Rincian Rencana Pengendalian
Annex Kontrol Terkait Kebutuhan Dokumen Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Teknologi Penunjang Waktu
A.11.2.4 Prosedur instalasi software Bidang
Pengelolaan
Teknologi
Informasi
A.11.2.4 Prosedur instalasi software SO
A.9.1.1, A.9.2.3, A.9.2.2 Prosedur pengendalian hak Penataan Bidang
akses admin lokal Pengelolaan
PC / Teknologi
Notebook Informasi
Rincian Rencana Pengendalian
Annex Kontrol Terkait Kebutuhan Dokumen Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
A.15.2.1, A.12.4.1 Teknologi Penunjang Waktu
- analisa log Bidang Minggu
firewall
- Penetration Pengelolaan I
Test
- Monitoring Teknologi Oktobe
Jaringan
server secara Informasi r 2017
periodik
A.12.5.1, A.9.4.5, A.18.1.2 Prosedur pengelolaan aset TI Bidang
Pengelolaan
Teknologi
Informasi
A.12.6.1 Pengelolaan Bidang
instalasi patch Pengelolaan
pada server Teknologi
Informasi
A.11.2.4 Prosedur Pengelolaan Aset TI - update SO
antivirus
secara
periodik
- scanning
antivirus
A.12.3.1 Prosedur backup dan restore Bidang
data center Pengelolaan
Teknologi
Informasi
Rincian Rencana Pengendalian
Annex Kontrol Terkait Kebutuhan Dokumen Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Teknologi Penunjang Waktu
Kasubbid. Pengelolaan Aplikasi dan Database
(…………………………………..…..........)
RISK REGISTER ASET APLIKASI
(No. Rekaman: RSK/SMKI-PUSDATIN/03) Versi: 3
Klasifikasi Rekaman: Rahasia
PUSAT DATA DAN INFORMASI KEMENKES RI
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko Rencana Kontrol tambahan
Klasifikasi Dampak Kecend Risiko Dampak Kecende Akhir
erungan Dasar rungan
APP-01 All Aplikasi Aplikasi Penyalahgunaan aplikasi oleh Belum ada aturan mengenai Informasi sensitif/rahasia C, I, A - Penyesuaian terhadap 2 2 Rendah Accept
personil yang telah keluar pengembalian aset informasi diketahui oleh pihak yang tidak hak akses aplikasi yang 4 1 Rendah Accept
dan penyesuaian hak akses berwenang digunakan
saat ada personil yang keluar, - Mendokumentasikan
pensiun, atau pindah dari serah terima aset dan hak
Pusdatin akses saat personil sudah
tidak berada di unit terkait
Bidang Informasi sensitif/rahasia - Monitoring jaringan
diketahui oleh pihak yang tidak server secara periodik
APP-02 Pengelolaan Aplikasi Aplikasi Aplikasi diakses oleh pihak Belum ada aturan mengenai berwenang C, I, A - Jaringan wifi
Teknologi tidak berwenang pengendalian akses jaringan menggunakan user dan
password
Informasi - Melakukan disable pada
jaringan publik
- Menggunakan
autentifikasi dari
pengguna jaringan
Bidang Belum ada aturan mengenai Informasi sensitif/rahasia - Penerapan password
penggunaan password diketahui oleh pihak yang tidak sesuai dengan standart
APP-03 Pengelolaan Aplikasi Aplikasi Aplikasi terkena serangan (password berkualitas dan berwenang C, I, A yang berlaku 2 2 Rendah Accept
Teknologi hacker pengelolaan password ) - Pengaktifan screen saver
lock selama 5 menit
Informasi - Perubahan password jika
diketahui oleh pihak lain
- Informasi sensitif diketahui - Instalasi software sesuai
dengan ketentuan yang
oleh pihak yang tidak berlaku
- Instalasi software
APP-04 All Aplikasi Aplikasi Aplikasi digunakan oleh pihak Belum ada kebijakan berwenang C, I, A dilakukan oleh 3 1 Rendah Accept
yang tidak berwenang pengendalian akses yang resmi - Hacker dapat mengambil alih administrator
sistem dengan cara membuat - Pencabutan hak akses
administrator PC yang
user baru dengan privilage digunakan user
administrator
Bidang Belum ada ketentuan - Pekerjaan divisi IT terkait - Penyimpanan souce code - Memberikan password
mengenai pengelolaan source aplikasi terhambat di harddisk eksternal pada informasi kritikal
APP-05 Pengelolaan Aplikasi Aplikasi Source Code aplikasi digunakan code aplikasi (pengembangan dan C, I, A - Source code untuk 3 2 Sedang Accept 3 1 Rendah - Mendokumentasikan
Teknologi oleh pihak tidak berwenang pemeliharaan program) aplikasi tersimpan di pendistribusian seluruh
- Hacker dapat mengambil alih server develop. informasi kritikal
Informasi sistem dengan cara membuat - Penyimpanan souce code
user baru dengan privilage di server development
administrator - Pelaksanaan versioning
- Informasi sensitif/rahasia source code
diketahui oleh pihak yang tidak - Source code open source
berwenang yang disimpan di dropbox
untuk beberapa PC (>10).
Bidang Belum ada standar enkripsi Informasi sensitif/rahasia Melakukan proses key
untuk diterapkan pada aplikasi diketahui oleh pihak yang tidak management & enkripsi
APP-07 Pengelolaan Aplikasi Aplikasi Aplikasi diakses oleh pihak yang mengolah data sensitif berwenang C, I, A sesuai dengan ketentuan 2 2 Rendah Accept
Teknologi tidak berwenang (hacker) yang berlaku
Informasi
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
No Lingkup Jenis Ancaman Kerawanan Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko Rencana Kontrol tambahan
Klasifikasi Dampak Kecend Risiko Dampak Kecende Akhir
Aplikasi diakses pihak tidak erungan Dasar rungan
berwenang (hacker)
-Informasi sensitif/rahasia
diketahui oleh pihak yang tidak
berwenang
Bidang - Pekerjaan divisi IT terkait - Pelaksanaan penetration
test terhadap jaringan
APP-09 Pengelolaan Aplikasi Aplikasi Belum pernah dilakukan aplikasi terhambat C, I, A - Mendokumentasikan 3 1 Rendah Accept
Teknologi penetration test untuk jaringan (pengembangan dan pelaksanaan penetration
pemeliharaan program) test
Informasi
- Hacker dapat mengambil alih
sistem dengan cara membuat
user baru dengan privilage
administrator
Bidang Belum pernah dilakukan Informasi sensitif/rahasia - Mendokumentasikan
APP-11 Pengelolaan Aplikasi Aplikasi Aplikasi diakses oleh pihak review menyeluruh atas akses diketahui oleh pihak yang tidak C, I, A - Review log monitoring 3 2 Sedang Control 3 1 Rendah proses review log
Teknologi yang tidak berwenang user aplikasi Accept monitoring user server dan
yang dikelola Pusdatin berwenang Control
Informasi aplikasi
- Pekerjaan divisi IT terkait
aplikasi terhambat
Bidang Segmentasi jaringan belum (pengembangan dan
spesifik berdasarkan fungsi dan pemeliharaan program)
APP-12 Pengelolaan Aplikasi Aplikasi Aplikasi dihack melalui jaringan proses bisnis - Hacker dapat mengambil alih C, I, A - Segmentasi jaringan 3 1 Rendah
Teknologi internal sistem dengan cara membuat berdasarkan ruangan kerja 3 2 Sedang
1 Rendah
Informasi
1 Rendah
user baru dengan privilage 1 Rendah
2 Sedang
administrator
Bidang Source code aplikasi tidak Terdapat pengembangan dan Informasi sensitif/rahasia - Penyimpanan souce code - Memberikan password
dapat dikendalikan pengujian di PC/Notebook diketahui oleh pihak yang tidak di server development pada informasi kritikal
APP-13 Pengembang Aplikasi Aplikasi penyebarannya pengembang berwenang C, I, A - Pelaksanaan versioning 3 1 Rendah - Mendokumentasikan
an Sistem source code pendistribusian seluruh
informasi kritikal
Informasi
- Pekerjaan divisi IT terkait - Monitoring terhadap
kapasitas storage server
aplikasi terhambat menggunakan aplikasi
Solar Win (hanya untuk
Bidang Aplikasi diakses / dimodifikasi Belum ada aturan mengenai (pengembangan dan beberapa server)
pihak tidak berwenang penggunaan resource bersama pemeliharaan program) - Membuat pernyataan
APP-14 Pengelolaan Aplikasi Aplikasi (hacker) antar aplikasi - Hacker dapat mengambil alih C, I, A mengenai kritikalitas 4 Accept
Teknologi sistem dengan cara membuat server yang dipantau
- Mengupdate nota dinas 3
Informasi terkait dengan kritikalitas 3
server yang harus 3
user baru dengan privilage dipantau
administrator
Bidang Pekerjaan divisi IT terkait - Permintaan untuk
aplikasi terhambat hosting atau co-location
APP-15 Pengelolaan Aplikasi Aplikasi Aplikasi terganggu karena Belum ada aturan mengenai (pengembangan dan C, I, A menggunakan Form Accept
Teknologi pemeliharaan program) C, I, A Pengejuan Hosting dan
dimodifikasi tanpa persetujuan perubahan sistem Form Co-location Accept
- Perubahan dengan Control
Informasi mengajukan RFC dan ada
yang di email
Bidang Aplikasi yang dikembangkan Belum ada aturan mengenai - Mengumpulkan
dokumentasi terkait
APP-16 Pengelolaan Aplikasi Aplikasi tidak sesuai dengan kebutuhan review SLA dan keamanan Fungsi aplikasi tidak optimal proses migrasi aplikasi
Teknologi Aplikasi kritikal dari data center ke
Pusdatin informasi vendor DRC
Informasi - Melakukan pemantauan
- Pekerjaan divisi IT terkait layanan Pihak Ketiga
aplikasi terhambat - Melakukan review
(pengembangan dan terhadap SLA pihak ketiga
