KEPUTUSAN DIREKSI PT PLN (PERSERO) NOMOR : 529 .KDIR2010 TENTANG PEDOMAN DAN KEBIJAKAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN (PERSERO) DIREKSI PT PLN (PERSERO)

(1)

1 dari 10

PT PLN (PERSERO)

KEPUTUSAN DIREKSI PT PLN (PERSERO)

NOMOR : 529 .K/DIR/2010

TENTANG

PEDOMAN DAN KEBIJAKAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN (PERSERO)

DIREKSI PT PLN (PERSERO)

Menimbang : a. bahwa dalam menunjang Tata Kelola Perusahaan yang baik atau Good Corporate Governance, maka harus dipastikan adanya proses perbaikan yang terukur serta efisien dan efektif;

b. bahwa adanya Tata Kelola Teknologi Informasi sangat penting dan saling terkait terhadap keberhasilan Tata Kelola Perusahaan serta peran strategis dalam upaya Perusahaan melaksanakan misi serta pencapaian sasaran usaha yang telah ditetapkan;

c.. bahwa untuk menjamin peran strategis Teknologi Informasi dalam pencapaian sasaran Perusahaan, maka perlu disusun Pedoman dan Kebijakan Umum Tata Kelola Teknologi informasi yang mampu menyelaraskan antara rencana strategis bisnis dengan operasional Teknologi Informasi, namun tetap mengakomodasi perkembangan Teknologi Informasi;

d. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, b dan c di atas, perlu menetapkan Keputusan Direksi PT PLN (Persero) tentang Pedoman dan Kebijakan Umum Tata Kelola Teknologi informasi di Lingkungan PT PLN (Persero).

Mengingat : 1. Undang-undang RI Nomor 19 Tahun 2003 tentang Badan Usaha Milik Negara; 2. Undang-undang RI Nomor 40 Tahun 2007 tentang Perseroan Terbatas;

3. Undang-Undang RI Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;

4. Undang-Undang RI Nomor 30 Tahun 2009 tentang Ketenagalistrikan;

5. Peraturan Pemerintah RI Nomor 10 Tahun 1989 tentang Penyediaan dan Pemanfaatan Tenaga Listrik sebagaimana telah diubah dengan Peraturan Pemerintah RI Nomor 3 Tahun 2005 dan Peraturan Pemerintah RI Nomor 26 Tahun 2006;

6. Peraturan Pemerintah RI Nomor 23 Tahun 1994 tentang Pengalihan Bentuk Perusahaan Umum (Perum) Listrik Negara menjadi perusahaan Perseroan (Persero);

7. Peraturan Pemerintah RI Nomor 45 Tahun 2005 tentang Pendirian, Pengurusan, Pengawasan dan Pembubaran Badan Usaha Milik Negara;

8. Anggaran Dasar PT PLN (Persero);

9. Keputusan Menteri Negara Badan Usaha Milik Negara Nomor KEP-58/MBU/2008 jo Keputusan Menteri Badan Usaha Milik Negara Nomor KEP-252/MBU/2009 tentang Pemberhentian dan Pengangkatan Anggota-Anggota Direksi Perusahaan Perseroan (Persero) PT Perusahaan Listrik Negara;

10. Keputusan Direksi PT PLN (Persero) Nomor 001.K/030/DIR/1994 tentang Pemberlakukan Peraturan Sehubungan Dengan Pengalihan Bentuk Hukum Perusahaan;

11. Keputusan Direksi PT PLN (Persero) Nomor 304.K/DIR/2009 tentang Batasan Kewenangan Pengambilan Keputusan di Lingkungan PT PLN (Persero);

(2)

2 dari 10 MEMUTUSKAN :

Menetapkan : KEPUTUSAN DIREKSI PT PLN (PERSERO) TENTANG PEDOMAN DAN KEBIJAKAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN

Dalam Keputusan ini yang dimaksud dengan :

1. Perseroan adalah PT (Persero) Perusahaan Listrik Negara.;

2. Direksi adalah Organ Perseroan yang bertanggung jawab atas pengelolaan perusahaan sesuai dengan maksud dan tujuan Perseroan yang terdiri dari seorang Direktur Utama sebagai pimpinan dengan beberapa Direktur sebagai anggota, dalam batasan yang ditentukan oleh Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas dan/atau Anggaran Dasar Perseroan.

