Pusdiklatwas BPKP 1
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 2
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 3
Risiko Pengelolaan Teknologi Informasi
3. Struktur Organisasi
Apakah organisasi mengembangkan model proses TI
tingkat tinggi yang komprehensif?
Apakah model mencakup proses kontrak, pengadaan,
dan pengelolaan administrasi?
Apakah organisasi mendefinisikan kompetensi yang
dibutuhkan di unit TI?
Apakah organisasi menganalisis setiap proses dalam
menentukan jenis pekerjaan yang diperlukan untuk
memperoleh sikap kerja yang disepakati?
Apakah organisasi menentukan tingkat kompetensi dan
potensi sumber daya untuk memenuhi permintaan
sumber daya?
Apakah organisasi mempertimbangkan peralatan yang
dibutuhkan untuk mendukung proses?
Apakah organisasi melakukan analisis kesamaan untuk
menentukan ketergantungan dan pengelompokan
pekerjaan yang sesuai?
Pusdiklatwas BPKP 4
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 5
Risiko Pengelolaan Teknologi Informasi
5. Keamanan Organisasi
a. Infrastruktur Keamanan Informasi
1) Pembagian tanggung jawab dalam keamanan informasi
Apakah tanggung jawab untuk melindungi aset individu
dan pelaksanaan proses keamanan khusus telah
dinyatakan dengan jelas?
2) Kerja sama antar‐organisasi
Apakah kontak yang berkepentingan dengan pihak
penegak hukum, badan pengatur, penyedia utilitas,
penyedia layanan informasi dan operator telekomunikasi
dipelihara untuk memastikan bahwa tindakan yang tepat
dapat dengan cepat diambil dan saran segera diperoleh,
jika terjadi hal‐hal yang di luar dugaan seperti kecelakaan,
kebakaran, banjir?
3) Reviu independen terhadap keamanan informasi
Apakah pelaksanaan kebijakan keamanan telah direviu
secara independen dan dilaksanakan secara teratur? Hal
ini untuk memberikan jaminan bahwa praktik organisasi
mencerminkan kebijakan, layak dan efektif.
Pusdiklatwas BPKP 6
Risiko Pengelolaan Teknologi Informasi
5. Keamanan Organisasi
Pusdiklatwas BPKP 6
Risiko Pengelolaan Teknologi Informasi
5. Keamanan Organisasi
Pusdiklatwas BPKP 7
Risiko Pengelolaan Teknologi Informasi
6. Outsourcing
Syarat‐syarat pengamanan dalam kontrak outsourcing
Apakah persyaratan keamanan diadakan secara tertulis
dalam kontrak dengan pihak ketiga, ketika organisasi
meng‐outsourcing pengelolaan dan pengendalian semua
atau sebagian dari sistem informasinya, jaringan dan/atau
lingkungan desktop?
Apakah dinyatakan dalam kontrak bagaimana persyaratan
hukum yang harus dipenuhi, bagaimana keamanan aset
organisasi dipelihara dan diuji, dan hak audit, masalah
keamanan fisik, dan bagaimana ketersediaan layanan
harus dipertahankan dalam kejadian bencana?
8. Pengklasifikasian Informasi
a. Pedoman pengklasifikasian
Apakah ada skema klasifikasi informasi atau pedoman di
tempat; yang akan membantu dalam menentukan
bagaimana informasi tersebut akan ditangani dan
dilindungi?
b. Penanganan dan pelabelan informasi
Apakah prosedur yang ditetapkan untuk pelabelan
informasi dan penanganan telah sesuai dengan skema
klasifikasi yang diadopsi oleh organisasi ?
Pusdiklatwas BPKP 8
Risiko Pengelolaan Teknologi Informasi
9. Tenaga Pengaman
a. Tanggung jawab petugas pengaman
Apakah peran dan tanggung jawab petugas keamanan,
sebagaimana tercantum dalam kebijakan keamanan
informasi organisasi, telah didokumentasikan dengan
tepat?
Apakah ini termasuk (1) tanggung jawab umum untuk
menerapkan atau mempertahankan kebijakan keamanan
serta (2) tanggung jawab khusus untuk perlindungan aset
tertentu, atau (3) perpanjangan proses keamanan atau
kegiatan tertentu?
b. Perjanjian kerahasiaan
Apakah karyawan menandatangani perjanjian
kerahasiaan atau non‐disclosure sebagai bagian dari
persyaratan awal mereka, kondisi kerja, dan setiap tahun
sesudahnya?
Apakah perjanjian ini mencakup keamanan fasilitas
pemrosesan informasi dan aset organisasi?
c. Persyaratan dan kondisi kerja
Apakah persyaratan dan kondisi kerja mencakup
tanggung jawab karyawan dalam keamanan informasi?
Apabila diperlukan, tanggung jawab ini mungkin akan
terus dalam jangka waktu tertentu setelah berakhirnya
pekerjaan tersebut.
10. Pelatihan
Apakah kebijakan dan prosedur organisasi menetapkan
semua karyawan organisasi dan pengguna pihak ketiga
(bila relevan) menerima pelatihan pengamanan
informasi yang tepat dan update secara reguler?
Pusdiklatwas BPKP 9
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 10
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 11
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 12
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 13
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 14
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 15
Risiko Pengelolaan Teknologi Informasi
Pusdiklatwas BPKP 16
Risiko Pengelolaan Teknologi Informasi
-------------
Pusdiklatwas BPKP 17