Menteri Komunikasi dan Informatika mengeluarkan regulasi mengenai Sistem Manajemen Pengamanan Informasi. Regulasi tersebut tertuang dalam Peraturan Menteri Komunikasi dan Informatika No. 4 Tahun 2016 mengenai Sistem Manajemen Pengamanan Informasi. Regulasi tersebut menimbang dari pelaksanaan ketentuan Pasal 20 ayat (4) Peraturan Pemerintah Republik Indonesia Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, perlu menetapkan Peraturan Menteri Komunikasi dan Informatika mengenai Sistem Manajemen Pengamanan Informasi.

Bapak DR. Hasyim Gautama, CISM, ISMS-LA, selaku Kasubdit Tata Kelola Keamanan Informasi Kementerian Komunikasi dan Informatika menjelaskan pada Sharing DiscussionITGID mengenai "Pemahaman Sistem manajemen Pengamanan Informasi Bagi Penyelenggara Sistem Elektronik Untuk Pelayanan Publik" selasa 07 Juni 2016.

Menurut UU ITE No. 11 Th 2008 bahwa saat ini semua pengusaha berlombalomba mengubah bisninya dari teknikal ke dunia internet contohnya, ATM ke Internet banking dan Mobile Banking. Disisi lain pengamanan informasi sangat diperlukan untuk kelanjutan bisnis mereka. Maka dari itu berdasarkan UUITE pasal 15 disebutkan bahwa, setiap penyelenggara sistem elektronik harus menyelenggarakan sistem elektronik secara andal dan AMAN serta bertanggung jawab terhadap beroperasinya sistem elektronik sebagaimana mestinya. Undang-undang ini ditujukan kepada penyelenggara atau yang mengelola sistem elektronik. Kemudian Pasal 20 ayat (1) PP PSTE mengatur bahwa Penyelenggara Sistem Elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan Sistem Elektronik dalam menghindari gangguan, kegagalan, dan kerugian. Kewajiban-kewajiban inilah yang menjadi konteks SMPI dan diatur dalam Peraturan Menteri sesuai dengan Pasal 20 Ayat 4 mengenai sistem pengamanan.

Tujuan dari Peraturan Menteri mengatur Sistem Manajemen Pengamana Informasi sebagai amanat dari pasal 20 ayat (4) yaitu mencakup penyelenggara sistem elektronik untuk pelayanan publik berdasarkan Asas risiko.

Lalu siapa saja penyelenggara sistem elektronik tersebut?

PSE pelayanan publik adalah Institusi penyelenggara negara yang terdiri dari lembaga negara dan atau lembaga pemerintah dan/ atau Satuan Kerja Penyelenggara di lingkungannya. Lalu, korporasi Badan Usaha Milik Negara, Badan Usaha Milik Daerah. Lembaga independen yang dibentuk berdasarkan undang-undang.

Didalam PSE pelayanan publik memiliki kriteria berdasarkan Risiko, sistem elektronik tingkatan Strategis dengan Penetap kategori instansi pengawas dan pengatur sektor setelah berkoordinasi dengan Menteri, sistem elektronik tingkatan Tinggi dan Rendah dengan penetap MenteriKomunikasi dan Informasi tergantung sistem elektronik yang dikelola.

Bagaimana cara menentukan kriteria kategori sistem elektronik?

Kategori elektronik ditentukan berdasarkan assessment oleh penyelenggara sistem elektronik antara lain ;

1. Nilai investasi

2. Total anggaran operasional tahunan

3. Kewajiban kepatuhan terhadap peraturan

4. Algoritma khusus

5. Jumlah pengguna sistem elktronik

6. Data pribadi yang dikelola sistem elektronik

7. Tingkat kekritisan data dalam sistem elektronik

8. Tingkat kekritisan proses dalam sistem elektronik

9. Dampak kegagalan sistem eletronik

10. Potensi kerugian akibat ditembusnya sistem elektronik.

Selanjutnya adalah kewajiban standar dari sistem Manajemen Pengamanan, jika standar tersebut strategis maka complience yang diperlukan adalah SNI ISO/IEC 27001 dan ketentuan pengamanan dan Instansi Pengawas dan Pengatur Sektor. Kewajiban sertifikasi bagi Penyelenggara Sistem Elektronik Strategis dan tinggi wajib memiliki Sertifikasi yang dikeluarkan oleh lembaga sertifikasi yang telah diakui oleh Menteri Komunikasi dan Informasi. Lembaga sertifikasi bertugas untuk melaksanakan sertifikasi, syaratnya adalah berbadan hukum Indonesia, berdomisili di Indonesia, terakreditasi komite Akreditasi Nadional (KAN), memiliki tim auditor minimal 1 orang auditor permanen serta memiliki pengambil keputusan sertifikasi. Sistem Manajemen Pengamanan Informasi diperbaharui paling lambat 3 bulan sebelum masa berlakunya berakhir.

Lalu dari pendaftaram lembaga sertifikasi permohonan penetapan diajukan kepada Menteri Komunikasi dan Informasi dengan proses penetapan paling lambat 14 hari kerja setelah permohonan dinyatakan lengkap, penetapan berlaku paling lama 4 tahun. Kominfo memiliki list dalam SOP dan dibagi menjadi 2 kelompok yaitu kelompok yang terkait dengan lembaga sertifikasi dan auditor kemudian dari sisi lain dari konsultasi dan implementor. Wajib sertifikasi profesi bagi konsultan dan auditor SMPI disesuaikan dengan pengalaman-pengalaman selama mengaudit ataupun memberikan konsultasi.

Lalu dari sisi Penyelenggara Sistem Elektronik? Tenaga ahli internal atau ekternal akan membantu penerapan Sistem Manajemen Pengamanan Informasi Penyelenggara Elektronik. Dalam hal ini penerapan Sistem Elektronik Strategis Penyelenggara Sistem Elektronik harus menggunakan tenaga ahli berkewarganegaraan Indonesia.