Panduan Penerapan Tata Kelola Keamanan Informasi bagi ...

2Panduan Penerapan TataKelola Keamanan Informasibagi PenyelenggaraPelayanan PublikDisusun oleh: Tim Direktorat Keamanan InformasiEdisi: 2.0,September 2011Direktorat Keamanan InformasiKementerian Komunikasi dan Informatika RI@Kominfo, 2011,Klasifikasi: Umum

3Daftar IsiDaftar Isi……………………………………………………………………………. 2Daftar Gambar……………………………………………………………………… .4Daftar Tabel…………………………………………………………………………..51 Pendahuluan .......................................................................................................... 72 Tujuan ................................................................................................................... 83 Ruang Lingkup Penerapan .................................................................................... 83.1 Area Penggunaan .............................................................................................. 83.1.1 Instansi pemerintah pusat dan daerah ....................................................... 83.1.2 BUMN ...................................................................................................... 83.1.3 BUMD ...................................................................................................... 83.1.4 Penyelenggara pelayanan publik lainnya .................................................. 83.2 Area Evaluasi .................................................................................................... 83.2.1 Tata Kelola Keamanan Informasi ............................................................. 83.2.2 Manajemen Risiko Keamanan Informasi ................................................. 83.2.3 Kerangka Kerja Pengelolaan Keamanan Informasi .................................. 83.2.4 Pengelolaan Aset Informasi ...................................................................... 83.2.5 Teknologi Keamanan Informasi ............................................................... 84 Standar Sistem Manajemen Keamanan Informasi ................................................ 94.1 ISO/IEC 27000 ISMS- Overview and Vocabulary ........................................... 94.2 SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi . 104.3 ISO/IEC 27002 –Code of Practice for ISMS .................................................. 124.4 ISO/IEC 27003- Information Security Management System ImplementationGuidance ......................................................................................................... 124.5 ISO/IEC 27004 - Information Security Management Measurement .............. 124.6 ISO/IEC27005 - Information Security Risk Management. ............................. 134.7 ISO/IEC 27006 - Requirements for Bodies Providing Audit and Certificationof Information Security Management Systems. ............................................... 135 Dokumentasi Sistem Manajemen Keamanan Informasi ..................................... 135.1 Struktur Dokumentasi SMKI .......................................................................... 135.1.1 Tingkat 1: ................................................................................................ 135.1.2 Tingkat 2: ................................................................................................ 145.1.3 Tingkat 3: ................................................................................................ 145.2 Cakupan Dokumentasi SMKI ......................................................................... 146 Tahapan Penerapan SMKI .................................................................................. 176.1 Persetujuan Pimpinan ...................................................................................... 176.2 Menetapkan Organisasi, Peran dan Tanggung jawab ..................................... 186.3 Mendefinisikan Ruang Lingkup ..................................................................... 186.4 Melakukan Gap Analysis ................................................................................ 18@Kominfo, 2011,Klasifikasi: Umum

46.5 Melakukan Risk Assessment dan Risk Treatment Plan ................................... 196.6 Menetapkan Kontrol dan Sasaran Kontrol ...................................................... 196.7 Menetapkan Kebijakan dan Prosedur SMKI .................................................. 206.8 Sosialisasi dan Pelatihan ................................................................................. 206.9 Menerapkan Kebijakan dan Prosedur ............................................................. 216.10 Mengukur Efektivitas Kontrol ........................................................................ 216.11 Melakukan Audit Internal ............................................................................... 226.12 Melakukan Evaluasi, Peninjauan (Review) dan Penyempurnaan ................... 227 Daftar Istilah ....................................................................................................... 24Lampiran …………………………………………………………………………….25A. Indeks KAMI ...................................................................................................... 27B. Template Kebijakan dan Prosedur SMKI ........................................................... 44SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) ............................... 44KEBIJAKAN PENGENDALIAN HAK AKSES ...................................................... 47ATURAN PENGGUNAAN SUMBER DAYA INFORMASI .................................. 53PANDUAN KLASIFIKASI INFORMASI ................................................................ 59PROSEDUR PENGENDALIAN HAK AKSES ........................................................ 64@Kominfo, 2011,Klasifikasi: Umum

5Daftar GambarGambar 1 Hubungan antar standar keluarga SMKI ............................................... 10Gambar 2 Struktur Dokumentasi SMKI ................................................................. 13Gambar A.1 Tampilan Dasbor Hasil Evaluasi Indeks KAMI .................................... 27Gambar A.2 Ilustrasi Tampilan Evaluasi ................................................................... 32Gambar A.3 Ilustrasi Tampilan Evaluasi ................................................................... 34Gambar A.4 Diagram Radar Tingkat Kelengkapan Masing-Masing Area ............... 37Gambar A.5 Bar Chart Tingkat Kelengkapan Penerapan Standar ISO27001 .......... 38Gambar A.6 Contoh Hasil Evaluasi Tingkat Kelengkapan ....................................... 39Gambar A.7 Gambaran Definisi Evaluasi Tingkat Kematangan ............................... 40Gambar A.8 Hubungan Tingkat Kematangan dan Kelengkapan .............................. 43@Kominfo, 2011,Klasifikasi: Umum

6Daftar TabelTabel 1 Peta PDCA dalam proses SMKI ................................................................ 11Tabel 2 Cakupan dokumen tingkat 1 (Kebijakan) .................................................. 15Tabel 3 Cakupan dokumen tingkat 2 (Prosedur) .................................................... 16Tabel 4 Contoh Sasaran Keamanan Informasi ....................................................... 19Tabel 5 Contoh Pengukuran Ketercapaian Sasaran Keamanan Informasi ............. 21Tabel A.1 Pemetaan Skor ........................................................................................... 35Tabel A.2 Ilustrasi Evaluasi Kematangan................................................................... 36Tabel A.3 Rangkuman Evaluasi berdasarkan Area Keamanan Informasi.................. 37Tabel A.4 Matriks Peran TIK dan Status Kesiapan .................................................... 38Tabel A.5 Jumlah pertanyaan dalam Indeks KAMI ................................................... 39@Kominfo, 2011,Klasifikasi: Umum

71 PendahuluanPenerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudahmenjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayananpublik mengingat peran TIK yang semakin penting bagi upaya peningkatankualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yangbaik (Good Corporate Governance). Dalam penyelenggaraan tata kelola TIK,faktor keamanan informasi merupakan aspek yang sangat penting diperhatikanmengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salahsatu objek utama tata kelola TIK mengalami masalah keamanan informasi yangmenyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan(availability).Untuk meningkatkan kesadaran akan pentingnya keamanan informasi, sejaktahun 2008 Kementerian Kominfo telah menyelenggarakan sosialisasi danbimbingan teknis (bimtek) kepada instansi penyelenggara pelayanan publik, baikdi lingkungan pemerintah pusat maupun daerah. Jika sosialisasi berisi tentangdefinisi, pengertian, kontrol-kontrol, persyaratan dokumentasi keamananinformasi dan contoh-contoh tindakan untuk mengamankan informasi, makabimtek menjelaskan metode atau cara melakukan penilaian mandiri (selfassessment) terhadap status keamanan informasi suatu instansi penyelenggarapelayanan publik dengan menggunakan alat bantu indeks KAMI yang telahdisusun Direktorat Keamanan Informasi - Kementerian Kominfo.Dari hasil sosialisasi dan bimtek keamanan informasi tersebut, diketahui bahwamayoritas instansi peserta belum memiliki atau sedang menyusun kerangka kerjakeamanan informasi yang memenuhi standar SNI ISO/IEC 27001. Beberapainstansi yang telah memiliki dokumentasi sistem manajemen keamananinformasi juga belum mengetahui apakah kerangka kerja yang mereka banguntelah memenuhi persyaratan standar SNI ISO/IEC 27001 karena belummenjalani audit secara independen. Meskipun telah mengikuti sosialisasi danbimtek, mayoritas peserta masih memerlukan pendampingan lanjutan baik untukpenyusunan dokumentasi SMKI maupun dalam metode penerapannya.Mayoritas peserta juga berharap agar dokumentasi SMKI dijelaskan lebih rincibaik struktur maupun cakupan kandungannya sehingga diperoleh pemahamanyang lebih komprehensif tentang sistem dokumentasi yang memenuhi standarSNI ISO/IEC 27001.Sebagai tindak lanjut atas masukan selama kegiatan sosialisasi dan bimbinganteknis keamanan informasi serta untuk mempermudah kegiatan penilaianmandiri (self assessment) tentang kondisi keamanan informasi, maka perluditerbitkan Panduan Penerapan Tata Kelola Keamanan Informasi bagiPenyelenggara Pelayanan Publik.Panduan ini juga diharapkan dapat digunakan oleh instansi/lembagapenyelenggara pelayanan publik yang belum mengikuti kegiatan sosialisasi danbimtek yang diselenggarakan Kementerian Kominfo untuk mulai membenahi,membangun dan menerapkan pengamanan informasi. Panduan ini akan direvisisesuai kebutuhan dan tingkat kematangan penerapan tata kelola keamananinformasi di lingkungan instansi/lembaga penyelenggara pelayanan publik.@Kominfo, 2011,Klasifikasi: Umum

82 TujuanTujuan disusunnya Panduan Penerapan Tata Kelola Keamanan Informasiini,agar instansi/lembaga penyelenggara pelayanan publik:2.1 Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien,dan konsisten dengan pendekatan berbasis risiko.2.2 Mampu melakukan penilaian mandiri (self-assesment) secara objektifdengan menggunakan Indeks Keamanan Informasi (Indeks KAMI)2.3 Mampu menyusun sistem dokumentasi minimum yang diperlukan untukmenerapkan tata kelola keamanan informasi2.4 Memahami roadmap penerapan tata kelola keamanan informasi3 Ruang Lingkup Penerapan3.1 Area PenggunaanPanduan ini direkomendasikan untuk diterapkan di lingkungan penyelenggaranpelayanan publik yang meliputi:3.1.1 Instansi pemerintah pusat dan daerah3.1.2 BUMN3.1.3 BUMD3.1.4 Penyelenggara pelayanan publik lainnya3.2 Area EvaluasiKondisi keamanan yang akan dievaluasi meliputi 5 (lima) area berikut:3.2.1 Tata Kelola Keamanan Informasi3.2.2 Manajemen Risiko Keamanan Informasi3.2.3 Kerangka Kerja Pengelolaan Keamanan Informasi3.2.4 Pengelolaan Aset Informasi3.2.5 Teknologi Keamanan InformasiLima area evaluasi ini merupakan rangkuman kontrol-kontrol keamanansebagaimana dijelaskan dalam ISO/ISO 27001:2005 denganmempertimbangkan karakteristik kondisi penerapan sistem manajemenkeamanan informasi, khususnya instansi/lembaga penyelenggara pelayananpublik di Indonesia. Area evaluasi ini akan terus disempurnakan sesuaipeningkatan kepedulian dan kematangan penerapan tata kelola keamananinformasi di lingkungan penyelenggara pelayanan publik. Penjelasan lebihlanjut tentang sub-bab 3.2 ini dicantumkan di Lampiran tentang Indeks KAMI.@Kominfo, 2011,Klasifikasi: Umum

94 Standar Sistem Manajemen Keamanan InformasiSejak tahun 2005, International Organization for Standardization(ISO) atauOrganisasi Internasional untuk Standarisasi telah mengembangkan sejumlahstandar tentangInformation Security Management Systems (ISMS) atau SistemManajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratanmaupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seriISO 27000 yang terdiri dari: ISO/IEC 27000:2009 – ISMS Overview and Vocabulary ISO/IEC 27001:2005 – ISMS Requirements ISO/IEC 27002:2005– Code of Practice for ISMS ISO/IEC 27003:2010 – ISMS Implementation Guidance ISO/IEC 27004:2009 – ISMS Measurements ISO/IEC 27005:2008 – Information Security Risk Management ISO/IEC 27006: 2007 – ISMS Certification Body Requirements ISO/IEC 27007 – Guidelines for ISMS AuditingDari standar seri ISO 27000 ini, hingga September 2011, baru ISO/IEC27001:2005 yang telah diadopsi Badan Standarisasi Nasional (BSN) sebagaiStandar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC27001:2009.Catatan: angka di belakang tanda titik dua (:) menunjukkan tahun terbit.4.1 ISO/IEC 27000ISMS- Overview and VocabularyStandar ini dirilis tahun 2009, memuat prinsip-prinsip dasar InformationSecurity Management Systems(Sistem Manajemen Keamanan Informasi –SMKI),definisi sejumlah istilah penting dan hubungan antar standar dalamkeluarga SMKI, baik yang telah diterbitkan maupun sedang dalam tahappengembangan.Hubungan antar standar keluarga ISO 27000 dapat digambarkan sebagaiberikut:@Kominfo, 2011,Klasifikasi: Umum

