iii

iv
 PERNYATAAN KERAHASIAAN
Kebijakan ini disusun untuk menjadi acuan dalam pengamanan

sistem informasi di lingkungan BPKP. Informasi yang tertulis dalam

Kebijakan ini beserta keterangan lainnya tidak diperkenankan untuk

digunakan oleh pihak lain, selain oleh pihak internal BPKP. Kebijakan

ini juga tidak diperkenankan untuk dikomersialkan oleh siapapun.

Komunikasi yang berhubungan dengan Kebijakan ini agar

ditujukan kepada:

Kepala Pusat Informasi Pengawasan BPKP

Jalan Hayam Wuruk No. 7 Jakarta Pusat
email: pusinfowas@bpkp.go.id

v
 DAFTAR ISI
BAB I PENDAHULUAN................................................................................1
A. Latar Belakang ...............................................................................................1
B. Ruang Lingkup...............................................................................................2
C. Sistematika.....................................................................................................3

BAB II PENGAMANAN PERANGKAT KERAS DAN LOKASI......................5

A. Pengamanan Perangkat Keras, Perangkat Pendukung, dan Peralatan
Lainnya ...........................................................................................................5
1. Pengadaan Perangkat Keras..................................................................... 5
2. Pengkabelan, Printer, dan Perangkat Listrik.............................................. 6
3. Peralatan Habis Pakai dan Media yang Dapat Dipindahkan ..................... 6
4. Penggunaan di Luar Kantor dan Pemrosesan oleh Pihak Lain ................. 7
5. Penyimpanan ............................................................................................. 8
6. Pendokumentasian .................................................................................... 8
7. Hal Lainnya ................................................................................................ 9
B. Pengamanan Lokasi ....................................................................................10
1. Keamanan Lokasi .................................................................................... 10
2. Penyimpanan Data .................................................................................. 10
3. Hal Lainnya .............................................................................................. 11

BAB III PENGAMANAN PERANGKAT LUNAK ........................................ 12

A. Pengadaan dan Pemeliharaan Perangkat Lunak Komersial....................12
1. Pengadaan............................................................................................... 12
2. Pemeliharaan........................................................................................... 13
3. Hal Lainnya .............................................................................................. 14
B. Pengembangan dan Pemeliharaan Perangkat Lunak Dikembangkan
Sendiri...........................................................................................................14
1. Pengendalian Kode.................................................................................. 14
2. Pengembangan........................................................................................ 15
3. Pengujian dan Pelatihan .......................................................................... 16
4. Dokumentasi Manual Prosedur................................................................ 17
5. Hal Lainnya .............................................................................................. 17

BAB IV PENGAMANAN SUMBER DAYA MANUSIA............................... 19

A. Penanganan Risiko Sumber Daya Manusia ..............................................19
1. Dokumentasi Kepegawaian ..................................................................... 19
2. Data Pegawai........................................................................................... 20

vii
 3. Tanggung-Jawab Keamanan................................................................... 20
4. Pengelolaan Sumber Daya Manusia ....................................................... 22
5. Pegawai yang Keluar dari BPKP ............................................................. 22
6. Hal Lainnya .............................................................................................. 23
B. Penyadaran dan Pelatihan ..........................................................................23
1. Penyadaran.............................................................................................. 23
2. Pelatihan .................................................................................................. 24

BAB V PENGAMANAN DATA DAN INFORMASI ..................................... 25

A. Pengendalian Akses Sistem Informasi ......................................................25
B. Pengklasifikasian Data dan Informasi .......................................................27
C. Pengolahan Informasi dan Dokumen ........................................................28
1. Jaringan Komputer................................................................................... 28
2. Administrasi Sistem ................................................................................. 29
3. Surat Elektronik dan Internet ................................................................... 31
4. Telepon dan Fax ...................................................................................... 35
5. Pengelolaan Data .................................................................................... 36
6. Penduplikasian dan Pemulihan................................................................ 39
7. Pengelolaan Dokumen............................................................................. 40
8. Pengamanan Data ................................................................................... 42
9. Hal Lainnya .............................................................................................. 43
D. Pengendalian Keamanan e-Government ...................................................45

