Pokja 5-pengawasan dan pegendalian

Penilaian Risiko Atas
Pelaksanaan Kebijakan













































RISK REGISTER ASET FISIK

(No. Rekaman: RSK/SMKI-PUSDATIN/03) Versi: 3
Klasifikasi Rekaman: Rahasia

PUSAT DATA DAN INFORMASI KEMENKES RI

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Pengendalia Nilai
FSK-01 All Belum ada aturan mengenai Kecend Risiko Kecend
FSK-02 All Klasifikasi Jenis Ancaman clear desk dan clear screen Dampak Nilai erungan Dasar n Risiko Nilai erunga Nilai Risiko Akhir
Dampak
FSK-03 Hilangnya / bocornya informasi Dampak n
yang tersimpan
PC/Notebook diakses pihak tidak C, I, A - Screen saver lock 5 menit 3 2 Sedang Control 3 1 Rendah
Fisik PC/Notebook berwenang saat ditinggal oleh - Penyimpanan informasi
kritikal di laci terkunci
personil - Awareness berbentuk poster
dan media online
- Checklist pemantauan
implementasi SMKI

Fisik Removable Removable media digunakan pihak Belum ada aturan mengenai Hilangnya / bocornya informasi - Pendaftaran aset pribadi ke SO 3 2 Sedang Control 3 1 Rendah
Media yang tersimpan C, I, A masing-masing bidang/bagian
tidak bewenang penggunaan aset pribadi
(Notebook, USB HDD Ex)

All Fisik Removable Removable media diakses oleh Belum ada aturan mengenai Hilangnya / bocornya informasi C, I, A - Mengelola aset TI sesuai 3 1 Rendah Accept
pengamanan media fisik yang yang tersimpan dengan ketentuan yang berlaku
Media pihak tidak berwenang menyimpan informasi seperti - Penyimpanan removable
removable media media di tempat yang aman
- memberikan sosialisasi
tentang keamanan informasi
aset pusdatin
'- Menginventaris Removable
media
- Penggunaan password di
removable media

FSK-04 All Fisik Notebook yang digunakan oleh Belum ada aturan mengenai C, I, A - USB, gadget & Laptop 2 2 Rendah Accept
PC/Notebook personil yang keluar tidak pengembalian aset informasi dikembalikan ke Bagian TU
dan penyesuaian hak akses saat Hilangnya / bocornya informasi didokumentasikan dalam Surat
dikembalikan ada personil yang keluar, yang tersimpan Penyataan Pengembalian
pensiun, atau pindah dari Barang
Pusdatin

FSK-06 All Fisik PC/Notebook Notebook diakses oleh pihak tidak Belum ada aturan mengenai Pencurian terhadap sistem C, I, A - Penerapan password sesuai 3 1 Rendah Accept
berwenang penggunaan password dan/atau data dengan standart yang berlaku 3
(password berkualitas dan - Pengaktifan screen saver lock
pengelolaan password ) selama 5 menit
- Perubahan password jika
diketahui oleh pihak lain

Belum ada kebijakan - Access Control Matrix untuk
server kritikal
FSK-08 Bidang Fisik Server Server terganggu oleh serangan pengendalian akses yang resmi, • Aplikasi layanan TI Kemenkes C, I, A - Root server hanya di pegang 2 Sedang Control 4 1 Rendah
Pengelolaan hacker serta belum ada aturan RI tidak dapat dijalankan, oleh Administrator (Pak Andri, 1 Rendah
Teknologi mengenai penggunaan • Hilangnya dan/atau bocornya Pak Nixon, Pak Ilman, & Pak
Informasi password (password data dan/atau software Slamet)
berkualitas dan pengelolaan - Mendokumentasikan
penggunaan admin root server
password )

FSK-10 Bidang Fisik Server Server dibajak saat melakukan Belum ada aturan resmi Hilangnya / bocornya informasi Menetapkan pegawai yang 3 2 Sedang Control 4
Pengelolaan remote connection mengenai penggunaan mobile yang tersimpan C, I, A diperbolehkan untuk
Teknologi computing dan teleworking
Informasi melakukan teleworking

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Pengendalia Nilai
Kecend Risiko Kecend
Klasifikasi Jenis Ancaman Dampak Nilai erungan Dasar n Risiko Nilai erunga Nilai Risiko Akhir
Dampak
Dampak n

FSK-12 Bidang Fisik Server Server diakses pihak tidak Belum dilakukan penetration Hilangnya / bocornya informasi C, I, A - Pelaksanaan penetration test 3 1 Rendah Accept
Pengelolaan berwenang (hacker) test untuk jaringan yang tersimpan terhadap jaringan
Teknologi - Mendokumentasikan
Informasi pelaksanaan penetration test

