▷ Apa yang perlu diatur agar tata kelola dan manajemen Keamanan SPBE dapat mendukung pencapaian tujuan SPBE?
▷ Bagaimana cara menghitung efektivitas pengaturan untuk Sistem Tata Kelola
Keamanan SPBE?
▷ Kecukupan pengaturan tata kelola dan manajemen yang diperlukan untuk Keamanan SPBE.
▷ Ketersediaan sistem manajemen kinerja Keamanan SPBE untuk mengukur keefektifan pengaturan.
Karakteristik Negara Brazil, Geografi Regional Dunia
SPBE SECURITY
1. Vira Septiyana Kasma
23217310
Pembimbing 1: Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Pembimbing 2: Ir. Kridanto Surendro M.Sc.,Ph.D.
SISTEM TATA KELOLA KEAMANAN SPBE
MENGGUNAKAN COBIT 2019
(Studi Penerapan di Badan X)
Jumat, 1 November 2019
2. “
“Penerapan SPBE merupakan keharusan,
bukan pilihan. Karena itu jangan ditunda-
tunda lagi,”
Jusuf Kalla pada Penyerahan Hasil Evaluasi SPBE Tahun 2018
Bidakara, Jakarta, Kamis (28/03/2019)1/20
3. Latar Belakang
▷SPBE (bagian dari kegiatan Reformasi Birokrasi)
bertujuan untuk meningkatkan:
- efektivitas dan efisiensi tata kelola pemerintahan
- transparansi dan akuntabilitas
- kualitas layanan publik
▷SPBE diatur dengan Perpres 95/2018 dan
PermenPAN&RB Nomor 5/2018
▷Namun pengaturan Keamanan SPBE belum diatur
pada kedua peraturan tersebut
2/20
4. Rumusan Masalah dan Tujuan
▷Apa yang perlu diatur agar tata kelola dan
manajemen Keamanan SPBE dapat mendukung
pencapaian tujuan SPBE?
▷Bagaimana cara menghitung efektivitas
pengaturan untuk Sistem Tata Kelola
Keamanan SPBE?
▷ Kecukupan pengaturan tata kelola dan
manajemen yang diperlukan untuk Keamanan
SPBE.
▷ Ketersediaan sistem manajemen kinerja Keamanan
SPBE untuk mengukur keefektifan pengaturan.3/20
control design
control effectiveness
6. Batasan Masalah
▷ Tahapan yang dilakukan pada Tesis
adalah tahap perancangan/desain
▷ Evaluasi model, sebagai bagian dari
Initial DS-II, dilakukan pada Badan X.
▷ Pengaturan yang lebih teknis sebagai
misalnya pilihan teknologi, platform,
jenis algoritma, panjang kunci, dan
sejenisnya tidak dibahas dalam Tesis
ini.