BAB VI PENGAMANAN TINDAKAN HUKUM .......................................... 47

A. Pencegahan Kejahatan Komputer .............................................................47
B. Kepatuhan Terhadap Ketentuan Hukum ...................................................49
1. Kepatuhan................................................................................................ 49
2. Penghindaran Tuntutan Hukum ............................................................... 50
3. Hal Lainnya .............................................................................................. 50

BAB VII PENANGANAN TINDAKAN KEAMANAN .................................. 52

A. Perencanaan Keberlangsungan .................................................................52
B. Pelaporan dan Penanganan Pelanggaran .................................................53
1. Pelaporan Pelanggaran ........................................................................... 53
2. Penanganan Pelanggaran ....................................................................... 54
3. Tindakan Korektif ..................................................................................... 54
4. Hal Lainnya .............................................................................................. 54

BAB VIII DAFTAR ISTILAH ...................................................................... 56

viii
 BAB I
PENDAHULUAN
A. Latar Belakang

Beberapa unit kerja BPKP, baik yang berada di lingkungan kantor

pusat ataupun perwakilan, telah berhasil mengembangkan bermacam-

macam sistem informasi berbasis teknologi informasi. Pengembangan

sistem informasi di beberapa Perwakilan BPKP juga tumbuh semakin

pesat setelah diterbitkannya Keputusan Kepala BPKP nomor

143/K/IP/2003 tentang Pedoman Pengembangan Jaringan Komunikasi

Data di Lingkungan BPKP.

Dengan sistem informasi tersebut, diharapkan informasi yang

disajikan oleh BPKP akan semakin andal, akurat, dan tepat waktu.

Sistem informasi ini juga diharapkan dapat mendukung pegawai BPKP

dalam menjalankan tugas kedinasannya sehari-hari. Akan tetapi, sistem

informasi ini juga memiliki resiko yang cukup tinggi. Risiko tersebut,

misalnya, adalah semakin mudahnya penyebaran data dan informasi

BPKP kepada pihak yang tidak berhak, penggunaan informasi yang

tidak absah dan akurat, dan kemungkinan munculnya gangguan

terhadap sistem yang telah dibangun. Karena itulah, untuk

meminimalkan risiko tersebut perlu disusun suatu kebijakan

pengamanan sistem informasi di lingkungan BPKP.

1
 Selain itu, kebijakan ini perlu disusun mengingat Menteri

Pendayagunaan Aparatur Negara telah mengeluarkan Keputusan

nomor 13/KEP/M.PAN/1/2003 tentang Pedoman Umum Perkantoran

Elektronis Lingkup Intranet di Lingkungan Instansi Pemerintah. Dalam

Keputusan tersebut dinyatakan bahwa masing-masing instansi

pemerintah harus menyusun ketentuan lebih lanjut yang berhubungan

dengan perkantoran elektronis.

Karena itu, kebijakan ini menjadi pedoman bagi seluruh pegawai

BPKP dalam mengidentifikasi, mengukur dan menangani resiko atas

sistem informasi yang berbasis teknologi informasi dan berusaha untuk

meminimalkan risiko tersebut dengan beberapa usaha pengamanan

sistem informasi yang diuraikan dalam kebijakan ini.

B. Ruang Lingkup

Kebijakan pengamanan sistem informasi ini bersifat perencanaan

tingkat tinggi yang juga merupakan cetak biru program pengamanan

sistem informasi BPKP. Kebijakan ini menjelaskan hal-hal yang perlu

dilindungi dan pembatasan yang harus dijalankan dalam rangka

pengamanan sistem informasi BPKP.

