
Aturan baru itu tertuang dalam Surat Edaran OJK (SEOJK) Nomor 29/SEOJK.03/2022 yang diterbitkan pada 27 Desember 2022.
Ketua Dewan Komisioner OJK Mahendra Siregar mengatakan, aturan dibuat dalam rangka mendukung percepatan transformasi digital perbankan di Indonesia.
"Bank diminta untuk dapat menjaga keamanan sistem elektronik yang dimiliki dari serangan siber, namun juga perlu memiliki kemampuan mendeteksi dan memulihkan keaadaan pasca terjadinya insiden siber," katanya dalam keterangan resminya dikutip Kamis (5/1).
Sebelumnya, OJK telah menerbitkan Peraturan OJK No.11/POJK.03/2022 mengenai penyelenggaraan teknologi informasi oleh bank umum atau PTIB. Saat ini, PTIB baru mencakup aspek data, teknologi, manajemen risiko, kolaborasi dan tatanan institusi bank umum dalam rangka meningkatkan ketahanan dan kematangan operasional bagi bank umum.
Oleh karena itu, secara lebih detail pelaksanaan ketahanan dan keamanan siber bagi bank umum dimuat dalam SE baru tersebut.
Ada delapan poin yang diatur dalam SE ketahanan dan keamanan siber tersebut.
- Pertama, penilaian risiko inheren terkait keamanan siber.
- Kedua, penerapan managemen risiko terkait keamanan siber.
- Ketiga, penerapan proses ketahanan siber.
- keempat, penilaian tingkat maturitas keamanan siber.
- Kelima, tingkat risiko keamanan siber.
- Keenam, pengujian keamanan siber.
- ketujuh, unit dan fungsi yang menangani ketahanan dan keamanan siber.
- Kedelapan, laporan insiden siber.
Terkait pengujian keamanan siber, bank umum diwajibkan melakukan pengujian secara berkala atas keamanan jaringan, sistem, dan data. Pengujian dilakukan berdasarkan analisis kerentanan dan berdasarkan skenario.
Tujuan pengujian berdasarkan analisis kerentanan adalah untuk melihat titik lemah sistem bank. Ini dilakukan berkala berdasarkan evaluasi internal bank yang diawali dengan pelaksanaan identifikasi kerentanan yang kemudian dilanjutkan dengan penetration test. Lalu hasilnya disampaikan kepada OJK.
Sedangkan pengujian berdasarkan skenario bertujuan memvalidasi proses penanggulangan dan pemulihan insiden siber pada bank. Ini dilakukan secara berkala, paling sedikit sekali dalam setahun.
Hal yang perlu diperhatikan dalam pengujian berdasarkan skenario, seperti pengujian dalam bentuk simulasi serangan harus dilakukan secara terkendali di bawah pengawasan ketat.
Hasilnya harus dilaporkan ke OJK paling lama 10 hari kerja setelah pengujian keamanan siber selesai dilaksanakan.
"Pengujian keamanan siber bisa dilakukan secara mandiri atau menggunakan pihak ketiga dengan tetap memperhatikan hal-hal tertentu." tulis OJK dalam SEOJK tersebut
Comments
Post a Comment