PENDAHULUAN
Teknologi Informasi memiliki peran yang sangat penting bagi industri perbankan, termasuk
BPR dan BPRS, TI juga tidak dapat dipisahkan dari operasional perbankan dalam melayani
masyarakat pengguna jasa perbankan. Penyelenggaraan Teknologi Informasi dapat
meningkatkan efektivitas dan efisiensi operasional BPR. Penyelenggaraan Teknologi
Informasi oleh BPR juga diharapkan dapat mendukung penyelenggaraan sistem informasi
manajemen secara memadai, termasuk dalam memenuhi kewajiban pelaporan kepada
otoritas.
Selain dampak positif tersebut, penyelenggaraan Teknologi Informasi oleh BPR juga
mengandung potensi risiko yang dapat merugikan bank dan masyarakat pengguna jasa
perbankan. Oleh karena itu, BPR harus melaksanakan pengendalian dan pengamanan
Teknologi.
Kebijakan dan Prosedur Penyelenggaraan Teknologi Informasi ini diharapkan dapat menjadi
pedoman bagi BPR serta pihak yang berkepentingan dalam penyelenggaraan Teknologi
Informasi. Kepatuhan BPR terhadap kebijakan dan prosedur ini diharapkan dapat
membangun kesadaran dan pemahaman yang memadai dari seluruh jenjang organisasi
terhadap peran Teknologi Informasi dalam mendukung operasional BPR.
A. Maksud
Maksud dari pembuatan kebijakan dan prosedur ini adalah untuk membantu dan mengatur
para pengguna Tenologi dan Informasi agar sesuai dengan tujuan Perusahaan.
B. Tujuan
Tujuan diterapkannya kebijakan dan prosedur penyelenggaraan TI di BPR adalah:
1. Memastikan bahwa seluruh kebijakan serta kegiatan usaha yang dilakukan oleh BPR
telah sesuai dengan ketentuan internal maupun eksternal (BI, OJK, maupun lembaga
keuangan lainnya)
C. Pengertian Umum.
Beberapa pengertian umum yang berkaitan dengan penyelenggaraan TI di BPR antara lain:
Komputer adalah sekelompok mesin elektronik yang terdiri dari ribuan bahkan jutaan
komponen yang dapat saling bekerja sama, serta membentuk sebuah sistem kerja yang
rapi dan teliti.
Sistem ini kemudian dapat digunakan untuk melaksanakan serangkaian pekerjaan
secara otomatis, berdasar urutan instruksi ataupun program yang diberikan kepadanya.
Server adalah sebuah perangkat komputer yang menyediakan layanan dalam suatu
jaringan komputer. Server dilengkapi dengan sistem operasi khusus untuk mengontrol
akses dan sumber daya yang ada di dalamnya.
Hard Disk adalah perangkat keras yang bekerja secara sistematis dimana menjadi media
penyimpanan data.
Sistem operasi adalah perangkat lunak komputer yang bertugas untuk melakukan
kontrol dan manajemen perangkat keras dan juga operasi-operasi dasar sistem,
termasuk menjalankan software aplikasi seperti program-program pengolah data yang
bisa digunakan untuk mempermudah kegiatan kerja.
Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi
mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan,
mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.
Aplikasi Inti Perbankan (Core Banking System) adalah Sistem Elektronik berupa aplikasi
untuk proses akhir seluruh transaksi perbankan yang terjadi sepanjang hari, termasuk
pengkinian data dalam pembukuan BPR, yang paling sedikit mencakup fungsi nasabah,
simpanan, pinjaman, akuntansi dan pelaporan.
Pusat Data (Data Center) adalah suatu fasilitas yang digunakan untuk menempatkan
Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan,
penyimpanan, dan pengolahan data.
Pusat Pemulihan Bencana (Disaster Recovery Center) adalah suatu fasilitas yang
digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting
Sistem Elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan
oleh alam atau manusia.
Pangkalan Data (Database) adalah sekumpulan data komprehensif dan disusun secara
sistematis, dapat diakses oleh pengguna sesuai wewenang masing-masing, dan dikelola
oleh administrator Pangkalan Data (Database Administrator).