5/20
PERANCANGAN/DESAIN
7. Pemilahan Model Utama/GMO
Kontrol IT untuk SPBE Referensi
COBIT
2019
No. Pemetaan
berdasar risiko
dan CSF SPBE
No. Pemetaan
berdasar toolkit
COBIT 2019
No. Pemetaan berdasar
PCAOB AS5*
Pengaturan dan Pemeliharaan
Kerangka Tata Kelola Dipastikan*
EDM01 1 X 1 X 1 X
Optimalisasi Risiko Dipastikan* EDM03 2 X 2 X 2 X
Keterlibatan Pemangku
Kepentingan Dipastikan*
EDM05 3 X 3 X
Kerangka Manajemen T&I
Dikelola
APO01 4 X 3 X 4 X
Strategi Dikelola APO02 5 X 4 X 5 X
Inovasi Dikelola APO04 6 X
Anggaran dan Biaya Dikelola APO06 7 X
Sumber Daya Manusia Dikelola APO07 8 X 5 X 6 X
6/20
*IT Control Objectives for Sarbanes-Oxley 3rd Edition
8. Pemilahan Model Utama/GMO
Kontrol IT untuk SPBE Referensi
COBIT 2019
No. Pemetaan
berdasar risiko
dan CSF SPBE
No. Pemetaan
berdasar toolkit
COBIT 2019
No. Pemetaan berdasar
PCAOB AS5
Hubungan Dikelola APO08 9 X
Perjanjian Layanan Dikelola APO09 10 X 7 X
Vendor Dikelola APO10 8 X
Kualitas Dikelola APO11 11 X 6 X 9 X
Risiko Dikelola APO12 12 X 7 X 10 X
Keamanan Dikelola APO13 13 X 8 X 11 X
Data Dikelola APO14 14 X 9 X
Definisi Persyaratan Dikelola BAI02 12 X
Identifikasi dan Pembangunan
Solusi Dikelola
BAI03 15 X 10 X 13 X
7/20
9. Pemilahan Model Utama/GMO
Kontrol IT untuk SPBE Referensi
COBIT 2019
No. Pemetaan
berdasar risiko
dan CSF SPBE
No. Pemetaan
berdasar toolkit
COBIT 2019
No. Pemetaan berdasar
PCAOB AS5
Pengelolaan Ketersediaan dan
Kapasitas
BAI04 14 X
Perubahan TI Dikelola BAI06 16 X 11 X 15 X
Pengelolaan Penerimaan
Perubahan dan Transisi IT
BAI07 17 X 16 X
Konfigurasi Dikelola BAI10 12 X 17 X
Proyek Dikelola BAI11 18 X
Operasional Dikelola DSS01 19 X 18 X
Permintaan dan Insiden
Layanan Dikelola
DSS02 20 X 13 X 19 X
Masalah Dikelola DSS03 21 X 14 X 20 X
8/20
10. Pemilahan Model Utama/GMO
Kontrol IT untuk SPBE Referensi
COBIT 2019
No. Pemetaan
berdasar risiko
dan CSF SPBE
No. Pemetaan
berdasar toolkit
COBIT 2019
No. Pemetaan berdasar
PCAOB AS5
Keberlanjutan Dikelola DSS04 22 X 15 X 21 X
Layanan Keamanan Dikelola DSS05 23 X 16 X 22 X
Kontrol Proses Bisnis Dikelola DSS06 24 X 17 X 23 X
Kinerja dan Pemantauan
Kesesuaian Dikelola
MEA01 25 X 18 X 24 X
Sistem Pengendalian Internal
Dikelola
MEA02 26 X 19 X 25 X
Kepatuhan Dikelola Dengan
Persyaratan Eksternal
MEA03 27 X 20 X 26 X
Penjaminan/Assurance Dikelola MEA04 28 X 21 X 27 X
9/20
12. Proses dan (Alur) Informasi
Praktik APO13.01 Menetapkan dan memelihara Sistem Manajemen Keamanan Informasi (ISMS)
Deskripsi Menetapkan dan memelihara sistem manajemen keamanan informasi (Security Management System/ISMS) yang menyediakan pendekatan
standar, formal dan berkelanjutan untuk manajemen keamanan informasi, memungkinkan teknologi yang aman dan proses bisnis yang
selaras dengan persyaratan tugas pekerjaan.
Tingkat Kapabilitas Aktivitas Tata Kelola/BP
2 1) Menentukan ruang lingkup dan batas-batas ISMS dalam hal karakteristik organisasi, lokasi, aset, dan teknologi. Sertakan detail dan
justifikasi untuk pengecualian dari ruang lingkup.
2) Menetapkan ISMS sesuai dengan kebijakan instansi dan konteks di mana instansi beroperasi.
3) Menyelaraskan ISMS dengan pendekatan organisasional (representasi, deskripsi dan definisi abstrak mengenai struktur, proses,
informasi, dan sumber daya yang dapat diidentifikasi dalam bisnis, badan pemerintah, atau organisasi besar lainnya) secara keseluruhan
pada manajemen keamanan.
