SISTEM MANAJEMEN
KEAMANAN INFORMASI
PEDOMAN
SISTEM MANAJEMEN
KEAMANAN INFORMASI
Daftar Isi
Daftar Isi....................................................................................................................... 6
BAB I
PENDAHULUAN ............................................................................................................ 9
1.1 Latar Belakang............................................................................................................... 9
1.2 Maksud Dan Tujuan....................................................................................................... 10
1.3 Sasaran........................................................................................................................... 10
1.4 Ruang Lingkup................................................................................................................ 11
BAB II
KERANGKA KERJA ....................................................................................................... 12
2.1 Sistem Manajemen Keamanan Informasi.................................................................... 12
2.2 Dokumen Referensi........................................................................................................ 14
2.3 Daftar Istilah................................................................................................................... 14
BAB III
IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN INFORMASI.................................. 16
3.1 Organisasi Keamanan Informasi................................................................................... 16
3.1.1 Kewajiban Manajemen.................................................................................... 16
3.1.2 Peran Dan Tanggung Jawab & Pemisahan Tugas........................................ 17
3.1.3 Hubungan Dengan Pihak Berwenang............................................................. 17
3.1.4 Hubungan Dengan Special Interest Group..................................................... 18
3.1.5 Mobile Computing dan Teleworking............................................................... 18
3.2 Keamanan Sumber Daya Manusia................................................................................ 19
3.2.1 Sebelum Bekerja.............................................................................................. 19
3.2.2 Selama Bekerja................................................................................................ 19
3.2.3 Penghentian dan Mutasi Kepegawaian......................................................... 20
3.3 Pengelolaan Aset........................................................................................................... 21
3.3.1 Tanggung Jawab Pengelolaan Aset............................................................... 21
3.3.2 Klasifikasi Aset................................................................................................ 22
3.3.3 Penanganan Media.......................................................................................... 23
6
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
7
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
BAB IV
PENUTUP...................................................................................................................... 56
4.1 Penggunaan Pedoman.................................................................................................. 56
4.2 Faktor Pendukung Keberhasilan................................................................................... 56
4.3 Revisi Dan Penyempurnaan........................................................................................... 56
8
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
BAB I
PENDAHULUAN
Standar Internasional ini telah disiapkan untuk memberikan persyaratan untuk menetapkan,
menerapkan, memelihara dan terus meningkatkan sistem manajemen keamanan informasi.
Adopsi dari sistem manajemen keamanan informasi ini adalah keputusan strategis untuk
suatu organisasi. Pembentukan dan implementasi sistem manajemen keamanan informasi
organisasi dipengaruhi oleh kebutuhan dan sasaran organisasi, persyaratan keamanan,
proses organisasi yang digunakan dan ukuran struktur organisasi. Semua faktor yang
mempengaruhi ini diharapkan akan berubah seiring berjalanannya waktu.
Standar Internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menilai
kemampuan organisasi untuk memenuhi persyaratan keamanan informasi organisasi
itu sendiri. Urutan yang persyaratannya disajikan dalam Standar Internasional ini tidak
mencerminkan persyaratan pentingnya atau menyiratkan urutan penerapannya. Item
daftar dihitung untuk tujuan referensi saja. Selain itu ISO/IEC 27000 menjelaskan ikhtisar
dan kosakata manajemen keamanan informasi sistem, referensi dari sistem manajemen
keamanan informasi standar (termasuk ISO/IEC 27003 [2], ISO/IEC 27004 [3] dan ISO/IEC
27005 [4]), dengan istilah dan definisi yang terkait.
9
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
1.3 Sasaran
Sasaran yang hendak dicapai dalam penerapan sistem manajemen keamanan informasi
berikut ini merupakan bagian tidak terpisahkan dari Sasaran Kinerja BPJS Kesehatan.
BPJS Kesehatan mengacu pada AMC dan APC korporat.
Misi/Sasaran:
1. Memberikan layanan terbaik kepada peserta dan masyarakat.
2. Memperluas kepesertaan program jaminan kesehatan yang mencakup seluruh penduduk
Indonesia.
3. Bersama menjaga kesinambungan finansial program jaminan kesehatan.
4. APC: Down time dan instrusi
10
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Sasaran keamanan informasi BPJS Kesehatan ditetapkan untuk mendukung dan selaras
dengan sasaran bisnis perusahaan. Sasaran strategis keamanan informasi BPJS Kesehatan
ditetapkan sebagai berikut:
Melindungi informasi yang dikelola oleh BPJS Kesehatan dari segala jenis ancaman
yang berasal dari internal atau eksternal, dilakukan secara sengaja atau tidak, yang
membahayakan kerahasiaan, keutuhan dan ketersediaan.
Memperkuat dan meningkatkan keandalan sistem TI dalam mendukung proses bisnis
penyediaan layanan perusahaan.
Meningkatkan keahlian dan keterampilan pegawai dalam aspek manajemen dan teknis
keamanan informasi.
Menjaga kelangsungan operasional bisnis perusahaan tidak terganggu secara signifikan
oleh insiden layanan TIK yang terjadi.
Memastikan kesesuaian terhadap undang-undang, peraturan dan ketentuan hukum lainnya
yang berlaku bagi BPJS Kesehatan.
Pedoman ini berlaku untuk seluruh pegawai BPJS Kesehatan dan personil pihak ketiga
(pegawai dari pihak stakeholder, konsultan atau tenaga kerja kontrak) untuk pengelolaan
pengamanan seluruh aset informasi BPJS Kesehatan dan dilaksanakan oleh Dewan
Pengawas, Direksi. BPJS Kesehatan dan seluruh pihak yang terikat kontrak kerja sama dengan
BPJS Kesehatan.
Pengguna dokumen ini meliputi seluruh pengguna informasi dan sistem informasi milik
perusahaan, baik pengguna internal maupun pengguna eksternal (mitra, stakeholder) dan
pihak eksternal lainnya yang melakukan akses terhadap informasi dan sistem informasi BPJS
Kesehatan. Pemetaan penanggung jawab proses digambarkan dalam dokumen pemetaan
penanggung jawab proses.
11
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
BAB II
KERANGKA KERJA
Informasi adalah aset yang sangat penting bagi BPJS Kesehatan, baik informasi yang terkait
dengan peserta, keuangan, laporan maupun informasi lainnya. Kebocoran, kerusakan,
ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat
menimbulkan dampak yang merugikan baik secara finansial maupun non finansial bagi BPJS
Kesehatan. Dampak yang dimaksud tidak hanya terbatas pada BPJS Kesehatan, namun juga
kepada peserta, lembaga lain dan bahkan terhadap sistem penyelenggaraan jaminan sosial
dalam lingkup nasional. Mengingat pentingnya informasi, maka informasi harus dilindungi
atau diamankan oleh seluruh pegawai BPJS Kesehatan. Pengamanan informasi sangat
bergantung pada pengamanan terhadap semua aspek dan komponen TIK terkait, seperti
perangkat lunak, perangkat keras, jaringan, peralatan pendukung (misalnya sumber daya listrik,
pengatur suhu) dan sumber daya manusia (termasuk kualifikasi dan keterampilan).
12
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
dalam rangka melindungi aset informasi BPJS Kesehatan dari berbagai bentuk ancaman baik
dari dalam maupun dari luar lingkungan BPJS Kesehatan, yang dilakukan secara sengaja
maupun tidak sengaja. Pengamanan dan perlindungan ini diberikan untuk menjamin tiga
(3) komponen utama yang menjadi dasar keamanan informasi, yaitu aspek kerahasiaan
(Confidentiality), keutuhan (Integrity), dan ketersediaan (Availability) atau CIA pada asset
informasi agar selalu terjaga dan terpelihara dengan baik
Komponen Deskripsi
Confidentiality Berkaitan dengan kerahasiaan informasi agar informasi penting milik BPJS
Kesehatan tidak terungkap kepada pihak yang tidak berwenang
Availability Berkaitan dengan aspek ketersediaan informasi, agar informasi yang penting
bagi berlangsungnya proses bisnis selalu tersedia setiap saat dibutuhkan
Informasi yang berada dalam berbagai bentuk (tersimpan pada sistem komputer,
ditransmisikan melalui jaringan komunikasi, tercetak dalam bentuk hardcopy atau diucapkan
dalam pembicaraaan), harus diamankan dengan cara yang tepat agar ketiga aspek CIA
tersebut selalu terjaga.
Leadership 5
5.1 Leadership and commitment
Leadership 5.2 Policy
5.3 Organizational roles,
responsibilities, and authorities
13
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pedoman Sistem Manajemen Keamanan Informasi BPJS Kesehatan ini mengacu pada
peraturan dan dokumen berikut:
ISO/IEC 27001:2013
Persyaratan standar lain yang diacu oleh ISO/IEC 27001:2013
Regulasi dan Pedoman Internal BPJS Kesehatan
Regulasi Eksternal yang diacu oleh BPJS Kesehatan
Daftar Istilah
Aset Informasi Adalah sumber daya teknologi informasi dan komunikasi yang bersifat penting
bagi kelangsungan bisnis milik BPJS Kesehatan.
Evaluasi Risiko Adalah proses yang membandingkan estimasi besaran suatu resiko dengan
kriteria yang sudah didefinisikan.
Hak Akses Adalah kewenangan menggunakan sumber daya informasi yang jenis dan
tingkatannya disesuaikan dengan kebutuhan kerja pengguna dan disetujui oleh
pemilik sumber daya informasi atau atasannya langsung.
Insiden Adalah kejadian yang tidak diinginkan dan yang melanggar kebijakan atau
Keamanan Informasi prosedur dalam pengelolaan keamanan informasi sehingga menimbulkan
ancaman terhadap kondisi keamanan sumber daya informasi atau
mengakibatkan angguan terhadap proses kerja organisasi.
ISO/IEC 27001 Adalah standar sistem manajemen keamanan informasi yang diterbitkan oleh
International Standard Organization (ISO). Standar ini memberikan serangkaian
control objective dan rekomendasi pengendalian keamanan informasi
14
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Daftar Istilah
Kerahasiaan Adalah karakteristik informasi yang hanya dapat diketahui oleh mereka yang
berwenang melalui cara yang diijinkan
Keutuhan Adalah karakteristik informasi yang menjamin informasi akurat, lengkap, tidak
berubah selama pengiriman dan pengolahannya
Penilaian Risiko Penilaian risiko dilakukan untuk menentukan besarnya tingkat risiko, yang diukur
berdasarkan nilai kerugian dari dampak yang ditimbulkan serta kecenderungan
dari terjadinya suatu kejadian risiko.
Pihak eksternal Pihak luar BPJS Kesehatan yang melaksanakan kerjasama denganBPJS
Kesehatan atas dasar perjanjian atau kontrak yang sudah disepakati. Pihak
eksternal meliputi vendor, kontraktor, dan mitra.
Sumber Daya Segala sesuatu yang mempunyai nilai bagi BPJS Kesehatan. Sumber daya sering
disebut juga aset informasi.
15
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
BAB III
IMPLEMENTASI SISTEM MANAJEMEN
KEAMANAN INFORMASI
Tujuan:
Untuk menetapkan kerangka kerja pengelolaan keamanan informasi di dalam lingkup
internal BPJS Kesehatan.
Pengendalian:
Manajemen harus mendukung implementasi keamanan informasi melalui arahan,
penugasan dan alokasi sumber daya pengelolaan keamanan informasi.
Ketentuan:
Manajemen bertanggung jawab untuk:
16
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Semua tanggung jawab keamanan informasi harus didefinisikan dan dialokasikan,
agar mengurangi kemungkinan terjadinya perubahan secara tidak sah (unauthorized
modification) pada sistem atau penyalahgunaan.
Ketentuan:
Dalam peran dan tanggung jawab & pemisahan tugas Unit Kerja TI harus:
a. Harus ada pemisahan tugas dan tanggung jawab diantara fungsi yang disebut
dibawah ini:
Pengembangan Sistem Informasi.
Operasional Teknologi Informasi.
Strategi, Perencanaan, dan Keamanan Teknologi Informasi
c. Memetakan peran dan tanggung jawab & pemisahan tugas dalam tabel RACI
Pengendalian:
Hubungan dengan pihak berwenang seperti penegak hukum dan badan regulator harus
dipelihara.
Ketentuan:
Dalam hubungan dengan pihak berwenang seperti penegak hukum dan badan
regulator, BPJS Kesehatan harus:
17
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Unit kerja Hukum harus dilibatkan dalam hal terjadi insiden keamanan
informasi yang diproses secara hukum.
Pengendalian:
Staf Keamanan Informasi yang terkait harus memelihara hubungan atau keanggotaan
dengan special interest group di bidang keamanan informasi dengan mengikuti
suatu forum atau menjadi anggota organisasi profesi bidang keamanan informasi
untuk mendapatkan informasi terkini tentang pengelolaan keamanan informasi dan
memelihara kompetensi yang dibutuhkan.
Ketentuan:
Pegawai unit kerja keamanan informasi harus menjaga pengetahuan dan
keterampilannya dengan mengikuti forum atau organisasi profesi keamanan
informasi agar dapat:
Mengetahui secara dini akan adanya security warning, informasi, update atau
patch terbaru untuk menjaga keamanan informasi
18
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Aturan dasar penggunaan perangkat mobile computing mengacu pada
Standar Mobile Computing dan Teleworking.
3.1.5.2 Teleworking
Pengendalian:
Kebijakan dan prosedur yang mengatur aktivitas teleworking harus
ditetapkan dan diimplementasikan.
Ketentuan:
Pelaksanaan teleworking mengacu pada Standar Mobile Computing dan
Teleworking.
Pengendalian:
Verifikasi latar belakang dari semua calon pegawai harus dilaksanakan berdasarkan
hukum, regulasi dan etika terkait dan harus proporsional terhadap persyaratan
bisnis, klasifikasi informasi yang akan diakses dan risiko yang dipersepsikan.
Ketentuan:
Verifikasi atas calon pegawai dilakukan dengan mengacu kepada prosedur
rekrutmen yang diatur dalam kebijakan dan prosedur HRD yang berlaku.
19
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Semua pegawai dan kontraktor harus menerapkan keamanan informasi
berdasarkan kebijakan dan prosedur organisasi BPJS Kesehatan yang sudah
ditetapkan.
Ketentuan:
Para pemimpin unit kerja bertanggung jawab untuk memastikan semua pegawai
dan personil pihak ketiga yang bekerja dibawah supervisinya:
Telah membaca dan memahami kebijakan yang terkait dengan unit kerjanya
dan menjaga keamanan informasi BPJS Kesehatan.
Pengendalian:
Tanggung jawab pelaksanaan pemberhentian atau mutasi pegawai harus
ditetapkan dengan jelas, dikomunikasikan kepada pegawai dan ditegakkan.
20
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Pengembalian aset milik BPJS Kesehatan oleh pegawai yang berhenti bekerja
sesuai dengan pedoman kepegawaian dan pedoman pengelolaan barang dan
jasa.
Aset yang harus dikembalikan meliputi manual, dokumentasi, name tag, access
card, komputer dan barang-barang lainnya yang pernah dipinjam.
Pencabutan hak akses terhadap sistem informasi yang dimiliki pegawai, mitra
kerja dan pihak eksternal lainnya diatur sesuai dengan Petunjuk Kendali Akses.
Ketentuan
Tanggung jawab pegawai dan pengguna eksternal terhadap aset yang
dikuasainya diatur dalam dokumen Petunjuk Aset Informasi.
Yang termasuk dengan aset informasi adalah namun tidak terbatas pada:
1) Informasi: data pengguna, data transaksi, dokumentasi sistem dan
sebagainya;
2) Perangkat lunak aplikasi dan sistem;
21
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan
Pemilik aset memiliki tanggung jawab untuk mengklasifikasikan aset
informasi dengan tepat dan secara berkala melakukan peninjauan
ulang terhadap pembatasan akses dan klasifikasi informasi.
Pengendalian:
Informasi harus diklasifikasikan sesuai dengan nilai informasi, kerahasiaan,
sensitifitas dan kritikalitas informasi yang bersangkutan bagi perusahaan.
Setiap dokumen harus diberi label sesuai dengan klasifikasi dari informasi yang
terdapat di dalamnya.
22
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
BPJS Kesehatan menetapkan 4 (tiga) golongan klasifikasi aset informasi yaitu
Biasa, Terbatas, Rahasia dan sangat rahasia. Perdir tentang klasifikasi
keamanan dan akses arsip dinamis (78/2018)
Pengendalian:
Prosedur untuk manajemen media yang dapat dipindahkan (removeable media)
harus diimplementasikan sesua dengan skema klasifikasi.
Media harus dihancurkan dengan aman saat tidak lagi dibutuhkan dengan
menggunakan prosedur yang aman dan baku.
Ketentuan:
Removeable media harus diinventarisasi. Daftar Inventaris dari removeable
media harus di-update setiap kali terjadi perubahan
Saat tidak digunakan, semua removable media harus disimpan pada tempat
yang aman dan lingkungan yang sesuai dengan karakteristik perangkat yang
bersangkutan.
Penggunaan drive atau port untuk removable media pada komputer pengguna
hanya boleh diaktifkan (enabled) apabila terdapat kebutuhan bisnis dan
mendapatkan persetujuan dari pejabat yang berwenang.
23
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
teknologi yang dapat menyebabkan data tidak dapat di-restore pada saat
diperlukan.
Pengendalian:
BPJS Kesehatan harus memiliki kebijakan dan prosedur pengendalian akses.
Pengguna (user) harus mematuhi seluruh kebijakan dan prosedur tata kelola
teknologi informasi dan komunikasi yang ditetapkan perusahaan.
Ketentuan:
Hak akses terhadap aset-aset informasi harus diberikan sesuai dengan
kebutuhan fungsi dan tugas pegawai dan diberikan berdasarkan prinsip
kecukupan sesuai dengan kebutuhan pegawai dalam menjalankan tugasnya.
Akses ke jaringan dan layanan jaringan milik BPJS Kesehatan hanya boleh
diberikan kepada pengguna yang yang memiliki kewenangan.
Pengendalian:
BPJS Kesehatan harus memiliki prosedur formal untuk mengatur aktivitas
pendaftaran dan penghapusan akses user ke dalam sistem informasi.
24
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Proses penyediaan akses pengguna yang resmi kepada pihak eksternal (mitra,
vendor, konsultan) harus dibatasi sesuai ruang lingkup pekerjaan yang
didasarkan pada perjanjian atau kontrak yang resmi.
Ketentuan:
Ketentuan pendaftaran akses user:
1) User ID harus unik, tidak diperbolehkan adanya User ID yang sama.
