KEMENTERIAN PEKERJAAN UMUM DIREKTORAT JENDERAL CIPTA KARYA

(1)

A. Umum

Teknologi Informasi dan Komunikasi selanjutnya disebut TIK merupakan suatu penerapan teknologi yang efektif dan efisien dalam pemanfaatan data dalam mendukung pelayanan informasi publik guna mewujudkan tata kelola pemerintahan yang baik. Pengelolaan TIK di lingkungan Direktorat Jenderal Cipta Karya dilakukan untuk merencanakan, melaksanakan, dan memanfaatkan serta memelihara penyebarluasan informasi dengan memperhatikan efisiensi penggunaan sumber daya, pengelolaan risiko terkait TIK dan mempertimbangkan penggunaan teknologi mutakhir.

B. Dasar Pembentukan

Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843);

1.

KEMENTERIAN PEKERJAAN UMUM DIREKTORAT JENDERAL CIPTA KARYA

SURAT EDARAN Nomor: 53/SE/DC/2016

TENTANG

PETUNJUK PELAKSANAAN PENGELOLAAN TEKNOLOGI INFORMASI KOMUNIKASI

DI LINGKUNGAN DIREKTORAT JENDERAL CIPTA KARYA

Jalan Pattimura Nomor 20-Kebayoran Baru-Jakarta Selatan 12110 telepon (021) 722-1772

Kepada yang terhormat:

1. Para Pejabat Eselon II;

2. Para Pejabat Eselon III;

3. Para Kepala Satuan Kerja;

di Lingkungan Direktorat Jenderal Cipta Karya

(2)

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik (Lembaran Negara Republik Indonesia Tahun 2010 Nomor 99, Tambahan Lembaran Negara Republik Indonesia Nomor 5149);

Peraturan Pemerintah Nomor 39 Tahun 2008 tentang Tata Cara Pengendalian dan Evaluasi Pelaksanaan Rencana Pembangunan;

Peraturan Menteri Pekerjaan Umum Nomor: 04/PRT/M/2009 tentang Standar Manajemen Mutu Departemen Pekerjaan Umum;

Peraturan Menteri Pekerjaan Umum Nomor 14/PRT/M/2011 Tentang Pedoman Pelaksanaan Kegiatan Kementerian Pekerjaan Umum yang Merupakan Kewenangan Pemerintah dan Dilaksanakan Sendiri;

Peraturan Menteri Pekerjaan Umum dan Perumahan Rakyat Nomor 25/PRT/M/2014 Tahun 2014 tentang Penyelenggaraan Data dan Informasi Geospasial Infrastruktur Bidang Pekerjaan Umum dan Perumahan Rakyat;

Peraturan Menteri Pekerjaan Umum dan Perumahan Rakyat Nomor : 15/PRT/M/2015 tentang Organisasi dan Tata Kerja Departemen Pekerjaan Umum dan Perumahan Rakyat;

Peraturan Menteri Pekerjaan Umum dan Perumahan Rakyat Nomor : 17/PRT/M/2016 tentang Penyelenggaraan Teknologi Informasi dan Komunikasi di Kementerian Pekerjaan Umum dan Perumahan Rakyat;

Peraturan Menteri Pendayagunaan Aparatur Negara Nomor:

35/Tahun 2012 tentang Pedoman Standar Operasional Prosedur;

Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2015 Tentang Registrasi Nama Domain Instansi Penyelenggara Negara;

Keputusan Menteri Komunikasi dan Informasi Nomor:

55/KEP/M.KOMINFO/12/2003 Tentang Panduan Pengembangan Infrastruktur Portal Pemerintah;

(3)

12.

13.

Keputusan Menteri Pekerjaan Umum dan Perumahan Rakyat Nomor 334/KPTS/M/2015 tentang Pemberhentian dan Pengang- katan Dari dan Dalam Jabatan Pimpinan Tinggi Pratama di Lingkungan Kementerian Pekerjaan Umum dan Perumahan Rakyat; dan

Keputusan Menteri Pekerjaan Umum dan Perumahan Rakyat Nomor: 674/KPTS/M/2015 tentang Penetapan Struktur Organisasi Dan Penunjukan Pejabat Pengelola Informasi Dan Dokumentasi Kementerian Pekerjaan Umum Dan Perumahan Rakyat.

1.

2.

C. Maksud dan Tujuan

Surat Edaran ini dimaksudkan sebagai petunjuk pelaksanaan pengelolaan teknologi informasi dan komunikasi serta pengelolaan data di lingkungan Direktorat Jenderal Cipta Karya.

Surat Edaran ini bertujuan untuk:

a)

b)

c)

Menciptakan Tata Kelola TIK yang baik dalam pelaksanaan kegiatan di lingkungan Direktorat Jenderal Cipta Karya;

Meningkatkan pemahaman pengetahuan di bidang Teknologi Informasi dan Komunikasi di lingkungan Direktorat Jenderal Cipta Karya; dan

Meningkatkan pengelolaan data di lingkungan Direktorat Jenderal Cipta Karya.

D. Pengertian

1.

2.

Penyelenggaraan teknologi informasi dan komunikasi di lingkungan Direktorat Jenderal Cipta Karya yang selanjutnya disebut sebagai e-Government adalah pemanfaatan teknologi informasi dan komunikasi dalam proses pemerintahan.

Teknologi Informasi Komunikasi yang selanjutnya di sebut dengan TIK merupakan suatu teknik untuk mengumpulkan, menyiapkan, menyimpan, memproses, mengumumkan, menganalisis, dan/atau menyebarluaskan informasi.

Di bawah ini akan dijelaskan beberapa istilah yang berkaitan dengan Teknologi Informasi dan Komunikasi, yaitu:

(4)

3.

4.

5.

6.

7.

8.

9.

10.

11.

Data adalah kumpulan fakta berupa angka, huruf, gambar, suara, peta, atau citra tentang karakteristik atau ciri-ciri suatu objek.

Standardisasi Data adalah standar yang digunakan dalam memasukkan suatu data ke dalam sistem dengan tujuan untuk memudahkan proses pengolahan data menjadi informasi dan laporan.

Informasi adalah gabungan, rangkaian dan analisis data yang berbentuk angka, huruf, gambar, suara, peta, atau citra yang telah diolah, yang mempunyai arti, nilai dan makna tertentu.

Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, kode akses, dan simbol yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.

Sistem Informasi adalah aplikasi komputer yang dirancang, dibuat dan digunakan untuk mendukung operasi dari suatu organisasi, aplikasi tersebut terdiri atas kumpulan sub-sub sistem yang saling berhubungan yang membentuk suatu komponen mencakup input-proses-output yang berhubungan dengan pengolahan data menjadi informasi, dan berguna bagi user untuk mendukung proses pengambilan keputusan.

Aplikasi adalah komponen sistem informasi yang digunakan untuk menjalankan fungsi, proses dan mekanisme kerja yang mendukung pelaksanaan e-Government.

Jaringan Komputer adalah sebuah sistem yang terdiri atas beberapa komputer dan perangkat jaringan lainnya yang saling terhubung dan berfungsi untuk mencapai suatu tujuan yang sama.

Portal web adalah kumpulan situs web yang berisi informasi elektronik yang dapat diakses publik.

Nama Domain adalah alamat internet penyelenggara negara, orang, badan usaha, dan/atau masyarakat, yang dapat digunakan dalam berkomunikasi melalui internet, yang berupa kode atau susunan karakter yang bersifat unik untuk menunjukkan lokasi tertentu dalam internet.

(5)

E. Ruang Lingkup

Lingkup dari Surat Edaran ini, yaitu:

1. Struktur Organisasi Tata Kelola Teknologi Informasi dan Komunikasi di Lingkungan Direktorat Jenderal Cipta Karya meliputi:

a) b)

Prinsip Dasar; dan

Pengelola dan Penanggungjawab TIK di lingkungan Direktorat Jenderal Cipta Karya.

2. Pengendalian Manajemen dan Perangkat Tata Kelola TIK meliputi:

a) b) c) d) e) f) g) h) i)

Pengendalian Manajemen Keamanan TIK;

Pengendalian Manajemen Risiko TIK;

Pengendalian Perencanaan Kelangsungan Kegiatan;

Pengendalian Hak Akses;

Pengendalian Manajemen Proyek TIK;

Pengendalian Manajemen Pengembangan Sistem Informasi;

Pengendalian Manajemen Data;

Pengendalian Manajemen Sumber Daya Manusia; dan Audit Internal Tata Kelola TIK.

3. Petunjuk Teknis TIK, meliputi:

a) b) c) d)

Sistem Jaringan dan Inventarisasi Perangkat Keras;

Panduan Membuat Website;

Standardisasi Data; dan Keamanan Data.

4. Standar Operasional Prosedur TIK, meliputi:

a) b) c)

d) e) f) g) h) i) j) k)

Pelaporan Insiden;

Izin Masuk ke Ruang Khusus;

Izin Membawa Peralatan ke luar lingkungan Direktorat Jenderal Cipta Karya;

Pengembangan Sistem/Aplikasi;

Pencatatan Perangkat Keras;

Penggantian Perangkat Keras;

Pengelolaan Data;

Akses Data;

Akses ke Layanan Jaringan;

Menghapus Akses ke Database dan Jaringan; dan Audit Internal Tata Kelola TIK.