D. Ketentuan
Ketentuan yang mendasari disusunya kebijakan dan prosedur pengelenggaraan teknologi
informasi di BPR NBP Gorup adalah sebagai berikut:
1. Wewenang dan tanggung jawab Direksi, Dewan komisasi, dan satuan kerja atau
pegawai yang bertnggung jawab terhadap penyenggaraan teknologi Informasi.
2. Pengembangan dan pengadaan.
3. Operasional Teknologi Informasi
4. Jaringan Komunikasi
5. Pengamanan Informasi
6. Rencana Pemulihan bencana
7. Audit Intern Teknologi Informasi
8. Kerjasama dengan penyedia jasa Teknologi Informasi
a) Penyedia data dan informasi yang akurat untuk mendukung sistim Informasi
manajemen BPR yang memadai
b) penyelenggaraan teknologi informasi BPR yang mampu menfukung perkembangan
usaha BPR yang berkelanjutan
c) penyelenggaraan teknologi informasi BPR yang mampu mendukung kelangsungan
pelayanan kepada nasabah BPR
d) memantau proses pengembangan dan pengadaan yang dilakukan oleh tim kerja
sebagaimana dimaksud dalam Bab mengenai pengembangan dan pengadaan Sistem
Elektronik
2.3. Wewenang dan Tanggung Jawab Satuan Kerja atau Pegawai Yang Bertanggung Jawab
Terhadap Penyelenggaraan Teknologi Informasi
Dalam rangka penyelenggaraan teknologi informasi secara efektif dan efisien, BPR wajib
menunjuk satuan kerja atau pegawai yang bertanggung jawab atas peyelenggaraan
Teknologi Informasi. Satuan kerja atau pegawai yang bertanggung jawab atas
penyelenggaraan Teknologi Informasi harus independen terhadap kegiatan penghimpunan
dana, penyaluran dana, pembukuan, dan/atau audit intern.
Wewenang dan tanggung jawab satuan kerja atau pegawai yang bertanggung jawab
terhadap penyelenggaraan teknologi informasi yang meliputi :
3.1. Pengembangan
Pengertian Pengembangan Teknologi Informasi
Pengembangan Teknologi Informasi adalah proses pengembangan sistem teknologi
informasi termasuk penggantian atau perbaikan sistem teknologi yang telah ada.
Dalam melakukan pengembangan dan pengadaan Sistem Elektronik BPR dan BPRS wajib
melakukan langkah-langkah pengendalian untuk menghasilkan sistem dan data yang terjaga
kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability), serta
mendukung pencapaian tujuan BPR atau BPRS, antara lain meliputi:
1. Perencanaan Sistem
Dalam fase perencanaan sistem dibentuk suatu struktur kerja strategis yang luas dan
pandangan sistem informasi baru yang jelas akan memenuhi kebutuhan-kebutuhan
pemakai informasi. Selama fase perencanaan sistem, harus dipertimbangkan :
2. Analisis Sistem
•Kelayakan operasional
• Kelayakan rencana
Penilaian, identifikasi dan evaluasi komponen dan hubungan timbal balik yang terkait
dalam pengembangan sistem, definisi masalah, tujuan, kebutuhan, prioritas dan
kendala-kendala sistem.
Akhir fase perancangan sistem secara umum menyediakan point utama untuk keputusan
investasi. Oleh sebab itu dalam fase evaluasi dan seleksi sistem ini nilai kualitas sistem dan
biaya/keuntungan dari laporan dengan proyek sistem dinilai secara hati-hati dan diuraikan
dalam laporan evaluasi dan seleksi sistem.
Jika tak satupun alternatif perancangan konseptual yang dihasilkan pada fase perancangan
sistem secara umum terbukti dapat dibenarkan, maka semua altenatif akan dibuang.
Biasanya, beberapa alternatif harus terbukti dapat dibenarkan, dan salah satunya dengan
nilai tertinggi dipilih untuk pekerjaan akhir. Bila satu alternatif perancangan sudah dipilih,
maka akan dibuatkan rekomendasi untuk sistem ini dan dibuatkan jadwal untuk
perancangan detailnya.
Fase perancangan sistem secara detail menyediakan spesifikasi untuk perancangan secara
konseptual. Pada fase ini semua komponen dirancang dan dijelaskan secara detail.
Perencanaan output (layout) dirancang untuk semua layar, form-form tertentu dan
laporan-laporan yang dicetak. Semua output direview dan disetujui oleh pemakai dan
didokumentasikan. Semua input ditentukan dan format input baik untuk layar dan form-
form biasa direview dan disetujui oleh pemakai dan didokumentasikan.
