I. Pendahuluan
Keamanan informasi merupakan salah satu hal penting saat ini, terutama terhadap
organisasi yang menggunakan teknologi informasi (TI) sebagai pendukung proses bisnisnya
dan Pusat Data dan Teknologi Informasi (Pusdatin) Kementerian Pekerjaan Umum dan
Perumahan Rakyat (Kemen. PUPR) merupakan organisasi pemerintahan yang menggunakan
TI untuk mendukung proses bisnisnya. Penggunaan TI di Pusdatin Kemen. PUPR bertujuan
untuk meningkatkan kualitas pelayanan yang diberikan kepada pihak internal Kemen. PUPR
maupun pihak eksternal Kemen. PUPR. Terkait pentingnya penyelenggaraan TI di Pusdatin
tertuang dalam Peraturan Menteri Pekerjaan Umum dan Perumahan Rakyat nomor
17/PRT/M/2016 tentang Penyelenggaraan Teknologi Informasi dan Komunikasi di
Kementerian Pekerjaan Umum dan Perumahan Rakyat.
Salah satu bentuk dukungan keamanan informasi adalah dengan adanya tata kelola TI
dengan memasukkan unsur keamanan informasi agar risiko dan ancaman keamanan dapat
dipetakan guna mengurangi atau menghindari risiko. Keamanan informasi merupakan aspek
penting dari tata kelola organisasi, kinerja TI akan terganggu jika keamanan informasi
mengalami masalah terkait kerahasiaannya, keutuhannya, dan ketersediaannya. Keamanan
informasi secara tidak langsung akan mempengaruhi kegiatan operasional yang dilakukan
Pusdatin Kemen. PUPR. Oleh karena itu pentingnya organisasi dapat melindungi dan
memelihara kerahasiaan, integritas, dan ketersediaan informasi dan untuk mengelola serta
mengendalikan risiko keamanan informasi pada organisasi.
Salah satu tugas pokok Pusdatin Kemen. PUPR sesuai Kepmen. PUPR No. 15 tahun 2015
adalah pengendalian mutu sistem dan teknologi informasi. Dalam pengendalian mutu sistem
dan teknologi informasi, keamanan informasi merupakan salah satu unsur yang dievaluasi
dalam rangka pelaksanaan pengendalian mutu sistem. Pusdatin Kemen. PUPR telah membuat
kebijakan terkait Tata Kelola TIK yang kemudian disahkan melalui Permen PUPR Nomor 35
tahun 2016 tentang Cetak Biru TIK Kementerian PUPR, namun dalam Permen PUPR tersebut
belum seluruhnya mengikuti standar internasional klausul-klausul ISO 27001:2013.
Permasalahan tersebut mendorong Pusdatin Kemen. PUPR melaksanakan Sertifikasi
Sistem Manajemen Keamanan Informasi (SMKI) yang berfokus Layanan Portal web,
Layanan Sistem Pengadaan Secara Elektronik (SPSE), dan Layanan Data Center yang
mendukung portal web dan SPSE dengan mengacu pada kerangka kerja ISO 27001:2013.
Sasaran pelaksanaan Sistem Manajemen Keamanan Informasi (SMKI) ini adalah
terpenuhinya persyaratan-persyaratan Sistem Manajemen Keamanan Informasi yang ideal
sesuai Standar SMKI dalam ISO 27001:2013, sehingga dapat meningkatkan kualitas
keamanan informasi Pusdatin Kemen. PUPR.
Tujuan dari pelaksanaan Sertifikasi Sistem Manajemen Keamanan Informasi ini adalah
agar Pusat Data dan Teknologi Informasi Sekretariat Jenderal Kementerian Pekerjaan Umum
dan Perumahan Rakyat memiliki mekanisme penyelenggaraan yang baku dalam
penyelenggaraan sistem elektronik untuk pelayanan publik secara handal dan aman serta dapat
dipertanggungjawabkan.
1
II. Tinjauan Pustaka
Keamanan informasi merupakan upaya untuk melindungi aset informasi yang dimiliki.
