E-Book Pedoman SMKI Tahun 2021 - Final

PEDOMAN
SISTEM MANAJEMEN
KEAMANAN INFORMASI
BPJS KESEHATAN 2020

LAMPIRAN PERATURAN DIREKSI
BADAN PENYELENGGARA JAMINAN SOSIAL KESEHATAN
NOMOR 29 TAHUN 2021
TENTANG PEDOMAN SISTEM MANAJEMEN KEAMANAN INFORMASI
PEDOMAN
SISTEM MANAJEMEN
KEAMANAN INFORMASI
Direktorat Teknologi Informasi

PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Daftar Isi
Daftar Isi....................................................................................................................... 6
BAB I
PENDAHULUAN ............................................................................................................ 9
1.1 Latar Belakang............................................................................................................... 9
1.2 Maksud Dan Tujuan....................................................................................................... 10
1.3 Sasaran........................................................................................................................... 10
1.4 Ruang Lingkup................................................................................................................ 11
BAB II
KERANGKA KERJA ....................................................................................................... 12
2.1 Sistem Manajemen Keamanan Informasi.................................................................... 12
2.2 Dokumen Referensi........................................................................................................ 14
2.3 Daftar Istilah................................................................................................................... 14
BAB III
IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN INFORMASI.................................. 16
3.1 Organisasi Keamanan Informasi................................................................................... 16
3.1.1 Kewajiban Manajemen.................................................................................... 16
3.1.2 Peran Dan Tanggung Jawab & Pemisahan Tugas........................................ 17
3.1.3 Hubungan Dengan Pihak Berwenang............................................................. 17
3.1.4 Hubungan Dengan Special Interest Group..................................................... 18
3.1.5 Mobile Computing dan Teleworking............................................................... 18
3.2 Keamanan Sumber Daya Manusia................................................................................ 19
3.2.1 Sebelum Bekerja.............................................................................................. 19
3.2.2 Selama Bekerja................................................................................................ 19
3.2.3 Penghentian dan Mutasi Kepegawaian......................................................... 20
3.3 Pengelolaan Aset........................................................................................................... 21
3.3.1 Tanggung Jawab Pengelolaan Aset............................................................... 21
3.3.2 Klasifikasi Aset................................................................................................ 22
3.3.3 Penanganan Media.......................................................................................... 23
6
3.4 Kendali Akses................................................................................................................. 24

3.4.1 Pengendalian Hak Akses................................................................................ 24
3.4.2 Pendaftaran User dan Pemberian Hak Akses............................................... 24
3.4.3 Pengelolaan Akses Khusus............................................................................ 25
3.4.4 Peninjauan Ulang Hak Akses User................................................................. 26
3.4.5 Pengelolaan Password.................................................................................... 26
3.4.6 Pengendalian Akses Sistem Operasi dan Aplikasi........................................ 27
3.4.7 Pengendalian Akses Ke Program Source Code............................................. 29
3.5 Kriptografi....................................................................................................................... 29
3.5.1 Kendali Kriptografi........................................................................................... 29
3.6 Keamanan Fisik & Lingkungan ..................................................................................... 30
3.6.1 Secure Area...................................................................................................... 30
3.6.2 Pengamanan Peralatan................................................................................... 32
3.6.3 Sarana Pendukung.......................................................................................... 33
3.6.4 Pemeliharaan Peralatan.................................................................................. 33
3.6.5 Pemusnahan dan Penggunaan Kembali Perangkat Informasi..................... 33
3.6.6 Perpindahan Informasi.................................................................................... 34
3.6.7 Meja Bersih dan Layar Bersih......................................................................... 35
3.7 Manajemen Operasional................................................................................................ 35
3.7.1 Prosedur Operasional...................................................................................... 35
3.7.2 Manajemen Perubahan .................................................................................. 35
3.7.3 Pemisahan Aktivitas Pengembangan, Pengujian dan Operasional............. 36
3.7.4 Pengelolaan Layanan Pihak Eksternal........................................................... 36
3.7.5 Perencanaan dan Pemantauan Kapasitas..................................................... 37
3.7.6 Perlindungan Malware dan Pengelolaan Patch............................................. 38
3.7.7 Backup.............................................................................................................. 39
3.7.8 Pencatatan (logging) dan Pemantauan......................................................... 40
3.7.9 Kendali Perangkat Lunak Operasional .......................................................... 41
3.7.10 Pengelolaan Kerentanan Teknis..................................................................... 41
3.8 Keamanan Komunikasi.................................................................................................. 42
3.8.1 Manajemen Keamanan Jaringan dan Layanan Jaringan ............................ 42
3.8.2 Perpindahan Informasi.................................................................................... 43
3.8.3 Perjanjian Perpindahan Informasi.................................................................. 43
3.8.4 Pesan Elektronik.............................................................................................. 44
7
3.9 Pengembangan dan Pemeliharaan Sistem Aplikasi.................................................... 45

3.9.1 Persyaratan Keamanan Sistem Informasi..................................................... 45
3.9.2 Perencanaan Keamanan Informasi Dalam Proses Pengembangan............ 45
3.9.3 Keamanan Proses Pengembangan................................................................ 46
3.9.4 Data Uji............................................................................................................. 46
3.10 Pengelolaan Pihak Eksternal......................................................................................... 47
3.10.1 Keamanan Akses Pihak Eksternal.................................................................. 47
3.10.2 Kontrak............................................................................................................. 47
3.10.3 Evaluasi dan Peninjauan................................................................................. 48
3.10.4 Manajemen Perubahan Pada Layanan TI Oleh Pihak Ketiga....................... 49
3.11 Manajemen Insiden........................................................................................................ 49
3.11.1 Manajemen Insiden Keamanan Informasi..................................................... 49
3.12 Keberlangsungan Bisnis................................................................................................ 50
3.12.1 Keamanan Informasi Pada Business Continuity Management (BCM)......... 50
3.13 Kesesuaian .................................................................................................................... 51
3.13.1 Identifikasi Terhadap Hukum, Undang-undang dan Peraturan..................... 51
3.13.2 Hak Atas Kekayaan Intelektual (HAKI)........................................................... 51
3.13.3 Perlindungan Terhadap Dokumen Perusahaan ............................................ 52
3.13.4 Perlindungan Data dan Informasi Pribadi ..................................................... 53
3.13.5 Kesesuaian Terhadap Kebijakan dan Standar Keamanan Informasi........... 53
3.13.6 Pertimbangan Audit Sistem Informasi........................................................... 54
3.13.7 Perlindungan Terhadap Peranti Lunak Audit/Audit Tools............................. 55
BAB IV
PENUTUP...................................................................................................................... 56
4.1 Penggunaan Pedoman.................................................................................................. 56
4.2 Faktor Pendukung Keberhasilan................................................................................... 56
4.3 Revisi Dan Penyempurnaan........................................................................................... 56
8
BAB I
PENDAHULUAN
1.1 Latar Belakang
Standar Internasional ini telah disiapkan untuk memberikan persyaratan untuk menetapkan,
menerapkan, memelihara dan terus meningkatkan sistem manajemen keamanan informasi.
Adopsi dari sistem manajemen keamanan informasi ini adalah keputusan strategis untuk
suatu organisasi. Pembentukan dan implementasi sistem manajemen keamanan informasi
organisasi dipengaruhi oleh kebutuhan dan sasaran organisasi, persyaratan keamanan,
proses organisasi yang digunakan dan ukuran struktur organisasi. Semua faktor yang
mempengaruhi ini diharapkan akan berubah seiring berjalanannya waktu.
Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas, dan ketersediaan

informasi dengan menerapkan proses manajemen risiko dan memberikan kepercayaan
kepada pihak yang berkepentingan itu risiko dikelola dengan memadai. Sistem Manajemen
Keamanan Informasi adalah bagian dari terintegrasi dengan proses organisasi dan
keseluruhan struktur manajemen keamanan informasi yang dipertimbangkan dalam desain
proses, sistem informasi, dan kontrol. Diharapkan keamanan informasi implementasi sistem
manajemen akan ditingkatkan sesuai dengan kebutuhan organisasi.
Standar Internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menilai
kemampuan organisasi untuk memenuhi persyaratan keamanan informasi organisasi
itu sendiri. Urutan yang persyaratannya disajikan dalam Standar Internasional ini tidak
mencerminkan persyaratan pentingnya atau menyiratkan urutan penerapannya. Item
daftar dihitung untuk tujuan referensi saja. Selain itu ISO/IEC 27000 menjelaskan ikhtisar
dan kosakata manajemen keamanan informasi sistem, referensi dari sistem manajemen
keamanan informasi standar (termasuk ISO/IEC 27003 [2], ISO/IEC 27004 [3] dan ISO/IEC
27005 [4]), dengan istilah dan definisi yang terkait.
9
1.2 Maksud Dan Tujuan
Pedoman Sistem Manajemen Keamanan Informasi menyatakan komitmen dan arahan

Manajemen untuk melaksanakan prinsip-prinsip keamanan informasi. Kebijakan Keamanan
Informasi BPJS Kesehatan disusun dengan tujuan agar manajemen dapat:
a. Memastikan terpeliharanya kerahasiaan, integritas dan ketersediaan informasi BPJS
Kesehatan, serta seluruh sistem sumber daya informasi;
b. Membangun pengamanan untuk melindungi aset informasi milik BPJS Kesehatan dari
ancaman pencurian, penyalahgunaan, atau kerusakan;
c. Memastikan terlaksananya prinsip non repudiation atas pihak-pihak yang terlibat dalam
proses bisnis BPJS Kesehatan;
d. Menetapkan tanggung jawab dan akuntabilitas penggunaan dalam mengakses
informasi milik BPJS Kesehatan;
e. Memastikan terpenuhinya kepatuhan terhadap hukum, undang-undang, dan peraturan
eksternal yang berlaku;
f. Memastikan kemampuan BPJS Kesehatan untuk melanjutkan aktifitasnya dalam hal
terjadi insiden keamanan informasi yang signifikan atau ancaman terhadap sistem
informasi BPJS Kesehatan;
g. Mendorong manajemen dan seluruh pegawai BPJS Kesehatan untuk memiliki tingkat
kesadaran (awareness), pengetahuan dan keterampilan yang memadai agar dapat
memenuhi kewajiban mereka dalam menjaga keamanan aset informasi;
h. Memiliki sumber daya yang memadai untuk melaksanakan program keamanan informasi
yang efektif;
i. Memastikan konsistensi dalam menerapkan keamanan informasi;
1.3 Sasaran
Sasaran yang hendak dicapai dalam penerapan sistem manajemen keamanan informasi
berikut ini merupakan bagian tidak terpisahkan dari Sasaran Kinerja BPJS Kesehatan.
BPJS Kesehatan mengacu pada AMC dan APC korporat.
Misi/Sasaran:
1. Memberikan layanan terbaik kepada peserta dan masyarakat.
2. Memperluas kepesertaan program jaminan kesehatan yang mencakup seluruh penduduk
Indonesia.
3. Bersama menjaga kesinambungan finansial program jaminan kesehatan.
4. APC: Down time dan instrusi
10
Dalam pencapaiannya, BPJS Kesehatan menggunakan acuan kerangka berbasis standar

internasional ISO/IEC 27001:2013 dengan menerapkan kaidah-kaidah berbasis
pembangunan, penerapan dan pemeliharaan perbaikan yang berkelanjutan serta mengacu
pada pedoman yang telah di tetapkan oleh BPJS Kesehatan.
Sasaran keamanan informasi BPJS Kesehatan ditetapkan untuk mendukung dan selaras
dengan sasaran bisnis perusahaan. Sasaran strategis keamanan informasi BPJS Kesehatan
ditetapkan sebagai berikut:
 Melindungi informasi yang dikelola oleh BPJS Kesehatan dari segala jenis ancaman
yang berasal dari internal atau eksternal, dilakukan secara sengaja atau tidak, yang
membahayakan kerahasiaan, keutuhan dan ketersediaan.
 Memperkuat dan meningkatkan keandalan sistem TI dalam mendukung proses bisnis
penyediaan layanan perusahaan.
 Meningkatkan keahlian dan keterampilan pegawai dalam aspek manajemen dan teknis
keamanan informasi.
 Menjaga kelangsungan operasional bisnis perusahaan tidak terganggu secara signifikan
oleh insiden layanan TIK yang terjadi.
 Memastikan kesesuaian terhadap undang-undang, peraturan dan ketentuan hukum lainnya
yang berlaku bagi BPJS Kesehatan.
1.4 Ruang Lingkup
Pedoman ini berlaku untuk seluruh pegawai BPJS Kesehatan dan personil pihak ketiga
(pegawai dari pihak stakeholder, konsultan atau tenaga kerja kontrak) untuk pengelolaan
pengamanan seluruh aset informasi BPJS Kesehatan dan dilaksanakan oleh Dewan
Pengawas, Direksi. BPJS Kesehatan dan seluruh pihak yang terikat kontrak kerja sama dengan
BPJS Kesehatan.
Pengguna dokumen ini meliputi seluruh pengguna informasi dan sistem informasi milik
perusahaan, baik pengguna internal maupun pengguna eksternal (mitra, stakeholder) dan
pihak eksternal lainnya yang melakukan akses terhadap informasi dan sistem informasi BPJS
Kesehatan. Pemetaan penanggung jawab proses digambarkan dalam dokumen pemetaan
penanggung jawab proses.
11
BAB II
KERANGKA KERJA
2.1 Sistem Manajemen Keamanan Informasi
Informasi adalah aset yang sangat penting bagi BPJS Kesehatan, baik informasi yang terkait
dengan peserta, keuangan, laporan maupun informasi lainnya. Kebocoran, kerusakan,
ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat
menimbulkan dampak yang merugikan baik secara finansial maupun non finansial bagi BPJS
Kesehatan. Dampak yang dimaksud tidak hanya terbatas pada BPJS Kesehatan, namun juga
kepada peserta, lembaga lain dan bahkan terhadap sistem penyelenggaraan jaminan sosial
dalam lingkup nasional. Mengingat pentingnya informasi, maka informasi harus dilindungi
atau diamankan oleh seluruh pegawai BPJS Kesehatan. Pengamanan informasi sangat
bergantung pada pengamanan terhadap semua aspek dan komponen TIK terkait, seperti
perangkat lunak, perangkat keras, jaringan, peralatan pendukung (misalnya sumber daya listrik,
pengatur suhu) dan sumber daya manusia (termasuk kualifikasi dan keterampilan).
Manajemen BPJS Kesehatan menyadari pentingnya menjaga keamanan informasi untuk

mendukung proses bisnis BPJS Kesehatan dan proses pengambilan keputusan. BPJS
Kesehatan beroperasi pada lingkungan bisnis dimana terdapat ketergantungan yang tinggi
pada sistem informasi dan jaringan komputer yang saling berhubungan. Dalam lingkungan
seperti ini, terdapat berbagai resiko yang mengancam terjaganya kerahasiaan, integritas dan
ketersediaan informasi. Beberapa ancaman yang berpotensi seperti di bawah ini:
a. Kejahatan komputer
b. Kebocoran data
c. Sabotase
d. Vandalisme
e. Virus, malware dan phishing
f. Peretasan, deface dan sebagainya.
Dewasa ini, ancaman-ancaman tersebut semakin meningkat seiring dengan berkembangnya

layanan dan produk elektronik serta layanan online. Pertumbuhan usaha BPJS Kesehatan yang
cepat juga meningkatkan kerentanan terhadap informasi milik BPJS Kesehatan. Oleh karena
itu aset-aset informasi yang penting milik BPJS Kesehatan perlu dipastikan sudah terlindungi
dengan baik. Pedoman Sistem Manajemen Keamanan Informasi digunakan sebagai acuan
12
dalam rangka melindungi aset informasi BPJS Kesehatan dari berbagai bentuk ancaman baik
dari dalam maupun dari luar lingkungan BPJS Kesehatan, yang dilakukan secara sengaja
maupun tidak sengaja. Pengamanan dan perlindungan ini diberikan untuk menjamin tiga
(3) komponen utama yang menjadi dasar keamanan informasi, yaitu aspek kerahasiaan
(Confidentiality), keutuhan (Integrity), dan ketersediaan (Availability) atau CIA pada asset
informasi agar selalu terjaga dan terpelihara dengan baik
Komponen Deskripsi
Confidentiality Berkaitan dengan kerahasiaan informasi agar informasi penting milik BPJS
Kesehatan tidak terungkap kepada pihak yang tidak berwenang
Integrity Berkaitan dengan kebenaran, akurasi dan kelengkapan informasi
Availability Berkaitan dengan aspek ketersediaan informasi, agar informasi yang penting
bagi berlangsungnya proses bisnis selalu tersedia setiap saat dibutuhkan
Informasi yang berada dalam berbagai bentuk (tersimpan pada sistem komputer,
ditransmisikan melalui jaringan komunikasi, tercetak dalam bentuk hardcopy atau diucapkan
dalam pembicaraaan), harus diamankan dengan cara yang tepat agar ketiga aspek CIA
tersebut selalu terjaga.
Leadership 5
5.1 Leadership and commitment
Leadership 5.2 Policy
5.3 Organizational roles,
responsibilities, and authorities
Improvement 10 Context of the Organization 4

10.1 Nonconformity and 4.1 Understanding organization
PLAN
Corrective Action Improvement
and context
10.2 Continual Improvement Operation 6
4.2 Understanding need and Planning 6.1 Actions to address risks
expectations of interested
and opportunities
parties
6.2 Objectives and planning
ACTION 4.3 Determining scope of the
to achieve them
management system
Performance 4.4 The Management System
Support DO
Evaluation
Support 7
Performance Evaluation 9 7.1 Resource
9.1 Monitoring, Measurement Operation 7.2 Competence
9.2 Internal Audit 7.3 Awareness
9.3 Management Review 7.4 Communication
7.5 Documented Information
Operation 8
CHECK 8.1 Operational planning and control
Prinsip yang digunakan dalam implementasi Sistem Manajemen Keamanan Informasi

adalah dengan pendekatan Plan-Do-Check-Act, yang merupakan prinsip implementasi sistem
Manajemen dari ISO, dibawah ini adalah gambaran proses P-D-C-A.
13
Implementasi Sistem Manajemen Keamanan Informasi yang berlandaskan pengendalian

Risiko, dalam praktiknya menggunakan bagian Annex A ISO/IEC 27001:2013 sebagai acuan
implementasi dan pengendaliannya, pada pedoman ini acuan tersebut dijelaskan pada
bagian 3 pedoman ini.
2.2 Dokumen Referensi
Pedoman Sistem Manajemen Keamanan Informasi BPJS Kesehatan ini mengacu pada
peraturan dan dokumen berikut:
 ISO/IEC 27001:2013
 Persyaratan standar lain yang diacu oleh ISO/IEC 27001:2013
 Regulasi dan Pedoman Internal BPJS Kesehatan
 Regulasi Eksternal yang diacu oleh BPJS Kesehatan
2.3 Daftar Istilah
Daftar Istilah
Aset Informasi Adalah sumber daya teknologi informasi dan komunikasi yang bersifat penting
bagi kelangsungan bisnis milik BPJS Kesehatan.
Awareness Kegiatan yang dilakukan untuk membangun, menumbuhkan dan menjaga

kesadaran pada seluruh lapisan pegawai akan pentingnya menjaga keamanan
informasi perusahaan.
Evaluasi Risiko Adalah proses yang membandingkan estimasi besaran suatu resiko dengan
kriteria yang sudah didefinisikan.
Hak Akses Adalah kewenangan menggunakan sumber daya informasi yang jenis dan
tingkatannya disesuaikan dengan kebutuhan kerja pengguna dan disetujui oleh
pemilik sumber daya informasi atau atasannya langsung.
Insiden Adalah kejadian yang tidak diinginkan dan yang melanggar kebijakan atau
Keamanan Informasi prosedur dalam pengelolaan keamanan informasi sehingga menimbulkan
ancaman terhadap kondisi keamanan sumber daya informasi atau
mengakibatkan angguan terhadap proses kerja organisasi.
ISO/IEC 27001 Adalah standar sistem manajemen keamanan informasi yang diterbitkan oleh
International Standard Organization (ISO). Standar ini memberikan serangkaian
control objective dan rekomendasi pengendalian keamanan informasi
Keamanan Informasi Adalah perlindungan terhadap kerahasiaan (confidentiality), ketersediaan

(availability), dan keutuhan (integrity) informasi.
14
Daftar Istilah
Kerahasiaan Adalah karakteristik informasi yang hanya dapat diketahui oleh mereka yang
berwenang melalui cara yang diijinkan
Keutuhan Adalah karakteristik informasi yang menjamin informasi akurat, lengkap, tidak
berubah selama pengiriman dan pengolahannya
Penilaian Risiko Penilaian risiko dilakukan untuk menentukan besarnya tingkat risiko, yang diukur
berdasarkan nilai kerugian dari dampak yang ditimbulkan serta kecenderungan
dari terjadinya suatu kejadian risiko.
Pihak eksternal Pihak luar BPJS Kesehatan yang melaksanakan kerjasama denganBPJS
Kesehatan atas dasar perjanjian atau kontrak yang sudah disepakati. Pihak
eksternal meliputi vendor, kontraktor, dan mitra.
Sumber Daya Segala sesuatu yang mempunyai nilai bagi BPJS Kesehatan. Sumber daya sering
disebut juga aset informasi.
Teleworking Adalah penggunaan teknologi telekomunikasi untuk memungkinkan pegawai

melakukan akses network perusahaan dari suatu lokasi di luar kantor.
15
BAB III
IMPLEMENTASI SISTEM MANAJEMEN
KEAMANAN INFORMASI
Direktorat Teknologi Informasi merencanakan, melaksanakan, mengevaluasi dan

meningkatkan manajemen kinerja keamanan informasi informasi dengan aktivitas yang
mencakup hal-hal berikut
3.1 Organisasi Keamanan Informasi
Tujuan:
Untuk menetapkan kerangka kerja pengelolaan keamanan informasi di dalam lingkup
internal BPJS Kesehatan.
3.1.1 Kewajiban Manajemen

Tujuan:
Memastikan manajemen puncak menujukkan kepemimpinan dan komitmen dengan
mengambil peran aktif dalam melibatkan, memastikan, mengkomunikasikan dan
memantau kinerja dan efektivitas.
Pengendalian:
Manajemen harus mendukung implementasi keamanan informasi melalui arahan,
penugasan dan alokasi sumber daya pengelolaan keamanan informasi.
Ketentuan:
Manajemen bertanggung jawab untuk:
 Menetapkan tujuan implementasi pengamanan informasi dengan jelas dan tepat

sesuai kebutuhan bisnis BPJS Kesehatan dan regulasi yang berlaku.
 Menyetujui Pedoman Sistem Manajemen Keamanan Informasi
 Mengalokasikan tugas, tanggung jawab dan sumber daya untuk implementasi

pengamanan informasi
 Menjalankan program security awareness training untuk seluruh lapisan pegawai
 Meninjau efektivitas dari implementasi dari kebijakan keamanan informasi
16
3.1.2 Peran Dan Tanggung Jawab & Pemisahan Tugas

Tujuan:
Untuk mengurangi kemungkinan terjadinya perubahan secara tidak sah.
Pengendalian:
Semua tanggung jawab keamanan informasi harus didefinisikan dan dialokasikan,
agar mengurangi kemungkinan terjadinya perubahan secara tidak sah (unauthorized
modification) pada sistem atau penyalahgunaan.
Ketentuan:
Dalam peran dan tanggung jawab & pemisahan tugas Unit Kerja TI harus:
a. Harus ada pemisahan tugas dan tanggung jawab diantara fungsi yang disebut
dibawah ini:
 Pengembangan Sistem Informasi.
 Operasional Teknologi Informasi.
 Strategi, Perencanaan, dan Keamanan Teknologi Informasi
b. Membuat peran, tanggung jawab dan wewenang keamanan informasi.
c. Memetakan peran dan tanggung jawab & pemisahan tugas dalam tabel RACI
d. Melakukan reviu setiap 1 tahun sekali RACI keamanan informasi.
3.1.3 Hubungan Dengan Pihak Berwenang

Tujuan:
Apabila terjadi kondisi darurat dapat dengan mudah mengkomunikasikan dengan
pihak lain.
Pengendalian:
Hubungan dengan pihak berwenang seperti penegak hukum dan badan regulator harus
dipelihara.
Ketentuan:
Dalam hubungan dengan pihak berwenang seperti penegak hukum dan badan
regulator, BPJS Kesehatan harus:
 Memiliki mekanisme untuk berhubungan dengan pihak berwenang (kepolisian,

bank, dinas kependudukan dan rumah sakit) untuk melaporkan terjadinya
insiden keamanan informasi yang diperlukan.
17
 Unit kerja Hukum harus dilibatkan dalam hal terjadi insiden keamanan
informasi yang diproses secara hukum.
3.1.4 Hubungan Dengan Special Interest Group

Tujuan:
Memelihara kompetensi para pegawai dan memperbarui dengan informasi yang
beredar.
Pengendalian:
Staf Keamanan Informasi yang terkait harus memelihara hubungan atau keanggotaan
dengan special interest group di bidang keamanan informasi dengan mengikuti
suatu forum atau menjadi anggota organisasi profesi bidang keamanan informasi
untuk mendapatkan informasi terkini tentang pengelolaan keamanan informasi dan
memelihara kompetensi yang dibutuhkan.
Ketentuan:
Pegawai unit kerja keamanan informasi harus menjaga pengetahuan dan
keterampilannya dengan mengikuti forum atau organisasi profesi keamanan
informasi agar dapat:
 Mengikuti perkembangan teknologi keamanan informasi
 Mengetahui secara komperehensif akan kondisi keamanan informasi terkini
 Mengetahui secara dini akan adanya security warning, informasi, update atau
patch terbaru untuk menjaga keamanan informasi
 Mendapatkan informasi mengenai teknologi, produk, threats dan vulnerabilities

terbaru.
 Mendapatkan tips dan advis dari spesialis keamanan informasi.
3.1.5 Mobile Computing dan Teleworking

Tujuan:
Untuk memastikan keamanan informasi saat bekerja menggunakan mobile
computing dan teleworking.
3.1.5.1 Mobile Computing

Pengendalian:
Harus terdapat kebijakan dan prosedur untuk mengendalikan risiko
penggunaan mobile computing dan mobile communications.
18
Ketentuan:
Aturan dasar penggunaan perangkat mobile computing mengacu pada
Standar Mobile Computing dan Teleworking.
3.1.5.2 Teleworking
Pengendalian:
Kebijakan dan prosedur yang mengatur aktivitas teleworking harus
ditetapkan dan diimplementasikan.
Ketentuan:
Pelaksanaan teleworking mengacu pada Standar Mobile Computing dan
Teleworking.
3.2 Keamanan Sumber Daya Manusia
3.2.1 Sebelum Bekerja

Tujuan:
Untuk memastikan bahwa pegawai BPJS Kesehatan dan kontraktor yang bekerja
sama dengan BPJS Kesehatan memahami tanggung jawab mereka dan sesuai
dengan peran yang ditetapkan bagi mereka.
Pengendalian:
Verifikasi latar belakang dari semua calon pegawai harus dilaksanakan berdasarkan
hukum, regulasi dan etika terkait dan harus proporsional terhadap persyaratan
bisnis, klasifikasi informasi yang akan diakses dan risiko yang dipersepsikan.
Ketentuan:
 Verifikasi atas calon pegawai dilakukan dengan mengacu kepada prosedur
rekrutmen yang diatur dalam kebijakan dan prosedur HRD yang berlaku.
 Sebagai syarat tanggung jawab keamanan informasi, setiap calon pegawai

harus menandatangani dokumen Pernyataan Menjaga Rahasia yang merupakan
bagian dari perjanjian kerja.
3.2.2 Selama Bekerja

Tujuan:
Untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi
tanggung jawab keamanan informasi mereka selama bekerja.
19
Pengendalian:
 Semua pegawai dan kontraktor harus menerapkan keamanan informasi
berdasarkan kebijakan dan prosedur organisasi BPJS Kesehatan yang sudah
ditetapkan.
 Setiap tindakan pelanggaran keamanan informasi akan dilakukan proses

pendisiplinan yang resmi dan terkomunikasi.
Ketentuan:
Para pemimpin unit kerja bertanggung jawab untuk memastikan semua pegawai
dan personil pihak ketiga yang bekerja dibawah supervisinya:
 Telah membaca dan memahami kebijakan yang terkait dengan unit kerjanya
dan menjaga keamanan informasi BPJS Kesehatan.
 Menjalankan kewajibannya dalam menjaga keamanan informasi milik BPJS

Kesehatan sesuai dengan Standar SMKI.
BPJS Kesehatan harus memastikan untuk semua pegawainya bahwa:
 Semua pegawai melaksanakan program pendidikan dan pelatihan keamanan

informasi berdasarkan Rencana Pelatihan dan Kesadaran.
 Program pelatihan dan kesadaran harus dilakukan secara berkala.
3.2.3 Penghentian dan Mutasi Kepegawaian

Tujuan:
Untuk memastikan pemberhentian dan perpindahan pegawai yang dilakukan telah
mengikuti aturan yang sesuai dan mengamankan aset serta akses yang pernah
digunakan.
Pengendalian:
 Tanggung jawab pelaksanaan pemberhentian atau mutasi pegawai harus
ditetapkan dengan jelas, dikomunikasikan kepada pegawai dan ditegakkan.
 Semua pegawai dan personil pihak ketiga harus mengembalikan semua

peminjaman aset milik BPJS Kesehatan pada saat yang bersangkutan berhenti
bekerja.
 Apabila terjadi pelanggaran terhadap ketentuan dan prosedur keamanan

informasi oleh pegawai atau personil pihak ketiga, maka harus dilakukan
proses pendisiplinan.
20
Ketentuan:
 Pengembalian aset milik BPJS Kesehatan oleh pegawai yang berhenti bekerja
sesuai dengan pedoman kepegawaian dan pedoman pengelolaan barang dan
jasa.
 Aset yang harus dikembalikan meliputi manual, dokumentasi, name tag, access
card, komputer dan barang-barang lainnya yang pernah dipinjam.
 Pencabutan hak akses terhadap sistem informasi yang dimiliki pegawai, mitra
kerja dan pihak eksternal lainnya diatur sesuai dengan Petunjuk Kendali Akses.
 Pelanggaran ketentuan dan prosedur keamanan informasi harus dikenakan

sanksi sesuai dengan ketentuan yang berlaku.
 Pemberian sanksi kepada pegawai yang melakukan pelanggaran atas

ketentuan dan prosedur keamanan informasi agar mengacu kepada prosedur
pemberian sanksi yang berlaku.
3.3 Pengelolaan Aset
3.3.1 Tanggung Jawab Pengelolaan Aset

Tujuan:
Pengelolaan aset dimaksudkan untuk mengenali aset organisasi dan menetapkan
tanggung jawab perlindungan yang sesuai.
3.3.1.1 Inventarisasi Aset

Pengendalian
BPJS Kesehatan harus memiliki Daftar Invetaris Aset berisikan seluruh aset
utama, seperti informasi dan bisnis proses dan aset pendukung seperti
perangkat lunak, perangkat keras dan layanan yang akan dilindungi, disertai
pemilik aset yang memelihara dan bertanggung jawab atas aset yang
dimiliki.
Ketentuan
 Tanggung jawab pegawai dan pengguna eksternal terhadap aset yang
dikuasainya diatur dalam dokumen Petunjuk Aset Informasi.
 Yang termasuk dengan aset informasi adalah namun tidak terbatas pada:
1) Informasi: data pengguna, data transaksi, dokumentasi sistem dan
sebagainya;
2) Perangkat lunak aplikasi dan sistem;
21
3) Perangkat keras seperti komputer, alat komunikasi, removable

media dan sebagainya;
4) Layanan pendukung seperti jaringan komunikasi dan listrik;
5) Sumber daya manusia termasuk keahlian, pengalaman dan
kualifikasi.
 Setiap unit kerja harus mengidentifikasi dan menginventarisasi

seluruh aset informasi yang kritikal yang dimiliki serta memelihara
aset tersebut agar selalu terkini (updated).
 Inventaris aset harus dilengkapi dengan informasi yang jelas mengenai

aset yang bersangkutan sesuai dalam daftar inventaris aset.
3.3.1.2 Kepemilikan Aset