3. General Manager/Kepala Unit Bisnis adalah Pejabat yang bertanggung jawab atas pengelolaan Unit Bisnis sesuai dengan maksud dan tujuan Unit Bisnis.

4. Unit Bisnis adalah Unit Organisasi satu tingkat di bawah Kantor Pusat yang melaksanakan kegiatan usaha tertentu sesuai dengan tujuan dan kegiatan usaha Perseroan yang terdiri dari Unit Bisnis Penyedia Tenaga Listrik dan Unit Bisnis Penunjang Tenaga Listrik.

5. Good Corporate Governance (GCG) adalah suatu proses dan struktur yang digunakan oleh RUPS, Dewan Komisaris dan Direksi untuk meningkatkan keberhasilan usaha dan akuntabilitas Perseroan guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan kepentingan stakeholder lainnya, berlandaskan peraturan perundang-undangan dan nilai-nilai etika. 6. Data adalah suatu objek, kejadian, atau fakta tentang Perseroan yang terdokumentasikan dengan

memiliki kodifikasi terstruktur.

7. Informasi adalah adalah hasil pengolahan Data Perseroan dengan menggunakan Teknologi Informasi milik atau disewa oleh Perseroan.

8. Teknologi Informasi adalah teknologi yang digunakan dalam proses kegiatan usaha Perseroan untuk mencatat, menyimpan, mengolah, mengambil kembali, mengirim atau menerima Informasi yang berkaitan dengan Perseroan guna mencapai maksud dan tujuan Perseroan.

9. Aplikasi adalah software milik atau disewa oleh Perseroan yang digunakan dalam proses kegiatan usaha Perseroan.

10. Infrastruktur adalah sarana Teknologi Informasi milik atau disewa oleh Perseroan yang digunakan dalam proses kegiatan usaha Perseroan.

11. Penyelenggara Teknologi Informasi adalah organisasi di dalam Perseroan yang bertanggung jawab terhadap pengelolaan Teknologi Informasi dan penyelarasan Teknologi Informasi dengan kebutuhan Perseroan guna menjamin keberhasilan usaha dan akuntabilitas Perseroan.

12. Pengguna Akhir adalah karyawan tetap atau karyawan tidak tetap dan pihak lain yang dalam pekerjaannya berhubungan dengan Perseroan dan diberikan akses terhadap fasilitas Teknologi Informasi milik atau disewa oleh Perseroan sebagai sarana bekerja.

13. Rencana Strategis Teknologi Informasi adalah dokumen yang menggambarkan visi dan misi Teknologi Informasi Perseroan, strategi yang mendukung visi dan misi tersebut dan prinsip-prinsip utama yang menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan bisnis dan mendukung rencana strategis jangka panjang Perseroan.

14. Pemilik Proses Bisnis adalah Organ Perseroan yang bertanggungjawab terhadap unjuk kerja proses dalam mewujudkan tujuan Perseroan yang diukur dengan indikator unjuk kerja dan berwenang untuk mengubah proses bila diperlukan.

15. Fasilitas Teknologi Informasi adalah fasilitas yang digunakan untuk dapat mengakses Teknologi Informasi yang disediakan Perseroan sebagai sarana bekerja.

Pasal 2

Maksud dan Tujuan

(1). Maksud ditetapkan Keputusan ini adalah :

(3)

3 dari 10 organisasi unit terkait.

(2). Tujuan ditetapkan Keputusan ini adalah :

a. Sebagai pedoman untuk mewujudkan pola standardisasi kerangka pelaksanaan pengembangan, penerapan dan operasi Teknologi Informasi yang selaras dengan kebutuhan strategis Perseroan;

b. Sebagai pedoman untuk memantau dan mengevaluasi unjuk kerja Penyelenggara Teknologi Informasi;

c. Sebagai Pedoman untuk meningkatkan kapabilitas Perseroan dalam memberikan kontribusi bagi penciptaan nilai tambah serta meningkatkan efektifitas dan efisiensi kegiatan operasional Perseroan.