Upaya perlindungan tersebut dimaksudkan untuk memastikan keberlanjutan bisnis,
meminimalkan risiko yang mungkin terjadi, dan memaksimalkan keuntungan yang didapat
dari investasi dan kesempatan bisnis.
Keamanan bisa dicapai dengan beberapa cara atau strategi yang biasa dilakukan secara
stimultan atau dilakukan dalam kombinasi satu dengan yang lainnya. Strategi dari keamanan
informasi masing-masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan [1].
Contoh keamanan informasi antara lain :
Physical Security, strategi yang memfokuskan untuk mengamankan anggota organisasi,
aset fisik, akses tanpa otorisasi dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran
Personal Security, strategi yang lebih memfokuskan untuk melindungi orang-orang dalam
organisasi
Operation Security, strategi untuk mengamankan kemampuan organisasi atau perusahaan
untuk bekerja tanpa gangguan ancaman.
Communications Security, strategi yang bertujuan untuk mengamankan media informasi
dan teknologi informasi.
Network Security, strategi yang memfokuskan pengamanan peralatan jaringan pada data
organisasi.
Aspek-aspek keamanan informasi dalam suatu organisasi dapat dilihat pada gambar 1 [1]:
Kerahasiaan: memastikan bahwa informasi dapat diakses hanya oleh pemakai yang
berwenang
Integritas: mengamankan keakuratan dan kelengkapan informasi dan cara memproses
informasi tersebut
Ketersediaan: memastikan bahwa pemakai yang berwenang mempunyai akses terhadap
informasi dan aset yang berhubungan bilamana diperlukan.
Identifikasi risiko dilakukan untuk mengidentifikasi seberapa besar dan risiko apa yang
akan diterima oleh organisasi jika informasi organisasi mendapat ancaman atau gangguan
keamanan yang menyebabkan gagalnya penjagaan aspek keamanan informasi [1].
Untuk mengidentifikasi risiko dilakukan langkah-langkah sebagai berikut:
Mengidentifikasi aset yang dimiliki oleh organisasi sesuai dengan ruang lingkup SMKI
serta menentukan juga pemilik asetnya
Menghitung nilai aset berdasarkan aspek keamanan informasi
Mengidentifikasi ancaman dan kelemahan terhadap asset
Melakukan analisis dampak bisnis jika terjadi kegagalan penjagaan aspek keamanan
informasi.
2
Tahap selanjutnya setelah organisasi melakukan identifikasi risiko, sehingga memahami
risiko yang akan dihadapi dan dampaknya terhadap organisasi adalah melakukan analisis dan
evaluasi risiko. Tahap ini bertujuan untuk menganalisis dan mengevaluasi risiko yang sudah
diidentifikasi pada tahap sebelumnya, untuk memahami bagaimana dampak- dampak risiko
terhadap bisnis organisasi, bagaimana level risiko yang mungkin timbul dan menentukan
apakah risiko yang terjadi langsung diterima atau masih perlu dilakukan pengelolaan agar
risiko dapat diterima dengan dampak yang bisa ditoleransi [1].
Tahap-tahap nya adalah sebagai berikut :
Melakukan analisis dampak bisnis
Mengestimasi level risiko
Menentukan apakah risiko yang timbul diterima atau masih perlu pengelolaan risiko
dengan menggunakan kriteria penerimaan risiko terlebih dahulu.
Untuk mengatasi hal itu maka diperlukan penerapan sistem manajemen keamanan
informasi yang diakui secara internasional yakni standar internasional kemananan informasi
ISO 27001. ISO 27001 merupakan standar internasional keamanan informasi yang memuat
persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsep-konsep
keamanan informasi yang berlaku secara internasional pada sebuah organisasi [2]. Standar
ISO 27001 menyatakan persyaratan utama yang harus dipenuhi menyangkut:
• Konteks Organisasi
• Kepemimpinan
• Perencanaan
• Support
• Operasional
• Evaluasi Kinerja
• Improvement
Manfaat ISO 27001 Keamanan Informasi Manfaat Tata Kelola Keamanan Informasi ISO
27001 agar organsiasi atau instansi/lembaga:
1) Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan konsisten
dengan pendekatan berbasis risiko.