pemeliharaan program)
Bidang Belum ada aturan resmi - Hacker dapat mengambil alih Menetapkan pegawai
mengenai penggunaan mobile sistem dengan cara membuat C, I, A yang diperbolehkan untuk
APP-17 Pengelolaan Aplikasi Aplikasi dimodifikasi oleh pihak computing dan teleworking user baru dengan privilage 3 1 Rendah - Mendokumentasi
Teknologi tidak berwenang (hacker) administrator melakukan teleworking penggunaan remote access
Informasi
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko Rencana Kontrol tambahan
Klasifikasi Fungsi aplikasi tidak optimal Dampak Kecend Risiko Accept Dampak Kecende Akhir
erungan Dasar rungan
Bidang Belum ada aturan terkait - Dokumentasi
dokumentasi perubahan pengembangan aplikasi
APP-18 Pengembang Aplikasi Aplikasi Ketidaklengkapan dokumentasi aplikasi C, I, A dan persetujuaanya 3 1 Rendah
an Sistem Aplikasi aplikasi disimpan di Bidang
Aplikasi Pengembangan Sistem
Informasi Informasi
Bidang
Pengelolaan
Teknologi Belum ada aturan terkait Pekerjaan divisi IT terkait
dokumentasi perubahan aplikasi terhambat
APP-19 Informasi dan Aplikasi Perbaikan / pengembangan aplikasi (pengembangan dan A - Pengajuan perubahan 3 1 Rendah Accept
Bidang aplikasi terhambat pemeliharaan program) aplikasi berdasarkan TOR
Pengembang
an Sistem
Informasi
Bidang Aplikasi yang dikembangkan Belum ada prosedur rinci - Melakukan
pengembangan aplikasi
APP-21 Pengembang Aplikasi tidak sesuai dengan kebutuhan mengenai pengembangan Fungsi aplikasi tidak optimal C, I, A sesuai dengan ketentuan 3 1 Rendah Accept
an Sistem yang berlaku 3 1 Rendah Accept
pengguna sistem (SDLC) - Melengkapi dokumentasi 3 1 Rendah
Informasi pengembangan aplikasi
4 1 Rendah
Bidang Fitur keamanan aplikasi tidak Belum ada prosedur rinci - Melakukan 3 2 Sedang
sesuai dengan standar mengenai pengembangan pengembangan aplikasi 3 1 Rendah
APP-20 Pengembang Aplikasi Aplikasi kebutuhan yang ditetapkan sistem (SDLC) Fungsi aplikasi tidak optimal C, I, A sesuai dengan ketentuan 3 2 Sedang
an Sistem yang berlaku
- Melengkapi dokumentasi
Informasi pengembangan aplikasi
Bidang - Pelaporan insiden ke
trouble ticket
Pengelolaan - Mendokumentasikan
perbaikan aplikasi
Teknologi Kesalahan perbaikan aplikasi Belum lengkapnya kolom - Memastikan setiap
karena prosedur kerja tidak dokumentasi pada prosedur insiden terkait dengan IT
APP-22 Informasi dan Aplikasi Aplikasi update kerja Pusdatin Fungsi aplikasi tidak optimal C, I, A dilaporkan dan Accept
Bidang didokumentasikan ke
dalam form insiden
Pengembang
an Sistem
Informasi
- Monitoring terhadap
kapasitas storage server
menggunakan aplikasi
Solar Win (hanya untuk
Bidang Aplikasi tidak berfungsi optimal Pekerjaan divisi IT terkait beberapa server)
karena kurangnya kapasitas aplikasi terhambat
APP-23 Pengelolaan Aplikasi Aplikasi storage Belum dilakukan analisa trend (pengembangan dan A - Membuat pernyataan Accept
Teknologi pertumbuhan kapasitas pemeliharaan program) mengenai kritikalitas
Control
Informasi server yang dipantau Control
Accept
- Mengupdate nota dinas
terkait dengan kritikalitas
server yang harus
dipantau
Bidang Pekerjaan divisi IT terkait - Memastikan seluruh aset
APP-24 Pengelolaan Aplikasi Aplikasi Penanganan masalah sistem Aset Informasi Pusdatin belum aplikasi terhambat C, I, A - Meregistrasi seluruh 2 1 Rendah register telah diupdate
Teknologi terhambat aplikasi yang digunakan sesuai dengan kondisi
diinventarisir (pengembangan dan
Informasi pemeliharaan program) terkini
Bidang Pekerjaan divisi IT terkait - Permintaan untuk
hosting atau co-location
APP-25 Pengelolaan Aplikasi Aplikasi Penanganan masalah sistem Aset Informasi Pusdatin belum aplikasi terhambat C, I, A menggunakan Form
Teknologi Hosting terhambat A Pengejuan Hosting dan
diinventarisir (pengembangan dan Form Co-location
- Perubahan dengan
Informasi pemeliharaan program) mengajukan RFC dan ada
yang di email
APP-26 All Aplikasi Aplikasi Belum ada aturan dan kriteria Pekerjaan Bidang Pengelolaan 3 1 Rendah - Mendokumentasikan BIA
Aplikasi yang kritikal tidak bisa penentuan informasi dan TI terkait aplikasi terhambat - Backup aplilkasi kritikal
dipulihkan saat terjadi masalah aplikasi yang kritikal dan perlu (pengembangan dan - Melakukan backup
pemeliharaan program) aplikasi kritikal setiap
dibackup periodic
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko Rencana Kontrol tambahan
Klasifikasi Dampak Kecend Risiko Accept Dampak Kecende Akhir
erungan Dasar rungan
- Perubahan konfigurasi
menggunakan Form izin
Bidang Aplikasi tidak dapat diakses Belum ada aturan mengenai Pekerjaan divisi IT terkait khusus
karena instalasi software yang perubahan pada hardware dan aplikasi terhambat
APP-27 Pengelolaan Aplikasi Aplikasi tidak compatible software PC/Notebook (pengembangan dan A - Perubahan hardware 3 1 Rendah
Teknologi pemeliharaan program) dilakukan oleh Bidang
Informasi Pengelolaan TI
- Pencabutan hak akses
admin lokal pada PC User
Bidang Belum ada aturan yang Pekerjaan divisi IT terkait - Permintaan dokumentasi
melindungi materi - materi aplikasi terhambat
Pengelolaan aplikasi gagal berfungsi karena yang mengandung hak (pengembangan dan Lisensi dari Vendor
Teknologi lisensi aplikasi/software kekayaan intelektual (HAKI) pemeliharaan program)
APP-28 Aplikasi Aplikasi pendukungnya habis A - Melakukan instalasi 2 2 Rendah Accept
Accept
Informasi software sesuai dengan Accept
Control
ketentuan yang berlaku Control
Belum ada ketentuan Pekerjaan divisi IT terkait - Backup aplilkasi kritikal
A - Melakukan proses uji
APP-29 All Aplikasi Aplikasi Aplikasi tidak dapat digunakan mengenai metode pelaksanaan aplikasi terhambat 3 1 Rendah
coba backup data 3 1 Rendah
karena kegagalan restore backup dan uji restore hasil (pengembangan dan
- Backup untuk aplikasi
backup pemeliharaan program) kritikal
A - Merencanakan dan
Bidang Aplikasi yang dikelola tidak Belum memiliki Business Pekerjaan divisi IT terkait melaksanakan pengujian
dapat diakses saat terjadi Continuity Plan atau Disaster aplikasi terhambat BCM
APP-31 Pengelolaan Aplikasi Aplikasi gangguan atau bencana Recovery Plan (pengembangan dan
Teknologi pemeliharaan program)
Informasi
APP-32 All Aplikasi Aplikasi Aplikasi yang dibackup tidak Belum adanya Kapasitas penyimpanan C, I, A Belum ada kontrol 3 2 Sedang Membuat standard dan
sesuai dengan standard/kriteria aplikasi yang terbuang untuk aplikasi yang 3 2 Sedang kriteria aplikasi kritikal yang
fungsi/kritikalitas aplikasi dapat dibackup atau tidak. tidak terlalu kritkal
tersebut dapat dibackup
Aplikasi yang digunakan oleh Kegiatan operasional sangat
APP-33 Subbag PE Aplikasi Aplikasi Aplikasi tidak dapat digunakan subbag PE terdeteksi sebagai terganggu Melakukan exception 2 1 Rendah
virus di komputer, sehingga C, I, A pada aplikasi antivirus
aplikasi terhapus
terhadap aplikasi tersebut
Control 7
Accept 22
Rendah 22 Rendah 6
Sedang 7 Sedang 1
Tinggi 0 Tinggi 0
Menyetujui Risk Owner
Security Officer (SO) Kasubbid. Pengelol
Bidang Pengembangan Sistem Informasi Bidang Pengelolaan Teknologi Informasi Bidang Pengelolaan Data dan Informasi Bagian Tata Usaha
(…………………….…………………) (………………………………..………………)
(……………………………………….……) (……………………………………………) (…………………
ER ASET APLIKASI
MKI-PUSDATIN/03) Versi: 3
Rekaman: Rahasia
NFORMASI KEMENKES RI
Rincian Rencana Pengendalian Risk Target Progres Status
Annex Kontrol Terkait Owner Waktu
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang PIC
A.9.1.1, A.9.2.1, Prosedur Pengelolaan Subbag
Hak Akses Kepum
A.12.1.3, A.12.4.1 Prosedur pengelolaan Bidang
jaringan Pengelola
an
A.9.1.1, A.9.2.1, Prosedur Pengelolaan Teknologi
Hak Akses Informasi
A.9.1, A.9.2 - Prosedur Bidang
Pengelolaan Hak Pengelola
Akses an
- Access Control Teknologi
Matrix Informasi
SO
A.9.4.5 - Prosedur Bidang
pengelolaan Source Pengelola
code an
Teknologi
Informasi
A.12.3.1, A.10.1.2 - Prosedur key Bidang Minggu I
management & Pengelola Oktober
enkripsi an 2017
Teknologi
Informasi
Rincian Rencana Pengendalian Risk Target Progres Status
Annex Kontrol Terkait Owner Waktu
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang PIC
A.15.2.1, A.15.2.1, - analisa log firewall Bidang Minggu I
A.12.4.1 - Penetration Test Pengelola Oktober
- Monitoring Jaringan an 2017
server secara periodik Teknologi
Informasi
A.9.1.1, A.9.2.1, - Prosedur Bidang Minggu I
pengelolaan hak akses Pengelola Oktober
- Pelaksanaan review an 2017
terhadap hak akses Teknologi
user Informasi
A.12.1.3, A.12.4.1 - Prosedur Bidang
