DI KABUPATEN INDRAMAYU
TAHUN 2022
A. Metodologi …………………………………………………………………………….
B. Pendekatan Dan Ruang Lingkup
…………………………………………………….
a. Pendekatan
……………………………………………………………….............
b. Ruang Lingkup
…………………………………………………………………..
A. Pengumpulan Data
……………………………………………………………………
B. Kondisi Saat Ini ……………………………………………………………………….
C. Kondisi Umum dan Kesimpulan …………………………………………………….
D. Kondisi Ideal ………………………………………………………………………….
BAB I PENDAHULUAN
A. Latar Belakang
Internet merupakan sebuah media pertukaran informasi dan data yang terbuka, artinya internet
dapat diakses oleh siapa saja, kapan saja dan darimana saja. Dengan berbagai kecanggihan
sarana komunikasi modern tersebut, internet sangat rentan terhadap serangan sistem informasi.
Tanpa adanya sistem keamanan terhadap informasi membuat sistem informasi yang dimiliki
individu, organisasi bahkan instansi pemerintahan menjadi sangat rentan terhadap adanya
upayaupaya penyerangan sistem informasi1.
Perspektif masyarakat tentang Teknologi Informasi dan Komunikasi telah bergeser dari Nilai
Aset Bersih (NAB)4 ke Nilai Aset Informasi. Dalam konteks keamanan informasi, informasi
diartikan sebagai sebuah aset yang sangat bernilai dan harus dilindungi. Hal ini dapat bermakna
bahwa informasi dalam sebuah perangkat PC atau infrastruktur TIK bahkan menjadi lebih
berharga dari pada infrastruktur TIK tersebut secara fisik. Dengan demikian, hilang atau
rusaknya sebuah informasi berharga dapat menyebabkan kerugian besar. Seiring dengan
Strategi keamanan informasi menentukan arah semua kegiatan keamanan informasi. Komponen
regulasi dan kebijakan keamanan informasi adalah dokumen rencana tingkat tinggi dari
keamanan informasi seluruh organisasi. Kebijakan berisi kerangka kerja untuk membuat
keputusan spesifik, seperti rencana keamanan fisik dan administratif. ini merupakan rumusan
untuk mengatasi permasalah Keamanan Informasi Nasional. Dengan adanya peraturan dan
strategi maka akan mempertegas serta memperjelas cara untuk mengatasi permasalahan
keamanan informasi.
Dalam penerapan TIK, faktor keamanan informasi merupakan aspek yang sangat penting
diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu
objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut
kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability). Tujuan utama
dari Tata Kelola keamanan informasi pada organisasi/ instansi pemerintah adalah untuk
mengurangi dampak yang merugikan instansi sampai pada tingkatan yang bisa diterima oleh
instansi.
Keamanan informasi mencakup semua jenis informasi, baik fisik dan elektronik. Pada
implementasi sehari-hari dalam instansi, keamanan informasi melindungi semua aset informasi
terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak berhak
ataupun kerusakan informasi.
Tata Kelola Keamanan Informasi dalam sebuah korporasi atau organisasi apapun di aplikasikan
dalam wujud sebuah sistem, yaitu ISMS (information security management system) atau Sistem
Manajemen Keamanan Informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk
merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk
secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta
ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi. Komponen
Kebijakan keamanan informasi yang tercakup dalam tata kelola keamanan informasi adalah
Setiap elemen harus mengacu pada standar keamanan yang telah ditetapkan dalam mewujudkan
kemanan informasi. Standar keamanan informasi harus khusus dan spesifik sehingga mereka
dapat diterapkan ke semua bidang keamanan informasi. Setiap negara perlu mengembangkan
standar sesudah menganalisis standar keamanan administratif, fisik dan teknis yang banyak
digunakan di dunia. Standar haruslah sesuai dengan lingkungan TIK yang umum. Standar
keamanan informasi harus khusus dan spesifik sehingga dapat diterapkan ke semua bidang
keamanan informasi. Organisasi Internasional untuk
Practice (SOGP) yang lebih berdasarkan praktik dari pengalaman mereka. Kerangka Manajemen
Teknologi Informasi (TI) lain seperti COBIT dan ITIL juga menyentuh masalah-masalah
keamanan walaupun lebih terarah pada kerangka Tata Kelola secara umum. Dari standar seri
ISO
27000 hingga September 2011, standar ISO/IEC 27001: 2005 telah diadopsi Badan Standarisasi
Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI
ISO/IEC 27001: 2009. Pada struktur keseluruhan proses SMKI diterapkan model PLAN-DO-
CHECK-ACT (PDCA).
