Pre-Assessment Trustmark R09
Pre-Assessment Trustmark R09
DISCLAIMER:
1. Hasil pengisian dalam dokumen ini menggambarkan kon
kelola yang saat ini terjadi pada faskes responden.
2. Informasi yang terdapat dalam dokumen ini bersifat R
dan hanya didistribusikan ke mitra BPJS Kesehatan.
1. Hasil pengisian dalam dokumen ini menggambarkan kon
kelola yang saat ini terjadi pada faskes responden.
2. Informasi yang terdapat dalam dokumen ini bersifat R
dan hanya didistribusikan ke mitra BPJS Kesehatan.
em Informasi
sistem informasi ini
tan untuk mengukur
ayanan informasi TI,
merujuk pada standar
diterapkan organisasi.
ngkatan pengelolaan
an keselarasan dalam PETUNJUK PENGISIAN:
n. 1. Responden menjawab pertanyaan dengan car
salah satu pilihan jawaban yang telah disediakan
dengan kondisi saat ini.
Standar Teknis
Aspek teknis terdiri dari pengelolaan server, dat
pengembangan aplikasi dan pemeliharaan utilit
Manajemen Layanan TI
Aspek portofolio layanan, manajemen perubaha
kapasitas, resolusi dan pemenuhan, ketersediaa
keberlangsungan suatu layanan
Manajemen Keamanan TI
Aspek kemanan informasi, keamanan siber dan
data yang meliputi kontrol-kontrol organisasi, pe
fisik dan teknologi
nyaan dengan cara memilih
telah disediakan sesuai
Level 2 Berulang
manan siber dan privacy Mulai Konsisten
rol organisasi, personil,
Tidak Konsisten
Level 1 Pemahaman per
Tindak lanjut Identifikasi
dan lesson dan evaluasi
learn resiko
ACT PLAN
CHECK DO
Evaluasi apa Penerapan
yang sudah di kontrol yang
lakukan efektif
Memiliki tindak
lanjut evaluasi untuk Implementasi
peningkatan Optimal
Memiliki tindak
lanjut evaluasi untuk Implementasi
peningkatan Optimal
Evaluasi prosedur
dan penerapan Implementasi
Terukur Terkelola
Konsisten
Memiliki Prosedur Implementasi
Terdefinisi
Berulang Implementasi
Mulai Konsisten Berulang
Penerapan
kontrol yang
efektif
Survey Kematangan Prose
Provinsi :
Kabupaten :
Alamat :
Nomor Telepon :
Email Responden :
Nama Responden :
Jabatan :
Tanggal Pengisian :
Jika Layanan SIMRS dikelola oleh Pihak Ketiga (Vendor), mohon dapat mengisi pertanyaan berikut :
Sebutkan Nama Vendor :
Pengelola SIMRS
Survey Kematangan Proses Tata Kelola Sistem In
Version 0.8
Daerah_Khusus_Ibukota_Jakarta
10/10/2024
elola oleh Pihak Ketiga (Vendor), mohon dapat mengisi pertanyaan berikut :
Khanza
BPJS TrustMark
2 Standar Penggunaan Server Apakah mitra sudah menerapkan standar implementasi server secara konsisten ? Ya
3 Standar Penggunaan Server Apakah mitra sudah membuat standar formal yang menjadi rujukan Tidak
implementasi server ?
4 Standar Penggunaan Database Apakah mitra sudah menerapkan standar akses dan penggunaan data yang Tidak
tersimpan pada database ?
5 Standar Penggunaan Database Apakah mitra sudah menerapkan standar pencadangan data pada database Tidak
secara konsisten ?
6 Standar Penggunaan Database Apakah mitra sudah membuat standar ketentuan backup dan akses penggunaan Tidak
data dari database ?
7 Standar infrastruktur Jaringan Apakah mitra sudah menerapkan standar implementasi jaringan ? Tidak
8 Standar infrastruktur Jaringan Apakah mitra sudah menerapkan standar implementasi jaringan secara konsisten Tidak
?
9 Standar infrastruktur Jaringan Apakah mitra sudah membuat standar formal yang menjadi rujukan dari Tidak
implementasi infrastruktur jaringan ?
10 Standar Infrastruktur Firewall Apakah mitra sudah menerapkan standar implementasi firewall ? Tidak
11 Standar Infrastruktur Firewall Apakah mitra sudah menerapkan standar implementasi firewall secara Tidak
12 Standar Infrastruktur Firewall konsisten ? sudah membuat standar formal yang menjadi rujukan dari
Apakah mitra Tidak
implementasi infrastruktur Firewall?
13 Standar Siklus Hidup Pengembangan Aplikasi, Apakah mitra sudah menerapkan standar pengembangan aplikasi dan Tidak
Standar Keamanan Pengembangan Aplikasi, pengamanan cons-ID ?
Standar Repositori Source-Code,Standar
Penggunaan Kriptografi, Standar Pengamanan
Secret Key
14 Standar Siklus Hidup Pengembangan Aplikasi, Apakah mitra sudah menerapkan standar pengembangan aplikasi dan Tidak
Standar Keamanan Pengembangan Aplikasi, pengamanan cons-ID secara konsisten ?
Standar Repositori Source-Code,Standar
Penggunaan Kriptografi, Standar Pengamanan
Secret Key
15 Standar Siklus Hidup Pengembangan Aplikasi, Apakah mitra sudah membuat atau memiliki standar formal yang menjadi Tidak
Standar Keamanan Pengembangan Aplikasi, rujukan pengembangan aplikasi dan pengamanan cons-id ?
