PENGANTAR
Keputusan Menteri Keuangan Nomor 942/KMK.01/2019 tentang Pengelolaan Keamanan Informasi di Lingkungan K
sebagai kebijakan dalam pengelolaan keamanan informasi di lingkungan Kemenkeu yang meliputi:
a. Sistem Manajemen Keamanan Informasi (SMKI);
b. Penggunaan Akun dan kata Sandi, Surat Elektronik, Intranet dan Internet; dan
c. Penggunaan Sertifikat Elektronik.
Pengelolaan keamanan tersebut diterapkan sesuai dengan prinsip keamanan informasi yaitu untuk menjamin keters
dan kerahasiaan (confidentiality) aset informasi Kemenkeu.
Ketentuan ini merupakan pengganti dari KMK Nomor 695/KMK.01/2017 tentang Kebijakan Sistem Manajemen Keam
Kementerian Keuangan (yang dinyatakan tidak berlaku lagi)
Untuk menjamin efektivitas pelaksanaan SMKI, setiap unit yang menyelenggarakan sistem elektronik di lingkungan
tinggi harus memiliki sertifikat sistem manajemen pengamanan informasi. Dalam rangka penerapan SMKI, dibentuk
Kemenkeu, OKI Unit, dan OKI Instansi Vertikal dan/atau UPT pada Unit Eselon I.
Dalam rangka persiapan sertifikasi SNI ISO/IEC 27001:2013 perlu dilakukan penentuan kategorisasi sistem elektron
SMKI.
Sehubungan dengan hal tersebut, Inspektorat Jenderal bersama dengan Pusintek telah menyusun Kertas Kerja Pe
Kemenkeu yang dapat digunakan untuk melakukan evaluasi dan menilai kesiapan pelaksanaan sertifikasi SNI ISO
disusun dengan mengacu pada SNI ISO/IEC 27001:2013 dan KMK No. 942/KMK.01/2019 untuk ketentuan OKI.
PETUNJUK PENGGUNAAN
Dokumentasi Kertas Kerja Penilaian Mandiri Penerapan SMKI Kemenkeu ini terdiri dari 5 bagian,yaitu:
I. Pengantar: bagian ini menampilkan informasi umum terkait kertas kerja penilaian mandiri penerapan SMKI Keme
II. Ruang Lingkup: menampilkan informasi terkait ruang lingkup pelaksanaan penilaian mandiri penerapan SMKI pa
III. Ketentuan Pokok SMKI: lembar rincian penilaian ketentuan pokok SMKI yang dipetakan ke Klausul Persyaratan
ketentuan yang wajib dilaksanakan dalam rangka penerapan SMKI pada masing-masing Unit;
IV. Ketentuan Pengendalian Keamanan Informasi: lembar rincian penilaian pada bagian ketentuan pengendalian
kendali dan sasaran kendali SNI ISO/IEC 27001:2013, yang diterapkan sesuai dengan ruang lingkup pelaksanaan S
V. Ketentuan Organisasi Keamanan Informasi: lembar rincian penilaian kelengkapan struktur, tugas dan tanggu
942/KMK.01/2019 pada Bagian III huruf C); dan
VI. Matriks: menampilkan hasil penilaian mandiri penerapan SMKI pada ruang lingkup terkait.
Dalam kegiatan audit internal, dilakukan penilaian terhadap efektivitas implementasi pengendalian pada tiap persya
disertai dengan bukti penerapan kendali tersebut. Hasil penilaian dituangkan pada kolom Nilai, berupa pernyataan :
- Tidak Ada (apabila aktivitas pengendalian belum diimplementasikan);
- Belum Memenuhi (diterapkan sebagian atau telah ada usaha untuk mengimplementasikan pengendalian namun b
- Memenuhi (apabila pengendalian telah diimplementasikan secara efektif); atau
- #NA (apabila aktivitas pengendalian tidak releven untuk diimplementasikan, atau dikecualikan karena diluar ruang
Pada kolom Data Dukung telah diberikan contoh referensi dokumentasi yang dapat menjadi atribut efektivitas imple
DISCLAIMER
Kertas Kerja Penilaian Mandiri Penerapan SMKI Kemenkeu yang dikembangkan saat ini adalah versi 1.4.
Kertas Kerja Penilaian Mandiri Penerapan SMKI ini dikembangkan untuk dimanfaatkan di lingkungan internal Kem
persyaratan dan kendali yang diidentifikasi pada perangkat ini tidak menjamin bahwa organisasi akan terbebas dari
bahwa risiko yang ada dan diketahui dapat dimitigasi sampai di tingkat yang dapat diterima oleh organisasi.
Kertas Kerja Penilaian Mandiri Penerapan SMKI ini akan dievaluasi dan disesuaikan, untuk dapat menjamin bahw
SMKI dapat memberikan nilai tambah bagi peningkatan pengelolaan keamanan informasi di lingkungan Kemenkeu.
melalui email audit-ti@kemenkeu.go.id.
RUANG LINGKUP SMKI
Unit Eselon I :
Ruang Lingkup SMKI :
Periode Penerapan SMKI :
Pelaksanaan Evaluasi SMKI :
P SMKI
xxxx
Aplikasi xxxx
2020
xx xxx 2020
Tabel 1
Klausul Persyaratan SMKI (Main Clause SNI ISO
2) persyaratan pihak-pihak yang berkepentingan pada angka 1) yang terkait dengan keamanan
informasi.
c Penentuan ruang lingkup SMKI
Sasaran: ruang lingkup dan batasan SMKI terdefinisi dengan jelas.