Pengendalian
Pemilik aset adalah unit kerja yang ditetapkan oleh manajemen untuk
mengendalikan pengembangan, pemeliharaan, pengguna dan pengamanan
atas aset yang bersangkutan.
Ketentuan
 Pemilik aset memiliki tanggung jawab untuk mengklasifikasikan aset
informasi dengan tepat dan secara berkala melakukan peninjauan
ulang terhadap pembatasan akses dan klasifikasi informasi.
 Seluruh pegawai BPJS Kesehatan dan pengguna pihak eksternal

harus mengembalikan semua aset yang dikuasainya ketika terjadi
penghentian kepegawaian, kontrak atau perjanjian mereka.
3.3.2 Klasifikasi Aset

Tujuan:
Untuk memastikan bahwa informasi mendapatkan tingkat perlindungan yang
layak berdasarkan tingkat sensitivitasnya bagi bisnis BPJS Kesehatan.
Pengendalian:
 Informasi harus diklasifikasikan sesuai dengan nilai informasi, kerahasiaan,
sensitifitas dan kritikalitas informasi yang bersangkutan bagi perusahaan.
 Setiap dokumen harus diberi label sesuai dengan klasifikasi dari informasi yang
terdapat di dalamnya.
 Data/informasi harus ditangani dan diamankan sesuai dengan klasifikasinya.
22
Ketentuan:
 BPJS Kesehatan menetapkan 4 (tiga) golongan klasifikasi aset informasi yaitu
Biasa, Terbatas, Rahasia dan sangat rahasia. Perdir tentang klasifikasi
keamanan dan akses arsip dinamis (78/2018)
 Metode klasifikasi informasi dan penanganan aset mengacu pada nilai

informasi, sensitifitas/kekritisan informasi, tingkat kerahasiaan dan tingkat
kerawanannya bagi BPJS Kesehatan, mengacu pada dokumen Standar SMKI
 Setiap dokumen yang didalamnya terdapat informasi yang diklasifikasikan

harus diberi label sesuai dengan klasifikasi dari informasi yang bersangkutan.
 Prosedur penanganan informasi agar mengacu kepada dokumen Petunjuk

Klasifikasi Informasi.
3.3.3 Penanganan Media

Tujuan:
Untuk mencegah penyingkapan, modifikasi, pemindahan atau penghancuran tidak
sah terhadap informasi yang disimpan di dalam media.
Pengendalian:
 Prosedur untuk manajemen media yang dapat dipindahkan (removeable media)
harus diimplementasikan sesua dengan skema klasifikasi.
 Media harus dihancurkan dengan aman saat tidak lagi dibutuhkan dengan
menggunakan prosedur yang aman dan baku.
Ketentuan:
 Removeable media harus diinventarisasi. Daftar Inventaris dari removeable
media harus di-update setiap kali terjadi perubahan
 Saat tidak digunakan, semua removable media harus disimpan pada tempat
yang aman dan lingkungan yang sesuai dengan karakteristik perangkat yang
bersangkutan.
 Penggunaan drive atau port untuk removable media pada komputer pengguna
hanya boleh diaktifkan (enabled) apabila terdapat kebutuhan bisnis dan
mendapatkan persetujuan dari pejabat yang berwenang.
 Penggunaan removable media sebagai media backup data harus

memperhitungkan ketahanan dari removable media tersebut untuk menghindari
kerusakan data yang tersimpan didalamnya dan menghindari keusangan
23
teknologi yang dapat menyebabkan data tidak dapat di-restore pada saat
diperlukan.
 Penanganan media yang dapat dipindahkan (removeable media) mengacu

kepada dokumen.
 Prosedur pembuangan aset yang tidak dibutuhkan dilakukan sesuai dengan

dokumen.
3.4 Kendali Akses
3.4.1 Pengendalian Hak Akses

Tujuan:
Untuk membatasi akses ke informasi dan fasilitas pengolahan informasi.
Pengendalian:
 BPJS Kesehatan harus memiliki kebijakan dan prosedur pengendalian akses.
 Pengguna (user) harus mematuhi seluruh kebijakan dan prosedur tata kelola
teknologi informasi dan komunikasi yang ditetapkan perusahaan.
Ketentuan:
 Hak akses terhadap aset-aset informasi harus diberikan sesuai dengan
kebutuhan fungsi dan tugas pegawai dan diberikan berdasarkan prinsip
kecukupan sesuai dengan kebutuhan pegawai dalam menjalankan tugasnya.
 Akses ke jaringan dan layanan jaringan milik BPJS Kesehatan hanya boleh
diberikan kepada pengguna yang yang memiliki kewenangan.
 Pelaksanaan pengendalian akses terhadap aset informasi agar mengacu

kepada dokumen Petunjuk Kendali Akses.
3.4.2 Pendaftaran User dan Pemberian Hak Akses

Tujuan:
Untuk memastikan otorisasi atas akses yang diberikan kepada user.
Pengendalian:
 BPJS Kesehatan harus memiliki prosedur formal untuk mengatur aktivitas
pendaftaran dan penghapusan akses user ke dalam sistem informasi.
 Setiap proses penyediaan hak akses pegawai kedalam sistem informasi

ditetapkan berdasarkan kebijakan dan prosedur formal.
24
 Proses penyediaan akses pengguna yang resmi kepada pihak eksternal (mitra,
vendor, konsultan) harus dibatasi sesuai ruang lingkup pekerjaan yang
didasarkan pada perjanjian atau kontrak yang resmi.
Ketentuan:
 Ketentuan pendaftaran akses user:
1) User ID harus unik, tidak diperbolehkan adanya User ID yang sama.
2) User ID beserta hak aksesnya hanya diberikan kepada user setelah mendapat
persetujuan dari pejabat yang berwenang.
3) Hak akses yang diberikan kepada user harus sesuai dengan kebutuhan
bisnis/operasional dan kebijakan keamanan informasi BPJS Kesehatan.
4) Hak akses yang diberikan kepada user tidak boleh melanggar prinsip
pemisahan tanggung jawab (segregation of duty).
5) User harus menandatangani pernyataan bahwa mereka memahami dan
akan mentaati ketentuan mengenai penggunaan User ID.
6) Record/catatan mengenai daftar User ID yang terdaftar untuk setiap
aplikasi/sistem informasi harus dipelihara/diperbarui.
7) Hak akses user yang telah berganti jabatan harus segera disesuaikan atau
dihapus.
8) User ID milik pegawai yang sudah berhenti bekerja dari BPJS Kesehatan
harus segera dihapus.
9) Terdapat sanksi yang jelas bagi user yang melakukan pelanggaran atas
ketentuan penggunaan User ID dan hak akses.
 Pedoman pendaftaran dan pengahapusan user ID mengikuti prosedur di Asisten

Deputi Bidang PKTI.
3.4.3 Pengelolaan Akses Khusus

Tujuan:
Pengendalian:
Pemberian dan penggunaan hak akses khusus harus dibatasi dan dikendalikan.
Ketentuan:
 Akses khusus seperti User ID Root, Administrator atau Super User hanya
diberikan dalam keadaan khusus untuk menjaga kelangsungan operasional
atau bisnis dan diberikan untuk jangka waktu sementara selama diperlukan.
25
 Penggunaan hak akses khusus perlu memperhatikan beberapa hal berikut:

1) Penggunaannya harus melalui proses otorisasi formal.
2) Pemberian hak akses khusus hanya dilakukan dalam keadaan mendesak
untuk mendukung kebutuhan bisnis atau operasional.
3) Penggunaan hak akses khusus harus memenuhi prinsip “segregation of
duties” dan menggunakan PAM (Privilege Access Management) diberikan
kepada yang memiliki izin untuk mengakses server.
4) Aktivitas yang dilakukan dengan menggunakan privilege access harus
dicatat, didokumentasikan dan ditinjau.
3.4.4 Peninjauan Ulang Hak Akses User

Tujuan:
Pengendalian:
Hak akses user harus ditinjau secara berkala.
Ketentuan:
Peninjauan terhadap hak akses user harus dilakukan oleh pemilik sistem sebagai
berikut:
 Review ulang terhadap hak akses sistem dan perangkat teknologi informasi
dilaksanakan dengan interval waku yang ditetapkan atau jika diperlukan dalam
rangka memastikan pengguna masih berhak terhadap akses yang diberikan,
dan melakukan penghapusan pengguna yang sudah tidak aktif.
 Dilakukan pada saat user yang bersangkutan mengalami perubahan jabatan

(promosi, demosi, atau mutasi) oleh pimpinan yang bersangkutan berkoordinasi
dengan unit kerja pengelola akses pengguna.
3.4.5 Pengelolaan Password

Tujuan:
Untuk mencegah akses oleh pihak yang tidak sah ke sistem dan aplikasi.
Pengendalian:
Pemberian password harus diatur melalui proses pengelolaan yang formal.
26
Ketentuan:
 Dalam menggunakan hak akses, pengguna harus mematuhi ketentuan
pengamanan password.
 Ketentuan penggunaan password.
 Pengguna yang sudah berhenti bekerja dari BPJS Kesehatan atau menjalani
mutasi ke lingkup pekerjaan baru, maka hak aksesnya harus segera ditutup.
 Penyedia atau stakeholder pengguna akses system/aplikasi BPJS Kesehatan

yang tidak lagi bekerja sama dengan BPJS Kesehatan, hak aksesnya harus
segera dinon-aktifkan/dihapuskan.
 Pengguna dapat menggunakan aplikasi Password Manager untuk memastikan

kompleksitas password dan memudahkan untuk menggunakannya.
 Pengguna wajib mengamankan aplikasi Password Manager dari akses yang tidak
sah, untuk menghindari penyalahgunaan password di perangkat pengguna.
3.4.6 Pengendalian Akses Sistem Operasi dan Aplikasi

Tujuan:
Pengendalian:
a. Seluruh akses ke sistem operasi dan aplikasi yang menggunakan jalur internet
dan digunakan untuk mengirimkan informasi sensitif, termasuk informasi
sensitif dibatasi.
b. Untuk menghindarkan akses oleh pihak yang tidak berwenang ke sistem operasi,
pemberian akses dilakukan melalui proses log-on yang aman.
c. Akses user kedalam operating sistem harus diidentifikasi dan diautentikasi

dengan memadai.
d. Pengelolaan password harus dapat menjamin pembuatan, penggunaan dan

penyimpanan password yang aman.
e. Penggunaan tools/utility yang dapat digunakan untuk merubah data langsung

pada database harus dibatasi dan dikendalikan secara ketat.
f. Akses pada informasi dan sistem aplikasi oleh user harus dibatasi sesuai
dengan kebijakan pengendalian akses yang telah ditentukan.
27
Ketentuan:
a. Proses log-on kedalam sistem operasi harus dibuat untuk meminimalkan
terjadinya unauthorized access dengan tidak memunculkan informasi yang
dapat membantu unauthorized user untuk mengakses sistem.
b. Kendali tambahan kontrol untuk mengendalikan akses ke dalam Operating

Sistem yaitu:
1) Pada saat log-on terdapat peringatan bahwa komputer hanya dapat
diakses oleh user yang berhak.
2) Membatasi jumlah kesalahan dalam percobaan log-on dan sistem harus
melakukan hal-hal berikut apabila jumlah kesalahan maksimal telah
dilampaui:
(a) Mencatat setiap percobaan log-on baik yang gagal maupun berhasil.
(b) Memberikan jeda waktu sebelum log-on dapat dilakukan kembali
atau menolak percobaan kembali setelah terjadi kesalahan dalam
percobaan log-on.
(c) Memberikan pesan peringatan bahwa jumlah maksimal percobaan log-
on telah terlampaui.
3) Tidak menampilkan password yang dimasukkan pada saat log-on.
4) Tidak mentransmisikan password dalam clear text melalui jaringan.
c. User ID yang digunakan untuk mengakses sistem harus unik untuk setiap user.
d. Akses kedalam sistem harus diautentikasi sekurang-kurangnya dengan

menggunakan password.
e. Semua akses kedalam operating sistem beserta aktivitas yang dilakukan yang
dapat ter-record, harus di record pada audit log.
f. Sistem harus dikonfigurasi sehingga pengelolaan password oleh sistem dapat

memenuhi beberapa persyaratan dibawah ini:
1) Memungkinkan user untuk memilih dan merubah password sendiri.
2) Memaksa user menggunakan password yang kuat (tidak mudah ditebak atau
di-retas).
3) Memaksa user mengganti password pada penggunaan pertama kali.
4) Tidak menampilkan password pada layar saat di-input.
5) Penyimpanan dan pengiriman password harus menggunakan perlindungan
khusus seperti enkripsi atau hash.
28
g. Penggunaan system utilities harus mendapatkan izin dan dengan waktu yang dibatasi.
h. Penggunaan sistem utilities harus dibatasi dengan proses autentikasi.
i. System utilities harus terpisah dari aplikasi piranti lunak.
j. System utilities yang tidak digunakan harus dihapus atau tidak diaktifkan.
k. Pembatasan akses ke informasi dan fungsi aplikasi didokumentasikan dan

diterapkan sesuai dengan dokumen Standar Kendali Akses.
3.4.7 Pengendalian Akses Ke Program Source Code

Tujuan:
Pengendalian:
Akses ke source code program harus dibatasi hanya untuk staf developer yang
berkepentingan.
Ketentuan:
 Akses atas source code harus dikendalikan untuk mencegah akses oleh pihak
yang tidak berwenang.
 Pengendalian akses ke source code program dilakukan dengan cara:

1) Penyimpanan source code tidak dilakukan pada sistem produksi.
2) Akses terhadap source code harus melalui proses otorisasi pada saat
permintaan user akses pertama kali.
3) Daftar source code perlu dibuat, dipelihara dan dijaga.
4) Setiap akses perubahan ke source code program perlu didokumentasikan,
termasuk audit log untuk akses perubahan tersebut.
5) Pemeliharaan source code program harus dilakukan melalui mekanisme
change control yang berlaku.
3.5 Kriptografi
3.5.1 Kendali Kriptografi

Tujuan:
Untuk memastikan penggunaan kriptografi secara tepat dan efektif dalam
melindungi kerahasiaan (confidentiality), keotentikan (authenticity) dan/atau
keutuhan (integrity) informasi.
29
Pengendalian:
 Kendali kriptografi untuk perlindungan informasi harus dikembangkan dan
diimplementasikan dengan tepat.
 Kebijakan terhadap penggunaan, perlindungan dan masa hidup kunci kriptografi

harus dikembangkan dan diimplementasikan dalam keseluruhan siklus
hidupnya.
Ketentuan:
 Apabila terdapat kebutuhan pengamanan data atau informasi sensitif pada
sistem aplikasi yang dikembangkan, maka standar kriptografi atau enkripsi yang
digunakan adalah:
1) Enkripsi digunakan untuk melindungi informasi rahasia milik BPJS Kesehatan
yang dikirimkan melalui jaringan komunikasi di luar BPJS Kesehatan.
2) Enkripsi dilakukan berdasarkan risk assessment untuk menentukan tingkat
perlindungan yang dibutuhkan.
 Standar algoritma enkripsi yang dapat digunakan mengacu pada dokumen
 BPJS Kesehatan harus mempersiapkan petunjuk terinci tentang alat kriptografi

dan bertanggung jawab terhadap aplikasi yang sesuai terhadap kendali
kriptografi.
 BPJS Kesehatan bertanggung jawab untuk menentukan peraturan mengenai

manajemen kunci kriptografi seperti kunci kriptografi pribadi atau publik, aktivasi
dan distribusi, pengarsipan kunci kriptografi yang telah tidak aktif dan metode
penghancuran kunci kriptografi.
3.6 Keamanan Fisik & Lingkungan
3.6.1 Secure Area

Tujuan:
Untuk pencegahan terhadap akses fisik yang tidak sah, kerusakan dan interferensi
terhadap informasi dan fasilitas pengolahan informasi milik BPJS Kesehatan.
3.6.1.1 Pengamanan Fisik Sarana Pemrosesan Informasi

Pengendalian:
Akses fisik terhadap area dimana terdapat fasilitas pemrosesan informasi
milik BPJS Kesehatan harus dibatasi hanya bagi personil yang berwenang.
30
Ketentuan:
 Fasilitas pemrosesan informasi harus ditempatkan dalam secure
area yaitu tempat atau ruangan yang dilengkapi dengan fasilitas
pengamanan untuk mencegah akses secara fisik oleh pihak yang
tidak berwenang serta perlindungan dari kerusakan dan gangguan dari
lingkungan.
 Prosedur akses (area aman) mengacu pada Petunjuk Keamanan Fisik

dan Lingkungan.
3.6.1.2 Pengendalian Akses Fisik

Pengendalian:
Hanya orang yang berkepentingan atau berwenang yang dapat mengakses

daerah yang dibatasi akses masuknya.
Ketentuan:
 Seluruh pegawai, pihak ketiga, konsultan, dan pengunjung yang
memasuki area kerja harus membawa dan menggunakan kartu
identitas yang diberikan oleh BPJS Kesehatan.
 Akses fisik ke dalam secure area atau fasilitas pemrosesan informasi

harus dikendalikan dan pencatatan dalam log book yang minimal berisi
nama pengunjung, nama atau alamat instansi, keperluan berkunjung,
personil yang akan ditemui dan tanggal, jam masuk dan jam keluar.
 Seluruh pihak ketiga harus diberikan akses terbatas saat mengakses

sumber informasi perusahaan dan aktivitas mereka harus diawasi dan
dikaji secara reguler.
 Pemberian hak akses terhadap seluruh pegawai dan pengunjung

beserta hal-hal yang berkaitan dengan Secure Area mengacu kepada
dokumen Petunjuk Keamanan Fisik dan Lingkungan
3.6.1.3 Pengendalian Terhadap Risiko Gangguan Lingkungan

Pengendalian:
Fasilitas pemrosesan sistem informasi harus dilindungi dari risiko
kerusakan yang disebabkan oleh faktor alam dan kelalaian manusia.
Ketentuan:
Prosedur perlindungan mengacu pada Panduan Pengelolaan Data Center.
31
3.6.1.4 Bekerja Di Dalam Secure Area

Pengendalian:
Pekerjaan yang dilakukan didalam secure area oleh pihak internal maupun
eksternal, harus disertai dengan pengamanan khusus untuk mengurangi
kemungkinan terjadinya insiden keamanan, penyalahgunaan maupun
kecelakaan kerja.
Ketentuan:
 Seluruh aktivitas atau pekerjaan pihak ketiga harus disetujui oleh
manajemen dan diawasi oleh pegawai yang bersangkutan.
 Tidak diperbolehkan merokok.
 Segala peralatan recording (audio maupun video) tidak boleh dibawa

masuk ke dalam secure area tanpa persetujuan dari pejabat yang
berwenang.
3.6.2 Pengamanan Peralatan

Tujuan:
Untuk mencegah kerugian, kerusakan, pencurian, atau penguasaan tanpa hak
(compromise) aset dan gangguan terhadap operasi.
3.6.2.1 Penempatan dan Perlindungan Peralatan

Pengendalian:
Seluruh peralatan yang merupakan fasilitas pengolahan informasi milik
BPJS Kesehatan harus ditempatkan di lokasi yang aman dan terlindungi
dari risiko akses oleh pihak yang tidak berwenang atau kerusakan akibat
faktor lingkungan.
Ketentuan:
 Peralatan harus ditempatkan di lokasi sesuai dengan tingkat kekritisan
dan klasifikasi yang mengacu kepada Petunjuk Klasifikasi Aset.
 Seluruh peralatan harus memiliki rencana pemeliharaan yang memadai

atau asuransi berdasarkan nilai peralatan.
 Peralatan tidak boleh dipindah lokasinya kecuali telah diizinkan oleh

pemilik peralatan.
32
3.6.3 Sarana Pendukung

Pengendalian:
Peralatan yang merupakan fasilitas pengolahan informasi harus didukung oleh
pembangkit listrik cadangan.
Ketentuan:
 Peralatan dan fasilitas sistem informasi yang kritikal bagi kelangsungan bisnis
BPJS Kesehatan harus dilengkapi dengan Uninterrupted Power Supply (UPS).
 Sumber daya listrik cadangan termasuk UPS, pembangkit listrik cadangan, dll
harus dilakukan pemeliharaan dan pengujian secara berkala untuk memastikan
sarana pendukung tersebut dapat berfungsi setiap saat diperlukan.
3.6.4 Pemeliharaan Peralatan

Pengendalian
Seluruh peralatan yang merupakan fasilitas pengolahan informasi milik BPJS

Kesehatan harus dilakukan pemeliharaan untuk menjaga perangkat yang
bersangkutan selalu dalam keadaan berfungsi dengan baik.
Ketentuan:
 Perangkat data center dilakukan perawatan preventif secara berkala harus

sesuai spesifikasi dari pabrik pembuat untuk meminimalkan risiko terjadinya
kerusakan pada perangkat tersebut.
 Pemeliharaan peralatan dilakukan oleh personil yang berwenang atau fihak ke-3
yang bekerja sama dengan BPJS Kesehatan.
 Pemeliharaan peralatan harus menjaga kerahasiaan informasi yang terdapat

didalam peralatan tersebut. Apabila peralatan harus dikirim keluar lokasi BPJS
Kesehatan, maka data storage didalamnya harus dilepas dari posisinya terlebih
dahulu.
3.6.5 Pemusnahan dan Penggunaan Kembali Perangkat Informasi

Tujuan:
Mengendalikan seluruh perangkat media penyimpanan untuk dibuang atau
dipergunakan kembali.
Pengendalian:
Seluruh data dan perangkat lunak berlisensi yang tersimpan pada media
penyimpanan mobile dan pada seluruh peralatan yang mengandung media
33
penyimpanan harus dihapus atau dihancurkan sebelum dibuang atau digunakan

kembali.
Ketentuan:
 Berdasarkan Petunjuk Klasifikasi Informasi, data harus dihapus dengan
beberapa cara, seperti Format, hingga Secure Erase. Namun jika proses
penghapusan tersebut kurang cukup aman berdasarkan sensitivitas data,
maka media penyimpanan harus dimusnahkan.
 Pada media penyimpanan mobile yang menyimpan data BPJS Kesehatan

berdasarkan Petunjuk Klasifikasi Informasi, data harus dihapus dengan
beberapa cara, seperti Factory Reset, hingga Secure Erase. Namun jika proses
penghapusan tersebut kurang cukup aman berdasarkan sensitivitas data, maka
media penyimpanan harus dimusnahkan.
 Pada media kertas dokumen surat-surat, laporan-laporan internal, data

customer serta atau badan usaha, dan dokumen lainnya yang penggunaannya
tidak untuk pihak eksternal harus disimpan dalam tempat penyimpanan yang
aman. Dalam kondisi tertentu jika dokumen rahasia tersebut ingin dibuang, maka
terlebih dahulu harus dimusnahkan dengan menggunakan mesin penghancur
kertas.
 Pencatatan penghapusan/penghancuran harus disimpan untuk seluruh data

yang diklasifikasikan sebagai “Publik”, “Internal”, dan “Rahasia”.
 Catatan harus mencakup beberapa informasi meliputi media, tanggal

penghapusan/pemusnahan, metode penghapusan/pemusnahan, dan orang yang
melakukan proses tersebut.
 Prosedur pemusnahan dan penggunaan kembali perangkat informasi mengacu

pada Petunjuk Penghapusan dan Pemusnahan.
3.6.6 Perpindahan Informasi

Tujuan:
Menjamin perlindungan informasi dalam jaringan dan fasilitas pendukung
informasi.
Pengendalian:
Perangkat sistem informasi kecuali perangkat komputer jinjing (laptop), tidak boleh
dipindahkan/dibawa keluar area perusahaan tanpa seizin dari pimpinan unit kerja
masing-masing.
34
Ketentuan:
 Perangkat sistem informasi kecuali perangkat komputer jinjing (laptop) milik
BPJS Kesehatan hanya boleh dibawa keluar area perusahaan setelah disetujui
oleh pimpinan unit kerja masing-masing.
 Perpindahan perangkat informasi harus didokumentasikan dan diawasi.
3.6.7 Meja Bersih dan Layar Bersih

Tujuan:
(compromise) aset dan gangguan, terhadap operasi BPJS Kesehatan.
Pengendalian:
(compromise) aset dan gangguan, terhadap operasi BPJS Kesehatan.
Ketentuan:
Prosedur pelaksanaan Clear Desk&Clear Screen agar mengacu pada Petunjuk
Pengosongan Meja dan Layar.
3.7 Manajemen Operasional
3.7.1 Prosedur Operasional

Tujuan:
Untuk menjamin operasi fasilitas pengolahan informasi benar dan aman.
Pengendalian:
Prosedur operasional untuk menjalankan sistem pengolahan informasi harus dibuat
secara formal, dirawat dan bisa didapatkan dengan mudah oleh pegawai yang
membutuhkannya.
Ketentuan:
Prosedur operasional sistem informasi harus memuat informasi antara lain:
1) Aktivitas
2) Penanggung jawab proses
3.7.2 Manajemen Perubahan

Tujuan:
Untuk menjamin perubahan pada sistem informasi terkelola dan terkendali dengan
benar.
35
Pengendalian:
Seluruh perubahan terhadap fasilitas pengolah, dan pengelola informasi harus
dikendalikan. BPJS Kesehatan harus mempunyai catatan perubahan yang
terdokumentasi.
Ketentuan:
BPJS Kesehatan mengacu pada Pedoman Sistem Manajemen Layanan Teknologi
Informasi untuk mengendalikan setiap perubahan pada perangkat lunak maupun
infrastruktur.
3.7.3 Pemisahan Aktivitas Pengembangan, Pengujian dan Operasional

Tujuan:
Untuk mengurangi risiko perubahan yang tidak sah atau adanya akses yang tidak
berwenang.
Pengendalian:
Fasilitas pengembangan sistem, pengujian dan produksi harus dipisahkan untuk
mengurangi risiko perubahan yang tidak sah oleh pihak yang tidak berwenang.
Ketentuan:
 Fasilitas pengembangan aplikasi dan pengujian aplikasi harus berada pada
sistem yang terpisah dari lingkungan produksi.
 Lingkungan pengujian aplikasi harus memiliki kesetaraan konfigurasi dan

spesifikasi dengan lingkungan produksi aplikasi.
 Prosedur pemindahan aplikasi dari pengembangan ke produksi harus ditetapkan

secara formal.
 Compiler, editor, dan tools pengembangan lain tidak diperbolehkan untuk

digunakan pada sistem produksi kecuali saat emergency.
 Konfigurasi sistem pengembangan, pengujian dan produksi harus dipelihara
3.7.4 Pengelolaan Layanan Pihak Eksternal

Tujuan:
Untuk memastikan bahwa pihak eksternal sebagai penyedia layanan memelihara
kemampuannya dalam menyediakan layanan dan keamanan informasi yang sesuai
dengan perjanjian kerja.
36
Pengendalian:
 Implementasi tingkat layanan dan pengamanan informasi oleh pihak ketiga yang
sesuai dengan perjanjian kerja harus dimonitor.
 Tingkat layanan, pelaporan dan catatan yang diberikan oleh pihak ketiga harus
dimonitor secara rutin dan ditinjau ulang.
 Pihak ketiga yang melakukan pengelolaan Teknologi Informasi (TI) harus

melaksanakan prinsip Change Management dalam setiap aktivitas perubahan
sistem yang dilakukan.
Ketentuan:
 Layanan oleh pihak ketiga harus dipastikan memenuhi tingkat layanan yang
sesuai dengan Service Level Agreement dan persyaratan keamanan informasi
yang sudah ditentukan
 BPJS Kesehatan harus memastikan bahwa pihak ketiga memiliki kemampuan

dan perencanaan untuk menghadapi kegagalan atau bencana, sehingga pihak
ketiga yang bersangkutan dapat memelihara tingkat layanan yang sudah
disepakati.
 Pengawasan terhadap kinerja pihak ketiga harus dilakukan untuk menjamin:

1) Kinerja atau service level pihak ketiga sudah sesuai dengan perjanjian
2) Kebenaran laporan layanan tahunan yang disusun oleh pihak ketiga
3) Bila terjadi insiden keamanan informasi, maka dapat dilakukan penanganan
sesuai dengan prosedur penanganan insiden keamanan informasi yang
berlaku.
 BPJS Kesehatan harus memiliki kontrol atas keamanan informasi rahasia yang
diakses, diproses atau dikelola oleh pihak ketiga.
 BPJS Kesehatan harus memastikan pihak ketiga melaksanakan pengamanan

informasi, identifikasi atas kelemahan sistem informasi dan penanganan
insiden keamanan informasi.
 Perubahan sistem pada layanan TI oleh pihak ketiga (Outsourcing) harus di review
dan disetujui oleh Unit Kerja Pelaksana Fungsi (UKPF) yang bertanggung jawab
sebelum perubahan diimplementasikan.
3.7.5 Perencanaan dan Pemantauan Kapasitas

Tujuan:
Untuk mengendalikan dan meminimalkan risiko terjadinya kegagalan sistem.
37
Pengendalian:
 BPJS Kesehatan harus memantau penggunaan seluruh sumber daya sistem
informasi, dilakukan tuning dan dibuat perkiraan penggunaan sumberdaya
sistem tersebut di masa depan untuk menjamin kinerja sistem selalu tersedia
pada tingkat yang diharapkan dan tidak terjadi kegagalan sistem akibat
kapasitas sistem yang tidak mencukupi.
 BPJS Kesehatan harus menetapkan kriteria uji terima (acceptance criteria) bagi
sistem informasi baru, kriteria pemutakhiran (upgrade) atau kriteria versi baru
sebelum diimplementasikan di lingkungan kerja.
Ketentuan:
 Semua aktivitas atau proses pada sistem informasi baik yang sedang berjalan
maupun yang akan diimplementasikan harus memperhitungkan kebutuhan
kapasitas sumber daya sistem.
 Proses monitoring sistem dan tuning sistem harus dilakukan untuk memastikan
dan meningkatkan kinerja, availability dan efisiensi sistem.
 Perkiraan/proyeksi kebutuhan kapasitas sistem untuk masa yang akan datang

harus diperhitungkan dengan memperhatikan trend pertumbuhan penggunaan
sumber daya sistem dan perkembangan bisnis.
 Perencanaan kapasitas harus di-update agar sesuai dengan perubahan yang ada.
 Semua sistem baru atau sistem hasil upgrade harus melalui proses pengujian
formal sebelum digunakan.
3.7.6 Perlindungan Malware dan Pengelolaan Patch