Standar Repositori Source-Code,Standar
Penggunaan Kriptografi, Standar Pengamanan
Secret Key
16 Prasarana & Penggunan Aset fisik dan non-fisk Apakah mitra sudah menerapkan standar fasilitas/prasarana pendukung Tidak
infrastruktur pengolahan data ?
17 Prasarana & Penggunan Aset fisik dan non-fisk Apakah mitra sudah menerapkan standar fasilitas/prasarana pendukung Tidak
infrastruktur pengolahan data secara konsisten ?
18 Prasarana & Penggunan Aset fisik dan non-fisk Apakah mitra memiliki prosedur pemeliharaan terhadap prasarana pendukung Tidak
layanan kritikal TI ?
Total
Rating
Standar Teknis
0.33
Standar Penggunaan Server 2.00
Standar Penggunaan Database 0.00
Standar infrastruktur Jaringan 0.00
Standar Infrastruktur Firewall 0.00
Standar Siklus Hidup Pengembangan Aplikasi, Standar0.00
Keamanan Pengembangan Aplikasi, Standar Repositori Source-Code,Standar Penggunaan
Prasarana & Penggunan Aset fisik dan non-fisk 0.00
(Petunjuk)
Penerapan autentikasi dan otorisasi yang kuat untuk akses server.
Pemasangan firewall dan perangkat lunak antivirus
Penggunaan server redundan untuk mencegah downtime
Penerapan sistem backup dan disaster recovery
Melakukan pemantauan server secara berkala
1 Penyampaian Layanan TI Apakah mitra melakukan proses komunikasi kepada seluruh pihak Ya
(unit kerja dan pimpinan) yang mendukung dan menggunakan
layanan TI ?
2 Penyampaian Layanan TI Apakah mitra melakukan proses koordinasi rutin dengan pihak yang Ya
mendukung layanan TI ?
3 Penyampaian Layanan TI Apakah mitra sudah memiliki prosedur formal yang berisi proses Tidak
koordinasi dan komunikasi layanan TI ?
4 Perencanaan Layanan TI Apakah mitra sudah melakukan proses merencanakan layanan TI Ya
(pengembangan baru atau perubahan) ?
5 Perencanaan Layanan TI Apakah mitra menjalankan reviu berkala terhadap proses Tidak
pengembangan layanan TI atau perubahan layanan TI ?
6 Perencanaan Layanan TI Apakah mitra memiliki prosedur formal terkait proses perencanaan Tidak
pengembangan atau perubahan layanan TI ?
7 Pengendalian pihak terkait dalam Apakah mitra memiliki daftar layanan/proses apa saja yang Ya
siklus Layanan TI dioperasikan oleh pihak lain/vendor ?
(Misal : Genset Listrik, Jaringan, pengembangan aplikasi)
8 Pengendalian pihak terkait dalam Apakah mitra sudah menerapkan pengukuran kinerja layanan/proses Tidak
siklus Layanan TI yang dioperasikan oleh pihak lain/vendor secara berkala ?
9 Pengendalian pihak terkait dalam Apakah mitra sudah memiliki prosedur formal yang mengatur proses Tidak
siklus Layanan TI dan kriteria pengukuran kinerja pihak lain/vendor, untuk menjamin
tingkat ketersediaan operasional layanan TI yang diharapkan ?
12 Katalog Layanan TI Apakah RS sudah memiliki prosedur untuk mengisi, mengubah dan Tidak
menghapus isi daftar layanan TI yang tersedia untuk pengguna ?
13 Konfigurasi Layanan TI Apakah aset TI (aplikasi, Server, PC) & konfigurasinya sudah dikelola ? Ya
16 Hubungan Pihak dalam Layanan TI Apakah TI sudah menjalankan tanggung jawab dalam menjaga Ya
layanan TI ?
17 Hubungan Pihak dalam Layanan TI Apakah TI sudah memiliki jalur komunikasi dengan pengguna layanan Ya
TI ?
18 Hubungan Pihak dalam Layanan TI Apakah memiliki prosedur yang mengatur tanggung jawab, jalur Tidak
komunikasi dan reviu kepuasan pengguna ?
19 Pemasok Layanan TI Apakah semua jasa/layanan yang digunakan oleh TI memiliki kontrak Ya
kerja ?
20 Pemasok Layanan TI Apakah sudah dilakukan evaluasi terhadap kinerja penyedia Ya
jasa/layanan ?
21 Pemasok Layanan TI Apakah memiliki ketentuan formal yang mengatur proses seleksi dan Tidak
evaluasi kinerja penyedia jasa ?
25 Manajemen Kebutuhan Layanan TI Apakah sudah menerapkan jalur permintaan layanan TI? Ya
26 Manajemen Kebutuhan Layanan TI Apakah sudah menerapkan cara untuk memperkirakan kebutuhan Tidak
akan layanan TI ?
27 Manajemen Kebutuhan Layanan TI Apakah ada ketentuan formal yang mengatur proses pengukuran Tidak
kebutuhan akan layanan TI ?
28 Manajemen Kapasitas Layanan TI Apakah mitra sudah memiliki mekanisme pemantauan dan Ya
perencanaan kapasitas dari penggunaan layanan TI ?
29 Manajemen Kapasitas Layanan TI Apakah mitra sudah menjalankan proses pelaporan berkala terhadap Tidak
pengelolaan kapasitas dari layanan TI ?
30 Manajemen Kapasitas Layanan TI Apakah mitra sudah memiliki prosedur formal dari pengelolaan Tidak
kapasitas layanan TI?
