Langsung ke konten utama
Persyaratan Keamanan Siber OJK: Panduan Lengkap untuk Bank di Indonesia
← BlogCompliance

Persyaratan Keamanan Siber OJK: Panduan Lengkap untuk Bank di Indonesia

A
Alpha Code Team
Editorial Team
Diterbitkan 16 April 2026
10 min read
OJKComplianceKeamanan SiberPerbankanIndonesiaRegulasi

Mengapa bank-bank Indonesia kini berada di bawah pengawasan lebih ketat

Pada Mei 2023, Bank Syariah Indonesia (BSI), salah satu bank syariah terbesar di Indonesia, mengalami serangan ransomware yang melumpuhkan jaringan ATM dan layanan mobile banking selama beberapa hari. Jutaan nasabah tidak dapat mengakses rekening mereka. LockBit kemudian mengklaim bertanggung jawab dan mempublikasikan 1,5 terabyte data yang dicuri di dark web setelah negosiasi tebusan gagal.

OJK mencermati kejadian ini. Dalam beberapa minggu, regulator telah mengeluarkan panduan tambahan tentang tenggat waktu pelaporan insiden dan memperketat ekspektasi pengawasan terhadap manajemen risiko TI. Pesannya jelas: kepatuhan keamanan siber bukan lagi pilihan, dan kegagalan membawa konsekuensi operasional sekaligus regulatoris.

Panduan ini membahas apa yang sebenarnya diwajibkan OJK dari bank dan lembaga keuangan saat ini. Bukan kerangka teoritis, melainkan kontrol, tenggat waktu, dan struktur tata kelola spesifik yang harus Anda miliki.

Lanskap regulasi

Persyaratan keamanan siber OJK untuk bank tersebar di beberapa regulasi. Dua yang paling penting:

POJK No. 11/POJK.03/2022: manajemen risiko bagi bank umum

Peraturan ini memperbarui dan mengkonsolidasikan aturan manajemen risiko sebelumnya, secara resmi memasukkan risiko siber sebagai salah satu dari delapan jenis risiko yang harus dikelola bank. Kewajiban utama:

  • Komite risiko di tingkat dewan dengan pengawasan terhadap risiko TI dan siber
  • Penilaian Risiko TI tahunan menggunakan kerangka kerja yang disetujui OJK
  • Rencana Keberlangsungan Bisnis (BCP) dengan Recovery Time Objective (RTO) yang jelas
  • Pelaporan insiden TI signifikan kepada OJK dalam 1x24 jam setelah terdeteksi

SEOJK No. 29/SEOJK.03/2022: panduan manajemen risiko TI

Surat edaran ini memuat persyaratan teknis paling rinci. Surat edaran ini menetapkan kontrol di lima domain: tata kelola, manajemen aset, kontrol akses, manajemen insiden, dan risiko pihak ketiga. Kerangkanya memetakan ke ISO 27001 dan NIST CSF dengan tambahan persyaratan spesifik Indonesia.

Regulasi pendukung

  • POJK No. 38/POJK.03/2016: regulasi manajemen risiko TI yang mendasari untuk bank umum, masih dirujuk dalam audit
  • PBI No. 9/15/PBI/2007 dan peraturan Bank Indonesia berikutnya yang mengatur keamanan sistem pembayaran
  • PP No. 71/2019 (BSSN): kerangka strategi keamanan siber nasional yang diselaraskan dengan persyaratan OJK

Apa yang sebenarnya diwajibkan OJK: tujuh area

1. Tata kelola TI dan akuntabilitas dewan

OJK mengharuskan kepemilikan risiko TI dan siber di tingkat dewan. Ini tidak bisa didelegasikan sepenuhnya kepada tim TI.

  • Dewan Komisaris harus menerima laporan risiko TI minimal triwulanan
  • Direksi harus menyetujui Kebijakan Keamanan TI dan setiap perubahan signifikan
  • Komite Pengarah TI yang didedikasikan harus ada dengan minimal satu Direktur sebagai anggota
  • Fungsi risiko TI harus terpisah secara organisasi dari operasional TI (prinsip empat mata)

Dalam praktiknya, CISO Anda perlu jalur pelaporan langsung ke Direktur, dan risalah rapat dewan perlu mencerminkan diskusi nyata tentang risiko TI, bukan sekadar tanda tangan pada laporan tahunan.