PersyaratanUmumPanduan UmumTerminologi10ISO 27000Overview dan VocabularyISO 27001RequirementsISO 27006Certification BodyRequirementsISO 27002Code of PracticeISO 27007Audit GuidelinesISO 27003ImplementationGuidanceISO 27005Risk ManagementISO 27004MeasurementsGambar 1 Hubungan antar standar keluarga SMKI4.2 SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan InformasiSNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versiIndonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yangharus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi(SMKI). Standar ini bersifat independen terhadap produk teknologi informasi,mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dandirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampumelindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkatkeamanan bagi pihak yang berkepentingan.Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagipenetapan, penerapan, pengoperasian, pemantauan, tinjau ulang (review),pemeliharaan dan peningkatan suatu SMKI. Pendekatan proses mendorongpengguna menekankan pentingnya:a) Pemahaman persyaratan keamanan informasi organisasi dankebutuhan terhadap kebijakan serta sasaran keamanan informasib) Penerapan dan pengoperasian kontrol untuk mengelola risikokeamanan informasi dalam konteks risiko bisnis organisasi secarakeseluruhanc) Pemantauan dan tinjau ulang kinerja dan efektivitas SMKI, dand) Peningkatan berkelanjutan berdasarkan pada pengukuran tingkatketercapaian sasaranModel PLAN – DO – CHECK – ACT (PDCA) diterapkan terhadap struktur@Kominfo, 2011,Klasifikasi: Umum

11keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKIdapat dipetakan seperti Tabel 1.Tabel 1 Peta PDCA dalam proses SMKIPLAN (Menetapkan SMKI)DO (Menerapkan danmengoperasikan SMKI)CHECK (Memantau danmelakukan tinjau ulangSMKI)ACT (Memelihara danmeningkatkan SMKI)Menetapkan kebijakan SMKI, sasaran, proses danprosedur yang relevan untuk mengelola risiko danmeningkatkan keamanan informasi agar memberikanhasil sesuai dengan keseluruhan kebijakan dansasaran.Menerapkan dan mengoperasikan kebijakan SMKI,kontrol, proses dan prosedur-prosedur.Mengkaji dan mengukur kinerja proses terhadapkebijakan, sasaran, praktek-praktek dalammenjalankan SMKI dan melaporkan hasilnya kepadamanajemen untuk ditinjau efektivitasnya.Melakukan tindakan perbaikan dan pencegahan,berdasarkan hasil evaluasi, audit internal dan tinjauanmanajemen tentang SMKI atau kegiatan pemantauanlainnya untuk mencapai peningkatan yangberkelanjutan.Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut: Sistem manajemen keamanan informasi (kerangka kerja, prosesdan dokumentasi) Tanggung jawab manajemen Audit internal SMKI Manajemen tinjau ulang SMKI Peningkatan berkelanjutanDisamping persyaratan utama di atas, standar ini mensyaratkan penetapansasaran kontrol dan kontrol-kontrol keamanan informasi meliputi 11 areapengamanan sebagai berikut: Kebijakan keamanan informasi Organisasi keamanan informasi Manajemen aset Sumber daya manusia menyangkut keamanan informasi Keamanan fisik dan lingkungan Komunikasi dan manajemen operasi Akses kontrol Pengadaan/akuisisi, pengembangan dan pemeliharaan sisteminformasi Pengelolaan insiden keamanan informasi Manajemen kelangsungan usaha (business continuity management) Kepatuhan@Kominfo, 2011,Klasifikasi: Umum

124.3 ISO/IEC 27002 –Code of Practice for ISMSISO/IEC 27002 berisi panduan yang menjelaskan contoh penerapan keamananinformasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapaisasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikanseluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan dalamISO/IEC 27001.ISO/IEC27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapimenyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yangtepat sesuai kebutuhannya, dengan mempertimbangkan hasil kajian risiko yangtelah dilakukannya. Pengguna juga dapat memilih kontrol di luar daftar kontrolyang dimuat standar ini sepanjang sasaran kontrolnya dipenuhi.4.4 ISO/IEC 27003- Information Security Management System ImplementationGuidanceTujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagiperancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001.Standar ini menjelaskan proses pembangunan SMKI meliputi persiapan,perancangan dan penyusunan / pengembangan SMKI yang digambarkansebagai suatu kegiatan proyek. Sebagai kegiatan proyek, tahapan utama yangdijelaskan dalam standar ini meliputi• Mendapatkan persetujuan manajemen untuk memulai proyek SMKI• Mendefinisikan ruang lingkup, batasan dan kebijakan SMKI• Melakukan analisis persyaratan SMKI• Melakukan kajian risiko dan rencana penanggulangan risiko• Merancang SMKI• Merencanakan penerapan SMKIStandar ini diterbitkan pada bulan Januari 2010.4.5 ISO/IEC 27004 - Information Security Management MeasurementStandar ini menyediakan panduan penyusunan dan penggunaan teknikpengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrolsebagaimana dipersyaratkan ISO/IEC 27001. Standar ini juga membantuorganisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan.Standar ini mencakup bagian utama sebagai berikut: Penjelasan tentang pengukuran keamanan informasi; Tanggung jawab manajemen; Pengembangan metode pengukuran; Pengukuran operasi; Analisis data dan pelaporan hasil pengukuran; Evaluasi dan perbaikan program pengukuran keamanan informasi.Standar ini diterbitkan bulan Desember 2009.@Kominfo, 2011,Klasifikasi: Umum

134.6 ISO/IEC27005 - Information Security Risk Management.Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamananinformasi dalam suatu organisasi, khususnya dalam rangka mendukungpersyaratan-persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001.Standar ini diterbitkan pada bulan Juni 2008.4.7 ISO/IEC 27006 - Requirements for Bodies Providing Audit and Certification ofInformation Security Management Systems.Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasiyang memiliki kewenangan untuk melakukan audit dan sertifikasi sistemmanajemen keamanan informasi (SMKI). Standar ini utamanya dimaksudkanuntuk mendukung proses akreditasi Badan Sertifikasi ISO/IEC 27001 olehKomite Akreditasi dari negara masing-masing.5 Dokumentasi Sistem Manajemen Keamanan Informasi5.1 Struktur Dokumentasi SMKIStruktur dokumentasi sistem manajemen keamanan informasi pada umumnyaterdiri dari 3 (tiga) tingkat, seperti terlihat pada Gambar 2.Tingkat 1Kebijakan& StandarTingkat 2Prosedur, Panduan,Petunjuk PelaksanaanTingkat 3Petunjuk Teknis, Instruksi kerja,FormulirGambar 2 Struktur Dokumentasi SMKI5.1.1 Tingkat 1:Dokumen tingkat 1 merupakandokumen dengan hirarki tertinggi dalamstruktur dokumentasi SMKI.Dokumen ini bersifat strategis yangmemuat komitmen yang dituangkan dalam bentuk kebijakan, standar,sasaran dan rencana terkait pengembangan (development), penerapan(implementation) dan peningkatan (improvement) sistem manajemenkeamanan informasi. Dokumen Tingkat 1 minimum terdiri dari:a. Kebijakan Keamanan Informasib. Peran dan tanggung jawab organisasi keamanan informasic. Klasifikasi informasi@Kominfo, 2011,Klasifikasi: Umum

14d. Kebijakan Pengamanan Akses Fisik dan Lojike. KebijakanManajemen RisikoTIKf. Manajemen Kelangsungan Usaha (Business ContinuityManagement)g. Ketentuan Penggunaan Sumber Daya TIKPenjelasan tentang cakupan masing-masing dokumen dijelaskan di butir5.2.5.1.2 Tingkat 2:Dokumen tingkat 2 ini umumnya meliputi prosedur dan panduan yangdikembangkan secara internal oleh instansi/lembaga penyelenggarapelayanan publik dan memuat cara menerapkan kebijakan yang telahditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen inibersifat operasional. Prosedur-prosedur dalam dokumen tingkat 2meliputi antara lain:a. Prosedur pengendalian dokumenb. Prosedur pengendalian rekamanc. Prosedur audit internal SMKId. Prosedur tindakan perbaikan dan pencegahane. Prosedur penanganan informasi (penyimpanan, pelabelan,pengiriman/pertukaran, pemusnahan)f. Prosedur penanganan insiden/gangguan keamananinformasig. Prosedur pemantauan penggunaan fasilitas teknologiinformasiDaftar dan penjelasan lengkap tentang prosedur dan cakupan masingmasingdiuraikan di butir 5.2.5.1.3 Tingkat 3:Dokumen tingkat 3 meliputi petunjuk teknis, instruksi kerja danformulir yang digunakan untuk mendukung pelaksanaan prosedurtertentu sampai ke tingkatan teknis. Instruksi kerja tidak selaludiperlukan untuk setiap prosedur. Sepanjang prosedur sudahmenguraikan langkah-langkah aktivitas yang jelas dan mudah dipahamipenanggung jawab kegiatan, petunjuk teknis / instruksi kerja tidakdiperlukan lagi.5.2 Cakupan Dokumentasi SMKITabel berikut menjelaskan nama dan cakupan dokumen yang pada umumnyadibangun sebagai kelengkapan kerangka kerja keamanan informasi. Namadokumen tidak harus sama dengan panduan ini, namun cakupan dokumenhendaknya memenuhi penjelasan dalam Tabel 2 dan Tabel 3 di bawah ini.@Kominfo, 2011,Klasifikasi: Umum

15No1 4.2.1KlausulSNI27001Tabel 2 Cakupan dokumen tingkat 1 (Kebijakan)NamaDokumenKebijakan KeamananInformasiCakupan DokumenMenyatakan komitmenmanajemen/pimpinan instansi/lembagamenyangkut pengamanan informasi yangdidokumentasikan dan disahkan secaraformal. Kebijakan keamanan informasidapat mencakup antara lain:Definisi, sasaran dan ruang lingkupkeamanan informasiPersetujuan terhadap kebijakan danprogram keamanan informasiKerangka kerja penetapan sasarankontrol dan kontrolStruktur dan metodologi manajemenrisikoOrganisasi dan tanggungjawabkeamanan informasi2A.6,A.8.1.1Organisasi, peran dantanggungjawab keamananinformasiUraian tentang organisasi yang ditetapkanuntuk mengelola dan mengkoordinasikanaspek keamanan informasi dari suatuinstansi/lembaga serta uraian peran dantanggung jawabnya. Organisasi pengelolakeamanan informasi tidak harus berbentukunit kerja terpisah3 A.7.2.14.2.1.cPanduan KlasifikasiInformasiKebijakan ManajemenRisiko TIKBerisi tentang petunjuk cara melakukanklasifikasi informasi yang ada diinstansi/lembaga dan disusun denganmemperhatikan nilai penting dankritikalitas informasi bagipenyelenggaraan pelayanan publik, baikyang dihasilkan secara intenal maupunditerima dari pihak eksternal. Klasifikasiinformasi dilakukan dengan mengukurdampak gangguan operasional, jumlahkerugian uang, penurunan reputasi danlegal manakala terdapat ancamanmenyangkut kerahasiaan (confidentiality),keutuhan (integrity) dan ketersediaan(availability) informasi.Berisi metodologi / ketentuan untukmengkaji risiko mulai dari identifikasiaset, kelemahan, ancaman dan dampakkehilangan aspek kerahasiaan, keutuhandan ketersediaan informasi termasuk jenismitigasi risiko dan tingkat penerimaanrisiko yang disetujui oleh pimpinan.A.14.1.4 Kerangka Kerja Berisi komitmen menjaga kelangsungan@Kominfo, 2011,Klasifikasi: Umum

16A.7.1.3Manajemen KelangsunganUsaha (BusinessContinuity Management)Kebijakan PenggunaanSumber daya TIKpelayanan publik dan proses penetapankeadaan bencana serta penyediaaninfrastruktur TIK pengganti saatinfrastruktur utama tidak dapat beroperasiagar pelayanan publik tetap dapatberlangsung bila terjadi keadaan bencana/kdarurat. Dokumen ini juga memuat timyang bertanggungjawab (ketua dananggota tim), lokasi kerja cadangan,skenario bencana dan rencana pemulihanke kondisi normal setelah bencana dapatdiatasi/berakhir.Berisi aturan penggunaan komputer(desktop/laptop/modem atau email daninternet).NoKlausulSNI27001Tabel 3 Cakupan dokumen tingkat 2 (Prosedur)NamaProsedur/Pedoman1 4.3.2 Pengendalian Dokumen2 4.3.3 Pengendalian Rekaman3 6 Audit Internal SMKI4 8.256A.7.2.2,A.10.8.1A.10.7.1 &A.10.7.2Tindakan Perbaikan &PencegahanPelabelan, Pengamanan,Pertukaran & DisposalInformasiPengelolaan RemovableMedia&Disposal MediaCakupan DokumenBerisi proses penyusunan dokumen,wewenang persetujuan penerbitan,identifikasi perubahan, distribusi,penyimpanan, penarikan dan pemusnahandokumen jika tidak digunakan dan daftarserta pengendalian dokumen eksternal yangmenjadi rujukan.Berisi pengelolaan rekaman yang meliputi:identifikasi rekaman penting, kepemilikan,pengamanan, masa retensi, dan pemusnahanjika tidak digunakan lagi.Proses audit internal: rencana, ruanglingkup, pelaksanaan, pelaporan dan tindaklanjut hasil audit serta persyaratankompetensi auditor.Berisi tatacara perbaikan/pencegahanterhadap masalah/gangguan/insiden baikteknis maupun non teknis yang terjadi dalampengembangan, operasional maupunpemeliharaan TIK.Aturan pelabelan, penyimpanan, distribusi,pertukaran, pemusnahan informasi/daya“rahasia” baik softcopy maupun hardcopy,baik milik instansi maupun informasipelanggan/mitra yang dipercayakan kepadainstansi/lembaga.Aturan penggunaan, penyimpanan,pemindahan, pengamanan media simpan@Kominfo, 2011,Klasifikasi: Umum

