Pokja 5-pengawasan dan pegendalian

Tinjauan Manajemen
Pusdatin

25 SEPTEMBER 2017

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Agenda

 Status tindak lanjut dari rapat tinjauan manajemen sebelumnya.
 Isu external dan Internal
 Masukan (feedback) terkait tren kinerja SMKI, meliputi:

 Status Pelaksanaan Tindakan Perbaikan dan Pencegahan.
 Hasil dari pengukuran efektivitas SMKI dan kontrol keamanan informasi.
 Hasil Audit SMKI baik internal, maupun eksternal.
 Pencapaian sasaran SMKI

 Masukan & Rekomendasi dari pihak yang terkait (vendor, unit kerja, pemangku kepentingan,
dan lainnya.

 Hasil pembaharuan (update) terhadap penilaian risiko dan perencanaan penanganan risiko.
 Peningkatan efektivitas dalam perbaikan Sistem Manajemen Keamanan Informasi (SMKI).

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Status Tindak Lanjut dari Rapat
Tinjauan Manajemen Sebelumnya

No Rencana Tindak Lanjut 2016 Progress - 2017

1 Melakukan awareness atau sosialisasi terkait SMKI setiap minimal Sudah dilaksanakan awareness pada bulan Februari & Juli
6 bulan sekali, kepada seluruh personil pusdatin, pegawai baru, 2017
pihak ketiga maupun pegawai honorer.

2 Rutin melakukan PC Audit minimal 3 bulan sekali, untuk Sudah dilaksanakan PC audit oleh tim IT dengan jangka
menghindari adanya file-file yang tidak berhubungan dengan waktu 6 bulan sekali
pekerjaan, maupun software/aplikasi yang tidak berlisensi.

3 Mendokumentasikan setiap aktivitas seperti : proses remote Remote access sudah terdokumentasi pada log server,
access, proses penetration test, proses monitoring log. penetration test sudah didokumentasi, monitoring log
menggunakan aplikasi

Penyediaan lemari untuk menyimpan tata kelola kearsipan Sudah ada lemari untuk penyimpanan tata kelola
4 pusdatin. kearsipan pusdatin

5 Mendaftarkan setiap aset informasi (removable media, PC, Setiap aset informasi yang baru, hilang, dan/atau milik
printer dll) yang baru, hilang, atau milik pribadi ke dalam daftar pribadi sudah terdaftar ke dalam daftar aset
aset.

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Isu Eksternal & Internal

No Internal Eksternal

1 Keterbatasan fasilitas dan perangkat dalam mengiplementasikan SMKI Manajemen dan monitoring dari provider yang kurang, sehingga
dilingkungan Pusdatin. dapat mengancam keamanan jaringan internet Pusdatin.

Keterbatasan SDM yang memiliki kompetensi dalam melaksanakan Integrasi sistem informasi terdapat risiko terhadap keamanan
2 aktivitas bisnis di Pusdatin. informasi.

3 Kurangnya sosialisasi prosedur penanganan dari perangkat yang Kurangnya kesadaran dan pemahaman unit lain terhadap prosedur
bermasalah. dan kebijakan SMKI sehingga prosedur dan kebijakan tidak dapat
dijalankan dengan baik.
4 Kurangnya kesadaran, kepedulian, dan komitmen beberapa pegawai
dalam menerapkan pengamanan informasi di Pusdatin. Terkait Instruksi Presiden No. 4 Tahun 2017 tentang efisiensi belanja
barang kementerian / lembaga dalam pelaksanaan anggaran
Masih terdapat inkonsistensi atasan dalam beberapa hal terkait dalam pendapatan dan belanja negara Tahun Anggaran 2017 sehingga
5 pengelolaan kontrol SMKI. beberapa rencana pengadaan kegiatan dan sumber daya
pendukung SMKI menjadi terkendala.

6 Kurangnya pengelolaan dokumen pengembangan sistem informasi

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Status Tindakan Perbaikan dan
Pencegahan

 Action plan berupa tindakan correction dan corrective action dari
internal audit telah diserahkan oleh auditee kepada tim internal auditor.

