Kematangan Proses Tata Kelola Sistem Informa

Survey kematangan proses tata kelola sistem inform

merupakan alat bantu Mitra BPJS Kesehatan untuk me
tingkat kematangan proses tata kelola Layanan inform
Standar Teknis dan Kemanan informasi yang merujuk pada
internasional dan best practice yang banyak diterapkan org
Diharapkan Mitra dapat melakukan peningkatan peng
sistem informasi pada ekosistem pengguna dan keselarasan
pemanfaatan sistem informasi BPJS Kesehatan.

DISCLAIMER:
1. Hasil pengisian dalam dokumen ini menggambarkan kon
kelola yang saat ini terjadi pada faskes responden.
2. Informasi yang terdapat dalam dokumen ini bersifat R
dan hanya didistribusikan ke mitra BPJS Kesehatan.
1. Hasil pengisian dalam dokumen ini menggambarkan kon
kelola yang saat ini terjadi pada faskes responden.
2. Informasi yang terdapat dalam dokumen ini bersifat R
dan hanya didistribusikan ke mitra BPJS Kesehatan.
em Informasi
sistem informasi ini
tan untuk mengukur
ayanan informasi TI,
merujuk pada standar
diterapkan organisasi.
ngkatan pengelolaan
an keselarasan dalam PETUNJUK PENGISIAN:
n. 1. Responden menjawab pertanyaan dengan car
salah satu pilihan jawaban yang telah disediakan
dengan kondisi saat ini.

2. Pertanyaan bersifat berjenjang yang dibagi be

klasisikasinya. jawaban pertama pada klasifikasi
ambarkan kondisi tata akan menentukan jawaban nomor berikutnya. c
jawaban pertama tidak, maka otomatis dua jaw
nden. berikutnya tidak
ini bersifat RAHASIA 2. Seluruh pertanyaan wajib diisi oleh Responde
hatan.
ambarkan kondisi tata akan menentukan jawaban nomor berikutnya. c
jawaban pertama tidak, maka otomatis dua jaw
nden. berikutnya tidak
ini bersifat RAHASIA 2. Seluruh pertanyaan wajib diisi oleh Responde
hatan.
CAKUPAN :

Standar Teknis
Aspek teknis terdiri dari pengelolaan server, dat
pengembangan aplikasi dan pemeliharaan utilit

Manajemen Layanan TI
Aspek portofolio layanan, manajemen perubaha
kapasitas, resolusi dan pemenuhan, ketersediaa
keberlangsungan suatu layanan

Manajemen Keamanan TI
Aspek kemanan informasi, keamanan siber dan
data yang meliputi kontrol-kontrol organisasi, pe
fisik dan teknologi
nyaan dengan cara memilih
telah disediakan sesuai

ng yang dibagi berdasarkan

a pada klasifikasi yang sama
mor berikutnya. contoh jika
tomatis dua jawaban Level 5 Memiliki tindak
lanjut evaluasi u
peningkatan
si oleh Responden.
mor berikutnya. contoh jika
tomatis dua jawaban Level 5 Memiliki tindak
lanjut evaluasi u
peningkatan
si oleh Responden.

Level 4 Evaluasi prosedu

dan penerapan
Terukur
olaan server, database,
meliharaan utilitas.
Level 3 Konsisten
Memiliki Prosed
ajemen perubahan dan
han, ketersediaan dan

Level 2 Berulang
manan siber dan privacy Mulai Konsisten
rol organisasi, personil,

Tidak Konsisten
Level 1 Pemahaman per
 Tindak lanjut Identifikasi
dan lesson dan evaluasi
learn resiko

ACT PLAN

CHECK DO
Evaluasi apa Penerapan
yang sudah di kontrol yang
lakukan efektif

Memiliki tindak
lanjut evaluasi untuk Implementasi
peningkatan Optimal
Memiliki tindak
lanjut evaluasi untuk Implementasi
peningkatan Optimal

Evaluasi prosedur
dan penerapan Implementasi
Terukur Terkelola

Konsisten
Memiliki Prosedur Implementasi
Terdefinisi

Berulang Implementasi
Mulai Konsisten Berulang

Tidak Konsisten Implementasi

Pemahaman personal
Awal
Identifikasi
dan evaluasi
resiko

Penerapan
kontrol yang
efektif
 Survey Kematangan Prose

Nama Rumah Sakit :

Provinsi :

Kabupaten :

Alamat :

Nomor Telepon :

Email Responden :

Nama Responden :

Jabatan :

Tanggal Pengisian :

Jika Layanan SIMRS dikelola oleh Pihak Ketiga (Vendor), mohon dapat mengisi pertanyaan berikut :
Sebutkan Nama Vendor :
Pengelola SIMRS
 Survey Kematangan Proses Tata Kelola Sistem In

Version 0.8

Rumah sakit Antasena

Daerah_Khusus_Ibukota_Jakarta

KOTA ADM. JAKARTA PUSAT

10/10/2024

elola oleh Pihak Ketiga (Vendor), mohon dapat mengisi pertanyaan berikut :
Khanza
 BPJS TrustMark

No Kriteria Penilaian Pertanyaan Jawaban

1 Standar Penggunaan Server Apakah mitra sudah menerapkan standar implementasi server ? Ya

2 Standar Penggunaan Server Apakah mitra sudah menerapkan standar implementasi server secara konsisten ? Ya

3 Standar Penggunaan Server Apakah mitra sudah membuat standar formal yang menjadi rujukan Tidak
implementasi server ?
4 Standar Penggunaan Database Apakah mitra sudah menerapkan standar akses dan penggunaan data yang Tidak
tersimpan pada database ?

5 Standar Penggunaan Database
6 Standar Penggunaan Database
7 Standar infrastruktur Jaringan
Apakah mitra sudah menerapkan standar pencadangan data pada database Tidak
secara konsisten ?
Apakah mitra sudah membuat standar ketentuan backup dan akses penggunaan Tidak
data dari database ?
Apakah mitra sudah menerapkan standar implementasi jaringan ? Tidak

8 Standar infrastruktur Jaringan Apakah mitra sudah menerapkan standar implementasi jaringan secara konsisten Tidak
?
 9 Standar infrastruktur Jaringan Apakah mitra sudah membuat standar formal yang menjadi rujukan dari Tidak
implementasi infrastruktur jaringan ?
10 Standar Infrastruktur Firewall Apakah mitra sudah menerapkan standar implementasi firewall ? Tidak

11 Standar Infrastruktur Firewall Apakah mitra sudah menerapkan standar implementasi firewall secara Tidak
12 Standar Infrastruktur Firewall konsisten ? sudah membuat standar formal yang menjadi rujukan dari
Apakah mitra Tidak
implementasi infrastruktur Firewall?
13 Standar Siklus Hidup Pengembangan Aplikasi, Apakah mitra sudah menerapkan standar pengembangan aplikasi dan Tidak
Standar Keamanan Pengembangan Aplikasi, pengamanan cons-ID ?
Standar Repositori Source-Code,Standar
Penggunaan Kriptografi, Standar Pengamanan
Secret Key

14 Standar Siklus Hidup Pengembangan Aplikasi, Apakah mitra sudah menerapkan standar pengembangan aplikasi dan Tidak
Standar Keamanan Pengembangan Aplikasi, pengamanan cons-ID secara konsisten ?
Standar Repositori Source-Code,Standar
Penggunaan Kriptografi, Standar Pengamanan
Secret Key

15 Standar Siklus Hidup Pengembangan Aplikasi, Apakah mitra sudah membuat atau memiliki standar formal yang menjadi Tidak
Standar Keamanan Pengembangan Aplikasi, rujukan pengembangan aplikasi dan pengamanan cons-id ?
Standar Repositori Source-Code,Standar
Penggunaan Kriptografi, Standar Pengamanan
Secret Key

16 Prasarana & Penggunan Aset fisik dan non-fisk Apakah mitra sudah menerapkan standar fasilitas/prasarana pendukung Tidak
infrastruktur pengolahan data ?
17 Prasarana & Penggunan Aset fisik dan non-fisk Apakah mitra sudah menerapkan standar fasilitas/prasarana pendukung Tidak
infrastruktur pengolahan data secara konsisten ?
18 Prasarana & Penggunan Aset fisik dan non-fisk Apakah mitra memiliki prosedur pemeliharaan terhadap prasarana pendukung Tidak
layanan kritikal TI ?