4) Mendapatkan otorisasi dari pejabat struktural untuk menerapkan dan mengoperasikan atau mengubah ISMS.
5) Mempersiapkan dan memelihara pernyataan penerapan yang menggambarkan ruang lingkup ISMS.
6) Menetapkan serta mengomunikasikan peran dan tanggung jawab pengelola keamanan informasi.
7) Mengomunikasikan pendekatan ISMS.
Alur Informasi/WP
Input (Dari) Output (Ke) Tingkat Kapabilitas
Luar COBIT Pendekatan keamanan organisasi (APO13.01.WP01) Pernyataan ruang lingkup ISMS APO01.05; DSS06.03 2
(APO13.01.WP02) Kebijakan ISMS Internal 2
11/20
14. SDM, Keterampilan dan Kompetensi
Keterampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Panduan Terperinci
Informasi keamanan Skills Framework for the Information Age V6, 2015 Information security SCTY
Pengembangan strategi keamanan
informasi
e-Competence Framework (e-CF)—A common European Framework for ICT
Professionals in all industry sectors - Part 1: Framework, 2016
D. Enable—D.1. Information Security
Strategy Development
Kebijakan dan Kerangka Kerja
Kebijakan yang Relevan Deskripsi Kebijakan Panduan Terkait Panduan Terperinci
Keamanan informasi dan
kebijakan privasi
Menetapkan pedoman perilaku untuk melindungi
informasi, sistem, dan infrastruktur dalam
instansi.
Mengingat bahwa persyaratan tugas pekerjaan
terkait keamanan dan penyimpanan lebih dinamis
daripada manajemen risiko dan privasi T&I, tata
kelola mereka harus ditangani secara terpisah dari
risiko dan privasi T&I. Untuk efisiensi
operasional, sinkronkan kebijakan keamanan
informasi dengan risiko T&I dan kebijakan
privasi.
1) ISO/IEC 27001:2013/ Cor.2:2015(E);
2) ISO/IEC 27002:2013/Cor.2:2015(E);
3) National Institute of Standards and
Technology Special Publication 800-53,
Revision 5 (Draft), August 2017;
4) HITRUST CSF version 9, September
2017; (5) ISF, The Standard of Good
Practice for Information Security 2016
1) 5.2 Policy;
2) 5. Information security
policies;
3) 3.2 Awareness and training
(AT-1);
4) 04.01 Information Security
Policy;
5) SM1.1 Information Security
Policy
13/20
15. Budaya, Etika dan Perilaku
▷Perangkat manajemen konfigurasi
▷Layanan kesadaran keamanan dan privasi
▷Layanan penilaian keamanan pihak ketiga
Elemen Budaya Utama Panduan Terkait Panduan Terperinci
Menetapkan budaya keamanan dan kesadaran privasi yang secara positif memengaruhi
perilaku yang diinginkan dan implementasi aktual kebijakan keamanan dan privasi dalam
praktik sehari-hari. Memberikan panduan keamanan dan privasi yang memadai,
menunjukkan panutan keamanan dan privasi (termasuk eksekutif tingkat pimpinan,
pemimpin SDM, dan profesional keamanan dan/atau privasi) dan secara proaktif
mendukung dan mengomunikasikan program keamanan dan privasi, inovasi dan tantangan.
1) ISO/IEC 27001:2013/
Cor.2:2015(E)
2) Creating a Culture of
Security, ISACA, 2011
1) 7.3 Awareness;
2) Framework to achieve an
intentional security aware culture
(all chapters)
Layanan, Infrastruktur dan Aplikasi
14/20
16. Pemodelan Sistem Manajemen Kinerja
15/20
Tujuan
Capaian 1-Rintisan
Target Tingkat Komponen Kapabilitas Aktivitas
Rincian Kegiatan/
Output
Pertimbangan
Capaian
(N/P/L/F)
2-Terkelola Praktik
1-Rintisan
APO13.01
Menetapkan dan
memelihara ISMS
1-Rintisan APO13.01.1
Menentukan ruang lingkup dan batas-batas ISMS dalam
hal karakteristik organisasi, lokasi, aset, dan teknologi.