177 A.10.10.2Pemantauan (Monitoring)Penggunaan Fasilitas TIK8 A.11.2.1 User Access Management9 A.11.7.2 Teleworking10A.12.4.1&A.15.1.211 A.12.5.112 A.13.2.1Pengendalian InstalasiSoftware& Hak KekayaanIntelektualPengelolaan Perubahan(Change Management)TIKPengelolaan & PelaporanInsiden KeamananInformasiinformasi (tape/hard disk/flashdisk/CD) danpenghapusan informasi ataupunpenghancuran media.Berisi proses pemantauan penggunaan CPU,storage, email, internet, fasilitas TIKlainnya dan pelaporan serta tindak lanjuthasil pemantauan.Berisi proses dan tatacara pendaftaran,penghapusan dan peninjauan hak akses user,termasuk administrator, terhadap sumberdaya informasi (aplikasi, sistem operasi,database, internet, email dan internet).Pengendalian dan pengamanan penggunaanhak akses secara remote (misal melaluimodem atau jaringan). Siapa yang berhakmenggunakan dan cara mengontrol agarpenggunaannya aman.Berisi daftar software standar yang diijinkandi Instansi, permintaan pemasangan danpelaksana pemasangan termasukpenghapusan software yang tidak diizinkan.Proses permintaan dan persetujuanperubahan aplikasi/infrastruktur TIK, sertapengkinian konfigurasi/basis data/versi dariaset TIK yang mengalami perubahan.Proses pelaporan & penanganangangguan/insiden baik menyangkutketersediaan layanan atau gangguan karenapenyusupan dan pengubahan informasisecara tidak berwenang. Termasuk analisispenyebab dan eskalasi jika diperlukan tindaklanjut ke aspek legal.Beberapa contoh dokumen kebijakan dan prosedur dicantumkan di Lampiran B.6 Tahapan Penerapan SMKI6.1 Persetujuan PimpinanSetiap proyek memerlukan investasi baik untuk penyediaan sumber dayamaupun untuk pelatihan yang diperlukan. Pimpinan harus memberikanpersetujuannya terhadap rencana investasi tersebut.Sebelum rencana penerapan SMKI, pimpinan harus mendapatkan penjelasanyang memadai tentang seluk beluk, nilai penting dan untung rugi menerapkanSMKI serta konsekuensi ataupun komitmen yang dibutuhkan dari pimpinansebagai tindak lanjut persetujuan terhadap proyek SMKI. Persetujuan pimpinanharus diikuti dengan arahan dan dukungan selama berlangsungnya proyektersebut. Oleh karena itu, perkembangan proyek SMKI harus dikomunikasikansecara berkala kepada pimpinan pasca persetujuannya agar setiap masalah yang@Kominfo, 2011,Klasifikasi: Umum

18memerlukan pengambilan keputusan pimpinan dapat diselesaikan secara cepatdan tepat.6.2 Menetapkan Organisasi, Peran dan TanggungjawabSalah satu bentuk komitmen pimpinan pasca persetujuan terhadap rencanapenerapan SMKI adalah dengan menetapkan organisasi atau timpenanggungjawab keamanan informasi. Organisasi atau tim ini harus ditetapkansecara formal dan diketuai oleh koordinator atau ketua tim. Jumlah anggota timdisesuaikan dengan ruang lingkup organisasinya. Tugas utama tim ini adalahmenyiapkan, menjamindan/atau melakukan seluruh kegiatan dalam tahapanpenerapan SMKI (yang diuraikan dalam Bab ini) agar dapat terlaksana denganbaik sesuai rencana. Organisasi penanggung jawab keamanan informasi inidapat ditetapkan sebagai struktur organisasi yang bersifat permanen atausebagai “tim adhoc” (tim proyek) sesuai kebutuhan.Tanggungjawab ketua dan anggota tim serta unit kerja terkait dalam halkeamanan informasi harus diuraikan secara jelas. Ketua tim hendaknyaditetapkan/dipilih dari pejabat tertinggi sesuai ruang lingkup penerapan SMKIatau yang pejabat yang didelegasikan.6.3 Mendefinisikan Ruang LingkupRuang lingkup ini meliputi: Proses dan/atau Kegiatan. Misalnya: Penyediaan layanan publik,Pengamanan Pusat Data, pengembangan aplikasi, penggunaanjaringan dan fasilitas email, dan sebagainya. Satuan Kerja. Misalnya: Direktorat, Departemen atau Bidang. Lokasi kerja. Misalnya: Tingkat Pusat, daerah atau keduanya. Manasaja lokasi yang dipilih untuk menerapkan SMKI? Apakah SMKIakan langsung diterapkan ke seluruh lokasi kerja? Atau apakahditerapkan secara bertahap dengan memprioritaskan pada lokasitertentu terlebih dahulu?Penetapan ruang lingkup ini harus didiskusikan dengan Satuan Kerja terkaitdengan memperhatikan tingkat kesiapan masing-masing termasuk ketersediaansumber daya yang diperlukan untuk membangun dan menerapkan SMKI.6.4 Melakukan Gap AnalysisKegiatan ini dilakukan dengan tujuan utamanya untuk membandingkanseberapa jauh persyaratan klausul-klausul ISO 27001 telah dipenuhi, baik padaaspek kerangka kerja (kebijakan dan prosedur) maupun aspek penerapannya.Untuk aspek kerangka kerja, identifikasilah apakah kebijakan dan prosedursebagaimana dicantumkan dalam butir 5.2 telah dipenuhi. Sedang untuk aspekpenerapan, periksalah ketersediaan rekaman sebagai bukti-bukti penerapan.Gap Analysis umumnya dilakukan dengan bantuan checklistpemeriksaan.Selain Checklist Indeks KAMI, checklist lain untuk kegiatan gapanalysis ISO 27001 dapat diunduh dari berbagai situs tentang keamananinformasi.@Kominfo, 2011,Klasifikasi: Umum

196.5 Melakukan Risk Assessment dan Risk Treatment PlanSebelum melakukan risk assessment (pengkajian risiko), metodologi riskassessment harus ditetapkan terlebih dahulu. Periksalah apakah instansi andatelah memiliki atau menetapkan kebijakan/metodologi risk assessment.Metodologi risk assessment TIK harus merujuk pada metodologi riskassessment yang ditetapkan di tingkat pusat, jika sudah ada.Jika belum ada metodologi risk assessment, lakukan penyusunanmetodologinya dengan merujuk pada standar-standar yang ada, baik standarnasional ataupun internasional. Khusus untuk risk assessment TIK beberapadokumen standar di bawah ini dapat dijadikan rujukan, antara lain:a. Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum(Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003)b. ISO/IEC27005 - Information Security Risk Managementc. Handbook of Risk Management Guidelines Companionto AS/NZ4360:2004d. NIST Special Publication 800-30:Risk Management Guide forInformation Technology Systems.Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko,dimana risiko yang berada pada tingkat tertentu (umumnya tingkat“RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan(Risk Treatment Plan). Risk Assessment dilakukan dengan merujuk padametodologi yang telah ditetapkan tersebut.6.6 Menetapkan Kontrol dan Sasaran KontrolDari hasil identifikasi risiko kemudian dipilih kontrol dan sasaran kontrol ISO27001 yang dapat diterapkan sesuai dengan ruang lingkup yang ditetapkan.Sasaran kontrol dapat ditetapkan sebagaisasaran keamanan informasi tahunanyang digunakan sebagai patokan untuk mengukur efektivitas penerapan SMKIpada periode yang ditetapkan. Sasaran keamanan informasi tahunan dapatditetapkan sesuai hasil kajian risiko dan prioritas pembenahan denganmempertimbangkan ketersediaan dan kemampuan sumber daya.Contoh sasaran keamanan informasi tahunan, misal tahun 2011, diberikandalam Tabel 4 di bawah.Tabel 4 Contoh Sasaran Keamanan InformasiNo Kontrol ISO 27001 Sasaran1 A.13.1 Pengelolaan insiden Menurunkan jumlah insiden karena virussebanyak 10% dibanding tahun sebelumnya.2 A.8.3.3 Penutupan hak akses Hak akses user yang menjalani mutasi/berhenti bekerja harus ditutup maksimum 2hari setelah statusnya dilaporkan secara resmi.3 A.9.1.2 Akses Data Center (RuangServer)Seluruh pihak ketiga (vendor, konsultan) yangmemasuki Pusat Data harus didampingikaryawan4 A.11.2.Manajemen password 80% perangkat komputer yang sensitif sudahmenerapkan strong password@Kominfo, 2011,Klasifikasi: Umum

205 A.8.2.2 Kepedulian, pendidikan danpelatihan keamanan informasi6 A.10.1.2 Pengelolaan perubahan(Change management)Seluruh karyawan dalam satuan kerja yangdimasukkan dalam ruang lingkup harus telahmengikuti sosialisasi/pelatihan keamananinformasiVersi aplikasi yang operasional harus samadengan versi source code terakhir7 A.10.1.3 Pemisahan tugas Setiap instalasi aplikasi harus dilakukan olehpenanggungjawab operasional TI (bukan olehprogrammer)Catatan:Sasaran keamanan ini belum lengkap. Masing-masing instansi/lembaga dapatmenambahkan sasarannya sesuai dengan hasil kajian risiko dan skala prioritasyang ditetapkan.6.7 Menetapkan Kebijakan dan Prosedur SMKIKebijakan dan prosedur disusun dengan memperhatikan kontrol yang memangberlaku dan diterapkan dalam penyelenggaraan pelayanan publik. Daftardokumentasi kebijakan dan prosedur yang harus disusun instansi penyelenggarapelayanan publik dapat dirujuk pada Tabel 2 dan 3 di atas.6.8 Sosialisasi dan PelatihanSeluruh kebijakan dan prosedur yang telah disetujui oleh pimpinan kemudiandisosialisasikan kepada seluruh personel/karyawan yang terkait sesuai denganruang lingkup yang ditetapkan di atas. Kegiatan ini untuk menjamin bahwakebijakan dan prosedur SMKI telah dipahami sehingga penerapannya dilakukansecara tepat.Sosialisasi dapat dilakukan dengan berbagai cara, seperti: Tatap muka di dalam kelas Simulasi langsung di lokasi kerja Penyampaian brosur, leaflet, spanduk untuk meningkatkankepedulian karyawan Penggunaan email, nota dinas, portal atau majalah internal Media komunikasi lainnyaUntuk meningkatkan kompetensi personel, perlu dilakukan pelatihan yanglebih mendalam baik pada aspek teknis maupun tata kelola TIK. Berbagai jenispelatihan menyangkut pengamanan informasi yang dapat diprogramkan,misalnya: pengenalan ISO 27001, audit internal, pelatihan lead auditor, riskmanagement, pelatihan untuk administrator ataupun jenis-jenis pelatihan untukprogrammer.Bukti sosialisasi dan pelatihan baik berupa materi, daftar hadir, hasil pre/posttest, laporan evaluasi pelatihan ataupun sertifikat harus disimpan dan dipelihara.@Kominfo, 2011,Klasifikasi: Umum

216.9 Menerapkan Kebijakan dan ProsedurStrategi penerapan/implementasi SMKIsebaiknya dilakukan denganmenyelaraskan kegiatan yang sedang berlangsung di instansi/lembaga. Jikainstansi/lembaga sedang melakukan proyek pengembangan aplikasi, arahkandan dampingi agar setiap tahapan pengembangan aplikasi dapat mematuhikebijakan dan prosedur yang telah ditetapkan yang antara lain mencakup: Persetujuan investasi proyek (untuk proyek outsource atau kegiatanyang memerlukan anggaran) Persyaratan keamanan aplikasi (syarat password minimum, sessiontime-out, otentikasi, dan sebagainya) Non Disclosure Agreement (perjanjian menjaga kerahasiaan) untukpihak ketiga Change Management Lisensi dan standar software yang digunakanHasil penerapan SMKI harus dicatat dalam bentuk laporan, log, rekaman atauisian formulir yang relevan yang mendukung kebijakan atau prosedur yangditetapkan seperti laporan pencatatan insiden dan penyelesaiannya, daftarpengguna aplikasi, log aktivitas user, laporan pelatihan/sosialisasi, permintaanperubahan dan realisasinya, hasil pengujian aplikasi, laporan perawatankomputer, dan sebagainya.6.10 Mengukur Efektivitas KontrolKontrol yang telah ditetapkan baik berupa kebijakan, prosedur atau standaryang telah ditetapkan diukur efektivitasnya dengan mempelajari hasil-hasilpenerapan yang dicatat atau dituliskan dalam laporan atau formulir-formuliryang relevan. Metode pengukuran kontrol harus ditetapkan terlebih dahulu,baru kemudian diukur efektivitas kontrolnya secara periodik sesuai kebutuhandan karakteristik kegiatan.Pengukuran ketercapaian sasaran keamanan informasi dapat menjadi salah satualat untuk mengukur efektivitas kontrol seperti Tabel 5 di bawah.Tabel 5 Contoh Pengukuran Ketercapaian Sasaran Keamanan InformasiNoKontrol ISO270011 A.13.1Pengelolaaninsiden2 A.8.3.3PenutupanakseshakSasaranMenurunkan jumlahinsiden karena virussebanyak 10%dibanding tahunsebelumnya.Seluruh hak aksesuser yang menjalanimutasi/ berhentibekerja harus ditutupmaksimum 2 harisetelah statusnyaMetodePengukuranProsentaseJumlahinsiden tajunlalu dikurangiprosentaseJumlahinsidensekarangProsentasejumlah useryang telahditutup hakaksesnyadibagi jumlahFrekuensiPengukuranPer 3 bulanPer 6 bulanHasilPengukuran@Kominfo, 2011,Klasifikasi: Umum

