Binari

“Apakah perusahaan akan terikat dengan ketentuan Sistem Manajemen Pengamanan Informasi ini, terutama apabila kita menerapkan online payment system”, tanya bos melalui email yang saya baca lewat handphone pada saat berkendara di tengah macetnya daerah Manggarai malam itu. Keesokan harinya seorang teman di ujung telepon bertanya “apakah ketentuan Sistem Manajemen Pengamanan Informasi ini menurut berlaku untuk sektor swasta?”. Kedua orang tersebut menanyakan keberlakuan Peraturan Menteri Komunikasi dan Informatika No. 4 Tahun 2016 tentang Sistem Manajemen Pengaman Informasi (Perkominfo 4/2016). Sebelumnya, sebuah perusahaan jasa keuangan swasta juga meminta analisa terhadap peraturan tersebut.

Perkominfo 4/2016 mulai berlaku sejak tanggal 11 April 2016 dan nyaris tanpa ada pemberitaan apapun di media. Lantas kenapa kok sepertinya peraturan ini penting? Singkatnya Perkominfo 4/2016 ini menetapkan standar sistem keamanan yang harus dipatuhi oleh pihak-pihak yang menyelenggarakan sistem elektronik untuk pelayanan publik. Apa itu sistem elektronik, apa itu pelayanan publik, standar apa yang dimaksud dan siapa pihak-pihak tersebut, berikut penjelasannya.

Sistem Elektronik untuk Pelayanan Publik

Sistem elektronik didefenisikan sebagai serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan,mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. Contoh dari sistem elektronik seperti  email, penyimpanan data cloud, mesin ATM, website, sistem informasi, sistem keuangan, pembayaran elektronik, dan lain sebagainya.

Sedangkan pelayanan publik adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik. Tidak perlu contoh dari defenisi ini, karena pada hakikatnya, semua kegiatan usaha yang ada masuk dalam defenisi pelayanan publik ini.

Standar Pengamanan

Perkominfo 4/2016 membagi sistem elektronik untuk pelayanan publik ke dalam tiga kategori, yakni:

  1. Sistem elektronik strategis: merupakan Sistem Elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara;
  2. Sistem elektronik tinggi: merupakan Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu; dan
  3. Sistem elektronik rendah: merupakan sistem elektronik yang tidak masuk kategori sistem elektronik strategis dan tinggi.

Setiap penyedia sistem elektronik wajib melakukan penilaian sendiri (self-assessment) untuk menentukan kategori sistem elektronik mereka. Indikator-indikator yang menentukan kategorisasi sistem elektronik terdapat pada bagian Lampiran Perkominfo 4/2016, meliputi: nilai investasi sistem elektronik terpasang, total anggaran operasional sistem elektronik, tingkat algoritma yang digunakan, dan lain-lain.

Apabila penyedia sistem elektronik mengkategorikan sistem mereka sebagai “strategis”, maka kategorisasi tersebut wajib mendapatkan rekomendasi dari instansi pengawas dan pengatur sektor terkait (seperti OJK untuk perusahaan perbankan). Namun apabila rekomendasi tersebut tidak didapatkan, maka Menteri akan menetapkan status “tinggi” kepada sistem elektronik tersebut.

Penyelenggara sistem elektronik dengan kategori “strategis” harus menerapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektornya. Penyelenggara Sistem Elektronik yang menyelenggarakan sistem elektronik “tinggi” harus menerapkan standar SNI ISO/IEC 27001. Sedangkan penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik “rendah” harus menerapkan Pedoman Indeks Keamanan Informasi.

Untuk mengimplementasikan standar di atas, penyelenggara sistem informasi dapat menggunakan tenaga ahli internal dan/atau eksternal. Namun, terhadap sistem elektronik “strategis”, wajib menggunakan tenaga ahli berkewarganegaraan Indonesia. Sedangkan penggunaan ahli berkewarganegaraan asing hanya dapat dilakukan atas seijin Direktur Jenderal Aplikasi Informatika.

Selain itu, penyedia sistem elektronik dengan kategori “strategis” dan “tinggi” wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi yang diterbitkan oleh Lembaga Sertifikasi yang ditunjuk oleh Menteri. Sedangkan penyedia sistem elektronik dengan kategori “rendah” wajib melakukan penilaian sendiri terhadap pemenuhan Pedoman Indeks Keamanan Informasi. Apabila penyedia sistem elektronik tidak mematuhi ketentuan ini, akan dikenakan sanksi berupa teguran tertulis dan penghentian sementara nama domain Indonesia.

