Bimbingan Teknis Fasilitas Kesehatan Slide

(1)

Bimbingan Teknis

Fasilitas Kesehatan

(2)

§ Memberikan bimbingan teknis kepada fasilitas kesehatan, untuk dapat memahami tujuan dari kriteria pertanyaan pada penilaian mandiri dan ekspektasi bukti dari proses tersebut.

§ Bimbingan Teknis akan dilakukaan secara online (atau offline) menyesuaikan dengan kondisi implementasi dan alokasi SDM BPJS Kesehatan.

§ Pada sesi bimbingan teknis, fasilitas Kesehatan dapat bertanya maupun mengklarifikasi tahapan proses dari implementasi Trustmark

2

Bimbingan Teknis Program TrustMark

Standar Teknis Infrastruktur dan

Fasilitas

Jaminan terhadap tingkat layanan TI

Pengamanan

terhadap Informasi

(3)

Penilaian Trustmark

Panduan :

§

Pertanyaan pada pada penilaian mandiri akan berjenjang, sesuai dengan tingkat kematangan proses.

§

Jika jawaban dari pertanyaan adalah “Ya”, maka pertanyaan selanjutnya akan keluar dalam kriteria proses yang sama.

§

Jika jawaban dari pertanyaan adalah “Tidak”, maka pertanyaan selanjutnya tidak akan keluar dan berlanjut kepada kriteria proses berikutnya

§

Apabila pertanyaan nomer 3 adalah “Ya”, maka responden perlu

CONTOH

(4)

Verifikasi Bukti Pelaksanaan

4 Rating Kriteria Pertanyaan

(Apakah)

Bukti Pemenuhan (Sampling)

q Proses dilakukan jika ada permintaan

q Belum ada kebutuhan untuk dilakukan secara regular q Kelancaran dalam menjelaskan seperti apa proses dilaksanakan

q Peran dan tanggung jawab jelas q Adanya sampel pelaksanaan

(walau tidak rutin) q Sudah terlihat adanya proses pencatatan

q Sudah menjalankan proses secara berulang/regular

q Punya bukti pencatatan (form, checklist, laporan, daftar)

q Proses sudah berjalan secara regular/berulang dan sudah sesuai dengan ketentuan yang berlaku di faskes

q Memiliki prosedur yang berisi

ketentuan/langkah untuk memastikan proses berjalan sesuai harapan atau obyektif

q Sudah mengevaluasi penerapan isi prosedur pada syarat rating 3 dibandingkan dengan pelaksanaan pada rating 2

q Memperlihatkan hasil evaluasi yang sudah dilakukan

(Misal : Perubahan ketentuan/langkah yang ada di prosedur lama dengan prosedur baru) q Sudah terlihat adanya proses pencatatan

q Sudah menjalankan proses secara berulang/regular

q Memperlihatkan tindak lanjut yang sudah dilakukan berdasarkan hasil evaluasi (Rating 4)

(5)

Pemeringkatan dan Laporan Penyelarasan

(6)

Bintang Makna

Proses yang diterapkan mencapai tujuan prosesnya

Proses yang dilakukan sekarang diimplementasikan dengan cara yang terkelola (direncanakan, dipantau dan disesuaikan) dan hasil kerjanya ditetapkan, dikendalikan, dan dipelihara dengan tepat.

Proses yang dikelola sekarang diimplementasikan menggunakan proses yang ditentukan dalam persyaratan terdokumentasi dan mampu mencapai hasil prosesnya.

Proses yang ditetapkan sekarang beroperasi telah dievaluasi untuk mencapai pemenuhan persyaratan

Proses yang dilakukan terus ditingkatkan untuk memenuhi persyaratan penilaian yang relevan saat ini dan peningkatan berkelanjutan

Pemberian Sertifikat

sebagai tanda apresiasi BPJS Kesehatan

(7)

Kriteria Standar

Pengelolaan Teknis

(8)

Pengisian Penilaian Teknis

Standar teknis Pengunaan Server

Petunjuk teknis terkait pengelolaan server (Jenis server yang diizinkan dan standar konfigurasi server baru, standar patching, standar restart server, standar backup konfigurasi server)

Standar teknis Penggunaan Database

Petunjuk teknis terkait pengelolaan database (standar dokumentasi database, standar reviu hak akses database, standar backup & restore database)