22dilaporkanresmi.secarauser mutasiatau keluar.3 A.9.1.2 AksesData Center(Ruang Server)Seluruh (100%) pihakketiga (vendor,konsultan) yangmemasuki Pusat Dataharus didampingikaryawanProsentasejumlah pihakketiga yangmemasukiPusat DatadengandidampingikaryawanPer 6 bulan4 A.11.2.3Manajemenpassword80% perangkatkomputer yangsensitif sudahmenerapkan strongpasswordJumla PCdengan strongpassworddibagi jumlah totalPCPer 6 bulan5 A.8.2.2Kepedulian,pendidikanpelatihankeamananinformasidanSeluruh karyawandalam satuan kerjayang dimasukkandalam ruang lingkupharus telah mengikutisosialisasi/pelatihankeamanan informasiJumlahkaryawanyang telahmengikutisosialisasi/pelatihan dibagijumlah totalkaryawan.Per tahun6 A.10.1.2Pengelolaanperubahan(Changemanagement)Versi aplikasi yangoperasional harussama dengan versisource code terakhirBandingkanversi aplikasioperasionaldengan hasilpengembanganterakhir7 A.10.3.2PenerimaansistemSetiap aplikasi yangoperasional harusmenjalani UAT yangdisetujui olehpenggunaPeriksa UATsetiap aplikasiyangoperasional6.11 Melakukan Audit InternalAudit internal dilakukan untuk menjamin agar penerapan SMKI dilakukansecara tepat sesuai dengan kebijakan dan prosedur yang ditetapkan. Auditinternal harus dilakukan oleh personel/tim yang memiliki kompetensi di bidangaudit TIK dan tidak melaksanakan kegiatan yang diaudit. Personel/tim yangmelakukan audit internal harus ditetapkan oleh pimpinan/pejabat yangberwenang melalui Surat Keputusan atau Surat Penugasan yang resmi. Auditinternal dapat dilakukan oleh pihak eksternal yang diminta secara resmi olehinstansi penyelenggara pelayanan publik.6.12 Melakukan Evaluasi,Peninjauan (Review) dan PenyempurnaanImplementasi seluruh kebijakan, prosedur atau standar yang ditetapkankemudian dievaluasi efektivitasnya. Periksalah kebijakan dan prosedur manayang telah dapat diterapkan dengan tepat dan mana yang belum. Jika prosedurbelum diterapkan dengan tepat, Lakukanlah analisis mengapa hal itu terjadi.Apakah karena sosialiasi yang terlalu singkat atau prosedurnya yang terlalurumit atau kurang praktis. Hasil pengukuran efektivitas kontrol dan laporan@Kominfo, 2011,Klasifikasi: Umum

23audit internal juga dievaluasi untuk diperiksa mana kontrol yang belummencapai sasaran, masih lemah (belum efektif) atau yang masih menjaditemuan dalam audit internal.Seluruh kelemahan kontrol harus segera diperbaiki ataupun disempurnakansehingga tidak menimbulkan kelemahan/kesalahan yang sama di kemudian hari.@Kominfo, 2011,Klasifikasi: Umum

247 Daftar Istilah7.1 Ancaman (threat)adalah penyebab potensial suatu insiden yang tidakdikehendaki, yang dapat membahayakan suatu sistem atau organisasi.7.2 Aset adalah sesuatu yang bernilai bagi organisasi.Terdapat beberapa jenis aset, meliputi:a. Informasib. Perangkat Lunak (Software), seperti program komputerc. Perangkat Keras (Hardware)d. Layanane. Orang beserta kualifikasi, ketrampilan dan pengalamannyaf. Barang tak berwujud (intangible), seperti reputasi dan citra7.3 Aset informasi adalah pengetahuan atau data yang memiliki nilai bagiorganisasi.7.4 Dokumen adalah rujukan kerja tertulis yang dapat berupa, tetapi tidakterbatas pada, kebijakan, prosedur, standar, atau pedoman yang menjadibagian dari kerangka kerja. Dokumen bisa berbentuk file elektronik(softcopy) atau cetakan (hardcopy).7.5 Insiden keamanan informasi adalah satu atau serangkaian kejadiankeamanan informasi yang memiliki peluang signifikan bagi pelemahanoperasi bisnis dan peningkatan ancaman keamanan informasi7.6 Keamanan Informasi adalah terjaganya kerahasiaan (confidentiality),keutuhan (integrity) dan ketersediaan (availability) informasi.Catatan: Sifat- sifat informasi yang lain seperti keaslian (authenticity),akuntabilitas (accountability),non-repudiation dan keandalan(reliability)dapat juga dimasukkan sebagai keamanan informasi.7.7 Kebijakan adalah ketentuan atau prinsip-prinsip yang menggambarkantekad, komitmen atau rencana manajemen terhadap suatu masalah tertentuyang yang dinyatakan secara formal oleh manajemen dan menjadi landasankerja organisasi.7.8 Kelemahan (vulnerability) adalah kerentanan suatu aset atau kontrol yangdapat dimanfaatkan untuk menimbulkan ancaman (threat).7.9 Kontrol adalah alat untuk mencegah terjadinya risiko, meliputi kebijakan,prosedur, panduan, tindakan atau struktur organisasi yang dapat bersifatadministratif, teknis, manajemen atau legal.7.10 Panduan adalah rekomendasi tindakan yang dianjurkan dapat dilakukanuntuk mencapai suatu sasaran.@Kominfo, 2011,Klasifikasi: Umum

257.11 Prosedur adalah urutan kegiatan dari suatu proses yang melibatkan satuatau beberapa unit kerja dalam suatu organisasi.7.12 Rekaman adalah dokumen yang menyatakan hasil yang dicapaiataumemberi bukti suatu aktivitas dilakukan.7.13 Risiko keamanan informasi adalah potensi bahwa suatu ancaman akanmengeksploitasi kelemahan satu atau sekelompok aset dan karenanyamembahayakan organisasi.7.14 Sasaran Kontrol (Control Objective) adalah pernyataan yangmenggambarkan apa yang harus dicapai sebagai hasil dari penerapankontrol.7.15 Sistem Manajemen Keamanan Informasi (SMKI) adalah bagian darikeseluruhan sistem manajemen organisasi untuk menetapkan, menerapkan,mengoperasikan, memantau, meninjau, memelihara dan meningkatkankeamanan informasi. SMKI dibangun dengan pendekatan risiko.7.16 Standar adalah seperangkat aturan teknis yang harus dipatuhi suatuorganisasi dalam rangka menerapkan suatu kerangka kerja tata kelola TIK.Standar dapat berasal dari internal atau eksternal. Standar internalmisalnya: Standar Aplikasi Desktop, Standar Konfigurasi Komputer, Standarpenomoran dokumen, dsb. Standar eksternal misalnya: ISO 27001, ISO20000, dsb.Catatan: Sistem manajemen meliputi struktur organisasi, kebijakan, rencanakegiatan, tanggung jawab, tindakan, prosedur, proses dan sumber daya.@Kominfo, 2011,Klasifikasi: Umum

26LAMPIRAN@Kominfo, 2011,Klasifikasi: Umum

27A. Indeks KAMIA.1 PendahuluanIndeks KAMI adalah alat evaluasi untuk menganalisis tingkat kesiapanpengamanan informasi di instansi pemerintah.Alat evaluasi ini tidakditujukan untuk menganalisis kelayakan atau efektivitas bentuk pengamananyang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisikesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasikepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yangmenjadi target penerapan keamanan informasi dengan ruang lingkuppembahasan yang juga memenuhi semua aspek keamanan yang didefinisikanoleh standar SNI ISO/IEC 27001:2009. Hasil evaluasi indeks KAMImenggambarkan tingkat kematangan, tingkat kelengkapan penerapan SNIISO/IEC 27001:2009 dan peta area tata kelola keamanan sistem informasi diinstansi pemerintah. Sebagai gambaran, hasil evaluasi indeks KAMI dapatdilihat pada Gambar A.1.Gambar A.1 Tampilan Dasbor Hasil Evaluasi Indeks KAMIBentuk evaluasi yang diterapkan dalam indeks KAMI dirancang untuk dapatdigunakan oleh instansi pemerintah dari berbagai tingkatan, ukuran, maupuntingkat kepentingan penggunaan TIK dalam mendukung terlaksananya TugasPokok dan Fungsi yang ada. Data yang digunakan dalam evaluasi ininantinya akan memberikan potret indeks kesiapan – dari aspek kelengkapanmaupun kematangan – kerangka kerja keamanan informasi yang diterapkandan dapat digunakan sebagai pembanding dalam rangka menyusun langkahperbaikan dan penetapan prioritasnya.Alat evaluasi ini kemudian bisa digunakan secara berkala untuk mendapatkangambaran perubahan kondisi keamanan informasi sebagai hasil dari program@Kominfo, 2011,Klasifikasi: Umum

28kerja yang dijalankan, sekaligus sebagai sarana untuk menyampaikanpeningkatan kesiapan kepada pihak yang terkait (stakeholders).Penggunaan dan publikasi hasil evaluasi Indeks KAMI merupakan bentuktanggungjawab penggunaan dana publik sekaligus menjadi sarana untukmeningkatkan kesadaran mengenai kebutuhan keamanan informasi di instansipemerintah. Pertukaran informasi dan diskusi dengan instansi pemerintahlainnya sebagai bagian dari penggunaan alat evaluasi Indeks KAMI ini jugamenciptakan alur komunikasi antar pengelola keamanan informasi di sektorpemerintah sehingga semua pihak dapat mengambil manfaat dari lessonlearnedyang sudah dilalui.Alat evaluasi Indeks KAMI ini secara umum ditujukan untuk digunakan olehinstansi pemerintah di tingkat pusat.Akan tetapi satuan kerja yang ada ditingkatan Direktorat Jenderal, Badan, Pusat atau Direktorat juga dapatmenggunakan alat evaluasi ini untuk mendapatkan gambaran mengenaikematangan program kerja keamanan informasi yang dijalankannya.Evaluasiini dianjurkan untuk dilakukan oleh pejabat yang secara langsungbertanggung jawab dan berwenang untuk mengelola keamanan informasi diseluruh cakupan instansinya.A.2 Metode Penilaian Indeks KAMIPenilaian dalam Indeks KAMI dilakukan dengan cakupan keseluruhanpersyaratan pengamanan yang tercantum dalam standar ISO/IEC 27001:2009,yang disusun kembali menjadi 5 (lima) area di bawah ini: Tata Kelola Keamanan Informasi – Bagian ini mengevaluasi kesiapanbentuk tata kelola keamanan informasi beserta Instansi/fungsi, tugasdan tanggung jawab pengelola keamanan informasi. Pengelolaan Risiko Keamanan Informasi – Bagian ini mengevaluasikesiapan penerapan pengelolaan risiko keamanan informasi sebagaidasar penerapan strategi keamanan informasi. Kerangka Kerja Keamanan Informasi – Bagian ini mengevaluasikelengkapan dan kesiapan kerangka kerja (kebijakan & prosedur)pengelolaan keamanan informasi dan strategi penerapannya. Pengelolaan Aset Informasi – Bagian ini mengevaluasi kelengkapanpengamanan terhadap aset informasi, termasuk keseluruhan sikluspenggunaan aset tersebut; dan Teknologi dan Keamanan Informasi – Bagian ini mengevaluasikelengkapan, konsistensi dan efektivitas penggunaan teknologi dalampengamanan aset informasi.Penyusunan kembali menjadi 5 (lima) komponen ini dilakukan untukmendapatkan bentuk evaluasi mandiri yang mudah untuk ditanggapi dimanahasil evaluasinya sendiri nanti akan dapat digunakan sebagai panduanpembenahan atau peningkatan kinerja tata kelola keamanan informasi.Dalam setiap area, proses evaluasi akan membahas sejumlah aspek yangdibutuhkan untuk mencapai tujuan utama dari pengamanan di area tersebut.Setiap aspek tersebut memiliki karakteristik tersendiri terkait dengan@Kominfo, 2011,Klasifikasi: Umum