Pasal 3

Ruang Lingkup Pemberlakuan

(1). Pedoman dan Kebijakan Umum Tata Kelola Teknologi Informasi diberlakukan secara menyeluruh di Perseroan terhadap proses perencanaan, pengembangan, operasional dan tata kelola sumber daya Teknologi Informasi Perseroan yang terdiri atas Aplikasi, Data/Informasi, Infrastruktur dan sumber daya manusia.

(2). Struktur Kebijakan Tata Kelola Teknologi Informasi diatur oleh penanggung jawab tertinggi Penyelenggara Teknologi Informasi.

BAB II

PENETAPAN PERAN TEKNOLOGI INFORMASI PERSEROAN

Pasal 4

Peran Teknologi Informasi

Peran Teknologi Informasi adalah sebagai :

1. Pendorong dalam meningkatkan kapabilitas proses bisnis Perseroan untuk meningkatkan nilai tambah layanan;

2. Penggerak penciptaan produk layanan baru dalam mencapai tujuan strategis Perseroan.

Pasal 5

Tanggung Jawab Manajemen

(1). Untuk mewujudkan peran Teknologi Informasi Perseroan sebagaimana dimaksud dalam pasal 4 Keputusan ini, Direksi berwenang dan bertanggung jawab :

a. Menetapkan Rencana Strategis Teknologi Informasi dan Kebijakan Perseroan terkait penggunaan Teknologi Informasi;

b. Menetapkan Komite Teknologi Informasi (Information Technology Commitee) untuk mengawasi kegiatan terkait Teknologi Informasi.

(2). Direksi dan General Manager/Kepala Unit Bisnis berwenang dan bertanggung jawab untuk memastikan bahwa :

a. Terdapat keselarasan antara strategi bisnis dan strategi Teknologi Informasi;

b. Teknologi Informasi yang digunakan Perseroan dapat mendukung perkembangan usaha, pencapaian tujuan bisnis dan kelangsungan pelayanan pelanggan;

c. Terdapat upaya peningkatan kompetensi sumber daya manusia yang terkait penggunaan Teknologi Informasi;

d. Penerapan proses manajemen risiko dalam penggunaan Teknologi Informasi dilaksanakan secara memadai dan efektif;

e. Tersedianya kebijakan dan prosedur Teknologi Informasi yang memadai dan dikomunikasikan serta diterapkan secara efektif baik pada Penyelenggara Teknologi Informasi maupun Pengguna Akhir;

(4)

4 dari 10 (3). Diagram dan jalur komunikasi kegiatan tata kelola Teknologi Informasi diatur oleh penanggung jawab

tertinggi penyelenggara Teknologi Informasi.

BAB III

RENCANA STRATEGIS TEKNOLOGI INFORMASI

Pasal 6

Penetapan Rencana Strategis Teknologi Informasi

(1). Perseroan wajib memiliki Rencana Strategis Teknologi Infomasi untuk mengatur dan mengarahkan semua sumber daya Teknologi Informasi sesuai dengan kebutuhan serta Rencana Strategis Perseroan.

(2). Rencana Strategis Teknologi Informasi meliputi :

a. Visi dan misi Teknologi Informasi Perseroan; b. Penyelarasan bisnis dan Teknologi Informasi; c. Arahan strategis Teknologi Informasi;

d. Model pola operasi Teknologi Informasi;

e. Strategi pengelolaan sumber daya Teknologi Informasi;

f. Arsitektur Informasi, arsitektur Aplikasi dan arsitektur Infrastruktur;

g. Rencana pengembangan, implementasi dan investasi Teknologi Informasi.

(3). Rencana Strategis Teknologi Informasi disusun berlandaskan azas efektifitas dan efisiensi dengan mempertimbangkan manajemen risiko serta kebijakan hemat energi.