2) User ID beserta hak aksesnya hanya diberikan kepada user setelah mendapat
persetujuan dari pejabat yang berwenang.
3) Hak akses yang diberikan kepada user harus sesuai dengan kebutuhan
bisnis/operasional dan kebijakan keamanan informasi BPJS Kesehatan.
4) Hak akses yang diberikan kepada user tidak boleh melanggar prinsip
pemisahan tanggung jawab (segregation of duty).
5) User harus menandatangani pernyataan bahwa mereka memahami dan
akan mentaati ketentuan mengenai penggunaan User ID.
6) Record/catatan mengenai daftar User ID yang terdaftar untuk setiap
aplikasi/sistem informasi harus dipelihara/diperbarui.
7) Hak akses user yang telah berganti jabatan harus segera disesuaikan atau
dihapus.
8) User ID milik pegawai yang sudah berhenti bekerja dari BPJS Kesehatan
harus segera dihapus.
9) Terdapat sanksi yang jelas bagi user yang melakukan pelanggaran atas
ketentuan penggunaan User ID dan hak akses.
Pengendalian:
Pemberian dan penggunaan hak akses khusus harus dibatasi dan dikendalikan.
Ketentuan:
Akses khusus seperti User ID Root, Administrator atau Super User hanya
diberikan dalam keadaan khusus untuk menjaga kelangsungan operasional
atau bisnis dan diberikan untuk jangka waktu sementara selama diperlukan.
25
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Hak akses user harus ditinjau secara berkala.
Ketentuan:
Peninjauan terhadap hak akses user harus dilakukan oleh pemilik sistem sebagai
berikut:
Review ulang terhadap hak akses sistem dan perangkat teknologi informasi
dilaksanakan dengan interval waku yang ditetapkan atau jika diperlukan dalam
rangka memastikan pengguna masih berhak terhadap akses yang diberikan,
dan melakukan penghapusan pengguna yang sudah tidak aktif.
Pengendalian:
Pemberian password harus diatur melalui proses pengelolaan yang formal.
26
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Dalam menggunakan hak akses, pengguna harus mematuhi ketentuan
pengamanan password.
Pengguna yang sudah berhenti bekerja dari BPJS Kesehatan atau menjalani
mutasi ke lingkup pekerjaan baru, maka hak aksesnya harus segera ditutup.
Pengguna wajib mengamankan aplikasi Password Manager dari akses yang tidak
sah, untuk menghindari penyalahgunaan password di perangkat pengguna.
Pengendalian:
a. Seluruh akses ke sistem operasi dan aplikasi yang menggunakan jalur internet
dan digunakan untuk mengirimkan informasi sensitif, termasuk informasi
sensitif dibatasi.
b. Untuk menghindarkan akses oleh pihak yang tidak berwenang ke sistem operasi,
pemberian akses dilakukan melalui proses log-on yang aman.
f. Akses pada informasi dan sistem aplikasi oleh user harus dibatasi sesuai
dengan kebijakan pengendalian akses yang telah ditentukan.
27
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
a. Proses log-on kedalam sistem operasi harus dibuat untuk meminimalkan
terjadinya unauthorized access dengan tidak memunculkan informasi yang
dapat membantu unauthorized user untuk mengakses sistem.
c. User ID yang digunakan untuk mengakses sistem harus unik untuk setiap user.
e. Semua akses kedalam operating sistem beserta aktivitas yang dilakukan yang
dapat ter-record, harus di record pada audit log.
28
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
g. Penggunaan system utilities harus mendapatkan izin dan dengan waktu yang dibatasi.
j. System utilities yang tidak digunakan harus dihapus atau tidak diaktifkan.
Pengendalian:
Akses ke source code program harus dibatasi hanya untuk staf developer yang
berkepentingan.
Ketentuan:
Akses atas source code harus dikendalikan untuk mencegah akses oleh pihak
yang tidak berwenang.
3.5 Kriptografi
29
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Kendali kriptografi untuk perlindungan informasi harus dikembangkan dan
diimplementasikan dengan tepat.
Ketentuan:
Apabila terdapat kebutuhan pengamanan data atau informasi sensitif pada
sistem aplikasi yang dikembangkan, maka standar kriptografi atau enkripsi yang
digunakan adalah:
1) Enkripsi digunakan untuk melindungi informasi rahasia milik BPJS Kesehatan
yang dikirimkan melalui jaringan komunikasi di luar BPJS Kesehatan.
2) Enkripsi dilakukan berdasarkan risk assessment untuk menentukan tingkat
perlindungan yang dibutuhkan.
30
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Fasilitas pemrosesan informasi harus ditempatkan dalam secure
area yaitu tempat atau ruangan yang dilengkapi dengan fasilitas
pengamanan untuk mencegah akses secara fisik oleh pihak yang
tidak berwenang serta perlindungan dari kerusakan dan gangguan dari
lingkungan.
Ketentuan:
Seluruh pegawai, pihak ketiga, konsultan, dan pengunjung yang
memasuki area kerja harus membawa dan menggunakan kartu
identitas yang diberikan oleh BPJS Kesehatan.
Ketentuan:
Prosedur perlindungan mengacu pada Panduan Pengelolaan Data Center.
31
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Seluruh aktivitas atau pekerjaan pihak ketiga harus disetujui oleh
manajemen dan diawasi oleh pegawai yang bersangkutan.
Ketentuan:
Peralatan harus ditempatkan di lokasi sesuai dengan tingkat kekritisan
dan klasifikasi yang mengacu kepada Petunjuk Klasifikasi Aset.
32
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Peralatan dan fasilitas sistem informasi yang kritikal bagi kelangsungan bisnis
BPJS Kesehatan harus dilengkapi dengan Uninterrupted Power Supply (UPS).
Sumber daya listrik cadangan termasuk UPS, pembangkit listrik cadangan, dll
harus dilakukan pemeliharaan dan pengujian secara berkala untuk memastikan
sarana pendukung tersebut dapat berfungsi setiap saat diperlukan.
Ketentuan:
Pemeliharaan peralatan dilakukan oleh personil yang berwenang atau fihak ke-3
yang bekerja sama dengan BPJS Kesehatan.
Pengendalian:
Seluruh data dan perangkat lunak berlisensi yang tersimpan pada media
penyimpanan mobile dan pada seluruh peralatan yang mengandung media
33
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Berdasarkan Petunjuk Klasifikasi Informasi, data harus dihapus dengan
beberapa cara, seperti Format, hingga Secure Erase. Namun jika proses
penghapusan tersebut kurang cukup aman berdasarkan sensitivitas data,
maka media penyimpanan harus dimusnahkan.
Pengendalian:
Perangkat sistem informasi kecuali perangkat komputer jinjing (laptop), tidak boleh
dipindahkan/dibawa keluar area perusahaan tanpa seizin dari pimpinan unit kerja
masing-masing.
34
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Perangkat sistem informasi kecuali perangkat komputer jinjing (laptop) milik
BPJS Kesehatan hanya boleh dibawa keluar area perusahaan setelah disetujui
oleh pimpinan unit kerja masing-masing.
Pengendalian:
Untuk mencegah kerugian, kerusakan, pencurian, atau penguasaan tanpa hak
(compromise) aset dan gangguan, terhadap operasi BPJS Kesehatan.
Ketentuan:
Prosedur pelaksanaan Clear Desk&Clear Screen agar mengacu pada Petunjuk
Pengosongan Meja dan Layar.
Pengendalian:
Prosedur operasional untuk menjalankan sistem pengolahan informasi harus dibuat
secara formal, dirawat dan bisa didapatkan dengan mudah oleh pegawai yang
membutuhkannya.
Ketentuan:
Prosedur operasional sistem informasi harus memuat informasi antara lain:
1) Aktivitas
2) Penanggung jawab proses
35
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Seluruh perubahan terhadap fasilitas pengolah, dan pengelola informasi harus
dikendalikan. BPJS Kesehatan harus mempunyai catatan perubahan yang
terdokumentasi.
Ketentuan:
BPJS Kesehatan mengacu pada Pedoman Sistem Manajemen Layanan Teknologi
Informasi untuk mengendalikan setiap perubahan pada perangkat lunak maupun
infrastruktur.
Pengendalian:
Fasilitas pengembangan sistem, pengujian dan produksi harus dipisahkan untuk
mengurangi risiko perubahan yang tidak sah oleh pihak yang tidak berwenang.
Ketentuan:
Fasilitas pengembangan aplikasi dan pengujian aplikasi harus berada pada
sistem yang terpisah dari lingkungan produksi.
36
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Implementasi tingkat layanan dan pengamanan informasi oleh pihak ketiga yang
sesuai dengan perjanjian kerja harus dimonitor.
Tingkat layanan, pelaporan dan catatan yang diberikan oleh pihak ketiga harus
dimonitor secara rutin dan ditinjau ulang.
Ketentuan:
Layanan oleh pihak ketiga harus dipastikan memenuhi tingkat layanan yang
sesuai dengan Service Level Agreement dan persyaratan keamanan informasi
yang sudah ditentukan
BPJS Kesehatan harus memiliki kontrol atas keamanan informasi rahasia yang
diakses, diproses atau dikelola oleh pihak ketiga.
Perubahan sistem pada layanan TI oleh pihak ketiga (Outsourcing) harus di review
dan disetujui oleh Unit Kerja Pelaksana Fungsi (UKPF) yang bertanggung jawab
sebelum perubahan diimplementasikan.
37
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
BPJS Kesehatan harus memantau penggunaan seluruh sumber daya sistem
informasi, dilakukan tuning dan dibuat perkiraan penggunaan sumberdaya
sistem tersebut di masa depan untuk menjamin kinerja sistem selalu tersedia
pada tingkat yang diharapkan dan tidak terjadi kegagalan sistem akibat
kapasitas sistem yang tidak mencukupi.
BPJS Kesehatan harus menetapkan kriteria uji terima (acceptance criteria) bagi
sistem informasi baru, kriteria pemutakhiran (upgrade) atau kriteria versi baru
sebelum diimplementasikan di lingkungan kerja.
Ketentuan:
Semua aktivitas atau proses pada sistem informasi baik yang sedang berjalan
maupun yang akan diimplementasikan harus memperhitungkan kebutuhan
kapasitas sumber daya sistem.
Proses monitoring sistem dan tuning sistem harus dilakukan untuk memastikan
dan meningkatkan kinerja, availability dan efisiensi sistem.
Perencanaan kapasitas harus di-update agar sesuai dengan perubahan yang ada.
Semua sistem baru atau sistem hasil upgrade harus melalui proses pengujian
formal sebelum digunakan.
Pengendalian:
Kendali deteksi, pencegahan dan pemulihan untuk melindungi perangkat
informasi terhadap malware harus diimplementasikan.
Unit Kerja Pelaksana Fungsi melakukan kajian dan pembaharuan security patch
secara berkala.
38
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Aturan pengendalian terhadap malware agar mengacu pada Standar Penggunaan
Aset.
Bukti penerapan security patch harus disediakan dan disimpan sebagai rekaman.
3.7.7 Backup
Tujuan:
Proses backup harus dilakukan secara berkala untuk menjaga integritas dan
ketersediaan sistem informasi.
Pengendalian:
Salinan cadangan informasi dan perangkat lunak harus diambil dan diuji secara
berkala sesuai dengan kebijakan cadangan yang disetujui.
Ketentuan:
Backup informasi/data dan piranti lunak yang kritikal harus dibuat untuk dapat
memenuhi kebutuhan recovery bila terjadi permasalahan atau bencana.
39
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Fasilitas audit logging dan informasi log yang ada didalamnya harus dilindungi
dari gangguan, upaya perubahan dan akses yang tidak berwenang.
Log Administrator dan log operasional pada sistem harus diaktifkan untuk
mencatat aktivitas Administrator dan operasional.
Kegagalan atau kesalahan pada sistem harus dicatat, dilaporkan, dianalisis dan
ditindaklanjuti dengan tepat.
Ketentuan:
Akses terhadap audit log harus dibatasi hanya bagi personil dengan tugas dan
tanggung-jawab memerlukan akses ke dalam file audit log.
Audit logging yang sudah ditetapkan untuk diaktifkan, tidak boleh dinonaktifkan.
Log perangkat jaringan disimpan dalam server log, dan dilakukan kajian event
pada jaringan.
Log monitoring sistem ditempatkan pada jaringan yang sama dan dilindungi oleh
firewall.
Audit log dari server, firewall dan routers harus di backup ke suatu internal log
server atau media penyimpan data yang aman dari upaya modifikasi.
40
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Masa retensi penyimpanan audit log harus ditetapkan sesuai dengan kebutuhan
perusahaan dan regulasi yang mengatur.
Setiap kegagalan atau kesalahan pada sistem harus dicatat, dilaporkan dan
dianalisis serta dilakukan tindakan perbaikan yang sesuai.
Audit Logging dapat berpengaruh terhadap kinerja sistem, oleh sebab itu
pengaktifan log harus dilakukan hanya pada error/fault log tertentu sesuai
kebutuhan dan dilakukan oleh personil yang kompeten.
Jam (clock) dari semua server DC & DRC, komputer dan perangkat pemroses
informasi lainnya harus di sinkronisasi sehingga menunjukkan waktu yang sama.
Pengendalian:
Prosedur harus diimplementasikan untuk mengendalikan instalasi perangkat lunak
pada sistem operasional.
Ketentuan:
Prosedur harus diimplementasikan untuk mengendalikan instalasi perangkat lunak
pada sistem operasional.
41
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Informasi mengenai kerentanan sistem harus didapatkan secara tepat waktu
melalui pengujian dan dari informasi eksternal.
Kententuan:
Vulnerability Assessment pada sistem operasi, jaringan, database maupun
aplikasi harus dilakukan secara berkala, misalnya dengan menggunakan
penetration testing yang dilakukan setiap tahun sekali atau jika diperlukan.
Pengendalian:
Pengendalian keamanan pada jaringan harus dikelola dan dikendalikan untuk
melindungi informasi yang dikirimkan pada jaringan dan melindungi sistem
informasi yang menggunakan jaringan tersebut.
Tingkat layanan (service level), fitur keamanan, dan semua kebutuhan layanan
jaringan dari provider jaringan harus tercakup di dalam kontrak dengan penyedia
layanan jaringan (network service provider).
Ketentuan:
Prosedur pengendalian manajemen keamanan jaringan mengacu pada standarisasi
jaringan komunikasi data yang berlaku.
42
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Proses pemindahan/transfer data yang bersifat confidential harus dilindungi dari
risiko adanya akses atau perubahan oleh pihak yang tidak berwenang terhadap data
yang dipindahkan.
Ketentuan:
Proses perpindahan informasi dengan pihak eksternal melalui jaringan atau
media komunikasi elektronik harus memperhatikan hal-hal berikut ini:
Pengendalian:
Kesepakatan atau perjanjian perlu dibuat untuk mengatur pertukaran informasi BPJS
Kesehatan dengan pihak eksternal.
43
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Sebelum bertukar informasi dan/atau perangkat lunak dengan pihak eksternal,
sebuah perjanjian harus ditandatangani, yang merupakan tanggung jawab
personil yang berwenang.
Perjanjian tersebut dapat berupa kertas atau elektronik dan harus berisi klausul
yang sesuai dengan risk assessment, termasuk setidaknya metode identifikasi
dari pihak lain, otorisasi untuk mengakses informasi, memastikan tidak ada
penolakan, standar teknis untuk transfer data, respon insiden, pelabelan dan
penanganan informasi sensitif, dan hak cipta.
Pengendalian:
Pengiriman informasi milik perusahaan menggunakan metode pesan elektronik
(electronic messaging) harus dilindungi.
Ketentuan:
Prosedur persyaratan penggunaan email dan media komunikasi mengacu pada
Standar Penggunaan Aset Informasi.
44
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
BPJS Kesehatan menetapkan dan mendokumentasikan secara jelas
persyaratan-persyaratan keamanan informasi yang relevan sebelum dilakukannya
proyek pembangunan, perluasan, atau pengadaan sistem informasi baru.
Persyaratan keamanan informasi proyek teknologi informasi didefinisikan
secara terpisah dalam Standar Pengembangan Aman.
Situs Organisasi yang disediakan bagi publik harus dilindungi dari perubahan
atau modifikasi secara tidak berwenang. Kandungan informasi yang disediakan
bagi publik harus diotorisasi oleh Unit Kerja Pelaksana Fungsi yang berwenang.
Ketentuan:
Persyaratan yang terkait keamanan informasi untuk sistem informasi baru atau
pengembangan sistem informasi yang ada didokumentasikan dan diterapkan sesuai
dengan dokumen Standar Pengembangan Aman.
Pengendalian:
Perencanaan pengendalian keamanan informasi pada sistem aplikasi harus
dilakukan pada saat tahap perancangan (desain) sistem aplikasi yang bersangkutan.
Ketentuan:
Prosedur kebijakan keamanan informasi dalam pengembangan perangkat lunak
mengacu pada Standar Pengembangan Aman.
45
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Data yang dimasukkan (input) ke dalam sistem aplikasi harus divalidasi untuk
memastikan bahwa data yang dimasukkan (input) sudah benar.
Pengujian validasi input data dilakukan pada front-end dan back-end system
informasi/aplikasi
Data output dari aplikasi harus divalidasi untuk memastikan kebenaran hasil
pemrosesan informasi dalam aplikasi.
Ketentuan:
Prosedur keamanan informasi dalam proses pengembagan sistem aplikasi
mengacu pada Standar Pengembangan Aman.
Pengendalian:
Penggunaan data dari sistem produksi untuk keperluan pengujian di testing/
development environment harus dilindungi dan dikendalikan.
Ketentuan:
Data yang digunakan dalam pengujian sistem (sistem test data) harus dilindungi
dari kemungkinan rusak, hilang, atau perubahan yang dilakukan tanpa izin.
46
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Akses terhadap sumber daya informasi di BPJS Kesehatan harus dikendali secara
ketat.
Ketentuan:
Sebelum memberikan akses kepada mitra, pengguna jasa layanan, atau pihak
eksternal lainnya, masing-masing divisi wajib mendeteksi dan mengevaluasi
risiko-risiko yang mungkin muncul sehubungan dengan pemberian akses dan
menerapkan kontrol yang memadai untuk mengurangi dampak atau mencegah
terjadinya risiko-risiko tersebut.
3.10.2 Kontrak
Tujuan:
Untuk memastikan pihak yang bekerja sama dalam perjanjian kerja mengetahui dan
menerapkan persyaratan keamanan informasi dalam perjanjian kerja.
