Pembuatan Tata Kelola Keamanan Informasi

Kontrol Fisik dan Lingkungan Berbasis ISO/IEC

27001:2005 Pada Kantor Pelayanan

Perbendaharaan Negara Surabaya II

RIZKY DIAN BARETA – 5210105002

Pembimbing I : Ir. Ahmad Holil Noor Ali, M.Kom

Pembimbing II : Yudhistira Kesuma, S.Kom, M.Kom



Standar keamanan informasi dari Kementrian

Kominfo



Kebijakan Kementrian Keuangan -> Renstra

Kemenkeu 2010-2014



Resiko yang pernah terjadi -> kebakaran KPPN

Bagaimana tata kelola keamanan informasi yang berfokus pada

fisik dan lingkungan yang sesuai dengan Keputusan Menteri

Keuangan Nomor 479/KMK.01/2010 pada KPPN Surabaya II?



Hal-hal apa yang tercakup dalam kontrol fisik dan

lingkungan pada KPPN Surabaya II?



Panduan apa yang perlu ada dalam kontrol fisik dan

lingkungan?



Prosedur apa yang perlu ada dalam kontrol fisik dan

lingkungan?



Pedoman apa yang perlu ada dalam kontrol fisik dan

lingkungan?



Instruksi kerja apa yang perlu ada dalam kontrol fisik dan

lingkungan?



Formulir apa yang perlu ada dalam kontrol fisik dan



Perancangan tata kelola keamanan informasi

difokuskan pada pembuatan pedoman, prosedur,

instruksi kerja dan formulir.



Pembuatan dokumen tata kelola keamanan

informasi mengacu pada kebijakan dan standar

yang telah ditetapkan dalam Keputusan Menteri

Keuangan Nomor 479/KMK.01/2010 tentang

Kebijakan dan Standar Sistem Manajemen

Keamanan Informasi di Lingkungan Kementerian

Keuangan.



Pembuatan tata kelola keamanan informasi

terbatas pada KPPN Surabaya II yang terletak

pada lantai 7 GKN Surabaya II Jalan Dinoyo.



Kumpulan proses yang saling terkait dan

terstrukturisasi untuk mengarahkan dan

mengontrol organisasi dalam mencapai tujuan.

(ITSM, 2007)



Segala bentuk teknologi yang diterapkan untuk

memproses dan mengirimkan informasi dalam

bentuk eletronis (Lucas, 2000)



Sebuah rangkaian prosedur formal dimana

data dikelompokkan, diproses menjadi

beberapa informasi dan didistribusikan kepada

pemakai. (Hall, 2001)



Suatu upaya untuk melindungi aset informasi

yang dimiliki. (Sarno, 2009)



Aspek keamanan : kerahasiaan, integritas,



Standard keamanan informasi yang

dikembangkan oleh International Organization

for Standarization (ISO) dan International

Electrotecnical Comission (IEC)



Sebuah panduan pembuatan, penerapan,

pelaksanaan, pengawasan, analisis,

pemeliharaan dan pendokumentasian Sistem

Manajemen Keamanan Informasi



Pengamanan Area : pegawai, tamu dan pihak

ketiga



Pengamanan Perangkat



Penempatan dan perlindungan perangkat



Penyediaan perangkat pendukung



Pengamanan kabel



Pemeliharaan perangkat



Pengamanan perangkat di luar area



Pengamanan penggunaan kembali /

VERIFIKASI DOKUMEN TATA KELOLA

Verifikasi tengan teknik trace back Checklist dan kesesuaian dokumen

PERANCANGAN DOKUMEN TATA KELOLA

Perancangan dengan teknik pemetaan Pedoman, prosedur, intruksi kerja, formulir

STUDI LAPANGAN

KONDISI ORGANISASI Penjelasan organisasi objek

STUDI LITERATUR

Satuan kerja yang terdapat di dalam GKN Surabaya

II antara lain:



KPP Pratama Surabaya Tegalsari, yang berada

pada lantai 1, 2 dan 3 dengan luas lahan 2.181 m

2

_.



KPP Pratama Surabaya Sawahan, yang berada

pada lantai 1, 2 dan 3 dengan luas lahan 2.181 m

2

_.



KPP Pratama Surabaya Simokerto, yang berada

pada lantai 5, 6 dan 8 dengan luas lahan 3.283 m

2

_.