(4). Rencana Strategis Teknologi Informasi dievaluasi dan ditinjau ulang secara berkala sesuai dengan kebutuhan serta rencana strategis Perseroan

BAB IV

KERANGKA KERJA PROSES DAN ORGANISASI TEKNOLOGI INFORMASI

Pasal 7

Kerangka Kerja Proses Pengelolaan Teknologi Informasi

(1). Penyelenggara Teknologi Informasi mendefinisikan setiap kegiatan pengelolaan Teknologi Informasi berupa prosedur pelaksanaan Teknologi Informasi dan ditetapkan oleh penanggung jawab tertinggi Penyelenggara Teknologi Informasi atau General Manager/Kepala Unit Bisnis atau pejabat satu tingkat di bawah General Manager/Kepala Unit Bisnis.

(2). Penyelenggara Teknologi Informasi mengkomunikasikan kebijakan-kebijakan pengelolaan Teknologi Informasi secara jelas sehingga dipahami dan diterima oleh semua Pengguna Akhir.

Pasal 8

Struktur Organisasi Teknologi Informasi

(1). Struktur Organisasi Teknologi Informasi terdiri dari :

a. Komite Teknologi Informasi. b. Penyelenggara Teknologi Informasi.

(2). Komite Teknologi Informasi sebagaimana dimaksud pada ayat (1) huruf a bertanggung jawab atas pengambilan keputusan strategis yang berdampak besar terhadap kelangsungan bisnis Perseroan dan memberikan arahan, atas nama Direksi, dalam hal-hal yang berkaitan dengan :

a. Peran Teknologi Informasi dan penyelarasannya terhadap arah bisnis Perseroan yang disusun dalam Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan);

(5)

5 dari 10 c. Pemilihan strategi pengelolaan sumber daya Teknologi Informasi;

d. Penetapan ukuran unjuk kerja Penyelenggara Teknologi Informasi; e. Pengelolaan risiko penyelenggaraan Teknologi Informasi.

(3). Komite Teknologi Informasi sekurang-kurangnya beranggotakan :

a. Direktur yang membawahi satuan kerja Bisnis Perseroan. b. Direktur yang membawahi satuan kerja Teknologi Informasi.

(4). Perseroan wajib membentuk Penyelenggara Teknologi Informasi yang disusun berdasarkan kaidah pemisahan tugas atau segregation of duty (SoD) yang meliputi fungsi-fungsi :

a. Perencanaan strategis Teknologi Informasi; b. Pengelolaan kebijakan Teknologi Informasi; c. Pengembangan Teknologi Informasi; d. Pengelolaan operasi Teknologi Informasi; e. Audit Teknologi Informasi.

(5). Struktur organisasi Teknologi Informasi sebagaimana dimaksud pada ayat (1) harus sesuai dengan Rencana Strategis Teknologi Informasi.

(6). Peran dan tanggung jawab pihak-pihak yang terkait dalam kegiatan penyelenggaraan Teknologi Informasi diatur oleh penanggung jawab tertinggi Penyelenggara Teknologi Informasi.

BAB V

PENGELOLAAN SUMBER DAYA TEKNOLOGI INFORMASI

Pasal 9

Sumber Daya Teknologi Informasi

(1). Sumber Daya Teknologi Informasi terdiri atas Sumber Daya Manusia, Data dan Informasi, Aplikasi dan Infrastruktur yang merupakan aset Perseroan yang harus dikelola secara optimal, efektif dan efisien.

(2). Pengadaan Sumber Daya Teknologi Informasi dilaksanakan sesuai peraturan yang berlaku di Perseroan.

Pasal 10

Pengelolaan Sumber Daya Manusia

(1). Level kompetensi dari setiap jenjang dan fungsi Sumber Daya Manusia harus didefinisikan dalam aturan pengelolaan Sumber Daya Manusia Perseroan.

