Rancangan Peraturan Menteri Sistem Manajemen Pengamanan Informasi
Diskusi Publik RPM Sistem Manajemen Pengamanan Informasi
4 November 2014
Hotel Trans Luxury Bandung
Rancangan Peraturan Menteri Sistem Manajemen Pengamanan Informasi
1. 1
Rancangan Peraturan Menteri
Sistem Manajemen
Pengamanan Informasi
Direktorat Keamanan Informasi
Ditjen Aplikasi Informatika
Bandung, 4 November 2014
2. Landasan Hukum
Kewajiban Pengamanan Sistem Elektronik bagi
Penyelenggara Sistem Elektronik untuk Pelayanan
Publik diatur dalam PP PSTE Pasal 20 Ayat (1) dan (2),
yaitu:
(1) Penyelenggara Sistem Elektronik wajib memiliki dan
menjalankan prosedur dan sarana untuk
pengamanan Sistem Elektronik dalam menghindari
gangguan, kegagalan, dan kerugian.
(2) Penyelenggara Sistem Elektronik wajib menyediakan
sistem pengamanan yang mencakup prosedur dan
sistem pencegahan dan penanggulangan terhadap
ancaman dan serangan yang menimbulkan
gangguan, kegagalan, dan kerugian.
3. Amanat Penyusunan Peraturan Menteri
Penyusunan Peraturan Menteri tentang Sistem
Pengamanan diamanatkan oleh PP PSTE dalam
Pasal 20 Ayat (4), yaitu:
(4) Ketentuan lebih lanjut mengenai sistem
pengamanan sebagaimana dimaksud pada ayat
(2) diatur dalam Peraturan Menteri.
4. Asas dan Ruang LIngkup
• Asas
Peraturan Menteri ini bertujuan untuk mengatur
penerapan Sistem Manajemen Pengamanan
Informasi dalam penyelenggaraan Sistem
Elektronik berdasarkan Asas Risiko
• Ruang Lingkup
Mencakup Penyelenggara Sistem Elektronik
untuk Pelayanan Publik.
5. Kategorisasi Sistem Elektronik
No Sistem
Elektronik
Penetap Kategori
1 Strategis Instansi Pengawas dan
Pengatur Sektor setelah
berkoordinasi dg Menteri
2 Tinggi Menteri
3 Rendah Menteri
Kategorisasi Sistem Elektronik didasarkan pada kriteria
6. Kriteria Kategorisasi Sistem Elektronik
1. Nilai Investasi
2. Total Anggaran
Operasional Tahunan
3. Kewajiban Kepatuhan
thd Peraturan
4. Algoritma Khusus
5. Jumlah Pengguna
Sistem Elektronik
6. Data Pribadi yang
dikelola Sistem
Elektronik
7. Tingkat kekritisan Data
dalam Sistem
Elektronik
8. Tingkat kekritisan
Proses dalam Sistem
Elektronik
9. Dampak Kegagalan
Sistem Elektronik
10. Potensi kerugian
akibat ditembusnya
Sistem Elektronik
Penilaian menggunakan metode pembobotan
7. Standar Manajemen Pengamanan
No Sistem
Elektronik
Standar Manajemen
Pengamanan Informasi
1 Strategis SNI ISO/IEC 27001 dan
ketentuan pengamanan dari
Instansi Pengawas dan
Pengatur Sektor
2 Tinggi SNI ISO/IEC 27001
3 Rendah Indeks Keamanan Informasi
8. Kewajiban Sertifikasi
• Penyelenggara Sistem Elektronik Strategis dan
Tinggi wajib memiliki Sertifikat Sistem Manajemen
Pengamanan Informasi
• Penyelenggara Sistem Elektronik Rendah dapat
memiliki Sertifikat Sistem Manajemen
Pengamanan Informasi
• Sertifikat Sistem Manajemen Pengamanan
Informasi wajib diperbarui paling lambat 3 bulan
sebelum masa berlakunya berakhir
Sertifikat Sistem Manajemen Pengamanan Informasi
diterbitkan oleh Lembaga Sertifikasi
9. Tenaga Ahli
• Dalam penerapan Sistem Manajemen
Pengamanan Informasi Penyelenggara Sistem
Elektronik dapat menggunakan Tenaga Ahli
Internal dan/atau Eksternal
• Dalam hal penerapan pada Sistem Elektronik
Strategis Penyelenggara Sistem Elektronik harus
menggunakan Tenaga Ahli berkewarganegaraan
Indonesia
Ketentuan lebih lanjut diatur dengan Peraturan Menteri
10. Lembaga Sertifikasi
• Sertifikasi dilakukan oleh Lembaga Sertifikasi
• Syarat Lembaga Sertifikasi:
– Berbadan hukum Indonesia
– Berdomisili di Indonesia
– Terakreditasi Komite Akreditasi Nasional
– Memiliki Tim Auditor minimal 1 orang Auditor
Permanen
– Memiliki Tim Pengambil Keputusan Sertifikasi
• Dalam hal sertifikasi Sistem Elektronik Strategis
Tim Auditor dan Tim Pengambil Keputusan
Sertifikasi harus berkewarganegaraan Indonesia