Berdasarkan penilaian partisipan, penentuan ruang lingkup dan
batasan ISMS sudah dilakukan (sampling).
P
APO13.01.2
Menetapkan ISMS sesuai dengan kebijakan instansi dan
konteks di mana instansi beroperasi.
Berdasarkan penilaian partisipan, penetapan ISMS sudah dilakukan . L
APO13.01.3
Menyelaraskan ISMS dengan pendekatan organisasional
secara keseluruhan pada manajemen keamanan.
Berdasarkan penilaian partisipan, penyelarasan ISMS belum
dilakukan.
N
APO13.01.4
Mendapatkan otorisasi dari pejabat struktural untuk
menerapkan dan mengoperasikan atau mengubah ISMS.
Berdasarkan penilaian partisipan, otorisasi terkait penerapan,
pengoperasian, dan pengubahan ISMS belum dilakukan.
N
APO13.01.5
Mempersiapkan dan memelihara pernyataan penerapan
yang menggambarkan ruang lingkup ISMS.
Berdasarkan penilaian partisipan, persiapan dan pemeliharaan
penerapan ISMS belum dilakukan.
N
APO13.01.6
Menetapkan serta mengomunikasikan peran dan
tanggung jawab pengelola keamanan informasi.
Berdasarkan penilaian partisipan, penetapan dan komunikasi peran
serta tanggung jawab belum dilakukan.
N
APO13.01.7 Mengomunikasikan pendekatan ISMS
Berdasarkan penilaian partisipan, komunikasi ISMS belum
dilakukan.
N
Alur Informasi
APO13.01 1-Rintisan APO13.01.WP01 Pernyataan ruang lingkup ISMS.
Berdasarkan penilaian partisipan, pernyataan ruang lingkup ISMS
internal belum ada.
N
APO13.01.WP02 Kebijakan ISMS.
Berdasarkan penilaian partisipan, kebijakan ISMS internal belum
ada.
N
APO13 Keamanan dikelola
17. Percobaan penerapan
▷Pusat Data dan TIK di Badan X
▷21 Agustus 2019 – 9 September 2019
▷Partisipan 6 Orang
▷Poin evaluasi:
Kriteria Penilaian Deskripsi
Kejelasan tujuan Setiap peraturan harus mempunyai tujuan yang jelas yang hendak dicapai. Pertanyaan:
“Apakah tujuan yang ingin dicapai dari pengaturan sudah jelas?“
Kemungkinan
penerapan
Setiap peraturan harus memperhitungkan efektivitas peraturan tersebut baik secara filosofis, sosiologis, maupun yuridis. Pertanyaan:
“Apakah pengaturan dalam desain ini mungkin untuk diterapkan dalam organisasi?”
Efektivitas dan
efisiensi
Setiap peraturan dibuat karena memang benar-benar dibutuhkan dalam mengatur kehidupan bermasyarakat, berbangsa, dan bernegara.
Pertanyaan:
“Apakah aturan yang diatur dalam pengaturan ini dibutuhkan dalam organisasi?”