Tujuan:
Untuk memastikan informasi dan fasilitas pengolahan informasi terlindungi dari malware.
Pengendalian:
 Kendali deteksi, pencegahan dan pemulihan untuk melindungi perangkat
informasi terhadap malware harus diimplementasikan.
 Unit Kerja Pelaksana Fungsi melakukan kajian dan pembaharuan security patch
secara berkala.
 Unit Kerja Pelaksana Fungsi yang terkait pengelolaan perangkat informasi

harus memantau implementasi security patch pada perangkat informasi dan
melakukan pengkinian security patch, pada pelaksanaan pengkinian security
patch di kantor cabang/wilayah dilakukan oleh IT Helpdesk.
38
Ketentuan:
 Aturan pengendalian terhadap malware agar mengacu pada Standar Penggunaan
Aset.
 Perangkat computer desktop dan computer jinjing diterapkan pembaharuan

patch secara otomatis untuk memastikan system operasi dan aplikasi
menggunakan patch terkini.
 Semua server atau perangkat BPJS Kesehatan yang kritikal/penting harus

menerapkan security patch terkini segera setelah hal itu tersedia sepanjang
penerapannya tidak menimbulkan risiko operasional layanan TI. Untuk server/
perangkat lainnya penerapan security patch dapat dilakukan sesuai kebutuhan.
 Sebelum diterapkan di lingkungan operasional, risiko penerapan

security patch perlu dikaji dan dilakukan pengujian di fasilitas pengembangan
(development) yang tersedia untuk memastikan agar penerapannya tidak
menyebabkan gangguan terhadap operasional layanan TI.
 Penerapan security patch harus dilakukan dengan mengikuti prosedur

pengelolaan perubahan (change management) yang berlaku.
 Bukti penerapan security patch harus disediakan dan disimpan sebagai rekaman.
3.7.7 Backup
Tujuan:
Proses backup harus dilakukan secara berkala untuk menjaga integritas dan
ketersediaan sistem informasi.
Pengendalian:
Salinan cadangan informasi dan perangkat lunak harus diambil dan diuji secara
berkala sesuai dengan kebijakan cadangan yang disetujui.
Ketentuan:
 Backup informasi/data dan piranti lunak yang kritikal harus dibuat untuk dapat
memenuhi kebutuhan recovery bila terjadi permasalahan atau bencana.
 Sistem pencadangan ditempatkan pada lokasi terpisah dengan pusat data

utama.
 Frekuensi backup disesuaikan dengan kebutuhan bisnis.
 Masa retensi dari backup informasi perlu ditentukan berdasarkan kebutuhan

bisnis dan kewajiban untuk memenuhi regulasi eksternal serta kewajiban kontrak.
39
 Hasil pelaksanaan backup harus didokumentasikan.
 BPJS Kesehatan memastikan data yang di cadangkan sesuai dengan data

produksi menggunakan metode pencadangan tersinkronisasi secara realtime.
 Prosedur pengendalian backup terhadap aset informasi didokumentasikan

dalam Standar Backup.
3.7.8 Pencatatan (logging) dan Pemantauan

Tujuan:
Untuk mencatat peristiwa dan menghasilkan barang bukti.
Pengendalian:
 Fasilitas audit logging dan informasi log yang ada didalamnya harus dilindungi
dari gangguan, upaya perubahan dan akses yang tidak berwenang.
 Log Administrator dan log operasional pada sistem harus diaktifkan untuk
mencatat aktivitas Administrator dan operasional.
 Kegagalan atau kesalahan pada sistem harus dicatat, dilaporkan, dianalisis dan
ditindaklanjuti dengan tepat.
 Jam pada perangkat pengolah informasi harus di sinkronisasi untuk menjaga

akurasi audit log.
Ketentuan:
 Akses terhadap audit log harus dibatasi hanya bagi personil dengan tugas dan
tanggung-jawab memerlukan akses ke dalam file audit log.
 Kapasitas penyimpanan log files harus dijaga agar tidak menyebabkan

terhentinya sistem logging untuk mencatat events atau overwriting pada event
log sebelumnya.
 Audit logging yang sudah ditetapkan untuk diaktifkan, tidak boleh dinonaktifkan.
 Log perangkat jaringan disimpan dalam server log, dan dilakukan kajian event
pada jaringan.
 Log monitoring sistem ditempatkan pada jaringan yang sama dan dilindungi oleh
firewall.
 Audit log dari server, firewall dan routers harus di backup ke suatu internal log
server atau media penyimpan data yang aman dari upaya modifikasi.
40
 Masa retensi penyimpanan audit log harus ditetapkan sesuai dengan kebutuhan
perusahaan dan regulasi yang mengatur.
 Pencatatan audit log untuk mencatat aktivitas administrator dan aktivitas

operasional pada server atau perangkat sistem lainnya harus meliputi:
1) ID dari administrator atau operator yang digunakan.
2) Tanggal dan jam dari kejadian (event) yang berhasil maupun yang gagal.
3) Informasi mengenai kejadian (event) atau kegagalan yang terjadi.
 Sistem Administrator dilarang menghapus atau menonaktifkan log dari aktivitas

siapapun termasuk diri mereka sendiri.
 Setiap kegagalan atau kesalahan pada sistem harus dicatat, dilaporkan dan
dianalisis serta dilakukan tindakan perbaikan yang sesuai.
 Error logging pada sistem/aplikasi bila tersedia, harus selalu diaktifkan.
 Audit Logging dapat berpengaruh terhadap kinerja sistem, oleh sebab itu
pengaktifan log harus dilakukan hanya pada error/fault log tertentu sesuai
kebutuhan dan dilakukan oleh personil yang kompeten.
 Jam (clock) dari semua server DC & DRC, komputer dan perangkat pemroses
informasi lainnya harus di sinkronisasi sehingga menunjukkan waktu yang sama.
3.7.9 Kendali Perangkat Lunak Operasional

Tujuan:
Untuk memastikan integritas sistem operasional.
Pengendalian:
Prosedur harus diimplementasikan untuk mengendalikan instalasi perangkat lunak
pada sistem operasional.
Ketentuan:
Prosedur harus diimplementasikan untuk mengendalikan instalasi perangkat lunak
pada sistem operasional.
3.7.10 Pengelolaan Kerentanan Teknis

Tujuan:
Pengendalian ini dimaksudkan untuk mengendalikan risiko yang disebabkan oleh
terjadinya eksploitasi terhadap kerentanan yang mungkin ada pada sistem operasi,
database, jaringan, maupun aplikasi.
41
Pengendalian:
 Informasi mengenai kerentanan sistem harus didapatkan secara tepat waktu
melalui pengujian dan dari informasi eksternal.
 Kerentanan sistem harus dievaluasi dan dilakukan tindakan perbaikan yang

sesuai secara tepat waktu.
Kententuan:
 Vulnerability Assessment pada sistem operasi, jaringan, database maupun
aplikasi harus dilakukan secara berkala, misalnya dengan menggunakan
penetration testing yang dilakukan setiap tahun sekali atau jika diperlukan.
 Unit Kerja Pelaksana Fungsi keamanan yang bertanggung-jawab untuk

melakukan vulnerability assessment harus mendapatkan informasi mengenai
sistem vulnerabilities secara berkala dari forum atau melalui subscription
lainnya.
3.8 Keamanan Komunikasi
3.8.1 Manajemen Keamanan Jaringan dan Layanan Jaringan

Tujuan:
Untuk menjamin perlindungan informasi dalam jaringan dan fasilitas pendukung
pengolahan informasi.
Pengendalian:
 Pengendalian keamanan pada jaringan harus dikelola dan dikendalikan untuk
melindungi informasi yang dikirimkan pada jaringan dan melindungi sistem
informasi yang menggunakan jaringan tersebut.
 Kelompok layanan informasi, pengguna dan sistem informasi harus dipisahkan

pada jaringan.
 Tingkat layanan (service level), fitur keamanan, dan semua kebutuhan layanan
jaringan dari provider jaringan harus tercakup di dalam kontrak dengan penyedia
layanan jaringan (network service provider).
Ketentuan:
Prosedur pengendalian manajemen keamanan jaringan mengacu pada standarisasi
jaringan komunikasi data yang berlaku.
42
3.8.2 Perpindahan Informasi

Tujuan:
Untuk memelihara keamanan informasi yang dipindahkan dalam suatu organisasi
ataupun dengan pihak luar.
Pengendalian:
Proses pemindahan/transfer data yang bersifat confidential harus dilindungi dari
risiko adanya akses atau perubahan oleh pihak yang tidak berwenang terhadap data
yang dipindahkan.
Ketentuan:
 Proses perpindahan informasi dengan pihak eksternal melalui jaringan atau
media komunikasi elektronik harus memperhatikan hal-hal berikut ini:
1) Pengamanan pertukaran informasi dari risiko intersepsi, modifikasi, dan

misrouting kepada penerima yang salah.
2) Kriptografi harus digunakan untuk melindungi keamanan informasi

sensitif yang dipertukarkan melalui jaringan eksternal, termasuk data yang
dipertukarkan melalui email attachment.
3) Tidak diperkenankan untuk melakukan forwarding dari email perusahaan ke

email pribadi.
4) Perlindungan informasi dari malicious code pada saat dikirimkan melalui

media komunikasi elektronik.
5) Pemberian awareness kepada semua pegawai untuk bertanggung

jawab dalam bertukar informasi dengan pihak eksternal sehingga tidak
menyebabkan berkurangnya reputasi BPJS Kesehatan.
 Proses pengendalian perpindahan informasi mengacu pada Standar

Perpindahan Informasi.
3.8.3 Perjanjian Perpindahan Informasi

Tujuan:
Untuk memelihara keamanan informasi yang dipindahkan dalam suatu organisasi
ataupun dengan pihak luar.
Pengendalian:
Kesepakatan atau perjanjian perlu dibuat untuk mengatur pertukaran informasi BPJS
Kesehatan dengan pihak eksternal.
43
Ketentuan:
 Sebelum bertukar informasi dan/atau perangkat lunak dengan pihak eksternal,
sebuah perjanjian harus ditandatangani, yang merupakan tanggung jawab
personil yang berwenang.
 Perjanjian tersebut dapat berupa kertas atau elektronik dan harus berisi klausul
yang sesuai dengan risk assessment, termasuk setidaknya metode identifikasi
dari pihak lain, otorisasi untuk mengakses informasi, memastikan tidak ada
penolakan, standar teknis untuk transfer data, respon insiden, pelabelan dan
penanganan informasi sensitif, dan hak cipta.
 Perjanjian perpindahan informasi untuk pertukaran informasi dengan pihak lain

harus memperhatikan aspek keamanan informasi sebagai berikut:
1) Pengaturan notifikasi atas pengiriman dan penerimaan data.
2) Pertukaran informasi yang harus dapat ditelusuri (traceable) dan memenuhi
persyaratan non-repudiation.
3) Tugas dan tanggung jawab apabila terjadi insiden keamanan informasi.
4) Perlindungan data seperti penggunaan kriptografi untuk informasi yang
sensitif.
5) Pelabelan informasi yang kritikal dan sensitif.
3.8.4 Pesan Elektronik

Tujuan:
Untuk memastikan pengiriman informasi melalui media elektronik terjamin
kerahasiaannya.
Pengendalian:
Pengiriman informasi milik perusahaan menggunakan metode pesan elektronik
(electronic messaging) harus dilindungi.
Ketentuan:
Prosedur persyaratan penggunaan email dan media komunikasi mengacu pada
Standar Penggunaan Aset Informasi.
44
3.9 Pengembangan dan Pemeliharaan Sistem Aplikasi
3.9.1 Persyaratan Keamanan Sistem Informasi

Tujuan:
Untuk memastikan bahwa keamanan informasi merupakan sebuah bagian integral
dari sistem informasi di keseluruhan daur hidup. Hal ini juga termasuk persyaratan
untuk sistem informasi yang menyediakan layanan melalui jaringan publik.
Pengendalian:
 BPJS Kesehatan menetapkan dan mendokumentasikan secara jelas
persyaratan-persyaratan keamanan informasi yang relevan sebelum dilakukannya
proyek pembangunan, perluasan, atau pengadaan sistem informasi baru.
Persyaratan keamanan informasi proyek teknologi informasi didefinisikan
secara terpisah dalam Standar Pengembangan Aman.
 Situs Organisasi yang disediakan bagi publik harus dilindungi dari perubahan
atau modifikasi secara tidak berwenang. Kandungan informasi yang disediakan
bagi publik harus diotorisasi oleh Unit Kerja Pelaksana Fungsi yang berwenang.
Ketentuan:
Persyaratan yang terkait keamanan informasi untuk sistem informasi baru atau
pengembangan sistem informasi yang ada didokumentasikan dan diterapkan sesuai
dengan dokumen Standar Pengembangan Aman.
3.9.2 Perencanaan Keamanan Informasi Dalam Proses Pengembangan

Tujuan:
Untuk memastikan bahwa keamanan informasi dirancang dan diterapkan dalam daur
hidup pengembangan sistem informasi.
Pengendalian:
Perencanaan pengendalian keamanan informasi pada sistem aplikasi harus
dilakukan pada saat tahap perancangan (desain) sistem aplikasi yang bersangkutan.
Ketentuan:
Prosedur kebijakan keamanan informasi dalam pengembangan perangkat lunak
mengacu pada Standar Pengembangan Aman.
45
3.9.3 Keamanan Proses Pengembangan

Tujuan:
Untuk memastikan bahwa keamanan informasi dirancang dan diterapkan dalam daur
hidup pengembangan sistem informasi.
Pengendalian:
 Data yang dimasukkan (input) ke dalam sistem aplikasi harus divalidasi untuk
memastikan bahwa data yang dimasukkan (input) sudah benar.
 Pengujian validasi input data dilakukan pada front-end dan back-end system
informasi/aplikasi
 Sistem aplikasi harus dapat mendeteksi adanya kesalahan pada pemrosesan

data baik disengaja maupun tidak disengaja.
 Message authentication (autentikasi pada pesan) harus digunakan apabila

terdapat persyaratan keamanan untuk melindungi keaslian pesan pada sistem
aplikasi tertentu.
 Data output dari aplikasi harus divalidasi untuk memastikan kebenaran hasil
pemrosesan informasi dalam aplikasi.
Ketentuan:
Prosedur keamanan informasi dalam proses pengembagan sistem aplikasi
mengacu pada Standar Pengembangan Aman.
3.9.4 Data Uji

Tujuan:
Untuk memastikan perlindungan terhadap data yang digunakan untuk pengujian.
Pengendalian:
Penggunaan data dari sistem produksi untuk keperluan pengujian di testing/
development environment harus dilindungi dan dikendalikan.
Ketentuan:
 Data yang digunakan dalam pengujian sistem (sistem test data) harus dilindungi
dari kemungkinan rusak, hilang, atau perubahan yang dilakukan tanpa izin.
 Beberapa pengendalian berikut dapat dipertimbangkan untuk melindungi data

production yang digunakan untuk pengujian sistem di lingkungan testing atau
development:
46
a. Bila diperlukan, informasi nasabah (seperti nama, alamat, nomor telepon

dsb) agar disamarkan/masked.
b. Setelah proses pengujian selesai, dan data produksi ybs tidak diperlukan
lagi, maka harus segera dihapus.
c. Penggunaan data produksi pada sistem testing harus didokumentasikan.
3.10 Pengelolaan Pihak Eksternal
3.10.1 Keamanan Akses Pihak Eksternal

Tujuan:
Untuk memastikan perlindungan aset organisasi yang dapat diakses pihak ketiga.
Pengendalian:
Akses terhadap sumber daya informasi di BPJS Kesehatan harus dikendali secara
ketat.
Ketentuan:
 Sebelum memberikan akses kepada mitra, pengguna jasa layanan, atau pihak
eksternal lainnya, masing-masing divisi wajib mendeteksi dan mengevaluasi
risiko-risiko yang mungkin muncul sehubungan dengan pemberian akses dan
menerapkan kontrol yang memadai untuk mengurangi dampak atau mencegah
terjadinya risiko-risiko tersebut.
 Evaluasi dilakukan dengan memperhatikan aspek-aspek berikut:

1) Jenis akses yang diperlukan seperti akses fisik ke kantor, ruang kerja, atau
ruang server, akses non fisik ke dalam jaringan, basis data dan sistem
informasi.
2) Alasan kebutuhan akses seperti untuk memberi dukungan perangkat keras
dan perangkat lunak, audit keamanan informasi dan pengembangan aplikasi
dan sistem informasi.
 Pengendalian risiko pemberian akses pada pihak eksternal dilakukan antara

lain melalui klausul-klausul dalam perjanjian kontrak dan melalui Pernyataan
Menjaga Kerahasiaan NDA (non disclosure agreement).
3.10.2 Kontrak
Tujuan:
Untuk memastikan pihak yang bekerja sama dalam perjanjian kerja mengetahui dan
menerapkan persyaratan keamanan informasi dalam perjanjian kerja.
47
Pengendalian:
BPJS Kesehatan bertanggung jawab untuk memutuskan klausa keamanan yang akan
dimasukkan kedalam kontrak dengan pemasok atau mitra kerja.
Ketentuan:
 Dalam perjanjian kontrak dengan pemasok atau mitra kerja dicantumkan antara
lain:
1) Kewajiban pihak eksternal mematuhi kebijakan keamanan informasi yang
berlaku.
2) Persetujuan untuk turut melindungi keamanan sumber daya informasi BPJS
Kesehatan terkait dengan akses yang diberikan.
3) Identitas pegawai pihak eksternal yang menggunakan akses ini.
4) Pembatasan lokasi dari mana akses dapat dilakukan dan waktu penggunaan
akses.
5) Persetujuan atas hak pantau dan pengawasan yang dilakukan terhadap
penggunaan akses.
6) Setiap aset yang diberikan kepada pihak eksternal wajib dikembalikan saat
perjanjian kerja berakhir.
7) Rentang waktu yang ditetapkan untuk menjaga kerahasiaan informasi milik
BPJS yang diakses/digunakan.
 BPJS Kesehatan harus memutuskan siapakah dari pemasok atau mitra kerja
yang harus menandatangani Pernyataan Menjaga Kerahasiaan.
 BPJS Kesehatan harus memutuskan siapakah yang akan menjadi pemilik dan
bertanggung jawab atas kontrak untuk setiap kontrak yang ada.
3.10.3 Evaluasi dan Peninjauan

Tujuan:
Pengelolaan layanan pihak ketiga harus dilakukan untuk menjamin tingkat layanan
dan keamanan informasi yang sesuai dengan perjanjian kerja.
Pengendalian:
Tingkat layanan, pelaporan dan catatan yang diberikan oleh vendor/pihak ketiga
harus dimonitor secara rutin dan di review.
Ketentuan:
BPJS Kesehatan harus memastikan bahwa:
48
 Kinerja/service level pihak ketiga sudah sesuai dengan perjanjian.
 Kebenaran laporan layanan yang disusun oleh pihak ketiga.
 Bila terjadi insiden keamanan informasi, maka dapat dilakukan penanganan

sesuai dengan prosedur penanganan insiden keamanan informasi
 Kontrol atas keamanan informasi rahasia yang diakses, diproses atau dikelola
oleh pihak ketiga.
 Pihak ketiga melaksanakan pengamanan informasi, identifikasi atas kelemahan

sistem informasi dan penanganan insiden keamanan informasi.
3.10.4 Manajemen Perubahan Pada Layanan TI Oleh Pihak Ketiga

Tujuan:
Pengelolaan layanan pihak ketiga harus menjamin tingkat layanan dan keamanan
informasi yang sesuai dengan perjanjian kerja.
Pengendalian:
Pihak ketiga yang melakukan pengelolaan Teknologi Informasi (TI) harus
melaksanakan prinsip change management dalam setiap aktivitas perubahan sistem
yang dilakukan.
Ketentuan:
Perubahan sistem pada layanan TI oleh pihak ketiga (outsourcing) harus ditinjau
dan disetujui oleh Unit Kerja Pelaksana Fungsi yang bertanggung-jawab sebelum
perubahan diimplementasikan.
3.11 Manajemen Insiden
3.11.1 Manajemen Insiden Keamanan Informasi

Tujuan:
Untuk memastikan pendekatan konsisten dan efektif untuk manajemen insiden
keamanan informasi, termasuk komunikasi tentang kejadian dan kelemahan
keamanan.
Pengendalian:
 Kejadian keamanan informasi harus dilaporkan dan dicatat pada ITSM Tools oleh
siapa saja yang mengalami insiden keamanan informasi atau melalui IT Help Desk.
 Insiden keamanan informasi harus ditanggapi segera mungkin.
49
 Insiden keamanan informasi harus dinilai dan diputuskan jika akan

diklasifikasikan sebagai insiden keamanan informasi.
Ketentuan:
Pengendalian Manajemen Insiden didokumentasikan dalam Standar Manajemen
Insiden.
3.12 Keberlangsungan Bisnis
3.12.1 Keamanan Informasi Pada Business Continuity Management (BCM)

Tujuan:
Untuk kesiapan dalam menghadapi gangguan terhadap aktivitas bisnis BPJS
Kesehatan dan melindungi proses bisnis yang bersifat kritikal akibat terjadinya
kegagalan sistem informasi yang berjalan atau terjadinya suatu bencana serta untuk
memastikan dilakukannya pemulihan secara tepat waktu.
Pengendalian:
Prosedur BCM harus memperhatikan persyaratan keamanan dan ketersediaan
informasi kritikal yang dibutuhkan untuk kelangsungan bisnis perusahaan.
Ketentuan:
 Rutin melakukan backup terhadap data dan aplikasi yang digunakan dalam
pelayanan teknologi informasi.
 Menetapkan Disaster Recovery Plan bagi seluruh proses kegiatan vital

yang terkait layanan berbasis teknologi informasi dan komunikasi dalam
rangka mengurangi dampak kegagalan sistem informasi atau bencana yang
menyebabkan terganggunya operasional bisnis perusahaan.
 Disaster Recovery Plan dilakukan dengan mempertimbangkan hal-hal sebagai

berikut:
1) Dilakukannya identifikasi aset-aset informasi yang vital dan sensitif,
khususnya yang berklasifikasi rahasia.
2) Dilakukannya identifikasi kejadian-kejadian yang menyebabkan gangguan
terhadap proses kegiatan yang penting.
3) Ditindaklanjutinya hasil-hasil kajian risiko keamanan informasi.
 Untuk menjamin agar pengelolaan kelangsungan layanan teknologi informasi

tetap relevan dan efektif, maka pengelolaan kelangsungan layanan teknologi
informasi dan komunikasi harus diuji secara teratur, minimal sekali setahun.
50
 Hasil-hasil pengujian pengelolaan kelangsungan layanan teknologi informasi dan

komunikasi dan tindakan-tindakan lanjutan yang perlu diambil atas hasil-hasil
tersebut harus dilaporkan ke manajemen.
3.13 Kesesuaian
3.13.1 Identifikasi Terhadap Hukum, Undang-undang dan Peraturan

Tujuan:
Untuk menghindari pelanggaran hukum, undang-undang, peraturan atau kewajiban
kontraktual yang terkait dengan keamanan informasi dan persyaratan keamanan
lainnya.
Pengendalian:
Untuk menghindari pelanggaran hukum, undang-undang, peraturan atau kewajiban
kontraktual yang terkait dengan keamanan informasi dan persyaratan keamanan
lainnya.
Ketentuan:
 Seluruh pengguna sistem informasi milik BPJS Kesehatan termasuk mitra kerja
dan pihak eksternal lainnya harus mematuhi kebijakan keamanan informasi
yang sudah ditetapkan, dan mentaati ketentuan hukum dan undang-undang
yang terkait serta perjanjian tentang lisensi, termasuk persyaratan-persyaratan
kontrak yang telah disetujui.
 Unit Kerja Pelaksana Fungsi harus mengkomunikasikan semua ketentuan

tersebut terkait agar semua pihak terkait mengetahui kewajibannya untuk
mematuhi semua ketentuan tersebut.
3.13.2 Hak Atas Kekayaan Intelektual (HAKI)

Tujuan:
Untuk memastikan kesesuaian dengan persyaratan hukum dan perundang-
undangan serta kontraktual yang terkait dengan hak atas kekayaan intelektual dan
penggunaan produk perangkat lunak proprietary.
Pengendalian:
BPJS Kesehatan harus memastikan kesesuaian terhadap undang-undang/peraturan
penggunaan material yang memiliki hak atas kekayaan intelektual (intelectual
property rights) dan produk software berlisensi.
51
Ketentuan:
 BPJS Kesehatan harus mematuhi ketentuan perlindungan hak atas kekayaan
intelektual (HAKI) yang mencakup penggunaan perangkat lunak berlisensi.
 Daftar aset yang memiliki hak atas kekayaan intelektual harus dipelihara
dengan baik.
 Menjamin bahwa pemasangan perangkat lunak dalam sistem komputer BPJS

Kesehatan dilakukan dengan mematuhi ketentuan penggunaan lisensi secara
tepat. Penggandaan perangkat lunak secara tidak sah tidak diizinkan, dan
merupakan bentuk pelanggaran terhadap kebijakan serta ketentuan hak cipta.
 Setiap penemuan, kegiatan, atau gagasan-gagasan praktis yang diperoleh

pegawai selama bekerja dan dihasilkan oleh sumber daya milik BPJS Kesehatan,
adalah menjadi hak milik eksklusif BPJS Kesehatan.
 Daftar lisensi perangkat lunak akan dipelihara dan diperbarui.
 Lisensi perangkat lunak yang disediakan tidak boleh digunakan atau dipasang di
peralatan komputer selain milik BPJS Kesehatan.
3.13.3 Perlindungan Terhadap Dokumen Perusahaan

Tujuan:
Untuk melindungi dokumen perusahaan dari kehilangan, kerusakan, pemalsuan,
akses tidak sah sesuai dengan persyaratan peraturan perundangan, kontraktual dan
bisnis.
Pengendalian:
Dokumen perusahaan harus diamankan dari risiko kehilangan, kerusakan, dan
pemalsuan agar dapat mematuhi undang undang, peraturan, kontrak, dan kebutuhan
bisnis.
Ketentuan:
 Dokumen penting milik BPJS Kesehatan dan/atau yang digunakan dan
dihasilkan oleh sistem informasi atau aset informasi yang dikelola seperti
database, audit log, dan transaction log harus dilindungi dari kehilangan,
kerusakan, atau penyalahgunaan sesuai peraturan atau undang-undang yang
berlaku.
 Terdapat ketentuan dan prosedur mengenai masa retensi, penyimpanan,

penanganan dan pemusnahan dokumen BPJS Kesehatan.
52
3.13.4 Perlindungan Data dan Informasi Pribadi

Tujuan:
Untuk melindungi informasi pribadi yang diperbolehkan oleh peraturan dan
ketentuan perundang-undangan.
Pengendalian:
Pengamanan data dan informasi pribadi harus sesuai dengan hukum dan undang-
undang atau peraturan yang berlaku.
Ketentuan:
 BPJS Kesehatan akan melindungi kepemilikan dan kerahasiaan data pribadi
pegawai dan pihak ketiga yang terdaftar. Data-data tersebut hanya boleh
digunakan untuk kepentingan yang diperbolehkan oleh peraturan dan
ketentuan perundang undangan.
 BPJS Kesehatan harus melindungi kepemilikan dan kerahasiaan data pribadi

pelanggan/pengguna.
3.13.5 Kesesuaian Terhadap Kebijakan dan Standar Keamanan Informasi

Tujuan:
Proses ini bertujuan untuk memastikan kesesuaian terhadap kebijakan dan standar
keamanan informasi yang ditetapkan oleh BPJS Kesehatan.
Pengendalian:
Setiap pimpinan Unit Kerja harus memastikan semua prosedur keamanan dalam area
kerjanya telah dijalankan dengan benar dan telah mematuhi kebijakan dan standar
keamanan informasi perusahaan.
Ketentuan:
 BPJS Kesehatan akan menjamin dipatuhinya kebijakan, prosedur dan standar
keamanan informasi di semua Unit Kerja dengan cara berikut:
1) Mengkomunikasikan kebijakan, pedoman, dan prosedur keamanan informasi
ke seluruh pegawai BPJS Kesehatan.
2) Meningkatkan pengetahuan dan keterampilan pegawai dalam pengelolaan
keamanan informasi sesuai dengan bidang tugasnya.
3) Memeriksa dan mengevaluasi tingkat kesesuaian pegawai terhadap
pelaksanaan kebijakan ini secara berkala.
53
 Setiap ketidakpatuhan terhadap kebijakan, prosedur dan standar keamanan

informasi, para kepala Unit Kerja harus:
1) Menentukan penyebab dari ketidakpatuhan.
2) Menentukan dan menerapkan tindakan perbaikan yang sesuai.
3) Menentukan tindakan yang diperlukan untuk mencegah terjadinya kembali
ketidakpatuhan.
4) Meninjau efektifitas tindakan perbaikan yang telah diambil.
 Pemeriksaan kesesuaian teknis harus dilakukan untuk memastikan bahwa

pengendalian secara teknis dari perangkat lunak maupun perangkat keras telah
dilakukan sesuai dengan spesifikasi atau standar yang berlaku.
 Pemeriksaan kesesuaian teknis seperti tes penetrasi (penetration test),

pemindaian jaringan (scanning), atau teknik pencarian kelemahan keamanan
informasi lainnya (vulnerability assessment), akan dilakukan secara
berkala oleh pegawai yang betul-betul ahli di bidangnya baik dari internal
BPJS Kesehatan ataupun menggunakan jasa ahli independen dari luar BPJS
Kesehatan.
 Rencana pemeriksaan kesesuaian teknis harus didokumentasikan,

dikomunikasikan, dan disetujui Unit Kerja Pelaksana Fungsi Quality Assurance TI.
 Setiap pemeriksaan teknis harus dicatat dan dilaporkan sebagai masukan bagi
evaluasi manajemen keamanan informasi.
3.13.6 Pertimbangan Audit Sistem Informasi

Tujuan:
Untuk memaksimalkan efektivitas audit dan meminimalkan gangguan terhadap
proses operasional terkait dengan pelaksanaan audit pada sistem informasi.
Pengendalian:
 Aktivitas audit sistem informasi harus direncanakan dan disetujui untuk
meminimalkan dampak dari gangguan terhadap proses bisnis BPJS Kesehatan.
 Persyaratan dan aktivitas audit yang melibatkan verifikasi sistem operasional

harus direncanakan secara hati-hati dan disepakati untuk memperkecil
gangguan ke proses bisnis.
54
Ketentuan:
Dalam melaksanakan audit sistem informasi harus memperhatikan beberapa hal
berikut ini:
a. Persyaratan audit (audit requirements) perlu disetujui dengan pihak Deputi
Direksi yang terkait.
b. Ruang lingkup pemeriksaan audit harus dikomunikasikan sebelum audit dilakukan.
c. Akses pada pemeriksaan audit terhadap data dan aplikasi perlu dibatasi dengan
akses read only.
d. Hak akses selain read only hanya dibolehkan untuk salinan atau copy dari
sistem files yang terbatas dan terisolasi. Salinan atau copy tersebut perlu
segera dihapus setelah proses audit selesai atau diberikan perlindungan yang
memadai apabila terdapat kebutuhan untuk mendokumentasikan salinan dari
sistem files tersebut.
e. Seluruh prosedur, persyaratan dan tanggung jawab proses audit sistem informasi
harus didokumentasikan secara formal.
3.13.7 Perlindungan Terhadap Peranti Lunak Audit/Audit Tools

Tujuan:
Untuk memaksimalkan efektivitas audit dan meminimalkan gangguan terhadap
proses operasional terkait dengan pelaksanaan audit pada sistem informasi.
Pengendalian:
Akses terhadap piranti lunak audit atau audit tools yang digunakan untuk
pemeriksaan sistem informasi harus dikendalikan untuk mencegah kemungkinan
penyalahgunaan.
Ketentuan:
 Piranti lunak audit atau audit tools yang digunakan untuk pemeriksaan sistem
aplikasi, data atau file audit, harus terpisah dari sistem informasi yang digunakan
untuk pengembangan dan operasional.
 Apabila audit dilakukan melibatkan pihak ketiga, piranti lunak audit atau audit
tools dan data milik BPJS Kesehatan yang diperiksa harus dijaga dari risiko
penyalahgunaan oleh pihak ketiga tersebut.
55
BAB IV
PENUTUP
4.1 Penggunaan Pedoman
 Pedoman ini sebagai panduan bagi seluruh Duta BPJS Kesehatan agar dapat menyadari
pentingnya menjaga Keamanan Informasi untuk mendukung proses bisnis BPJS
Kesehatan dan proses pengambilan keputusan.
 Pedoman ini merupakan upaya dari Direktorat Teknologi Informasi untuk meningkatkan
kualitas keamanan teknologi informasi yang disediakan, agar seluruh persyaratan dalam
pedoman ini dapat diimplementasikan dengan baik.
4.2 Faktor Pendukung Keberhasilan
Dalam rangka menjamin efektivitas pedoman ini, maka perlu diperhatikan sejumlah hal
yang menjadi faktor pendukung keberhasilan adalah komitmen dari seluruh pihak sesuai
dengan fungsi dan perannya dalam Keamanan Teknologi Informasi.
4.3 Revisi Dan Penyempurnaan
Pedoman ini dapat dilakukan penyempurnaan untuk BPJS Kesehatan menyadari pentingnya
menjaga Keamanan Informasi untuk mendukung proses bisnis BPJS Kesehatan dan
proses pengambilan keputusan.
DIREKTUR UTAMA
BADAN PENYELENGGARA
JAMINAN SOSIAL KESEHATAN,

FACHMI IDRIS
56
LAMPIRAN PEDOMAN
SISTEM MANAJEMEN
KEAMANAN INFORMASI
Direktorat Teknologi Informasi
57
Lampiran 1 - Petunjuk Mobile Computing dan Teleworking

(ISO 27001:2013 - Annex A.6)
BPJS Kesehatan
1. Tujuan, Ruang Lingkup dan Pengguna
Tujuan dokumen ini adalah untuk mencegah akses tidak sah terhadap perangkat bergerak
baik didalam ataupun diluar lokasi organisasi.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
• Standar ISO/IEC 27001, klausul A.6.2 dan A.11.2.6