Standar Penggunaan Jaringan

Petunjuk teknis terkait pengelolaan jaringan (topologi jaringan, pengaturan segmentasi jaringan LAN, Internet & WIFI) Standar Penggunaan Firewall

Petunjuk teknis terkait penggunaan firewall (jenis firewall yang diizinkan, daftar port yang diizinkan untuk dibuka, standar permintaan buka dan tutup port)

Standar Pengembangan Aplikasi

Prosedur terkait proses dokumentasi pengembangan aplikasi (standar permintaan pengembangan fitur/aplikasi, standar dokumentasi desain dan UAT, standar langkah untuk rilis aplikasi ke pengguna)

Standar Sarana dan Prasarana Aset (Layanan dan Informasi)

Prosedur/Petunjuk teknis terkait standar penggunaan kriptografi/enkripsi pada database atau file informasi dengan klasifikasi rahasia

Teknis Layanan TI Keamanan

Informasi

(9)

Checklist Pengelolaan Server (Contoh)

Aktivitas Frekuensi

Pantau kesehatan Server:

• Memantau metrik utama seperti penggunaan CPU, konsumsi memori, dan pemanfaatan ruang disk.

• Menyiapkan peringatan untuk ambang kritis untuk mengidentifikasi potensi masalah lebih awal.

Harian

Verifikasi pembaruan keamanan:

• Periksa perangkat lunak dan patch keamanan yang tersedia.

• Menyebarkan pembaruan segera untuk meminimalkan kerentanan.

Mingguan

Restart layanan yang tidak responsif:

• Pantau status layanan.

• Restart layanan yang macet atau selidiki lebih lanjut sesuai kebutuhan.

Mingguan

Jalankan pemindaian antivirus dan anti-malware:

• Pastikan perlindungan komprehensif terhadap ancaman. Mingguan

Melakukan Back up server

• Jadwal backup otomatis (penuh dan inkremental) untuk mengamankan data

Bulanan

(10)

10

Kriteria Pengelolaan

Layanan Sistem Informasi

(11)

Perencanaan Layanan (Plan the services)

Apakah mitra memiliki proses dalam

merencanakan layanan TI (pengembangan baru atau

perubahan) ?

Apakah mitra menjalankan reviu berkala terhadap proses pengembangan layanan

TI atau perubahan layanan TI ?

Apakah mitra memiliki prosedur formal terkait proses perencanaan pengembangan atau perubahan layanan TI ?

Rating 1

• Isu layanan TI

diselesaikan jika ada permintaan

• Belum terlihat memiliki regular

Rating 2

• Memiliki daftar isu yang perlu di selesaikan

• Memiliki reviu isu berkala dengan unit kerja lain

Rating 3

• Memiliki prosedur untuk mendokumentasikan proses daftar isu, reviu dan penyelesaian isu

• Menjalankan proses di rating 2

(12)

Pengendalian Para Pihak dalam Siklus Layanan

12 Apakah mitra memiliki

daftar layanan/proses apa saja yang dioperasikan oleh pihak

lain/vendor ? (Misal : Genset Listrik, Jaringan, pengembangan

aplikasi)

Apakah mitra sudah menerapkan pengukuran

kinerja layanan/proses yang dioperasikan oleh pihak lain/vendor secara

berkala ?

Apakah mitra sudah memiliki prosedur formal

yang mengatur proses dan kriteria pengukuran kinerja pihak lain/vendor,

untuk menjamin tingkat ketersediaan operasional

layanan TI yang diharapkan ?

Rating 1

• Mampu

mengidentifikasi layanan pihak lain yang digunakan, namun belum memiliki daftar nya

• Reviu dilakukan jika ada permintaan

Rating 2

• Memiliki kriteria pengukuran kinerja layanan/proses pihak lain (waktu respon, resolusi)

• Memiliki reviu periodik dengan kinerja pihak lain

Rating 3

• Memiliki prosedur untuk

mendokumentasikan kriteria pengukuran dan proses reviu kinerja

(13)

Katalog Layanan

Apakah pengguna internal di RS mengetahui layanan – layanan yang disediakan

oleh bagian TI ?