Organisasi harus menentukan batasan dan penerapan SMKI untuk menetapkan ruang lingkup SMKI. Pada saat
mempertimbangkan:
2) persyaratan pihak-pihak yang berkepentingan yang ada pada klausul 1b; dan
3) hubungan dan saling ketergantungan antar aktivitas yang dilakukan organisasi dan aktivitas yang dilakukan
4) ruang lingkup SMKI harus tersedia dalam bentuk informasi yang terdokumentasikan
2 Kepemimpinan
Sasaran: penerapan SMKI didukung oleh komitmen dan kebijakan dari manajemen puncak.
1) memastikan bahwa kebijakan dan sasaran keamanan informasi telah ditetapkan dan selaras dengan araha
4) mengkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan upaya pemenuhan persy
6) memberikan arahan dan dukungan agar seluruh personel agar dapat berkontribusi terhadap efektivitas SMK
8) memberikan dukungan kepada para pimpinan di berbagai level untuk mengoptimalkan kepemimpinannya s
tanggung jawab masing-masing.
b Kebijakan
Sasaran: untuk memastikan bahwa kebijakan yang ditetapkan:
1) sesuai dengan sasaran organisasi;
2) mencakup sasaran keamanan informasi (butir 6.2 dokumen SNI ISO/IEC 27001:2013) atau menyediakan kera
3) mencakup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan keamanan informasi; dan
4) mencakup komitmen untuk peningkatan berkesinambungan.
3 Perencanaan
Sasaran: perencanaan SMKI yang dibuat mempertimbangkan isu yang mengacu kepada pemahaman organisasi dan
dan menentukan risiko dan peluang yang perlu ditangani.
a Tindakan untuk menangani risiko dan peluang
1) Umum
Sasaran: Perencanaan SMKI dibuat agar dapat:
a) memastikan bahwa SMKI dapat mencapai hasil yang dimaksud;
b) mencegah atau mengurangi efek yang tidak diinginkan; dan
c) mencapai peningkatan berkesinambungan.
2) Pada saat merencanakan SMKI, organisasi harus mempertimbangkan isu-isu yang dimaksud dalam klausu
diperlukan untuk:
a) memastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
b) bagaimana untuk:
i mengintegrasikan dan mengimplementasikan tindakan tersebut ke dalam proses SMKI; dan
[B]
ii memastikan bahwa hasil (result) penilaian risiko keamanan informasi sifatnya konsisten, valid, da
dengan hasil-hasil penilaian sebelumnya;
[B]
[B]
[C]
[B]
b) organisasi harus memelihara dokumentasi informasi terkait dengan proses penilaian risiko
keamanan informasi.
a) organisasi harus mendefinisikan dan menerapkan proses penanganan risiko keamanan informasi deng
i memilih tindakan penanganan risiko yang tepat sesuai dengan hasil penilaian risiko;
iv menyusun Statement of Applicability yang memuat kendali yang diperlukan pada klausul 5)a)ii) d
justifikasi atas kendali dalam Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013) yang dipi
dipilih;
vi mendapatkan persetujuan dari pemilik risiko atas rencana penanganan risiko keamanan informas
atas risiko residu (residual risk).
1) Organisasi harus menyusun dan menetapkan sasaran keamanan informasi sesuai dengan fungsi dan level
a) konsisten dengan kebijakan keamanan informasi;
c) memperhatikan persyaratan keamanan informasi serta hasil dari penilaian dan penanganan
risiko;
d) dikomunikasikan dengan baik di internal organisasi; dan
2) Organisasi harus memelihara dokumentasi informasi yang terkait dengan sasaran keamanan informasi.
3) Pada saat merencanakan bagaimana untuk mencapai sasaran keamanan informasi, organisasi harus mene
a) apa yang akan dilakukan;
b) sumber daya apa saja yang akan diperlukan;
4 Dukungan
Sasaran: untuk memastikan bahwa SMKI yang diterapkan didukung oleh sumber daya, kompetensi, kesadaran, komu
a Sumber daya
Sasaran: tersedianya sumber daya yang diperlukan untuk membentuk, menerapkan, memelihara, dan melakuka
organisasi harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk penetapan, penerapan, pe
perbaikan berkelanjutan terhadap SMKI.
