Tulis yang Anda lewati,
Lewati yang Anda tulis..
• Undang-Undang Republik Indonesia No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
• Undang-Undang Republik Indonesia No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik
• Undang-Undang Republik Indonesia No. 19 Tahun 2002 tentang Hak Cipta
• …
Penyelenggaraan LPSE
Penyelenggaraan Sistem dan Transaksi Elektronik
• Penyelenggara Sistem Elektronik wajib memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap Sistem Elektronik.
• Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menerapkan tata kelola yang baik dan akuntabel.
• Penyelenggara Sistem Elektronik wajib menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan.
• Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki rencana
keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya.
• Penyelenggara Sistem Elektronik wajib menyediakan rekam jejak audit terhadap seluruh kegiatan Penyelenggaraan Sistem Elektronik.
• Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik.
• Penyelenggara Sistem Elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan Sistem Elektronik dalam menghindari gangguan, kegagalan, dan kerugian.
• …
Peningkatan Standar LPSE
• Pelayanan LPSE
• Keamanan Informasi
• Kapasitas LPSE
2013
2014
2015
2016
2017
Standar LPSE
Apakah perlu membangun framework tata kelola sendiri ?
Atau mencontek dari tempat lain ?
Atau menggunakan framework standar yang sudah ada, praktis, sudah teruji, kompatibel dengan pihak lain, dapat meningkatkan
kepercayaan pengguna (dengan sertifikasi) ?
Standar LPSE
SNI ISO/IEC 20000
SNI ISO/IEC 27001 Pengelolaan Layanan
Pengelolaan Kapasitas Pengelolaan Keamanan
Informasi
ISO 20000 & ISO 27001
ISO 20000
1. Management Responsibility 2. Process operated by other parties 3. Documentation Management 4. Resources Management 5. Establish SMS
6. Service Level Management 7. Service Reporting
8. Service Continuity and Availability Management 9. Budget and Accounting for IT Services
10. Capacity Management
11. Information Security Management 12. Business Relationship Management 13. Supplier Management
14. Incident and Service Request Management 15. Problem Management
16. Configuration Management 17. Change Management
18. Release and Deployment Management
ISO 27001
A5. Security Policy
A6. Organization of Information Security A7. Asset Management
A8. Human Resources Security
A9. Physical and Environmental Security
A10. Communication & Operation Management A11. Access Control
A12. IS Acquisition, Development, Maintenance A13. Information Security Incident Management A14. Business Continuity Management
A15. Compliance
Standardisasi LPSE 2014
1. Standar Kebijakan Layanan
2. Standar Pengorganisasian Layanan 3. Standar Pengelolaan Aset Layanan 4. Standar Pengelolaan Risiko Layanan 5. Standar Pengelolaan Layanan Helpdesk 6. Standar Pengelolaan Perubahan
7. Standar Pengelolaan Kapasitas
8. Standar Pengelolaan Sumber Daya Manusia 9. Standar Pengelolaan Keamanan Perangkat
10. Standar Pengelolaan Keamanan Operasional Layanan 11. Standar Pengelolaan Keamanan Server dan Jaringan 12. Standar Pengelolaan Kelangsungan Layanan
13. Standar Pengelolaan Anggaran Layanan 14. Standar Pengelolaan Pendukung Layanan
15. Standar Pengelolaan Hubungan Dengan Pengguna Layanan 16. Standar Pengelolaan Kepatuhan
17. Standar Penilaian Internal
No. Standar LPSE SNI ISO 20000-1 SNI ISO 27001
1 Standar Kebijakan Layanan Management Responsibility Security Policy
2 Standar Pengorganisasian Layanan Management Responsibility Organization of Information Security
3 Standar Pengelolaan Aset Layanan Resources Management Asset Management
4 Standar Pengelolaan Risiko Layanan General Requirement General Requirement