(2). Peran dan tanggung jawab seluruh Sumber Daya Manusia harus didefinisikan secara jelas agar selalu sesuai dengan kebijakan Perseroan, prosedur pelaksanaan dan level kompetensi Penyelenggara Teknologi Informasi.

(3). Sumber Daya Manusia maupun Pengguna Akhir harus mendapat pelatihan sehingga memiliki kompetensi cukup terkait Teknologi Informasi yang dikelola.

Pasal 11

Pengelolaan Data dan Informasi

(1). Pengelolaan Data dan Informasi berprinsip pada kelengkapan, kesesuaian, akurasi, validitas dan pembagian hak akses sesuai kaidah pemisahan tugas yang dapat dipertanggungjawabkan.

(2). Setiap proses Data dan Informasi dijaga kerahasiaan, integritas dan ketersediaannya yang terintegrasi dalam pengelolaan keamanan Teknologi Informasi.

(6)

6 dari 10 setiap proses yang mengolah Data dan Informasi tersebut.

(4). Pemilik Proses Bisnis harus melakukan klasifikasi Data dan Informasi yang digunakan dalam proses bisnis yang dijalankan.

(5). Klasifikasi Data dan Informasi sebagaimana dimaksud pada ayat (4) disusun berdasarkan tingkat kekritisan (criticality) dan sensitifitas (sensitivity) Data dan Informasi yang meliputi :

a. Kepemilikan data (data ownership);

b. Tingkat Keamanan dan Pengendalian Proteksi (security level and protection controls);

c. Jangka waktu ketersediaan data dan kebutuhan penghancuran data (data retention and destruction requirement).

Pasal 12

Pengelolaan Aplikasi

(1). Aplikasi di Perseroan yang terdiri dari aplikasi yang mendukung proses bisnis Perseroan dan aplikasi yang menambah nilai layanan dari proses bisnis Perseroan termasuk transaksi secara online, harus dikelola secara efektif dan efisien dengan memenuhi tingkat layanan sesuai kebutuhan bisnis Perseroan.

(2). Dalam hal Perseroan melakukan akuisisi dan/atau pengembangan Aplikasi, maka wajib dilakukan langkah-langkah pengendalian sehingga menghasilkan layanan Teknologi Informasi yang mendukung pencapaian tujuan Perseroan, antara lain mencakup :

a. Menerapkan prosedur dan metodologi pengembangan Sistem Teknologi Informasi (System Development Life Cycle) termasuk jaminan kualitas (Quality Assurance) secara konsisten;

b. Menerapkan manajemen proyek dalam pengembangan sistem.

(3). Akuisisi dan/atau pengembangan Aplikasi sebagaimana dimaksud dalam ayat (3) harus sesuai dengan kebutuhan bisnis dan selaras dengan Rencana Strategis Teknologi Informasi serta harus memperhatikan keamanan (security), ketersediaan (availability), integrasi dengan sistem terkait, kemudahan pemeliharaan (maintainablility) dan dapat diaudit (auditability).

(4). Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis yang akan menggunakan Aplikasi terlebih dahulu harus melakukan kajian kesiapan sistem Aplikasi dan kajian risiko meliputi

a. Struktur organisasi yang mendukung termasuk fungsi pengawasan dari Pejabat Struktural Unit Bisnis dan/ atau Pejabat Struktural Kantor Pusat yang bertanggung jawab di bidang Teknologi Informasi;

b. Kebijakan dan prosedur pengelolaan Teknologi Informasi serta tanggung jawab dan kewenangan pelaksana sistem Aplikasi;

c. Penerapan manajemen risiko khususnya pengendalian pengamanan yang berprinsip pada kerahasiaan (confidentiality), integritas (integrity), keaslian (authentication), sifat bahwa penerima mampu membuktikan bahwa pengirim data benar-benar mengirim data bahkan bilamana pengirim kemudian berusaha menyangkal pernah mengirim data tersebut (Non Repudiation) dan ketersediaan (availability).