Memiliki rumusan
yang jelas
setiap peraturan harus menggunakan bahasa yang jelas dan mudah dimengerti sehingga tidak menimbulkan berbagai macam interpretasi
dalam pelaksanaannya. Pertanyaan:
“Bagaimana bahasa yang digunakan dalam pengaturan? Apakah mudah dimengerti dan tidak ambigu? ”
16/20
18. Analisis (untuk tools)
▷Tujuan dari penyusunan sistem ini sudah jelas
▷ Sistem mungkin untuk diterapkan
▷Sistem dibutuhkan dalam instansi
▷Bahasa yang digunakan dalam sistem tidak
mudah dipahami dan ambigu sehingga
beberapa penulisan dari sistem yang sudah
dibuat perlu diperbaiki atau ditambahkan
keterangan
17/20
19. Analisis (saran untuk lokus)
GMO Saat
Ini
Target
(2 Tahun)
Kegiatan Target
(5 Tahun)
Kegiatan
APO13 1 2 APO13.01: Melakukan penentuan ruang lingkup
dan batasan ISMS untuk semua komponen
(organisasi, lokasi, aset, dan teknologi) sehingga
pernyataan ruang lingkup ISMS dapat dimiliki.
Selain itu melakukan hal-hal sebagai berikut:
- penyelarasan ISMS;
- otorisasi terkait penerapan, pengoperasian,
dan pengubahan ISMS;
- persiapan dan pemeliharaan penerapan
ISMS;
- penetapan dan komunikasi peran serta
tanggung jawab;
- komunikasi ISMS;
sehingga dapat dihasilkan Kebijakan ISMS.
3 APO13.02: Melakukan hal berikut:
- perumusan dan pemeliharaan rencana mitigasi risiko
keamanan informasi;
- pemeliharaan inventarisasi komponen solusi yang
tersedia;
- pengembangan proposal implementasi rencana mitigasi
risiko yang di dalamnya terdapat kasus kerja keamanan
informasi;
- pemberian masukan terhadap perencanaan mitigasi
risiko;
- pelatihan dan program kesadaran keamanan informasi
dan privasi;
- integrasi pemantauan keamanan informasi dengan
kontrol lainnya.
18/20
20. Kesimpulan
▷Tujuan Tesis untuk membuat masukan atas
ketersediaan pengaturan sistem tata kelola
manajemen Keamanan SPBE sudah tercapai.
▷Efektivitas pengaturan sistem tata kelola manajemen
Keamanan SPBE dapat diukur dengan menggunakan
sistem penilaian kinerja pada Tesis ini yang dibuat
berdasar PRM dan PAM dengan kerangka kerja COBIT
2019.
▷Hasil dari Tesis dapat digunakan sebagai bahan
masukan dalam pembuatan pengaturan dan evaluasi
Keamanan SPBE.19/20
21. Saran untuk penelitian selanjutnya
▷Menurunkan sistem tata kelola yang sudah
diatur dalam Tesis ini menjadi lebih teknis,
misalnya dengan menggunakan ISO 27000
Series.
▷Membuat Area Fokus lain selain Area Fokus
Keamanan, misalnya Area Fokus Risiko dengan
memperhatikan proses dari dan ke EDM03 dan
APO12.
20/20
23. Langkah Implementasi 1. Membangun komitmen
untuk melakukan pengukuran
kematangan kapabilitas
Keamanan SPBE.
2. Menentukan kondisi saat ini.
3. Menentukan kondisi yang
diharapkan.
4. Menentukan kegiatan
perubahan.
5. Melaksanakan kegiatan
perubahan.
6. Menilai kondisi setelah
pelaksanaan kegiatan
perubahan.
7. Menindaklanjuti penilaian
kondisi.
23
BAB IV Based on COBIT 2019
24. Tingkat Karakteristik
0 Belum lengkap/ Incomplete Pekerjaan dapat diselesaikan atau tidak dapat diselesaikan untuk mencapai tujuan tata kelola dan tujuan
manajemen di area fokus
1 Rintisan/
Initial
Pekerjaan dapat diselesaikan, tetapi keseluruhan tujuan dan maksud dari area fokus belum tercapai
2 Terkelola/ Managed Perencanaan dan pengukuran kinerja berlangsung, meskipun belum secara standar
3 Terstandardisasi/ Defined Standar organisasi menyediakan panduan di seluruh organisasi
4 Terukur/ Quantitative Organisasi berbasis data dengan peningkatan kinerja kuantitatif
5 Optimum/ Optimizing Organisasi berfokus pada perbaikan berkelanjutan
Tingkat Karakteristik
0 1. Kurangnya kapabilitas dasar
2. Pendekatan yang tidak lengkap untuk menangani tujuan tata kelola dan tujuan manajemen
3. Mungkin memenuhi atau mungkin tidak memenuhi maksud praktik proses
1 Proses kurang lebih mencapai tujuannya melalui penerapan serangkaian kegiatan yang tidak lengkap yang dapat dikategorikan
sebagai awal atau intuitif - tidak terlalu terorganisir.