pengelolaan jaringan Pengelola
an
Teknologi
Informasi
Bidang
- Prosedur Pengemba Minggu I
pengelolaan Source
A.9.4.5 code ngan Oktober
Sistem 2017
Informasi
A.12.1.3, A.12.4.1 Dokumentasi analisa Bidang
kapasitas Pengelola
an
Teknologi
Informasi
A.12.1.2, A.12.4.1 Prosedur manajemen Bidang
perubahan Pengelola
an
Teknologi
Informasi
A.15.2.1, A.15.2.1, Prosedur Review layanan Pihak Bidang
A.12.4.1 Pengamanan Pihak Ketiga Pengemba
Ketiga ngan
Sistem
A.9.1.2, A.9.4.2, Daftar pegawai yang Bidang Minggu I
A.6.2.2 diperbolehkan untuk Pengelola Oktober
melakukan an 2017
teleworking Teknologi
Informasi
Rincian Rencana Pengendalian Risk Target Progres Status
Annex Kontrol Terkait Owner Waktu
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang PIC
A.12.1.1, A.12.1.2, Prosedur Bidang
A.6.1.2, A.12.1.4 pengembangan Pengemba
aplikasi ngan
Sistem
Informasi
A.12.1.1, A.12.1.2, Prosedur Bidang
A.6.1.2, A.12.1.4 pengembangan Pengelola
aplikasi an
Teknologi
Informasi
A.12.1.1, A.12.1.2, - Prosedur Bidang
A.6.1.2, A.12.1.4 Pengembangan Pengemba
aplikasi ngan
Sistem
A.14.1.1, A.14 - Prosedur Informasi
Pengembangan
aplikasi Bidang
Pengemba
ngan
Sistem
Informasi
A.12.1.1, A.12.1.2, - Prosedur Bidang
A.6.1.2, A.12.1.4 Pengembangan Pengelola
aplikasi an
Teknologi
Informasi
A.12.1.3, A.12.4.1 - Dokumentasi analisa Bidang
kapasitas Pengelola
an
Teknologi
Informasi
A.8.2.1, A.8.2.2, - Register aset Bidang Minggu I
A.11.1.4, A.11.2.7, pusdatin Pengelola Oktober
A.12.1.1, A.8.3.2, - Prosedur an 2017
A.8.2.3 penanganan dokumen Teknologi
Informasi
A.8.2.1, A.8.2.2, - Register aset Bidang
A.11.1.4, A.11.2.7, pusdatin Pengelola
A.12.1.1, A.8.3.2, - Prosedur an
A.8.2.3 penanganan dokumen Teknologi
Informasi
A.8.1.1, A.8.1.2, Register aset pusdatin SO done
A.8.1.3, A.8.2.1
Rincian Rencana Pengendalian Risk Target Progres Status
Annex Kontrol Terkait Owner Waktu
done
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang PIC done
A.11.2.4 Prosedur instalasi Bidang
software Pengelola
an
Teknologi
Informasi
A.18.1.2 - Dokumentasi Lisensi Bidang
A.12.3.1 dari Vendor Pengelola
- Prosedur instalasi an
software Teknologi
Informasi
- Prosedur backup dan
restore data center SO
A.11.1.4, A.17.1.2, - Prosedur BCM Bidang Minggu IV
A.17.1.1, A.17.1.4 - Dokumen BIA Pengelola April 2017
an
Teknologi
Informasi
A.12.1.1, A.12.3.1. Subbid Desember
Infrastrukt 2017
ur TI
A.12.2.1 Subbag PE Sep-17
Kasubbid. Pengelolaan Aplikasi dan Database Kasubbag. Kepegawaian dan
Umum
(…………………………………..…..........) (………………………..…..........)
RISK REGISTER ASET INFORMASI
(No. Rekaman: RSK/SMKI-PUSDATIN/03) Versi: 3
Klasifikasi Rekaman: Rahasia
PUSAT DATA DAN INFORMASI KEMENKES RI
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko
Klasifikasi Ini Dampa Kecend Risiko Dampa Kecend Akhir
Informasi digunakan oleh erunga Dasar erunga
pihak yang tidak berwenang k k
yang dapat merugikan n n
perusahaan
INF-01 All Informasi Informasi Informasi yang bersifat Aset Informasi Pusdatin C, I, A - Menginventaris 3 1 Rendah Accept
rahasia tidak disimpan dengan belum diinventarisir register aset pusdatin
aman - Melakukan pelabelan
terhadap informasi
- Penyimpanan
informasi di tempat
terkunci
INF-03 All Informasi Informasi Distribusi atau Peminjaman Belum ada aturan mengenai Informasi digunakan oleh C, I, A - Menangani informasi 3 1 Rendah Accept
informasi rahasia tanpa klasifikasi dan pelabelan pihak yang tidak berwenang sesuai ketentuan yang
otorisasi pemilik informasi informasi yang dapat merugikan berlaku
perusahaan - Pendistribusian
informasi (Buku)
dicatat dalam Aplikasi
persediaan Barang
- Menangani informasi
Pemusnahan informasi yang Kurang tersedianya fasilitas Informasi digunakan oleh sesuai ketentuan yang
rahasia tidak sempurna yang digunakan untuk dapat pihak yang tidak berwenang
INF-04 All Informasi Informasi (masih dapat dibaca) memusnahkan informasi yang dapat merugikan C berlaku 3 1 Rendah Accept
INF-05 All Informasi Informasi perusahaan - Penghancuran 1 Rendah Accept
INF-06 All Informasi Informasi 2 Sedang Control
informasi kritikal yang
sudah tidak digunakan
Informasi diakses pihak tidak Belum tersedianya fasilitas Informasi digunakan oleh C, I, A - Screen saver lock 5 2
berwenang saat personil tidak yang aman untuk menyimpan pihak yang tidak berwenang menit
ada informasi yang dapat merugikan - Penyimpanan
perusahaan informasi kritikal di laci
terkunci
- Awareness
berbentuk poster dan
kalender
- Checklist
pemantauan
implementasi SMKI
- Memastikan clear
desk dan clear screen
berjalan efektif
Informasi diketahui pihak Belum ada aturan mengenai Informasi digunakan oleh C, I, A - Pendaftaran aset 3 31 Rendah
tidak berwenang penggunaan aset pribadi pihak yang tidak berwenang pribadi ke SO masing-
yang dapat merugikan masing bidang/bagian
perusahaan (Notebook, USB HDD
Ex)
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko
Klasifikasi C, I, A Ini Dampa Kecend Risiko Accept Dampa Kecend Akhir
erunga Dasar Accept erunga
k Accept k
n n
Accept
- Mengelola aset TI Accept
sesuai dengan
ketentuan yang
Informasi digunakan oleh berlaku
pihak yang tidak berwenang
Informasi disimpan di tempat Belum ada aturan mengenai yang dapat merugikan - Penyimpanan
yang tidak aman penanganan informasi sesuai perusahaan
INF-07 All Informasi Informasi klasifikasi kerahasiaannya removable media di 3 1 Rendah
tempat yang aman
- Memberikan
sosialisasi tentang
keamanan informasi
aset pusdatin
INF-09 All Informasi Informasi Informasi yang dikirimkan Belum ada aturan mengenai Informasi digunakan oleh - Menangani informasi 1 Rendah
lewat email dibaca oleh pihak pengamanan dalam pihak yang tidak berwenang sesuai ketentuan yang
tidak berwenang (sniffer) penggunaan e-mail yang dapat merugikan berlaku
perusahaan C - Pengiriman informasi 2
kritikal by email
menggunakan
password
- Mengelola aset
teknologi informasi
sesuai dengan
ketentuan yang
Kebocoran informasi rahasia Belum ada aturan mengenai Informasi digunakan oleh berlaku
yang tersimpan pada aset pengamanan informasi pada pihak yang tidak berwenang
INF-10 All Informasi Informasi PC/Notebook dan media yang aset yang dibuang atau yang dapat merugikan C, A - Informasi yang 3 1 Rendah
dibuang atau dimusnahkan dihapus perusahaan tersimpan didalam
perangkat di format
oleh Bagian TU
- Merencanakan untuk
pengadaan mesin
shredder
Belum ada kebijakan - Penerapan password
sesuai dengan
INF-11 All Informasi Informasi Informasi diakses oleh pihak pengendalian akses yang Informasi digunakan oleh C, I, A standart yang berlaku 3 1 Rendah
tidak berwenang resmi, serta belum ada aturan pihak yang tidak berwenang - Pengaktifan screen
mengenai penggunaan yang dapat merugikan saver lock selama 5
password (password perusahaan menit
berkualitas dan pengelolaan - Perubahan password
jika diketahui oleh
password ) pihak lain
- Merencanakan untuk
pengadaan cable lock
Informasi digunakan oleh - Menginventaris
Removable media
INF-13 All Informasi Informasi Informasi dicuri menggunakan Belum ada aturan mengenai pihak yang tidak berwenang C, I, A - Penggunaan 3 1 Rendah
password di USB
removable media penggunaan removable media yang dapat merugikan - Memberikan
sosialisasi tentang
perusahaan keamanan informasi
aset pusdatin
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko
Klasifikasi Ini Dampa Kecend Risiko Accept Dampa Kecend Akhir
erunga Dasar erunga
k k
n n
Bidang Admin database mengetahui Belum ada standar enkripsi Informasi digunakan oleh - Pengiriman password
Pengelol password user yang disimpan langsung diberikan
INF-14 aan Informasi dalam aplikasi untuk diterapkan pada pihak yang tidak berwenang C, I, A kepada Kepala Dinas 2 2 Rendah
Teknolog Informasi Kesehatan
i aplikasi yang mengolah data yang dapat merugikan - Pengiriman password
Informas dilakukan melalui
i sensitif perusahaan amplop terpisah dan
tertutup
- Memberikan label
rahasia
- Mendokumentasikan
pendistribusian
informasi
Belum ada aturan mengenai Informasi digunakan oleh - Memastikan alamat
tata cara pertukaran informasi pihak yang tidak berwenang
INF-15 All Informasi Informasi Informasi yang rahasia bocor dengan pihak lain yang dapat merugikan C yang dituju sesuai 2 2 Rendah Accept
dalam proses pengiriman perusahaan - Konfirmasi via
telepone
- Memastikan
informasi yang
didistribusikan
terdokumentasi
INF-17 Bidang Informasi Informasi yang ditransmisikan Belum ada standar enkripsi Informasi digunakan oleh C, I, A Melakukan proses key 2 2 Rendah Accept