47
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
BPJS Kesehatan bertanggung jawab untuk memutuskan klausa keamanan yang akan
dimasukkan kedalam kontrak dengan pemasok atau mitra kerja.
Ketentuan:
Dalam perjanjian kontrak dengan pemasok atau mitra kerja dicantumkan antara
lain:
1) Kewajiban pihak eksternal mematuhi kebijakan keamanan informasi yang
berlaku.
2) Persetujuan untuk turut melindungi keamanan sumber daya informasi BPJS
Kesehatan terkait dengan akses yang diberikan.
3) Identitas pegawai pihak eksternal yang menggunakan akses ini.
4) Pembatasan lokasi dari mana akses dapat dilakukan dan waktu penggunaan
akses.
5) Persetujuan atas hak pantau dan pengawasan yang dilakukan terhadap
penggunaan akses.
6) Setiap aset yang diberikan kepada pihak eksternal wajib dikembalikan saat
perjanjian kerja berakhir.
7) Rentang waktu yang ditetapkan untuk menjaga kerahasiaan informasi milik
BPJS yang diakses/digunakan.
BPJS Kesehatan harus memutuskan siapakah dari pemasok atau mitra kerja
yang harus menandatangani Pernyataan Menjaga Kerahasiaan.
BPJS Kesehatan harus memutuskan siapakah yang akan menjadi pemilik dan
bertanggung jawab atas kontrak untuk setiap kontrak yang ada.
Pengendalian:
Tingkat layanan, pelaporan dan catatan yang diberikan oleh vendor/pihak ketiga
harus dimonitor secara rutin dan di review.
Ketentuan:
BPJS Kesehatan harus memastikan bahwa:
48
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Kontrol atas keamanan informasi rahasia yang diakses, diproses atau dikelola
oleh pihak ketiga.
Pengendalian:
Pihak ketiga yang melakukan pengelolaan Teknologi Informasi (TI) harus
melaksanakan prinsip change management dalam setiap aktivitas perubahan sistem
yang dilakukan.
Ketentuan:
Perubahan sistem pada layanan TI oleh pihak ketiga (outsourcing) harus ditinjau
dan disetujui oleh Unit Kerja Pelaksana Fungsi yang bertanggung-jawab sebelum
perubahan diimplementasikan.
Pengendalian:
Kejadian keamanan informasi harus dilaporkan dan dicatat pada ITSM Tools oleh
siapa saja yang mengalami insiden keamanan informasi atau melalui IT Help Desk.
49
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Pengendalian Manajemen Insiden didokumentasikan dalam Standar Manajemen
Insiden.
Pengendalian:
Prosedur BCM harus memperhatikan persyaratan keamanan dan ketersediaan
informasi kritikal yang dibutuhkan untuk kelangsungan bisnis perusahaan.
Ketentuan:
Rutin melakukan backup terhadap data dan aplikasi yang digunakan dalam
pelayanan teknologi informasi.
50
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.13 Kesesuaian
Pengendalian:
Untuk menghindari pelanggaran hukum, undang-undang, peraturan atau kewajiban
kontraktual yang terkait dengan keamanan informasi dan persyaratan keamanan
lainnya.
Ketentuan:
Seluruh pengguna sistem informasi milik BPJS Kesehatan termasuk mitra kerja
dan pihak eksternal lainnya harus mematuhi kebijakan keamanan informasi
yang sudah ditetapkan, dan mentaati ketentuan hukum dan undang-undang
yang terkait serta perjanjian tentang lisensi, termasuk persyaratan-persyaratan
kontrak yang telah disetujui.
Pengendalian:
BPJS Kesehatan harus memastikan kesesuaian terhadap undang-undang/peraturan
penggunaan material yang memiliki hak atas kekayaan intelektual (intelectual
property rights) dan produk software berlisensi.
51
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
BPJS Kesehatan harus mematuhi ketentuan perlindungan hak atas kekayaan
intelektual (HAKI) yang mencakup penggunaan perangkat lunak berlisensi.
Daftar aset yang memiliki hak atas kekayaan intelektual harus dipelihara
dengan baik.
Lisensi perangkat lunak yang disediakan tidak boleh digunakan atau dipasang di
peralatan komputer selain milik BPJS Kesehatan.
Pengendalian:
Dokumen perusahaan harus diamankan dari risiko kehilangan, kerusakan, dan
pemalsuan agar dapat mematuhi undang undang, peraturan, kontrak, dan kebutuhan
bisnis.
Ketentuan:
Dokumen penting milik BPJS Kesehatan dan/atau yang digunakan dan
dihasilkan oleh sistem informasi atau aset informasi yang dikelola seperti
database, audit log, dan transaction log harus dilindungi dari kehilangan,
kerusakan, atau penyalahgunaan sesuai peraturan atau undang-undang yang
berlaku.
52
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pengendalian:
Pengamanan data dan informasi pribadi harus sesuai dengan hukum dan undang-
undang atau peraturan yang berlaku.
Ketentuan:
BPJS Kesehatan akan melindungi kepemilikan dan kerahasiaan data pribadi
pegawai dan pihak ketiga yang terdaftar. Data-data tersebut hanya boleh
digunakan untuk kepentingan yang diperbolehkan oleh peraturan dan
ketentuan perundang undangan.
Pengendalian:
Setiap pimpinan Unit Kerja harus memastikan semua prosedur keamanan dalam area
kerjanya telah dijalankan dengan benar dan telah mematuhi kebijakan dan standar
keamanan informasi perusahaan.
Ketentuan:
BPJS Kesehatan akan menjamin dipatuhinya kebijakan, prosedur dan standar
keamanan informasi di semua Unit Kerja dengan cara berikut:
1) Mengkomunikasikan kebijakan, pedoman, dan prosedur keamanan informasi
ke seluruh pegawai BPJS Kesehatan.
2) Meningkatkan pengetahuan dan keterampilan pegawai dalam pengelolaan
keamanan informasi sesuai dengan bidang tugasnya.
3) Memeriksa dan mengevaluasi tingkat kesesuaian pegawai terhadap
pelaksanaan kebijakan ini secara berkala.
53
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Setiap pemeriksaan teknis harus dicatat dan dilaporkan sebagai masukan bagi
evaluasi manajemen keamanan informasi.
Pengendalian:
Aktivitas audit sistem informasi harus direncanakan dan disetujui untuk
meminimalkan dampak dari gangguan terhadap proses bisnis BPJS Kesehatan.
54
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketentuan:
Dalam melaksanakan audit sistem informasi harus memperhatikan beberapa hal
berikut ini:
a. Persyaratan audit (audit requirements) perlu disetujui dengan pihak Deputi
Direksi yang terkait.
c. Akses pada pemeriksaan audit terhadap data dan aplikasi perlu dibatasi dengan
akses read only.
d. Hak akses selain read only hanya dibolehkan untuk salinan atau copy dari
sistem files yang terbatas dan terisolasi. Salinan atau copy tersebut perlu
segera dihapus setelah proses audit selesai atau diberikan perlindungan yang
memadai apabila terdapat kebutuhan untuk mendokumentasikan salinan dari
sistem files tersebut.
e. Seluruh prosedur, persyaratan dan tanggung jawab proses audit sistem informasi
harus didokumentasikan secara formal.
Pengendalian:
Akses terhadap piranti lunak audit atau audit tools yang digunakan untuk
pemeriksaan sistem informasi harus dikendalikan untuk mencegah kemungkinan
penyalahgunaan.
Ketentuan:
Piranti lunak audit atau audit tools yang digunakan untuk pemeriksaan sistem
aplikasi, data atau file audit, harus terpisah dari sistem informasi yang digunakan
untuk pengembangan dan operasional.
Apabila audit dilakukan melibatkan pihak ketiga, piranti lunak audit atau audit
tools dan data milik BPJS Kesehatan yang diperiksa harus dijaga dari risiko
penyalahgunaan oleh pihak ketiga tersebut.
55
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
BAB IV
PENUTUP
Pedoman ini sebagai panduan bagi seluruh Duta BPJS Kesehatan agar dapat menyadari
pentingnya menjaga Keamanan Informasi untuk mendukung proses bisnis BPJS
Kesehatan dan proses pengambilan keputusan.
Pedoman ini merupakan upaya dari Direktorat Teknologi Informasi untuk meningkatkan
kualitas keamanan teknologi informasi yang disediakan, agar seluruh persyaratan dalam
pedoman ini dapat diimplementasikan dengan baik.
Dalam rangka menjamin efektivitas pedoman ini, maka perlu diperhatikan sejumlah hal
yang menjadi faktor pendukung keberhasilan adalah komitmen dari seluruh pihak sesuai
dengan fungsi dan perannya dalam Keamanan Teknologi Informasi.
Pedoman ini dapat dilakukan penyempurnaan untuk BPJS Kesehatan menyadari pentingnya
menjaga Keamanan Informasi untuk mendukung proses bisnis BPJS Kesehatan dan
proses pengambilan keputusan.
DIREKTUR UTAMA
BADAN PENYELENGGARA
JAMINAN SOSIAL KESEHATAN,
FACHMI IDRIS
56
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
LAMPIRAN PEDOMAN
SISTEM MANAJEMEN
KEAMANAN INFORMASI
57
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dokumen ini adalah untuk mencegah akses tidak sah terhadap perangkat bergerak
baik didalam ataupun diluar lokasi organisasi.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
3. Komputasi Mobile
3.1. Umum
3.1.1 Peralatan mobile computing mencakup semua jenis komputer portabel, ponsel,
ponsel pintar, kartu memori dan peralatan bergerak lainnya yang digunakan untuk
penyimpanan, pengolahan dan mentransfer data
3.1.2 Fasilitas mobile computing yang disediakan oleh Direktorat TI BPJS Kesehatan hanya
boleh digunakan untuk melaksanakan tugas pokok dan fungsi Direktorat TI BPJS
Kesehatan, dan harus disetujui oleh Asisten Deputi Bidang yang membawahi fungsi
Keamanan TI.
58
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.2.2 Peralatan mobile computing yang membawa informasi penting, sensitif tidak boleh
dibiarkan tanpa pengawasan dan, jika mungkin, harus secara fisik terkunci, atau
kunci khusus harus digunakan untuk mengamankan peralatan tersebut.
3.2.3 Saat menggunakan peralatan mobile computing di tempat umum, pengguna harus
memastikan bahwa data tidak dapat dibaca oleh orang yang tidak berwenang.
3.2.4 Laptop, Tablet dan Handphone yang berisi file rahasia terkait operasionalisasi BPJS
Kesehatan termasuk namun tidak terbatas pada Master File Peserta, Data Badan
Usaha, Source Code Aplikasi, Denah Kantor, Laporan Keuangan dan Laporan
Audit harus dilindungi dengan password dan media penyimpanan internal harus
dienkripsi.
3.2.5 Semua insiden kehilangan atau pencurian perangkat mobile yang berisi informasi
terkait BPJS Kesehatan harus segera dilaporkan ke Asisten Deputi Bidang yang
membawahi fungsi Keamanan TI dalam waktu maksimal 1x 24 jam.
3.2.6 Dalam kondisi tertentu jika perangkat mobile yang didalanmnya berisi informasi
rahasia BPJS Kesehatan, memerlukan perbaikan yang harus dilakukan oieh pihak
eksternal yang tidak memiliki perjanjian kerja sama dengan BPJS Kesehatan, maka
terlebih dahulu harus diinformasikan kepada fungsi Teknologi Informasi di unit kerja
setempat untuk dilakukan penghapusan, pemindahan atau penonaktifan informasi
atau konfigurasi milik BPJS Kesehatan sebelum dilakukan perbaikan oleh pihak
eksternal.
3.2.7 Orang yang menggunakan peralatan mobile computing diluar tempat bertanggung
jawab untuk melakukan reguler backup data sesuai dengan Petunjuk Backup.
3.2.8 Perlindungan data sensitif harus dilaksanakan sesuai dengan Petunjuk Klasifikasi
Informasi
3.2.9 Dalam hal peralatan mobile computing ditinggalkan, aturan untuk peralatan pengguna
tanpa pengawasan harus diterapkan sesuai dengan Kebijakan Penggunaan Aset
Informasi. Bidang yang membawahi fungsi Keamanan Informasi TI bertanggung
jawab untuk melakukan pelatihan dan peningkatan kesadaran pegawai yang
menggunakan perangkat bergerak diluar tempat organisasi.
59
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
4. Teleworking
4.2 Kegiatan teleworking hanya akan diijinkan kepada pegawai yang bersangkutan bila
memenuhi syarat-syarat sebagai berikut:
4.2.3 Mendapat persetujuan atasan langsung pegawai yang bersangkutan dan Asisten
Deputi Bidang yang membawahi fungsi Keamanan Informasi TI.
4.3 Penggunaan aplikasi untuk kontrol jarak jauh dibatasi hanya untuk kebutuhan
manajemen perangkat atau sistem oleh Direktorat Teknologi Informasi, dan juga untuk
kebutuhan troubleshooting oleh IT Helpdesk di kantor cabang atau oleh IT Helpdesk
di kantor Kedeputian Wilayah. Penggunaan aplikasi kontrol jarak jauh oleh unit kerja
untuk kebutuhan lainnya harus mendapatkan persetujuan Asisten Deputi Bidang
yang membawahi fungsi Keamanan Informasi TI.
4.4 Kontrol jarak jauh harus diutamakan menggunakan jaringan intranet (VPN) atau
dengan teknologi tunneling seperti yang diatur dalam klausul 4.4. Kontrol jarak jauh
menggunakan jaringan Internet diperkenankan dengan syarat aplikasi yang digunakan
harus mengaktifkan fitur multifactor authentication.
5.1. Umum
5.1.1. Perangkat Pribadi/BYOD mencakup semua jenis perangkat portable computer,
telepon selular, smartphone dan peralatan bergerak lainnya yang digunakan untuk
penyimpanan, pengolahan dan mentransfer data.
60
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
5.2.3 Perangkat BYOD yang dimiliki pegawai yang digunakan untuk keperluan pribadi
tidak diijinkan untuk konek kedalam jaringan kantor.
5.2.4 Perangkat BYOD yang dimiliki oleh pegawai dalam keadaan tertentu akan dilakukan
wipe, jika:
61
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dokumen ini untuk memastikan bahwa pegawai dan pihak eksternal memahami
tanggung jawab mereka dan sesuai dengan peran yang ditetapkan bagi mereka, menyadari
dan memenuhi tanggung jawab keamanan informasi mereka dan melindungi kepentingan
organisasi sebagai bagian dari proses pengubahan atau penghentian kepegawaian.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Acuan
3. Sebelum Bekerja
3.1 Peran dan tanggung jawab pegawai terhadap keamanan informasi harus menjadi
bagian dari penjabaran tugas pokok dan fungsi, khususnya bagi mereka yang
memiliki akses terhadap aset informasi yang bersifat rahasia dan berharga
(mempunyai nilai nominal tertentu), dan rawan (mempunyai aspek nilai intangible
atau terkait risiko keamanan terhadap aset informasi lainnya).
3.2 Peran dan tanggung jawab pegawai, mitra kerja, dan pihak eksternal lainnya terhadap
keamanan informasi didefinisikan, didokumentasikan dan dikomunikasikan kepada
yang bersangkutan sebelum penugasan.
62
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
sebelumnya yang diberikan oleh pegawai baru atau mitra kerja, sesuai dengan
kebijakan penerimaan pegawai/mitra kerja yang berlaku.
3.4 Pegawai, mitra, dan pihak eksternal lainnya yang akan menggunakan aset milik
dan/atau yang dikelola Direktorat TI BPJS Kesehatan harus menyetujui dan
menandatangani ketentuan penggunaan aset yang berlaku di Direktorat TI BPJS
Kesehatan sesuai dokumen Pernyataan Penerimaan SMKI dan wajib menjaga
kerahasiaan aset sesuai dengan dokumen Pernyataan Menjaga Kerahasiaan.
3.5 Pegawai, mitra kerja, dan pihak eksternal lainnya yang akan menggunakan aset
informasi yang tergolong rahasia dan sangat rahasia harus menyetujui dan
menandatangani Pernyataan Menjaga Kerahasiaan (Non-Disclosure Agreement) dan
ketentuan lainnya sebelum mulai bekerja.
4. Selama Bekerja
4.1 Seluruh pegawai Direktorat TI BPJS Kesehatan, mitra, dan pihak eksternal lainnya
wajib mematuhi kebijakan dan prosedur keamanan informasi yang berlaku di
Direktorat TI BPJS Kesehatan.
4.3 Mitra dan pihak eksternal lainnya, jika diperlukan, mendapatkan sosialisasi untuk
meningkatkan kepedulian terhadap keamanan informasi melalui proses induksi atau
metode lain yang tepat.
4.4 Seluruh mutasi pegawai Direktorat TI BPJS Kesehatan yang memiliki akses ke Sistem
Informasi BPJS Kesehatan harus dilaporkan kepada fungsi Teknologi Informasi di
unit kerja masing-masing untuk dilakukan penyesuaian hak akses. Untuk level Kantor
Cabang dan unit kerja dibawahnya, laporan dibuat oleh unit SDM dan Umum atau unit
Umum dan Keuangan kepada IT Helpdesk. Untuk level Kedeputian Wilayah dan unit
kerja dibawahnya, laporan dibuat oleh Bidang SDM dan Umum kepada Bidang yang
membawahi fungsi IT. Untuk level Kantor Pusat dan unit kerja dibawahnya, laporan
dibuat oleh Kedeputian Bidang Manajemen Sumber Daya Manusia dan Revolusi
Mental kepada Kedeputian Bidang Operasional Teknologi Informasi.
4.5 Kepatuhan pegawai terhadap kebijakan dan prosedur keamanan informasi harus
ditinjau ulang secara berkala oleh atasan masing-masing, dan menjadi bagian dari
penilaian kinerja pegawai.
4.6 Pegawai, mitra, dan pihak eksternal lainnya yang melanggar kebijakan keamanan
informasi yang berlaku di lingkungan Direktorat TI BPJS Kesehatan akan dikenai
sanksi atau tindakan disiplin sesuai ketentuan yang berlaku.
63
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
5. Setelah Bekerja
5.1 Sebelum penghentian, pemutusan hubungan kerja, atau mutasi efektif berlaku,
Direktorat TI BPJS Kesehatan wajib mengingatkan hak dan kewajiban pegawai, mitra
kerja, dan pihak eksternal untuk tetap mematuhi kebijakan dan aturan keamanan
informasi yang berlaku di Direktorat TI BPJS Kesehatan terutama yang terkait
dengan kewajiban menjaga kerahasiaan.
