kementerian keuangan republik indonesia … file2. para direktur dan tenaga pengkaji di lingkungan...
TRANSCRIPT
Yth. 1. Sekretaris Direktorat Jenderal Pajak
2. Para Direktur dan Tenaga Pengkaji di Lingkungan KP DJP 3. Kepala Pusat Pengolahan Data dan Dokumen Perpajakan 4. Para Kepala Kantor Wilayah DJP 5. Para Kepala Kantor Pelayanan Pajak di lingkungan Direktorat Jenderal Pajak
SURAT EDARAN Nomor SE-65/PJ/2011
TENTANG
PEDOMAN BUSINESS IMPACT ANALYSIS DAN PENILAIAN RISIKO
TEKNOLOGI INFORMASI DAN KOMUNIKASI
DIREKTORAT JENDERAL PAJAK
Sehubungan dengan telah ditetapkannya Peraturan Direktur Jenderal Pajak Nomor
PER-8/PJ/2011 tentang Kebijakan Pengelolaan Kelangsungan Layanan Teknologi Informasi
dan Komunikasi Direktorat Jenderal Pajak, dan perlunya pengaturan mengenai Business
Impact Analysis (analisis dampak bisnis) dan penilaian risiko terkait Teknologi Informasi dan
Komunikasi (TIK) Direktorat Jenderal Pajak (DJP), dengan ini diatur hal-hal sebagai berikut:
1. Dalam Surat Edaran ini, yang dimaksud dengan:
a. Business Impact Analysis (BIA) adalah kegiatan mengidentifikasi proses bisnis inti dan
potensi dampak yang diderita apabila terjadi gangguan terhadap kelangsungan proses
tersebut.
b. Risiko adalah segala sesuatu yang berpotensi menimbulkan dampak negatif terhadap
pencapaian tujuan yang diukur berdasarkan kemungkinan dan dampaknya.
c. Penilaian Risiko (Risk Assessment) TIK adalah kegiatan untuk mengidentifikasi
ancaman-ancaman terhadap kegiatan dan Layanan TIK Utama, mengidentifikasi
kelemahan yang dapat meningkatkan risiko TIK berdasarkan ancaman yang ada,
dan/atau menentukan prioritas risiko TIK berdasarkan peluang terjadinya gangguan
kegiatan dan Layanan TIK Utama.
d. Mitigasi Risiko (Risk Mitigation) TIK adalah pengambilan langkah-langkah strategis
dalam rangka mengurangi dampak yang ditimbulkan oleh risiko TIK.
2. Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan
Komunikasi Direktorat Jenderal Pajak disusun dengan mengacu kepada Kebijakan
Pengelolaan Kelangsungan Layanan TIK, bab Business Impact Analysis dan Penilaian
Risiko TIK.
3. Pedoman BIA dan Penilaian Risiko TIK dibagi menjadi 3 bagian utama, yaitu:
a. Pedoman BIA;
b. Pedoman Penilaian Risiko TIK; dan
KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL PAJAK
Jalan Jend. Gatot Subroto 40-42 Jakarta 12190 Kotak Pos 124 Homepage: http://www.pajak.go.id
Telepon 5250208-5251609 5262880
Faksimile 584792
Pedoman Business Impact Analysis dan Penilaian Risiko
Teknologi Informasi dan Komunikasi Direktorat Jenderal Pajak
Direktorat Jenderal Pajak
Kementerian Keuangan Republik Indonesia
VERSI 1.0
KLASIFIKASI: TERBATAS
TANGGAL: 9 Agustus 2011
LAMPIRAN SE- 65/PJ/2011 TENTANG BUSINESS IMPACT ANALYSIS DAN PENILAIAN RISIKO TEKNOLOGI INFORMASI DAN KOMUNIKASI DIREKTORAT JENDERAL PAJAK
LEMBAR PENGENDALIAN
NO Penerima Dokumen Format Dokumen
1 Direktur Jenderal Pajak Cetakan
2 Direktorat TIP Cetakan
3 Direktorat TTKI Cetakan
4 Direktorat KITSDA Cetakan
5 Direktorat TPB Cetakan
6 Pegawai DJP Elektronik
Dokumen ini milik Direktorat Jenderal Pajak. Dilarang memperbanyak atau menggunakan
informasi yang terkandung di dalamnya untuk keperluan komersial atau lain-lain tanpa
persetujuan dari Direktur Jenderal Pajak.
HALAMAN REVISI
Bab/Sub-Bab Halaman Revisi Tanggal Uraian Revisi
v.1.0 Agustus 2011
DAFTAR ISI
A. Deskripsi ..............................................................................................................................1
B. Acuan ...................................................................................................................................1
C. Dokumen Terkait ..................................................................................................................1
D. Pedoman Business Impact Analysis (BIA)............................................................................2
E. Pedoman Penilaian Risiko (Risk Assessment) TIK ...............................................................5
F. Pedoman Mitigasi dan Review Risiko TIK ..........................................................................10
G. Definisi ...............................................................................................................................12
LAMPIRAN I. Formulir Business Impact Analysis
LAMPIRAN II. Tabel Business Impact Analysis
LAMPIRAN III. Formulir Penetapan Konteks Penilaian Risiko TIK DJP
LAMPIRAN VI. Formulir Identifikasi dan Analisis Risiko TIK
LAMPIRAN V. Laporan Pelaksanaan Penilaian Risiko TIK
LAMPIRAN VI. Action Plan Mitigasi Risiko TIK
1
A. Deskripsi
Pedoman Business Impact Analysis (BIA) dan Penilaian Risiko Teknologi Informasi dan
Komunikasi (TIK) disusun dengan tujuan untuk memberikan panduan dan aturan mengenai
metode dan sarana bagi unit kerja terkait dalam melaksanakan Business Impact Analysis
dan Penilaian Risiko TIK.
BIA disusun untuk menentukan tingkat kritikalitas dan prioritas dari proses bisnis yang
didukung oleh layanan TIK, sedangkan Penilaian Risiko TIK dilaksanakan untuk
mengetahui profil risiko TIK sehingga dapat dilakukan mitigasinya secara tepat. Penilaian
risiko TIK disusun dalam kerangka Pengelolaan Keamanan Informasi DJP sebagaimana
telah diatur dalam Peraturan Direktur Jenderal Pajak Nomor PER-41/PJ/2010 dan
Pengelolaan Kelangsungan Layanan Teknologi Informasi dan Komunikasi DJP
sebagaimana telah diatur dalam Peraturan Direktur Jenderal Pajak Nomor PER-8/PJ/2011.
Hal-hal yang diatur dalam Pedoman Business Impact Analysis (BIA) dan Penilaian Risiko
Teknologi Informasi dan Komunikasi adalah sebagai berikut:
1. Pedoman Business Impact Analysis (BIA) yang terdiri dari:
1.1. Ketentuan Umum dalam Business Impact Analysis (BIA)
1.2. Ketentuan dalam Penyusunan BIA
1.3. Dokumentasi dan Pelaporan Hasil BIA
1.4. Review dan perubahan atas BIA
2. Pedoman Penilaian Risiko TIK yang terdiri dari:
2.1. Ketentuan Umum dalam Penilaian Risiko TIK;
2.2. Identifikasi Risiko TIK;
2.3. Analisis Risiko TIK; dan
2.4. Evaluasi Risiko TIK.
3. Pedoman Mitigasi dan Review Risiko TIK yang terdiri dari
3.1. Mitigasi Risiko TIK, dan
3.2. Review Risiko TIK.
B. Acuan
1. Peraturan Menteri Keuangan Nomor PMK-191/PMK.09/2008 tentang Penerapan
Menejemen Risiko di Lingkungan Departemen Keuangan.
2. Kebijakan Pengelolaan Keamanan Informasi Direktorat Jenderal Pajak
3. Kebijakan Pengelolaan Kelangsungan Layanan Teknologi Informasi dan Komunikasi
Direktorat Jenderal Pajak.
4. ISO/IEC 27005:2008 – Information Security Risk Management.
5. NIST 800-30 – Risk Management Guide for Information Technology Sistem.
C. Dokumen Terkait
1. Kebijakan Pengelolaan Kelangsungan Layanan Teknologi Informasi dan Komunikasi
DJP.
2. Pedoman Backup dan Restore Sistem/Data/Informasi.
2
3. Pedoman Tinjauan Manajemen Pengelolaan Keamanan Informasi Direktorat Jenderal
Pajak.
4. Pedoman Pengendalian Dokumen dan Catatan Penerapan Tata Kelola TIK.
5. Pedoman Pelaksanaan Pengelolaan Kelangsungan Layanan TIK
D. Pedoman Business Impact Analysis (BIA)
1. Ketentuan Umum dalam Business Impact Analysis (BIA)
1.1. Penyusunan atau perubahan atas dokumen BIA dilaksanakan paling sedikit 1
(satu) tahun sekali atau menurut jangka waktu yang diatur tersendiri oleh Direktur
Jenderal Pajak, atau apabila terjadi perubahan profil risiko seperti aset, ancaman
(threat), atau kelemahan (vulnerability), yang dapat membawa kerugian bagi DJP
apabila terjadi, atau dapat menyebabkan keadaan darurat.
1.2. Direktorat Transformasi Proses Bisnis (TPB) bertugas untuk mengoordinasikan
penyusunan dan perubahan BIA, dilaksanakan oleh Kepala Subdirektorat terkait
yang ditunjuk oleh Direktur TPB.