Lingkup pemberlakuan kebijakan pengamanan sistem informasi

ini adalah sebagai berikut:

1) Kebijakan ini diberlakukan untuk seluruh pimpinan, pegawai

tetap dan tidak tetap, serta rekanan BPKP.

2) Kebijakan ini meliputi semua aspek keamanan sistem informasi

yang dimiliki BPKP.

2
 3) Pelanggaran atas kebijakan ini akan diberikan sanksi sesuai

dengan peraturan perundang-undangan yang berlaku, terutama

sekali peraturan di bidang kepegawaian.

C. Sistematika

Sistematika kebijakan ini terdiri dari:

1. Pendahuluan

2. Pengamanan Perangkat Keras dan Lokasi

a. Pengamanan perangkat keras, perangkat pendukung, dan

peralatan lainnya

b. Pengamanan lokasi

3. Pengamanan Perangkat Lunak

a. Pengadaan dan pemeliharaan perangkat lunak komersial

b. Pengembangan dan pemeliharaan perangkat lunak yang

dikembangkan sendiri.

4. Pengamanan Sumber Daya Manusia

a. Pengananan risiko sumber daya manusia

b. Penyadaran dan pelatihan

5. Pengamanan Data dan Informasi

a. Pengendalian akses sistem informasi

b. Pengklasifikasian data dan informasi

c. Pengolahan informasi dan dokumen

3
 d. Pengendalian keamanan e-government

6. Pengamanan Tindakan Hukum

a. Pencegahan kejahatan komputer

b. Kepatuhan terhadap ketentuan hukum

7. Penanganan Tindakan Keamanan

a. Perencanaan keberlangsungan

b. Pelaporan dan penanganan pelanggaran

8. Daftar istilah

4
 BAB II
PENGAMANAN PERANGKAT KERAS
DAN LOKASI

A. Pengamanan Perangkat Keras, Perangkat Pendukung,

dan Peralatan Lainnya

1. Pengadaan Perangkat Keras

1) Pengadaan perangkat keras atau komponen baru harus diadakan

berdasarkan kebijakan pengamanan sistem informasi ini, standar

teknikal, dan ketentuan umum pengadaan yang berlaku.

2) Permintaan pengadaan perangkat keras harus berdasarkan

dokumen spesifikasi kebutuhan pemakai (user requirements

specification) dan mempertimbangkan kebutuhan pengamanan

sistem informasi dalam jangka panjang.

3) Kecuali untuk pembelian langsung, pengadaan perangkat keras

harus melalui proses evaluasi sistematis yang melalui

penyusunan dokumen permintaan proposal (request for proposal)

yang salah satunya memuat persyaratan keamanan.

4) Semua pemasangan perangkat keras harus direncanakan secara

formal dan diberitahukan kepada semua pihak yang

berkepentingan sebelum tanggal instalasi.

5) Persyaratan keamanan sistem informasi untuk pemasangan

perangkat keras harus diedarkan untuk mendapatkan tanggapan

5
 dari para pihak yang berkepentingan sebelum pemasangan

dilakukan.

6) Semua peralatan harus telah diuji secara komprehensif dan

pengujian tersebut telah diterima secara formal oleh para

pemakai sebelum dipasang di lingkungan operasional.

2. Pengkabelan, Printer, dan Perangkat Listrik

1) Kabel jaringan harus dipasang dan dipelihara oleh pegawai

administrasi sistem dan atau pegawai yang ditunjuk, dengan

memastikan terjaganya keandalan, baik kabel maupun peralatan

lainnya, dan setiap peralatan jaringan yang tidak dipakai harus

disegel dan dicatat.

2) Perangkat penyuplai enerji listrik cadangan (uninterrupted power

supply) harus dipasang untuk memastikan tersedianya pelayanan

bila pasokan listrik dari PLN tiba-tiba putus/padam.