6. Implementasi Sistem
Pada fase ini sistem siap untuk dibuat dan di instalasi. Sejumlah tugas harus dikoordinasi
dan dilaksanakan untuk implementasi sistem baru.
Laporan implementasi yang dibuat pada fase ini ada dua bagian, yaitu:
a. Rencana implementasi dalam bentuk Grantt Chart atau (Program and Evaluation Review
Technique) PERT Chart
b. Penjadwalan proyek dan tehnik manajemen. Bagian ini merupakan laporan yang
menerangkan tugas penting untuk melaksanakan implementasi sistem, seperti
pengembangan software, persiapan lokasi peletakan sistem, instalasi peralatan yang
digunakan, pengujian sistem, pelatihan untuk para pemakai sistem dan persiapan
dokumentasi.
7. Pemeliharaan Sistem
Tahap pemeliharaan dilakukan setelah tahap implementasi. Sistem baru yang berjalan
digunakan sesuai dengan keperluan organisasi. Selama masa hidupnya, sistem secara
periodik akan ditinjau. Perubahan dilakukan jika muncul masalah atau jika ternyata ada
kebutuhan baru. Selanjutnya, organisasi akan menggunakan sistem yang telah diperbaiki
tersebut. Langkah-langkah pemeliharaan sistem terdiri atas:
2. Audit sistem, yaitu melakukan penggunaan dan penelitian formal untuk menentukan
seberapa baik sistem baru dapat memenuhi criteria kinerja.
4. Perbaikan sistem, yaitu melakukan perbaikan jika dalam operasi terjadi kesalahan (bug)
dalam program atau kelemahan rancangan yang tidak terdeteksi saat pengujian sistem.
A. Kriteria pemilihan software computer perbankan yang baik sesuai dengan kebutuhan
bank secara umum berdasarkan pertimbangan-pertimbangan berikut:
2) Keluwesan (Flexibility)
Operasional bank selalu berkembang dengan kebutuhan yang berubah-ubah dan mungkin
bertambah di kemudian hari walaupun informasi dasarnya tetap sama. Kondisi ini harus
bisa diantisipasi oleh perangkat lunak computer sampai batas-batas tertentu. Setiap bank
mempunyai system dan prosedur yang mungkin berbeda meskipun data atau informasi
dasar yang diolahnya sama. Perangkat lunak computer yang fleksibel dapat digunakan oleh
dua bank yang kapasitasnya sama tetapi system dan prosedurnya berbeda.
6) Aspek Pemeliharaan
Kinerja software perbankan diharapkan relative stabil selama bank beroperasi. Kondisi ini
memerlukan aspek pemeliharaaan yang baik, dalam arti secara teknis tidak sulit dilakukan
dan tidak membutuhkan biaya yang relative mahal. Pemeliharaan ini juga menyangkut
pergantian atau perbaikan teknis peralatan dan modifikasi atau pengembangan software.
7) Source Code
Software perbankan biasanya merupakan program paket yang sudah di-compile sehingga
menjadi excecutable file. File program tersebut relative tidak bisa dirubah atau dimodifikasi
seandainya bank menginginkan perubahan atau fasilitas tambahan dari software tersebut.
Kondisi ini bisa diatasi jika pihak bank mempunyai dan memahami software tersevut dalam
bentuk bahasa pemrograman aslinya atau source code.
A. Pemeliharaan Software
1. Memastikan software sistem operasi dan sistem Corebanking berjalan dengan baik
setiap hari
2. Melakukan Scaning virus terhadap data minimal 1 minggu sekali atau jika ada
kemungkinan terserang virus bisa disesuaikan dengan keadaan.
3. Melakukan pengecekan fungsi-fungsi pada software berjalan dengan baik dengan
melaukan pengujian dan penggunaan.