b Kompetensi
Sasaran: organisasi dapat diisi dengan pegawai yang memiliki kompetensi yang sesuai terkait keamanan informa
1) menentukan kompetensi pegawai yang dibutuhkan untuk dapat menjalankan kendali guna mencapai kinerja
informasi;
2) memastikan pegawai tersebut memiliki kompetensi yang memadai yang dapat diperoleh melalui pendidikan
pengalaman;
3) apabila memungkinkan, melakukan upaya pemenuhan kompetensi yang diperlukan dan mengevaluasi efek
telah dilakukan tersebut; dan
c Kesadaran (awareness)
Sasaran: untuk memastikan kesadaran dari setiap personel dalam organisasi terkait keamanan informasi. Seluru
berikut:
1) kebijakan keamanan informasi;
2) kontribusinya terhadap efektivitas SMKI dan manfaat dari peningkatan kinerja keamanan infrormasi; dan
d Komunikasi
Sasaran: untuk memastikan bahwa komunikasi yang dilakukan sesuai dengan standar dan kebijakan SMKI. Org
dengan SMKI dengan cakupan:
e Informasi terdokumentasi
1) Umum
Sasaran: Aset informasi organisasi dapat terdokumentasi sesuai dengan standar internasional ISO/IEC 270
a) dokumentasi informasi yang disyaratkan dalam SNI ISO/IEC 27001:2013; dan
b) dokumentasi informasi yang ditentukan oleh organisasi yang dibutuhkan dalam rangka meningkatkan
b) format (contoh: bahasa, versi perangkat lunak dan grafik) dan media (contoh: kertas atau
elektronik); dan
c) dokumentasi informasi yang diperlukan dalam SMKI dan disyaratkan dalam SNI ISO/IEC 27001:2013
i dokumentasi tersebut tersedia dan dapat digunakan pada saat diperlukan, di manapun dan kapa
ii dokumentasi tersebut dilindungi secara memadai (contoh: dari kemungkinan kebocoran kerahasi
atau tidak utuh lagi);
2) Organisasi juga harus mengimplementasikan rencana untuk mencapai sasaran keamanan informasi sebag
dalam klausul 3b.
3) Organisasi harus memelihara dokumentasi informasi yang terkait untuk dapat meyakinkan bahwa proses op
dijalankan sesuai dengan rencana.
4) Organisasi harus mengendalikan perubahan yang direncanakan, dan me-review konsekuensi dari perubaha
terencana, serta melakukan tindakan yang diperlukan untuk memitigasi setiap dampak yang muncul.
5) Organisasi harus memastikan proses yang di-outsource harus ditentukan (determined) dan dikendalikan de
4) Organisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamana
2) Organisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamana
6 Evaluasi kinerja
Sasaran: SMKI yang diterapkan dapat berjalan dengan efektif dan sesuai dengan persyaratan SNI ISO/IEC 27001:20
a Pemantauan, pengukuran, analisis dan evaluasi
Sasaran: SMKI yang telah diterapkan dapat berjalan dengan efektif.
1) Organisasi harus melakukan evaluasi atas kinerja keamanan informasi dan efektivitas SMKI.
b) metode pemantauan, pengukuran, analisis dan evaluasi untuk memastikan validitas hasil;
e) kapan hasil pemantauan dan pengukuran harus dianalisis dan dievaluasi; dan
f) siapa yang harus melakukan analisis dan evaluasi atas hasil tersebut.
3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai
3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai bukti atas hasil pemantauan d
b Audit internal
Sasaran: SMKI yang diterapkan:
1) sudah sesuai dengan persyaratan organisasi itu sendiri terkait dengan sistem manajemen keamanan inform
2) telah efektif diterapkan dan dipelihara.
3) Organisasi harus melakukan audit internal secara berkala terhadap SMKI untuk memastikan hal-hal berikut
a) penerapan SMKI memenuhi:
i persyaratan internal organisasi terhadap SMKI;
c) Organisasi harus:
i merencanakan, menetapkan, melaksanakan dan memelihara suatu program audit yang mencaku
pelaksanaan, metode, tanggung jawab, kebutuhan perencanaan dan pelaporan. Program audit h
ii mempertimbangkan nilai
mendefinisikan kriteria penting
audit dari proses
dan ruang yang
lingkup daridiaudit dan hasil dari audit sebelumnya;
tiap audit;
iii memilih auditor dan melaksanakan audit dengan meyakinkan proses audit dilakukan
secara objektif dan menyeluruh;
iv memastikan hasil audit dilaporkan kepada pimpinan yang terkait; dan
v memelihara dokumentasi informasi sebagai bukti hasil audit dan program audit.
b) perubahan atas isu-isu internal dan eksternal yang terkait dengan SMKI;
2) Output dari tinjauan manajemen harus mencakup keputusan yang terkait dengan peluang
perbaikan berkelanjutan dan kebutuhan perubahan terhadap SMKI.
3) Organisasi harus memelihara dokumentasi informasi sebagai bukti hasil tinjauan manajemen
7 Perbaikan (improvement)
Sasaran: SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya.
ii menangani konsekuensinya;
b) mengevaluasi kebutuhan tindakan untuk menghilangkan penyebab dari ketidakpatuhan agar tidak teru
i meninjau ketidakpatuhan;
iii menentukan apakah terdapat ketidakpatuhan yang serupa atau potensi keterjadian ketidakpatuha
b Perbaikan berkelanjutan
Sasaran: SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya secara be
Organisasi harus secara berkelanjutan meningkatkan kesesuaian, kecukupan, dan efektivitas SMKI.