5.2 Pegawai, mitra kerja, dan pihak eksternal yang telah berhenti bekerja atau habis
masa kontrak kerjanya harus mengembalikan seluruh aset milik perusahaan yang
dipergunakan selama bekerja di Direktorat TI BPJS Kesehatan
5.3 Pegawai berkeahlian khusus atau yang berada di posisi kunci harus didorong agar
melakukan alih keahlian dan pengetahuannya kepada rekan kerjanya sebelum
mereka meninggalkan Direktorat TI BPJS Kesehatan.
5.5 Hak akses terhadap sistem informasi yang dimiliki pegawai, mitra kerja, dan pihak
eksternal lainnya akan dicabut secara otomatis bila yang bersangkutan tidak lagi
bekerja di Direktorat TI BPJS Kesehatan. Detail pencabutan hak akses djelasan di
dokumen Petunjuk Kendali Akses.
5.6 Sebelum dilakukan penghapusan hak akses dan/atau akun mantan pegawai harus
dipastikan bahwa segala isi akun yan penting bagi perusahaan sudah diarsipkan
(backup) sehingga bisa diakses kembali bila situasi memerlukannya. Detail dijelaskan
di dokumen Petunjuk Kendali Akes.
64
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Pernyataan Penerimaan
Dokumen Sistem Manajemen Keamanan Informasi
Saya dengan ini menyatakan bahwa saya sepenuhnya mengerti dengan Kebijakan Keamanan
Informasi dari Direktorat TI BPJS Kesehatan, dan dengan dokumen lain yang diterbitkan
sebagai bagian dari Sistem Manajemen Keamanan Informasi:
• Petunjuk Mobile Computing dan Teleworking
• Petunjuk Sumber Daya Manusia
• Petunjuk Klasifikasi Informasi
• Petunjuk Penggunaan Aset Informasi
• Petunjuk Kendali Akses
• Petunjuk Pedoman Password
• Petunjuk Kriptografi
• Petunjuk Pengosongan Meja dan Layar
• Petunjuk Bekerja di Area Aman
• Petunjuk Keamanan Fisik dan Lingkungan
• Petunjuk Penghapusan dan Pemusnahan
• Petunjuk Backup
• Petunjuk Manajemen Perubahan
• Petunjuk Perpindahan Informasi
• Petunjuk Pengembangan Aman
• Petunjuk Keamanan Pemasok
• Petunjuk Manajemen Insiden
• Petunjuk Kendali Dokumen
• Petunjuk Identifikasi Persyaratan Bisnis
• Petunjuk Tindakan Perbaikan
• Petunjuk Audit Internal
• Petunjuk Rapat Tinjauan Manajemen
• Statement of Applicability
• Dokumen Ruang Lingkup SMKI
Saya dengan ini menyatakan bahwa saya akan mematuhi Kebijakan dan semua dokumen
lain yang diterbitkan. Saya sadar bahwa ketidakpatuhan dari setiap bagian dari Pernyataan
ini akan dianggap sebagai pelanggaran tugas dan tindakan disiplin akan diterima dalam
setiap kasus ketidakpatuhan.
Nama : ________________________________________
Tanggal : ________________________________________
Tanda tangan : ________________________________________
65
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk memastikan bahwa informasi dilindungi pada tingkat
yang sesuai. Selain untuk melindungi kerahasiaan, dokumen ini juga bermanfaat untuk aspek
keamanan informasi lainnya, yaitu integritas dan ketersediaan.
Dokumen ini diterapkan untuk seluruh lingkup Sistem Manajemen Keamanan Informasi
Manajemen (ISMS), yaitu untuk semua jenis informasi, dalam bentuk kertas atau elektronik,
aplikasi dan database, pengetahuan, dll
2. Dokumen Referensi
• Standar ISO/IEC 27001, klausul A.8.2.1, A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3, A.9.4.1, A.13.2.3
• Petunjuk Teknis Pengamanan Data Elektronik
• Daftar Inventaris Aset
• Daftar Undang-Undang, Peraturan dan Kontrak dan Kewajiban Lain
• Petunjuk Manajemen Insiden
• Petunjuk Penggunaan Aset Informasi
• Petunjuk Penghapusan dan Pemusnahan
3. Informasi Rahasia
Berikut ini adalah tahap dan penanggung jawab terhadap manajemen informasi:
4. Penanganan Informasi Orang yang diberikan hak akses sesuai dengan kebijakan ini
66
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Jika informasi yang diklasifikasikan didapat dari luar organisasi, maka klasifikasi sesuai
dengan aturan yang ditentukan dalam Kebijakan terkait.
Direktorat Teknologi Informasi BPJS Kesehatan harus memiliki Daftar Inventaris Aset Informasi
yang berisikan seluruh aset utama, seperti perangkat lunak, perangkat keras dan layanan yang
akan dilindungi. Daftar Inventaris harus secara jelas mengidentifikasi setiap sumber daya,
pemilik sumber daya, dan lokasinya. Pengelolaan dan pengkinian Daftar Inventarisasi Aset ini
dilakukan oleh Kedeputian Bidang yang membawahi fungsi manajemen aset TI.
Pemilik aset bertanggung jawab atas perlidungan keamanan seluruh aset yang berada di
bawah pengawasannya.
Penentuan klasifikasi data pada prinsipnya berada di tangan pemilik data. Apakah
suatu data hanya bisa digunakan secara internal atau bisa disebarluaskan ke pihak
lain menjadi wewenang oleh pemilik data. Metode klasifikasi informasi mengacu hal
berikut ini:
• nilai informasi - berdasarkan dampak negatif terhadap posisi organisasi dalam
persaingan bisnis, reputasi organisasi, berpotensi menimbulkan risiko keamanan
publik, berpotensi digunankan pesaing atau penyerang untuk mengancam
ketersediaan layanan atau produk yang dikeluarkan organisasi, yang dinilai
selama penilaian risiko
67
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tingkat
Deskripsi Contoh
Kerahasiaan
Publik Data yang tidak rahasia dan dapat - Brosur-brosur produk yang
dipublikasikan ke masyarakat umum tanpa didistribusikan secara luas.
ada implikasi bagi organisasi. Hilangnya - Data yang tersedia pada website resmi
ketersediaan data sebagai akibat dari system BPJS Kesehatan yang dapat diakses
downtime dianggap sebagai resiko yang dapat oleh publik
diterima - Laporan keuangan yang wajib di-publish
keluar sesuai persyaratan yang dibuat
oleh pemerintah
Internal Data yang penggunaannya terbatas - Password dan data dalam prosedur-
pada internal organisasi. Penggunaan prosedur keamanan organisasi.
oleh publik atau pihak ketiga harus - Petunjuk mengenai cara memproses
mendapatkan persetujuan dari pemilik data pelanggan.
data. Penggunaan data ini tanpa ijin akan - SOP yang digunakan di seluruh unit
berdampak pada efektivitas operasional kerja.
organisasi, menyebabkan kerugian keuangan, - Transmisi elektronik yang berasal dari
menguntungkan pesaing, atau menyebabkan pelanggan.
kepercayaan pelanggan terhadap organisasi - Data produk yang dihasilkan untuk
menjadi turun. Harus disimpan dalam tempat pelanggan oleh organisasi.
yang tertutup dan dihancurkan jika tidak akan - Master data peserta
digunakan lagi. Ini adalah klasifikasi default - Data yang diklaim oleh pelanggan
untuk data yang diolah atau dihasilkan dari sebagai data rahasia
setiap aktifitas organisasi jika klasifikasi - Data kontrak yang sifatnya rahasia
belum ditetapkan.
Rahasia Data yang dibuat dan digunakan oleh - Gaji atau data personal lainnya terkait
organisasi dalam menjalankan bisnisnya kepegawaian.
untuk mempekerjakan orang, merekam - Data akuntansi dan laporan keuangan
dan memenuhi permintaan pelanggan, dan internal
dan memenuhi permintaan pelanggan, dan - NDA (Non-Disclosure Agreement)
untuk mengelola semua aspek keuangan dengan pelanggan atau vendor.
perusahaan. Akses ke data ini dibatasi hanya - Data RKA.
dalam lingkup organisasi. Penanganan - Data yang tidak dimaksudkan untuk
pada level tertinggi untuk aspek integritas, umum, yang dapat menguntungkan
kerahasiaan, dan ketersediaan secara khusus pesaing
sangat diperlukan. Penyebaran data ini - Data keuangan yang sifatnya tidak
ke pihak ketiga harus dengan persetujuan untuk umum
manajemen perusahaan. - Data penelitian
- Rekam medis
- Nomor Jaminan Sosial
Pll (Personally Informasi yang dilindungi oleh undangundang - Data apapun yang diidentifikasi oleh
Identifiable dan peraturan, dan diatur oleh badan pemerintah atau badan pengawas
Information) pengawas atau dewan mengenai penyelidikan, sebagai data yang perlu dilindungi.
dan Informasi respon, pelaporan dan penanganan insiden. - Identitas peserta meliputi NIK, nama
yang Secara alamiah informasi ini bersifat sensitif lengkap, alamat tempat tinggal, foto
dilindungi oleh dan aksesnya terbatas. Distribusi terbatas wajah, sidik jari, nomor kartu kredit,
regulasi pada individu tertentu yang berhak atau perlu nomor telepon, dan info lainnya yang
(HIPAA/SOX/ mengetahui. bisa digunakan untuk mengidentifikasi
PCI Harus diamankan dan dihancurkan untuk seseorang dan atau lokasinya.
DSS) menghindari kehilangan, pencurian,akses yang
tidak terotorisasi, dan/atau distribusi yang
tidak terotorisasi,seperti
diinstruksikan oleh pemerintah atau badan
pengawas.
68
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Informasi yang terklasifikasi “Rahasia” dan PII harus disertai dengan Daftar Pengguna
Resmi, dimana pemililk informasi telah menentukan nama-nama dan fungsi pekerjaan
dari personil yang memliki hak untuk mengakses informasi tersebut. Aturan yang
sama diterapkan pada tingkat kerahasiaan “Internal” jika orang diluar organisasi
Direktorat Teknologi Informasi BPJS Kesehatan hendak mengakses dokumen tersebut.
Pemilik aset harus mereviu tingkat kerahasiaan aset informasi setiap 1 tahun
dan menilai apakah tingkat kerahasiaan dapat dirubah. Jika memungkinkan, tingkat
kerahasiaan dapat diturunkan.
Semua orang yang mengakses informasi rahasia harus mengikuti aturan yang tercantum
dalam tabel berikut. Pejabat yang berwenang harus melakukan tindakan disiplin setiap kali
aturan dilanggar atau jika informasi tersebut dikomunikasikan kepada orang yang tidak
berwenang. Setiap insiden yang terkait dengan penanganan informasi rahasia harus
dilaporkan sesuai dengan Petunjuk Manajemen Insiden.
Aset informasi dapat dibawa keluar dari BPJS Kesehatan hanya setelah mendapatkan izin
sesuai dengan Petunjuk Penggunaan Aset Informasi.
Metode untuk penghapusan dan pemusnahan media yang aman ditentukan dalam dokumen
Petunjuk Penghapusan dan Pemusnahan.
69
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Dokumen • hanya orang yang memiliki izin • dokumen harus tersimpan • dokumen harus tersimpan
kertas untuk mengakses didalam tempat yang terkunci didalam tempat yang aman
• jika dokumen dikirim keluar • dokumen hanya dapat • dokumen hanya dapat
organisasi, dokumen harus dipindahkan didalam atau diluar dipindahkan didalam atau diluar
tercatat sebelum terkirim organisasi dengan amplop organisasi oleh pesonil yang
• dokumen hanya dapat disimpan tertutup dapat dipercaya, dalam amplop
dalam ruangan tanpa akses publik • jika dokumen dikirim keluar tertutup dan disegel
• dokumen harus dipastikan organisasi, dokumen harus • mengirim dokumen dengan
dikeluarka dari mesin printer atau dikirimkan dengan bukti tanda mesin fax dilarang
mesin fax terima • dokumen dapat dicetak hanya
• dokumen harus segera jika personil otorisasi berdiri
dikeluarkan dari mesin printer mendampingi disamping mesin
atau mesin fax cetak.
• hanya pemilik dokumen yang
dapat menggandakan dokumen
• hanya pemilik dokumen yang
dapat menghancurkan dokumen
Dokumen • hanya personil yang berwenang • hanya personil yang berwenang • dokumen harus tersimpan dalam
elektronik yang mempunyai akses atas dokumen, yang dapat bentuk terenkripsi
• ketika file dipertukarkan malalui mengakses bagian sistem • dokumen dapat tersimpan di
layanan seperti FTP, pesan informasi dimana dokumen server yang dikendalikan oleh
singkat, dll, harus dilindungi tersimpan organisasi
password • ketika file dipertukarkan malalui • dokumen tidak bisa
• akses ke sistem informasi dimana layanan seperti FTP, pesan dipertukarkan via layanan seperti
dokumen tersimpan harus singkat, dll, harus dienkripsi FTP, pesan singkat, dll
dilindungi password yang kuat • hanya pemilik dokumen yang
• layar dimana dokumen dapat menghapus dokumen
ditampilkan harus secara
otomatis terkunci setelah setalah
10 menit layar tidak aktif
Sistem • hanya personil yang berwenang • pengguna harus log-out dari • akses ke sistem informasi harus
informasi yang mempunyai akses sistem informasi jika telah dikendalikan melalui proses
• akses ke sistem informasi harus meninggalakan tempat kerja baik otentikasi menggunakan kartu
dilindungi oleh password yang sementara atau permanen pintar atau pembaca biometrik
kuat • data harus dihapus dengan • sistem informasi hanya dapat
• layar harus secara otomatis algoritma yang menjamin di-install pada server yang
terkunci setelah setalah 10 menit penghapusan aman dikendalikan oleh organisasi
layar tidak aktif • sistem informasi hanya dapat
• sistem informasi hanya dapat berada di ruang dengan akses
berada ruangan dengan akses fisik yang dikendalikan dan ada
fisik dikendalikan kendali identifikasi orang yang
• sistem informasi hanya dapat mengakses ruangan tersebut
berada di kamar dengan akses
fisik dikendalikan
E-mail • hanya personil yang berwenang • e-mail harus dienkripsi jika dikirim • semua e-mail harus dienkripsi
yang mempunyai akses dari luar organisasi • e-mail yang dikirimkan harus
• pengirim harus dengan hati-hati • e-mail yang dikirimkan harus menggunakan Private Domain
memeriksa siapa penerima e-mail menggunakan Private Domain milik organisasi, perusahaan
• semua aturan yang tercantum milik organisasi, perusahaan atau lembaga. (@jakarta.go.id, @
dalam “sistem informasi” berlaku atau lembaga. (@jakarta.go.id, @ kemendagri.go.id, @telkomsel.
kemendagri.go.id, @telkomsel.com) com)
70
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Media • hanya personil yang berwenang • media penyimpanan Portable • media peyimpanan dan file harus
Penyimpanan yang mempunyai akses Media (USB Flash Disk, External dienkripsi dengan metode Full
Elektronik • media atau file harus dilindungi HDD, Laptop, dan Iain-lain) harus Disk Encryption
password disimpan ditempat yang terkunci • media penyimpanan Cloud
• jika dikirim keluar organisasi, • media penyimpanan Cloud Storage Corporate License dan
media harus tercatat sebelum Storage Coporate License harus Personal License dilarang
terkirim dilindungi dengan mekanisme • media penyimpanan Personal
• media hanya disimpan ruangan pembatasan akses atau dengan Computer (PC) tidak dapat di-
dengan akses fisik dikendalikan password share
• mekanisme penyimpanan data • media penyimpanan Cloud • media penyimpanan Portable
pada media penyimpanan Cloud Storage Personal License dilarang Media (USB Flash Disk, External
Storage (Dropbox, Onedrive, • media penyimpanan Personal HDD, Laptop, dan Iain-lain) harus
Google Drive, dll) Personal License Computer (PC) tidak dapat di- dienkripsi dengan metode Full
dikendalikan oleh pemilik data share Disk Encryption
• mekanisme penyimpanan data • media penyimpanan Portable • media penyimpanan CD, DVD dan
pada Portable Media (USB Flash Media (USB Flash Disk, External read-only media lainnya harus
Disk, External HDD, Laptop dan HDD, Laptop, dan Iain-lain) harus dilindungi dengan Password
lain-lain) dikendalikan oleh pemilik dienkripsi dengan metode Full Protected File
data Disk Encryption
• media penyimpanan CD, DVD dan
read-only media lainnya harus
dilindungi dengan Password
Protected File
• jika media dikirim dari luar
organisasi, media harus dikirim
dengan bukti tanda terima
• hanya pemilik media yang dapat
menghancurkan medianya
Informasi • hanya orang yang berwenang • ruang harus kedap suara • percakapan yang dilakukan
yang dapat memiliki akses ke • percakapan tidak boleh direkam melalui sarana komunikasi
dikirimkan informasi harus dienkripsi
secara lisan • personil yang tidak berwenang • percakapan tidak boleh
dilarang hadir di ruangan ditranskrip
ketika informasi tersebut
dikomunikasikan
Informasi • informasi yang dikirim dengan • informasi yang dikirim dengan • informasi yang dikirim
yang dikirim transmisi jaringan eksternal transmisi jaringan eksternal dengan transmisi jaringan
dengan (Wired/Wireless) dan Web (Wired/Wireless) dan Web eksternal (Wired/Wireless)
media Application harus menggunakan Application harus menggunakan dan Web Application harus
transmisi metode HTTPS metode HTTPS menggunakan metode HTTPS
* Kendali dilaksanakan secara kumulatif, artinya adalah bahwa kendali tersebut untuk tingkat
kerahasiaan “Rahasia” dan “PII”; implementasi kendali ditujukan untuk tingkat kerahasiaan
yang lebih rendah, jika kendali yang lebih tegas ditentukan untuk tingkat kerahasiaan yang
lebih tinggi maka hanya kendali-kendali tersebutlah yang dilaksanakan.
