan Pengelolaan TIK di Lingkungan Kemhub • KP. 536 Tahun 2016 Tentang Panduan Teknis Penerapan SDLC di Lingkungan Kemhub
TUJUAN UMUM • Melindungi Kerahasian (Confidentialy) • Menjaga Keutuhan (Integrity) • Memastikan Ketersediaan (Availabilty)
“ ASET INFORMASI “
Maksud dan Tujuan Penyusunan Roadmap • Menyusun strategi dalam pencapaian standar sistem keamanan informasi di Kementerian Perhubungan • Untuk memetakan langkah-langkah kegiatan yang akan ditempuh untuk dapat lebih terarah, terstruktur dan terukur dalam memperoleh standar sistem keamanan sistem informasi
Kondisi Saat Ini Masih rendahnya kesadaran pentingnya keamanan Informasi Belum adanya kebijakan dan standar keamanan informasi di Kementerian Perhubungan Belum terbentuknya stuktur tata kelola keamanan informasi Masih lemahnya pengawasan
Kurangnya kompetensi SDM dibidang Keamanan Informasi
Kondisi Ideal Tersedianya Kebijakan Keamanan Informasi Terbentuknya Organisasi Keamanan Informasi Terpenuhinya kompetensi SDM di bidang Keamanan Informasi Dilaksanakannya Manajemen Asset Pengaturan pengendalian hak akses Kriptografi Keamanan Lingkungan dan Fisik Akusisi, Pengembangan dan Pemeliharaan Keamanan Informasi Hubungan dan Pengaturan kepada Pihak Ketiga Manajemen pengamanan Keamanan Informasi Manajemen Bisnis Continuity Kesesuaian (Compliance)
Roadmap Pencapaian Standar Sistem Keamanan Informasi Kementerian Perhubungan
PENUTUP • Roadmap Pencapaian Standar Sistem Keamanan Informasi agar DAPAT menjadi Acuan bagi Kementerian Perhubungan dalam mencapai Kondisi Ideal • Dukungan dan Komitmen yang kuat dari seluruh stakeholder dibutuhkan untuk mencapai keberhasilan pencapaian standar Keamanan Informasi
Kebijakan dan Standar Sistem Manajemen Keamanan Informasi (SMKI) di Lingkungan Kementerian Perhubungan
ZULFIKAR TONTOWI KEPALA BIDANG PERENCANAAN DAN KEBIJAKAN TIK PUSTIKOMHUB
• Kebijakan dan Standar SMKI dikoordinasikan oleh Chief Information Officer (CIO) Kementerian Perhubungan, yang sekaligus berperan sebagai Chief Information Security Officer (CISO). • CISO Kementerian Perhubungan membentuk Tim Keamanan Informasi Kementerian Perhubungan yang diketuai oleh CISO Kementerian Perhubungan dan beranggotakan para CISO Unit Eselon I, • (CISO)Unit Eselon I dilaksanakan oleh Sekretaris Inspektorat Jenderal/Para Sekretaris Direktorat Jenderal dan Badan
1. 2. 3. 4. 5. 6. 7. 8.
Umum Organisasi Keamanan Informasi Pengelolaan Aset Informasi Keamanan Sumber Daya Manusia Keamanan Fisik dan Lingkungan Pengelolaan Komunikasi dan Operasional Akses Keamanan Informasi dalam Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi 9. Pengelolaan Gangguan Keamanan Informasi 10. Keamanan Informasi dalam Pengelolaan kelangsungan Kegiatan 11. Kepatuhan
A. Tujuan Sebagai pedoman dalam rangka melindungi aset informasi Kementerian Perhubungan dari berbagai bentuk ancaman B. Ruang Lingkup Pengelolaan pengamanan seluruh aset informasi Kementerian Perhubungan dan dilaksanakan oleh seluruh unit kerja, C. Kebijakan
Setiap pimpinan Unit eselon I bertanggung jawab mengatur penerapan Kebijakan dan Standar SMKI di lingkungan Kementerian Perhubungan yang ditetapkan dalam Keputusan Menteri Perhubungan ini di lingkungan unit eselon I masing-masing. D. Standar Catatan Penerapan Kebijakan dan Standar SMKI di Lingkungan Kementerian Perhubungan
A. Tujuan Pedoman membentuk organisasi fungsional keamanan informasi yang bertanggung jawab untuk mengelola keamanan informasi dan perangkat pengolah informasi B. Ruang Lingkup Struktur Tim, Perjanjian Kerahasian, Hubungan dengan Pihak lainnya C. Kebijakan Uraian dari Ruang Lingkup D. Standar Uraian dari Ruang Lingkup
A. Tujuan Pedoman dalam mengelola aset informasi di lingkungan Kementerian Perhubungan untuk melindungi dan menjamin keamanan aset informasi. B. Ruang Lingkup Tanggung Jawab Es I terhadap Aset informasi dan Pengklasifikasikan Aset informasi C. Kebijakan Tanggung Jawab : Unit TIK pusat dan unit TIK eselon I mengidentifikasi aset informasi dan mendokumentasikannya dalam daftar inventaris aset informasi Klasifikasi Aset : Aset informasi diklasifikasikan sesuai tingkat kerahasiaan, nilai, tingkat kritikalitas, serta aspek hukumnya. D. Standar Pengelolaan Aset Informasi
