•
Kebijakan Informasi PublikBerdasarkan ketentuan dalam UU Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik maka Unit Pengelola BDT telah Mengklasifikasikan informasi BDT ke dalam dua kelompok besar:
– Informasi Publik, yaitu informasi yang dihasilkan, disimpan, dikelola, dikirim, dan/atau diterima oleh Unit Pengelola BDT terkait penyelenggara dan penyelenggaraan badan publik serta informasi lain yang berkaitan dengan kepentingan publik.
– Informasi Publik Yang Dikecualikan, yaitu informasi yang bersifat rahasia sesuai dengan Undang-Undang, kepatutan, dan kepentingan umum yang didasarkan pada pengujian tentang konsekuensi yang timbul apabila suatu informasi diberikan kepada masyarakat serta setelah dipertimbangkan dengan saksama bahwa menutup Informasi Publik dapat melindungi kepentingan yang lebih besar daripada membukanya atau sebaliknya. Kebijakan Informasi Publik diterapkan dengan mengacu ke UU Nomor 14 Tahun 2008 tersebut, dengan garis besar sebagai berikut:
– Informasi Publik bersifat terbuka dan dapat diakses oleh setiap pengguna Informasi Publik.
– Informasi Publik Yang Dikecualikan bersifat ketat dan terbatas. Oleh karena itu, Informasi Publik Yang Dikecualikan hanya akan diberikan oleh Unit pengelola BDT kepada pengguna yang memenuhi ketentuan peraturan perundangan yang berlaku.
•
Kebijakan Keamanan DataKebijakan keamanan data memberikan panduan dan rekomendasi untuk pembuatan, penyimpanan, penanganan, reproduksi, transmisi, dan
Standar Pengelolaan Basis Data Terpadu Untuk Program Perlindungan Sosial
48
STANDAR SISTEM MANAJEMEN DAN TEKNOLOGI INFORMASI
pemusnahan informasi, khususnya informasi yang dikecualikan yang ada dalam Basis Data Terpadu (BDT).
– Data-data yang dikelola Unit Pengelola BDT disimpan ke dalam repository. – Data repository yang digunakan adalah repository lokal yang secara fisik berada dalam infrastruktur TIK milik Unit Pengelola BDT dan berada di wilayah Negara Republik Indonesia.
– Jika diperlukan, data-data dapat disimpan dalam media awan pribadi (private
cloud) milik Unit Pengelola BDT dan dalam wilayah Negara Republik Indonesia.
– Informasi-informasi yang bersifat rahasia (confidential) atau terbatas (restricted) bila akan dimusnahkan harus melalui prosedur pemusnahan data dengan dihapus (wipe) secara fisik dan electronik.
•
Kebijakan Akses BDTKebijakan akses BDT mengatur tata-cara akses ke BDT serta dataset terkait lainnya yang dikelola Unit Pengelola BDT untuk menjaga kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) basis data.
– Akses penuh ke basis data diberikan kepada Database Administrator sesuai tupoksinya.
– Staf Unit Pengelola BDT yang memerlukan akses ke basisdata harus berkoordinasi dengan Database Administrator untuk mendapatkan hak akses ke database tersebut dengan diketahui oleh pimpinan Unit Pengelola BDT.
•
Kebijakan Akses Melalui VPN (Virtual Private Network)Kebijakan akses melalui VPN memberikan panduan dalam pengelolaan dan penggunaan akses jarak jauh (remote access) menggunakan koneksi VPN. – Akses VPN hanya diberikan untuk kegiatan pemeliharaan perangkat TIK
dari jarak jauh (remote maintenance) yang dilakukan oleh bagian yang berkepentingan, misalnya System Administrator, Database Administrator. – Pengguna akhir (end user) tidak diperkenankan menggunakan akses VPN,
namun apabila diperlukan dalam keadaan mendesak bisa meminta ijin kepada pimpinan dari Unit Pengelola Data BDT.
•
Kebijakan Keamanan Infrastruktur TIKKebijakan keamanan infrastruktur TIK memberikan panduan dan rekomendasi dalam perancangan, pengembangan, pengoperasian, dan pemeliharaan infrastruktur TIK.
– Perancangan dan pengembangan infrastruktur TIK harus disesuaikan dengan kebutuhan Unit Pengelola BDT.
– Pengadaan dan pemeliharaan infrastruktur TIK harus dilakukan secara berkala dengan bekerja sama dengan pemasok resmi (authorized dealer/vendor).
STANDAR SISTEM MANAJEMEN DAN TEKNOLOGI INFORMASI
Standar Pengelolaan Basis Data Terpadu Untuk Program Perlindungan Sosial
49
– Perangkat (equipment) dipilih dengan memperhatikan ketersediaan di
pasar lokal, jaminan purna jual, dan kredibilitas serta fleksibilitas dari pemasok perangkat.
•
Kebijakan Penggunaan PeralatanKebijakan penggunaan peralatan (equipment) mengatur tata-cara penggunaan peralatan milik Unit Pengelola BDT. Penggunaan yang sembarangan dapat menimbulkan berbagai risiko, seperti serangan virus, terganggunya layanan dan jaringan komputer, serta permasalahan hukum.
– Perangkat komputer dan laptop yang terhubung dengan jaringan komputer Unit Pengelola BDT harus memiliki program antivirus standar.