Dalam sebuah pelayanan publik yang diselenggarakan oleh pemerintah, TIK merupakan sebagai
pendukung layanan agar layanan dapat disampaikan dengan efektif dan efisien. Hal ini
dikemukakan dalam penelitian yang dilakukan oleh Saheer Al-Jaghoub, Hussein Al-Yaseen and
IT Governance Institute (ITGI, 2003) menunjukkan bahwa tata kelola TI berkaitan dengan
penyampaian nilai TI bagi bisnis dan mitigasi risiko TI. Nilai TI didorong oleh keselarasan
strategis TI dengan tujuan bisnis, mitigasi risiko TI disampaikan dengan menanamkan
akuntabilitas ke dalam organisasi. Lebih lanjut lagi, menurut Tenver A. Zia (Zia, 2010), hal ini
menyebabkan lima area fokus utama tata kelola TI. Dua di antaranya adalah hasil, yaitu:
penyampaian nilai TI dan manajemen risiko. Tiga fokus lainnya adalah pendorong, antara lain:
keselarasan strategis, manajemen sumber daya, dan manajemen kinerja. Dalam rangka untuk
memberikan keamanan di layanan manajemen TI dan tata kelola TI, keselarasan strategis TI dan
manajemen risiko harus ditangani dengan baik.
Meskipun ada banyak karakteristik untuk tata kelola keamanan TI, namun sulit untuk
dikontekstualisasikan. Best Practice menyatakan bahwa tata kelola keamanan TI mendefinisikan
inti prinsip-prinsip keamanan TI, akuntabilitas dan tindakan organisasi, untuk memastikan
pencapaian tujuan. Departement of Broadband, Communications and the Digital Economy,
Australia mendefinisikan Tata Kelola Keamanan Informasi sebagai penetapan dan penegakan
B. Tujuan
1. Menginventarisasi pola keamanan dari aspek komunikasi jaringan , perangkat keras, dan
perangkat lunak perangkat daerah Pemerintah
Kabupaten Indramayu
2. Dalam rangka memfasilitasi keamanan data dan informasi serta sistem secara
komputerisasi dengan mudah
4. Memberikan hasil yang maksimal untuk keamanan informasi dan komunikasi public
A. Metodologi
Metode penelitian yang digunakan adalah metode deskriptif kualitatif yaitu hasil
penelitian disajikan dalam bentuk narasi deskripsi. Pendekatan kualitatif dilakukan
dalam penelitian ini yaitu dengan merincikan Sistem Manajemen Keamanan Informasi
(SMKI) di Pemerintah Kabupaten Indramayu dengan standard yang ada pada ISO/IEC
27001:2013. Dalam penerapan standar ISO/IEC 27001 pada Sistem Manajemen
Keamanan Informasi (SMKI) Pemerintah Kabupaten Indramayu, maka kami akan
berpedoman pada Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021
Tentang Pedoman Manajemen Keamanan Informasi dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik.
