FORMULIR PENGENDALIAN SURAT - MASUK

Transkripsi

1 PT PLN (Persero) KANTOR WILAYAH KALTIM FORMULIR PENGENDALIAN SURAT - MASUK Pengendalian P e n g o l a h a n No.Agenda : 285/060/WKT/2011 Tanggal : 07 Februari 2011 Nama File : Arsip16966 Disposisi No. Surat : 026.K/DIR/2011 Tanggal : 21 Januari 2011 Dari : PLN PUSAT - SETIO ANGGORO DEWO Kepada : PLN WILAYAH KALTIM Perihal : PENGAMANANAN SISTEM TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN (PERSERO) Lampiran Tanggal : Diteruskan Kepada : Tanggal : Kembali ke Unit Tata Usaha : 1. GENERAL MANAGER 2. KAI 3. MANBID TEKNIK 4. MANBID PERENCANAAN 5. MANBID NIAGA & PP 6. MANBID KEUANGAN 7. MANBID SDM & KHA 8. P2K LISDES Kode Masalah : 060 Indeks : Kode Tunjuk Silang : Jadwal Retensi : 1 tahun Catatan : 1. Jika surat ini selesai diproses, harap dikembalikan kepada Unit Tata Usaha 2. Jika mengenai rahasia Perusahaan/Negara, berusaha dan bantulah untuk tetap memegang rahasia tersebut. 07/02/2011

2 PT PLN (PERSERO) KEPUTUSAN DIREKSI PT PLN (PERSERO) NOMOR : 026.K/DIR/2011 TENTANG PENGAMANAN SISTEM TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN (PERSERO) DIREKSI PT PLN (PERSERO) Menimbang a. bahwa dalam rangka meningkatkan produktivitas pekerjaan di lingkungan PT PLN (Persero) dan dalam mewujudkan rencana kerja yang berpedoman pada prinsip Good Coorporate Governance, maka perlu didukung dengan kemajuan Teknologi Informasi; b. bahwa untuk mendukung pelaksanaan pekerjaan agar lebih efisien, PT PLN (Persero) telah melengkapi kebutuhan pegawai dengan memberikan fasilitas Teknologi Informasi; c. bahwa untuk melaksanakan kegiatan dengan menggunakan fasilitas Teknologi Informasi, dipandang perlu dilakukan pengamanan Sistem Teknologi Informasi di Lingkungan PT PLN (Persero); d. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, b dan c di atas, perlu menetapkan Keputusan Direksi PT PLN (Persero) tentang Pengamanan Sistem Teknologi Informasi di Lingkungan PT PLN (Persero). Mengingat 1. Undang-undang RI Nomor 19 Tahun 2003 tentang Badan Usaha Milik Negara; 2. Undang-undang RI Nomor 40 Tahun 2007 tentang Perseroan Terbatas; 3. Undang-Undang RI Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik; 4. Undang-Undang RI Nomor 30 Tahun 2009 tentang Ketenagalistrikan; 5. Peraturan Pemerintah RI Nomor 10 Tahun 1989 tentang Penyediaan dan Pemanfaatan Tenaga Listrik sebagaimana telah diubah dengan Peraturan Pemerintah RI Nomor 3 Tahun 2005 dan Peraturan Pemerintah RI Nomor 26 Tahun 2006; 6. Peraturan Pemerintah RI Nomor 23 Tahun 1994 tentang Pengalihan Bentuk Perusahaan Umum (Perum) Listrik Negara menjadi perusahaan Perseroan (Persero); 7. Peraturan Pemerintah RI Nomor 45 Tahun 2005 tentang Pendirian, Pengurusan, Pengawasan dan Pembubaran Badan Usaha Milik Negara; 9. Anggaran Dasar PT PLN (Persero); Keputusan Menteri Negara Badan Usaha Milik Negara Nomor KEP- 58/MBU/2008 jo Keputusan Menteri Badan Usaha Milik Negara Nomor KEP- 252/MBU/2009 tentang Pemberhentian dan Pengangkatan Anggota-Anggota Dlreksi Perusahaan Perseroan (Persero) PT Perusahaan Listrik Negara; 10. Keputusan...

3 10. Keputusan Direksi PT PLN (Persero) Nomor 001.K/030/DIR/1994 tentang Pemberlakuan Peraturan Sehubungan Dengan Pengalihan Bentuk Hukum Perusahaan; 11. Keputusan Direksi PT PLN (Persero) Nomor 304.K/DIR/2009 tentang Batasan Kewenangan Pengambilan Keputusan di Lingkungan PT PLN (Persero); 12. Keputusan Direksi PT PLN (Persero) Nomor 017.K/DIR/2010 tentang Organisasi dan Tata Kerja PT PLN (Persero) sebagaimana telah diubah dengan Keputusan Direksi PT PLN (Persero) Nomor 055.K/DIR/2010; 13. Keputusan Direksi PT PLN (Persero) Nomor 529.K/DIR/2010 tentang Pedoman dan Kebijakan Umum Tata Kelola Teknologi Informasi di Lingkungan PT PLN (Persero). MEMUTUSKAN: Menetapkan KEPUTUSAN DIREKSI PT PLN (PERSERO) TENTANG PENGAMANAN SISTEM TEKNOLOGI INFORMASI DI LINGKUNGAN PT PLN (PERSERO). BABI KETENTUAN UMUM Pasal 1 Defenisi Dalam Keputusan ini yang dimaksud dengan : 1. Perseroan adalah PT (Persero) Perusahaan Listrik Negara; 2. Direksi adalah Direksi Perseroan; 3. Manajemen adalah Organ Perseroan yang bertanggung jawab atas pengelolaan Unit Bisnis atau Organ Perseroan satu tingkat di bawah Direksi; 4. Unit Bisnis adalah Unit Organisasi satu tingkat di bawah Kantor Pusat yang melaksanakan kegiatan usaha tertentu sesuai dengan tujuan dan kegiatan usaha Perseroan yang terdiri dari Unit Bisnis Penyedia Tenaga Listrik dan Unit Bisnis Penunjang Tenaga Listrik; 5. Manajemen Unit Bisnis adalah Organ Perseroan yang bertanggung jawab atas pengelolaan Unit Bisnis sesuai dengan maksud dan tujuan Unit Bisnis; 6. Stakeholder adalah pihak-pihak yang berkepentingan dengan Perseroan; 7. Data adalah suatu objek, kejadian atau fakta tentang Perseroan atau Stakeholder yang terdokumentasikan dengan memiliki pengodean terstruktur; 8. Informasi adalah hasil pengolahan Data Perseroan dengan menggunakan Teknologi Informasi milik atau disewa oleh Perseroan; 9. Teknologi Informasi adalah teknologi yang digunakan dalam proses kegiatan usaha Perseroan untuk mencatat, menyimpan, mengolah, mengambil kembali, mengirim atau menerima Informasi yang berkaitan dengan Perseroan ataupun Stakeholder guna mencapai maksud dan tujuan Perseroan; 10. Sistem Teknologi Informasi adalah sistem yang terdiri dari sumber daya Teknologi Informasi yang melakukan pengumpulan, proses dan penyimpanan data serta menghasilkan informasi yang berguna bagi kelangsungan bisnis Perseroan; 11. Aplikasi adalah software milik atau disewa oleh Perseroan yang digunakan dalam proses kegiatan usaha Perseroan; 12. Infrastruktur...

