Friday, September 16, 2011

Sasaran Pengendalian dan Pengendalian sesuai SNI ISO/IEC 27001:2009

Berdasarkan SNI ISO/IEC 27001:2009, ada 11 komponen atau sasaran pengendalian sistem manajemen keamanan informasi yang perlu diperhatikan, yaitu :
  1. Kebijakan keamanan
  2. Organisasi keamanan informasi
  3. Pengelolaan aset
  4. Keamanan sumberdaya manusia
  5. Keamanan fisik dan lingkungan
  6. Manajemen komunikasi dan operasi
  7. Pengendalian akses
  8. Akuisisi, pengembangan dan pemeliharaan sistem informasi
  9. Manajemen insiden keamanan informasi
  10. Manajemen keberlanjutan bisnis (Business continuity management)
  11. Kesesuaian
Namun dalam Surat Edaran Menteri Komunikasi dan Informatika Nomor 05/SE/M.KOMINFO/07/2011 tentang Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik hanya meliputi 5 komponen, yaitu
  1. kebijakan dan manajemen organisasi
  2. manajemen risiko (risk management)
  3. kerangka kerja
  4. manajemen aset informasi
  5. teknologi
Saya belum melihat korelasi yang tegas antara SNI ISO/IEC 27001:2009 dan SE Menkominfo No. 05/SE/M.KOMINFO/07/2011. Misal komponen nomor 1 pada SE Menkominfo No. 05/SE/M.KOMINFO/07/2011 berkorelasi dengan saran pengendalian nomor berapa? Mungkinkah komponen "kebijakan dan manajemen organisasi" merupakan gabungan dari "Kebijakan keamanan" dan "Organisasi keamanan informasi". Tampaknya harus membaca lebih rinci lagi buku "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik" terbitan Kemenkominfo dan dokumen "SNI ISO/IEC 27001:2009" terbitan BSN.

Pada buku "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik", Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area berikut:
  1. Tata Kelola Keamanan Informasi
  2. Manajemen Risiko Keamanan Informasi
  3. Kerangka Kerja Pengelolaan Keamanan Informasi
  4. Pengelolaan Aset Informasi
  5. Teknologi Keamanan Informasi
Lima area evaluasi ini merupakan rangkuman kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/IEC 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem keamanan informasi, khususnya penyelenggara pelayanan publik di Indonesia. Area evaluasi ini akan terus disempurnakan sesuai peningkatan kepedulian dan kematangan penerapan tata kelola keamanan informasi di lingkungan penyelenggara pelayanan publik.

      Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik

      SURAT EDARAN
      MENTERI KOMUNIKASI DAN INFORMATIKA
      NOMOR: 05/SE/M.KOMINFO/07/2011
      TENTANG
      PENERAPAN TATA KELOLA KEAMANAN INFORMASI
      BAGI PENYELENGGARA PELAYANAN PUBLIK

      I. DASAR PERTIMBANGAN

      Sebagai upaya meningkatkan kualitas dan menjamin penyediaan pelayanan publik yang sesuai dengan tata kelola pemerintahan dan korporasi yang baik, khususnya pengelolaan informasi yang menggunakan Sistem Elektronik, maka setiap Penyelenggara Pelayanan Publik harus menerapkan Tata Kelola Keamanan Informasi secara andal dan aman serta bertanggung jawab sesuai dengan ketentuan Pasal 15 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

      Penyelenggara Pelayanan Publik adalah setiap institusi penyelenggara negara, korporasi, lembaga independen yang dibentuk berdasarkan Undang-Undang untuk kegiatan pelayanan publik, dan badan hukum lain yang dibentuk semata-mata untuk kegiatan pelayanan publik.

      Saat ini, penggunaan Teknologi Informasi dan Komunikasi (TIK) di lingkungan Penyelenggara Pelayanan Publik terus mengalami pertumbuhan, sejalan dengan kebutuhan penyediaan pelayanan publik yang cepat, andal dan aman.

      Penggunaan TIK yang makin kompleks dapat menyebabkan kerawanan dan ancaman Keamanan Informasi, yang meliputi aspek kerahasiaan, keutuhan, dan ketersediaan layanan, sehingga dapat mengganggu kinerja Penyelenggara Pelayanan Publik.

      Berdasarkan pertimbangan dimaksud di atas, maka Penyelenggara Pelayanan Publik harus menerapkan Tata Kelola Keamanan Informasi yang baik berdasarkan ketentuan peraturan perundang-undangan dan standar sistem manajemen keamanan informasi, yaitu SNI ISO/IEC 27001:2009.