2 Proses mencapai tujuannya melalui penerapan serangkaian kegiatan dasar yang lengkap dan dapat dikategorikan sebagai
beroperasi.
3 Proses mencapai tujuannya dengan cara yang jauh lebih terorganisir menggunakan aset organisasi. Proses biasanya didefinisikan
dengan baik.
4 Proses mencapai tujuannya, didefinisikan dengan baik, dan kinerjanya dapat diukur secara kuantitatif.
5 Proses mencapai tujuannya, didefinisikan dengan baik, kinerjanya diukur untuk meningkatkan kinerja dan perbaikan
berkelanjutan dilakukan.
Tingkat Kapabilitas
Tingkat Kematangan
24
BAB II Based on COBIT 2019
25. Maturity
COBIT 4.1
Six attributes:
1.Awareness and
communication
2.Policies, processes and
procedures
3.Tools and automation
4.Skills and expertise
5.Responsibility and
accountability
6.Goals and metrics
{
COBIT 2019 Framework Introduction & Methodology
COBIT PAM Using COBIT 4.1
25
29. Struktur Organisasi
Praktik
CIO
CTO
KomiteRisiko
Organisasi
CISO
PemilikProses
Bisnis
Kantor
Manajemen
Proyek
KepalaArsitek
Kepala
Pengembangan
Kepala
OperasionalTI
Kepala
AdministrasiTI
Manajer
Pelayanan
Manajer
Keamanan
Informasi
Manajer
Kesinambungan
PetugasPrivasi
APO13.01 R R A R R
APO13.02 R R A R R R
APO13.03 R R A R R R R R R R R R R
Jabatan pada COBIT 2019 Jabatan pada Badan X
Chief Information Officer/ CIO
Chief Technology Officer/ CTO
Chief Information Security Officer/ CISO
Kepala Pusat Data dan TIK
Enterprise Risk Committee/
Komite Risiko Organisasi
Satlak SPIP
Head Architect/
Kepala Arsitek
Kepala Bagian Organisasi dan
Tata Laksana
Head Development/
Kepala Pengembangan
Kepala Bidang Pengelolaan
Data dan Aplikasi & Kepala
Bidang Infrastruktur
Head IT Operations/
Kepala Operasional TI
Kepala Bidang Layanan
Operasional dan Keamanan
Jabatan pada COBIT 2019 Jabatan pada Badan X
Head IT Administration/
Kepala Administrasi TI
Kepala Subbag TU
Service Manager/
Manajer Pelayanan
Staf yang ditunjuk pada Bidang Layanan
Operasional dan Keamanan
Information Security Manager/
Manajer Keamanan Informasi
Staf yang ditunjuk pada Bidang Layanan
Operasional dan Keamanan
Business Continuity Manager/
Manajer Kesinambungan
Staf yang ditunjuk pada Bidang
Infrastruktur
Privacy Officer/
Petugas Privasi
Staf yang ditunjuk pada Bidang
Pengelolaan Data dan Aplikasi
29
30. Pengenalan Pusdatik
▷ Tugas: penyusunan, pelaksanaan, evaluasi dan pelaporan di
bidang data dan teknologi informasi komunikasi.