Tabel 1
Klausul Persyaratan SMKI (Main Clause SNI ISO/IEC 27001:2013)
syaratan pihak-pihak yang berkepentingan pada angka 1) yang terkait dengan keamanan
rmasi.
an ruang lingkup SMKI
ruang lingkup dan batasan SMKI terdefinisi dengan jelas.
asi harus menentukan batasan dan penerapan SMKI untuk menetapkan ruang lingkup SMKI. Pada saat menentukan batasan dan ruang
imbangkan:
syaratan pihak-pihak yang berkepentingan yang ada pada klausul 1b; dan
ungan dan saling ketergantungan antar aktivitas yang dilakukan organisasi dan aktivitas yang dilakukan oleh pihak lain.
n
erapan SMKI didukung oleh komitmen dan kebijakan dari manajemen puncak.
mastikan bahwa kebijakan dan sasaran keamanan informasi telah ditetapkan dan selaras dengan arahan strategis organisasi;
ngkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan upaya pemenuhan persyaratan SMKI;
mberikan arahan dan dukungan agar seluruh personel agar dapat berkontribusi terhadap efektivitas SMKI;
mberikan dukungan kepada para pimpinan di berbagai level untuk mengoptimalkan kepemimpinannya sesuai dengan lingkup
ggung jawab masing-masing.
n
untuk memastikan bahwa kebijakan yang ditetapkan:
i dengan sasaran organisasi;
akup sasaran keamanan informasi (butir 6.2 dokumen SNI ISO/IEC 27001:2013) atau menyediakan kerangka kerja untuk menetapkan s
akup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan keamanan informasi; dan
akup komitmen untuk peningkatan berkesinambungan.
ncanaan SMKI yang dibuat mempertimbangkan isu yang mengacu kepada pemahaman organisasi dan konteksnya, pemahaman hara
kan risiko dan peluang yang perlu ditangani.
n untuk menangani risiko dan peluang
um
aran: Perencanaan SMKI dibuat agar dapat:
memastikan bahwa SMKI dapat mencapai hasil yang dimaksud;
mencegah atau mengurangi efek yang tidak diinginkan; dan
mencapai peningkatan berkesinambungan.
da saat merencanakan SMKI, organisasi harus mempertimbangkan isu-isu yang dimaksud dalam klausul 1a. dan persyaratan dalam kla
erlukan untuk:
memastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
bagaimana untuk:
mengintegrasikan dan mengimplementasikan tindakan tersebut ke dalam proses SMKI; dan
memastikan bahwa hasil (result) penilaian risiko keamanan informasi sifatnya konsisten, valid, dan dapat dibandingkan
dengan hasil-hasil penilaian sebelumnya;
organisasi harus memelihara dokumentasi informasi terkait dengan proses penilaian risiko
keamanan informasi.
organisasi harus mendefinisikan dan menerapkan proses penanganan risiko keamanan informasi dengan cakupan berikut:
memilih tindakan penanganan risiko yang tepat sesuai dengan hasil penilaian risiko;
menentukan seluruh kendali yang diperlukan untuk mengimplementasikan tindakan penanganan risiko yang dipilih;
membandingkan kendali yang ditentukan pada klausul 5)a)ii) dengan Kendali SNI ISO 27001 (Annex SNI ISO/IEC
27001:2013) dan memastikan tidak ada kendali penting yang diabaikan;
menyusun Statement of Applicability yang memuat kendali yang diperlukan pada klausul 5)a)ii) dan 5)a)iii) dan
justifikasi atas kendali dalam Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013) yang dipilih maupun yang tidak
dipilih;
mendapatkan persetujuan dari pemilik risiko atas rencana penanganan risiko keamanan informasi dan penerimaan
atas risiko residu (residual risk).
anisasi harus menyusun dan menetapkan sasaran keamanan informasi sesuai dengan fungsi dan level dalam organisasi. Sasaran kea
konsisten dengan kebijakan keamanan informasi;
memperhatikan persyaratan keamanan informasi serta hasil dari penilaian dan penanganan
risiko;
dikomunikasikan dengan baik di internal organisasi; dan
anisasi harus memelihara dokumentasi informasi yang terkait dengan sasaran keamanan informasi.
da saat merencanakan bagaimana untuk mencapai sasaran keamanan informasi, organisasi harus menentukan:
apa yang akan dilakukan;
sumber daya apa saja yang akan diperlukan;
k memastikan bahwa SMKI yang diterapkan didukung oleh sumber daya, kompetensi, kesadaran, komunikasi, dan dokumentasi inform
daya
tersedianya sumber daya yang diperlukan untuk membentuk, menerapkan, memelihara, dan melakukan peningkatan berkesinambung
si harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk penetapan, penerapan, pemeliharaan, dan
n berkelanjutan terhadap SMKI.
nsi
organisasi dapat diisi dengan pegawai yang memiliki kompetensi yang sesuai terkait keamanan informasi. Organisasi harus:
nentukan kompetensi pegawai yang dibutuhkan untuk dapat menjalankan kendali guna mencapai kinerja keamanan
rmasi;
mastikan pegawai tersebut memiliki kompetensi yang memadai yang dapat diperoleh melalui pendidikan, pelatihan dan
galaman;
bila memungkinkan, melakukan upaya pemenuhan kompetensi yang diperlukan dan mengevaluasi efektivitas langkah yang
h dilakukan tersebut; dan
an (awareness)
untuk memastikan kesadaran dari setiap personel dalam organisasi terkait keamanan informasi. Seluruh personel yang bekerja untuk
asi
untuk memastikan bahwa komunikasi yang dilakukan sesuai dengan standar dan kebijakan SMKI. Organisasi harus menentukan kebu
SMKI dengan cakupan:
an harus dikomunikasikan;
i terdokumentasi
um
aran: Aset informasi organisasi dapat terdokumentasi sesuai dengan standar internasional ISO/IEC 27001:2013. Dokumentasi SMKI o
dokumentasi informasi yang disyaratkan dalam SNI ISO/IEC 27001:2013; dan
dokumentasi informasi yang ditentukan oleh organisasi yang dibutuhkan dalam rangka meningkatkan efektivitas SMKI.