Apakah RS sudah memiliki daftar layanan TI yang saat ini tersedia untuk pengguna (misal : dalam

table, dokumen atau aplikasi) ?

Apakah RS sudah memiliki prosedur untuk mengisi,

mengubah dan menghapus isi daftar layanan TI yang tersedia

untuk pengguna ?

Rating 1

• Bisa menjelaskan

secara lisan layanan TI yang tersedia

• Sosialisasi ke

pengguna secara lisan

Rating 2

• Memiliki daftar layanan TI yang tercatat (misal : dalam table excel, dokumen atau aplikasi)

• Daftar layanan TI yang bisa dilihat pengguna

Rating 3

• Memiliki prosedur untuk proses penambahan, perubahan dan

penghapusan isi pada daftar layanan

(14)

Contoh tabel Katalog Layanan

14 Menggunakan Tabel Microsoft Excell

atau, menggunakan Software Open-source (ITOP)

https://www.combodo.com/itop-193

(15)

Pengelolaan Konfigurasi

Apakah aset TI (aplikasi, Server, PC) &

konfigurasinya sudah dikelola ?

Apakah peninjauan berkala aset TI dan konfigurasinya sudah

dilakukan ?

Apakah sudah memiliki prosedur untuk pencatatan, perubahan

dan penghapusan dari aset TI dan Konfigurasinya ?

Rating 1

• Dapat menunjukan daftar inventaris aset TI (misal : Server, PC, jaringan, sistem

operasi, database)

Rating 2

• Dapat memperlihatkan hasil tinjauan berkala aset TI dan layanan TI (misal : pada ruang server)

Rating 3

• Memiliki prosedur

pencatatan, perubahan dan penghapusan aset TI dan konfigurasinya

(16)

1. Mendefinisikan konfigurasi untuk setiap layanan TI seperti :

• Deskripsi Konfigurasi (Software, Hardware, Database, Network)

• Keterkaitan antar bagian/komponen layanan

• Status (Aktif/tidak-Aktif/Tidak-digunakan)

• Versi (versi software/hardware/network)

• Lokasi dari komponen layanan

2. Memastikan bahwa konfigurasi dicatat dan disimpan secara akurat 3. Membuat prosedur pencatatan & pengendalian versi konfigurasi

4. Melakukan reviu berkala (6 bulan) terhadap pencatatan konfigurasi dengan aktual

Pengelolaan Konfigurasi Layanan TI

16

(17)

Mengelola Hubungan Bisnis

Apakah TI sudah menjalankan tanggung

jawab dalam menjaga layanan TI ?

Apakah TI sudah memiliki jalur komunikasi dengan

pengguna layanan TI ?

Apakah memiliki prosedur yang mengatur tanggung

jawab, jalur komunikasi dan reviu kepuasan

pengguna ?

Rating 1

• Personel TI sudah mampu menjalankan tanggung jawab dalam menjaga tingkat

kepuasan penggunaan layanan TI

Rating 2

• Memiliki jalur

komunikasi formal (meeting) dan/atau informal (WAGroup)

• Memiliki hasil reviu berkala dengan unit kerja lain

Rating 3

• Memiliki prosedur yang mengatur tanggung jawab, jalur komunikasi yang ditentukan dan cara reviu kepuasan pengguna

(18)

Pengelolaan Tingkat Layanan

18

(19)

Pengelolaan Tingkat Layanan TI

Apakah TI sudah bisa mengidentifikasi layanan

TI yang kritikal dan tidak kritikal ?

Apakah TI bisa menerapkan prioritas dari

layanan TI ?

Apakah memiliki ketentuan yang mengatur matrix prioritas layanan TI

beserta waktu penanganan ?

Rating 1

• Personel TI mampu menjelaskan layanan TI yang kritikal (butuh penanganan segera) apa saja

Rating 2

• Memiliki tingkat prioritas layanan TI

• Menerapkan Tingkat prioritas layanan TI pada penanganan gangguan

Rating 3

• Memiliki prosedur yang mengatur matrix

prioritas layanan TI beserta waktu respon dan penyelesaian

(20)

Pengelolaan Penyedia Jasa

20 Apakah semua

jasa/layanan yang digunakan oleh TI memiliki kontrak kerja ?

Apakah sudah dilakukan evaluasi terhadap kinerja penyedia jasa/layanan ?