 Tim internal auditor akan memantau pelaksanaan action plan tersebut
sesuai jangka waktu yang disepakati auditee.

 Implementasi rencana pengendalian risiko (risk treatment plan / RTP) hasil
dari risk assessment akan dipantau oleh MR dan Security Officer sesuai
target waktunya.

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Status Tindakan Perbaikan dan
Pencegahan

 Dalam periode Oktober 2016 – September 2017 selama implementasi SMKI di Pusdatin, telah
dicatat sebanyak laporan insiden dengan sample insiden paling sering terjadi adalah sbb:

No Pelapor Bag / Bid Insiden Status Penyelesaian
1 Ibu Evida
2 Ibu Ita DI PC blue screen Install windows

TU PC tidak dapat dinyalakan Melakukan
pembongkaran hardware

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil Audit Internal SMKI

 Pengawasan terhadap implementasi SMKI dilakukan oleh Security Officer (SO) di tiap
bagian / bidang.

 Pengawasan secara independen dilakukan melalui internal audit yang telah
dilaksanakan tgl 6-8 September 2017, dengan hasil sbb :

 Minor Nonconformities : 23 temuan

 Major Nonconformities : 0 temuan

 Observation : 13 temuan

 Detail dari internal audit dapat dilihat pada materi closing meeting Internal Audit tgl 08
September 2017 beserta seluruh form temuan internal audit.

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil Audit Internal SMKI

Hasil temuan internal audit yang dianggap penting adalah :
- Pengamanan kriptografi pada aplikasi masih menggunakan enkripsi MD5 dan belum

dilakukan review terkait dampak resiko penggunaan enkripsi tsb
- Matriks priviledge user yang yang dapat mengakses ke database belum terdokumentasi
- Tidak ada daftar/list user yang memiliki kewenangan untuk melakukan remote

access/teleworking
- Izin akses ke jaringan berdasarkan kewenangan tidak terdokumentasi

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil Audit Internal SMKI

Hasil temuan internal audit yang dianggap penting adalah :
- Sistem untuk monitoring log akses (aplikasi SIEM) rusak sejak bulan maret dan belum ada

perbaikan, sehingga sejak bulan april tidak dilakukan monitoring terhadap log akses
- Akses control card di ruang data center tidak berfungsi dengan baik, log akses tidak terekam

kedalam sistem
- Terdapat 3 buah rak server yang mengalami kerusakan pada bagian kunci nya
- Tidak ada maintenance terhadap tabung argonite pada data center

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil Audit Internal SMKI

Hasil temuan internal audit yang dianggap penting adalah :
- Laptop vendor (systel) yang digunakan untuk mengakses jaringan masih menggunakan OS

bajakan
- Belum ada kontrol terkait penggunaan device/gadget saat melakukan pekerjaan secara

teleworking/remote akses dari luar lingkungan kemenkes

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil Audit Internal SMKI

Hasil temuan internal audit yang dianggap penting adalah :
- Sebagai PIC registrasi user dan password untuk akses VPN, belum pernah melihat dan

mengetahui SOP terkait registrasi akses VPN tersebut
- Monitoring terhadap akses user yang sudah dibuat belum dilakukan, sehingga tidak ada

dokumentasi kapan user dibuat dan kapan user dihapus
- Pembuatan user dilakukan berdasarkan perintah lisan dari pimpinan tanpa ada dokumen

tertulis terkait permintaan pembuatan user

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil Pengukuran Efektifitas SMKI

No Nama Pengukuran Status Analisa Tindak Lanjut

1 Nilai kuesioner minimal Tidak Terpenuhi Kurangnya awareness personil Melakukan sosialisasi/ awareness
75/pegawai dari total kuesioner terkait keamanan informasi
terutama untuk pegawai yang nilai
kuesioner <75

2 Jumlah insiden terkait Tidak Terpenuhi - Anggaran dipotong untuk maintenance - Melakukan maintenance
pengamanan fisik AC & pembelian UPS terhadap AC & UPS

