PELAYANAN
Pelayanan Pelayanan SPGDT Pelayanan Pelayanan Pelayanan Dukungan KESEHATAN
Kesehatan Kesehatan 119 Tenaga Tenaga Kesehatan dan KONVENSIONAL
Primer Lanjut Sosial Perawat Rumah Bantuan
Sosial
https://teknologi.bisnis.com/read/20200416/84/1228246/belajar-dari-kasus-wannacry-rs-perlu-amankan-data-medis-pandemi-covid-19
Kasus Keamanan di Era Pandemi
• Phishing melalui e-mail
• Situs malware menyamar sebagai peta Covid-19
• Situs palsu serupa Univ John Hopkins
• Pemerasan (ransomware)
https://www.cnnindonesia.com/teknologi/20200317075216-185-484078/pakar-it-rumah-sakit-rentan-kena-serangan-siber-kala-corona
• Kepmenkes 844/2006 Standar Kode Data
https://www.colleaga.org/sites/default/files/attachments/IG_Principles.pdf
Akuntabilitas
• Audit harus dilakukan untuk memastikan bahwa:
• SDM memahami ttg Tata Kelola Informasi
• SDM dilatih dalam praktik, kebijakan, dan tanggung jawab tata kelola informasi
• Informasi dilindungi, diakses, disimpan, dan dirilis dengan benar dengan jejak
audit yang terdokumentasi dengan baik
• Informasi tersedia kapan dan di mana diperlukan
• Informasi tersedia dipertahankan untuk waktu yang tepat dan ditempatkan
dengan benar ketika tidak lagi diperlukan
• Kebijakan selalu mutakhir, diadopsi, dan mencakup semua jenis informasi di
semua media
Transparansi
• Catatan dan informasi adalah bukti yang paling jelas dan paling tahan
lama terkait operasional, keputusan, aktivitas, dan kinerja organisasi.
• Untuk memastikan hal tersebut, catatan ini harus:
• Merupakan dokumentasi prinsip dan proses yang mengatur program
• Merupakan dokumentasi yang akurat dan lengkap untuk setiap kegiatan yang
dilakukan
• Dapat dibuka untuk pihak yang berkepentingan yang sah dan tepat waktu
Integritas
• RS harus dapat membuktikan bahwa informasi adalah otentik, tepat
waktu, akurat, dan komplet, sehingga dapat dipercaya
• Integritas informasi harus memenuhi aspek keselamatan, kualitas
perawatan, dan kepatuhan, sehingga bbrp syarat ini harus dipenuhi:
• Memenuhi kebijakan dan prosedur organisasi
• Diatur dan dikelola SDM yang sudah terlatih
• Dapat diandalkan
• Dapat diakses untuk keperluan litigasi (penyelesaian sengketa di pengadilan)
• Memiliki rekam jejak audit
• Sistem yang andal yang digunakan untuk mengatur informasi
Proteksi
• SDM di organisasi harus:
• Menerapkan pengamanan yang wajar untuk membatasi pengungkapan
insidental PHI dan PII
• Menerima pelatihan tentang kebijakan dan prosedur pembuangan
• Tidak mengabaikan atau membuang informasi, khususnya PHI atau PII atau
informasi pribadi lainnya dalam wadah yang dapat diakses oleh publik atau
orang yang tidak berwenang lainnya
• Memberikan validasi metode pembuangan, waktu, tanggal, dan pihak yang
bertanggung jawab
Kepatuhan
• Setiap organisasi harus:
• Mencatat informasi yang lengkap sehingga nantinya dapat digunakan untuk
membuktikan nanti bahwa kegiatan telah dilakukan dengan cara yang sah.
• Mencatat informasi dengan cara yang konsisten dengan hukum dan peraturan.
• Menjaga informasi dengan cara dan untuk waktu yang ditentukan oleh hukum
atau kebijakan organisasi.
• Mengembangkan kontrol internal untuk memantau kepatuhan terhadap aturan,
peraturan, dan persyaratan program
Ketersediaan
• Sebuah organisasi yang sukses dan bertanggung jawab harus memiliki
kemampuan untuk mengidentifikasi, menemukan, dan mengambil
informasi yang diperlukan untuk mendukung kegiatan yang sedang
berlangsung.