(6)

F. Penutup

1. Ketentuan lebih lanjut mengenai Petunjuk Pelaksanaan Tata Kelola Teknologi Informasi Komunikasi tercantum dalam:

a)

b)

c) d)

Lampiran I : Struktur Organisasi Tata Kelola Teknologi Informasi dan Komunikasi di Lingkungan Direktorat Jenderal Cipta Karya;

Lampiran II : Pengendalian Manajemen dan Perangkat Tata Kelola TIK;

Lampiran III : Petunjuk Teknis TIK; dan

Lampiran IV : Standar Operasional Prosedur TIK.

2. Hal-hal yang belum diatur dalam Surat Edaran ini akan diatur kemudian.

Surat Edaran ini mulai berlaku pada tanggal ditetapkan.

Demikian atas perhatian Saudara disampaikan terima kasih.

Yang merupakan bagian tidak terpisahkan dari Surat Edaran ini.

3. Dengan ditetapkannya Surat Edaran ini, maka Surat Edaran Direktur Jenderal Cipta Karya Nomor 21/SE/DC/2014 perihal Petunjuk Pelaksanaan Pengelolaan Teknologi Informasi Komunikasi di Lingkungan Direktorat Jenderal Cipta Karya dicabut dan dinyatakan tidak berlaku.

DIREKTUR JENDERAL CIPTA KARYA,

Dr. Ir. Andreas Suhono, M.Sc NIP. 110033451

Ditetapkan di Jakarta pada tanggal 11 Juli 2016

(7)

Tembusan:

1. Menteri Pekerjaan Umum dan Perumahan Rakyat;

2. Sekretaris Jenderal Kementerian Pekerjaan Umum dan Perumahan Rakyat;

3. Inspektur Jenderal Kementerian Pekerjaan Umum dan Perumahan Rakyat;

4. Kepala Pusat Pengolahan Data dan Teknologi Informasi Kementerian Pekerjaan Umum dan Perumahan Rakyat; dan

5. Kepala Biro Komunikasi Publik Kementerian Pekerjaan Umum dan Perumahan Rakyat.

(8)

1.

2.

3.

4.

5.

6.

7.

8.

Setiap unit organisasi di lingkungan Direktorat Jenderal Cipta Karya sesuai dengan kewenangannya berhak untuk berkomunikasi dan mem- peroleh informasi yang tepat dan dapat dipertanggungjawabkan.

Simplify : Teknologi Informasi dan Komunikasi menyederhanakan proses bisnis untuk meningkatkan kinerja & produktivitas.

Unify : Teknologi Informasi dan Komunikasi mendukung keterpaduan proses untuk menjamin single source of truth.

Service : Teknologi Informasi dan Komunikasi meningkatkan kualitas pelayanan internal dan eksternal.

Transparency : Teknologi Informasi dan Komunikasi mendukung transparansi dan akuntabilitas penyelenggaraan pembangunan.

Agile : Teknologi Informasi dan Komunikasi menjadikan PUPR luwes dan cepat tanggap dengan perubahan yang ada.

Innovation : Teknologi Informasi dan Komunikasi mendukung terwujudnya infrastruktur dan layanan PUPR yang inovatif.

Network : Teknologi Informasi dan Komunikasi membangun konektvitas dan memperluas jaringan pelayanan dan kolaborasi.

LAMPIRAN I

SURAT EDARAN DIRJEN CIPTA KARYA NOMOR: 53/SE/DC/2016 TENTANG

PETUNJUK PELAKSANAAN PENGELOLAAN TEKNOLOGI INFORMASI KOMUNIKASI DI LINGKUNGAN DITJEN CIPTA KARYA

STRUKTUR ORGANISASI TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DI LINGKUNGAN DIREKTORAT JENDERAL CIPTA KARYA

P R I N S I P D A S A R

(9)

a.

b.

c.

Mengimplementasikan TIK;

Memberikan arahan kebijakan dan evaluasi penggunaan TIK; dan Menjaga kesinambungan sistem TIK dalam tahap operasional.

Penanggungjawab TIK di Tingkat Kementerian Pekerjaan Umum dan Perumahan Rakyat adalah pimpinan unit Eselon II yang bertanggungjawab mengelola data dan informasi kementerian, mempunyai tugas yaitu:

1.

2.

a.

b.

c.

d.

e.

f.

Menyelenggarakan perancangan, pengembangan, dan perawatan sistem TIK (spesifikasi perangkat keras, standarisasi alamat, penamaan, perangkat lunak, pengkabelan, pemeliharaan dan koneksi internet);

Menyelenggarakan pengajuan / pengusulan serta koordinasi pembuatan e-mail internal Kementerian Pekerjaan Umum dan Perumahan Rakyat;

Menyelenggarakan perancangan, pengembangan, perawatan dan evaluasi sistem aplikasi;

Menyelenggarakan pelaksanaan review berkala, evaluasi dan pembinaan operasional atas pelaksanaan implementasi sistem TIK di lingkungan Direktorat Jenderal Cipta Karya;

Menyelenggarakan pembuatan jadwal instalasi, perawatan jaringan dan database di lingkungan Direktorat Jenderal Cipta Karya;

Menyelenggarakan peningkatan kemampuan sistem TIK di lingkungan Direktorat Jenderal Cipta Karya;

Penanggungjawab TIK di Tingkat Direktorat Jenderal Cipta Karya adalah pimpinan Direktorat Keterpaduan Infrastruktur Permukiman c.q. Subdit Pengelolaan Data dan Sistem Informasi yang mempunyai tugas sebagai berikut:

PENGELOLA & PENANGGUNGJAWAB TIK DI LINGKUNGAN DIREKTORAT

JENDERAL CIPTA KARYA

(10)

a.

b.

c.

d.

e.

f.

g.

Merawat sistem TIK di lingkungan Sub Unit Kerja Eselon III;

Memelihara aset-aset TIK di lingkungan Unit Kerja Eselon III;

Memberikan masukan atas implementasi TIK, khususnya kualitas operasional sistem jaringan komputer dan sistem informasi TIK;

Menentukan spesifikasi perangkat keras ketika Bagian/Subdit/Balai/Bidang/Satker akan melakukan pembelian perangkat keras;

Memeriksa kondisi, jumlah, dan spesifikasi perangkat keras yang diterima oleh Bagian/Subdit/Balai/ Bidang/Satker sesuai dengan jumlah, dan spesifikasi perangkat keras yang dipesan;

Mencatat dan menginformasikan perubahan dan penambahan jumlah perangkat keras dan perangkat lunak ke Penanggung Jawab TIK di tingkat Direktorat Jenderal Cipta Karya;

Memeriksa dan memastikan bahwa sistem informasi yang akan dikembangkan memenuhi panduan pengembangan sistem informasi, Penanggungjawab TIK di Tingkat Bagian/Subdit/Balai/ Bidang/Satker di lingkungan Direktorat Jenderal Cipta Karya tercantum pada Struktur Organisasi TIK pada masing-masing Unit Eselon II. Adapun tugas penanggungjawab TIK ini adalah:

3.

g.

h.

i.

j.

k.

Menyelenggarakan pengawasan pengelolaan data dimulai dari tahap pengumpulan data sampai penyajian dan distribusi data menjadi informasi yang berguna untuk membantu dalam pengambilan keputusan;

Menyelenggarakan pengawasan terhadap data perencanaan, data pelaksanaan dan data evaluasi yang berkaitan dengan bidang ke-Cipta Karya-an;

Menyelenggarakan analisa data dan pengambilan keputusan yang bersifat strategis untuk mendukung tercapainya target Direktorat Jenderal Cipta Karya yang telah ditetapkan;

Menerima, memprioritaskan dan menyelesaikan permintaan bantuan TIK; dan

Melaporkan kejadian atau masalah yang berhubungan dengan TIK ke PenanggungJawab TIK di tingkat Kementerian Pekerjaan Umum dan Perumahan Rakyat dan Perumahan Rakyat.

(11)

h.

i.

j.

k.

l.

m.

n.

o.

beserta kelengkapan dokumentasinya (analisa, perancangan, pengujian,cara penggunaannya dan source code-nya);

Menilai kualitas manajemen kegiatan sistem informasi yang dilakukan di bagiannya yang didasarkan pada pedoman Project Management Body of Knowledge (PMBOK);

Mengawasi agar perubahan yang terjadi pada perangkat lunak sudah sesuai dengan prosedur pengembangan sistem aplikasi;

Melakukan pengelolaan data mulai dari tahap pengumpulan, penyimpanan, pengolahan, serta penyajian dan distribusi data sesuai dengan kebutuhan pengguna;

Mampu menyediakan data perencanaan, pelaksanaan dan evaluasi yang akurat dan terpecaya sehingga dapat dijadikan acuan dalam membantu pengambilan keputusan yang bersifat strategis bidang ke-Cipta Karya-an;

Melakukan korespondensi dengan penyedia jasa eksternal termasuk penyedia jasa internet, penyedia perangkat keras, dan pengembang perangkat lunak;

Memberikan pelatihan sehubungan dengan TIK kepada pegawai;

Memberikan pelatihan sehubungan dengan pengelolaan data meliputi proses pengumpulan, penyimpanan, pengolahan, serta penyajian dan distribusi data; dan

Menyebarluaskan prosedur yang berhubungan dengan TIK ke Bagian/Subdit/Balai/Bidang/Satker.