(5). Penyelenggara Teknologi Informasi melakukan pemeliharaan sistem secara rutin untuk menjamin operasi sistem aplikasi berjalan secara optimal dengan mengacu pada prosedur dan instruksi kerja terkait termasuk penjadwalan pekerjaan, pemantauan terhadap kesiapan, konfigurasi, ketersediaan dan unjuk kerja sistem (system health, configuration , availability and performance check).

Pasal 13

Pengelolaan Infrastruktur

(1). Akuisisi dan/atau pengembangan Infrastruktur harus sesuai dengan kebutuhan bisnis, kebutuhan layanan Teknologi Informasi dan selaras dengan Rencana Strategis Teknologi Informasi.

(2). Pemilihan perangkat Infrastruktur harus memenuhi persyaratan keamanan (security), ketersediaan (availability), integrasi dengan sistem terkait, kemudahan pemeliharaan dan kemudahan operasional.

(7)

7 dari 10 Informasi harus menyediakan Infrastruktur yang memadai.

(4). Penyelenggara Teknologi Informasi melakukan pemeliharaan sistem secara rutin untuk menjamin operasi infrastruktur berjalan secara optimal dengan mengacu pada prosedur dan instruksi kerja terkait termasuk penjadwalan pekerjaan, pemantauan terhadap kesiapan, konfigurasi, ketersediaan dan unjuk kerja sistem (system health, configuration , availability and performance check).

BAB VI

TATA KELOLA INVESTASI TEKNOLOGI INFORMASI

Pasal 14

Pengelolaan Investasi Teknologi Informasi

(1). Investasi Teknologi Informasi harus selaras dengan Rencana Strategis Teknologi Informasi dan dilengkapi dengan kajian kelayakan sesuai ketentuan yang berlaku.

(2). Investasi Teknologi Informasi dikoordinasikan oleh Penyelenggara Teknologi Informasi untuk diusulkan dalam Rencana Kerja dan Anggaran Perseroan.

(3). Investasi Teknologi Informasi yang bersifat strategis dan memiliki dampak luas terhadap proses bisnis Perseroan, harus mendapatkan persetujuan Komite Teknologi Informasi terlebih dahulu, sebelum diusulkan dalam Rencana Kerja dan Anggaran Perseroan.

(4). Anggaran Teknologi Informasi dikelola dalam pos anggaran Teknologi Informasi.

(5). Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis melakukan penilaian terhadap manfaat yang telah dicapai dari investasi Teknologi Informasi.

(6). Dalam menghitung nilai dan manfaat terhadap Investasi Teknologi Informasi, Penyelenggara Teknologi Informasi dimungkinkan menerapkan sistem Pembebanan Kembali (Charge Back) yaitu sebuah mekanisme pembebanan biaya operasional maupun investasi yang dikenakan kepada Pengguna Akhir terhadap layanan yang telah diberikan.

BAB VII

TATA KELOLA RISIKO TEKNOLOGI INFORMASI

Pasal 15

Pengelolaan Risiko Teknologi Informasi

(1). Penyelenggara Teknologi Informasi harus melakukan Pengelolaan Risiko Teknologi Informasi terkait layanan Teknologi Informasi antara lain identifikasi risiko, pengukuran dampak potensial dan rencana mitigasi.

(2). Pengelolaan Risiko Teknologi Informasi meliputi :

a. Pengembangan dan pengadaan Teknologi Informasi. b. Operasional Teknologi Informasi.

(3). Pengelolaan Risiko Teknologi Informasi yang berdampak terhadap bisnis Perseroan harus diintegrasikan ke dalam pengelolaan risiko Perseroan.

BAB VIII

TATA KELOLA LAYANAN TEKNOLOGI INFORMASI

Pasal 16

Layanan Teknologi Informasi

(8)

8 dari 10 (2). Pengelolaan layanan Teknologi Informasi yang disediakan meliputi pengelolaan :

a. Penerimaan laporan insiden, gangguan dan keluhan; b. Permasalahan layanan;

c. Perubahan layanan; d. Versi dan konfigurasi;

e. Tingkat dan kapasitas layanan; f. Kesinambungan layanan.