31 Perubahan Layanan TI Apakah mitra sudah mengetahui atau menerapkan klasifikasi dampak Ya
dan resiko dalam melakukan perubahan layanan TI (misal dampak
major = upgrade sistem/aplikasi dan dampak minor = ubah kapasitas
atau patch) ?
32 Perubahan Layanan TI Apakah mitra memiliki proses pencatatan setiap perubahan layanan Tidak
TI dengan informasi jadwal perubahan, klasifikasi dampak dan
persetujuan pimpinan ?
33 Perubahan Layanan TI Apakah mitra sudah memiliki prosedur untuk menjalankan proses Tidak
pencacatan, pengklasifikasian dampak/resiko perubahan dan
persetujuan perubahan layanan TI?
34 Pembuatan dan transisi layanan TI Apakah mitra sudah memiliki kriteria persyaratan proses untuk Ya
pembuatan dan perubahan layanan TI (misal latar belakang dan
tujuan pembuatan/perubahan) ?
35 Pembuatan dan transisi layanan TI Apakah mitra sudah menerapkan secara konsisten kriteria Tidak
persyaratan proses untuk pembuatan dan transisi layanan TI baru
tersebut ?
36 Pembuatan dan transisi layanan TI Apakah mitra sudah memiliki prosedur formal terkait dengan Tidak
persyaratan dan perencanaan layanan baru?
38 Rilis Layanan TI Apakah penerapan dokumentasi dari perencanaan rilis layanan TI Tidak
(seperti tanggal rilis, metode rilis, hasil pengujian sebelum rilis ,
rencana pemulihan kegagalan) sudah dilakukan secara konsisten ?
39 Rilis Layanan TI Apakah mitra sudah memiliki prosedur formal untuk proses Tidak
perencanaan rilis layanan TI?
41 Gangguan Layanan TI Apakah mitra sudah menerapkan kriteria prioritas dalam menjalankan Ya
proses penanganan gangguan dan permintaan layanan TI ?
42 Gangguan Layanan TI Apakah sudah ada ketentuan formal untuk menjalankan proses Tidak
penanganan gangguan TI ?
43 Masalah Layanan TI Apakah mitra sudah memiliki mekanisme analisa masalah layanan TI Ya
yang berulang atau berdampak major ?
44 Masalah Layanan TI Apakah mekanisme dari proses poin.1 sudah dilakukan secara berkala Tidak
?
45 Masalah Layanan TI Apakah sudah memiliki ketentuan formal untuk menjalankan proses Tidak
analisa akar masalah dan solusi tindak lanjut ?
49 Kelangsungan Bisnis Apakah mitra sudah memiliki rencana untuk kelangsungan layanan Ya
TI ?
50 Kelangsungan Bisnis Apakah rencana keberlangsungan layanan TI direviu dan dilakukan Tidak
pengujian secara berkala ?
51 Kelangsungan Bisnis Apakah mitra sudah memiliki prosedur formal dalam menjalankan Tidak
perencanaan dan implementasi kelangsungan layanan TI ?
Manajemen Layanan TI
1.35
Penyampaian Layanan TI 2.00 Manajemen Kapasitas Layanan TI 1.00
Perencanaan Layanan TI 1.00 Perubahan Layanan TI 1.00
Pengendalian pihak terkait dalam siklus Layanan
1.00 TIPembuatan dan transisi layanan TI 1.00
Katalog Layanan TI 2.00 Rilis Layanan TI 1.00
Konfigurasi Layanan TI 2.00 Gangguan Layanan TI 2.00
Hubungan Pihak dalam Layanan TI 2.00 Masalah Layanan TI 1.00
Pemasok Layanan TI 2.00 Ketersediaan Layanan TI 1.00
Penganggaran Layanan TI 1.00 Kelangsungan Bisnis 1.00
Manajemen Kebutuhan Layanan TI 1.00
Petunjuk
Bukti adanya komunikasi dan koordinasi untuk layanan yang tersedia seperti
permintaan, penanganan gangguan, dll
Notulen rapat koordinasi rutin, laporan status, KPI, komunikasi tindak lanjut
Memiliki prosedur yang mengatur tanggung jawab, jalur komunikasi yang ditentukan
dan cara reviu kepuasan pengguna
Menjalankan proses di rating 2
Memiliki ketentuan resmi yang berisi seperti batas limit kapasitas, periode
pemeriksaan dan mekanisme tindak lanjut jika sudah mencapai batas
Contoh : memiliki proses pencatatan kriteria proses (form atau risalah meeting)
sebagai dasar pembuatan/perubahan
Mampu menjelaskan proses untuk menganalisa akar masalah dari gangguan berulang
atau major (yang berdampak besar)
Memiliki bukti penerapan secara berkala (setidaknya 2x - 4x setahun)
Memiliki prosedur yang mengatur proses analisa akar masalah (langkah analisa &
keluaran)
Menjalankan proses di rating 2
Memiliki prosedur yang mengatur proses menjaga dan menguji ketersediaan layanan
TI
Menjalankan proses di rating 2
Memiliki prosedur yang mengatur proses rencana dan menguji kelangsungan layanan
TI
Menjalankan proses di rating 2
BPJS TrustMark
1 Sebelum Bekerja Apakah mitra melakukan proses pemeriksaan latar belakang pada proses Ya
rekrutmen calon karyawan dan tenaga kontrak / pihak ketiga (jika ada)?
2 Sebelum Bekerja Apakah mitra melakukan tinjauan rutin terhadap proses pengecekan latar Ya
belakang dan verifikasi identitas karyawan
3 Sebelum Bekerja Apakah mitra sudah memiliki prosedur formal terkait latar belakang pada Ya
proses penerimaan pegawai?
