Panduan Penerapan Tata Bagi Penyelenggara
2Panduan Penerapan TataKelola Keamanan Informasibagi PenyelenggaraPelayanan PublikDisusun oleh: Tim Direktorat Keamanan InformasiEdisi: 2.0,September 2011Direktorat Keamanan InformasiKementerian Komunikasi dan Informatika RI@Kominfo, 2011,Klasifikasi: Umum
3Daftar IsiDaftar Isi . 2Daftar Gambar .4Daftar Tabel .51Pendahuluan .72Tujuan .83Ruang Lingkup Penerapan .83.1Area Penggunaan .83.1.1 Instansi pemerintah pusat dan daerah .83.1.2 BUMN .83.1.3 BUMD .83.1.4 Penyelenggara pelayanan publik lainnya .83.2Area Evaluasi .83.2.1 Tata Kelola Keamanan Informasi .83.2.2 Manajemen Risiko Keamanan Informasi .83.2.3 Kerangka Kerja Pengelolaan Keamanan Informasi .83.2.4 Pengelolaan Aset Informasi .83.2.5 Teknologi Keamanan Informasi .84Standar Sistem Manajemen Keamanan Informasi .94.1ISO/IEC 27000 ISMS- Overview and Vocabulary .94.2SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi .104.3ISO/IEC 27002 –Code of Practice for ISMS .124.4ISO/IEC 27003- Information Security Management System ImplementationGuidance .124.5ISO/IEC 27004 - Information Security Management Measurement .124.6ISO/IEC27005 - Information Security Risk Management. .134.7ISO/IEC 27006 - Requirements for Bodies Providing Audit and Certificationof Information Security Management Systems. .135Dokumentasi Sistem Manajemen Keamanan Informasi .135.1Struktur Dokumentasi SMKI .135.1.1 Tingkat 1: .135.1.2 Tingkat 2: .145.1.3 Tingkat 3: .145.2Cakupan Dokumentasi SMKI .146Tahapan Penerapan SMKI .176.1Persetujuan Pimpinan.176.2Menetapkan Organisasi, Peran dan Tanggung jawab .186.3Mendefinisikan Ruang Lingkup .186.4Melakukan Gap Analysis .18@Kominfo, 2011,Klasifikasi: Umum
46.5Melakukan Risk Assessment dan Risk Treatment Plan .196.6Menetapkan Kontrol dan Sasaran Kontrol .196.7Menetapkan Kebijakan dan Prosedur SMKI .206.8Sosialisasi dan Pelatihan .206.9Menerapkan Kebijakan dan Prosedur .216.10 Mengukur Efektivitas Kontrol .216.11 Melakukan Audit Internal .226.12 Melakukan Evaluasi, Peninjauan (Review) dan Penyempurnaan .227Daftar Istilah .24Lampiran .25A. Indeks KAMI .27B. Template Kebijakan dan Prosedur SMKI .44SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) .44KEBIJAKAN PENGENDALIAN HAK AKSES .47ATURAN PENGGUNAAN SUMBER DAYA INFORMASI .53PANDUAN KLASIFIKASI INFORMASI .59PROSEDUR PENGENDALIAN HAK AKSES .64@Kominfo, 2011,Klasifikasi: Umum
5Daftar GambarGambar 1 Hubungan antar standar keluarga SMKI .10Gambar 2 Struktur Dokumentasi SMKI .13Gambar A.1 Tampilan Dasbor Hasil Evaluasi Indeks KAMI .27Gambar A.2 Ilustrasi Tampilan Evaluasi.32Gambar A.3 Ilustrasi Tampilan Evaluasi.34Gambar A.4 Diagram Radar Tingkat Kelengkapan Masing-Masing Area .37Gambar A.5 Bar Chart Tingkat Kelengkapan Penerapan Standar ISO27001 .38Gambar A.6 Contoh Hasil Evaluasi Tingkat Kelengkapan .39Gambar A.7 Gambaran Definisi Evaluasi Tingkat Kematangan .40Gambar A.8 Hubungan Tingkat Kematangan dan Kelengkapan .43@Kominfo, 2011,Klasifikasi: Umum
6Daftar TabelTabel 1 Peta PDCA dalam proses SMKI .11Tabel 2 Cakupan dokumen tingkat 1 (Kebijakan) .15Tabel 3 Cakupan dokumen tingkat 2 (Prosedur) .16Tabel 4 Contoh Sasaran Keamanan Informasi .19Tabel 5 Contoh Pengukuran Ketercapaian Sasaran Keamanan Informasi .21Tabel A.1 Pemetaan Skor .35Tabel A.2 Ilustrasi Evaluasi Kematangan.36Tabel A.3 Rangkuman Evaluasi berdasarkan Area Keamanan Informasi.37Tabel A.4 Matriks Peran TIK dan Status Kesiapan .38Tabel A.5 Jumlah pertanyaan dalam Indeks KAMI .39@Kominfo, 2011,Klasifikasi: Umum
71 PendahuluanPenerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudahmenjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayananpublik mengingat peran TIK yang semakin penting bagi upaya peningkatankualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yangbaik (Good Corporate Governance). Dalam penyelenggaraan tata kelola TIK,faktor keamanan informasi merupakan aspek yang sangat penting diperhatikanmengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salahsatu objek utama tata kelola TIK mengalami masalah keamanan informasi yangmenyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan(availability).Untuk meningkatkan kesadaran akan pentingnya keamanan informasi, sejaktahun 2008 Kementerian Kominfo telah menyelenggarakan sosialisasi danbimbingan teknis (bimtek) kepada instansi penyelenggara pelayanan publik, baikdi lingkungan pemerintah pusat maupun daerah. Jika sosialisasi berisi tentangdefinisi, pengertian, kontrol-kontrol, persyaratan dokumentasi keamananinformasi dan contoh-contoh tindakan untuk mengamankan informasi, makabimtek menjelaskan metode atau cara melakukan penilaian mandiri (selfassessment) terhadap status keamanan informasi suatu instansi penyelenggarapelayanan publik dengan menggunakan alat bantu indeks KAMI yang telahdisusun Direktorat Keamanan Informasi - Kementerian Kominfo.Dari hasil sosialisasi dan bimtek keamanan informasi tersebut, diketahui bahwamayoritas instansi peserta belum memiliki atau sedang menyusun kerangka kerjakeamanan informasi yang memenuhi standar SNI ISO/IEC 27001. Beberapainstansi yang telah memiliki dokumentasi sistem manajemen keamananinformasi juga belum mengetahui apakah kerangka kerja yang mereka banguntelah memenuhi persyaratan standar SNI ISO/IEC 27001 karena belummenjalani audit secara independen. Meskipun telah mengikuti sosialisasi danbimtek, mayoritas peserta masih memerlukan pendampingan lanjutan baik untukpenyusunan dokumentasi SMKI maupun dalam metode penerapannya.Mayoritas peserta juga berharap agar dokumentasi SMKI dijelaskan lebih rincibaik struktur maupun cakupan kandungannya sehingga diperoleh pemahamanyang lebih komprehensif tentang sistem dokumentasi yang memenuhi standarSNI ISO/IEC 27001.Sebagai tindak lanjut atas masukan selama kegiatan sosialisasi dan bimbinganteknis keamanan informasi serta untuk mempermudah kegiatan penilaianmandiri (self assessment) tentang kondisi keamanan informasi, maka perluditerbitkan Panduan Penerapan Tata Kelola Keamanan Informasi bagiPenyelenggara Pelayanan Publik.Panduan ini juga diharapkan dapat digunakan oleh instansi/lembagapenyelenggara pelayanan publik yang belum mengikuti kegiatan sosialisasi danbimtek yang diselenggarakan Kementerian Kominfo untuk mulai membenahi,membangun dan menerapkan pengamanan informasi. Panduan ini akan direvisisesuai kebutuhan dan tingkat kematangan penerapan tata kelola keamananinformasi di lingkungan instansi/lembaga penyelenggara pelayanan publik.@Kominfo, 2011,Klasifikasi: Umum
82 TujuanTujuan disusunnya Panduan Penerapan Tata Kelola Keamanan Informasiini,agar instansi/lembaga penyelenggara pelayanan publik:2.1 Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien,dan konsisten dengan pendekatan berbasis risiko.2.2 Mampu melakukan penilaian mandiri (self-assesment) secara objektifdengan menggunakan Indeks Keamanan Informasi (Indeks KAMI)2.3 Mampu menyusun sistem dokumentasi minimum yang diperlukan untukmenerapkan tata kelola keamanan informasi2.4 Memahami roadmap penerapan tata kelola keamanan informasi3 Ruang Lingkup Penerapan3.1 Area PenggunaanPanduan ini direkomendasikan untuk diterapkan di lingkungan penyelenggaranpelayanan publik yang meliputi:3.1.1 Instansi pemerintah pusat dan daerah3.1.2 BUMN3.1.3 BUMD3.1.4 Penyelenggara pelayanan publik lainnya3.2 Area EvaluasiKondisi keamanan yang akan dievaluasi meliputi 5 (lima) area berikut:3.2.1 Tata Kelola Keamanan Informasi3.2.2 Manajemen Risiko Keamanan Informasi3.2.3 Kerangka Kerja Pengelolaan Keamanan Informasi3.2.4 Pengelolaan Aset Informasi3.2.5 Teknologi Keamanan InformasiLima area evaluasi ini merupakan rangkuman kontrol-kontrol 5denganmempertimbangkan karakteristik kondisi penerapan sistem manajemenkeamanan informasi, khususnya instansi/lembaga penyelenggara pelayananpublik di Indonesia. Area evaluasi ini akan terus disempurnakan sesuaipeningkatan kepedulian dan kematangan penerapan tata kelola keamananinformasi di lingkungan penyelenggara pelayanan publik. Penjelasan lebihlanjut tentang sub-bab 3.2 ini dicantumkan di Lampiran tentang Indeks KAMI.@Kominfo, 2011,Klasifikasi: Umum
94 Standar Sistem Manajemen Keamanan InformasiSejak tahun 2005, International Organization for Standardization(ISO) atauOrganisasi Internasional untuk Standarisasi telah mengembangkan sejumlahstandar tentangInformation Security Management Systems (ISMS) atau SistemManajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratanmaupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seriISO 27000 yang terdiri dari: ISO/IEC 27000:2009 – ISMS Overview and Vocabulary ISO/IEC 27001:2005 – ISMS Requirements ISO/IEC 27002:2005– Code of Practice for ISMS ISO/IEC 27003:2010 – ISMS Implementation Guidance ISO/IEC 27004:2009 – ISMS Measurements ISO/IEC 27005:2008 – Information Security Risk Management ISO/IEC 27006: 2007 – ISMS Certification Body Requirements ISO/IEC 27007 – Guidelines for ISMS AuditingDari standar seri ISO 27000 ini, hingga September 2011, baru ISO/IEC27001:2005 yang telah diadopsi Badan Standarisasi Nasional (BSN) sebagaiStandar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC27001:2009.Catatan: angka di belakang tanda titik dua (:) menunjukkan tahun terbit.4.1 ISO/IEC 27000ISMS- Overview and VocabularyStandar ini dirilis tahun 2009, memuat prinsip-prinsip dasar InformationSecurity Management Systems(Sistem Manajemen Keamanan Informasi –SMKI),definisi sejumlah istilah penting dan hubungan antar standar dalamkeluarga SMKI, baik yang telah diterbitkan maupun sedang dalam tahappengembangan.Hubungan antar standar keluarga ISO 27000 dapat digambarkan sebagaiberikut:@Kominfo, 2011,Klasifikasi: Umum
Terminologi10PersyaratanUmumISO 27000Overview dan VocabularyISO 27006Certification BodyRequirementsISO 27001RequirementsPanduan UmumISO 27002Code of PracticeISO 27007Audit GuidelinesISO 27003ImplementationGuidanceISO 27005Risk ManagementISO 27004MeasurementsGambar 1 Hubungan antar standar keluarga SMKI4.2 SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan InformasiSNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versiIndonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yangharus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi(SMKI). Standar ini bersifat independen terhadap produk teknologi informasi,mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dandirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampumelindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkatkeamanan bagi pihak yang berkepentingan.Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagipenetapan, penerapan, pengoperasian, pemantauan, tinjau ulang (review),pemeliharaan dan peningkatan suatu SMKI. Pendekatan proses mendorongpengguna menekankan pentingnya:a) Pemahaman persyaratan keamanan informasi organisasi dankebutuhan terhadap kebijakan serta sasaran keamanan informasib) Penerapan dan pengoperasian kontrol untuk mengelola risikokeamanan informasi dalam konteks risiko bisnis organisasi secarakeseluruhanc) Pemantauan dan tinjau ulang kinerja dan efektivitas SMKI, dand) Peningkatan berkelanjutan berdasarkan pada pengukuran tingkatketercapaian sasaranModel PLAN – DO – CHECK – ACT (PDCA) diterapkan terhadap struktur@Kominfo, 2011,Klasifikasi: Umum
11keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKIdapat dipetakan seperti Tabel 1.Tabel 1 Peta PDCA dalam proses SMKIPLAN (Menetapkan SMKI)Menetapkan kebijakan SMKI, sasaran, proses danprosedur yang relevan untuk mengelola risiko danmeningkatkan keamanan informasi agar memberikanhasil sesuai dengan keseluruhan kebijakan dansasaran.DO (Menerapkan danmengoperasikan SMKI)Menerapkan dan mengoperasikan kebijakan SMKI,kontrol, proses dan prosedur-prosedur.CHECK (Memantau danmelakukan tinjau ulangSMKI)Mengkaji dan mengukur kinerja proses terhadapkebijakan, sasaran, praktek-praktek dalammenjalankan SMKI dan melaporkan hasilnya kepadamanajemen untuk ditinjau efektivitasnya.ACT (Memelihara danmeningkatkan SMKI)Melakukan tindakan perbaikan dan pencegahan,berdasarkan hasil evaluasi, audit internal dan tinjauanmanajemen tentang SMKI atau kegiatan pemantauanlainnya untuk mencapai peningkatan yangberkelanjutan.Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut: Sistem manajemen keamanan informasi (kerangka kerja, prosesdan dokumentasi) Tanggung jawab manajemen Audit internal SMKI Manajemen tinjau ulang SMKI Peningkatan berkelanjutanDisamping persyaratan utama di atas, standar ini mensyaratkan penetapansasaran kontrol dan kontrol-kontrol keamanan informasi meliputi 11 areapengamanan sebagai berikut: Kebijakan keamanan informasi Organisasi keamanan informasi Manajemen aset Sumber daya manusia menyangkut keamanan informasi Keamanan fisik dan lingkungan Komunikasi dan manajemen operasi Akses kontrol Pengadaan/akuisisi, pengembangan dan pemeliharaan sisteminformasi Pengelolaan insiden keamanan informasi Manajemen kelangsungan usaha (business continuity management) Kepatuhan@Kominfo, 2011,Klasifikasi: Umum
124.3 ISO/IEC 27002 –Code of Practice for ISMSISO/IEC 27002 berisi panduan yang menjelaskan contoh penerapan keamananinformasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapaisasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikanseluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan dalamISO/IEC 27001.ISO/IEC27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapimenyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yangtepat sesuai kebutuhannya, dengan mempertimbangkan hasil kajian risiko yangtelah dilakukannya. Pengguna juga dapat memilih kontrol di luar daftar kontrolyang dimuat standar ini sepanjang sasaran kontrolnya dipenuhi.4.4 ISO/IEC 27003- Information Security Management System ImplementationGuidanceTujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagiperancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001.Standar ini menjelaskan proses pembangunan SMKI meliputi persiapan,perancangan dan penyusunan / pengembangan SMKI yang digambarkansebagai suatu kegiatan proyek. Sebagai kegiatan proyek, tahapan utama yangdijelaskan dalam standar ini meliputi Mendapatkan persetujuan manajemen untuk memulai proyek SMKI Mendefinisikan ruang lingkup, batasan dan kebijakan SMKI Melakukan analisis persyaratan SMKI Melakukan kajian risiko dan rencana penanggulangan risiko Merancang SMKI Merencanakan penerapan SMKIStandar ini diterbitkan pada bulan Januari 2010.4.5 ISO/IEC 27004 - Information Security Management MeasurementStandar ini menyediakan panduan penyusunan dan penggunaan teknikpengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrolsebagaimana dipersyaratkan ISO/IEC 27001. Standar ini juga membantuorganisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan.Standar ini mencakup bagian utama sebagai berikut: Penjelasan tentang pengukuran keamanan informasi; Tanggung jawab manajemen; Pengembangan metode pengukuran; Pengukuran operasi; Analisis data dan pelaporan hasil pengukuran; Evaluasi dan perbaikan program pengukuran keamanan informasi.Standar ini diterbitkan bulan Desember 2009.@Kominfo, 2011,Klasifikasi: Umum
134.6 ISO/IEC27005 - Information Security Risk Management.Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamananinformasi dalam suatu organisasi, khususnya dalam rangka mendukungpersyaratan-persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001.Standar ini diterbitkan pada bulan Juni 2008.4.7 ISO/IEC 27006 - Requirements for Bodies Providing Audit and Certification ofInformation Security Management Systems.Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasiyang memiliki kewenangan untuk melakukan audit dan sertifikasi sistemmanajemen keamanan informasi (SMKI). Standar ini utamanya dimaksudkanuntuk mendukung proses akreditasi Badan Sertifikasi ISO/IEC 27001 olehKomite Akreditasi dari negara masing-masing.5 Dokumentasi Sistem Manajemen Keamanan Informasi5.1 Struktur Dokumentasi SMKIStruktur dokumentasi sistem manajemen keamanan informasi pada umumnyaterdiri dari 3 (tiga) tingkat, seperti terlihat pada Gambar 2.Tingkat 1Kebijakan& StandarTingkat 2Prosedur, Panduan,Petunjuk PelaksanaanTingkat 3Petunjuk Teknis, Instruksi kerja,FormulirGambar 2 Struktur Dokumentasi SMKI5.1.1 Tingkat 1:Dokumen tingkat 1 merupakandokumen dengan hirarki tertinggi dalamstruktur dokumentasi SMKI.Dokumen ini bersifat strategis yangmemuat komitmen yang dituangkan dalam bentuk kebijakan, standar,sasaran dan rencana terkait pengembangan (development), penerapan(implementation) dan peningkatan (improvement) sistem manajemenkeamanan informasi. Dokumen Tingkat 1 minimum terdiri dari:a. Kebijakan Keamanan Informasi@Kominfo, 2011,b.Peran dan tanggung jawab organisasi keamanan informasic.Klasifikasi informasiKlasifikasi: Umum
14d.Kebijakan Pengamanan Akses Fisik dan Lojike.KebijakanManajemen RisikoTIKf.Manajemen Kelangsungan Usaha (Business ContinuityManagement)g.Ketentuan Penggunaan Sumber Daya TIKPenjelasan tentang cakupan masing-masing dokumen dijelaskan di butir5.2.5.1.2 Tingkat 2:Dokumen tingkat 2 ini umumnya meliputi prosedur dan panduan yangdikembangkan secara internal oleh instansi/lembaga penyelenggarapelayanan publik dan memuat cara menerapkan kebijakan yang telahditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen inibersifat operasional. Prosedur-prosedur dalam dokumen tingkat 2meliputi antara lain:a. Prosedur pengendalian dokumenb.Prosedur pengendalian rekamanc.Prosedur audit internal SMKId.Prosedur tindakan perbaikan dan pencegahane.Prosedur penanganan informasi (penyimpanan, pelabelan,pengiriman/pertukaran, pemusnahan)f.Prosedurinformasig.Prosedur pemantauan penggunaan fasilitas anDaftar dan penjelasan lengkap tentang prosedur dan cakupan masingmasing diuraikan di butir 5.2.5.1.3 Tingkat 3:Dokumen tingkat 3 meliputi petunjuk teknis, instruksi kerja danformulir yang digunakan untuk mendukung pelaksanaan prosedurtertentu sampai ke tingkatan teknis. Instruksi kerja tidak selaludiperlukan untuk setiap prosedur. Sepanjang prosedur sudahmenguraikan langkah-langkah aktivitas yang jelas dan mudah dipahamipenanggung jawab kegiatan, petunjuk teknis / instruksi kerja tidakdiperlukan lagi.5.2 Cakupan Dokumentasi SMKITabel berikut menjelaskan nama dan cakupan dokumen yang pada umumnyadibangun sebagai kelengkapan kerangka kerja keamanan informasi. Namadokumen tidak harus sama dengan panduan ini, namun cakupan dokumenhendaknya memenuhi penjelasan dalam Tabel 2 dan Tabel 3 di bawah ini.@Kominfo, 2011,Klasifikasi: Umum
15No123Tabel 2 Cakupan dokumen tingkat 1 (Kebijakan)KlausulSNINamaDokumenCakupan Dokumen27001Kebijakan KeamananInformasiMenyatakan komitmenmanajemen/pimpinan instansi/lembagamenyangkut pengamanan informasi yangdidokumentasikan dan disahkan secaraformal. Kebijakan keamanan informasidapat mencakup antara lain: Definisi, sasaran dan ruang lingkupkeamanan informasi Persetujuan terhadap kebijakan danprogram keamanan informasi Kerangka kerja penetapan sasarankontrol dan kontrol Struktur dan metodologi manajemenrisiko Organisasi dan tanggungjawabkeamanan informasiOrganisasi, peran dantanggungjawab keamananinformasiUraian tentang organisasi yang ditetapkanuntuk mengelola dan mengkoordinasikanaspek keamanan informasi dari suatuinstansi/lembaga serta uraian peran dantanggung jawabnya. Organisasi pengelolakeamanan informasi tidak harus berbentukunit kerja terpisahPanduan KlasifikasiInformasiBerisi tentang petunjuk cara melakukanklasifikasi informasi yang ada diinstansi/lembaga dan disusun denganmemperhatikan nilai penting dankritikalitas informasi bagipenyelenggaraan pelayanan publik, baikyang dihasilkan secara intenal maupunditerima dari pihak eksternal. Klasifikasiinformasi dilakukan dengan mengukurdampak gangguan operasional, jumlahkerugian uang, penurunan reputasi danlegal manakala terdapat ancamanmenyangkut kerahasiaan (confidentiality),keutuhan (integrity) dan ketersediaan(availability) informasi.4.2.1.cKebijakan ManajemenRisiko TIKBerisi metodologi / ketentuan untukmengkaji risiko mulai dari identifikasiaset, kelemahan, ancaman dan dampakkehilangan aspek kerahasiaan, keutuhandan ketersediaan informasi termasuk jenismitigasi risiko dan tingkat penerimaanrisiko yang disetujui oleh pimpinan.A.14.1.4Kerangka KerjaBerisi komitmen menjaga kelangsungan4.2.1A.6,A.8.1.1A.7.2.1@Kominfo, 2011,Klasifikasi: Umum
16Manajemen KelangsunganUsaha (BusinessContinuity Management)Kebijakan PenggunaanSumber daya TIKA.7.1.3pelayanan publik dan proses penetapankeadaan bencana serta penyediaaninfrastruktur TIK pengganti saatinfrastruktur utama tidak dapat beroperasiagar pelayanan publik tetap dapatberlangsung bila terjadi keadaan bencana/kdarurat. Dokumen ini juga memuat timyang bertanggungjawab (ketua dananggota tim), lokasi kerja cadangan,skenario bencana dan rencana pemulihanke kondisi normal setelah bencana dapatdiatasi/berakhir.Berisi aturan penggunaan komputer(desktop/laptop/modem atau email daninternet).Tabel 3 Cakupan dokumen tingkat 2 rosedur/PedomanCakupan DokumenPengendalian DokumenBerisi proses penyusunan dokumen,wewenang persetujuan penerbitan,identifikasi perubahan, distribusi,penyimpanan, penarikan dan pemusnahandokumen jika tidak digunakan dan daftarserta pengendalian dokumen eksternal yangmenjadi rujukan.Pengendalian RekamanBerisi pengelolaan rekaman yang meliputi:identifikasi rekaman penting, kepemilikan,pengamanan, masa retensi, dan pemusnahanjika tidak digunakan lagi.Audit Internal SMKIProses audit internal: rencana, ruanglingkup, pelaksanaan, pelaporan dan tindaklanjut hasil audit serta persyaratankompetensi auditor.Tindakan Perbaikan &PencegahanBerisi tatacara perbaikan/pencegahanterhadap masalah/gangguan/insiden baikteknis maupun non teknis yang terjadi dalampengembangan, operasional maupunpemeliharaan TIK.5A.7.2.2,A.10.8.1Pelabelan, Pengamanan,Pertukaran & DisposalInformasiAturan pelabelan, penyimpanan, distribusi,pertukaran, pemusnahan informasi/daya“rahasia” baik softcopy maupun hardcopy,baik milik instansi maupun informasipelanggan/mitra yang dipercayakan kepadainstansi/lembaga.6A.10.7.1 &A.10.7.2Pengelolaan RemovableMedia&Disposal MediaAturan penggunaan, penyimpanan,pemindahan, pengamanan media simpan@Kominfo, 2011,Klasifikasi: Umum
17informasi (tape/hard disk/flashdisk/CD) danpenghapusan informasi ataupunpenghancuran media.789101112Pemantauan (Monitoring)Penggunaan Fasilitas TIKBerisi proses pemantauan penggunaan CPU,storage, email, internet, fasilitas TIKlainnya dan pelaporan serta tindak lanjuthasil pemantauan.User Access ManagementBerisi proses dan tatacara pendaftaran,penghapusan dan peninjauan hak akses user,termasuk administrator, terhadap sumberdaya informasi (aplikasi, sistem operasi,database, internet, email dan internet).A.11.7.2TeleworkingPengendalian dan pengamanan penggunaanhak akses secara remote (misal melaluimodem atau jaringan). Siapa yang berhakmenggunakan dan cara mengontrol agarpenggunaannya aman.A.12.4.1&A.15.1.2Pengendalian InstalasiSoftware& Hak KekayaanIntelektualBerisi daftar software standar yang diijinkandi Instansi, permintaan pemasangan danpelaksana pemasangan termasukpenghapusan software yang tidak diizinkan.A.12.5.1Pengelolaan Perubahan(Change Management)TIKProses permintaan dan persetujuanperubahan aplikasi/infrastruktur TIK, sertapengkinian konfigurasi/basis data/versi dariaset TIK yang mengalami perubahan.Pengelolaan & PelaporanInsiden KeamananInformasiProses pelaporan & penanganangangguan/insiden baik menyangkutketersediaan layanan atau gangguan karenapenyusupan dan pengubahan informasisecara tidak berwenang. Termasuk analisispenyebab dan eskalasi jika diperlukan tindaklanjut ke aspek legal.A.10.10.2A.11.2.1A.13.2.1Beberapa contoh dokumen kebijakan dan prosedur dicantumkan di Lampiran B.6 Tahapan Penerapan SMKI6.1 Persetujuan PimpinanSetiap proyek memerlukan investasi baik untuk penyediaan sumber dayamaupun untuk pelatihan yang diperlukan. Pimpinan harus memberikanpersetujuannya terhadap rencana investasi tersebut.Sebelum rencana penerapan SMKI, pimpinan harus mendapatkan penjelasanyang memadai tentang seluk beluk, nilai penting dan untung rugi menerapkanSMKI serta konsekuensi ataupun komitmen yang dibutuhkan dari pimpinansebagai tindak lanjut persetujuan terhadap proyek SMKI. Persetujuan pimpinanharus diikuti dengan arahan dan dukungan selama berlangsungnya proyektersebut. Oleh karena itu, perkembangan proyek SMKI harus dikomunikasikansecara berkala kepada pimpinan pasca persetujuannya agar setiap masalah yang@Kominfo, 2011,Klasifikasi: Umum
18memerlukan pengambilan keputusan pimpinan dapat diselesaikan secara cepatdan tepat.6.2 Menetapkan Organisasi, Peran dan TanggungjawabSalah satu bentuk komitmen pimpinan pasca persetujuan terhadap rencanapenerapan SMKI adalah dengan menetapkan organisasi atau timpenanggungjawab keamanan informasi. Organisasi atau tim ini harus ditetapkansecara formal dan diketuai oleh koordinator atau ketua tim. Jumlah anggota timdisesuaikan dengan ruang lingkup organisasinya. Tugas utama tim ini adalahmenyiapkan, menjamindan/atau melakukan seluruh kegiatan dalam tahapanpenerapan SMKI (yang diuraikan dalam Bab ini) agar dapat terlaksana denganbaik sesuai rencana. Organisasi penanggung jawab keamanan informasi inidapat ditetapkan sebagai struktur organisasi yang bersifat permanen atausebagai “tim adhoc” (tim proyek) sesuai kebutuhan.Tanggungjawab ketua dan anggota tim serta unit kerja terkait dalam halkeamanan informasi harus diuraikan secara jelas. Ketua ti
menerapkan tata kelola keamanan informasi 2.4 Memahami roadmap penerapan tata kelola keamanan informasi 3 Ruang Lingkup Penerapan 3.1 Area Penggunaan Panduan ini direkomendasikan untuk diterapkan di lingkungan penyelenggaran pelayanan publik yang meliputi: 3.1.1 Instansi pemerintah pusat dan daerah 3.1.2 BUMN 3.1.3 BUMD
persyaratan sebagai penyelenggara negara sebagaimana ditentukan dalam peraturan perundang-undangan, sedangkan untuk mewujudkan penyelenggara negara yang beretika, diperlukan pengaturan mengenai etika dalam peraturan perundang-undangan.Pengaturan tersebut harus bersifat umum sehingga berlaku bagi setiap penyelenggara negara.