2. Inventaris dan klasifikasi aset

Anda tidak dapat melindungi apa yang tidak dapat Anda lihat. OJK mengharuskan bank memelihara inventaris lengkap dan terkini semua aset TI, diklasifikasikan berdasarkan tingkat kekritisan.

  • Register aset yang terdokumentasi mencakup perangkat keras, perangkat lunak, data, dan komponen jaringan
  • Kebijakan klasifikasi data dengan minimal tiga tingkatan (publik, internal, rahasia)
  • Data nasabah diklasifikasikan sebagai rahasia dan dikenai kontrol akses
  • Register aset ditinjau minimal tahunan dan diperbarui setiap kali terjadi perubahan signifikan

Tanpa klasifikasi, aset tidak bisa diberi peringkat risiko. Semua penilaian risiko bergantung pada ini.

3. Kontrol akses dan manajemen akun privileged

Sebagian besar pembobolan bank dimulai dengan kredensial yang disusupi. Persyaratan kontrol akses OJK bersifat spesifik:

  • Prinsip hak akses minimum harus diterapkan: pengguna dan sistem hanya mendapat akses yang mereka butuhkan
  • Akun privileged (admin, root, akun layanan) harus diinventarisasi, ditinjau triwulanan, dan dipantau secara ketat
  • MFA diwajibkan untuk akses jarak jauh dan untuk sistem apa pun yang memproses atau menyimpan data nasabah
  • Akun bersama dilarang untuk sistem kritis
  • Hak akses harus ditinjau ketika staf berganti peran atau meninggalkan organisasi

Pemeriksa OJK secara khusus memperhatikan seberapa cepat karyawan yang diberhentikan dihapus dari sistem. SLA 24 jam adalah ekspektasi yang umum.

4. Pemantauan keamanan dan respons insiden

Di sinilah banyak bank Indonesia gagal memenuhi persyaratan. OJK mengharuskan pemantauan berkelanjutan terhadap sistem TI, bukan hanya firewall perimeter.

Untuk pemantauan, Anda memerlukan:

  • Pengumpulan log dari sistem kritis (jaringan, server, aplikasi, basis data)
  • Retensi log minimal 5 tahun (3 tahun online, 2 tahun diarsipkan)
  • Deteksi anomali untuk pola akses mencurigakan dan eksfiltrasi data

Untuk respons insiden:

  • Rencana Respons Insiden (IRP) yang terdokumentasi dan diuji minimal tahunan
  • Kerangka klasifikasi insiden dengan ambang eskalasi yang jelas
  • Insiden kritis dilaporkan ke OJK dalam 1x24 jam
  • Insiden signifikan (yang memengaruhi operasional namun tidak kritis) dalam 3x24 jam
  • Laporan pasca insiden diserahkan dalam 14 hari kalender setelah penyelesaian

OJK menganggap insiden apa pun yang memengaruhi sistem yang berhadapan dengan nasabah, melibatkan eksfiltrasi data, atau memicu aktivasi BCP sebagai insiden kritis.

5. Uji penetrasi dan manajemen kerentanan

OJK mengharuskan pengujian formal terhadap pertahanan Anda, bukan sekadar pemindaian.

  • Uji penetrasi tahunan terhadap sistem yang terhubung internet, dilakukan oleh pihak ketiga yang berkualifikasi
  • Penilaian kerentanan triwulanan terhadap sistem internal kritis
  • Temuan didokumentasikan dengan peringkat risiko dan tenggat waktu remediasi
  • Kerentanan kritis dan tinggi diremediasi dalam 30 hari setelah ditemukan
  • Hasil uji penetrasi dipresentasikan kepada Komite Risiko Dewan

Bank yang mengajukan atau memperbarui konektivitas SWIFT menghadapi persyaratan pengujian tambahan berdasarkan Customer Security Programme (CSP) SWIFT, yang diselaraskan oleh OJK.

6. Keberlangsungan bisnis dan pemulihan bencana

OJK mengharuskan bank membuktikan bahwa mereka dapat bertahan dari kegagalan TI besar, bukan sekadar mengklaimnya di atas kertas.