4 12. Infrastruktur Teknologi Informasi adalah sarana Teknologi Informasi milik atau disewa oleh Perseroan yang digunakan dalam proses kegiatan usaha Perseroan; 13. Aset Teknologi Informasi adalah semua perangkat keras, data/informasi dan Sistem Teknologi Informasi milik Perseroan yang digunakan dalam aktivitas operasional Perseroan; 14. Penyelenggara Teknologi Informasi adalah organisasi di dalam Perseroan yang bertanggung jawab terhadap penyelarasan pengelolaan Teknologi Informasi dengan kebutuhan Perseroan guna menjamin keberhasilan usaha dan akuntabilitas Perseroan; 15. Pengguna Akhir adalah karyawan tetap atau karyawan tidak tetap dan pihak lain yang dalam pekerjaannya berhubungan dengan Perseroan dan diberikan akses terhadap fasilitas Teknologi Informasi milik atau disewa oleh Perseroan sebagai sarana bekerja; 16. Rencana Strategis Teknologi Informasi adalah dokumen yang menggambarkan visi dan misi Teknologi Informasi Perseroan, strategi yang mendukung visi dan misi tersebut dan prinsip-prinsip utama yang menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan bisnis dan mendukung rencana strategis jangka panjang Perseroan. 17. Pemilik Proses Bisnis adalah Organ Perseroan yang bertanggungjawab terhadap unjuk kerja proses dalam mewujudkan tujuan Perseroan yang diukur dengan indikator unjuk kerja dan berwenang untuk mengubah proses bila diperlukan. 18. Insiden Keamanan Sistem Informasi adalah suatu kejadian yang tidak diinginkan atau tidak diharapkan yang dapat mengancam keamanan Sistem Teknologi Informasi; 19. Malicious codes adalah semua macam program, makro atau script yang dapat dieksekusi dan dibuat dengan tujuan untuk melakukan akses tidak sah, mengganggu atau merusak sistem Teknologi Informasi Perseroan; 20. Mobile Computing adalah metode akses Layanan Teknologi Informasi dari lokasi tidak tetap menggunakan komputer portabel/perangkat komunikasi seperti laptop, notebook, ponsel, PDA dll; 21. Teleworking adalah metode akses Layanan Teknologi Informasi dari lokasi yang berada di luar lingkungan Perseroan 22. Kriptographi adalah disiplin yang mencakup prinsip-prinsip, sarana dan metode untuk transformasi data dalam rangka untuk menyembunyikan isi data, mencegah penggunaan data yang tidak sah atau mencegah modifikasi yang tidak terdeteksi terhadap data; 23. Proses Enkripsi Kriptographi adalah sebuah proses yang mentransformasikan data/informasi dengan menggunakan metode tertentu sehingga data/informasi tidak dapat dibaca/dimengerti oleh pihak lain selain pihak yang memiliki pengetahuan atau kunci tertentu; 24. Proses disposal adalah proses penghapusan aset Teknologi Informasi dari daftar aset milik Perseroan sehingga aset tersebut tidak lagi dimiliki dan dikelola oleh Perseroan. Maksud ditetapkannya Keputusan ini adalah : Pasal 2 Maksud dan Tujuan a. Agar Seluruh kegiatan pengelolaan Teknologi Informasi dan penggunaan Fasilitas Teknologi Informasi mempertimbangkan Pengamanan Sistem Teknologi Informasi dengan prinsip menjaga kerahasiaan, integritas dan ketersediaan Informasi sehingga ukuran-ukuran keamanannya sejalan dengan rencana kesinambungan bisnis (Business Continuity Planning) Perseroan. b. Sebagai pedoman Penyelenggara Teknologi Informasi dalam menyusun dan menetapkan prosedur operasional. (2). Tujuan ditetapkannya Keputusan ini adalah : a. Melindungi sumber daya Teknologi Informasi Perseroan terhadap penggunaan, penyebaran, perusakan dan perubahan oleh pihak yang tidak bertanggung jawab. b. Memberikan aturan tentang pengelolaan Pengamanan Sistem Teknologi Informasi Perseroan yang sesuai dengan peraturan dan hukum yang berlaku. c. Memberi..