Pada prinsipinya metodologi penyusunan dokumen Rencana Induk SMKI
Kabupaten Indramayu tahun ini mencakup beberapa langkah berikut:
Berikut adalah pendekatan yang digunakan dan ruang lingkup dokumen Rencana
Induk SMKI Kabupaten Indramayu
Pendekatan
Ruang Lingkup
2) Aplikasi SPBE
Pada gambar diatas dapat dilihat bahwa 43,4% website di dunia menggunakan wordpress,
dan sebesar 65,3% wordpress menguasai market share CMS seluruh dunia. Namun dibalik
Keterangan Warna
Peraturan baru BSSN nomor 4 tahun 2021 tentang Pedoman Manajemen Keamanan
Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik maka dibutuhkan penyesuaian
Peraturan Bupati Kabupaten Indramayu nomor 19 Tahun 2020 dalam Kebijakan
Keamanan Informasi untuk mendukung terwujudnya Sistem Manajemen Keamanan
Informasi (SMKI) Pemerintah Daerah Kabupaten Indramayu berdasarkan Peraturan
Badan Siber dan Sandi Negara Nomor 4 tahun 2021 yang dianggap lebih relevan dan
sesuai standar ISO 27001/2013. Adapun dibawah ini kami cantumkan beberapa Peraturan
Kebijakan Keamanan Informasi yang sudah diterbitkan dan disahkan sebagai referensi :
No Judul
1 PERATURAN NOMOR 92 TAHUN 2021 tentang PEDOMAN MANAJEMEN
KEAMANAN INFORMASI SISTEM PEMERINTAHAN BERBASIS
ELEKTRONIK DAN PELAKSANAAN PERSANDIAN UNTUK
PENGAMANAN INFORMASI
Selanjutnya, dari berbagai macam sumber referensi, Penyedia jasa konsultan membuat
pentahapan keamanan sistem untuk sebuah entitas. Tahapan tersebut adalah sebagai
berikut:
Level 0 : Ground
Organisasi harus melindungi semua aset IT-nya. Langkah pertama adalah melakukan
audit menyeluruh dan membuat inventaris aset lengkap yang mencakup semua
perangkat keras fisik, sumber daya cloud, dan penyimpanan yang menyimpan data
rahasia seperti kata sandi. Ini harus menjadi latihan yang berkelanjutan karena, seiring
pertumbuhan organisasi, aset baru ditambahkan.
Level 1 : Essential
Tingkat selanjutnya dari piramida kami melibatkan perubahan semua kata sandi
bawaan, pengaturan, konfigurasi, aturan firewall, port, dan lain sebagainya, untuk
meminimalkan risiko pelanggaran. Penjahat dunia maya mencari titik akses terlemah
ke jaringan dan sistem organisasi, dan titik akses tersebut biasanya merupakan
pengaturan bawaan dan konfigurasi sistem dan kombinasi kata sandi bawaan atau
Level 2 : Basic
Setelah mengubah semua kebijakan standar Teknologi Informasi, akses jaringan ke
aset fisik dan virtual harus dibatasi dengan tepat. Ini akan memerlukan konfigurasi
firewall khusus dengan pengaturan lanjutan, deteksi intrusi, dan solusi perangkat
lunak antivirus (yang perlu dikonfigurasi dengan baik dan diperbarui secara berkala),
autentikasi berbasis RFID, serta pengujian dan audit keamanan data reguler.
Level 3 : Elevated
Level ini melibatkan pemisahan tugas, pemisahan peran, dan prinsip IAAA.
Pemisahan tugas berarti menghindari penggunaan bersama perangkat keras, perangkat
lunak, dan jaringan yang memiliki tujuan berbeda. Misalnya, menggunakan komputer
yang sama untuk penyimpanan data dan penerapan web dapat membahayakan seluruh
jaringan. Meskipun pemisahan tugas tidak hemat biaya, hal itu mengurangi banyak
risiko dan dapat membatasi dampak pelanggaran dengan mengurangi jumlah
komponen yang dapat diakses penyerang.
Pemisahan peran berarti memberikan akses ke file, sistem, atau perangkat hanya
kepada pengguna yang membutuhkannya. Jumlah pengguna yang diizinkan untuk
mengakses platform, sistem operasi, atau perangkat apa pun harus dibatasi sebanyak
mungkin, izin harus diberikan secara individual, dan identitas semua pengguna yang
memiliki akses ke aset tertentu harus diketahui setiap saat.
«IAAA» singkatan dari identifikasi, otentikasi, otorisasi, dan audit. Mengikuti prinsip
IAAA membantu memastikan bahwa data selalu terlindungi secara menyeluruh.
Level 4 : Advanced
Level Advanced dicapai hanya ketika dokumen internal dikategorikan (berlabel
keamanan) dan dilindungi dengan akses berbasis izin. Pemisahan yang lebih luas ini
mutlak diperlukan bagi usaha menengah dan besar yang tersebar di banyak lokasi.
Dokumen harus diklasifikasikan sebagai Publik, Pribadi, atau Dilindungi, dan izin
akses dapat diatur untuk membuka, membaca, mengedit, dan mengunduh. Misalnya,
seorang CEO mungkin memiliki izin untuk mengakses laporan keuangan untuk
dibuka, dibaca, diedit, dan diunduh, sedangkan kepala departemen mungkin hanya
memiliki akses baca.