Total
Rating
 Standar Teknis
0.33
Standar Penggunaan Server 2.00
Standar Penggunaan Database 0.00
Standar infrastruktur Jaringan 0.00
Standar Infrastruktur Firewall 0.00
Standar Siklus Hidup Pengembangan Aplikasi, Standar0.00
Keamanan Pengembangan Aplikasi, Standar Repositori Source-Code,Standar Penggunaan
Prasarana & Penggunan Aset fisik dan non-fisk 0.00

(Petunjuk)
Penerapan autentikasi dan otorisasi yang kuat untuk akses server.
Pemasangan firewall dan perangkat lunak antivirus
Penggunaan server redundan untuk mencegah downtime
Penerapan sistem backup dan disaster recovery
Melakukan pemantauan server secara berkala

Memiliki checklist reviu penerapan standar

Membuat dokumentasi yang lengkap tentang konfigurasi server berdasarkan

standar yang ditetapkan
Penerapan autentikasi dan otorisasi yang kuat untuk akses database.
Penggunaan enkripsi untuk data sensitif.
Pembatasan akses ke database hanya untuk pengguna yang berwenang.
Penerapan syarat keamanan database (write, delete, change)
Penerapan backup & uji restore database secara berkala.

Memiliki dokumentasi backup data yang lengkap dan akurat.

Membuat dokumentasi yang lengkap tentang konfigurasi backup dan akses

database berdasarkan standar yang ditetapkan
Melakukan segmentasi jaringan yang berbeda (misalnya segmentasi untuk
internet umum dan LAN internal RS)
menunjukan topologi jaringan yang dimiliki untuk mendokukentasikan konfigurasi
jaringan tersebut
Membuat ketentuan untuk konfigurasi jaringan RS yang menjadi standar
penerapan
Memfilter semua traffic jaringan yang masuk dan keluar.
Hanya mengizinkan traffic yang sah dan aman.
Mencegah akses yang tidak sah ke jaringan.
Memiliki redundansi untuk mencegah downtime
Memiliki throughput yang tinggi untuk mendukung traffic jaringan

Memiliki checklist reviu penerapan standar

Membuat dokumentasi yang lengkap tentang konfigurasi firewall

Memiliki syarat pengembangan aplikasi (analisa kebutuhan dan desain)

Menerapkan syarat pemrograman yang aman (secure coding)
Menerapkan aturan rilis aplikasi ke production
Menyimpan token API (Cons-id) dengan aman di tempat yang tidak dapat diakses
oleh publik, seperti dalam database terenkripsi
Menggunakan HTTPS untuk semua komunikasi API untuk memastikan enkripsi
data.

Memiliki checklist reviu penerapan standar

Membuat dokumentasi yang lengkap tentang standar pengembangan dan

pengamanan token

listrik cadangan (genset, UPS)

Pendingin ruangan (AC, Suhu)
Pemantauan ruangan (CCTV, Access)
Koneksi Internet
Memiliki checklist reviu penerapan standar dan penerapan pemeliharaan fasilitas

Membuat dokumentasi yang lengkap tentang standar pengelolaan

fasilitas/prasarana

No Kriteria Manajemen
1 Penyampaian Layanan TI
2 Penyampaian Layanan TI
3 Penyampaian Layanan TI
4 Perencanaan Layanan TI
5 Perencanaan Layanan TI
6 Perencanaan Layanan TI
7 Pengendalian pihak terkait dalam
siklus Layanan TI
Manaje
BPJS TrustMark Penyampaian Layanan TI
Perencanaan Layanan TI
2
1
Pengendalian pihak terkait dalam siklus Lay
1
Katalog Layanan TI 2
Konfigurasi Layanan TI 2
Hubungan Pihak dalam Layanan TI 2
Pemasok Layanan TI 2
Penganggaran Layanan TI 1
Manajemen Kebutuhan Layanan TI 1
Pertanyaan Penilaian Mandiri Jawaban
Apakah mitra melakukan proses komunikasi kepada seluruh pihak Ya
(unit kerja dan pimpinan) yang mendukung dan menggunakan
layanan TI ?
Apakah mitra melakukan proses koordinasi rutin dengan pihak yang Ya
mendukung layanan TI ?
Apakah mitra sudah memiliki prosedur formal yang berisi proses Tidak
koordinasi dan komunikasi layanan TI ?
Apakah mitra sudah melakukan proses merencanakan layanan TI Ya
(pengembangan baru atau perubahan) ?
Apakah mitra menjalankan reviu berkala terhadap proses Tidak
pengembangan layanan TI atau perubahan layanan TI ?
Apakah mitra memiliki prosedur formal terkait proses perencanaan Tidak
pengembangan atau perubahan layanan TI ?
Apakah mitra memiliki daftar layanan/proses apa saja yang Ya
dioperasikan oleh pihak lain/vendor ?
(Misal : Genset Listrik, Jaringan, pengembangan aplikasi)
8 Pengendalian pihak terkait dalam Apakah mitra sudah menerapkan pengukuran kinerja layanan/proses Tidak
siklus Layanan TI yang dioperasikan oleh pihak lain/vendor secara berkala ?

9 Pengendalian pihak terkait dalam Apakah mitra sudah memiliki prosedur formal yang mengatur proses Tidak
siklus Layanan TI dan kriteria pengukuran kinerja pihak lain/vendor, untuk menjamin
tingkat ketersediaan operasional layanan TI yang diharapkan ?

10 Katalog Layanan TI Apakah pengguna internal di RS mengetahui layanan – layanan yang Ya

disediakan oleh bagian TI ?
11 Katalog Layanan TI Apakah RS sudah memiliki daftar layanan TI yang saat ini tersedia Ya
untuk pengguna (misal : dalam table, dokumen atau aplikasi) ?

12 Katalog Layanan TI Apakah RS sudah memiliki prosedur untuk mengisi, mengubah dan Tidak
menghapus isi daftar layanan TI yang tersedia untuk pengguna ?

13 Konfigurasi Layanan TI Apakah aset TI (aplikasi, Server, PC) & konfigurasinya sudah dikelola ? Ya

14 Konfigurasi Layanan TI Apakah peninjauan berkala aset TI dan konfigurasinya sudah Ya

dilakukan ?
15 Konfigurasi Layanan TI Apakah sudah memiliki prosedur untuk pencatatan, perubahan dan Tidak
penghapusan dari aset TI dan Konfigurasinya ?

16 Hubungan Pihak dalam Layanan TI Apakah TI sudah menjalankan tanggung jawab dalam menjaga Ya
layanan TI ?
17 Hubungan Pihak dalam Layanan TI Apakah TI sudah memiliki jalur komunikasi dengan pengguna layanan Ya
TI ?

18 Hubungan Pihak dalam Layanan TI Apakah memiliki prosedur yang mengatur tanggung jawab, jalur Tidak
komunikasi dan reviu kepuasan pengguna ?

19 Pemasok Layanan TI Apakah semua jasa/layanan yang digunakan oleh TI memiliki kontrak Ya
kerja ?
20 Pemasok Layanan TI Apakah sudah dilakukan evaluasi terhadap kinerja penyedia Ya
jasa/layanan ?
21 Pemasok Layanan TI Apakah memiliki ketentuan formal yang mengatur proses seleksi dan Tidak
evaluasi kinerja penyedia jasa ?

22 Penganggaran Layanan TI Apakah mitra sudah memiliki mekanisme penganggaran dan Ya

pengeluaran biaya layanan TI ?
23 Penganggaran Layanan TI Apakah ada evaluasi berkala terhadap anggaran dan pengeluaran Tidak
biaya TI ?
24 Penganggaran Layanan TI Apakah ada ketentuan formal yang mengatur proses penganggaran Tidak
dan pengeluaran biaya ?

25 Manajemen Kebutuhan Layanan TI Apakah sudah menerapkan jalur permintaan layanan TI? Ya

26 Manajemen Kebutuhan Layanan TI Apakah sudah menerapkan cara untuk memperkirakan kebutuhan Tidak
akan layanan TI ?
27 Manajemen Kebutuhan Layanan TI Apakah ada ketentuan formal yang mengatur proses pengukuran Tidak
kebutuhan akan layanan TI ?

28 Manajemen Kapasitas Layanan TI Apakah mitra sudah memiliki mekanisme pemantauan dan Ya
perencanaan kapasitas dari penggunaan layanan TI ?