Pengelol diakses pihak tidak untuk diterapkan pada pihak yang tidak berwenang management & 2 Rendah Accept
aan berwenang (sniffer) aplikasi yang mengolah data yang dapat merugikan enkripsi sesuai dengan 2 Rendah Accept
Teknolog Informasi sensitif perusahaan ketentuan yang
i berlaku
Informas
i
Bidang - Melakukan
Pengembangan
Pengem Data pengujian yang bersifat Terdapat pengembangan dan Informasi digunakan oleh aplikasi sesuai dengan
rahasia bocor ke pihak ketiga pengujian di PC/Notebook pihak yang tidak berwenang ketentuan yang
INF-18 bangan Informasi Informasi selama proses pengembangan pengembang yang dapat merugikan C, I, A berlaku 2
Sistem dan pengujian perusahaan - Pengujian data tidak 2
menggunakan data
Informas rahasia (data dummy)
i
- Terinstalasi antivirus
INF-19 All Informasi Informasi Informasi rusak terinfeksi Informasi tidak tersedia ketika A pada perangkat PC
virus yang menyebar lewat dibutuhkan, menghambat - Scanning antivirus
removable media Belum ada aturan mengenai proses operasional serta secara periodic
penggunaan removable media dapat berdampak negatif - Update antivirus
terhadap kelangsungan bisnis dilakukan secara
organisasi otomatis
- Update lisensi untuk
antivirus
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko
Klasifikasi Ini Dampa Kecend Risiko Accept Dampa Kecend Akhir
erunga Dasar Accept erunga
k Accept k
n Control n
Accept
- Memberikan label Accept
rahasia
- Mendokumentasikan
pendistribusian
Informasi digunakan oleh informasi
pihak yang tidak berwenang
Kesalahan pengiriman Belum ada aturan mengenai yang dapat merugikan - Memastikan alamat
informasi tata cara pertukaran informasi perusahaan
INF-20 All Informasi Informasi dengan pihak lain C yang dituju sesuai 2 2 Rendah
- Konfirmasi via
telepone
- Memastikan
informasi yang
didistribusikan
terdokumentasi
INF-21 All Informasi Informasi Informasi yang dibutuhkan Aset Informasi Pusdatin Informasi tidak tersedia ketika A - Menginventaris 3 1 Rendah
INF-22 All Informasi Informasi tidak bisa atau sulit belum diinventarisir dibutuhkan, menghambat register aset pusdatin 3 1 Rendah
INF-23 All Informasi Informasi ditemukan proses operasional serta - Melakukan pelabelan 3 2 Sedang
INF-24 All Informasi Informasi dapat berdampak negatif terhadap informasi 3 1 Rendah
INF-25 All Informasi Informasi terhadap kelangsungan bisnis 2 2 Rendah
organisasi
- Menginventaris
Removable media
- Penggunaan
Informasi tidak tersedia ketika password di USB
Data dan informasi yang Belum ada aturan dan kriteria dibutuhkan, menghambat - Menyimpan RM di
kritikal tidak bisa dipulihkan penentuan informasi dan proses operasional serta A tempat yang aman
saat terjadi gangguan atau aplikasi yang kritikal dan perlu dapat berdampak negatif saat tidak digunakan
bencana dibackup terhadap kelangsungan bisnis - Menentukan
organisasi informasi kritikal
backup informasi
kritikal milik pusdatin
ke DRC
Informasi hilang Belum ada aturan mengenai Informasi tidak tersedia ketika C, I, A - Pendaftaran aset 31 Rendah
penggunaan aset pribadi dibutuhkan, menghambat pribadi ke SO masing-
proses operasional serta masing bidang/bagian
dapat berdampak negatif (Notebook, USB HDD
terhadap kelangsungan bisnis Ex)
organisasi
- Menginventaris
Removable media
Informasi tidak tersedia ketika - Penggunaan
password di USB
Informasi dalam media Belum ada aturan mengenai dibutuhkan, menghambat A - Menyimpan RM di
backup tidak bisa dipulihkan pengamanan media fisik yang proses operasional serta tempat yang aman
jika terjadi gangguan atau menyimpan informasi dapat berdampak negatif saat tidak digunakan
bencana terhadap kelangsungan bisnis - Memberikan
sosialisasi tentang
organisasi
keamanan informasi
aset pusdatin
Belum ada aturan mengenai Informasi tidak tersedia ketika - USB, gadget & Laptop
dikembalikan ke
Informasi hilang karena pengembalian aset informasi dibutuhkan, menghambat Bagian TU
terbawa oleh personil yang didokumentasikan
keluar dan penyesuaian hak akses proses operasional serta C, I, A dalam Surat Penyataan
Pengembalian Barang
saat ada personil yang keluar, dapat berdampak negatif
pensiun, atau pindah dari terhadap kelangsungan bisnis
Pusdatin organisasi
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko
Klasifikasi Ini Dampa Kecend Risiko Dampa Kecend Akhir
Informasi hilang pada saat erunga Dasar Accept erunga
dikirimkan k k
n Accept n
Accept
- Memberikan label Accept
Accept
rahasia Accept
Accept
- Mendokumentasikan
Informasi tidak tersedia ketika pendistribusian
informasi
INF-26 All Informasi Informasi Belum ada aturan mengenai dibutuhkan, menghambat C, A - Memastikan alamat 2 2 Rendah
tata cara pertukaran informasi proses operasional serta yang dituju sesuai
dengan pihak lain dapat berdampak negatif - Konfirmasi via
terhadap kelangsungan bisnis telepone
- Memastikan
organisasi
informasi yang
didistribusikan
terdokumentasi
- Menangani informasi
sesuai ketentuan yang
Informasi yang hilang atau Belum ada ketentuan Informasi digunakan oleh berlaku
rusak tidak dapat dipulihkan mengenai metode pihak yang tidak berwenang
INF-27 All Informasi Informasi karena gagal restore pelaksanaan backup dan uji yang dapat merugikan A - Informasi yang 3 1 Rendah
restore hasil backup perusahaan tersimpan di PC 1 Rendah
1 Rendah
Backup setiap unit 1 Rendah
2 Rendah
selalu dipastikan 1 Rendah
terupdate
INF-28 All Informasi Informasi Informasi hilang karena Belum lengkapnya kolom Informasi digunakan oleh C, I, A - SOP aktivitas 3
kesalahan prosedur dokumentasi pada prosedur pihak yang tidak berwenang pekerjaan masing- 3
penanganan kerja Pusdatin yang dapat merugikan masing unit
perusahaan - Roadmap 2
pelaksanaan pekerjaan 2
2
- Melakukan BCM
Informasi tidak tersedia ketika - Menyusun,
Belum memiliki Business dibutuhkan, menghambat menganalisa, dan
Continuity Plan atau Disaster proses operasional serta
INF-29 All Informasi Informasi Informasi yang kritikal bagi Recovery Plan dapat berdampak negatif A mendokumentasikan
proses bisnis tidak tersedia terhadap kelangsungan bisnis BIA
- Merencanakan dan
organisasi melaksanakan
pengujian BCM
Belum tersusun dengan
Bidang Informasi tercecer / hilang dengan rapih tata kearsipan,
Tata Informasi menyulitkan pencarian
INF-30 Usaha Informasi informasi persuratan, dan perlengkapan Kegiatan operasional sangat C, I, A Membenahi tata kelola
kearsipan
yang ada. Dokumen terganggu
pendukung belum tersusun
dan tertata dengan baik
Subbag Kesalahan kodefikasi akan
berakibat fatal pada saat
INF-31 Keuanga Informasi Informasi Laporan keuangan tidak valid penyusunan Laporan Menurunnya reputasi C, I, A Revisi Akun dan POK
n dan Informasi Keuangan semester dan
tahunan
BMN
Subbag Informasi tercecer / hilang Tidak adanya tempat khusus - Membenahi tata
menyulitkan pencarian untuk penyimpanan semua kelola kearsipan
INF-32 Kepegaw Informasi informasi arsip Kegiatan operasional sangat C, I, A - Merencakan
aian dan terganggu pembelian lemari
penyimpanan arsip
Umum
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Risiko
Klasifikasi Ini Dampa Kecend Risiko Dampa Kecend Akhir
erunga Dasar erunga
k k
n n
- Mendokumentasikan
proyek pengembangan
yang sedang dilakukan
Dokumentasi pengembangan - Koordinasi dengan
sistem informasi yang tidak pihak terkait
Subbid Sulitnya melacak status terkini lengkap karena kurangnya Aplikasi tidak mendukung pengembang aplikasi
INF-33 Arsitektu Informasi
Informasi pengembangan aplikasi kesadaran dalam pengelolaan fungsi bisnis secara maksimal A mengenai status dan 2 1 Rendah Accept
r SI
dokumen pengembangan dokumentasi terakhir
sistem informasi yang baik pengembangan sistem
informasi
- Memelihara
dokumentasi
pengembangan
Subbid Sistem informasi tidak Belum adanya SOP 'Penyusunan SOP
INF-34 Standaris Informasi
Informasi mengikuti standar keamanan penyusunan standar sistem Hacking C, I, A standar sistem 2 1 Rendah Accept
asi SI Accept
sistem informasi informasi Accept
Belum adanya SOP sesuai Penyusunan SOP
Struktur Organisasi dan Tata
INF-35 All Informasi Informasi Tidak adanya petunjuk kerja Kelola yang baru Penurunan kinerja dan A sesuai Struktur 2 1 Rendah
yang terstandarisasi reputasi Organisasi dan Tata
Kelola yang baru
Subbid Informasi Informasi yang dihasilkan Koordinasi antar lintas Penurunan kinerja dan A - Rapat koordinasi 2 2 Rendah
INF-36 Analisis Informasi tidak up to date dan program/sektor dalam reputasi secara berkala
terlambat / tidak realtime diseminasi informasi masih
Data kurang berjalan dengan baik.