FSK-13 Bidang Fisik Server Server diakses oleh pihak yang Pelaksanaan review Hilangnya / bocornya informasi C, I, A - Review log monitoring user 3 2 Sedang Control 3 1 Rendah
Pengelolaan tidak berwenang menyeluruh atas akses yang yang tersimpan server apabila ada insiden 3
Teknologi dikelola Pusdatin belum 3
Informasi dilakukan secara periodik 3

FSK-14 Bidang Fisik Server Server dihack melalui jaringan Pembatasan dan pengendalian Hilangnya / bocornya informasi C, I, A - Monitoring jaringan server 1 Rendah Accept
Pengelolaan internal akses yang terkoneksi jaringan yang tersimpan secara periodik
Teknologi belum efektif - Jaringan wifi menggunakan
Informasi user dan password
- segmentasi jaringan terpisah
antara wilayah kerja dengan
data center
'- Segmentasi jaringan

FSK-16 All Fisik PC/Notebook PC/Notebook dapat diakses oleh Tidak semua PC/notebook Hilangnya / bocornya informasi C, I, A - Penerapan password sesuai 1 Rendah Accept
semua orang mengaktifkan fitur logon yang tersimpan dengan standart yang berlaku 1 Rendah Accept
- Pengaktifan screen saver lock
selama 5 menit

FSK-17 All Fisik Konfigurasi PC/Notebook Belum ada aturan mengenai Hilangnya / bocornya informasi C, I, A - Penerapan password sesuai
PC/Notebook dimodifikasi oleh pihak tidak penggunaan password yang tersimpan dengan standart yang berlaku
(password berkualitas dan - Pengaktifan screen saver lock
berwenang pengelolaan password ) selama 5 menit
- Perubahan password jika
diketahui oleh pihak lain

PC/Notebook menurun kinerjanya Belum ada aturan mengenai Terganggunya proses - Perubahan konfigurasi
setelah komponennya dimodifikasi menggunakan Form izin khusus
FSK-19 All Fisik PC/Notebook perubahan pada hardware dan operasional organisasi atau - Perubahan hardware 3 1 Rendah Accept
A dilakukan oleh Bidang
software PC/Notebook layanan Pengelolaan TI
- Pencabutan hak akses admin
lokal pada PC User

FSK-21 Bidang Fisik Server Kinerja server menurun karena Belum ada aturan mengenai Terganggunya proses C, I, A - Permintaan untuk hosting 3 1 Rendah Accept
Pengelolaan dimodifikasi tanpa persetujuan perubahan sistem operasional organisasi atau atau co-location menggunakan
Teknologi layanan Form Pengejuan Hosting dan
Informasi Form Co-location
- Perubahan dengan
mengajukan RFC dan ada yang
di email
- dokumentasi terkait
perubahan website terdapat di
log server
- Mengumpulkan dokumentasi
terkait proses migrasi aplikasi
kritikal dari data center ke DRC

FSK-22 All Fisik PC/Notebook Konfigurasi Notebook dimodifikasi Belum ada aturan terkait Hilangnya / bocornya informasi C, I, A - Pencabutan hak admin lokal 3 1 Rendah Accept
oleh pihak tidak berwenang penggunaan akses priviledge yang tersimpan PC yang digunakan user
admin lokal PC/Notebook - Administrator PC hanya
diberikan kepada SO setiap unit

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Pengendalia Nilai
Kecend Risiko Kecend
Klasifikasi Jenis Ancaman Dampak Nilai erungan Dasar n Risiko Nilai erunga Nilai Risiko Akhir
Dampak
Dampak n

- Monitoring terhadap kapasitas

storage server menggunakan

aplikasi Solar Win (hanya untuk

Bidang Server tidak berfungsi optimal • Aplikasi layanan TI Kemenkes beberapa server)
Pengelolaan karena kelebihan penggunaan RI tidak dapat dijalankan,
FSK-24 Teknologi Fisik Server resource server Belum dilakukan analisa trend • Hilangnya data dan/atau A - Membuat pernyataan 4 1 Rendah Accept
Informasi Server pertumbuhan kapasitas software mengenai kritikalitas server 1 Rendah Accept
Server 1 Rendah Accept
yang dipantau

- Mengupdate nota dinas

terkait dengan kritikalitas server

yang harus dipantau

- Pelaporan insiden ke trouble

ticket

Bidang Belum lengkapnya kolom • Aplikasi layanan TI Kemenkes - Mendokumentasikan
Pengelolaan dokumentasi pada prosedur RI tidak dapat dijalankan,
FSK-25 Teknologi Fisik Kesalahan perbaikan server karena kerja Pusdatin • Hilangnya data dan/atau A perbaikan server 3
Informasi prosedur kerja tidak update software - Memastikan setiap insiden 3

terkait dengan IT dilaporkan

dan didokumentasikan ke

dalam form insiden

- Pelaksanaan pelabelan untuk

Bidang Seluruh kabel di ruang server seluruh kabel di server
Pengelolaan belum diberi label dan dibuat
FSK-26 Teknologi Fisik Malfungsi server karena diagram pengkabelannya - Aplikasi tidak dapat dijalankan A - Melakukan update terhadap
Informasi ketidaksesuaian kabel - Data/informasi corrupt inventaris yang berada di R.

