Bisnis.com, JAKARTA – Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan menyatakan telah menerapkan tata kelola teknologi informasi dan tata kelola data sesuai dengan ketentuan dalam melindungi data para nasabah.
Direktur Utama BPJS Kesehatan Ali Ghufron Mukti mengatakan selama ini BPJS telah melakukan upaya maksimal untuk melindungi data peserta. BPJS mengembangkan dan mengimplementasikan standar ISO 27001 (tersertifikasi), Control Objectives for Information Technologies (COBIT) serta mengoperasikan Security Operation Center (SOC).
"Sistem tersebut bekerja 24 jam selama 7 hari," kata Ghufron dalam konferensi virtual, Selasa (25/5/2021).
Sekedar informasi, ISO27001 dicetuskan oleh Organisasi Internasional untuk Standarisasi atau International Organization for Standardization (ISO). Pada 2005, ISO mengembangkan sejumlah standar tentang Sistem Manajemen Keamanan Informasi (SMKI).
SMKI tersebut mengatur mengenai persyaratan maupun panduan standar keamanan. SMKI ini kemudian dikelompokkan sebagai seri ISO 27000. ISO27000 terus berkembang. Pada 2011, Badan Standarisasi Nasional (BSN) mengadopsi ISO/IEC 27001:2005, yang berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun SMKI.
Terdapat banyak poin yang harus dipenuhi untuk mendapatkan ISO 27001 seperti penerapan kebijakan keamanan yang tepat, keamanan sumber daya, keamanan beroperasi, keamanan berkomunikasi, manajemen aset, manajemen kontrol, manajemen ketika terjadi kecelakaan, dan lain sebagainya. Jika telah mendapat sertfikasi, maka point-poin tersebut seharusnya sudah terpenuhi.
Adapun Control Objectives for Information Technologies (COBIT) merupakan kerangka kerja yang dibuat oleh Asosasi Audit Pengendali Sistem Informasi asal Amerika Serikat (ISACA), untuk manajemen teknologi informasi dan tata kelola IT.
Kerangka kerja tersebut akan menggambarkan serangkaian proses umum dalam pengelolaan IT, aktivitas proses utama, tujuan proses hingga model kematangan dasar.
Security Operation Center (SOC) umumnya berkaitan dengan pihak ketiga. Misalnya, BPJS Kesehatan menempatkan datanya di penyedia pusat data, maka pihak ketiga tersebut memiliki kewajiban untuk mengontrol sistem operasi dan memastikan bahwa data yang disimpan.
Tidak hanya itu, kata Ghufron, dalam mengamankan data peserta, BPJS Kesehatan melakukan pengamanan di sejumlah poin seperti perimenter, jaringan, titik akhir, aplikasi, dan data. BPJS juga memantau operasional dan sistem keamanan, BPJS Kesehatan juga mengoperasikan Network Operation Center (NOC) selama 24 jam 7 hari.
"BPJS Kesehatana juga melibatkan Badan Siber dan Sandi Negara dan tim berpengalaman di bidang keamanan operasi dalam menjaga keamanan peserta," kata Ghufron.
Sebelumnya, terdapat sebanyak data 279 juta peserta BPJS Kesehatan diduga bocor dan diperjualbelikan di situs Raidsforum. Data tersebut mencakup nomor induk kependudukan, kartu tanda penduduk (KTP), nomor telepon, email, nama, alamat, hingga gaji.
Cek Berita dan Artikel yang lain di Google News dan WA Channel