71
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menentukan aturan yang jelas dalam penggunaan
sistem informasi dan aset informasi lainnya di Direktorat TI BPJS Kesehatan.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
• Standar ISO/IEC 27001, klausul A.6.2.1, A.6.2.2, A.8.1.2, A.8.1.3, A.8.1.4, A.9.3.1, A.11.2.5,
A.11.2.6, A.11.2.8, A.11.2.9, A.12.2.1, A.12.3.1, A.12.5.1, A.12.6.2, A.13.2.3, A.18.1.2
• Petunjuk Klasifikasi Informasi
• Petunjuk Manajemen Insiden
• Inventarisasi Aset
• Panduan Pengelolaan Operasional TIK
• Petunjuk Perpindahan Informasi
3.1. Definisi
Sistem Informasi termasuk server dan klien, infrastruktur jaringan, sistem dan perangkat lunak
aplikasi, data, dan subsistem komputer lain dan komponen yang dimiliki atau digunakan oleh
organisasi atau yang berada di bawah tanggung jawab organisasi. Penggunaan sistem
informasi juga termasuk penggunaan semua layanan internal atau eksternal, seperti akses
internet, e-mail, dll.
72
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Aset informasi – dalam konteks kebijakan ini, aset informasi diterapkan untuk sistem informasi
dan peralatan pengolahan informasi lainnya seperti dokumen kertas, ponsel, komputer
portabel, media penyimpanan data, dll.
Penggunaan aset informasi hanya untuk kebutuhan bisnis dengan tujuan melaksanakan
tugas-tugas yang terkait organisasi. Penggunaan aset informasi harus dimanfaatkan sebesar-
besarnya untuk kepentingan perusahaan dan kegiatan yang menunjang usaha perusahaan.
• Mengunduh file gambar atau video yang tidak memiliki tujuan bisnis.
3.5.2 Jika aset berada di luar lokasi perusahaan, aset tersebut harus dikendalikan oleh
pegawai yang diberikan izin.
73
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.7.2 Sistem antivirus harus memiliki kemampuan yang melakukan update dan scanning
secara otomatis
3.7.3 Proses pendeteksian oleh sistem antivirus harus mencakup pendeteksian pada
data dalam media penyimpanan elektronik dan atau optik dan data dari jaringan,
attachment dari email dan website yang akan dikunjungi oleh pengguna.
3.7.4 Terdapat petugas yang bertanggung jawab untuk mengumpulkan informasi dan
memantau keberadaan malicious code.
3.7.5 Seluruh perangkat komputer yang terkoneksi ke jaringan komunikasi milik BPJS
Kesehatan harus dipastikan memiliki versi antivirus terbaru.
3.7.6 Perangkat komputer milik pihak eksternal yang akan dihubungkan dengan jaringan
komunikasi data milik BPJS Kesehatan harus dipastikan memiliki versi antivirus
terbaru. Komputer milik pihak eksternal yang tidak memiliki anti virus atau ter-
install antivirus tapi dengan versi yang sudah out of date tidak diperkenankan untuk
dihubungkan ke jaringan komunikasi data milik BPJS Kesehatan.
3.7.7 Seluruh pengguna sistem informasi dan jaringan komunikasi data milik BPJS
Kesehatan tidak diperkenankan melakukan penonaktifan antivirus dan personal
firewall yang ter-install. Jika ada aplikasi yang membutuhkan akses melewati firewall,
maka harus dilakukan konfigurasi terhadap firewall sesuai kebutuhan.
3.7.8 Dalam kasus tertentu, personal firewall yang merupakan bagian dari Sistem Operasi
dapat dinonaktifkan untuk kebutuhan troubleshooting. Setelah proses troubleshooting
selesai, maka personal firewall wajib diaktifkan kembali.
3.7.9 Dalam hal manajemen antivirus melalui cloud, harus dipastikan bahwa untuk policy
minimal konfigurasi untuk realtime protection berstatus aktif dan automatic updates
berstatus aktif.
3.7.10 Dalam hal terjadi pergantian antivirus untuk pengguna secara korporat, maka harus
dipastikan setiap komputer tetap tersedia antivirus sampai proses pengadaan antivirus
pengganti selesai.
3.7.11 Setiap pegawai dan pihak eksternal yang mendeteksi adanya virus atau program lain
yang membahayakan, atau terjadi perubahan konfigurasi secara tiba-tiba, atau adanya
perilaku aplikasi yang menyimpang di perangkat milik BPJS Kesehatan wajib segera
melaporkannya ke Service Desk.
74
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.8.2 Bidang yang membawahi fungsi Keamanan Informasi TI menetapkan daftar perangkat
lunak berlisensi atau perangkat lunak open source yang boleh dipasang di perangkat
keras perusahaan.
3.8.3 Pemasangan (instalasi) perangkat lunak di perangkat keras milik BPJS Kesehatan
hanya boleh dilakukan oleh pegawai Bidang yang membawahi fungsi Layanan TI yang
berwenang atau pegawai alih daya (outsourcing) yang ditugaskan.
3.8.4 Untuk mencegah, menghalangi, dan mengurangi risiko masuknya virus, pada setiap
komputer milik BPJS Kesehatan harus dipasang perangkat lunak antivirus yang dijaga
kemutakhirannya secara berkala.
3.9.2 Sistem informasi hanya dapat digunakan oleh pengguna resmi yang telah diberikan
hak akses.
3.10.2 Pengguna tidak boleh secara langsung atau tidak langsung mengizinkan orang lain
untuk menggunakan hak aksesnya dan hak akses orang lain seperti username dan
password. Penggunaan username group dilarang.
3.10.3 Pemilik akun adalah dirinya sendiri. Pemilik akun bertanggung jawab atas penggunaan
akunnya dan semua transaksi yang dilakukan melalui akun penggunanya.
3.11.2 Pengguna harus sadar bahwa penggunaan Internet mengandung beberapa risiko,
antara lain:
75
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.11.3 Penggunaan bandwidth untuk akses Internet akan dibatasi kuotanya agar tidak
mengganggu kinerja jaringan.
3.11.5 Internet hanya dapat diakses melalui jaringan lokal BPJS Kesehatan dengan
infrastruktur yang tepat dan perlindungan firewall.
3.11.6 Akses internet langsung melalui modem, mobile internet, email nirkabel atau
perangkat lain untuk akses internet langsung dilarang.
3.11.7 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI dengan
berkoordinasi dengan unit terkait berhak memblokir akses pengguna individu,
kelompok pengguna atau semua pegawai ke beberapa alamat website tertentu yang
dianggap dapat mengganggu kegiatan operasional.
3.11.8 Pengguna tidak diperkenankan menggunakan fasilitas Internet BPJS Kesehatan untuk
mendistribusikan konten yang mengandung unsur SARA, pornografi, kekerasan atau
kampanye politik.
3.11.11 Pengguna harus menganggap bahwa informasi yang diterima melalui website yang
tidak dapat diverifikasi sebagai informasi yang tidak dapat dipercaya. Informasi
76
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
tersebut dapat digunakan untuk tujuan bisnis setelah keaslian dan kebenarannya telah
diverifikasi.
3.11.12 Pengguna bertanggung jawab atas semua konsekuensi yang mungkin timbul dari
penggunaan yang tidak sah atau tidak tepat dari layanan internet atau konten internet.
3.12.2 E-mail korporat tidak boleh digunakan untuk pembuatan atau pendistribusian materi
mengandung unsur penghinaan, personal opinion, surat berantai, SARA, pornografi
atau kampanye politik, menyebarkan virus, worm, trojan, Denial of Service (DoS),
atau software sejenis yang dapat mengganggu kinerja email dan jaringan perusahaan.
Pengguna yang menerima e-mail yang berisi konten seperti yang disebutkan dalam
klausul ini harus melaporkannya ke atasan langsung dalam waktu maksimal 1x 24 jam.
3.12.3 Pengguna tidak diperkenankan mengaktifkan fitur automatic forward ke sistem e-mail
pihak ketiga. Pesan dalam e-mail yang di-forward oleh pengguna sistem e-mail pihak
ketiga tidak boleh mengandung informasi rahasia.
3.12.4 Dalam kondisi tertentu jika pengguna terpaksa harus menggunakan layanan pihak
ketiga untuk pengiriman e-mail, maka bagian body email hanya boleh mengandung
kalimat pengantar tanpa menguraikan isi pesan secara rinci. Informasi rahasia
disimpan dalam file lampiran yang terenkripsi dengan password.
3.12.5 Perangkat mobile yang terhubung dengan e-mail korporat harus dilindungi dengan
password.
3.12.6 Dalam penggunaan e-mail korporat, seluruh pegawai BPJS Kesehatan tidak boleh
mengharapkan adanya privasi atas apa yang dikirimkan atau disimpan dalam e-mail
korporat.
3.12.7 Untuk kepentingan pemeriksaan, BPJS Kesehatan berhak untuk memonitor seluruh
pesan tanpa pemberitahuan sebelumnya. BPJS Kesehatan tidak memerlukan
persetujuan pemilik akun e-mail untuk memonitor seluruh pesan email korporat.
3.12.8 Pengguna e-mail korporat wajib melaporkan akun e-mail yang memiliki indikasi terkena
aktifitas hacking, atau mengirimkan email spam, ke Bidang yang membawahi fungsi
Keamanan Informasi TI dalam waktu maksimal 1x 24 jam.
3.12.9 Dalam hal penggunaan akun e-mail yang merepresentasikan unit kerja harus dibuatkan
pakta integritas bagi setiap orang yang diberikan akses terhadap akun tersebut.
77
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.12.10 Demi alasan keamanan dan kelancaran sistem, BPJS Kesehatan berhak melakukan
suspend terhadap akun e-mail yang terkena spam atau virus.
3.12.11 Dalam hal akun yang di-suspend adalah akun milik Kedeputian Bidang atau Unit Kerja,
maka akan disediakan akun sementara sampai suspend dicabut.
3.12.12 Metode pertukaran pesan selain e-mail adalah termasuk namun tidak terbatas pada
download file dari internet, transfer data melalui sistem komunikasi BPJS Kesehatan,
telepon, mesin fax, SMS dan media portabel.
3.12.13 Pengguna harus menjamin bahwa informasi berklasifikasi “Rahasia” yang dikirim
melalui email dilindungi dari kemungkinan salah kirim dengan memastikan ketepatan
alamat tujuan, memberi password atau menerapkan metode enkripsi sesuai dengan
Petunjuk Klasifikasi Informasi.
3.12.14 Proses pendaftaran, perubahan, penghapusan dan penggunaan fasilitas e-mail agar
mengacu kepada prosedur administrasi email.
3.13.2 Dalam kondisi tertentu, jika file yang mengandung informasi rahasia disimpan pada
media penyimpanan eksternal yang tidak terenkripsi, maka pengguna harus memastikan
file tersebut dilindungi dengan enkripsi.
3.14.2 BPJS Kesehatan berhak untuk melarang penggunaan aplikasi, browser extension,
plugin atau addon yang dianggap berpotensi mengganggu operasional Teknologi
Informasi dan atau keamanan sistem informasi.
3.14.3 Saat meninggalkan komputer yang sedang aktif tanpa pengawasan, pengguna harus
memastikan sistem operasi dalam kondisi terkunci dengar password.
3.14.4 Untuk mencegah akses dari pihak yang tidak berhak, seluruh Shared Folder harus
dilindungi dengan password. Shared Folder wajib dievaluasi penggunaannya dan
wajib dinonaktifkan jika tidak lagi dipergunakan
78
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.14.5 Dalam kondisi tertentu jika komputer yang didalamnya berisi informasi rahasia BPJS
Kesehatan, memerlukan perbaikan yang harus dilakukan oleh pihak eksternal yang
tidak memiliki perjanjian kerja sama dengan BPJS Kesehatan, maka terlebih
dahulu harus diinformasikan kepada fungsi Teknologi Informasi di unit kerja
setempat untuk dilakukan penghapusan, pemindahan atau penonaktifan informasi
atau konfigurasi milik BPJS Kesehatan sebelum dilakukan perbaikan oleh pihak
eksternal.
3.14.6 Pengguna tidak diperkenankan menambah atau mengubah sebagian atau seluruh
komponen dalam perangkat komputer tanpa persetujuan Kedeputian Bidang
Operasional Teknologi Informasi di level Kantor Pusat; Bidang yang membawahi
fungsi IT di level Kedeputian Wilayah; atau IT Helpdesk untuk level Kantor Cabang
dan unit kerja dibawahnya.
3.14.7 Pengguna tidak diperkenankan menggunakan aplikasi yang tidak memiliki lisensi
resmi pada perangkat komputer milik BPJS Kesehatan.
3.14.8 Komputer milik BPJS Kesehatan yang digunakan untuk operasional dan tidak
digunakan sebagai server, hanya diperkenankan memiliki satu akun level
administrator. Penggunaan akun administrator hanya diperkenankan untuk akses
ke sistem atau aplikasi yang memerlukan level administrator. Pengecualian
terhadap klausul ini hanya berlaku bagi pengguna dengan bidang pekerjaan sebagai
programmer, quality assurance, quality control, penetration tester, system administrator,
database administrator, dan network administrator.
3.15.2 Dokumen surat-surat, laporan-laporan internal, data peserta atau badan usaha, dan
dokumen lainnya yang penggunaannya tidak untuk pihak eksternal harus disimpan
dalam tempat penyimpanan yang aman. Dalam kondisi tertentu jika dokumen
rahasia tersebut ingin dibuang maka terlebih dahulu harus dimusnahkan dengan
menggunakan mesin penghancur kertas.
79
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.17.2 Pengguna dilarang menyalin perangkat lunak atau bentuk orisinil dari sumber apapun
dan harus bertanggung jawab terhadap konsekuensi yang dapat timbul dari hukum hak
kekayaan intelektual.
3.18.2 Pengguna setuju bahwa orang yang berwenang dari BPJS Kesehatan dapat
mengakses semua data tersebut, dan bahwa akses dari orang-orang tersebut tidak
akan dianggap sebagai pelanggaran privasi pengguna.
3.18.3 BPJS Kesehatan dapat menggunakan alat khusus untuk tujuan mengidentifikasi
dan memblokir metode komunikasi yang terlarang dan menyaring konten terlarang.
3.19. Insiden
3.19.1 Setiap pegawai, pemasok atau orang ketiga yang berhubungan dengan data dan/atau
sistem BPJS Kesehatan harus melaporkan setiap sistem kelemahan, kejadian atau
peristiwa yang menunjuk ke sebuah insiden yang mungkin sebagaimana ditentukan
dalam Petunjuk Manajemen Insiden.
80
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menentukan aturan terhadap akses ke berbagai sistem,
peralatan, fasilitas dan informasi, berdasarkan kepada persyaratan bisnis dan keamanan
untuk akses.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
• Standar ISO/IEC 27001, klausul A.9.1.1, A.9.1.2, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.5,
A.9.2.6, A.9.3.1, A.9.4.1, A.9.4.3
• Petunjuk Klasifikasi Informasi
• Daftar Undang-undang, Peraturan Pemerintah, Kontrak dan Persyaratan lainnya.
3. Kontrol Akses
3.1. Pendahuluan
Prinsip dasarnya adalah bahwa siapapun dilarang mengakses ke semua sistem, jaringan, layanan
dan informasi, kecuali secara jelas telah diberikan izin kepada pengguna perorangan ataupun
kelompok. Seharusnya ada prosedur pendaftaran pengguna untuk setiap sistem dan layanan.
Akses terhadap semua lingkungan fisik di dalam organisasi adalah diperbolehkan, kecuali
pada area dimana izin harus diberikan oleh personil yang berwenang.
81
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Kebijakan ini menentukan peraturan terhadap akses kepada sistem, layanan dan fasilitas,
sedangkan Kebijakan Klasifikasi Informasi menentukan peraturan terhadap akses kepada
dokumen dan catatan individual.
Pemilik dari setiap sistem dan fasilitas yang wajib memiliki Hak Akses Khusus, dalam
jangka waktu minimal setahun sekali, harus meninjau kembali perihal apakah Hak Akses
yang diberikan masih sejalan dengan persyaratan bisnis dan keamanan informasi. Setiap
pelaksanaan peninjauan harus tercatat dan tersimpan.
Segera setelah ada perubahan status penugasan pekerjaan ataupun pemutusan hubungan
kerja dari seorang pegawai, masing-masing Asisten Deputi Bidang harus segera memberitahu
mengenai hal tersebut kepada personil yang bertanggungjawab memberikan hak akses
kepada pegawai yang bersangkutan.
Segera setelah ada perubahan kontrak kerja dengan pihak luar yang memiliki akses terhadap
sistem, layanan dan fasilitas, ataupun setelah berakhirnya kontrak, pemilik kontrak harus
segera memberitahu mengenai hal tersebut kepada personil yang bertanggungjawab
memberikan hak akses kepada pihak luar yang bersangkutan.
Terhadap semua orang yang telah berubah status kepegawaiannya atau hubungan kontrak
kerjanya, personil yang bertanggungjawab dalam hal pemberian hak akses harus segera
menghapus ataupun mengubah Hak Akses personil yang bersangkutan, sebagaimana yang
akan didefinisikan pada bagian berikut ini.
Penambahan, perubahan dan penghapusan Hak Akses pengguna seluruh sistem Teknologi
Informasi milik BPJS Kesehatan harus dilaporkan ke Bidang yang membawahi fungsi
Keamanan Informasi TI secara berkala melalui mekanisme yang disepakati bersama antar
departemen di Direktorat Teknologi Informasi.
82
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menentukan aturan yang memastikan keamanan
password dan penggunaan password yang aman.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI), termasuk kepada semua tempat kerja dan sistem
yang terletak dalam cakupan SMKI.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
3. Kewajiban Pengguna
Pengguna harus menerapkan kebiasaan keamanan yang baik ketika memilih dan
menggunakan password:
• Password tidak boleh diketahui oleh orang lain, termasuk manajemen dan administrator
sistem.
• password yang dibuat oleh pengguna tidak boleh disebarkan melalui saluran apapun
(melalui lisan, tertulis ataupun secara elektronik dan lain-lain); password harus diganti
apabila terdapat indikasi bahwa password atau sistem mungkin telah dibobol – dalam
kasus tersebut, kejadian insiden keamanan ini harus dilaporkan.
• password yang kuat harus digunakan, dengan cara sebagai berikut:
o menggunakan paling sedikit delapan karakter
o menggunakan setidaknya satu karakter angka/numerik
83
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
o menggunakan setidaknya satu karakter huruf besar dan satu karakter huruf kecil
o menggunakan setidaknya satu karakter khusus
o password bukan berasal dari kata-kata di dalam kamus, dialek atau jargon dari
bahasa tertentu, ataupun kata-kata tersebut ditulis terbalik
o password bukan berasal dari data pribadi (seperti tanggal lahir, alamat, nama anggota
keluarga dan sebagainya)
o tiga password terakhir tidak boleh digunakan kembali
• password harus diganti setiap 3 (tiga) bulan sekali
• password awal harus diganti pada saat pertama kali masuk ke dalam sistem
• password tidak boleh disimpan dalam sistem log-on otomatis (misalnya macro atau
browser)
• password yang digunakan untuk keperluan pribadi tidak boleh digunakan untuk tujuan
operasional
Pada saat pemberian dan penggunaan password pengguna, aturan berikut ini harus diikuti:
• dengan menandatangani surat Pernyataan Penerimaan dokumen Sistem Manajemen
Keamanan Informasi (SMKI), pengguna juga dinyatakan menerima kewajiban untuk
menjaga kerahasiaan password, sebagaimana yang telah ditentukan dalam dokumen
ini.
