Seminar Keamanan Informasi Sesi II
"Keamanan Informasi dalam Pelayanan Publik pada Kementerian Keuangan"
oleh Rachmad Solik (Kabid Perencanaan dan Kebijakan TIK Pusat Sistem Informasi dan Teknologi Keuangan Kementerian Keuangan)
Jakarta, 1 Desember 2014
Keamanan Informasi dalam Pelayanan Publik pada Kementerian Keuangan
1. KEMENTERIAN
KEUANGAN
PUSAT
SISTEM
INFORMASI
DAN
TEKNOLOGI
KEUANGAN
SEMINAR
KESADARAN
KEAMANAN
INFORMASI
J A K A R T A ,
1
DESEMBE R
2 0 1 4
Keamanan
Informasi
dalam
Pelayanan
Publik
pada
Kementerian
Keuangan
2. Bio
Data
:
• Nama
:
Rachmad
Solik
• Tempat,
Tgl
Lahir
:
Jombang,
5
Mei
1969
• Pendidikan
:
S2
Magister
Manajemen
• Pangkat
:
IVa/
Pembina
• Jabatan
:
Kepala
Bidang
Perencanaan
dan
Kebijakan
TIK
(PKTIK)
Pusat
Sistem
Informasi
dan
Teknologi
Keuangan
Kementerian
Keuangan
• Status
:
Menikah
/
5
Anak
• Telepon
Kantor
:
021-‐3441219
• email
:
rachmad.solik@kemenkeu.go.id
3. SEMINAR
KESADARAN
KEAMANAN
INFORMASI
J A K A R T A ,
1
D E S E M B E R
2 0 1 4
LAYANAN
PUBLIK
KEMENTERIAN
KEUANGAN
4. LAYANAN
PUBLIK
KEMENTERIAN
KEUANGAN
• Dasar Hukum :
ü Keputusan Menteri Keuangan (KMK) No. 35/KMK.01/2014 tentang
Perubahan Atas Keputusan Menteri Keuangan No. 187/KMK.01/2010
tentang Standar Prosedur Operasi (Standard Operating Procedure)
Layanan Unggulan Kementerian Keuangan.
ü SOP Layanan Unggulan digunakan sebagai acuan bagi seluruh unit
Eselon I, baik di kantor pusat maupun instansi vertikal dan unit
pelaksana teknis di lingkungan Kementerian Keuangan dalam rangka
pelaksanaan pelayanan publik.
5. LAYANAN
PUBLIK
KEMENTERIAN
KEUANGAN
• Layanan publik Kementerian Keuangan meliputi pelayanan di bidang:
a. anggaran;
b. perpajakan;
c. kepabeanan dan cukai;
d. perbendaharaan;
e. kekayaan negara dan lelang;
f. perimbangan keuangan;
g. pengelolaan utang;
h. kesekretariatan;
i. pengaduan masyarakat; dan
j. pendidikan dan pelatihan keuangan.
6. SEMINAR
KESADARAN
KEAMANAN
INFORMASI
J A K A R T A ,
1
D E S E M B E R
2 0 1 4
SERTIFIKASI
INTERNASIONAL
UNTUK
MENDUKUNG
LAYANAN
PUBLIK
KEMENTERIAN
KEUANGAN
7. SERTIFIKASI
INTERNASIONAL
UNTUK
MENDUKUNG
LAYANAN
PUBLIK
KEMENTERIAN
KEUANGAN
• Dalam penyelenggaraan layanan publik, Kementerian Keuangan dituntut
untuk menerapkan tata kelola keamanan informasi sesuai dengan Surat
Edaran Menteri KOMINFO No.05/SE/M.KOMINFO/07/2011 tentang
Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara
Pelayanan Publik.
• Sejalan dengan hal tersebut, Menteri Keuangan telah menetapkan KMK
No. 440/KMK.01/2011 tentang Grand Design Sertifikasi Kegiatan
Pelayanan Berstandar Internasional di Lingkungan Kementerian Keuangan
Tahun 2011-2014.
• Untuk Mendukung Kualitas Layanan TIK, telah ditetapkan KMK-338/KMK.
