Rancangan peraturan ini mengatur penerapan sistem manajemen pengamanan informasi bagi penyelenggara sistem elektronik untuk pelayanan publik berdasarkan kategori risiko sistem. Sistem elektronik dikategorikan menjadi strategis, tinggi, dan rendah. Standar pengamanan informasi yang harus dipenuhi masing-masing kategori dan penyelenggara wajib memiliki sertifikasi dari lembaga sertifikasi terakreditasi.
Pemekaran Kabupaten Banyuwangi menujumKota dan kabupaten .pdf
RPM Sistem Manajemen Pengamanan Informasi
1. 1
Rancangan Peraturan Menteri
Sistem Manajemen
Pengamanan Informasi
DR. Hasyim Gautama, CISM, ISMS-LA
Direktorat Keamanan Informasi
Ditjen Aplikasi Informatika
Jakarta, 1 Desember 2014
2. Landasan Hukum
Kewajiban Pengamanan Sistem Elektronik bagi
Penyelenggara Sistem Elektronik untuk Pelayanan
Publik diatur dalam PP PSTE Pasal 20 Ayat (1) dan (2),
yaitu:
(1) Penyelenggara Sistem Elektronik wajib memiliki dan
menjalankan prosedur dan sarana untuk
pengamanan Sistem Elektronik dalam menghindari
gangguan, kegagalan, dan kerugian.
(2) Penyelenggara Sistem Elektronik wajib menyediakan
sistem pengamanan yang mencakup prosedur dan
sistem pencegahan dan penanggulangan terhadap
ancaman dan serangan yang menimbulkan
gangguan, kegagalan, dan kerugian.
3. Amanat Penyusunan Peraturan Menteri
Penyusunan Peraturan Menteri tentang Sistem
Pengamanan diamanatkan oleh PP PSTE dalam
Pasal 20 Ayat (4), yaitu:
(4) Ketentuan lebih lanjut mengenai sistem
pengamanan sebagaimana dimaksud pada ayat
(2) diatur dalam Peraturan Menteri.
4. Asas dan Ruang LIngkup
• Asas
Peraturan Menteri ini bertujuan untuk mengatur
penerapan Sistem Manajemen Pengamanan
Informasi dalam penyelenggaraan Sistem
Elektronik berdasarkan Asas Risiko
• Ruang Lingkup
Mencakup Penyelenggara Sistem Elektronik
untuk Pelayanan Publik.
5. Kategorisasi Sistem Elektronik
No Sistem Elektronik Penetap Kategori
1 Strategis Instansi Pengawas dan Pengatur
Sektor setelah berkoordinasi dg
Menteri
2 Tinggi Menteri
3 Rendah Menteri
Kategorisasi Sistem Elektronik didasarkan pada 10 kriteria
6. Kriteria Kategorisasi Sistem Elektronik
1. Nilai
Investasi
2. Total
Anggaran
Operasional
Tahunan
3. Kewajiban
Kepatuhan
thd
Peraturan
4. Algoritma
Khusus
5. Jumlah
Pengguna
Sistem
Elektronik
6. Data
Pribadi
yang
dikelola
Sistem
Elektronik
7. Tingkat
kekriJsan
Data
dalam
Sistem
Elektronik
8. Tingkat
kekriJsan
Proses
dalam
Sistem
Elektronik
9. Dampak
Kegagalan
Sistem
Elektronik
10. Potensi
kerugian
akibat
ditembusnya
Sistem
Elektronik
Penilaian menggunakan metode pembobotan
7. Standar Manajemen Pengamanan
No Sistem Elektronik Standar Manajemen
Pengamanan Informasi
1 Strategis SNI ISO/IEC 27001 dan
ketentuan pengamanan dari
Instansi Pengawas dan Pengatur
Sektor
2 Tinggi SNI ISO/IEC 27001
3 Rendah Indeks Keamanan Informasi
Penempatan Pusat Data dan Pemulihannya di Indonesia
8. Penempatan Pusat Data & Pemulihan
Standar Manajemen Pengamanan Informasi untuk
semua kategori Sistem Elektronik:
• Pusat data dan pusat pemulihan bencana harus
ditempatkan di wilayah Indonesia untuk
kepentingan penegakan hukum, perlindungan dan
penegakan kedaulatan negara terhadap data warga
negaranya
9. Kewajiban Sertifikasi
• Penyelenggara Sistem Elektronik Strategis dan
Tinggi wajib memiliki Sertifikat Sistem Manajemen
Pengamanan Informasi
• Penyelenggara Sistem Elektronik Rendah dapat
m e m i l i k i S e r t i f i k a t Sistem Manajemen
Pengamanan Informasi
• Sertifikat Sistem Manajemen Pengamanan
Informasi wajib diperbarui paling lambat 3 bulan
sebelum masa berlakunya berakhir
Sertifikat Sistem Manajemen Pengamanan Informasi
diterbitkan oleh Lembaga Sertifikasi
10. Tenaga Ahli
• Dalam penerapan Sistem Manajemen
Pengamanan Informasi Penyelenggara Sistem
Elektronik dapat menggunakan Tenaga Ahli
Internal dan/atau Eksternal
• Dalam hal penerapan pada Sistem Elektronik
Strategis Penyelenggara Sistem Elektronik harus
menggunakan Tenaga Ahli berkewarganegaraan
Indonesia
Ketentuan lebih lanjut diatur dengan Peraturan Menteri
11. Lembaga Sertifikasi
• Sertifikasi dilakukan oleh Lembaga Sertifikasi
• Syarat Lembaga Sertifikasi:
