• Tidak ada hasil yang ditemukan

SAL SEOJK 21 - MRTI.pdf

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2023

Membagikan "SAL SEOJK 21 - MRTI.pdf"

Copied!
192
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 192 Halaman )

Teks penuh

Bank yang menyerahkan penyelenggaraan Teknologi Informasi kepada penyedia jasa Teknologi Informasi tetap menyampaikan laporan sebagaimana dimaksud pada angka 1 kepada Otoritas Jasa Keuangan. Pemrosesan transaksi berbasis teknologi informasi bagi penyedia jasa di luar wilayah Indonesia wajib mengajukan permohonan persetujuan kepada Otoritas Jasa Keuangan paling lambat 3 (tiga) bulan sebelum rencana pelaksanaan.

MANAJEMEN

  • Pendahuluan
  • Peran dan Tanggung Jawab Manajemen
    • Direksi
    • Dewan Komisaris
    • Komite Pengarah TI
    • Pejabat Tertinggi yang Memimpin Satuan Kerja TI
  • Struktur Organisasi Satuan Kerja TI
  • Sistem Informasi Manajemen
  • Manajemen Proyek
  • Rencana Strategis TI
  • Kebijakan, Standar, dan Prosedur Manajemen TI
  • Proses Manajemen Risiko TI
    • Identifikasi Jenis Risiko Terkait Manajemen TI
    • Risiko Terkait TI
    • Penilaian Risiko TI
    • Pengukuran Risiko Terkait TI
    • Pemantauan Risiko Terkait TI
    • Pengendalian Risiko terkait TI

Dalam Pasal 9 POJK MRTI, bank wajib memiliki Rencana Strategis TI yang mendukung rencana strategis kegiatan usaha Bank dan dituangkan dalam rencana bisnis Bank. Pengawasan dan pemantauan yang ketat harus dilakukan karena tanggung jawab Manajemen Bank tidak hilang atau berkurang dengan mengalihkan operasional TI kepada penyedia layanan TI; .. 7) penggunaan asuransi sebagai upaya mitigasi potensi kerugian dalam operasional TI.

PENGEMBANGAN DAN PENGADAAN

Pendahuluan

Langkah Pengendalian dalam Pengembangan dan Pengadaan

Kebijakan, Standar, dan Prosedur Pengembangan dan Pengadaan

  • Kebijakan, Standar, dan Prosedur Pengembangan
    • Tahap Inisiasi dan Perencanaan
    • Tahap Pendefinisian Kebutuhan Pengguna
    • Tahap Perancangan Sistem
    • Tahap Pemrograman
    • Tahap Uji Coba
    • Tahap Implementasi
    • Tahap Kaji Ulang Pascaimplementasi
    • Tahap Pemeliharaan
    • Tahap Pemusnahan (Disposal)
  • Kebijakan, Standar, dan Prosedur Pengadaan
    • Standar Pengadaan
    • Pedoman Proyek Pengadaan
    • Escrow Agreement
    • Kontrak Pembelian, Lisensi, dan Pemeliharaan Perangkat
    • Pemeliharaan
    • Garansi
    • Penyelesaian Perselisihan
    • Perubahan Perjanjian
    • Keamanan
    • Subkontrak kepada Vendor
  • Kebijakan, Standar, serta Prosedur Manajemen Proyek dan

Bank harus menyusun studi kelayakan untuk menentukan kebutuhan pembelian perangkat lunak perbankan yang dapat disesuaikan dengan kebutuhan dan siap digunakan (off-the-shelf); Standar-standar ini harus memastikan bahwa... perangkat lunak yang dikembangkan sesuai dengan program keamanan umum bank.

Proses Manajemen Risiko Pengembangan dan Pengadaan

  • Pengukuran Risiko terkait Pengembangan dan Pengadaan
  • Pengendalian Risiko Pada Pengembangan dan Pengadaan
    • Pengendalian Risiko pada Pengembangan
    • Pengendalian Risiko pada Pengadaan

Pada setiap tahapan pengembangan dan pengadaan TI, Bank harus memitigasi risiko yang telah diidentifikasi dan diukur dengan menggunakan metode pengendalian tertentu yang ditetapkan dalam kebijakan. Untuk mengendalikan risiko terkait pengembangan TI, Bank harus dapat memastikan bahwa pengembangan sistem yang dilakukan telah sesuai dengan kebijakan, standar, dan prosedur pada setiap tahapan pengembangan.