29 Manajemen Kapasitas Layanan TI Apakah mitra sudah menjalankan proses pelaporan berkala terhadap Tidak
pengelolaan kapasitas dari layanan TI ?

30 Manajemen Kapasitas Layanan TI Apakah mitra sudah memiliki prosedur formal dari pengelolaan Tidak
kapasitas layanan TI?

31 Perubahan Layanan TI Apakah mitra sudah mengetahui atau menerapkan klasifikasi dampak Ya
dan resiko dalam melakukan perubahan layanan TI (misal dampak
major = upgrade sistem/aplikasi dan dampak minor = ubah kapasitas
atau patch) ?
32 Perubahan Layanan TI Apakah mitra memiliki proses pencatatan setiap perubahan layanan Tidak
TI dengan informasi jadwal perubahan, klasifikasi dampak dan
persetujuan pimpinan ?

33 Perubahan Layanan TI Apakah mitra sudah memiliki prosedur untuk menjalankan proses Tidak
pencacatan, pengklasifikasian dampak/resiko perubahan dan
persetujuan perubahan layanan TI?

34 Pembuatan dan transisi layanan TI Apakah mitra sudah memiliki kriteria persyaratan proses untuk Ya
pembuatan dan perubahan layanan TI (misal latar belakang dan
tujuan pembuatan/perubahan) ?

35 Pembuatan dan transisi layanan TI Apakah mitra sudah menerapkan secara konsisten kriteria Tidak
persyaratan proses untuk pembuatan dan transisi layanan TI baru
tersebut ?

36 Pembuatan dan transisi layanan TI Apakah mitra sudah memiliki prosedur formal terkait dengan Tidak
persyaratan dan perencanaan layanan baru?

37 Rilis Layanan TI Apakah mitra sudah memiliki persyaratan dokumentasi dalam Ya

melakukan perencanaan rilis layanan TI (seperti tanggal rilis, metode
rilis, hasil pengujian sebelum rilis, rencana pemulihan kegagalan ri...

38 Rilis Layanan TI Apakah penerapan dokumentasi dari perencanaan rilis layanan TI Tidak
(seperti tanggal rilis, metode rilis, hasil pengujian sebelum rilis ,
rencana pemulihan kegagalan) sudah dilakukan secara konsisten ?

39 Rilis Layanan TI Apakah mitra sudah memiliki prosedur formal untuk proses Tidak
perencanaan rilis layanan TI?

40 Gangguan Layanan TI Apakah mitra sudah menerapkan pencatatan penanganan gangguan Ya

dan permintaan layanan TI sudah diterapkan secara efektif ?

41 Gangguan Layanan TI Apakah mitra sudah menerapkan kriteria prioritas dalam menjalankan Ya
proses penanganan gangguan dan permintaan layanan TI ?
42 Gangguan Layanan TI Apakah sudah ada ketentuan formal untuk menjalankan proses Tidak
penanganan gangguan TI ?

43 Masalah Layanan TI Apakah mitra sudah memiliki mekanisme analisa masalah layanan TI Ya
yang berulang atau berdampak major ?
44 Masalah Layanan TI Apakah mekanisme dari proses poin.1 sudah dilakukan secara berkala Tidak
?
45 Masalah Layanan TI Apakah sudah memiliki ketentuan formal untuk menjalankan proses Tidak
analisa akar masalah dan solusi tindak lanjut ?

46 Ketersediaan Layanan TI Apakah mitra sudah menentukan ketersediaan layanan TI yang Ya

kritikal ?
47 Ketersediaan Layanan TI Apakah sudah dilakukan pengujian berkala terhadap layanan TI Tidak
kritikal ?
48 Ketersediaan Layanan TI Apakah ada ketentuan formal yang mengatur proses menjaga dan Tidak
menguji ketersediaan layanan TI ?

49 Kelangsungan Bisnis Apakah mitra sudah memiliki rencana untuk kelangsungan layanan Ya
TI ?
50 Kelangsungan Bisnis Apakah rencana keberlangsungan layanan TI direviu dan dilakukan Tidak
pengujian secara berkala ?
51 Kelangsungan Bisnis Apakah mitra sudah memiliki prosedur formal dalam menjalankan Tidak
perencanaan dan implementasi kelangsungan layanan TI ?
 Manajemen Layanan TI
1.35
Penyampaian Layanan TI 2.00 Manajemen Kapasitas Layanan TI 1.00
Perencanaan Layanan TI 1.00 Perubahan Layanan TI 1.00
Pengendalian pihak terkait dalam siklus Layanan
1.00 TIPembuatan dan transisi layanan TI 1.00
Katalog Layanan TI 2.00 Rilis Layanan TI 1.00
Konfigurasi Layanan TI 2.00 Gangguan Layanan TI 2.00
Hubungan Pihak dalam Layanan TI 2.00 Masalah Layanan TI 1.00
Pemasok Layanan TI 2.00 Ketersediaan Layanan TI 1.00
Penganggaran Layanan TI 1.00 Kelangsungan Bisnis 1.00
Manajemen Kebutuhan Layanan TI 1.00

Petunjuk

Bukti adanya komunikasi dan koordinasi untuk layanan yang tersedia seperti
permintaan, penanganan gangguan, dll

Notulen rapat koordinasi rutin, laporan status, KPI, komunikasi tindak lanjut

Memiliki prosedur formal proses koordinasi dan komunikasi

Isu layanan TI diselesaikan jika ada permintaan

Belum terlihat memiliki regular
Memiliki daftar isu yang perlu di selesaikan
Memiliki reviu isu berkala dengan unit kerja lain
Memiliki prosedur untuk mendokumentasikan proses daftar isu, reviu dan
penyelesaian isu
Menjalankan proses di rating 2
Mampu mengidentifikasi layanan pihak lain yang digunakan, namun belum memiliki
daftar nya
Reviu dilakukan jika ada permintaan
Memiliki kriteria pengukuran kinerja layanan/proses pihak lain (waktu respon,
resolusi)
Memiliki reviu periodik dengan kinerja pihak lain
Memiliki prosedur untuk mendokumentasikan kriteria pengukuran dan proses reviu
kinerja
Menjalankan proses di rating 2

Bisa menjelaskan secara lisan layanan TI yang tersedia

Sosialisasi ke pengguna secara lisan
Memiliki daftar layanan TI yang tercatat (misal : dalam table excel, dokumen atau
aplikasi)
Daftar layanan TI yang bisa dilihat pengguna
Memiliki prosedur untuk proses penambahan, perubahan dan penghapusan isi pada
daftar layanan
Menjalankan proses di rating 2
Dapat menunjukan daftar inventaris aset TI (misal : Server, PC, jaringan, sistem
operasi, database)
Dapat memperlihatkan hasil tinjauan berkala aset TI dan layanan TI (misal : pada
ruang server)
Memiliki prosedur pencatatan, perubahan dan penghapusan aset TI dan
konfigurasinya
Menjalankan proses di rating 2

Personel TI sudah mampu menjalankan tanggung jawab dalam menjaga tingkat

kepuasan penggunaan layanan TI
Memiliki jalur komunikasi formal (meeting) dan/atau informal (WAGroup)
Memiliki hasil reviu berkala dengan unit kerja lain

Memiliki prosedur yang mengatur tanggung jawab, jalur komunikasi yang ditentukan
dan cara reviu kepuasan pengguna
Menjalankan proses di rating 2

Beberapa Jasa/layanan yang digunakan TI sudah memiliki kontrak kerja/perjanjian

Memiliki bukti evaluasi kinerja penyedia jasa/layanan (setidaknya 1x setahun).

Memiliki prosedur yang mengatur proses seleksi dan evaluasi kinerja vendor
Menjalankan proses di rating 2

Mampu menjelaskan proses penganggaran dan pengeluaran biaya TI

Memiliki bukti evaluasi anggaran dan pengeluaran biaya TI (setidaknya 1x setahun).

