Pemanfaatan data kependudukan dalam layanan publik memiliki peran yang sangat penting dalam menciptakan sistem pelayanan yang lebih efisien, akurat, dan akuntabel. Data kependudukan yang mencakup informasi dasar seperti Nomor Induk Kependudukan (NIK), alamat, dan status keluarga, menjadi fondasi bagi berbagai sektor untuk merencanakan dan melaksanakan program-program pemerintah dengan lebih tepat sasaran. Dengan data yang terintegrasi dan dapat diandalkan, proses verifikasi identitas,dapat dilakukan secara lebih efektif, sehingga meningkatkan kualitas pelayanan kepada masyarakat dan mendukung tercapainya tata kelola pemerintahan yang baik.
Integrasi data kependudukan dalam layanan publik juga membantu mengurangi kesalahan dan penyalahgunaan data yang sering kali menjadi hambatan dalam pelaksanaan program-program pemerintah. Dengan memanfaatkan data yang sudah terverifikasi, instansi pemerintah dapat memastikan bahwa setiap individu mendapatkan haknya sesuai dengan kondisi yang sebenarnya, serta meminimalkan risiko duplikasi dan kecurangan.
Dalam Pasal 58 ayat 4 dalam Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 Tahun 2006 mengenai Administrasi Kependudukan, dijelaskan bahwa data kependudukan yang dikelola oleh Kementerian Dalam Negeri dapat dimanfaatkan untuk berbagai kepentingan, seperti pelayanan publik, perencanaan pembangunan, pengalokasian anggaran, penguatan demokrasi, serta penegakan hukum dan pencegahan kejahatan. Selanjutnya, dalam Pasal 64 ayat 2, undang-undang ini menegaskan bahwa NIK menjadi nomor identitas tunggal untuk semua urusan pelayanan publik.
Pengaturan lebih lanjut mengenai pemanfaatan data kependudukan ini dijelaskan dalam Permendagri Nomor 17 Tahun 2023, yang merupakan perubahan atas Permendagri Nomor 102 Tahun 2019. Permendagri ini mengatur mengenai pemberian hak akses dan pemanfaatan data kependudukan, yang implementasinya dilakukan melalui perjanjian kerja sama (PKS) antara dinas dukcapil di daerah dan perangkat daerah (sebagai pengguna). Tujuannya adalah untuk melakukan verifikasi dan validasi data penerima layanan publik agar pelayanan publik dapat diselenggarakan secara efektif dan akuntabel.
Pasal 18A Permendagri Nomor 17 Tahun 2023, diatur bahwa pengguna diwajibkan untuk menerapkan standar keamanan serta memiliki sertifikat standar keamanan, dengan mengutamakan Standar Nasional Indonesia di bidang keamanan informasi atau keamanan siber, sesuai dengan ketentuan peraturan perundang-undangan yang berlaku.
ISO/IEC 27001 adalah standar internasional yang mengatur Sistem Manajemen Keamanan Informasi (SMKI). Standar ini dirilis oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC). ISO adalah lembaga standardisasi yang mengembangkan standar dan IEC adalah Komisi Elektroteknik Internasional. ISO/IEC 27001 mengalami pembaruan setelah 9 tahun sejak versi 2013 diterbitkan. Pada 25 Oktober 2022 standar ini digantikan oleh ISO/IEC 27001 versi 2022, sehingga sering ditulis dengan ISO/IEC 27001:2022.
Di Indonesia, Standar Nasional Indonesia (SNI) ISO/IEC 27001:2022 untuk keamanan informasi/keamanan siber dikeluarkan oleh Badan Standardisasi Nasional yang merupakan adopsi identik dari ISO/IEC 27001:2022. SMKI mencakup unsur-unsur yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi yaitu kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability).
ISO/IEC 27001:2022 terdiri dari 10 klausul utama dan 93 kontrol keamanan informasi yang tercantum dalam Lampiran A, yang terbagi menjadi empat tema utama, yaitu:
- Organizational Controls (Kontrol Organisasi) terdiri dari 37 kontrol
- People Controls (Kontrol Orang), terdiri dari 8 kontrol
- Physical Controls (Kontrol Fisik), terdiri dari 14 kontrol
- Technological Controls (Kontrol Teknologi), terdiri dari 34 kontrol
Kontrol-kontrol ini dirancang untuk membantu organisasi dalam mengidentifikasi dan mengelola risiko keamanan informasi secara efektif. Setiap kontrol disertai dengan tujuan yang spesifik dan panduan penerapan untuk memastikan bahwa informasi organisasi dilindungi dengan baik.
