Arah Kebijakan dan Implementasi Tata Kelola Datacenter Berdasarkan ISO 27001 disampaikan oleh : Ir. Ronny Primanto Hari, MT Kepala Dinas Komunikasi dan Informatika Daerah Istimewa Yogyakarta
Halo! Dinas Komunikasi dan Informatika Daerah Istimewa Yogyakarta Hubungi kami di diskominfo@jogjaprov.go.id 2
1 Pengembangan Datacenter Pemda DIY
Infrastruktur DC Pemda DIY DRC Active Passive di Batam dan Jogja Power (100kVA, 3 Phase) PLN, Genset, UPS Sirkulasi AC Presisi AC Split Raised Floor Datacente r (42m 2 ) Software Server VMWare CentOS Ubuntu Win Server Network 2 ISP (900 Mbps) Fiber Optik 60 km Cat6 Blade SAN Storage Tower Rack 4
Peta Pembangunan Jaringan Kabel FO Mandiri Pemda DIY Tahun 2013 :
Gambar infrastruktur pendukung Data Center Pemda DIY :
Layanan DC Pemda DIY Datacenter Hosting Web Hosting (3 VPS) (6 Host) VPS Colocation (5 unit) Dedicated Server (80 VPS) 9
Pengamanan DC Pemda DIY 1. KEBIJAKAN a. Pergub Nomor 31 Tahun 2016 tentang Sistem Manajemen Keamanan Informasi -> b. Pergub Nomor 2 Tahun 2018 tentang Tata Kelola Teknologi Informasi dan Komunikasi 2. PROSEDUR a. Pengendalian akses b. Manajemen Risiko c. Pengamanan dan Pengelolaan asset d. Pengamanan Pihak ketiga e. Pengamanan SDM f. Datacenter 4. LOGIC a. IDS/IPS b. Firewall c. Monitoring (Log, Trafik, Uptime) 3. FISIK a. CCTV b. Log Book / Buku Tamu c. Access Door d. Sensor dan Notifikasi Kondisi DC e. Penjaga Datacenter f. Checklist harian 10
Pengembangan DC Pemda DIY 1. Penguatan dan Optimalisasi DRC 2. Peningkatan Kapasitas DC 3. Sertifikasi Tier DC 11
How We Did. Sistem Manajemen Keamanan Informasi
Profil SMKI di Pemda DIY 2
What had happened was... 2015 Menjadi pilot project SMKI oleh Kemenkominfo bekerjasama dengan JICA (Japan International Cooperation Agency) 2016 Membuat Pergub SMKI Mematangkan konsep SMKI 2017 Implementasi SMKI Audit surveillance ISO 27001 Implementasi awal SMKI Implementasi SMKI Mulai aware dengan Keamanan Informasi Sertifikasi ISO 27001 14
Dasar hukum SMKI di Pemda DIY UU PP Permen Pergub UU No 11 Tahun 2008 tentang informasi dan transaksi elektronik PP No 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik Permenkominfo No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi Pergub No 31 Tahun 2016 tentang Sistem Manajemen Keamanan Informasi Pergub No 2 Tahun 2018 tentang Tata Kelola Teknologi Informasi dan Komunikasi 15
Aspek SMKI 16
Konsep PDCA 17
Our steps 3
Our easy process first second third last Persiapan Implementasi Audit Sertifikasi Pasca Audit 19
3.1 Persiapan Tahapan SMKI
Actor : Pemda DIY Komitmen Top Management Penetapan Tim SMPI Penetapan Ruang Lingkup SMPI Penyiapan Dukungan Anggaran untuk implementasi SMPI 21
3.2 Implementasi Tahapan SMKI
Actor : Pemda DIY + Pendamping SMKI Gap Assesment Pembuatan Dokumen Prosedur dan Kebijakan SMPI Awareness SMPI Implementasi Prosedur dan Kebijakan SMPI Audit Sertifikasi Manajemen Review Pendamping SMKI harus sudah terdaftar di Kementerian Kominfo RI 23
3.3 Audit Sertifikasi Tahapan SMKI
Actor : Pemda DIY + Badan Sertifikasi Audit Sertifikasi dari Badan Sertifikasi : Stage 1 (Audit Dokumen) Stage 2 (Audit Implementasi) Badan Sertifikasi harus sudah terakreditasi KAN dan terdaftar di Kementerian Kominfo RI 25