Level ini juga mencakup penggunaan alat manajemen kata sandi seperti autentikasi
multifaktor dan alat manajemen kunci seperti AWS KMS, Azure Key Vault, atau
HashiCorp Vault. Alat-alat ini membantu memastikan bahwa kata sandi kuat,
disimpan dengan aman, dan dikelola dengan benar.
Level 5 : Endurance
Level 6 : Trust
Level ini adalah tentang meningkatkan aspek keamanan manusia.
Selalu lakukan penyaringan SDM menyeluruh saat merekrut personel baru untuk
posisi kunci. Karyawan baru harus layak dipercaya dalam memperhatikan keamanan
dan penanganan informasi rahasia.
Pemasok dan vendor juga harus diperiksa dengan cermat. Jika ada celah atau
kelemahan keamanan yang signifikan teridentifikasi, desaklah agar hal itu ditangani.
Terakhir, pemindaian Dark Web sangat penting untuk menentukan apakah ada data
organisasi yang dimiliki oleh peretas.
Untuk perlindungan tambahan, serangan dapat disimulasikan untuk menguji
bagaimana sistem akan berperilaku dan menghilangkan kelemahan.
Level 7 : Paranoia
Level ini untuk perusahaan yang ingin menambahkan lapisan keamanan ekstra untuk
informasi berharga mereka.
Salah satu langkah yang baik adalah membangun Pusat Operasi Keamanan yang
menangani semua permintaan keamanan dan bertanggung jawab untuk mencegah dan
menanggapi insiden keamanan. Perangkat lunak pendeteksi ancaman dapat
diintegrasikan dengan sistem organisasi untuk menemukan pola perilaku karyawan
yang tidak biasa, potensi malware, phishing, spamming, dan serangan serupa lainnya.
Sistem akses biometrik dengan pemindaian retina, pengenalan suara, atau autentikasi
sidik jari dapat memperketat akses ke tempat, perangkat keras, dan titik akhir. Izin
keamanan mungkin diperlukan untuk bekerja dengan informasi rahasia, rahasia, dan
sangat rahasia. (Setiap negara memiliki tingkatan dan norma yang berbeda).
Ada banyak tindakan lain yang dapat diambil untuk meningkatkan pengendalian
sistem internal, tetapi pendekatan yang disajikan di tingkat 0 sampai 6 sudah cukup
untuk sebagian besar perusahaan.
Dari berbagai kondisi yang telah disampaikan sebelumnya, status Sistem Manajemen
Keamanan Informasi di Pemerintah Daerah Kabupaten Indramayu dapat disimpulkan
berada di level 1 (Essential) dimana, penggunaan Firewall, port dan keamanan
standar lainnya sudah diimplementasikan namun belum dapat masuk ke level 2
(Basic) karena banyak komponen yang belum dilaksanakan, salah satu contohnya
adalah akses jaringan ke data center oleh pihak ke 3 atau penyedia belum
menggunakan VPN atau 2 factor authentication.
D. Kondisi Ideal
1) Standarisasi Keamanan Informasi
ISO 27001 merupakan standar internasional keamanan informasi yang memuat
persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsep-konsep
keamanan informasi yang berlaku secara internasional pada sebuah organisasi.
Standar ISO 27001 menyatakan persyaratan utama yang harus dipenuhi menyangkut:
• Konteks Organisasi
• Kepemimpinan
• Perencanaan
• Support
• Operasional ·
• Evaluasi Kinerja ·
• Improvement
Framework ini membantu dalam sisi teknologi dari DevOps dalam pelaksanaan
continuous integration dan continuous delivery (CI / CD) sehingga menjadi lebih mulus
dan dapat tercapai.
Lebih cepat
menanggapi Karena siklus pengembangan dipersingkat, Architecture microservices mendukung
kebutuhan penerapan dan update yang lebih gesit.
pasar
Sangat Scalabl Saat permintaan untuk service tertentu tumbuh, Anda dapat menerapkan di
e beberapa server, dan infrastruktur, untuk memenuhi kebutuhan Anda.
Service Independent ini jika dibangun dengan benar tidak akan berdampak satu
Handal sama lain. Artinya, jika salah satu bagian gagal, seluruh aplikasi tidak akan mati,
tidak seperti model aplikasi Monolithic.