3 Jumlah insiden terkait Tidak Terpenuhi - Kurangnya koordinasi oleh vendor, - Penggunaan authorization form
pengamanan akses subcon, dan satker. & harus mendapatakan
approval dari Pak Aris
4 Jumlah insiden terkait kebocoran Terpenuhi Kurangnya koordinasi oleh vendor,
informasi serta corrupt-nya subcon, dan satker Penggunaan authorization form &
informasi harus mendapatakan approval
- dari Pak Aris

-

5 Internal Audit Terpenuhi --

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil Pengukuran Efektifitas SMKI

No Nama Pengukuran Status Analisa Tindak Lanjut

6 Review risk assessnent Terpenuhi - -
Terpenuhi - -
7 Evaluasi realisasi aktivitas
internal audit terhadap Terpenuhi - -
program audit dan audit Terpenuhi - -
plan Terpenuhi - -

8 Evaluasi daftar aset PUSAT DATA DAN INFORMASI
terhadap aset existing
melalui internal audit. KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

9 Evaluasi berita acara
pengujian BCP/DRP

10 Evaluasi daftar pihak
ketiga dan bukti
awareness keamanan
informasi

Hasil Pengukuran Efektifitas SMKI

No Nama Pengukuran Status Analisa Tindak Lanjut

11 Evaluasi realisasi aktivitas Terpenuhi --
SMKI terhadap program Tidak Terpenuhi
kerja Tidak Terpenuhi Anggaran dipotong untuk pengadaan Melakukan pengadaan fasilitas
fasilitas untuk anggaran tahun depan
12 Jumlah temuan terkait
ketersediaan fasilitas. Pegawai kurang cukup mendapatkan Melakukan awareness yang akan
sosialisasi dan transfer knowledge dari SO dilakukan oleh SO bidang PSI
13 Jumlah temuan terkait sebelumnya
kurangnya kompetensi
pegawai

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Pencapaian Sasaran SMKI

No Sasaran SMKI Target Progress

1. Meningkatkan budaya keamanan informasi dengan September 2017 Kuesioner SMKI disebar pada bulan Agustus
melakukan program awareness / sosialisasi SMKI di pusdatin 2017

2 Meminimalkan jumlah insiden keamanan informasi yang September 2017 Sosialisasi sudah dilakukan oleh setiap bidang
dengan menyebarkan poster dan
disebabkan oleh pengamanan fisik, kelemahan pengelolaan pengumuman melalui email.

hak akses, kebocoran informasi, human error melalui media Saat ini masih dilakukan pengecekan software
yang tidak berlisensi dan update terhadap
sosialisasi seperti email, poster, website daftar software yang diijinkan.

3 Kepatuhan terhadap HAKI dengan melakukan pengecekan September 2017 Proses review risk assessment sudah
(software) yang tidak berlisensi di setiap PC dan Notebook dilaksanakan pada bulan Agustus 2017

4 Proses risk assessment dan review dilakukan sesuai dengan Juni 2017 Kegiatan internal audit sudah dilaksanakan
jadwal yang telah ditetapkan pada tanggal 6-8 September 2017

5 Terlaksananya kegiatan internal audit ke Pusdatin Kemenkes September 2017 PUSAT DATA DAN INFORMASI
RI sesuai program audit yang telah ditetapkan
KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Pencapaian Sasaran SMKI