(12)

1. Direktorat Jenderal Cipta Karya

B A G A N O R G A N I S A S I T I K L I N G K U N G A N D I R E K T O R A T J E N D E R A L C I P T A K A R Y A

1

Penanggung Jawab TIK Kementerian Pekerjaan Umum dan

Perumahan Rakyat Pusat Data dan Teknologi Informasi

Penanggung Jawab TIK Ditjen Cipta Karya

Direktorat Keterpaduan Infrastruktur Permukiman Subdit Pengelolaan Data & Sistem Informasi

Penanggung Jawab TIK Setditjen Bagian Keuangan &

Umum

Penanggung Jawab TIK Direktorat BPB Subdit Rentek

Penanggung Jawab TIK Direktorat PKP Subdit Rentek

Penanggung Jawab TIK Direktorat PPLP

Subdit Rentek

Penanggung Jawab TIK Direktorat PSPAM

Subdit Rentek

Penanggung Jawab TIK BPP-SPAM Bidang Kajian Kebijakan

& Program 2

3 4 5 6 7

(13)

2. Sekretariat Direktorat Jenderal Penanggung Jawab TIK

Sekretariat Direktorat Jenderal CK Bagian Keuangan & Umum

Penanggung Jawab TIK Bagian Kepegawaian, Organisasi & Tata Laksana

Penanggung Jawab TIK Bagian Hukum & Komunikasi

Publik

Penanggung Jawab TIK Bagian Pengelolaan Barang

Milik Negara

Penanggung Jawab TIK Satker Tanggap Darurat

Permukiman Pusat Penanggung Jawab TIK

Satker Sekretariat Nasional Habitat

Penanggung Jawab TIK Balai Teknik Air Minum

Penanggung Jawab TIK Balai Teknik PLP

Catatan:

Bagian Keuangan & Umum : Instalasi Jaringan Komumikasi Data dan Mekanikal Elektrikal, Penanggung jawab sistem informasi dan TIK

Zona LAN DJCK Zona WAN DJCK Penanggung Jawab TIK

Balai Teknik Permukiman

& Perkotaan

(14)

3. Direktorat Keterpaduan Infrastruktur Permukiman

Penanggung Jawab TIK

Direktorat Keterpaduan Infrastruktur Permukiman Subdit Pengelolaan Data dan Sistem Informasi

Penanggung Jawab TIK Subag TU

Penanggung Jawab TIK Subdit Keterpaduan Perencanaan & Kemitraan

Penanggung Jawab TIK Satker Randal Pusat

Penanggung Jawab TIK Subdit Pemantauan &

Evaluasi Penanggung Jawab TIK

Subdit Keterpaduan Pelaksanaan

Penanggung Jawab TIK Satker Randal Provinsi /

PIP2B Penanggung Jawab TIK

Subdit Keterpaduan Pembiayaan

A

(15)

4. Direktorat Bina Penataan Bangunan

Penanggung Jawab TIK Direktorat Bina Penataan Bangunan

Subdit Perencanaan Teknis

Penanggung Jawab TIK Satker PBL Strategis

Penanggung Jawab TIK Subdit Standardisasi &

Kelembagaan

Penanggung Jawab TIK Satker Penataan Bangunan

& Kawasan Khusus

Penanggung Jawab TIK Subdit Bangunan

Gedung Penanggung Jawab TIK

Subdit Pengelolaan Rumah Negara

Penanggung Jawab TIK Subdit Penataan Bangunan &

Lingkungan Khusus

Catatan: Zona LAN DJCK

(16)

5. Direktorat Pengembangan Kawasan Permukiman

Penanggung Jawab TIK

Direktorat Pengembangan Kawasan Permukiman Subdit Perencanaan Teknis

Penanggung Jawab TIK Subdit Kawasan Permukiman Khusus Penanggung Jawab TIK

Subdit Standardisasi &

Kelembagaan

Penanggung Jawab TIK Satker Pengembangan Kawasan

Permukiman Khusus

Penanggung Jawab TIK Satker Pengembangan Kawasan Permukiman Berbasis Masyarakat

Penanggung Jawab TIK Subdit Permukiman

Perkotaan

Penanggung Jawab TIK Subdit Permukiman

Perdesaan

Penanggung Jawab TIK Satker Kawasan Permukiman

Pusat Pertumbuhan Penanggung Jawab TIK

Subag TU

(17)

6. Direktorat Pengembangan Penyehatan Lingkungan dan Permukiman

Penanggung Jawab TIK Direktorat Pengembangan Penyehatan

Lingkungan Permukiman Subdit Perencanaan Teknis

Kelembagaan

Penanggung Jawab TIK Subdit Pengelolaan

Persampahan

Penanggung Jawab TIK Satker PPLP Berbasis

Masyarakat

Penanggung Jawab TIK Subdit Pengelolaan Air

Limbah

Penanggung Jawab TIK Subdit Penyehatan Lingkungan

Permukiman Khusus

Penanggung Jawab TIK Satker PPLP Strategis

Catatan: Zona LAN DJCK

(18)

7. Direktorat Pengembangan Sistem Penyediaan Air Minum

Penanggung Jawab TIK Direktorat Pengembangan Sistem

Penyediaan Air Minum Subdit Perencanaan Teknis

Kelembagaan

Penanggung Jawab TIK Subdit SPAM Khusus

Penanggung Jawab TIK Satker PAMSIMAS

Penanggung Jawab TIK Subdit SPAM Perkotaan

Penanggung Jawab TIK Subdit SPAM Perdesaan

Penanggung Jawab TIK Satker PS PAM Strategis

(19)

8. Badan Pendukung Pengembangan Sistem Penyediaan Air Minum (BPP-SPAM)

Penanggung Jawab TIK Badan Pendukung Pengembangan SPAM

Bidang Kajian Kebijakan dan Program

Penanggung Jawab TIK Bagian Umum &

Informasi

Penanggung Jawab TIK Bidang Pemantauan, Evaluasi Kinerja Pelayanan Penanggung Jawab TIK

Bidang Analisis Keuangan, Investasi, Promosi

DIREKTUR JENDERAL CIPTA KARYA,

Dr. Ir. Andreas Suhono, M.Sc NIP. 110033451

(20)

LAMPIRAN II

SURAT EDARAN DIRJEN CIPTA KARYA NOMOR: 53/SE/DC/2016

TENTANG

PETUNJUK PELAKSANAAN PENGELOLAAN TEKNOLOGI INFORMASI KOMUNIKASI DI LINGKUNGAN DITJEN CIPTA KARYA

PENGENDALIAN MANAJEMEN DAN PERANGKAT TATA KELOLA TIK

A. Gambaran Umum

1.

2.

3.

Keamanan Informasi;

Keamanan Sumber Daya Manusia; dan Keamanan Fisik dan Lingkungan.

Kebijakan dan standar ini digunakan sebagai pedoman dalam rangka melindungi aset informasi dari berbagai bentuk ancaman yang berasal dari dalam maupun luar lingkungan Direktorat Jenderal Cipta Karya Kementerian Pekerjaan Umum dan Perumahan Rakyat, baik dilakukan secara sengaja maupun tidak sengaja. Pengamanan dan perlindungan ini diberikan untuk menjamin kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) aset informasi agar selalu terjaga dan terpelihara dengan baik.

B. Batasan Pelaksanaan

Manajemen Keamanan TIK mencakup :

C. Referensi

1. Peraturan Menteri Pekerjaan Umum dan Perumahan Rakyat Nomor:

17/PRT/M/2016 tentang Penyelenggaraan Teknologi Informasi dan

P E N G E N D A L I A N M A N A J E M E N

K E A M A N A N T I K

(21)

1.

2.

3.

4.

5.

Seluruh informasi yang disimpan dalam media simpan, ditulis, dicetak, dan dikomunikasikan langsung atau melalui teknologi komunikasi harus dilindungi terhadap kemungkinan kerusakan, kesalahan penggunaan secara sengaja atau tidak, dicegah dari akses oleh user yang tidak berwenang dan dari ancaman terhadap kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability);

Kebijakan keamanan informasi harus dikomunikasikan ke seluruh pegawai dan pihak ketiga terkait melalui media komunikasi yang ada agar mudah dipahami dan dipatuhi;

Pimpinan di lingkungan Direktorat Jenderal Cipta Karya meningkatkan kepedulian (awareness), pengetahuan dan keterampilan tentang keamanan informasi bagi pegawai;

Pemilik Aset Informasi menetapkan dan mengkaji secara berkala klasifikasi aset informasi dan jenis perlindungan keamanannya;

Seluruh kelemahan keamanan informasi yang berpotensi atau telah mengakibatkan gangguan penggunaan TIK harus segera dilaporkan ke penanggung jawab TIK terkait;

E. Kebijakan Manajemen Keamanan Informasi

Kebijakan Manajemen Keamanan Informasi diatur sebagai berikut:

2.