• Petunjuk Klasifikasi Informasi
• Petunjuk Penggunaan Aset Informasi
• Petunjuk Password
3. Komputasi Mobile
3.1. Umum
3.1.1 Peralatan mobile computing mencakup semua jenis komputer portabel, ponsel,
ponsel pintar, kartu memori dan peralatan bergerak lainnya yang digunakan untuk
penyimpanan, pengolahan dan mentransfer data
3.1.2 Fasilitas mobile computing yang disediakan oleh Direktorat TI BPJS Kesehatan hanya
boleh digunakan untuk melaksanakan tugas pokok dan fungsi Direktorat TI BPJS
Kesehatan, dan harus disetujui oleh Asisten Deputi Bidang yang membawahi fungsi
Keamanan TI.
58
3.2. Aturan Dasar

3.2.1 Perhatian khusus harus diambil ketika peralatan mobile computing ditempatkan di
kendaraan (termasuk mobil), ruang publik, kamar hotel, tempat pertemuan, pusat
konferensi, dan daerah yang tidak dilindungi lain di luar tempat organisasi.
3.2.2 Peralatan mobile computing yang membawa informasi penting, sensitif tidak boleh
dibiarkan tanpa pengawasan dan, jika mungkin, harus secara fisik terkunci, atau
kunci khusus harus digunakan untuk mengamankan peralatan tersebut.
3.2.3 Saat menggunakan peralatan mobile computing di tempat umum, pengguna harus
memastikan bahwa data tidak dapat dibaca oleh orang yang tidak berwenang.
3.2.4 Laptop, Tablet dan Handphone yang berisi file rahasia terkait operasionalisasi BPJS
Kesehatan termasuk namun tidak terbatas pada Master File Peserta, Data Badan
Usaha, Source Code Aplikasi, Denah Kantor, Laporan Keuangan dan Laporan
Audit harus dilindungi dengan password dan media penyimpanan internal harus
dienkripsi.
3.2.5 Semua insiden kehilangan atau pencurian perangkat mobile yang berisi informasi
terkait BPJS Kesehatan harus segera dilaporkan ke Asisten Deputi Bidang yang
membawahi fungsi Keamanan TI dalam waktu maksimal 1x 24 jam.
3.2.6 Dalam kondisi tertentu jika perangkat mobile yang didalanmnya berisi informasi
rahasia BPJS Kesehatan, memerlukan perbaikan yang harus dilakukan oieh pihak
eksternal yang tidak memiliki perjanjian kerja sama dengan BPJS Kesehatan, maka
terlebih dahulu harus diinformasikan kepada fungsi Teknologi Informasi di unit kerja
setempat untuk dilakukan penghapusan, pemindahan atau penonaktifan informasi
atau konfigurasi milik BPJS Kesehatan sebelum dilakukan perbaikan oleh pihak
eksternal.
3.2.7 Orang yang menggunakan peralatan mobile computing diluar tempat bertanggung
jawab untuk melakukan reguler backup data sesuai dengan Petunjuk Backup.
3.2.8 Perlindungan data sensitif harus dilaksanakan sesuai dengan Petunjuk Klasifikasi
Informasi
3.2.9 Dalam hal peralatan mobile computing ditinggalkan, aturan untuk peralatan pengguna
tanpa pengawasan harus diterapkan sesuai dengan Kebijakan Penggunaan Aset
Informasi. Bidang yang membawahi fungsi Keamanan Informasi TI bertanggung
jawab untuk melakukan pelatihan dan peningkatan kesadaran pegawai yang
menggunakan perangkat bergerak diluar tempat organisasi.
59
4. Teleworking
4.1 Teleworking adalah perangkat/peralatan informasi dan komunikasi yang digunakan

untuk memungkinkan pegawai melakukan pekerjaan mereka di luar organisasi.
Teleworking tidak termasuk penggunaan ponsel di luar tempat organisasi.
4.2 Kegiatan teleworking hanya akan diijinkan kepada pegawai yang bersangkutan bila
memenuhi syarat-syarat sebagai berikut:
4.2.1 Lokasinya memenuhi persyaratan keamanan informasi.
4.2.2 Mematuhi kebijakan keamanan informasi.
4.2.3 Mendapat persetujuan atasan langsung pegawai yang bersangkutan dan Asisten
Deputi Bidang yang membawahi fungsi Keamanan Informasi TI.
4.2.4 Pegawai yang diijinkan untuk melakukan kegiatan teleworking harus

menandatangani surat perjanjian untuk mencegah akses tidak berwenang oleh
keluarga, teman, tamu, atau pihak yang tidak berwenang lainnya.
4.3 Penggunaan aplikasi untuk kontrol jarak jauh dibatasi hanya untuk kebutuhan
manajemen perangkat atau sistem oleh Direktorat Teknologi Informasi, dan juga untuk
kebutuhan troubleshooting oleh IT Helpdesk di kantor cabang atau oleh IT Helpdesk
di kantor Kedeputian Wilayah. Penggunaan aplikasi kontrol jarak jauh oleh unit kerja
untuk kebutuhan lainnya harus mendapatkan persetujuan Asisten Deputi Bidang
yang membawahi fungsi Keamanan Informasi TI.
4.4 Kontrol jarak jauh harus diutamakan menggunakan jaringan intranet (VPN) atau
dengan teknologi tunneling seperti yang diatur dalam klausul 4.4. Kontrol jarak jauh
menggunakan jaringan Internet diperkenankan dengan syarat aplikasi yang digunakan
harus mengaktifkan fitur multifactor authentication.
5. Penggunaan Perangkat Pribadi (Bring Your Own Device)
5.1. Umum
5.1.1. Perangkat Pribadi/BYOD mencakup semua jenis perangkat portable computer,
telepon selular, smartphone dan peralatan bergerak lainnya yang digunakan untuk
penyimpanan, pengolahan dan mentransfer data.
5.2. Aturan Dasar

5.2.1 Untuk mencegah upaya akses illegal (unauthorized), perangkat BYOD harus diproteksi
dengan password yang ketat untuk mengakses jaringan kantor.
5.2.2 Petunjuk pembuatan password sebagaimana mengacu pada Petunjuk Password.
60
5.2.3 Perangkat BYOD yang dimiliki pegawai yang digunakan untuk keperluan pribadi
tidak diijinkan untuk konek kedalam jaringan kantor.
5.2.4 Perangkat BYOD yang dimiliki oleh pegawai dalam keadaan tertentu akan dilakukan
wipe, jika:
a. Perangkat hilang, dibuktikan dengan laporan resmi ke Departemen Bidang yang

membawahi fungsi Keamanan Informasi TI
b. Pegawai telah berhenti/diberhentikan, dibuktikan dengan pemberitahuan resmi

dari Kedeputian Bidang MSDM-RM
c. TI mendeteksi adanya insiden keamanan yang dapat berakibat pada pencurian

dan perusakan data dan infrastruktur TI perusahaan.
61
Lampiran 2 - Petunjuk Keamanan Sumber Daya Manusia

(ISO 27001:2013 - Annex A.7)
BPJS Kesehatan
Tujuan dokumen ini untuk memastikan bahwa pegawai dan pihak eksternal memahami
tanggung jawab mereka dan sesuai dengan peran yang ditetapkan bagi mereka, menyadari
dan memenuhi tanggung jawab keamanan informasi mereka dan melindungi kepentingan
organisasi sebagai bagian dari proses pengubahan atau penghentian kepegawaian.
BPJS Kesehatan.
2. Dokumen Acuan
• ISO/IEC 27001 klausul A.7

• Pernyataan Penerimaan Dokumen SMKI
3. Sebelum Bekerja
3.1 Peran dan tanggung jawab pegawai terhadap keamanan informasi harus menjadi
bagian dari penjabaran tugas pokok dan fungsi, khususnya bagi mereka yang
memiliki akses terhadap aset informasi yang bersifat rahasia dan berharga
(mempunyai nilai nominal tertentu), dan rawan (mempunyai aspek nilai intangible
atau terkait risiko keamanan terhadap aset informasi lainnya).
3.2 Peran dan tanggung jawab pegawai, mitra kerja, dan pihak eksternal lainnya terhadap
keamanan informasi didefinisikan, didokumentasikan dan dikomunikasikan kepada
yang bersangkutan sebelum penugasan.
3.3 Direktorat TI BPJS Kesehatan berkoordinasi dengan Kedeputian Bidang MSDMRM

melakukan penelitian dan pemeriksaan pada data pribadi dan keterangan pekerjaan
62
sebelumnya yang diberikan oleh pegawai baru atau mitra kerja, sesuai dengan
kebijakan penerimaan pegawai/mitra kerja yang berlaku.
3.4 Pegawai, mitra, dan pihak eksternal lainnya yang akan menggunakan aset milik
dan/atau yang dikelola Direktorat TI BPJS Kesehatan harus menyetujui dan
menandatangani ketentuan penggunaan aset yang berlaku di Direktorat TI BPJS
Kesehatan sesuai dokumen Pernyataan Penerimaan SMKI dan wajib menjaga
kerahasiaan aset sesuai dengan dokumen Pernyataan Menjaga Kerahasiaan.
3.5 Pegawai, mitra kerja, dan pihak eksternal lainnya yang akan menggunakan aset
informasi yang tergolong rahasia dan sangat rahasia harus menyetujui dan
menandatangani Pernyataan Menjaga Kerahasiaan (Non-Disclosure Agreement) dan
ketentuan lainnya sebelum mulai bekerja.
4. Selama Bekerja
4.1 Seluruh pegawai Direktorat TI BPJS Kesehatan, mitra, dan pihak eksternal lainnya
wajib mematuhi kebijakan dan prosedur keamanan informasi yang berlaku di
Direktorat TI BPJS Kesehatan.
4.2 Seluruh pegawai Direktorat TI BPJS Kesehatan harus mendapatkan pendidikan,

pelatihan, dan sosialisasi sistem keamanan informasi secara berkala sesuai tingkat
tanggung jawabnya.
4.3 Mitra dan pihak eksternal lainnya, jika diperlukan, mendapatkan sosialisasi untuk
meningkatkan kepedulian terhadap keamanan informasi melalui proses induksi atau
metode lain yang tepat.
4.4 Seluruh mutasi pegawai Direktorat TI BPJS Kesehatan yang memiliki akses ke Sistem
Informasi BPJS Kesehatan harus dilaporkan kepada fungsi Teknologi Informasi di
unit kerja masing-masing untuk dilakukan penyesuaian hak akses. Untuk level Kantor
Cabang dan unit kerja dibawahnya, laporan dibuat oleh unit SDM dan Umum atau unit
Umum dan Keuangan kepada IT Helpdesk. Untuk level Kedeputian Wilayah dan unit
kerja dibawahnya, laporan dibuat oleh Bidang SDM dan Umum kepada Bidang yang
membawahi fungsi IT. Untuk level Kantor Pusat dan unit kerja dibawahnya, laporan
dibuat oleh Kedeputian Bidang Manajemen Sumber Daya Manusia dan Revolusi
Mental kepada Kedeputian Bidang Operasional Teknologi Informasi.
4.5 Kepatuhan pegawai terhadap kebijakan dan prosedur keamanan informasi harus
ditinjau ulang secara berkala oleh atasan masing-masing, dan menjadi bagian dari
penilaian kinerja pegawai.
4.6 Pegawai, mitra, dan pihak eksternal lainnya yang melanggar kebijakan keamanan
informasi yang berlaku di lingkungan Direktorat TI BPJS Kesehatan akan dikenai
sanksi atau tindakan disiplin sesuai ketentuan yang berlaku.
63
5. Setelah Bekerja
5.1 Sebelum penghentian, pemutusan hubungan kerja, atau mutasi efektif berlaku,
Direktorat TI BPJS Kesehatan wajib mengingatkan hak dan kewajiban pegawai, mitra
kerja, dan pihak eksternal untuk tetap mematuhi kebijakan dan aturan keamanan
informasi yang berlaku di Direktorat TI BPJS Kesehatan terutama yang terkait
dengan kewajiban menjaga kerahasiaan.
5.2 Pegawai, mitra kerja, dan pihak eksternal yang telah berhenti bekerja atau habis
masa kontrak kerjanya harus mengembalikan seluruh aset milik perusahaan yang
dipergunakan selama bekerja di Direktorat TI BPJS Kesehatan
5.3 Pegawai berkeahlian khusus atau yang berada di posisi kunci harus didorong agar
melakukan alih keahlian dan pengetahuannya kepada rekan kerjanya sebelum
mereka meninggalkan Direktorat TI BPJS Kesehatan.
5.4 Bidang Jaringan dan Keamanan Informasi TI berhak untuk menghentikan/menutup

untuk sementara atau selamanya hak akses pengguna yang diidentifikasi melakukan
pelanggaran kebijakan/prosedur ataupun sedang menjalani pemeriksaan pihak
berwajib terkait dengan dugaan adanya pelanggaran hukum.
5.5 Hak akses terhadap sistem informasi yang dimiliki pegawai, mitra kerja, dan pihak
eksternal lainnya akan dicabut secara otomatis bila yang bersangkutan tidak lagi
bekerja di Direktorat TI BPJS Kesehatan. Detail pencabutan hak akses djelasan di
dokumen Petunjuk Kendali Akses.
5.6 Sebelum dilakukan penghapusan hak akses dan/atau akun mantan pegawai harus
dipastikan bahwa segala isi akun yan penting bagi perusahaan sudah diarsipkan
(backup) sehingga bisa diakses kembali bila situasi memerlukannya. Detail dijelaskan
di dokumen Petunjuk Kendali Akes.
64
Pernyataan Penerimaan
Dokumen Sistem Manajemen Keamanan Informasi
Saya dengan ini menyatakan bahwa saya sepenuhnya mengerti dengan Kebijakan Keamanan
Informasi dari Direktorat TI BPJS Kesehatan, dan dengan dokumen lain yang diterbitkan
sebagai bagian dari Sistem Manajemen Keamanan Informasi:
• Petunjuk Mobile Computing dan Teleworking
• Petunjuk Sumber Daya Manusia
• Petunjuk Kendali Akses
• Petunjuk Pedoman Password
• Petunjuk Kriptografi
• Petunjuk Pengosongan Meja dan Layar
• Petunjuk Bekerja di Area Aman
• Petunjuk Keamanan Fisik dan Lingkungan
• Petunjuk Penghapusan dan Pemusnahan
• Petunjuk Backup
• Petunjuk Manajemen Perubahan
• Petunjuk Perpindahan Informasi
• Petunjuk Pengembangan Aman
• Petunjuk Keamanan Pemasok
• Petunjuk Manajemen Insiden
• Petunjuk Kendali Dokumen
• Petunjuk Identifikasi Persyaratan Bisnis
• Petunjuk Tindakan Perbaikan
• Petunjuk Audit Internal
• Petunjuk Rapat Tinjauan Manajemen
• Statement of Applicability
• Dokumen Ruang Lingkup SMKI
Saya dengan ini menyatakan bahwa saya akan mematuhi Kebijakan dan semua dokumen
lain yang diterbitkan. Saya sadar bahwa ketidakpatuhan dari setiap bagian dari Pernyataan
ini akan dianggap sebagai pelanggaran tugas dan tindakan disiplin akan diterima dalam
setiap kasus ketidakpatuhan.
Nama : ________________________________________
Tanggal : ________________________________________
Tanda tangan : ________________________________________
65
Lampiran 3 - Petunjuk Klasifikasi Informasi

(ISO 27001:2013 - Annex A.8)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk memastikan bahwa informasi dilindungi pada tingkat
yang sesuai. Selain untuk melindungi kerahasiaan, dokumen ini juga bermanfaat untuk aspek
keamanan informasi lainnya, yaitu integritas dan ketersediaan.
Dokumen ini diterapkan untuk seluruh lingkup Sistem Manajemen Keamanan Informasi
Manajemen (ISMS), yaitu untuk semua jenis informasi, dalam bentuk kertas atau elektronik,
aplikasi dan database, pengetahuan, dll
Pengguna dokumen ini adalah seluruh pegawai Direktorat TI BPJS Kesehatan.
• Standar ISO/IEC 27001, klausul A.8.2.1, A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3, A.9.4.1, A.13.2.3
• Petunjuk Teknis Pengamanan Data Elektronik
• Daftar Inventaris Aset
• Daftar Undang-Undang, Peraturan dan Kontrak dan Kewajiban Lain
• Petunjuk Penghapusan dan Pemusnahan
3. Informasi Rahasia
3.1. Tahap Klasifikasi Informasi dan Tanggung Jawab
Berikut ini adalah tahap dan penanggung jawab terhadap manajemen informasi:
Tahapan Penanggung Jawab
1. Memasukkan aset informasi Tiap-tiap Asisten Deputi Bidang di Lingkungan Direktorat TI

kedalam Daftar Asets
2. Klasifikasi Informasi Pemilik aset
3. Pelabelan Informasi Pemilik aset
4. Penanganan Informasi Orang yang diberikan hak akses sesuai dengan kebijakan ini
66
Jika informasi yang diklasifikasikan didapat dari luar organisasi, maka klasifikasi sesuai
dengan aturan yang ditentukan dalam Kebijakan terkait.
Direktorat Teknologi Informasi BPJS Kesehatan harus memiliki Daftar Inventaris Aset Informasi
yang berisikan seluruh aset utama, seperti perangkat lunak, perangkat keras dan layanan yang
akan dilindungi. Daftar Inventaris harus secara jelas mengidentifikasi setiap sumber daya,
pemilik sumber daya, dan lokasinya. Pengelolaan dan pengkinian Daftar Inventarisasi Aset ini
dilakukan oleh Kedeputian Bidang yang membawahi fungsi manajemen aset TI.
Pemilik aset bertanggung jawab atas perlidungan keamanan seluruh aset yang berada di
bawah pengawasannya.
Direktorat Teknologi Informasi BPJS Kesehatan menetapkan kebijakan dan aturan

penggunaan aset bagi pegawai, mitra, dan pihak eksternal lainnya. Seluruh pengguna
aset, tanpa kecuali, wajib mematuhi kebijakan dan aturan yang telah ditetapkan dan harus
melaporkan kepada penanggung jawab keamanan informasi setempat bila melihat
terjadinya pelanggaran terhadap kebijakan ini.
3.2. Klasifikasi Informasi
3.2.1 Kriteria Informasi
Penentuan klasifikasi data pada prinsipnya berada di tangan pemilik data. Apakah
suatu data hanya bisa digunakan secara internal atau bisa disebarluaskan ke pihak
lain menjadi wewenang oleh pemilik data. Metode klasifikasi informasi mengacu hal
berikut ini:
• nilai informasi - berdasarkan dampak negatif terhadap posisi organisasi dalam
persaingan bisnis, reputasi organisasi, berpotensi menimbulkan risiko keamanan
publik, berpotensi digunankan pesaing atau penyerang untuk mengancam
ketersediaan layanan atau produk yang dikeluarkan organisasi, yang dinilai
selama penilaian risiko
• sensitivitas dan kekritisan informasi - berdasarkan risiko tertinggi dihitung untuk

setiap item informasi selama penilaian risiko
• hukum dan kewajiban kontrak
3.2.2 Tingkat Kerahasiaan
Semua informasi harus diklasifikasikan kedalam tingkat kerahasiaan. Dibawah ini

adalah matriks klasifikasi informasi:
67
Tingkat
Deskripsi Contoh
Kerahasiaan
Publik Data yang tidak rahasia dan dapat - Brosur-brosur produk yang
dipublikasikan ke masyarakat umum tanpa didistribusikan secara luas.
ada implikasi bagi organisasi. Hilangnya - Data yang tersedia pada website resmi
ketersediaan data sebagai akibat dari system BPJS Kesehatan yang dapat diakses
downtime dianggap sebagai resiko yang dapat oleh publik
diterima - Laporan keuangan yang wajib di-publish
keluar sesuai persyaratan yang dibuat
oleh pemerintah
Internal Data yang penggunaannya terbatas - Password dan data dalam prosedur-
pada internal organisasi. Penggunaan prosedur keamanan organisasi.
oleh publik atau pihak ketiga harus - Petunjuk mengenai cara memproses
mendapatkan persetujuan dari pemilik data pelanggan.
data. Penggunaan data ini tanpa ijin akan - SOP yang digunakan di seluruh unit
berdampak pada efektivitas operasional kerja.
organisasi, menyebabkan kerugian keuangan, - Transmisi elektronik yang berasal dari
menguntungkan pesaing, atau menyebabkan pelanggan.
kepercayaan pelanggan terhadap organisasi - Data produk yang dihasilkan untuk
menjadi turun. Harus disimpan dalam tempat pelanggan oleh organisasi.
yang tertutup dan dihancurkan jika tidak akan - Master data peserta
digunakan lagi. Ini adalah klasifikasi default - Data yang diklaim oleh pelanggan
untuk data yang diolah atau dihasilkan dari sebagai data rahasia
setiap aktifitas organisasi jika klasifikasi - Data kontrak yang sifatnya rahasia
belum ditetapkan.
Rahasia Data yang dibuat dan digunakan oleh - Gaji atau data personal lainnya terkait
organisasi dalam menjalankan bisnisnya kepegawaian.
untuk mempekerjakan orang, merekam - Data akuntansi dan laporan keuangan
dan memenuhi permintaan pelanggan, dan internal
dan memenuhi permintaan pelanggan, dan - NDA (Non-Disclosure Agreement)
untuk mengelola semua aspek keuangan dengan pelanggan atau vendor.
perusahaan. Akses ke data ini dibatasi hanya - Data RKA.
dalam lingkup organisasi. Penanganan - Data yang tidak dimaksudkan untuk
pada level tertinggi untuk aspek integritas, umum, yang dapat menguntungkan
kerahasiaan, dan ketersediaan secara khusus pesaing
sangat diperlukan. Penyebaran data ini - Data keuangan yang sifatnya tidak
ke pihak ketiga harus dengan persetujuan untuk umum
manajemen perusahaan. - Data penelitian
- Rekam medis
- Nomor Jaminan Sosial
Pll (Personally Informasi yang dilindungi oleh undangundang - Data apapun yang diidentifikasi oleh
Identifiable dan peraturan, dan diatur oleh badan pemerintah atau badan pengawas
Information) pengawas atau dewan mengenai penyelidikan, sebagai data yang perlu dilindungi.
dan Informasi respon, pelaporan dan penanganan insiden. - Identitas peserta meliputi NIK, nama
yang Secara alamiah informasi ini bersifat sensitif lengkap, alamat tempat tinggal, foto
dilindungi oleh dan aksesnya terbatas. Distribusi terbatas wajah, sidik jari, nomor kartu kredit,
regulasi pada individu tertentu yang berhak atau perlu nomor telepon, dan info lainnya yang
(HIPAA/SOX/ mengetahui. bisa digunakan untuk mengidentifikasi
PCI Harus diamankan dan dihancurkan untuk seseorang dan atau lokasinya.
DSS) menghindari kehilangan, pencurian,akses yang
tidak terotorisasi, dan/atau distribusi yang
tidak terotorisasi,seperti
diinstruksikan oleh pemerintah atau badan
pengawas.
68
3.2.3 Daftar Pengguna Resmi
Informasi yang terklasifikasi “Rahasia” dan PII harus disertai dengan Daftar Pengguna
Resmi, dimana pemililk informasi telah menentukan nama-nama dan fungsi pekerjaan
dari personil yang memliki hak untuk mengakses informasi tersebut. Aturan yang
sama diterapkan pada tingkat kerahasiaan “Internal” jika orang diluar organisasi
Direktorat Teknologi Informasi BPJS Kesehatan hendak mengakses dokumen tersebut.
3.2.4 Klasifikasi Ulang
Pemilik aset harus mereviu tingkat kerahasiaan aset informasi setiap 1 tahun
dan menilai apakah tingkat kerahasiaan dapat dirubah. Jika memungkinkan, tingkat
kerahasiaan dapat diturunkan.
3.3. Pelabelan Informasi
Tingkat kerahasiaan diberi label dengan cara berikut:

• Dokumen kertas - tingkat kerahasiaan ditandai di sudut kanan atas halaman utama atau
bagian depan atau amplop yang yang membawa dokumen
• Dokumen elektronik - tingkat kerahasiaan ditunjukkan di sudut kanan dokumen utama
• Surat elektronik - tingkat kerahasiaan ditunjukkan di baris pertama dari tubuh e-mail
• Informasi yang dikirimkan secara lisan - tingkat kerahasiaan informasi rahasia yang akan
disampaikan dalam komunikasi tatap muka, melalui telepon atau alat komunikasi lain,
harus dikomunikasikan tingkat kerahasiaannya sebelum menyampaikan informasi itu
sendiri
• Labelling informasi tidak diterapkan pada dokumen atau informasi yang publik
3.4. Kendali Informasi Rahasia
Semua orang yang mengakses informasi rahasia harus mengikuti aturan yang tercantum
dalam tabel berikut. Pejabat yang berwenang harus melakukan tindakan disiplin setiap kali
aturan dilanggar atau jika informasi tersebut dikomunikasikan kepada orang yang tidak
berwenang. Setiap insiden yang terkait dengan penanganan informasi rahasia harus
dilaporkan sesuai dengan Petunjuk Manajemen Insiden.
Aset informasi dapat dibawa keluar dari BPJS Kesehatan hanya setelah mendapatkan izin
sesuai dengan Petunjuk Penggunaan Aset Informasi.
Metode untuk penghapusan dan pemusnahan media yang aman ditentukan dalam dokumen
Petunjuk Penghapusan dan Pemusnahan.
69
INTERNAL RAHASIA * PII *
Dokumen • hanya orang yang memiliki izin • dokumen harus tersimpan • dokumen harus tersimpan
kertas untuk mengakses didalam tempat yang terkunci didalam tempat yang aman
• jika dokumen dikirim keluar • dokumen hanya dapat • dokumen hanya dapat
organisasi, dokumen harus dipindahkan didalam atau diluar dipindahkan didalam atau diluar
tercatat sebelum terkirim organisasi dengan amplop organisasi oleh pesonil yang
• dokumen hanya dapat disimpan tertutup dapat dipercaya, dalam amplop
dalam ruangan tanpa akses publik • jika dokumen dikirim keluar tertutup dan disegel
• dokumen harus dipastikan organisasi, dokumen harus • mengirim dokumen dengan
dikeluarka dari mesin printer atau dikirimkan dengan bukti tanda mesin fax dilarang
mesin fax terima • dokumen dapat dicetak hanya
• dokumen harus segera jika personil otorisasi berdiri
dikeluarkan dari mesin printer mendampingi disamping mesin
atau mesin fax cetak.
• hanya pemilik dokumen yang
dapat menggandakan dokumen
• hanya pemilik dokumen yang
dapat menghancurkan dokumen
Dokumen • hanya personil yang berwenang • hanya personil yang berwenang • dokumen harus tersimpan dalam
elektronik yang mempunyai akses atas dokumen, yang dapat bentuk terenkripsi
• ketika file dipertukarkan malalui mengakses bagian sistem • dokumen dapat tersimpan di
layanan seperti FTP, pesan informasi dimana dokumen server yang dikendalikan oleh
singkat, dll, harus dilindungi tersimpan organisasi
password • ketika file dipertukarkan malalui • dokumen tidak bisa
• akses ke sistem informasi dimana layanan seperti FTP, pesan dipertukarkan via layanan seperti
dokumen tersimpan harus singkat, dll, harus dienkripsi FTP, pesan singkat, dll
dilindungi password yang kuat • hanya pemilik dokumen yang
• layar dimana dokumen dapat menghapus dokumen
ditampilkan harus secara
otomatis terkunci setelah setalah
10 menit layar tidak aktif
Sistem • hanya personil yang berwenang • pengguna harus log-out dari • akses ke sistem informasi harus
informasi yang mempunyai akses sistem informasi jika telah dikendalikan melalui proses
• akses ke sistem informasi harus meninggalakan tempat kerja baik otentikasi menggunakan kartu
dilindungi oleh password yang sementara atau permanen pintar atau pembaca biometrik
kuat • data harus dihapus dengan • sistem informasi hanya dapat
• layar harus secara otomatis algoritma yang menjamin di-install pada server yang
terkunci setelah setalah 10 menit penghapusan aman dikendalikan oleh organisasi
layar tidak aktif • sistem informasi hanya dapat
• sistem informasi hanya dapat berada di ruang dengan akses
berada ruangan dengan akses fisik yang dikendalikan dan ada
fisik dikendalikan kendali identifikasi orang yang
• sistem informasi hanya dapat mengakses ruangan tersebut
berada di kamar dengan akses
fisik dikendalikan
E-mail • hanya personil yang berwenang • e-mail harus dienkripsi jika dikirim • semua e-mail harus dienkripsi
yang mempunyai akses dari luar organisasi • e-mail yang dikirimkan harus
• pengirim harus dengan hati-hati • e-mail yang dikirimkan harus menggunakan Private Domain
memeriksa siapa penerima e-mail menggunakan Private Domain milik organisasi, perusahaan
• semua aturan yang tercantum milik organisasi, perusahaan atau lembaga. (@jakarta.go.id, @
dalam “sistem informasi” berlaku atau lembaga. (@jakarta.go.id, @ kemendagri.go.id, @telkomsel.
kemendagri.go.id, @telkomsel.com) com)
70
INTERNAL RAHASIA * PII *
Media • hanya personil yang berwenang • media penyimpanan Portable • media peyimpanan dan file harus
Penyimpanan yang mempunyai akses Media (USB Flash Disk, External dienkripsi dengan metode Full
Elektronik • media atau file harus dilindungi HDD, Laptop, dan Iain-lain) harus Disk Encryption
password disimpan ditempat yang terkunci • media penyimpanan Cloud
• jika dikirim keluar organisasi, • media penyimpanan Cloud Storage Corporate License dan
media harus tercatat sebelum Storage Coporate License harus Personal License dilarang
terkirim dilindungi dengan mekanisme • media penyimpanan Personal
• media hanya disimpan ruangan pembatasan akses atau dengan Computer (PC) tidak dapat di-
dengan akses fisik dikendalikan password share
• mekanisme penyimpanan data • media penyimpanan Cloud • media penyimpanan Portable
pada media penyimpanan Cloud Storage Personal License dilarang Media (USB Flash Disk, External
Storage (Dropbox, Onedrive, • media penyimpanan Personal HDD, Laptop, dan Iain-lain) harus
Google Drive, dll) Personal License Computer (PC) tidak dapat di- dienkripsi dengan metode Full
dikendalikan oleh pemilik data share Disk Encryption
• mekanisme penyimpanan data • media penyimpanan Portable • media penyimpanan CD, DVD dan
pada Portable Media (USB Flash Media (USB Flash Disk, External read-only media lainnya harus
Disk, External HDD, Laptop dan HDD, Laptop, dan Iain-lain) harus dilindungi dengan Password
lain-lain) dikendalikan oleh pemilik dienkripsi dengan metode Full Protected File
data Disk Encryption
• media penyimpanan CD, DVD dan
read-only media lainnya harus
dilindungi dengan Password
Protected File
• jika media dikirim dari luar
organisasi, media harus dikirim
dengan bukti tanda terima
• hanya pemilik media yang dapat
menghancurkan medianya
Informasi • hanya orang yang berwenang • ruang harus kedap suara • percakapan yang dilakukan
yang dapat memiliki akses ke • percakapan tidak boleh direkam melalui sarana komunikasi
dikirimkan informasi harus dienkripsi
secara lisan • personil yang tidak berwenang • percakapan tidak boleh
dilarang hadir di ruangan ditranskrip
ketika informasi tersebut
dikomunikasikan
Informasi • informasi yang dikirim dengan • informasi yang dikirim dengan • informasi yang dikirim
yang dikirim transmisi jaringan eksternal transmisi jaringan eksternal dengan transmisi jaringan
dengan (Wired/Wireless) dan Web (Wired/Wireless) dan Web eksternal (Wired/Wireless)
media Application harus menggunakan Application harus menggunakan dan Web Application harus
transmisi metode HTTPS metode HTTPS menggunakan metode HTTPS
* Kendali dilaksanakan secara kumulatif, artinya adalah bahwa kendali tersebut untuk tingkat
kerahasiaan “Rahasia” dan “PII”; implementasi kendali ditujukan untuk tingkat kerahasiaan
yang lebih rendah, jika kendali yang lebih tegas ditentukan untuk tingkat kerahasiaan yang
lebih tinggi maka hanya kendali-kendali tersebutlah yang dilaksanakan.
71
Lampiran 4 - Petunjuk Penggunaan Aset Informasi