1.3. Direktorat TPB menyusun panduan teknis dalam pelaksanaan BIA.
1.4. Dalam penyusunan BIA, Direktorat TPB melibatkan narasumber sebagai berikut:
1.4.1. Di lingkungan Sekretariat Direktorat Jenderal Pajak: Pejabat Eselon II
dan satu atau lebih Pejabat Eselon III di bawahnya;
1.4.2. Di lingkungan KPDJP: Pejabat Eselon II dan satu atau lebih Pejabat
Eselon III di bawahnya pada masing-masing Direktorat;
1.4.3. Perwakilan Kantor Wilayah DJP: Pejabat Eselon II dan satu atau lebih
Pejabat Eselon III di bawahnya dari satu atau lebih Kantor Wilayah;
1.4.4. Di lingkungan PPDDP: Pejabat Eselon II dan dan satu atau lebih
Pejabat Eselon III; dan
1.4.5. Perwakilan Kantor Pelayanan Pajak DJP: Pejabat Eselon III dari satu
atau lebih Kantor Pelayanan Pajak.
1.5. Kepala Subdirektorat yang ditugaskan oleh Direktur TPB untuk mengelola BIA
melakukan monitoring dalam pelaksanaan penyusunan maupun perubahan BIA
dan mengeskalasikan kepada Direktur TPB apabila terdapat permasalahan
terkait BIA yang membutuhkan kewenangan Direktur TPB.
2. Ketentuan dalam Penyusunan BIA
2.1. Dokumen BIA disetujui oleh Direktur TPB dan pihak-pihak sebagaimana
dimaksud dalam angka 1.4.
2.2. BIA setidak-tidaknya harus mencakup hal-hal sebagai berikut:
2.2.1. Identifikasi proses bisnis dan fungsi yang mendukung kegiatan utama
DJP dan tingkat kritikalitasnya;
2.2.2. Dependensi atau ketergantungan satu proses atau fungsi dengan
proses atau fungsi yang lain;
2.2.3. Identifikasi komponennya yang mendukung proses bisnis atau fungsi,
termasuk Layanan TIK dan SDM-nya;
3
2.2.4. Identifikasi dampak bagi DJP jika proses bisnis inti tidak dapat
dilaksanakan akibat terjadinya gangguan TIK pada durasi waktu
tertentu;
2.2.5. Prosedur alternatif jika terjadi gangguan;
2.2.6. Penentuan target waktu tanggap untuk setiap proses bisnis inti yang
meliputi:
2.2.6.1. Maximum Tolerable Outage (MTO) atau Maximum Tolerable
Downtime (MTD), yaitu batas waktu pemulihan yang diijinkan
hingga Layanan TIK kembali ke keadaan normal (back to
normal);
2.2.6.2. Recovery Point Objective (RPO), yaitu batas waktu
kehilangan data yang dapat diterima oleh DJP antara waktu
backup terakhir hingga terjadinya keadaan darurat;
2.2.6.3. Recovery Time Objective (RTO), batas waktu pemulihan
antara terjadinya gangguan hingga saat berlangsungnya
kembali proses bisnis inti yang didukung oleh Layanan TIK
Utama;
2.2.6.4. Work Recovery Time (WRT), yaitu batas waktu yang
diperlukan untuk menyelesaikan pekerjaan yang tertunda
atau tidak lengkap akibat adanya keadaan darurat; dan
2.2.7. Minimum Operating Requirement (MOR), yaitu kebutuhan sarana,
pegawai, teknologi, data, dan informasi minimum yang diperlukan untuk
melaksanakan proses bisnis inti pada saat terjadi keadaan darurat.
2.3. Proses dalam penyusunan BIA dibagi menjadi beberapa aktivitas sebagai
berikut:
2.3.1. Penyusunan Rencana Kegiatan;
2.3.2. Pengumpulan informasi dari narasumber;
2.3.3. Penentuan prioritas proses atau fungsi;
2.3.4. Penentuan target recovery time; dan
2.3.5. Penyusunan Dokumen BIA.
2.4. Rencana kegiatan penyusunan BIA terdiri dari antara lain hal-hal sebagai berikut:
2.4.1. Tujuan;
2.4.2. Ruang lingkup proses bisnis yang akan dicakup;
2.4.3. SDM yang akan terlibat;
2.4.4. Jadwal dan detil aktifitas;
2.4.5. Target narasumber BIA;
2.4.6. Metode pengumpulan informasi dari narasumber;
2.4.7. Rencana komunikasi dan pelaporan.
2.5. Ketentuan mengenai pengumpulan informasi dari narasumber:
2.5.1. Untuk mengumpulkan informasi dari narasumber, maka dilakukan
dengan metode wawancara dan/atau workshop dengan narasumber/
masing-masing pemilik proses bisnis.
4
2.5.2. Sebelum melakukan wawancara, Tim Penyusunan BIA terlebih dahulu
menentukan:
2.5.2.1. daftar pertanyaan yang akan disampaikan kepada
narasumber beserta skoringnya;
2.5.2.2. target narasumber beserta jadwal wawancara atau
pembahasan melalui workshop beserta jadwal wawancara/
pembahasan.
2.5.3. Daftar pertanyaan harus mewakili aspek-aspek sebagai berikut:
2.5.3.1. Kritikalitas dan dampak proses bisnis dan sistem
pendukungnya;
2.5.3.2. Adanya proses alternatif (manual dan semi manual); dan
2.5.3.3. Kompleksitas atau dependensi Layanan TIK dengan
Layanan TIK yang lainnya.
2.5.4. Contoh daftar pertanyaan sebagaimana dimaksud dalam angka 2.5.3
tertuang dalam Formulir Business Impact Analysis sebagaimana
tercantum dalam Lampiran I Pedoman ini. Apabila diperlukan, maka
terhadap Formulir Business Impact Analysis sebagaimana dimaksud
dalam Lampiran I dapat dilakukan penyesuaian oleh Direktorat TPB
sesuai kebutuhan.
2.6. Ketentuan mengenai penentuan prioritas Layanan TIK adalah sebagai berikut:
2.6.1. Penentuan prioritas Layanan TIK ditentukan berdasarkan jumlah skor
yang terkandung dari jawaban yang diperoleh dari narasumber.
2.6.2. Direktorat TPB dapat menentukan klasifikasi bagi masing-masing proses
bisnis atau fungsi yang dinilai berdasarkan persentase total skor yang
diperoleh sebagai berikut:
2.6.2.1. Kritikal yaitu total skor di atas 90%;
2.6.2.2. Tinggi yaitu total skor antara 70% - 90%;
2.6.2.3. Sedang yaitu total skor antara 50% - 70%; dan
2.6.2.4. Rendah yaitu total skor kurang dari 50%.
2.7. Setelah klasifikasi dari proses bisnis atau fungsi yang dinilai telah ditentukan,
maka ditentukan target waktu pemulihan dari masing-masing proses bisnis/fungsi
apabila terjadi gangguan atau keadaan darurat.
3. Dokumentasi dan Pelaporan Hasil BIA
3.1. Setelah dilakukan penggalian informasi, penentuan prioritas proses bisnis/fungsi,
dan target waktu pemulihan, maka dilakukan penyusunan Tabel Business Impact
Analysis sebagaimana tercantum dalam Lampiran II pedoman ini.
3.2. Dokumen BIA disahkan oleh Direktur TPB melalui Nota Dinas.
3.3. Dokumen BIA dijadikan masukan dalam proses mitigasi risiko TIK, terutama
terkait masalah strategi backup dan recovery untuk sistem pendukung proses
bisnis yang dinilai dalam BIA yang berupa:
3.3.1. Frekuensi backup;
3.3.2. Jenis backup; dan
5
3.3.3. Pilihan metode backup.
3.4. Hasil BIA menjadi masukan yang dapat mengubah tipe dan strategi dalam
instruksi kerja backup dan recovery yang tertuang dalam Pedoman Backup dan
Restore Sistem/Data/Informasi.
3.5. Dokumen BIA yang telah disusun disampaikan kepada pihak-pihak sebagai
berikut:
3.5.1. Ketua Tim Pengelolaan Kelangsungan Layanan TIK sebagai masukan
dalam penyusunan dan/atau perubahan Disaster Recovery Plan dan
untuk menjalankan strategi backup dan restore terhadap aplikasi,
sistem, basis data, atau infrastruktur pendukung Layanan TIK Utama;
3.5.2. Direktur Transformasi Teknologi Komunikasi dan Informasi sebagai
bahan masukan dalam penilaian risiko TIK;
3.5.3. Direktur Kepatuhan Internal dan Transformasi Sumber Daya Aparatur
dan CIO DJP sebagai bahan masukan dalam proses manajemen risiko
DJP;
3.5.4. Unit Kerja pemilik proses bisnis atau fungsi; dan
3.5.5. Seksi Penyusunan Prosedur Operasional, Direktorat TTKI untuk dikelola
penyimpanannya.
3.6. Pengelolaan Dokumen BIA oleh Seksi Penyusunan Prosedur Operasional
dilaksanakan dengan mengacu kepada Pedoman Pengendalian Dokumen dan
Catatan Penerapan Tata Kelola TIK.
3.7. Apabila diperlukan, maka terhadap Tabel Business Impact Analysis
sebagaimana dimaksud dalam Lampiran IV dapat dilakukan penyesuaian oleh
Direktorat TPB sesuai kebutuhan.
4. Review dan Perubahan atas BIA
4.1. Atas BIA yang telah disusun, Direktorat TPB melakukan review secara rutin
minimal setiap satu tahun sekali untuk memastikan bahwa komponen dalam BIA
sebagaimana dimaksud dalam angka 2.2 sesuai dengan kondisi sebenarnya.