2) Mampu melakukan penilaian mandiri (selfassessment) secara berkala melalui mekanisme
audit internal.
3) Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk menerapkan tata
kelola keamanan informasi.
4) Membantu memberikan pemahaman pentingnya keamanan informasi pada karyawan,
stakeholder dan masyarakat umum.
Struktur organisasi ISO 27001 dibagi dalam 2 (dua) bagian besar yaitu :
1. Klausul : Mandatory process
Klausul adalah persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI dengan
menggunakan standar ISO 27001 yaitu :
a. Klausul 4 Konteks Organisasi
b. Klausul 5 Kepemimpinan
c. Klausul 6 Perencanaan
d. Klausul 7 Pendukung
e. Klausul 8 Operasi
f. Klausul 9 Evaluasi Kinerja
g. Klausul 10 Peningkatan
3
2. Annex A : Security Control
Annex A adalah dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk
menentukan kontrol keamanan (security control) apa yang perlu diimplementasikan dalam
SMKI, yang terdiri dari 14 klausul kontrol keamanan,
1. A.5: Kebijakan Keamanan Informasi
2. A.6: Keamanan Informasi Organisasi
3. A.7: Keamanan sumber daya manusia
4. A.8: Pengelolaan Aset: Mengelola Aset Organisasi
5. A.9: Akses Kontrol: Mengelola dan Pengendalian Akses Informasi Organisasi
6. A.10: Cryptographic: Pengendalian Menggunakan Kriptografi dalam Organisasi
7. A.11: Keamanan Fisik dan lingkungan
8. A.12: Operasi Keamanan
9. A.13: Komunikasi Keamanan
10. A.14: akuisisi sistem, pengembangan, dan pemeliharaan
11. A.15: Supplier Relationship
12. A.16: Manajemen Insiden Keamanan Informasi: Mengelola informasi insiden
keamanan
13. A.17: Aspek Keamanan Information of Business Continuity Management
14. A.18: Kepatuhan: Mengelola kepatuhan organisasi dengan persyaratan hukum dan
kontrak
III. Metodologi
Metologi pelaksanaan Sistem Manajemen Keamanan Informasi di Pusdatin Kemen.
PUPR, secara garis besar terdiri dari 6 (enam) tahapan pelaksanaan yaitu :
1. Preparation dan Kickoff
2. Pendampingan
3. Analisis dan Desain
4. Implementasi
5. Audit Internal dan Review
6. Audit Eksternal dan Sertifikasi
Penjelasan lebih lanjut terhadap tahapan metodologi yang digunakan terdapat di bagian
empat (pembahasan).
IV. Pembahasan
IV.1 Preparation dan Kickoff
a. Pelatihan ISO 27001:2013
Pelatihan ini bertujuan untuk memberikan overview tentang lingkup klausul dan
kontrol SMKI dan metodologi implementasi SMKI berbasis ISO 27001:2013, target
peserta ada seluruh pegawai di Pusdatin Kemen. PUPR.
b. Gap Analysis
Sebelum melakukan sertifikasi, Pusdatin melakukan analisis kesenjangan efektifitas
desain dan operasional Klausul 4 – 10 dan Annex A ISO 27001:2013 berdasarkan
assessment.
c. Penetapan Lingkup Sertifikasi
Pusdatin saat ini telah memiliki 24 layanan, namun tidak semuanya dimasukkan
dalam lingkup sertifikasi SMKI, sertifikasi diprioritaskan kepada layanan yang
strategis dan memiliki dampak serta risiko yang besar jika layanan tersebut
terganggu, yaitu Layanan Portal Web, Layanan SPSE, dan Layanan Data Center.
4
d. Penyusunan Konsep Organisasi
Penyusunan konsep organisasi dibutuhkan sebagai entitas yang akan
mengimplementasikan SMKI. Untuk keperluan sertifikasi, khususnya jika tidak
memungkinkan untuk melibatkan (Satuan Pengawas Internal) SPI sebagai contoh,
maka memungkinkan untuk dibentuk tim yang akan berfungsi sebagai internal audit.