Karena aplikasi yang lebih besar dipecah menjadi bagian-bagian yang lebih kecil,
developer dapat lebih mudah memahami, memperbarui, dan menyempurnakan
Aksesibilitas
bagian tersebut, menghasilkan siklus pengembangan yang lebih cepat, terutama
jika dikombinasikan dengan metodologi pengembangan yang gesit.
E. GAP analisis
Pada penerapan Sistem Manajemen Keamanan Informasi selanjutnya akan kami sebut SMKI
akan dijelaskan dengan 3 bagian utama yang merupakan panduan pekerjaan yang merupakan
hasil Analisa dari Bab sebelumnya yaitu : Standarisasi ISO 27001, Pembuatan peraturan
(policy) dan arsitektur keamanan informasi (aplikasi dan infrastruktur).
Dokumen ISO 27001 yang kami gunakan menggunakan versi oktober 2013 yang sudah
terbukti efektif dan menjadi dasar BSSN dalam penyusunan peraturan Nomor 4 Tahun
2021 meskipun ISO 27001 versi 2022 sudah resmi dipublikasikan.
Menerapkan Sistem Manajemen Keamanan Informasi (SMKI) atau secara literatur dalam
dokumen publikasi ISO 27001 disebut dengan ISMI yang merupakan singkatan dari
Tim implementasi akan menggunakan mandat proyek mereka untuk membuat garis besar
yang lebih rinci tentang tujuan, rencana, dan daftar risiko keamanan informasi mereka.
Ini termasuk menetapkan kebijakan tingkat tinggi untuk SMKI yang menetapkan:
a. Peran dan tanggung jawab.
b. Aturan untuk perbaikan terus-menerus.
c. Bagaimana meningkatkan kesadaran proyek melalui komunikasi internal dan
eksternal.
Perencanaan implementasi SMKI sendiri dapat menggunakan masterplan ini sebagai
acuan penerapan SMKI di Kabupaten Indramayu.
Penerapan SMKI dapat menggunakan model apa pun asalkan persyaratan dan prosesnya
didefinisikan dengan jelas, diterapkan dengan benar, dan ditinjau serta ditingkatkan
secara berkala.
Pemerintah Kabupaten Indramayu juga perlu membuat kebijakan SMKI. Ini tidak perlu
dirinci; itu hanya perlu menguraikan apa yang ingin dicapai oleh tim implementasi
Keamanan SPBE dan bagaimana tim pelaksana berencana untuk melakukannya.
Pada titik ini, Anda dapat mengembangkan sisa struktur dokumen Anda. Kami
merekomendasikan penggunaan strategi empat tingkat:
a. Kebijakan di atas, menentukan posisi organisasi pada isu-isu spesifik, seperti
penggunaan yang dapat diterima dan pengelolaan kata sandi.
b. Prosedur untuk memberlakukan persyaratan kebijakan.
c. Instruksi kerja yang menjelaskan bagaimana karyawan harus memenuhi kebijakan
tersebut.
d. Catatan pelacakan prosedur dan instruksi kerja
Langkah selanjutnya adalah mendapatkan pemahaman yang lebih luas tentang kerangka
SMKI. Proses ini diuraikan dalam pasal 4 dan 5 standar ISO 27001. Langkah ini sangat
penting dalam menentukan skala SMKI Kabupaten Indramayu dan tingkat jangkauannya
dalam penerapan SMKI dilingkungan Pemerintah Daerah Indramayu pada aktifitas
sehari-hari. Dengan demikian, tim pelaksana harus mengenali semua yang relevan
dengan Pemerintah Daerah sehingga SMKI dapat memenuhi kebutuhan Pemerintah
Daerah Kabupaten Indramayu.
Bagian terpenting dari proses ini adalah menentukan ruang lingkup SMKI Kabupaten
Indramayu. Ini melibatkan identifikasi lokasi penyimpanan informasi, apakah itu file fisik
atau digital, sistem, atau perangkat portabel.
Mendefinisikan ruang lingkup Anda dengan benar adalah bagian penting dari proyek
implementasi SMKI Kabupaten Indramayu.
Jika ruang lingkup SMKI terlalu kecil, hal tersebut sama saja membiarkan informasi
terbuka, membahayakan keamanan informasi di Kabupaten Indramayu. Namun jika
cakupan ruang lingkupnya terlalu luas, SMKI akan menjadi terlalu rumit untuk dikelola.
