Dalam beberapa tahun terakhir, cloud computing telah berkembang menjadi salah satu TI yang tumbuh paling cepat. Saat ini beberapa instansi pemerintahan di Indonesia sudah mengimplementasikan layanan teknologi tersebut. Diantara semua keunggulan dan manfaat yang ditawarkan cloud computing, muncul tantangan-tantangan baru terhadap manajemen keamanan pada cloud computing, seperti kebocoran data. Sebagai salah satu langkah yang dapat dilakukan untuk mencapai keamanan dalam transisi cloud computing adalah klasifikasi data. Peraturan Pemerintah (PP) Republik Indonesia Nomor 71 tahun 2019 tentang penyelenggaraan sistem dan transaksi elektronik di Indonesia, khususnya pada Pasal 20 ayat (6) dan ayat (7) juga menyebutkan bahwa dalam hal Penyelenggaraan Sistem Elektronik Lingkup Publik yang menggunakan layanan pihak ketiga, Penyelenggara Sistem Elektronik (PSE) Lingkup Publik wajib melakukan klasifikasi data sesuai risiko yang ditimbulkan, namun ketentuan lebih lanjut mengenai klasifikasi data tersebut akan diatur dengan Peraturan Menteri terpisah. Berdasarkan penyataan tersebut diketahui bahwa hingga saat ini belum ada Peraturan Menteri atau standar baku terpusat lainnya yang membahas tentang klasifikasi data untuk PSE di Indonesia, sehingga sebagian besar PSE yang sudah mengimplementasikan cloud computing belum melakukan proses klasifikasi data. Oleh karena itu untuk memudahkan PSE dalam melakukan klasifikasi data sesuai tingkat risiko, maka perlu disusun suatu regulasi atau kebijakan yang dapat dijadikan pedoman bagi PSE lingkup publik dalam melakukan klasifikasi data. Penelitian ini dilakukan dengan metodologi penelitian kualitatif. Adapun perumusan kebijakan klasifikasi data dalam penelitian ini dilakukan dengan menggunakan Soft System Methodology dengan mengacu kepada standar ISO / IEC 27001: 2013 dan NIST SP 800-60. Hasil penelitian ini berupa konsep dan rancangan kebijakan klasifikasi data yang menggunakan model dengan skema klasifikasi tiga tingkat yang terdiri dari rahasia, terbatas, dan biasa/terbuka. Masing-masing tingkat klasifikasi tersebut diberikan rekomendasi penanganan keamanan yang harus dilakukan yang terdiri dari pelabelan, penyimpanan, pemberian akses, pengiriman elektronik, pengiriman manual, penggandaan, dan metode penghancuran. Selanjutnya untuk melengkapi kebijakan tersebut, terdapat rancangan standar operasional prosedur (SOP) yang pendukung draf kebijakan tersebut yang dapat dijadikan panduan PSE dalam menentukan tingkat klasifikasi data dan pengamanan data tersebut.
In recent years, cloud computing has developed into one of the fastest growing IT sectors. Currently, several government agencies in Indonesia have implemented these technology services. Among all the advantages and benefits offered by cloud computing, there are new challenges related to security management in cloud computing, such as data leakage. As one of the steps that can be take to achieve security in the cloud computing transition is data classification. Government Regulation of the Republic of Indonesia Number 71 of 2019, specifically Clause 20 Verse (6) and Verse (7) it also states that in the case of Public Sector Electronic System Operation using third party services, the Electronic System Operator (PSE) is required to classify data according to risks level, but further provisions regarding the classification of the data will be regulated by a separate Ministerial Regulation. Based on this statement, it is known that until now there is no Ministerial Regulation or other centralized standard that discusses data classification for PSE in Indonesia, so the most of PSE that have implemented cloud computing have not carried out the data classification process. Therefore, to facilitate PSE in classifying data according to risk level from the data, it is necessary to develop a regulation or policy that can be used as a guide for PSE in the public sector in classifying their data. This research was conducted with a qualitative research methodology. The development of the data classification policy in this study was carried out using the Soft System Methodology with reference to the ISO / IEC 27001: 2013 and NIST SP 800-60 standards. The results of this study are concept and design of data classification policiy using three-tier classification scheme consisting of confidential, limited, and public data. Each classification level is given recommendations for security that must be carried out which consist of labeling, storage, granting access, electronic delivery, manual delivery, copying, and destruction methods. Furthermore, to complete the policy, there is a standard operating procedure (SOP) that supports the policy which can be used as a guide for PSE in determining the level of data classification and data security. |
TA-Rizky Amalia Cahya Eka Putri.pdf :: Unduh