POJK 11/2022 + SEOJK 29/2022
Kepatuhan keamanan siber bank umum: POJK 11/2022 dan SEOJK 29/2022
Ringkasnya
Panduan kepatuhan POJK 11/2022 dan SEOJK 29/2022 untuk bank umum di Indonesia: lima domain kontrol ketahanan siber, kewajiban pelaporan insiden ke OJK, dan layanan Alpha Code yang membantu bank memenuhinya.
Bank umum Indonesia menangani simpanan, kredit, dan transfer yang memengaruhi puluhan juta nasabah setiap hari. Ketika sistem inti, aplikasi mobile banking, dan koneksi ke infrastruktur pembayaran menjadi tulang punggung layanan, gangguan pada teknologi langsung terasa oleh nasabah, bukan hanya oleh tim TI. OJK merespons realitas ini dengan menerbitkan POJK 11/2022, lalu mempertegas ketentuan teknisnya melalui SEOJK 29/2022.
Dua instrumen ini membentuk kerangka ketahanan siber yang berlaku bagi semua bank umum berizin OJK. Halaman ini menjelaskan kewajiban konkret yang dimuat keduanya dan bagaimana layanan Alpha Code membantu bank memenuhinya. Untuk pembahasan teknis yang lebih dalam, lihat artikel kami tentang persyaratan keamanan siber OJK untuk bank dan ketentuan pentest bagi bank Indonesia berdasarkan POJK 11/2022.
POJK 11/2022 + SEOJK 29/2022
POJK 11/2022 mengatur penyelenggaraan teknologi informasi oleh bank umum dan memasukkan risiko siber sebagai satu dari delapan jenis risiko yang wajib dikelola. SEOJK 29/2022 memperinci kewajiban ketahanan sibernya dalam lima domain kontrol: tata kelola, manajemen aset, kontrol akses, manajemen insiden, dan risiko pihak ketiga. Kewajiban utama mencakup notifikasi awal insiden ke OJK dalam 1x24 jam yang diikuti laporan lengkap dalam 5 hari kerja, uji penetrasi tahunan oleh pihak independen, pemantauan berkelanjutan, dan retensi log selama lima tahun.
Siapa yang wajib memenuhi ketentuan ini
POJK 11/2022 dan SEOJK 29/2022 berlaku bagi bank umum yang beroperasi di bawah izin OJK, termasuk bank konvensional, bank syariah, bank asing yang beroperasi di Indonesia, dan bank pembangunan daerah (BPD). Keduanya tidak berlaku untuk BPR dan BPRS yang tunduk pada kerangka terpisah di bawah POJK 34/2025, dan juga tidak untuk penyelenggara sistem pembayaran yang diawasi Bank Indonesia di bawah PBI 2/2024.
Bagi bank umum yang juga menjalankan layanan pembayaran atau produk lain yang berizin Bank Indonesia, ada kemungkinan kedua rezim regulasi berlaku sekaligus. Dalam situasi itu, memetakan kewajiban tiap regulator secara terpisah adalah langkah awal yang penting. Terminologi seperti "keamanan informasi" dan "ketahanan siber" muncul di kedua sisi dengan konteks dan ekspektasi kontrol yang sedikit berbeda, sehingga pemetaan yang cermat lebih aman daripada asumsi bahwa satu program kepatuhan sudah cukup untuk dua regulator.
Lima domain kontrol SEOJK 29/2022
SEOJK 29/2022 mengorganisasikan kewajiban keamanan informasi ke dalam lima domain. Inilah struktur yang digunakan OJK ketika memeriksa bank, sehingga memahami kelimanya secara bersamaan lebih berguna daripada melihatnya sebagai daftar kontrol teknis yang terpisah-pisah.
Domain pertama adalah tata kelola, yang paling menyentuh struktur kepemimpinan bank. OJK mengharuskan kepemilikan risiko TI dan siber di tingkat dewan: dewan komisaris menerima laporan risiko TI minimal triwulanan, direksi menyetujui kebijakan keamanan TI, dan komite pengarah TI dengan keanggotaan minimal satu direktur harus ada. Fungsi risiko TI juga harus terpisah secara organisasi dari operasional TI, sehingga penilaian risiko tidak dilakukan oleh pihak yang sama yang menjalankan sistem tersebut. Dalam praktik, CISO perlu jalur pelaporan langsung ke direktur, dan risalah rapat dewan harus mencerminkan diskusi nyata tentang risiko TI.
Domain kedua adalah manajemen aset. Bank wajib memelihara register aset yang mencakup semua perangkat keras, perangkat lunak, data, dan komponen jaringan, diklasifikasikan berdasarkan tingkat kekritisan dengan minimal tiga tingkatan. Data nasabah masuk kategori rahasia dengan kontrol akses yang ketat. Register ini ditinjau minimal tahunan dan diperbarui setiap kali ada perubahan signifikan. Tanpa klasifikasi yang lengkap, penilaian risiko tidak bisa akurat karena tidak ada dasar untuk memberi peringkat aset berdasarkan dampak potensialnya.