29pentahapan penerapan pengamanan sesuai dengan standar SNI ISO/IEC27001:2009. Aspek yang dibahas (disampaikan dalam konteks pertanyaan)terdiri dari bentuk kerangka kerja dasar keamanan informasi, efektivitas dankonsistensi penerapannya, sampai dengan kemampuan untuk selalumeningkatkan kinerja keamanan informasi.Bentuk pengamanan terakhir inisesuai dengan kesiapan minimum yang diprasyaratkan oleh proses sertifikasistandar SNI ISO/IEC 27001:2009.A.3 Proses Penilaian Kelengkapan dan Kematangan Tata Kelola KeamananInformasiProses penilaian kemudian dilakukan melalui 2 (dua) metode:1. Jumlah (kelengkapan) bentuk pengamanan; dan2. Tingkat Kematangan proses pengelolaan pengamanan informasi.Metode pertama akan mengevaluasi sejauh mana instansi responden sudahmenerapkan pengamanan sesuai dengan kelengkapan kontrol yang dimintaoleh standar ISO/IEC 27001:2009.Untuk kelima area evaluasi, yang dimaksud sebagai kontrol dijelaskan secarasingkat di bawah ini: Tata Kelola Keamanan Informasi – Kontrol yang diperlukan adalahkebijakan formal yang mendefinisikan peran, tanggung-jawab,kewenangan pengelolaan keamanan informasi, dari pimpinan unit kerjasampai ke pelaksana operasional. Termasuk dalam area ini juga adalahadanya program kerja yang berkesinambungan, alokasi anggaran,evaluasi program dan strategi peningkatan kinerja tata kelola keamananinformasi. Pengelolaan Risiko Keamanan Informasi – Bentuk tata kelola yangdiperlukan adalah adanya kerangka kerja pengelolaan risiko dengandefinisi yang eksplisit terkait ambang batas diterimanya risiko, programpengelolaan risiko dan langkah mitigasi yang secara reguler dikajiefektifitasnya. Kerangka Kerja Keamanan Informasi – Kelengkapan kontrol di area inimemerlukan sejumlah kebijakan dan prosedur kerja operasional,termasuk strategi penerapan, pengukuran efektifitas kontrol dan langkahperbaikan. Pengelolaan Aset Informasi – Kontrol yang diperlukan dalam area iniadalah bentuk pengamanan terkait keberadaan aset informasi, termasukkeseluruhan proses yang bersifat teknis maupun administratif dalamsiklus penggunaan aset tersebut. Teknologi dan Keamanan Informasi – Untuk kepentingan IndeksKAMI, aspek pengamanan di area teknologi mensyaratkan adanyastrategi yang terkait dengan tingkatan risiko, dan tidak secara eksplisitmenyebutkan teknologi atau merk pabrikan tertentu.Detail bentuk pengamanan yang dibahas di masing-masing area dapatdipahami dari pertanyaan (kajian mandiri) yang disediakan di area tersebut.@Kominfo, 2011,Klasifikasi: Umum

30Metode yang kedua merupakan perluasan dari evaluasi kelengkapan dandigunakan untuk mengidentifikasi tingkat kematangan penerapanpengamanan dengan kategorisasi yang mengacu kepada tingkatankematangan yang digunakan oleh kerangka kerja COBIT (Control Objectivefor Information and related Technology) atau CMMI (Capability MaturityModel for Integration). Tingkat kematangan ini nantinya akan digunakansebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapankeamanan informasi di Kementerian/Lembaga.Pemetaan dan pemeringkatan akan dilakukan Tim yang ditetapkanKementerian Komunikasi dan Informatika (Kominfo) dan menjadi dasar bagipemberian OPINI Kominfo tentang kondisi tata kelola keamanan informasi diKementerian/Lembaga terkait.Untuk keperluan Indeks KAMI, tingkat kematangan tersebut didefinisikansebagai berikut:Tingkat 0- Tidak Diketahui (PASIF)o Status kesiapan keamanan informasi tidak diketahuio Pihak yang terlibat tidak mengkuti atau tidak melaporkanpemeringkatan Indeks KAMI.Tingkat I- Kondisi Awal (REAKTIF)o Mulai adanya pemahaman mengenai perlunya pengelolaankeamanan informasi.o Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur,tidak mengacu kepada keseluruhan risiko yang ada, tanpa alurkomunikasi dan kewenangan yang jelas dan tanpa pengawasan.o Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.o Pihak yang terlibat tidak menyadari tanggung jawab mereka.Tingkat II- Penerapan Kerangka Kerja Dasar (AKTIF)o Pengamanan sudah diterapkan walaupun sebagian besar masih diarea teknis dan belum adanya keterkaitan langkah pengamananuntuk mendapatkan strategi yang efektif.o Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.o Langkah pengamanan operasional yang diterapkan bergantungkepada pengetahuan dan motivasi individu pelaksana.o Bentuk pengamanan secara keseluruhan belum dapat dibuktikanefektivitasnya.o Kelemahan dalam manajemen pengamanan masih banyak ditemukandan tidak dapat diselesaikan dengan tuntas oleh pelaksana maupunpimpinan sehingga menyebabkan dampak yang sangat signifikan.o Manajemen pengamanan belum mendapatkan prioritas dan tidakberjalan secara konsisten.o Pihak yang terlibat kemungkinan besar masih belum memahamitanggung jawab mereka.@Kominfo, 2011,Klasifikasi: Umum

31Tingkat III- Terdefinisi dan Konsisten (PRO AKTIF)o Bentuk pengamanan yang baku sudah diterapkan secara konsistendan terdokumentasi secara resmi.o Efektivitas pengamanan dievaluasi secara berkala, walaupun belummelalui proses yang terstruktur.o Pihak pelaksana dan pimpinan secara umum dapat menanganipermasalahan terkait pengelolaan keamanan pengendalian dengantepat, akan tetapi beberapa kelemahan dalam sistem manajemenmasih ditemukan sehingga dapat mengakibatkan dampak yangsignifikan.o Kerangka kerja pengamanan sudah mematuhi ambang batasminimum standar atau persyaratan hukum yang terkait.o Secara umum semua pihak yang terlibat menyadari tanggungjawabmereka dalam pengamanan informasi.Tingkat IV- Terkelola dan Terukur (TERKENDALI)o Pengamanan diterapkan secara efektif sesuai dengan strategimanajemen risiko.o Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukansecara rutin, formal dan terdokumentasi.o Penerapan pengamanan teknis secara konsisten dievaluasiefektivitasnya.o Kelemahan manajemen pengamanan teridentifikasi dengan baik dansecara konsisten ditindaklanjuti pembenahannya.o Manajemen pengamanan bersifat pro-aktif dan menerapkanpembenahan untuk mencapai bentuk pengelolaan yang efisien.o Insiden dan ketidakpatuhan (non-conformity) diselesaikan melaluiproses formal dengan pembelajaran akar permasalahan.o Karyawan merupakan bagian yang tidak terpisahkan dari pelaksanapengamanan informasi.Tingkat V- Optimal (OPTIMAL)o Pengamanan menyeluruh diterapkan secara berkelanjutan dan efektifmelalui program pengelolaan risiko yang terstruktur.o Pengamanan informasi dan manajemen risiko sudah terintegrasidengan tugas pokok instansi.o Kinerja pengamanan dievaluasi secara kontinyu, dengananalisisparameter efektivitas kontrol, kajian akar permasalahan danpenerapan langkah untuk optimasi peningkatan kinerja.o Target pencapaian program pengamanan informasi selalu dipantau,dievaluasi dan diperbaiki.o Karyawan secara proaktif terlibat dalam peningkatan efektivitaspengamanan.@Kominfo, 2011,Klasifikasi: Umum

32Catatan:Penyebutan peringkat dalam tanda kurung di atas yakni: PASIF, REAKTIF,AKTIF, PROAKTIF, TERKENDALI dan OPTIMAL merupakan OPINIyang diberikan Kominfo terhadap kondisi tata kelola keamanan informasidari suatu Kementerian/Lembaga.A.4 Petunjuk Penggunaan Alat Evaluasi Indeks Keamanan Informasi(Indeks KAMI)Secara umum, proses penilaian menggunakan Indeks KAMI dapat dilihat digambar di bawah ini.Melalui ilustrasi di gambar tersebut, dapat dilihat bahwa Indeks KAMI adalahperangkat untuk mengevaluasi penerapan tata kelola keamanan informasiyang dilakukan secara berkelanjutan, dan digunakan untuk memberikangambaran kemajuan hasil penerapan secara berkala. Apabila terjadiperubahan pada infrastruktur atau unit kerja yang ada dalam lingkup awalevaluasi Indeks KAMI, pengkajian ulang bermanfaat untuk memastikankelengkapan dan kematangan bentuk tata kelola yang diterapkan di awal.Gambar A.2 Ilustrasi Tampilan EvaluasiUntuk proyek pengadaan sistem aplikasi berskala besar dan strategis, IndeksKAMI dapat juga difungsikan sebagai checklist penerapan tata kelola bagipengamanan sistem tersebut.@Kominfo, 2011,Klasifikasi: Umum

33A.5 Ruang LingkupLangkah pertama yang harus dilakukan adalah mendefinisikan ruang lingkuppenilaian. Ruang lingkup dapat dipilih sesuai dengan kepentingan penilaianIndeks KAMI, dan dapat dipilih sebagai suatu satuan kerja (di tingkatapapun) ataupun suatu sistem informasi. Di bawah ini diuraikan beberapacontoh ruang lingkup: Pusat Data dan Informasi Kementerian X. Termasuk infrastruktur DataCentre dengan cakupan lokasi kerja di Jakarta (dan daerah lain); Sistem Informasi Layanan Perijinan berbasis Internet yangdiselenggarakan dengan melibatkan mitra pihak ketiga; Sistem Informasi Pendaftaran dan Pembayaran Pajak/Bea denganmelibatkan pihak ketiga sebagai penyedia layanan infrastruktur sistemaplikasi dan komunikasi data; Jaringan komunikasi data nasional Kementerian X yangmenghubungkan Kantor Pusat dan seluruh Kantor Wilayah di 33Propinsi dengan menggunakan 2 (dua) mitra penyedia infrastrukturkomunikasi.Penjelasan ruang lingkup (termasuk batasannya) sangat penting untukdijabarkan secara lengkap dan jelas.A.6 Peran TIKSebelum proses penilaian dilakukan secara kuantitatif, proses klasifikasidilakukan terlebih dahulu terhadap peran TIK dalam instansi atau cakupanevaluasinya. Responden juga diminta untuk mendeskripsikan infrastrukturTIK yang ada dalam satuan kerjanya secara singkat. Tujuan dari proses iniadalah untuk mengelompokkan instansi ke "ukuran" tertentu: Rendah,Sedang, Tinggi dan Kritis. Dengan pengelompokan ini nantinya bisadilakukan pemetaan terhadap instansi yang mempunyai karakteristikkepentingan TIK yang sama.Peran TIK dievaluasi dengan bahasan: Total anggaran tahunan yang dialokasikan untuk TIK Jumlah staf atau pengguna dalam instansi yang menggunakaninfrastruktur TIK Tingkat ketergantungan terhadap layanan TIK untuk menjalankanTugas Pokok dan Fungsi instansi anda Nilai kekayaan intelektual yang dimiliki dan dihasilkan oleh instansianda Dampak dari kegagalan sistem TIK utama yang digunakan instansianda Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkanlokasi kerja instansi anda Dampak dari kegagalan sistem TIK instansi anda terhadap kinerjainstansi pemerintah lainnya atau terhadap ketersediaan sistempemerintah berskala nasional Tingkat sensitifitas pengguna sistem TIK di instansi anda@Kominfo, 2011,Klasifikasi: Umum

34 Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya Potensi kerugian atau dampak negatif dari insiden ditembusnyakeamanan informasi sistem TIK instansi anda Tingkat ketergantungan terhadap pihak ketiga dalammenjalankan/mengoperasikan sistem TIK Tingkat klasifikasi/kekritisan sistem TIK di instansi anda, relatifterhadap ancaman upaya penyerangan atau penerobosan keamananinformasiGambar A.3 memberikan ilustrasi tampilan evaluasi peran TIK berikutpilihannya[Minim (0); Rendah (1); Sedang (2); Tinggi (3); Kritis (4)] dantabel pemetaan hasil penjumlahan menjadi 4 (empat) klasifikasi (Rendah;Sedang; Tinggi; Kritis).Gambar A.3 Ilustrasi Tampilan EvaluasiKategori Peran TIK yang dimaksud disini secara umum dapat dijelaskansebagai berikut: Minim – penggunaan TIK dalam lingkup yang didefinisikan tidaksignifikan, dan keberadaannya tidak berpengaruh proses kerja yangberjalan. Rendah – penggunaan TIK mendukung proses kerja yang berjalan,walaupun tidak pada tingkatan yang signifikan.@Kominfo, 2011,Klasifikasi: Umum