Data Center (pelabelan kabel

jaringan dan perangkat)

- Catatan perubahan

- Surat tugas pekerjaan

- Kelengkapan buku tamu Data

center

Bidang Belum terdapat aturan - Penyusunan prosedur
Pengelolaan pelaksanaan pekerjaan di ruang
FSK-27 Teknologi Fisik Server Modifikasi server tanpa otorisasi data center - Aplikasi tidak dapat dijalankan A operasional Data Center 3 1 Rendah Accept
Informasi - Data/informasi corrupt - Memastikan rak sever selalu

terkunci

- Kunci rak server disimpan di

tempat yang aman dan terkunci

- Melarang barang pribadi

berada di R. Server

- Dokumentasi Lisensi dari

Vendor

Kinerja PC/Notebook menurun Terganggunya proses - Instalasi software sesuai
PC/Notebook karena terlalu banyak software operasional organisasi atau
FSK-28 All Fisik Instalasi software di layanan A dengan ketentuan yang berlaku 3 1 Rendah Accept
FSK-30 All Fisik yang terinstall PC/Notebook tidak diatur - Pencabutan hak admin lokal 1 Rendah Accept

PC yang digunakan user

- Administrator PC hanya

diberikan kepada SO setiap unit

PC/Notebook Penggunaan PC/Notebook tidak Inventarisasi aset PC/Notebook Hilangnya / bocornya informasi - Database BMN 2
dipertanggungjawabkan belum mencantumkan personil yang tersimpan - Kartu Inventaris ruangan
pemilik/penanggungjawab aset C, A - Daftar inventaris lainnya
- Form Peminjaman Barang
- BAST Penyerahan perangkat

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Pengendalia Nilai
FSK-32 Kecend Risiko Kecend
FSK-34 All Klasifikasi Jenis Ancaman Dampak Nilai erungan Dasar n Risiko Nilai erunga Nilai Risiko Akhir
Dampak
Bidang Dampak n
Pengelolaan
Teknologi Fisik PC/Notebook terkena serangan Update patch dan antivirus • Aplikasi layanan TI Kemenkes C, I, A - Terinstalasi antivirus pada 2 2 Rendah Accept
Informasi PC/Notebook virus atau hacker melalui celah masih tergantung pada RI tidak dapat dijalankan, perangkat PC
kesadaran masing - masing • Hilangnya data dan/atau - Update antivirus dilakukan
keamanan OS dan antivirus personil software secara otomatis
- Scanning antivirus secara
periodic

Fisik Server Server terkena serangan virus atau Update patch dan antivirus • Aplikasi layanan TI Kemenkes C, I, A - Untuk patch OS windows 4 1 Rendah Accept
hacker melalui celah keamanan masih tergantung pada RI tidak dapat dijalankan, dilakukan secara otomatis,
software dan antivirus kesadaran masing - masing • Hilangnya data dan/atau untuk OS linux (centOS 6.4)
personil software tidak dilakukan patching
dikarenakan terdapat insiden
pada saat instalasi patch
- Membuat dokumentasi
terkait hasil insiden update
patch di server

FSK-35 All Fisik Notebook Notebook hilang Aset Informasi Pusdatin belum Pencurian terhadap sistem C, I, A - Database BMN 3 1 Rendah Accept
- Kartu Inventaris ruangan
diinventarisir dan/atau data - Daftar inventaris lainnya
- Form Peminjaman Barang
- BAST Penyerahan Perangkat

- Inventaris perangkat server

dan perangkat pendukungnya

- Ketidakstabilan dan/atau di R. Server

Bidang menurunnya kinerja sistem - Update Topologi dan
Pengelolaan
FSK-36 Teknologi Fisik Server Penanganan masalah sistem Aset Informasi Pusdatin belum - Aplikasi bisnis tidak dapat A Dokumentasi server di setiap 3 1 Rendah Accept
Informasi terhambat rak 3 1 Rendah Accept
diinventarisir dijalankan, 3 2 Sedang Control

- Hilangnya data dan/atau - Melakukan update terhadap

software inventaris yang berada di R.