Domain ketiga adalah kontrol akses, dan ini sering menjadi area yang paling banyak mengandung celah ketika bank pertama kali menjalani penilaian independen. OJK mewajibkan prinsip hak akses minimum, inventarisasi dan pemantauan akun privileged secara triwulanan, MFA untuk akses jarak jauh dan sistem yang memproses atau menyimpan data nasabah, serta penghapusan akses dalam SLA yang ketat ketika karyawan berpindah peran atau meninggalkan organisasi. Pemeriksa OJK secara khusus memperhatikan seberapa cepat akun karyawan yang keluar dinonaktifkan, dan ekspektasi 24 jam adalah hal yang umum dijadikan acuan.
Domain keempat adalah manajemen insiden. Ini mencakup kemampuan deteksi melalui pengumpulan log dari sistem kritis dengan retensi minimal lima tahun (tiga tahun online, dua tahun diarsipkan), rencana respons insiden yang terdokumentasi dan diuji minimal tahunan, serta kerangka klasifikasi insiden dengan ambang eskalasi yang jelas. Pengujian rencana ini minimal dua kali per tahun dalam format tabletop adalah praktik yang sejalan dengan harapan OJK.
Domain kelima adalah risiko pihak ketiga. Semakin banyak bank umum yang menggunakan layanan cloud, vendor sistem inti, dan bermitra dengan perusahaan fintech. OJK mewajibkan penilaian keamanan semua pihak ketiga yang mengakses sistem bank atau memproses data nasabah sebelum onboarding, penilaian ulang tahunan untuk vendor kritis, dan klausul kontraktual yang mencakup hak audit, kewajiban notifikasi insiden, serta ketentuan penanganan data. Sebelum menerapkan sistem inti ke cloud, notifikasi kepada OJK diperlukan terlebih dahulu, dan penyedia cloud harus memenuhi persyaratan residensi data Indonesia.
| Kewajiban | Status |
|---|---|
| Tata kelola TI di tingkat dewan dengan pelaporan risiko triwulanan | Wajib |
| Register aset yang terklasifikasi, ditinjau minimal tahunan | Wajib |
| MFA untuk akses jarak jauh dan sistem yang memproses data nasabah | Wajib |
| Pemantauan berkelanjutan dan retensi log minimal 5 tahun | Wajib |
| Uji penetrasi tahunan oleh pihak ketiga yang independen | Wajib |
| Penilaian kerentanan triwulanan untuk sistem kritis internal | Wajib |
| Penilaian keamanan dan klausul kontraktual untuk pihak ketiga | Wajib |
| Notifikasi ke OJK sebelum penerapan sistem inti ke cloud | Wajib |
Tenggat pelaporan insiden ke OJK
Salah satu aspek paling konkret dari SEOJK 29/2022 adalah kewajiban pelaporan insiden yang berjalan dengan dua tenggat: satu yang sangat pendek untuk notifikasi awal, dan satu lagi untuk laporan lengkap. Ini bukan prosedur yang bisa dibuat saat insiden sudah terjadi. Prosedur, jalur eskalasi, dan kemampuan menyusun laporan harus sudah ada sebelumnya.
Diagram berikut menunjukkan dua jendela pelaporan tersebut. Skala waktu dikompresi agar kedua tenggat terlihat jelas dalam satu tampilan.
Notifikasi awal disampaikan secara tertulis melalui sarana elektronik, seperti email, dalam 1x24 jam sejak insiden siber diketahui. Tenggat itu terasa sangat ketat ketika tim sedang berfokus pada penanganan teknis, itulah mengapa prosedur pelaporan harus siap sebelum ada insiden. Laporan insiden siber lengkap menyusul dalam 5 hari kerja, mencakup informasi pelapor, penilaian dampak, kronologi kejadian, root cause analysis, dan penilaian akhir. Kewajiban pelaporan ini mencakup insiden siber secara luas: insiden yang memengaruhi sistem yang berhadapan dengan nasabah, melibatkan eksfiltrasi data, atau memicu aktivasi BCP jelas termasuk di dalamnya.
OJK memandang kemampuan melaporkan dengan akurat dan tepat waktu sebagai bukti bahwa manajemen insiden benar-benar berjalan, bukan sekadar tertulis di dalam kebijakan.
Jadwal pengujian yang dimandatkan
Pengujian keamanan bukan pilihan di bawah SEOJK 29/2022. Bank diwajibkan melaksanakan uji penetrasi minimal setahun sekali terhadap sistem yang terhubung internet, menggunakan penguji pihak ketiga yang berkualifikasi dan independen dari bank yang bersangkutan. Hasil pengujian dipresentasikan kepada Komite Risiko Dewan, bukan hanya disimpan sebagai dokumen teknis.
Untuk sistem kritis internal, penilaian kerentanan dilakukan secara triwulanan. Temuan kerentanan yang dikategorikan kritis atau tinggi harus diremediasi dalam 30 hari setelah ditemukan. Bank yang mengajukan atau memperbarui konektivitas SWIFT menghadapi lapisan pengujian tambahan berdasarkan Customer Security Programme (CSP) SWIFT yang diselaraskan oleh OJK.