Apakah memiliki ketentuan formal yang mengatur proses seleksi

dan evaluasi kinerja penyedia jasa ?

Rating 1

• Beberapa Jasa/layanan yang digunakan TI sudah memiliki kontrak kerja/perjanjian

Rating 2

• Memiliki bukti evaluasi kinerja penyedia

jasa/layanan (setidaknya 1x setahun).

Rating 3

• Memiliki prosedur yang mengatur proses

seleksi dan evaluasi kinerja vendor

(21)

Pengelolaan Anggaran Biaya

Apakah mitra sudah memiliki mekanisme penganggaran dan

pengeluaran biaya layanan TI ?

Apakah ada evaluasi berkala terhadap

anggaran dan pengeluaran biaya TI ?

Apakah ada ketentuan formal yang mengatur proses penganggaran dan pengeluaran biaya ?

Rating 1

• Mampu menjelaskan proses penganggaran dan pengeluaran biaya TI

Rating 2

• Memiliki bukti evaluasi anggaran dan

pengeluaran biaya TI (setidaknya 1x

setahun).

Rating 3

penganggaran dan pengeluaran biaya

(22)

Pengelolaan Permintaan Layanan TI

22 Apakah sudah

menerapkan jalur permintaan layanan TI?

Apakah sudah menerapkan cara untuk

memperkirakan kebutuhan akan layanan

TI ?

Apakah ada ketentuan formal yang mengatur

proses pengukuran kebutuhan akan layanan

TI ?

Rating 1

• Mampu menjelaskan proses menerima permintaan dari pengguna dan kebutuhan akan layanan TI

Rating 2

• Memiliki bukti

pengukuran kebutuhan akan layanan TI secara berkala (setidaknya 1x setahun)

Rating 3

menerima permintaan dan mengukur

kebutuhan

(23)

Pengelolaan Kapasitas Layanan TI

Apakah mitra sudah memiliki mekanisme

pemantauan dan perencanaan kapasitas

layanan TI ?

Apakah mitra sudah menjalankan proses

pelaporan berkala terhadap pengelolaan kapasitas layanan TI ?

Apakah mitra sudah memiliki prosedur terkait

pengelolaan kapasitas layanan TI ?

Rating 1

• Memiliki bukti mekanisme

pemeriksaan kapasitas layanan TI (server &

Jaringan)

Rating 2

• Mencatatkan dan mendokumentasikan hasil pemeriksaan kapasitas secara berkala

(mingguan/bulanan)

Rating 3

• Memiliki ketentuan formal terkait batas limit kapasitas layanan TI, periode

pemeriksaan dan mekanisme tindak lanjut jika sudah melewati batas

(24)

Pengelolaan Perubahan Layanan TI

24 Apakah mitra sudah

mengetahui atau menerapkan klasifikasi dampak dan resiko dalam

melakukan perubahan layanan TI ?

Apakah mitra memiliki proses pencatatan setiap

perubahan layanan TI dengan informasi jadwal

perubahan, klasifikasi dampak dan persetujuan

pimpinan ?

Apakah mitra sudah memiliki prosedur untuk

menjalankan proses perubahan layanan TI?

Rating 1

•Contoh Klasifikasi dampak major = upgrade fungsi aplikasi/sistem operasi, perubahan segregasi network, pembaruan hardware server

•Contoh klasifikasi dampak minor = Penambahan memory/hardisk, patch update OS atau update bug- fix aplikasi

Rating 2

•Setiap perubahan pada layanan TI sudah dilakukan dengan

menggunakan form yang tercatat, terdapat klasifikasi dampak dan resiko perubahan (major/minor) dan persetujuan dari pimpinan

Rating 3

•Sudah memiliki dan menjalankan prosedur yang berisi pencatatan, pengklasifikasian dampak/resiko perubahan dan persetujuan permintaan perubahan

•Menjalankan proses di rating 2

(25)

Pengelolaan Perubahan Layanan TI

Apakah mitra sudah mengetahui atau menerapkan klasifikasi dampak dan resiko dalam

melakukan perubahan layanan TI ?

Apakah mitra memiliki proses pencatatan setiap

perubahan layanan TI dengan informasi jadwal

perubahan, klasifikasi dampak dan persetujuan

pimpinan ?