3.

Komunikasi di Kementerian Pekerjaan Umum dan Perumahan Rakyat.

Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik disusun oleh Tim Direktorat Keamanan Informasi-Kementerian Kominfo; dan

SNI ISO/IEC 27001 tentang Persyaratan Sistem Manajemen Keamanan Informasi.

D. Pihak yang Terkait 1.

2.

3.

Penanggungjawab TIK Kementerian Pekerjaan Umum dan Perumahan Rakyat;

Pimpinan Unit kerja eselon II di lingkungan Direktorat Jenderal Cipta Karya; dan

Penanggungjawab TIK Unit kerja eselon III dan Satker lingkungan Direktorat Jenderal Cipta Karya.

(22)

1. Peran dan tanggungjawab pegawai terhadap keamanan informasi harus menjadi bagian dari penjabaran tugas dan fungsi, khususnya bagi yang memiliki akses terhadap aset informasi;

F. Kebijakan Manajemen Keamanan Sumber Daya Manusia

Kebijakan Manajemen Keamanan Sumber Daya Manusia diatur sebagai berikut:

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

Seluruh pimpinan di semua tingkatan bertanggungjawab menjamin kebijakan ini diterapkan di seluruh unit kerja di bawah pengawasannya;

Seluruh pegawai bertanggung jawab untuk menjaga dan melindungi keamanan aset informasi serta mematuhi kebijakan dan prosedur keamanan informasi yang telah ditetapkan;

Hal yang menyangkut materi yang dapat dianggap kekayaan intelektual seperti perangkat lunak hanya melalui sumber yang dikenal dan memiliki reputasi baik, untuk memastikan hak cipta tidak dilanggar;

Menerapkan pengendalian untuk memastikan jumlah pengguna perangkat lunak tidak melampaui lisensi yang dimiliki;

Memelihara bukti kepemilikan lisensi, master disk, buku manual;

Melakukan pemeriksaan bahwa hanya perangkat lunak dan produk berlisensi yang dipasang;

Pimpinan unit organisasi menetapkan dan mengkaji secara berkala klasifikasi aset informasi yang dimilikinya dan jenis perlindungan keamanannya;

Pimpinan unit organisasi menetapkan pihak yang berwenang untuk mengakses aset informasi;

Dalam pengelolaan aset informasi Kementerian, aset informasi diklasifikasikan mengacu kepada peraturan perundang-undangan yang berlaku;

Prosedur standar yang lebih teknis merujuk prinsip-prinsip yang ditetapkan dalam kebijakan ini; dan

Setiap pengecualian terhadap kebijakan ini dan kebijakan turunan- nya harus mendapat persetujuan minimum dari Kepala Bagian/Subdit/Balai/Bidang/Satker yang berwenang.

6.

(23)

1. Pengamanan Perangkat

Penempatan dan perlindungan perangkat harus mencakup:

G. Kebijakan Manajemen Keamanan Fisik dan Lingkungan Kebijakan Manajemen Keamanan Fisik dan Lingkungan meliputi : 2.

3.

4.

Pimpinan dari pegawai berkeahlian khusus atau yang berada di posisi kunci (key person) harus memastikan ketersediaan peng- ganti pegawai tersebut dengan kompetensi yang setara apabila pegawai yang bersangkutan mutasi/berhenti;

Peran dan tanggungjawab pegawai terhadap keamanan informasi harus menyertakan persyaratan untuk :

Pemeriksaan latar belakang calon pegawai dan pihak ketiga Kementerian harus memperhitungkan privasi, perlindungan data pribadi dan/atau pekerjaan berdasarkan peraturan perundang- undangan yang berlaku, meliputi:

a)

b)

c)

d)

Melaksanakan dan bertindak sesuai dengan tanggung jawabnya terkait keamanan informasi;

Melindungi aset dari akses yang tidak sah, penyingkapan, modifikasi, kerusakan atau gangguan;

Melaksanakan proses keamanan atau kegiatan keamanan informasi sesuai dengan peran dan tanggung jawabnya; dan Melaporkan kejadian, potensi kejadian, atau risiko keamanan informasi sesuai dengan Kebijakan dan Standar Keamanan Informasi.

a)

b)

c) d)e)

Ketersediaan referensi, dari referensi hubungan kerja, dan referensi pribadi;

Pemeriksaan kelengkapan dan ketepatan dari riwayat hidup pemohon pemohon;

Konfirmasi kualifikasi akademik dan profesional yang diklaim;

Pemeriksaan identitas (KTP, paspor atau dokumen sejenis);

Pemeriksaan lebih rinci, seperti pemeriksaan catatan kriminal.

a)

b)

Perangkat harus diletakkan pada lokasi yang meminimalkan akses yang tidak perlu ke dalam area kerja;

Perangkat pengolah informasi yang menangani informasi sensitif harus diposisikan dan dibatasi arah sudut pandangnya

(24)

2.

3.

Penyediaan perangkat pendukung

Penempatan dan perlindungan perangkat pendukung harus mencakup:

Pemeliharaan perangkat

Pemeliharaan perangkat meliputi : c.

d.

e.

f.

g.

untuk mengurangi risiko informasi dilihat oleh pihak yang tidak berwenang selama digunakan, dan perangkat penyimpanan diamankan untuk menghindari akses oleh pihak yang tidak berwenang;

Perangkat yang memerlukan perlindungan khusus seperti perangkat cetak khusus, perangkat jaringan di luar ruang server harus terisolasi;

Langkah-langkah pengendalian dilakukan untuk meminimalkan risiko potensi ancaman fisik, seperti pencurian, api, bahan peledak, asap, air termasuk kegagalan penyediaan air, debu, getaran, efek kimia, gangguan pasokan listrik, gangguan komunikasi, radiasi elektromagnetis, dan perusakan;

Kondisi lingkungan, seperti suhu dan kelembaban harus dimonitor untuk mencegah perubahan kondisi yang dapat mempengaruhi pengoperasian perangkat pengolah informasi;

Perlindungan petir harus diterapkan untuk semua bangunan dan filter perlindungan petir harus dipasang untuk semua jalur komunikasi dan listrik; dan

Perangkat pengolah informasi sensitif harus dilindungi untuk meminimalkan risiko kebocoran informasi.

a)

b)

Perangkat pendukung harus dipasang untuk menjamin beroperasinya perangkat pengolah informasi dan secara berkala harus diperiksa dan diuji ulang kinerjanya; dan

Pemasangan kabel sumber daya listrik dan kabel telekomunikasi ke perangkat pengolah informasi selama memungkinkan harus terletak di bawah tanah, atau menerapkan alternatif perlindungan lain yang memadai.

a)

b)

Perangkat harus dipelihara secara berkala untuk menjamin ketersediaan, keutuhannya (integrity), dan fungsinya;

Perangkat harus dipelihara sesuai dengan petunjuk manualnya.

pemeliharaan yang dilakukan oleh pihak ketiga,

(25)

4.

5.

Pengamanan perangkat di luar lingkungan Direktorat Jenderal Cipta Karya Kementerian Pekerjaan Umum dan Perumahan Rakyat. Hal ini meliputi :

Pengamanan Area. Hal ini meliputi : c.

d.

e.

harus diadakan Perjanjian Tingkat Layanan (Service Level Agreement/SLA) yang mendefinisikan tingkat pemeliharaan yang disediakan dan tingkat kinerja yang harus dipenuhi pihak ketiga;

Pemeliharaan terhadap perangkat keras atau perangkat lunak dilakukan hanya oleh pegawai yang berwenang;

Dalam hal pemeliharaan perangkat tidak dapat dilakukan di tempat, maka pemindahan perangkat harus mendapatkan persetujuan pejabat yang berwenang terhadap data yang memiliki klasifikasi sangat rahasia dan rahasia yang disimpan dalam perangkat tersebut harus dipindahkan terlebih dahulu;

Otorisasi penggunaan perangkat harus dilakukan secara tertulis dan data-data yang terkait dengan aset informasi yang digunakan, seperti nama pemakai aset, lokasi, dan tujuan penggunaan aset, harus dicatat dan disimpan.

a.

b.

c.

Penggunaan perangkat yang dibawa ke Iuar dari lingkungan Direktorat Jenderal Cipta Karya harus disetujui oleh Pejabat yang berwenang;

Pengamanan penggunaan kembali atau penghapusan / pemusnahan perangkat; dan

Perangkat pengolah informasi penyimpan data yang sudah tidak digunakan lagi harus dihapus sebelum digunakan kembali.

a)

b)

Seluruh pegawai, pihak ketiga, dan tamu yang memasuki lingkungan Direktorat Jenderal Cipta Karya harus mematuhi aturan yang berlaku;

Unit Organisasi menyimpan perangkat pengolah informasi di ruangan khusus yang dilindungi dengan pengamanan fisik yang memadai antara lain pintu elektronik, sistem pemadam kebakaran, alarm bahaya, dan perangkat pemutus aliran listrik;

(26)

6. Perlindungan terhadap Ancaman Eksternal dan Lingkungan

Perlindungan terhadap ancaman eksternal dan lingkungan harus mempertimbangkan:

c.

d.

e.

f.

g.

h.

i.