AKTIVITAS OPERASIONAL TI

Pendahuluan

Kebijakan, Standar, dan Prosedur terkait Aktivitas Operasional TI

  • Kebijakan terkait Pusat Data
  • Kebijakan Perencanaan dan Pemantauan Kapasitas TI
  • Kebijakan Pengelolaan Konfigurasi Perangkat Keras dan Perangkat
  • Kebijakan Pemeliharaan Perangkat Keras dan Perangkat Lunak
  • Kebijakan Manajemen Perubahan (Change Management)
  • Kebijakan Penanganan Kejadian atau Permasalahan
  • Kebijakan Pengelolaan Pangkalan Data (Database)
  • Kebijakan Pengendalian Pertukaran Informasi (Exchange of
  • Kebijakan Pengelolaan Library
  • Kebijakan Pemusnahan (Disposal) Perangkat Keras dan Perangkat

Bank harus memiliki kebijakan dan prosedur perencanaan dan pemantauan kapasitas TI untuk memastikan bahwa perangkat keras dan perangkat lunak yang digunakan Bank konsisten dengan kebutuhan operasional bisnis dan mengantisipasi perkembangan bisnis Bank. Bank wajib memiliki kebijakan, standar, dan prosedur manajemen perubahan yang paling sedikit mencakup permintaan, analisis, persetujuan perubahan dan pemasangan perubahan, termasuk pemindahan perangkat keras dan perangkat lunak dari lingkungan pengujian ke lingkungan operasional.

Proses Manajemen Risiko Aktivitas Operasional TI

Cadangan data dan perangkat lunak harus selalu diperbarui agar Bank dapat memastikan kemampuannya dalam memulihkan sistem, aplikasi, dan data jika terjadi bencana atau gangguan lainnya. Pemusnahan (Pembuangan) meliputi penghapusan perangkat lunak, perangkat keras, dan data yang tidak digunakan lagi atau yang masa penyimpanannya telah habis.

JARINGAN KOMUNIKASI

Pendahuluan

Kebijakan, Standar, dan Prosedur terkait Jaringan Komunikasi

Prosedur jaringan komunikasi merupakan serangkaian langkah teknis yang akan dilakukan bank untuk memenuhi standar jaringan komunikasi.

Proses Manajemen Risiko Jaringan Komunikasi

  • Pengendalian Risiko
  • Pemantauan Risiko

Jaringan komunikasi harus dirancang efisien, namun juga dinamis untuk mengantisipasi perkembangan di masa depan. Pengendalian akses terhadap jaringan komunikasi merupakan hal yang sangat penting dan harus diperhatikan, karena jaringan komunikasi merupakan pintu masuk utama sistem informasi bank. Fitur atau layanan yang tidak diperlukan sebaiknya dinonaktifkan; .. g) penggunaan perangkat keamanan jaringan komunikasi, seperti firewall, sistem deteksi intrusi (IDS) dan sistem pencegahan intrusi (IPS); .. h) penggunaan perangkat tambahan untuk mengendalikan jaringan komunikasi (sistem manajemen jaringan) dengan penekanan pada keamanan; Dan . i) pengujian keamanan jaringan komunikasi secara berkala, misalnya melalui pengujian penetrasi.

Untuk dapat mengendalikan kegiatan pengelolaan jaringan komunikasi, Bank harus memiliki dokumentasi jaringan komunikasi yang lengkap dan terkini, antara lain: .. a) kebijakan, standar, prosedur dan baseline terkait komunikasi jaringan komunikasi;

PENGAMANAN INFORMASI

Pendahuluan

Kebijakan, Standar, dan Prosedur terkait Pengamanan Informasi

  • Kebijakan Pengamanan Informasi
  • Standar Pengamanan Informasi
  • Prosedur Pengamanan Informasi
    • Prosedur Pengelolaan Aset
    • Prosedur Pengelolaan Sumber Daya Manusia
    • Prosedur Pengamanan Fisik dan Lingkungan
    • Prosedur Pengendalian Akses
    • Prosedur Pengamanan Operasional TI
    • Prosedur Pemantauan Pengamanan Informasi
    • Prosedur Penanganan Insiden dalam Pengamanan Informasi

SDM antara lain pegawai bank, konsultan, pegawai honorer, dan pegawai penyedia layanan TI yang mempunyai akses terhadap informasi harus memahami tanggung jawabnya untuk mengamankan informasi; Bank harus menetapkan sanksi atas pelanggaran yang dilakukan SDM terhadap kebijakan keamanan informasi; Dan. Bank harus mengidentifikasi jenis insiden keamanan informasi, misalnya pengguna dapat mengakses sistem yang tidak diizinkan, atau kerentanan lain yang diketahui pengguna.