(3). Semua Layanan Teknologi Informasi harus mempunyai :

a. Standard tingkat layanan yang jelas dan terukur; b. Pemilahan tugas dan tanggung jawab yang jelas; c. Prosedur operasional;

d. Prosedur pemeliharaan rutin; e. Prosedur penanganan gangguan; f. Prosedur pemantauan kesiapan layanan; g. Fasilitas riwayat akses (access log); h. Kajian analisa risiko.

(4). Penyelenggara Teknologi Informasi berkewajiban untuk memonitor pelaksanaan dan meninjau kembali prosedur operasi dan prosedur pemeliharaan Layanan Teknologi Informasi baik yang dikelola oleh Penyelenggara Teknologi Informasi maupun yang dikelola oleh pihak ketiga.

(5). Kesepakatan Tingkat layanan dan pencapaian tingkat layanan harus dipublikasikan dan didokumentasikan dengan baik serta ditinjau ulang pada periode waktu tertentu.

Pasal 17

Pengelolaan End User Computing

(1). End User Computing (EUC) adalah layanan Teknologi Informasi yang menjalankan operasi bisnis Perseroan dimana kendali terhadap pengembangan Teknologi Informasi serta pengelolaannya dilakukan oleh Pengguna Akhir atau Unit Bisnis dan bukan oleh Penyelenggara Teknologi Informasi.

(2). Prosedur pelaksanaan EUC harus tertulis, disetujui oleh Pejabat Struktural yang menggunakan layanan EUC dan Penyelenggara Teknologi Informasi, dikaji ulang secara berkala, serta disosialisasikan kepada seluruh Pengguna Akhir.

(3). Dalam prosedur pelaksanaan EUC dicantumkan secara jelas wewenang dan tanggung jawab dari Pejabat Struktural yang menggunakan layanan EUC dan Penyelenggara Teknologi Informasi.

(4). Pengembangan layanan Teknologi Informasi yang disediakan melalui EUC harus memiliki analisis kebutuhan dan persetujuan Pejabat Struktural yang menggunakan layanan EUC dan Penyelenggara Teknologi Informasi.

BAB IX

PENGELOLAAN KEAMANAN TEKNOLOGI INFORMASI

Pasal 18

Pengelolaan Keamanan Sistem

(1). Seluruh kegiatan pengelolaan Teknologi Informasi dan penggunaan Fasilitas Teknologi Informasi harus mempertimbangkan keamanan Teknologi Informasi dengan prinsip menjaga kerahasiaan, integritas dan ketersediaan Informasi sehingga ukuran-ukuran keamanannya sejalan dengan rencana kesinambungan bisnis (Business Continuity Planning) Perseroan.

(2). Penyelenggara Teknologi Informasi bersama-sama Pemilik Proses Bisnis harus membuat prosedur pengelolaan keamanan Sumber Daya Teknologi Informasi.

(3). Pengelolaan keamanan Sumber Daya Teknologi Informasi meliputi :

a. Klasifikasi aset Teknologi Informasi;

b. Perencanaan pengamanan Teknologi Informasi; c. Pengaturan penggunaan Fasilitas Teknologi Informasi; d. Prosedur otentikasi dan mekanisme otorisasi;

(9)

9 dari 10 g. Penyelesaian insiden keamanan dan kerentanan (vulnerabilities) Teknologi Informasi.

(4). Semua pihak yang mengakses sistem Teknologi Informasi Perseroan harus mematuhi kebijakan keamanan dan prosedur penggunaan layanan Teknologi Informasi.

BAB X

PENGELOLAAN LAYANAN PIHAK KETIGA

Pasal 19

Pengelolaan Layanan Pihak Ketiga

(1). Kerjasama dengan pihak ketiga untuk penyediaan layanan Teknologi Informasi harus memenuhi persyaratan kepatuhan terhadap peraturan-peraturan yang diterbitkan Perseroan dan efektivitas layanan Teknologi Informasi.

(2). Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis mendefinisikan dengan jelas tugas, tanggung jawab dan tingkat layanan yang diberikan pihak ketiga.