Akses ke ruang server dan area kerja yang berisikan aset informasi yang memiliki klasifikasi sangat rahasia dan rahasia harus dibatasi dan hanya diberikan kepada pegawai yang berwenang;

Pihak ketiga yang memasuki ruang server dan area kerja yang berisikan aset informasi yang memiliki klasifikasi sangat rahasia dan rahasia harus didampingi pegawai Unit Organisasi sepanjang waktu kunjungan. Waktu masuk dan keluar serta maksud kedatangan harus dicatat dalam buku catatan kunjungan;

Kantor, ruangan, dan perangkat yang berisikan aset informasi yang memiliki klasifikasi sangat rahasia dan rahasia harus dilindungi secara memadai;

Pembatasan pemberian identitas atau tanda-tanda keberadaan aktivitas pengolahan informasi;

Pegawai dan pihak ketiga tidak diizinkan merokok, makan, minum di ruang server;

Area keluar masuk barang dan area publik harus selalu dijaga, diawasi dan dikendalikan, dan jika memungkinkan disterilkan dari perangkat pengolah informasi untuk menghindari akses oleh pihak yang tidak berwenang; dan

Direktori dan buku telepon internal yang mengidentifikasi lokasi perangkat pengolah informasi tidak mudah diakses oleh publik.

a.

b.

c.

d.

Bahan-bahan berbahaya atau mudah terbakar harus disimpan pada jarak yang aman dari secure areas;

Perlengkapan umum, seperti alat tulis, tidak boleh disimpan di dalam secure areas;

Perangkat fallback dan media backup harus diletakkan pada jarak yang aman untuk menghindari kerusakan dari bencana yang mempengaruhi fasilitas utama; dan

Perangkat pemadam kebakaran harus disediakan dan diletakkan di tempat yang tepat dan aman.

(27)

PENGENDALIAN MANAJEMEN RISIKO TIK

Risiko keamanan TIK berkaitan dengan integritas data dan akses ke komputer. Integritas data adalah keandalan dan konsistensi data di dalam sistem manajemen data organisasi. Akses ke komputer atau data oleh pihak yang tidak berwenang perlu ditanggulangi, karena terkait dengan integritas data, kerahasiaan, dan seluruh keamanan sistem.

Risiko menjadi semakin terbuka dan peluang ancamannya makin tinggi bila sistem informasinya menggunakan jaringan. Potensi ancaman hacker/cracker makin terbuka bila organisasi memakai jaringan publik.

1.

2.

3.

Penilaian Risiko (Risk Assessment);

Mengurangi Risiko (Risk Mitigation); dan Evaluasi Penilaian Risiko.

Manajemen Risiko dapat dibagi kedalam 3 (tiga) proses utama, yaitu:

C. Referensi

National Institute Security Technology (NIST) Special Publication 800-30:

Risk Management Guide for Information Technology Systems.

2.

3.

(28)

1. Penilaian Risiko (Risk Assessment)

Berikut ini adalah tahapan dalam mengurangi risiko : E. Tahapan Manajemen Risiko

a. Karakterisasi sistem mendefinisikan batasan pembahasan sistem TIK yang dibagi menjadi 2 (dua) bagian:

a) b) c) d) e) f)

Hardware;

Software;

Jaringan internal dan eksternal;

Data dan informasi;

Personil yang mendukung & menggunakan sistem TIK;

Sistem dan data yang bersifat kritis dan sensitif.

1) Lingkungan proses sistem informasi, yang terdiri dari:

a) b) c) d) e) f) g) h) i) j) k) l)

Kebutuhan fungsional dari sistem teknologi informasi;

Pengguna sistem;

Kebijakan keamanan sistem teknologi informasi;

Arsitektur keamanan sistem;

Topologi jaringan;

Perlindungan penyimpanan informasi;

Aliran informasi;

Pengendalian teknis (enkripsi);

Pengendalian manajemen (Aturan Perilaku);

Pengendalian operasional (back-up, lokasi cadangan);

Keamanan lingkungan (kelembaban, temperatur);

Lingkungan Keamanan Fisik.

2) Informasi lain yang masih berkaitan dengan lingkungan operasional dari sistem TIK, meliputi:

b. Identifikasi Ancaman

Merupakan kejadian yang memiliki potensi membahayakan sistem TIK. Sumber ancaman terbagi menjadi 3 (tiga) bagian:

1)

2)

Ancaman dari alam diantaranya: Banjir, Gempa Bumi, Badai, Tanah longsor;

Ancaman dari manusia diantaranya: Penyerangan terha- dap jaringan (hacker), akses dari orang yang tidak diotori- sasi terhadap informasi rahasia (industrial espionage);

(29)

e. Penentuan Kemungkinan (Likelihood): penentuan rating kemungkinan yang mengindikasikan probabilitas bahwa kelemahan sistem dapat ditembus, harus mempertimbangkan faktor motivasi sumber ancaman, kerentanan, dan keefektifan pengendalian yang ada. Ada 3 (tiga) tingkatan, yaitu:

1)

2)

3)

Tinggi: Sumber ancaman memiliki motivasi yang tinggi dan memiliki kemampuan yang cukup, pengendalian untuk mengatasi kelemahan dirasa kurang efektif;

Sedang: Sumber ancaman memiliki motivasi dan memiliki kemampuan yang cukup, pengendalian untuk mengatasi kelemahan dirasa cukup efektif; dan

Rendah: Sumber ancaman tidak memiliki motivasi dan 3) Ancaman dari lingkungan diantaranya: Aliran listrik yang

padam dalam jangka waktu yang lama, polusi, kebocoran cairan berbahaya.

d. Analisis Pengendalian

Menganalisa pengendalian yang telah diterapkan atau diren- canakan oleh organisasi untuk meminimalisir kemungkinan munculnya ancaman terhadap kelemahan sistem.

Metode Pengendalian terbagi menjadi 2 (dua) bagian:

Kategori Pengendalian terbagi menjadi 2 (dua) sub kategori:

1)

2)

Pengendalian Teknis: Mekanisme pengendalian hak akses, mekanisme dan identifikasi otentifikasi, metode enkripsi, software yang dapat mendeteksi penyusup;

Pengendalian Non-Teknis: Pengendalian operasional dan manajemen seperti kebijakan keamanan, prosedur operasional, dan keamanan lingkungan, dan fisik.

c. Identifikasi Ancaman

Kelemahan yang ada pada prosedur, perancangan, implementasi atau pengendalian internal.

1)

2)

Pengendalian Pencegahan: Pengendalian akses, enkripsi dan otentifikasi; dan

Pengendalian Detektif: Audit trails, metode deteksi penyusup dan checksums.

(30)

g. Penentuan Risiko

Penentuan risiko terhadap ancaman dan kelemahan dapat dinyatakan sebagai fungsi dari:

f. Analisis Dampak (Business Impact Analysis)

Dampak yang muncul dapat terbagi menjadi 3 (tiga) bagian:

Besarnya dampak dapat terbagi menjadi 3 (tiga) bagian:

Faktor-faktor lain yang perlu dipertimbangkan untuk besarnya dampak: frekuensi sumber ancaman, perkiraan biaya perbaikan, dan faktor pembobotan yang didasarkan pada analisis subjektif.

1)

2)

3)

Kehilangan Integritas: Integritas data dan sistem sangat berkaitan dengan perlindungan informasi dari perubahan yang salah. Kesalahan ini jika tidak diperbaiki akan berlanjut dan mencemari data lainnya sehingga menghasilkan ketidakakuratan data;

Kehilangan Ketersediaan: Sistem yang tidak berfungsi dapat menurunkan kinerja pengguna dan menghilangkan waktu yang produktif; dan

Kehilangan Kerahasiaan: Rahasia yang terbongkar dapat menghilangkan kepercayaan publik.

1)

2)

3)

Tinggi: Munculnya kelemahan dapat memberikan biaya kehilangan yang besar, dan sangat membahayakan terhadap misi, kepentingan dan reputasi organisasi, dapat pula mengakibatkan kematian dan kecelakaan yang parah pada manusia;

Sedang: Munculnya kelemahan dapat memberikan biaya kehilangan yang cukup, dan dapat membahayakan terhadap misi, kepentingan dan reputasi organisasi, dapat pula mengakibatkan kecelakaan pada manusia;

Rendah: Munculnya kelemahan dapat memberikan biaya kehilangan, dan dapat berpengaruh terhadap misi, kepentingan dan reputasi organisasi.

tidak memiliki kemampuan yang cukup, pengendalian untuk mengatasi kelemahan dirasa cukup efektif.

(31)

h.

i.

Rekomendasi Pengendalian untuk mengurangi tingkat risiko TIK dan data sampai ke tingkat yang dapat diterima. Beberapa faktor yang perlu dipertimbangkan dalam rekomendasi pengendalian adalah:

Dokumentasikan: Laporan hasil penilaian risiko agar dapat melibatkan pihak unit kerja eselon II, untuk memutuskan dalam kebijakan, prosedur, anggaran, dan perubahan manajemen dan operasional sistem.