4.2. Apabila terdapat kebutuhan untuk mengubah BIA atau memasukkan proses
bisnis baru ke BIA, maka usulan tersebut disampaikan kepada Direktorat TPB.
4.3. Usulan perubahan harus ditandatangani oleh Pimpinan Unit Kerja dan disertai
dengan alasan perubahan BIA.
4.4. Langkah-langkah dan pihak-pihak yang terlibat dalam review dan/atau
perubahan BIA tercantum dalam Tata Cara Review dan Perubahan Business
Impact Analysis sebagaimana dimaksud dalam Lampiran II Pedoman ini.
E. Pedoman Penilaian Risiko (Risk Assessment) TIK
1. Penilaian risiko TIK dilaksanakan untuk mengidentifikasi dan menilai risiko-risiko TIK
yang dihadapi oleh DJP dan menentukan langkah-langkah mitigasi risiko TIK yang tepat,
serta sebagai bagian dari pengelolaan keamanan informasi DJP.
6
2. Ketentuan Umum
2.1. Objek yang menjadi ruang lingkup dari penilaian risiko TIK adalah seluruh
sistem/layanan TIK DJP beserta atribut/komponen pendukungnya.
2.2. Penilaian risiko TIK menghasilkan profil risiko TIK.
2.3. Profil risiko TIK dimuktahirkan secara berkala melalui review risiko TIK, dalam hal
profil risiko TIK sudah tidak valid maka penilaian risiko TIK dapat dilakukan
kembali.
2.4. Penilaian risiko TIK dapat dilaksanakan di luar jadwal rutin dalam hal terdapat
usulan antara lain dari:
2.4.1. Ketua Tim Keamanan Informasi berdasarkan hasil tinjauan manajemen
pengelolaan keamanan informasi sebagaimana mengacu pada
Pedoman Tinjauan Manajemen Pengelolaan Keamanan Informasi
Direktorat Jenderal Pajak dan hasil Business Impact Analysis;
2.4.2. Ketua Tim Pengelolaan Kelangsungan Layanan TIK;
2.4.3. Pihak terkait berdasarkan hasil audit internal tata kelola TIK; dan/atau
2.4.4. Kepala Subdirektorat Analisis dan Evaluasi Sistem Informasi
berdasarkan hasil review risiko TIK.
2.5. Usulan penilaian risiko TIK disampaikan kepada Kepala Subdirektorat Analisis
dan Evaluasi Sistem Informasi, Direktorat Transformasi Teknologi Komunikasi
dan Informasi (TTKI).
2.6. Penilaian risiko TIK harus mempertimbangkan hasil review risiko TIK terhadap
profil risiko TIK periode sebelumnya (dalam hal profil risiko TIK sudah tersedia).
2.7. Penilaian risiko TIK merupakan bagian dari pengelolaan risiko DJP.
2.8. Koordinator penilaian risiko TIK adalah Seksi Evaluasi Sistem Informasi (ESI),
Direktorat TTKI.
2.9. Untuk mempemudah pengawasan dalam kegiatan penilaian risiko, Unit Kerja TIK
menggunakan Sistem Informasi Manajemen Risiko yang dapat mengelola
informasi jadwal penilaian risiko TIK, profil risiko, Action Plan mitigasi Risiko TIK,
dan informasi terkait lainnya.
3. Metode Penghimpunan Informasi
Metode penghimpunan informasi yang dapat digunakan dalam penilaian risiko TIK
antara lain:
3.1. Evaluasi dokumen. Dokumen yang dapat digunakan antara lain: Laporan
Gangguan Keamanan Informasi, Laporan Gangguan Layanan TIK, Laporan
Business Impact Analysis, Dokumen Inventarisasi aset TIK, Katalog Layanan
TIK, dan lain-lain.
3.2. Wawancara dengan narasumber. Narasumber yang dimaksud meliputi tetapi
tidak terbatas pada:
3.2.1. Pemilik atau penanggung jawab sistem/layanan;
3.2.2. Pengguna sistem/layanan;
3.2.3. Administrator sistem, Operator Console;
3.2.4. Tim Keamanan Informasi;
7
3.2.5. Tim Pengelolaan Kelangsungan Layanan TIK;
3.2.6. Seksi terkait di unit kerja TIK.
3.3. Riset terhadap data dan informasi dari sumber eksternal, misalnya: Internet,
publikasi tentang anti virus, layanan publik, dan sebagainya.
4. Tahap-Tahap Penilaian Risiko
4.1. Perencanaan dan Persiapan
4.1.1. Berdasarkan disposisi dari Kepala Subdirektorat Analisis dan Evaluasi
Sistem Informasi, Seksi ESI melakukan perencanaan dan persiapan
pelaksanaan penilaian risiko TIK.
4.1.2. Dalam perencanaan dan persiapan penilaian risiko TIK, Seksi ESI
menentukan:
4.1.2.1. Ruang lingkup penilaian risiko TIK;
4.1.2.2. Jadwal dan detil aktivitas;
4.1.2.3. Pelaksana penilaian risiko TIK;
4.1.2.4. Narasumber;
4.1.2.5. dan lain-lain.
4.2. Penetapan Konteks
4.2.1. Penetapan konteks dilakukan dengan tujuan untuk:
4.2.1.1. Mengidentifikasi hal-hal yang berhubungan dengan sistem/
layanan TIK termasuk komponen-komponen pendukungnya,
diantaranya: tujuan, sasaran, proses/alur, arsitektur, lokasi,
lingkungan operasional, input, output, wewenang akses, dan
pihak-pihak yang terlibat termasuk pihak ketiga (vendor), dan
lain-lain;
4.2.1.2. Mengidentifikasi dan menetapkan kriteria tingkat dampak risiko
(risk impact) TIK dan peluang kejadian (likelihood) yang
digunakan untuk menganalisis dan mengevaluasi risiko;
4.2.1.3. Menetapkan kriteria dampak (impact) yang akan digunakan
dalam analisis risiko TIK.
4.2.1.4. Menetapkan kriteria peluang kejadian (likelihood) yang akan
digunakan dalam analisis risiko TIK.
4.2.2. Contoh formulir yang digunakan dalam penetapan konteks sebagaimana
terdapat dalam Lampiran III (Formulir Penetapan Konteks Penilaian
Risiko TIK DJP).
4.3. Identifikasi Risiko TIK
4.3.1. Identifikasi risiko TIK bertujuan untuk mengidentifikasi ancaman (threat)
yang berpotensi untuk mengganggu layanan/sistem TIK dan komponen
pendukungnya.
4.3.2. Seksi ESI mengidentifikasi ancaman yang dapat mengganggu
sistem/layanan TIK dan komponen pendukungnya. Masing-masing
ancaman yang diidentifikasi dikelompokkan menjadi tiga kategori yaitu:
8
4.3.2.1. Ancaman yang bersumber dari alam (natural threat). Contoh:
banjir, gempa bumi, badai.
4.3.2.2. Ancaman yang bersumber dari manusia (human-caused
threat). Contoh: hacking, social engineering, kesalahan entri
data, pencurian, pelanggaran prosedur.
4.3.2.3. Ancaman teknis (technical threat). Contoh: kegagalan sistem
(system failure), fluktuasi daya listrik.
4.3.3. Seksi ESI mendokumentasikan tahap identifikasi risiko TIK ke dalam
Formulir Identifikasi dan Analisis Risiko TIK sebagaimana terdapat
dalam Lampiran IV.
4.4. Analisis Risiko TIK
Berdasarkan daftar ancaman yang diperoleh dari tahap identifikasi risiko TIK,
Seksi ESI melakukan analisis terhadap:
4.4.1. Penyebab ancaman, baik yang disengaja maupun yang tidak disengaja.
Penyebab dari ancaman harus diidentifikasi sebagai bahan
pertimbangan dalam penentuan rekomendasi kontrol, yaitu:
4.4.1.1. Maksud/tujuan/motivasi dari eksploitasi yang sifatnya disengaja,
misalnya: mencari keuntungan, balas dendam, ego, dan
sebagainya;
4.4.1.2. Penyebab dari ancaman yang sifatnya tidak disengaja,
misalnya: ketidaksadaran (unawareness), ketidakacuhan
(indifference), dan sebagainya;
4.4.2. Kelemahan (vulnerability) yang dapat dieksploitasi oleh ancaman yang
teridentifikasi. Untuk mengidentifikasi kelemahan, cara yang dapat
dilakukan antara lain:
4.4.2.1. Melakukan riset atau mencari informasi dari sumber-sumber
eksternal, misalnya: internet, studi banding.
4.4.2.2. Melakukan pengujian keamanan sistem, misalnya melalui audit
internal atau penetration test.
4.4.3. Ketersediaan kontrol yang telah dimiliki DJP untuk mengatasi maupun
mengantisipasi ancaman. Kontrol yang dimaksud antara lain:
4.4.3.1. Kontrol preventif (preventive), misalnya: enkripsi, autentikasi
user account/password.
4.4.3.2. Kontrol detektif (detective), misalnya: intrusion detection
system.
4.4.3.3. Kontrol korektif (corrective), misalnya: mekanisme rollback pada
sistem manajemen database.
4.4.3.4. Kontrol direktif (directive), misalnya: kebijakan dan pedoman
kebijakan keamanan informasi.
4.4.3.5. Kontrol pemulihan (recovery), misalnya: business continuity
plan, disaster recovery plan.
9
4.4.3.6. Kontrol penghindaran (deterrent), misalnya: CCTV, sanksi
terhadap pelanggaran.
