Sistem Manajemen Keamanan Informasi

Sistem Manajemen Keamanan Informasi

Implementasi SMKI berbasis ISO 27001 dan UU No. 27/2022

Analisa Implementasi SMKI

Tahap 1

Persiapan Awal

Tahap 2

Analisis & Perencanaan

Tahap 3

Implementasi

Tahap 4

Pemantauan & Evaluasi

Tahap 5

Sertifikasi

Tahap 1: Persiapan Awal

1. Komitmen Manajemen

  • Dokumen yang Dibutuhkan:
    • Surat Keputusan Direksi tentang Pembentukan SMKI
    • Kebijakan Keamanan Informasi (mencakup komitmen terhadap UU No. 27/2022)
  • Tindakan:
    • Sosialisasi ke seluruh jajaran direksi dan manajemen tentang pentingnya SMKI
    • Alokasi anggaran khusus untuk proyek implementasi

2. Pembentukan Tim SMKI

  • Struktur Tim:
    • Penanggung Jawab: Direktur Utama atau CIO
    • Koordinator SMKI: Pejabat TI atau Manajer Risiko
    • Anggota: Perwakilan dari IT, Hukum, Compliance, Operasional, dan HR
  • Tugas Tim:
    • Menyusun rencana proyek, termasuk timeline dan tanggung jawab

Tahap 2: Analisis dan Perencanaan

3. Penentuan Ruang Lingkup

  • Cakupan:
    • Sistem TI (core banking, mobile banking, database pelanggan)
    • Proses bisnis (KYC, transaksi, pelaporan ke OJK)
    • Lokasi (kantor pusat, cabang, data center)
  • Dokumen:
    • Dokumen Ruang Lingkup SMKI yang disetujui manajemen

4. Gap Analysis

  • Tools:
    • Checklist SNI ISO/IEC 27001:2013 + Annex A (114 kontrol)
    • Matriks kepatuhan UU No. 27/2022 (khusus perlindungan data pribadi)
  • Output:
    • Daftar ketidaksesuaian dan rekomendasi perbaikan

5. Risk Assessment

  • Metodologi:
    • ISO/IEC 27005 atau NIST SP 800-30
    • Fokus pada ancaman siber (phishing, ransomware, kebocoran data)
  • Aset Kritis:
    • Data nasabah (nama, rekening, KTP)
    • Sistem pembayaran dan transaksi
  • Output:
    • Risk Register dengan skor risiko dan rencana mitigasi

Tahap 3: Implementasi

6. Penyusunan Dokumen SMKI

  • Dokumen Wajib:
    • Kebijakan Keamanan Informasi
    • Statement of Applicability (SoA) – Daftar kontrol yang diterapkan (contoh: A.9.4 untuk akses fisik, A.12.6 untuk manajemen kerentanan)
    • Prosedur Tanggap Darurat Insiden Siber (sesuai UU No. 27/2022 Pasal 15 tentang pelaporan insiden)
    • SOP Pengelolaan Data Pribadi (memenuhi Pasal 20-22 UU No. 27/2022)
  • Template:
    • Gunakan struktur dokumentasi ISO 27001 (kebijakan, prosedur, rekaman)

7. Implementasi Kontrol Keamanan

  • Prioritas Kontrol untuk Sektor Keuangan:
    • A.5 (Kebijakan Keamanan): Pelatihan kesadaran karyawan
    • A.9 (Kontrol Akses): Multi-factor authentication (MFA) untuk sistem kritis
    • A.12 (Keamanan Operasional): Pemantauan log aktivitas 24/7
    • A.13 (Keamanan Jaringan): Enkripsi data dalam transit (TLS 1.2+)
    • A.18 (Kepatuhan): Audit internal tahunan + laporan ke OJK

8. Pelatihan dan Sosialisasi

  • Materi Pelatihan:
    • Awareness keamanan informasi (simulasi phishing)
    • Penanganan data pribadi sesuai UU No. 27/2022
  • Peserta:
    • Seluruh karyawan, khususnya frontliner (customer service, teller)

Tahap 4: Pemantauan dan Evaluasi

9. Audit Internal

  • Frekuensi: 6 bulan sekali
  • Fokus:
    • Kepatuhan terhadap kontrol ISO 27001 dan UU No. 27/2022
    • Efektivitas enkripsi data dan manajemen akses

10. Tinjauan Manajemen

  • Agenda:
    • Hasil audit internal
    • Update ancaman siber terbaru
    • Laporan insiden keamanan (jika ada)

Tahap 5: Sertifikasi

11. Pemilihan Lembaga Sertifikasi

  • Rekomendasi:
    • TÜV Rheinland, BSI, atau SGS yang terakreditasi KAN
  • Proses:
    • Audit tahap 1 (review dokumen)
    • Audit tahap 2 (verifikasi implementasi)

12. Pemeliharaan SMKI

  • Tindakan Berkelanjutan:
    • Update kebijakan sesuai perubahan regulasi (misalnya aturan OJK terbaru)
    • Pelatihan rutin untuk karyawan baru

Undang-Undang Terkait SMKI

A. UU yang Berkaitan dengan SMKI (Keamanan Informasi)

UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)

  • Pasal 30-37: Mengatur kejahatan siber (seperti peretasan, penyadapan, dan gangguan sistem elektronik)
  • Pasal 40: Kewajiban penyelenggara sistem elektronik (termasuk perusahaan) untuk menjaga kerahasiaan, integritas, dan ketersediaan data

UU No. 19 Tahun 2016 tentang Perubahan UU ITE

  • Memperkuat sanksi untuk pelanggaran keamanan informasi dan perlindungan data

UU No. 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan (P2SK)

  • Mengatur kewajiban lembaga keuangan untuk menerapkan manajemen risiko TI, termasuk SMKI

B. UU yang Mewajibkan Perlindungan Data Pengguna

UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP)

  • Pasal 20-22: Kewajiban perusahaan untuk melindungi data pribadi (seperti data nasabah, karyawan, atau pelanggan)
  • Pasal 15: Pelaporan insiden kebocoran data maksimal 3×24 jam
  • Pasal 53: Sanksi administratif dan pidana untuk pelanggaran

Peraturan OJK No. 38/POJK.03/2016 tentang Penerapan Manajemen Risiko TI bagi Bank

  • Wajib menerapkan SMKI berbasis ISO 27001 untuk bank

Peraturan Bank Indonesia No. 22/23/PBI/2020 tentang Penyelenggaraan Teknologi Finansial

  • Kewajiban perlindungan data dan keamanan sistem bagi fintech

UU No. 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang

  • Memuat kewajiban kerahasiaan data transaksi keuangan

C. Regulasi Pendukung Lainnya

Peraturan Menteri Kominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi (Sebelum UU PDP berlaku)

ISO 27001:2013 (Standar internasional yang diadopsi dalam SNI ISO/IEC 27001:2013)

Poin Kritis untuk Perusahaan Jasa Keuangan:

  • UU PDP (No. 27/2022) adalah yang paling krusial, dengan sanksi berat untuk kebocoran data
  • Sektor keuangan wajib mematuhi aturan OJK dan BI terkait SMKI
  • SMKI berbasis ISO 27001 membantu memenuhi compliance terhadap UU ITE, UU PDP, dan regulasi sektoral

ARTIKEL TERKAITDARI PENULIS

TINGGALKAN KOMENTAR

Silakan masukkan komentar anda!
Silakan masukkan nama Anda di sini