5 c. Memberi arah yang jelas bagi pelaksanaan pengelolaan Pengamanan Sistem Teknologi Informasi Perseroan agar sesuai dengan kebutuhan bisnis, peraturan dan hukum yang berlaku. Pasal 3 Ruang Lingkup Pengamanan Sistem Teknologi Informasi Pengamanan Sistem Teknologi Informasi ini berlaku secara menyeluruh di lingkungan Perseroan dan pihak eksternal yang melakukan akses terhadap Sistem Teknologi Informasi Perseroan. BAB II KEBIJAKAN UMUM Pasal 4 Komitmen Direksi Informasi, sistem pengolahan Data dan Informasi, jaringan dan sarana penunjang merupakan sumber daya Teknologi Informasi yang sangat penting bagi Perseroan. (2). Direksi mendukung penerapan, pengelolaan dan pengembangan Pengamanan Sistem Teknologi Informasi Perseroan untuk : a. Melindungi sumber daya Teknologi Informasi Perseroan dari berbagai ancaman yang dapat mengganggu kelangsungan bisnis Perseroan; b. Memberikan perlindungan terhadap sumber daya Teknologi Informasi Perseroan sesuai dengan tingkat kerahasiaan dan nilainya bagi Perseroan; c. Meningkatkan kepatuhan terhadap peraturan perundangan yang berlaku dengan memperhatikan kelangsungan bisnis Perseroan; d. Pengelolaan risiko penyelenggaraan Teknologi Informasi. Direksi mendukung pengalokasian sumber daya Perseroan dalam rangka penerapan, pengelolaan dan pengembangan Pengamanan Sistem Teknologi Informasi Perseroan. Pasal 5 Kerangka Kerja Pengamanan Sistem Teknologi Informasi Perseroan melalui Komite Teknologi Informasi menetapkan standard Pengamanan Sistem Teknologi Informasi dengan prinsip menjaga kerahasiaan, integritas dan ketersediaan Teknologi Informasi sehingga ukuran-ukuran keamanannya sejalan dengan : a. Rencana Kesinambungan Bisnis (Business Continuity Plan); b. Kepatuhan terhadap peraturan dan hukum yang berlaku; c. Pengelolaan risiko penyelenggaraan Teknologi Informasi. (2). Ukuran ketersediaan Teknologi Informasi ditetapkan dalam suatu standard unjuk kerja layanan yang sejalan dengan Rencana Kesinambungan Bisnis (Business Continuity Plan). (3). Pengembangan Pengamanan Sistem Teknologi Informasi Perseroan dilakukan melalui evaluasi secara berkala oleh Komite Teknologi Informasi, pengembangan kompetensi serta pengembangan kebijakan-kebijakan lainnya. (4). Pengelolaan Pengamanan Sistem Teknologi Informasi harus didefinisikan dalam prosedur operasional yang disahkan oleh Manajemen. (5). Penyelenggara Teknologi Informasi bertanggung jawab terhadap Pengamanan Sistem Teknologi Informasi dan mengkoordinasikan kegiatan pengelolaan Pengamanan Sistem Teknologi Informasi dengan pihak-pihak yang terkait. (6). Penyelenggara Teknologi Informasi berkewajiban untuk menyiapkan Sumber Daya Manusia yang bertanggung jawab terhadap pengembangan, implementasi, monitoring dan evaluasi Pengamanan Sistem Teknologi Informasi Perseroan. (7). Dalam...

6 Dalam hal terjadi kondisi tertentu yang memerlukan bantuan dari pihak di luar Perseroan (Polisi, Pemadam Kebakaran, dsb), maka hal tersebut hanya dapat dilakukan oleh Penanggung Jawab Pengamanan Sistem Teknologi Informasi setelah mendapat persetujuan dari Manajemen. (8). Penyelenggara Teknologi Informasi berkewajiban merintis atau memelihara komunikasi dengan pihak-pihak yang berkompeten dengan Pengamanan Sistem Teknologi Informasi dan menjadi anggota asosiasi atau forum Pengamanan Sistem Teknologi Informasi untuk mendukung pengembangan Pengamanan Sistem Teknologi Informasi. (9). Penyelenggara Teknologi Informasi wajib mengkomunikasikan semua Prosedur dan Kebijakan Pengamanan Sistem Teknologi Informasi secara jelas sehingga dipahami dan diterima oleh semua Stakeholder. (10). Ketentuan Pengamanan Sistem Teknologi Informasi akan ditinjau ulang secara berkala atau dapat dilakukan perubahan sesuai dengan kebutuhan bisnis Perseroan. BAB III PENGELOLAAN ASET Pasal 6 Inventarisasi Aset Teknologi Informasi Penyelenggara Teknologi Informasi berkewajiban melakukan identifikasi yang jelas dan menyimpan data detail (spesifikasi, konfigurasi, dsb) dari setiap Aset Teknologi Informasi serta melakukan updating sesuai kondisi terakhir. (2). Setiap Aset Teknologi Informasi harus mempunyai status kepemilikan, klasifikasi keamanan dan pembatasan akses yang didefinisikan dengan jelas dan ditinjau ulang secara periodik. (3). Setiap Aset Teknologi Informasi milik Perseroan hanya digunakan untuk kepentingan Perseroan dan tidak dapat dipindahtangankan atau digunakan secara tidak sah. (4). Definisi klasifikasi pengamanan dan pembatasan akses terhadap Aset Teknologi Informasi dibuat dengan memperhatikan tingkat sensitivitas dan kepentingannya. Pasal 7 Klasifikasi Informasi Klasifikasi Informasi ditetapkan oleh Perseroan dengan memperhatikan tingkat sensitivitas dan kepentingannya. (2). Klasifikasi Informasi harus didokumentasikan dan ditinjau ulang secara periodik. (3). Penyelenggara Teknologi Informasi dan Pemilik Teknologi Informasi membuat prosedur pengelolaan Informasi berdasarkan tingkat sensitivitas dan kepentingannya yang telah ditetapkan Perseroan. BAB IV PENGELOLAAN SUMBER DAYA MANUSIA Pasal 8 Pengelolaan Sumber Daya Manusia (1). Penyelenggara Teknologi Informasi harus mendefenisikan peran dan tanggung jawab pihak-pihak yang melakukan akses terhadap Sistem Teknologi Informasi Perseroan. (2). Pembuatan prosedur yang mengatur pelaksanaan pemberian dan pencabutan hak akses terhadap Sistem Teknologi Informasi Perseroan menjadi tanggung jawab Penyelenggara Teknologi Informasi. (3). Prosedur...