(ISO 27001:2013 - Annex A.8)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk menentukan aturan yang jelas dalam penggunaan
sistem informasi dan aset informasi lainnya di Direktorat TI BPJS Kesehatan.
BPJS Kesehatan.
• Standar ISO/IEC 27001, klausul A.6.2.1, A.6.2.2, A.8.1.2, A.8.1.3, A.8.1.4, A.9.3.1, A.11.2.5,
A.11.2.6, A.11.2.8, A.11.2.9, A.12.2.1, A.12.3.1, A.12.5.1, A.12.6.2, A.13.2.3, A.18.1.2
• Inventarisasi Aset
• Panduan Pengelolaan Operasional TIK
• Petunjuk Perpindahan Informasi
3. Penggunaan Aset Informasi
3.1. Definisi
Sistem Informasi termasuk server dan klien, infrastruktur jaringan, sistem dan perangkat lunak
aplikasi, data, dan subsistem komputer lain dan komponen yang dimiliki atau digunakan oleh
organisasi atau yang berada di bawah tanggung jawab organisasi. Penggunaan sistem
informasi juga termasuk penggunaan semua layanan internal atau eksternal, seperti akses
internet, e-mail, dll.
72
Aset informasi – dalam konteks kebijakan ini, aset informasi diterapkan untuk sistem informasi
dan peralatan pengolahan informasi lainnya seperti dokumen kertas, ponsel, komputer
portabel, media penyimpanan data, dll.
3.2. Ketentuan umum penggunaan
Penggunaan aset informasi hanya untuk kebutuhan bisnis dengan tujuan melaksanakan
tugas-tugas yang terkait organisasi. Penggunaan aset informasi harus dimanfaatkan sebesar-
besarnya untuk kepentingan perusahaan dan kegiatan yang menunjang usaha perusahaan.
3.3. Tanggung jawab aset

3.3.1 Setiap aset informasi memiliki pemilik yang ditunjuk dalam Daftar Inventarisasi
Aset. Pemilik aset bertanggung jawab atas kerahasiaan, integritas dan ketersediaan
informasi di aset yang berada di bawah pengawasannya.
3.4. Kegiatan yang dilarang

3.4.1 Aset informasi dilarang untuk digunakan dengan cara apapun yang memakan
kapasistas, melemahkan kinerja sistem informasi dan atau menimbulkan ancaman
keamanan. Berikut ini adalah kegiatan yang dilarang:
• Mengunduh file gambar atau video yang tidak memiliki tujuan bisnis.
• Menginstal aplikasi perangkat lunak pada komputer perusahaan secara ilegal.
• Source Code tidak boleh dipindahkan ke media eksternal.
• Memasang dan menggunakan perangkat periferal seperti modem, kartu

memori atau perangkat lain untuk menyimpan dan membaca data (misalnya
USB flash drive tanpa izin dari Asisten Deputi Bidang yang membawahi fungsi
Keamanan Informasi TI
3.5. Aset diluar lokasi

3.5.1 Peralatan, perangkat lunak, baik itu dalam bentuk atau media penyimpanan, tidak
boleh keluar dari lokasi tanpa izin tertulis dari Deputi Direksi Bidang masing - masing
3.5.2 Jika aset berada di luar lokasi perusahaan, aset tersebut harus dikendalikan oleh
pegawai yang diberikan izin.
3.6. Pengembalian aset

3.6.1 Setelah penghentian kontrak kerja atau kontrak lainnya, pegawai wajib mengembalikan
semua aset yang mencakup peralatan, perangkat lunak atau informasi dalam bentuk
elektronik atau kertas.
73
3.7. Pengelolaan Aplikasi Antivirus dan Personal Firewall

3.7.1 Komputer milik BPJS Kesehatan diwajibkan menggunakan antivirus yang telah
ditetapkan secara korporat untuk mendeteksi dan memperbaiki kerusakan yang
disebabkan oleh malicious code.
3.7.2 Sistem antivirus harus memiliki kemampuan yang melakukan update dan scanning
secara otomatis
3.7.3 Proses pendeteksian oleh sistem antivirus harus mencakup pendeteksian pada
data dalam media penyimpanan elektronik dan atau optik dan data dari jaringan,
attachment dari email dan website yang akan dikunjungi oleh pengguna.
3.7.4 Terdapat petugas yang bertanggung jawab untuk mengumpulkan informasi dan
memantau keberadaan malicious code.
3.7.5 Seluruh perangkat komputer yang terkoneksi ke jaringan komunikasi milik BPJS
Kesehatan harus dipastikan memiliki versi antivirus terbaru.
3.7.6 Perangkat komputer milik pihak eksternal yang akan dihubungkan dengan jaringan
komunikasi data milik BPJS Kesehatan harus dipastikan memiliki versi antivirus
terbaru. Komputer milik pihak eksternal yang tidak memiliki anti virus atau ter-
install antivirus tapi dengan versi yang sudah out of date tidak diperkenankan untuk
dihubungkan ke jaringan komunikasi data milik BPJS Kesehatan.
3.7.7 Seluruh pengguna sistem informasi dan jaringan komunikasi data milik BPJS
Kesehatan tidak diperkenankan melakukan penonaktifan antivirus dan personal
firewall yang ter-install. Jika ada aplikasi yang membutuhkan akses melewati firewall,
maka harus dilakukan konfigurasi terhadap firewall sesuai kebutuhan.
3.7.8 Dalam kasus tertentu, personal firewall yang merupakan bagian dari Sistem Operasi
dapat dinonaktifkan untuk kebutuhan troubleshooting. Setelah proses troubleshooting
selesai, maka personal firewall wajib diaktifkan kembali.
3.7.9 Dalam hal manajemen antivirus melalui cloud, harus dipastikan bahwa untuk policy
minimal konfigurasi untuk realtime protection berstatus aktif dan automatic updates
berstatus aktif.
3.7.10 Dalam hal terjadi pergantian antivirus untuk pengguna secara korporat, maka harus
dipastikan setiap komputer tetap tersedia antivirus sampai proses pengadaan antivirus
pengganti selesai.
3.7.11 Setiap pegawai dan pihak eksternal yang mendeteksi adanya virus atau program lain
yang membahayakan, atau terjadi perubahan konfigurasi secara tiba-tiba, atau adanya
perilaku aplikasi yang menyimpang di perangkat milik BPJS Kesehatan wajib segera
melaporkannya ke Service Desk.
74
3.7.12 Harus dilakukan pengujian penetrasi terhadap jaringan internal sekurang-kurangnya

setahun sekali untuk mengurangi ancaman malicious code.
3.8. Instalasi Perangkat Lunak

3.8.1 Hanya perangkat lunak (software) berlisensi yang dimiliki BPJS Kesehatan yang
diizinkan untuk dipasang di perangkat keras (hardware) perusahaan.
3.8.2 Bidang yang membawahi fungsi Keamanan Informasi TI menetapkan daftar perangkat
lunak berlisensi atau perangkat lunak open source yang boleh dipasang di perangkat
keras perusahaan.
3.8.3 Pemasangan (instalasi) perangkat lunak di perangkat keras milik BPJS Kesehatan
hanya boleh dilakukan oleh pegawai Bidang yang membawahi fungsi Layanan TI yang
berwenang atau pegawai alih daya (outsourcing) yang ditugaskan.
3.8.4 Untuk mencegah, menghalangi, dan mengurangi risiko masuknya virus, pada setiap
komputer milik BPJS Kesehatan harus dipasang perangkat lunak antivirus yang dijaga
kemutakhirannya secara berkala.
3.9. Otorisasi untuk menggunakan sistem informasi

3.9.1 Sistem informasi hanya dapat diakses oleh pengguna yang telah diizinkan oleh
pemilik aset.
3.9.2 Sistem informasi hanya dapat digunakan oleh pengguna resmi yang telah diberikan
hak akses.
3.10. Tanggung jawab akun pengguna

3.10.1 Pengguna harus mematuhi seluruh kebijakan dan prosedur tata kelola teknologi
informasi dan komunikasi yang ditetapkan perusahaan.
3.10.2 Pengguna tidak boleh secara langsung atau tidak langsung mengizinkan orang lain
untuk menggunakan hak aksesnya dan hak akses orang lain seperti username dan
password. Penggunaan username group dilarang.
3.10.3 Pemilik akun adalah dirinya sendiri. Pemilik akun bertanggung jawab atas penggunaan
akunnya dan semua transaksi yang dilakukan melalui akun penggunanya.
3.11. Penggunaan Internet

3.11.1 Akses Internet diberikan untuk mendorong pegawai mengakses sumber informasi
yang dapat meningkatkan kompetensi dan kinerja pekerjaannya.
3.11.2 Pengguna harus sadar bahwa penggunaan Internet mengandung beberapa risiko,
antara lain:
75
• Kebocoran informasi rahasia ke pihak yang tidak berwenang

• Penyusupan (intrusion) oleh hacker ke dalam jaringan BPJS Kesehatan
• Pengubahan atau penghapusan informasi secara tidak berwenang oleh pihak
eksternal
• Terserang virus melalui internet
3.11.3 Penggunaan bandwidth untuk akses Internet akan dibatasi kuotanya agar tidak
mengganggu kinerja jaringan.
3.11.4 Akses Internet tidak boleh digunakan untuk, antara lain:

• Mengunjungi situs (website) yang mengandung unsur pornografi, mendorong
tindak terorisme dan kekerasan atau tindakan melanggar hukum lainnya.
• Mengunduh file audio, video, file dengan ekstensi .exe atau .com atau file
executable lainnya kecuali memiliki kewenangan untuk itu.
• Mengunduh software yang melanggar ketentuan lisensi atau diluar standar yang
ditetapkan Departemen Keamanan Informasi
3.11.5 Internet hanya dapat diakses melalui jaringan lokal BPJS Kesehatan dengan
infrastruktur yang tepat dan perlindungan firewall.
3.11.6 Akses internet langsung melalui modem, mobile internet, email nirkabel atau
perangkat lain untuk akses internet langsung dilarang.
3.11.7 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI dengan
berkoordinasi dengan unit terkait berhak memblokir akses pengguna individu,
kelompok pengguna atau semua pegawai ke beberapa alamat website tertentu yang
dianggap dapat mengganggu kegiatan operasional.
3.11.8 Pengguna tidak diperkenankan menggunakan fasilitas Internet BPJS Kesehatan untuk
mendistribusikan konten yang mengandung unsur SARA, pornografi, kekerasan atau
kampanye politik.
3.11.9 Pengguna tidak diperkenankan melakukan modifikasi terhadap aplikasi, sistem

operasi, ataupun perangkat keras milik BPJS Kesehatan untuk mengakses situs-
situs tertentu yang diblokir Jika akses ke beberapa halaman web diblokir, pengguna
dapat mengajukan permohonan tertulis kepada Asisten Deputi Bidang yang
membawahi fungsi Keamanan Informasi TI untuk mengakses halaman tersebut.
3.11.10 Pengguna dilarang mencoba untuk memotong pembatasan akses internet.
3.11.11 Pengguna harus menganggap bahwa informasi yang diterima melalui website yang
tidak dapat diverifikasi sebagai informasi yang tidak dapat dipercaya. Informasi
76
tersebut dapat digunakan untuk tujuan bisnis setelah keaslian dan kebenarannya telah
diverifikasi.
3.11.12 Pengguna bertanggung jawab atas semua konsekuensi yang mungkin timbul dari
penggunaan yang tidak sah atau tidak tepat dari layanan internet atau konten internet.
3.12. Penggunaan E-mail Koporat dan Metode Pertukaran Pesan

3.12.1 Akun e-mail hanya digunakan untuk kepentingan operasionalisasi BPJS Kesehatan,
pengguna tidak diperkenankan menggunakan email korporat untuk mendaftar pada
layanan online seperti media sosial, mailing list, dan layanan lainnya.
3.12.2 E-mail korporat tidak boleh digunakan untuk pembuatan atau pendistribusian materi
mengandung unsur penghinaan, personal opinion, surat berantai, SARA, pornografi
atau kampanye politik, menyebarkan virus, worm, trojan, Denial of Service (DoS),
atau software sejenis yang dapat mengganggu kinerja email dan jaringan perusahaan.
Pengguna yang menerima e-mail yang berisi konten seperti yang disebutkan dalam
klausul ini harus melaporkannya ke atasan langsung dalam waktu maksimal 1x 24 jam.
3.12.3 Pengguna tidak diperkenankan mengaktifkan fitur automatic forward ke sistem e-mail
pihak ketiga. Pesan dalam e-mail yang di-forward oleh pengguna sistem e-mail pihak
ketiga tidak boleh mengandung informasi rahasia.
3.12.4 Dalam kondisi tertentu jika pengguna terpaksa harus menggunakan layanan pihak
ketiga untuk pengiriman e-mail, maka bagian body email hanya boleh mengandung
kalimat pengantar tanpa menguraikan isi pesan secara rinci. Informasi rahasia
disimpan dalam file lampiran yang terenkripsi dengan password.
3.12.5 Perangkat mobile yang terhubung dengan e-mail korporat harus dilindungi dengan
password.
3.12.6 Dalam penggunaan e-mail korporat, seluruh pegawai BPJS Kesehatan tidak boleh
mengharapkan adanya privasi atas apa yang dikirimkan atau disimpan dalam e-mail
korporat.
3.12.7 Untuk kepentingan pemeriksaan, BPJS Kesehatan berhak untuk memonitor seluruh
pesan tanpa pemberitahuan sebelumnya. BPJS Kesehatan tidak memerlukan
persetujuan pemilik akun e-mail untuk memonitor seluruh pesan email korporat.
3.12.8 Pengguna e-mail korporat wajib melaporkan akun e-mail yang memiliki indikasi terkena
aktifitas hacking, atau mengirimkan email spam, ke Bidang yang membawahi fungsi
Keamanan Informasi TI dalam waktu maksimal 1x 24 jam.
3.12.9 Dalam hal penggunaan akun e-mail yang merepresentasikan unit kerja harus dibuatkan
pakta integritas bagi setiap orang yang diberikan akses terhadap akun tersebut.
77
3.12.10 Demi alasan keamanan dan kelancaran sistem, BPJS Kesehatan berhak melakukan
suspend terhadap akun e-mail yang terkena spam atau virus.
3.12.11 Dalam hal akun yang di-suspend adalah akun milik Kedeputian Bidang atau Unit Kerja,
maka akan disediakan akun sementara sampai suspend dicabut.
3.12.12 Metode pertukaran pesan selain e-mail adalah termasuk namun tidak terbatas pada
download file dari internet, transfer data melalui sistem komunikasi BPJS Kesehatan,
telepon, mesin fax, SMS dan media portabel.
3.12.13 Pengguna harus menjamin bahwa informasi berklasifikasi “Rahasia” yang dikirim
melalui email dilindungi dari kemungkinan salah kirim dengan memastikan ketepatan
alamat tujuan, memberi password atau menerapkan metode enkripsi sesuai dengan
Petunjuk Klasifikasi Informasi.
3.12.14 Proses pendaftaran, perubahan, penghapusan dan penggunaan fasilitas e-mail agar
mengacu kepada prosedur administrasi email.
3.13. Penggunaan Media Penyimpanan Eksternal

3.13.1 Media penyimpanan eksternal yang digunakan untuk menyimpan informasi rahasia
termasuk namun tidak terbatas pada Master File Peserta Data Badan Usaha, Source
Code Aplikasi, Denah Kantor, Laporan Keuangan dan Laporar Audit, harus dienkripsi
dengan password.
3.13.2 Dalam kondisi tertentu, jika file yang mengandung informasi rahasia disimpan pada
media penyimpanan eksternal yang tidak terenkripsi, maka pengguna harus memastikan
file tersebut dilindungi dengan enkripsi.
3.14. Penggunaan Komputer

3.14.1 Seluruh komputer milik BPJS Kesehatan yang digunakan untuk kegiatan operasional
BPJS Kesehatan wajib dilindungi password sesuai ketentuan dalam Petunjuk
Password.
3.14.2 BPJS Kesehatan berhak untuk melarang penggunaan aplikasi, browser extension,
plugin atau addon yang dianggap berpotensi mengganggu operasional Teknologi
Informasi dan atau keamanan sistem informasi.
3.14.3 Saat meninggalkan komputer yang sedang aktif tanpa pengawasan, pengguna harus
memastikan sistem operasi dalam kondisi terkunci dengar password.
3.14.4 Untuk mencegah akses dari pihak yang tidak berhak, seluruh Shared Folder harus
dilindungi dengan password. Shared Folder wajib dievaluasi penggunaannya dan
wajib dinonaktifkan jika tidak lagi dipergunakan
78
3.14.5 Dalam kondisi tertentu jika komputer yang didalamnya berisi informasi rahasia BPJS
Kesehatan, memerlukan perbaikan yang harus dilakukan oleh pihak eksternal yang
tidak memiliki perjanjian kerja sama dengan BPJS Kesehatan, maka terlebih
dahulu harus diinformasikan kepada fungsi Teknologi Informasi di unit kerja
setempat untuk dilakukan penghapusan, pemindahan atau penonaktifan informasi
atau konfigurasi milik BPJS Kesehatan sebelum dilakukan perbaikan oleh pihak
eksternal.
3.14.6 Pengguna tidak diperkenankan menambah atau mengubah sebagian atau seluruh
komponen dalam perangkat komputer tanpa persetujuan Kedeputian Bidang
Operasional Teknologi Informasi di level Kantor Pusat; Bidang yang membawahi
fungsi IT di level Kedeputian Wilayah; atau IT Helpdesk untuk level Kantor Cabang
dan unit kerja dibawahnya.
3.14.7 Pengguna tidak diperkenankan menggunakan aplikasi yang tidak memiliki lisensi
resmi pada perangkat komputer milik BPJS Kesehatan.
3.14.8 Komputer milik BPJS Kesehatan yang digunakan untuk operasional dan tidak
digunakan sebagai server, hanya diperkenankan memiliki satu akun level
administrator. Penggunaan akun administrator hanya diperkenankan untuk akses
ke sistem atau aplikasi yang memerlukan level administrator. Pengecualian
terhadap klausul ini hanya berlaku bagi pengguna dengan bidang pekerjaan sebagai
programmer, quality assurance, quality control, penetration tester, system administrator,
database administrator, dan network administrator.
3.15. Pengelolaan Dokumen Fisik dan Administrasi

3.15.1 Dewan Pengawas, Direksi, Pegawai BPJS Kesehatan dan pihak yang berhubungan
dengan BPJS Kesehatan harus bisa menjamin kerahasiaan dokumen-dokumen
milik BPJS Kesehatan agar tidak tersebar ke pihak lain yang tidak berhak.
3.15.2 Dokumen surat-surat, laporan-laporan internal, data peserta atau badan usaha, dan
dokumen lainnya yang penggunaannya tidak untuk pihak eksternal harus disimpan
dalam tempat penyimpanan yang aman. Dalam kondisi tertentu jika dokumen
rahasia tersebut ingin dibuang maka terlebih dahulu harus dimusnahkan dengan
menggunakan mesin penghancur kertas.
3.16. Penggunaan Layanan Cloud Storage

3.16.1 Tidak diperkenankan menggunakan layanan Cloud Storage untuk menyimpan
dokumen-dokumen milik BPJS Kesehatan yang sifatnya rahasia, termasuk namun
tidak terbatas pada masterfile peserta, data pegawai, dan arsitektur sistem
informasi.
79
3.17. Hak Cipta

3.17.1 Pengguna dilarang membuat salinan tidak resmi dari perangkat lunak yang dimiliki
BPJS Kesehatan, kecuali dalam kasus yang diizinkan oleh pemilik atau hukum dan
peraturan yang berlaku.
3.17.2 Pengguna dilarang menyalin perangkat lunak atau bentuk orisinil dari sumber apapun
dan harus bertanggung jawab terhadap konsekuensi yang dapat timbul dari hukum hak
kekayaan intelektual.
3.18. Pemantauan penggunaan sistem informasi dan komunikasi

3.18.1 Semua data yang dibuat, disimpan, dikirim atau diterima melalui sistem informasi atau
sistem komunikasi organisasi lain, termasuk berbagai aplikasi, e-mail, internet, fax, dll,
apakah itu pribadi atau tidak, dianggap milik BPJS Kesehatan.
3.18.2 Pengguna setuju bahwa orang yang berwenang dari BPJS Kesehatan dapat
mengakses semua data tersebut, dan bahwa akses dari orang-orang tersebut tidak
akan dianggap sebagai pelanggaran privasi pengguna.
3.18.3 BPJS Kesehatan dapat menggunakan alat khusus untuk tujuan mengidentifikasi
dan memblokir metode komunikasi yang terlarang dan menyaring konten terlarang.
3.19. Insiden
3.19.1 Setiap pegawai, pemasok atau orang ketiga yang berhubungan dengan data dan/atau
sistem BPJS Kesehatan harus melaporkan setiap sistem kelemahan, kejadian atau
peristiwa yang menunjuk ke sebuah insiden yang mungkin sebagaimana ditentukan
dalam Petunjuk Manajemen Insiden.
80
Lampiran 5 - Petunjuk Kendali Akses

(ISO 27001:2013 - Annex A.9)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk menentukan aturan terhadap akses ke berbagai sistem,
peralatan, fasilitas dan informasi, berdasarkan kepada persyaratan bisnis dan keamanan
untuk akses.
BPJS Kesehatan.
A.9.2.6, A.9.3.1, A.9.4.1, A.9.4.3
• Daftar Undang-undang, Peraturan Pemerintah, Kontrak dan Persyaratan lainnya.
3. Kontrol Akses
3.1. Pendahuluan
Prinsip dasarnya adalah bahwa siapapun dilarang mengakses ke semua sistem, jaringan, layanan
dan informasi, kecuali secara jelas telah diberikan izin kepada pengguna perorangan ataupun
kelompok. Seharusnya ada prosedur pendaftaran pengguna untuk setiap sistem dan layanan.
Akses terhadap semua lingkungan fisik di dalam organisasi adalah diperbolehkan, kecuali
pada area dimana izin harus diberikan oleh personil yang berwenang.
81
Kebijakan ini menentukan peraturan terhadap akses kepada sistem, layanan dan fasilitas,
sedangkan Kebijakan Klasifikasi Informasi menentukan peraturan terhadap akses kepada
dokumen dan catatan individual.
3.2. Tinjauan Rutin Hak Akses
Pemilik dari setiap sistem dan fasilitas yang wajib memiliki Hak Akses Khusus, dalam
jangka waktu minimal setahun sekali, harus meninjau kembali perihal apakah Hak Akses
yang diberikan masih sejalan dengan persyaratan bisnis dan keamanan informasi. Setiap
pelaksanaan peninjauan harus tercatat dan tersimpan.
3.3. Perubahan Status atau Putus Kontrak
Segera setelah ada perubahan status penugasan pekerjaan ataupun pemutusan hubungan
kerja dari seorang pegawai, masing-masing Asisten Deputi Bidang harus segera memberitahu
mengenai hal tersebut kepada personil yang bertanggungjawab memberikan hak akses
kepada pegawai yang bersangkutan.
Segera setelah ada perubahan kontrak kerja dengan pihak luar yang memiliki akses terhadap
sistem, layanan dan fasilitas, ataupun setelah berakhirnya kontrak, pemilik kontrak harus
segera memberitahu mengenai hal tersebut kepada personil yang bertanggungjawab
memberikan hak akses kepada pihak luar yang bersangkutan.
Terhadap semua orang yang telah berubah status kepegawaiannya atau hubungan kontrak
kerjanya, personil yang bertanggungjawab dalam hal pemberian hak akses harus segera
menghapus ataupun mengubah Hak Akses personil yang bersangkutan, sebagaimana yang
akan didefinisikan pada bagian berikut ini.
Penambahan, perubahan dan penghapusan Hak Akses pengguna seluruh sistem Teknologi
Informasi milik BPJS Kesehatan harus dilaporkan ke Bidang yang membawahi fungsi
Keamanan Informasi TI secara berkala melalui mekanisme yang disepakati bersama antar
departemen di Direktorat Teknologi Informasi.
3.4. Pelaksanaan Teknis
Pelaksanaan teknis dari pengalokasian ataupun penghapusan Hak Akses dilakukan

oleh personil yang berwenang. Personil tersebut tidaklah bekerja secara bebas sesuai
keinginannya saja dalam hal menambahkan ataupun menghapus Hak Akses seseorang, akan
tetapi harus berdasarkan kepada permintaan formal dari BPO.
82
Lampiran 6 - Petunjuk Password

(ISO 27001:2013 - Annex A.9)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk menentukan aturan yang memastikan keamanan
password dan penggunaan password yang aman.
Manajemen Keamanan Informasi (SMKI), termasuk kepada semua tempat kerja dan sistem
yang terletak dalam cakupan SMKI.
• Standar ISO/IEC 27001, klausa A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3

• Pernyataan Penerimaan Dokumen SMKI
3. Kewajiban Pengguna
Pengguna harus menerapkan kebiasaan keamanan yang baik ketika memilih dan
menggunakan password:
• Password tidak boleh diketahui oleh orang lain, termasuk manajemen dan administrator
sistem.
• password yang dibuat oleh pengguna tidak boleh disebarkan melalui saluran apapun
(melalui lisan, tertulis ataupun secara elektronik dan lain-lain); password harus diganti
apabila terdapat indikasi bahwa password atau sistem mungkin telah dibobol – dalam
kasus tersebut, kejadian insiden keamanan ini harus dilaporkan.
• password yang kuat harus digunakan, dengan cara sebagai berikut:
o menggunakan paling sedikit delapan karakter
o menggunakan setidaknya satu karakter angka/numerik
83
o menggunakan setidaknya satu karakter huruf besar dan satu karakter huruf kecil
o menggunakan setidaknya satu karakter khusus
o password bukan berasal dari kata-kata di dalam kamus, dialek atau jargon dari
bahasa tertentu, ataupun kata-kata tersebut ditulis terbalik
o password bukan berasal dari data pribadi (seperti tanggal lahir, alamat, nama anggota
keluarga dan sebagainya)
o tiga password terakhir tidak boleh digunakan kembali
• password harus diganti setiap 3 (tiga) bulan sekali
• password awal harus diganti pada saat pertama kali masuk ke dalam sistem
• password tidak boleh disimpan dalam sistem log-on otomatis (misalnya macro atau
browser)
• password yang digunakan untuk keperluan pribadi tidak boleh digunakan untuk tujuan
operasional
4. Manajemen Password Pengguna
Pada saat pemberian dan penggunaan password pengguna, aturan berikut ini harus diikuti:
• dengan menandatangani surat Pernyataan Penerimaan dokumen Sistem Manajemen
Keamanan Informasi (SMKI), pengguna juga dinyatakan menerima kewajiban untuk
menjaga kerahasiaan password, sebagaimana yang telah ditentukan dalam dokumen
ini.
• setiap pengguna hanya diizinkan untuk memakai username unik yang telah dialokasikan
hanya kepada pengguna tersebut.
• setiap pengguna harus memiliki kemampuan untuk menentukan sendiri password-nya
dimana dimungkinkan berlaku.
• password sementara yang digunakan pada saat pengguna pertama kali masuk ke dalam
sistem, harus unik dan kuat, tidak boleh sama antar pengguna, sebagaimana yang telah
dijelaskan di atas.
• password sementara harus diberitahukan kepada pengguna dengan memakai cara
yang aman dengan pemeriksaan identitas pengguna terlebih dahulu dan harus dipastikan
diterima oleh pengguna itu sendiri.
• sistem manajemen password harus mewajibkan pengguna untuk mengubah sendiri
password sementara, pada saat pertama kali masuk ke dalam sistem.
• sistem manajemen password harus dapat mewajibkan pengguna untuk menggunakan
password yang kuat, yang memuat kombinasi angka, huruf dan simbol dengan panjang
minimal delapan karakter.
84
• sistem manajemen password harus dapat memaksakan pengguna untuk mengubah

password mereka paling lambat 90 (Sembilan puluh hari) hari sekali, dan paling cepat
diganti dalam, 1 (satu) hari. Hal ini berlaku untuk seluruh sistem dan perangkat teknologi
informasi yang digunakan di BPJS Kesehatan.
• jika pengguna meminta password baru, sistem manajemen password harus bisa
menentukan identitas dari si pengguna.
• pengguna harus memberikan konfirmasi telah menerima password.
• password harus tidak dapat terlihat isi sesungguhnya di layar monitor pada saat proses
log-on masuk ke dalam sistem.
• jika pengguna memasukkan password yang salah sebanyak tiga kali berturut-turut, sistem
harus memblokir akun pengguna yang bersangkutan secara temporer.
• password yang telah terbuat sejak awalnya datang dari pabrikan pembuat software atau
hardware, harus diubah pada saat instalasi awal.
• file yang mengandung password harus disimpan secara terpisah dari data sistem
aplikasi.
• password yang digunakan untuk mengakses layanan Teknologi Informasi BPJS Kesehatan
tidak boleh digunakan pada sistem lain di luar BPJS Kesehatan, misalnya pada media sosial,
toko online atau aplikasi lainnya.
• password harus dijaga kerahasiaannya, tidak boleh ditulis/dicetak/disimpan pada media
yang bisa dibaca oleh publik atau tanpa pengamanan.
85
Lampiran 7 - Petunjuk Kriptografi

(ISO 27001:2013 - Annex A.10)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk menentukan aturan terhadap penggunaan kendali
kriptografi, sebagaimana yang telah diatur dalam penggunaan kunci-kunci kriptografi, dalam
kaitannya dengan perlindungan terhadap kerahasiaan, integritas, keaslian dan informasi yang
tidak terbantahkan.
Manajemen Keamanan Informasi (SMKI), yaitu terhadap semua sistem dan informasi yang
digunakan dalam ruang lingkup SMKI.
• Standar ISO/IEC 27001, klausa A.10.1.1, A.10.1.2, A.18.1.5

• Daftar Undang-undang, Peraturan Pemerintah, Kontrak dan Persyaratan lainnya.
3. Penggunaan Kriptografi
3.1. Kendali Kriptografi
Menurut Pedoman Klasifikasi Informasi, sebagaimana kewajiban kontrak dan hukum,

organisasi harus melindungi sistem individu atau informasi dengan cara kendali kriptografi
berikut ini:
86
Algoritma enkripsi asymetric/public key:
Nama sistem/
Alat Kriptografi Algoritma Enkripsi Ukuran Kunci
Jenis Informasi
Diffie-Hellman • 1024-bits
(DH) • Untuk data kartu
(PCIDSS): 2048 bits
Digital Signature • 1024-bits

Algorithm (DSA) • Untuk data kartu
(PCIDSS): 2048 bits
Elliptic Curve 160-bits

Diffie Hellman
Elliptic Curve 160-bits

Digital Signature
Algorithm
RSA • 1024-bits
• Untuk data kartu
(PCIDSS): 2048 bits
Algoritma enkripsi untuk keperluan hashing:
Nama Algoritma
Message Digest V5 (MD5)
Secure Hashing Algorithm
HA-1, SHA-224, SHA-226, SHA-384, SHA-512
Algoritma enkripsi symmetric:
Nama Algoritma Minimun Key Size
Advanced Encryption 128 bits

Standard (AES)
Triple DES (3DES) 3 distinct 56-bits key atau

2 distinct 56-bits key in the order
of key1, key2 and key1.
RC4 128-bits
International Data 128 bits

Encryption Algorithm
(IDEA)
87
Contoh cryptographic protocols yang sesuai dengan standar algoritma enkripsi dan
hashing:
Nama Algoritma
Secure Sockets Layer and Transport Layer Security