Rendah 30 Rendah Control
Sedang 2 Sedang Accept
Tinggi 0 Tinggi
2
0
0
Bidang Pengembangan Security Officer (S
Sistem Informasi
Bidang Pengelolaan
Teknologi Informasi
Aset Deskripsi Risiko Risiko Inheren Bidang Pengembangan BidanRigsikPoeRnesgideulaol laan
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Sistem Informasi DNamikTlapeiaknKeoerNucinlneloangigadi Informasi
Klasifikasi Ini Dampa Kecend
Jenis Ancaman Dampak erunga Risiko Pengendalian Risiko Nilai Risiko
k
n Dasar Akhir
(…………………………………) (……………………………)
GISTER ASET INFORMASI
n: RSK/SMKI-PUSDATIN/03) Versi: 3
sifikasi Rekaman: Rahasia
DAN INFORMASI KEMENKES RI
Rincian Rencana Pengendalian
Rencana Kontrol tambahan Annex Kontrol Terkait PIC Risk Target Progre Status
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang Owner Waktu s
A.8.2.1, A.8.2.2, Register aset pusdatin Melakukan pelabelan Subbag
A.11.1.4, A.11.2.7, terhadap informasi Kepum
A.12.1.1, A.8.3.2,
A.8.2.3
A.9.1.1, A.9.2.1, Prosedur penanganan SO
informasi
Subbag
A.8.2.1, A.8.2.2, Prosedur penanganan Kepum
A.11.1.4, A.11.2.7, informasi
A.12.1.1, A.8.3.2,
A.8.2.3
A.11.2.9 Prosedur pengelolaan Minggu
aset TI IV
SO Septem
ber
2017
- Memastikan seluruh aset register A.8.1.1, A.8.1.2, Minggu
telah diupdate sesuai dengan kondisi A.8.1.3, A.8.3.1, SO I
Oktobe
terkini A.8.2.3, C.8
r 2017
Rincian Rencana Pengendalian
Rencana Kontrol tambahan Annex Kontrol Terkait PIC Risk Target Progre Status
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang Owner Waktu s
A.8.1.1, A.8.1.2, Prosedur pengelolaan SO
A.8.1.3, A.8.3.1, aset TI
A.8.2.3, C.8
A.8.1.1, A.8.1.2, Prosedur penanganan SO
A.8.1.3, A.8.3.1, informasi
A.8.2.3
A.8.2.1, A.8.2.2, Prosedur pengelolaan Subbag Minggu
A.11.1.4, A.11.2.7, aset tekologi informasi Kepum IV
A.12.1.1, A.8.3.2, Septem
A.8.2.3 ber
2017
A.9.1.1, A.9.2.1, Prosedur pengelolaan SO
A.9.2.3, A.9.2.4, aset TI
A.9.3.1, A.11.2.9,
A.9.4.2, A.9.2.2,
A.9.4.3
A.8.1.1, A.8.1.2, Prosedur Pengelolaan - update antivirus SO
A.8.1.3, A.8.3.1, Aset TI secara periodik
A.8.2.3, C.8 - scanning antivirus
Rincian Rencana Pengendalian
Rencana Kontrol tambahan Annex Kontrol Terkait PIC Risk Target Progre Status
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang Owner Waktu s
A.8.2.1, A.8.2.2, Bidang
A.11.1.4, A.11.2.7, Pengelol
A.12.1.1, A.8.3.2, aan
A.8.2.3 Teknolog
i
Informas
i
A.8.1.1, A.8.1.2, Register aset pusdatin SO
A.8.1.3, A.8.3.1,
A.8.2.3, C.8
A.10.1.1, A.10.1.2 - Prosedur key Bidang
management & enkripsi Pengelol
aan
A.12.1.1, A.12.1.2, Prosedur Teknolog
A.6.1.2, A.12.1.4 Pengembangan aplikasi i
Informas
i
Bidang
Pengem
bangan
Sistem
Informas
i
A.8.1.1, A.8.3.1 Prosedur Pengelolaan - update antivirus SO
Aset TI secara periodik
- scanning antivirus
Rincian Rencana Pengendalian
Rencana Kontrol tambahan Annex Kontrol Terkait PIC Risk Target Progre Status
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang Owner Waktu s
A.8.1.1, A.8.1.2, Register aset pusdatin SO
A.8.1.3, A.8.3.1,
A.8.2.3, C.8
A.8.2.1, A.8.2.2, Register aset pusdatin SO
A.11.1.4, A.11.2.7,
A.12.1.1, A.8.3.2,
A.8.2.3
A.8.1.1, A.8.1.2, Prosedur pengelolaan SO
A.8.1.3, A.8.3.1, aset TI
A.8.2.3, C.8
- Memastikan seluruh aset register A.8.1.1, A.8.1.2, Minggu
telah diupdate sesuai dengan kondisi A.8.1.3, A.8.3.1, SO I
Oktobe
terkini A.8.2.3, C.8
r 2017
A.8.1.1, A.8.1.2, Prosedur pengelolaan SO
A.8.1.3, A.8.3.1, aset TI
A.8.2.3, C.8
A.8.1.1, A.8.1.2, Subbag
A.8.1.3, A.8.3.1, Kepum
A.8.2.3, C.8, A.11.2.5,
A.12.6.2
Rincian Rencana Pengendalian
Rencana Kontrol tambahan Annex Kontrol Terkait PIC Risk Target Progre Status
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang Owner Waktu s
A.8.1.1, A.8.1.2, Register aset pusdatin SO
A.8.1.3, A.8.3.1,
A.8.2.3, C.8
A.8.1.1, A.8.1.2, Prosedur penanganan SO
A.8.1.3, A.8.3.1, informasi
A.8.2.3
A.8.2.1, A.8.2.2, Prosedur penanganan Subbag
A.11.1.4, A.11.2.7, informasi Kepum
A.12.1.1, A.8.3.2,
A.8.2.3
A.11.1.4, A.17.1.2, - Prosedur BCM SO
A.17.1.1, A.17.1.3 - Dokumen BIA
A.8.2.3 Bidang Desem
Tata ber
Usaha 2017
Subbag
Keuanga
n dan
BMN
A.8.2.3 Subbag Desem
Kepegaw ber
aian dan 2017
Umum
Rincian Rencana Pengendalian
Rencana Kontrol tambahan Annex Kontrol Terkait PIC Risk Target Progre Status
Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang Owner Waktu s
A.14.2.6. Subbid Desem
Arsitektu ber
A.14.2.1.
A.12.1.1. r SI 2017
Subbid Desem
Standaris ber
asi SI 2017
Subbid Desem
Standaris ber
asi SI 2017
Subbid
Analisis
Data
2
30
Menyetujui Risk Owner
Security Officer (SO) Kasubbid. Pengelolaan Aplikasi Kasubbag. Kepegawaian dan
Bidang Pengelolaan Data Bagian Tata Usaha dan Database Umum
dan Informasi
Bidang Pengelolaan Data Bagian Tata Usaha Kasubbid. Pengelolaan Aplikasi Kasubbag. Kepegawaian dan
dan Informasi Rincian RencadnaaPnenDgeantdaabliaanse Umum
Annex Kontrol Terkait
Rencana Kontrol tambahan Kebutuhan Dokumen Kebutuhan Teknologi Kebutuhan Penunjang PIC Risk Target Progre Status
Owner Waktu s
(……………………………) (…………………………………………) (………………………………………) (…………..……………………)
RISK REGISTER ASET JARINGAN
(No. Rekaman: RSK/SMKI-PUSDATIN/03) Versi: 3
Klasifikasi Rekaman: Rahasia
PUSAT DATA DAN INFORMASI KEMENKES RI
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Nilai Nilai Pengendalian Risiko Nilai Nilai
Ini Dampa Kecend Nilai Risiko Dasar Dampa Kecend
Klasifikasi Jenis Ancaman Dampak k erungan erunga Nilai Risiko Akhir
k
n
Email diakses oleh pihak Sharing user ID dan Kebocoran informasi di e- - Melakukan sosialisasi
yang tidak berwenang Surat Edaran
JRG-01 all Jaringan Email password email kepada pihak mail ke pihak yang tidak C, I, A mengenai penggunaan 3 1 Rendah Accept
email kedinasan
lain berwenang - Memeriksa dan
memantau
penggunaan email
- Menerapkan
penggunaan email
instansi untuk
kepentingan pekerjaan
JRG-02 all Jaringan Email Penyalahgunaan Terjadinya penyebaran • Pemborosan kapasitas C, I, A - Melakukan sosialisasi 3 1 Rendah Accept
JRG-03 all Jaringan Email penggunaan email informasi yang tidak jaringan Surat Edaran 2 Sedang
JRG-04 all Jaringan Email terotorisasi, penyalahgunaan • Akses ke situs yang berisiko mengenai penggunaan 1 Rendah
informasi (malware, social email kedinasan
engineering) - Memeriksa dan
memantau
penggunaan email
- Menerapkan
penggunaan email
instansi untuk
kepentingan pekerjaan
Email berisi informasi Belum ada aturan mengenai Kebocoran informasi di e- - Mengubah password
email pada setiap user
rahasia diakses pihak tidak pengamanan dalam mail ke pihak yang tidak C, I, A sesuai dengan 3 Control 31 Rendah
ketentuan yang 3
berwenang penggunaan e-mail berwenang berlaku
- Menangani Informasi
sesuai dengan
ketentuan yang
berlaku
Penyalahgunaan akun Belum ada aturan mengenai C, I, A - Menonaktifkan Accept
email oleh personil yang pengembalian aset informasi penggunaan email
telah keluar dan penyesuaian hak akses Akses tanpa ijin ke jaringan personil
saat ada personil yang keluar, internal - Meninjau
pensiun, atau pindah dari penggunaan email
Pusdatin instansi
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Nilai Nilai Pengendalian Risiko Nilai Nilai
C, I, A Ini Dampa Kecend Nilai Risiko Dasar Accept Dampa Kecend
Klasifikasi Jenis Ancaman Dampak k erungan erunga Nilai Risiko Akhir
C, I, A Accept k
Serangan hacker pada server n
e-mail sehingga terganggu
atau terhentinya fasilitas - sudah ada
Bidang layanan jaringan segmentasi
Pengelolaan Data yang melalui jaringan Segmentasi jaringan belum Serangan hacker pada server berdasarkan fungsi
Teknologi e-mail sehingga terganggu
JRG-05 Jaringan Jaringan WAN WAN diakses oleh Pihak spesifik berdasarkan fungsi atau terhentinya fasilitas kerja 22 Rendah
Informasi tidak berwenang dan proses bisnis layanan jaringan - Melakukan
monitoring jaringan
melalui dashboard
Bidang Data yang melalui layanan - Pemantauan PPK
internet dibaca oleh pihak -Melakukan review
JRG-06 Pengelolaan Jaringan Internet tidak berwenang Belum ada SLA keamanan layanan Pihak Ketiga 2 2 Rendah
Teknologi jaringan dengan vendor sesuai dengan
ketentuan yang
Informasi berlaku
- Melakukan
monitoring dengan
pihak tekom bersama
dengan vendor
Bidang Belum ada standar website • Pemborosan kapasitas - Monitoring bandwith
yang diperbolehkan untuk jaringan jaringan
JRG-08 Pengelolaan Jaringan Internet Internet digunakan untuk diakses • Akses ke situs yang berisiko C, I, A - Daftar akses website 3 3 Sedang Control 31 Rendah
Teknologi Internet kepentingan di luar dinas (malware, social yang tidak 1 Rendah
Email engineering) diperbolehkan 1 Rendah
Informasi Email 1 Rendah
JRG-09 All Jaringan Penyalahgunaan jaringan Belum ada aturan yang • Pemborosan kapasitas C, I, A - Monitoring bandwith 3 Accept