Garis dasar keamanan organisasi adalah tingkat aktivitas minimum yang diperlukan
untuk menjalankan SPBE dengan aman. Tim pelaksana dapat mengidentifikasi garis
dasar keamanan dengan informasi yang dikumpulkan dalam penilaian risiko ISO 27001.
Ini akan membantu tim pelaksana mengidentifikasi kerentanan keamanan paling
signifikan di organisasi Anda dan kontrol ISO 27001 yang sesuai untuk mengurangi
risiko (diuraikan dalam Lampiran A Standar ).
Manajemen risiko adalah inti dari SMKI. Hampir setiap aspek sistem keamanan
organisasi dalam hal ini Pemerintah Kabupaten Indramayu didasarkan pada ancaman
yang telah tim pelaksana identifikasi dan prioritaskan, menjadikan manajemen risiko
sebagai kompetensi inti untuk setiap organisasi yang menerapkan ISO 27001. Standar
memungkinkan organisasi untuk menentukan proses manajemen risiko mereka sendiri.
Metode umum berfokus pada risiko terhadap aset tertentu atau risiko yang disajikan
dalam skenario tertentu.
Penerapan rencana penanganan risiko adalah proses membangun kontrol keamanan yang
akan melindungi aset informasi Pemerintah Kabupaten Indramayu. Untuk memastikan
kontrol ini efektif, tim pelaksana harus memeriksa apakah seluruh ASN dan pegawai
yang bekerja dilingkungan Pemerintah Daerah dapat mengoperasikan atau berinteraksi
dengan kontrol dan mengetahui kewajiban keamanan informasi mereka. Tim pelaksana
SMKI juga perlu menyusun proses untuk menentukan, meninjau, dan mempertahankan
kompetensi yang diperlukan untuk mencapai tujuan SMKI Pemerintah Kabupaten
Indramayu.
Tim pelaksana SMKI tidak akan dapat mengetahui apakah SMKI pemerintah Kabupaten
Indramayu berfungsi atau tidak kecuali dilakukan peninjauan. Kami merekomendasikan
Setelah SMKI diterapkan, Anda dapat memilih untuk mencari sertifikasi SNI/ISO 27001,
dalam hal ini Tim pelaksana perlu mempersiapkan audit eksternal.
Audit sertifikasi dilakukan dalam dua tahap. Audit awal menentukan apakah SMKI
Kabupaten Indramayu telah dikembangkan sesuai dengan persyaratan ISO 27001. Jika
auditor puas, mereka akan melakukan investigasi yang lebih menyeluruh.
Tim pelaksana harus yakin dengan suksesnya penerapan SMKI untuk mensertifikasi
sebelum melanjutkan ke tahap ini, hal ini dikarenakan prosesnya memakan waktu dan
masih akan dikenakan biaya jika proses sertifikasi langsung gagal.
Hal lain yang harus Tim pelaksana SMKI ingat adalah lembaga sertifikasi mana yang
harus dipilih. Ada banyak pilihan, tetapi Anda harus memastikan mereka diakreditasi
oleh badan sertifikasi nasional, yang harus menjadi anggota IAF (Badan Akreditasi
Internasional).
Hal ini memastikan bahwa tinjauan tersebut benar-benar sesuai dengan ISO 27001,
berbeda dengan badan yang tidak bersertifikat, yang sering berjanji untuk memberikan
sertifikasi terlepas dari postur kepatuhan organisasi pada pedoman sertifikasi ISO 27001.
Biaya audit sertifikasi mungkin akan menjadi faktor utama saat memutuskan badan mana
yang akan dipilih, tetapi itu seharusnya bukan satu-satunya perhatian Tim pelaksana
Agar lebih memahami aspek-aspek kebutuhan keamanan data dan informasi dalam
rancangan Sistem Manajemen Keamanan Informasi (SMKI) di Kabupaten Indramayu
maka kami buatkan Mind Mapping aspek SMKI dibawah ini :
C.1 Aplikasi
1) Arsitektur Aplikasi
Sistem Informasi yang mendukung SPBE di Kabupaten Indramayu sebaiknya diubah
dari arsitektur monolitik menjadi arsitektur berorientasi service. Hal tersebut
akan mewujudkan SPBE yang lebih aman dikarenakan operasional pengamanan data
dan informasi dapat berfokus pada beberapa service saja dibandingkan harus
memperhatikan keamanan dari banyaknya aplikasi dengan arsitektur monolitik
seperti yang sekarang dimiliki pemerintah Kabupaten Indramayu.