– Berbadan hukum Indonesia
– Berdomisili di Indonesia
– Terakreditasi Komite Akreditasi Nasional
– Memiliki Tim Auditor minimal 1 orang Auditor
Permanen
– Memiliki Tim Pengambil Keputusan Sertifikasi
• Dalam hal sertifikasi Sistem Elektronik Strategis
Tim Auditor dan Tim Pengambil Keputusan
Sertifikasi harus berkewarganegaraan Indonesia
Ketentuan lebih lanjut mengenai Auditor
diatur dengan Peraturan Menteri
12. Pendaftaran Lembaga Sertifikasi
• Permohonan penetapan diajukan kepada Menteri
• Proses Penetapan paling lambat 14 hari kerja
setelah Permohonan dinyatakan lengkap
• Penetapan berlaku paling lama 4 tahun
• Lembaga Sertifikasi yang memperoleh penetapan
dimasukkan dalam daftar Lembaga Sertifikasi
Sistem Manajemen Pengamanan Informasi
13. Tata Cara Sertifikasi
• Dilakukan terhadap seluruh ruang lingkup proses
penyelenggaraan Sistem Elektronik sesuai dengan
tingkat Risikonya
• Tim Auditor melakukan audit dan melaporkan hasil
audit kepada Lembaga Sertifikasi
• Lembaga Sertifikasi mengkaji hasil audit
• Lembaga Sertifikasi dapat menerbitkan atau
mencabut s e r t i f i k a t Sistem Manajemen
Pengamanan Informasi
• Sertifikat berlaku paling lama 3 tahun
• Audit Pengawasan oleh Lembaga Sertifikasi paling
sedikit 1 kali dalam setahun
14. Tata Cara Pelaporan [1/2]
• Lembaga Sertifikasi menyerahkan hasil sertifikasi
secara tertulis kepada Menteri paling sedikit 2 kali
dalam setahun
• Laporan tsb memuat:
– Data Penyelenggara Sistem Elektronik yang
mengajukan sertifikasi, mendapat sertifikat dan
dicabut sertifikatnya.
– Ringkasan eksekutif
– Perubahan daftar Tim Auditor dan Tim Pengambil
Keputusan
15. Tata Cara Pelaporan [2/2]
• Dalam hal pencabutan sertifikat lembaga sertifikasi
harus melaporkan paling lambat 2 hari kerja
• Dalam hal Sertifikasi Sistem Elektronik Strategis
perubahan Tim Auditor dan Tim Pengambil
Keputusan dilaporkan kepada Menteri paling
lambat 2 hari kerja
16. Penilaian Mandiri
• Penilaian Mandiri berdasarkan Standar Indeks
Keamanan Informasi wajib dilakukan terhadap
Sistem Elektronik Rendah
• Hasil Penilaian Mandiri wajib dilaporkan setiap
tahun
• Menteri dapat melakukan pemeriksaan atas hasil
Penilaian Mandiri
17. Logo
• Lembaga Sertifikasi yang telah ditetapkan dapat
mencantumkan logo:
– Kementerian Komunikasi dan Informatika
– Komite Akreditasi Nasional
– Nomor registrasi Lembaga Sertifikasi
• Penyelenggara Sistem Elektronik yang lulus
sertifikasi dapat mencantumkan logo:
– Lembaga Sertifikasi
– Kementerian Komunikasi dan Informatika
– Komite Akreditasi Nasional
– Nomor Sertifikasi
18. Pembinaan
• M e n t e r i d a p a t melakukan pembinaan
penyelenggaraan sertifikasi Sistem Manajemen
Pengamanan Informasi terhadap:
– Lembaga Sertifikasi
– Penyelenggara Sistem Elektronik
– Masyarakat
19. Pengawasan
• Menteri melakukan pengawasan terhadap:
– Lembaga Sertifikasi
– Penyelenggara Sistem Elektronik
• Metode pengawasan berkala 1 kali dalam setahun
atau sewaktu-sewaktu
– Pemantauan
– Pengendalian
– Pemeriksaan
– Penelurusan
– Pengamanan
20. Sanksi
• Sanksi administratif terhadap Penyelenggara
Sistem Elektronik:
– Teguran tertulis
– Jika tidak patuh dalam waktu 6 bulan, maka
dikenakan penghentian sementara Nama Domain
Indonesia
• Sanksi administratif terhadap Lembaga Sertifikasi
– Teguran tertulis
– Jika tidak patuh dalam 30 hari kerja, maka
dikeluarkan dari daftar Lembaga Sertifikasi Sistem
Manajemen Pengamanan Informasi
21. Ketentuan Peralihan [1/2]
• Penyelenggara Sistem Elektronik yg telah
beroperasi wajib memiliki sertifikat paling lama 2
tahun
• Penyelenggara Sistem Elektronik yg telah memiliki
sertifikat selain SNI 27001 wajib menyesuaikan
dengan Peraturan Menteri ini paling lama 2 tahun
• Penyelenggara Sistem Elektronik yg baru
beroperasi wajib memiliki sertifikat paling lama 1
tahun
• Menteri dapat menunjuk Auditor dalam hal
Peraturan Menteri tentang Auditor belum
diundangkan
22. Ketentuan Peralihan [2/2]
• Menteri dapat menunjuk Tenaga Ahli dalam hal
Peraturan Menteri tentang Tenaga Ahli belum
diundangkan
• Menteri dapat menunjuk Lembaga Sertifikasi
dalam hal belum ada Lembaga Sertifikasi yang
terdaftar