4 Selama Bekerja Apakah mitra memberikan pelatihan dan awareness tentang pentingnya Ya
keamanan informasi kepada seluruh karyawan dan pihak terkait lainnya?
5 Selama Bekerja Apakah mitra meninjau hasil pelatihan dan kesadaran (awareness) Tidak
tersebut secara rutin?
6 Selama Bekerja Apakah mitra memiliki prosedur formal atau ketentuan tentang pelaksanaan Tidak
pelatihan dan awareness keamanan informasi?
7 Penghentian dan Mutasi Apakah mitra memiliki mekanisme exit clearance untuk karyawan yang mutasi Ya
Kepegawaian atau resign?
8 Penghentian dan Mutasi Apakah mitra meninjau jika karyawan yang mutasi/resign sudah tidak lagi Tidak
Kepegawaian memiliki akses ke informasi yang dia tidak berhak?
9 Penghentian dan Mutasi Apakah Mitra memiliki prosedur tentang proses mutasi dan pengunduran diri? Tidak
Kepegawaian
10 NDA (non-disclosure agreement) Apakah mitra memastikan adanya NDA dengan pihak eksternal untuk Ya
atau perjanjian menjaga Informasi memastikan sebelum berjalannya pertukaran/pemberian informasi sensitif ?
11 NDA (non-disclosure agreement) Apakah mitra melakukan proses NDA pertukaran informasi diterapkan secara Ya
atau perjanjian menjaga Informasi konsisten?
12 NDA (non-disclosure agreement) Apakah mitra mempunyai prosedur formal mengenai persyaratan NDA untuk Tidak
atau perjanjian menjaga Informasi pertukaran informasi dengan pihak eksternal ?
13 Tanggung Jawab Pengelolaan Aset Apakah Mitra memiliki daftar inventaris aset informasi dan TI? Ya
14 Tanggung Jawab Pengelolaan Aset Apakah mitra melakukan peninjauan berkala daftar aset informasi dan TI? Ya
15 Tanggung Jawab Pengelolaan Aset Apakah Mitra memiliki prosedur untuk mengelola aset informasi dan TI? Tidak
16 Klasifikasi Aset Apakah Mitra melakukan proses memilah atau klasifikasi aset informasi dan TI? Ya
17 Klasifikasi Aset Apakah Mitra melakukan validasi rutin terhadap kecocokan aset informasi dan Tidak
klasifikasinya?
18 Klasifikasi Aset Apakah Mitra memiliki prosedur memilah atau klasifikasi aset informasi dan TI? Tidak
19 Pengendalian Hak Akses Apakah mitra melakukan pembatasan akses fisik/logic ke sistem, aplikasi, Ya
tempat penyimpanan informasi atau ruang server?
20 Pengendalian Hak Akses Apakah mitra secara rutin meninjau akses yang pernah diberikan? Ya
21 Pengendalian Hak Akses Apakah mitra memiliki prosedur pengelolaan akses? Tidak
29 Pengelolaan Password Apakah mitra menjalankan secara konsisten tata cara pengamanan kata sandi? Tidak
30 Pengelolaan Password Apakah mitra memiliki kebijakan atau prosedur formal terkait tata cara Tidak
melakukan pengelolaan kata password yang aman ?
31 Prosedur Operasional Apakah mitra memiliki dokumentasi instalasi, konfigurasi, proses eskalasi dan Tidak
support pada saat terjadi masalah dari sistem kritikal pemrosesan data ?
32 Prosedur Operasional Apakah mitra meninjau secara berkala kesesuaian implementasi dan proses Tidak
tersebut ?
33 Prosedur Operasional Apakah mitra memiliki prosedur formal yang mengatur prosedur operasional Tidak
untuk fasilitas pemrosesan informasi
34 Perpindahan Informasi Apakah mitra mengatur tentang bagaimana aset informasi dibagikan? Ya
35 Perpindahan Informasi Apakah mitra secara rutin meninjau bagaimana aset informasi dibagikan? Tidak
36 Perpindahan Informasi Apakah mitra memiliki prosedur yang mengatur bagaimana aset informasi Tidak
dibagikan?
37 Pesan elektronik Apakah mitra sudah memiliki aturan dalam penggunaan fasilitas komunikasi Ya
elektronik dengan layanan publik (instant messaging) ?
38 Pesan elektronik Apakah mitra menijau menerapkan pengamanan informasi pada sistem pesan Tidak
elektronik?
39 Pesan elektronik Apakah mitra memiliki ketentuan atau prosedur formal mengenai kriteria Tidak
penggunaan instant messaging dan email yang aman ?
40 Pengolahan data pribadi Mengidentifikasi mana saja yang termasuk data pribadi? Ya
41 Pengolahan data pribadi Melakukan tinjauan rutin terhadap keutuhan data pribadi tersebut? Tidak
42 Pengolahan data pribadi Memiliki prosedur / ketentuan pengelolaan data pribadi? Tidak
43 Proteksi data (protection of Melakukan melindungi data yang tersimpan baik fisik mau pun elektronik? Ya
records)
44 Proteksi data (protection of Melakukan tinjauan rutin untuk memastikan apakah data Tidak
records) tersebut masih dapat diakses?