Service yang kami maksud dalam hal ini adalah ruang lingkup informasi yang
dimiliki oleh Satuan Kerja Perangkat Daerah (SKPD). Dibawah ini kami contohkan
beberapa service tersentralisasi sesuai SKPD.
a. Data Kepegawaian dimiliki oleh BKPSDM
b. Data Barang Milik Daerah dimiliki oleh Badan Keuangan Daerah (BKD)
c. Data Kependudukan dimiliki oleh Disdukcapil
d. Data Ketenaga Kerjaan dimiliki oleh Disnaker
e. Data Inftastruktur dimiliki oleh Dinas PUPR
f. dst
Informasi dan data yang menjadi milik SKPD tersebut beberapa diantaranya sudah
dikelola secara elektronik dengan menggunakan aplikasi yang dikelola oleh SKPD
masing-masing dan seluruhnya masih dibangun dengan arsitektur monolitik dimana
setiap modul aplikasi beserta basis data hanya untuk kebutuhan 1 (satu) aplikasi saja.
Transformasi arsitektur aplikasi menjadi SOA yang dalam hal ini kami memberikan
usulan menggunakan arsitektur microservice dapat mewujudkan SPBE yang :
a. Data dan Informasi menjadi aman apabila mengikuti pedoman system
security yang ada.
b. Data dan Informasi menjadi aktual karena pembaharuan data dan
penggunaannya secara real time melalui API.
c. Mewujudkan Indramayu 1 data.
d. Pengembangan aplikasi baru akan lebih cepat karena dapat menggunakan
API service yang tersedia untuk kebutuhan beberapa modul.
Sebagai contoh, apabila salah satu program bupati unggulan yaitu Lacak Aset Daerah
(LADa) hendak dibuatkan aplikasi untuk mendukung program tersebut yang
memiliki fitur melacak kendaraan dinas dan pegawai yang memakainya. Maka
developer aplikasi tidak perlu repot mengimport data aset dan kepegawaian secara
manual dan tidak perlu khawatir data yang dimiliki tidak valid karena misalnya,
terjadi barang hilang/TGR atau mutasi pegawai. Selanjutnya aplikasi yang sedang
dibangun tersebut bisa berfokus pada fitur menyimpan informasi yang
menghubungkan antara aset milik daerah (kendaraan dinas) dan pegawai.
1) Manajemen Firewall
Agar data dan informasi Pemerintah Kabupaten Indramayu terlindungi, maka aspek
keamanan dan prosedur yang sudah dijelaskan di dalam tabel daftar kebutuhan
keamanan data dan informasi untuk pengamanan di lingkup Keamanan Jaringan
Intra Pemerintah. Agar aspek dan prosedur tersebut terpenuhi maka kami
menyarankan penggunaan alat bantu cyber security yang sudah beredar dipasaran,
dalam hal ini kami akan menggunakan Sophos sebagai contoh sebagai One Stop
Solution pengamanan infrastruktur jaringan. Sophos dapat dimanage oleh Dinas
Komunikasi dan Informatika Kabupaten Indramayu dan berfungsi untuk seluruh
jaringan SIDT yang tersebar di kecamatan dan SKPD. Dibawah ini adalah contoh
usulan topologi jaringan yang diamankan menggunakan firewall Sophos di
Diskominfo Indramayu sebagai kantor pusat dan SIDT BKPSDM sebagai kantor
cabang.
2) Data Center
Data center yang handal diperlukan untuk mendukung penerapan SMKI. Dinas
Komunikasi dan Informatika yang nantinya akan menjadi pusat leading sektor
pengelolaan teknologi informasi , selayaknya perlu dibangun data center yang handal
untuk menampung semua server dari semua dinas dan lembaga yang ada di Pemda
Kabupaten Indramayu.
Dengan data center terpusat yang terpusat mempunyai keuntungan :
Dinas-dinas atau lembaga pemerintahan dapat lebih fokus pada tugas
utamanya dan meminimalkan kompleksitas IT
Dinas tidak lagi dipusingkan dengan masalah server crash, pemutakhiran
teknologi ataupun hardware, cabling, connection, dan proses
pemeliharaannya.