7 Prosedur pemberian hak akses terhadap Sistem Teknologi Informasi juga harus meliputi pemeriksaan latar belakang keamanan, kualifikasi profesional dan pemeriksaan identitas. (4). Penyelenggara Teknologi Informasi berkewajiban untuk melaksanakan pelatihan atau menyediakan referensi penunjang yang memungkinkan Pengguna Akhir memahami peran dan tanggung jawabnya dalam Pengamanan Sistem Teknologi Informasi Perseroan. (5). Pengguna Akhir Sistem Teknologi Informasi berkewajiban untuk melaporkan perubahan statusnya dalam Perseroan kepada Penyelenggara Teknologi Informasi. (6). Pihak Manajemen berkewajiban untuk mengingatkan pegawai yang berada dalam rentang kendalinya untuk selalu mematuhi kebijakan ataupun prosedur Pengamanan Sistem Teknologi Informasi Pasal 9 Sanksi terhadap Pelanggaran Ketentuan (1). Pelanggaran yang dilakukan oleh pihak internal Perseroan terhadap ketentuan ini dapat dikenakan sanksi berupa peringatan tertulis, pemblokiran akses, pencabutan akses sampai dengan diusulkan ke atasan pengguna atau bagian kepegawaian oleh Penyelenggara Teknologi Informasi untuk dikenakan sanksi kepegawaian sesuai ketentuan Peraturan Disiplin Pegawai Perseroan. (2). Pelanggaran yang dilakukan oleh pihak eksternal terhadap ketentuan ini dapat berakibat dikenakan sanksi berupa peringatan tertulis, pencabutan akses sampai dengan pemutusan hubungan kerja atau dilaporkan ke pihak yang berwajib untuk diproses sesuai hukum yang berlaku. BAB V PENGELOLAAN KEAMANAN FISIK DAN LINGKUNGAN Pasal 10 Pengelolaan Keamanan infrastruktur Teknologi Informasi (1). Infrastruktur Teknologi Informasi harus ditempatkan pada area yang mempunyai pembatas secara fisik dan mempunyai kontrol keamanan untuk memastikan bahwa Infrastruktur Teknologi Informasi hanya dapat diakses oleh pihak yang diberi wewenang sehingga dapat terhindar dari penggunaan, perusakan dan perubahan oleh pihak yang tidak memiliki hak akses. (2). Infrastruktur Teknologi Informasi harus ditempatkan pada area yang sesuai dengan persyaratan masing-masing peralatan serta mempertimbangkan faktor keamanan terhadap kebakaran, banjir, gempa bumi ataupun kejadian alam lainnya yang dapat menimbulkan kerusakan pada Infrastruktur Sistem Informasi. (3). Penyelenggara Teknologi Informasi harus membuat : a. Identifikasi, labeling dan dokumentasi semua peralatan yang termasuk Infrastruktur Teknologi Informasi dalam rentang kendali masing-masing; b. Daftar hak akses Infrastruktur Teknologi Informasi, prosedur pengendalian dan monitoring akses terhadap Infrastruktur Teknologi Informasi; c. Prosedur pengendalian dan monitoring akses terhadap Infrastruktur Teknologi Informasi; d. Prosedur dalam menghadapi keadaaan darurat. (4). Sistem sumber daya tenaga listrik Infrastruktur Teknologi Informasi harus dapat memenuhi kebutuhan tenaga listrik minimum Infrastruktur Teknologi Informasi yang sesuai dengan tingkat sensitivitas dan kepentingannya. (5). Instalasi sistem tenaga listrik Infrastruktur Teknologi Informasi harus ditempatkan pada jalur dan atau rak yang berbeda dari instalasi jaringan komunikasi data. (6). Pemeliharaan rutin dan atau pemeliharaan non rutin Infrastruktur Teknologi Informasi dilaksanakan oleh pelaksana yang telah mendapat persetujuan dari Penyelenggara Teknologi Informasi. (7). Kegiatan...

8 Kegiatan-kegiatan yang tidak berkaitan langsung dengan pengoperasian Layanan Teknologi Informasi tidak diperkenankan untuk dilaksanakan pada area pengoperasian Layanan Teknologi Informasi ataupun pada area Infrastruktur Teknologi Informasi. Kegiatan pemeliharaan Infrastruktur Teknologi Informasi secara off-line harus dilaksanakan di luar area pengoperasian Layanan Teknologi Informasi dan area Infrastruktur Teknologi Informasi. Infrastruktur Teknologi Informasi tidak diperkenankan untuk dibawa ke luar area Perseroan tanpa seijin Penyelenggara Teknologi Informasi dan atau pihak lain yang berwenang. Pasal 11 Pengelolaan Keamanan Data dan Informasi M. Data dan Informasi adalah aset penting Perseroan yang harus diproteksi dan dikelola sesuai dengan ketentuan yang berlaku. (2). Pemilik Data dan Informasi harus memastikan kemutakhiran dan validitas dalam setiap proses yang mengolah Data dan Informasi tersebut. (3). Keamanan Data dan Informasi Perseroan dikelola berdasarkan prinsip kelengkapan, kesesuaian, akurasi, validitas dan pembagian hak akses sesuai kaidah pemisahan tugas yang dapat dipertanggungjawabkan. (4). Data dan Informasi yang tersimpan harus mempunyai kontrol keamanan sesuai tingkat kerahasiaan Data dan Informasi untuk memastikan bahwa Data dan Informasi hanya dapat diakses oleh pihak yang diberi wewenang sehingga terhindar dari penggunaan, penyebaran, perusakan dan perubahan oleh pihak yang tidak bertanggung jawab. (5). Data dan Informasi milik Pengguna Akhir dan tidak terkait dengan kegiatan operasional Perseroan dilarang untuk disimpan di fasilitas Teknologi Informasi Perseroan. (6). Data dan Informasi yang disimpan pada media backup atau Data dan Informasi yang akan berpindah tempat dengan melalui media jaringan milik pihak eksternal adalah Data dan Informasi yang telah melalui Proses Enkripsi Kriptographi tertentu. (7)- Proses disposal media penyimpanan Data dan Informasi dilakukan setelah Data dan Informasi yang tersimpan di dalam media melalui suatu proses sehingga Data dan Informasi tersebut tidak dapat diakses. (8). Proses disposal dokumen yang berisi Data dan Informasi rahasia hanya dapat dilakukan setelah dokumen dihancurkan dengan menggunakan mesin penghancur. (9). Data dan Informasi Perseroan yang bersifat rahasia tidak diperkenankan direkam ke dalam media penyimpanan ataupun peralatan Sistem Informasi milik pribadi kecuali mendapat persetujuan tertulis dari pihak yang berwenang terhadap Data dan Informasi tersebut. (10). Akses terhadap Data dan Informasi Perseroan harus termonitor dan terdokumentasi dengan baik. Pasal12 Pengelolaan Pengamanan Aplikasi Sistem Informasi Aplikasi yang digunakan di lingkungan Perseroan harus memenuhi syarat pengamanan sebagaimana diatur dalam Keputusan ini dan ketentuan-ketentuan lainnya. (2). Data dan Informasi yang digunakan dalam proses sebuah aplikasi yang melibatkan pihak eksternal adalah Data dan Informasi yang telah melalui Proses Enkripsi Kriptographi tertentu. (3). (4). Sistem Pengamanan Aplikasi harus terintegrasi dengan Sistem Pengamanan Jaringan. Penyelenggara Teknologi Informasi dan Pemilik Proses Bisnis menyusun dokumen analisa risiko terhadap Aplikasi yang digunakan di lingkungan Perseroan dan dokumen tersebut disetujui oleh Manajemen. BAB VI...