4.4.4. Peluang kejadian (likelihood) dari ancaman yang telah teridentifikasi.
Setiap ancaman ditentukan peluang kejadiannya berdasarkan kategori
yang telah ditetapkan pada Formulir Penetapan Konteks Penilaian
Risiko TIK DJP Lampiran III.
4.4.5. Kerugian atau dampak (impact) yang diderita dalam hal ancaman
terjadi. Setiap ancaman ditentukan dampaknya berdasarkan kategori
yang telah ditetapkan pada Formulir Penetapan Konteks Penilaian
Risiko TIK DJP dan dengan mempertimbangkan dokumentasi/Laporan
BIA sehingga analisis dampak harus sinkron dengan hasil BIA.
4.4.6. Berdasarkan hasil analisis risiko, Seksi ESI menentukan level risiko TIK.
4.4.7. Seksi ESI menuangkan hasil analisis risiko dalam Formulir Identifikasi
dan Analisis Risiko TIK sebagaimana tertuang dalam Lampiran IV.
4.5. Evaluasi Risiko TIK
4.5.1. Evaluasi risiko TIK bertujuan untuk menetapkan prioritas mitigasi
terhadap risiko TIK.
4.5.2. Untuk setiap risiko TIK yang teridentifikasi, Seksi ESI mengurutkan risiko
TIK berdasarkan level risiko dan prioritas mitigasinya.
4.5.3. Hasil evaluasi risiko TIK dituangkan dalam Laporan Pelaksanaan
Penilaian Risiko TIK sebagaimana terdapat pada Lampiran V.
5. Laporan Pelaksanaan Penilaian Risiko TIK disampaikan kepada:
5.1. Direktur KITSDA sebagai bahan masukan dalam Pengelolaan Risiko DJP;
5.2. Direktur TPB sebagai bahan masukan dalam Review dan Perubahan BIA;
5.3. Direktur TIP sebagai bahan masukan dalam penyelenggaraan kegiatan
operasional TIK DJP;
5.4. Ketua Tim Keamanan Informasi sebagai bahan masukan dalam pengelolaan
keamanan informasi DJP;
5.5. Ketua Tim Pengelolaan Kelangsungan Layanan TIK sebagai masukan dalam
pengelolaan kelangsungan layanan TIK;
5.6. Seksi Penyusunan Prosedur Operasional, Direktorat TTKI untuk dikelola
penyimpanannya; dan
5.7. Direktorat/Pihak lain yang terkait.
6. Pengelolaan dokumen dan laporan dalam Penilaian Risiko TIK oleh Seksi Penyusunan
Prosedur Operasional dilaksanakan dengan mengacu kepada Pedoman Pengendalian
Dokumen dan Catatan Penerapan Tata Kelola TIK.
7. Apabila diperlukan, maka terhadap seluruh formulir yang digunakan dalam pelaksanaan
penilaian risiko TIK sebagaimana dimaksud dalam Lampiran III, Lampiran IV, dan
Lampiran V dapat dilakukan penyesuaian sesuai kebutuhan.
10
F. Pedoman Mitigasi dan Review Risiko TIK
1. Mitigasi Risiko TIK
1.1. Mitigasi risiko TIK dilakukan untuk menentukan kontrol yang efektif dan efisien
terhadap risiko TIK berdasarkan hasil Business Impact Analysis dan Penilaian
Risiko TIK.
1.2. Ketentuan Umum
1.2.1. Mitigasi risiko TIK diarahkan pada penanganan akar permasalahan (root
cause) dan bukan hanya pada gejala permasalahan.
1.2.2. Koordinator Mitigasi Risiko TIK adalah Kepala Subdirektorat Analisis
dan Evaluasi Sistem Informasi, Direktorat TTKI;
1.3. Hal-hal yang menjadi bahan pertimbangan dalam mitigasi risiko TIK antara lain:
1.3.1. Batas/Toleransi risiko TIK yang dapat diterima oleh DJP (risk appetite);
1.3.2. Prioritas mitigasi risiko TIK;
1.3.3. Estimasi biaya dan sumberdaya yang dibutuhkan dalam
implementasinya;
1.3.4. Manfaat yang dapat diperoleh dari tindakan mitigasi risiko TIK;
1.3.5. Pengaruh mitigasi risiko terhadap konteks yang lebih luas.
1.4. Kategori kontrol yang dapat digunakan antara lain:
1.4.1. Kontrol teknis, yaitu kontrol yang diterapkan secara teknis dalam sistem.
Contoh: enkripsi, sistem autentikasi user account/password, intrusion
detection system (IDS), dan sebagainya.
1.4.2. Kontrol manajemen, yaitu kontrol yang bersifat mengatur. Contoh:
kebijakan, pedoman, standar keamanan, dan sebagainya.
1.4.3. Kontrol operasional. Contoh: pengendalian akses terhadap data,
pengendalian pemusnahan data/dokumen, pengamanan fisik, dan
sebagainya.
1.5. Jenis-jenis mitigasi risiko TIK yang dapat diterapkan antara lain:
1.5.1. Penghindaran Risiko (risk avoidance), yaitu menghindari risiko dengan
cara menyingkirkan penyebabnya.
1.5.2. Pembatasan risiko (risk limitation), yaitu membatasi risiko dengan cara
menerapkan kontrol yang dapat meminimalkan dampak.
1.5.3. Transfer Risiko (risk transference), yaitu memindahkan risiko dengan
cara menggunakan opsi lain untuk mengkompensasi kerugian, misalnya
membeli asuransi.
1.5.4. Penerimaan Risiko (risk acceptance), yaitu menerima risiko yang
berpotensi terjadi, dengan mempertimbangkan bahwa dampak yang
terjadi masih dapat diterima.
1.6. Metodologi penerapan kontrol adalah sebagai berikut:
1.6.1. Memilih prioritas tindakan
1.6.1.1. Penentuan prioritas tindakan didasarkan pada skala risiko TIK
yang terdapat dalam Laporan Pelaksanaan Penilaian Risiko
TIK.
11
1.6.1.2. Dalam pengalokasian sumberdaya, prioritas tertinggi harus
diberikan pada item risiko TIK yang skalanya sangat tinggi.
1.6.2. Mengevaluasi pilihan kontrol yang direkomendasikan
Rekomendasi kontrol yang terdapat dalam Laporan Pelaksanaan
Penilaian Risiko TIK harus ditinjau kembali kelayakan dan efektivitasnya
untuk menentukan kontrol yang paling sesuai dalam mitigasi risiko TIK.
1.6.3. Memilih kontrol
1.6.3.1. Koordinator mitigasi risiko TIK menentukan kontrol yang dinilai
cost-effective untuk mengurangi risiko TIK.
1.6.3.2. Kontrol yang dipilih harus merupakan kombinasi kontrol
teknis, operasional, dan manajemen untuk memastikan
keamanan yg memadai bagi sistem TIK dan DJP.
1.6.3.3. Koordinator Mitigasi Risiko TIK mengoordinasikan
pelaksanaan mitigasi risiko dengan Penanggung Jawab
Mitigasi Risiko TIK.
1.6.3.4. Koordinator Mitigasi Risiko menyusun action plan terkait
pelaksanaan mitigasi risiko dengan format sebagaimana
terdapat dalam Lampiran VI (Action Plan Mitigasi Risiko TIK).
1.6.3.5. Apabila diperlukan, maka terhadap formulir yang digunakan
dalam mitigasi risiko TIK sebagaimana dimaksud Lampiran VI
dapat dilakukan penyesuaian sesuai kebutuhan.
1.6.4. Monitoring Mitigasi Risiko TIK
1.6.4.1. Monitoring mitigasi risiko TIK bertujuan untuk memantau
pelaksanaan mitigasi risiko TIK dan kesesuaiannya dengan
action plan pelaksanaan mitigasi risiko TIK.
1.6.4.2. Untuk mempermudah monitoring mitigasi risiko TIK, maka
Unit Kerja TIK menggunakan Sistem Informasi Manajemen
Risiko TIK yang dapat mengelola informasi profil risiko, Action
Plan mitigasi Risiko TIK, dan informasi terkait lainnya.
1.6.4.3. Masing-masing penanggung jawab mitigasi risiko TIK
melaporkan pelaksanaan mitigasi risiko TIK yang menjadi
tanggung jawabnya kepada Koordinator Mitigasi Risiko TIK
paling lama dua minggu setelah mitigasi risiko selesai
dilaksanakan.
1.6.4.4. Koordinator Mitigasi Risiko TIK melakukan pemutakhiran
(update) terhadap Action Plan Mitigasi Risiko TIK.
1.6.4.5. Kepala Subdirektorat Analisis dan Evaluasi Sistem Informasi
memeriksa Action Plan Mitigasi Risiko TIK setiap dua bulan
sekali dan mengeskalasi permasalahan terkait pelaksanaan
mitigasi risiko TIK yang membutuhkan kewenangan Direktur
TTKI maupun Direktur TIP, antara lain namun tidak terbatas
pada:
12
a. mitigasi atas risiko yang memiliki level tinggi;
b. mitigasi yang tertunda akibat masalah penganggaran;
c. mitigasi yang membutuhkan koordinasi dengan Pejabat
Eselon II lainnya;
d. mitigasi yang terkendala akibat masalah peraturan;
dan/atau
e. mitigasi yang terkendala akibat masalah kapasitas dan
ketersediaan SDM.
2. Review Risiko TIK
2.1. Seksi ESI melakukan review risiko TIK terhadap profil risiko TIK periode
sebelumnya minimal enam bulan sekali atau apabila menemukan data atau
informasi baru yang berpotensi menambah atau mengubah risiko TIK, atau
informasi bahwa mitigasi risiko yang sudah terlaksana tidak efektif.