5 Standar Pengelolaan Layanan Helpdesk Incident and Service Request Management, Problem Management
Information Security Incident Management
6 Standar Pengelolaan Perubahan Change Management Communication & Operation Management
7 Standar Pengelolaan Kapasitas Capacity Management Communication & Operation Management 8 Standar Pengelolaan Sumber Daya Manusia Resources Management Human Resources Security
9 Standar Pengelolaan Keamanan Perangkat Physical and Environmental Security, Access
Control 10 Standar Pengelolaan Keamanan Operasional Layanan Documentation Management, Information
Security Management
Communication & Operation Management, Access Control
11 Standar Pengelolaan Keamanan Server dan Jaringan Communication & Operation Management, Access Control
12 Standar Pengelolaan Kelangsungan Layanan Service Continuity and Availability Management
Business Continuity Management
13 Standar Pengelolaan Anggaran Layanan Budget and Accounting for IT Services
14 Standar Pengelolaan Pemasok Supplier Management Communication & Operation Management
15 Standar Pengelolaan Hubungan Pengguna Layanan Business Relationship Management
16 Standar Pengelolaan Kepatuhan Compliance
17 Standar Penilaian Internal General Requirement General Requirement
Implementasi Standar
(Quality Cycle)
Standardisasi LPSE
1. Kebijakan Layanan
1. Kebijakan Layanan
2. Kebijakan Keamanan Informasi
Bentuk komitmen organisasi
Terhadap internal maupun eksternal dalam rangka peningkatan kualitas layanan dan proses penyelenggaraannya
Jadikan sebagai komitmen terhadap semua pihak yang terkait..
Standar Kebijakan Layanan
Standardisasi LPSE
2. Pengorganisasian Layanan
• Organisasi LPSE (Permanen/Adhoc) dibentuk secara resmi dalam rangka penyelenggaraan layanan LPSE
Definisi
• SK Tim Pengelola LPSE
• Rincian Tugas
• Evaluasi
• Alternative Role
Data Dukung dan Kriteria
Standar Pengorganisasian Layanan
1. Pengorganisasian layanan dapat bersifat formal atau merupakan gugus tugas/fungsi dalam penyelenggaraan layanan
2. Pengorganisasian layanan terstandar mengikuti kaidah IT Service Management, Service Mangement System dan atau Standar LPSE
Pengorganisasian Layanan
Bagaimana organisasi dikelola untuk penyelenggaraan layanan
Standardisasi LPSE
3. Pengelolaan Aset Layanan
1. Pengelolaan Aset Aset Informasi Aset Orang Aset Fisik
Aset Software Aset Layanan Aset Intangible
2. Klasifikasi Keamanan Informasi Nilai ketersediaan aset Nilai integritas aset Nilai kerahasiaan aset
Setiap aset pasti memiliki nilai..
Setiap aset pasti memiliki risiko..
Sebagian risiko membutuhkan pengendalian..
Setiap pengendalian akan terkait dengan aset..
Dokumen 1
• SOP
Pengelolaa n Aset
Dokumen 2
• Form Daftar Aset
Ketentuan
• Dokumen 1 dan 2,
disahkan oleh Kepala LPSE
Dokumen Pendukung
Standar Pengelolaan Aset
Standardisasi LPSE
4. Pengelolaan Risiko Layanan
1. Penentuan hal-hal yang terkait dengan risiko Dampak terjadinya risiko
Pengancam terhadap aset yang menimbulkan risiko Kerentanan yang dimiliki aset
Kemungkinan terjadinya risiko terhadap aset (paparan risiko) 2. Penentuan nilai risiko
Perhitungan risiko
Tindak lanjut pengendalian risiko
3. Pengelolaan daftar risiko beserta status tindak lanjut pengendalian risiko hingga risiko dapat diterima
Pengelolaan risiko layanan berbasis aset
Hal-hal yang terkait risiko
Pengancam
Resiko Aset
Kelemahan
Nilai Aset Pengendalian
Kebutuhan Pengendalian
menyerang
mengurangi
Alur Pengelolaan Risiko
Risk Assessment Methodology
Asset Identification
Identifikasi Ancaman, Kelemahan, Dampak
Risk Description
Evaluasi resiko (dampak dan kemungkinan)
Inherent Risk
Existing Control
Resiko tersisa dari penerapan kontrol
Residual Risk
Resiko Diterima
?