– Perangkat komputer pribadi (PC) dan Laptop di lingkungan Unit Pengelola BDT hanya boleh dipasang (install) aplikasi pendukung kerja yang memiliki
lisensi resmi.
– Pengguna akhir (end-user) tidak diperbolehkan melakukan pemasangan aplikasi sendiri, semua proses pemasangan aplikasi harus melalui System
Administrator.
•
Kebijakan Penggunaan Perangkat Bergerak (Mobile)Kebijakan penggunaan perangkat bergerak memberikan panduan dan rekomendasi dalam penggunaan perangkat komputasi dan penyimpanan bergerak (mobile computing and storage devices) yang mengakses atau menyimpan sumberdaya informasi Unit Pengelola BDT.
Standar Pengelolaan Basis Data Terpadu Untuk Program Perlindungan Sosial
50
STANDAR SISTEM MANAJEMEN DAN TEKNOLOGI INFORMASI
•
Kebijakan Penggunaan Removable StorageKebijakan penggunaan removable storage mengatur tata-cara penggunaan media penyimpan yang dapat dilepas (removable storage media) untuk meminimalkan risiko kehilangan atau terpaparnya informasi BDT yang dikecualikan dan untuk mengurangi risiko berjangkitnya infeksi antivirus dan
malware pada peralatan-peralatan yang dioperasikan oleh Unit Pengelola BDT.
– Penggunaan enkripsi pada perangkat storage yang dapat dilepas. – Pengendalian removable storage media melalui satu dashboards terpadu. – Perangkat removable storage media harus bersih dari malware dan virus,
melalui proses scanning antivirus di komputer pribadi (PC) dan/atau Laptop.
•
Kebijakan Keamanan ServerKebijakan keamanan server mengatur konfigurasi dasar (base configuration) dari perangkat-perangkat server internal yang dimiliki atau dioperasikan oleh Unit Pengelola BDT.
– Server dilindungi dengan aplikasi antivirus dan firewall
– Server operasional yang mengelola BDT tidak dapat diakses melalui remote
akses
– Server tidak boleh diakses oleh pengguna akhir (end user) secara langsung onsite, kecuali oleh System Administrator dan Database Administrator dari Unit Pengelola BDT yang memang ditugaskan untuk itu.
– Staf lain yang memerlukan akses langsung ke server onsite harus memiliki ijin dari pimpinan Unit Pengelola BDT dan didampingi oleh Sytem Administrator
yang ditugaskan.
– Akun pengguna (user account) dan kata kunci (password) Administrator Server
hanya boleh dipegang oleh System Administrator yang ditugaskan dan tidak
boleh dipindah-tangankan.
•
Kebijakan Pengembangan WebsiteKebijakan pengembangan website memuat panduan dan rekomendasi dalam perancangan, pengembangan, pengoperasian, dan pemeliharaan situs web Unit Pengelola BDT.
•
Kebijakan Penggunaan EmailKebijakan penggunaan email mengatur tata-cara penggunaan email dalam lingkungan Unit Pengelola BDT. Hal ini dimaksudkan untuk menjaga citra Unit Pengelola BDT di mata publik, sebab publik cenderung menganggap email sebagai pernyataan kebijakan resmi (official policy statement) dari sebuah instansi.
STANDAR SISTEM MANAJEMEN DAN TEKNOLOGI INFORMASI
Standar Pengelolaan Basis Data Terpadu Untuk Program Perlindungan Sosial
51
– Komunikasi yang berisi informasi dan kegiatan resmi lain di Unit Pengelola Data BDT wajib menggunakan email kantor.
– Standarisasi tanda-tangan (signature) email.
•
Kebijakan Penggunaan InternetKebijakan penggunaan Internet mengatur tata-cara penggunaan Internet di lingkungan Unit Pengelola BDT. Penggunaan Internet yang sembarangan dapat menimbulkan berbagai risiko, seperti serangan virus dan malware, terganggunya layanan dan jaringan komputer, serta permasalahan hukum. – Penggunaan Internet hanya diperbolehkan untuk kegiatan yang menunjang
tupoksi Unit Pengelola BDT.
– Akses Internet dikendalikan dengan melakukan penyaringan (filtering) dan pemblokiran (blocking) situs-situs web yang dicurigai memuat virus, malware, pornografi, perjudian, dan memuat konten yang ofensif dan tidak pantas (offensive and inappropriate).
•
Kebijakan Penggunaan PasswordKebijakan penggunaan kata kunci (password) meliputi panduan dan rekomendasi pembuatan, perlindungan, dan perubahan kata sandi (password). – Kata sandi harus memiliki panjang minimal 8 karakter terdiri dari huruf besar,
kecil, angka dan karakter numerik.
– Kata sandi harus diganti dalam rentang waktu berkala.
•
Kebijakan Penggunaan EnkripsiEnkripsi digunakan untuk mengkodekan data sehingga tidak bisa dibaca secara langsung.
– Kebijakan penggunaan enkripsi memberikan panduan dalam penggunaan algoritme untuk mengkodekan (encrypt) data.
– Penggunaan algoritme enkripsi dibatasi pada algoritme yang sudah mendapat review publik secara luas dan sudah terbukti dapat bekerja secara efektif.