2.2. Data atau informasi sebagaimana dimaksud dalam angka 2.1 antara lain sebagai
berikut:
2.2.1. Usulan perubahan profil risiko TIK dari pihak-pihak sebagaimana
dimaksud dalam Pedoman Penilaian Risiko (Risk Assessment) TIK pada
angka 2.4;
2.2.2. Terdapat perubahan aset/komponen pendukung layanan TIK yang tidak
tercakup dalam penilaian risiko TIK sebelumnya;
2.2.3. Kemungkinan ancaman (threat) atau kelemahan (vulnerability) baru
yang belum terdefinisi sebelumnya;
2.2.4. Hasil dari Post Disaster Review sebagaimana diatur dalam Pedoman
Pelaksanaan Pengelolaan Kelangsungan Layanan TIK; dan/atau
2.2.5. Angka insiden/gangguan keamanan informasi yang tinggi atau
meningkat.
2.3. Data atau informasi sebagaimana dimaksud dalam angka 2.3 disampaikan
kepada Kepala Subdirektorat AESI untuk ditindaklanjuti dengan:
2.3.1. Memasukkan data atau informasi sebagaimana dimaksud dalam angka
2.2 ke dalam Sistem Informasi Manajemen Risiko TIK;
2.3.2. Membuat usulan/rekomendasi penerapan kontrol sementara untuk
menanggulangi meluasnya dampak risiko TIK; dan
2.3.3. Menyampaikan usulan/rekomendasi sebagaimana dimaksud dalam
angka 2.4.1 kepada pihak-pihak terkait.
G. Definisi
1. Ancaman (threat) adalah potensi/kemungkinan suatu sumber ancaman untuk
mengeksploitasi suatu kelemahan (vulnerabiliity).
2. Sistem informasi manajemen risiko TIK adalah sistem informasi yang digunakan oleh
Direktorat Transformasi Teknologi Komunikasi dan Informasi dan Direktorat Teknologi
Informasi Perpajakan untuk mempermudah pengawasan dan pengelolaan risiko TIK.
Sistem Informasi Manajemen Risiko TIK mengelola informasi antara lain jadwal
13
penilaian risiko TIK, profil risiko, Action Plan mitigasi Risiko TIK, dan informasi terkait
lainnya.
3. Business Impact Analysis (BIA) adalah kegiatan mengidentifikasi proses bisnis inti
dan potensi dampak yang diderita apabila terjadi gangguan terhadap kelangsungan
proses tersebut.
4. Kelemahan (vulnerability) adalah kekurangan atau kerentanan dalam prosedur,
rancangan, dan implementasi keamanan sistem, atau kontrol internal yang dapat
dieksploitasi sehingga menyebabkan pelanggaran terhadap kebijakan keamanan
sistem.
5. Kontrol adalah sarana atau metode yang digunakan sebagai pengendali risiko.
6. Layanan TIK adalah fasilitas yang terdiri dari gabungan komponen teknologi, proses,
dan personil dalam rangka penyelenggaraan sistem informasi yang direncanakan,
dikembangkan, dioperasikan, dan dipelihara oleh Unit Kerja TIK baik secara terpusat
maupun terdistribusi, yang digunakan untuk memenuhi kepentingan pemenuhan tugas
dan fungsi unit kerja terkait maupun DJP pada umumnya. Layanan TIK yang dicakup
adalah Layanan yang terdaftar dalam Katalog Layanan TIK.
7. Mitigasi Risiko TIK adalah pengambilan langkah-langkah strategis dalam rangka
mengurangi dampak yang ditimbulkan oleh risiko TIK.
8. Penanggung Jawab Mitigasi Risiko TIK adalah pihak yang ditunjuk sebagai
penanggung jawab terhadap pelaksanaan mitigasi risiko TIK.
9. Penetration test adalah suatu metode untuk mengevaluasi keamanan dari suatu sistem
dengan cara menyimulasikan serangan dari sumber berbahaya.
10. Pengguna Layanan TIK yang selanjutnya disebut sebagai Pengguna adalah pihak-
pihak yang menggunakan/ memanfaatkan Layanan TIK melalui perangkat Teknologi
Informasi dan Komunikasi. Pengguna terdiri dari pihak internal yaitu pegawai DJP
maupun pihak eksternal (misalnya Wajib Pajak, mitra DJP, instansi terkait, Pihak Ketiga
Penyedia Barang/Jasa, dan lain-lain).
11. Penilaian Risiko (Risk Assessment) adalah kegiatan untuk:
11.1. Menentukan prioritas risiko berdasarkan peluang terjadinya gangguan kegiatan
dan Layanan TIK Utama;
11.2. Mengidentifikasi ancaman-ancaman terhadap kegiatan dan Layanan TIK Utama;
11.3. Mengidentifikasi kelemahan yang dapat meningkatkan risiko berdasarkan
ancaman yang ada; dan/atau
12. Risiko adalah segala sesuatu yang berdampak negatif terhadap pencapaian tujuan
yang diukur berdasarkan kemungkinan dan dampaknya.
13. Risiko residual (residual risk) adalah risiko yang tersisa setelah dilakukan penerapan
kontrol melalui mitigasi risiko.
14. Unit Kerja TIK DJP yang selanjutnya disebut sebagai Unit Kerja TIK adalah Direktorat
Teknologi Informasi Perpajakan (TIP) dan Direktorat Transformasi Teknologi
Komunikasi dan Informasi (TTKI).
1
KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL PAJAK
DIREKTORAT ………………………………………….
Jl. ………………………………….. Telepon : ......................... Fax : ......................... Homepage: http://www.pajak.go.id
FORMULIR BUSINESS IMPACT ANALYSIS
A. PENJELASAN PROSES BISNIS
1. Nama Proses Bisnis: [1]
2. Kode: [2]
3. Pihak-pihak yang terlibat: [3]
Pihak yang terlibat Jumlah
4. Deskripsi Proses Bisnis: [4]
5. Proses Bisnis lain yang terkait: [5]
6. Data/Informasi yang disajikan:
Jenis Data Klasifikasi*
[6] [7]
• diisi dengan Sangat Rahasia, Rahasia, Terbatas, atau Publik
7. Periode Puncak/Peak Time (Pilih satu atau lebih): [8]
Januari □ Senin □ Pertengahan-Akhir minggu □ Februari □ Selasa □ Pertengahan-Akhir bulan □ Maret □ Rabu □ Pertengahan-Akhir kuartal □ April □ Kamis □ Pertengahan-Akhir semester □ Mei □ Jumat □ Awal-pertengahan minggu □ Juni □ Sabtu □ Awal-pertengahan bulan □ Juli □ Minggu □ Awal-pertengahan kuartal □
Lampiran I Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi
2
Agustus □ Awal-pertengahan semester □ September □
Oktober □ □ Lainnya (jelaskan):__________________
November □ Contoh: setiap tanggal 15 setiap bulan
Desember □
8. Layanan/Aplikasi/Sistem Informasi yang digunakan
Nama Layanan TIK, Aplikasi, Sistem
Informasi
[9]
Jumlah Pengguna [10]
Aset TIK/perangkat di Data Center
[11]
Perangkat TIK yang digunakan
selain di DC
[12]
Berapa Lama proses bisnis dapat
berjalan tanpa aplikasi/sistem
informasi
[13]
9. Prosedur Alternatif Manual/Semi manual saat Aplikasi/Sistem Informasi tidak
tersedia: [14]
□ Ada (lampirkan)
□ Tidak ada
MOR (Minimum Operating Requirement) atau peralatan minimal yang
dibutuhkan untuk menjalankan proses bisnis jika sistem informasi/aplikasi tidak
tersedia: [15]
3
B. SCORING:
1. ASPEK CONFIDENTIALITY
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
1. Kriteria data/informasi yang diolah/disediakan pada proses ini*
Sangat Rahasia
Rahasia
Terbatas
Publik
Sangat Tinggi
Tinggi
Menengah
Rendah
4
3
2
1
*Keterangan:
Kategori Uraian Contoh Impact
Rating
Sangat Rahasia
Informasi yang jika diungkapkan secara tak berwenang dapat membuat kerusakan yang parah terhadap DJP. - Informasi yang secara alamiah bersifat sangat sensitif - Yang memerlukan verifikasi pejabat terhadap keperluan penerima informasi
(“need to know”) sebelum informasi boleh diberikan - Pengungkapan informasi akan menyebabkan kerugian besar secara finansial,
pelanggaran hukum, peraturan dan undang-undang, atau gangguan terhadap reputasi DJP, Wajib Pajak, atau karyawan DJP
- Laporan-laporan penting yang berisiko tinggi - Password milik root/operator dan PIN - Rencana strategis jangka panjang - Strategi investasi - Informasi sensitif tentang Wajib Pajak - Produk Hukum transaksi perpajakan, - dll
4
Rahasia Informasi yang jika diungkapkan secara tak berwenang dapat membuat kerusakan pada DJP. - Informasi yang harus tersedia secara luas untuk dapat menjalankan tugas,
tetapi harus tetap berada dalam pengendalian DJP dan tidak boleh diungkapkan ke publik tanpa ijin
- Pengungkapan informasi akan menyebabkan kerugian yang tidak diinginkan pada DJP, pelanggannya, pemasoknya dan atau karyawannya
- Laporan yang tidak diperuntukkan bagi publik - Laporan audit internal - Rencana kerja - Informasi penggajian (payroll) - Data pengadaan - Rencana pemulihan bencana (disaster recover plans) - Informasi Sumber Daya Manusia - Dokumentasi sistem informasi DJP , source-code, - dll
3
Terbatas/ Internal Informasi yang jika diungkapkan secara tak berwenang ke pihak diluar DJP akan
membuat hal-hal yang tidak diinginkan secara administratif dan keamanan. Ini adalah informasi diluar dua klasifikasi di atas, tapi tetap harus dilindungi keamanannya. - Tidak diperuntukkan untuk diungkapkan ke publik
- Konsep-konsep milik DJP - Data riset dan pengembangan - Bagan organisasi - Kebijakan-kebijakan TIK - Materi pelatihan - Daftar nomor telepon pegawai internal - dll.