Perkominfo 4/2016 memberikan waktu selama dua tahun bagi penyelenggara sistem elektronik dengan kategori strategis dan tinggi yang sudah beroperasi saat ini untuk memiliki Sertifikat Sistem Manajemen Pengamanan Informasi dan menerapkan standar SNI ISO/IEC 27001.

Siapa yang Wajib Mengikuti Standar

Setelah diketahui apa itu sistem elektronik untuk kepentingan publik dan standar pengamanan sistem elektronik, pertanyaan terkahir adalah, siapa penyedia sistem elektronik yang wajib memenuhi standar tersebut. Terkait hal ini Perkominfo 4/2016 menyatakan ketentuan standar ini hanya berlaku untuk:

  1. Institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya;
  2. Korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;
  3. Lembaga independen yang dibentuk berdasarkan Undang- Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya; atau
  4. Badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara.

Poin a, b, dan c mungkin cukup jelas. Sedangkan poin d, seolah membuka penafsiran ketentuan pada Perkominfo 4/2016 ini dapat diberlakukan kepada pihak swasta. Penjelasan seorang teman yang telah menanyakan hal ini langsung kepada pihak Kominfo mendapatkan jawaban bahwa Perkominfo 4/2016 berlaku untuk sektor publik dan swasta, termasuk perbankan dan online shop. Hal ini jelas sangat mengejutkan karena apabila benar maka akan mengubah praktik penyedia sistem elektronik secara mendasar di Indonesia.

Namun kemudian terdapat keanehan dari penjelasan oleh pihak Kominfo tersebut, yakni sungguhpun sektor swasta dapat dikategorikan sebagai penyedia pelayaan publik seperti defenisi di atas, apakah semua pelayanan dari sektor swasta tersebut merupakan pelaksanaan misi negara? Lantas apa defenisi misi negara?

Penjelasan defenisi “Misi Negara” tidak diatur pada Perkominfo 4/2016, namun dapat ditemukan di Undang-Undang No. 25 Tahun 2009 tentang Pelayanan Publik (UU Pelayanan Publik) meskipun Perkominfo 4/2016 bukan merupakan turunan atau pelaksanaan dari undang-undang ini. Pasal 5 dan Penjelasan pasal 5 UU Pelayanan Publik menjelaskan “misi negara” adalah kebijakan untuk mengatasi permasalahan tertentu, kegiatan tertentu, atau mencapai tujuan tertentu yang berkenaan dengan kepentingan dan manfaat orang banyak, seperti contoh:

  1. kebijakan menugaskan PT (Persero) Pertamina dalam menyalurkan bahan bakar minyak jenis premium dengan harga yang sama untuk eceran di seluruh Indonesia;
  2. kebijakan memberikan subsidi agar harga pupuk dijual lebih murah guna mendorong petani berproduksi;
  3. kebijakan memberantas atau mengurangi penyakit gondok yang dilakukan melalui pemberian yodium pada setiap garam (di luar garam industri);
  4. kebijakan menjamin harga jual gabah di tingkat petani melalui penetapan harga pembelian gabah yang dibeli oleh Perum Badan Usaha Logistik;
  5. kebijakan pengamanan cadangan pangan melalui pengamanan harga pangan pokok, pengelolaan cadangan dan distribusi pangan kepada golongan masyarakat tertentu; dan
  6. kebijakan pengadaan tabung gas tiga kilo gram untuk kelompok masyarakat tertentu dalam rangka konversi minyak tanah ke gas.

Dari penjelasan tersebut, dapat dilihat bahwa ketentuan pada Perkominfo 4/2016 tidak dapat secara serta merta diberlakukan kepada pihak swasta. Karena pelayanan publik dalam rangka pelaksanaan misi negara oleh badan hukum (termasuk swasta) haruslah dinyatakan secara tegas oleh pemerintah melalui instrumen peraturan perundang-undangan. Setelah itu, barulah ketentuan Perkominfo 4/2016 dapat diberlakukan, itupun spesifik hanya pada badan hukum yang dimaksud. Tanpa dipenuhinya hal ini, perusahaan swasta tidak memiliki kewajiban untuk menerapkan standar pengamanan yang diatur pada Perkominfo 4/2016.

Follow and Like