▷ Fungsi:
a. penyiapan penyusunan infrastruktur, pusat data dan aplikasi, dan layanan
operasional dan keamanan teknologi informasi komunikasi untuk layanan
internal;
b. penyiapan pelaksanaan infrastruktur, pusat data dan aplikasi, dan layanan
operasional dan keamanan teknologi informasi komunikasi untuk layanan
internal;
c. penyiapan penyusunan evaluasi dan pelaporan di bidang infrastruktur, pusat
data dan aplikasi, dan layanan operasional dan keamanan teknologi informasi
komunikasi untuk layanan internal; dan
d. pelaksanaan urusan keuangan, rumah tangga, kepegawaian, persuratan,
kearsipan, persandian, serta pengumpulan bahan laporan kinerja dan program
kerja.
Secara ringkas:
Pusdatik memberikan layanan
data dan TIK (internal) pada
Badan tersebut
30
31. 9 orang
3 orang Pengelola
Sistem dan Jaringan
8 orang
4 orang Pengelola
Sistem dan Jaringan
10 orang
4 orang Pengelola
Sistem dan Jaringan
31
32. No. Dimensi Keterangan
1 Tujuan evaluasi a. Mengetahui pemenuhan desain yang dibuat atas asas peraturan yang baik sebagaimana disampaikan
dalam UU Nomor 12/2011 tentang Pembentukan Peraturan Perundang-undangan.
b. Memberikan masukan atas desain yang dibuat
2 Pertanyaan
evaluasi
Apakah desain yang dibuat sudah:
a. memiliki tujuan yang jelas (Apakah tujuan yang ingin dicapai dari pengaturan sudah jelas?);
b. dapat dilaksanakan (Apakah pengaturan dalam desain ini mungkin untuk diterapkan dalam organisasi?);
c. berdaya guna dan berhasil guna (Apakah aturan yang diatur dalam pengaturan ini dibutuhkan dalam
organisasi?); dan
d. memiliki rumusan yang jelas (Bagaimana bahasa yang digunakan dalam pengaturan? Apakah mudah
dimengerti dan tidak ambigu? ).
3 Sifat evaluasi Tidak diintervensi oleh Pengamat dan tidak dibagi dalam kelompok
4 Unit analisis Bagian dari desain yang akan dicoba dalam studi percobaan adalah Fokus Area Keamanan (lebih lanjut
akan dijelaskan pada Studi Deskriptif Inisial)
5 Pengumpulan dan
perekaman data
Partisipan akan merekam atau mencatat yang dirasakan dan dialami selama studi percobaan penerapan
desain
6 Durasi Lama studi percobaan maksimal 10 hari kerja Dalam jangka waktu tersebut keseluruhan desain sistem pada
Fokus Area Keamanan sudah harus diterapkan
7 Proses yang
diamati
Proses yang diamati adalah pada saat penerapan. Pengamat juga akan mencatat pertanyaan yang diberikan
saat awal dan selama penerapan. Pengamat juga akan menanyakan tanggapan dari partisipan secara berkala
(maksimal dua kali)
8 Pengaturan Lokasi dari studi penerapan adalah salah satu unit kerja mandiri pada Badan X.
9 Partisipan Lima orang
10 Metode verifikasi Verifikasi dilakukan menggunakan tanda tangan dari partisipan pada dokumen yang diserahkan pada
Pengamat dan pada ikhtisar hasil evaluasi yang disarikan oleh Pengamat
32
Bab III Tesis
33. “Tata kelola T&I organisasi merupakan
bagian yang tidak terpisahkan dalam tata
kelola organisasi yang digunakan untuk
mencapai tujuan organisasi (value
creation)
COBIT 2019 Framework: Introduction and Methodology
Tata kelola T&I organisasi
33
34. “Ensures that within the enterprise, information is
protected against disclosure to unauthorised users
(confidentiality), improper modification (integrity)
and non-access when required (availability).