9 BAB VI PENGELOLAAN DAN OPERASIONAL PENGAMANAN SISTEM TEKNOLOGI INFORMASI Pasal 13 Tanggung Jawab dan Prosedur Operasional Pengamanan Sistem Teknologi Informasi Pengelolaan Pengamanan Sistem Teknologi informasi meliputi pengembangan, implementasi, review dan evaluasi Pengamanan Sistem Teknologi Informasi Perseroan. (2). Masing - masing kegiatan sebagaimana dimaksud dalam ayat (1) harus mempunyai penanggung jawab yang ditetapkan oleh Manajemen. (3). Pengaturan hak akses aplikasi dan Data/Informasi yang berada di bawah pengelolaan Penyelenggara Teknologi Informasi dilakukan dengan tetap mengutamakan Pengamanan Sistem Teknologi Informasi. (4). Seluruh prosedur kegiatan operasional Pengamanan Sistem Teknologi Informasi harus terdokumentasi dan ditempatkan pada lokasi yang aman dan mudah dijangkau. (5). Prosedur yang digunakan dalam kegiatan operasional Pengamanan Sistem Teknologi Informasi atau perubahannya adalah dokumen formal yang mengikat dan harus mendapatkan pengesahan Manajemen. (6). Infrastruktur yang digunakan untuk keperluan pengembangan dan uji coba harus terpisah dari Infrastruktur operasional. Pasal 14 Pengelolaan Layanan Dengan Pihak Ketiga Perjanjian Layanan dengan Pihak Ketiga harus mencantumkan definisi layanan, kontrol keamanan, dan standar tingkat layanan. (2). Penyelenggara Teknologi Informasi harus memastikan bahwa Pihak Ketiga memenuhi perjanjian layanan yang telah disepakati dengan memonitor dan mengevaluasi laporan operasional Pihak Ketiga. (3). Setiap perubahan layanan dengan Pihak Ketiga (antara lain meliputi kontrol keamanan ataupun prosedur operasional) harus didokumentasikan dan mendapat persetujuan dari Manajemen. Pasal 15 Perencanaan dan Penerimaan Sistem Teknologi Informasi (1). Penyelenggara Teknologi Informasi harus membuat proyeksi kebutuhan kemampuan proses dan kapasitas Sistem Teknologi Informasi untuk memastikan bahwa kebutuhan perkembangan bisnis Perseroan dapat terpenuhi. (2). Penyelenggara Teknologi Informasi harus membuat kriteria - kriteria yang menjadi prasyarat penerimaan perangkat keras atau perangkat lunak Sistem Teknologi Informasi dari Pihak Ketiga sebelum perangkat keras atau perangkat lunak Sistem Teknologi Informasi di uji coba. (3). Perangkat keras atau perangkat lunak Sistem Teknologi Informasi dari Pihak Ketiga dikatakan layak diterima apabila memenuhi kriteria - kriteria yang dibuat oleh Penyelenggara Teknologi Informasi dan menyelesaikan tahapan uji coba yang dibuktikan dengan berita acara. Pasal 16 Perlindungan Terhadap Malicious Code Penyelenggara Teknologi Informasi berkewajiban untuk memastikan bahwa aplikasi atau sistem operasi yang digunakan oleh Pengguna Akhir merupakan aplikasi atau sistem operasi yang tidak mengandung Malicious Code yang dapat membahayakan keamanan Sistem Teknologi Informasi Perseroan. (2). Penyelenggara...

10 (2). Penyelenggara Teknologi Informasi berhak meng-uninstall aplikasi atau sistem operasi yang bermasalah dengan kompatibilitas atau membahayakan keamanan Sistem Teknologi Informasi Perseroan. (3). Semua fasilitas Teknologi Informasi yang mengakses jaringan Sistem Informasi Perseroan harus menggunakan Sistem Aplikasi Anti Virus Korporat yang pengelolaan Sistem Aplikasi Anti Virus Korporat dilakukan oleh Penyelenggara Teknologi Informasi. (4). Aplikasi yang berada di dalam Sistem Teknologi Informasi Perseroan ditinjau secara berkala untuk memastikan bahwa aplikasi tersebut tidak menimbulkan masalah dengan kompatibilitas atau membahayakan Sistem Teknologi Informasi Perseroan. Pasal 17 Prosedur Backup dan Restore Teknologi Informasi Backup secara berkala dilaksanakan oleh Penyelenggara Teknologi Informasi atau pihak yang telah diberi kewenangan sesuai dengan prosedur yang berlaku. (2). Penyelenggara Teknologi Informasi berkewajiban untuk menyusun prosedur Backup dan memastikan bahwa keseluruhan Layanan Teknologi Informasi mempunyai Backup yang dapat digunakan untuk mempercepat waktu pemulihan apabila terjadi gangguan pada Layanan Teknologi Informasi. Hasil Backup dari masing-masing Layanan Teknologi Informasi ditempatkan di area yang aman dan diberi Identifikasi yang standard. (4). Pengujian Restore harus dilaksanakan untuk memastikan bahwa prosedur Backup telah berhasil dilaksanakan. (5). Pengujian Restore dilakukan pada infrastruktur yang terpisah sehingga tidak mengganggu operasional Layanan Teknologi Informasi. Pasal 18 Pengelolaan Keamanan Jaringan Sistem Informasi Penyelenggara Teknologi Informasi bertanggung jawab terhadap Pengelolaan Pengamanan Jaringan Sistem Teknologi Informasi Perseroan. (2). Penyelenggara Teknologi Informasi harus mempunyai diagram topology jaringan Sistem Teknologi Informasi terkini yang berada dalam rentang kendali Penyelenggara Teknologi Informasi (3). Akses terhadap konfigurasi Pengamanan Jaringan Sistem Teknologi Informasi Perseroan oleh pihak eksternal harus dibatasi. (4). Pembuatan prosedur yang mengatur tata cara pemberian hak akses konfigurasi Pengamanan Jaringan Sistem Teknologi Informasi Perseroan kepada pihak eksternal dan dokumentasi detail pemberian hak akses menjadi tanggung jawab Penyelenggara Teknologi Informasi. (5). Semua port/kanal komunikasi jaringan yang tidak digunakan dalam aplikasi dan layanan Teknologi Informasi harus ditutup. (6). Jaringan Sistem Teknologi Informasi harus dilengkapi fasilitas monitoring akses jaringan yang memungkinkan Penyelenggara Teknologi Informasi melakukan monitoring akses jaringan secara real-time dan membuat laporan akses jaringan yang berada dalam kendali Penyelenggara Teknologi. Pasal 19 Pengelolaan Media Backup Penyelenggara Teknologi Informasi berkewajiban untuk menyusun prosedur pengelolaan Media Backup dengan mengutamakan faktor keamanan dan kerahasiaan Data dan Informasi. (2). Data...