format (contoh: bahasa, versi perangkat lunak dan grafik) dan media (contoh: kertas atau
elektronik); dan
dokumentasi informasi yang diperlukan dalam SMKI dan disyaratkan dalam SNI ISO/IEC 27001:2013 harus dikendalikan untuk mema
dokumentasi tersebut tersedia dan dapat digunakan pada saat diperlukan, di manapun dan kapanpun;
dokumentasi tersebut dilindungi secara memadai (contoh: dari kemungkinan kebocoran kerahasiaan, penyalahgunaan
atau tidak utuh lagi);
aan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi;
isiko yang dilakukan sesuai dengan kriteria yang ditetapkan; dan
an bahwa risiko dapat ditangani sesuai dengan perencanaan.
naan dan pengendalian operasional
perencanaan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi.
anisasi harus merencanakan, mengimplementasikan dan mengendalikan proses-proses yang diperlukan untuk memenuhi
syaratan keamanan informasi, dan untuk menerapkan pengendalian yang ditetapkan dalam klausul 3a.
anisasi juga harus mengimplementasikan rencana untuk mencapai sasaran keamanan informasi sebagaimana ditetapkan
am klausul 3b.
anisasi harus memelihara dokumentasi informasi yang terkait untuk dapat meyakinkan bahwa proses operasional telah
lankan sesuai dengan rencana.
anisasi harus mengendalikan perubahan yang direncanakan, dan me-review konsekuensi dari perubahan yang tidak
ncana, serta melakukan tindakan yang diperlukan untuk memitigasi setiap dampak yang muncul.
anisasi harus memastikan proses yang di-outsource harus ditentukan (determined) dan dikendalikan dengan baik.
anisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamanan informasi.
anisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamanan informasi.
ja
KI yang diterapkan dapat berjalan dengan efektif dan sesuai dengan persyaratan SNI ISO/IEC 27001:2013.
uan, pengukuran, analisis dan evaluasi
SMKI yang telah diterapkan dapat berjalan dengan efektif.
anisasi harus melakukan evaluasi atas kinerja keamanan informasi dan efektivitas SMKI.
metode pemantauan, pengukuran, analisis dan evaluasi untuk memastikan validitas hasil;
kapan hasil pemantauan dan pengukuran harus dianalisis dan dievaluasi; dan
siapa yang harus melakukan analisis dan evaluasi atas hasil tersebut.
3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai
anisasi harus memelihara dokumentasi informasi yang memadai sebagai bukti atas hasil pemantauan dan pengukuran.
ernal
SMKI yang diterapkan:
ah sesuai dengan persyaratan organisasi itu sendiri terkait dengan sistem manajemen keamanan informasi dan persyaratan standar in
h efektif diterapkan dan dipelihara.
anisasi harus melakukan audit internal secara berkala terhadap SMKI untuk memastikan hal-hal berikut:
penerapan SMKI memenuhi:
persyaratan internal organisasi terhadap SMKI;
Organisasi harus:
merencanakan, menetapkan, melaksanakan dan memelihara suatu program audit yang mencakup frekuensi
pelaksanaan, metode, tanggung jawab, kebutuhan perencanaan dan pelaporan. Program audit harus
mempertimbangkan nilai
mendefinisikan kriteria penting
audit dari proses
dan ruang yang
lingkup daridiaudit dan hasil dari audit sebelumnya;
tiap audit;
memilih auditor dan melaksanakan audit dengan meyakinkan proses audit dilakukan
secara objektif dan menyeluruh;
memastikan hasil audit dilaporkan kepada pimpinan yang terkait; dan
memelihara dokumentasi informasi sebagai bukti hasil audit dan program audit.
(review) manajemen
SMKI yang diterapkan telah sesuai, cukup, dan efektif.
pinan organisasi harus melakukan peninjauan terhadap SMKI secara berkala untuk memastikan kesesuaian, kecukupan, dan efektivita
mperhatikan hal-hal berikut:
status tindak lanjut dari hasil peninjauan sebelumnya;
perubahan atas isu-isu internal dan eksternal yang terkait dengan SMKI;
hasil audit;
put dari tinjauan manajemen harus mencakup keputusan yang terkait dengan peluang
baikan berkelanjutan dan kebutuhan perubahan terhadap SMKI.
anisasi harus memelihara dokumentasi informasi sebagai bukti hasil tinjauan manajemen
provement)
KI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya.
menangani konsekuensinya;
mengevaluasi kebutuhan tindakan untuk menghilangkan penyebab dari ketidakpatuhan agar tidak terulang atau terjadi di area lain de
meninjau ketidakpatuhan;
menentukan apakah terdapat ketidakpatuhan yang serupa atau potensi keterjadian ketidakpatuhan;
n berkelanjutan
SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya secara berkesinambungan.
asi harus secara berkelanjutan meningkatkan kesesuaian, kecukupan, dan efektivitas SMKI.
1:2013)
emen puncak.
al berikut:
ersyaratan dalam klausul 1b., serta menentukan risiko dan peluang yang
rikut:
an berikut:
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019 tentang
Manajemen Risiko di
Lingkungan Kementerian
Keuangan
- Profil Risiko
n dokumentasi informasi.
sasi harus:
Tidak Ada Contoh:
Matriks kompetensi
pegawai
ungan.