Data Center (pelabelan kabel

jaringan dan perangkat)

FSK-37 All Fisik Removable Removable media hilang / dicuri Belum ada aturan mengenai Pencurian terhadap sistem - Menginventaris Removable
Media pengamanan media fisik yang dan/atau data media
menyimpan informasi - Penggunaan password di USB
- Menyimpan RM di tempat
C, A yang aman saat tidak digunakan
- Memberikan sosialisasi
tentang keamanan informasi
aset pusdatin
'- Melaporkan insiden

FSK-38 All Fisik Notebook Notebook pribadi yang digunakan Belum ada aturan mengenai Pencurian terhadap sistem - Pendaftaran aset pribadi ke SO
C, I, A masing-masing bidang/bagian
untuk keperluan pusdatin hilang penggunaan aset pribadi dan/atau data
(Notebook, USB HDD Ex)

- Penggunaan password pada

Belum ada aturan mengenai PC/Notebook
pengamanan aset yang
FSK-39 All Fisik Notebook PC/Notebook hilang /dicuri ditinggal penggunanya Hilangnya / bocornya informasi C, A - Pengaktifan screen saver lock 3 1 Rendah Accept
yang tersimpan selama 5 menit

- Melakukan pengadaan cable

lock

FSK-42 All Fisik PC/Notebook/ Personil tidak menjaga aset yang Belum ada aturan penerapan Aset fisik rusak/tidak dapat A - NDA Pihak Ketiga 2 2 Rendah Accept
Removable dipinjamkan oleh Kemenkes RI Perjanjian Kerahasiaan (NDA) di digunakan - NDA seluruh Pegawai Pusdatin
Media lingkungan Pusdatin - Memastikan NDA untuk Pihak
Ke-3 ditandatangani

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Pengendalia Nilai
Kecend Risiko Kecend
Klasifikasi Jenis Ancaman Dampak Nilai erungan Dasar n Risiko Nilai erunga Nilai Risiko Akhir
Dampak
Dampak n

Bidang Belum dilakukan monitoring • Aplikasi layanan TI Kemenkes
Pengelolaan
FSK-43 Teknologi Fisik Server Server mengalami malfungsi rutin kondisi lingkungan (suhu RI tidak dapat dijalankan, A - Log monitoring untuk 4 1 Rendah Accept
Informasi overheat atau intermiten maintenance R. Server.
dan kelembaban ruang) di • Hilangnya data dan/atau

ruang server software

Bidang Server untuk layanan hosting tidak Belum memiliki Business • Aplikasi layanan TI Kemenkes - Melakukan BCM
Pengelolaan RI tidak dapat dijalankan, - Menyusun, menganalisa, dan
FSK-44 Teknologi Fisik Server dapat digunakan saat terjadi Continuity Plan atau Disaster • Hilangnya data dan/atau mendokumentasikan BIA 3 1 Rendah Accept
Informasi software A - Memiliki DRC untuk
gangguan atau bencana Recovery Plan membackup sistem yang kritikal
- Merencanakan dan
melaksanakan pengujian BCM

FSK-45 Bidang Fisik Server Server terbakar Kesiapan operasional sistem • Aplikasi layanan TI Kemenkes - Monitoring maintenance 4 2 Sedang Control 4 1 Rendah
Pengelolaan argonite di ruang server tidak RI tidak dapat dijalankan, A sarana pendukung secara
Teknologi dipelihara dengan efektif • Hilangnya data dan/atau
Informasi software periodik

FSK-46 Bidang Fisik Server Server overheat karena AC rusak Tidak ada log maintenance AC • Aplikasi layanan TI Kemenkes - Maintenance sarana 4 1 Rendah Accept
Pengelolaan dan UPS ruang server RI tidak dapat dijalankan, A pendukung dan Ruangan server
Teknologi • Hilangnya data dan/atau
Informasi software secara periodik

FSK-47 Bidang Fisik Server Server rusak karena listrik mati Kurang tersedianya pasokan • Aplikasi layanan TI Kemenkes - Maintenance sarana 4 1 Rendah Accept
Pengelolaan listrik seperti genset atau UPS RI tidak dapat dijalankan, A pendukung dan Ruangan server
Teknologi • Hilangnya data dan/atau
Informasi software secara periodik

FSK-49 Subbag Keuangan Fisik Notebook Tidak bisa mengakses aplikasi Laptop yang sudah tidak Kegiatan operasional sangat A Belum ada kontrol 2 3 Sedang Control 2 3 Sedang
dan BMN SIMAK-BMN kompatibel dengan update terganggu 3 Sedang
aplikasi SIMAK-BMN

FSK-50 Subbag Keuangan Fisik PC Tidak bisa mengakses aplikasi PC yang sudah tidak kompatibel Kegiatan operasional sangat A Belum ada kontrol 2 3 Sedang Control 2
dan BMN SIMAN Online dengan update aplikasi SIMAN terganggu
Online