Memiliki prosedur yang mengatur proses penganggaran dan pengeluaran biaya

Menjalankan proses di rating 2

Mampu menjelaskan proses menerima permintaan dari pengguna dan kebutuhan

akan layanan TI
Memiliki bukti pengukuran kebutuhan akan layanan TI secara berkala (setidaknya 1x
setahun)
Memiliki prosedur yang mengatur proses menerima permintaan dan mengukur
kebutuhan
Menjalankan proses di rating 2

Memiliki bukti dari pelaksanaan pemeriksaan kapasitas infrastruktur (server dan

jaringan) dari layanan TI

Mencatatkan atau mendokumentasikan hasil pemeriksaan kapasitas secara berkala

(mingguan atau bulanan)

Memiliki ketentuan resmi yang berisi seperti batas limit kapasitas, periode
pemeriksaan dan mekanisme tindak lanjut jika sudah mencapai batas

Contoh Klasifikasi dampak major = upgrade fungsi aplikasi/sistem operasi, perubahan

segregasi network, pembaruan hardware server

Contoh klasifikasi dampak minor = Penambahan memory/hardisk, patch update OS

atau update bug-fix aplikasi
Setiap perubahan pada layanan TI sudah dilakukan dengan menggunakan form yang
tercatat, terdapat klasifikasi dampak dan resiko perubahan (major/minor) dan
persetujuan dari pimpinan

Sudah memiliki dan menjalankan prosedur yang berisi pencatatan, pengklasifikasian

dampak/resiko perubahan dan persetujuan permintaan perubahan

contoh : perencanaan dan perubahan dikarenakan perubahan tingkat SLA, pengkinian

katalog layanan, pengkinian teknologi, pengkinian alur proses

Contoh : memiliki proses pencatatan kriteria proses (form atau risalah meeting)
sebagai dasar pembuatan/perubahan

Memiliki prosedur yang berisi persyaratan untuk melakukan permintaan

pembuatan/perubahan layanan TI

bagian TI menerapkan syarat untuk rilis/mengeluarkan fitur atau layanan TI baru ke

Production

Memiliki pencatatan terhadap pemenuhan syarat rilis tersebut

Memiliki prosedur yang berisi persyaratan untuk memastikan kesiapan layanan TI

sebelum rilis ke Production

Menerapkan kriteria prioritas, namun masih berdasarkan pemahaman personal

(belum menjadi standar Pelaksanaan)

Memiliki bukti penerapan secara berkala (setidaknya 2x - 4x setahun)

Memiliki prosedur yang mengatur proses analisa akar masalah (langkah analisa &
keluaran)
Menjalankan proses di rating 2

Mampu menjelaskan proses untuk menganalisa akar masalah dari gangguan berulang
atau major (yang berdampak besar)
Memiliki bukti penerapan secara berkala (setidaknya 2x - 4x setahun)

Memiliki prosedur yang mengatur proses analisa akar masalah (langkah analisa &
keluaran)
Menjalankan proses di rating 2

Mampu menjelaskan SLA ketersediaan layanan kritikal faskes

Memiliki bukti pengujian secara berkala (setidaknya 1x setahun)

Memiliki prosedur yang mengatur proses menjaga dan menguji ketersediaan layanan
TI
Menjalankan proses di rating 2

Mampu menjelaskan rencana kelangsungan layanan TI, namun belum memiliki

catatan/dokumentasi
Memiliki bukti pengujian secara berkala (setidaknya 1x setahun)

Memiliki prosedur yang mengatur proses rencana dan menguji kelangsungan layanan
TI
Menjalankan proses di rating 2

No Kriteria Manajemen
1 Sebelum Bekerja
2 Sebelum Bekerja
3 Sebelum Bekerja
4 Selama Bekerja
5 Selama Bekerja
6 Selama Bekerja
7 Penghentian dan Mutasi
Kepegawaian
BPJS TrustMark
Pertanyaan Penilaian Mandiri Jawaban
Apakah mitra melakukan proses pemeriksaan latar belakang pada proses Ya
rekrutmen calon karyawan dan tenaga kontrak / pihak ketiga (jika ada)?
Apakah mitra melakukan tinjauan rutin terhadap proses pengecekan latar Ya
belakang dan verifikasi identitas karyawan
Apakah mitra sudah memiliki prosedur formal terkait latar belakang pada Ya
proses penerimaan pegawai?
Apakah mitra memberikan pelatihan dan awareness tentang pentingnya Ya
keamanan informasi kepada seluruh karyawan dan pihak terkait lainnya?
Apakah mitra meninjau hasil pelatihan dan kesadaran (awareness) Tidak
tersebut secara rutin?
Apakah mitra memiliki prosedur formal atau ketentuan tentang pelaksanaan Tidak
pelatihan dan awareness keamanan informasi?
Apakah mitra memiliki mekanisme exit clearance untuk karyawan yang mutasi Ya
atau resign?
8 Penghentian dan Mutasi Apakah mitra meninjau jika karyawan yang mutasi/resign sudah tidak lagi Tidak
Kepegawaian memiliki akses ke informasi yang dia tidak berhak?
9 Penghentian dan Mutasi Apakah Mitra memiliki prosedur tentang proses mutasi dan pengunduran diri? Tidak
Kepegawaian

10 NDA (non-disclosure agreement) Apakah mitra memastikan adanya NDA dengan pihak eksternal untuk Ya
atau perjanjian menjaga Informasi memastikan sebelum berjalannya pertukaran/pemberian informasi sensitif ?

11 NDA (non-disclosure agreement) Apakah mitra melakukan proses NDA pertukaran informasi diterapkan secara Ya
atau perjanjian menjaga Informasi konsisten?

12 NDA (non-disclosure agreement) Apakah mitra mempunyai prosedur formal mengenai persyaratan NDA untuk Tidak
atau perjanjian menjaga Informasi pertukaran informasi dengan pihak eksternal ?

13 Tanggung Jawab Pengelolaan Aset Apakah Mitra memiliki daftar inventaris aset informasi dan TI?​ Ya

14 Tanggung Jawab Pengelolaan Aset Apakah mitra melakukan peninjauan berkala daftar aset informasi dan TI?​ Ya

15 Tanggung Jawab Pengelolaan Aset Apakah Mitra memiliki prosedur untuk mengelola aset informasi dan TI? Tidak

16 Klasifikasi Aset Apakah Mitra melakukan proses memilah atau klasifikasi aset informasi dan TI? Ya

17 Klasifikasi Aset Apakah Mitra melakukan validasi rutin terhadap kecocokan aset informasi dan Tidak
klasifikasinya?
18 Klasifikasi Aset Apakah Mitra memiliki prosedur memilah atau klasifikasi aset informasi dan TI? Tidak

19 Pengendalian Hak Akses Apakah mitra melakukan pembatasan akses fisik/logic ke sistem, aplikasi, Ya
tempat penyimpanan informasi atau ruang server?

20 Pengendalian Hak Akses Apakah mitra secara rutin meninjau akses yang pernah diberikan? Ya
21 Pengendalian Hak Akses Apakah mitra memiliki prosedur pengelolaan akses? Tidak

22 Pendaftaran User dan Pemberian Ya

Hak Akses Apakah mitra sudah memiliki mekanisme pendaftaran, pemberian dan
persetujuan hak akses ?
23 Pendaftaran User dan Pemberian Ya
Hak Akses Apakah mitra secara rutin meninjau mekanisme pendaftaran, pemberian dan
persetujuan hak akses?
24 Pendaftaran User dan Pemberian Tidak
Hak Akses
Apakah mitra memiliki prosedur formal terkait yang mengatur mekanisme
pendaftaran dan penghapusan akses user?
25 Peninjauan Ulang Hak Akses User Ya
Apakah mitra melakukan reviu akses fisik atau logis jika terdapat perubahan
(promosi, demosi atau mutasi) atau pemutusan hubungan kerja?
26 Peninjauan Ulang Hak Akses User Tidak
Apakah mitra sudah menetapkan interval waktu untuk melakukan reviu
terhadap hak akses sistem ?
27 Peninjauan Ulang Hak Akses User Tidak
Apakah mitra memiliki prosedur formal peninjauan hak akses user atau
pengguna ?
28 Pengelolaan Password Apakah mitra memiliki tata cara penerapan kata sandi (password) yang aman ? Tidak

29 Pengelolaan Password Apakah mitra menjalankan secara konsisten tata cara pengamanan kata sandi? Tidak

30 Pengelolaan Password Apakah mitra memiliki kebijakan atau prosedur formal terkait tata cara Tidak
melakukan pengelolaan kata password yang aman ?