Penerapan Kontrol Baru & Risk Treatment
Plan
Expected Risk
Monitoring efektifitas kontrol
Review Risk Register
T
Y
Kriteria & Dokumen Pendukung Standar Pengelolaan Risiko
Kriteria Standar Dokumen Pendukung
Metode Penilaian Risiko → SOP Pengelolaan Risiko
Tindakan Penanganan Risiko → Form Pengelolaan Risiko
Pengelolaan Risiko
Standardisasi LPSE
5. Pengelolaan Layanan Helpdesk
Pencatatan sebagai basis pengelolaan permasalahan, gangguan dan permintaan layanan
Trouble Ticketing System
1. Tools pencatatan permasalahan, gangguan dan permintaan layanan
2. Mekanisme klasifikasi permasalahan, gangguan dan permintaan layanan 3. Pemantauan status tindak lanjut penyelesaian permasalahan, gangguan dan
permintaan layanan
4. Pelaporan pelayanan permasalahan, gangguan dan permintaan layanan yang diselesaikan
5. Basis data uraian penyelesaian permasalahan, gangguan dan permintaan layanan sebagai tools untuk menjaga konsistensi pemberian layanan
gangguan dan permintaan layanan
Gangguan VS Permasalahan
1. Jika gangguan merupakan kejadian insidensial maka permasalahan dapat berupa gangguan yang berulang, sehingga menjadi suatu kebutuhan untuk menemukan akar permasalahan yang menyebabkan terjadinya gangguan yang berulang
2. Jika gangguan memiliki dampak yang tidak signifikan terhadap sistem, permasalahan umumnya memiliki dampak yang cukup signifikan terhadap sistem, bahkan memungkinkan dibutuhkannya perbaharuan/update sistem 3. Jika gangguan dapat segera diselesaikan, biasanya permasalahan
membutuhkan koordinasi dengan pihak lain untuk penyelesaiannya
Standar Pengelolaan
Layanan Helpdesk
Kriteria Standar
1. Pencatatan 2. Evaluasi dan Pelaporan
3. Basis Data Pengetahuan
Dokumen Pendukung
1. SOP Pengelolaan Gangguan
2. Form Pencatatan Permasalahan
3. Form Pencatatan dilakukan rekap dan dievaluasi secara berkala
Standardisasi LPSE
6. Pengelolaan Perubahan
1. Latar belakang perubahan
2. Penentuan tingkat kepentingan perubahan Perubahan Normal (Normal Change)
Kebutuhan perubahan mendesak (Emergency Change) 3. Dokumentasi perubahan
Perubahan komponen layanan
Perubahan terhadap sistem atau layanan harus terdokumentasi
dan sesuai dengan prosedur
Standar Pengelolaan Perubahan
Kriteria Dokumen Pendukung
Prosedur Perubahan → SOP Pengelolaan Perubahan
Dokumentasi Perubahan → Form Permintaan Perubahan
Standardisasi LPSE
7. Pengelolaan Kapasitas Layanan
1. Kebutuhan kapasitas diperhitungkan berdasarkan utilisasi (penggunaan) sumber daya yang ada saat ini
2. Kapasitas penyelenggaraan layanan harus dinamis, mengikuti kebutuhan penyelenggaraan pelayanan
3. Kebutuhan kapasitas dimasa yang akan datang harus dapat diperhitungkan saat ini termasuk perkiraan perkembangan layanan yang akan datang
Pengelolaan Kapasitas
Bukan minimum requirement sumber daya untuk penyelenggaraan
pelayanan
1. Tentukan lingkup pengelolaan kapasitas Perangkat
Personil Jaringan
?
2. Pantau utilisasi (penggunaan) sumber daya yang ada saat ini 3. Tentukan metode perhitungan kebutuhan kapasitas
Analisa utilisasi sumber daya yang ada saat ini dibandingkan dengan beban penyelenggaraan pelayanan
Analisa tren utilisasi kapasitas
?