35 Sedang – penggunaan TIK merupakan bagian dari proses kerja yangberjalan, akan tetapi ketergantungannya masih terbatas. Tinggi – TIK merupakan bagian yang tidak terpisahkan dari proseskerja yang berjalan. Kritis – penggunaan TIK merupakan satu-satunya cara untukmenjalankan proses kerja yang bersifat strategis atau berskala nasional.Untuk keperluan pemetaan dan pelaporan, hanya 4 kategori terakhir yangakan digunakan.A.7 Proses PenilaianSeluruh pertanyaan yang ada dalam setiap area dikelompokkan menjadi 3(tiga) kategori pengamanan, sesuai dengan tahapan dalam penerapan standarISO/IEC 27001. Pertanyaan yang terkait dengan kerangka kerja dasarkeamanan informasimasuk dalam kategori "1", untuk efektivitas dankonsistensi penerapannya didefinisikan sebagai kategori "2", dan hal-hal yangmerujuk pada kemampuan untuk selalu meningkatkan kinerja keamananinformasi adalah kategori "3".Responden kemudian diminta untuk menjawab setiap pertanyaan denganpilihan Status Penerapan: Tidak Dilakukan; Dalam Perencanaan; Dalam Penerapan atau Diterapkan Sebagian; Diterapkan Secara Menyeluruh.Setiap jawaban akan diberikan skor yang nilainya disesuaikan dengantahapan penerapan (kategori) bentuk pengamanan. Untuk tahapan awalnilainya akan lebih rendah dibandingkan tahapan berikutnya. Demikianhalnya untuk status penerapannya, penerapan yang sudah berjalan secaramenyeluruh memberikan nilai yang lebih tinggi dibandingkan bentukpenerapan lainnya.Tabel pemetaan skor dapat dilihat pada Tabel A.1. Tabelini merangkum seluruh jumlah jawaban penilaian mandiri dan membentukmatriks antara status pengamanan dan kategori.Tabel A.1Pemetaan SkorNilai untuk kategori pengamanan yang tahapannya lebih awal, lebih rendahdibandingkan dengan nilai untuk tahapan selanjutnya. Hal ini sesuai dengantingkat kompleksitas yang terlibat dalam proses penerapannya.Catatan: untuk keseluruhan area pengamanan, pengisian pertanyaan dengankategori "3" hanya dapat memberikan hasil apabila semua pertanyaan terkait@Kominfo, 2011,Klasifikasi: Umum

36dengan kategori "1" dan "2" sudah diisi dengan status minimal "DiterapkanSebagian".Tabel A.2 Ilustrasi Evaluasi Kematangan123 4Keterangan Ilustrasi:(1) Kolom yang menunjukkan kategori kematangan terkait pertanyaanyang dibahas;(2) Kolom yang menunjukkan kategori tahap penerapan(3) Daftar pertanyaan(4) Pilihan jawabanPertanyaan yang ada belum tentu dapat dijawab semuanya, akan tetapi yangharus diperhatikan adalah jawaban yang diberikan harus merefleksikankondisi penerapan keamanan informasi SESUNGGUHNYA. Alat evaluasi inihanya akan memberikan nilai tambah bagi semua pihak apabila pengisiannyamenggunakan azas keterbukaan dan kejujuran.A.8 Pengkajian Hasil Indeks KAMIHasil dari penjumlahan skor untuk masing-masing area ditampilkan dalam 2(dua) instrumen di dasbor:1. Tabel nilai masing-masing area;2. Radar Chart dengan 5 (lima) sumbu sesuai dengan area pengamanan.Kedua instrumen ini dapat dilihat di bawah.Untuk nilai masing-masing area dirangkum dalam Tabel A.3. Pada tabel ini,institusi akan melihat seberapa besar tingkat kelengkapan masing-masingarea yang telah dicapai.@Kominfo, 2011,Klasifikasi: Umum

37Tabel A.3 Rangkuman Evaluasi berdasarkan Area Keamanan InformasiSedangkan diagram radar pada Gambar A.4 menunjukkan sejauh manakelengkapan pengamanan sudah mendekati atau mencapai tingkatkelengkapan yang diharapkan. Dalam diagram radar, latar belakang areamenunjukkan ambang batas tingkat kelengkapan (kategori) 1 s/d 3 (hijaumuda s/d hijau tua).Nilai dari masing-masing area ditampilkan dalam areamerah. Dalam diagram ini bisa dilihat perbandingan antara kondisi kesiapansebagai hasil dari proses evaluasi dengan acuan tingkat kelengkapan yangada.Gambar A.4 Diagram Radar Tingkat Kelengkapan Masing-Masing AreaJumlah (nilai) yang dihasilkan ini kemudian dipetakan sesuai dengan tingkatkepentingan TIK terhadap cakupan instansi tersebut.Status Kesiapan yangdicapai merupakan kondisi yang dilaporkan.@Kominfo, 2011,Klasifikasi: Umum

38Tabel A.4 Matriks Peran TIK dan Status KesiapanTabel 4 menggambarkan bahwa semakin tinggi ketergantungan terhadap TIKatau semakin penting peran TIK terhadap tugas instansi tersebut, makasemakin banyak bentuk pengamanan yang diperlukan, dan yang harusditerapkan sampai tahap tertinggi.Dengan menggunakan Tabel A.4, Status Kesiapan atau Kelengkapan dapatditampilkan dengan instrumen Bar Chart seperti terlihat pada Gambar A.5:Gambar A.5 Bar Chart Tingkat Kelengkapan Penerapan Standar ISO27001Pencapaian yang masih ada di area berwarna merah masih dalam statuskesiapan “Tidak Layak”, kemudian pencapaian di area warna kuning masih“Memerlukan Perbaikan”, sedangkan pencapaian warna hijau menunjukkanbahwa status kesiapan sudah “Baik/Cukup”.Sebagai contoh, untuk instansi yang peran/ketergantungan terhadap TIKdinilai sebagai “Rendah” dan total jumlah nilai kelengkapan 234, makadasbor akan menampilkan hasil seperti yang ada di Gambar A.6.@Kominfo, 2011,Klasifikasi: Umum

39Gambar A.6 Contoh Hasil Evaluasi Tingkat KelengkapanSetiap pertanyaan dipetakan ke salah satu tingkat kematangan sesuai denganbentuk, tahapan, dan kompleksitas penerapan pengamanan yang dibahas.A.9 Mekanisme Penilaian KelengkapanSebagaimana dijelaskan di bagian sebelumnya, penilaian kelengkapan kontrolmenggunakan sejumlah aturan sesuai skala yang diberlakukan (lihat TabelA.1). Keseluruhan (rangkuman) penilaian, baik untuk aspek kelengkapanmaupun kematangan dapat dilihat pada Tabel A.5 di bawah ini.Tabel A.5 Jumlah pertanyaan dalam Indeks KAMI* Skor Minimum adalah seluruh pengamanan Tahap 1 & 2dalam kondisi "Dalam Penerapan/Diterapkan Sebagian"@Kominfo, 2011,Klasifikasi: Umum

40A.10 Mekanisme Penilaian KematanganPenilaian kemudian dilakukan dengan menganalisis jumlah di masing-masingarea dan menganalisis apakah jumlah tersebut sudah mencapai atau melewatiambang batas pencapaian tingkat kematangan (TK) tertentu. Penghitungandilakukan dengan dengan menerapkan prinsip: Pencapaian Tingkat Kematangan dilakukan sesuai dengan kelengkapandan (konsistensi + efektivitas) penerapannya. Tingkat Kematangan yang lebih tinggi mensyaratkan kelengkapan,konsistensi dan efektivitas pengamanan di level bawahnya.o Pencapaian suatu Tingkat Kematangan II dan III hanya dapatdilakukan apabila sebagian besar di Tingkat Kematangansebelumnya [x-1] sudah “Diterapkan Secara Menyeluruh”.o Khusus untuk pencapaian TKIV dan TKV mengharuskan seluruhbentuk pengamanan di tingkat-tingkat sebelumnya sudah“Diterapkan Secara Menyeluruh.” Hal ini memberikan efekkesulitan yang lebih tinggi untuk mencapai 2 (dua) tingkatanterakhir tingkat kematangan. Detail perhitungan ambang bataspencapaian Tingkat Kematangan I-V diuraikan di bagian laindalam dokumen ini. Untuk membantu memberikan uraian yang lebih detail, tingkatan iniditambah dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga totalterdapat 9 tingkatan kematangan. Sebagai awal, semua responden akandiberikan kategori kematangan Tingkat I. Sebagai padanan terhadapstandar ISO/IEC 2700:2005, tingkat kematangan yang diharapkan untukambang batas minimum kesiapan sertifikasi adalah Tingkat III+."Ambang batas pencapaian TK tertentu dapat didefinisikan sebagaimanaditunjukkan pada Gambar A.7.VIV+III+IVIIIII+III+IGambar A.7 Gambaran Definisi Evaluasi Tingkat Kematangan@Kominfo, 2011,Klasifikasi: Umum

41Penentuan ambang batas pencapaian suatu tingkat kematangan ditentukanberdasarkan perumusan di bawah ini (TKx = Tingkat Kematangan x): Tingkat Kematangan I: Tidak ada ambang batas minimum –diasumsikan semua responden diberikan status ini pada saat dimulainyaevaluasi. Tingkat Kematangan I+: Mencapai minimalooEmpat bentuk pengamanan TKII-Tahap 1 dengan status “DalamPenerapan/Diterapkan Sebagian”; danSisa jumlah pengamanan TKII-Tahap 1 yang ada dengan status“Sedang Direncanakan.” Tingkat Kematangan II: Mencapai minimalooSeluruh bentuk pengamanan TKII-Tahap 1 dengan status “DalamPenerapan/Diterapkan Sebagian”; danSeluruh bentuk pengamanan TKII-Tahap 2 dengan status “DalamPenerapan/Diterapkan Sebagian.” Tingkat Kematangan II+: Mencapai minimalooooooPrasyarat Dasar TKII+, yaitu mencapai nilai total bentukpengamanan Tingkat Kematangan II > (80% dari nilai seluruhbentuk pengamanan TKII-Tahap 1 & 2 dengan status “DiterapkanSecara Menyeluruh”); danSeluruh bentuk pengamanan TKIII-Tahap 1 dengan status“Diterapkan Secara Menyeluruh”; danDua bentuk pengamanan TKIII-Tahap 2 dengan status “SedangDirencanakan”; danSisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status“Dalam Penerapan/Diterapkan Sebagian”; danSatu bentuk pengamanan TKIII-Tahap 3 dengan status “SedangDirencanakan.”Sisa jumlah pengamanan TKIII-Tahap 3 dengan status “DalamPenerapan/Diterapkan Sebagian.” Tingkat Kematangan III: Mencapai minimaloooooPrasyarat Dasar TKII+; danSeluruh bentuk pengamanan TKIII-Tahap 1 dengan status“Diterapkan Secara Menyeluruh”; danDua bentuk pengamanan TKIII-Tahap 2 dengan status “DalamPenerapan/Diterapkan Sebagian”; danSisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status“Diterapkan Secara Menyeluruh”; danDua bentuk pengamanan TKIII-Tahap 3 dengan status “DalamPenerapan/Diterapkan Sebagian.” Tingkat Kematangan III+: Mencapai minimal@Kominfo, 2011,Klasifikasi: Umum

42oooooPrasyarat Dasar TKIII+ yaitu mencapai nilai total lebih dari:Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status“Diterapkan Secara Menyeluruh”; danSatu bentuk pengamanan TKIII-Tahap 2 dengan status “DalamPenerapan/Diterapkan Sebagian”; danSisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status“Diterapkan Secara Menyeluruh”; danSatu bentuk pengamanan TKIII-Tahap 3 dengan status “DalamPenerapan/Diterapkan Sebagian”; dano Sisa jumlah pengamanan TKIII-Tahap 3 dengan status“Diterapkan Secara Menyeluruh.”ooDua bentuk pengamanan TKIV-Tahap 3 dengan status “DalamPenerapan/Diterapkan Sebagian”; danSisa jumlah pengamanan TKIV-Tahap 3 yang ada dengan status“Dalam Perencanaan.” Tingkat Kematangan IV: Mencapai minimalooPrasyarat Dasar TKIII+; danSeluruh bentuk pengamanan TKIV-Tahap 3 dengan status“Diterapkan Secara Menyeluruh.” Tingkat Kematangan IV+: Mencapai minimalooMencapai Tingkat Kematangan IV; danSatu bentuk pengamanan TKV-Tahap 3 dengan status “DalamPenerapan/Diterapkan Sebagian.” Tingkat Kematangan V: Mencapai minimalooMencapai Tingkat Kematangan IV; danSeluruh bentuk pengamanan TKV-Tahap 3 dengan status“Diterapkan Secara Menyeluruh.”A.11 Menetapkan Langkah Perbaikan dan Penetapan PrioritasKedua metodologi penilaian yang diterangkan di atas digunakan untukmemberikan dua sudut pandang yang berbeda; yaitu tingkat kelengkapanpengamanan dan tingkat kematangan pengamanan. Instansi responden dapatmenggunakan metrik ini sebagai target program keamanan informasi.Ilustrasi penggunaan keduanya dapat dilihat pada Gambar A.8.@Kominfo, 2011,Klasifikasi: Umum

43Gambar A.8 Hubungan Tingkat Kematangan dan KelengkapanIlustrasi pada Tabel A.2 menunjukkan label pengelompokan kematanganyaitu pada kolom di sebelah kanan nomor serta kelengkapan yaitu padakolom di sebelah kiri pertanyaan.A.12 Mengkaji Ulang Tingkat Kelengkapan dan Kematangan Indeks KAMI7.16.1 Penggunaan Indeks KAMI seyogyanya dapat dilakukan secaraberulang, dengan tujuan:Memantau kemajuan langkah pembenahan/perbaikan atau peningkatantingkat kelengkapan/kelengkapan tata kelola keamanan informasi denganmelihat detail perubahan yang telah berjalanMengevaluasi kesesuaian tata kelola keamanan setelah terjadinyaperubahan yang signifikan dalam infrastruktur ataupun organisasi kerjayang ada dalam cakupan evaluasi;Memastikan diterapkannya tata kelola keamanan informasi yang sesuaidengan keperluan pengamanan sistem aplikasi atau infrastruktur Sebagai bentuk pelaporan pelaksanaan tata kelola keamanan informasipada pimpinan atau instansi pemerintah terkait yang memerlukaninformasi tersebut7.16.2@Kominfo, 2011,Klasifikasi: Umum