1) 2 ) 3) 4) 5)

Keefektifan dari pilihan rekomendasi;

Peraturan Perundangan;

Kebijakan Organisasi;

Dampak Operasional; dan Keselamatan dan keandalan.

1)

2)

3)

Kemungkinan dari sumber ancaman yang menyerang terhadap kelemahan;

Besarnya dampak dari sumber ancaman yang berhasil menyerang terhadap kelemahan; dan

Kecukupan perencanaan atau pengendalian keamanan untuk mengurangi risiko.

Tingkat Risiko dan tindakan yang diperlukan dapat dibagi menjadi 3 (tiga) bagian:

1)

2)

3)

Tinggi: maka perlu dilakukan tindakan perbaikan dengan segera agar sistem yang ada dapat kembali beroperasi;

Sedang: maka perlu dilakukan tindakan perbaikan dan perencanan harus dibuat sehubungan dengan tindakan ini dengan jangka waktu yang memungkinkan; dan

Rendah: maka harus ditentukan tindakan perbaikan yang diperlukan atau memutuskan untuk menerima risikonya.

2. Mengurangi Risiko (Risk Mitigation)

Mengurangi Risiko adalah metodologi sistematis yang digunakan oleh pihak pimpinan manajemen untuk mengurangi risiko. Mengurangi Risiko dapat dicapai melalui beberapa pilihan pengurangan risiko sebagai berikut:

(32)

-

Mengasumsikan Risiko. Menerima risiko yang ada dan melanjut- kan operasi sistem TIK atau menerapkan pengendalian untuk mengurangi risiko pada tingkat yang masih dapat diterima;

Menghindari Risiko. Menghindari risiko dengan menghilangkan penyebab risiko dan konsekuensinya;

Membatasi Risiko. Membatasi risiko dengan menerapkan pengendalian yang dapat meminimalkan dampak dari ancaman;

Merencanakan Risiko. Mengelola risiko dengan mengembangkan rencana pengurangan risiko yang memprioritaskan, menerapkan, dan memelihara pengendalian;

Meneliti Risiko. Memperkecil risiko kehilangan dengan melakukan penelitian pengendalian untuk memperbaiki kelemahan; dan

Memindahkan Risiko. Memindahkan risiko dengan menggunakan pilihan untuk mengganti kehilangan seperti membeli asuransi.

Berikut ini adalah tahapan dalam mengurangi risiko :

Melakukan prioritas tindakan: Berdasarkan tingkat risiko yang dihasilkan pada laporan penilaian risiko, tindakan penerapan perlu diutamakan. Kelemahan yang masih ada perlu diperbaiki untuk melindungi terhadap pencapaian misi organisasi;

Mengevaluasi pilihan pengendalian yang direkomendasikan:

Pengendalian yang direkomendasikan pada proses penilaian risiko mungkin tidak yang paling cocok dengan organisasi dan sistem TIK. Pada tahap ini, kelayakan dan keefektifan dari pilihan pengendalian yang direkomendasikan akan dianalisa.

Tujuannya untuk memilih pengendalian yang paling cocok dalam meminimalkan risiko;

Melakukan analisa keuntungan–biaya: Mengarahkan pihak manajemen dalam membuat keputusan dan mengidentifikasi pengendalian biaya yang efektif;

Memilih pengendalian: Pengendalian yang dipilih harus meng- gabungkan dari sisi manajemen, operasional dan teknikal untuk menjamin keamanan yang cukup bagi sistem TIK dan organisasi;

a.

b.

c.

d.

(33)

e.

f.

g.

Menunjuk Penanggungjawab: Penunjukkan personil yang cocok dan memiliki keahlian untuk menerapkan pengendalian yang telah dipilih;

Mengembangkan rencana penerapan perlindungan: yang memuat informasi tentang risiko, pengendalian yang direkomendasikan, prioritas tindakan, rencana pengendalian yang dipilih, sumber daya yang diperlukan untuk penerapan pengendalian, daftar personil yang bertanggungjawab, waktu mulai penerapan, target waktu penyelesaian, dan kebutuhan pemeliharaan; dan

Menerapkan Pengendalian yang telah dipilih dan direkomendasikan pada langkah d. dan f.

3. Evaluasi Penilaian Risiko

Proses manajemen risiko harus terintegrasi dengan pengembangan sistem informasi untuk mendukung misi dan tujuan bisnis organisasi.

Proses evaluasi penilaian risiko diulang setiap 2 (dua) tahun.

(34)

PENGENDALIAN PERENCANAAN KELANGSUNGAN KEGIATAN

Perencanaan Kelangsungan Kegiatan diciptakan untuk mencegah gangguan terhadap aktivitas kerja normal. Perencanaan Kelangsungan Kegiatan dirancang untuk melindungi aktivitas kerja yang kritis dari kegagalan akibat dari bencana, yang dapat mengakibatkan hilangnya kemampuan organisasi dalam melakukan aktivitas kerja secara normal. Perencanaan Kelangsungan Kegiatan merupakan suatu strategi untuk memperkecil efek gangguan dan untuk memungkinkan aktivitas kerja terus berlangsung. Bencana yang dimaksud dalam Perencanaan Kelangsungan Kegiatan ini adalah semua peristiwa yang terjadi dan mempunyai potensi mengganggu jalannya aktivitas kerja dalam keadaan normal.

1.

2.

3.

4.

5.

Proses Perencanaan Kelangsungan Kegiatan;

Pengujian Perencanaan Kelangsungan Kegiatan;

Penunjukkan Tim Penanggulangan Bencana & Lokasi Kerja Cadangan;

Skenario Bencana; dan

Rencana Pemulihan ke Kondisi Normal.

Cakupan dalam kerangka kerja ini meliputi:

C. Referensi

SNI 27001 A.14.1.4 Kerangka Kerja Manajemen Kelangsungan Kegiatan (Business Continuity Management)

(35)

1. Proses Perencanaan Kelangsungan Kegiatan.

Kerangka Kerja di dalam tahap Proses Perencanaan Kelangsungan Kegiatan adalah sebagai berikut:

E. Kerangka Kerja

a. Perencanaan Data Processing Continuity Perencanaan ketika terjadi bencana meliputi : 1)

2)

Merencanakan lokasi server dan data backup; dan Merencanakan model sistem backup.

b. Pemeliharaan Perencanaan Kelangsungan Kegiatan.

Memelihara Perencanaan Kelangsungan Kegiatan agar selalu diperbarui dengan melakukan pertemuan berkala antar unit kerja di lingkungan Direktorat Jenderal Cipta Karya dan perlu disusun prosedur pemeliharaan dan perencanaan pemulihan bencana.

2.

3.

4.

Tim Penanggulangan Bencana Kementerian Pekerjaan Umum dan Perumahan Rakyat;

2. Pengujian Perencanaan Kelangsungan Kegiatan.

Jenis pengujian yang dapat dilakukan dalam Perencanaan Kelangsungan Kegiatan meliputi:

a. Checklist Test.

Merupakan lembar kendali dalam melakukan pengujian terhadap Perencanaan Kelangsungan Kegiatan;

b. Simulation Test.

Selama tes simulasi, seluruh personil operasional dan pendukung diharapkan menjalankan pertemuan untuk membahas kondisi bahaya pada sesi latihan. Tujuannya untuk menguji kemampuan personil dalam merespons simulasi bencana.

(36)

3.

4.

Pelibatan Penanggung Jawab TIK dalam Tim Penanggulangan Bencana dan penentuan Lokasi Kerja Cadangan. Penunjukan tim yang beranggotakan perwakilan dari masing-masing unit eselon II dan ditetapkan dengan keputusan Direktur Jenderal Cipta Karya.

Membuat Skenario Bencana.

Skenario A : Gangguan pada Sumber Daya Asumsi :

Skenario B : Gangguan pada Lokasi Asumsi :

Skenario C : Gangguan Sumber Daya dan Lokasi Asumsi :

c)

d)

Simulasi tersebut mengarah pada point relokasi untuk alternatif backup site atau menentukan prosedur pemulihan, tetapi tidak dilaksanakan proses pemulihan aktual;

Test Paralel.

Test paralel adalah tes penuh dari rencana pemulihan, dengan menggunakan seluruh personil. Tujuan tes jenis ini adalah untuk memastikan bahwa sistem yang kritis akan berjalan seperti biasanya pada proses bagian backup; dan

Full–Interruption Test.

Melakukan simulasi pada saat kegiatan berjalan normal.

Rencana tersebut secara keseluruhan diimplementasikan seperti sebuah bencana yang nyata, langsung melibatkan tim penanggulangan bencana.

a.

b.

c.

20% - 80% staf tidak berfungsi;

Staf yang tidak terkena dampak siap dan mampu mengembalikan semua fungsi TIK; dan

Libatkan unit kerja lain (bila diperlukan).

a.

b.

Pelarangan masuk zona kerja dikarenakan banjir, bencana alam, sehingga pegawai tidak memiliki akses masuk; dan Mobilisasi staf.

a.

b.

c.

d.