Secure Shell (SSH)
3.2. Kunci Kriptografi
Asisten Deputi Bidang yang membawahi fungsi pengembangan aplikasi bertanggungjawab

untuk menentukan peraturan berikut ini mengenai manajemen kunci kriptografi:
• membuat kunci kriptografi pribadi dan publik
• aktivasi dan distribusi kunci kriptografi
• mendefinisikan batas waktu terhadap penggunaan dari kunci kriptografi dan
pembaharuan teraturnya (sesuai dengan penilaian resiko)
• pengarsipan kunci kriptografi yang telah tidak aktif yang diperlukan untuk arsip elektronik
terenkripsi
• penghancuran kunci kriptografi
Kunci-kunci kriptografi dikelola oleh para pemiliknya sebagaimana aturan yang telah
dinyatakan di atas.
Kunci-kunci kriptografi akan diproteksi dan dilindungi terhadap kehilangan, perubahan atau
kerusakan. Dalam hal kehilangan atau kerusakan, kunci dapat dipulihkan.
Peralatan yang digunakan untuk menyimpan kunci harus ditempatkan pada lokasi yang
memiiki pengamanan fisik yang memadai.
88
Lampiran 8 - Petunjuk Pengosongan Meja dan Layar

(ISO 27001:2013 - Annex A.11)
BPJS Kesehatan
Tujuan dari dokumen ini untuk menjelaskan peraturan untuk mencegah akses tidak sah
terhadap indormasi dan Lingkungan kerja BPJS Kesehatan, juga untuk fasilitas dan peralatan
bersama milik BPJS Kesehatan.
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
• Standar ISO/IEC 27001, klausul A.11.2.8 dan A.11.2.9

3. Kebijakan Pengosongan Meja dan Layar
Seluruh informasi yang diklasifikasikan sebagai “internal”, “Rahasia” yang dispesifikasikan

didalam Kebijakan Klasifikasi Informasi yang dianggap sebagai informasi sensitif didalam
Kebijakan Pengosongan Meja dan Layar.
3.1. Perlindungan Lingkungan Kerja

3.1.1. Kebijakan Pengosongan Meja
Jika orang yang berwenang sedang tidak berada ditempat kerja, seluruh dokumen kertas,
termasuk media penyimpanan data yang bersifat rahasia, tidak diletakkan diatas meja secara
sembarangan dan harus dipindahkan dari meja atau tempat lain (printer, mesin fax, mesin
fotokopi, dll) untuk mencegah akses tidak sah terhadap dokumen tersebut.
89
Setelah selesai menggunakan papan tulis (whiteboard), informasi yang bersifat rahasia
pada papan tulis harus segera dihapus untuk mencegah terbaca nya informasi rahasia.
Dokumen dan media harus disimpan di tempat dan dengan cara yang aman sesuai dengan
Kebijakan Klasifikasi Informasi.
3.1.2. Kebijakan Pengosongan Layar
Jika orang yang berwenang sedang tidak berada ditempat kerja, seluruh informasi yang
bersifat rahasia harus dihapus dari layar, dan layar harus ditinggalkan dalam keadaan
terlindungi dengan password.
Apabila orang yang berwenang meninggalkan tempat kerja selama lebih dari 5 (lima) menit,
maka komputer harus dalam keadaan terkunci secara otomatis (mengaktifkan default lock
screen).
3.2. Perlindungan terhadap Fasilitas dan Peralatan Bersama
Dokumen yang mengandung informasi sensitif harus segera disingkirkan dari printer, fax dan
mesin fotokopi.
Untuk pengiriman dan penerimaan fasilitas surat atau dokumen yang bersifat rahasia, harus
melalui resepsionis dan dicatat setiap penerimaan surat atau dokumen yang datang. Dan
ketika penerima surat atau dokumen tidak hadir, maka surat tersebut disimpan di sekretaris
masing-masing bagian sampai penerima sudah hadir.
Akses tidak sah untuk penggunaan printer, mesin fotokopi, mesin scan, dan peralatan lain
yang berada di seluruh area kerja BPJS Kesehatan harus dicegah dengan cara memberikan
akses kontrol berupa PIN, Password, atau kartu akses.
90
Lampiran 9 - Petunjuk Bekerja di Area Aman

(ISO 27001:2013 - Annex A.11)
BPJS Kesehatan
Tujuan dokumen ini adalah untuk menjelaskan aturan dasar dari kegiatan sehari-hari
pegawai BPJS Kesehatan pada area yang aman.
BPJS Kesehatan.
• Standar ISO/IEC 27001, kalusul A.11.1.5

3. Peraturan pada Area yang Aman
3.1. Daftar Area yang Aman
Area yang aman yang membutuhkan rules tertentu adalah:

• Data Center & Disaster Recovery Center
• Librarian
Penanggung Jawab dari setiap Area yang Aman telah terdaftar sebagai Pemilik Aset pada
Aset Inventori.
3.2. Hak Akses untuk Area yang Aman
Akses ke area yang aman disetujui berdasarkan Pedoman Kendali Akses.
91
3.3. Kendali Akses Masuk
Akses ke Area yang Aman dilindungi dengan beberapa alat kendali:

• Tap Card Reader
• Kamera CCTV
3.4. Akses Pengunjung
Setiap orang yang bukan pegawai BPJS Kesehatan, harus mendapatkan akses berdasarkan
Kebijakan Akses Kontrol.
Pengunjung memasuki Area yang Aman dan berada di area tersebut harus didampingi
dengan pegawai BPJS Kesehatan yang bersangkutan.
Waktu kunjungan masuk dan keluar pengunjung harus dicatat pada buku tamu kunjungan
oleh Bidang yang membawahi fungsi pengelolaan data center TI
3.5. Aktifitas yang Tidak Diperbolehkan
Pada Area yang Aman tidak diperbolehkan:

• Mengambil foto, merekam audio dan video;
• Memasang perangkat listik apapun ke sumber daya listrik, kecuali telah mendapat izin
khusus;
• Menyentuh atau mengutak-atik peralatan yang dipasang di Area yang Aman, kecuali telah
mendapat izin khusus;
• Menghubungkan perangkat apapun ke jaringan, kecuali telah mendapat izin khusus;
• Menyimpan bahan atau alat yang mudah terbakar;
• Menggunakan segala jenis alat pemanas;
• Merokok, makan dan minum;
3.6. Pemeriksaan Berkala
Jika Area yang Aman tidak digunakan dalam jangka waktu 6 bulan, Asisten Deputi Bidang
yang membawahi fungsi pengelolaan data center harus memeriksa apakah itu sesuai dengan
persyaratan keamanan.
92
Lampiran 10 - Petunjuk Keamanan Fisik dan Lingkungan

(ISO 27001:2013 - Annex A.11)
BPJS Kesehatan
Tujuan dokumen ini adalah mengatur perimeter keamanan fisik, akses masuk fisik, kondisi
kerja, mengamankan kantor, datacenter, dan peraturan umum pada BPJS Kesehatan.
BPJS Kesehatan.
• Standar ISO/IEC 27001, klausa A.11.1.5

3. Daerah Aman
3.1. Perimeter Keamanan Fisik

3.1.1 Tata letak dari fasilitas proses informasi perusahaan akan dipisah kedalam beberapa
zona perimeter. Setiap zona akan memiliki tingkatan level pembatasan akses dan
otorisasi akses.
3.1.2 Pembatas fisik dan perangkat akses kontrol harus dipasang untuk mencegah akses
kepada fasilitas proses informasi perusahaan.
3.2. Kontrol Akses Fisik

3.2.1 Seluruh pegawai, kontraktor, konsultan, dan pengunjung lain yang memasuki area
kerja BPJS Kesehatan harus membawa dan menggunakan kartu identitas yang
diberikan oleh BPJS Kesehatan.
93
3.2.2 Akses fisik kepada fasilitas proses informasi perusahaan dibatasi hanya untuk orang
yang berwenang. Hak untuk masuk kedalam fasilitas yang dibatasi hanya diizinkan
saat ada tujuan bisnis atau teknis.
3.2.3 Area yang aman (zona terbatas) harus dilindungi dengan kombinasi perangkat akses
kontrol, peralatan log akses untuk memastikan bahwa hanya orang yang berwenang
yang dapat mengakses area yang aman.
3.2.4 Pengunjung harus didampingi oleh pegawai BPJS Kesehatan saat memasuki area
yang aman.
3.2.5 Akses yang bersifat rahasia kepada fasiitas proses informasi perusahaan diluar jam
kerja harus diberikan izin khusus dan dicatat.
3.3. Pengamanan Kantor, Ruang Telekomunikasi dan Datacenter

3.3.1 Datacenter, peralatan ruangan, dan ruang telekomunikasi harus dilindungi dari
akses tidak sah dan tidak berkepentingan.
3.3.2 Datacenter, peralatan ruangan dan ruang telekomunikasi harus terkunci saat
sedang tidak diawasi.
3.3.3 Perangkat jaringan seperti router, switch, dan hub harus diletakkan pada zona terbatas
yang memiliki perlindungan dari akses tidak sah dan tidak berkepentingan.
3.3.4 Seluruh sumber media untuk perangkat lunak sistem operasi, aplikasi, perangkat tape
backup dan kode lisensi harus diberikan label dan disimpan pada software library
yang berada pada zona terbatas.
3.3.5 Kontrol intrusion detection (alarm tanda bahaya, dll), dan peralatan keamanan (alarm
kebakaran, smoke detector, dll) harus diletakkan di seluruh lokasi kantor, ruang
telekomunikasi dan data center.
3.4. Bekerja di Daerah Aman

3.4.1 Seluruh aktifitas atau pekerjaan pihak ketiga harus disetujui oleh manajemen dan
diawasi oleh pegawai yang bersangkutan.
3.4.2 Seluruh pihak ketiga harus diberikan akses terbatas saat mengakses sumber
informasi perusahaan dan aktifitas mereka harus diawasi dan dikaji secara reguler.
3.5. Area Pengiriman dan Bongkar Muat

3.5.1 Jika memungkinkan, area pengiriman dan bongkar muat harus dipisahkan dari
sumber informasi.
94
3.5.2 Bahan, perlengkapan dan peralatan yang masuk dan keluar lokasi perusahaan harus
diperiksa dan bila perlu dicatat sesuai dengan prosedur perusahaan.
4. Keamanan Peralatan
4.1. Lokasi dan Perlindungan Peralatan

4.1.1 Seluruh peralatan harus memiliki rencana pemeliharaan yang memadai atau asuransi
berdasarkan nilai peralatan.
4.1.2 Peralatan tidak boleh dipindah lokasinya kecuali telah diizinkan oleh pemilik peralatan.
4.2. Sumber daya Listrik

4.2.1 Peralatan harus dilindungi dari kegagalan arus dan kejanggalan listrik.
4.2.2 Peralatan yang bersifat penting harus didukung oleh Uninterruptible Power Supply (UPS).
4.2.3 Pembangkit listrik cadangan harus tersedia saat dibutuhkan.
4.2.4 Sumber daya listrik cadangan termasuk UPS, pembangkit listrik cadangan, dll harus
dilakukan pemeliharaan dan pengujian secara berkala.
4.3. Keamanan Kabel

4.3.1 Kabel listrik dan komunikasi data yang digunakan untuk fasilitas pemrosesan informasi
harus terlindung secara fisik dengan baik misalnya menggunakan wiring duct
4.3.2 Semua kabel listrik harus dipasang dan dipelihara sesuai dengan ketentuan yang
ditetapkan oleh perusahaan penyedia listrik.
4.3.3 Jalur kabel data harus terlindungi dari intersepsi dan harus dipasang secara terpisah
dari kabel listrik, untuk menghindari terjadinya induksi.
4.3.4 Semua kabel data harus diberi label, dan instalasi jalur kabel harus didokumentasikan.
4.4. Pemeliharaan Peralatan

4.4.5 Perangkat komputer, komunikasi data dan perangkat sistem informasi lainnya yang
akan dilakukan perawatan preventif secara berkala harus sesuai spesifikasi dari pabrik
pembuat untuk meminimalkan risiko terjadinya kerusakana pada perangkat tersebut
4.4.6 Pemeliharaan peralatan hanya boleh dilakukan oleh personil yang berwenang.
4.4.7 Pemeliharaan peralatan harus menjaga kerahasiaan informasi yang terdapat didalam
peralatan tersebut. Apabila peralatan harus dikirim keluar lokasi BPJS Kesehatan,
maka data storage didalamanya harus dilepas dari posisinya
95
Lampiran 11 - Petunjuk Penghapusan dan Pemusnahan

(ISO 27001:2013 - Annex A.11)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk memastikan bahwa informasi milik BPJS Kesehatan
yang disimpan pada peralatan dan media dapat dihapus atau dimusnahkan secara aman.
BPJS Kesehatan.
• Standar ISO/IEC 27001, klausul A.8.3.2, A.11.2.7

3. Pembuangan dan Pemusnahan pada Peralatan dan Media
Seluruh data dan perangkat lunak yang terlisensi yang tersimpan pada media penyimpanan
mobile (misalnya pada CD, DCD, USB Flash Drive, Kartu Memori, dll; juga pada kertas) dan pada
seluruh peralatan yang mengandung media penyimpanan (misalnya pada komputer, telepon
genggam, dll) harus dihapus atau dihancurkan sebelum dibuang atau digunakan kembali.
Orang yang bertanggung jawab untuk menghapus data/memusnahkan media harus

memberitahu pemilik aset tentang penghapusan/pemusnahan, dan pemilik aset harus
memperbarui Aset Inventori.
96
3.1. Peralatan
Bidang yang membawahi fungsi Manajemen Aset TI bertanggung jawab untuk memeriksa
dan menghapus data dari peralatan. Berdasarkan Petunjuk Klasifikasi Informasi, data harus
dihapus dengan beberapa cara, seperti Format, hingga Secure Erase. Namun jika proses
penghapusan tersebut kurang cukup aman berdasarkan sensifitas data, maka media
penyimpanan harus dimusnahkan.
3.2. Media Penyimpanan Mobile
Bidang Manajemen Aset TI bertanggung jawab untuk memeriksa dan menghapus data
dari peralatan. Berdasarkan Petunjuk Klasifikasi Informasi, data harus dihapus dengan
beberapa cara, seperti Factory Reset, hingga Secure Erase. Namun jika proses penghapusan
tersebut kurang cukup aman berdasarkan sensifitas data, maka media penyimpanan harus
dimusnahkan.
3.3. Media Kertas
Dokumen surat-surat, laporan-laporan internal, data peserta serta atau badan usaha, dan
dokumen lainnya yang penggunaannya tidak untuk pihak eksternal harus disimpan dalam
tempat penyimpanan yang aman. Dalam kondisi tertentu jika dokumen rahasia tersebut
ingin dibuang, maka terlebih dahulu harus dimusnahkan dengan menggunakan mesin
penghancur kertas.
Pegawai yang memegang dokumen memiliki tanggung jawab untuk menghancurkan

dokumen berbentuk kertas, kecuali Kebijakan Klasifikasi Informasi memiliki peraturan yang
berbeda.
3.4. Pencatatan Penghapusan dan Pemusnahan; Pelaksanaan untuk Pemusnahan Data
Pencatatan penghapusan/penghancuran harus disimpan untuk seluruh data yang

diklasifikasikan sebagai “Public”, “Internal”, “Rahasia” dan “PII/Regulasi”. Catatan harus
mencakup beberapa informasi berikut: Informasi tentang media, tanggal penghapusan/
pemusnahan, metode penghapusan/pemusnahan, dan orang yang melakukan proses
tersebut.
Seluruh Informasi yang diklasifikasikan sebagai “Rahasia” dan “PII/Regulasi” harus dihapus/
dimusnahkan dan diketahui oleh pihak yang berwenang untuk mengakses informasi yang
bersangkutan.
97
Lampiran 12 - Petunjuk Backup

(ISO 27001:2013 - Annex A.12)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk memastikan bahwa salinan data backup milik BPJS
Kesehatan dibuat pada rentang waktu yang telah ditentukan dan diuji secara berkala.
BPJS Kesehatan.
• Standar ISO/IEC 2700, klausul A.12.3.1
3. Backup
3.1. Prosedur Backup

3.1.1 Setiap unit kerja wajib melakukan backup secara berkala terhadap data-data penting
terkait aktivitas yang dilakukan oleh seluruh pegawai BPJS Kesehatan, kecuali jika
data-data tersebut dikelola melalui Sistem informasi maka tanggung jawab backup
data berada pada Kedeputian Bidang Operasional Teknologi Informasi.
3.1.2 Backup data wajib dilakukan pada media yang terpisah dari media utama yang
dipakai untuk operasional.
3.1.3 Backup yang berisi data rahasia termasuk namun tidak terbatas pada master file,
data pribadi pegawai, data gaji, data pelayanan kesehatan perorangan, dan hasil audit
internal yang disimpan pada media portabel harus dilindungi dan dienkripsi sesuai
Petunjuk Teknis Pengamanan Data Elektronik.
98
3.2. Pengujian Salinan Backup

3.2.1 Penanggung jawab backup data wajib melakukan pemeriksaan secara teratur atas
backup data yang telah dilakukan untuk memastikan backup data bisa terbaca saat
diperlukan.
3.2.2 Setiap hasil backup data harus diuji setidaknya sekali setiap tiga bulan dengan
menerapkan data dan mengembalikan proses di perangkat dimana data restore
dilakukan, dan memeriksa bahwa semua data telah berhasil dikembalikan. Untuk
restore data pada database utama. Proses testing restore dilakukan bersamaan
dengan proses restore data secondary (DRC)
99
Lampiran 13 - Petunjuk Manajemen Perubahan

(ISO 27001:2013 - Annex A.12)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk mendefinisikan bagaimana perubahan dari Sistem
Informasi milik BPJS Kesehatan dikontrol.
BPJS Kesehatan.

• Panduan Pengelolaan Pengembangan Sistem Informasi
3. Manajemen Perubahan
Setiap perubahan yang dilakukan pada sistem operasional atau sistem production harus
dilakukan dengan cara berikut:
1. Perubahan dapat diajukan oleh seluruh Asisten Deputi Bidang di lingkungan Direktorat TI
2. Perubahan harus disahkan oleh seluruh Deputi Direksi Bidang di lingkungan Direktorat TI,
yang wajib memberikan penilaian pertimbangan untuk bisnis dan potensi dampak negatif
keamanan
3. Perubahan harus diimplementasikan oleh Asisten Deputi Bidang yang membawahi
fungsi Pengembangan Aplikasi
4. Versioning Aplikasi mengacu pada Panduan Pengelolaan Pengembangan Sistem
Informasi
100
5. Asisten Deputi Bidang yang membawahi fungsi Quality Control Sistem Informasi
bertanggung jawab untuk memeriksa bahwa perubahan yang dilakukan telah memenuhi
standar
6. Asisten Deputi Bidang yang membawahi fungsi Quality Control Sistem Informasi bertanggung
jawab untuk menguji dan memeriksa stabilitas sistem. Sistem tidak boleh diletakkan
kedalam sistem production sebelum pengujian secara keseluruhan benar-benar
dilakukan.
7. Implementasi perubahan harus dilaporkan kepada seluruh Deputi Direksi Bidang di
lingkungan Direktorat TI
8. Standar konfigurasi server dan perangkat jaringan mengacu pada benchmark yang
dikeluarkan oleh Center of Internet Security (CIS), sedangkan untuk perangkat lainnya
mengacu pada konfigurasi yang direkomendasikan oleh masing-masing vendor.
9. Mempertimbangkan perubahan terhadap (namun tidak terbatas kepada) organisasi,
bisnis proses, fasilitas pemrosesan informasi dan tren teknologi informasi untuk perubahan
yang bersifat terencana dan perubahan yang bersifat emergency.
101
Lampiran 14 - Petunjuk Perpindahan Informasi

(ISO 27001:2013 - Annex A.13)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk menjamin Keamanan Informasi dan perangkat lunak
saat dipertukarkan didalam atau diliuar organisasi BPJS Kesehatan.
BPJS Kesehatan.

3. Pedoman Perpindahan Informasi
3.1. Jalur Komunikasi Elektronik
Pertukaran informasi milik BPJS Kesehatan dapat melalui beberapa jalur komunikasi
elektronik yaitu e-mail, mengunduh file dari internet, memindahkan data melalui jaringan
Intranet, melalui web application, telepon, mesin fax, media portable.
Sistem Log dari email server harus diaktifkan dan disimpan dengan masa waktu retensi
tertentu sesuai dengan kebutuhan.
Perlindungan terhadap risiko modifikasi, denial of service, dan akses oleh pihak yang tidak
berwenang kedalam sistem email.
102
Tidak diperkenankan untuk melakukan forwarding dari email perusahaan ke email pribadi.
Data/informasi yang bersifat rahasia yang dikirimkan melalui email/komunikasi elektronik

harus diberikan perlindungan tambahan untuk menjaga keaslian dan kerahasiaannya.
Menjaga prinsip kehati-hatian dalam menggunakan mesin faximile.
Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI menentukan jalur
komunikasi yang dapat digunakan berdasarkan tipe informasi sesuai dengan Petunjuk
Klasifikasi Informasi, dan pembatasan izin akses untuk menggunakan jalur komunikasi.
3.2. Hubungan Dengan Pihak Eksternal
Pihak eksternal yang dimaksud adalah termasuk beberapa penyedia layanan, perusahaan
jasa pemeliharaan perangkat keras dan lunak, perusahaan yang menangani trasaksi atau
pengolahan data, klien, dll.
Sebelum bertukar informasi dan/atau perangkat lunak dengan pihak eksternal, sebuah
perjanjian harus ditandatangani, yang merupakan tanggung jawab masing-masing Asisten
Deputi Bidang di lingkungan Direktorat TI yang terkait. Perjanjian tersebut dapat berupa
kertas atau elektronik dan harus berisi klausul yang sesuai dengan risk assessment,
termasuk setidaknya metode identifikasi dari pihak lain, otorisasi untuk mengakses
informasi, memastikan tidak ada penolakan, standar teknis untuk transfer data, respon
insiden, pelabelan dan penanganan informasi sensitif, dan hak cipta.
Pertukaran informasi baik pengiriman atau penerimaan yang dilakukan dengan pihak
eksternal harus dapat ditelusuri dan memenuhi persyaratan non-repudiation.
Pengamanan pertukaran informasi dari risiko intersepsi, modifikasi, dan misrouting kepada
penerima yang salah.
Pemberian awareness kepada semua pegawai untuk bertanggung jawab dalam bertukar
informasi dengan pihak eksternal sehingga tidak menyebabkan kebocoran informasi atau
pencemaran nama baik yang dimiliki BPJS Kesehatan.
Perjanjian dengan pihak eksternal harus disusun sesuai dengan Petunjuk Keamanan Pemasok.
103
Lampiran 15 - Petunjuk Pengembangan Aman

(ISO 27001:2013 - Annex A.14)
BPJS Kesehatan
Tujuan dokumen ini adalah untuk membantu serta memberikan petunjuk bagi tentang
pengembangan perangkat lunak dan sistem aplikasi yang aman. Dokumen ini mencakup
tata cara pengembangkan sistem aplikasi BPJS Kesehatan mula dari usulan, perubahan bisnis
proses, kajian risiko, pengembangan aplikasi, pengujian, instalasi dan sosialisasi penggunaan
aplikasi.
Dokumen ini diterapkan pada pengembangan dan pemeliharaan semua layanan, arsitektur,
perangkat lunak dan sistem yang merupakan bagian dari Sistem Manajemen Keamanan
Informasi.
Pengguna dokumen ini adalah semua pegawai yang bekerja dalam pengembangan dan
pemeliharaan sistem aplikasi BPJS Kesehatan.
2. Dokumen referensi
• Standard ISO/IEC 27001, klausul A.14.1.2, A.14.1.3, A.14.2.1, A.14.2.2, A.14.2.5, A.14.2.6,
A.14.2.7, A.14.2.8, A.14.2.9, A.14.3.1
• Petunjuk Teknis Secure Coding
• Petunjuk Manajemen Perubahan
3. Persyaratan Keamanan Sistem Informasi
3.1 Direktorat TI BPJS Kesehatan menetapkan dan mendokumentasikan secara jelas

persyaratan-persyaratan keamanan informasi yang relevan sebelum dilakukannya
proyek pembangunan, perluasan, atau pengadaan sistem informasi baru.
3.2 Spesifikasi seluruh perangkat lunak yang dikembangkan baik oleh Direktorat TI BPJS
Kesehatan sendiri atau oleh mitra dan dimaksudkan untuk mengolah informasi yang
penting, berharga, atau rawan, harus didokumentasikan secara formal.
3.3 Spesifikasi sebagaimana dimaksud di atas harus disetujui baik oleh penanggung
104
jawab sumber daya TIK maupun oleh pengembang sistemnya sebelum kegiatan
penulisan program dimulai.
3.4 Perangkat lunak open source diizinkan untuk digunakan di Direktorat TI BPJS
Kesehatan seperti halnya perangkat lunak komersial. Sebelum digunakan, baik
perangkat lunak komersial maupun perangkat lunak open source harus dipastikan
memenuhi persyaratan keamanan informasi yang berlaku.
3.5 Situs perusahaan yang disediakan bagi publik harus dilindungi dari perubahan atau
modifikasi secara tidak berwenang. Kandungan informasi yang disediakan bagi publik
harus diotorisasi oleh unit kerja yang berwenang.
3.6 Seluruh transaksi dalam aplikasi dilindungi dengan menerapkan sertifikat SSL
3.7 Bidang Keamanan Informasi TI bertanggungjawab terhadap evaluasi pemenuhan

persyaratan keamanan informasi oleh perangkat keras, perangkat lunak dan sistem
lainnya yang akan digunakan.
4. Kebijakan Pengembangan Perangkat Lunak
4.1 Password user harus dilindungi dari eksploitasi jika seandainya penyerang berhasil
mengakses database. Untuk mencegah Dictionary Attack maka minimal
algoritma hashing yang digunakan untuk penyimpanan password di database harus
menggunakan Salt yang dihasilkan secara acak (Secure Salted Passwod Hashing).
4.2 Seluruh modul registrasi user dan perubahan password harus mewajibkan user
memasukkan password yang memuat kombinasi sesuai ketentuan.
4.3 Seluruh aktifitas pengguna aplikasi harus bisa direkam dan dilacak.
4.4 Aplikasi harus dapat memastikan akun pengguna hanya memiliki satu login session.
Tidak diperkenankan menggunakan akun yang sama untuk login di lebih dari satu
perangkat pada saat yang bersamaan.
4.5 Untuk mencegah bruteforce attack pada user dan password, seluruh aplikasi web wajib
menggunakan mekanisme challenge response authentication antara lain CAPTCHA
jika terjadi 3 kali kesalahan login secara berturut-turut.
4.6 Untuk mempersulit aktifitas Reverse Engineering terhadap aplikasi-aplikasi milik BPJS
Kesehatan, seluruh aplikasi standalone wajib diproteksi dengan menggunakan code
obfuscator.
4.7 Untuk mencegah tersebarnya koneksi ke data center sebagai akibat dari aktifitas
Reverse Engineering pada aplikasi standalone, maka seluruh aplikasi standalone tidak
boleh menyimpan connection string ke server database yang berada di Data Center.
Komunikasi ke server database harus melalui web service.
105
4.8 Untuk meningkatkan keamanan aplikasi, pengembangan aplikasi harus menerapkan

prinsip prinsip dalam Petunjuk Teknis Secure Coding.
4.9 Proses Quality Control harus memastikan aplikasi telah melalui pengecekan celah
keamanan menggunakan software Vulnerability Scanner. Aplikasi yang terdeteksi
memiliki celah keamanan level High, harus ditolak dan dikembalikan ke developer
untuk diperbaiki.
4.10 Pengembangan aplikasi yang dilakukan di Kedeputian Wilayah, Kantor Cabang atau
unit kerja lain di luar Kedeputian Bidang Pengembangan Sistem Informasi, harus
diberitahukan kepada Bidang Keamanan Informasi TI. Bidang Keamanan Informasi
TI berhak untuk melarang penggunaan aplikasi tersebut jika ditemukan adanya celah
keamanan yang berpotensi mengancam keamanan data BPJS Kesehatan.
4.11 Jika dalam pengembangan aplikasi terdapat penggunaan layanan milik pihak ketiga
seperti web service, Application Programming Interface, Software Development Kit,
Library atau bentuk lainnya,maka programmer harus patuh terhadap ketentuan yang
diatur dalam Terms of Service (TOS), End User License Agreement (EULA) atau bentuk
lisensi lain yang disyaratkan oleh pemilik layanan tersebut.
4.12 Dalam setiap pengembangan sistem informasi yang memiliki modul login, harus
memiliki mekanisme otomatis yang mewajibkan pengguna mengganti password awal, dan
harus memiliki fasilitas yang memungkinkan pengguna mengganti password sendiri.
4.13 Dalam setiap pengembangan sistem informasi yang mengelola masterfile

peserta,serta yang dapat melakukan penambahan atau perubahan terhadap data
pelayanan dan data keuangan harus menyertakan halaman atau formulir End User
License Agreement (EULA).
4.14 Dalam setiap pengembangan sistem informasi yang mengelola masterfile

peserta,serta yang dapat melakukan penambahan atau perubahan terhadap tata
pelayanan dan data keuangan harus terdapat suatu modul konfigurasi password
policy yang meliputi password history, maximum password age, minimum
password age, minimum password length dan password complexity dan harus bisa
dikonfigurasikan sesuai ketentuan dalam klausul 3.1 dan 3.6
5. Keamanan Proses Pengembangan
5.1 Sistem aplikasi harus dilengkapi dengan proses validasi input sesuai keperluan,
untuk memastikan kebenaran data yang diinput. Contoh validasi input yang dapat
dilakukan adalah (namun tidak terbatas pada) sebagai berikut:
• Tipe data (string, integer, real, dsb) yang diperbolehkan.
• Jenis karakter yang diperbolehkan (numerik atau karakter)
106
• Panjang karakter minimum dan maksimum yang diperbolehkan