44B. Template Kebijakan dan Prosedur SMKIKEBIJAKAN UMUMSISTEM MANAJEMEN KEAMANANINFORMASI (SMKI) *)(Contoh)*) Kebijakan ini harus dilengkapi dengan kebijakan lain yang disyaratkan SNI ISO/IEC27001 antara lain: Organisasi, Peran & Tanggungjawab Keamanan Informasi Pengelolaan Risiko TI dan Kelangsungan Layanan (Bisnis) Akses Kontrol (akses fisik: Ruang Data Center(DC)/Disaster RecoveryCenter(DRC), Ruang kerja dan akses lojik: aplikasi, database, sistem operasi, dsb) Pengamanan Ruang DC/DRC dan Ruang Kerja Pengembangan dan Pemeliharaan Aplikasi Penggunaan email dan internal Pelaporan dan Pengelolaan Gangguan TI/Insiden Keamanan Informasi@Kominfo, 2011,Klasifikasi: Umum

451 PendahuluanInformasi merupakan aset yang sangat penting bagi Instansi penyelenggaralayanan publik dan karenanya perlu dilindungi dari ancaman yang dapatmengganggu kelangsungan bisnisnya. Penggunaan fasilitas teknologi informasiselain memudahkan proses pekerjaan juga mengandung risiko bila tidakdigunakan dan dikelola dengan tepat. Oleh karena itu, penggunaan teknologiinformasi harus dikelola sedemikian rupa sehingga memberi manfaat sebesarbesarnyadengan kemungkinan risiko yang rendah.Kebijakan ini didokumentasikan sebagai panduan untuk melindungi informasidari ancaman keamanan informasi yang meliputi kerahasiaan (confidentiality),keutuhan (integrity), dan ketersediaan (availability) dan mengurangi dampak dariterjadinya insiden keamanan.2 TujuanMelindungi aset informasi Instansi penyelenggara layanan publik dari segalabentuk ancaman, baik eksternal maupun internal, sengaja atau tidak.3 Ruang LingkupKebijakan ini berlaku untuk seluruh aset informasi yang digunakan Instansipenyelenggara layanan publik yang meliputi:3.1 Organisasi dan Lokasi:Seluruh unit kerja di Instansi penyelenggara layanan publik dan lokasi kerjayang digunakan untukmengelola dan menyediakan layanan internal daneksternal instansi penyelenggara layanan publik.3.2 Aset:Aset yang dicakup meliputi, tetapi tidak terbatas pada: Data dan InformasiTermasuk data dan informasi meliputi:dokumen pengadaan dankontrak, data pelanggan, data gaji, data karyawan, sistemdokumentasi manajemen, dokumen teknis &konfigurasi jaringan,hasil penetration test, materi pelatihan, prosedur operasional,business continuity plan, dan hasil audit; SoftwareYang termasuk dalam aset perangkat lunak atau software antara lain: software aplikasi, operating system, development tool, dan softwaretool (antivirus, audit tool); HardwareYang termasuk dalam aset perangkat keras atau hardware misalnya:Server, PC, Laptop, media penyimpan data; Perangkat Jaringan KomunikasiYang termasuk dalam aset perangkat jaringan komunikasi antara lainRouter, Modem, Switch, Kabel, Firewall@Kominfo, 2011,Klasifikasi: Umum

46l;4 Kebijakan Fasilitas PendukungYang termasuk dalam aset fasilitas pendukung antara lain RuangServer / Ruang Data Center, Ruang Kerja, Ruang Disaster RecoveryCenter (DRC), UPS, Genset, A/C, CCTV, Fire Extinguisher, AccessDoor Electronic, dan sebagainya; Sumber Daya ManusiaYang termasuk dalam aset sumber daya manusia misalnya karyawantetap, calon karyawan tetap, karyawan kontrak, mitra, vendor danpihak ketiga lainnya yang menyediakan layanan, jasa, serta produkyang menunjang bisnis Instansi penyelenggara layanan publik.4.1 Seluruh informasi yang disimpan dalam media simpan, ditulis, dicetak, dandikomunikasikan langsung atau melalui teknologi komunikasi harusdilindungi terhadap kemungkinan kerusakan, kesalahan penggunaan secarasengaja atau tidak, dicegah dari akses oleh user yang tidak berwenang dandari ancaman terhadap kerahasiaan (confidentiality), keutuhan (integrity)dan ketersediaan (availability).4.2 Kebijakan keamanan informasi harus dikomunikasikan ke seluruh karyawandan pihak ketiga terkait melalui media komunikasi yang ada agar dipahamidengan mudah dan dipatuhi.4.3 Instansi penyelenggara layanan publik meningkatkan kepedulian(awareness), pengetahuan dan keterampilan tentang keamanan informasibagi karyawan.Sosialisasi juga perlu diberkan kepada vendor, konsultan,mitra, dan pihak ketiga lainnya sepanjang diperlukan.4.4 Seluruh kelemahan keamanan informasi yang berpotensi atau telahmengakibatkan gangguan penggunaan TI harus segera dilaporkan kepenanggung jawab TI terkait.4.5 Seluruh pimpinan di semua tingkatan bertanggungjawab menjaminkebijakan ini diterapkan di seluruh unit kerja di bawah pengawasannya.4.6 Seluruh karyawan bertanggung jawab untuk menjaga dan melindungikeamanan aset informasi serta mematuhi kebijakan dan prosedur keamananinformasi yang telah ditetapkan.4.7 Setiap pelanggaran terhadap kebijakan ini yang relevan dapat dikenaisanksi atau tindakan disiplin sesuai peraturan yang berlaku.4.8 Kebijakan yang lebih teknis merujuk prinsip-prinsip yang ditetapkan dalamkebijakan ini.4.9 Setiap pengecualian terhadap kebijakan ini dan kebijakan turunnya harusmendapat persetujuan minimum dari Manajer yang berwenang.@Kominfo, 2011,Klasifikasi: Umum

47KEBIJAKAN PENGENDALIAN HAK AKSESLOGOINSTANSI/LEMBAGANomor Dokumen : ………..Revisi: ………..Tanggal Terbit : ………..@Kominfo, 2011,Klasifikasi: Umum

48LEMBAR PERSETUJUANDisiapkan Oleh :1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Diperiksa Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Disetujui Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..@Kominfo, 2011,Klasifikasi: Umum

49DAFTAR PERUBAHAN DOKUMENRev Tanggal Uraian Penanggungjawab0.0 Edisi Awal@Kominfo, 2011,Klasifikasi: Umum

501 Tujuan1.1 Menjamin persyaratan akses kontrol terhadap informasi dan fasilitas sisteminformasi (aplikasi, sistem operasi, internet, email dan akses ruang DataCenter / Disaster Recovery Center) didefinisikan dengan tepat.2 Ruang LingkupKebijakan ini berlaku untuk:2.1 Akses lojik atau fisik terhadap informasi dan fasilitas sistem informasi yangdikelola dalam menyelenggarakan pelayanan publik.2.2 Karyawan, kontraktor, vendor, konsultan, atau pihak ketiga lainnya yangmemerlukan akses ke sistem informasi .3 Referensi3.1 ISO/IEC 27001:2005 - A.11 Access Control4 Kebijakan Akses Kontrol4.1 Pemberian setiap hak akses, baik lojik maupun fisik(seperti ruang DC/DRC)harus dibatasi berdasarkan tugas pokok dan fungsi (tupoksi) pengguna danharus disetujui minimum oleh pejabat setingkat Eselon….4.2 Tingkatan akses harus diberikan dengan prinsip minimum yang cukup untukmemenuhi kebutuhan pengguna.4.3 Pemberian hak akses yang tingkatannya tinggi (root, super user atauadministrator)hanya diberikan kepada karyawan yang benar-benarkompeten, memiliki pengalaman kerja di bagian TI minimum 3 tahun, danharus disetujui minimum oleh pejabat setingkat Eselon ….4.4 Hak akses pengguna yang menjalani mutasi atau tidak lagi bekerja di harus segera di non-aktifkan maksimum 7 (hari) setelahtanggal yang ditetapkan.4.5 Hak akses tidak boleh dipinjamkan kepada pengguna lain.4.6 Seluruh hak akses pengguna akan direview setiap 6 (enam) bulan sekali.4.7 Tata cara pendaftaran, penutupan dan peninjauanhak akses diatur dalamProsedur Pengendalian Hak Akses.4.8 Setiap pengecualian terhadap kebijakan ini hanya dapat dilakukan ataspersetujuan pejabat setingkat Eselon ..@Kominfo, 2011,Klasifikasi: Umum

514.9 Akses Pihak Ketiga4.9.1 Vendor, konsultan, mitra, atau pihak ketiga lainnya yang melakukanakses fisik atau lojik ke dalam aset harusmenandatangani Ketentuan/Persyaratan Menjaga KerahasiaanInformasi.4.9.2 Hak akses pihak ketiga hanya diberikan berdasarkan kepentingan yang disahkan melalui kerjasama ataukontrak.4.9.3 Seluruh hak akses pihak ketiga harus dibatasi waktunya, dicatat danditinjaupenggunaannya (log).4.9.4 Seluruh akses yang disediakan bagi pelanggan harus mematuhi kebijakan keamanan informasi.4.9.5 Seluruh koneksi pihak ketiga ke dalam network harus dibatasi hanya terhadap host dan/atau aplikasi tertentuyang ditetapkan oleh Satuan Kerja TI.4.9.64.10 Pengelolaan Password@Kominfo, 2011,Klasifikasi: Umum

524.10.1 Password minimum terdiri dari 8karakter kombinasi angka dan hurufserta tidak boleh menggunakan karakter yangmudah ditebak.4.10.2 Pengguna harus mengganti defaultpasswordyang diberikan saat pertamakali mendapatkan hak akses.4.10.3 Password tidak boleh: diberitahukan kepada orang lain ditulis di media yang mudah terlihat orang lain.4.10.4 Password diganti secara berkala atau segera diganti bila diduga telahdiketahui orang lain. Periode penggantian password: untuk pengguna biasa (seperti: email, web, komputer:minimum setiap 180 hari untuk pengguna sistem (seperti: root, adminserver/aplikasi): minimum setiap 60 hari4.10.5 Seluruh default password dan password dari vendor harus digantisegera setelah instalasi selesai atau sistem diserahkan ke.4.10.6 Hak akses akan direset atau dinonaktifkan jika tak pernah digunakanselama 90 hari secara berturut-turut. Untuk mengaktifkannyakembali, pengguna harus mengajukan pendaftaran kembalisesuai Prosedur Pengendalian Hak Akses.@Kominfo, 2011,Klasifikasi: Umum

53ATURAN PENGGUNAAN SUMBER DAYAINFORMASILOGOINSTANSI/LEMBAGANomor Dokumen : ………..Revisi: ………..Tanggal Terbit : ………..@Kominfo, 2011,Klasifikasi: Umum

54LEMBAR PERSETUJUANDisiapkan Oleh :1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Diperiksa Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Disetujui Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..@Kominfo, 2011,Klasifikasi: Umum

55DAFTAR PERUBAHAN DOKUMENRev Tanggal Uraian Perubahan Inisiator0.0 Edisi Awal@Kominfo, 2011,Klasifikasi: Umum

561 Tujuan1.1 Menetapkan aturan umum penggunaan sumber daya sistem informasi.1.2 Mendorong agar email dan internet dapat semaksimal mungkin digunakanuntuk kepentingan .1.3 Mencegah penggunaan email dan internet agar tidak menimbulkan risikoyang merugikan atau menimbulkan gangguan terhadappenyediaan layanan sistem informasi.2 Ruang LingkupKebijakan ini berlaku bagi:2.1 Karyawan, kontraktor, konsultan, termasuk seluruh personel pihak ketigayang menggunakan / mengakses sistem informasi.2.2 Seluruh sumber daya sistem informasi yang dimiliki atau disewa meliputi antara lain:2.2.1 Perangkat Komputer/Laptop/Server2.2.2 Perangkat Komunikasi2.2.3 Aplikasi dan Software lainnya2.2.4 Fasilitas Internet dan Email3 Referensi3.1 ISO/IEC 27001:2005 - A.7.1.3 Acceptable use of assets3.2 ISO/IEC 27001:2005 – A.10.8.1 Information exchange policies andprocedures4 Kebijakan Umum4.1 Penggunaan sumber daya sistem informasi harus dimanfaatkan sebesarbesarnyauntuk kepentingan pekerjaan dan kegiatan yang menunjang usaha.4.2 Setiap penggunaan komputer harus joint domain selama fasilitas untuk itutelah disediakan.4.3 Seluruh komputer harus dipastikan terpasang software antivirus terkini.@Kominfo, 2011,Klasifikasi: Umum