(3). Pejabat Struktural yang menggunakan layanan EUC sebagaimana dimaksud dalam pasal 17, harus mendefinisikan dengan jelas tugas, tanggung jawab dan tingkat layanan yang diberikan pihak ketiga.

(4). Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis harus melakukan pengawasan dan pengukuran terhadap kewajiban pihak ketiga yang harus dipenuhi.

(5). Apabila pihak ketiga tidak memenuhi kewajiban sesuai dengan perjanjian kerjasama, Perseroan harus memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan dengan meminimalkan risiko.

BAB XI

MONITOR DAN EVALUASI KINERJA TEKNOLOGI INFORMASI

Pasal 20

Indikator Unjuk Kerja Teknologi Informasi

(1). Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis harus mengukur dan mengevaluasi unjuk kerja layanan dan pengelolaan Teknologi Informasi sehingga dapat meningkatkan unjuk kerja layanan Teknologi Informasi sesuai dengan arahan, kebijakan dan kebutuhan Perseroan.

(2). Pengukuran unjuk kerja layanan Teknologi Informasi antara lain meliputi:

a. Penetapan metode monitoring unjuk kerja; b. Pelaporan unjuk kerja;

c. Pengukuran kepuasan Pengguna Akhir; d. Evaluasi unjuk kerja.

BAB XII

MONITOR DAN EVALUASI PENGENDALIAN INTERNAL

Pasal 21

Pengawasan Pengendalian Internal

(1). Fungsi audit Teknologi Informasi dibentuk untuk mengawasi efektivitas dan kepatuhan aturan dari seluruh Pengelolaan Teknologi Informasi.

(2). Pengawasan fungsi audit Teknologi informasi sebagaimana dimaksud pada ayat (1) paling sedikit meliputi :

a. Pengawasan oleh Direksi dan Manajemen Unit Bisnis serta adanya budaya pengendalian; b. Identifikasi dan penilaian risiko;

c. Kegiatan pengendalian dan pemisahan fungsi;

d. Kegiatan pemantauan dan koreksi penyimpangan terhadap pengelolaan Teknologi Informasi.

(10)

10 dari 10 paling sedikit meliputi:

a. Kegiatan pemantauan secara terus menerus;

b. Pelaksanakan fungsi audit Teknologi Informasi yang efektif dan menyeluruh; c. Perbaikan terhadap penyimpangan yang teridentifikasi.

(4). Pengawasan internal Perseroan harus mencakup pengawasan terhadap seluruh penggunaan Teknologi Informasi, baik yang disediakan oleh Penyelenggara Teknologi Informasi maupun pihak ketiga penyedia layanan Teknologi Informasi

(5). Dalam hal terdapat keterbatasan kemampuan fungsi audit Teknologi Informasi, maka pelaksanaan fungsi audit dapat dilakukan oleh auditor eksternal independen.

BAB XIII

TATA KELOLA KEPATUHAN PERATURAN PERUNDANG-UNDANGAN

Pasal 22

Kepatuhan Terhadap Peraturan Perundang-undangan

(1). Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis melakukan identifikasi dan memastikan pelaksanaan Peraturan Perundang-undangan yang harus dipatuhi Perseroan dalam setiap kegiatan penyelenggaraan Teknologi Informasi.

(2). Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis melakukan pengawasan dan usulan koreksi terhadap layanan dan pengelolaan Teknologi Informasi terkait kepatuhan terhadap Peraturan Perundang-undangan yang berlaku.

(3). Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis menyusun laporan kepatuhan terhadap Peraturan Perundang-undangan untuk diintegrasikan dalam laporan bisnis Perseroan.

BAB XIII

PENUTUP

Pasal 23

Ketentuan Penutup

Pada saat Keputusan ini mulai berlaku, maka ketentuan-ketentuan lain yang bertentangan dengan Keputusan ini, dinyatakan tidak berlaku.

Keputusan ini mulai berlaku terhitung sejak tanggal ditetapkan.

Ditetapkan di Jakarta

pada tanggal September 2010

DIREKTUR UTAMA,