01/2012 tentang Arah Pengembangan TIK di Lingkungan Kementerian
Keuangan
8. Portofolio
Arsitektur
TIK
Arsitektur
TIK
dalam
KMK
338/KMK.01/2012
memuat
Por;olio
sistem
TIK
yang
menggambarkan
pembagian
peran
dan
tanggung
jawab
pengelolaan
TIK
antara
unit
TIK
Pusat
dan
unit
TIK
eselon
I
Presentation Layer System
Common Application Layer
Core Systems Layer
ITJEN
BKF
BPPK
SETJEN
BAPEPAM
LK
DJPU
DJPK
Data Layer
DJPBN
Common System Layer
Network Layer
Security
Layer
Integration Layer
Management
Layer
Platform Layer
Service
Support
Service
Delivery
DJP
DJBC
DJA
DJKN
10. Sertifikasi internasional yang telah diraih
Kementerian Keuangan hingga saat ini antara
lain:
1. ISO 9000 mengenai Quality Management System (QMS);
2. ISO 27001 mengenai Information Security Management System
(ISMS);
a. ISO 27001 untuk Layanan Pengadaan Secara Elektronik (Sertifikasi Tahun
2013 dan Survaillance 2014)
b. ISO 27001 untuk Facility Pusat Data (Sertifikasi Tahun 2013 dan
Survaillance Tahun 2014)
3. ISO 20000 mengenai Information Technology Service Management
(ITSM) ( Sertifikasi 2013 dan Survaillance 2014)
11. Beberapa
Prestasi
Layanan
TIK
Kemenkeu
1. Peringkat
1
E-‐Gov
Tingkat
K/L
tahun
2013
dari
Kominfo
2. Peringkat
1
E-‐Government
Awards
Kategori
Kementerian
dari
Warta
Ekonomi
3. E-‐Transparansi
Awards
Peringkat
2
Tahun
2014
4. Penghargaan
Futuregov
Area
Data
Center
5. Penghargaan
Terbaik
Untuk
SJDIH
Kemenkeu
6. Tingkat
Kematangan
Manajemen
Resiko
TIK
(Tahun
2013
Kategori
C-‐Risk
Define
dan
Meningkat
di
tahun
2014
Kategori
B-‐Risk
Manage)
7. Ser`fikasi
Internasional
(ISO
9000,ISO
27001,ISO
20000)
13. Kilas
Balik
STAGE 1
(British Standards
Institutions)
19 – 20 September 2013
STAGE 2
(British Standards
Institutions)
18 – 20 November 2013
PERAIHAN SERTIFIKASI 4 Desember 2013
14. Kilas
Balik
(
Stage
1)
• Menyiapkan Peraturan perihal SMKI (Sejak Tahun 2010);
• Konsultansi SMKI (2012);
• SMKI Awareness (Periodik);
• Penandatanganan sasaran dan target kinerja penerapan SMKI (22 Agustus
2013);
• Melaksanakan Audit Intenal ISO 27001:2005 (26 - 30 Agustus 2013);
• Rapat Tinjauan Manajemen (30 Agustus 2013);
• Rapat persiapan pelaksanaan ISO 27001:2005 (9 September 2013) ;
• Persiapan pelaksanaan ISO 270001:2005 dan pemaparan dokumen cek list
ISO 270001:2005 (18 September 2013);
• Melaksanakan Audit Eksternal Stage I ISO 27001:2005 (19 s.d 20
September 2013);
15. Kilas
Balik
(
Stage
2)
• SMKI Awareness (November 2013);
• Rapat persiapan Audit Eksternal Stage II ISO 27001:2005 (14 November
2013);
• Audit Ekstermal Stage II ISO 27001:2005 (18 s.d 20 November 2013);
• Pembahasan CAP Audit Eksternal Stage II ISO 27001:2005 (25
November 2013);
• Workshop Rencana Tindak Lanjut Audit Eksternal Stage II ISO
27001:2005 (4 - 6 Desember 2013) dengan mengundang KOMINFO;
• PUSINTEK mendapatkan ISO 27001:2005 (4 Desember 2013).
• Survailance ISO 27001:2005 – September 2014
17. Ruang
Lingkup
SerPfikasi
ISO
27001:2005
Cakupan implementasi Sistem Manajemen Keamanan Informasi berbasis
ISO/IEC 27001:2005 adalah ”Area Pusat Data” yang mencakup dua sub
area sebagai berikut:
• Sub area Physical Facilities, mencakup:
pengelolaan keamanan fisik seperti (visitor handling, phyiscal access control,
surveillance system, physical protection), keamanan lingkungan seperti (air-conditioning,
fire detection/ supression system) dan pengendalian pihak
ketiga terkait.
• Sub area Network Facilities, mencakup:
pengelolaan keamanan jaringan seperti (segmentasi network, pengendalian
akses ke network, pengendalian akses perangkat network, identitas
perangkat, anti interusi, patching-hardening perangkat network, pengelolaan
log dan kapasitas perangkat) dan pengendalian terhadap pihak ketiga terkait.
19. Kunci
Sukses
• Komitmen
Semua
Pihak
(
Pimpinan
dan
Pihak-‐pihak
yang
terlibat)
• Budaya
Kerja
yang
Konsisten
• Implementasi
berar`
melakukan
apa
yang
disyaratkan
dalam
ISO
27000
(ISMS:
Informa?on
Security
Management
System)
sesuai
ruang
lingkup
ser`fikasi.
• Hasil
dari
implementasi
harus
dapat
dibukPkan,
sebagai
berikut:
– Seluruh
persyaratan
dokumen
ISO
dapat
ditunjukkan
dan
masih
berlaku
baik
dalam
bentuk
soDcopy
maupun
hardcopy.
– BukP
terdokumentasi
bahwa
suatu
kontrol/sistem
pengendali
telah
dilakukan,
sesuai
dengan
persyaratan
secara
konsisten.
– BukP
lain
yang
dapat
didemonstrasikan
terkait
dengan
pemenuhan
persyaratan.
• Kerjasama
`m