  • BCP yang terdokumentasi mencakup semua sistem TI kritis
  • Recovery Time Objective (RTO) dan Recovery Point Objective (RPO) yang ditetapkan untuk setiap sistem kritis
  • Sistem perbankan inti biasanya memerlukan RTO maksimal 4 jam dan RPO maksimal 1 jam
  • Uji DR penuh (failover ke situs cadangan) minimal sekali per tahun
  • Latihan tabletop minimal dua kali per tahun
  • BCP harus mencakup skenario ransomware, bukan hanya kegagalan perangkat keras

Hasil uji DR harus didokumentasikan dan setiap kesenjangan diremediasi dalam tenggat waktu yang ditetapkan.

7. Manajemen risiko pihak ketiga dan cloud

Seiring bank-bank Indonesia semakin banyak menggunakan layanan cloud dan kemitraan fintech, persyaratan pihak ketiga semakin sulit diabaikan.

  • Kebijakan TPRM yang terdokumentasi
  • Penilaian keamanan semua pihak ketiga yang mengakses sistem bank atau memproses data nasabah, diselesaikan sebelum onboarding
  • Penilaian ulang tahunan terhadap pihak ketiga kritis
  • Klausul keamanan kontraktual yang mencakup hak audit, notifikasi insiden, dan kewajiban penanganan data
  • Notifikasi OJK diperlukan sebelum menerapkan sistem inti ke cloud
  • Penyedia cloud harus memenuhi persyaratan residensi data Indonesia

Sanksi ketidakpatuhan

OJK memiliki kewenangan penegakan yang nyata dan mulai menggunakannya.

PelanggaranPotensi konsekuensi
Gagal melaporkan insiden kritis dalam 1x24 jamTeguran tertulis, kemudian sanksi administratif
Kelemahan TI signifikan ditemukan saat pemeriksaanRencana remediasi wajib di bawah pengawasan OJK
Ketidakpatuhan berulang atau beratDenda, pembatasan kegiatan usaha, persyaratan izin
Kegagalan dewan menunjukkan pengawasan memadaiTanggung jawab pribadi Direksi dan Komisaris

Setelah insiden BSI, OJK secara terbuka menyatakan akan meningkatkan frekuensi dan kedalaman teknis pemeriksaan TI untuk bank-bank yang memiliki kepentingan sistemik. Bank kelas menengah pun melihat lebih banyak pertanyaan pemeriksaan yang berfokus pada TI dalam siklus pengawasan terbaru.

Membangun program keamanan yang patuh: peta jalan praktis

Fase 1: penilaian kesenjangan (bulan 1-2)

Sebelum Anda dapat menutup kesenjangan, Anda perlu menemukannya. Petakan kontrol Anda saat ini terhadap persyaratan SEOJK No. 29:

  • Apakah inventaris aset Anda lengkap dan terklasifikasi?
  • Apakah Anda memiliki kebijakan yang terdokumentasi untuk kontrol akses, respons insiden, BCP, dan risiko pihak ketiga?
  • Apakah uji penetrasi dilakukan dan ditindaklanjuti hingga remediasi?
  • Apakah log dikumpulkan, dipertahankan, dan dipantau?

Fase 2: fondasi tata kelola (bulan 2-4)

Jika dewan Anda tidak terlibat aktif dalam risiko TI, itulah kesenjangan pertama yang harus ditutup.

  • Bentuk atau formalkan Komite Pengarah TI dengan keanggotaan tingkat Direktur
  • Pastikan Kebijakan Keamanan TI disetujui dewan dan masuk siklus tinjauan tahunan
  • Implementasikan pelaporan risiko TI triwulanan kepada Komite Risiko Dewan
  • Rekrut atau tunjuk CISO dengan mandat jelas dan jalur eskalasi

Fase 3: kontrol teknis (bulan 3-9)

Urutan prioritas:

  1. MFA pada akses jarak jauh dan sistem kritis: pengurangan risiko tertinggi per upaya
  2. Manajemen akses privileged: inventarisasi dan pantau semua akun admin
  3. Manajemen log dan SIEM: Anda tidak dapat mendeteksi atau melaporkan insiden tanpa visibilitas
  4. Manajemen kerentanan: bangun siklus pindai-lacak-remediasi
  5. Endpoint detection and response (EDR): penting untuk mendeteksi ransomware lebih awal

Fase 4: pengujian dan dokumentasi (berkelanjutan)

Kepatuhan bukan proyek satu kali:

  • Uji penetrasi tahunan yang dianggarkan dan dijadwalkan
  • Pemindaian kerentanan triwulanan dengan temuan yang terdokumentasi
  • Uji DR tahunan dengan presentasi kepada dewan
  • Latihan tabletop yang mencakup skenario ransomware dan pelanggaran data

Bagaimana managed security services dapat membantu

Sebagian besar bank Indonesia, khususnya BPD dan bank umum kelas menengah, tidak memiliki kapasitas internal untuk menjalankan pemantauan keamanan berkelanjutan secara mandiri. Ini bukan kritik; memang itulah realitas sektor ini.