1.75 1.09
Sebelum Bekerja 3.00 Tanggung Jawab Pengelolaan Aset 2.00
Selama Bekerja 1.00 Klasifikasi Aset 1.00
Penghentian dan Mutasi Kepegawaian 1.00 Pengendalian Hak Akses 2.00
NDA (non-disclosure agreement) atau Pendaftaran User dan Pemberian
perjanjian menjaga Informasi 2.00 Hak Akses 2.00
Peninjauan Ulang Hak Akses User 1.00
Pengelolaan Password 0.00
Prosedur Operasional 0.00
Perpindahan Informasi 1.00
Pesan elektronik 1.00
Pengolahan data pribadi 1.00
Proteksi data (protection of records) 1.00
Petunjuk
Bukti pemeriksaan seperti pengecekan Ijazah pendidikan, CV, sosial media (instagram,
facebook, linkedin), Verifikasi identitas (SKCK, Dukcapil)
Memiliki prosedur formal proses rekrutmen yang mencakup kontrak kerja dan
perjanjian NDA
Sampel program dan pelaksanaan pelatihan, kampanye kesadaran (poster, e-mail,
video pendek), kuis atau survei online.
Sampel formulir mutasi karyawan atau exit clearance seperti pengembalian aset,
pencabutan hak akses (aplikasi, data, perangkat), dokumen rahasia fisik, kunci akses
(fisik/card)
Sampel bukti tinjauan bahwa akses sudah ditutup
Adanya ketentuan atau prosedur formal mengenai kriteria persyaratan dari perjanjian
pertukaran informasi
Dapat menunjukan daftar inventaris data/informasi yang ada pada semua aset
perangkat keras atau lunak dan penanggung jawab aset (misal : dalam table excel,
dokumen atau aplikasi)
Bukti bahwa daftar aset ditinjau kebenarannyaseperti update lokasi aset informasi,
review klasifikasi informasi, tanggal perubahan/update, penanggung jawab aset
Memiliki prosedur untuk proses penambahan, perubahan dan penghapusan isi pada
daftar layanan serta menjalankan proses di rating 2
Menunjukkan penerapan identitas user yang unik, membedakan jenis hak akses user
ID (read, write, execute) dan persetujuan akses baik pada sistem operasi, aplikasi,
jaringan dan cloud
Tinjauan secara berkala kecocokan antara identitas user vs pembuatan User ID,
kewenangan akses kepada personal dan persetujuan akses
Evaluasi akses yang dimiliki pengguna terhadap sistem, aplikasi, dan data secara
berkala (data HR vs sistem TI), reviu pengguna akses khusus (priviledge access)
Menunjukan dokumen proses reviu dari hak akses, akses khusus dan hasil peninjauan
serta interval waktu revieu
Memiliki prosedur formal peninjauan has akses termasuk ketentuan interval reviu
Adanya penerapan kombinasi (huruf, angka, karakter), panjang password,
penggantian password setelah login pertama kali, tidak menggunakan password yang
sama
Adanya bukti penerapan pada saat permintaan password, penerapan di sistem dan
aplikasi dan edukasi kepada pengguna
Adanya prosedur formal yang sesuai dengan pelaksanaan proses pada nomor 1 dan 2
Adanya petunjuk teknis dan tata cara instalasi atau konfigurasi yang aman serta
proses eskalasi
Sampel cara membagikan informasi, misal share via email (TLS dan enkripsi),
WhatsApp (enkripsi - ZIP), pengiriman dokumen yang sensitif
Sampel hasil tinjauan bagaimana aset informasi dibagikan seperti dapat di lacak,
penanganan aset informasi sesuai dengan klasifikasinya
Menunjukkan metode perlindungan data rahasia (fisik dan digital) yang sudah
dilakukan
Menunjukkan hasil tinjauan rutin yang dilakukanuntuk memastikan semua data
rahasia sudah terlindungi (misalnya : akses terbatas, proteksi kerusakan data)
1.73
BPJS TrustMark
Penanganan Media
Keamanan Fisik & Lingkungan
Pengamanan Fisik Sarana Pemrosesa
Pengendalian Akses Masuk
48 Penanganan Media Apakah ada ketentuan atau prosedur formal yang mengatur penggunaan Tidak
removable media tersebut?
49 Keamanan Fisik & Lingkungan Apakah mitra sudah menerapkan pembatas ruangan kerja, area Ya
penyimpanan data/informasi dan area pengolahan data ?
50 Keamanan Fisik & Lingkungan Apakah pengamanan area tersebut sudah dilengkapi dengan kunci akses Ya
ruangan dan CCTV ?
51 Keamanan Fisik & Lingkungan Apakah mitra memiliki prosedur terkait tata cara pengamanan area Ya
penyimpanan informasi ?
52 Pengamanan Fisik Sarana Apakah mitra sudah menerapkan perimeter keamanan (kontrol yang Ya
Pemrosesan Informasi diterapkan) pada area penyimpanan dan fasilitas pengolahan informasi
yang kritikal?
53 Pengamanan Fisik Sarana Apakah mitra melakukan tinjauan secara peridik terhadap kecukupan Ya
Pemrosesan Informasi perimeter keamanan untuk area yang kritikal?
54 Pengamanan Fisik Sarana Apakah mitra memiliki prosedur terkait tata cara pengamanan area Tidak
Pemrosesan Informasi penyimpanan informasi (Fisik maupun data pada sistem) ?
55 Pengendalian Akses Masuk Apakah mitra memiliki kontrol untuk membatasi akses masuk ke area fisik Ya
terbatas (restrected area)?
56 Pengendalian Akses Masuk Apakah mitra meninjau secara rutin operasional akses tersebut? Tidak
57 Pengendalian Akses Masuk Apakah mitra memiliki prosedur tentang pengamanan area fisik terbatas? Tidak
58 Penempatan dan Perlindungan Apakah mitra menempatkan dan perlindungan peralatan fasilitas Ya
Peralatan pemrosesan informasi termasuk kabel listrik dan jaringan secara aman?