Apakah mitra sudah memiliki prosedur untuk

menjalankan proses perubahan layanan TI?

Rating 1

•Contoh Klasifikasi dampak major = upgrade fungsi aplikasi/sistem operasi, perubahan segregasi network, pembaruan hardware server

•Contoh klasifikasi dampak minor = Penambahan memory/hardisk, patch update OS atau update bug- fix aplikasi

Rating 2

•Setiap perubahan pada layanan TI sudah dilakukan dengan

menggunakan form yang tercatat, terdapat klasifikasi dampak dan resiko perubahan (major/minor) dan persetujuan dari pimpinan

Rating 3

•Sudah memiliki dan menjalankan prosedur yang berisi pencatatan, pengklasifikasian dampak/resiko perubahan dan persetujuan permintaan perubahan

•Menjalankan proses di rating 2

(26)

Pengelolaan Insiden Layanan TI

26 Apakah pencatatan

penanganan gangguan dan permintaan layanan TI mitra sudah diterapkan

secara efektif ?

Apakah mitra menerapkan kriteria

prioritas dalam menjalankan proses

poin.1 ?

Apakah sudah ada ketentuan formal untuk

menjalankan proses penanganan gangguan TI

?

Rating 1

• Menerapkan kriteria prioritas, namun masih berdasarkan

pemahaman personal (belum menjadi standar Pelaksanaan)

Rating 2

• Memiliki bukti penerapan secara berkala (setidaknya 2x - 4x setahun)

Rating 3

analisa akar masalah (langkah analisa &

keluaran)

(27)

Pengelolaan Masalah Layanan TI

Apakah mitra sudah memiliki mekanisme analisa masalah layanan

TI yang berulang atau berdampak major ?

Apakah mekanisme dari proses poin.1 sudah dilakukan secara berkala

?

Apakah sudah memiliki ketentuan formal untuk

menjalankan proses analisa akar masalah dan

solusi tindak lanjut ?

Rating 1

• Mampu menjelaskan proses untuk

menganalisa akar

masalah dari gangguan berulang atau major

Rating 2

• Memiliki bukti penerapan secara berkala (setidaknya 2x - 4x setahun)

Rating 3

analisa akar masalah (langkah analisa &

keluaran)

(28)

Pengelolaan Ketersediaan Layanan TI

28 Apakah mitra sudah

menentukan ketersediaan layanan TI yang kritikal ?

Apakah sudah dilakukan pengujian berkala terhadap layanan TI

kritikal ?

Apakah ada ketentuan formal yang mengatur

proses menjaga dan menguji ketersediaan

layanan TI ?

Rating 1

• Mampu menjelaskan Tingkat ketersediaan layanan kritikal faskes

Rating 2

• Memiliki bukti pengujian secara

berkala (setidaknya 1x setahun)

Rating 3

menjaga dan menguji ketersediaan layanan TI

(29)

Pengelolaan Kelangsungan Layanan TI

Apakah mitra sudah memiliki rencana untuk kelangsungan layanan TI

?

Apakah rencana keberlangsungan layanan TI direviu dan

dilakukan pengujian secara berkala ?

Apakah mitra sudah memiliki prosedur formal

dalam menjalankan rencana dan implementasi

kelangsungan layanan TI

?

Rating 1

• Mampu menjelaskan rencana kelangsungan layanan TI, namun belum memiliki

catatan/dokumentasi

Rating 2

• Memiliki bukti pengujian secara

berkala (setidaknya 1x setahun)

Rating 3

rencana dan menguji kelangsungan layanan TI

(30)

30

Kontrol Keamanan Informasi

(31)

Apa itu Informasi

Informasi

Informasi adalah aset yang, sangat penting bagi bisnis organisasi dan, oleh karena itu, perlu dilindungi secara tepat.

Sumber: ISO/IEC 27000:2018 Secara sederhana dalam konteks Kesehatan

• Aset Informasi adalah segala informasi yang dianggap penting untuk mendukung berjalannya proses fasilitas kesehatan di tempat Bapak/Ibu.

• Karena penting, aset tersebut perlu dilindungi sedemikian rupa agar proses pelayanan kesehatan dapat terus beroperasi.