Rendah 27 Rendah 6
Sedang 7 Sedang 2
Tinggi 0 Tinggi 0

Control 9
Accept 27

Menyetujui Risk Owner

Security Officer (SO)

Bidang Pengembangan Sistem Informasi Bidang Pengelolaan Teknologi Informasi Bidang Pengelolaan Data dan Informasi Bagian Tata Usaha

Bidang Pengembangan Sistem Informasi Bidang Pengelolaan Teknologi Informasi Bidang Pengelolaan Data dan Informasi Bagian Tata Usaha

Aset Deskripsi Risiko Risiko Inheren Risiko Residual

No Lingkup C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Pengendalia Nilai
Kecend Risiko Kecend
Klasifikasi Jenis Ancaman Kerawanan Dampak Nilai erungan Dasar n Risiko Nilai erunga Nilai Risiko Akhir
Dampak
Dampak n

(…………………….…………………) (……………………………………….……) (………………………………..………………) (……………………………………………)

EGISTER ASET FISIK

SK/SMKI-PUSDATIN/03) Versi: 3
kasi Rekaman: Rahasia

AN INFORMASI KEMENKES RI

Rincian Rencana Pengendalian

Rencana Kontrol tambahan Annex Kontrol Kebutuhan Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Terkait Dokumen Teknologi Penunjang Waktu

- Memastikan clear desk dan clear screen A.11.2.9 Prosedur Minggu IV
berjalan efektif (Bidang Pengelolaan TI) pengelolaan aset SO Septembe
TI
r 2017
- Memastikan seluruh aset register telah A.8.1.1, A.8.1.2, Prosedur
diupdate sesuai dengan kondisi terkini A.8.1.3, A.8.3.1, pengelolaan aset Minggu I
A.8.2.3, C.8 TI SO Oktober

2017

A.8.1.1, A.8.1.2, Prosedur - update antivirus SO Minggu I
A.8.1.3, A.8.3.1, pengelolaan aset secara periodik Oktober
A.8.2.3, C.8 TI - scanning antivirus 2017

A.8.1.1, A.8.1.2, Subbag Kepum
A.8.1.3, A.8.3.1,
A.8.2.3, C.8,
A.11.2.5, A.12.6.2

A.9.1.1, A.9.2.1, Prosedur SO
A.11.2.2, A.9.2.4, pengelolaan aset
A.9.3.1, A.11.2.9, TI
A.9.4.2, A.9.2.2,
A.9.4.3

- Mendokumentasikan dan mereview A.9.1.1, A.9.2.1, Prosedur Bidang Minggu I
penggunaan admin root server Pengelolaan Hak Pengelolaan Oktober
- Menggunakan sistem atau software untuk Akses Teknologi 2017
merekam aktivitas admin (access control Informasi
one identity)

- Mendokumentasi penggunaan remote A.9.1.2, A.9.4.2, Daftar pegawai Bidang Minggu I
access A.6.2.2 yang Pengelolaan Oktober
diperbolehkan Teknologi 2017
untuk melakukan Informasi
teleworking

Rincian Rencana Pengendalian

Rencana Kontrol tambahan Annex Kontrol Kebutuhan Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Terkait Dokumen Teknologi Penunjang Waktu

A.15.2.1, A.12.4.1 - analisa log firewall Bidang Minggu I
- Penetration Test Pengelolaan Oktober
- Monitoring Teknologi 2017
Jaringan server Informasi
secara periodik
- Mendokumentasikan proses review log A.9.1.1, A.9.2.1, Prosedur Bidang Minggu I
monitoring user server dan aplikasi Pengelolaan hak Pelaksanaan review Pengelolaan Oktober
akses terhadap hak akses Teknologi 2017
user Informasi

A.12.1.3, A.15.2.1, Prosedur - Monitoring Bidang
A.12.4.1 Pengelolaan jaringan server Pengelolaan
Jaringan secara periodik Teknologi
Informasi
A.9.1.1, A.9.2.1, Prosedur
A.11.2.2, A.9.2.4, Pengelolaan aset SO
A.9.3.1, A.11.2.9, TI
A.9.4.2, A.9.2.2,
A.9.4.3

A.9.1.1, A.9.2.1, Prosedur SO
A.11.2.2, A.9.2.4, pengelolaan aset
A.9.3.1, A.11.2.9, TI
A.9.4.2, A.9.2.2,
A.9.4.3

A.11.2.4 Prosedur Bidang
pengelolaan aset Pengelolaan
TI Teknologi
Informasi

A.12.1.3, A.12.4.1 Prosedur Bidang
manajemen Pengelolaan
perubahan Teknologi
Informasi

A.9.1.1, A.9.2.3, Prosedur Penataan admin SO
A.9.2.2 pengendalian hak lokal PC / Notebook
akses