59 Penempatan dan Perlindungan Apakah mitra melakukan peninjauan rutin peralatan yang ditempatkan? Ya
Peralatan
60 Penempatan dan Perlindungan Apakah mitra memiliki prosedur tentang pengamanan area fisik? Tidak
Peralatan
61 Pengendalian Terhadap Risiko Apakah mitra memiliki pengendalian yang berdampak pada fasilitas Ya
Gangguan Lingkungan penyimpanan dan pemrosesan informasi yang kritikal terhadap bencana
lingkungan (kebakaran, gempa bumi, kebocoran air, dst)?
62 Pengendalian Terhadap Risiko Apakah asesmen terhadap risiko dan mitigasi bencana lingkungan Ya
Gangguan Lingkungan dilakukan secara konsisten ?
63 Pengendalian Terhadap Risiko Apakah ada ketentuan atau prosedur mengenai pengendalian risiko Tidak
Gangguan Lingkungan gangguan bencana lingkungan terhadap keamanan informasi?
64 Bekerja Di Dalam Secure Area Apakah mitra memberikan panduan keamanan bekerja di area aman/secure Ya
area (penyimpanan rekam medis, pemrosesan data) ?
65 Bekerja Di Dalam Secure Area Apakah mitra melakukan sosialisasi kesadaran bekerja pada secure area Ya
secara konsisten ?
66 Bekerja Di Dalam Secure Area Apakah mitra mempunyai kebijakan atau ketentuan formal mengenai Tidak
aturan bekerja pada secure area ?
67 Pemisahan area (physical security Apakah mitra melakukan pemisahan terhadap area-area kritikal seperti Ya
perimeters) ruang server, medical record?
68 Pemisahan area (physical security Apakah mitra melakukan peninjauan berkala terkait kelayakan dan proteksi Ya
perimeters) dari area kritikal tersebut secara periodik
69 Pemisahan area (physical security Apakah ada ketentuan atau prosedur pemantauan keamanan fisik area Tidak
perimeters) sistem kritikal?
70 Pemusnahan dan Penggunaan Apakah mitra menerapkan tata cara pemusnahan dan penggunaan kembali Ya
Kembali Perangkat Informasi perangkat media penyimpan informasi (Hardisk,USB) ?
71 Pemusnahan dan Penggunaan Apakah mitra memiliki pencatatan dan dokumentasi pemusnahan dan Tidak
Kembali Perangkat Informasi penggunaan kembali perangkat informasi ?
72 Pemusnahan dan Penggunaan Apakah mitra memiliki ketentuan atau prosedur formal tata cara Tidak
Kembali Perangkat Informasi pemusnahan dan penggunaan kembali perangkat informasi?
73 Perlindungan aset informasi diluar Apakah mitra menerapkan kontrol pengamanan untuk bekerja diluar Ya
kantor kantor (secure remote access, password USB/external hardisk) ?
74 Perlindungan aset informasi diluar Apakah mitra melakukan sosialisasi dan tinjauan terkait pengamanan aset Tidak
kantor informasi selama diluar kantor secara konsisten?
75 Perlindungan aset informasi diluar Apakah mintra memiliki prosedur formal terkait tata cara pengamanan aset Tidak
kantor informasi dan bekerja diluar kantor ?
76 Meja Bersih dan Layar Bersih Apakah mitra menerapkan kebijakan clear desk/membersihkan meja dan Ya
clear screen/membersihkan layar dari informasi sensitif ?
77 Meja Bersih dan Layar Bersih Apakah mitra melakukan tinjauan penerapan clear desk dan clear screen Tidak
secara konsisten ?
78 Meja Bersih dan Layar Bersih Apakah mitra mempunyai ketentuan atau prosedur formal terkait Tidak
penerapan Clear Desk dan Clear Screen?
85 Pengendalian Akses Ke Program Apakah mitra memiliki mekanisme pengendalian akses terhadap Ya
Kode Sumber (Source Code) penyimpanan program kode sumber (Source Code)?
86 Pengendalian Akses Ke Program Apakah mitra melakukan tinjauan berkala terhadap akses dan Tidak
Kode Sumber (Source Code) penyimpanan source code?
87 Pengendalian Akses Ke Program Apakah ada prosedur formal yang mencangkup tata cara pengelolaan dan Tidak
Kode Sumber (Source Code) penyimpanan program kode sumber?
88 Kriptografi Apakah mitra memiliki dan menerapkan metode enkripsi pada media Ya
penyimpanan dan pengiriman informasi?
89 Kriptografi Apakah mitra melakukan tinjauan penerapan enkripsi yang konsisten pada Tidak
informasi yang sensitif?
90 Kriptografi Apakah mitra memiliki prosedur formal yang terkait dengan penerapan Tidak
standar enkripsi informasi di organisasi
91 Pemisahan Aktivitas Apakah mitra sudah menerapkan pengendalian untuk tidak melakukan Ya
Pengembangan, Pengujian dan pengujian dan menggunakan compiler/editor pada sistem operasional ?
Operasional
92 Pemisahan Aktivitas Apakah mitra sudah menerapkan checklist pengujian sebelum melakukan Tidak
Pengembangan, Pengujian dan implementasi pada sistem operasional
Operasional
93 Pemisahan Aktivitas Apakah mitra memiliki prosedur formal mengenai tata cara pengujian Tidak
Pengembangan, Pengujian dan sistem dan deployment pada sistem operasional ?
Operasional
94 Perlindungan Malware dan Apakah mitra memasang perangkat anti malware dan pengelolaan patch Ya
Pengelolaan Patch pada setiap perangkat kerja?