Hilangnya akses lokasi dan sumber daya secara bersamaan;

Gempa bumi yang meruntuhkan gedung;

Kebakaran yang menghabiskan gedung; dan Musibah yang mengakibatkan hilangnya lokasi

(37)

5. Rencana Pemulihan ke kondisi normal.

a.

b.

c.

d.

e.

f.

Menunjuk recovery manager dan wakilnya;

Tentukan lokasi cadangan dan pindahkan seluruh pegawai yang tempat kerjanya terkena dampak bencana;

Jaga hubungan dengan perusahaan asuransi untuk memudahkan perkiraan kerusakan awal;

Jaga komunikasi dengan pihak lainnya;

Tetapkan time-table untuk recovery; dan

Tetapkan strategi untuk menjamin pengendalian aplikasi yang ketat di lokasi back-up.

(38)

PENGENDALIAN HAK AKSES

Pengendalian ini digunakan sebagai pedoman untuk menjamin persyaratan akses kontrol terhadap informasi dan fasilitas sistem informasi (aplikasi dan jaringan) agar didefinisikan dengan tepat.

1.

2.

3.

4.

5.

Persyaratan untuk Pengendalian Hak Akses;

Pengelolaan Hak Akses Pengguna;

Pengelolaan Hak Akses Khusus;

Pengendalian Akses Jaringan; dan

Pengendalian bagi pengguna perangkat mobile computing dan teleworking.

Pengendalian Hak Akses mencakup :

C. Referensi 1.

2.

Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Peny- elenggara Pelayanan Publik disusun oleh Tim Direktorat Keamanan Informasi; dan

ISO/IEC 27001:2005 - A.11 tentang Pengendalian Hak Akses.

2.

3.

(39)

1.

2.

Penentuan kebutuhan keamanan dari pengolah aset informasi;

Pemisahan peran pengendalian akses, seperti administrasi akses dan otorisasi akses.

E. Persyaratan untuk Pengendalian Hak Akses

Setiap Unit Organisasi harus menyusun, mendokumentasikan, dan mengkaji ketentuan akses ke aset informasi berdasarkan kebutuhan organisasi dan persyaratan keamanan. Persyaratan untuk pengendalian akses mencakup:

1.

2.

3.

4.

5.

6.

7.

8.

9.

Penggunaan akun yang unik untuk mengaktifkan pengguna agar terhubung dengan sistem informasi atau layanan, dan pengguna dapat bertanggung jawab dalam penggunaan sistem informasi atau layanan tersebut;

Pemeriksaan bahwa tingkat akses yang diberikan sesuai dengan tujuan kegiatan dan konsisten dengan Kebijakan dan Standar Keamanan Informasi;

Pemberian pernyataan tertulis kepada pengguna tentang hak aksesnya dan meminta pengguna menandatangani pernyataan ketentuan akses tersebut;

Pemastian penyedia layanan tidak memberikan akses kepada pengguna sebelum prosedur otorisasi telah selesai;

Pemeliharaan catatan pengguna layanan yang terdaftar dalam menggunakan layanan;

Penghapusan atau penonaktifan akses pengguna yang telah berubah tugas dan/atau fungsinya, setelah penugasan berakhir;

Pemeriksaan, penghapusan, serta penonaktifan akun secara berkala dan untuk pengguna yang memiliki lebih dari 1 akun;

Pemastian bahwa akun tidak digunakan oleh pengguna lain; dan Hak akses pengguna harus dikaji paling sedikit 6 (enam) bulan sekali atau setelah terjadi perubahan pada sistem, atau struktur organisasi.

F. Pengelolaan Hak Akses Pengguna

Setiap Unit Organisasi harus menyusun prosedur pengelolaan hak akses pengguna sesuai dengan peruntukkannya. Prosedur pengelolaan akses pengguna harus mencakup:

(40)

1.

2.

3.

4.

5.

Hak akses khusus setiap sistem dari pabrikan perlu diidentifikasi untuk dialokasikan/diberikan kepada pengguna yang terkait dengan produk, seperti sistem operasi, sistem pengelolaan basis data, aplikasi;

Hak akses khusus hanya diberikan kepada pengguna sesuai dengan peruntukkannya berdasarkan kebutuhan dan kegiatan tertentu;

Pengelolaan proses otorisasi dan catatan dari seluruh hak akses khusus yang dialokasikan/diberikan kepada pengguna. Hak akses khusus tidak boleh diberikan sebelum proses otorisasi selesai;

Pengembangan dan penggunaan sistem rutin (misal job scheduling) harus diutamakan untuk menghindari kebutuhan dalam memberikan hak akses khusus secara terus menerus kepada pengguna; dan Hak akses khusus harus diberikan secara terpisah dari akun yang digunakan untuk kegiatan umum, seperti akun system administrator, database administrator, dan network administrator.

G. Pengelolaan Hak Akses Khusus (privilege management)

Unit Organisasi harus membatasi dan mengendalikan penggunaan hak akses khusus. Pengelolaan hak akses khusus harus mempertimbangkan:

1.

2.

3.

4.

Menerapkan prosedur otorisasi untuk pemberian akses ke jaringan dan layanan jaringan;

Menerapkan teknik autentikasi akses dari koneksi eksternal, seperti teknik kriptografi, token hardware, dan dial-back;

Melakukan penghentian isolasi layanan jaringan pada area jaringan yang mengalami gangguan keamanan informasi; dan

Melakukan pemisahan dalam jaringan antara lain:

H. Pengendalian Akses Jaringan

Pengendalian hak akses ke jaringan dilakukan dengan cara :

a.

b.

Pemisahan berdasarkan kelompok layanan informasi, pengguna, dan aplikasi; dan

Pemberian akses jaringan kepada tamu, hanya dapat diberikan akses terbatas misalnya internet dan/atau surat elektronik tanpa bisa terhubung ke jaringan internal di lingkungan Direktorat Jenderal Cipta Karya.

(41)

1.

2.

3.

4.

5.

6.

Memenuhi keamanan informasi dalam penentuan lokasi;

Menjaga keamanan akses;

Menggunakan anti malicious code;

Memakai piranti lunak berlisensi;

Mendapat persetujuan Pejabat yang berwenang / atasan langsung pegawai; dan

Pencabutan hak akses dan pengembalian fasilitas perangkat teleworking apabila kegiatan telah selesai.

I. Pengendalian bagi pengguna perangkat mobile computing dan teleworking

Penggunaan perangkat mobile computing dan teleworking harus mempertimbangkan:

(42)

PENGENDALIAN MANAJEMEN PROYEK TIK

Manajemen Proyek TIK adalah penerapan pengetahuan, keterampilan, perangkat bantu dan teknik pada kegiatan yang berhubungan dengan TIK. Manfaat yang dapat diperoleh dari adanya manajemen proyek antara lain adanya efisiensi baik dari sisi biaya, sumber daya maupun waktu, pengendalian terhadap kegiatan menjadi lebih baik, sehingga kegiatan bisa sesuai dengan ruang lingkup, biaya, sumber daya, dan waktu yang ditentukan yang akhirnya dapat meningkatkan kualitas dari produk yang dihasilkan.

1.

2.

3.

Manajemen Ruang Lingkup (Scope) mendefinisikan ruang lingkup pekerjaan yang harus dilakukan untuk menghasilkan deliverable sesuai dengan spesifikasi dan jangka waktu yang telah ditetapkan.

Deliverable yang dimaksud bisa berupa : produk, jasa, prosedur, sistem, maupun keluaran dalam bentuk lain;

Manajemen Waktu (Time) meliputi proses yang diperlukan untuk menyelesaikan proyek sesuai waktu yang ditetapkan yang terdiri dari penyusunan jadwal proyek, monitoring jadwal proyek, pengontrolan perubahan jadwal proyek;

Manajemen Biaya (Cost) meliputi proses membuat prakiraan biaya, menyusun total prakiraan biaya yang dibutuhkan, dan mengontrol faktor-faktor penyebab varian biaya dan menjalankan prosedur kontrol perubahan;

Manajemen Proyek TIK berdasarkan Project Management Body of Knowledge (PMBOK) mencakup 10 (sepuluh) unsur yaitu:

(43)

4.

5.

6.

7.

8.

9.

10.