574.4 Pengguna dilarang meminjamkan User ID dan password miliknya kepadaorang lain. Penyalahgunaan User ID menjadi tanggungjawab pemiliknya.4.5 Pengguna dilarang menggunakan User ID atau fasilitas sistem informasiuntuk kegiatan yang dapat menggangggu kinerja jaringan, mengurangikeandalan sistem informasi, atau mengganggu operasional layanan TI.4.6 Setiap pengguna harus melaporkan adanya kelemahan atau gangguansistem informasi, jaringan komunikasi, atau masalah penggunaan TI lainnyake penanggungjawab terkait.4.7 Selama menggunakan Mobile Computing(laptop,PC) di luar lokasi, pengguna agar menghindari dari melakukan aksesjaringan hotspot yang tidak dikenalnya (untrusted network).4.8 Penanggungjawab hak akses berhak mematikan proses penggunaan sumberdaya sistem informasi atau menutup hak akses pengguna yang berpotensimengganggu atau menurunkan kinerja sistem informasi.4.9 Setiap pengguna harus mengembalikan sumber daya informasi milikyang digunakannya segera setelah penugasannyaberakhir, atau sumber daya informasi tersebut tidak lagi digunakan untukbekerja di .5 Penggunaan Internet5.1 Akses Internet diberikan untuk mendorong karyawan mengakses sumberinformasi yang dapat meningkatkan kompetensi dan kinerjanya.5.2 Pengguna harus sadar bahwa penggunaan Internet mengandung beberaparisiko, antara lain:• Pencurian, pengubahan atau penghapusan informasi oleh pihak yang tidakberwenang• Penyusupan (intrusion) oleh pihak luar yang tidak berwenang ke dalamsistem informasi .• Terserang virus5.3 Akses Internet tidak boleh digunakan untuk, antara lain:• Mengunjungi situs (website) yang mengandung unsur pornografi,mendorongtindak terorisme / kriminal atau tindakan pelanggaran hukumlainnya.• Mengakses Facebook, Twitter, atau situs jejaring sosial sejenis lainnya.• Mengunduh file audio, video, file dengan ekstensi .exe atau .com atau fileexecutable lainnya kecuali berwenang untuk itu.• Mengunduh software yang melanggar ketentuan lisensi / standar softwareyang ditetapkan .@Kominfo, 2011,Klasifikasi: Umum

586 Penggunaan Email6.1 Email harus digunakan sebagai fasilitas pertukaran informasi bagikelancaran tugas dan pekerjaan pengguna bagi kepentinganinstansi/lembaga.6.2 Setiap pengguna harus mematuhi etika penggunaan email danbertanggungjawab atas setiap tindakan terkait email.6.3 Pengguna dilarang membaca email orang lain tanpa sepengetahuanpemiliknya.6.4 Pengguna harus memastikan bahwa lampiran(attachment) file yangditerima dari email aman dari kandungan virus.6.5 Email atau posting pengguna ke suatu newsgroup, chat room (messenger),atau forum sejenis lainnya, bukan merupakan pernyataan resmi, kecuali sudah mendapat persetujuan Pejabat yangberwenang.6.6 Pengguna dilarang menggunakan e-mail untuk, antara lain:• Menyebarkan fitnah, menghina atau melecehkan orang/pihak lain,mengandung unsur SARA, menyebarkan iklan pribadi atau menyebarkanSPAM.• Menyebarkan virus, worm, trojan, Denial of Service (DoS), atau softwaresejenis yang dapat mengganggu kinerja email dan jaringan.6.7 Pencantuman Identiftas Pengirim/Sender6.7.1 Gunakan email untuk komunikasi resmi yangberhubungan dengan .6.7.2 Identitas email pengguna ditetapkan oleh Administrator.6.8 Lampiran (Attachment)6.8.1 Pengiriman lampiran dalam email dibatasi maksimum 5 MB. Lampiranemail yang melebihi 5 MB akan di-disable oleh administrator.@Kominfo, 2011,Klasifikasi: Umum

59PANDUAN KLASIFIKASI INFORMASILOGOINSTANSI/LEMBAGANomor Dokumen : ………..Revisi: ………..Tanggal Terbit : ………..@Kominfo, 2011,Klasifikasi: Umum

60LEMBAR PERSETUJUANDisiapkan Oleh :1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Diperiksa Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Disetujui Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..@Kominfo, 2011,Klasifikasi: Umum

61DAFTAR PERUBAHAN DOKUMENRev Tanggal Uraian Penanggungjawab0.0 Edisi Awal@Kominfo, 2011,Klasifikasi: Umum

621 PendahuluanSalah satu aspek penting dalam Sistem Manajemen Keamanan Informasi (SMKI)adalah identifikasi dan klasifikasi informasi penting dan sensitif dalam kegiatanpelayanan publik.Informasi penting dan sensitif ini memerlukan tingkatperlindungan yang lebih ketat dari informasi biasa. Untuk menyatakankritikalitas informasi, diperlukan kriteria baku yang harus ditetapkanpenyelenggara pelayanan publik sebagai panduan bagi pemilik informasi dalammelakukan klasifikasi informasi yang dimiliki atau dihasilkannya.Mengapa klasifikasi informasi penting?`Dengan klasifikasi informasi, makainstansi/lembaga dapat menetapkandan memberikan perlindungan keamananyang tepat dan efektif. Informasi yang memiliki kritikalitas paling tinggi akanmemerlukan kontrol dan perlindungan paling ketat, sementara yangberklasifikasi biasa juga akan diberi perlindungan yang sesuai. Kebijakanpengamanan informasi instansi/lembaga ditetapkan dengan mempertimbangkanklasifikasi informasinya.Aset-aset dan klasifikasi informasi ini akan menjadi masukan (input) utama bagiaktivitas Risk Assessment yang akan menghasilkan besaran resiko, rencanamitigasi (pengurangan) risiko dan penerapan kontrol keamanan untuk mencegahterjadinya resiko atau mengatasi risiko jika benar-benar terjadi.Dokumen ini berisi panduan bagi inventarisasi dan klasifikasi informasi yangdigunakan instansi/lembaga dalam menyelenggarakan kegiatan pelayananpublik, mendorong kepedulian seluruh karyawan untuk memperlakukan danmelindungi aset informasi yang dikelolanya sesuai kebijakan perusahaan.Inventori dan klasifikasi aset informasi ini juga diperlukan untuk merencanakandan menerapkan kontrol keamanan informasi secara memadai menyangkut aspekkerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability)sehingga dapat memenuhi persyaratan Sistem Manajemen Keamanan InformasiISO 27001.2 Tujuan2.1 Memandu pemilik informasi(unit-unit kerja di instnasi/lembaga) dalammelakukan klasifikasi informasi yang dihasilkannya2.2 Mengidentifikasi jenis-jenis informasi yang diproses, disimpan dandikomunikasikan oleh unit-unit kerja di lingkungan instansi/lembagapenyelenggara pelayanan publik.3 Ruang LingkupRuang lingkup informasi yang dicakup dalam panduan ini meliputi:3.1 Informasi tercetakInformasi banyak tertulis dalam bentuk kertas, meskipun mula-mula dihasilkandari sebuah komputer.Kertas sebagai media penyimpan informasi masih sangatpenting dan tinggi penggunaannya mengingat pertimbangan-pertimbanganlegal, kebiasaan atau kenyamanan dalam membacanya.@Kominfo, 2011,Klasifikasi: Umum

63Risiko informasi dalam bentuk kertas antara lain: hilang, rusak (tidak bisadibaca isinya), tercecer dan dibaca oleh orang yang tidak berhak3.2 Informasi elektronikInformasi jenis ini disimpan dalam media elektronik, baik dalam kurun waktupendek atau lama sesuai masa berlakunya.Semula informasi disimpan dalamsebuah hard disk, kemudian disalin (back-up) ke dalam media lainnya, sepertifloppy disk, CD-ROM, flash disk dan tape.Keamanan media-media ini harusdilindungi secara fisik atau logik sesuai tingkat klasifikasi informasinya.Risiko informasi dalam bentuk elektronik: hilang/dihapus, rusak/corrupt (tidakbisa dibaca isinya), tersebar kemana-mana secara tidak sah dan dibaca olehorang yang tidak berhak.4 Skema Klasifikasi InformasiRAHASIAINTERNALPUBLIKAset informasi yang sangat peka dan berisiko tinggi yangpembocoran atau penyalahgunaan akses terhadapnya bisamengganggu kelancaran usaha instansi/lembaga secara temporeratau mengganggu citra dan reputasi perusahaan.Contoh: data wajib pajak, rencana mutasi, IP address, passwordkomputer, laporan audit, data gaji dan penilaian kinerja karyawan,dan data kesehatan pribadi yang secara legal harus dilindungiinstansi/lembaga.Informasi yang telah terdistribusi secara luas di lingkunganinternal instansi/lembaga yang penyebarannya secara internal tidaklagi memerlukan izin dari pemilik informasi dan risikopenyebarannya secara tak berwenang tidak menimbulkan kerugiansignifikan.Contoh: kebijakan instansi/lembaga, panduan kerja, prosedurkerja, instruksi kerja, memo / publikasi internal, bahan / materitraining, informasi yang disediakan dalam intranet, dan dataoperasional TI lainnya.Informasi yang secara sengaja disediakan instansi/lembaga untukdapat diketahui publik.Contoh: brosur marketing, situs publik dan siaran pers.@Kominfo, 2011,Klasifikasi: Umum

64PROSEDUR PENGENDALIAN HAK AKSESLOGOINSTANSI/LEMBAGANomor DokumenRevisiTanggal Terbit: ………..: ………..: ………..@Kominfo, 2011,Klasifikasi: Umum

65LEMBAR PERSETUJUANDisiapkan Oleh :1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Diperiksa Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..Disetujui Oleh:1………………..Tanda Tangan: …………………..2………………..Tanda Tangan: …………………..@Kominfo, 2011,Klasifikasi: Umum

66DAFTAR PERUBAHAN DOKUMENRev Tanggal Uraian Penanggungjawab0.0 Edisi Awal@Kominfo, 2011,Klasifikasi: Umum

671 Tujuan1.1 Mengendalikan pendaftaran (registrasi), penghapusan (de-registrasi), danpeninjauan hak akses terhadap ruangan DC/DRC dan sistem informasi1.2 Mencegah agar hak akses hanya berikan kepada karyawan yang berwenang2 Ruang LingkupProsedur ini berlaku untuk akses terhadap:2.1 Ruang Data Center /Ruang DRC2.2 Fasilitas email dan Internet2.3 Aplikasi, basis data, sistem operasi3 Rujukan Standar3.1 ISO/IEC 27001:2005 klausul A.11 tentang Access Control@Kominfo, 2011,Klasifikasi: Umum

684 Prosedur4.1 Pendaftaran/Penghapusan Hak AksesProsedur Pendaftaran & Penghapusan Hak AksesPemohonManajer UnitKerjaService DeskAdministratorManajer Unit KerjaOperasional TIMulaiMengisi formulirpendaftaran/penghapusanhak aksesMengajukanpermintaan keManajernyaMenyetujui danmeneruskan keService DeskMencatat danmeneruskan keAdmin terkaitMemverifikasipermintaanMerekomendasikan persetujuanatau penolakanpermintaanDisetujui?Membuatkan /menghapus hakaksesYaMintaAdministratormengalokasikan/ menghapushak aksesTdkMenerimainformasi statuspermintaanMenginformasikanstatuspermintaan kepemohonMenolakpermintaanSelesaiPemohon:4.1.1 Mengisi Formulir Pendaftaran/Penghapusan hak akses secara tepat.4.1.2 Mengajukan persetujuan kepada Manajer Unit Kerjanya.Manajer Unit Kerja :4.1.3 Memverifikasi dan menyetujui permintaan kemudian meneruskankepada Service Desk4.1.4 Service Desk Mencatat dan meneruskan permintaan ke AdministratorAdministrator@Kominfo, 2011,Klasifikasi: Umum

694.1.5 Memverifikasi permintaan secara administratif.4.1.6 Membuat rekomendasi persetujuan atau penolakan terhadappermintaan.Manajer Operasional TI4.1.7 Memeriksa rekomendasi dari Administrator, kemudian menetapkanpersetujuan atau menolak permintaan.4.1.8 Jika menyetujui, tugaskan kepada Administrator untukmemberikan/menghapus hak akses sesuai permintaanpengguna.4.1.9 Jika menolak, informasikan penolakan kepada Service Desk untukditeruskan ke pengguna.Administrator4.1.10 Memberikan atau menghapus hak akses sesuai penugasan ManajerOperasional TI.Service Desk4.1.11 Menginformasikan status permintaan kepada pemohon.Pemohon4.1.12 Menerima status permintaan.@Kominfo, 2011,Klasifikasi: Umum

705.1 Prosedur Peninjauan (Review) Hak AksesProsedur Review Hak Akses PenggunaAdministratorManajer Unit KerjaOperasional TIManajer Unit KerjaPenggunaMulaiMenyusundaftar/databaseuser sisteminformasiMengidentifikasidanmengkategoriuser yang validdan yang tidakvalidMengirimkan daftaruser danmengkonfirmasikanvaliditas userMelakukanverifikasi dankonfirmasi validitasuserUser masihvalid?TdkYaProsedurPendaftaran /PenghapusanHak AksesMenerimainformasi danmeng-updatestatus daftaruserMenugaskantindak lanjutupdate validitasdaftar user keAdministratorMengirimkanupdate daftar /database userterkiniSelesai@Kominfo, 2011,Klasifikasi: Umum

71@Kominfo, 2011,Klasifikasi: Umum