Ketentuan lebih lanjut mengenai Auditor
diatur dengan Peraturan Menteri
11. Pendaftaran Lembaga Sertifikasi
• Permohonan penetapan diajukan kepada Menteri
• Proses Penetapan paling lambat 14 hari kerja
setelah Permohonan dinyatakan lengkap
• Penetapan berlaku paling lama 4 tahun
• Lembaga Sertifikasi yang memperoleh penetapan
dimasukkan dalam daftar Lembaga Sertifikasi
Sistem Manajemen Pengamanan Informasi
12. Tata Cara Sertifikasi
• Dilakukan terhadap seluruh ruang lingkup proses
penyelenggaraan Sistem Elektronik sesuai dengan
tingkat Risikonya
• Tim Auditor melakukan audit dan melaporkan hasil
audit kepada Lembaga Sertifikasi
• Lembaga Sertifikasi mengkaji hasil audit
• Lembaga Sertifikasi dapat menerbitkan atau
mencabut sertifikat Sistem Manajemen
Pengamanan Informasi
• Sertifikat berlaku paling lama 3 tahun
• Audit Pengawasan oleh Lembaga Sertifikasi paling
sedikit 1 kali dalam setahun
13. Tata Cara Pelaporan [1/2]
• Lembaga Sertifikasi menyerahkan hasil sertifikasi
secara tertulis kepada Menteri paling sedikit 2 kali
dalam setahun
• Laporan tsb memuat:
– Data Penyelenggara Sistem Elektronik yang
mengajukan sertifikasi, mendapat sertifikat dan
dicabut sertifikatnya.
– Ringkasan eksekutif
– Perubahan daftar Tim Auditor dan Tim Pengambil
Keputusan
14. Tata Cara Pelaporan [2/2]
• Dalam hal pencabutan sertifikat lembaga sertifikasi
harus melaporkan paling lambat 2 hari kerja
• Dalam hal Sertifikasi Sistem Elektronik Strategis
perubahan Tim Auditor dan Tim Pengambil
Keputusan dilaporkan kepada Menteri paling
lambar 2 hari kerja
15. Penilaian Mandiri
• Penilaian Mandiri berdasarkan Standar Indeks
Keamanan Informasi wajib dilakukan terhadap
Sistem Elektronik Rendah
• Hasil Penilaian Mandiri wajib dilaporkan setiah
tahun
• Menteri dapat melakukan pemeriksaan atas hasil
Penilaian Mandiri
16. Logo
• Lembaga Sertifikasi yang telah ditetapkan dapat
mencantumkan logo:
– Kementerian Komunikasi dan Informatika
– Komite Akreditasi Nasional
– Nomor registrasi Lembaga Sertifikasi
• Penyelenggara Sistem Elektronik yang lulus
sertifikasi dapat mencantumkan logo:
– Lembaga Sertifikasi
– Kementerian Komunikasi dan Informatika
– Komite Akreditasi Nasional
– Nomor Sertifikasi
17. Pembinaan
• Menteri dapat melakukan pembinaan
penyelenggaraan sertifikasi Sistem Manajemen
Pengamanan Informasi terhadap:
– Lembaga Sertifikasi
– Penyelenggara Sistem Elektronik
– Masyarakat
18. Pengawasan
• Menteri melakukan pengawasan terhadap:
– Lembaga Sertifikasi
– Penyelenggara Sistem Elektronik
• Metode pengawasan berkala 1 kali dalam setahun
atau sewaktu-sewaktu
– Pemantauan
– Pengendalian
– Pemeriksaan
– Penelurusan
– Pengamanan
19. Sanksi
• Sanksi administratif terhadap Penyelenggara
Sistem Elektronik:
– Teguran tertulis
– Jika tidak patuh dalam waktu 6 bulan, maka
dikenakan penghentian sementara Nama Domain
Indonesia
• Sanksi administratif terhadap Lembaga Sertifikasi
– Teguran tertulis
– Jika tidak patuh dalam 30 hari kerja, maka
dikeluarkan dari daftar Lembaga Sertifikasi Sistem
Manajemen Pengamanan Informasi
20. Ketentuan Peralihan [1/2]
• Penyelenggara Sistem Elektronik yg telah
beroperasi wajib memiliki sertifikat paling lama 2
tahun
• Penyelenggara Sistem Elektronik yg telah memiliki
sertifikat selain SNI 27001 wajib menyesuaikan
dengan Peraturan Menteri ini paling lama 2 tahun
• Penyelenggara Sistem Elektronik yg baru
beroperasi wajib memiliki sertifikat paling lama 1
tahun
• Menteri dapat menunjuk Auditor dalam hal
Peraturan Menteri tentang Auditor belum
diundangkan
21. Ketentuan Peralihan [2/2]
• Menteri dapat menunjuk Tenaga Ahli dalam hal
Peraturan Menteri tentang Tenaga Ahli belum
diundangkan
• Menteri dapat menunjuk Lembaga Sertifikasi
dalam hal belum ada Lembaga Sertifikasi yang
terdaftar