Memastikan bahwa di dalam organisasi, informasi
dilindungi terhadap pengungkapan kepada
pengguna yang tidak sah (kerahasiaan), modifikasi
yang tidak patut (integritas) dan non-akses saat
diperlukan (ketersediaan).
COBIT-5-for-Information-Security
Information Security
34
35. “Risiko didefinisikan sebagai pengaruh
ketidakpastian yang pada tujuan-tujuan.
Pengaruh yang dimaksudkan pada definisi
ini adalah deviasi, dapat positif, negatif atau
keduanya, dari yang diharapkan. Pengaruh
tersebut dapat mendatangkan kesempatan
(opportunity) dan juga ancaman (threat)
ISO/IEC 31000:2018 Risk Management-Guidelines
Risiko
35
36. Kerangka dan Standar - Tinjauan
36
Sosialisasi SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Jakarta 9 September 2014
37. Pengaturan Turunan Perpres 95/2018
37
Pra Rapat Kerja BSSN, Komisi I Sektor Pemerintah, 14 Januari 2019
No. TUGAS PIC
1 Menyusun Kebijakan Peta Rencana SPBE Nasional bid. Keamanan SPBE (ps 14 ayat 1f)
2 Menyusun Kebijakan arsitektur SPBE Nasional bid. Keamanan SPBE (ps 9 ayat 3d)
3 Menyusun Kebijakan Bisnis Proses SPBE Nasional bid. Keamanan SPBE (ps 23 ayat 1)
4 Menyusun kebijakan dan melaksanakan keamanan data dan informasi (ps 40)
5 Menyusun kebijakan dan melaksanakan keamanan pusat data (ps 30 ayat 2d; ps 40)
6 Menyusun kebijakan dan melaksanakan keamanan jaringan intra pemerintah (ps 31 ayat 1; pd 32 ayat 1, 3c; ps 40)
7 Menyusun kebijakan dan melaksanakan keamanan sistem penghubung layanan pemerintah (ps 33 ayat 3d; ps 40)
8 Menyusun kebijakan dan melaksanakan keamanan aplikasi SPBE Nasional (ps 40)
9 Menyusun kebijakan manajemen keamanan informasi (ps 48)
10 Menyusun kebijakan dan melaksanakan Audit Keamanan SPBE (ps 58)
Tata
kelola
Manajemen
Audit
38. Pengaturan Turunan Perpres 95/2018
38
No. TUGAS Dalam Tesis
1 Menyusun Kebijakan Peta Rencana SPBE Nasional bid. Keamanan SPBE APO02
2 Menyusun Kebijakan arsitektur SPBE Nasional bid. Keamanan SPBE (ps 9 ayat 3d) BAI07, DSS06, MEA02
3 Menyusun Kebijakan Bisnis Proses SPBE Nasional bid. Keamanan SPBE (ps 23 ayat 1) APO03
4 Menyusun kebijakan dan melaksanakan keamanan data dan informasi (ps 40) APO13, DSS05
5 Menyusun kebijakan dan melaksanakan keamanan pusat data (ps 30 ayat 2d; ps 40) (IS06-MEA04, MEA01, DSS06)
6 Menyusun kebijakan dan melaksanakan keamanan jaringan intra pemerintah (ps 31
ayat 1; pd 32 ayat 1, 3c; ps 40)
DSS05
7 Menyusun kebijakan dan melaksanakan keamanan sistem penghubung layanan
pemerintah (ps 33 ayat 3d; ps 40)
APO01, APOO9, DSS02
8 Menyusun kebijakan dan melaksanakan keamanan aplikasi SPBE Nasional (ps 40) APO01
IS03-DSS05, DSS02, APO13
IS17-APO08, APO05, APO14
9 Menyusun kebijakan manajemen keamanan informasi (ps 48) APO, BAI, DSS, MEA terpilih
10 Menyusun kebijakan dan melaksanakan Audit Keamanan SPBE (ps 58) MEA03, MEA04