Untuk panduan teknis lebih rinci tentang ketentuan pentest bagi bank, lihat artikel kami tentang ketentuan penetration testing berdasarkan POJK 11/2022.
Jalur menuju kepatuhan
Tidak ada urutan tunggal yang berlaku untuk semua bank karena titik awal tiap bank berbeda. Namun pola yang paling umum berhasil dimulai dari pemahaman posisi saat ini, kemudian perbaikan tata kelola dan kontrol teknis, diikuti dengan membangun kemampuan pengujian dan pelaporan yang berjalan terus.
- 1
Penilaian kesenjangan
Petakan kontrol, kebijakan, dan prosedur yang ada terhadap lima domain SEOJK 29/2022. Identifikasi celah di pemantauan, manajemen insiden, kontrol akses, dan risiko pihak ketiga.
- 2
Penguatan tata kelola dan kontrol teknis
Tetapkan struktur pelaporan risiko TI di tingkat dewan, perkuat manajemen akun privileged, terapkan MFA, dan lengkapi register aset.
- 3
Kemampuan pengujian dan pemantauan
Jadwalkan pentest tahunan, bangun siklus penilaian kerentanan triwulanan, dan terapkan pemantauan log berkelanjutan dengan retensi sesuai ketentuan.
- 4
Prosedur insiden dan pelaporan
Dokumentasikan rencana respons insiden dengan jalur eskalasi ke OJK, uji prosedurnya setidaknya dua kali setahun, dan pastikan tim yang terlibat sudah terlatih.
Penilaian kesenjangan di awal menghindarkan bank dari membenahi hal yang sudah memadai sambil melewatkan kekurangan yang sebenarnya berisiko. Hasilnya menjadi peta jalan yang bisa dibawa ke dewan dan direksi untuk persetujuan anggaran dan prioritas waktu.
Cara Alpha Code membantu
Kami memulai dengan penilaian kesenjangan yang memetakan postur keamanan informasi bank terhadap kewajiban spesifik POJK 11/2022 dan SEOJK 29/2022. Hasilnya bukan sekadar daftar temuan, melainkan prioritas yang membedakan kewajiban yang sudah terpenuhi, yang sebagian ada, dan yang perlu perhatian segera agar bank memiliki dasar yang jelas untuk merencanakan anggaran dan waktu.
Untuk kewajiban pemantauan yang dimandatkan SEOJK 29/2022, layanan SOC kami menyediakan pemantauan log dan deteksi anomali secara berkelanjutan, serta pengumpulan dan penyimpanan log sesuai ketentuan retensi lima tahun. Kami juga membantu bank menyiapkan pengujian sistem deteksi secara berkala sebagaimana disyaratkan regulasi.
Ketika insiden terjadi, layanan respons insiden kami mencakup pendampingan teknis sekaligus dukungan dalam menyusun notifikasi dan laporan kepada OJK sesuai tenggat waktunya. Tim kami memahami format dan konten yang umumnya diharapkan dalam pelaporan regulasi, sehingga bank tidak belajar dari awal saat berada di bawah tekanan insiden aktif.
Untuk uji penetrasi yang dimandatkan, kami menyediakan layanan pentest oleh tim independen yang menghasilkan laporan dalam format yang sesuai dengan ekspektasi pemeriksa OJK, termasuk kategorisasi risiko dan rekomendasi remediasi dengan tenggat yang jelas. Hasil pengujian bisa dipresentasikan langsung kepada Komite Risiko Dewan.
Di sisi tata kelola, konsultasi GRC kami membantu menyesuaikan kebijakan keamanan informasi, memperkuat manajemen risiko pihak ketiga, dan mempersiapkan dokumentasi yang dibutuhkan untuk pemeriksaan OJK. Bagi bank yang membutuhkan kepemimpinan keamanan informasi tanpa harus merekrut CISO penuh waktu, layanan vCISO kami menyediakan fungsi tersebut dengan model yang lebih fleksibel.
Langkah berikutnya
POJK 11/2022 dan SEOJK 29/2022 sudah berlaku. Bagi bank yang belum menyelesaikan penilaian kesenjangan terhadap kedua ketentuan ini, memulai sekarang jauh lebih baik daripada menunggu sampai pemeriksaan OJK atau insiden yang mendorong pembenahan terburu-buru. Jika Anda ingin memahami di mana posisi bank Anda terhadap kewajiban di kedua ketentuan ini, tim kami siap membantu menyusun langkah pertama yang konkret dan terukur.
Referensi
Pertanyaan umum
POJK 11/2022 memasukkan risiko siber sebagai satu dari delapan jenis risiko yang wajib dikelola bank umum. SEOJK 29/2022 memperinci kewajiban ketahanan sibernya dalam lima domain kontrol: tata kelola, manajemen aset, kontrol akses, manajemen insiden, dan risiko pihak ketiga. Bersama-sama, keduanya membentuk kerangka keamanan informasi yang wajib dipenuhi semua bank umum berizin OJK.
Terkait
Solusi
Dari blog
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.