95 Perlindungan Malware dan Apakah mitra meninjau up-date perangkat anti malware tersebut dan Tidak
Pengelolaan Patch melakukan patch secara rutin?
96 Perlindungan Malware dan Apakah mitra memiliki prosedur tentang perangkat kerja? Tidak
Pengelolaan Patch
97 Pencadangan informasi Apakah mitra melakukan pengetesan terhadap cadangan informasi Ya
(restore) yang tersimpan ?
98 Pencadangan informasi Apakah proses pengujian cadangan informasi (restore) telah dilakukan Tidak
secara konsisten?
99 Pencadangan informasi Apakah mitra memiliki ketentuan dalam prosedur formal mengenai tata Tidak
cara, frekuensi dan periode restore ?
100 Pencatatan (logging) dan Apakah mitra sudah mengaktifkan event log pada sistem operasional Ya
Pemantauan pemrosesan informasi yang kritikal?
101 Pencatatan (logging) dan Apakah mitra menjalankan pemeriksaan berkala kapasitas penyimpanan Tidak
Pemantauan log dan sinkronisasi waktu sistem operasional ?
102 Pencatatan (logging) dan Apakah mitra memiliki ketentuan dalam prosedur formal mengenai proses Tidak
Pemantauan pengelolaan log sistem ?
103 Kendali Perangkat Lunak Apakah mitra menerapkan pengendalian instalasi perangkat lunak pada Tidak
Operasional sistem operasional (server, komputer, laptop) ?
104 Kendali Perangkat Lunak Apakah mitra menjalankan proses update (patch) perangkat lunak secara Tidak
Operasional secara konsisten?
105 Kendali Perangkat Lunak Apakah mitra memiliki prosedur formal mengenai pengendalian perangkat Tidak
Operasional lunak (misalnya hanya dapat di instalasi oleh admin, tidak menggunakan
perangkat lunak bajakan, dst) ?
106 Pengelolaan Kerentanan Teknis Apakah mitra melakukan asesmen kerentanan untuk sistem faskes? Tidak
107 Pengelolaan Kerentanan Teknis Meninjau perbaikan yang dilakukan dari hasil asesmen kerentanan? Tidak
108 Pengelolaan Kerentanan Teknis Memiliki prosedur tentang manajemen kerentanan? Tidak
109 Keamanan Jaringan Apakah mitra mengamankan jaringan komunikasi untuk Tidak
mengakses informasi faskes?
110 Keamanan Jaringan Apakah mitra meninjau validitas pembatasan akses secara rutin? Tidak
111 Keamanan Jaringan Apakah mitra memiliki prosedur tentang pengamanan jaringan? Tidak
112 Persyaratan Keamanan Sistem Apakah mitra memiliki persyaratan aplikasi sebelum melakukan Ya
Informasi pengembangan?
113 Persyaratan Keamanan Sistem Apakah mitra meninjau kesesuaian antara BRD dan pengembangannya? Ya
Informasi
114 Persyaratan Keamanan Sistem Apakah mitra memiliki prosedur tentang persyaratan keamanan sistem Tidak
Informasi informasi?
115 Keamanan Proses Pengembangan Apakah mitra menguji pengembangan di lingkungan terpisah dengan Tidak
produksi?
116 Keamanan Proses Pengembangan Apakah mitra meninjau hasil uji dengan konsisten? Tidak
117 Keamanan Proses Pengembangan Apakah mitra memiliki prosedur tentang pengamanan dalam Tidak
pengembangan aplikasi?
118 Data Uji Apakah mitra menggunakan data dummy pada proses pengujian? Ya
119 Data Uji Apakah mitra meninjau data yang digunakan dalam proses Tidak
uji adalah selalu data dummy?
120 Data Uji Apakah mitra memiliki prosedur tentang penggunaan data uji dalam Tidak
pengembangan aplikasi?
Kemanan TI (Kontrol Fisik) Kemanan TI (Kontrol Tehnologi)
1.73 0.79
Penanganan Media 2.00 Pengelolaan Akses Khusus 1.00
Keamanan Fisik & Lingkungan 3.00 Pengendalian Akses Sistem Operasi dan Aplikasi 1.00
Pengamanan Fisik Sarana Pemrosesan Informasi 2.00 Pengendalian Akses Ke Program Kode Sumber (Source
1.00
Code)
Pengendalian Akses Masuk Kriptografi
1.00 1.00
Penempatan dan Perlindungan Peralatan 2.00 Pemisahan Aktivitas Pengembangan, Pengujian dan Operasional
1.00
Pengendalian Terhadap Risiko Gangguan 2.00 Perlindungan Malware dan Pengelolaan Patch 1.00
Bekerja Di Dalam Secure Area 2.00 Pencadangan informasi 1.00
Pemisahan area (physical security perimeters) 2.00 Pencatatan (logging) dan Pemantauan 1.00
Pemusnahan dan Penggunaan Kembali Perangkat Informasi
1.00 Kendali Perangkat Lunak Operasional 0.00
Perlindungan aset informasi diluar kantor 1.00 Pengelolaan Kerentanan Teknis 0.00
Meja Bersih dan Layar Bersih 1.00 Keamanan Jaringan 0.00
Persyaratan Keamanan Sistem Informasi 2.00
Keamanan Proses Pengembangan 0.00
Data Uji 1.00
Petunjuk
Adanya pembatasan penggunaan USB, daftar semua removable media yang digunakan,
penggunaan password atau enkripsi, aturan penggunaan kembali removable media (secure
format)
Adanya bukti pencatatan inventaris removable media yang terupdate, pemantauan aktif terhadap
penerapan aturan pengelolaan penggunaan removable media yang sudah dilakukan
Memiliki prosedur yang mengatur penggunaan removable media dan menjalankan proses di
rating 2
Adanya kebijakan atau prosedur keamanan fisik & lingkungan area penyimpanan informasi
Adanya pembatasan area kerja dengan area penyimpanan/pemrosesan informasi (server room,
rekam medis), penggunaan akses card, pengamanan exit door, penguatan struktur lantai
Apakah mitra memiliki prosedur terkait kriteria perimeter dan pengendalian keamanan aset
penyimpanan data/informasi ?