Tidak Ada Contoh:
Improvement Plan
Tabel 2
Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013)
2)
2)
3)
4)
5)
2)
1)
2)
b Selama bekerja
Sasaran: untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi tanggung jawabnya terkait k
1)
2)
3)
4 Manajemen aset.
a Tanggung jawab terhadap aset
Sasaran: untuk mengidentifikasi aset organisasi dan mendefinisikan tanggung jawab perlindungan yang sesuai terh
1)
2)
3)
4)
b Klasifikasi informasi
Sasaran: untuk memastikan bahwa informasi memperoleh perlindungan pada tingkat yang sesuai, selaras dengan
1)
2)
3)
c Penanganan media
Sasaran: untuk mencegah pengungkapan, modifikasi, penghapusan, atau perusakan secara tidak sah terhadap inf
1)
2)
3)
5 Pengendalian akses
a Persyaratan bisnis untuk pengendalian akses
Sasaran: membatasi akses terhadap informasi dan fasilitas pemrosesan informasi.
1)
2)
2)
3)
4)
5)
6)
1)
2)
3)
4)
5)
6 Kriptografi.
Pengendalian kriptografi
Sasaran: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian
1)
2)
2)
3)
4)
5)
6)
b Peralatan
Sasaran: untuk mencegah kerugian, kerusakan, pencurian atau penguasaan tanpa hak (compromise) aset dan gan
1)
2)
3)
4)
5)
6)
7)
8)
9)
8 Keamanan operasi.
a Prosedur dan tanggung jawab operasional
Sasaran: untuk memastikan operasi yang benar dan aman pada fasilitas pemrosesan informasi.
1)
2)
3)
4)
c Backup (cadangan)
Sasaran: untuk melindungi dari kehilangan data.
Informasi backup
Salinan backup informasi, perangkat lunak, dan image sistem harus dibuat dan diuji secara berkala
sesuai dengan kebijakan backup yang disepakati.
2)
3)
4)
2)
2)
3)
2)
3)
4)
1)
2)
3)
1)
2)
3)
4)
5)
6)
7)
8)
9)
c Data uji
Sasaran: untuk memastikan perlindungan data yang digunakan untuk pengujian.
Proteksi data uji
Data uji harus dipilih dengan hati-hati, dilindungi, dan dikendalikan.
11 Hubungan pemasok.
a Kebijakan keamanan informasi dalam hubungan pemasok (supplier)
Sasaran: untuk memastikan perlindungan terhadap aset organisasi yang dapat diakses oleh pemasok.
1)
2)
3)
2)
1)
2)
3)
4)
5)
6)
7)
2)
3)
b Redundansi
Sasaran: untuk memastikan ketersediaan fasilitas pemrosesan informasi.
Ketersediaan fasilitas pengolahan informasi
Fasilitas pemrosesan informasi harus diimplementasikan dengan redundansi yang memadai untuk
memenuhi persyaratan ketersediaan.
14 Kesesuaian
a Kesesuaian dengan persyaratan hukum dan kontraktual
Sasaran: untuk menghindari pelanggaran peraturan hukum, perundang-undangan, peraturan lain, atau kewajiban k
persyaratan keamanan apa pun.
1)
2)
3)
4)
5)
1)
2)
3)
Tabel 2
Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013)
Pemisahan tugas
Tugas dan tanggung jawab yang bertentangan (conflicting) harus dipisahkan untuk mengurangi
kesempatan perubahan yang tidak disengaja atau tanpa otorisasi atau penyalahgunaan aset
organisasi.
Penyaringan (screening)
Pengecekan verifikasi latar belakang pada semua kandidat calon pegawai harus dilakukan sesuai
dengan ketentuan hukum, peraturan, dan etika yang relevan dan harus proporsional dengan
kebutuhan bisnis organisasi, klasifikasi informasi yang akan diakses, dan risiko terkait.
Syarat dan kondisi kepegawaian
Perjanjian kontrak dengan pegawai dan kontraktor harus menyatakan tanggung jawab pihak-pihak
tersebut dan organisasi untuk keamanan informasi.
Selama bekerja
Sasaran: untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi tanggung jawabnya terkait keamanan informa
Manajemen aset.
Tanggung jawab terhadap aset
Sasaran: untuk mengidentifikasi aset organisasi dan mendefinisikan tanggung jawab perlindungan yang sesuai terhadap aset terseb
Inventaris aset
Aset yang terkait dengan informasi dan fasilitas pemrosesan informasi harus diidentifikasi dan
inventarisasi aset-aset ini harus disusun dan dipelihara.
Kepemilikan aset
Aset yang disimpan dalam inventaris harus dimiliki.
Penggunaan aset yang dapat diterima
Aturan untuk penggunaan informasi yang dapat diterima dan aset yang terkait dengan informasi
dan fasilitas pemrosesan informasi harus diidentifikasi, didokumentasikan dan
diimplementasikan.
Pengembalian aset
Semua pegawai dan pengguna pihak eksternal harus mengembalikan semua aset organisasi yang
mereka miliki setelah pemutusan hubungan kerja, kontrak, atau perjanjian.