11 (2). Data dan Informasi yang disimpan dalam Media Backup adalah data yang telah melalui proses validasi dan telah melalui Proses Enkripsi Kriptographi tertentu. (3). Media Backup harus memiliki identifikasi yang unik dan ditempatkan pada area yang memiliki kontrol keamanan yang sesuai dengan tingkat sensitifitas Data dan Informasi yang disimpan. (4). Riwayat pengiriman dan penerimaan Media Backup didokumentasikan dalam bentuk hardcopy maupun softcopy. Pasal 20 Pertukaran Informasi (1). Pemilik Proses Bisnis dan Penyelenggara Teknologi Informasi berkewajiban membuat prosedur pertukaran Informasi sehingga terhindar dari penggunaan, penyebaran, perusakan dan perubahan oleh pihak yang tidak bertanggung jawab. (2). Pertukaran Informasi dengan pihak eksternal harus mendapat persetujuan tertulis dari Manajemen atau melalui perjanjian kerja sama dengan memperhatikan tingkat sensitifitas Informasi dan aturan lain yang berlaku serta didokumentasikan dengan baik. (3). Media tempat penyimpanan Informasi yang akan dibawa ke luar Perseroan harus dilindungi dari kemungkinan penggunaan, penyebaran, perusakan dan perubahan oleh pihak yang tidak bertanggung jawab. Pasal 21 Layanan Perniagaan Elektronik (1). Layanan Perniagaan Elektronik adalah layanan online yang memungkinkan pelanggan melakukan kegiatan perniagaan dengan Perseroan. (2). Layanan Perniagaan Elektronik sebagaimana dimaksud dalam ayat (1) harus dapat melindungi data dan informasi dari pengiriman yang tidak sempurna, modifikasi, penggandaan serta pembacaan yang dilakukan oleh pihak yang tidak berwenang. (3). Layanan Perniagaan Elektronik yang melibatkan Pihak Ketiga harus mematuhi aturan internal ataupun eksternal Perseroan dengan memprioritaskan perlindungan data dan informasi. Pasal 22 Monitoring (1). Fungsi monitoring Pengamanan Sistem Teknologi Informasi bertujuan untuk mengetahui aktivitas secara dini baik anomaly, serangan atau kegagalan dari sistem yang berjalan. (2). Penyelenggara Teknologi Informasi melaksanakan fungsi monitoring dan memastikan bahwa semua aktivitas yang berjalan pada Sistem Teknologi Informasi Perseroan dapat dimonitor secara real time atau secara berkala. (3). Semua Infrastruktur Teknologi Informasi yang mempunyai pengaturan waktu harus mengacu pada satu standar waktu yang akurat. BAB VII KONTROL AKSES Pasal 23 Pengelolaan Akses Sistem Teknologi Informasi Penyelenggara Teknologi Informasi dan pemilik proses bisnis menetapkan tingkat perlindungan keamanan atas Informasi dan sistem pendukungnya, sesuai dengan persyaratan proses bisnis dan keamanan Sistem Teknologi Informasi Perseroan. (2). Penyelenggara...

12 (2). Penyelenggara Teknologi Informasi bertanggung jawab atas pengelolaan Akses Layanan Teknologi Informasi, yang meliputi: a. Pengaturan hak akses; b. Monitoring & dokumentasi riwayat akses Layanan Teknologi Informasi; c. Peninjauan kembali secara berkala; d. Menetapkan syarat-syarat keamanan pada setiap Layanan Teknologi Informasi yang melibatkan Pihak Ketiga; e. Memastikan bahwa syarat-syarat keamanan yang telah ditetapkan tercantum dalam perjanjian dengan Pihak Ketiga. Setiap Pengguna Akhir memiliki satu identitas dan kata sandi yang unik untuk akses ke Sistem Teknologi Informasi Perseroan. (4). Pengguna Akhir bertanggung jawab atas penggunaan dan kerahasiaan identitas dan kata sandi yang telah diberikan. (5). Akses Sistem Teknologi Informasi kepada Pihak Ketiga diberikan setelah mendapat persetujuan manajemen. (6). Penanggung jawab pengelolaan Akses Pengguna Akhir harus telah mendapatkan pelatihan yang memadai mengenai pengelolaan Akses Pengguna Akhir dan memahami proses bisnis yang bersangkutan. (7). Kebijakan dan peraturan yang berkaitan dengan tugas dan tanggung jawab Pengguna Akhir dalam memanfaatkan Sistem Teknologi Informasi Perseroan dipublish ke website Perseroan sehingga dapat dibaca oleh Pengguna Akhir dengan mudah. Pasal 24 Pengelolaan Akses Pengguna Akhir Sistem Teknologi Informasi (1). Pemberian, perubahan atau pencabutan hak Akses Pengguna Akhir Sistem Teknologi Informasi dilaksanakan dengan mengacu pada prosedur pelaksanaan yang disusun oleh Penyelenggara Teknologi Informasi dan didokumentasikan dengan baik. (2). Risiko terhadap Pengamanan Sistem Teknologi Informasi sebagai akibat pemberian hak akses kepada pengguna akhir harus diidentifikasi dan diberikan kontrol yang sesuai. (3). Pemberian, perubahan atau pencabutan hak akses Pengguna Akhir merupakan kegiatan yang pengaturannya dilaksanakan melalui proses manajemen formal. (4). Pengguna Akhir harus menandatangani surat pernyataan kesanggupan untuk menjaga kerahasiaan kata sandi yang diberikan. (5). Hak akses Pengguna Akhir ditinjau ulang secara periodik atau setiap terjadi perubahan status Pengguna Akhir dalam Perseroan, melalui mekanisme yang ditentukan oleh Penyelenggara Teknologi Informasi. Pasal 25 Tanggung Jawab Penyelenggara Teknologi Informasi (1). Penyelenggara Teknologi Informasi berkewajiban mematuhi dan bertanggung jawab atas Pengamanan Sistem Teknologi Informasi sesuai dengan ketentuan dalam Keputusan ini. (2). Pembukaan akses khusus diluar prosedur Pengamanan Sistem Teknologi Informasi yang berlaku dengan pertimbangan segala risiko keamanan Teknologi Informasi, harus didokumentasikan secara tertulis dalam bentuk Berita Acara yang ditandatangani Penyelenggara Teknologi Informasi dan Pengguna Akhir. (3). Penyelenggara Teknologi Informasi berkewajiban memberikan pelatihan kepada Pengguna Akhir sehingga dapat memahami tugas dan tanggung jawab Pengguna Akhir dalam menjaga Pengamanan Sistem Teknologi Informasi Perseroan. (4). Penyelenggara Teknologi Informasi berkewajiban untuk memenuhi tingkat Iayanan yang disepakati dan menyebarkan informasi realisasi tingkat Iayanan. Pasal 26...

