Dinas Kominfo Kabupaten bersama LPSE Kabupaten Temanggung mengikuti kegiatan Sosialisasi Peraturan Menteri Nomor 4 Tahuin 2016 Tentang Sistem Manajemen Pengamanan Informasi yang diselenggarakan oleh Kementerian Komunikasi dan Informatika Republik Indonesia pada hari Rabu 24 Mei 2017 bertempat di Hotel Harper Jalan P. Mangkubumi No. 52 Gowongan Jetis Yogyakarta.
Kegiatan yang dihadiri oleh Dinas Komunikasi dan Informatika Kabupaten/Kota se-Jawa Tengah, LPSE Kabupaten/Kota se-Jawa Tengah, Akademisi, dan BUMN ini disambut dan dibuka oleh Ir. Aidil Chendramata, MM, Direktur Keamanan Informasi, dalam sambutannya bapak Aidil menyampaikan bahwa Peraturan Menteri Komunikasi dan Informatika No. 4 Tahun 2016, mengatur tentang Sistem Manajemen Pengamanan Informasi bagi penyelenggara sistem elektronik yang terdiri dari institusi penyelenggara negara, korporasi, lembaga independen dan badan hukum lain yang bergerak dalam ranah pelayanan publik berdasarkan asas risiko. Di dalam permen ini disebutkan bahwa penyelenggara sistem elektronik tinggi mampu menerapkan SNI ISO/IEC 27001:2013 (Sistem Manajemen Keamanan Informasi). Sedangkan untuk penyelenggara sistem elektronik rendah dapat menggunakan indeks KAMI. Indeks KAMI merupakan tools yang dirumuskan oleh Kementerian Komunikasi dan Informatika dalam menganalisa tingkat kesiapan pengamanan informasi di institusi penyelenggara negara, korporasi, lembaga independen dan badan hukum lain yang bergerak dalam ranah pelayanan publik.
Dalam sosialisasi ini menghadirkan narasumber-narasumber yang kompeten dalam bidangnya diantaranya Pancat Syantana, S.Si , Kasubdit. Tata Kelola Keamanan Informasi, Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP, Anwar Siregar Tenaga Ahli BSI, PT. BSI Group Indonesia, Triningsih Herlinawati, SP, MSi Kepala Bidang Akreditasi Sistem Manajemen Komite Akreditasi Nasional
Pancat Syantana, dalam paparannya menegaskan bahwa dalam Undang-undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik Pasal 15 ayat (1), Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya. Sementara itu, dalam PP 82 / 2012 tentang PSTE Pasal 20 ayat (2), Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian. Peraturan Menteri Kominfo No 4 /2016 tentang Sistem Manajemen Pengamanan Informasi diamanatkan oleh PP PSTE dalam Pasal 20 Ayat (4), yaitu: Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri. Peraturan Menteri ini mengatur mengenai penerapan Sistem Manajemen Pengamanan Informasi (SMPI) Mencakup Penyelenggara Sistem Elektronik untuk Pelayanan Publik berdasarkan asas resiko. Institusi penyelenggara pelayanan publik, termasuk menkominfo, BSN, BUMN, BUMD, dan satuan kerja di lingkungan pemerintahan. UPT-UPT yang menggunakan dana APBN, APBD juga termasuk. Definisi ini ada di Undang-Undang Pelayanan Publik korporasi, lembaga independen yang dibentuk berdasarkan UU: komisi-komisi, KPK, Komisi Yudisial, dan badan hukum lain yang menyelenggarakan pelayanan public dalam rangka pelaksanaan misi negara.