Salah satu elemen kunci dari ISO/IEC 27001:2022 adalah struktur klausul yang membentuk fondasi atau dasar dari standar ini. Dengan mempertimbangkan hak cipta, tulisan berikut diperuntukkan bagi pakai informasi secara umum tentang klausul 1 sampai dengan klausul 10 dari ISO/IEC 27001:2022. Sebagai gambaran bahwa yang dimaksud dengan "klausul" dalam konteks ISO 27001 adalah merujuk pada bagian-bagian atau bab-bab dalam standar yang menguraikan persyaratan tertentu yang harus dipenuhi oleh organisasi untuk membangun, menerapkan, memelihara, dan terus meningkatkan SMKI. Tentu saja tulisan ini juga dikaitkan dengan pentingnya SMKI dalam pemanfaatan data kependudukan.
Klausul 1 Ruang Lingkup. Klausul ini menentukan batasan dan cakupan dari Sistem Manajemen Keamanan Informasi (SMKI) yang akan diterapkan. Esensinya adalah untuk mendefinisikan, menetapkan, mengimplementsikan secara jelas area, proses, dan sistem yang dilindungi, memastikan bahwa SMKI diterapkan sesuai dengan konteks dan kebutuhan organisasi. Ruang lingkup yang ditentukan dengan baik membantu organisasi fokus pada elemen-elemen kunci yang relevan untuk keamanan informasi. Dengan menentukan ruang lingkup secara rinci, organisasi dapat memastikan bahwa SMKI sesuai dengan kebutuhan, risiko, dan tujuan spesifiknya, serta mendukung pengelolaan keamanan informasi secara menyeluruh.
Klausul 2 Acuan Normatif. Klausul ini mengacu pada dokumen dan standar lain yang menjadi acuan dalam penerapan ISO/IEC 27001:2022. Dokumen ini biasanya mengacu pada ISO/IEC 27000, yang menyediakan definisi dan prinsip dasar manajemen keamanan informasi. Esensinya adalah memastikan bahwa semua pihak memahami persyaratan yang relevan dan mengikuti panduan tambahan yang disediakan oleh acuan normatif untuk menerapkan ISO/IEC 27001 secara efektif.
Klausul 3 Istilah dan Definisi. Untuk memastikan pemahaman yang konsisten di seluruh organisasi, klausul ini memberikan definisi yang jelas untuk istilah-istilah yang digunakan dalam standar. Dengan menggunakan istilah yang terdefinisi secara baik, klausul ini memfasilitasi komunikasi yang efektif dan penerapan yang konsisten dari SMKI. Beberapa rujukan istilah untuk digunakan dalam standardisasi dapat dilihat pada alamat seperti ISO Online Browsing Platform yang tersedia di https://www.iso.org/obp dan IEC Electropedia yang tersedia di https://www.electropedia.org/.
Klausul 4 Konteks Organisasi. Klausul ini berfokus pada pemahaman konteks di mana organisasi beroperasi. Ini mencakup identifikasi isu-isu internal dan eksternal yang dapat mempengaruhi tujuan dan efektivitas SMKI. Klausul ini juga mengharuskan organisasi untuk memahami kebutuhan dan ekspektasi pihak berkepentingan terkait keamanan informasi. Esensi klausul ini adalah untuk memastikan bahwa SMKI relevan dan efektif sesuai dengan lingkungan operasional dan strategi organisasi. Klausul ini menekankan pentingnya pemahaman yang mendalam tentang organisasi dan lingkungannya, serta bagaimana faktor-faktor ini mempengaruhi keamanan informasi. Dengan menetapkan konteks yang jelas, organisasi dapat memastikan bahwa SMKI yang diterapkan relevan dan efektif dalam melindungi informasi dan mencapai tujuan keamanan.
Klausul 5 Kepemimpinan. Klausul ini berbicara tentang kepemimpinan, komitmen, dan menekankan peran penting kepemimpinan dalam keberhasilan SMKI. Manajemen puncak harus menunjukkan komitmen terhadap keamanan informasi dengan menetapkan kebijakan keamanan, memastikan adanya peran, tanggung jawab, dan wewenang yang jelas dalam organisasi. Kepemimpinan yang kuat memastikan bahwa SMKI menjadi bagian integral dari budaya organisasi.