3.4 Pasca Audit Tahapan SMKI
Actor : Pemda DIY Menjawab dan Menindaklanjuti temuan audit Sertifikasi Penyiapan Rencana Kerja SMPI tahun berikutnya 27
Succeed Factor Komitmen Pemda DIY Internalisasi Budaya Satriya di ASN Pemda DIY SMKI Proses yang terstruktur 28
Manfaat Implementasi SMKI Kesadaran terkait pentingnya informasi yang dimiliki beserta potensi ancaman dan cara pengamannya Perubahan budaya kerja ASN Diskominfo DIY menjadi lebih terukur dan bertumpu pada konsep Plan-Do- Check-Act (PDCA) Meningkatnya kepercayaan stakeholder terhadap informasi yang ditempatkan di Datacenter Pemda DIY. 29
Peraturan Pendukung 4
4.1 Pergub DIY No. 31 Tahun 2016 Sistem Manajemen Keamanan Informasi
Maksud dan Tujuan Sebagai pedoman pengelolaan SMKI secara terpadu untuk memastikanterjaganya kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) Pengelolaan SMKI meliputi infrastruktur komputer, jaringan, sistem informasi/aplikasi, dan sumber daya manusia 32
Ruang Lingkup Pengamanan Informasi Aset Informasi Fisik Elektronik Aset Pengolahan Informasi Peralatan mekanik Peralatan elektronik Penyimpanan Informasi Elektronik Non-elektronik 33
Tugas OPD Menunjuk Koordinator Keamanan Teknologi Informasi Melakukan proses manajemen resiko Menyediakan SDM yang dibutuhkan untuk membentuk, mengimplementasikan, memelihara dan meningkatkan penerapan SMKI secara berkesinambungan Menyusun standar dan prosedur pengendalian kegiatan teknologi informasi yang memenuhi prasyarat keamanan informasi dan untuk mengimplementasikan tindakan dalam mengelola risiko Memastikan kegiatan operasional Teknologi Informasi yang stabil dan aman Menerapkan prinsip pengendalian terhadap aktivitas TI melalui proses evaluasi dan monitoring secara berkala Apabila terjadi kebocoran informasi, OPD wajib menyediakan akses kepada auditor independen yang ditunjuk Pemda untuk melakukan pemeriksaan seluruh aspek terkait penyelenggaraan TI 34
4.2 Pergub DIY No. 2 Tahun 2018 Tata Kelola Teknologi Informasi dan Komunikasi
Maksud dan Tujuan Sebagai pedoman bagi OPD dalam pengelolaan TIK Mewujudkan keselarasan antara pengelolaan TIK di OPD dengan kebijakan Pemerintah Daerah Mewujudkan sinkronisasi dan integrase pengelolaan TIK Memastikan implementasi TIK berjalan dengan baik dan berkelanjutan
Ruang Lingkup Perencanaan TIK Dinas Kominfo menyusun Renstra TIK untuk jangka waktu 5 tahun Penyusunan Renstra dilakukan dengan melibatkan seluruh OPD Renstra ditetapkan oleh Gubernur DIY OPD dapat mengusulkan perubahan Renstra Renstra yang sudah ditetapkan menjadi dokumen panduan pengembangan TIK di Pemda DIY yang harus dipatuhi oleh semua OPD Pelaksanaan TIK Pengelolaan Investasi TIK Pengelolaan Aset TIK Layanan TIK Keamanan Informasi Pengelolaan Risiko dan Keberlangsungan Bisnis Kepatuhan dan Penilaian Internal Pemantauan dan Evaluasi Pengelolaan TIK Dinas Kominfo melaksanakan pemantauan dan evaluasi terhadap pelaksanaan TIK Monev dilaksanakan melalui proses audit secara sistematis, objektif dan terdokumentasi
Matur nuwun! Ada pertanyaan? Hubungi kami di diskominfo@jogjaprov.go.id 38