KPPN Surabaya II, yang berada pada lantai 7

dengan luas lahan 1.313 m

2

_.



Kanwil X DJKN Surabaya, yang berada pada lantai

Fasilitas pada Gedung Keuangan Negara Surabaya II

antara lain sebagai berikut:



Daya listrik terpasang sebesar 800 KVA.



AC sentral sebanyak 67 unit.



AC split sebanyak 39 unit.



Lift sebanyak 4 unit.



Genset sebanyak 1 unit dengan daya listrik 750 KVA.



Alat pencegah kebakaran sebanyak 33 unit.



Pesawat telepon sebanyak 175 unit.



Faksimili sebanyak 1 unit.



Aula sebanyak 1 buah dengan luas 472 m

2

.



Halaman parkir dengan luas 600 m

2

.



KPPN Surabaya II saat ini melayani 186 satuan kerja

dan 37 bank persepsi dengan dibantu 4 bank

operasional I dan 5 bank operasional II. Total pagu

dana belanja negara yang dikelola KPPN Surabaya II

adalah sebesar Rp.5.710.800.426.000,-.



KPPN Surabaya II mempunyai 43 pegawai dengan

rincian 1 orang eselon III, 4 orang eselon IV dan 38

pelaksana. KPPN Surabaya II terdiri dari 1 subbagian

umum dan 3 seksi, yaitu seksi pencairan dana, seksi

bendum dan seksi verifikasi dan akuntansi. Khusus

untuk subbagian umum terbagi menjadi 3 bagian,

yaitu TU/RT, kepegawaian dan keuangan. Untuk

jabatan supervisor merupakan jabatan yang ditunjuk

langsung oleh kepala KPPN.

Dalam kaidah umum pembuatan dokumen

tersebut menggunakan format yang telah

ditetapkan oleh Kementerian Komunikasi dan

Informatika RI. Dalam format tersebut terdapat 4

susunan dokumen, yaitu:



Identitas



Pengesahan



Daftar perubahan dokumen



Isi dokumen

Isi dokumen:



Dokumen tingkat 1

1.

Kebijakan

2.

Standar



Dokumen tingkat 2

1.

Panduan

2.

Prosedur



Dokumen tingkat 3

1.

Petunjuk teknis

2.

Instruksi kerja

3.

formulir



Kebijakan keamanan informasi;



Peran dan tanggung jawab organisasi

keamanan informasi;



Klasifikasi informasi;



Kebijakan kontrol terkait;

 Perimeter keamanan fisik;  Pengendalian akses masuk;

 Mengamankan kantor, ruangan dan fasilitas;

 Perlindungan terhadap ancaman eksternal dan lingkungan;  Bekerja di area yang aman;

 Area akses publik dan bongkar muat;

 Penempatan dan perlindungan peralatan;  Sarana pendukung;

 Keamanan kabel;

 Pemeliharaan peralatan;

 Keamanan peralatan di luar lokasi;

 Pembuangan atau penggunaan kembali peralatan secara aman;  Pemindahan barang.

 Kebijakan dan standar kontrol keamanan fisik dan lingkungan Kementerian Keuangan sesuai KMK nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan

 Peran dan tanggung jawab organisasi keamanan informasi kontrol keamanan fisik dan lingkungan mengacu pada struktur organisasi pada KPPN Surabaya II. Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas TI melalui RACI-Chart (Responsible,

Accountable, Consulted dan Informed) ke struktur organisasi KPPN

Surabaya II.

 Responsible berarti pihak yang bertanggung jawab terhadap pelaksanaan

aktifitas.

 Accountable berarti pihak yang memberikan arahan untuk pelaksanaan

aktifitas.

 Consulted berarti pihak tersebut dilibatkan dalam pengambilan keputusan

suatu aktifitas

Prosedur Kepala kantor Kepala subbagian

umum TU/RT Supervisor

Perimeter keamanan fisik I A/R R R

Pengendalian akses masuk A R R R

Mengamankan kantor, ruangan dan fasilitas A R R

Perlindungan terhadap ancaman eksternal

dan lingkungan I A/R R

Bekerja di area yang aman I A/R R R

Area akses publik dan bongkar muat I A R

Penempatan dan perlindungan peralatan I A R R

Sarana pendukung I A/R R R

Keamanan kabel I A R R

Pemeliharaan peralatan I A R R

Keamanan peralatan di luar lokasi I A/R R

Pembuangan atau penggunaan kembali

peralatan secara aman A R R



Dalam dokumen tingkat 2 ini berisi prosedur, panduan

serta petunjuk pelaksanaan yang telah dikembangkan

oleh internal organisasi dan berisi langkah-langkah

cara menerapkan kebijakan serta penanggung jawab

kegiatan. Dokumen ini bersifat operasional, dalam arti

dilakukan sehari-hari sesuai tugas pokok dan fungsi

penanggung jawab kegiatan.