B. Pemeliharaan Hardware
1. Memastikan Hardware berjalan dengan baik setiap hari.
2. Membersihkan PC dan printer secara berkala dari debu
3. Melakukan pengujian langung fungdi-fungis pada Hardware secara langsung .
C. Pemeliharaan Jaringan
1. Memastikan jaringan berjalan dengan baik setiap hari
2. Cek kabel jaringan atau Wifi
3. Melakukan Konfigurasi IP Server dan Client agar terkoneksi dengan baik.
4. Pengantian pasword jaringan wifi secara berkala.
Bab ini membahas aktivitas dan pengendalian dari operasional teknologi informasi sebagai
pedoman bagi BPR dalam rangka menerapkan standard penyelenggaraan teknologi
informasi. Pengaturan atas operasional teknologi informasi yang memadai sangat penting
untuk memastikan informasi pada sisitem komputer adalah lengkap, akurat, Terkini, terjaga
integritasnya, dan andal, serta terhindar dari kesalahan, Kecurangan, manipulasi,
penyalahgunaan, dan perusakan data.
Staff TI (Informasi Teknologi / Entry Data System) adalah petugas / karyawan BPR
yang ditunjuk oleh pimpinan untuk menjalankan tugas mengoperasikan server
sistem perbankan pada BPR, menjaga dan melakukan perbaikan terhadap masalah
yang terjadi pada dalam prosesnya.
Staff IT wajib hadir minimal 15 menit sebelum waktu operasional BPR dibuka untuk
menghidupkan server dan memastikan koneksi jaringan aktif.
Staff IT wajib berpenampilan menarik dan selalu menjaga kebersihan dan kerapian
ruang kerjanya.
Staff IT wajib siap siaga jika terjadi masalah pada perangkat server, komputer dan
printer yang ada di BPR.
Staff IT wajib menjaga kerahasiaan data BPR dan nasabah BPR.
2. Pengguna system
a. Setiap pengguna system harus memiliki user id dan password
b. User id pertama kali diberikan oleh bagian IT melalui persetujuan Direktur Utama
c. Setiap user diberikan hak akses modul NBPSys sesuai bidangnya untuk masing-
masing yang sudah diatur dalam SK Direksi
3. Fasilitas Akses
a. Fasilitas Akses setiap pengguna System harus diatur dalam SK Direksi
b. Pemberian hak akses hanya dapat dilakukan oleh staf IT dan atau direksi yang
mempunyai hak akses modul Setup
c. Setiap ada perubahan Fasilitas akses harus atas persetujuan Direksi atau pejabat
yang berwenang.
d. Menetapkan Hak Akses sesuai dengan jabatan masing-masing user sebagaimana
terlampir.
e. Bahwa user hanya diperbolehkan mengakses menu sesuai dengan jabatan masing-
masing.
f. Bahwa masing-masing user mendapatkan Hak Aksesnya setelah memiliki user ID disertai
password masing-masing.
g. Setiap karyawan yang terdaftar memiliki User ID harus menjaga kerahasiaan
passwordnya agar tidak dapat dipergunakan oleh orang lain.
h. Bahwa tidak diperkenankan Petugas EDP melakukan perubahan-perubahan Hak Akses
tanpa sepengetahuan dan persetujuan oleh Direksi.
Jaringan komunikasi merupakan hal yang sangat penting bagi industri keuangan. Hal
tersebut dapat dilihat dari perkembangan produk dan aktivitas lembaga keuangan yang
beragam dengan adanya jaringan komunikasi. Bahkan saat ini layanan perbankan sudah
menjadi seperti tanpa batasan wilayah seiring berkembangnya jaringan komunikasi. BPR
dapat menyediakan layanan perbankan elektronik secara online dan realtime seperti
transaksi antar kantor, internet Banking dan mobile Banking, baik milik BPR itu sendiri
maupun milik penyedia jasa Teknologi Informasi.
Jaringan komunikasi termasuk hal yang perlu dipastikan integritasnya dengan cara
menerapkan kebijakan dan prosedur pengelolaan jaringan dengan baik, memaksimalkan
kinerja jaringan, mendesain jaringan yang tahan terhadap gangguan, dan mendefinisikan
layanan jaringan secara jelas serta melakukan pengamanan yang diperlukan karena jaringan
komunikasi tersebut digunakan untuk mentransmisikan informasi berupa data, suara
(voice), gambar (image) dan video yang rentan terhadap gangguan dan penyalahgunaan.