31 Prosedur Operasional Apakah mitra memiliki dokumentasi instalasi, konfigurasi, proses eskalasi dan Tidak
support pada saat terjadi masalah dari sistem kritikal pemrosesan data ?

32 Prosedur Operasional Apakah mitra meninjau secara berkala kesesuaian implementasi dan proses Tidak
tersebut ?
33 Prosedur Operasional Apakah mitra memiliki prosedur formal yang mengatur prosedur operasional Tidak
untuk fasilitas pemrosesan informasi

34 Perpindahan Informasi Apakah mitra mengatur tentang bagaimana aset informasi dibagikan? Ya

35 Perpindahan Informasi Apakah mitra secara rutin meninjau bagaimana aset informasi dibagikan? Tidak

36 Perpindahan Informasi Apakah mitra memiliki prosedur yang mengatur bagaimana aset informasi Tidak
dibagikan?

37 Pesan elektronik Apakah mitra sudah memiliki aturan dalam penggunaan fasilitas komunikasi Ya
elektronik dengan layanan publik (instant messaging) ?

38 Pesan elektronik Apakah mitra menijau menerapkan pengamanan informasi pada sistem pesan Tidak
elektronik?

39 Pesan elektronik Apakah mitra memiliki ketentuan atau prosedur formal mengenai kriteria Tidak
penggunaan instant messaging dan email yang aman ?

40 Pengolahan data pribadi Mengidentifikasi mana saja yang termasuk data pribadi?​ Ya

41 Pengolahan data pribadi Melakukan tinjauan rutin terhadap keutuhan data pribadi tersebut? ​ Tidak

42 Pengolahan data pribadi Memiliki prosedur / ketentuan pengelolaan data pribadi?​ Tidak

43 Proteksi data (protection of Melakukan melindungi data yang tersimpan baik fisik mau pun elektronik? ​ Ya
records)
44 Proteksi data (protection of Melakukan tinjauan rutin untuk memastikan apakah data Tidak
records) tersebut masih dapat diakses?​

45 Proteksi data (protection of Memiliki prosedur / ketentuan perlindungan data?​ Tidak

records)
 Keamanan TI (Kontrol Personil) Kemanan TI (Kontrol Organisasi)

1.75 1.09
Sebelum Bekerja 3.00 Tanggung Jawab Pengelolaan Aset 2.00
Selama Bekerja 1.00 Klasifikasi Aset 1.00
Penghentian dan Mutasi Kepegawaian 1.00 Pengendalian Hak Akses 2.00
NDA (non-disclosure agreement) atau Pendaftaran User dan Pemberian
perjanjian menjaga Informasi 2.00 Hak Akses 2.00
Peninjauan Ulang Hak Akses User 1.00
Pengelolaan Password 0.00
Prosedur Operasional 0.00
Perpindahan Informasi 1.00
Pesan elektronik 1.00
Pengolahan data pribadi 1.00
Proteksi data (protection of records) 1.00
Petunjuk

Bukti pemeriksaan seperti pengecekan Ijazah pendidikan, CV, sosial media (instagram,
facebook, linkedin), Verifikasi identitas (SKCK, Dukcapil)

Hasil tinjauan rutin yang dilakukan

Memiliki prosedur formal proses rekrutmen yang mencakup kontrak kerja dan
perjanjian NDA
Sampel program dan pelaksanaan pelatihan, kampanye kesadaran (poster, e-mail,
video pendek), kuis atau survei online.

Menunjukkan beberapa tanggal bukti pelaksanaan pelatihan dan awareness​,

pengukuran pemahaman karyawan (survey, umpan balik)

Adanya ketentuan tentang pelaksanaan pelatihan dan awareness keamanan informasi​

Sampel formulir mutasi karyawan atau exit clearance seperti pengembalian aset,
pencabutan hak akses (aplikasi, data, perangkat), dokumen rahasia fisik, kunci akses
(fisik/card)
Sampel bukti tinjauan bahwa akses sudah ditutup

Memiliki prosedur untuk mendokumentasikan kriteria pengukuran dan proses reviu

kinerja
Menjalankan proses di rating 2
Adanya kesadaran dari pengguna untuk memastikan sudah adanya NDA/persetujuan
dari pihak pemberian dan penerima sebelum pertukaran informasi sensitif

Bukti proses pada nomor 1 dilakukan secara konsisten

Adanya ketentuan atau prosedur formal mengenai kriteria persyaratan dari perjanjian
pertukaran informasi

Dapat menunjukan daftar inventaris data/informasi yang ada pada semua aset
perangkat keras atau lunak dan penanggung jawab aset (misal : dalam table excel,
dokumen atau aplikasi)
Bukti bahwa daftar aset ditinjau kebenarannya​seperti update lokasi aset informasi,
review klasifikasi informasi, tanggal perubahan/update, penanggung jawab aset

Memiliki prosedur untuk proses penambahan, perubahan dan penghapusan isi pada
daftar layanan serta menjalankan proses di rating 2

Dapat menunjukan daftar klasifikasi aset informasi (rahasia, terbatas, umum)

berdasarkan kritikalitas, sensitifitas atau nilainya
Dapat memperlihatkan bukti hasil tinjauan tentang kecocokan aset dan klasifikasinya

Adanya prosedur yang menjelaskan klasifikasi informasi​dan menjalankan proses di

rating 2
Menjelaskan mekanisme dalam pembatasan akses (siapa dan apa yang diizinkan),
permintaan & persetujuan akses, daftar akses (aplikasi, sistem, ruang server, rekam
medis)
Adanya tinjauan apakah masih sesuai dengan peran dan tanggung jawabnya seperti
daftar akses yang ter-update
Adanya prosedur pengelolaan akses mulai dari permintaan, modifikasi sampai
dengan pencabutan​

Menunjukkan penerapan identitas user yang unik, membedakan jenis hak akses user
ID (read, write, execute) dan persetujuan akses baik pada sistem operasi, aplikasi,
jaringan dan cloud
Tinjauan secara berkala kecocokan antara identitas user vs pembuatan User ID,
kewenangan akses kepada personal dan persetujuan akses

Memiliki prosedur formal terkait yang mengatur mekanisme pendaftaran dan

penghapusan akses user

Evaluasi akses yang dimiliki pengguna terhadap sistem, aplikasi, dan data secara
berkala (data HR vs sistem TI), reviu pengguna akses khusus (priviledge access)

Menunjukan dokumen proses reviu dari hak akses, akses khusus dan hasil peninjauan
serta interval waktu revieu

Memiliki prosedur formal peninjauan has akses termasuk ketentuan interval reviu
Adanya penerapan kombinasi (huruf, angka, karakter), panjang password,
penggantian password setelah login pertama kali, tidak menggunakan password yang
sama
Adanya bukti penerapan pada saat permintaan password, penerapan di sistem dan
aplikasi dan edukasi kepada pengguna
Adanya prosedur formal yang sesuai dengan pelaksanaan proses pada nomor 1 dan 2

Adanya petunjuk teknis dan tata cara instalasi atau konfigurasi yang aman serta
proses eskalasi

Pengecekan secara berkala konfigurasi sistem dengan petunjuk teknis

Prosedur formal operasional

Sampel cara membagikan informasi, misal share via email (TLS dan enkripsi),
WhatsApp (enkripsi - ZIP), pengiriman dokumen yang sensitif

Sampel hasil tinjauan bagaimana aset informasi dibagikan seperti dapat di lacak,
penanganan aset informasi sesuai dengan klasifikasinya

Adanya prosedur menjelaskan bagaimana aset informasi dibagikan

Adanya pengecekan malware sebelum data dikirimkan, penggunaan enkripsi atau

password pada attachement, disable fungsi forward otomatis ke alamat e-mail
eksternal
Sampel persetujuan penggunaan layanan publik seperti instan messaging, social
networking, file sharing atau cloud storage

Adanya prosedur yang mengatur penggunaan pesan elektronik yang mencakup

kriteria nomor 1 & 2

Menunjukkan sampel hasil identikasi data pribadi yang dikelola​

Menunjukkan hasil tinjauan rutin yang dilakulkan untuk memastikan kerahasiaan

keutuhan dan ketersediaan data pribadi dapat terjaga

Adanya prosedur / ketentuan yang berlaku atau sudah berjalan di RS berkaitan

dengan pengelolaan data pribadi​

Menunjukkan metode perlindungan data rahasia (fisik dan digital) yang sudah
dilakukan​
Menunjukkan hasil tinjauan rutin yang dilakukan​untuk memastikan semua data
rahasia sudah terlindungi (misalnya : akses terbatas, proteksi kerusakan data)

Adanya prosedur / ketentuan formal yang sudah berlaku di RS mengenai

perlindungan data​
 Kemanan TI (Kontr

1.73

BPJS TrustMark
Penanganan Media
Keamanan Fisik & Lingkungan
Pengamanan Fisik Sarana Pemrosesa
Pengendalian Akses Masuk

Penempatan dan Perlindungan Pera

Pengendalian Terhadap Risiko Gang
Bekerja Di Dalam Secure Area
Pemisahan area (physical security pe
Pemusnahan dan Penggunaan Kemb
Perlindungan aset informasi diluar k
Meja Bersih dan Layar Bersih

No Kriteria Manajemen Pertanyaan Penilaian Mandiri Jawaban

46 Penanganan Media Apakah mitra menerapkan aturan penggunaan media peyimpanan Ya

removable media (Flash Disk/USB, eksternal hardisk, cloud storage)?