Dalam menentukan Kategori sistem elektronik rendah, tinggi atau strategis, Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP memaparkan terdapat 10 parameter untuk menilai yaitu:
- Nilai investasi sistem elektronik yang terpasang ([A] Lebih dari Rp.30 Miliar, [B] Lebih dari Rp.3 Miliar s/d Rp.30 Miliar, [C] Kurang dari Rp.3 Miliar)
- Total anggaran operasional tahunan yang dialokasikan untuk pengelolaan Sistem Elektronik ([A] Lebih dari Rp.10 Miliar, [B] Lebih dari Rp.1 Miliar s/d Rp.10 Miliar, [C] Kurang dari Rp.1 Miliar")
- Memiliki kewajiban kepatuhan terhadap Peraturan atau Standar tertentu ([A] Peraturan atau Standar nasional dan internasional, [B] Peraturan atau Standar nasional, [C] Tidak ada Peraturan khusus)
- Menggunakan algoritma khusus untuk keamanan informasi dalam Sistem Elektronik ([A] Algoritma khusus yang digunakan Negara, [B] Algoritma standar publik, [C] Tidak ada algoritma khusus)
- Jumlah pengguna Sistem Elektronik ([A] Lebih dari 5.000 pengguna, [B] 1.000 sampai dengan 5.000 pengguna, [C] Kurang dari 1.000 pengguna)
- Data pribadi yang dikelola Sistem Elektronik ([A] Data pribadi yang memiliki hubungan dengan Data Pribadi lainnya, [B] Data pribadi yang bersifat individu dan/atau data pribadi yang terkait dengan kepemilikan badan usaha, [C] Tidak ada data pribadi)
- Tingkat klasifikasi/kekritisan Data yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Sangat Rahasia, [B] Rahasia dan/ atau Terbatas, [C] Biasa)
- Tingkat kekritisan proses yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi ([A] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak langsung pada layanan publik, [B] Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung, [C] Proses yang tidak berdampak bagi kepentingan orang banyak)
- Dampak dari kegagalan Sistem Elektronik ([A] Tidak tersedianya layanan publik berskala nasional atau membahayakan pertahanan keamanan negara, [B] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 provinsi atau lebih, [C] Tidak tersedianya layanan publik atau proses penyelenggaraan negara dalam 1 kabupaten/kota atau lebih)
- Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan informasi Sistem Elektronik (sabotase, terorisme) ([A] Menimbulkan korban jiwa, [B] Terbatas pada kerugian finansial, [C] Mengakibatkan gangguan operasional sementara (tidak membahayakan dan merugikan finansial))
Terdapat beberapa Standar SNI Pendukung SMKI dipaparkan oleh Triningsih Herlinawati, SP, MSi Kepala Bidang Akreditasi Sistem Manajemen Komite Akreditasi Nasional, yaitu:
- SNI ISO/IEC 27002:2014 Panduan praktik kendali keamanan informasi
- SNI ISO/IEC 27003:2013 Panduan implementasi sistem manajemen keamanan
- informasi
- SNI ISO/IEC 27004:2013 Pengukuran
- SNI ISO/IEC 27007:2013 Pedoman audit sistem manajemen keamanan informasi
- SNI ISO/IEC TR 27008:2013 Pedoman untuk auditor tentang kendali keamanan
- informasi
- SNI ISO/IEC 27010:2013 Manajemen keamanan informasi untuk komunikasi antarsektor
- dan antar-organisasi
- SNI ISO/IEC 27013:2013 Pedoman penerapan terintegrasi SNI ISO/IEC 27001 dan
- SNI ISO/IEC 20000-1
- SNI ISO/IEC 27014:2013 Tata kelola keamanan informasi
- SNI ISO/IEC TR 27015:2013 Pedoman manajemen keamanan informasi untuk
- layanan keuangan
- SNI ISO/IEC TR 27019:2017 Panduan manajemen keamanan informasi berdasarkan
- SNI ISO/IEC 27002 untuk sistem kendali proses spesifik industri utilitas energi
- SNI ISO/IEC 27009:2017 Penerapan sektor spesifik dari ISO/IEC 27001 (Persyaratan)
Tantangan Implementasi SNI ISO 27001 yaitu Komitmen dan Dukungan Pimpinan, Meningkatkan Kesadaran dan Membangun Budaya Pengamanan, Menerapkan Pendekatan Implementasi SNI ISO 27001 Secara Sistematis, Memastikan Perbaikan Berkelajutan dari SNI ISO 27001. (DDK)