Prosedur-prosedur yang dihasilkan merupakan

pemetaan dari kegiatan-kegiatan yang ada pada

kontrol fisik dan keamanan di ISO 27001:2005 yang

dipetakan dengan dokumen tingkat 1 yang telah

terdokumentasi sebelumnya, sehingga dihasilkan 26

dokumen yang terangkum dalam 13 set dokumen

tingkat 2.



Petunjuk teknis diambil dari petunjuk teknis organisasi

dalam hal ini mengambil dari surat Direktorat Sistem

Perbendaharaan Nomor S-9339/PB.7/2011 hal

Petunjuk Teknis Pengelolaan Server, Sistem Jaringan,

dan Database, namun dapat pula mengambil petunjuk

teknis lintas departemen, seperti contohnya

penggunaan Peraturan Menteri Pekerjaan Umum No.

24/PRT/M/2008 tentang Pedoman Pemeliharaan dan

Perawatan Bangunan Gedung dalam petunjuk teknis

kegiatan mengamankan kantor, ruangan dan fasilitas.



Didapat 12 dokumen tingkat 3 yang terdiri dari 4

petunjuk teknis, 2 instruksi kerja dan 6 formulir yang

terbagi ke 8 dokument tingkat 2.

 Pembuatan dokumen tata kelola sistem manajemen keamanan

informasi kontrol fisik dan lingkungan secara garis besar mengacu pada ISO/IEC 27001:2005 yang telah diadopsi pada Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di

Lingkungan Kementerian Keuangan.

 Standar pembuatan dokumen tata kelola sistem manajemen keamanan informasi kontrol fisik dan lingkungan mengadopsi

template Panduan Penerapan Tata Kelola Keamanan Informasi

bagi Penyelenggara Pelayanan Publik yang disusun oleh Tim Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika RI.

 Ruang lingkup obyek yang tercakup dalam dokumen tata kelola sistem manajemen keamanan informasi kontrol fisik dan

lingkungan ini adalah segala aset yang menjadi penguasaan dan tanggung jawab KPPN Surabaya II.

Dalam pembuatan dokumen terdapat 3 tingkat, yaitu:



Dokumen tingkat 1 yang berisi kebijakan dan

standar internal organisasi menghasilkan 13

dokumen.



Dokumen tingkat 2 yang berisi prosedur, panduan

dan petunjuk pelaksanaan menghasilkan 26

dokumen yang terangkum dalam 13 set dokumen.



Dokumen tingkat 3 yang berisi petunjuk teknis,

instruksi kerja dan formulir menghasilkan 12

dokumen yang terdiri dari 4 petunjuk teknis, 2

instruksi kerja dan 6 formulir terangkum ke dalam

8 set dokumen.

 Pembuatan dokumen tata kelola sistem manajemen keamanan informasi ini hanya mencakup proses yang terkait dengan

keamanan fisik dan lingkungan, oleh karena itu diharapkan

kedepannya dapat dilakukan pengembangan untuk melengkapi dengan diadakan pembuatan dokumen tata kelola sistem

manajemen keamanan informasi kontrol yang lainnya.  Kantor Pusat Direktorat Jenderal Perbendaharaan dapat

melakukan assessment terhadap risiko yang akan timbul pada semua layanan TI di seluruh lingkup organisasi agar dapat menentukan tindakan lebih lanjut serta meminimalkan risiko yang akan timbul.

 Terdapat beberapa peralatan atau sarana pendukung yang tidak dalam penguasaan serta tanggung jawab KPPN Surabaya II,

sehingga diharapkan KPPN Surabaya II dapat menjalin

koordinasi secara berkelanjutan mengenai ketersediaan dan kapabilitas peralatan dan sarana pendukung yang menjadi penguasaan dan tanggung jawab GKN Surabaya II.