Mengelola Kapasitas
Kriteria dan Dokumen Pendukung
Pemantauan Kapasitas
• SOP Pengelolaan Kapasitas
Evaluasi dan Perencanaan
Kapasitas
• Form Pencatatan Kapasitas Layanan
• Laporan Pemantauan Kapasitas Layanan
Standardisasi LPSE
8. Pengelolaan SDM
Definisi
Pengelolaan Personil LPSE secara khusus berdasarkan tugas dan tanggung jawabnya dengan memperhatikan
kompetensi saat ini dan
kebutuhan kompetensi dimasa yang akan datang
Data Dukung
1. Matriks Kompetensi 2. Perjanjian Kerahasiaan
Standar Pengorganisasian Layanan
1. Identifikasi keahlian yang dibutuhakan (skill requirement) untuk pelaksanaan tugas
2. Analisa kebutuhan peningkatan keahlian personil terhadap hasil identifikasi keahlian yang dibutuhkan
3. Program peningkatan keahlian personil
Kapasitas Personil
Dikelola secara khusus terkait tugas dan tanggung jawab dalam penyelenggaraan layanan
Matrik Kompetensi
Standardisasi LPSE
9. Pengelolaan Keamanan Perangkat
1. Penempatan dan Perlindungan Perangkat 2. Pengendalian Akses Perangkat
3. Penghapusan dan Penggunaan Kembali Perangkat 4. Penggunaan Media Penyimpanan Portable
Informasi penting atau sensitif dikelola dengan alat bantu Teknologi Informasi
Nilai Perangkat = Nilai Informasi
KRITERIA DOKUMEN PENDUKUNG
Penempatan dan
Perlindungan Perangkat
→ Informasi alat kendali keamanan terhadap perangkat fisik
(ex :Fingerprint, pengukur suhu, kelembaban, grounding sistem) Akses Fisik Perangkat → SOP akses ruang server, Form
Pencatatan akses ruang server Penghapusan dan
Penggunaan Kembali Perangkat
→ Mekanisne terhadap perangkat yang sudah tidak dipakai
Penggunaan Media
Penyimpanan Portabel
Standardisasi LPSE
10. Pengelolaan Keamanan Operasional Layanan
1. Prosedur untuk semua proses penyelenggaran layanan
2. Klasifikasi dan hak akses informasi 3. Pemisahan tugas dan fasilitas
4. Pelaksanaan pekerjaan jarak jauh
Celah keamanan pada teknologi sangat besar
Tapi lebih besar celah keamanan pada pengoperasiannya
memastikan operasional penyelengga raan layanan berjalan
dengan benar dan aman
TUJUAN
Dokumentasi Prosedur
Klasifikasi dan Hak Akses Informasi
Pemisahan Tugas dan Fasilitas
Pelaksanaan Pekerjaan Jarak Jauh Kriteria
SOP Klasifikasi Dokumen
SOP
Pemberian Remote Akses
Form
Pencatatan Remote Akses
Melakukan Penutupan Remote Akses Dok.
Standardisasi LPSE
11. Pengelolaan Keamanan Server dan Jaringan
1. Maka kendalikan siapa dan “apa” yang boleh mengakses 2. Jaga integritas dan ketersediaannya
3. Awasi tingkah lakunya → penggunaannya, pengelolaannya
Pintu pelayanan yang selalu terbuka...
DOKUMEN PENDUKUNG
SOP Backup, melaksanakan backup secara rutin, SOP Pengelolaan Log, Peninjauan terhadap data log oleh admin sistem, menggunakan antivirus, firewall
KRITERIA STANDAR
Identifikasi Kondisi Terhentinya Layanan
Perencanaan Kelangsungan Layanan
Evaluasi Rencana Kelangsungan Layanan
TUJUAN
Memastikan informasi penting atau sensitif pada perangkat pengolahan informasi utama dan pendukungnya mendapatkan perlindungan yang sesuai dari akses yang tidak berwenang
(akses fisik dan non fisik), dengan menerapkan kendali-kendali keamanan informasi
Standardisasi LPSE
12. Pengelolaan Kelangsungan Layanan
1. Pengidentifikasian kondisi-kondisi dimana layanan harus tetap dapat diberikan
2. Perencanaan pemberian layanan dalam kondisi tidak normal (kondisi darurat atau bencana)
3. Penentuan mekanisme pemberian layanan dalam kondisi tidak normal
Kapan memberikan layanan?