Pegawai Bank, pegawai honorer, dan pegawai penyedia layanan TI wajib melaporkan apabila mengetahui, menemukan atau melihat adanya indikasi atau potensi terjadinya insiden keamanan informasi sesuai dengan huruf a. Bank perlu mempertimbangkan untuk membentuk tim khusus untuk menangani insiden keamanan, misalnya Respons Insiden Keamanan Informasi Tim (TRIPI), disesuaikan dengan ukuran dan kompleksitas kegiatan bank. D. Dalam hal PoC menetapkan bahwa laporan tersebut termasuk dalam insiden keamanan informasi, PoC harus segera menyampaikan laporan tersebut kepada TRIPI.

Bank secara berkala mengkaji pedoman penanganan insiden keamanan informasi untuk memastikan bahwa pedoman tersebut relevan dengan kondisi sistem TI Bank saat ini.

Proses Manajemen Risiko terkait Pengamanan Informasi

  • Pengukuran Risiko Pengamanan Informasi
  • Pengendalian dan Mitigasi Risiko

RENCANA PEMULIHAN BENCANA

  • Pendahuluan
  • Kebijakan, Standar, dan Prosedur terkait Rencana Pemulihan Bencana
    • Kebijakan terkait Rencana Pemulihan Bencana
    • Prosedur terkait Rencana Pemulihan Bencana
  • Pengujian Rencana Pemulihan Bencana
    • Ruang Lingkup Pengujian Rencana Pemulihan Bencana
    • Skenario Pengujian (Test Plan) Rencana Pemulihan Bencana
    • Analisis dan Laporan Hasil Pengujian Rencana Pemulihan Bencana
  • Pemeliharaan Rencana Pemulihan Bencana dan Audit Intern
    • Pemeliharaan Rencana Pemulihan Bencana
    • Audit Intern

Dengan demikian, analisis dampaknya terhadap bisnis menjadi dasar penyusunan seluruh rencana kebangkitan perusahaan. Setelah proses analisis dampak bisnis dan penilaian risiko, rencana pemulihan bencana disiapkan. Pengujian rencana pemulihan bencana diperlukan untuk memastikan bahwa rencana pemulihan bencana dapat dilaksanakan dengan baik jika terjadi gangguan dan/atau bencana.

Hasil uji coba ini diharapkan dapat mengungkap kelemahan prosedur yang ada dalam rangka menyempurnakan Rencana Pemulihan Bencana. Bank harus memperbarui rencana pemulihan bencana mereka untuk memastikan kesesuaiannya dengan kondisi eksternal dan internal. Selain itu, revisi Rencana Pemulihan Bencana harus didokumentasikan dan didistribusikan ke unit kerja TI.

Rencana Pemulihan Bencana mencakup kegiatan-kegiatan penting berdasarkan analisis dampak bisnis yang dilakukan oleh Bank;

LAYANAN PERBANKAN ELEKTRONIK

  • Pendahuluan
  • Kebijakan, Standar, dan Prosedur terkait Layanan Perbankan Elektronik
  • Manajemen Risiko Layanan Perbankan Elektronik
    • Pengukuran Risiko Terkait Layanan Perbankan Elektronik
    • Pengendalian Risiko terkait Layanan Perbankan Elektronik
  • Rencana Penerbitan Layanan Perbankan Elektronik Baru
  • Permohonan Persetujuan terkait Layanan Perbankan Elektronik
  • Realisasi Layanan Perbankan Elektronik
    • Pemeriksaan oleh Pihak Independen
    • Ruang Lingkup Pemeriksaan Pihak Independen

Pengukuran dilakukan terhadap potensi kerugian yang terjadi (loss event) pada setiap jenis layanan perbankan elektronik. Untuk memantau ukuran dan tren risiko setiap jenis layanan perbankan elektronik, bank harus membangun database yang berisi data historis peristiwa kerugian (loss event database) untuk setiap jenis layanan perbankan elektronik. Dengan menyediakan layanan perbankan elektronik yang menyediakan fasilitas fisik seperti ATM, bank harus melakukan pengendalian keamanan fisik atas peralatan dan tempat yang digunakan terhadap risiko pencurian, perusakan dan tindakan kriminal lainnya yang dilakukan oleh pihak yang tidak berwenang.