• setiap pengguna hanya diizinkan untuk memakai username unik yang telah dialokasikan
hanya kepada pengguna tersebut.
• setiap pengguna harus memiliki kemampuan untuk menentukan sendiri password-nya
dimana dimungkinkan berlaku.
• password sementara yang digunakan pada saat pengguna pertama kali masuk ke dalam
sistem, harus unik dan kuat, tidak boleh sama antar pengguna, sebagaimana yang telah
dijelaskan di atas.
• password sementara harus diberitahukan kepada pengguna dengan memakai cara
yang aman dengan pemeriksaan identitas pengguna terlebih dahulu dan harus dipastikan
diterima oleh pengguna itu sendiri.
• sistem manajemen password harus mewajibkan pengguna untuk mengubah sendiri
password sementara, pada saat pertama kali masuk ke dalam sistem.
• sistem manajemen password harus dapat mewajibkan pengguna untuk menggunakan
password yang kuat, yang memuat kombinasi angka, huruf dan simbol dengan panjang
minimal delapan karakter.
84
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
85
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menentukan aturan terhadap penggunaan kendali
kriptografi, sebagaimana yang telah diatur dalam penggunaan kunci-kunci kriptografi, dalam
kaitannya dengan perlindungan terhadap kerahasiaan, integritas, keaslian dan informasi yang
tidak terbantahkan.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI), yaitu terhadap semua sistem dan informasi yang
digunakan dalam ruang lingkup SMKI.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
3. Penggunaan Kriptografi
86
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Nama sistem/
Alat Kriptografi Algoritma Enkripsi Ukuran Kunci
Jenis Informasi
Diffie-Hellman • 1024-bits
(DH) • Untuk data kartu
(PCIDSS): 2048 bits
RSA • 1024-bits
• Untuk data kartu
(PCIDSS): 2048 bits
Nama Algoritma
RC4 128-bits
87
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Contoh cryptographic protocols yang sesuai dengan standar algoritma enkripsi dan
hashing:
Nama Algoritma
Kunci-kunci kriptografi dikelola oleh para pemiliknya sebagaimana aturan yang telah
dinyatakan di atas.
Kunci-kunci kriptografi akan diproteksi dan dilindungi terhadap kehilangan, perubahan atau
kerusakan. Dalam hal kehilangan atau kerusakan, kunci dapat dipulihkan.
Peralatan yang digunakan untuk menyimpan kunci harus ditempatkan pada lokasi yang
memiiki pengamanan fisik yang memadai.
88
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini untuk menjelaskan peraturan untuk mencegah akses tidak sah
terhadap indormasi dan Lingkungan kerja BPJS Kesehatan, juga untuk fasilitas dan peralatan
bersama milik BPJS Kesehatan.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
Jika orang yang berwenang sedang tidak berada ditempat kerja, seluruh dokumen kertas,
termasuk media penyimpanan data yang bersifat rahasia, tidak diletakkan diatas meja secara
sembarangan dan harus dipindahkan dari meja atau tempat lain (printer, mesin fax, mesin
fotokopi, dll) untuk mencegah akses tidak sah terhadap dokumen tersebut.
89
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Setelah selesai menggunakan papan tulis (whiteboard), informasi yang bersifat rahasia
pada papan tulis harus segera dihapus untuk mencegah terbaca nya informasi rahasia.
Dokumen dan media harus disimpan di tempat dan dengan cara yang aman sesuai dengan
Kebijakan Klasifikasi Informasi.
Jika orang yang berwenang sedang tidak berada ditempat kerja, seluruh informasi yang
bersifat rahasia harus dihapus dari layar, dan layar harus ditinggalkan dalam keadaan
terlindungi dengan password.
Apabila orang yang berwenang meninggalkan tempat kerja selama lebih dari 5 (lima) menit,
maka komputer harus dalam keadaan terkunci secara otomatis (mengaktifkan default lock
screen).
Dokumen yang mengandung informasi sensitif harus segera disingkirkan dari printer, fax dan
mesin fotokopi.
Untuk pengiriman dan penerimaan fasilitas surat atau dokumen yang bersifat rahasia, harus
melalui resepsionis dan dicatat setiap penerimaan surat atau dokumen yang datang. Dan
ketika penerima surat atau dokumen tidak hadir, maka surat tersebut disimpan di sekretaris
masing-masing bagian sampai penerima sudah hadir.
Akses tidak sah untuk penggunaan printer, mesin fotokopi, mesin scan, dan peralatan lain
yang berada di seluruh area kerja BPJS Kesehatan harus dicegah dengan cara memberikan
akses kontrol berupa PIN, Password, atau kartu akses.
90
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dokumen ini adalah untuk menjelaskan aturan dasar dari kegiatan sehari-hari
pegawai BPJS Kesehatan pada area yang aman.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
Penanggung Jawab dari setiap Area yang Aman telah terdaftar sebagai Pemilik Aset pada
Aset Inventori.
91
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Setiap orang yang bukan pegawai BPJS Kesehatan, harus mendapatkan akses berdasarkan
Kebijakan Akses Kontrol.
Pengunjung memasuki Area yang Aman dan berada di area tersebut harus didampingi
dengan pegawai BPJS Kesehatan yang bersangkutan.
Waktu kunjungan masuk dan keluar pengunjung harus dicatat pada buku tamu kunjungan
oleh Bidang yang membawahi fungsi pengelolaan data center TI
Jika Area yang Aman tidak digunakan dalam jangka waktu 6 bulan, Asisten Deputi Bidang
yang membawahi fungsi pengelolaan data center harus memeriksa apakah itu sesuai dengan
persyaratan keamanan.
92
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dokumen ini adalah mengatur perimeter keamanan fisik, akses masuk fisik, kondisi
kerja, mengamankan kantor, datacenter, dan peraturan umum pada BPJS Kesehatan.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
3. Daerah Aman
3.1.2 Pembatas fisik dan perangkat akses kontrol harus dipasang untuk mencegah akses
kepada fasilitas proses informasi perusahaan.
93
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.2.2 Akses fisik kepada fasilitas proses informasi perusahaan dibatasi hanya untuk orang
yang berwenang. Hak untuk masuk kedalam fasilitas yang dibatasi hanya diizinkan
saat ada tujuan bisnis atau teknis.
3.2.3 Area yang aman (zona terbatas) harus dilindungi dengan kombinasi perangkat akses
kontrol, peralatan log akses untuk memastikan bahwa hanya orang yang berwenang
yang dapat mengakses area yang aman.
3.2.4 Pengunjung harus didampingi oleh pegawai BPJS Kesehatan saat memasuki area
yang aman.
3.2.5 Akses yang bersifat rahasia kepada fasiitas proses informasi perusahaan diluar jam
kerja harus diberikan izin khusus dan dicatat.
3.3.2 Datacenter, peralatan ruangan dan ruang telekomunikasi harus terkunci saat
sedang tidak diawasi.
3.3.3 Perangkat jaringan seperti router, switch, dan hub harus diletakkan pada zona terbatas
yang memiliki perlindungan dari akses tidak sah dan tidak berkepentingan.
3.3.4 Seluruh sumber media untuk perangkat lunak sistem operasi, aplikasi, perangkat tape
backup dan kode lisensi harus diberikan label dan disimpan pada software library
yang berada pada zona terbatas.
3.3.5 Kontrol intrusion detection (alarm tanda bahaya, dll), dan peralatan keamanan (alarm
kebakaran, smoke detector, dll) harus diletakkan di seluruh lokasi kantor, ruang
telekomunikasi dan data center.
3.4.2 Seluruh pihak ketiga harus diberikan akses terbatas saat mengakses sumber
informasi perusahaan dan aktifitas mereka harus diawasi dan dikaji secara reguler.
94
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.5.2 Bahan, perlengkapan dan peralatan yang masuk dan keluar lokasi perusahaan harus
diperiksa dan bila perlu dicatat sesuai dengan prosedur perusahaan.
4. Keamanan Peralatan
4.1.2 Peralatan tidak boleh dipindah lokasinya kecuali telah diizinkan oleh pemilik peralatan.
4.2.2 Peralatan yang bersifat penting harus didukung oleh Uninterruptible Power Supply (UPS).
4.2.4 Sumber daya listrik cadangan termasuk UPS, pembangkit listrik cadangan, dll harus
dilakukan pemeliharaan dan pengujian secara berkala.
4.3.2 Semua kabel listrik harus dipasang dan dipelihara sesuai dengan ketentuan yang
ditetapkan oleh perusahaan penyedia listrik.
4.3.3 Jalur kabel data harus terlindungi dari intersepsi dan harus dipasang secara terpisah
dari kabel listrik, untuk menghindari terjadinya induksi.
4.3.4 Semua kabel data harus diberi label, dan instalasi jalur kabel harus didokumentasikan.
4.4.6 Pemeliharaan peralatan hanya boleh dilakukan oleh personil yang berwenang.
4.4.7 Pemeliharaan peralatan harus menjaga kerahasiaan informasi yang terdapat didalam
peralatan tersebut. Apabila peralatan harus dikirim keluar lokasi BPJS Kesehatan,
maka data storage didalamanya harus dilepas dari posisinya
95
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk memastikan bahwa informasi milik BPJS Kesehatan
yang disimpan pada peralatan dan media dapat dihapus atau dimusnahkan secara aman.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
Seluruh data dan perangkat lunak yang terlisensi yang tersimpan pada media penyimpanan
mobile (misalnya pada CD, DCD, USB Flash Drive, Kartu Memori, dll; juga pada kertas) dan pada
seluruh peralatan yang mengandung media penyimpanan (misalnya pada komputer, telepon
genggam, dll) harus dihapus atau dihancurkan sebelum dibuang atau digunakan kembali.
96
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.1. Peralatan
Bidang yang membawahi fungsi Manajemen Aset TI bertanggung jawab untuk memeriksa
dan menghapus data dari peralatan. Berdasarkan Petunjuk Klasifikasi Informasi, data harus
dihapus dengan beberapa cara, seperti Format, hingga Secure Erase. Namun jika proses
penghapusan tersebut kurang cukup aman berdasarkan sensifitas data, maka media
penyimpanan harus dimusnahkan.
Bidang Manajemen Aset TI bertanggung jawab untuk memeriksa dan menghapus data
dari peralatan. Berdasarkan Petunjuk Klasifikasi Informasi, data harus dihapus dengan
beberapa cara, seperti Factory Reset, hingga Secure Erase. Namun jika proses penghapusan
tersebut kurang cukup aman berdasarkan sensifitas data, maka media penyimpanan harus
dimusnahkan.
Dokumen surat-surat, laporan-laporan internal, data peserta serta atau badan usaha, dan
dokumen lainnya yang penggunaannya tidak untuk pihak eksternal harus disimpan dalam
tempat penyimpanan yang aman. Dalam kondisi tertentu jika dokumen rahasia tersebut
ingin dibuang, maka terlebih dahulu harus dimusnahkan dengan menggunakan mesin
penghancur kertas.
Seluruh Informasi yang diklasifikasikan sebagai “Rahasia” dan “PII/Regulasi” harus dihapus/
dimusnahkan dan diketahui oleh pihak yang berwenang untuk mengakses informasi yang
bersangkutan.
97
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk memastikan bahwa salinan data backup milik BPJS
Kesehatan dibuat pada rentang waktu yang telah ditentukan dan diuji secara berkala.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
3. Backup
3.1.2 Backup data wajib dilakukan pada media yang terpisah dari media utama yang
dipakai untuk operasional.
3.1.3 Backup yang berisi data rahasia termasuk namun tidak terbatas pada master file,
data pribadi pegawai, data gaji, data pelayanan kesehatan perorangan, dan hasil audit
internal yang disimpan pada media portabel harus dilindungi dan dienkripsi sesuai
Petunjuk Teknis Pengamanan Data Elektronik.
98
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.2.2 Setiap hasil backup data harus diuji setidaknya sekali setiap tiga bulan dengan
menerapkan data dan mengembalikan proses di perangkat dimana data restore
dilakukan, dan memeriksa bahwa semua data telah berhasil dikembalikan. Untuk
restore data pada database utama. Proses testing restore dilakukan bersamaan
dengan proses restore data secondary (DRC)
99
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk mendefinisikan bagaimana perubahan dari Sistem
Informasi milik BPJS Kesehatan dikontrol.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
3. Manajemen Perubahan
Setiap perubahan yang dilakukan pada sistem operasional atau sistem production harus
dilakukan dengan cara berikut:
1. Perubahan dapat diajukan oleh seluruh Asisten Deputi Bidang di lingkungan Direktorat TI
2. Perubahan harus disahkan oleh seluruh Deputi Direksi Bidang di lingkungan Direktorat TI,
yang wajib memberikan penilaian pertimbangan untuk bisnis dan potensi dampak negatif
keamanan
3. Perubahan harus diimplementasikan oleh Asisten Deputi Bidang yang membawahi
fungsi Pengembangan Aplikasi
4. Versioning Aplikasi mengacu pada Panduan Pengelolaan Pengembangan Sistem
Informasi
100
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
5. Asisten Deputi Bidang yang membawahi fungsi Quality Control Sistem Informasi
bertanggung jawab untuk memeriksa bahwa perubahan yang dilakukan telah memenuhi
standar
6. Asisten Deputi Bidang yang membawahi fungsi Quality Control Sistem Informasi bertanggung
jawab untuk menguji dan memeriksa stabilitas sistem. Sistem tidak boleh diletakkan
kedalam sistem production sebelum pengujian secara keseluruhan benar-benar
dilakukan.
7. Implementasi perubahan harus dilaporkan kepada seluruh Deputi Direksi Bidang di
lingkungan Direktorat TI
8. Standar konfigurasi server dan perangkat jaringan mengacu pada benchmark yang
dikeluarkan oleh Center of Internet Security (CIS), sedangkan untuk perangkat lainnya
mengacu pada konfigurasi yang direkomendasikan oleh masing-masing vendor.
9. Mempertimbangkan perubahan terhadap (namun tidak terbatas kepada) organisasi,
bisnis proses, fasilitas pemrosesan informasi dan tren teknologi informasi untuk perubahan
yang bersifat terencana dan perubahan yang bersifat emergency.
101
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menjamin Keamanan Informasi dan perangkat lunak
saat dipertukarkan didalam atau diliuar organisasi BPJS Kesehatan.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
Pertukaran informasi milik BPJS Kesehatan dapat melalui beberapa jalur komunikasi
elektronik yaitu e-mail, mengunduh file dari internet, memindahkan data melalui jaringan
Intranet, melalui web application, telepon, mesin fax, media portable.
Sistem Log dari email server harus diaktifkan dan disimpan dengan masa waktu retensi
tertentu sesuai dengan kebutuhan.
Perlindungan terhadap risiko modifikasi, denial of service, dan akses oleh pihak yang tidak
berwenang kedalam sistem email.
102
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tidak diperkenankan untuk melakukan forwarding dari email perusahaan ke email pribadi.
Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI menentukan jalur
komunikasi yang dapat digunakan berdasarkan tipe informasi sesuai dengan Petunjuk
Klasifikasi Informasi, dan pembatasan izin akses untuk menggunakan jalur komunikasi.
Pihak eksternal yang dimaksud adalah termasuk beberapa penyedia layanan, perusahaan
jasa pemeliharaan perangkat keras dan lunak, perusahaan yang menangani trasaksi atau
pengolahan data, klien, dll.
Sebelum bertukar informasi dan/atau perangkat lunak dengan pihak eksternal, sebuah
perjanjian harus ditandatangani, yang merupakan tanggung jawab masing-masing Asisten
Deputi Bidang di lingkungan Direktorat TI yang terkait. Perjanjian tersebut dapat berupa
kertas atau elektronik dan harus berisi klausul yang sesuai dengan risk assessment,
termasuk setidaknya metode identifikasi dari pihak lain, otorisasi untuk mengakses
informasi, memastikan tidak ada penolakan, standar teknis untuk transfer data, respon
insiden, pelabelan dan penanganan informasi sensitif, dan hak cipta.
Pertukaran informasi baik pengiriman atau penerimaan yang dilakukan dengan pihak
eksternal harus dapat ditelusuri dan memenuhi persyaratan non-repudiation.
Pengamanan pertukaran informasi dari risiko intersepsi, modifikasi, dan misrouting kepada
penerima yang salah.
Pemberian awareness kepada semua pegawai untuk bertanggung jawab dalam bertukar
informasi dengan pihak eksternal sehingga tidak menyebabkan kebocoran informasi atau
pencemaran nama baik yang dimiliki BPJS Kesehatan.
Perjanjian dengan pihak eksternal harus disusun sesuai dengan Petunjuk Keamanan Pemasok.
103
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dokumen ini adalah untuk membantu serta memberikan petunjuk bagi tentang
pengembangan perangkat lunak dan sistem aplikasi yang aman. Dokumen ini mencakup
tata cara pengembangkan sistem aplikasi BPJS Kesehatan mula dari usulan, perubahan bisnis
proses, kajian risiko, pengembangan aplikasi, pengujian, instalasi dan sosialisasi penggunaan
aplikasi.
Dokumen ini diterapkan pada pengembangan dan pemeliharaan semua layanan, arsitektur,
perangkat lunak dan sistem yang merupakan bagian dari Sistem Manajemen Keamanan
Informasi.
Pengguna dokumen ini adalah semua pegawai yang bekerja dalam pengembangan dan
pemeliharaan sistem aplikasi BPJS Kesehatan.
2. Dokumen referensi
• Standard ISO/IEC 27001, klausul A.14.1.2, A.14.1.3, A.14.2.1, A.14.2.2, A.14.2.5, A.14.2.6,
A.14.2.7, A.14.2.8, A.14.2.9, A.14.3.1
• Petunjuk Teknis Secure Coding
• Petunjuk Keamanan Pemasok
• Petunjuk Manajemen Perubahan
3.2 Spesifikasi seluruh perangkat lunak yang dikembangkan baik oleh Direktorat TI BPJS
Kesehatan sendiri atau oleh mitra dan dimaksudkan untuk mengolah informasi yang
penting, berharga, atau rawan, harus didokumentasikan secara formal.