Rincian Rencana Pengendalian

Rencana Kontrol tambahan Annex Kontrol Kebutuhan Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Terkait Dokumen Teknologi Penunjang Waktu

A.12.1.3, A.12.4.1 Dokumentasi Bidang
analisa kapasitas Pengelolaan
Teknologi
Informasi

A.11.1.5, A.11.2.4, Dokumentasi Bidang
Pengelolaan
A.15.2.1 perbaikan server Teknologi
Informasi

A.11.2.3 - Prosedur - Pelaksanaan Bidang
palabelan kabel pelabelan untuk Pengelolaan
- Dokumentasi seluruh kabel di Teknologi
perubahan kabel server Informasi

A.13.1.2, A.12.4.1, Prosedur - Surat tugas Bidang
A.9.4.5, A.11.4.5 operasional Data pekerjaan Pengelolaan
Center - Kelengkapan buku Teknologi
tamu Data center Informasi

A.12.5.1, A.9.4.5, Prosedur instalasi Bidang
Pengelolaan
A.18.1.2 software Teknologi
Informasi
A.8.2.1, A.8.2.2,
A.11.1.4, A.11.2.7, Subbag Kepum
A.12.1.1, A.8.3.2,
A.8.2.3

Rincian Rencana Pengendalian

Rencana Kontrol tambahan Annex Kontrol Kebutuhan Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Terkait Dokumen Teknologi Penunjang Waktu

A.10.1.2, A.10.3.2, Prosedur Scanning antivirus SO
A.12.5.1, A.12.5.2, pengelolaan aset secara teratur
A.12.6.1 TI

A.12.6.1 Pengelolaan Bidang
instalasi patch pada Pengelolaan
A.7.2.1, A.7.2.2, server Teknologi
A.9.1.4, A.9.2.6, Informasi
A.10.1.1, A.10.7.2,
A.10.7.3 Subbag Kepum

A.8.2.1, A.8.2.2, Bidang
A.11.1.4, A.11.2.7, Pengelolaan
A.12.1.1, A.8.3.2, Teknologi
A.8.2.3 Informasi

A.11.2.9, A.8.1.1, Register aset Minggu I
A.8.1.2, A.8.1.3, pusdatin, SO Oktober
A.8.3.1, A.8.2.3, C.8 Prosedur
Pengelolaan Aset 2017
IT
Minggu I
- Memastikan seluruh aset register telah A.8.1.1, A.8.1.2, SO Oktober
diupdate sesuai dengan kondisi terkini A.8.1.3, A.8.3.1,
A.8.2.3, C.8 2017

A.9.1.1, A.9.2.1, Prosedur SO
A.9.2.3, A.9.2.4, pengelolaan aset
A.9.3.1, A.11.2.9, TI Subbag Kepum
A.9.4.2, A.9.2.2,
A.9.4.3

A.15.1.1, A.15.1.2,
A.15.2.1

Rincian Rencana Pengendalian

Rencana Kontrol tambahan Annex Kontrol Kebutuhan Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Terkait Dokumen Teknologi Penunjang Waktu

A.11.2.2, A.11.2.4 Bidang
Pengelolaan
Teknologi
Informasi

A.11.1.4, A.17.1.1, - Prosedur BCM Pembuatan DRC Bidang
A.17.1.1, A.17.1.2, - Dokumen BIA Pengelolaan
A.17.1.3, A.11.2.2, Teknologi
A.11.2.4 Informasi

- Mengadakan pemeliharaan perangkat A.11.2.2, A.11.2.4 - Monitoring Bidang
pendukung argonite oleh pihak ketiga maintenance sarana Pengelolaan
pendukung secara Teknologi
periodik Informasi

A.11.2.2, A.11.2.4 - Monitoring Bidang
maintenance sarana Pengelolaan
pendukung secara Teknologi
periodik Informasi

A.11.2.2, A.11.2.4 - Monitoring Bidang
maintenance sarana Pengelolaan
Menginformasikan kepada pihak terkait pendukung secara Teknologi
untuk penggantian perangkat yang sesuai A.11.2.2, A.11.2.4 periodik Informasi
dengan spesifikasi rekomendasi dari aplikasi
Subbag Desember
Menginformasikan kepada pihak terkait Keuangan dan 2017
untuk penggantian perangkat yang sesuai A.11.2.2, A.11.2.4 BMN
dengan spesifikasi rekomendasi dari aplikasi
Subbag Desember
Keuangan dan 2017
BMN

Kasubbid. Pengelolaan Aplikasi dan Database

Rincian Rencana Pengendalian

Rencana Kontrol tambahan Annex Kontrol Kebutuhan Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Terkait Dokumen Teknologi Penunjang Waktu

(…………………………………..…..........)