47 Penanganan Media Apakah mitra melakukan peninjauan berkala penggunaan removable Ya

media?​

48 Penanganan Media Apakah ada ketentuan atau prosedur formal yang mengatur penggunaan Tidak
removable media tersebut?

49 Keamanan Fisik & Lingkungan Apakah mitra sudah menerapkan pembatas ruangan kerja, area Ya
penyimpanan data/informasi dan area pengolahan data ?

50 Keamanan Fisik & Lingkungan Apakah pengamanan area tersebut sudah dilengkapi dengan kunci akses Ya
ruangan dan CCTV ?

51 Keamanan Fisik & Lingkungan Apakah mitra memiliki prosedur terkait tata cara pengamanan area Ya
penyimpanan informasi ?
52 Pengamanan Fisik Sarana
Pemrosesan Informasi
53 Pengamanan Fisik Sarana
Pemrosesan Informasi
54 Pengamanan Fisik Sarana
Pemrosesan Informasi
55 Pengendalian Akses Masuk
56 Pengendalian Akses Masuk
57 Pengendalian Akses Masuk
58 Penempatan dan Perlindungan
Peralatan
59 Penempatan dan Perlindungan
Peralatan
60 Penempatan dan Perlindungan
Peralatan
61 Pengendalian Terhadap Risiko
Gangguan Lingkungan
62 Pengendalian Terhadap Risiko
Gangguan Lingkungan
Apakah mitra sudah menerapkan perimeter keamanan (kontrol yang Ya
diterapkan) pada area penyimpanan dan fasilitas pengolahan informasi
yang kritikal?
Apakah mitra melakukan tinjauan secara peridik terhadap kecukupan Ya
perimeter keamanan untuk area yang kritikal?
Apakah mitra memiliki prosedur terkait tata cara pengamanan area Tidak
penyimpanan informasi (Fisik maupun data pada sistem) ?
Apakah mitra memiliki kontrol untuk membatasi akses masuk ke area fisik Ya
terbatas (restrected area)?
Apakah mitra meninjau secara rutin operasional akses tersebut? Tidak
Apakah mitra memiliki prosedur tentang pengamanan area fisik terbatas? Tidak
Apakah mitra menempatkan dan perlindungan peralatan fasilitas Ya
pemrosesan informasi termasuk kabel listrik dan jaringan secara aman?
Apakah mitra melakukan peninjauan rutin peralatan yang ditempatkan? Ya
Apakah mitra memiliki prosedur tentang pengamanan area fisik? Tidak
Apakah mitra memiliki pengendalian yang berdampak pada fasilitas Ya
penyimpanan dan pemrosesan informasi yang kritikal terhadap bencana
lingkungan (kebakaran, gempa bumi, kebocoran air, dst)?
Apakah asesmen terhadap risiko dan mitigasi bencana lingkungan Ya
dilakukan secara konsisten ?
63 Pengendalian Terhadap Risiko Apakah ada ketentuan atau prosedur mengenai pengendalian risiko Tidak
Gangguan Lingkungan gangguan bencana lingkungan terhadap keamanan informasi?

64 Bekerja Di Dalam Secure Area Apakah mitra memberikan panduan keamanan bekerja di area aman/secure Ya
area (penyimpanan rekam medis, pemrosesan data) ?

65 Bekerja Di Dalam Secure Area Apakah mitra melakukan sosialisasi kesadaran bekerja pada secure area Ya
secara konsisten ?

66 Bekerja Di Dalam Secure Area Apakah mitra mempunyai kebijakan atau ketentuan formal mengenai Tidak
aturan bekerja pada secure area ?

67 Pemisahan area (physical security Apakah mitra melakukan pemisahan terhadap area-area kritikal seperti Ya
perimeters) ruang server, medical record?

68 Pemisahan area (physical security Apakah mitra melakukan peninjauan berkala terkait kelayakan dan proteksi Ya
perimeters) dari area kritikal tersebut secara periodik

69 Pemisahan area (physical security Apakah ada ketentuan atau prosedur pemantauan keamanan fisik area Tidak
perimeters) sistem kritikal?

70 Pemusnahan dan Penggunaan Apakah mitra menerapkan tata cara pemusnahan dan penggunaan kembali Ya
Kembali Perangkat Informasi perangkat media penyimpan informasi (Hardisk,USB) ?

71 Pemusnahan dan Penggunaan Apakah mitra memiliki pencatatan dan dokumentasi pemusnahan dan Tidak
Kembali Perangkat Informasi penggunaan kembali perangkat informasi ?

72 Pemusnahan dan Penggunaan Apakah mitra memiliki ketentuan atau prosedur formal tata cara Tidak
Kembali Perangkat Informasi pemusnahan dan penggunaan kembali perangkat informasi?

73 Perlindungan aset informasi diluar Apakah mitra menerapkan kontrol pengamanan untuk bekerja diluar Ya
kantor kantor (secure remote access, password USB/external hardisk) ?
74 Perlindungan aset informasi diluar Apakah mitra melakukan sosialisasi dan tinjauan terkait pengamanan aset Tidak
kantor informasi selama diluar kantor secara konsisten?
75 Perlindungan aset informasi diluar Apakah mintra memiliki prosedur formal terkait tata cara pengamanan aset Tidak
kantor informasi dan bekerja diluar kantor ?

76 Meja Bersih dan Layar Bersih Apakah mitra menerapkan kebijakan clear desk/membersihkan meja dan Ya
clear screen/membersihkan layar dari informasi sensitif ?

77 Meja Bersih dan Layar Bersih Apakah mitra melakukan tinjauan penerapan clear desk dan clear screen Tidak
secara konsisten ?

78 Meja Bersih dan Layar Bersih Apakah mitra mempunyai ketentuan atau prosedur formal terkait Tidak
penerapan Clear Desk dan Clear Screen?

79 Pengelolaan Akses Khusus Ya

Apakah Mitra membatasi penggunaan akses khusus seperti Administrator

dan Root?
80 Pengelolaan Akses Khusus Tidak

Meninjau penggunaan akses khusus tersebut?​

81 Pengelolaan Akses Khusus Tidak

Memiliki prosedur tentang pengelolaan akses khusus?​

82 Pengendalian Akses Sistem Operasi Apakah Mitra memiliki mekanisme pembatasan akses terhadap sistem Ya
dan Aplikasi operasi dan aplikasi?
83 Pengendalian Akses Sistem Operasi Apakah mitra meninjau validitas pembatasan akses secara rutin? Tidak
dan Aplikasi
84 Pengendalian Akses Sistem Operasi Apakah mitra memiliki prosedur pengendalian akses sistem operasi dan Tidak
dan Aplikasi aplikasi

85 Pengendalian Akses Ke Program Apakah mitra memiliki mekanisme pengendalian akses terhadap Ya
Kode Sumber (Source Code) penyimpanan program kode sumber (Source Code)?
86 Pengendalian Akses Ke Program Apakah mitra melakukan tinjauan berkala terhadap akses dan Tidak
Kode Sumber (Source Code) penyimpanan source code?

87 Pengendalian Akses Ke Program Apakah ada prosedur formal yang mencangkup tata cara pengelolaan dan Tidak
Kode Sumber (Source Code) penyimpanan program kode sumber?