Bank harus melakukan pemantauan secara rutin untuk memastikan keamanan dan kenyamanan nasabah dalam menggunakan layanan perbankan elektronik. Pengendalian risiko terkait layanan perbankan elektronik yang diselenggarakan oleh penyedia layanan TI yang diselenggarakan oleh penyedia layanan TI. Dalam hal TI yang digunakan untuk menyelenggarakan Layanan Perbankan Elektronik dilakukan oleh penyedia layanan TI, maka ketentuan penggunaan penyedia layanan TI tersebut juga berlaku.

Pelaporan realisasi Electronic Banking harus disertai dengan kajian pasca pelaksanaan oleh pihak independen.

AUDIT INTERN TI

  • Pendahuluan
  • Kebijakan, Standar, dan Prosedur terkait Audit TI
  • Proses Audit TI
  • Pemenuhan Fungsi Audit Intern TI

Sesuai Pasal 30 POJK MRTI, bank wajib melaporkan hasil audit TI paling lambat 2 (dua) bulan setelah audit selesai. Perubahan rencana dan realisasi tindak lanjut, serta tujuan penyelesaian tindak lanjut harus disampaikan kepada auditor TI dan disetujui oleh direktur utama dan Dewan Komisaris atau komite audit dengan tembusan kepada direktur yang membidangi fungsi kepatuhan. . Dalam hal kemampuan satuan kerja audit internal terbatas, maka pelaksanaan fungsi audit internal TI dapat dilakukan oleh auditor eksternal.

Penggunaan auditor eksternal untuk menjalankan fungsi audit internal TI tidak mengurangi tanggung jawab kepala unit kerja audit internal. Penggunaan auditor eksternal juga harus memperhatikan ukuran dan kompleksitas usaha bank serta memperhatikan ketentuan peraturan perundang-undangan mengenai auditor eksternal, dan pelaksanaannya sesuai dengan standar dan prosedur audit TI bank. Pelaksanaan audit TI internal oleh auditor eksternal tetap memperhatikan aspek kompetensi (termasuk pengetahuan dan pengalaman yang memadai) dan independensi serta didasarkan pada perjanjian kerjasama.

Selain itu, Bank secara berkala melakukan review terhadap fungsi audit TI internal yang dilakukan oleh pihak eksternal yang independen, sehingga pelaksanaan fungsi audit TI dapat berfungsi secara efektif.

PENGGUNAAN PIHAK PENYEDIA JASA TI

  • Pendahuluan
  • Kebijakan, Standar, dan Prosedur Penggunaan Penyedia Jasa TI
    • Kebijakan Penggunaan Penyedia Jasa TI
    • Standar Penggunaan Penyedia Jasa TI
    • Prosedur Penggunaan Penyedia Jasa TI
  • Proses Manajemen Risiko
    • Identifikasi Risiko
    • Pengukuran Risiko
    • Mitigasi Risiko
    • Pengendalian Risiko Lainnya
  • Pengendalian Intern dan Audit Intern
    • Pemantauan dan Pengawasan Penyedia Jasa TI
    • Audit Intern

Untuk menggunakan penyedia layanan TI di luar wilayah Indonesia harus mendapat izin dari Otoritas Jasa Keuangan terlebih dahulu. 11: Manajemen risiko - Nama penyedia layanan TI (PPJ TI), jika aplikasi dikembangkan oleh PPJ TI.

PENYEDIAAN JASA TI OLEH BANK

Pendahuluan

Dalam hal Bank menyediakan infrastruktur TI secara mandiri, terdapat kemungkinan infrastruktur tersebut tidak digunakan sepenuhnya (idle) sehingga menjadi tidak efisien. Bank dapat memberikan layanan TI kepada Lembaga Jasa Keuangan (LJK) yang berada di bawah pengawasan Otoritas Jasa Keuangan dan/atau lembaga jasa keuangan lainnya di luar wilayah Indonesia. Layanan TI yang dapat diberikan Bank terbatas pada penyediaan Data Center dan/atau Disaster Recovery Center, termasuk jaringan komunikasi.

Namun untuk mendukung inklusi keuangan dan/atau meningkatkan efisiensi konglomerasi usaha, bank dapat memberikan layanan TI berupa penyediaan aplikasi kepada bank lain dengan persetujuan Otoritas Jasa Keuangan.