C. Network management
Pengelolaan jaringan komunikasi di BPR NBP Group merupakan hal yang sangat penting
dikarenakan jaringan komunikasi merupakan komponen vital yang menunjang kegiatan
oprasional BPR NBP Group untuk itu pengelolaan jaringan komunikasi data harus
dilakukan sesuai dengan ketentuan berikut:
1) Pengelolaan jaringan komunikasi dilakukan oleh bagian IT BPR dengan bantuan
vendor
2) Jaringan komunikasi BPR diaktifkan oleh bagian IT pada pagi hari dan dimonitoring
jika terjadi gangguan bagian IT harus segera menghubungi vendor.
3) Jika terjadi gangguan yang menyebabkan harus dilaksanakannya DRP, maka bagian
IT harus segera menggubungi direktur oprasional.
D. Penggunaan Internet.
Internet merupakan komunikasi jaringan public yang digunakan untuk berkomunikasi
dengan pihak luar BPR selain itu internet dapat digunakan untuk berbagai macam hal,
untuk itu agar penggunaan internet dapat sesuai dengan tujuan perusahaan maka harus
menggikuti ketentuan sebagai berikut:
1) Pengelolaan internet menjadi tanggung jawab IT dengan persetujuan dari direktur
oprasional
2) Internet harus digunakan sesuai dengan kepentingan perusahaan
3) Pengelolaan email perusahaan dilakukan oleh bagian khusus yang telah ditetapkan
Informasi merupakan hal penting bagi BPR, baik informasi yang terkait dengan nasabah,
keuangan, laporan maupun informasi lainnya. Kebocoran, kerusakan, ketidakakuratan,
ketidaktersediaan, atau gangguan lain terhadap informasi tersebut dapat menimbulkan
dampak yang merugikan baik secara finansial maupun non-finansial bagi BPR, nasabah,
bank lain, dan terhadap sistem perbankan nasional. Informasi harus dilindungi atau
diamankan oleh seluruh personil di BPR.
1. Pengelolaan Aset
a) seluruh SDM BPR yang memiliki akses terhadap informasi harus memahami
tanggung jawab terhadap pengamanan informasi
b) dalam perjanjian kerja sama atau kontrak dengan pegawai BPR, konsultan, dan
pegawai penyedia jasa teknologi harus tercantum ketentuan pengamanan informasi
BPR mencakup menjaga kerahasiaan informasi yang diperoleh sesuai dengan
klasifikasi informasi
c) BPR melalui unit kerja terkait wajib memberikan pelatihan dan/atau sosialisasi
tentang pengamanan informasi kepada pegawai BPR tentang pengamanan
informasi
d) pelanggaran terhadap kebijakan pengamanan informasi akan dikenakan sanksi
e) BPR memastikan pemisahan tugas dan tanggung jawab antara sumber daya di
operasional BPR
a) informasi dan perangkat lunak harus dibuatkan rekam cadang dan prosedur pemulihan
yang teruji sesuai dengan tingkat kepentingannya;
b) BPR perlu mengantisipasi dan menerapkan pengendalian pengamanan yang memadai atas
kelemahan sistem operasi, sistem aplikasi, Pangkalan Data dan jaringan, termasuk ancaman
Database adalah kumpulan fakta yang saling berhubungan, disimpan secara bersama, untuk
memenuhi berbagai kebutuhan atau sekumpulan informasi yang disusun sedemikian rupa
untuk dapat diakses oleh sebuah software tertentu. Bahwa server utama di BPR NBP Group
adalah pusat dari seluruh kegiatan transaksi dan pusat dari data-data penting (data center)
dari data nasabah dan debitur sehingga BPR dapat melakukan kegiatan operasional harian
dan juga dalam hal pengiriman laporan bulanan.
a) Instalasi SQL Server harus mendapat persetujuan tertulis dari direksi BPR.
b) Proses instalasi dilakukan oleh staff IT/ EDP BPR.
c) Nama database yang digunakan oleh BPR disesuaiakan dengan nama BPR .
Contoh : NBPXX
d) Proses restore database pertama kali dilakukan oleh staff IT/ EDP BPR dengan
persetujuan direksi BPR.
e) Hasil instalasi SQL Server harus diverifikasi oleh vendor (NBP), yang selanjutnya akan
diberikan persetujuan kepada direksi untuk menggunakan SQL Server tersebut.