(32)

32

Pemeriksaan Latar Belakang (

screening

)

Apakah Anda

Melakukan proses pemeriksaan latar belakang

pada proses rekrutmen

Melakukan pemeriksaan latar belakang untuk setiap

karyawan yang direkrut? Memiliki prosedur rekrutmen?

Ekspektasi bukti implementasi

Bukti pemeriksaan latar

belakang Menunjukkan hasil tinjauan

rutin yang dilakukan Adanya prosedur rekrutmen

(33)

Kontrak Kerja (

terms and conditions of employment

)

Apakah Anda

Membuat kontrak kerja tertulis untuk karyawan atau

outsource?

Meninjau pasal tentang keamanan informasi pada

kontrak tersebut ditinjau secara rutin?

Memiliki prosedur rekrutmen?

Sampel kontrak kerja karyawan (permanen dan

outsource – jika ada)

Menunjukkan bukti hasil

tinjauannya Adanya prosedur rekrutmen

(34)

34

NDA (

confidentiality or non-disclosure agreements

)

Apakah Anda

Memastikan bahwa karyawan yang bekerja telah memiliki

NDA?

Meninjau bahwa NDA selalu diperbarui, minimal jika

kontrak kerja ada perpanjangan kontrak kerja?

Memiliki prosedur rekrutmen?

Sampel NDA untuk karyawan permanen dan outsource (jika

ada)

Menunjukkan bukti NDA untuk karyawan yang diperpanjang

masa kontraknya Adanya prosedur rekrutmen

(35)

Pelatihan (

information security awareness, education and training

)

Apakah Anda

Memberikan pelatihan dan awarenesstentang pentingkan keamanan informasi kepada karyawan?

Meninjau hasil pelatihan dan awareness tersebut secara

rutin?

Memiliki ketentuan tentang pelaksanaan pelatihan dan

awareness keamanan informasi?

Sampel pelaksanaan pelatihan dan awareness

keamanan informasi

Menunjukkan beberapa tanggal bukti pelaksanaan

pelatihan dan awareness

Adanya ketentuan tentang pelaksanaan pelatihan dan

awarenesskeamanan informasi

(36)

36

Kewajiban dan tanggungjawab

(

responsibilities after termination or change of employment

)

Apakah Anda

Memiliki mekanismeexit clearance untuk karyawan yang mutasi atau resign?

Meninjau jika karyawan yang mutasi/resign sudah tidak lagi

memiliki akses ke informasi yang dia tidak berhak?

Memiliki prosedur tentang proses mutasi dan pengunduran diri?

Sampel formulir pemindahan

karyawan atau exit clearance Sampel bukti tinjauan bahwa akses sudah ditutup

Adanya prosedur tentang proses mutasi dan

pengunduran diri

(37)

Inventori Aset (inventory of information and other associated assets)

Apakah Anda

Memiliki daftar aset informasi dan TI?

Melakukan tinjauan berkala daftar aset

informasi dan TI?

Memiliki prosedur untuk mengelola aset informasi

dan TI?

Adanya daftar aset Bukti bahwa daftar aset ditinjau kebenarannya

Bukti bahwa daftar aset dikelola secara konsisten

dan seragam walau pun lintas unit kerja

(38)

Contoh Penerapan

Rating 1

• Daftar aset informasi dan TI seperti Hardware, software, infrastruktur, klasifikasi informasi.

38

Rating 2

• Dilakukan update secara berkala dan akurat

• Lokasi dari setiap aset di update bila terjadi perubahan

• Klasifikasi Aset information di review secara berkala

Rating 3

• Terdapat prosedur dalam

proses pencatatan aset

informasi

(39)

Pengembalian Aset (return of assets)

Apakah Anda

Memiliki proses pengembalian aset informasi dan TI?

Melakukancross check antara keberadaan aset vs

pemegang aset?

Memiliki prosedur pengembalian aset?

Bukti tertulis bahwa pengembalian aset telah

dicatat

Bukti hasilcrosss check bahwa pemegang aset masih

berhak terhadap asetnya

Adanya prosedur pengembalian aset

(40)

Contoh Penerapan

Rating 1

40

Rating 2

• Proses exit cleareance dalam

pengembalian asset informasi sudah dilakukan secara konsisten.