internet kantor untuk hal secara khusus mengatur jaringan jaringan
selain kedinasan penggunaan fasilitas • Akses ke situs yang berisiko - Pembatasan akses
pemrosesan informasi (malware, social website yang
engineering) diperbolehkan
- Mendokumentasikan
hasil monitoring
bandwith jaringan
JRG-10 All Jaringan Penyalahgunaan email Belum ada aturan yang • Pemborosan kapasitas C, I, A - Melakukan sosialisasi 3 Accept
kantor untuk hal selain secara khusus mengatur jaringan Surat Edaran Accept
kedinasan penggunaan fasilitas • Akses ke situs yang berisiko mengenai penggunaan
pemrosesan informasi (malware, social email kedinasan
engineering) - Memeriksa dan
memantau
penggunaan email
- Menerapkan
penggunaan email
instansi untuk
kepentingan pekerjaan
Bidang Penggunaan email oleh Belum pernah dilakukan - Menonaktifkan
personil yang telah review menyeluruh atas penggunaan email
JRG-11 Pengelolaan Jaringan keluar/pindah akses yang dikelola Pusdatin Akses tanpa ijin ke jaringan C, I, A personil 3
Teknologi internal - Meninjau
penggunaan email
Informasi instansi
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Nilai Nilai Pengendalian Risiko Nilai Nilai
Ini Dampa Kecend Nilai Risiko Dasar Accept Dampa Kecend
Klasifikasi Jenis Ancaman Dampak k erungan Accept erunga Nilai Risiko Akhir
Accept k
Accept n
Accept
Bidang Layanan internet Belum pernah dilakukan • Pemborosan kapasitas - Monitoring jaringan
digunakan oleh personil review menyeluruh atas jaringan server secara periodik
JRG-12 Pengelolaan Jaringan Internet yang tidak berhak akses yang dikelola Pusdatin • Akses ke situs yang berisiko C, I, A - Jaringan wifi 3 1 Rendah
Teknologi (malware, social menggunakan user
engineering) dan password
Informasi - Mendokumentasikan
permintaan akses
internet
Bidang • Pemborosan kapasitas - Monitoring bandwith
jaringan
JRG-13 Pengelolaan Jaringan Internet Bandwidth internet tidak Belum dilakukan analisa jaringan berisiko C, I, A - Pembatasan akses 3 1 Rendah
Teknologi memenuhi kebutuhan trend pertumbuhan kapasitas • Akses ke situs yang website yang
sistem (malware, social diperbolehkan
Informasi - Mendokumentasikan
engineering) hasil monitoring
bandwith jaringan
- Pelaksanaan
pelabelan untuk
Bidang Belum seluruh kabel di ruang seluruh kabel di server
Pengelolaan Kesalahan pemasangan server diberi label dan Terganggu atau terhentinya - Melakukan update
Teknologi
JRG-14 Jaringan Kabel Data kabel pada saat perbaikan memiliki diagram fasilitas layanan jaringan A terhadap inventaris 4 1 Rendah
Informasi pengkabelannya yang berada di R. Data
Center (pelabelan
kabel jaringan dan
perangkat)
Bidang Kurangnya bandwidth Pembatasan dan • Pemborosan kapasitas - Monitoring bandwith
internet karena pengendalian akses yang jaringan jaringan
JRG-15 Pengelolaan Jaringan Internet penggunaan yang tidak terkoneksi jaringan belum • Akses ke situs yang berisiko C, I, A - Pembatasan akses 3 1 Rendah
Teknologi terotorisasi efektif (malware, social website yang
engineering) diperbolehkan
Informasi - Mendokumentasikan
hasil monitoring
bandwith jaringan
Bidang Layanan internet Segmentasi jaringan belum • Pemborosan kapasitas - Segmentasi jaringan
digunakan untuk spesifik berdasarkan fungsi jaringan C, I, A berdasarkan ruangan
JRG-16 Pengelolaan Jaringan Internet keperluan di luar dan proses bisnis • Akses ke situs yang berisiko 3 1 Rendah
Teknologi kedinasan (malware, social kerja
engineering)
Informasi
Bidang Layanan jaringan tidak Belum ada dokumentasi Terganggunya proses - Monitoring dilakukan
dapat digunakan karena setiap periodik
JRG-17 Pengelolaan Jaringan Core Switch perubahan konfigurasi approval terkait perubahan operasional organisasi atau A - Mendokumentasikan 4 1 Rendah Accept
Teknologi yang tidak sesuai aturan setiap perubahan yang
sistem layanan terjadi
Informasi
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Nilai Nilai Pengendalian Risiko Nilai Nilai
Ini Dampa Kecend Nilai Risiko Dasar Accept Dampa Kecend
Klasifikasi Jenis Ancaman Dampak k erungan erunga Nilai Risiko Akhir
k
n
- Monitoring mingguan
Bidang Perangkat jaringan (switch) Terganggunya proses (kontrol log dan traffic
dibeberapa tempat operasional organisasi atau
JRG-18 Pengelolaan Jaringan Distribution Layanan jaringan tidak mengalami gangguan layanan A tertinggi) 3 1 Rendah
Teknologi - Mendokumentasikan
Switch dapat digunakan
Informasi setiap perubahan yang
terjadi
Bidang Tata kelola LAN pada masing- Akses internet tidak dapat - Monitoring tools ARC
masing unit di Kemenkes digunakan yang menghambat Sight
JRG-19 Pengelolaan Jaringan Kabel Data Terjadi looping pada masih belum diberikan proses bisnis A - Blocking pada port 2 2 Rendah Accept
Teknologi jaringan kewenangan sepenuhnya pada switch yang
bermasalah
Informasi
Bidang
JRG-20 Pengelolaan Jaringan Email Email tidak dapat diakses Boom email Mengganggu operasional A - Anti Spam Barakuda 2 2 Rendah Accept
Teknologi bisnis
Informasi
Control 2
Accept 15
Rendah 15 Rendah 2
Sedang 2 Sedang 0
Tinggi 0 Tinggi 0
Menyetujui Risk Owner
Security Officer (SO)
Bidang Pengembangan Bidang Pengelolaan Bidang Pengelolaan
Sistem Informasi
Teknologi Informasi Data dan Informasi
(…………………..……)
(………………………) (……………………………)
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Nilai Nilai Pengendalian Risiko Nilai Nilai
Ini Dampa Kecend Nilai Risiko Dasar Dampa Kecend
Klasifikasi Jenis Ancaman Dampak k erungan erunga Nilai Risiko Akhir
k
n
(…………………..……)
(………………………) (……………………………)
ER ASET JARINGAN
SMKI-PUSDATIN/03) Versi: 3
Rekaman: Rahasia
INFORMASI KEMENKES RI
Rincian Rencana Pengendalian
Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
tambahan Dokumen Teknologi Penunjang Owner Waktu
PIC
A.9.1.1, A.9.2.1, Prosedur SO
Pengelolaan Aset
TI
A.8.1.1, A.8.1.2, Surat Edaran - Sosialisasi Surat SO
A.8.1.3, A.8.3.1, mengenai Edaran mengenai
A.8.2.3, C.8 penggunaan penggunaan
email kedinasan email kedinasan
- Pemeriksaan
penggunaan
email
Bidang
- Memberikan password A.8.2.1, A.8.2.2, Prosedur Perubahan Pengel Minggu
pada informasi kritikal A.11.1.4, A.11.2.7, penanganan password email olaan I
- Mendokumentasikan A.12.1.1, A.10.7.2, pada setiap user Teknol
pendistribusian seluruh Informasi ogi Oktobe
informasi kritikal A.8.3.2,A.9.1.1, Informa r 2017
A.9.2.1
si
A.7.3.1, Prosedur Bidang
A.8.1.4,A.9.2.6 Pengelolaan Aset Pengel
olaan
TI Teknol
ogi
Informa
si
Rincian Rencana Pengendalian
Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
tambahan Dokumen Teknologi Penunjang Owner Waktu
PIC
A.15.2.1, A.12.4.1 Prosedur Bidang
Pengamanan Pengel
Pihak Ketiga olaan
Teknol
ogi
Informa
si
A.15.2.1, A.12.4.1 Prosedur Bidang
Pengamanan Pengel
Pihak Ketiga olaan
Teknol
ogi
Informa
si
Bidang
-Mengesahkan A.8.1.1, A.8.1.2, - Prosedur Pengel Minggu
persetujuan pembatasan A.8.1.3, A.8.3.1, Pengelolaan Aset olaan I
akses website yang tidak Teknol
diperbolehkan A.8.2.3, C.8 TI ogi Oktobe
- Standar internet Informa r 2017
website
si
A.8.1.1, A.8.1.2, - Prosedur Bidang
A.8.1.3, A.8.3.1, Pengelolaan Aset Pengel
olaan
A.8.2.3, C.8 TI Teknol
- Standar internet ogi
Informa
website si
A.8.1.1, A.8.1.2, Surat Edaran - Sosialisasi Surat SO
A.8.1.3, A.8.3.1, mengenai Edaran mengenai
A.8.2.3, C.8 penggunaan penggunaan
email kedinasan email kedinasan
- Pemeriksaan
penggunaan
email
A.7.2.3, A.7.3.1, Prosedur Bidang
A.8.1.4, A.8.3.3, Pengelolaan Aset Pengel
olaan
A.9.2.6 TI Teknol
ogi
Informa
si
Rincian Rencana Pengendalian
Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
tambahan Dokumen Teknologi Penunjang Owner Waktu
PIC
A.7.2.3, A.7.3.1, Bidang
A.8.1.4, A.8.3.3, Pengel
olaan
A.9.2.6 Teknol
ogi
Informa
si
A.12.1.3, A.12.4.1 Prosedur Bidang
Pengelolaan Aset Pengel
olaan
TI Teknol
ogi
Informa
si
A.11.2.3 - Prosedur Pelaksanaan Bidang
palabelan kabel pelabelan untuk Pengel
- Dokumentasi seluruh kabel di olaan
perubahan kabel Teknol
server ogi
Informa
si
A.9.1.2, A.9.4.2, Prosedur Bidang
A.13.1.3, A.13.1 pengelolaan Pengel
olaan
internet Teknol
ogi
A.12.1.3, A.12.4.1 Prosedur Informa
pengelolaan si
jaringan Bidang
Pengel
A.12.1.2, A.12.5.1 Prosedur olaan
manajemen Teknol
perubahan ogi
Informa
si
Bidang
Pengel
olaan
Teknol
ogi
Informa
si
Rincian Rencana Pengendalian
Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
tambahan Dokumen Teknologi Penunjang Owner Waktu
PIC
A.12.1.2, A.12.5.1 Prosedur Bidang
manajemen Pengel
perubahan olaan
Teknol
A.13.1.1, A.13.1.2. ogi
Informa
A.13.1.1, A.13.1.2. si
Bidang
Pengel
olaan
Teknol
ogi
Informa
si
Bidang
Pengel
olaan
Teknol
ogi
Informa
si
Menyetujui Risk Owner Kasubbid. Pengelolaan
Security Officer (SO) Infrastruktur Teknologi
Bagian Tata Informasi
Usaha
(………………..……) (…………………………………...)