Komponen prosedur BCP yang wajib dimiliki oleh BPR adalah Rencana Pemulihan Bencana
(Disaster Recovery Plan) sesuai dengan POJK SPTI. Rencana Pemulihan Bencana adalah
dokumen yang berisikan rencana dan langkah-langkah memulihkan kembali akses data,
perangkat keras dan perangkat lunak yang diperlukan, agar BPR dapat menjalankan
kegiatan operasional bisnis yang kritikal setelah adanya gangguan dan/atau bencana.
Rencana Pemulihan Bencana lebih menekankan pada aspek teknologi dengan fokus pada
data recovery/restoration plan dan berfungsinya sistem aplikasi dan infrastruktur Teknologi
Informasi yang kritikal.
1. Direksi
2. Kepala Bagian Operasional
3. Staff
Kabag. Operasional
Selain tugas dan tanggung jawab di atas, Unit juga bertanggung jawab terhadap
infrastruktur, Bisinis dan data/sistem. Dengan tugas dan tanggung jawab sebagai berikut :
1) Recovery Infrastruktur
a) Menilai dan melakukan kalkulasi atas infrastruktur/fasilitas kantor yang mengalami
kerusakan.
b) Menghubungi Unit Kerja dan atau unit terkait untuk perbaikan fasilitas dan barang-
barang/ inventaris kantor yang rusak dengan menggunakan daftar nomor-nomor
telepon penting.
c) Melaporkan kebutuhan infrastruktur/ fasilitas kantor ke Koordinator disaster
recovery
2) Recovery Bisnis
Tugas dan tanggung jawab sebagai berikut:
a) Memimpin dan mengawasi upaya penyelamatan semua barang-barang inventarisasi
dan dokumen kantor.
b) Memeriksa status/ keadaan pegawai saat bencana.
c) Menyakinkan tersedianya alat transportasi menuju alternate site saat disaster.
d) Memonitor dan mengawasi semua biaya yang timbul berkaitan pada saat terjadi
bencana
3. Lain-Lain
Unit-unit kerja di bawah pejabat berwenang yang lokasinya berbeda dengan lokasi kepala
unit kerjanya/ grup head, memiliki garis koordinasi pada saat disaster sebagai berikut :
Kantor kas ke kantor tedekat kantor pusat
7.6. Infrastruktur
a) Komunikasi
Menggunakan komunikasi dengan Hand Phone atau;
Menggunakan komunikasi dengan VPN ,Mikrotik atau;
Menggunakan komunikasi Handy Talky (HT) pada setiap local center point dan
unit kerja remote yang dalam jangkauan HT dari center point terdekat, untuk itu
setiap Unit harus menyediakan minimal 2 unit sebagai sarana komunikasi
Menggunakan pengeras suara (megaphone) untuk mengarahkan karyawan
menuju Center Point
Menggunakan jasa kurir apabila seluruh media komunikasi tidak berfungsi
b) Fasilitas
Lokasi penyimpanan (perahu karet, emergency kit, tenda, baju pelampung)
mengacu pada pedoman Security BPR.
c) Kendaraan/Transportasi
Kendaraan untuk transportasi dari center point ke alternate site harus disiapkan
kendaraan roda empat yang memadai,
Dalam kondisi macet dapat menggunakan kendaraan roda dua, atau sarana lain
yang sangat paling dimungkinkan
d) Kesehatan
Menyediakan obat-obatan, tenaga medis, dll.
Prosedur Evakuasi
1. Ruang Lingkup Gangguan
a. Berdasarkan gangguan, klasifikasi gangguan dapat dikelompokkan dalam 3
kemungkinan :
b. Gangguan yang menyebabkan sebagian infrastruktur tidak berfungsi namun
pegawai Pejabat Berwenang tidak perlu dievakuasi. (Status G1).
c. Gangguan yang menyebabkan pegawai Pejabat Berwenang harus dievakuasi namun
seluruh infrastruktur di kantor Pusat masih berfungsi secara normal. (Status G2)
d. Gangguan yang menyebabkan pegawai Pejabat Berwenang harus dievakuasi dan
seluruh infrastruktur di kantor pusat tidak berfungsi secara normal. (Status G3)
e. Berdasarkan prediksi recovery, level bencana dapat dibedakan menjadi dua kategori
sebagai berikut :
3. Call Tree
Call Tree adalah organisasi yang terdiri fungsi-fungsi, garis komando dan garis koordinasi
sebagai penanggung jawab disaster recovery. Aktivasi call tree hanya boleh dilaksanakan
oleh Unit dan disebarluaskan keseluruh Grup dilingkungan Pejabat.