• Kartu identitas, token keamanan, dan kredensial login untuk sistem dan aplikasi

Rating 3

• Adanya prosedur pengembalian aset

(41)

Klasifikasi informasi (classification of information)

Apakah Anda

Memiliki proses memilah / klasifikasi aset informasi dan

TI?

Melakukan validasi rutin terhadap kecocokan aset dan

klasifikasinya?

Memiliki prosedur memilah / klasifikasi aset informasi dan

TI?

Adanya daftar klasifikasi aset sensitif dan non

sensitif

Adanya bukti hasil tinjauan tentang kecocokan aset dan

klasifikasinya

Adanya prosedur yang menjelaskan klasifikasi

informasi

(42)

Contoh Penerapan

Rating 1

• Adanya kriteria klasifikasi informasi yang dapat didasarkan pada sensitifitas dari informasi

Contoh :

• Nilai bisnis : Informasi keuangan, pengembangan produk/layanan

• Sensitivitas :

datapribadi pasien dan dokter, Rekam m

edis dan hasil diagnosa. ₄₂

Rating 2

Tinjauan pengklasifikasian secara berkala.

• Pembaruan klasifikasi sesuai dengan

perubahan nilai, sensitivitas, dan kritikalitas informasi

Rating 3

• Adanya prosedur ya

ng menjelaskan klasi

fikasi informasi

(43)

Pelabelan informasi (labelling of information)

Apakah Anda

Melabeli aset informasi dan TI

sesuai dengan klasifikasinya? Label tersebut ditinjau secara rutin kecocokannya

Memiliki prosedur untuk melabeli aset informasi dan TI selaras dengan klasifikasinya?

Adanya bukti aset informasi dan TI yang terlabeli

Adanya bukti kecocokan antara label, aset dan

klasifikasinya

Adanya prosedur menjelaskan pelabelan yang selaras

dengan klasifikasinya

(44)

44

Pertukaran informasi (information transfer)

Apakah Anda

Mengatur tentang bagaimana aset informasi dibagikan?

Secara rutin meninjau bagaimana

aset informasi dibagikan?

Memiliki prosedur yang mengatur bagaimana aset

informasi dibagikan?

Sampel cara membagikan informasi. Misalshare via

email, WhatsApp, dt.

Sampel hasil tinjauan bagaimana aset informasi dibagikan. Misalnya rekam

medis.

Adanya prosedur menjelaskan pelabelan yang selaras

dengan klasifikasinya

(45)

Pengelolaan Hak Akses (access rights)

Apakah Anda

Membedakan jenis hak akses user ID?

(misal untuk tulis, hapus, baca)

Mengelompokkan user berdasarkan jenis peruntukannya secara

konsisten?

Memiliki prosedur pengelolaan akses?

Menunjukkan penerapan hak akses

Menunjukkan kecocokan antara permintaan User ID vs

pembuatan User ID merujuk ke jenis User ID

Adanya prosedur pengelolaan akses tentang Manajemen

otentikasi

(46)

46

Kontrol Akses (access control)

Apakah Anda

Mengendalikan akses ke aplikasi, tempat penyimpanan

informasi atau ruang server?

Secara rutin meninjau akses yang pernah diberikan?

Memiliki prosedur pengelolaan akses?

Bukti permintaan/pencabutan akses

Perbandingan jumlah permintaan akses dan akses

yang diterbitkan

Adanya prosedur pengelolaan akses mulai dari permintaan,

modifikasi s/d pencabutan

(47)

Proteksi data (protection of records)

Apakah Anda

Melakukan melindungi data yang tersimpan baik fisik mau

pun elektronik?

Melakukan tinjauan rutin untuk memastikan apakah data tersebut masih dapat diakses?

Memiliki prosedur / ketentuan perlindungan data?

Menunjukkan metode perlindungan data yang

dilakukan

Menunjukkan hasil tinjauan

rutin yang dilakukan Adanya prosedur / ketentuan tentang perlindungan data

(48)

48

Pengelolaan Data Pribadi

( Privacy and protection of personal identifiable information (PII)

Apakah Anda

Mengidentifikasi mana saja yang termasuk data pribadi?

Melakukan tinjauan rutin terhadap keutuhan data

pribadi tersebut?

Memiliki prosedur / ketentuan pengelolaan data pribadi?