RISK REGISTER ASET SOFTWARE

(No. Rekaman: RSK/SMKI-PUSDATIN/03) Versi: 3

Klasifikasi Rekaman: Rahasia

PUSAT DATA DAN INFORMASI KEMENKES RI

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Klasifikasi Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Rencana Kontrol tambahan
Dampa Kecend Risiko Dampa Kecend Risiko
erunga Dasar erunga Akhir
k k
n n

Bidang Aset Informasi - Inventaris lisensi - Memastikan seluruh aset
Pusdatin belum software 3 1 Rendah register telah diupdate sesuai
SFT-01 Pengelolaan Software Software Lisensi software digunakan diinventarisir Kerugian finansial C, I, A - Dokumentasi instalasi 3 3 Sedang Control
Teknologi pihak tidak berwenang antivirus Kaspersky di dengan kondisi terkini
PC/notebook
Informasi - Dokumentasi instalasi
OS di server
- Dokumentasi instalasi
software berlisensi pada
perangkat

Bidang Belum ada aturan Informasi sensitif/rahasia - Pengelolaan admin
mengenai server dilakukan oleh
SFT-02 Pengelolaan Software Database Database diakses oleh pihak penggunaan diketahui oleh pihak yang tidak C, I, A pemilik masing-masing 3 1 Rendah Accept
Teknologi yang tidak berwenang resource bersama server
antar aplikasi berwenang
Informasi

Bidang Belum pernah Informasi sensitif/rahasia - Pelaksanaan
dilakukan
SFT-03 Pengelolaan Software Database Database diakses pihak tidak penetration test diketahui oleh pihak yang tidak C, I, A penetration test terhadap 4 2 Sedang Control 4 1 Rendah - Mendokumentasikan
Teknologi berwenang (hacker) untuk jaringan pelaksanaan penetration test
berwenang jaringan
Informasi

- Mengelola aset TI sesuai

dengan ketentuan yang

berlaku

Belum ada aturan - Scanning antivirus

Bidang Software terinfeksi virus yang mengenai Kegagalan software atau secara periodic
corrupt yang menyebabkan
SFT-04 Pengelolaan Software Software dibawa oleh instalasi perubahan pada tidak dapat difungsikannya C, A - Update antivirus 3 1 Rendah Accept
Teknologi perangkat fisik terkait dilakukan secara Accept
software yang asalnya tidak hardware dan

Informasi jelas software otomatis

PC/Notebook - Pencabutan hak akses

admin lokal pada PC User

- Update lisensi untuk

antivirus

Belum ada aturan - Pencabutan hak akses

Bidang Software tidak bekerja mengenai admin lokal pada PC User

SFT-05 Pengelolaan Software Software optimal karena tidak perubahan pada Software dtidak dapat A - Hak akses admin pada 2 1 Rendah
Teknologi digunakan saat diperlukan PC dikelola oleh SO
compatibel dengan software hardware dan

Informasi lain software masing-masing unit

PC/Notebook

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Rencana Kontrol tambahan
Klasifikasi Dampa Kecend Risiko Dampa Kecend Risiko
erunga Dasar erunga Akhir
k k
n n

- Instalasi software sesuai

dengan ketentuan yang

berlaku

- Instalasi software

Belum ada aturan dilakukan oleh - Membuat perencanaan
mengenai kebutuhan software dan
Bidang perubahan pada Kegagalan software atau administrator 3 1 Rendah mendokumentasikan hasil
hardware dan corrupt yang menyebabkan pengujian terhadap seluruh
SFT-06 Pengelolaan Software Software Penggunaan software ilegal software tidak dapat difungsikannya A - Pencabutan hak akses 3 2 Sedang Control software yang akan digunakan
Teknologi pada perangkat Pusdatin PC/Notebook perangkat fisik terkait administrator PC yang

Informasi digunakan user

- Instalasi software non-

lisensi digunakan untuk

pengujian keamanan

sistem tersebut

Kurang tersedianya - Membuat perencanaan
kebutuhan software dan
lisensi software Kegagalan software atau 3 1 Rendah mendokumentasikan hasil
pengujian terhadap seluruh
SFT-07 All Software Software Penggunaan software ilegal yang dibutuhkan corrupt yang menyebabkan A 3 2 Sedang Control software yang akan digunakan
pada perangkat Pusdatin Accept
untuk tidak dapat difungsikannya

melaksanakan perangkat fisik terkait

aktivitas pekerjaan

Belum ada aturan Kegagalan software atau - Pencabutan hak admin
lokal PC yang digunakan
SFT-08 All Software Software Software terkena virus saat terkait penggunaan corrupt yang menyebabkan C, I, A user 3 1 Rendah
menginstal software ilegal - Administrator PC hanya
akses priviledge tidak dapat difungsikannya diberikan kepada SO
setiap unit
admin lokal PC perangkat fisik terkait - Update lisensi untuk
antivirus