88 Kriptografi Apakah mitra memiliki dan menerapkan metode enkripsi pada media Ya
penyimpanan dan pengiriman informasi?

89 Kriptografi Apakah mitra melakukan tinjauan penerapan enkripsi yang konsisten pada Tidak
informasi yang sensitif?

90 Kriptografi Apakah mitra memiliki prosedur formal yang terkait dengan penerapan Tidak
standar enkripsi informasi di organisasi

91 Pemisahan Aktivitas
Pengembangan, Pengujian dan
Operasional
92 Pemisahan Aktivitas
Pengembangan, Pengujian dan
Operasional
93 Pemisahan Aktivitas
Pengembangan, Pengujian dan
Operasional
94 Perlindungan Malware dan
Pengelolaan Patch
Apakah mitra sudah menerapkan pengendalian untuk tidak melakukan Ya
pengujian dan menggunakan compiler/editor pada sistem operasional ?
Apakah mitra sudah menerapkan checklist pengujian sebelum melakukan Tidak
implementasi pada sistem operasional
Apakah mitra memiliki prosedur formal mengenai tata cara pengujian Tidak
sistem dan deployment pada sistem operasional ?
Apakah mitra memasang perangkat anti malware dan pengelolaan patch Ya
pada setiap perangkat kerja?

95 Perlindungan Malware dan Apakah mitra meninjau up-date perangkat anti malware tersebut dan Tidak
Pengelolaan Patch melakukan patch secara rutin?

96 Perlindungan Malware dan Apakah mitra memiliki prosedur tentang perangkat kerja? Tidak
Pengelolaan Patch
97 Pencadangan informasi Apakah mitra melakukan pengetesan terhadap cadangan informasi Ya
(restore) yang tersimpan ?

98 Pencadangan informasi Apakah proses pengujian cadangan informasi (restore) telah dilakukan Tidak
secara konsisten?

99 Pencadangan informasi Apakah mitra memiliki ketentuan dalam prosedur formal mengenai tata Tidak
cara, frekuensi dan periode restore ?

100 Pencatatan (logging) dan Apakah mitra sudah mengaktifkan event log pada sistem operasional Ya
Pemantauan pemrosesan informasi yang kritikal?

101 Pencatatan (logging) dan Apakah mitra menjalankan pemeriksaan berkala kapasitas penyimpanan Tidak
Pemantauan log dan sinkronisasi waktu sistem operasional ?

102 Pencatatan (logging) dan Apakah mitra memiliki ketentuan dalam prosedur formal mengenai proses Tidak
Pemantauan pengelolaan log sistem ?

103 Kendali Perangkat Lunak Apakah mitra menerapkan pengendalian instalasi perangkat lunak pada Tidak
Operasional sistem operasional (server, komputer, laptop) ?

104 Kendali Perangkat Lunak Apakah mitra menjalankan proses update (patch) perangkat lunak secara Tidak
Operasional secara konsisten?

105 Kendali Perangkat Lunak Apakah mitra memiliki prosedur formal mengenai pengendalian perangkat Tidak
Operasional lunak (misalnya hanya dapat di instalasi oleh admin, tidak menggunakan
perangkat lunak bajakan, dst) ?

106 Pengelolaan Kerentanan Teknis Apakah mitra melakukan asesmen kerentanan untuk sistem faskes? ​ Tidak

107 Pengelolaan Kerentanan Teknis Meninjau perbaikan yang dilakukan dari hasil asesmen kerentanan?​ Tidak
108 Pengelolaan Kerentanan Teknis Memiliki prosedur tentang manajemen kerentanan?​ Tidak

109 Keamanan Jaringan Apakah mitra mengamankan jaringan komunikasi untuk Tidak
mengakses informasi faskes?​

110 Keamanan Jaringan Apakah mitra meninjau validitas pembatasan akses secara rutin?​ Tidak

111 Keamanan Jaringan Apakah mitra memiliki prosedur tentang pengamanan jaringan? Tidak

112 Persyaratan Keamanan Sistem Apakah mitra memiliki persyaratan aplikasi sebelum melakukan Ya
Informasi pengembangan?​

113 Persyaratan Keamanan Sistem Apakah mitra meninjau kesesuaian antara BRD dan pengembangannya?​ Ya
Informasi

114 Persyaratan Keamanan Sistem Apakah mitra memiliki prosedur tentang persyaratan keamanan sistem Tidak
Informasi informasi?​

115 Keamanan Proses Pengembangan Apakah mitra menguji pengembangan di lingkungan terpisah dengan Tidak
produksi?​

116 Keamanan Proses Pengembangan Apakah mitra meninjau hasil uji dengan konsisten?​ Tidak

117 Keamanan Proses Pengembangan Apakah mitra memiliki prosedur tentang pengamanan dalam Tidak
pengembangan aplikasi?​

118 Data Uji Apakah mitra menggunakan data dummy pada proses pengujian?​ Ya
119 Data Uji Apakah mitra meninjau data yang digunakan dalam proses Tidak
uji adalah selalu data dummy?​

120 Data Uji Apakah mitra memiliki prosedur tentang penggunaan data uji dalam Tidak
pengembangan aplikasi?​
 Kemanan TI (Kontrol Fisik) Kemanan TI (Kontrol Tehnologi)

1.73 0.79
Penanganan Media 2.00 Pengelolaan Akses Khusus 1.00
Keamanan Fisik & Lingkungan 3.00 Pengendalian Akses Sistem Operasi dan Aplikasi 1.00
Pengamanan Fisik Sarana Pemrosesan Informasi 2.00 Pengendalian Akses Ke Program Kode Sumber (Source
1.00
Code)
Pengendalian Akses Masuk Kriptografi
1.00 1.00
Penempatan dan Perlindungan Peralatan 2.00 Pemisahan Aktivitas Pengembangan, Pengujian dan Operasional
1.00
Pengendalian Terhadap Risiko Gangguan 2.00 Perlindungan Malware dan Pengelolaan Patch 1.00
Bekerja Di Dalam Secure Area 2.00 Pencadangan informasi 1.00
Pemisahan area (physical security perimeters) 2.00 Pencatatan (logging) dan Pemantauan 1.00
Pemusnahan dan Penggunaan Kembali Perangkat Informasi
1.00 Kendali Perangkat Lunak Operasional 0.00
Perlindungan aset informasi diluar kantor 1.00 Pengelolaan Kerentanan Teknis 0.00
Meja Bersih dan Layar Bersih 1.00 Keamanan Jaringan 0.00
Persyaratan Keamanan Sistem Informasi 2.00
Keamanan Proses Pengembangan 0.00
Data Uji 1.00
Petunjuk

Adanya pembatasan penggunaan USB, daftar semua removable media yang digunakan,
penggunaan password atau enkripsi, aturan penggunaan kembali removable media (secure
format)
Adanya bukti pencatatan inventaris removable media yang terupdate, pemantauan aktif terhadap
penerapan aturan pengelolaan penggunaan removable media yang sudah dilakukan

Memiliki prosedur yang mengatur penggunaan removable media dan menjalankan proses di
rating 2

Observasi penerapam pembatasan area/ruang kerja

Sampel jenis pengamanan dan monitoring yang digunakan

Adanya kebijakan atau prosedur keamanan fisik & lingkungan area penyimpanan informasi
Adanya pembatasan area kerja dengan area penyimpanan/pemrosesan informasi (server room,
rekam medis), penggunaan akses card, pengamanan exit door, penguatan struktur lantai

Adanya tinjauan perimeter keamanan masih sesuai

Apakah mitra memiliki prosedur terkait kriteria perimeter dan pengendalian keamanan aset
penyimpanan data/informasi ?