Rincian Rencana Pengendalian
Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
tambahan Dokumen Teknologi Penunjang Owner Waktu
PIC
(………………..……) (…………………………………...)
RISK REGISTER ASET PERSONIL
(No. Rekaman: RSK/SMKI-PUSDATIN/03) Versi: 3
Klasifikasi Rekaman: Rahasia
PUSAT DATA DAN INFORMASI KEMENKES RI
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Klausul Lingkup Klasifikas Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Risiko Pengendalian Risiko Nilai Nilai Nilai Risiko
i Dampa Kecend Dasar Dampa Kecend Akhir
erunga erunga
k k
n n
• Terjadinya penyebaran - Surat pernyataan ikut menjaga
Pihak Ketiga membocorkan Belum ada aturan mengenai informasi yang tidak terotorisasi, kerahasiaan informasi oleh vendor
PSL- A.13, A.15 All Personil Pihak Ketiga informasi baik disengaja maupun penerapan klausul perjanjian penyalahgunaan informasi C, I, A - NDA pihak ketiga 3 1 Rendah Accept
01 tidak kepada pihak yang tidak kerahasiaan dengan user dan • Memungkinkan data menjadi - Menambahkan klausul
berwenang vendor corrupt, integritas data tidak pengamanan informasi dalam draft
dapat dipertanggungjawabkan kontrak tahun berikutnya
PSL- Personil membocorkan informasi Belum ada aturan penerapan Terjadinya penyebaran informasi - NDA Personil Kemkes
02 yang tidak terotorisasi, C, I, A - Mengisi dan mengumpulkan
A.13, A.15 All Personil Personil kepada pihak yang tidak Perjanjian Kerahasiaan (NDA) di penyalahgunaan informasi 3 1 Rendah Accept
All seluruh NDA personil 3 1 Rendah Accept
All berwenang lingkungan Pusdatin 3 1 Rendah Accept
1 Rendah Accept
PSL- A.13, A.15 Personil Pihak Ketiga Pihak Ketiga membocorkan Belum ada aturan penerapan Terjadinya penyebaran informasi C, I, A - NDA Pihak Ketiga 3
03 Personil Pihak Ketiga informasi baik disengaja maupun Perjanjian Kerahasiaan (NDA) di yang tidak terotorisasi, - Mengisi dan mengumpulkan 1 Rendah Accept
tidak kepada pihak yang tidak lingkungan Pusdatin penyalahgunaan informasi seluruh NDA Pihak Ketiga
berwenang - Memastikan NDA untuk Pihak Ke-3 1 Rendah Accept
Terjadinya penyebaran informasi ditandatangani 1 Rendah Accept
yang tidak terotorisasi, 1 Rendah Accept
PSL- A.13, A.7 Personil pihak ketiga Belum ada pembekalan penyalahgunaan informasi - Melakukan sosialisasi pada pihak 1 Rendah Accept
04 membocorkan informasi rahasia keamanan informasi bagi C, I, A ketiga terkait pengamanan
yang diterima atau dipinjamkan pegawai / vendor baru
oleh Pusdatin informasi
PSL- Layanan dari pihak ketiga tidak Belum ada aturan mengenai Memungkinkan terjadinya - Pemantauan PPK
05 penyalahgunaan informasi, - Memantau layanan Pihak Ketiga
A.10 All Personil Pihak Ketiga sesuai dengan kebutuhan dalam review SLA dan keamanan hilangnya informasi, integritas C, I, A sesuai dengan ketentuan yang
data tidak dapat di berlaku
perjanjian informasi vendor dipertanggung jawabkan - Melakukan pemantauan berkala
oleh user dan tim penerima barang
terhadap layan yang diberikan oleh
pihak ketiga
PSL- A.13, A.7 All Personil Personil Kesalahan penanganan informasi Belum ada pembekalan • Terjadinya penyebaran - Melakukan sosialisasi pada 3
06 dan aset oleh pegawai baru keamanan informasi bagi informasi yang tidak terotorisasi, C, I, A personil terkait pengamanan
pegawai / vendor baru penyalahgunaan informasi
• Memungkinkan data menjadi informasi
corrupt, integritas data tidak
dapat dipertanggungjawabkan
PSL- A.7 All Personil Personil Training yang diberikan pada Tidak ada perencanaan • Kesalahan proses operasional C, I, A - Rencana training tahunan 2
07 pegawai tidak tepat guna kebutuhan training pegawai SMKI - Usulan dari setiap unit
• Proses SMKI tidak seragam
• Dokumen SMKI tidak memadai
untuk mengelola SMKI dan risiko
terkini.
PSL- A.7 All Personil Personil Beban kerja personil yang tidak Tidak meratanya kompetensi Operasional terganggu C, I, A - Pelatihan peningkatan kompetensi 3
08 All C, I, A pegawai 3
merata yang dimiliki pegawai Tidak efektifnya SMKI - Pengajuan program pelatihan 3
- Mengajukan usulan terkait training
PSL- A.7 Personil Personil Koordinasi dengan unit lain kurangnya awareness terkait Dokumen SMKI tidak memadai peningkatan kompetensi pegawai
09 terganggu prosedur keamanan informasi untuk mengelola SMKI dan risiko - Memberikan sosialisasi terkait
yang berlaku terkini. dengan proses aktivitas bisnis
pusdatin
PSL- A.8, A.11, A.12 All Personil Pihak Ketiga Aset yang dipinjam Pihak Ketiga Aset Informasi Pusdatin belum C, I, A - Inventarisasi aset informasi milik
10 tidak dikembalikan diinventarisir setiap unit
- Surat tanda terima berkas
- Penggunaan Password pada PC
yang digunakan oleh pihak ketiga
- Memastikan informasi yang
tersimpan di USB pihak ketiga
sudah dihapus
Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Klausul Lingkup Klasifikas Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Risiko Pengendalian Risiko Nilai Nilai Nilai Risiko
i C, I, A Dampa Kecend Dasar Dampa Kecend Akhir
• Kesalahan proses operasional - Backup personil erunga erunga
SMKI - Melakukan BCM k Rendah k
• Proses SMKI tidak seragam - Menganalisis dan n n
• Dokumen SMKI tidak memadai mendokumentasikan BIA
PSL- A.11, A.17 All Personil Personil Personil yang penting bagi proses Belum memiliki Business untuk mengelola SMKI dan risiko - Merencanakan dan melaksanakan 31 Accept
11 bisnis tidak dapat melaksanakan Continuity Plan atau Disaster terkini. pengujian BCM
tugasnya Recovery Plan
- Kekurangan tenaga ahli
PSL- A.14 Subbid Pihak Ketiga Fungsi bisnis yang didukung oleh Lambatnya pihak ketiga yang Penurunan kinerja dan reputasi A Belum ada kontrol 2 3 Sedang Control 2 3 Sedang
12 Arsitektu Personil aplikasi tersebut tidak berjalan menghambat pengembangan
r SI aplikasi seperti Prokesga
Control 1
Accept 11
Rendah 11 Rendah 0
Sedang 1 Sedang 1
Tinggi 0 Tinggi 0
Security Officer (SO)
Bidang Bidang Pengelolaan Data dan Bidang Pengelola
Pengembangan
Sistem Informasi Informasi Teknologi Inform
(………………………….) (……………………………………………) (………………………………
GISTER ASET PERSONIL
: RSK/SMKI-PUSDATIN/03) Versi: 3
ifikasi Rekaman: Rahasia
DAN INFORMASI KEMENKES RI
Rincian Rencana Pengendalian
Rencana Kontrol Annex Kontrol Terkait Risk Target Waktu Progre Status
tambahan Kebutuhan Dokumen Owner s
Kebutuhan Teknologi Kebutuhan Penunjang PIC
A.13.2.4, A.15.1.2, Surat pernyataan ikut Penambahan klausul PPK
A.15.2.1 menjaga kerahasiaan pengamanan informasi
informasi oleh vendor dalam draft kontrak tahun PPK
berikutnya
A.13.2.4, A.15.1.2, NDA personil Subbag
A.15.2.1 Mengisi dan Kepum
mengumpulkan seluruh Subbag
A.13.2.4, A.15.1.2, NDA personil Kepum
A.15.2.1
- Awareness pada pihak
A.13.2.4, C.5.3, ketiga terkait pengamanan
A.7.1.2 informasi
A.15.2.1, A.15.1.1, Prosedur Pengamanan SO
A.12.4.1 Pihak Ketiga
A.13.2.4, C.5.3, Subbag
A.7.1.2 Kepum
A.7.2.2 Subbag
Kepum
A.7.2.2
Subbag
A.7.2.2 Kepum
A.8.2.1, A.8.2.2, SO
A.11.1.4, A.11.2.7,
A.12.1.1, A.8.3.2, SO
A.8.2.3
Rincian Rencana Pengendalian
Rencana Kontrol Annex Kontrol Terkait Risk Target Waktu Progre Status
tambahan Kebutuhan Dokumen Owner s
Kebutuhan Teknologi Kebutuhan Penunjang PIC
A.11.1.4, A.17.1.2, - Prosedur BCM SO
A.17.1.1, A.17.1.3 - Dokumen BIA
Subbid Minggu IV
- Melakukan review Arsitektur September
SI 2017
kontrak pihak ketiga
- Melakukan follow up A.14.2.6.
dan revisi kontrak terkait
penyelesaian
pengembangan aplikasi
Menyetujui Risk Owner
Security Officer (SO) Pejabat Pembuat Komitmen Kasubbag.