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Rencana Kontrol tambahan
Klasifikasi Dampa Kecend Risiko Dampa Kecend Risiko
erunga Dasar erunga Akhir
k k
n n

Bidang Belum pernah Informasi sensitif/rahasia - Pelaksanaan
dilakukan penetration test terhadap
SFT-09 Pengelolaan Software Database Database dimodifikasi pihak penetration test diketahui oleh pihak yang tidak C, I, A jaringan 4 1 Rendah Accept
Teknologi tidak berwenang (hacker) untuk jaringan - Mendokumentasikan
berwenang pelaksanaan penetration
Informasi test

Bidang Instalasi software di Kegagalan software atau - Permintaan
PC/Notebook tidak corrupt yang menyebabkan dokumentasi Lisensi dari
SFT-10 Pengelolaan Software Software Software terkena virus saat diatur tidak dapat difungsikannya C, I, A Vendor 3 1 Rendah Accept
Teknologi instalasi software ilegal perangkat fisik terkait - Instalasi software sesuai
dengan ketentuan yang
Informasi berlaku
- Pencabutan hak admin
lokal PC yang digunakan
user
- Administrator PC hanya
diberikan kepada SO
setiap unit

Bidang Tidak ada sistem - Instalasi antivirus di
yang dapat
SFT-11 Pengelolaan Software Software patch tidak terupdate memastikan S/W Kinerja S/W terganggu A server 4 1 Rendah Accept
Teknologi sudah terupdate - monitoring & evaluasi

Informasi patch

SFT-12 All Software OS OS terinfeksi virus yang Belum ada aturan • Aplikasi layanan TI Kemenkes C, I, A - Mengelola aset TI sesuai 2 2 Rendah Accept
dibawa oleh instalasi mengenai RI tidak dapat dijalankan, dengan ketentuan yang
software yang asalnya tidak perubahan pada • Hilangnya data dan/atau berlaku
jelas hardware dan software - Scanning antivirus
software secara periodic
PC/Notebook - Update antivirus
dilakukan secara
otomatis
- Pencabutan hak akses
admin lokal pada PC User
- Update lisensi untuk
antivirus

Belum ada - Melakukan backup dan

Bidang Database yang hilang atau ketentuan restore yang telah
rusak tidak dapat dipulihkan mengenai metode Informasi tidak dapat diakses dijadwalkan secara
SFT-13 Pengelolaan Software Database karena gagal restore pelaksanaan backup saat dibutuhkan A periodik pada data center 2 2 Rendah Accept
Teknologi dan uji restore hasil dimana dapat dari log

Informasi

backup server

Rendah 9 Control 4
Sedang 4 Accept 9
Tinggi 0

Aset Deskripsi Risiko Risiko Inheren Risiko Residual
Kerawanan
No Lingkup Jenis Ancaman Dampak C, I, A Kontrol Yang Ada Saat Ini Nilai Nilai Nilai Pengendalian Risiko Nilai Nilai Nilai Rencana Kontrol tambahan
Klasifikasi Dampa Kecend Risiko Dampa Kecend Risiko
erunga Dasar erunga Akhir
k k
n n

Rendah 4
Sedang 0
Tinggi 0

Menyetujui Risk Owner

Security Officer (SO) Kasubbid. Pengelolaa

Bidang Pengembangan Sistem Informasi Bidang Pengelolaan Teknologi Bidang Pengelolaan Data dan Bagian Tata Usaha
Informasi Informasi

(…………………….…………………) (……………………………………….……) (………………………………..………………) (……………………………………………) (………………………

STER ASET SOFTWARE

SK/SMKI-PUSDATIN/03) Versi: 3
asi Rekaman: Rahasia

N INFORMASI KEMENKES RI

Rincian Rencana Pengendalian

Annex Kontrol Terkait Kebutuhan Dokumen Kebutuhan Kebutuhan PIC Risk Owner Target Progres Status
Teknologi Penunjang Waktu

Bidang Minggu

A.18.1.2 Daftar lisensi software dan Pengelolaan I
penggunannya
Teknologi Oktobe

Informasi r 2017

A.12.1.1, A.12.1.2, A.6.1.2, Prosedur pengembangan Bidang
Pengelolaan
A.12.1.4 aplikasi Teknologi
Informasi

- analisa log Bidang Minggu
firewall
A.15.2.1, A.12.4.1 - Penetration Pengelolaan I
Test
- Monitoring Teknologi Oktobe
Jaringan
server secara Informasi r 2017
periodik

A.11.2.4 Prosedur Pengelolaan Aset TI Bidang
Pengelolaan
Teknologi
Informasi

A.11.2.4 Prosedur Pengelolaan Aset TI Bidang
Pengelolaan
Teknologi
Informasi