Klausul 6 Perencanaan. Klausul ini membahas proses perencanaan untuk mengelola risiko keamanan informasi. Ini mencakup asesmen risiko dan peluang, serta perencanaan untuk tujuan keamanan informasi dan bagaimana mencapainya. Klausul ini penting untuk memastikan bahwa pendekatan terhadap keamanan informasi didasarkan pada analisis risiko yang matang dan bahwa rencana yang jelas dibuat untuk mencapai tujuan keamanan. Bahkan ketika organisasi menentukan kebutuhan perubahan atas sistem manajemen keamanan informasi, perubahan tersebut harus dilakukan dengan cara yang terencana.
Klausul 7 Dukungan. Klausul ini mencakup sumber daya yang dibutuhkan untuk mendukung SMKI, termasuk kompetensi, kesadaran akan keamanan informasi, komunikasi (apa yang dikomunikasikan, kapan dikomunikasikan, dengan siapa dikomunikasikan, bagaimana mengomunikasikan), dan dokumentasi. Klausul ini menekankan bahwa organisasi harus memiliki sumber daya yang memadai, memastikan bahwa personel yang terlibat dalam SMKI memiliki pengetahuan dan keterampilan yang dibutuhkan, dan bahwa komunikasi yang efektif dilakukan baik di dalam maupun di luar organisasi.
Klausul 8 Operasi. Klausul ini berfokus pada perencanaan dan pengontrolan operasional, asesmen risiko keamanan informasi dan penanganan risiko keamanan informasi. Klausul ini memastikan bahwa semua proses operasional yang berkaitan dengan keamanan informasi dijalankan dengan benar, sehingga SMKI tetap efektif.
Klausul 9 Evaluasi Kinerja. Klausul ini menekankan pentingnya memantau, mengukur, menganalisis, dan mengevaluasi kinerja SMKI untuk memastikan bahwa sistem berfungsi sebagaimana mestinya. Ini mencakup pemonitoran, pengukuran, analisis dan evaluasi kinerja, audit internal, dan reviu manajemen. Evaluasi kinerja yang teratur membantu organisasi mengidentifikasi area perbaikan dan memastikan bahwa SMKI terus memenuhi persyaratan yang relevan.
Klausul 10 Peningkatan. Klausul terakhir ini berfokus pada peningkatan berkelanjutan dari SMKI. Ini mencakup penanganan ketidaksesuaian dan penerapan tindakan korektif, serta memastikan bahwa organisasi terus mencari peluang untuk meningkatkan efektivitas SMKI. Dengan fokus pada peningkatan berkelanjutan, klausul ini memastikan bahwa SMKI tidak hanya memenuhi persyaratan saat ini, tetapi juga mampu beradaptasi dengan perubahan dan tantangan baru di masa depan.
Penutup
Meningkatnya aktivitas online di lingkungan digital kontemporer telah meningkatkan kekhawatiran mengenai keamanan siber. Memahami pergerakan digital sangatlah penting mengingat maraknya perangkat digital dalam kehidupan masyarakat dan dalam lingkup organisasi. Sebagai sebuah isu strategis dalam pembangunan, data penduduk menjadi begitu primadona yang digunakan dalam setiap pelayanan publik. Namun dibalik kemudahan layanan yang menjadi keharusan, keamanan juga menjadi suatu hal yang wajib diperhatikan.
Sebagai standar internasional yang komprehensif, ISO/IEC 27001:2022 membangun budaya keamanan yang berkelanjutan di seluruh organisasi. Sebuah organisasi dapat mengadopsi standar ini melalui kepatuhan terhadap persyaratan dan komitmen yang kuat dalam perlindungan data dan keamanan informasi kependudukan. Walaupun kerentanan keamanan itu selalu ada, namun setidaknya kesiapan organisasi di era digital yang semakin kompleks dan penuh tantangan dapat lebih dibangun dalam menjaga data kependudukan tetap aman. Dengan demikian, penggunaan ISO/IEC 27001:2022 adalah sesuatu yang relate bagi organisasi yang memanfaatkan data kependudukan sebagai dasar untuk melakukan pelayanan.
Terakhir, yang perlu dipahami bahwa untuk menerapkan standar ISO/IEC 27001:2022, sebuah organisasi yang memanfaatkan data kependudukan perlu melakukan assesment readiness terlebih dulu agar sumberdaya yang dikeluarkan (waktu, tenaga, uang) tidak terbuang percuma dan dapat digunakan secara efektif dan efisien.
Beberapa rujukan
Badan Standardisasi Nasonal SNI ISO/IEC 27001:2022
Survey Tata Kelola Keamanan Informasi Dalam Rangka Pemanfaatan Data Kependudukan
Grup Komunitas Sadar SMKI