Apakah pelayanan harus dapat diberikan dalam kondisi apapun?
TUJUAN
Memastikan agar layanan atau komponen layanan tetap dapat diakses oleh pengguna pada kondisi-kondisi penyelenggaraan layanan yang tidak ideal
KRITERIA STANDAR
1. Identifikasi Kondisi Terhentinya Layanan 2. Perencanaan Kelangsungan Layanan 3. Evaluasi Rencana Kelangsungan Layanan
DOKUMEN PENDUKUNG
SOP Kelangsungan Layanan dan Instruksi Tanggap Darurat, Form
Penanganan Kondisi Darurat (apabila terjadi), Form Penutupan Kondisi Darurat (apabila terjadi), pernah dilakukan simulasi bencana
Standardisasi LPSE
13. Pengelolaan Anggaran Layanan
Tujuan
Memastikan LPSE memiliki anggaran dalam rangka penyelenggaraan layanan, dan memastikan anggaran dipergunakan secara efektif dan efisien
Data Dukung dan Kriteria Standar
SOP Pengelolaan Anggaran, RKA/DPA, dan Laporan Realisasi
Standar Pengelolaan Anggaran
1. Kebutuhan pembiayaan untuk penyelenggaraan layanan 2. Penggunaan anggaran untuk penyelengaraan layanan
Apakah pada akhirnya anggaran yang menentukan?
Kelola-lah..
Standardisasi LPSE
14. Pengelolaan Pemasok Layanan
1. Bagaimana pemasok didapatkan
2. Pencatatan daftar pemasok beserta PIC yang dapat dihubungi dan perjanjian tingkat layanannya
3. Pemantauan kinerja pemasok terhadap kontrak atau perjanjian tingkat layanannya
Ketika penyelenggara layanan memiliki perjanjian tingkat layanan (Service Level Agreement) dengan pengguna..
Sudahkah penyedia komponen pendukung penyelenggaraan
layanan memiliki perjanjian tingkat layanan dengan kita?
Pendeskripsian Kebutuhan
Pengelolaan Pendukung
Layanan
• SOP Pengelolaan Pendukung
Layanan
• Form Pendukung Layanan
• Evaluasi Pendukung Layanan
Kriteria dan Dokumen Pendukung
Standardisasi LPSE
15. Pengelolaan Hubungan Dengan Pengguna Layanan
1. Penyelenggaraan survey kepuasan pengguna terhadap layanan yang diberikan 2. Menjadikan hasil survey sebagai bahan evaluasi penyelenggaraan layanan 3. Membuka peluang pengguna untuk menyampaikan permintaan peningkatan
layanan
Pengguna kita adalah rekan “bisnis” kita..
Bagaimana mereka menilai kinerja kita
Dokumen Pendukung
Standar Pengelolaan Hubungan dengan Pengguna Layanan
SOP Pengelolaan Hubungan Pengguna
Survey Kepuasan Pengguna
Form Request For Improvement
Lembar Evaluasi Kepuasan Pengguna
Laporan Evaluasi
Standardisasi LPSE
16. Pengelolaan Kepatuhan
Penyelenggaraan layanan harus sesuai dengan peraturan dan
persyaratan yang berhubungan dengan penyelenggaraan layanan
“Standar boleh tidak dipatuhi sepanjang bertentangan dengan
peraturan negara setempat”
Standardisasi LPSE
17. Penilaian Internal
1. Implementasi standar dengan siklus Plan → Do → Check → Act 2. Penilaian sendiri dengan terprogram
3. Penilaian sendiri sebagai masukan untuk tindakan perbaikan implementasi standar
4. Jika ingin sertifikasi, “Hasil penilaian sendiri sangat membantu tim penilai dari luar”
Lakukan penilaian sendiri dan lakukan perbaikan..
• SOP Penilaian
Siklus Penerapan
Standar
• Program Penilaian
• Form Pencatatan Hasil Penilaian
Program
Penilaian • Penilaian Internal
• Penilaian Eksternal
Penilaian
1. Penilaian oleh tim penilai eksternal 2. Pelaksanaan penilaian:
Program penilaian oleh LKPP
Pernyataan kesiapan oleh LPSE