2
Publik - Dokumen-dokumen, informasi atau materi yang dapat diungkapkan ke publik - Penyebaran ke publik melalui jalur-jalur resmi
- iklan DJP - Keterangan pers (Press releases) - Artikel-artikel majalah dan koran - Laporan tahunan
1
4
2. ASPEK INTEGRITY
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
1. Potensi dampak terhadap Pelaksanaan Tugas DJP akibat kehilangan Keutuhan Data dalam proses ini*.
Katastropik
Besar/signifikan
Minimal
Tidak ada
Sangat Tinggi
Tinggi
Menengah
Rendah
4
3
2
1
*Keterangan: Dampak Pontensial Impact
Rating Dampak negatif yang Parah atau katastropik - menyebabkan penurunan efektivitas yang parah pada fungsi Pelaksanaan Tugas sehingga DJP tidak dapat menjalankan fungsi utamanya - kerugian parah secara finansial, kerusakan parah pada sistem dan membahayakan keselamatan karyawan atau pihak lain sampai adanya
kerugian jiwa atau cedera yang membahayakan jiwa.
4
Dampak negatif yang Besar/Signifikan, dengan konsekuensi yang berat - menyebabkan penurunan efektivitas yang besar pada fungsi Pelaksanaan Tugas, tetapi DJP masih dapat menjalankan fungsi utamanya - kerugian besar secara finansial, kerusakan besar pada sistem dan membahayakan keselamatan karyawan atau pihak lain, tetapi tidak
mengakibatkan kehilangan jiwa atau cedera yang membahayakan jiwa.
3
Dampak minimal - menyebabkan sedikit penurunan efektivitas fungsi tetapi DJP masih dapat melakukan fungsi utamanya - kerugian minimal secara finansial, kerusakan minimal pada sistem atau ancaman cedera karyawan atau pihak lainnya. - masih dapat menjalankan fungsi utamanya, tetapi efektifitas fungsi terlihat jelas berkurang - kerugian kecil secara finansial, kerusakan kecil pada sistem atau ancaman cedera bagi karyawan atau pihak lainnya.
2
Tidak ada dampak 1
3. ASPEK AVAILABILITY
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
1. Dampak terhadap pelaksanaan Tugas DJP akibat ketidaktersediaan data/informasi pada proses ini*
s.d. 1 hari
2-4 hari
5-7 hari
> 1 minggu
>12 bulan
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
5
4
3
2
1
- Materi sosialisasi peraturan perpajakan - nomor telepon DJP yang diperuntukkan bagi pelayanan publik - dll.
5
*Keterangan:
Dampak Potensial Impact Rating
Toleransi maksimum terhadap gangguan/downtime adalah 1 hari 5
Toleransi maksimum terhadap gangguan/downtime adalah 2-4 hari 4
Toleransi maksimum terhadap gangguan/downtime 5-7 hari 3
Toleransi maksimum terhadap gangguan/downtime lebih dari 1 minggu 2
Toleransi maksimum terhadap gangguan/downtime lebih lama dari 12 bulan 1
4. ASPEK TINGKAT KRITIKALITAS
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
2. Seberapa besar dampak dari ketidak-tersediaan sistem terhadap tugas DJP dan kelangsungan kegiatan operasional utamanya?
Sangat besar
Besar
Cukup besar
Minimal
Tidak ada
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
3. Seberapa jauh DJP bergantung pada sistem dalam kondisi krisis?
Misalnya: pada saat pemulihan dari kondisi bencana (Disaster recovery), kelangsungan fungsi utama DJP dll.
Sangat bergantung
Bergantung berat
Cukup bergantung
Minimal
Tidak tergantung
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
4. Seberapa jauh dampak sistem terhadap tugas/misi DJP dan kelangsungan kegiatan operasional utamanya jika sistem mengalami gangguan lebih lama dari toleransi waktu gangguan maksimal?
Negara
Sektor Ekonomi
Kementerian
Direktorat Jenderal
Tidak ada
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
6
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
5. Berapa banyak staf DJP yang akan terkena dampak jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal
>500 orang
350 to 500
200 to 350
150 to 300
100 to 150
50 to 100
25 to 50
10 to 25
1 to 10
Tidak ada
Jumlah =
NA
10
9
8
7
6
5
4
3
2
1
6. Berapa banyak pihak luar (misalnya: kemeterian/lembaga lain, pemasok, pihak ketiga, kontraktor, dll) yang akan terkena dampak jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?
>30000
20000 ~ 30000
10000 ~ 20000
5000 ~ 10000
1000 ~ 5000
500 ~ 1000
100 ~ 500
50 ~ 100
0 ~ 50
Tidak ada
Jumlah=
NA
10
9
8
7
6
5
4
3
2
1
7. Seberapa sensitif informasi yang tersimpan dalam sistem?
Sangat Rahasia
Rahasia
Terbatas
Publik
Sangat Tinggi
Tinggi
Menengah
Rendah
7-8
5-6
3-4
1-2
8. Seberapa tinggi tingkat mission critical sistem ini bagi DJP?
Catatan: Mission Critical berarti segala proses yang menggunakan komputer yang tidak boleh gagal selama jam kerja normal. Beberapa proses yang menggunakan komputer harus berjalan sepanjang hari dan
Sangat kritis
Kritis
Cukup kritis
Minimal
Tidak kritis
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4 1-2
7
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
membutuhkan ketersediaan komputer (uptime) sebesar 100%.
SUBTOTAL
5. ASPEK WAKTU KRITIKALITAS
No PERTANYAAN ALASAN JAWABAN RISIKO Interval Nilai
NILAI
1. Saat masa sibuk, berapa lama anda dapat mentoleransi gangguan/ketidaktersediaan sistem?
1 jam
4 jam
8 jam
1 hari
3 hari
5 hari
1 minggu
2 minggu
1 bulan
lebih dari 1 bulan
NA
10
9
8
7
6
5
4
3
2
1
2. Saat terjadi sistem tidak berfungsi, seberapa besar dampaknya pada pelayanan terhadap masyarakat (wajib pajak) atau lembaga pemerintah?
Dampak Sangat Besar
Dampak Besar
Dampak Sedang
Dampak Minimal
Tidak ada dampak
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
3. Apakah ada proses manual yang dapat diaktifkan sehingga dapat memberikan pelayanan minimal saat sistem mengalami gangguan?
Jika menjawab YA, isi nomor 4 dan 5
Jika menjawab TIDAK, langsung ke aspek Ketergantungan dan Kerumitan sistem
Tidak
Ya
Tinggi
Rendah
2
1
4. Apakah proses manual dirasakan membantu saat sistem tidak berfungsi?
Tidak membantu
Bantuan Minimal
Cukup Membantu
Bantuan Besar
Ekstrem
Sangat Tinggi
Tinggi
Menengah
9-10
7-8
5-6
3-4
8
No PERTANYAAN ALASAN JAWABAN RISIKO Interval Nilai
NILAI
Sangat Membantu Rendah 1-2
5. Berapa lama proses manual dapat dijalankan?
1 jam
4 jam
8 jam
1 hari
3 hari
5 hari
1 minggu
2 minggu
1 bulan
lebih dari 1 bulan
NA
10
9
8
7
6
5
4
3
2
1
SUBTOTAL
6. ASPEK KETERGANTUNGAN DAN KERUMITAN SISTEM
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
1. Sejauh mana pihak luar (Satuan Kerja, Kementerian atau Lembaga lain) bergantung ke sistem ini?
Sangat bergantung
Bergantung berat
Cukup bergantung
Minimal
Tidak tergantung
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
2. Sejauh mana sistem ini bergantung ke pihak luar (mitra, vendor, teknisi dari pabrikan)?
Sangat bergantung
Bergantung berat
Cukup bergantung
Minimal
Tidak tergantung
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
3. Seberapa rumitkah sistem ini?
misalnya: sistem ini sangat rumit sehingga harus bertanya ke berbagai orang di DJP/mitra kerja dan membaca dokumentasi sistem untuk dapat menguasainya.
Sangat rumit
Rumit
Cukup rumit
Minimal
Tidak rumit
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
9
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
SUBTOTAL
4. ASPEK DAMPAK
a. DAMPAK MATERI
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
1. Apakah aplikasi ini secara langsung mengakibatkan menurunnya kinerja (tidak tercapainya target kinerja) pada DJP jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?
Ya
Tidak
Tinggi
Rendah
2
1
SUBTOTAL
b. DAMPAK NON-MATERI
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
1. Bagaimana dampak terhadap citra DJP jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?
Dampak Sangat Besar
Dampak Besar
Dampak Sedang
Dampak Minimal
Tidak ada dampak
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
2. Seberapa besar dampak terhadap kredibilitas dan reputasi DJP jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?
Dampak Sangat Besar
Dampak Besar
Dampak Sedang
Dampak Minimal
Tidak ada dampak
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
3. Seberapa besar dampak terhadap keyakinan dan kepercayaan publik pada DJP jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?