• Pengecekan apakah null value diperbolehkan
• Check digits pada field tertentu seperti nomor rekening dan nomor kartu
Pencegahan duplikasi data (bila tidak diperbolehkan adanya duplikasi).
• Rentang nilai numerik yang diperbolehkan
• Penggunaan dual input control, misalnya Supervise Override pada penginputan
data yang kritikal atau input transaksi dalam jumlah besar untuk mendeteksi
kesalahan input atau mencegah penyalahgunaan (fraud).
5.2 Seluruh inputan dan output harus disanitasi sehingga meminimalisir adanya
serangan berbasis injeksi seperti SQL Injection dan XSS.
5.3 Untuk meminimalkan risiko terjadinya kesalahan pemrosesan data, dapat dilakukan
pengendalian antara lain sebagai berikut:
• Mencegah berjalannya proses dalam urutan yang salah, menghentikan rangkaian
pemrosesan bila terdapat kegagalan pada suatu tahapan proses. Pengendalian
ini terutama berlaku pada proses batch.
• Terdapat panduan untuk melanjutkan kembali pemrosesan data (re-run) setelah
terjadi kegagalan pemrosesan.
• Batch total (contoh summary totals dan grand totals).
• Control totals (mis. pembandingan jumlah records yang berhasil diproses dan
jumlah yang gagal diproses dengan jumlah total input records).
• Penggunaan Hash Total.
• Balancing controls (mis. closing balance harus sama dengan opening balance
plus/minus transaksi/mutasi yang terjadi).
5.4 Apabila dibutuhkan atau diwajibkan adanya perlindungan untuk menjaga keaslian
pesan (message integrity) pada aplikasi tertentu, agar digunakan teknik kriptografi
untuk menjaga keaslian pesan tersebut. Lihat Petunjuk Kriptografi.
5.5 Sistem aplikasi harus menyediakan sarana seperti report agar user dapat melakukan
rekonsiliasi untuk memastikan kebenaran dan kelengkapan data yang sudah diproses.
5.6 User harus disediakan panduan untuk melakukan rekonsiliasi.
5.7 Direktorat TI BPJS Kesehatan menetapkan prosedur pengendalian perubahan untuk

mengelola perubahan pada aplikasi dan sistem operasi.
5.8 Jika sistem operasi berubah, maka aplikasi harus dievaluasi dan diuji lagi untuk
menjamin bahwa keutuhan sistemnya tidak terganggu.
107
5.9 Perubahan dalam pengembangan sistem dan selama pemeliharaan sistem harus
dilakukan sesuai dengan Petunjuk Manajemen Perubahan.
5.10 Perubahan-perubahan terhadap perangkat lunak yang diperoleh dari mitra kerja akan
dikelola berdasarkan kontrak perjanjian dengan mitra kerja tersebut.
5.11 Setiap paket perangkat lunak yang dikembangkan oleh pihak eksternal baik mitra atau
pihak eksternal lainnya, yang digunakan dalam sistem informasi milik Direktorat TI
BPJS Kesehatan, harus bebas dari mekanisme deaktivasi (pemberhentian operasi/
layanan atau penonaktifan) yang dapat dipicu oleh mitra atau pihak eksternal lainnya
tanpa sepengetahuan Direktorat TI BPJS Kesehatan.
5.12 Kelemahan-kelemahan teknis sistem informasi yang digunakan harus segera

diidentifikasi, dikaji risikonya, dan ditetapkan kontrol-kontrol untuk mencegah atau
menutup kelemahan kelemahan yang terjadi.
5.13 Prinsip-prinsip keamanan system engineering harus diterapkan dalam setiap

pengembangan sistem informasi, baik dikembangkan secara in-house maupun
outsourced.
5.14 BPJS Kesehatan mengawasi dan memantau pengembangan perangkat lunak yang
dilakukan oleh pihak mitra kerja untuk memastikan bahwa proses pengembangannya
memenuhi syarat-syarat keamanan informasi yang ditetapkan dalam kontrak.
5.15 Data yang digunakan dalam pengujian sistem (system test data) harus dilindungi dari
kemungkinan rusak, hilang, atau perubahan yang dilakukan tanpa ijin.
5.16 Akses terhadap program source library harus dikendalikan secara ketat untuk
mengurangi kemungkinan rusak, baik secara sengaja maupun tidak.
5.17 Data rahasia, serta data yang dapat berhubungan dengan individu tidak boleh
digunakan sebagai data uji. Pengecualian dapat disetujui hanya oleh Deputi Direksi
Bidang Pengembangan Sistem Informasi, dalam hal ini Asisten Deputi Bidang
Pengembangan Aplikasi dan Middleware harus menentukan bagaimana data uji
tersebut dilindungi.
6. Pengamanan Arsip Pendukung
6.1 Akses terhadap arsip-arsip pendukung kinerja sistem (system files) dibatasi
hanya bagi pegawai Direktorat TI BPJS Kesehatan yang bertanggung jawab dalam
pengelolaan server.
6.2 Proses pemutakhiran (update) perangkat lunak operasional hanya boleh dilakukan
oleh pegawai yang berwenang melalui mekanisme pengelolaan perubahan.
108
6.3 Proses pemutakhiran sebagaimana dimaksud di atas tidak boleh dilakukan sebelum
pengujiannya dinyatakan selesai dan berhasil serta mendapatkan persetujuan dari
penanggung jawab sistem tersebut melalui proses pengelolaan rilis (release).
6.4 Catatan kejadian dan perlakuan terhadap sistem (audit log) selama proses
pemutakhiran sebagaimana dimaksud di atas harus disimpan dan dirawat dengan
baik.
6.5 Salinan versi terkini dari perangkat lunak yang akan dimutakhirkan harus disimpan di
tempat yang aman sebagai antisipasi terhadap keadaan yang tidak dikehendaki.
109
Lampiran 16 - Petunjuk Keamanan Pemasok

(ISO 27001:2013 - Annex A.15)
BPJS Kesehatan
Tujuan dokumen ini adalah untuk menentukan tugas dan tanggung jawab pemasok dan
pihak ketiga terhadap keamanan informasi di Direktorat TI BPJS Kesehatan.
Dokumen ini diterapkan pada semua pemasok dan pihak ketiga yang berpengarauh dan
mempunyai dampak terhadap kerahasiaan, keutuhan dan ketersediaan informasi yang
sensitif di Direktorat TI BPJS Kesehatan.
Pengguna dokumen ini adalah top management dan personil yang bertanggung jawab atas
pemasok dan pihak ketiga yang bekerjasama dengan Direktorat TI BPJS Kesehatan.
2. Dokumen Terkait
A.15.1.3, A.15.2.1, A.15.2.2
• Metodologi Penilaian Risiko dan Penanganan Risiko
• Pernyataan Menjaga Rahasia (Non Disclosure Agreement)
3. Hubungan Dengan Pemasok
3.1. Identifikasi Risiko
Risiko keamanan yang terkait dengan pemasok dan mitra kerja diidentifikasi selama proses
penilaian risiko, seperti yang didefinisikan dalam Tabel Meotodologi Penilaian Risiko dan
Penanganan Risiko. Selama penilaian risiko, penanganan khusus harus diambil untuk
mengidentifikasi risiko yang terkait dengan teknologi informasi dan komunikasi, serta risiko
yang terkait dengan rantai pasokan produk.
Asisten Deputi Bidang yang membawahi fungsi Kemanan Informasi TI harus memutuskan
apakah perlu ada tambahan penilaian risiko yang berkaitan dengan pemasok individu atau
mitra.
110
3.2. Keamanan Akses

3.2.1 Akses terhadap sumber daya informasi di lingkungan Direktorat TI BPJS Kesehatan
harus dikontrol secara ketat.
3.2.2 Sebelum memberikan akses kepada mitra, pengguna jasa layanan, departemen/
instansi lain terkait, atau pihak eksternal lainnya, Direktorat TI BPJS Kesehatan wajib
mendeteksi dan mengevaluasi resiko-resiko yang mungkin muncul sehubungan
dengan pemberian akses dan menerapkan kontrol yang memadai untuk mengurangi
dampak atau mencegah terjadinya risiko-risiko tersebut.
3.2.3 Evaluasi dilakukan dengan memperhatikan aspek-aspek berikut:
3.2.3.1 Jenis akses yang diperlukan seperti akses fisik ke kantor, ruang kerja, atau
ruang server, akses non fisik ke dalam jaringan, basis data dan sistem
informasi.
3.2.3.2 Alasan kebutuhan akses seperti untuk memberi dukungan perangkat keras
dan perangkat lunak, audit keamanan informasi dan pengembangan aplikasi
dan sistem informasi.
3.2.4 Pengendalian risiko pemberian akses pada pihak eksternal dilakukan antara lain
melalui klausul-klausul dalam perjanjian kontrak dan melalui Pernyataan Menjaga
Kerahasiaan (Non Disclosure Agreement), dan memastikan pihak penyedia jasa
mendapatkan awareness yang sesuai terkait pengamanan informasi.
3.3. Kontrak
3.3.1 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI bertanggung
jawab untuk memutuskan klasusa keamanan yang akan dimasukkan kedalam
kontrak dengan pemasok atau mitra kerja.
3.3.2 Dalam perjanjian kontrak dengan pemasok atau mitra keja dicantumkan antara lain:
3.3.2.1 Kewajiban pihak eksternal mematuhi kebijakan keamanan informasi yang

berlaku di Direktorat TI BPJS Kesehatan.
3.3.2.2
Persetujuan untuk turut melindungi keamanan sumber daya informasi
Direktorat TI BPJS Kesehatan terkait dengan akses yang diberikan.
3.3.2.3 Jenis akses yang diberikan dan tata cara penggunaan akses tersebut.
3.3.2.4 Identitas pegawai pihak eksternal yang menggunakan akses ini.
3.3.2.5 Pembatasan lokasi dari mana akses dapat dilakukan dan waktu penggunaan
akses.
111
3.3.2.6 Persetujuan atas hak pantau dan pengawasan yang dilakukan Direktorat TI
BPJS Kesehatan terhadap penggunaan akses.
3.3.2.7 Setiap aset yang diberikan kepada pihak eksternal wajib dikembalikan saat
perjanjian kerja berakhir.
3.3.3 Asisten Deputi Bidang Jaringan dan Keamanan Informasi TI harus memutuskan
siapakah dari pemasok atau mitra kerja yang harus menandatangani Pernyataan
Menjaga Kerahasiaan.
3.3.4 Asisten Deputi Bidang Jaringan dan Keamanan Informasi TI harus memutuskan
siapakah yang akan menjadi pemilik dan bertanggung jawab atas kontrak untuk
setiap kontrak yang ada.
3.4. Evaluasi dan Peninjauan

3.4.1 Pemilik kontrak harus secara teratur memeriksa dan memantau tingkat layanan
dan pemenuhan klausul keamanan dengan pemasok atau mitra kerja, laporan dan
catatan yang dibuat oleh pemasok atau mitra kerja, serta audit pemasok atau mitra
kerja setidaknya 1 (satu) tahun sekali.
3.4.2 Setiap insiden keamanan yang terkait dengan pemasok atau mitra kerja harus
dilaporkan secepat mungkin kepada Asisten Deputi Bidang Jaringan dan Keamanan
Informasi TI.
3.5. Perubahan atau Pemutusan Layanan Pemasok

3.5.1 Pemilik kontrak yang akan mengusulkan perubahan atau pemutusan kontrak harus
mendapat persetujuan akhir dari Asisten Deputi Bidang Jaringan dan Keamanan
Informasi TI.
3.5.2 Jika perlu Asisten Deputi Bidang Jaringan dan Kemanan Informasi TI akan
melakukan penilaian risiko baru sebelum perubahan kontrak diterima
3.6. Penghapusan Hak Akses

3.6.1 Ketika terjadi perubahan atau penghentian kontrak, hak akses bagi pegawai dari
pemasok atau mitra kerja harus dikeluarkan sesuai dengan Petunjuk Kendali Akses.
3.6.2 Ketika terjadi perubahan atau penghentian kontrak, pemilik kontrak harus memastikan
semua peralatan, perangkat lunak, atau informasi dalam bentuk elektronik atau kerja
dikembalikan.
112
3.7. Klausul Kemanan Pemasok dan Mitra Kerja
Ketika menyusun perjanjian dengan pemasok atau mitra kerja, harus didefinisikan klausul
mana dari berikut ini yang akan dimasukkan dalam perjanjian.
1. Detil tentang layanan yang diberikan, menspesifikasikan informasi untuk tujuan ini dan
bagaimana informasi tersebut diklasifikasikan.
2. Jika pemasok berhak untuk merekrut sub-kontraktor; jika ya, maka pernyataan tertulis
harus didapatkan dari organisasi, dengan deskripsi kendali yang harus dipenuhi sub-
kontraktor
3. Definisi dari informasi rahasia dan aturan pertukaran rahasia
4. Durasi perjanjian dan kewajiban untuk menjaga informasi rahasia/pertukaran rahasia
setelah habis masa berlaku perjanjian (ketika menulis artikel ini, harus dipertimbangkan
bagaimana kelangsungan bisnis akan dipastikan dalam organisasi).
5. Hak organisasi untuk mengakses informasi yang disimpan atau diproses oleh pemasok/
partner.
6. Hak untuk mengaudit atau mengawasi penggunaan informasi rahasia dan untuk
mengawasi pelaksanaan perjanjian di tempat pemasok/partner, dan apakah audit dapat
dilaksanakan oleh pihak ketiga; jelaskan hak-hak auditor
7. Tindakan yang dibutuhkan setelah habis masa berlaku perjanjian (pengembalian,
pemusnahan atau penghapusan informasi rahasia, pengembalian alat, dan lain-lain.) untuk
memastikan kelangsungan bisnis dalam organisasi.
8. Identifikasi dan penggunaan kendali utama untuk memastikan perlindungan aset
organisasi-contoh kendali fisik, kendali untuk perlindungan terhadap kode berbahaya,
kendali perlindungan fisik, kendali untuk melindungi keutuhan, ketersediaan, dan
kerahasian informasi, kendali untuk memastikan pengembalian atau pemusnahan aset
informasi setelah penggunaan, kendali untuk mencegah penyalinan dan distribusi informasi.
9. Memastikan akses untuk laporan keuangan, untuk laporan oleh auditor internal dan
eksternal, dan untuk laporan lainnya yang berkaitan dengan operasi bisnis pemasok/
partner, yang bisa jadi relevan untuk organisasi.
10. Tanggung jawab dan tindakan pihak-pihak terhadap perjanjian untuk mencegah akses
terhadap perjanjian oleh orang-orang yang tidak berwenang (sebagai contoh hanya orang-
orang yang butuh untuk mengetahui yang boleh memiliki hak akses kepada informasi, dan
lain-lain).
11. Mengidentifikasi pemilik informasi dan bagaimana hak properti intelektual diatur.
12. Penggunaan informasi rahasia yang diizinkan, misalnya metode yang diberikan untuk
menangani informasi.
13. Proses untuk memberitahukan pihak lain atas perjanjian terhadap akses informasi yang
tidak sah, pelanggaran kerahasiaan atau insiden lainnya.
113
14. Menjelaskan waktu respon terhadap insiden dan proses eskalasi untuk pemecahan
masalah dan insiden.
15. Tindakan mengikuti dari pelanggaran perjanjian; tanggung jawab pemasok/partner untuk
transaksi yang tidak terlaksana, tidak tepat waktu atau tidak benar dan kegiatan berkontrak
lainnya.
16. Pengetahuan pemasok/partner akan kebijakan dan prosedur keamanan utama organisasi
17. Kewajiban untuk melatih pegawai pemasok/partner dalam seluruh kegiatan yang terkait
dengan mereka
18. Memastikan pemasok/partner sadar akan kebutuhan keamanan
19. Melarang pegawai organisasi untuk pindah ke pemasok/partner
20. Target tingkat pelayanan dan tingkat pelayanan yang tidak dapat diterima
21. Definisi kriteria performa layanan, pengawasan dan pelaporannya
22. Definisi yang tepat dari sistem laporan dan format laporan
23. Proses Manajemen Perubahan yang dijelaskan secara tepat
24. Sistem kendali akses – menjelaskan alasan untuk hak akses pihak ketiga, proses log-in
dan kata sandi yang diizinkan, proses otorisasi untuk akses dan alokasi hak istimewa
pengguna individu, kewajiban untuk memelihara pencatatan seluruh pengguna dan hak
aksesnya, proses untuk menghapus hak akses
25. Sebuah klausa dengan jelas menyatakan bahwa seluruh hak akses yang tidak resmi
adalah dilarang
26. Hak untuk mengawasi dan membatalkan segala kegiatan yang berhubungan dengan aset
organisasi
27. Kendali untuk memastikan kelangsungan bisnis, sesuai dengan prioritas organisasi
28. Tanggung jawab untuk kerusakan dalam kasus pelanggaran hubungan kontrak, termasuk
kewajiban materi dalam kasus pelanggaran kerahasiaan informasi atau kasus pelayanan
tanpa performa
29. Tanggung jawab pemasok/partner untuk menyimpan data sesuai dengan peraturan
30. Kondisi untuk perpanjangan atau pembatalan perjanjian
31. Bahasa dalam perjanjian dan komunikasi kedepannya antara organisasi dan pemasok/
partner
114
Lampiran 17 - Petunjuk Manajemen Insiden

(ISO 27001:2013 - Annex A.16)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk memastikan pendeteksian yang cepat terhadap
kejadian yang berkaitan dengan keamanan dan kelemahan, serta reaksi dan respon yang
cepat terhadap insiden keamanan.
BPJS Kesehatan.
Kesehatan dan seluruh pihak yang terkait kontrak kerjassama dengan Direktorat Teknologi
• Standar ISO/IEC 27001, klausul A.7.2.3, A.16.1.1, A.16.1.2, A.16.1.3, A.16.1.4, A.16.1.5,
A.16.1.6, A.16.1.7
• Panduan Pengelolaan Penanganan Keluhan TI
3. Manajemen Insiden
Insiden Keamanan Informasi adalah “satu atau beberapa dari peristiwa Keamanan Informasi
yang tidak diinginkan atau tidak diharapkan yang memiliki kemungkinan menggangu
operasi bisnis dan mengancam Keamanan Informasi” (ISO/IEC 27000:2009).
3.1. Kebijakan Manajemen Insiden

3.1.1 Seluruh insiden/gangguan Layanan operasional TI yang dialami oleh pegawai dan
peserta BPJS Kesehatan mulai dari tingkat cabang daerah hingga pusat, harus
terlapor dan tercatat pada Service Desk milik BPJS Kesehatan.
115
3.1.2 Penanganan insiden/gangguan harus dilaksanakan segera mungkin agar dapat

mengembalikan fungsi layanan operasional TI, dengan melaksanakan solusi baik yang
bersifat sementara maupun permanen, agar kelangsungan bisnis tetap berjalan.
3.1.3 Penanganan insiden/gangguan harus dilakukan berdasarkan klasifikasi prioritas

yang telah ditentukan mengacu pada pedoman penanganan keluhan TI.
3.1.4 Selain insiden/gangguan terhadap perangkat dan operasional TI, penanganan

insiden/gangguan juga meliputi (namun tidak terbatas kepada) perangkat
pendukung TI, perangkat keamanan dan insiden non TI.
116
Lampiran 18 - Petunjuk Kendali Dokumen

(ISO 27001:2013 - Clause 7.5)
BPJS Kesehatan
Tujuan dari prosedur ini adalah untuk memastikan pengendalian atas pembuatan,
persetujuan, distribusi penggunaan dan update dokumen dan catatan (informasi
terdokumentasi) yang digunakan dalam Sistem Manajemen Keamanan Informasi (SMKI).
Prosedur ini mencakup pengendalian terhadap seluruh dokumen dan catatan yang terkait
dengan SMKI, baik itu dokumen dan catatan dibuat di dalam Direktorat TI BPJS Kesehatan
atau diluar Direktorat TI BPJS Kesehatan. Jenis dokumen dan catatan dapat dalam bentuk
tercetak (hardcopy) maupun tidak tercetak (media elektronik/software).
Pengguna dokumen ini adalah seluruh pegawai Direktorat TI BPJS Kesehatan dalam
ruang lingkup SMKI.
• Standar ISO/IEC 27001, klausul 7.5

• Perdir No. 55 Tahun 2016
• Perdir No. 7 Tahun 2019
3. Pengendalian Dokumen Internal
Dokumen internal adalah semua dokumen yang dibuat di dalam organisasi.
3.1. Format Dokumen
Format dokumen mengacu ke:

1. Peraturan Direksi BPJS Kesehatan No. 55 Tahun 2016 tentang Petunjuk Pelaksanaan
Pengelolaan Pedoman BPJS Kesehatan
2. Peraturan Direksi BPJS Kesehatan No. 7 Tahun 2019 Tentang Pedoman Tata Naskah
Dinas dan Kearsipan BPJS Kesehatan
117
3.2. Persetujuan Dokumen
Semua dokumen sebelum dirilis, baik dokumen baru maupun perbaikan, harus mendapat
persetujuan dari Deputi Direksi. Diperlukan prosedur untuk mereviu terlebih dahulu oleh
individu dalam organisasi sebelum diserahkan untuk disetujui oleh pihak yang bertanggung
jawab.
3.3. Kepastian Dokumen
Untuk mempermudah dan mampu menelusuri isi dokumen, maka dokumen asli yang sudah
tidak digunakan dengan stempel “USANG” dikendalikan dengan cara:
• Disimpan dan dikelompokkan ke dalam dokumen yang sudah tidak digunakan
• Membuat daftar dokumen yang sudah tidak digunakan
• Dijaga agar dokumen yang kadaluarsa terhindar dari kehilangan dan kerusakaan
3.4. Revisi Dokumen
1. Orang yang terdaftar sebagai pemilik dokumen memiliki tanggung jawab untuk
memperbarui dokumen.
2. Perubahan dokumen harus disetujui oleh pemilik dokumen. Dokumen yang dirubah
diusulkan terlebih dahulu sesuai dengan prosedur perubahan dokumen yang berlaku.
3. Perubahan dilakukan sejalan dengan jadwal yang ditetapkan untuk setiap dokumen,
namun setidaknya setahun sekali.
4. Setiap dokumen sebaiknya memiliki tabel matriks perubahan untuk merekam setiap
perubahan yang dibuat dokumen.
5. Pemakai dokumen harus memastikan bahwa dokumen yang digunakannya merupakan
perubahan yang berlaku/terakhir dan isinya sesuai dengan kebutuhan
6. Setiap personil harus selalu memastikan bahwa dokumen yang kadaluarsa tidak
digunakan sebagai acuan kerja.
3.5. Pengendalian Catatan
Pegawai dapat mengakses catatan yang tersimpan setelah mendapatkan izin dari orang yang
ditunjuk sebagai penanggung jawab penyimpanan catatan. Jika catatan mempunyai
sensitivitas tertentu sehingga izin terhadap akses harus diperoleh dari orang yang berbeda.
Akses dan hak mengambil catatan ditentukan oleh pemilik catatan. Seluruh Asisten Deputi
Bidang/Pejabat yang berwenang bertanggung jawab untuk menghancurkan semua catatan
yang waktu retensinya berakhir.
118
4. Pengendalian Dokumen Eksternal
Setiap dokumen eksternal yang diperlukan untuk perencanaan dan operasi SMKI harus
dicatat dalam Daftar Surat Masuk. Daftar Surat Masuk harus berisi informasi berikut: 1) nomor
dokumen, 2) pengirim, 3) nama dokumen, 4) tanggal terima, 5) nama penerima dokumen
119
Lampiran 19 - Petunjuk Identifikasi Persyaratan Bisnis

(ISO 27001:2013 - Clause 4.2)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk menentukan proses identifikasi pihak yang
berkepentingan, hukum, peraturan, kontrak dan persyaratan lain yang berkaitan dengan
keamanan informasi dan kelangsungan bisnis, dan tanggung jawab untuk memenuhi
kebutuhan tersebut.
BPJS Kesehatan.
• Standar ISO/IEC 27001, klausul 4.2; kendali A.18.1.1
3. Identifikasi Persyaratan Bisnis dan Pihak yang Berkepentingan
3.1 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI bertanggung
jawab untuk mengidentifikasi
3.1.1 semua orang atau organisasi yang dapat mempengaruhi atau dapat dipengaruhi
oleh keamanan informasi atau manajemen kelangsungan bisnis (pihak yang
berkepentingan),
3.1.2 semua undang-undang, peraturan, kontrak dan persyaratan lain yang terkait
3.2 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI harus
membuat daftar semua persyaratan, pihak yang berkepentingan, dan orang yang
bertanggung jawab dalam “Daftar Undang-Undang, Peraturan, Kontrak dan Persyaratan
Lain,” dan mempublikasikan di daftar tersebut
120
4. Peninjauan dan Evaluasi
4.1 Seluruh Asisten Deputi Bidang di lingkungan Direktorat IT bertanggung jawab untuk
meninjau Daftar Undang-Undang, Peraturan, Kontrak dan Persyaratan Lain setidaknya
setiap 6 bulan, dan perlu diperbarui. Seluruh Asisten Deputi Bidang di Direktorat IT
akan memberitahu semua pihak yang berkepentingan yang relevan pada setiap
pembaharuan.
4.2 Seluruh Asisten Deputi Bidang di Direktorat IT bertanggung jawab untuk

mengevaluasi kepatuhan SMKI dengan persyaratan undang-undang, peraturan dan
kontrak yang relevan setidaknya sekali setahun.
5. Daftar Undang-Undang, Peraturan, Kontrak dan Persyaratan Lain
Kebutuhan/Persyaratan Rujukan Dokumen Pihak yang Berkepentingan
Kepatuhan terhadap • Undang-Undang Nomor 40 Tahun 2004 Pemerintah

Undang-undang dan tentang Sistem Jaminan Sosial Nasional
peraturan pemerintah • Undang-Undang Nomor 24 Tahun 2011
yang relevan tentang Badan Penyelenggara Jaminan
Sosial
Kepatuhan terhadap • Panduan Pengelolaan Pengembangan Internal BPJS Kesehatan

peraturan internal BPJS Sistem Informasi Panduan Pengelolaan
Kesehatan Disaster Recovery Plan.
• Kejelasan pekerjaan • Dokumen kontrak Vendor/pemasok/mitra

• Kerahasiaan data • Dokumen kualifikasi perusahaan
perusahaan
Pembayaran • MoU BPJS Kesehatan dengan bank Bank

yang sudah bekerjasama (BRI, BNI, Bank
Mandiri, BTN)
Pelayanan Kesehatan • Perdir BPJS Kesehatan Nomor 37 Tahun Faskes (RS, Puskesmas,
2018 Tentang Rencana Strategi TI BPJS Apotek, Klinik, Dokter, Optik)
Kesehatan Tahun 2018 - 2021
121
Lampiran 20 - Petunjuk Tindakan Perbaikan

(ISO 27001:2013 - Clause 10.2)
BPJS Kesehatan
Tujuan dari prosedur ini adalah untuk menggambarkan semua kegiatan yang berkaitan
dengan inisiasi, implementasi dan menjaga catatan koreksi, serta tindakan korektif.
Prosedur ini diterapkan untuk semua kegiatan yang dilaksanakan dalam Sistem Manajemen
Keamanan Informasi (SMKI).
Pengguna dokumen ini adalah seluruh pegawai BPJS Kesehatan.
• Standard ISO/IEC 27001, klausul 10.1

• Petunjuk Internal Audit
3. Tindakan Perbaikan
3.1. Ketidaksesuaian
Ketidaksesuaian adalah kegagalan untuk memenuhi persyaratan standar, dokumentasi

internal, peraturan, kontrak dan kewajiban lainnya dalam SMKI. Ketidaksesuaian dapat
diidentifikasi selama audit internal atau eksternal, berdasarkan hasil manajemen reviu,
setelah insiden terjadi, selama operasi bisnis normal atau pada kesempatan lain.
Pegawai yang bertanggung jawab memperhatikan ketidaksesuaian harus segera mengambil

tindakan untuk mengendalikan ketidaksesuaian, mengisinya dan memperbaikinya, dan
untuk menghadapi konsekuensinya, jika pegawai tersebut tidak dapat bertanggung jawab
atas ketidaksesuaian tersebut dia harus meneruskan informasi tentang ketidaksesuaian itu
kepada orang yang bertanggung jawab, yang harus membuat koreksi.
122
3.2. Tindakan Perbaikan
Orang yang bertanggung jawab harus mengevaluasi dan menghilangkan penyebab

ketidaksesuaian dan mencegah terulangnya kembali dengan melakukan tindakan perbaikan.
Perbedaan utamanya adalah tindakan perbaikan menghilangkan penyebab ketidaksesuaian,
sedangkan koreksi hanya berfokus pada pengendalian ketidaksesuaian dan mengatasi
akibat yang langsung terjadi.
Tindakan perbaikan dapat dimulai oleh setiap pegawai atau jika perlu oleh klien, pemasok
atau mitra kerja. Tindakan perbaikan mengharuskan perubahan dibuat untuk dokumen,
proses atau pengaturan dalam SMKI.
3.3. Implementasi
Tindakan korektif dilaksanakan dengan cara berikut:
Langkah-langkah Penanggung Jawab
1. Meninjau ketidaksesuaian Setiap orang yang bertugas didalam SMKI
2. Menentukan penyebab ketidaksesuaian Orang yang bertanggung jawab dimana area

ketidaksesuaian teridentifikasi
3. Identifikasi ketidaksesuaian yang sama yang Orang yang bertanggung jawab dimana area

sudah ada ketidaksesuaian teridentifikasi
4. Mengevaluasi kebutuhan tindakan untuk Orang yang bertanggung jawab dimana area
menghilangkan ketidaksesuaian ketidaksesuaian teridentifikasi
5. Menentukan tindakan yang diperlukan untuk Orang yang bertanggung jawab dimana area

menghilangkan penyebab ketidaksesuaian ketidaksesuaian teridentifikasi
dan memastikan bahwa ketidaksesuaian tidak
terulang
6. Pelaksanaan tindakan yang direncanakan Penanggung jawab pelaksanaan tindakan perbaikan

yang ditunjuk oleh orang yang bertanggung jawab
7. Meninjau apakah tindakan yang diambil berhasil Pejabat terkait yang berwenang
menghilangkan penyebab ketidaksesuaian
8. Memberitahu semua orang agar memperhatikan Penanggung jawab pelaksanan tindakan perbaikan
bahwan tikdakan perbaikan sedang dilaksanakan yang ditunjuk oleh orang yang bertanggung jawab
9. Membuat perubahan pada SMKI jika diperlukan Orang yang bertanggung jawab mengkoordinasikan

SMKI
123
Lampiran 21 - Petunjuk Audit Internal

(ISO 27001:2013 - Clause 9.2)
BPJS Kesehatan
Tujuan dari prosedur ini adalah untuk menjelaskan semua kegiatan yang terkait audit —
merencanakan program audit, memilih auditor, melakukan audit individual dan pelaporan
audit internal.
BPJS Kesehatan.
Kesehatan, seluruh pihak yang terikat kontrak kerjasama dan auditor internal.
2. Dokumen Acuan

3. Audit internal
3.1. Tujuan
Tujuan dari audit internal adalah untuk menentukan apakah prosedur, kendali, proses,
pengaturan dan kegiatan lainnya dalam SMKI sejalan dengan standar ISO 27001, peraturan
yang berlaku, dan dokumentasi internal organisasi, serta menentukan apakah SMKI secara
efektif telah diimplementasikan dan dipelihara dan memenuhi persyaratan kebijakan dan
sasaran yang ditetapkan.
3.2. Perencanaan
Satu atau lebih audit internal harus dilakukan dalam waktu satu tahun untuk memastikan
cakupan kumulatif dari seluruh ruang lingkup SMKI. Audit internal direncanakan berdasarkan
pada penilaian risiko, serta hasil audit sebelumnya; biasanya dilakukan sebelum reviu
manajemen.
124
Program Internal Audit Tahunan harus berisi informasi berikut tentang setiap audit internal
individu:
• periode audit (tanggal atau bulan di mana audit direncanakan)
• ruang lingkup audit (bidang/unit kerja, proses, klausul dari standar, dll)
• kriteria audit (standar, undang-undang dan peraturan, dokumentasi internal, standar
perusahaan, dan/atau kewajiban kontraktual)
• metode audit (reviu dokumentasi, wawancara dengan pegawai, reviu catatan, reviu sistem
informasi, dll)
• siapa yang akan melakukan audit (jika ada lebih dari satu auditor, menentukan ketua tim audit)
Audit yang telah dilakukan harus dicatat dalam Program Internal Audit Tahunan.
3.3. Penunjuk Auditor Internal
Direktur Teknologi Informasi akan menunjuk Tim auditor internal. Internal auditor dapat
diambil dari dalam organisasi atau orang luar organisasi. Kriteria untuk menunjuk auditor
internal adalah:
• pengetahuan tentang ISO/IEC 27001
• familiar dengan teknik audit sistem manajemen
Auditor internal harus dipilih sedemikian rupa untuk menjamin objektivitas dan
ketidakberpihakan, untuk menghindari konflik kepentingan, karena auditor tidak
diperbolehkan untuk mengaudit pekerjaan mereka sendiri. Disarankan bahwa auditor
internal menyelesaikan pendidikan auditor internal sesuai dengan ISO/IEC 27001.
3.4. Melakukan Audit Internal
Orang yang bertanggung jawab untuk audit internal diidentifikasi dalam Program Internal
Audit Tahunan. Jika audit dilakukan oleh tim yang terdiri dari beberapa auditor, orang yang
bertanggung jawab untuk audit adalah Audit Team Leader.
Berikut ini harus dipertimbangkan selama audit internal:

• kriteria yang ditetapkan dalam Program Internal Audit Tahunan
• hasil audit internal atau eksternal sebelumnya
• hasil penilaian risiko, pelaksanaan kendali, analisis dampak bisnis, dll
• ceklis audit internal — lihat Lampiran 3
Berikut ini harus didokumentasikan sebagai hasil audit internal:

• Laporan Audit internal harus disampaikan kepada ke Direktur Teknologi Informasi
125
Lampiran 22 - Petunjuk Rapat Tinjauan Manajemen

(ISO 27001:2013 - Clause 9.3)
BPJS Kesehatan
Tujuan dari dokumen ini adalah untuk menjelaskan semua kegiatan yang terkait pelaksanaan
Rapat Tinjauan Manajemen serta hal-hal yang dibahas pada Rapat Tinjauan Manajemen.
BPJS Kesehatan.
Kesehatan, seluruh pihak yang terikat kontrak kerjasama dan auditor internal.
2. Dokumen Acuan