• Informasi ini dapat digunakan oleh:
• Tim perawatan kesehatan, pasien, dan pemberi perawatan lainnya
• Anggota tenaga kerja yang berwenang dan pihak lain yang berwenang sesuai
dengan peraturan
• Otoritas hukum dan kepatuhan untuk tujuan penemuan dan tinjauan
peraturan
• Peninjau internal dan eksternal untuk tujuan termasuk tetapi tidak terbatas
pada: audit pembayar, audit keuangan, manajemen kasus, dan penjaminan mutu.
Retensi
• Organisasi harus mengembangkan jadwal penyimpanan informasi, yang
menentukan informasi apa yang harus disimpan dan untuk jangka waktu
tertentu.
• Hukum dan Peraturan—menentukan seberapa lama (minimum/maksimum) suatu
informasi harus disimpan
• Fiskal—Informasi keuangan atau pajak harus disimpan untuk memastikan pembayaran
kewajiban yang tepat waktu dan penerimaan piutang yang tepat, serta untuk
mendukung audit keuangan dan pengembalian pajak organisasi.
• Operasional—Organisasi harus menentukan berapa lama informasi diperlukan untuk
memenuhi kebutuhan operasionalnya.
• Klinis—Organisasi harus menentukan dan berapa lama informasi di agregat dan
berdasarkan jenis informasi harus disimpan untuk memenuhi kebutuhan klinis
• Peran/Misi—Berdasarkan peran dan/atau misi rumah sakit dalam industri perawatan
kesehatan, periode penyimpanan untuk semua atau jenis informasi tertentu dapat
ditetapkan di luar periode waktu jika tidak diperlukan. Misalnya informasi tentang
penelitian.
Disposisi
• Organisasi harus menyediakan disposisi yang aman dan tepat untuk
informasi yang tidak lagi diperlukan untuk dipelihara oleh undang-undang
yang berlaku dan kebijakan organisasi.
• Pada akhir periode penyimpanannya, informasi organisasi harus ditetapkan
untuk disposisi.
• Disposisi mencakup: penghancuran, perubahan permanen dalam penyimpanan
informasi (misal pengalihan ke pihak lain karena suatu hal)
• Dalam banyak kasus, disposisi yang tepat adalah penghancuran informasi, dalam hal ini
organisasi harus memastikan informasi tersebut diangkut dan dihancurkan dengan
cara yang aman dan bertanggung jawab terhadap lingkungan.
• Dalam beberapa kasus, organisasi perawatan kesehatan yang menghentikan bisnis
mereka dapat memilih untuk mentransfer catatan perawatan kepada pasien atau klien
yang terkait dengan mereka.
COBIT & ISO 27001 – Persamaan & Perbedaan
COBIT & ISO 27001 - Keterkaitan
Pertimbangan Layanan Awan
Cocok untuk komputasi awan Bisa dipertimbangkan untuk Cocok untuk komputasi awan
publik komputasi awan publik atau pribadi (atau virtualisasi di DC
pribadi sendiri)
25
Strategi Penerapan Komputasi Awan: Komputasi
Awan Pribadi atau Publik atau Hibrid ?