Dampak Sangat Besar
Dampak Besar
Dampak Sedang
Dampak Minimal
Tidak ada dampak
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
4. Seberapa besar dampak terhadap pengguna, Dampak Sangat Besar Ekstrem 9-10
10
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
kinerja staf atau waktu produktif jika sistem berhasil dimasuki oleh orang yang tidak berwenang atau jika sistem tidak tersedia dalam waktu yang lebih lama dari toleransi waktu gangguan maksimal?
Dampak Besar
Dampak Sedang
Dampak Minimal
Tidak ada dampak
Sangat Tinggi
Tinggi
Menengah
Rendah
7-8
5-6
3-4
1-2
5. Seberapa besar dampaknya pada DJP jika informasi secara sengaja atau tidak sengaja diubah?
Dampak Sangat Besar
Dampak Besar
Dampak Sedang
Dampak Minimal
Tidak ada dampak
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
6. Seberapa besar dampaknya pada DJP jika terjadi kebocoran informasi pribadi/data yang ada dalam sistem ini?
Dampak Sangat Besar
Dampak Besar
Dampak Sedang
Dampak Minimal
Tidak ada dampak
Ekstrem
Sangat Tinggi
Tinggi
Menengah
Rendah
9-10
7-8
5-6
3-4
1-2
SUBTOTAL
c. DAMPAK TERHADAP MISI DJP
No PERTANYAAN ALASAN JAWABAN RISIKO Interval
Nilai
NILAI
1. Peran apa yang dimainkan sistem ini dalam mendukung misi DJP?
Karena berpengaruh terhadap indeks performa DJP, yaitu penerimaan
Peran Utama
Pendukung
Tidak Langsung
Tidak ada
Ekstrem
Tinggi
Menengah
Rendah
7-8
5-6
3-4
1-2
2. Apakah ada proses atau sistem lain yang dapat digunakan sebagai pengganti saat sistem ini tidak tersedia?
Karena syarat sah pembayaran adalah terdapat NTPN
Tidak
Ya
Tinggi
Rendah
2
1
3. Bagaimana dampaknya jika DJP dituntut secara hukum akibat adanya kehilangan keutuhan dan/atau kerahasiaan data?
Karena DJP bukan bertindak sebagai pemilik data
Dampak Sangat Besar
Dampak Besar
Dampak Sedang
Dampak Minimal
Ekstrem
Sangat Tinggi
Tinggi
Menengah
9-10
7-8
5-6
3-4
11
pembayaran, karena pemiliknya adalah Kementerian keuangan
Tidak ada dampak
Rendah 1-2
SUBTOTAL
TOTAL SKOR (jumlahkan dari seluruh skor dari masing-masing aspek)
Disetujui Oleh: Tempat/tanggal Tanda tangan
Nama :
NIP :
Nama :
NIP :
Nama :
NIP :
12
Petunjuk Pengisian:
[1] diisi dengan nama proses bisnis
[2] diisi dengan kode proses bisnis jika ada (sesuai pengkodean yang dikeluarkan oleh
Direktorat TPB)
[3] diisi dengan pihak-pihak yang terlibat dan estimasi jumlahnya
[4] diisi dengan deskripsi mengenai proses bisnis
[5] diisi dengan nama proses bisnis lainnya yang terkait
[6] diisi dengan jenis data yang diolah atau disajikan dalam proses ini (contoh: data
pembayaran, data penagihan)
[7] diisi dengan klasifikasi data yang diolah atau disajikan
[8] diisi dengan periode puncak/peak time untuk menjalankan proses bisnis ini
[9] diisi dengan Layanan TIK/aplikasi/sistem informasi yang digunakan untuk mendukung
proses ini
[10] diisi dengan estimasi jumlah pengguna Layanan TIK/aplikasi/sistem informasi
[11] diisi dengan aset TIK/perangkat di Data Center (DC) yang mendukung Layanan
TIK/aplikasi/sistem informasi
[12] diisi dengan perangkat TIK yang digunakan selain di DC
[13] diisi dengan lama waktu proses bisnis dapat berjalan tanpa aplikasi/sistem informasi
[14] diisi dengan mengisi tanda cek list pada salah satu pilihan (ada atau tidak ada)
[15] diisi dengan peralatan minimal yang dibutuhkan untuk menjalankan proses bisnis jika
sistem informasi/aplikasi tidak tersedia.
1
KEMENTERIAN KEUANGAN REPUBLIK INDONESIA
DIREKTORAT JENDERAL PAJAK DIREKTORAT ………………………………………….
Jl. ………………………………….. Telepon : ......................... Homepage: http://www.pajak.go.id Fax : .........................
TABEL BUSINESS IMPACT ANALYSIS
No Nama Proses Bisnis/Fungsi
Aspek Confidentiality
Aspek Integrity
Aspek Availability
Aspek Kritikalitas Ketergantungan dan
Kerumitan Sistem
Aspek Dampak
Total Nilai Kualifikasi Kritikalitas
RPO RTO WRT MTO
Strategi Backup & recovery
Tingkat Waktu Materi Non
Materi Misi DJP
Tipe Media Strategi
1 2 3 4 5 6 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Persetujuan
Nama/NIP Tanggal Tanda Tangan
23 24 25
Lampiran II Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi
2
Petunjuk Pengisian:
1. diisi nomor urut
2. diisi nama proses bisnis/fungsi yang dinilai kritikalitasnya
3. diisi skor/nilai aspek Confidentiality
4. diisi skor/nilai aspek Integrity
5. diisi skor/nilai aspek Availability
6. diisi skor/nilai aspek tingkat Kritikalitas
7. diisi skor/nilai aspek waktu Kritikalitas
8. diisi skor/nilai aspek ketergantungan dan kerumitan sistem
9. diisi skor/nilai aspek Dampak Materi
10. diisi skor/nilai aspek Dampak Non Materi
11. diisi skor/nilai aspek Dampak terhadap Misi DJP
12. diisi dengan penjumlahan atau total skor/nilai dari kolom 2 sampai dengan kolom 13
13. diisi dengan kualifikasi kritikalitas berdasarkan total skor (Kritikal, Tinggi, Sedang, Rendah)
14. diisi dengan target RPO
15. diisi dengan target RTO
16. diisi dengan target WRT
17. diisi dengan target MTO
18. diisi dengan Tipe Backup (Full/ Incremental)
19. diisi dengan Media Backup (Tape, CD, dll)
20. diisi dengan Strategi Recovery (Hot Recovery, Warm Standby, Cold Standby)
1
FORMULIR PENETAPAN KONTEKS
PENILAIAN RISIKO TIK DJP
NAMA SISTEM/LAYANAN TIK : .................................................................................................................. [1]
TINGKAT KRITIKALITAS : .................................................................................................................. [2]
A. Data-Data Umum
Deskripsi Singkat Mengenai Sistem/Layanan TIK
.................................................................................................................................................................
.................................................................................................................................................................
................................................................................................................................................................. [3]
Tujuan/Sasaran dari Sistem/Layanan TIK
.................................................................................................................................................................
.................................................................................................................................................................
................................................................................................................................................................. [4]
Pemilik/Penanggung Jawab Sistem/Layanan
No. Jabatan Tanggung Jawab
[5] [6]
Lampiran III Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi
2
B. Arsitektur Sistem/Layanan TIK beserta Arsitektur Keamanannya [7]
C. Diagram Proses/Alur Kerja [8]
3
D. Data/Dokumen
No Nama Data Uraian Input/Output Sensitivitas
[9] [10] [11] [12]
E. Sistem Pendukung, Perangkat Pendukung, dan Lingkungan Operasional
No Kategori Nama [13]
Lokasi [14]
Penanggung Jawab [15]
Fungsi [16]
Keterangan [17]
1 Hardware
2 Software Pendukung
3 Sarana/Perangkat
Pendukung/Lokasi
F. Pihak-Pihak Yang Terlibat
Ø Pengelola
No Jabatan Tanggung Jawab Keterangan
[18] [19] [20]
4
Ø Pengguna
No Daftar Pengguna Keterangan
[21] [22]
Ø Pihak Ketiga
No Instansi/Perusahaan Nama Orang Tanggung Jawab Keterangan
[23] [24] [25] [26]
G. Keterangan Lain-Lain
Uraian dan Keterangan Tambahan .................................................................................................................................................................
.................................................................................................................................................................
................................................................................................................................................................. [27]
5
H. Kriteria Analisis Risiko
Tingkat Dampak dan Dasar Penentuan Kriterianya
No Tingkat Dampak Dasar Penentuan Kriteria Dampak 1 Tinggi - Menimbulkan korban jiwa
- Menyebabkan terhentinya pelayanan - Sangat mengancam visi, misi, dan reputasi DJP - Menimbulkan konsekuensi hukum berat - ....................................................................... [28]
2 Sedang - Menyebabkan kerugian terhadap aset DJP - Menimbulkan korban - ....................................................................... [29]
3 Rendah - Menyebabkan kerugian terhadap sejumlah aset DJP - ....................................................................... [30]
Peluang Kejadian
No Tingkat Peluang Kejadian
Keterangan
1 Tinggi Peluang kejadian sering atau hampir pasti terjadi, atau sulit dilakukan tindakan pengendaliannya
2 Sedang Sudah pernah terjadi sebelumnya atau belum dilakukan tindakan pengendalian yang memadai
3 Rendah Peluang kejadian jarang atau tidak pernah terjadi, atau telah dilakukan tindakan pengendalian yang memadai.
6
Matriks Penentuan Level Risiko
MATRIKS PENENTUAN LEVEL RISIKO
Kemungkinan Terjadinya Ancaman
Dampak
Rendah (10) Sedang (50) Tinggi (100) Tinggi (1.0) Rendah
10 x 1.0 =10 Sedang
50 x 1.0 = 5 Tinggi
100 x 1.0 = 100 Sedang (0.5) Rendah
10 x 0.5 = 5 Sedang
50 x 0.5 = 25 Sedang
100 x 0.5 = 50 Rendah (0.1) Rendah
10 x 0.1 = 1 Rendah
50 x 0.1 = 5 Rendah
100 x 0.1 = 10 Skala Risiko:
Tinggi (> 50 hingga 100) Sedang (> 10 hingga 50) Rendah (1 hingga 10)
Keterangan Skala Risiko
Tinggi, apabila level risiko tinggi, maka terdapat kebutuhan untuk melakukan tindakan korektif sesegera mungkin
Sedang, apabila level risiko sedang, maka tindakan korektif diperlukan dan harus dikembangkan rencana untuk menjalankan tindakan ini dalam periode waktu
yang tidak terlalu lama
Rendah, apabila level risiko rendah, maka X harus menentukan apakah diperlukan tindakan korektif, atau risiko yang ada akan diterima.