      II. MAKSUD DAN TUJUAN

      Maksud dan tujuan Surat Edaran ini sebagai himbauan kepada Penyelenggara Pelayanan Publik untuk menerapkan Tata Kelola Keamanan Informasi berdasarkan ketentuan peraturan perundang-undangan dan sesuai dengan standar sistem manajemen keamanan informasi SNI ISO/IEC 27001:2009

      III. RUANG LINGKUP

      Ruang lingkup Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik meliputi 5 (lima) komponen, sebagai berikut :

      a. kebijakan dan manajemen organisasi;
      b. manajemen risiko (risk management);
      c. kerangka kerja;
      d. manajemen aset informasi; dan
      e. teknologi

      IV. PELAKSANAAN

      A. Penerapan Tata Kelola Keamanan Informasi

      Dalam rangka menerapkan Tata Kelola Keamanan Informasi yang sesuai dengan SNI ISO/IEC 27001:2009, maka Penyelenggara Pelayanan Publik dihiimbau untuk:
      1. merujuk pada "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik" yang disediakan oleh Kementerian Komunikasi dan Informatika;
      2. menggunakan Indeks Keamanan Informasi (Indeks KAMI) sebagai alat ukur dalam melakukan penilaian mandiri (self assessment) tingkat kematangan penerapan Tata Kelola Keamanan Informasi yang sesuai dengan SNI ISO/IEC 27001:2009; dan
      3. melaporkan hasil pengukuran tingkat kematangan Keamanan Informasi kepada Kementerian Komunikasi dan Informatika.
      B. Pemeringkatan Indeks KAMI

      Dalam penerapan Tata Kelola Keamanan Informasi yang merujuk pada "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik", maka Penyelenggara Pelayanan Publik direkomendasikan untuk mengikuti pemeringkatan Indeks KAMI, dengan ketentuan sebagai berikut :
      1. Pemeringkatan Indeks KAMI dilakukan oleh tim Pemeringkat Indeks KAMI yang dibentuk oleh Kementerian Komunikasi dan Informatika;
      2. Penyelenggara Pelayanan Publik yang mengikuti pemeringkatan Indeks KAMI mendapatkan apresiasi dan pelayanan konsultasi dari Kementrian Komunikasi dan Informatika; dan 
      3. Penyelenggara Pelayanan Publik yang meraih peringkat terbaik berdasarkan verifikasi tim Pemeringkat Indeks KAMI, mendapatkan penghargaan dari Menteri Komunikasi dan Informatika.
      Ditetapkan di Jakarta
      pada tanggal 18 Juli 2011
      MENTERI KOMUNIKASI DAN INFORMATIKA

      ttd

      TIFATUL SEMBIRING

      Surat Edaran ini ditujukan kepada :
      1. Para Menteri Kabinet Indonesia Bersatu II
      2. Jaksa Agung Republik Indonesia
      3. Panglima Tentara Nasional Indonesia
      4. Kepala Kepolisian Republik Indoneis
      5. Para Kepala Lembaga Pemerintah Non Departemen
      6. Gubernur Bank Indonesia
      7. Sekretaris Jenderal Lembaga Tinggi Negara
      8. Para Pemimpin Kesekretariatan Komisi/Dewan/Badan Pemerintah
      9. Para Gubernur di Seluruh Indonesia
      10. Para Bupati dan Walikota di seluruh Indonesia
      11. Para Pimpinan BUMN/BUMD dan
      12. Ketua KADIN
      Tembusan ditujukan kepada :
      1. Presiden Republik Indonesia
      2. Wakil Presiden Republik Indonesia
      3. Kepala Unit Kerja Presiden Bidang Pengawasan dan Pengendalian Pembangunan (UKP4) dan
      4. Para Pejabat Eselon I Kementerian Komunikasi dan Informatika
      Surat Edaran Menteri Komunikasi dan Informatika Nomor 05/SE/M.KOMINFO/07/2011 tentang Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik disiapkan oleh Direktorat Keamanan Informasi pada Dirjen Aplikasi Informatika. Direktorat Keamanan Informasi (KAMI) terdiri dari 5 Subdit, yaitu Subdit Tata Kelola KAMI, Subdit Budaya KAMI, Subdit Teknologi KAMI, Subdit Tanggap Darurat KAMI, dan Subdit Penyidikan dan Penindakan.