Kewajiban Pendaftaran dan Audit Keamanan
Belakangan ini beberapa teman wartawan mulai menanyakan kepada saya tentang keamanan informasi pada sistem informasi KPU. Jujur, saya bukanlah orang yang tepat untuk ditanya status keamanan informasi KPU, karena saya,
- Bukan orang KPU
- Tidak terlibat di KPU sama sekali
- Tidak pernah membaca sama sekali dokumen IT KPU
- Tidak pernah membaca sama sekali laporan keamanan informasi KPU
- Tidak pernah memnaca sama sekali laporan keamanan server KPU
Pola Fikir Secara UMUM
Bagi teman2 wartawan yang ingin menggali lebih dalam tentang keamanan informasi di KPU, saran saya menggunakan jalur yang baik melalui dasar hukum yang benar.
Dasar hukum-nya semua ada di KOMINFO, khususnya DIRJEN Aplikasi Telematika KEMKOMINFO, yaitu, Semua penyelenggara sisrem elektronik untuk publik,
- Harus mendaftarkan diri ke KOMINFO.
- Harus di Audit Keamanan Informasinya.
PERIHAL #1: mendaftarkan diri ke KOMINFO
Dasarnya adalah
- Undang Undang RI Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
- Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
- Peraturan Menteri Kominfo Nomor 36 Tahun 2014 tentang Tata Cara Pendaftaran Penyelenggara SIstem Elektronik.
Bisa dilakukan secara elektronik URL-nya di,
https://kominfo.go.id/content/detail/6791/pendaftaran-penyelenggara-sistem-elektronik/0/layanan_kominfo
PERIHAL #2: Audit keamanan informasi
Dasarnya adalah
- UU, PP, PERMEN di atas, di tambah
- Peraturan Menteri KOMINFO No. 4 2016 https://jdih.kominfo.go.id/produk_hukum/view/id/532/t/peraturan+menteri+komunikasi+dan+informatika+nomor+4+tahun+2016+tanggal+11+april+2016
Pertanyaan untuk KOMINFO & KPU
Pertanyaan yang perlu di ajukan ke DIRJEN APTIKA KOMINFO maupun IT KPU adalah
- Apakah sistem elektronik KPU sudah terdaftar di KOMINFO?
- Apakah sistem elektronik KPU sudah comply ke Sistem Manajemen Pengamanan Informasi (SMPI)?
- Jika sudah di audit, siapa auditor ISO 27001 dan ISO 31000 yang mengaudit KPU?
- Apakah pengamanan informasi hanya terbatas pada pengamaman server saja?
- Apakah pengamanan informasi lebih luas meliputi informasi perhitungan dari TPS, Kecamatan hingga KPU?
Komentar saya
Keamanan informasi KPU bukan sekedar masalah security server saja. Keamanan informasi termasuk berbagai prosedur khususnya prosedur perhitungan / informasi, seperti prosedur data entry tingkat kelurahan, kecamatan sampai ke KPU, Termasuk harus ada prosedur untuk mengantisipasi kalau ada salah entry terus bagaimana? Bagaimana kalau ada orang menyelipkan data palsu? dll
Semua informasi harus diamankan jangan sampai salah, karena sistem informasi KPU (bukan sekedar server KPU) termasuk kategori informasi sangat kritis untuk republik Indonesia. TIdak bisa di anggap main2.