Pembentukan tim kemudian ditetapkan oleh Kepala Pusat Data dan Teknologi
Informasi sebagai perwakilan manajemen Pusdatin yang berwenang, sesuai dengan
lingkup sertifikasi yang akan dijalankan.
e. Penyusunan Information Security Manajemen System ( ISMS )Policy
ISMS Policy minimal memuat tujuan dan sasaran SMKI, persyaratan keamanan
informasi, proses & kriteria risk management, tanggung jawab SMKI.
f. Persetujuan Manajemen Atas Ruang Lingkup, Organisasi dan Kebijakan SMKI
Pengajuan ruang lingkup, organisasi dan kebijakan SMKI Review dan persetujuan
Manajemen.
g. Kickoff Implementasi dan Sertifikasi
Merupakan rapat awal untuk menyamakan presepsi terkait kebijakan keamanan
informasi maupun lingkup area (batasan) yang akan disertifikasi.
IV.2 Pendampingan
a. Training Personil Pelaksana Implementasi dan Sertifikasi
Tujuan training ini adalah meningkatkan knowledge dan skill dalam implementasi
dan sertifikasi ISO 27001:2013.
b. Coaching
Tujuan coaching ini adalah membantu implementasi ISO 27001:2013 oleh pelaksana
implementasi.
c. Pelatihan internal audit
Tujuan training ini adalah menyiapkan tim yang akan bertindak sebagai audit
internal.
5
f. Desain SMKI
Desain struktur organisasi dan job description sebagai bagian dari kendali
keamanan informasi;
Desain kebijakan khusus, standar dan prosedur sebagai bagian dari kendali
keamanan informasi;
Desain aplikasi, infrastruktur sebagai bagian dari kendali keamanan informasi;
Desain fisikal sebagai bagian dari kendali keamanan informasi;
Desain kendali spesifik sebagai bagian dari kendali keamanan informasi.
g. Penyusunan Project Plan
Identifikasi Project untuk implementasi SMKI berdasarkan desain yang sudah
disusun.
Menyusun Project Plan termasuk strategi sourcing, jadwal, pelaksana Project
implementasi SMKI. Project Plan
IV.4 Implementasi
a. Implementasi organisasi keamanan informasi
Memenuhi kebutuhan SDM pada organisasi yang sudah didesain dan menjalankan
job desricption yang sudah ditetapkan.
b. Implementasi kebijakan, standar dan prosedur keamanan informasi
Menjalankan semua kebijakan, standard an prosedur dan mendokumentasikan bukti
bahwa kebijakan dan control telah di implementasikan.
c. Implementasi Project Plan
Menjalankan Project sesuai dengan Project Plan yang telah ditetapkan dan
mendokumentasikan pelaksanaan Project.
d. Training dan Sosialisasi
Training terkait implementasi desain SMKI agar implementasi efektif dan efisien.
Training sesuai kebutuhan pada desain SMKI.
6
IV.6 Audit Eksternal dan Sertifikasi
Setelah semua tindakan perbaikan atau penyempurnaan dilakukan dan manajemen
sudah memastikan kesiapan sertifikasi maka proses sertifikasi dilaksanakan oleh pihak
ketiga yang independen yaitu IKRCS (Indah Karya Registered Certification Services)
pada tanggal 21 s.d. 26 September 2018 di Pusdatin Kementerian PUPR, hasil audit
eksternal dituangkan dalam laporan hasil audit dimana terdapat 38 temuan minor dan 1
observasi. Dari hasil temuan tersebut Pusdatin melakukan perbaikan atau
penyempurnaan ataupun membuat corrective action plan jika ada temuan yang harus
segera ditindaklanjuti. Setelah semua tindakan perbaikan atau penyempurnaan dan
corrective action plan telah dilakukan oleh Pusdatin dan pihak ketiga sebagai auditor
eksternal memastikan semuanya telah dilakukan maka pihak ketiga menyatakan bahwa
Pusdatin berhak mendapat pengakuan implementasi dan pemeliharaan Sistem
Manajemen Keamanan Informasi.
7