3.3 Spesifikasi sebagaimana dimaksud di atas harus disetujui baik oleh penanggung
104
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
jawab sumber daya TIK maupun oleh pengembang sistemnya sebelum kegiatan
penulisan program dimulai.
3.4 Perangkat lunak open source diizinkan untuk digunakan di Direktorat TI BPJS
Kesehatan seperti halnya perangkat lunak komersial. Sebelum digunakan, baik
perangkat lunak komersial maupun perangkat lunak open source harus dipastikan
memenuhi persyaratan keamanan informasi yang berlaku.
3.5 Situs perusahaan yang disediakan bagi publik harus dilindungi dari perubahan atau
modifikasi secara tidak berwenang. Kandungan informasi yang disediakan bagi publik
harus diotorisasi oleh unit kerja yang berwenang.
3.6 Seluruh transaksi dalam aplikasi dilindungi dengan menerapkan sertifikat SSL
4.1 Password user harus dilindungi dari eksploitasi jika seandainya penyerang berhasil
mengakses database. Untuk mencegah Dictionary Attack maka minimal
algoritma hashing yang digunakan untuk penyimpanan password di database harus
menggunakan Salt yang dihasilkan secara acak (Secure Salted Passwod Hashing).
4.2 Seluruh modul registrasi user dan perubahan password harus mewajibkan user
memasukkan password yang memuat kombinasi sesuai ketentuan.
4.3 Seluruh aktifitas pengguna aplikasi harus bisa direkam dan dilacak.
4.4 Aplikasi harus dapat memastikan akun pengguna hanya memiliki satu login session.
Tidak diperkenankan menggunakan akun yang sama untuk login di lebih dari satu
perangkat pada saat yang bersamaan.
4.5 Untuk mencegah bruteforce attack pada user dan password, seluruh aplikasi web wajib
menggunakan mekanisme challenge response authentication antara lain CAPTCHA
jika terjadi 3 kali kesalahan login secara berturut-turut.
4.6 Untuk mempersulit aktifitas Reverse Engineering terhadap aplikasi-aplikasi milik BPJS
Kesehatan, seluruh aplikasi standalone wajib diproteksi dengan menggunakan code
obfuscator.
4.7 Untuk mencegah tersebarnya koneksi ke data center sebagai akibat dari aktifitas
Reverse Engineering pada aplikasi standalone, maka seluruh aplikasi standalone tidak
boleh menyimpan connection string ke server database yang berada di Data Center.
Komunikasi ke server database harus melalui web service.
105
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
4.9 Proses Quality Control harus memastikan aplikasi telah melalui pengecekan celah
keamanan menggunakan software Vulnerability Scanner. Aplikasi yang terdeteksi
memiliki celah keamanan level High, harus ditolak dan dikembalikan ke developer
untuk diperbaiki.
4.10 Pengembangan aplikasi yang dilakukan di Kedeputian Wilayah, Kantor Cabang atau
unit kerja lain di luar Kedeputian Bidang Pengembangan Sistem Informasi, harus
diberitahukan kepada Bidang Keamanan Informasi TI. Bidang Keamanan Informasi
TI berhak untuk melarang penggunaan aplikasi tersebut jika ditemukan adanya celah
keamanan yang berpotensi mengancam keamanan data BPJS Kesehatan.
4.11 Jika dalam pengembangan aplikasi terdapat penggunaan layanan milik pihak ketiga
seperti web service, Application Programming Interface, Software Development Kit,
Library atau bentuk lainnya,maka programmer harus patuh terhadap ketentuan yang
diatur dalam Terms of Service (TOS), End User License Agreement (EULA) atau bentuk
lisensi lain yang disyaratkan oleh pemilik layanan tersebut.
4.12 Dalam setiap pengembangan sistem informasi yang memiliki modul login, harus
memiliki mekanisme otomatis yang mewajibkan pengguna mengganti password awal, dan
harus memiliki fasilitas yang memungkinkan pengguna mengganti password sendiri.
5.1 Sistem aplikasi harus dilengkapi dengan proses validasi input sesuai keperluan,
untuk memastikan kebenaran data yang diinput. Contoh validasi input yang dapat
dilakukan adalah (namun tidak terbatas pada) sebagai berikut:
• Tipe data (string, integer, real, dsb) yang diperbolehkan.
• Jenis karakter yang diperbolehkan (numerik atau karakter)
106
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
5.2 Seluruh inputan dan output harus disanitasi sehingga meminimalisir adanya
serangan berbasis injeksi seperti SQL Injection dan XSS.
5.3 Untuk meminimalkan risiko terjadinya kesalahan pemrosesan data, dapat dilakukan
pengendalian antara lain sebagai berikut:
• Mencegah berjalannya proses dalam urutan yang salah, menghentikan rangkaian
pemrosesan bila terdapat kegagalan pada suatu tahapan proses. Pengendalian
ini terutama berlaku pada proses batch.
• Terdapat panduan untuk melanjutkan kembali pemrosesan data (re-run) setelah
terjadi kegagalan pemrosesan.
• Batch total (contoh summary totals dan grand totals).
• Control totals (mis. pembandingan jumlah records yang berhasil diproses dan
jumlah yang gagal diproses dengan jumlah total input records).
• Penggunaan Hash Total.
• Balancing controls (mis. closing balance harus sama dengan opening balance
plus/minus transaksi/mutasi yang terjadi).
5.4 Apabila dibutuhkan atau diwajibkan adanya perlindungan untuk menjaga keaslian
pesan (message integrity) pada aplikasi tertentu, agar digunakan teknik kriptografi
untuk menjaga keaslian pesan tersebut. Lihat Petunjuk Kriptografi.
5.5 Sistem aplikasi harus menyediakan sarana seperti report agar user dapat melakukan
rekonsiliasi untuk memastikan kebenaran dan kelengkapan data yang sudah diproses.
5.8 Jika sistem operasi berubah, maka aplikasi harus dievaluasi dan diuji lagi untuk
menjamin bahwa keutuhan sistemnya tidak terganggu.
107
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
5.9 Perubahan dalam pengembangan sistem dan selama pemeliharaan sistem harus
dilakukan sesuai dengan Petunjuk Manajemen Perubahan.
5.10 Perubahan-perubahan terhadap perangkat lunak yang diperoleh dari mitra kerja akan
dikelola berdasarkan kontrak perjanjian dengan mitra kerja tersebut.
5.11 Setiap paket perangkat lunak yang dikembangkan oleh pihak eksternal baik mitra atau
pihak eksternal lainnya, yang digunakan dalam sistem informasi milik Direktorat TI
BPJS Kesehatan, harus bebas dari mekanisme deaktivasi (pemberhentian operasi/
layanan atau penonaktifan) yang dapat dipicu oleh mitra atau pihak eksternal lainnya
tanpa sepengetahuan Direktorat TI BPJS Kesehatan.
5.14 BPJS Kesehatan mengawasi dan memantau pengembangan perangkat lunak yang
dilakukan oleh pihak mitra kerja untuk memastikan bahwa proses pengembangannya
memenuhi syarat-syarat keamanan informasi yang ditetapkan dalam kontrak.
5.15 Data yang digunakan dalam pengujian sistem (system test data) harus dilindungi dari
kemungkinan rusak, hilang, atau perubahan yang dilakukan tanpa ijin.
5.16 Akses terhadap program source library harus dikendalikan secara ketat untuk
mengurangi kemungkinan rusak, baik secara sengaja maupun tidak.
5.17 Data rahasia, serta data yang dapat berhubungan dengan individu tidak boleh
digunakan sebagai data uji. Pengecualian dapat disetujui hanya oleh Deputi Direksi
Bidang Pengembangan Sistem Informasi, dalam hal ini Asisten Deputi Bidang
Pengembangan Aplikasi dan Middleware harus menentukan bagaimana data uji
tersebut dilindungi.
6.1 Akses terhadap arsip-arsip pendukung kinerja sistem (system files) dibatasi
hanya bagi pegawai Direktorat TI BPJS Kesehatan yang bertanggung jawab dalam
pengelolaan server.
6.2 Proses pemutakhiran (update) perangkat lunak operasional hanya boleh dilakukan
oleh pegawai yang berwenang melalui mekanisme pengelolaan perubahan.
108
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
6.3 Proses pemutakhiran sebagaimana dimaksud di atas tidak boleh dilakukan sebelum
pengujiannya dinyatakan selesai dan berhasil serta mendapatkan persetujuan dari
penanggung jawab sistem tersebut melalui proses pengelolaan rilis (release).
6.4 Catatan kejadian dan perlakuan terhadap sistem (audit log) selama proses
pemutakhiran sebagaimana dimaksud di atas harus disimpan dan dirawat dengan
baik.
6.5 Salinan versi terkini dari perangkat lunak yang akan dimutakhirkan harus disimpan di
tempat yang aman sebagai antisipasi terhadap keadaan yang tidak dikehendaki.
109
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dokumen ini adalah untuk menentukan tugas dan tanggung jawab pemasok dan
pihak ketiga terhadap keamanan informasi di Direktorat TI BPJS Kesehatan.
Dokumen ini diterapkan pada semua pemasok dan pihak ketiga yang berpengarauh dan
mempunyai dampak terhadap kerahasiaan, keutuhan dan ketersediaan informasi yang
sensitif di Direktorat TI BPJS Kesehatan.
Pengguna dokumen ini adalah top management dan personil yang bertanggung jawab atas
pemasok dan pihak ketiga yang bekerjasama dengan Direktorat TI BPJS Kesehatan.
2. Dokumen Terkait
• Standar ISO/IEC 27001, klausul A.7.1.1, A.7.1.2, A.7.2.2, A.8.1.4, A.14.2.7, A.15.1.1, A.15.1.2,
A.15.1.3, A.15.2.1, A.15.2.2
• Metodologi Penilaian Risiko dan Penanganan Risiko
• Petunjuk Kendali Akses
• Pernyataan Menjaga Rahasia (Non Disclosure Agreement)
Risiko keamanan yang terkait dengan pemasok dan mitra kerja diidentifikasi selama proses
penilaian risiko, seperti yang didefinisikan dalam Tabel Meotodologi Penilaian Risiko dan
Penanganan Risiko. Selama penilaian risiko, penanganan khusus harus diambil untuk
mengidentifikasi risiko yang terkait dengan teknologi informasi dan komunikasi, serta risiko
yang terkait dengan rantai pasokan produk.
Asisten Deputi Bidang yang membawahi fungsi Kemanan Informasi TI harus memutuskan
apakah perlu ada tambahan penilaian risiko yang berkaitan dengan pemasok individu atau
mitra.
110
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.2.2 Sebelum memberikan akses kepada mitra, pengguna jasa layanan, departemen/
instansi lain terkait, atau pihak eksternal lainnya, Direktorat TI BPJS Kesehatan wajib
mendeteksi dan mengevaluasi resiko-resiko yang mungkin muncul sehubungan
dengan pemberian akses dan menerapkan kontrol yang memadai untuk mengurangi
dampak atau mencegah terjadinya risiko-risiko tersebut.
3.2.3.1 Jenis akses yang diperlukan seperti akses fisik ke kantor, ruang kerja, atau
ruang server, akses non fisik ke dalam jaringan, basis data dan sistem
informasi.
3.2.3.2 Alasan kebutuhan akses seperti untuk memberi dukungan perangkat keras
dan perangkat lunak, audit keamanan informasi dan pengembangan aplikasi
dan sistem informasi.
3.2.4 Pengendalian risiko pemberian akses pada pihak eksternal dilakukan antara lain
melalui klausul-klausul dalam perjanjian kontrak dan melalui Pernyataan Menjaga
Kerahasiaan (Non Disclosure Agreement), dan memastikan pihak penyedia jasa
mendapatkan awareness yang sesuai terkait pengamanan informasi.
3.3. Kontrak
3.3.1 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI bertanggung
jawab untuk memutuskan klasusa keamanan yang akan dimasukkan kedalam
kontrak dengan pemasok atau mitra kerja.
3.3.2 Dalam perjanjian kontrak dengan pemasok atau mitra keja dicantumkan antara lain:
3.3.2.2
Persetujuan untuk turut melindungi keamanan sumber daya informasi
Direktorat TI BPJS Kesehatan terkait dengan akses yang diberikan.
3.3.2.3 Jenis akses yang diberikan dan tata cara penggunaan akses tersebut.
3.3.2.5 Pembatasan lokasi dari mana akses dapat dilakukan dan waktu penggunaan
akses.
111
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
3.3.2.6 Persetujuan atas hak pantau dan pengawasan yang dilakukan Direktorat TI
BPJS Kesehatan terhadap penggunaan akses.
3.3.2.7 Setiap aset yang diberikan kepada pihak eksternal wajib dikembalikan saat
perjanjian kerja berakhir.
3.3.3 Asisten Deputi Bidang Jaringan dan Keamanan Informasi TI harus memutuskan
siapakah dari pemasok atau mitra kerja yang harus menandatangani Pernyataan
Menjaga Kerahasiaan.
3.3.4 Asisten Deputi Bidang Jaringan dan Keamanan Informasi TI harus memutuskan
siapakah yang akan menjadi pemilik dan bertanggung jawab atas kontrak untuk
setiap kontrak yang ada.
3.4.2 Setiap insiden keamanan yang terkait dengan pemasok atau mitra kerja harus
dilaporkan secepat mungkin kepada Asisten Deputi Bidang Jaringan dan Keamanan
Informasi TI.
3.5.2 Jika perlu Asisten Deputi Bidang Jaringan dan Kemanan Informasi TI akan
melakukan penilaian risiko baru sebelum perubahan kontrak diterima
3.6.2 Ketika terjadi perubahan atau penghentian kontrak, pemilik kontrak harus memastikan
semua peralatan, perangkat lunak, atau informasi dalam bentuk elektronik atau kerja
dikembalikan.
112
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Ketika menyusun perjanjian dengan pemasok atau mitra kerja, harus didefinisikan klausul
mana dari berikut ini yang akan dimasukkan dalam perjanjian.
1. Detil tentang layanan yang diberikan, menspesifikasikan informasi untuk tujuan ini dan
bagaimana informasi tersebut diklasifikasikan.
2. Jika pemasok berhak untuk merekrut sub-kontraktor; jika ya, maka pernyataan tertulis
harus didapatkan dari organisasi, dengan deskripsi kendali yang harus dipenuhi sub-
kontraktor
3. Definisi dari informasi rahasia dan aturan pertukaran rahasia
4. Durasi perjanjian dan kewajiban untuk menjaga informasi rahasia/pertukaran rahasia
setelah habis masa berlaku perjanjian (ketika menulis artikel ini, harus dipertimbangkan
bagaimana kelangsungan bisnis akan dipastikan dalam organisasi).
5. Hak organisasi untuk mengakses informasi yang disimpan atau diproses oleh pemasok/
partner.
6. Hak untuk mengaudit atau mengawasi penggunaan informasi rahasia dan untuk
mengawasi pelaksanaan perjanjian di tempat pemasok/partner, dan apakah audit dapat
dilaksanakan oleh pihak ketiga; jelaskan hak-hak auditor
7. Tindakan yang dibutuhkan setelah habis masa berlaku perjanjian (pengembalian,
pemusnahan atau penghapusan informasi rahasia, pengembalian alat, dan lain-lain.) untuk
memastikan kelangsungan bisnis dalam organisasi.
8. Identifikasi dan penggunaan kendali utama untuk memastikan perlindungan aset
organisasi-contoh kendali fisik, kendali untuk perlindungan terhadap kode berbahaya,
kendali perlindungan fisik, kendali untuk melindungi keutuhan, ketersediaan, dan
kerahasian informasi, kendali untuk memastikan pengembalian atau pemusnahan aset
informasi setelah penggunaan, kendali untuk mencegah penyalinan dan distribusi informasi.
9. Memastikan akses untuk laporan keuangan, untuk laporan oleh auditor internal dan
eksternal, dan untuk laporan lainnya yang berkaitan dengan operasi bisnis pemasok/
partner, yang bisa jadi relevan untuk organisasi.
10. Tanggung jawab dan tindakan pihak-pihak terhadap perjanjian untuk mencegah akses
terhadap perjanjian oleh orang-orang yang tidak berwenang (sebagai contoh hanya orang-
orang yang butuh untuk mengetahui yang boleh memiliki hak akses kepada informasi, dan
lain-lain).
11. Mengidentifikasi pemilik informasi dan bagaimana hak properti intelektual diatur.
12. Penggunaan informasi rahasia yang diizinkan, misalnya metode yang diberikan untuk
menangani informasi.
13. Proses untuk memberitahukan pihak lain atas perjanjian terhadap akses informasi yang
tidak sah, pelanggaran kerahasiaan atau insiden lainnya.
113
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
14. Menjelaskan waktu respon terhadap insiden dan proses eskalasi untuk pemecahan
masalah dan insiden.
15. Tindakan mengikuti dari pelanggaran perjanjian; tanggung jawab pemasok/partner untuk
transaksi yang tidak terlaksana, tidak tepat waktu atau tidak benar dan kegiatan berkontrak
lainnya.
16. Pengetahuan pemasok/partner akan kebijakan dan prosedur keamanan utama organisasi
17. Kewajiban untuk melatih pegawai pemasok/partner dalam seluruh kegiatan yang terkait
dengan mereka
18. Memastikan pemasok/partner sadar akan kebutuhan keamanan
19. Melarang pegawai organisasi untuk pindah ke pemasok/partner
20. Target tingkat pelayanan dan tingkat pelayanan yang tidak dapat diterima
21. Definisi kriteria performa layanan, pengawasan dan pelaporannya
22. Definisi yang tepat dari sistem laporan dan format laporan
23. Proses Manajemen Perubahan yang dijelaskan secara tepat
24. Sistem kendali akses – menjelaskan alasan untuk hak akses pihak ketiga, proses log-in
dan kata sandi yang diizinkan, proses otorisasi untuk akses dan alokasi hak istimewa
pengguna individu, kewajiban untuk memelihara pencatatan seluruh pengguna dan hak
aksesnya, proses untuk menghapus hak akses
25. Sebuah klausa dengan jelas menyatakan bahwa seluruh hak akses yang tidak resmi
adalah dilarang
26. Hak untuk mengawasi dan membatalkan segala kegiatan yang berhubungan dengan aset
organisasi
27. Kendali untuk memastikan kelangsungan bisnis, sesuai dengan prioritas organisasi
28. Tanggung jawab untuk kerusakan dalam kasus pelanggaran hubungan kontrak, termasuk
kewajiban materi dalam kasus pelanggaran kerahasiaan informasi atau kasus pelayanan
tanpa performa
29. Tanggung jawab pemasok/partner untuk menyimpan data sesuai dengan peraturan
30. Kondisi untuk perpanjangan atau pembatalan perjanjian
31. Bahasa dalam perjanjian dan komunikasi kedepannya antara organisasi dan pemasok/
partner
114
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk memastikan pendeteksian yang cepat terhadap
kejadian yang berkaitan dengan keamanan dan kelemahan, serta reaksi dan respon yang
cepat terhadap insiden keamanan.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset Informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terkait kontrak kerjassama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
• Standar ISO/IEC 27001, klausul A.7.2.3, A.16.1.1, A.16.1.2, A.16.1.3, A.16.1.4, A.16.1.5,
A.16.1.6, A.16.1.7
• Panduan Pengelolaan Penanganan Keluhan TI
3. Manajemen Insiden
Insiden Keamanan Informasi adalah “satu atau beberapa dari peristiwa Keamanan Informasi
yang tidak diinginkan atau tidak diharapkan yang memiliki kemungkinan menggangu
operasi bisnis dan mengancam Keamanan Informasi” (ISO/IEC 27000:2009).