No Sasaran SMKI Target Progress

6 Semua aset informasi dan fasilitas pemrosesan informasi September 2017 Pencatatan terhadap semua aset dan fasilitas
tercatat dalam daftar asset secara akurat. pemrosesan informasi sudah dicatat ke dalam
daftar aset, namun proses updating daftar aset
7 Terlaksananya pengujian kelangsungan bisnis sesuai dengan Desember 2017 masih dilakukan sampai saat ini.
rencana pengujian yang telah ditetapkan
Pengujian terhadap BCP/DRP sudah dilakukan
8 Seluruh pihak ketiga yang relevan dengan SMKI telah September 2017 pada bulan Maret & July 2017.
teridentifikasi dan mendapatkan awareness keamanan
informasi Sudah dilaksanakan awareness/sosialisasi SMKI
terhadap pihak ketiga yang dilaksanakan
9 Berjalannya aktivitas SMKI sesuai dengan program kerja September 2017 pada Agustus 2017

dengan mengalokasikan tanggung jawab aktivitas masing- Aktivitas SMKI di pusdatin sudah berjalan sesuai
dengan program kerja
masing koordinator yang relevan
Masih terdapat ketidak tersediaan fasilitas saat
10 Memastikan ketersediaan fasilitas terkait keamanan informasi September 2017 ini. Yaitu untuk membenahi tata kelola
dalam hal ini fasilitas perangkat keras, perangkat lunak, serta kearsipan dan merencanakan pembelian
fasilitas pendukung keamanan informasi lainnya dalam lemari.
rangka menjaga keamanan informasi.
PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Pencapaian Sasaran SMKI

No Sasaran SMKI Target Progress

11 Memastikan seluruh personil Pusdatin memiliki kompetensi Desember 2017 Setiap bidang/bagian rutin mengukuti kursus
yang sesuai dengan aktivitas bisnis organisasi sehingga dapat yang diadakan, minimal satu tahun sekali.
membantu terlaksananya pengelolaan keamanan informasi
secara optimal.

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Hasil pembaharuan (update) terhadap penilaian
risiko dan perencanaan penanganan risiko.

 Pelaksanaan Risk assessment dilakukan pada 16 Agustus 2017.

 Berdasarkan hasil risk assessment, dapat dilihat pada table untuk
sebaran Nilai Risiko sbb :

KLASIFIKASI ASET NRD SEDANG TINGGI NRR SEDANG TINGGI
Fisik RENDAH 9 0 RENDAH 2 0
Jarkom 2 0 0 0
Aplikasi 27 7 0 6 1 0
Sarpen 17 1 0 2 1 0
Software 22 4 0 6 0 0
Informasi 9 2 0 0 0 0
Personil 9 1 0 4 1 0
30 2
11 0

 Risk Treatment Plan saat ini terdapat dalam Risk Register 2017

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Masukan & Rekomendasi dari pihak yang terkait
(vendor, unit kerja, pemangku kepentingan, dan
lainnya)

Masukan diperoleh dari selama implementasi SMKI di Pusdatin sebagai berikut :
 Untuk mengurangi penggunaaan kertas, toner, dsb nya, pelaksanaan pelaporan insiden akan

mulai menggunakan sistem (helpdesk)
 Peningkatan awareness & komitmen semua pihak termasuk pegawai, vendor, mitra kerja

tentang implementasi SMKI di Pusdatin
 Pembuatan name tag baru / penggunaan sidik jari (antisipasi kartu hilang, mencegah

kejahatan seperi pencurian)
 Perbaikan pada pintu masuk, laci meja yang rusak
 Paperless sehingga mengurangi kertas yang berantakan di atas meja pegawai

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

Masukan & Rekomendasi dari pihak yang terkait
(vendor, unit kerja, pemangku kepentingan, dan
lainnya)

Masukan diperoleh dari selama implementasi SMKI di Pusdatin sebagai berikut :
 Penggunaan laptop kantor, diberi konsekuensi bila hilang
 Penggunaan tanda pengenal harus dilakukan oleh seluruh pegawai karena selain sebagai

akses masuk juga sebagai identitas
 Pengadaan lemari penyimpanan dokumen yang sesuai standar, contoh : roll o pack
 Adanya petugas yang melakukan monitoring keamanan informasi setiap waktu
 Penggunaan password sesuai aturan

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA

PUSAT DATA DAN INFORMASI

KEMENTERIAN KESEHATAN REPUBLIK INDONESIA





























SPI Telah Diinformasikan Dan
Dikomunikasikan Kepada Seluruh

Pihak Terkait