Kebijakan, Standar, dan Prosedur Penyediaan Jasa TI

  • Kebijakan Penyediaan Jasa TI oleh Bank
  • Standar Penyediaan Jasa TI oleh Bank
  • Prosedur Penyediaan Jasa TI oleh Bank
  • Pembuatan Perjanjian Penyediaan Jasa TI oleh Bank

Selain mematuhi prinsip-prinsip penyediaan layanan TI di atas, Bank juga harus memastikan bahwa penyediaan layanan TI oleh Bank tidak mengganggu operasional Bank. Secara konkret, untuk menjaga kerahasiaan data Bank sebagai pengguna aplikasi, Bank sebagai penyedia layanan TI paling sedikit harus memisahkan tabel dan/atau database yang disesuaikan dengan arsitektur aplikasi Bank sebagai penyedia layanan TI. ; SLA tetap berlaku apabila terjadi perubahan kepemilikan Bank atau penerima layanan TI; .. G. batasan risiko yang ditanggung oleh Bank dan penerima jasa.

Bank harus mempunyai tata cara pemberian layanan TI oleh bank, yaitu tata cara pendefinisian kebutuhan penerima layanan TI. Penentuan kebutuhan bisnis penerima layanan mengenai penyampaian layanan TI oleh bank harus dilakukan sebelum bank memutuskan untuk memberikan layanan TI, antara lain melalui: . satu. proses penilaian risiko yang timbul dari penyediaan layanan TI Bank; Dan . b.menentukan dasar yang akan digunakan untuk mengidentifikasi tindakan pengendalian risiko yang tepat. Setelah mendefinisikan kebutuhan bisnis penerima layanan TI sehubungan dengan penyediaan layanan TI oleh Bank, Bank harus memperhatikan hal-hal berikut pada saat membuat perjanjian: . satu. melalui proses diskusi dengan satuan kerja hukum; dan b.mempertimbangkan apakah terdapat klausul khusus untuk mengakhiri perjanjian sebelum berakhirnya perjanjian apabila penerima layanan TI mengalami wanprestasi.

Proses Manajemen Risiko

  • Identifikasi Risiko
  • Pengukuran dan Mitigasi Risiko

Lampirkan ringkasan analisis risiko PPJ TI untuk implementasi data center dan/atau Disaster Recovery Center untuk ditawarkan kepada bank. Melampirkan gambar arsitektur TI saat ini dan yang direncanakan setelah pelaksanaan data center dan/atau pusat pemulihan bencana diserahkan kepada PPJ TI. Melampirkan informasi mengenai nama, alamat dan kepemilikan pemroses transaksi teknologi informasi yang dituju.

Melampirkan rancangan perjanjian antara Bank dengan penyelenggara Pemrosesan Transaksi Berbasis Teknologi Informasi di luar wilayah Indonesia yang memuat hal-hal sebagaimana disyaratkan dalam POJK MRTI. Lampiran gambar arsitektur TI terkini setelah implementasi Data Center dan/atau Disaster Recovery Center diserahkan kepada PPJ IT. Melampirkan fotokopi perjanjian antara Bank dengan penyedia jasa yang menyediakan pemrosesan transaksi berbasis teknologi informasi di luar wilayah Indonesia.

Melampirkan hasil pengujian penggunaan pengolahan transaksi berbasis teknologi informasi di luar wilayah Indonesia. Lampirkan hasil analisis pengendalian keamanan yang digunakan untuk menjamin terpenuhinya kerahasiaan, integritas dan ketersediaan dalam pelaksanaan pemrosesan transaksi berbasis Teknologi Informasi yang disampaikan kepada PPJ TI di luar wilayah Indonesia. Laporan realisasi pemrosesan transaksi berbasis teknologi informasi oleh penyedia layanan TI di luar wilayah Indonesia disampaikan kepada Otoritas Jasa Keuangan paling lambat 3 (tiga) bulan setelah pelaksanaan sebagaimana disyaratkan dalam POJK MRTI.

Referensi

Unduh sekarang ( PDF - 192 Halaman - 1.46 MB )

Garis besar

Kebijakan, Standar, dan Prosedur Pengembangan Kebijakan, Standar, dan Prosedur Pengadaan Kebijakan, Standar, dan Prosedur terkait Aktivitas Operasional TI Kebijakan terkait Rencana Pemulihan Bencana Pengendalian Risiko terkait Layanan Perbankan Elektronik Prosedur Penggunaan Penyedia Jasa TI Proses Manajemen Risiko Pengukuran dan Mitigasi Risiko

Dokumen terkait