Pahami Semua Risiko
Komputasi Awan sebelum
Menerapkannya
ISO 31000 :
• Prinsip manajemen risiko
• Penerapan umum, dan
mencakup berbagai jenis
risiko dg konsekuensi
NEGATIF atau POSITIF
ISO 31000:2009
Ditujukan ke seluruh pemangku kepentingan di dalam organisasi,
termasuk :
• Pengambil keputusan
• Group manajemen risiko
• Manajemen dan analis risiko
• Para manajer
• Auditor internal dan kepatuhan
• Praktisi independen
27
Risiko menurut ISO 31000:2009
• Risiko tidak berarti kemungkinan kehilangan
• Risiko adalah dampak dari ketidakpastian pada objektif
28
Mengatur Risiko
ISO 31000:2009 memberikan pilihan bagaimana mengatur risiko :
Nilai
Apa yang kita dapat
Penerapan Teknologi Baru Mendorong Inovasi
dan Transformasi
Risiko
melalui Manajemen Risiko
1. Buat Risiko yang Jelas,
Terlihat, Bisa Diukur, dan
Bisa Ditangani
2. Kebanyakan lembaga
pemerintah tidak
memiliki manajemen
risiko secara natural
Bisa Ditangani
Jelas
Terlihat Bisa Diukur
31
Pelanggan Penyedia Layanan
Provider stack
33
Definisi Dampak
34
Identifikasi, Analisis Risiko &
Kontrol Kompensasi
• Libatkan semua pemangku
kepentingan
35
Klasifikasi Data
Klasifikasi Data
Definisi Contoh Data
Sektor Publik
Dokumen politik yang berkaitan dengan masalah
Informasi yang sangat sensitif jika bocor akan
negosiasi internasional, masalah teknis nilai militer,
Tingkat 3: Data menyebabkan kerusakan dahsyat bagi bangsa. Contohnya
proyek pemerintah besar seperti proposal untuk
Rahasia atau termasuk, informasi pertahanan rahasia, intelijen militer
menyesuaikan data audit internal negara (sebelum
Sangat Sensitif dan rencana, surat kabinet sensitif mengenai ekonomi dan
publikasi resmi), rahasia dagang, data teknis yang
kebijakan.
mendukung perjanjian transfer teknologi
Informasi sensitif yang jika bocor, menyebabkan kesulitan
administratif dalam sebuah departemen dan akan Bahan-bahan terbatas, data bisnis, email, dan sistem
mempengaruhi reputasi negara. Contohnya termasuk, CRM. Contohnya meliputi catatan keuangan dan rekam
Tingkat 2: Data
informasi intelijen biasa (tidak terkait ekonomis atau medis seperti catatan pendidikan pribadi, informasi
terbatas atau
politis), dokumen atau laporan mengenai pelatihan militer keuangan yang dapat diidentifikasi secara pribadi
Sensitif
atau polisi, makalah pemeriksaan, informasi yang (personally identifiable finansial information = PIFI),
membawa keuntungan finansial jika terpapar sebelum informasi kesehatan yang terlindungi
waktunya.
Tingkat 1: Data Ini mencakup data pemerintah yang dianggap tidak
Open Data, informasi yang tersedia untuk umum
tidak diklasifikasikan dan dapat dikonsumsi secara eksternal.
termasuk situs web informasi, sistem terminologi,
terklasifikasi atau Contohnya termasuk, website yang menghadap ke publik,
standar, daftar praktisi
non-sensitif email, komunikasi umum, data IoT.
Keamanan Data
1. Enkripsi
a) Kunci dipegang
Provider Enhanced
SQL Server SQL
b) Kunci dipegang Library
Pihak Ketiga
c) Kunci dipegang
user langsung
Data set CIPHERTEXT
2. Penganoniman Customer Credit card # Exp.
3. Penutupan
a) Substitusi
b) Pengacakan
c) Enkripsi Column master key Column encryption key
Kesimpulan
1. Pemanfaatan teknologi tidak dapat dihindari
2. Penerapan teknologi harus diimbangi oleh peningkatan SDM dan Proses
3. Regulasi selalu terlambat, namun regulasi mendorong pemanfaatan teknologi,
termasuk penggunaan komputasi awan
4. Tim legal harus mempelajari apakah penerapan suatu teknologi sudah sesuai
dengan regulasi yang ada
5. Untuk memastikan Keamanan Informasi diperlukan Tata Kelola Informasi yang
baik
6. Standar ISO dapat dikombinasikan dengan Praktik Terbaik COBIT
7. Penerapan teknologi komputasi awan memerlukan analisis Manajemen Risiko
8. Kemenkes perlu membuat peraturan yang lebih jelas tentang Klasifikasi Data
9. Melalui Klasifikasi Data RS dapat menerapkan teknik Keamanan Data yang layak