7
Petunjuk Pengisian
(1) Diisi dengan nama sistem/layanan TIK yang menjadi obyek penilaian risiko TIK (2) Diisi dengan tingkat kritikalitas sistem/layanan TIK sesuai hasil Business Impact
Analysis (3) Diisi dengan deskripsi singkat mengenai sistem/layanan TIK (4) Diisi dengan tujuan/sasaran dari sistem/layanan TIK (5) Diisi dengan jabatan dari pemilik/penanggung jawab sistem/layanan TIK (6) Diisi dengan uraian tanggung jawab dari pemilik/penanggung jawab sistem/layanan
TIK (7) Diisi dengan diagram arsitektur sistem/layanan beserta arsitektur keamanannya. (8) Diisi dengan diagram proses/alur kerja dari sistem/layanan TIK
Data/Dokumen
(9) Diisi dengan nama data/dokumen yang menjadi input/output dari sistem/layanan TIK (10) Diisi dengan uraian singkat tentang data/dokumen sebagaimana dimaksud pada
angka [9] (11) Diisi dengan jenis dokumen (input atau output) (12) Diisi dengan kategori sensitivitas dokumen (Publik/Terbatas/Rahasia/Sangat
Rahasia)
Sistem Pendukung, Perangkat Pendukung & Lingkungan Operasional
(13) Diisi dengan Nama (14) Diisi dengan lokasi (15) Diisi dengan pejabat/petugas penanggung jawab (16) Diisi dengan fungsinya (17) Diisi dengan uraian singkat/keterangan
Pihak-Pihak yang Terlibat: Pengelola
(18) Diisi dengan Jabatan Pengelola (19) Diisi dengan Tanggung Jawab Pengelola (20) Diisi dengan uraian/keterangan singkat bila perlu
Pihak-Pihak Terkait: Pengguna
(21) Diisi dengan Daftar Pengguna (22) Diisi dengan Keterangan atau Uraian Singkat
Pihak-Pihak Terkait: Pihak Ketiga
(23) Diisi dengan Perusahaan Pihak Ketiga (24) Diisi dengan Nama Pegawai Perusahaan Pihak Ketiga (25) Diisi dengan Tanggung Jawab Pihak Ketiga (26) Diisi dengan Keterangan atau uraian singkat
Keterangan Lain-Lain
(27) Diisi dengan uraian dan keterangan tambahan terkait sistem/layanan TIK yang belum terjabarkan
Kriteria Analisis Risiko
(28) Diisi dengan dasar penentuan kriteria dampak Tinggi. Dapat diisi pada tahap Analisis Risiko
(29) Diisi dengan dasar penentuan kriteria dampak Sedang. Dapat diisi pada tahap Analisis Risiko
(30) Diisi dengan dasar penentuan kriteria dampak Tinggi. Dapat diisi pada tahap Analisis Risiko
1
Nama Sistem/Aplikasi/Layanan TIK : ......................................................................... [1]
FORMULIR IDENTIFIKASI & ANALISIS RISIKO TIK
No Atribut/
Komponen Pendukung
Keterangan/ Uraian/Nama
Jenis Risiko [2]
ANCAMAN
Kelemahan [5]
Kontrol [6]
Peluang Kejadian (Sering/ Sedang/ Jarang)
[7]
Tingkat Dampak (Tinggi/ Sedang/ Rendah)
[8]
Level Risiko
(Tinggi/ Sedang/ Rendah)
[9]
Tren Risiko (Naik/ Turun/ Stabil)
[10]
Tindakan Ancaman
yang Mungkin Terjadi
[3]
Sumber Ancaman/ Penyebab/ Motivasi Ancaman
[4] 1 Hardware
NATURE/
HUMAN CAUSED/
TECHNICAL*)
2 Software
NATURE/ HUMAN
CAUSED/ TECHNICAL*)
3 SDM
NATURE/ HUMAN
CAUSED/ TECHNICAL*)
4 Lokasi/ Sarana/ Fasilitas
NATURE/ HUMAN
CAUSED/ TECHNICAL*)
5 Dokumen
NATURE/ HUMAN
CAUSED/ TECHNICAL*)
6 Lainnya
NATURE/ HUMAN
CAUSED/ TECHNICAL*)
Lampiran IV Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi
*) Coret yg tidak perlu
2
Petunjuk Pengisian
(1) Diisi dengan nama sistem/layanan TIK yang menjadi obyek penilaian risiko TIK (2) Diisi dengan jenis risiko TIK yang diidentifikasi (3) Diisi dengan tindakan ancaman yang mungkin terjadi (4) Diisi dengan sumber ancaman/penyebab/motivasi dari ancaman sebagaimana
dimaksud pada angka 3 (5) Diisi dengan kelemahan yang terdapat dalam sistem/atribut/komponen pendukung
terkait dengan ancaman yang mungkin terjadi (6) Diisi dengan kontrol yang terdapat dalam sistem/atribut/komponen pendukung terkait
dengan ancaman yang mungkin terjadi (7) Diisi dengan peluang kejadian dari ancaman sebagaimana dimaksud pada angka 3
dengan mempertimbangkan kelemahan dan kontrol yang ada (8) Diisi dengan tingkat dampak dalam hal ancaman benar-benar terjadi sesuai dengan
kriteria evaluasi risiko TIK pada Lampiran IV. (9) Diisi dengan level risiko TIK dengan mempertimbangkan peluang kejadian dan tingkat
dampak, menggunakan matriks penentuan level risiko TIK pada Lampiran IV (10) Diisi dengan tren risiko pada saat evaluasi risiko TIK, dengan cara membandingkan
level risiko TIK saat ini dengan level risiko sesuai profil risiko TIK sebelumnya
1
KEMENTERIAN KEUANGAN REPUBLIK INDONESIA DIREKTORAT JENDERAL PAJAK
DIREKTORAT .....................................................................................................
Jl......................... Telepon.......................... Homepage: http://www.pajak.go.id Fax ...............................
LAPORAN PELAKSANAAN PENILAIAN RISIKO TIK
I. Pendahuluan
1. Tujuan 2. Ruang Lingkup Penilaian Risiko 3. Lampiran III
II. Pendekatan Penilaian Risiko
Berisi penjelasan singkat mengenai pendekatan yang digunakan dalam pelaksanaan penilaian risiko, misalnya: 1. Para anggota tim penilai risiko 2. Teknik yang digunakan dalam menghimpun informasi (wawancara, riset, evaluasi
dokumen, dan sebagainya) 3. Kriteria dampak dan skala risiko yang digunakan
III. Hasil Penilaian Risiko TIK Lampiran IV
IV. Rangkuman No Risiko *) Skala Prioritas Rekomendasi Kontrol *) Risiko diurutkan berdasarkan skala dan prioritasnya Menyetujui, Diretur Transformasi Teknologi Komunikasi dan Informasi (..............................................) NIP ...................................
Mengetahui, Kepala Subdirektorat Analisis dan Evaluasi Sistem Informasi (......................................) NIP .................................
Lampiran V Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi
1
ACTION PLAN MITIGASI RISIKO TIK
Risiko
(Pasangan Kelemahan/ Ancaman)
Skala Risiko Rekomendasi Kontrol
Prioritas Tindakan
Kontrol Terpilih
Sumberdaya yang
Dibutuhkan
Penanggung Jawab
Mitigasi Risiko
Tanggal Mulai/ Selesai
Keterangan Lain-Lain
(1) (2) (3) (4) (5) (6) (7) (8) (9) Petunjuk Pengisian Action Plan Mitigasi Risiko TIK: 1. Diisi dengan risiko yang telah diidentifikasi dari tahap Penilaian Risiko TIK 2. Skala risiko yang diperoleh 3. Kontrol yang direkomendasikan berdasarkan penilaian risiko TIK 4. Diisi dengan Tinggi, Sedang, Rendah, sesuai dengan skala risikonya 5. Diisi dengan kontrol yang terpilih sesuai dengan hasil cost-benefit analysis. 6. Diisi dengan sumberdaya yang dibutuhkan dalam menerapkan kontrol yang dipilih 7. Diisi dengan pihak-pihak yang menjadi penanggung jawab mitigasi risiko TIK, bisa dari pegawai atau pihak ketiga 8. Diisi dengan target tanggal mulai dan tanggal akhir pelaksanaan mitigasi risiko TIK 9. Diisi dengan uraian yang dibutuhkan untuk menjelaskan mitigasi risiko TIK.
Lampiran VI Pedoman Business Impact Analysis dan Penilaian Risiko Teknologi Informasi dan Komunikasi