Mempertlihatkan mekanisme pembatasan akses tersebut, penggunaan log-book, access card,

finger print, PIN

Sampel bukti reviu akses seperti daftar access ke server room, rekam medis (up-date,
pencabutan, penambahan)

Adanya prosedur tentang pengamanan area fisik terbatas yang mencakup permintaan,
persetujuan dan reviu berkala

Observasi penempatan dan perlindungan peralatan seperti server, pemantau suhu, UPS,
termasuk kabel listrik dan jaringan

Sampel laporan/checklist pemeliharaan CCTV atau APAR, pemantauan suhu, pemeliharaan

perangkat jaringan/cabling

Adanya prosedur tentang pengamanan area fisik

Mempunyai tempat penyimpanan yang terpisah (beda lokasi) untuk penyimpanan data backup,
sistem fire supression, UPS untuk electrical surges, dll

Bukti asesmen yang dilakukan secara berkala terhadap setiap ancaman fisik dan lingkungan yang
berdampak pada keamanan informasi
Prosedur atau kebijakan yang mencakup nomor 1 dan 2

Pengetahuan personil dalam hal pembatasan penyebaran informasi, pengawasan aktifitas di

ruangan, Larangan penggunaan perangkat tertentu (kamera, video), prosedur darurat

Bukti sosialisasi atau aturan bekerja di area aman / secure area

Kebijakan atau prosedur aturan bekerja di secure area yang mencakup nomor 1 & 2

Adanya pemisahan terhadap tempat penyimpanan pengolahan data digital (server) dan
penyimpanan berkas fisik (rekam medis) dari ruangan lain yang digunakan untuk bekerja

Bukti peninjauan tata letak, keamanan dan fungsi perangkat pendukung tempat
penyimpanan/pengolahan data yang dilakukan secara periodik untuk menghindari kerusakan
atau dimatikan
Prosedur pemantauan keamanan fisik sistem kritikal termasuk kriteria nomor 1 & 2

Penggunaan secure erase/secure format media penyimpanan, penggunaan tools/aplikasi

Bukti dokumentasi berita acara pemusnahan

Prosedur atau kebijakan yang mencakup nomor 1 dan 2

Sampel permohonan bekerja dari luar faskes, pembatasan user yang bisa mengakses sistem
pengolahan data RS dari luar
Menunjukkan hasil tinjauan pengamanan akses

Adanya ketentuan tentang pelaksanaan bekerja dari luar kantor

Menyimpan dan mengunci kabinet yang berisi informasi sensitif dan rahasia (password,
dokumen), penggunaan log-off otomatis / password screen saver, menghapus whiteboard

Dokumen atau laporan hasil pemeriksaan dan daftar temuan pelanggaran yang dilakukan secara
berkala

Adanya kebijakan atau prosedur penerapan clear desk dan clear screen

Observasi siapa saja yang memiliki akses khusus​pada sistem operasi server, PC/laptop, jaringan,
aplikasi

Bukti tinjauan bahwa akses khusus hanya digunakan oleh pemilik yang sah dan untuk tujuan yang
tepat​

Adanya prosedur tentang pengelolaan akses khusus​

Sampel mekanisme pembatasan yang dilakukan pada sistem operasi dan aplikasi perangkat
pengguna (user, power user, admin), tipe akses (read, write, execute)
Sampel tinjauan user access yang dilakukan secara berkala seperti kesesuaian Jenis data yang
diakses oleh pengguna
Prosedur formal tentang pengendalian akses yang mencakup proses nomor 1 dan 2

Dapat memperlihatkan bukti permintaan dan persetujuan akses untuk baca atau tulis ke source
code, development tools atau sofware library
Sampel permintaan, persetujuan, penggunaan development tools

Prosedur formal pengelolaan dan pengendalian source code

contoh Implementasi enkripsi HDD (bitlocker) penggunaan SSL pada web, RSA atau AES

Sampel penggunaan SSL dan enkripsi pada informasi yang sensitif

Adanya prosedur penerapan standar enkripsi

Adanya pemisahan server produksi dan testing (pada virtual maupun fisik), mengamankan
konfigurasi, patching dan update pada server produksi dan testing

Bukti pengujian yang dilakukan dan persetujuan sebelum masuk sistem produksi (change
managemen & rilis)

Memiliki prosedur formal mengenai tata cara pengujian sistem dan deployment

Sampel perangkat kerja yang terpasang anti malware (antivirus yang berlisensi) pembaharuan
patch sistem dan aplikasi yang berlisensi, penggunaan firewall

Bukti tinjauan bahwa anti malware dan perangkat lunak operasional diperbarui secara rutin

Adanya prosedur tentang perangkat kerja

Adanya proses pengetesan restore data informasi yang tersimpan dengan tujuan untuk
memastikan kondisi keutuhan dan ketersediaan informasi tetap terjaga

Dokumen/checklist monitoring hasil pengetesan pemulihan informasi (restore) secara berkala

Adanya prosedur pengujian pemulihan informasi cadangan untuk dilakukan secara rutin

sampel event log, penyimpanan dan pembatasan akses terhadap log

bukti adanya peninjauan berkala kapasitas log, sinkronisasi waktu, pemeriksaan/analisa kejadian
adnormal pada log (percobaan login di luar waktu normal dan dilakukan terus menerus)

prosedur formal mengenai proses pengelolaan log sistem

Memperlihatkan lisensi OS, aplikasi dan perangkat lunak lainnya

bukti update patch perangkat lunak ke sumua end-point devices

Adanya prosedur formal mengenai pengendalian perangkat lunak

Sampel asesmen kerentanan yang telah dilakukan​seperti Pemindaian (scanning) kerentanan

server, jaringan dan aplikasi

Bukti bahwa perbaikan asesmen kerentanan diperbaiki​seperti penutupan kerentanan

berdasarkan tingkat risiko, dengan Patch atau perubahan konfigurasi
Adanya prosedur tentang manajemen kerentanan​dengan memasukan kriteria nomor 1 & 2

Menunjukkan sampel mekanisme pembatasan yang dilakukan​seperti verifikasi dengan login

username/password untuk akses jaringan LAN, Enkripsi pada transmisi data (VPN)

Sampel tinjauan user access​seperti jenis akses pengguna, tujuan akses

Adanya prosedur tentang pengamanan jaringan​dengan memasukan kriteria nomor 1 & 2

Menunjukkan sampel BRD pengembangan​yang mencakup autentikasi dan otorisasi, validasi

input, enkripsi, penanganan error dan data masking

Sampel BRD dan hasil pengembangannya​seperti penggunaan 2FA, penggunaan HTTPS,

penggunaan karakter yang berbahaya pada validasi input

Adanya prosedur tentang pengamanan dalam pengembangan aplikasi​

Menunjukkan testing keamanan yang dilakukan​seperti uji penetrasi, uji kerentanan, UAT dengan
skenario pengujian keamanan (validasi input, validasi kontrol akses)

Sampel beberapa hasil uji pengembangan yang dilakukan​dan tindak lanjut dari Hasil uji penetrasi
dan uji kerentanan

Adanya prosedur tentang pengamanan dalam pengembangan aplikasi​

Menunjukkan sampel data dummy​pada proses pengujian integrasi sistem BPJS Kesehatan
Sampel beberapa hasil uji yang dilakukan​(rutin menggunakan data uji yang dibuat sendiri dengan
memastikan data sensitive dibuang atau menggunakan data masking)

Adanya prosedur tentang pengamanan dalam pengembangan aplikasi

 Hasil Penilaian Kematangan BPJS Kesehatan Trust Mark Analisis hasil pen
Kriteria Penilaian BPJS Trust Mark Rating Rating Final
Mitra

1
Pengelolaan Layanan TI Mitra : 1.35
Pengelolaan Keamanan Informasi Mitra : 1.23
Pengelolaan standarisasi Teknis TI : 0.33

Desain, p

Total Result

Kematangan Proses
Resolusi dan pemenuhan

1 68% 28% 5%

Portofolio Lay

2 65% 35% 0%

30% 17% 0%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% M
Proses sudah dilakukan namun belum konsisten (kadang dikerjakan, kadang tidak)
Proses sudah dilakukan berulang/ konsisten namun berdasarkan pemahaman masing-masing personil
Proses sudah dilakukan secara konsisten dan dilakukan mengikuti prosedur formal (SOP)
8

7
7

6
Analisis hasil penilaian BPJS Kesehatan Trust Mark

Manajemen Layanan TI

Desain, pembuatan, dan transisi layanan Desain, pembuatan, dan transisi

layanan
Total Result 2 Hubungan dan perjanjian Hubungan dan perjanjian
Jaminan layanan
1
Penawaran dan Permintaan
0 Portofolio Layanan
Resolusi dan pemenuhan
Resolusi dan pemenuhan Jaminan layanan Total Result

Portofolio Layanan Penawaran dan Permintaan

Manajemen Kemanan Informasi

1

2
8 2

1
1 2
3
4
5
7 0 3 6
7
8
 1 2
3
4
5
7 0 3 6
7
8

6 4