Rencana Pengujian
Untuk memastikan kejelasan tugas dan tanggung jawab fungsi-fungsi pada saat kondisi
Disaster dan DRP dapat digunakan setiap saat, maka harus dilakukan pengujian secara
periodik minimal sekali setahun. Sedangkan pengujian DRP di masing-masing Grup
mengacu kepada DRP Grup masing-masing.
2. Fungsi Audit intern wajib dilaksanakan secara berkala paling sedikit 1 (satu) kali dalam 1
(satu) tahun sebagai bagian dari pelaksanaan aundit intern atau dilaksanakan terpisah
dari audit intern.
3. Wajib memastikan tersedianya jejak audit (audit trail) terhadap seluruh kegiatan
penyelenggaraan teknologi informasi untuk keperluan pengawasan, penegakan hukum,
penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya.
Memastikan tersedianya jejak audit adalah memastikan tersedianya log transaksi dan
memelihara log tersebut sesuai dengan ketentuan perundang-undangan dan kebijakan
retensi data BPR guna menjamin tersedianya jejak audit yang jelas sehingga dapat
digunakan untuk membantu pembuktian dan penyelesaian perselisihan serta pendeteksian
usaha penyusupan pada sistem informasi dan teknologi.
BPR wajib memastikan bahwa penyedia jasa teknologi informasi harus berbentuk badan
hukum dan berkedudukan di wilayah Indonesia.
Dalam penyelenggaraan Teknologi Informasi BPR bekerjasama dengan penyedia jasa
teknologi informasi, BPR wajib:
(a) Memiliki tenaga ahli yang didukung dengan sertifikat keahlian sesuai dengan
keperluan penyelenggaraan Teknologi Informasi;
(b) Menerapkan prinsip pengendalian Teknologi Informasi secara memadai yang
dibuktikan dengan hasil audit yang dilakukan pihak independen;
(c) Menyediakan akses bagi auditor intern BPR, auditor ekstern yang ditunjuk oleh BPR,
dan Otoritas Jasa Keuangan untuk memperoleh data dan informasi yang diperlukan
secara tepat waktu setiap kali dibutuhkan;
(d) Menyatakan tidak berkeberatan dalam hal Otoritas Jasa Keuangan dan/atau pihak
lain yang berwenang sesuai dengan ketentuan peraturan perundang-undangan
melakukan pemeriksaan terhadap kegiatan penyediaan jasa yang diberikan;
(e) Sebagai pihak terafiliasi, menjaga keamanan seluruh informasi termasuk rahasia
bank dan data pribadi nasabah;
(f) Melaporkan kepada BPR setiap kejadian kritis yang dapat mengakibatkan kerugian
keuangan dan/atau mengganggu kelangsungan operasional BPR;
(g) Menyediakan Rencana Pemulihan Bencana yang teruji dan memadai;
(h) Bersedia untuk menyepakati kemungkinan penghentian perjanjian kerjasama
sebelum berakhirnya jangka waktu perjanjian (early termination) dalam hal
perjanjian kerjasama tersebut menyebabkan atau diindikasikan akan menyebabkan
kesulitan pelaksanaan tugas pengawasan OJK.
(i) Memenuhi tingkat layanan sesuai dengan perjanjian tingkat layanan (service level
agreement) antara BPR dan pihak penyedia jasa teknologi informasi.
2. BPR wajib menyampaikan laporan realisasi kerja sama dengan penyedia jasa Teknologi
Informasi paling lambat 10 (sepuluh) hari kerja sejak penyelenggaraan Teknologi
Informasi BPR oleh penyedia jasa Teknologi Informasi efektif beroperasi.
3. BPR wajib melaporkan kepada Otoritas Jasa Keuangan mengenai kejadian kritis,
penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan Teknologi Informasi yang
dapat atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau
mengganggu kelancaran operasional BPR atau BPRS. Laporan ini wajib disampaikan
melalui surat elektronik (e-mail) atau telepon paling lambat 1 (satu) hari setelah
kejadian kritis, penyalahgunaan dan/atau kejahatan diketahui, yang diikuti dengan
laporan tertulis paling lambat 7 (tujuh) hari kerja sejak kejadian kritis, penyalahgunaan
dan/atau kejahatan diketahui.