Manajemen Sumber daya Manusia (Human Resource) meliputi proses identifikasi kualifikasi dan jumlah personil yang dibutuhkan serta mendokumentasi peran dan tanggungjawab masing-masing, mendapatkan personil tim yang dibutuhkan, membentuk dan mengelola tim proyek;

Manajemen Risiko (Risk) meliputi perencanaan dan pelaksanaan manajemen risiko, mengidentifikasi potensi risiko, memperkirakan dan menganalisis besarnya dampak yang ditimbulkan, membuat penilaian hasil analisis dan penentuan prioritas risiko, menentukan tindak lanjut, dan memonitor risiko yang sudah teridentifikasi dan mengidentifikasi munculnya risiko baru;

Manajemen Komunikasi (Communication) meliputi perencanaan komunikasi proyek sesuai kebutuhan dan harapan pemangku kepentingan, menyediakan informasi proyek, melaporkan status dan kemajuan proyek, membina dan mengelola komunikasi yang efektif dan efisien dengan pemangku kepentingan dan melibatkan mereka dalam pengambilan keputusan proyek;

Manajemen Kualitas (Quality) menentukan standar mutu, melaksanakan aktivitas mutu untuk memastikan pelaksanaan proyek telah memenuhi standar proses yang ditetapkan, memonitor kesesuaian hasil proyek terhadap standar konfigurasi yang ditetapkan;

Manajemen Pengadaan (Procurement) meliputi proses yang diperlukan untuk memenuhi pengadaan barang dan/atau jasa yang disediakan oleh vendor/kontraktor sesuai jadwal;

Manajemen Integrasi (Integration) meliputi proses dan aktivitas yang diperlukan untuk mengidentifikasi, mendefinisi, mengkombinasi, menyatukan dan mengkoordinasi berbagai proses dan aktivitas manajemen proyek dalam suatu proses yang bersinergi dan berkesinambungan; dan

Manajemen Pemangku Kepentingan (Stakeholders) meliputi proses mengidentifikasi pemangku kepentingan (orang atau kelompok yang berpengaruh dalam pengambilan keputusan, kegiatan, atau hasil proyek), pengelolaan perencanaan pemangku kepentingan (mengembangkan strategi pengelolaan untuk mengefektifkan

(44)

perannya dalam siklus proyek), mengikutsertakan pemangku kepentingan dalam setiap tahap dan pengendalian setiap adanya perubahan dari pemangku kepentingan dalam proyek.

C. Referensi

PMI Standards Committee: A Guide to The Project Management Body of Knowledge.

(45)

PENGENDALIAN MANAJEMEN PENGEMBANGAN SISTEM INFORMASI

Kebijakan dan standar ini digunakan sebagai pedoman dalam pengembangan sistem informasi dan aplikasi di lingkungan Direktorat Jenderal Cipta Karya Kementerian Pekerjaan Umum dan Perumahan Rakyat agar pelaksanaan pengembangannya menjadi efektif dan efisien. Kebijakan dan standar ini berlaku untuk pengembangan sistem informasi dan aplikasi baik yang dilaksanakan secara internal dan / menggunakan pihak ketiga, yang mencakup komponen sistem informasi, aplikasi dan basis data serta jaringan.

1.

2.

Aplikasi, basis data dan jaringan; dan

Dokumentasi perancangan dan pengembangan sistem informasi.

Hal-hal yang termasuk ke dalam pengembangan sistem informasi dan aplikasi terdiri dari:

C. Referensi

ISO/IEC TR 15846: Software engineering–Software Lifecycle Process.

2.

3.

Pengembang Aplikasi di lingkungan Direktorat Jenderal Cipta Karya Kementerian Pekerjaan Umum dan Perumahan Rakyat;

Tim Quality Assurance Pengembangan Aplikasi di lingkungan Direktorat Jenderal Cipta Karya Kementerian Pekerjaan Umum dan Perumahan Rakyat;

(46)

1.

2.

3.

4.

Unit Kerja di lingkungan Direktorat Jenderal Cipta Karya yang merencanakan untuk membangun suatu sistem informasi dan aplikasi diwajibkan berkoordinasi dengan Sub Direktorat Pengelolaan Data dan Sistem Informasi Direktorat Keterpaduan Infrastruktur Permukiman untuk mendapatkan gambaran utuh kondisi sistem informasi, aplikasi dan data yang sudah ada di Direktorat Jenderal Cipta Karya serta dapat mengetahui sistem operasi yang dapat berintegrasi secara langsung;

Sistem informasi dan aplikasi yang akan dibangun diharuskan memanfaatkan data yang sudah tersedia agar kesinambungan data tetap terjaga dari tahun ke tahun, kecuali data tersebut belum tersedia di Direktorat Jenderal Cipta Karya;

Sistem informasi yang dibangun diharapkan mengikuti kaidah- kaidah teknologi mutakhir dan bukan berdiri sendiri sehingga sistem informasi tersebut dapat berintegrasi dengan sistem jaringan Direktorat Jenderal Cipta Karya, dan tetap dapat digunakan pada tahun mendatang

Setiap kegiatan pengembangan sistem informasi harus dibentuk tim pengembangan sistem informasi yang sekurang-kurangnya terdiri atas: manajer proyek, sistem analis, pemilik proses bisnis, penguji aplikasi, dan programmer sebagaimana yang telah diatur di dalam Peraturan Menteri Pekerjaan Umum dan Perumahan Rakyat;

E. Kebijakan Pengembangan Sistem Informasi

Untuk menciptakan keteraturan dan kesinambungan pengembangan sistem informasi dan aplikasi serta menghindari terjadinya duplikasi proses yang dapat menyebabkan pemborosan waktu, tenaga kerja dan biaya maka pembangunan sistem informasi dan aplikasi akan diatur dengan kebijakan sebagai berikut:

4

5..

6.

Pengguna Aplikasi di lingkungan Direktorat Jenderal Cipta Karya Kementerian Pekerjaan Umum dan Perumahan Rakyat;

(47)

1. Proses analisis kebutuhan sistem informasi.

Proses analisis kebutuhan sistem informasi meliputi kegiatan:

Pengumpulan, analisis, penyusunan, dan pendokumentasian spesifikasi kebutuhan bisnis dan sistem informasi yang mencakup:

F. Tahapan Pengembangan Sistem Informasi 5.

6.

7.

8.

9.

Sistem informasi yang akan dibangun diwajibkan mengadopsi sistem keamanan single log-on untuk memudahkan pemakai dalam mengakses aplikasi, data serta koneksi internet dengan menggunakan satu kali log-on;

Pembangunan sistem informasi diwajibkan untuk memanfaatkan server maupun perangkat keras yang sudah tersedia di Direktorat Jenderal Cipta Karya untuk mengoptimalkan seluruh perangkat yang ada serta melakukan penghematan dalam investasi kecuali memang diperlukan perangkat tambahan maupun server atau perangkat keras baru;

Pembangunan situs Unit kerja eselon II di lingkungan Direktorat Jenderal Cipta Karya harus mengacu kepada situs Direktorat Jenderal Cipta Karya, baik dari sisi penggunaan teknologi maupun sisi navigasi agar tercipta konsistensi navigasi yang memudahkan pengunjung mendapatkan informasi tentang ke Cipta Karya-an;

Pembangunan situs diwajibkan untuk melakukan efisiensi data dan proses untuk menghindari beban jaringan berlebihan yang dapat mengganggu aktifitas jaringan lainnya di lingkungan Direktorat Jenderal Cipta Karya; dan

Seluruh Sistem informasi dan aplikasi di lingkungan Direktorat Jenderal Cipta Karya perlu dilaporkan ke Sub Direktorat Pengelolaan Data dan Sistem Informasi Direktorat Keterpaduan Infrastruktur Permukiman sesuai dengan pengendalian pengembangan sistem informasi.

a.

b.

c.

Kebutuhan sistem informasi termasuk fungsi kemampuan yang diinginkan, target kinerja, tingkat keamanan, dan kebutuhan spesifik Iainnya;

Identifikasi dan analisis risiko teknologi serta rencana mitigasi;

Deskripsi sistem informasi yang sudah ada (jika ada), dan

(48)

d.

e.

f.

g.

h.

analisis kesenjangannya (gap analysis) dari target sistem informasi yang diinginkan;

Target waktu pengembangan sistem informasi;

Konsep dasar operasional sistem informasi;

Rencana kapasitas (capacity planning);

Infrastruktur pendukung; dan

Pendokumentasian perubahan analisis dan spesifikasi kebutuhan sistem informasi yang terjadi dalam proses ini.

2. Proses Perancangan Sistem Informasi.

Proses perancangan sistem informasi meliputi aplikasi, basis data dan jaringan. Untuk proses perancangan aplikasi dan basis data, meliputi kegiatan :

a.

b.

c.

d.

e.

f.

g.

h.

i.

j.

k.

Rancangan kebutuhan aplikasi dan basis data serta infrastruktur pendukung dengan mengacu pada rancangan tingkat tinggi;

Rancangan antarmuka pengguna (user interface) / rancangan layar (screen design) data entry, inquiry, menu bantuan, dan navigasi dari layar ke layar sesuai dengan tingkatan pengguna dan pemisahan fungsi tugas (segregation of duties);

Rancangan proses real-time dan/ atau proses batch;

Rancangan laporan dan dokumen keluaran;

Pre-printed form (jika dibutuhkan) serta distribusinya sesuai dengan tingkatan pengguna dan pemisahan fungsi tugas;

Rancangan antarmuka (interface) dan integrasi dengan aplikasi yang lain (jika dibutuhkan);

Rancangan konversi dan/ atau migrasi data (jika dibutuhkan);

Penambahan kolom tanggal data terkini (update data) pada database agar memudahkan proses pemindahan data ke data warehouse;

Rancangan kendali internal (internal control) yang diperlukan dalam kegiatan antara lain validasi, otorisasi dan, audit trail;

Rancangan keamanan logic;

Rancangan Proses (Pengkodean) Aplikasi, meliputi kegiatan pelaksanaan pengkodean dan basis data sesuai dengan