13 Pasal 26 Tanggung Jawab Pengguna Akhir Teknologi Informasi Pengguna Akhir yang melakukan akses terhadap Sistem Teknologi Informasi Perseroan berkewajiban mematuhi Ketentuan Pengamanan Sistem Teknologi Informasi Perseroan dan ketentuan-ketentuan lain yang terkait. (2). Pengguna Akhir bertanggung jawab terhadap hak akses yang diberikan dan memastikan bahwa hak akses tersebut tidak diberikan atau diwakilkan kepada pihak lain. (3). Pengguna Akhir wajib melapor kepada Penyelenggara Teknologi Informasi apabila ada indikasi penyalahgunaan atau pemanfaatan hak akses oleh pihak lain. (4). Pengguna Akhir tidak diperkenankan untuk melakukan pengujian terhadap Pengamanan Sistem Teknologi Informasi Perseroan baik secara perorangan ataupun dengan bantuan pihak lain. (5). Pengguna Akhir bertanggung jawab atas pelanggaran Ketentuan Pengamanan Sistem Teknologi Informasi Perseroan atau ketentuan-ketentuan lain yang terkait akibat kelalaian Pengguna Akhir dalam menjaga kerahasiaan hak akses yang diberikan. Pasal 27 Kontrol Akses Sistem Operasi Penyelenggara Teknologi Informasi bertanggung jawab atas pengelolaan Sistem Operasi yang digunakan di lingkungan Perseroan. (2). Penyelenggara Teknologi Informasi harus membuat prosedur instalasi Sistem Operasi yang mengatur tata cara instalasi Sistem Operasi dan pengaturan hak instalasi Sistem Operasi di lingkungan Perseroan. (3). Akses terhadap Sistem Operasi dengan hak administrator hanya diberikan kepada personel Penyelenggara Teknologi Informasi yang diberi tugas sebagai penanggung jawab pengelolaan Sistem Operasi (4). Riwayat Pelaksanaan instalasi Sistem Operasi harus didokumentasikan dengan balk. Pasal 28 Kontrol Akses Aplikasi dan Data dan Informasi (1). Pengaturan hak akses aplikasi dan Data dan Informasi dilakukan dengan mengutamakan Pengamanan Sistem Teknologi Informasi. (2). Penyelenggara Teknologi Informasi bersama Pemilik Proses Bisnis menetapkan tingkatan akses setiap Pengguna Akhir dari aplikasi. (3). Hak akses untuk mengubah data dan informasi Perseroan dibatasi dengan menggunakan aplikasi yang sudah diakui Perseroan. (4). Pengguna Akhir tidak boleh membaca, mengubah, menghapus atau menyalin data dan informasi milik Pengguna Akhir lain tanpa memperoleh izin dari pemilik data dan infromasi tersebut. (5). Dengan alasan Pengamanan Sistem Teknologi Informasi atau penegakan hukum dan mendapat izin tertulis dari penanggung jawab tertinggi Penyelenggara Teknologi Informasi, Penyelenggara Teknologi Informasi berhak melakukan akses terhadap data dan informasi milik Pengguna Akhir. (6). Aplikasi yang dapat diakses banyak Pengguna Akhir (Multiuser) harus mempunyai kemampuan identifikasi dan autentikasi pengguna akhir dan mengarah kepada integrasi dengan proses identifikasi dan autentifikasi Sistem Teknologi Informasi yang sudah ada dan dapat menyimpan riwayat akses pengguna. (7). Hak akses aplikasi kepada Pengguna Akhir hanya dapat diberikan setelah dilakukan analisa risiko Pengamanan Sistem Teknologi Informasi. (8). Riwayat...

14 (8). Riwayat akses aplikasi dan Data/Informasi harus didokumentasikan dengan baik. Pasal 29 Mobile Computing dan Teleworking Mobile Computing dan Teleworking terhadap Layanan Teknologi Informasi diperbolehkan setelah mendapat persetujuan dari Penyelenggara Teknologi Informasi. (2). Penyelenggara Teknologi Informasi berkewajiban untuk memastikan bahwa metode akses secara Mobile Computing dan Teleworking tidak menimbulkan ancaman terhadap Pengamanan Sistem Teknologi Informasi Perseroan. (3). Akses secara Mobile Computing dan Teleworking harus mempunyai identifikasi yang unik sehingga dapat dimonitor dengan mudah. (4). Riwayat akses secara Mobile Computing dan Teleworking harus didokumentasikan dengan baik. BAB VIII AKUISISI, PENGEMBANGAN dan PEMELIHARAAN SISTEM TEKNOLOGI INFORMASI Pasal 30 Prasyarat Keamanan Sistem Informasi Proses akuisisi, pengembangan dan pemeliharaan Sistem Teknologi Informasi hanya dapat dilaksanakan setelah dilakukan pengujian dan kajian analisa risiko terhadap Pengamanan Sistem Teknologi Informasi eksisting maupun terhadap kelangsungan bisnis Perseroan. (2). Implementasi akuisisi, pengembangan dan pemeliharaan Sistem Teknologi Informasi tidak diperkenankan membuka celah pengamanan yang baru pada Sistem Teknologi Informasi eksisting. (3). Implementasi akuisisi, pengembangan dan pemeliharaan Sistem Teknologi Informasi mengacu pada kajian analisa risiko yang telah dibuat. Pasal 31 Keabsahan Proses Aplikasi Aplikasi harus dilengkapi dengan kemampuan pencegahan kesalahan input dan dapat menampilkan pesan kegagalan validasi. (2). Tugas dan tanggung jawab Pengguna Akhir yang terlibat dalam proses input data dan validasi data pada sebuah aplikasi harus didefinisikan dengan jelas. (3). Aplikasi harus dilengkapi fungsi kontrol integritas data pada setiap proses untuk memastikan bahwa integritas data tetap terjaga pada setiap proses dalam aplikasi tanpa mengurangi unjuk kerja dari aplikasi. (4). Data hasil dari sistem aplikasi harus melalui proses validasi untuk memastikan bahwa keseluruhan proses dalam sistem aplikasi telah berhasil dengan baik. Pasal 32 Pengelolaan Kriptographi (1). Data dan informasi Perseroan dilindungi dengan metoda kriptographi tertentu berdasarkan sensitivitas dan kepentingan data dan informasi. (2). Metoda kriptographi ditentukan dengan mengacu pada standar tertentu dan melakukan kajian analisa risiko untuk mendapatkan metoda kriptographi yang efektif pada semua tingkatan data dan informasi. (3). Metoda kriptographi ditetapkan oleh manajemen atau pihak yang telah diberikan wewenang. (4). Penyelenggara...