Kepegawaian dan
Bidang Pengelolaan Bagian Tata Usaha
Teknologi Informasi Umum
(………………………………………) (………………….……………………………) (………………..…………………………..) (………………………)
RISK REGISTER ASET SARANA PENDUKUNG
(No. Rekaman: RSK/SMKI-PUSDATIN/03) Versi: 3
Klasifikasi Rekaman: Rahasia
PUSAT DATA DAN INFORMASI KEMENKES RI
Aset Deskripsi Risiko Risiko Inheren (Target) Ris
Kerawanan
Risk ID Klausul Lingkup Klasifika C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Risiko Pengendalian Risiko Nilai
si Ini Dampak Kecend Dasar Dampak
Jenis Ancaman Dampak erungan
SRP-01 A.11 All Sarpen Area Kerja Area kerja dimasuki oleh personil Belum memiliki standar pengamanan • Area kerja dimasuki oleh pihak tidak C, I, A - Membuat awareness 3 1 Rendah Accept
berwenang Pintu selalu tertutup 3 1 Rendah Accept
yang tidak berwenang wilayah • Sistem keamanan yang terganggu - Membagi wilayah
sesuai dengan
ketentuan yang
berlaku
- Pintu masuk
menggunakan access
door
SRP-02 A.11 All Sarpen Area Kerja Area kerja dimasuki oleh personil Personil tidak menggunakan atau • Area kritikal dimasuki oleh pihak tidak C, I, A - Membuat laporan
berwenang kehilangan name tag
yang tidak berwenang meletakan tanda pengenal sembarangan • Sistem keamanan yang terganggu - Memberikan
sosialisasi tentang
keamanan informasi
pusdatin
Bidang • Area kritikal dimasuki oleh pihak tidak - Catatan perubahan
berwenang - Surat tugas pekerjaan
SRP-03 A.11 Pengelolaa Sarpen Data Center Data Center dapat dimasuki oleh Belum memiliki standar pengamanan • Sistem keamanan yang terganggu C, I, A - Kelengkapan buku 4 1 Rendah Accept
n Teknologi personil yang tidak berwenang wilayah tamu Data center
- Penyusunan prosedur
Informasi operasional Data
Center
- Memastikan rak
server selalu terkunci
- Kunci rak server
disimpan di tempat
yang aman dan
terkunci
- Melarang barang
pribadi berada di R.
Server
SRP-04 Bidang DRC DRC dapat dimasuki oleh personil Monitoring keamanan fisik terhadap DRC • Area kritikal dimasuki oleh pihak tidak C, I, A - DRC telah 2 2 Rendah Accept
Pengelolaa berwenang tersertifikasi ISO
n Teknologi yang tidak berwenang belum dilaksanakan • Sistem keamanan yang terganggu - DRC hanya dapat
Informasi dimasuki orang yang
berwenang
Aset Deskripsi Risiko Risiko Inheren (Target) Ris
Kerawanan
Risk ID Klausul Lingkup Klasifika C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Risiko Pengendalian Risiko Nilai
si Ini Dampak Kecend Dasar Dampak
Jenis Ancaman Dampak erungan
Bidang Belum terdapat aturan pelaksanaan • Area kritikal dimasuki oleh pihak tidak - Catatan perubahan
pekerjaan di ruang tertutup (misal: data berwenang - Surat tugas pekerjaan
SRP-05 A.12, A.13 Pengelolaa Sarpen Data Center Pelaksanaan pekerjaan pihak ketiga center) • Sistem keamanan yang terganggu C, I, A - Kelengkapan buku 4 1 Rendah Accept
n Teknologi di Data Center yang tidak sesuai tamu Data center
- Penyusunan prosedur
Informasi operasional Data
Center
- Memastikan rak sever
selalu terkunci
- Kunci rak server
disimpan di tempat
yang aman dan
terkunci
- Melarang barang
pribadi berada di R.
Server
Bidang Belum memiliki ruangan untuk menyimpan - Memindahkan
barang-barang diluar kebutuhan Data barang-barang yang
SRP-06 Pengelolaa Sarpen Data Center Data center belum tersterilisasi dari Center Kegiatan operasional Data Center C, I, A dapat dipindahkan ke 3 1 Rendah Accept
n Teknologi barang-barang yang tidak terpakai terganggu gudang di lantai 6
- membuat
Informasi perencanaan untuk
kebutuhan perangkat
yang belum digunakan
Bidang Data center tidak berfungsi optimal - Mendokumentasikan
karena kelebihan kapasitas server analisa kapasitas
SRP-07 A.12 Pengelolaa Sarpen Data Center terpasang Belum dilakukan analisa trend Kinerja layanan TI perusahaan terganggu A - Melakukan inventaris 4 1 Rendah Accept
n Teknologi pertumbuhan kapasitas ulang kapasitas server Accept
terpasang
Informasi
Bidang Belum dilakukan monitoring rutin kondisi
lingkungan (suhu dan kelembaban ruang)
SRP-08 A.11 Pengelolaa Sarpen Data Center Kurang berfungsinya sarana di ruang server Kerusakan pada perangkat pemrosesan A - Log monitoring untuk 4 1 Rendah
n Teknologi pendukung di ruang data center informasi di ruang server maintenance R. Server. 1 Rendah
3 Sedang
Informasi
Bidang • Kerusakan pada perangkat pemrosesan -Melakukan
pemantauan
SRP-09 A.11 Pengelolaa Sarpen Data Center Kebakaran di Data Center tidak Kesiapan operasional sistem argonite di informasi di ruang server maintenance sarana 4 Accept
n Teknologi cepat ditangani ruang server tidak dipelihara dengan efektif • Kegagalan layanan TI Pusdatin ke pendukung secara 2 Control
Kemenkes A periodik
Informasi - Merencanakan untuk
• Hilangnya data informasi kritikal di server penambahan tabung
Argonite pada tahun
2015
New Risk A.11 Subbid CCTV Terdapat blindspot Kurangnya coverage CCTV pada data center Sulitnya mendekteksi masalah apabila C, I, A Belum ada kontrol 2
(Availability) Infrastrukt Sarpen terjadi insiden
ur TI
Aset Deskripsi Risiko Risiko Inheren (Target) Ris
Kerawanan
Risk ID Klausul Lingkup Klasifika C, I, A Kontrol Yang Ada Saat Nilai Nilai Nilai Risiko Pengendalian Risiko Nilai
si Ini Dampak Kecend Dasar Dampak
Jenis Ancaman Dampak erungan
Control 1
Accept 9
Rendah 9
Sedang 1
Tinggi 0
Security Officer (SO)
Bidang Pengembangan Bidang Pengelolaan Bidang Pengel
Sistem Informasi
Teknologi Informasi Infor
(…………………………)
(…………………..…………) (………..………
ASET SARANA PENDUKUNG
SK/SMKI-PUSDATIN/03) Versi: 3
kasi Rekaman: Rahasia
AN INFORMASI KEMENKES RI
(Target) Risiko Residual Rincian Rencana Pengendalian
Nilai Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
Kecende tambahan Dokumen Teknologi Penunjang Owner Waktu
rungan Nilai Risiko Akhir PIC
A.11.1.1, A.11.1.2, Prosesdur Awareness SO
A.11.1.3 pembagian Pintu selalu
wilayah tertutup
A.11.1.3 , A.11.1.2 , Minggu
A.11.1.1 Subbag I
Kepum Oktobe
r 2017
A.11.1.1, A.11.1.2, Prosesdur Bidang
A.11.1.3 pembagian Pengel
wilayah olaan
Teknol
ogi
Inform
asi
Bidang
Pengel
olaan
Teknol
ogi
Inform
asi
(Target) Risiko Residual Rincian Rencana Pengendalian
Nilai Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
Kecende tambahan Dokumen Teknologi Penunjang Owner Waktu
rungan Nilai Risiko Akhir PIC
A.13.1.2, A.12.4.1, - Surat tugas Kelengkapan Bidang
A.12.4.3, A.13.1.3, pekerjaan buku tamu Data Pengel
A.12.6.1, A.13.1 - Prosedur center olaan
operasional Data Teknol
Center ogi
Inform
asi
Bidang
Pengel
olaan
Teknol
ogi
Inform
asi
A.12.1.3, A.12.4.1 - Prosedur Bidang
Manajemen Pengel
Kapasitas olaan
- Dokumentasi Teknol
analisa kapasitas ogi
Inform
A.11.2.2, A.11.2.4 - Monitoring asi Minggu
maintenance Bidang I
sarana Pengel
pendukung olaan Oktobe
secara periodik Teknol r 2017
ogi
- Monitoring Inform
maintenance asi
sarana
A.11.2.2, A.11.2.4 pendukung Bidang
secara periodik Pengel
olaan
Teknol
ogi
Inform
asi
3 Sedang Penambahan CCTV agar A.11.1.3, A.11.1.4, Subbid Desem
tidak ada blind spot di A.11.1.5. Infrastr ber
dalam data center uktur TI 2017
(Target) Risiko Residual Rincian Rencana Pengendalian
Nilai Rencana Kontrol Annex Kontrol Terkait Kebutuhan Kebutuhan Kebutuhan Risk Target Progres Status
Kecende tambahan Dokumen Teknologi Penunjang Owner Waktu
rungan Nilai Risiko Akhir PIC
Rendah 0
Sedang 1
Tinggi 0
Menyetujui Risk Owner
Security Officer (SO) Kasubbid. Pengelolaan Kasubbag. Kepegawaian dan
Infrastruktur Teknologi Umum
Bidang Pengelolaan Data dan Bagian Tata Usaha
Informasi
Informasi
(………..…………………………) (…..………….......…) (…………………………………) (……………………………………)
Kegiatan Pengendalian Untuk
Meminimalisir Risiko Yang Telah
Diidentifikasi
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Pokja 5-pengawasan dan pegendalian
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
Pokja 5-pengawasan dan pegendalian
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 700
- 701 - 750
- 751 - 790
Pages: