Kebijakan Pengamanan SI
Kebijakan Pengamanan SI
iv
PERNYATAAN KERAHASIAAN
Kebijakan ini disusun untuk menjadi acuan dalam pengamanan
digunakan oleh pihak lain, selain oleh pihak internal BPKP. Kebijakan
ditujukan kepada:
v
DAFTAR ISI
BAB I PENDAHULUAN................................................................................1
A. Latar Belakang ...............................................................................................1
B. Ruang Lingkup...............................................................................................2
C. Sistematika.....................................................................................................3
vii
3. Tanggung-Jawab Keamanan................................................................... 20
4. Pengelolaan Sumber Daya Manusia ....................................................... 22
5. Pegawai yang Keluar dari BPKP ............................................................. 22
6. Hal Lainnya .............................................................................................. 23
B. Penyadaran dan Pelatihan ..........................................................................23
1. Penyadaran.............................................................................................. 23
2. Pelatihan .................................................................................................. 24
viii
BAB I
PENDAHULUAN
A. Latar Belakang
disajikan oleh BPKP akan semakin andal, akurat, dan tepat waktu.
informasi ini juga memiliki resiko yang cukup tinggi. Risiko tersebut,
1
Selain itu, kebijakan ini perlu disusun mengingat Menteri
B. Ruang Lingkup
C. Sistematika
1. Pendahuluan
peralatan lainnya
b. Pengamanan lokasi
dikembangkan sendiri.
3
d. Pengendalian keamanan e-government
a. Perencanaan keberlangsungan
8. Daftar istilah
4
BAB II
PENGAMANAN PERANGKAT KERAS
DAN LOKASI
dilakukan.
putus/padam.
6
2) Hanya pegawai administrasi sistem yang ditugaskan dan pejabat
BPKP.
5. Penyimpanan
6. Pendokumentasian
terkait.
secara up-to-date.
8
7. Hal Lainnya
sudah diminimalkan.
perangkat keras.
terhadap kerusakan.
perangkat tersebut.
9
B. Pengamanan Lokasi
1. Keamanan Lokasi
2. Penyimpanan Data
3. Hal Lainnya
11
BAB III
PENGAMANAN PERANGKAT LUNAK
A. Pengadaan dan Pemeliharaan Perangkat Lunak Komersial
1. Pengadaan
specification)
2. Pemeliharaan
hanya dapat diterapkan bila telah diuji dan disetujui oleh pejabat
digunakan.
yang ditugaskan.
13
masalah perangkat lunak yang ada telah ditangani secara efisien
kegiatan resmi.
lunak.
3. Hal Lainnya
tersebut disetujui untuk tidak digunakan lagi dan bila file data
1. Pengendalian Kode
14
2) Hanya pegawai administrasi sistem yang ditugaskan yang dapat
sepanjang waktu.
2. Pengembangan
yang andal.
15
3) Perubahan mendadak terhadap perangkat lunak tidak
Pengawasan.
sebelum dipakai.
2) Penggunaan data real (real data) untuk menguji sistem baru atau
5. Hal Lainnya
18
BAB IV
PENGAMANAN SUMBER DAYA
MANUSIA
A. Penanganan Risiko Sumber Daya Manusia
1. Dokumentasi Kepegawaian
informasi ini.
adalah dilarang.
19
6) Semua pegawai BPKP diwajibkan untuk menjalankan upaya
dengan BPKP
2. Data Pegawai
3. Tanggung-Jawab Keamanan
20
2) Semua pegawai harus memperlakukan password sebagai data
atas nama BPKP dan perangkat ini harus dipesan sesuai dengan
ketentuan pengadaan.
berwenang.
21
11) Pegawai BPKP tidak diperbolehkan menggunakan perangkat
bisnis pribadi.
tidak dapat diterima BPKP, dan jika terdapat risiko tersebut, hak
dicabut secepatnya.
22
6. Hal Lainnya
berwenang.
1. Penyadaran
23
2. Pelatihan
24
BAB V
PENGAMANAN DATA DAN
INFORMASI
A. Pengendalian Akses Sistem Informasi
pemilik sistem dan setiap akses (termasuk hak akses yang tidak
tidak berhak.
26
13) Prosedur pengendalian akses jarak jauh (remote access) harus
14) Semua komputer, baik PC maupun laptop, bila tidak dipakai atau
beroperasi.
15) Login yang telah disetujui harus selalu diawasi dan pengguna
informasinya.
27
5) Semua informasi, data, dan dokumen harus diklasifikasikan
kekritisannya
ditunjuk.
tidak tersedia.
layak.
penjawab otomatis.
1. Jaringan Komputer
28
tingkat pengendalian akses yang tinggi dan juga menyediakan
3) Akses jarak jauh terhadap jaringan dan sumber daya BPKP hanya
2. Administrasi Sistem
sistem informasi.
dikelola.
informasi tersebut.
efektif.
dilaksanakan.
10) Log audit sistem harus ditelaah secara berkala oleh pegawai
30
11) Jam sistem harus disesuaikan secara berkala, terutama di antara
13) Laporan transaksi dan proses harus ditelaah secara berkala oleh
dan file dari internet untuk melindungi terhadap kode yang dapat
pantas.
(digital signatures).
31
3) Surat elektronik (email) hanya dipergunakan untuk keperluan
yang akan dikirim dan pengecekan virus atau kode yang dapat
secara memadai.
pihak di luar BPKP, web site BPKP hanya dikelola dan dipelihara
yang berwenang.
hendak ditujukan.
18) Web site adalah sumber informasi dan media sosialisasi yang
utama.
di internet.
berkala.