Tujuan Panduan Umum Tata Kelola TIK Nasional adalah memberikan batasan dan panduan bagi institusi pemerintahan dan entitas pengambil keputusan di dalamnya dalam pengelolaan sumber daya TIK. Panduan Umum Tata Kelola TIK yang dikembangkan ini juga akan menjadi rujukan bagi pihak-pihak di luar institusi pemerintahan berikut, untuk memberikan pendapat,
PENERAPAN PEDOMAN TATA KELOLA PERUSAHAAN YANG BAIK Astra Life berkomitmen penuh untuk melaksanakan tata kelola perusahaan yang baik bagi perusahaan perasuransian dalam seluruh aspek pengelolaan Perusahaan. Komitmen tersebut diwujudkan pada pelaksanaan Tata Kelola Perusahaan Yang Baik (Good Corporate Governance/GCG) sesuai dengan Peraturan OJK Nomor 73/POJK.05/2016 tentang Tata Kelola .
PERATURAN DEWAN KEHORMATAN PENYELENGGARA PEMILIHAN UMUM REPUBLIK INDONESIA NOMOR 3 TAHUN 2017 TENTANG PEDOMAN BERACARA KODE ETIK PENYELENGGARA PEMILIHAN UMUM DENGAN RAHMAT TUHAN YANG MAHA ESA KETUA DEWAN KEHORMATAN PENYELENGGARA PEMILIHAN UMUM REPUBLIK INDONESIA, Menimbang : bahwa untuk melaksanakan ketentuan Pasal 38 ayat (4), Pasal 137 ayat (1) dan Pasal 160 Undang-Undang Nomor 7 Tahun 2017 .
Kode etik lembaga penyelenggara negara tidak mengatur institusi penyelenggara negara melainkan mengatur sikap, perilaku, tindakan dan ucapan penyelenggara negara. Adapun konsep yang dapat dijadikan bahan pertimbangan untuk menentukan batasan definisi kode etik sebagai berikut: 1. Kode etik merupakan aturan, norma, asas;
Tata Communications Tata Consultancy Services Tata Elxsi Tata Global Beverages Tata Interactive Systems Tata Sons North America Tata Technologies SOUTH AMERICA Rallis . Unique Portfolio of Authentic Living Palaces Rambagh Palace, Jaipur Taj Falaknuma Palace, Hyderabad Taj Lake Palace
Tata Consultancy Services Tata Motors Tata Steel Titan Tata Power Tata Communications Tata Chemicals Tata Global Beverages Indian Hotels Voltas Trent Rallis Notes: 1 As of June 30, 2016: Source NSE 2 Conversion rate of 1US INR 67 Promoter Shareholding (%)1 73.4 33.0 31.4 53.1 33.0 75.0 31.0 35.7 3
o Additif alimentaire. 41 Intrants alimentaires: o Matière première : matière unique ou principale soumise à la transformation Unique : blé en minoterie, betterave ou canne en sucrerie Principale en volume : lait pour le yaourt, eau pour les boissons gazeuses Principale en valeur : sucre pour les boissons gazeuses 1. Chapitre introductif 1.4- Intrants et produits des IAA. 42 o Ingrédient .