A. Tujuan Memastikan bahwa seluruh pegawai dan pihak ketiga di lingkungan Kementerian Perhubungan memahami tanggung jawabnya masing-masing, sadar atas ancaman keamanan informasi B. Ruang Lingkup Mencakup peran dan tanggung jawab seluruh pegawai dan pihak ketiga di lingkungan Kementerian Perhubungan yang harus dipahami dan dilaksanakan
C. Kebijakan Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi Kementerian Perhubungan sesuai dengan tugas dan fungsinya. D. Standar Peran dan tanggung jawab pegawai terhadap keamanan informasi harus menjadi bagian dari penjabaran tugas dan fungsi, khususnya bagi yang memiliki akses terhadap aset informasi
A. Tujuan Untuk mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinya kerusakan pada perangkat pengolah informasi serta gangguan pada aktifitas organisasi. B. Ruang Lingkup
Pengamanan Area dan Pengamanan Perangkat C. Kebijakan
Seluruh pegawai bertanggung jawab untuk menjaga keamanan informasi Kementerian Perhubungan sesuai dengan tugas dan fungsinya. D. Standar Perangkat harus dipelihara sesuai dengan petunjuk manualnya. Untuk pemeliharaan yang dilakukan oleh pihak ketiga, harus diadakan Perjanjian Tingkat Layanan (Service Level Agreement/SLA) yang mendefinisikan tingkat pemeliharaan yang disediakan dan tingkat kinerja yang harus dipenuhi pihak ketiga
A. Tujuan Untuk memastikan operasional yang aman dan benar pada perangkat pengolah informasi. B. Ruang Lingkup Prosedur Operasional, Pengelolaan Layanan, Perencanaan dan Penerimaan Sistem, Perlindungan terhadap ancaman program, BackUp, Pengelolaan Keamanan jaringan, Penanganan Media Penyimpanan Data, Pertukaran Informasi dan Pemantauan C. Kebijakan
Uraian dari Ruang Lingkup. D. Standar Dokumentasi Prosedur Operasional
A. Tujuan Memastikan otorisasi akses pengguna dan mencegah akses pihak yang tidak berwenang terhadap aset informasi khususnya perangkat pengolah informasi. B. Ruang Lingkup Persyaratan pengendalian akses, Pengelolaan Akses, Tanggung Jawab Pengguna, Pengendalian Akses Jaringan, Pengendalian ke Sistem Operasi, Pengendalian ke Aplikasi dan Sistem Informasi, Mobile Computing C. Kebijakan Uraian dari Ruang Lingkup. D. Standar Persyaratan Pengendalian Akses
A. Tujuan Memastikan bahwa keamanan informasi merupakan bagian yang terintegrasi dengan sistem informasi, mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak yang tidak berwenang. B. Ruang Lingkup Pengolahan Informasi pada aplikasi, Pengendalian Kriptografi, Keamanan file System, Keamanan dalam proses Pengembangan, Pengelolaan kerentanan teknis C. Kebijakan Uraian dari Ruang Lingkup. D. Standar Spesifikasi kebutuhan perangkat pengolah informasi di dokumentasikan secara formal
A. Tujuan Memastikan kejadian dan kelemahan keamanan informasi yang terhubung dengan sistem informasi dikomunikasikan untuk dilakukan perbaikan B. Ruang Lingkup Pelaporan Kejadian dan Kelemahan Keamanan Informasi dan Pengelolaan gangguan keamanan informasi dan perbaikannya C. Kebijakan Uraian dari Ruang Lingkup. D. Standar Uraian dan jenis dari Ruang Lingkup
A. Tujuan Untuk melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layanan pada saat keadaan darurat, serta memastikan pemulihan yang tepat. B. Ruang Lingkup
Proses Pengelolaan Kelangsungan Kegiatan, Penilaian Resiko dan Analisa Dampak Bisnis, Penyusunan dan penerpan Rencana Kelangsungan Kegiatan, Pengujian dan kaji ulang Rencana Kelangsungan Kegiatan C. Kebijakan Uraian dari Ruang Lingkup. D. Standar Uraian dan jenis dari Ruang Lingkup
A. Tujuan Untuk menghindari pelanggaran terhadap peraturan perundangan yang terkait keamanan informasi B. Ruang Lingkup Kepatuhan terhadap peraturan perundangan yang terkait keamanan informasi, kepatuhan teknis dan Audit Sistem Informasi C. Kebijakan Kepatuhan terhadap Peraturan Perundangan yang terkait Keamanan Informasi. D. Standar Uraian dan jenis dari Ruang Lingkup