34
22) File komputer yang diterima dari pengirim yang tidak dikenal
dan dapat dilayani jika pihak tersebut memiliki hak untuk itu.
35
5. Pengelolaan Data
enkripsi.
sepanjang waktu.
36
7) Struktur direktori dan folder yang telah ada hanya dapat diubah
dalamnya
11) Database harus sudah teruji baik secara logik maupun fisik,
12) Dokumen yang sangat sensitif atau kritis tidak boleh tergantung
13) Laporan dan dokumen kunci harus dapat berdiri sendiri dan
laporan yang telah ditentukan dan versi draf dari laporan harus
dijaga agar hanya tersedia satu versi file untuk akses operasional.
16) Hanya pegawai yang berhak yang dapat mengakses data sensitif
17) Penamaan file data di BPKP harus mempunyai makna dan dapat
dokumen.
19) File sementara yang terdapat dalam komputer pribadi dan laptop
38
21) Pegawai yang memakai server terpusat di dalam kantor BPKP
secara memadai
peraturan terkait.
39
6) Pejabat yang berwenang harus dapat memastikan bahwa telah
7. Pengelolaan Dokumen
sebagai rahasia.
klasifikasinya.
40
6) Semua informasi yang dikirim oleh unit kerja BPKP kepada pihak
pemusnahan tersebut.
tersebut.
41
8. Pengamanan Data
berhak.
42
diperlukan harus merefleksikan risiko kebakaran dan nilai serta
9. Hal Lainnya
(dual input).
klasifikasi rahasia.
46
BAB VI
PENGAMANAN TINDAKAN HUKUM
A. Pencegahan Kejahatan Komputer
(cyber crimes).
secepat mungkin.
tersebut.
47
standar klasifikasi data harus ditelaah secara periodik oleh
Pusinfowas.
kelayakannya.
memadai.
risikonya terhadap sistem dan file data BPKP. Oleh karena itu,
secara berkala
48
11) Perangkat lunak anti virus yang dipasang di BPKP harus dipilih
1. Kepatuhan
informasi.
aktivitas BPKP.
dari hak paten, hak cipta yang berkaitan dengan database, dan
bersangkutan.
49
2. Penghindaran Tuntutan Hukum
boleh digunakan tanpa otorisasi dari pemilik hak cipta atau tanpa
atau digunakan oleh pegawai BPKP tanpa ijin dari pemilik hak
cipta.
3. Hal Lainnya
berwenang.
50
untuk memastikan bahwa sistem informasi BPKP telah
51
BAB VII
PENANGANAN TINDAKAN
KEAMANAN
A. Perencanaan Keberlangsungan
dan kritis.
menjalankannya.
tersebut.
52
B. Pelaporan dan Penanganan Pelanggaran
1. Pelaporan Pelanggaran
pelanggaran.
53
2. Penanganan Pelanggaran
yang berwenang.
3. Tindakan Korektif
4. Hal Lainnya
54
mengkombinasikan hasil dan catatannya untuk memperkuat
data.
informasi.
berwenang.
55
BAB VIII
DAFTAR ISTILAH
Penuangan daftar definisi/istilah di bagian berikut ini
berikut:
keras.
pengamanan khusus.
56
dan hanya boleh diketahui oleh pejabat yang berwenang atau
yang ditunjuk.
pembacanya.
10) File adalah kumpulan dari data dan informasi yang memiliki
file. Terdapat beberapa macam file, yaitu file data, file teks, file
TCP/IP.
58
14) Lingkungan Pengujian (Staging Area) adalah suatu tempat
17) Password adalah suatu kode atau simbol khusus yang ada dalam
59
administrasi sistem jaringan, administrasi sistem surat elektronik,
dan lain-lain.
BPKP.
baik berupa disk atau tape, untuk berjaga-jaga jika media pertama
60
penggunaan teknologi informasi adalah melakukan
sebagainya.
61
komputer atau aplikasi tertentu dan dapat mengontrol
penggunaannya.
sebelumnya.
lainnya.
34) Sistem Operasi adalah perangkat lunak yang harus ada dan
63
sistem komputer. Setiap sistem operasi memiliki kemampuan
BPKP.
64
Susunan Tim Penyusun Kebijakan Pengamanan
Sistem Informasi di Lingkungan BPKP
Penanggung-Jawab:
Mochammad Ichwan
Kepala Pusat Informasi Pengawasan
Sekretariat:
Doso Sukendro
Aries Sulastowo
Pramestiti
Mujahidin
Netta Catharina
Penyusun Konsep:
Arief Hidayat (Penyelia)
Yoyok Suyoko (Ketua Tim)
Nugroho Edipatrianto (Anggota Tim)
Penyunting:
Teguh Waluyo
Fery Nurtjahjo
David Bobby
Bambang Purwoko
Sri Winarti
Apriliana Sinuraya
Nara Sumber:
Haryono Umar (Kabid Pengembangan Sistem Informasi)
Rudy M. Harahap (Kasubid Pengembangan Teknologi Informasi)
Daryanto (Kasubid Pengembangan Sistem Aplikasi)
Ishak A. Wahyudi (Kasubid Dukungan Pengguna)
Jarot Budi Martono (Kasubag Tata Usaha)
Pembahas:
Sekretariat Utama
Deputi Bidang Perekonomian
Deputi Bidang Polsoskam
Deputi Bidang Penyelenggaraan
Keuangan Daerah
Deputi Akuntan Negara
Deputi Bidang Investigasi
Pusdiklatwas
Puslitbangwas
65