15 (4). Penyelenggara Teknologi Informasi melakukan peninjauan secara berkala terhadap metoda kriptographi yang diterapkan dan mengusulkan perubahan apabila diperlukan. Pasal 33 Pengelolaan Keamanan File Sistem M. Aplikasi dan sistem operasi yang dipergunakan di Iingkungan Perseroan adalah aplikasi dan sistem operasi dengan status kepemilikan yang jelas dan telah mendapat persetujuan dari Penyelenggara Teknologi Informasi. (2). Pengguna akhir tidak diperkenankan melakukan instalasi aplikasi atau sistem operasi pada infrastruktur ataupun peralatan Teknologi Informasi milik Perseroan. (3). Penyelenggara Teknologi Informasi menyusun prosedur melakukan instalasi aplikasi atau sistem operasi pada infrastruktur ataupun peralatan Teknologi Informasi milik Perseroan. (4). Penyelenggara Teknologi Informasi berhak melakukan penghapusan aplikasi atau penggantian sistem operasi pada infrastruktur ataupun peralatan Teknologi Informasi milik Perseroan apabila ditemukan aplikasi atau sistem operasi yang tidak memiliki status kepemilikan yang jelas. (5). Pengaturan instalasi, operasional dan pemeliharaan aplikasi atau sistem operasi hanya dapat dilakukan oleh Penyelenggara Teknologi Informasi atau pihak ketiga yang telah ditunjuk berdasarkan perjanjian kerjasama. (6). Semua kode sumber (source code) aplikasi yang dipergunakan di lingkungan Perseroan harus dilindungi dengan mekanisme pengamanan tertentu dan diperlakukan sebagai dokumen penting Perseroan. (7). Data dan informasi Perseroan yang dipergunakan dalam proses pengembangan aplikasi harus dilindungi dengan mekanisme pengamanan tertentu. Pasal 34 Pengelolaan Pengamanan dalam Pengembangan Layanan Teknologi Informasi M. Pengembangan Layanan Teknologi Informasi harus melalui pengujian dan kajian analisa risiko serta mendapat persetujuan manajemen. (2). Penyelenggara Teknologi Informasi harus melaksanakan peninjauan kembali atau pengujian terhadap keamanan aplikasi setelah dilaksanakan update sistem Teknologi Informasi pada Layanan Teknologi Informasi. (3). Pengawasan dan pemantauan proses pengembangan Layanan Teknologi Informasi yang dilakukan oleh pihak ketiga, dilaksanakan oleh Penyelenggara Teknologi Informasi. (4). Pembangunan atau pengembangan Layanan Teknologi Informasi oleh pihak ketiga dilakukan dengan kontrak kerjasama dibuat secara detail (antara lain meliputi deliverable project, service level agreement dan spesifikasi pekerjaan yang disepakati bersama). Pasal 35 Pengelolaan Kerentanan Teknologi Informasi Penyelenggara Teknologi Informasi melaksanakan pengujian terhadap Pengamanan Sistem Teknologi Informasi secara berkala untuk mengetahui kerentanan Sistem Teknologi Informasi yang sudah ada. (2). Semua langkah-langkah pengamanan terhadap kerentanan Sistem Teknologi Informasi harus didokumentasikan dengan balk. Pasal 36...

16 Pasal 36 Pengelolaan Insiden Pengamanan Sistem Teknologi Informasi Penyelenggara Teknologi Informasi berkewajiban menyusun prosedur yang mengatur langkahlangkah penanganan Insiden Pengamanan Sistem Teknologi Informasi. (2). Pengguna Akhir berkewajiban untuk melaporkan Insiden Pengamanan Sistem Teknologi Informasi kepada Penyelenggara Teknologi Informasi. (3). Semua Insiden Pengamanan Sistem Teknologi Informasi atau kejadian yang mengancam integritas, kerahasiaan dan ketersediaan informasi didokumentasikan dan dievaluasi untuk penerapan kontrol-kontrol Pengamanan yang diperlukan. (4). Bukti-bukti yang ditemukan dalam sebuah Insiden Pengamanan Sistem Teknologi Informasi harus disimpan dan dilindungi keamanannya untuk digunakan sebagai bukti forensik bagi proses dalam aspek teknis dan aspek hukum. (5). Penanggung Jawab Pengamanan Sistem Teknologi Informasi harus membuat laporan lengkap tentang Insiden Pengamanan Sistem Teknologi Informasi dan mendokumentasikan laporan tersebut dengan balk. BAB XI PENUTUP Pasal 37 Ketentuan Penutup Pada saat Keputusan ini mulai berlaku, maka ketentuan-ketentuan lain yang bertentangan dengan Keputusan ini, dinyatakan tidak berlaku. Keputusan ini mulai berlaku terhitung sejak tanggal ditetapkan. Ditetapkan di Jakarta pads tanggal 21 Januari 2011 DIREKTUR KEUANGAN, SETgOAWGG R DEWO