Klasifikasi informasi
Sasaran: untuk memastikan bahwa informasi memperoleh perlindungan pada tingkat yang sesuai, selaras dengan tingkat pentingnya
Klasifikasi informasi
Informasi harus diklasifikasikan dalam persyaratan hukum, nilai, kritikalitas, dan sensitivitas
terhadap pengungkapan atau modifikasi yang tidak sah.
Pelabelan informasi
Serangkaian prosedur pelabelan informasi yang tepat harus dikembangkan dan diterapkan sesuai
dengan skema klasifikasi informasi yang diadopsi oleh organisasi.
Penanganan aset
Prosedur untuk menangani aset harus dikembangkan dan diterapkan sesuai dengan skema
klasifikasi informasi yang diadopsi oleh organisasi.
Penanganan media
Sasaran: untuk mencegah pengungkapan, modifikasi, penghapusan, atau perusakan secara tidak sah terhadap informasi yang disim
Pemusnahan media
Media harus dibuang dengan aman ketika tidak lagi diperlukan, dengan menggunakan prosedur
formal.
Pengendalian akses
Persyaratan bisnis untuk pengendalian akses
Sasaran: membatasi akses terhadap informasi dan fasilitas pemrosesan informasi.
Kebijakan pengendalian akses
Kebijakan pengendalian akses harus ditetapkan, didokumentasikan dan direview berdasarkan
persyaratan keamanan bisnis dan informasi.
Akses ke jaringan dan layanan
Pengguna hanya akan diberikan akses ke jaringan dan layanan jaringan yang telah secara khusus
diizinkan untuk mereka gunakan.
Kriptografi.
Pengendalian kriptografi
Sasaran: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan / atau integr
Peralatan
Sasaran: untuk mencegah kerugian, kerusakan, pencurian atau penguasaan tanpa hak (compromise) aset dan gangguan pada oper
Utilitas pendukung
Peralatan harus dilindungi dari kegagalan daya dan gangguan lain yang disebabkan oleh kegagalan
dalam perangkat pendukung.
Keamanan kabel
Kabel listrik dan telekomunikasi yang membawa data atau layanan informasi pendukung harus
dilindungi dari intersepsi, interferensi, atau kerusakan.
Pemeliharaan peralatan
Peralatan harus dipelihara dengan benar untuk memastikan keberlangsungan atas ketersediaan
dan integritasnya.
Keamanan operasi.
Prosedur dan tanggung jawab operasional
Sasaran: untuk memastikan operasi yang benar dan aman pada fasilitas pemrosesan informasi.
Manajemen perubahan
Perubahan pada organisasi, proses bisnis, fasilitas dan sistem pemrosesan informasi yang
memengaruhi keamanan informasi harus dikendalikan.
Manajemen kapasitas
Penggunaan sumber daya harus dipantau, disesuaikan (tuned), dan proyeksi kebutuhan kapasitas
masa yang akan datang disusun untuk memastikan kinerja sistem sesuai dengan yang
dipersyaratkan.
Pemisahan dari pengembangan, uji coba, dan lingkungan operasional
Lingkungan pengembangan, pengujian, dan operasional harus dipisahkan untuk mengurangi
risiko akses yang tidak sah atau perubahan pada lingkungan operasional.
Backup (cadangan)
Sasaran: untuk melindungi dari kehilangan data.
Informasi backup
Salinan backup informasi, perangkat lunak, dan image sistem harus dibuat dan diuji secara berkala
sesuai dengan kebijakan backup yang disepakati.
Pesan elektronik
Informasi yang terkait dalam pengiriman pesan elektronik harus dilindungi dengan baik.
Hubungan pemasok.
Kebijakan keamanan informasi dalam hubungan pemasok (supplier)
Sasaran: untuk memastikan perlindungan terhadap aset organisasi yang dapat diakses oleh pemasok.
Kebijakan keamanan informasi dalam hubungan pemasok
Persyaratan keamanan informasi untuk memitigasi risiko yang terkait dengan akses pemasok ke
aset organisasi harus disepakati dengan pemasok dan didokumentasikan.
Memasukkan klausul keamanan dalam perjanjian pemasok
Semua persyaratan keamanan informasi yang relevan harus ditetapkan dan disepakati dengan
setiap pemasok yang dapat mengakses, memproses, menyimpan,
berkomunikasi, atau menyediakan komponen infrastruktur TI, untuk informasi organisasi.
Rantai pemasok teknologi informasi dan komunikasi
Perjanjian dengan pemasok harus mencakup persyaratan untuk menangani risiko keamanan
informasi yang terkait dengan informasi dan layanan teknologi komunikasi, dan rantai pasokan
produk.
Manajemen pelayanan pemasok
Sasaran: untuk mempertahankan tingkat keamanan informasi dan pengiriman layanan yang disepakati sesuai dengan perjanjian pem
Pemantauan dan tinjauan layanan pemasok
Organisasi harus memantau, me-review, dan mengaudit delivery layanan oleh pemasok secara
berkala.
Kesesuaian
Kesesuaian dengan persyaratan hukum dan kontraktual
Sasaran: untuk menghindari pelanggaran peraturan hukum, perundang-undangan, peraturan lain, atau kewajiban kontrak yang terka
persyaratan keamanan apa pun.