Sampel bukti reviu akses seperti daftar access ke server room, rekam medis (up-date,
pencabutan, penambahan)
Adanya prosedur tentang pengamanan area fisik terbatas yang mencakup permintaan,
persetujuan dan reviu berkala
Observasi penempatan dan perlindungan peralatan seperti server, pemantau suhu, UPS,
termasuk kabel listrik dan jaringan
Mempunyai tempat penyimpanan yang terpisah (beda lokasi) untuk penyimpanan data backup,
sistem fire supression, UPS untuk electrical surges, dll
Bukti asesmen yang dilakukan secara berkala terhadap setiap ancaman fisik dan lingkungan yang
berdampak pada keamanan informasi
Prosedur atau kebijakan yang mencakup nomor 1 dan 2
Kebijakan atau prosedur aturan bekerja di secure area yang mencakup nomor 1 & 2
Adanya pemisahan terhadap tempat penyimpanan pengolahan data digital (server) dan
penyimpanan berkas fisik (rekam medis) dari ruangan lain yang digunakan untuk bekerja
Bukti peninjauan tata letak, keamanan dan fungsi perangkat pendukung tempat
penyimpanan/pengolahan data yang dilakukan secara periodik untuk menghindari kerusakan
atau dimatikan
Prosedur pemantauan keamanan fisik sistem kritikal termasuk kriteria nomor 1 & 2
Sampel permohonan bekerja dari luar faskes, pembatasan user yang bisa mengakses sistem
pengolahan data RS dari luar
Menunjukkan hasil tinjauan pengamanan akses
Menyimpan dan mengunci kabinet yang berisi informasi sensitif dan rahasia (password,
dokumen), penggunaan log-off otomatis / password screen saver, menghapus whiteboard
Dokumen atau laporan hasil pemeriksaan dan daftar temuan pelanggaran yang dilakukan secara
berkala
Adanya kebijakan atau prosedur penerapan clear desk dan clear screen
Observasi siapa saja yang memiliki akses khususpada sistem operasi server, PC/laptop, jaringan,
aplikasi
Bukti tinjauan bahwa akses khusus hanya digunakan oleh pemilik yang sah dan untuk tujuan yang
tepat
Dapat memperlihatkan bukti permintaan dan persetujuan akses untuk baca atau tulis ke source
code, development tools atau sofware library
Sampel permintaan, persetujuan, penggunaan development tools
contoh Implementasi enkripsi HDD (bitlocker) penggunaan SSL pada web, RSA atau AES
Adanya pemisahan server produksi dan testing (pada virtual maupun fisik), mengamankan
konfigurasi, patching dan update pada server produksi dan testing
Bukti pengujian yang dilakukan dan persetujuan sebelum masuk sistem produksi (change
managemen & rilis)
Memiliki prosedur formal mengenai tata cara pengujian sistem dan deployment
Sampel perangkat kerja yang terpasang anti malware (antivirus yang berlisensi) pembaharuan
patch sistem dan aplikasi yang berlisensi, penggunaan firewall
Bukti tinjauan bahwa anti malware dan perangkat lunak operasional diperbarui secara rutin
Adanya prosedur pengujian pemulihan informasi cadangan untuk dilakukan secara rutin
bukti adanya peninjauan berkala kapasitas log, sinkronisasi waktu, pemeriksaan/analisa kejadian
adnormal pada log (percobaan login di luar waktu normal dan dilakukan terus menerus)
Menunjukkan testing keamanan yang dilakukanseperti uji penetrasi, uji kerentanan, UAT dengan
skenario pengujian keamanan (validasi input, validasi kontrol akses)
Sampel beberapa hasil uji pengembangan yang dilakukandan tindak lanjut dari Hasil uji penetrasi
dan uji kerentanan
Menunjukkan sampel data dummypada proses pengujian integrasi sistem BPJS Kesehatan
Sampel beberapa hasil uji yang dilakukan(rutin menggunakan data uji yang dibuat sendiri dengan
memastikan data sensitive dibuang atau menggunakan data masking)
1
Pengelolaan Layanan TI Mitra : 1.35
Pengelolaan Keamanan Informasi Mitra : 1.23
Pengelolaan standarisasi Teknis TI : 0.33
Desain, p
Total Result
Kematangan Proses
Resolusi dan pemenuhan
1 68% 28% 5%
Portofolio Lay
2 65% 35% 0%
30% 17% 0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% M
Proses sudah dilakukan namun belum konsisten (kadang dikerjakan, kadang tidak)
Proses sudah dilakukan berulang/ konsisten namun berdasarkan pemahaman masing-masing personil
Proses sudah dilakukan secara konsisten dan dilakukan mengikuti prosedur formal (SOP)
8
7
7
6
Analisis hasil penilaian BPJS Kesehatan Trust Mark
Manajemen Layanan TI
2
8 2
1
1 2
3
4
5
7 0 3 6
7
8
1 2
3
4
5
7 0 3 6
7
8
6 4