MSSP yang berkualifikasi dapat:

  • Menyediakan cakupan SOC 24/7 untuk pemantauan log dan deteksi insiden, memenuhi persyaratan pemantauan OJK
  • Melaksanakan atau mengkoordinasikan uji penetrasi tahunan dengan dokumentasi dalam format yang diharapkan pemeriksa OJK
  • Membantu menyusun dan memelihara dokumen kebijakan (IRP, BCP, kebijakan TPRM) yang selaras dengan SEOJK No. 29
  • Menghasilkan laporan siap dewan yang menunjukkan status kontrol terhadap persyaratan OJK

Pertanyaannya adalah menemukan mitra yang benar-benar memahami ekspektasi regulasi Indonesia. MSSP yang sekadar memetakan kerangka internasional ke persyaratan OJK dan berharap pemetaan itu bertahan dalam pemeriksaan adalah risiko, bukan aset.

Apa yang sebenarnya dicari pemeriksa

Dalam pemeriksaan TI OJK, pertanyaan yang sama selalu muncul:

  1. Tunjukkan register aset Anda. Mereka ingin melihat bahwa register tersebut terkini, terklasifikasi, dan memiliki pemilik yang jelas.
  2. Ceritakan insiden terakhir Anda. Mereka ingin kronologi, bukti eskalasi, dan laporan pasca insiden.
  3. Kapan terakhir kali Anda melakukan uji DR? Apa yang gagal? Mereka mencari dokumentasi yang jujur, bukan laporan bersih.
  4. Tunjukkan tinjauan akses untuk sistem perbankan inti Anda. Siapa yang memiliki akses admin, kapan terakhir ditinjau?
  5. Apa yang terjadi dengan temuan uji penetrasi terakhir Anda? Kerentanan kritis yang terbuka lebih dari 30 hari adalah tanda bahaya.

Jika Anda tidak dapat menjawab pertanyaan-pertanyaan ini dengan cepat dan disertai dokumentasi, berarti ada kesenjangan kepatuhan, terlepas dari apa yang tertulis dalam kebijakan Anda.

Langkah selanjutnya

Jika Anda tidak yakin di mana posisi bank Anda, mulailah dengan penilaian kesenjangan risiko TI yang terstruktur berdasarkan SEOJK No. 29/SEOJK.03/2022. Hasilnya adalah peta jalan remediasi yang diprioritaskan yang bisa Anda bawa ke dewan dan, jika diperlukan, ke pengawas OJK.

Alpha Code Technologies bekerja sama dengan bank-bank Indonesia untuk menilai, membangun, dan mengoperasikan program keamanan yang memenuhi persyaratan OJK. Untuk mendiskusikan postur keamanan bank Anda saat ini, hubungi tim kami.

Referensi

  1. SEOJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum — Otoritas Jasa Keuangan
  2. POJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum — Otoritas Jasa Keuangan
  3. Serangan ransomware pada BSI: LockBit bocorkan 1,5TB data — Bank Info Security, Mei 2023
  4. Cyber Security and Resiliency for Indonesia Banking Sector — KPMG Indonesia, Januari 2023
  5. OJK Sets New Cyber Security Best Practices for the Banking Industry — Assegaf Hamzah & Partners
On This Page
Mengapa bank-bank Indonesia kini berada di bawah pengawasan lebih ketatLanskap regulasiApa yang sebenarnya diwajibkan OJK: tujuh areaSanksi ketidakpatuhanMembangun program keamanan yang patuh: peta jalan praktisBagaimana managed security services dapat membantuApa yang sebenarnya dicari pemeriksaLangkah selanjutnyaReferensi
Written By
A
Alpha Code Team
Editorial Team

The Alpha Code Technologies editorial team covers cybersecurity trends, compliance, and best practices for Indonesian enterprises.

LinkedIn