115
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
116
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari prosedur ini adalah untuk memastikan pengendalian atas pembuatan,
persetujuan, distribusi penggunaan dan update dokumen dan catatan (informasi
terdokumentasi) yang digunakan dalam Sistem Manajemen Keamanan Informasi (SMKI).
Prosedur ini mencakup pengendalian terhadap seluruh dokumen dan catatan yang terkait
dengan SMKI, baik itu dokumen dan catatan dibuat di dalam Direktorat TI BPJS Kesehatan
atau diluar Direktorat TI BPJS Kesehatan. Jenis dokumen dan catatan dapat dalam bentuk
tercetak (hardcopy) maupun tidak tercetak (media elektronik/software).
Pengguna dokumen ini adalah seluruh pegawai Direktorat TI BPJS Kesehatan dalam
ruang lingkup SMKI.
2. Dokumen Referensi
117
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Semua dokumen sebelum dirilis, baik dokumen baru maupun perbaikan, harus mendapat
persetujuan dari Deputi Direksi. Diperlukan prosedur untuk mereviu terlebih dahulu oleh
individu dalam organisasi sebelum diserahkan untuk disetujui oleh pihak yang bertanggung
jawab.
Untuk mempermudah dan mampu menelusuri isi dokumen, maka dokumen asli yang sudah
tidak digunakan dengan stempel “USANG” dikendalikan dengan cara:
• Disimpan dan dikelompokkan ke dalam dokumen yang sudah tidak digunakan
• Membuat daftar dokumen yang sudah tidak digunakan
• Dijaga agar dokumen yang kadaluarsa terhindar dari kehilangan dan kerusakaan
1. Orang yang terdaftar sebagai pemilik dokumen memiliki tanggung jawab untuk
memperbarui dokumen.
2. Perubahan dokumen harus disetujui oleh pemilik dokumen. Dokumen yang dirubah
diusulkan terlebih dahulu sesuai dengan prosedur perubahan dokumen yang berlaku.
3. Perubahan dilakukan sejalan dengan jadwal yang ditetapkan untuk setiap dokumen,
namun setidaknya setahun sekali.
4. Setiap dokumen sebaiknya memiliki tabel matriks perubahan untuk merekam setiap
perubahan yang dibuat dokumen.
5. Pemakai dokumen harus memastikan bahwa dokumen yang digunakannya merupakan
perubahan yang berlaku/terakhir dan isinya sesuai dengan kebutuhan
6. Setiap personil harus selalu memastikan bahwa dokumen yang kadaluarsa tidak
digunakan sebagai acuan kerja.
Pegawai dapat mengakses catatan yang tersimpan setelah mendapatkan izin dari orang yang
ditunjuk sebagai penanggung jawab penyimpanan catatan. Jika catatan mempunyai
sensitivitas tertentu sehingga izin terhadap akses harus diperoleh dari orang yang berbeda.
Akses dan hak mengambil catatan ditentukan oleh pemilik catatan. Seluruh Asisten Deputi
Bidang/Pejabat yang berwenang bertanggung jawab untuk menghancurkan semua catatan
yang waktu retensinya berakhir.
118
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Setiap dokumen eksternal yang diperlukan untuk perencanaan dan operasi SMKI harus
dicatat dalam Daftar Surat Masuk. Daftar Surat Masuk harus berisi informasi berikut: 1) nomor
dokumen, 2) pengirim, 3) nama dokumen, 4) tanggal terima, 5) nama penerima dokumen
119
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menentukan proses identifikasi pihak yang
berkepentingan, hukum, peraturan, kontrak dan persyaratan lain yang berkaitan dengan
keamanan informasi dan kelangsungan bisnis, dan tanggung jawab untuk memenuhi
kebutuhan tersebut.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan dan seluruh pihak yang terikat kontrak kerjasama dengan Direktorat Teknologi
Informasi BPJS Kesehatan.
2. Dokumen Referensi
3.1 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI bertanggung
jawab untuk mengidentifikasi
3.1.1 semua orang atau organisasi yang dapat mempengaruhi atau dapat dipengaruhi
oleh keamanan informasi atau manajemen kelangsungan bisnis (pihak yang
berkepentingan),
3.1.2 semua undang-undang, peraturan, kontrak dan persyaratan lain yang terkait
3.2 Asisten Deputi Bidang yang membawahi fungsi Keamanan Informasi TI harus
membuat daftar semua persyaratan, pihak yang berkepentingan, dan orang yang
bertanggung jawab dalam “Daftar Undang-Undang, Peraturan, Kontrak dan Persyaratan
Lain,” dan mempublikasikan di daftar tersebut
120
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
4.1 Seluruh Asisten Deputi Bidang di lingkungan Direktorat IT bertanggung jawab untuk
meninjau Daftar Undang-Undang, Peraturan, Kontrak dan Persyaratan Lain setidaknya
setiap 6 bulan, dan perlu diperbarui. Seluruh Asisten Deputi Bidang di Direktorat IT
akan memberitahu semua pihak yang berkepentingan yang relevan pada setiap
pembaharuan.
Pelayanan Kesehatan • Perdir BPJS Kesehatan Nomor 37 Tahun Faskes (RS, Puskesmas,
2018 Tentang Rencana Strategi TI BPJS Apotek, Klinik, Dokter, Optik)
Kesehatan Tahun 2018 - 2021
121
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari prosedur ini adalah untuk menggambarkan semua kegiatan yang berkaitan
dengan inisiasi, implementasi dan menjaga catatan koreksi, serta tindakan korektif.
Prosedur ini diterapkan untuk semua kegiatan yang dilaksanakan dalam Sistem Manajemen
Keamanan Informasi (SMKI).
2. Dokumen Referensi
3. Tindakan Perbaikan
3.1. Ketidaksesuaian
122
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tindakan perbaikan dapat dimulai oleh setiap pegawai atau jika perlu oleh klien, pemasok
atau mitra kerja. Tindakan perbaikan mengharuskan perubahan dibuat untuk dokumen,
proses atau pengaturan dalam SMKI.
3.3. Implementasi
4. Mengevaluasi kebutuhan tindakan untuk Orang yang bertanggung jawab dimana area
menghilangkan ketidaksesuaian ketidaksesuaian teridentifikasi
7. Meninjau apakah tindakan yang diambil berhasil Pejabat terkait yang berwenang
menghilangkan penyebab ketidaksesuaian
8. Memberitahu semua orang agar memperhatikan Penanggung jawab pelaksanan tindakan perbaikan
bahwan tikdakan perbaikan sedang dilaksanakan yang ditunjuk oleh orang yang bertanggung jawab
123
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari prosedur ini adalah untuk menjelaskan semua kegiatan yang terkait audit —
merencanakan program audit, memilih auditor, melakukan audit individual dan pelaporan
audit internal.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan, seluruh pihak yang terikat kontrak kerjasama dan auditor internal.
2. Dokumen Acuan
3. Audit internal
3.1. Tujuan
Tujuan dari audit internal adalah untuk menentukan apakah prosedur, kendali, proses,
pengaturan dan kegiatan lainnya dalam SMKI sejalan dengan standar ISO 27001, peraturan
yang berlaku, dan dokumentasi internal organisasi, serta menentukan apakah SMKI secara
efektif telah diimplementasikan dan dipelihara dan memenuhi persyaratan kebijakan dan
sasaran yang ditetapkan.
3.2. Perencanaan
Satu atau lebih audit internal harus dilakukan dalam waktu satu tahun untuk memastikan
cakupan kumulatif dari seluruh ruang lingkup SMKI. Audit internal direncanakan berdasarkan
pada penilaian risiko, serta hasil audit sebelumnya; biasanya dilakukan sebelum reviu
manajemen.
124
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Program Internal Audit Tahunan harus berisi informasi berikut tentang setiap audit internal
individu:
• periode audit (tanggal atau bulan di mana audit direncanakan)
• ruang lingkup audit (bidang/unit kerja, proses, klausul dari standar, dll)
• kriteria audit (standar, undang-undang dan peraturan, dokumentasi internal, standar
perusahaan, dan/atau kewajiban kontraktual)
• metode audit (reviu dokumentasi, wawancara dengan pegawai, reviu catatan, reviu sistem
informasi, dll)
• siapa yang akan melakukan audit (jika ada lebih dari satu auditor, menentukan ketua tim audit)
Audit yang telah dilakukan harus dicatat dalam Program Internal Audit Tahunan.
Direktur Teknologi Informasi akan menunjuk Tim auditor internal. Internal auditor dapat
diambil dari dalam organisasi atau orang luar organisasi. Kriteria untuk menunjuk auditor
internal adalah:
• pengetahuan tentang ISO/IEC 27001
• familiar dengan teknik audit sistem manajemen
Auditor internal harus dipilih sedemikian rupa untuk menjamin objektivitas dan
ketidakberpihakan, untuk menghindari konflik kepentingan, karena auditor tidak
diperbolehkan untuk mengaudit pekerjaan mereka sendiri. Disarankan bahwa auditor
internal menyelesaikan pendidikan auditor internal sesuai dengan ISO/IEC 27001.
Orang yang bertanggung jawab untuk audit internal diidentifikasi dalam Program Internal
Audit Tahunan. Jika audit dilakukan oleh tim yang terdiri dari beberapa auditor, orang yang
bertanggung jawab untuk audit adalah Audit Team Leader.
125
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menjelaskan semua kegiatan yang terkait pelaksanaan
Rapat Tinjauan Manajemen serta hal-hal yang dibahas pada Rapat Tinjauan Manajemen.
Dokumen ini berlaku untuk pengelolaan pengamanan seluruh ruang lingkup Sistem
Manajemen Keamanan Informasi (SMKI) dan aset informasi Direktorat Teknologi Informasi
BPJS Kesehatan.
Pengguna dari dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan, seluruh pihak yang terikat kontrak kerjasama dan auditor internal.
2. Dokumen Acuan
3.1. Tujuan
Tujuan dari Pelaksanaan Rapat Tinjuan manajemen ini adalah untuk melakukan peninjauan
atas kinerja penerapan SMKI di lingkungan BPJS kesehatan dan memastikan kesesuaian,
kecukupan dan efektivitas secara berkala dan berkesinambungan.
3.2. Pelaksanaan
126
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Keluaran dari Rapat Tinjauan Manajemen harus mencakup keputusan yang berkaitan dengan
peluang perbaikan berkelanjutan dan setiap kebutuhan untuk perubahan SMKI.
127
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah untuk menentukan kendali yang sesuai untuk diterapkan
di Direktorat Teknologi Informasi BPJS Kesehatan, tujuan dari kendali ini dan bagaimana
diimplementasikan, serta untuk menyetujui risiko residual dan secara resmi menyetujui
pelaksanaan kata kendali.
Dokumen ini mencakup semua kendali yang tercantum dalam Lampiran A dari standar ISO/
IEC 27001. Kendali ini berlaku untuk seluruh ruang lingkup Sistem Manajemen Keamanan
Informasi (SMKI).
Pengguna dokumen ini adalah seluruh pegawai Direktorat Teknologi Informasi BPJS
Kesehatan yang memiliki peran dalam SMKI.
2. Dokumen Acuan
Berikut ini adalah kendali dari Lampiran A dari standar ISO/IEC 27001:
A.5.1.2 Reviu dari kebijakan untuk Setiap kebijakan yang memiliki pemilik yang
informasi Keamanan Y ditunjuk harus meninjau dokumennya secara
periodik
128
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
A.6.1.1 Informasi keamanan Peran dan Tanggung jawab untuk keamanan informasi
tanggung jawab yang tercantum dalam berbagai dokumen
Y
SMKI. Jika diperlukan, ada definisi tanggung
jawab tambahan
A.6.1.4 Kontak dengan kelompok minat Kontak dengan kelompok minat khusus
khusus Y dilakukan untuk mendapatkan update terkini
terkait Teknologi Informasi
129
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
A.7.3.1 Penghentian atau perubahan Semua perjanjian dengan pemasok dan mitra
Tanggung jawab pekerjaan berisi klausul yang tetap berlaku setelah
Y pemutusan hubungan kerja, serta Pernyataan
Menjaga Rahasia ditandatangani oleh
pegawai.
130
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
A.9.4.4 Penggunaan utilitas istimewa Hanya personil yang memiliki hak untuk
Y
Program menggunakan program utilitas istimewa
A.10 Kriptografi
A.11.1.3 Mengamankan kantor, Fasilitas yang sensitif tidak dapat diakses dari
ruangan dan fasilitas tempat-tempat umum, dan tidak terlihat ke dari
Y
luar, Panduan Proses Bisnis dan Pengelolaan
Data Center
131
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
132
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
A.12.4.2 Perlindungan informasi log Log tidak dapat dihapus tanpa permission
Y
diberikan oleh orang yang berwenang
A.12.7.1 Kendali audit sistem informasi Setiap audit direncanakan dan dikoordinasikan
Y
dengan manajemen
A.13.1.3 Pemisahan dalam jaringan Jaringan ini dipisahkan dengan cara fisik dan
Y
logis.
133
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
A.14.2.3 Kajian teknis dari Aplikasi Personil bertanggung jawab untuk meninjau
setelah Platform Operasional dan menguji semua aplikasi setelah
Y
Perubahan perubahan sistem Operasional, sebelum
mereka dimasukkan ke dalam produksi
134
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
A.17.2 Redudansi
135
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
A.18.2.1 Review independen dari [Intern Prosedur Audit], audit sertifikasi oleh
Y
Informasi keamanan lembaga sertifikasi
Karena tidak semua risiko dapat dikurangi dalam proses manajemen risiko, semua risiko
residual dengan ini diterima dengan kondisi:
1. semua risiko dengan nilai 0, 1 atau 2
2. risiko yang tidak dapat dikurangi ke tingkat tersebut di atas setelah penerapan kontrol
136
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Tujuan dari dokumen ini adalah menentukan dengan jelas batasan dari Sistem Manajemen
Keamanan Informasi (SMKI) di BPJS Kesehatan.
Dokumen ini diterapkan untuk semua dokumentasi dan kegiatan dalam Sistem Manajemen
Keamanan Informasi.
Pengguna dokumen ini adalah seluruh pegawai dan anggota tim proyek yang melaksanakan
Sistem Manajemen Keamanan Informasi pengguna informasi dan sistem informasi milik
Direktorat TI BPJS Kesehatan, baik pengguna internal maupun pengguna eksternal (vendor,
mitra), dan pihak eksternal lainnya yang melakukan akses terhadap informasi dan sistem
informasi perusahaan.
2. Dokumen Referensi
3. Definisi
Organisasi perlu menentukan batasan SMKI dalam rangka memutuskan informasi yang
ingin dilindungi. Informasi tersebut perlu dilindungi, baik itu disimpan, diproses atau
dipindahkan di dalam atau keluar dari ruang lingkup SMKI. Meskipun informasi tersedia di
luar ruang lingkup tidak berarti langkah-langkah keamanan tidak berlaku. Dengan kondisi ini,
langkah-langkah keamanan akan dialihkan ke pihak ketiga yang mengelola informasi.
Bisnis proses yang menjadi batasan dalam Sistem Manajemen Keamanan Informasi (SMKI)
Direktorat Teknologi Informasi BPJS Kesehatan adalah Penyediaan Layanan Operasional
Teknologi Informasi di Direktorat Teknologi Informasi BPJS Kesehatan yang dikelola oleh
Kedeputian Bidang:
137
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Sasaran yang hendak dicapai dalam penerapan sistem manajemen keamanan informasi
berikut ini merupakan bagian tidak terpisahkan dari Sasaran Kinerja Direktorat IT BPJS
Kesehatan. Adapun sasaran sistem manajemen keamanan informasi adalah:
Target
No Indikator Unit Pengukuran
Pencapaian
Organisasi yang terlibat dalam ruang lingkup SMKI ini adalah meliputi seluruh unit kerja
di Direktorat Teknologi Informasi BPJS Kesehatan yang terdiri dari Kedeputian Bidang
Strategi, Perencanaan dan Pengembangan Teknologi Informasi (SPPTI), Kedeputian Bidang
Operasional Teknologi Informasi (OTI) dan Kedeputian Bidang Manajemen Data dan
Informasi (MDI).
138
PEDOMAN SISTEM MANAJEMEN KEAMANAN TEKNOLOGI INFORMASI
Perluasan implementasi ruang lingkup SMKI adalah untuk unit kerja Kantor Pusat,
Kedeputian Wilayah dan Kantor Cabang BPJS Kesehatan.
Jaringan dan Infrastruktur TI yang termasuk dalam ruang lingkup SMKI adalah semua
jaringan dan infrastruktur TI di Direktorat TI BPJS Kesehatan dan yang dikelola oleh
Kedeputian Bidang Operasional Teknologi Informasi (OTI) BPJS Kesehatan.
3.6. Pengecualian
Dalam situasi tertentu pengecualian dapat diberikan terhadap hal-hal yang tidak terdapat
di ruang lingkup SMKI ini, dengan terlebih dahulu mendapat persetujuan dari Direktur
Teknologi Informasi BPJS Kesehatan.
139
Kantor Pusat
Jl. Letjen Suprapto Kav. 20 No. 14 Cempaka Putih
PO. Box 1391 / JKT, Jakarta 10510 Indonesia
Telp. +62 21 421 2938 (hunting), 424 6063
Fax. +62 21 421 2940
www.bpjs-kesehatan.go.id