Menunjukkan sampel hasil identikasi data pribadi yang

dikelola

Menunjukkan hasil tinjauan rutin yang dilakukan

Adanya prosedur / ketentuan tentang pengelolaan data

pribadi

(49)

Pemisahan area (

physical security perimeters

)

Apakah Anda

Memisahkan area antara area publik dan area yang berisikan

informasi sensitif?

Meninjau keamanan dari

pemisahan area tersebut? Memiliki prosedur tentang pengamanan area fisik?

Observasi pemisahan area

Observasi bahwa area tersebut juga diamankan seperti dengan kunci pintu,

access door.

Adanya prosedur tentang pengamanan area fisik

(50)

50

Akses Khusus (

privileged access rights

)

Apakah Anda

Membatasi penggunakan akses khusus seperti Administrator dan Root?

Meninjau penggunaan akses

khusus tersebut? Memiliki prosedur tentang pengelolaan akses khusus?

Observasi siapa saja yang memiliki akses khusus

Bukti tinjauan bahwa akses khusus hanya digunakan oleh

pemilik yang sah dan untuk tujuan yang tepat

Adanya prosedur tentang pengelolaan akses khusus

(51)

Perangkat kerja ( user end point devices )

Apakah Anda

Mengamankan perangkat kerja yang mengakses

informasi faskes?

Meninjau pengamanan terhadap perangkat kerja

tersebut?

Memiliki prosedur tentang perangkat kerja?

Observasi perangkat pribadi yang mengakses informasi

faskes

Bukti tinjauan bahwa perangkat kerja diamankan, seperti instalasi antivirus dan

atau VPN

Adanya prosedur tentang perangkat kerja

(52)

52

Anti malware (

protection against malware

)

Apakah Anda

Memasang perangkat anti malware pada setiap

perangkat kerja?

Meninjaulast update perangkat anti malware

tersebut secara rutin?

Memiliki prosedur tentang perangkat kerja?

Sampel perangkat kerja yang terpasang anti malware

Bukti tinjauan bahwa anti malware diperbarui secara

rutin

Adanya prosedur tentang perangkat kerja

(53)

Pencadangan ( information backup )

Apakah Anda

Melakukan pencadangan data

faskes? Menguji hasil pencadangan

tersebut secara rutin? Memiliki prosedur tentang perlindungan data?

Sampel bukti pencadangan data

Sampel beberapa hasil pencadangan dan

pengujiannya

Adanya prosedur tentang perlindungan data

(54)

54

Manajemen Kerentanan (

management of technical vulnerabilities

)

Apakah Anda

Melakukan asemen kerentanan untuk sistem

faskes?

Meninjau perbaikan yang dilakukan dari hasil asesmen

kerentanan?

Memiliki prosedur tentang manajemen kerentanan?

Sampel asesmen kerentanan yang telah dilakukan

Bukti bahwa perbaikan asesmen kerentanan

diperbaiki

Adanya prosedur tentang manajemen kerentanan

(55)

Pemisahan Jaringan ( segregation of network )

Apakah Anda

Melakukan segmentasi jaringan?

Meninjau implementasi segmentasi jaringan secara

konsisten?

Memiliki prosedur tentang pengamanan jaringan?

Menunjukkan topologi jaringan Sampel konfigurasi beberapa

segmentasi jaringan Adanya prosedur tentang pengamanan jaringan

(56)

56

Pengembangan aman ( secure coding )

Apakah Anda

Membangun/

mengembangkan aplikasi dengan kaidah yang aman?

Meninjau bahwa pengembangan aman

dilakukan konsisten?

Memiliki prosedur tentang pengamanan dalam pengembangan aplkasi?

Menunjukkan mekanisme pengembangan yang

dilakukan

Sampel beberapa kode sumber yang menerapkan

kaidah tersebut

Adanya prosedur tentang pengamanan dalam pengembangan aplikasi

(57)

Data Uji ( test information )

Apakah Anda

Menggunakan data dummy pada proses pengujian?

Meninjau data yang digunakan dalam proses uji adalah selalu data dummy?

Memiliki prosedur tentang pengamanan dalam pengembangan aplkasi?

Menunjukkan sampel data

dummy Sampel beberapa hasil uji

yang dilakukan

Adanya prosedur tentang pengamanan dalam pengembangan aplikasi