3. Rapat Tinjauan Manajemen
3.1. Tujuan
Tujuan dari Pelaksanaan Rapat Tinjuan manajemen ini adalah untuk melakukan peninjauan
atas kinerja penerapan SMKI di lingkungan BPJS kesehatan dan memastikan kesesuaian,
kecukupan dan efektivitas secara berkala dan berkesinambungan.
3.2. Pelaksanaan
Rapat Tinjauan Manajemen dilaksanakan sekurang-kurangnya 1 tahun sekali namun tidak

terbatas pada rapat khusus yang membahas penerapan dan evaluasi kinerja SMKI. Rapat
tinjauan manajemen dapat dilaksanakan atau dimasukan sebagai agenda pada rapat-
rapat rutin yang dilaksanakan dilingkungan BPJS kesehatan dengan memasukan agenda
SMKI pada rapat tersebut.
126
Rapat Tinjauan Manajemen sekurang-kurangnya mencakup agenda:

• status tindakan dari reviu manajemen sebelumnya;
• perubahan isu eksternal dan internal yang relevan dengan SMKI;
• umpan balik dari kinerja keamanan informasi, termasuk kecenderungan dalam hal:
a. ketidaksesuaian dan tindakan korektif;
b. hasil pemantauan dan pengukuran;
c. hasil audit; dan
d. pemenuhan terhadap sasaran keamanan informasi;
• umpan balik dari pihak yang berkepentingan;
• hasil penilaian risiko dan status rencana penanganan risiko; dan
• peluang untuk perbaikan berkelanjutan.
Keluaran dari Rapat Tinjauan Manajemen harus mencakup keputusan yang berkaitan dengan
peluang perbaikan berkelanjutan dan setiap kebutuhan untuk perubahan SMKI.
127
Lampiran 23 - Statement Of Aplicabaility

(ISO 27001:2013 - Clause 6.1.3)
BPJS Kesehatan
1. Tujuan, Ruang Lingkup Dan Pengguna
Tujuan dari dokumen ini adalah untuk menentukan kendali yang sesuai untuk diterapkan
di Direktorat Teknologi Informasi BPJS Kesehatan, tujuan dari kendali ini dan bagaimana
diimplementasikan, serta untuk menyetujui risiko residual dan secara resmi menyetujui
pelaksanaan kata kendali.
Dokumen ini mencakup semua kendali yang tercantum dalam Lampiran A dari standar ISO/
IEC 27001. Kendali ini berlaku untuk seluruh ruang lingkup Sistem Manajemen Keamanan
Informasi (SMKI).
Pengguna dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan yang memiliki peran dalam SMKI.
2. Dokumen Acuan
• Standar ISO/IEC 27001, klausul 6.1.3 d)

• Metodologi Penilaian Risiko dan Penanganan Risiko
• Laporan Penilaian Risiko dan Penanganan Risiko
3. Kendali yang Diterima
Berikut ini adalah kendali dari Lampiran A dari standar ISO/IEC 27001:
Kendali sesuai dengan ISO/ Diterima

ID Metode pelaksanaan
IEC 27001 (YES/NO)
A.5 Kebijakan keamanan informasi
A.5.1 Arah manajemen keamanan

informasi
A.5.1.1 Kebijakan untuk informasi Semua kebijakan tercantum di dalam kolom ini

Y
Keamanan
A.5.1.2 Reviu dari kebijakan untuk Setiap kebijakan yang memiliki pemilik yang
informasi Keamanan Y ditunjuk harus meninjau dokumennya secara
periodik
128

IEC 27001 (YES/NO)
A.6 Organisasi keamanan informasi
A.6.1 Internal organisasi
A.6.1.1 Informasi keamanan Peran dan Tanggung jawab untuk keamanan informasi
tanggung jawab yang tercantum dalam berbagai dokumen
Y
SMKI. Jika diperlukan, ada definisi tanggung
jawab tambahan
A.6.1.2 Pemisahan tugas Setiap kegiatan yang mencakup informasi

Y sensitif disetujui oleh satu orang dan
dilaksanakan oleh yang lain
A.6.1.3 Kontak dengan otoritas [Business Continuity Management],

Y
[Rencana Tanggap Insiden]
A.6.1.4 Kontak dengan kelompok minat Kontak dengan kelompok minat khusus
khusus Y dilakukan untuk mendapatkan update terkini
terkait Teknologi Informasi
A.6.1.5 Informasi keamanan Manajer proyek perlu memasukkan aturan

Dalam manajemen proyek Y keamanan informasi yang berlaku dalam
setiap proyek
A.6.2 Perangkat mobile dan

teleworking
A.6.2.1 Kebijakan perangkat seluler Aturan Penggunaan/Petunjuk Perangkat

Y
Bergerak,Petunjuk Membawa Barang Pribadi
A.6.2.2 Teleworking Aturan yang mengizinkan pelaksanaan

Y
pekerjaan secara remote
A.7 Keamanan sumber daya manusia
A.7.1 Sebelum kerja
A.7.1.1 Penyaringan Kedeputian Bidang yang menangani fungsi

Manajemen Sumber Daya Manusia memeriksa
Y
setiap calon berdasarkan metode verifikasi
dari CV calon pekerja
A.7.1.2 Syarat dan ketentuan Pegawai menandatangani Dokumen

Kerja Y Pernyataan Penerimaan SMKI dan Pernyataan
Menjaga Rahasia
A.7.2 Selama kerja
A.7.2.1 Tanggung jawab manajemen Manajemen aktif mensyaratkan bahwa semua

Y aturan SMKI dilaksanakan oleh seluruh
pegawai, pemasok dan pihak ketiga
A.7.2.2 Kesadaran keamanan informasi, Petunjuk Keamanan Informasi, Rencana

pendidikan dan pelatihan Y Pelatihan dan Kesadaran, Petunjuk Keamanan
Pemasok
A.7.2.3 Proses disipliner Petunjuk Manajemen Insiden, Dokumen

Y
Pernyataan Penerimaan SMKI
A.7.3 Terminasi dan perubahan

pekerjaan
129

IEC 27001 (YES/NO)
A.7.3.1 Penghentian atau perubahan Semua perjanjian dengan pemasok dan mitra
Tanggung jawab pekerjaan berisi klausul yang tetap berlaku setelah
Y pemutusan hubungan kerja, serta Pernyataan
Menjaga Rahasia ditandatangani oleh
pegawai.
A.8 Manajemen aset
A.8.1 Tanggung jawab untuk aset
A.8.1.1 Inventarisasi aset [Daftar Inventaris Aset],

Y
[Petunjuk Klasifikasi Informasi]
A.8.1.2 Kepemilikan aset [Daftar Inventaris Aset],

Y
[Petunjuk Penggunaan Aset Informasi]
A.8.1.3 Penggunaan yang dapat [Petunjuk Penggunaan Aset Infromasi]

Y
diterima dari Aktiva
A.8.1.4 Pengembalian aset [Petunjuk Penggunaan Aset Informasi];

Y
[Petunjuk Keamanan Pemasok]
A.8.2 Klasifikasi informasi
A.8.2.1 Klasifikasi informasi Y [Petunjuk Klasifikasi Informasi]
A.8.2.2 Pelabelan informasi Y [Petunjuk Klasifikasi Informasi]
A.8.2.3 Penanganan aset Y [Petunjuk Klasifikasi Informasi]
A.8.3 Penanganan media
A.8.3.1 Manajemen removable media Y [Petunjuk Klasifikasi Informasi]
A.8.3.2 Pembuangan media Y [Petunjuk Penghapusan dan Pemusnahan]
A.8.3.3 Transfer media fisik Y [Petunjuk Klasifikasi Informasi]
A.9 Kendali akses
A.9.1 Kebutuhan bisnis kendali akses
A.9.1.1 Kebijakan kendali akses Y [Petunjuk Kendali Akses]
A.9.1.2 Akses ke jaringan dan layanan [Petunjuk Kendali Akses]

Y
jaringan
A.9.2 Manajemen akses pengguna
A.9.2.1 Pendaftaran pengguna dan [Petunjuk Kendali Akses]

Y
Pembatalan pendaftaran [Petunjuk Password]
A.9.2.2 Pengguna akses penyediaan [Petunjuk Kendali Akses]

Y
[Petunjuk Password]
A.9.2.3 Manajemen hak akses istimewa [Petunjuk Kendali Akses]

Y
[Petunjuk Password]
A.9.2.4 Manajemen pengguna informasi [Petunjuk Kendali Akses]

Y
otentikasi rahasia [Petunjuk Password]
A.9.2.5 Ulasan hak akses pengguna [Petunjuk Kendali Akses]

Y
[Petunjuk Password]
A.9.2.6 Penghapusan atau penyesuaian [Petunjuk Kendali Akses]

Y
hak akses [Petunjuk Password]
130

IEC 27001 (YES/NO)
A.9.3 Tanggung jawab pengguna
A.9.3.1 Penggunaan otentikasi [Petunjuk Penggunaan Aset Informasi],

informasi rahasia Y [Petunjuk Pengendalian Akses],
[Petunjuk Password]
A.9.4 Sistem dan akses aplikasi

kendali
A.9.4.1 Pembatasan akses informasi [Petunjuk Kendali Akses],

Y
[Petunjuk Klasifikasi Informasi]
A.9.4.2 Prosedur log-on Proses log-on yang aman untuk semua

Y
aman komputer di dalam jaringan
A.9.4.3 Manajemen password [Petunjuk Kendali Akses],

Y
Sistem [Petunjuk Password]
A.9.4.4 Penggunaan utilitas istimewa Hanya personil yang memiliki hak untuk
Y
Program menggunakan program utilitas istimewa
A.9.4.5 Kendali akses ke program Kode sumber program disimpan dengan

kode sumber Y metode enkripsi dan hanya Grup PTI yang
memiliki hak akses
A.10 Kriptografi
A.10.1 Kendali kriptografi
A.10.1.1 Kebijakan tentang penggunaan [Petunjuk Kriptografi]

Y
Kendali kriptografi
A.10.1.2 Manajemen kunci Y [Petunjuk Kriptografi]
A.11 Keamanan fisik dan lingkungan
A.11.1 Daerah aman
A.11.1.1 Batasan keamanan fisik Daerah dengan informasi sensitif dilindungi

Y
dengan akses kontrol pada akses masuk
A.11.1.2 Kendali masuk fisik Akses ke daerah aman harus dikendalikan

Y dengan kartu akses, dll,
Pedoman Alur Kerja Data Center
A.11.1.3 Mengamankan kantor, Fasilitas yang sensitif tidak dapat diakses dari
ruangan dan fasilitas tempat-tempat umum, dan tidak terlihat ke dari
Y
luar, Panduan Proses Bisnis dan Pengelolaan
Data Center
A.11.1.4 Melindungi terhadap Y Sistem alarm dipasang dan dihubungkan

ancaman eksternal dan ke pusat pemantauan alarm, kamera
lingkungan pengintai dipasang; proteksi kebakaran
diimplementasikan; perlindungan banjir
diimplementasikan.
[Panduan Pengelolaan Disaster Recovery Plan]
A.11.1.5 Bekerja di daerah aman [Petunjuk bekerja di Daerah Aman]

Y
A.11.1.6 Daerah pengiriman dan Staging Area Terpisah dengan area

Y
pemuatan Operasionalonal
131

IEC 27001 (YES/NO)
A.11.2 Peralatan
A.11.2.1 Penempatan dan perlindungan [Panduan Pengelolaan Data Center]

Y
peralatan
A.11.2.2 Utilitas pendukung Y [Panduan Pengelolaan Data Center]
A.11.2.3 Keamanan kabel [Panduan Proses Bisnis],

Y
[Paduan Pengelolaan Data Center]
A.11.2.4 Pemeliharaan peralatan [Panduan Pengelolaan Data Center]

Personil harus menyimpan catatan
pemeliharaan untuk semua peralatan sesuai
Y
dengan petunjuk pabrik, dan menjamin
pemeliharaan yang memadai pada jangka
waktu yang tepat
A.11.2.5 Pemindahan aset Y [Petunjuk Penggunaan Aset Informasi]
A.11.2.6 Keamanan dari peralatan [Petunjuk Penggunaan Aset Informasi]/

dan aset di luar lokasi Y [Petunjuk Perangkat Bergerak]
(offpremises)
A.11.2.7 Pembuangan atau penggunaan [Petunjuk Penghapusan dan Pemusnahan]

Y
kembali peralatan secara aman
A.11.2.8 Peralatan pengguna yang [Petunjuk Penggunaan Aset Informasi]/

tidak diawasi [Petunjuk Pengosongan Meja dan
Y
Pembersihan Layar (Clean Desk and Clear
Screen Policy)]
A.11.2.9 Kebijakan mengosongkan [Petunjuk Penggunaan Aset Informasi]/

meja dan mengosongkan [Petunjuk Pengosongan Meja dan
Y
layar Pembersihan Layar (Clean Desk and Clear
Screen Policy)]
A.12 Keamanan Operasional
A.12.1 Prosedur dan tanggung jawab

Operasionalonal
A.12.1.1 Prosedur Operasionalonal yang [Panduan Pengelolaan Teknologi Informasi

Y
didokumentasikan dan Komunikasi]
A.12.1.2 Perubahan manajemen Y [Petunjuk Manajemen Perubahan]
A.12.1.3 Manajemen kapasitas Asisten Deputi di lingkungan Direktorat

TI bertanggung jawab untuk memantau
Y
penggunaan aset TIK dan untuk perencanaan
kapasitas yang diperlukan
A.12.1.4 Pemisahan pengembangan [Panduan Pengelolaan Pengembangan Sistem

pengujian dan lingkungan Y Informasi]
Operasionalonal
A.12.2 Perlindungan dari malware
A.12.2.1 Kendali terhadap malware [Pedoman Sistem Manajemen Keamanan

Y Informasi];
[Petunjuk Penggunaan yang Diterima]
132

IEC 27001 (YES/NO)
A.12.3 Backup
A.12.3.1 Backup informasi [Panduan Pengelolaan Teknologi Informasi

Y dan Komunikasi]/
[Petunjuk Backup]
A.12.4 Pencatatan (logging) dan

pemantauan
A.12.4.1 Pencatatan kejadian (event [Pedoman Operasional Teknologi Informasi

Y
logging) dan Komunikasi]
A.12.4.2 Perlindungan informasi log Log tidak dapat dihapus tanpa permission
Y
diberikan oleh orang yang berwenang
A.12.4.3 Log administrator dan operator [Panduan Pengelolaan Teknologi Informasi

Y
dan Komunikasi]
A.12.4.4 Sinkronisasi waktu Jam sistem pada semua komputer yang

selaras [menjelaskan bagaimana akan
Y
disinkronisasi dan dengan sumber waktu
yang akurat]
A.12.5 Pengendalian software

Operasionalonal
A.12.5.1 Instalasi perangkat lunak [Petunjuk Penggunaan Aset Informasi]

Pada Operasionalonal Y
Sistem
A.12.6 Manajemen kerentanan teknis
A.12.6.1 Manajemen kerentanan teknis Personil bertanggung jawab untuk memantau

semua kerentanan aplikasi dan sistem lainnya,
Y dan personil harus memilih tindakan yang
akan diambil dalam kasus kerentanan baru
diidentifikasi
A.12.6.2 Pembatasan instalasi pada [Petunjuk Penggunaan Aset Informasi]

Y
perangkat lunak
A.12.7 Sistem informasi pertimbangan

audit
A.12.7.1 Kendali audit sistem informasi Setiap audit direncanakan dan dikoordinasikan
Y
dengan manajemen
A.13 Keamanan komunikasi
A.13.1 Manajemen keamanan jaringan
A.13.1.1 Kendali jaringan [Pedoman Operasional Teknologi Informasi

Y
dan Komunikasi]
A.13.1.2 Keamanan layanan jaringan [Panduan Pengelolaan Teknologi

Y
Informasi dan Komunikasi]
A.13.1.3 Pemisahan dalam jaringan Jaringan ini dipisahkan dengan cara fisik dan
Y
logis.
A.13.2 Informasi transfer Y
133

IEC 27001 (YES/NO)
A.13.2.1 Prosedur dan kebijakan [Petunjuk Perpindahan Informasi]

Y
perpindahan informasi
A.13.2.2 Perjanjian perpindahan informasi Y [Petunjuk Perpindahan Informasi]
A.13.2.3 Pesan elektronik [Petunjuk Klasifikasi Informasi],

Y
[Petunjuk Penggunaan yang Diterima]
A.13.2.4 Perjanjian kerahasiaan atau Pernyataan Menjaga Rahasia

menjaga rahasia Y
(nondisclosure agreement)
A.14 Akuisisi sistem, pengembangan dan pemeliharaan
A.14.1 Persyaratan keamanan sistem

informasi
A.14.1.1 Analisis dan spesifikasi Ketika memperoleh sistem informasi baru atau

persyaratan keamanan Y mengubah yang sudah ada, Personil harus
informasi mendokumentasikan persyaratan keamanan
A.14.1.2 Pengamanan layanan [Petunjuk Pengembangan Aman]

Y
aplikasi pada jaringan publik
A.14.1.3 Perlindungan transaksi [Petunjuk Pengembangan Aman]

Y
layanan aplikasi
A.14.2 Keamanan dalam proses

pengembangan dan dukungan
A.14.2.1 Petunjuk pembangunan aman Y [Petunjuk Pengembangan Aman]
A.14.2.2 Pengendalian perubahan sistem [Petunjuk Pengembangan Aman]

Y
Prosedur
A.14.2.3 Kajian teknis dari Aplikasi Personil bertanggung jawab untuk meninjau
setelah Platform Operasional dan menguji semua aplikasi setelah
Y
Perubahan perubahan sistem Operasional, sebelum
mereka dimasukkan ke dalam produksi
A.14.2.4 Pembatasan Perubahan [Petunjuk Pengembangan Aman]

Y
software Paket
A.14.2.5 Rekayasa sistem yang aman [Petunjuk Pengembangan Aman]

Y
Prinsip
A.14.2.6 Pengembangan aman [Petunjuk Pengembangan Aman]

Y
Lingkungan hidup
A.14.2.7 Pengembangan outsourcing Y [Petunjuk Pengembangan Aman]
A.14.2.8 Pengujian keamanan sistem Y [Petunjuk Pengembangan Aman]
A.14.2.9 Sistem penerimaan Pengujian Y [Petunjuk Pengembangan Aman]
A.14.3 Data uji Y
A.14.3.1 Perlindungan data uji Y [Petunjuk Pengembangan Aman]
A.15 Hubungan pemasok
A.15.1 Keamanan informasi dalam

hubungan pemasok
134

IEC 27001 (YES/NO)
A.15.1.1 Informasi keamanan Kebijakan Petunjuk Keamanan Pemasok

Y
untuk pemasok Hubungan
A.15.1.2 Mengatasi keamanan Petunjuk Keamanan Pemasok

Y
Dalam perjanjian pemasok
A.15.1.3 Informasi dan komunikasi Petunjuk Keamanan Pemasok

Y
Teknologi Rantai pasokan
A.15.2 Pemasok manajemen pelayanan
A.15.2.1 Pemantauan dan review Petunjuk Keamanan Pemasok

Y
Layanan pemasok
A.15.2.2 Mengelola perubahan Jasa Petunjuk Keamanan Pemasok

Y
pemasok
A.16 Pengelolaan insiden keamanan informasi
A.16.1 Manajemen insiden keamanan

informasi dan perbaikan
A.16.1.1 Tanggung jawab dan prosedur Y [Prosedur Manajemen Insiden]
A.16.1.2 Pelaporan kejadian [Prosedur Manajemen Insiden]

Y
keamanan informasi
A.16.1.3 Pelaporan kelemahan [Prosedur Manajemen Insiden]

Y
keamanan informasi
A.16.1.4 Asesmen dan keputusan [Prosedur Manajemen Insiden]

pada kejadian keamanan Y
informasi
A.16.1.5 Tanggapan terhadap [Prosedur Manajemen Insiden],

Y
insiden keamanan informasi [Rencana Tanggap Insiden]
A.16.1.6 Pembelajaran dari insiden [prosedur Manajemen Insiden],

Y
keamanan informasi [Petunjuk Tindakan Perbaikan]
A.16.1.7 Pengumpulan bukti Y [Prosedur Manajemen Insiden]
A.17 Aspek keamanan informasi manajemen kelangsungan bisnis
A.17.1 Kontinuitas keamanan informasi Y
A.17.1.1 Perencanaan [Prosedur Identifikasi Persyaratan],

keberlangsungan [Petunjuk Business Continuity],
Y
keamanan informasi [Metodologi Analisa Dampak Bisnis],
[Strategi Keberlangsungan Bisnis]
A.17.1.2 Mengimplementasikan [BCM]

keberlangsungan Y
keamanan informasi
A.17.1.3 Memeriksa, mereviu dan [BCMS Pemeliharaan dan Rencana Review],

mengevaluasi keberlangsungan Y [Berolahraga dan Rencana Pengujian],
keamanan informas [Post -incident Form Review]
A.17.2 Redudansi
A.17.2.1 Ketersediaan informasi [Panduan Pengelolaan Disaster Recovery Plan]

Y
Pengolahan Fasilitas
135

IEC 27001 (YES/NO)
A.18 Pemenuhan
A.18.1 Kepatuhan dengan persyaratan

hukum dan kontrak
A.18.1.1 Identifikasi yang berlaku [Daftar Hukum, Peraturan, Kontrak dan

Undang-undang dan Y Persyaratan Lainnya]
Persyaratan kontrak
A.18.1.2 Hak milik intelektual Hak Y [Petunjuk Penggunaan Aset Informasi]
A.18.1.3 Perlindungan catatan [Petunjuk Kendali Dokumen],

Y
[Petunjuk Pengembangan Aman]
A.18.1.4 Privasi dan perlindungan Personil bertanggung jawab untuk

dari identitas pribadi Informasi Y melaksanakan persyaratan hukum yang
berkaitan dengan perlindungan data pribadi
A.18.1.5 Peraturan kriptografi Kendali [Daftar Hukum, Peraturan, Kontrak dan

Persyaratan lain],
Y
[Petunjuk tentang Penggunaan Kendali
Kriptografi]
A.18.2 Ulasan keamanan informasi
A.18.2.1 Review independen dari [Intern Prosedur Audit], audit sertifikasi oleh
Y
Informasi keamanan lembaga sertifikasi
A.18.2.2 Kepatuhan Kebijakan keamanan Semua pemilik aset informasi, serta

dan Standar Y manajemen, teratur meninjau pelaksanaan
kendali keamanan
A.18.2.3 Kepatuhan teknis Ulasan Personil bertanggung jawab untuk

Y memeriksa kepatuhan teknis sistem informasi
dengan persyaratan keamanan
4. Penerimaan Risiko Residual
Karena tidak semua risiko dapat dikurangi dalam proses manajemen risiko, semua risiko
residual dengan ini diterima dengan kondisi:
1. semua risiko dengan nilai 0, 1 atau 2
2. risiko yang tidak dapat dikurangi ke tingkat tersebut di atas setelah penerapan kontrol
136
Lampiran 24 - Ruang Lingkup SMKI

(ISO 27001:2013 - Clause 4.3)
BPJS Kesehatan
Tujuan dari dokumen ini adalah menentukan dengan jelas batasan dari Sistem Manajemen
Keamanan Informasi (SMKI) di BPJS Kesehatan.
Dokumen ini diterapkan untuk semua dokumentasi dan kegiatan dalam Sistem Manajemen
Keamanan Informasi.
Pengguna dokumen ini adalah seluruh pegawai dan anggota tim proyek yang melaksanakan
Sistem Manajemen Keamanan Informasi pengguna informasi dan sistem informasi milik
Direktorat TI BPJS Kesehatan, baik pengguna internal maupun pengguna eksternal (vendor,
mitra), dan pihak eksternal lainnya yang melakukan akses terhadap informasi dan sistem
informasi perusahaan.
• ISO/IEC 27001 standard, kalusul 4.3

• Daftar undang-undang, regulasi, kontrak dan persyaratan lainnya
3. Definisi
Organisasi perlu menentukan batasan SMKI dalam rangka memutuskan informasi yang
ingin dilindungi. Informasi tersebut perlu dilindungi, baik itu disimpan, diproses atau
dipindahkan di dalam atau keluar dari ruang lingkup SMKI. Meskipun informasi tersedia di
luar ruang lingkup tidak berarti langkah-langkah keamanan tidak berlaku. Dengan kondisi ini,
langkah-langkah keamanan akan dialihkan ke pihak ketiga yang mengelola informasi.
3.1. Proses dan Layanan
Bisnis proses yang menjadi batasan dalam Sistem Manajemen Keamanan Informasi (SMKI)
Direktorat Teknologi Informasi BPJS Kesehatan adalah Penyediaan Layanan Operasional
Teknologi Informasi di Direktorat Teknologi Informasi BPJS Kesehatan yang dikelola oleh
Kedeputian Bidang:
137
1. Strategi, Perencanaan dan Pengembangan Teknologi Informasi.

2. Operasional Teknologi Informasi.
3. Manajemen Data dan Informasi.
3.2. Sasaran SMKI
Sasaran yang hendak dicapai dalam penerapan sistem manajemen keamanan informasi
berikut ini merupakan bagian tidak terpisahkan dari Sasaran Kinerja Direktorat IT BPJS
Kesehatan. Adapun sasaran sistem manajemen keamanan informasi adalah:
Target
No Indikator Unit Pengukuran
Pencapaian
1 Dowtime Sistem TI 0,067 Persen
2 Kualitas Sistem TI 4,06 Poin
% Realisasi Pengembangan yang Dapat Diimplementasikan

3 sesuai Keputusan ITSC (Implementasi dan Kajian terkait 100 Persen
Infrastruktur)
4 % Realisasi Pengembangan terhadap Perencanaan ITSP 100 Persen
5 Otobos Ketersediaan dan Pemeliharaan Infrastruktur TI 100 Persen
6 % Security Incident terhadap Total Intrusion 0,0000035 Persen
7 Tingkat Efektifitas IT Governance (COBIT 5.0) 3,5 Poin
8 Inovasi/Otomasi/Implementasi Proses Bisnis Baru 1 Unit
9 % Realisasi Biaya Operasional terhadap Perencanaan 100 Persen
Dalam pencapaiannya, Direktorat IT BPJS Kesehatan menggunakan acuan kerangka

berbasis standar internasional ISO 27001:2013 dengan menerapkan kaidah-kaidah
berbasis pembangunan, penerapan dan pemeliharaan perbaikan yang berkelanjutan serta
mengacu pada pedoman yang telah di tetapkan oleh BPJS Kesehatan.
3.3. Unit Organisasi
Organisasi yang terlibat dalam ruang lingkup SMKI ini adalah meliputi seluruh unit kerja
di Direktorat Teknologi Informasi BPJS Kesehatan yang terdiri dari Kedeputian Bidang
Strategi, Perencanaan dan Pengembangan Teknologi Informasi (SPPTI), Kedeputian Bidang
Operasional Teknologi Informasi (OTI) dan Kedeputian Bidang Manajemen Data dan
Informasi (MDI).
138
3.4. Perluasan Implementasi
Perluasan implementasi ruang lingkup SMKI adalah untuk unit kerja Kantor Pusat,
Kedeputian Wilayah dan Kantor Cabang BPJS Kesehatan.
3.5. Jaringan dan Infrastruktur TI
Jaringan dan Infrastruktur TI yang termasuk dalam ruang lingkup SMKI adalah semua
jaringan dan infrastruktur TI di Direktorat TI BPJS Kesehatan dan yang dikelola oleh
Kedeputian Bidang Operasional Teknologi Informasi (OTI) BPJS Kesehatan.
3.6. Pengecualian
Dalam situasi tertentu pengecualian dapat diberikan terhadap hal-hal yang tidak terdapat
di ruang lingkup SMKI ini, dengan terlebih dahulu mendapat persetujuan dari Direktur
Teknologi Informasi BPJS Kesehatan.
139
Kantor Pusat
Jl. Letjen Suprapto Kav. 20 No. 14 Cempaka Putih
PO. Box 1391 / JKT, Jakarta 10510 Indonesia
Telp. +62 21 421 2938 (hunting), 424 6063
Fax. +62 21 421 2940
www.bpjs-kesehatan.go.id

E-Book Pedoman SMKI Tahun 2021 - Final

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

E-Book Pedoman SMKI Tahun 2021 - Final

Diunggah oleh

Hak Cipta:

Format Tersedia

PEDOMAN

BPJS KESEHATAN 2020

Direktorat Teknologi Informasi

3.4 Kendali Akses................................................................................................................. 24

3.9 Pengembangan dan Pemeliharaan Sistem Aplikasi.................................................... 45

1.1 Latar Belakang

Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas, dan ketersediaan

1.2 Maksud Dan Tujuan

Pedoman Sistem Manajemen Keamanan Informasi menyatakan komitmen dan arahan

Dalam pencapaiannya, BPJS Kesehatan menggunakan acuan kerangka berbasis standar

1.4 Ruang Lingkup

2.1 Sistem Manajemen Keamanan Informasi

Manajemen BPJS Kesehatan menyadari pentingnya menjaga keamanan informasi untuk

Dewasa ini, ancaman-ancaman tersebut semakin meningkat seiring dengan berkembangnya

Integrity Berkaitan dengan kebenaran, akurasi dan kelengkapan informasi

Improvement 10 Context of the Organization 4

Prinsip yang digunakan dalam implementasi Sistem Manajemen Keamanan Informasi

Implementasi Sistem Manajemen Keamanan Informasi yang berlandaskan pengendalian

2.2 Dokumen Referensi

2.3 Daftar Istilah

Awareness Kegiatan yang dilakukan untuk membangun, menumbuhkan dan menjaga

Keamanan Informasi Adalah perlindungan terhadap kerahasiaan (confidentiality), ketersediaan

Teleworking Adalah penggunaan teknologi telekomunikasi untuk memungkinkan pegawai

Direktorat Teknologi Informasi merencanakan, melaksanakan, mengevaluasi dan

3.1 Organisasi Keamanan Informasi

3.1.1 Kewajiban Manajemen

 Menetapkan tujuan implementasi pengamanan informasi dengan jelas dan tepat

 Menyetujui Pedoman Sistem Manajemen Keamanan Informasi

 Mengalokasikan tugas, tanggung jawab dan sumber daya untuk implementasi

 Menjalankan program security awareness training untuk seluruh lapisan pegawai

 Meninjau efektivitas dari implementasi dari kebijakan keamanan informasi

3.1.2 Peran Dan Tanggung Jawab & Pemisahan Tugas

b. Membuat peran, tanggung jawab dan wewenang keamanan informasi.

d. Melakukan reviu setiap 1 tahun sekali RACI keamanan informasi.

3.1.3 Hubungan Dengan Pihak Berwenang

 Memiliki mekanisme untuk berhubungan dengan pihak berwenang (kepolisian,

3.1.4 Hubungan Dengan Special Interest Group

 Mengikuti perkembangan teknologi keamanan informasi

 Mengetahui secara komperehensif akan kondisi keamanan informasi terkini

 Mendapatkan informasi mengenai teknologi, produk, threats dan vulnerabilities

 Mendapatkan tips dan advis dari spesialis keamanan informasi.

3.1.5 Mobile Computing dan Teleworking

3.1.5.1 Mobile Computing

3.2 Keamanan Sumber Daya Manusia

3.2.1 Sebelum Bekerja

 Sebagai syarat tanggung jawab keamanan informasi, setiap calon pegawai

3.2.2 Selama Bekerja

 Setiap tindakan pelanggaran keamanan informasi akan dilakukan proses

 Menjalankan kewajibannya dalam menjaga keamanan informasi milik BPJS

BPJS Kesehatan harus memastikan untuk semua pegawainya bahwa:

 Semua pegawai melaksanakan program pendidikan dan pelatihan keamanan

 Program pelatihan dan kesadaran harus dilakukan secara berkala.

3.2.3 Penghentian dan Mutasi Kepegawaian

 Semua pegawai dan personil pihak ketiga harus mengembalikan semua

 Apabila terjadi pelanggaran terhadap ketentuan dan prosedur keamanan

 Pelanggaran ketentuan dan prosedur keamanan informasi harus dikenakan

 Pemberian sanksi kepada pegawai yang melakukan pelanggaran atas

3.3 Pengelolaan Aset

3.3.1 Tanggung Jawab Pengelolaan Aset

3.3.1.1 Inventarisasi Aset

3) Perangkat keras seperti komputer, alat komunikasi, removable

 Setiap unit kerja harus mengidentifikasi dan menginventarisasi

 Inventaris aset harus dilengkapi dengan informasi yang jelas mengenai