Identifikasi persyaratan perundang-undangan dan kontraktual yang berlaku
Semua peraturan hukum, perundang-undangan, kewajiban kontrak yang terkait dan pendekatan
organisasi untuk memenuhi persyaratan tersebut harus secara eksplisit diidentifikasi,
didokumentasikan dan terus diperbarui untuk setiap sistem informasi dan organisasi.
Hak atas kekayaan intelektual
Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan dengan peraturan hukum,
perundang-undangan, kewajiban kontrak terkait dengan hak kekayaan intelektual dan
penggunaan produk perangkat lunak berhak milik (proprietary software).
egawai.
Tidak Ada Contoh:
NDA, kontrak
perjanjian, SOP
Pengamanan Informasi
pada Pegawai
malware.
Tidak Ada Contoh:
'- Implementasi
antivirus
- Security awareness
terkait malware
rosesan informasi.
Tidak Ada Contoh:
'- Pembatasan akses
jaringan
- Implementasi
baseline perangkat
jaringan
- Implementasi
perangkat pengaman
jaringan (firewall, ids,
dll)
asok.
Tidak Ada Contoh:
Kontrak, SLA, dan
NDA dengan pihak
ketiga
Tidak Ada Contoh:
Kontrak, SLA, dan
NDA dengan pihak
ketiga
Tidak Ada Contoh:
Kontrak, SLA dan NDA
dengan pihak ketiga
Struktur Organisasi
1 Ketua Keamanan Informasi Kemenkeu dijabat oleh CIO Kemenkeu
2 Koordinator Keamanan Informasi Kemenkeu dijabat oleh:
a Pimpinan Unit TIK Pusat selaku Ketua Koordinator Keamaman Informasi
Kemenkeu; dan
b Pejabat setingkat eselon II yang membawahi Unit TIK Eselon I dan Unit TIK
Non Eselon selaku anggota Koordinator Keamanan Informasi Kemenkeu
Struktur Organisasi
1 Ketua Keamanan Informasi Unit dijabat oleh Pejabat setingkat eselon II yang
membawahi Unit TIK di lingkungan Kemenkeu
2 Koordinator Keamanan Informasi Kemenkeu dijabat oleh Pejabat setingkat
eselon III Unit TIK di lingkungan Kemenkeu
3 Petugas Keamanan Informasi Kemenkeu dijabat oleh pejabat/pelaksana
masing-masing unit
Struktur Organisasi
1 Koordinator Keamanan Informasi pada instansi vertikal dijabat oleh Pejabat
setingkat eselon III yang ditunjuk oleh Kepala Kantor Wilayah; dan pada UPT
dijabat oleh Pejabat setingkat eselon III
2 Petugas Keamanan Informasi Instansi Vertikal atau UPT adalah pegawai yang
ditunjuk oleh Kepala Kantor Wilayah atau Kepala UPT
PEMENUHAN
PERSYARATAN
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
PEMENUHAN
PERSYARATAN
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
PEMENUHAN
PERSYARATAN
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Memenuhi
Memenuhi
Memenuhi
Belum Memenuhi
Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
MATRIKS HASIL AUDIT INTERNAL IMPLEMENTASI SMKI
14 Kesesuaian 100% 0% 0%
OKI Kemenkeu
No Belum
Kendali Memenuhi #NA
Seksi Memenuhi
1 Struktur Organisasi 100% 0% 0%
2 Tugas dan Tanggung Jawab 100% 0% 0%
OKI Unit
No Belum
Kendali Memenuhi #NA
Seksi Memenuhi
1 Struktur Organisasi 100% 0% 0%
2 Tugas dan Tanggung Jawab 100% 0% 0%
Panduan pengisian:
Tidak Ada Persyaratan/pengendalian sama sekali belum dijalankan
Belum Memenuhi Penerapan persyaratan/pengendalian belum memenuhi dan dan me
Memenuhi Persyaratan/pengendalian telah dijalankan dan dilengkapi dengan b
TASI SMKI
0%
Konteks Kepemimpinan Perencanaan Dukungan Operasi Evaluasi Kine
Organisasi
Pemenuhan Keten
Capaian
100%
0% 80%
0% 60%
0% 40%
0%
20%
0%
0% 0%
i i et s fi
as as M
As se ra
rm rm SD Ak og ng
0% fo fo an en t ku
In In an i an Kr
ip g
em da
l Lin
an an am aj n n
0% an an Ke an e da
am m M ng si k
0% Ke ea Pe Fi
n s iK an
ka i sa an
i ja an m
0% Ke
b g a
Or Ke
0%
0%
80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Struktur Organisasi Tugas dan Tanggung Jawab Struktur Organisasi Tu
nuhi Memenuhi
s n i i ok i is
se ra
fi a as s em as an
Ak og ng er ika ist as rm Bi
sn ai
n t ku p un S m fo su
ia Kr
ip g O m an Pe In a n s e
da
l Lin an Ko at an an ng Ke
n an an an ng su
e m ra
w an ng
g
si kd a an Pe bu m la
Fi Ke am Hu a
Ke
an Ke
an Ke ,d an en
an a n
g gu je
m
a m ng an a
Ke ba G an
em en is M
e ng em a
,P aj fo
rm
si s
i an In
ui M
an
Ak an
m
ea
ekK
p
As
80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Struktur Organisasi Tugas dan Tanggung Jawab Struktur Organisasi Tugas dan Tanggung Jawab
gung Jawab
NA