3) Pembangkit tenaga sekunder harus dipasang untuk memastikan

tersedianya pelayanan bila pasokan listrik dari PLN tiba-tiba

putus/padam.

3. Peralatan Habis Pakai dan Media yang Dapat Dipindahkan

1) Peralatan teknologi informasi yang habis sekali pakai harus

diadakan sesuai dengan ketentuan pengadaan yang berlaku dan

pemakaiannya harus dimonitor untuk menghindari pencurian

dan pemakaian yang tidak semestinya.

6
 2) Hanya pegawai administrasi sistem yang ditugaskan dan pejabat

yang berwenang yang diijinkan untuk menggunakan media yang

dapat dipindahkan (removable media) untuk mentransfer data dari

dan ke jaringan komputer.

4. Penggunaan di Luar Kantor dan Pemrosesan oleh Pihak Lain

1) Seluruh perpindahan perangkat keras antar lokasi harus diawasi

oleh pejabat yang berwenang.

2) Pejabat yang berwenang harus mengawasi setiap penggunaan

komputer bergerak (portable).

3) Penggunaan komputer milik BPKP di luar gedung kantor BPKP,

baik di rumah maupun di lokasi lainnya, hanya dapat diberikan

jika ada persetujuan dari pejabat yang berwenang.

4) Pemakaian komputer bergerak harus dibatasi hanya untuk

kepentingan tugas kantor dan pemakai harus memahami dan

mengikuti persyaratan pemakaian, khususnya tanggung-jawab

atas keamanan sistem informasi yang tersimpan di dalamnya.

5) Pegawai yang memakai komputer bergerak dan akan melakukan

perjalanan untuk kepentingan dinas harus memahami akan risiko

keamanan sistem informasi yang berkaitan dengan fasilitas

komputer bergerak tersebut dan mentaati kebijakan pengamanan

sistem informasi ini yang diperlukan untuk meminimalkan risiko

yang mungkin terjadi.

6) Komputer laptop hanya boleh digunakan oleh pegawai yang

berhak dan hanya boleh digunakan untuk tujuan penggunaan

7
 yang telah ditentukan dan informasi yang tersimpan dalam laptop

tersebut harus diamankan secara memadai.

7) Bila pemrosesan komputer dialihkan kepada pihak ketiga

(outsourcing), maka pihak-pihak yang bertanggung-jawab atas

penunjukan ke pihak ketiga tersebut harus memastikan bahwa

proses pengamanan sistem informasi telah dilakukan oleh pihak

ketiga sesuai dengan kebijakan pengamanan sistem informasi ini,

termasuk di dalamnya tersedianya suatu perjanjian tingkat

layanan (service level agreement) yang sesuai dengan persyaratan

BPKP.

5. Penyimpanan

1) Perangkat keras dan peralatan lainnya harus disimpan dengan

aman sesuai dengan tingkat kerahasiaan informasi yang

tersimpan dalam bahan dan peralatan tersebut.

2) Dokumen yang berhubungan dengan perangkat keras dan

peralatan lainnya itu harus disimpan dengan aman sesuai

dengan tingkat kerahasiaannya.

6. Pendokumentasian

1) Dokumentasi perangkat keras harus dikelola secara up-to-date

dan selalu tersedia untuk digunakan oleh pejabat yang

berwenang untuk mendukung atau memelihara sistem yang

terkait.

2) Catatan mengenai perangkat keras harus dipelihara dan dikelola

secara up-to-date.
8
7. Hal Lainnya

1) Perangkat teknologi informasi yang dimiliki BPKP hanya dapat

dimusnahkan atau dikeluarkan oleh pejabat yang berwenang

untuk memastikan bahwa risiko keamanan yang mungkin ada

sudah diminimalkan.

2) Semua kerusakan perangkat keras sistem informasi harus

dilaporkan tepat waktu dan dicatat dalam daftar kerusakan

perangkat keras.

3) Semua peralatan komputer dan perangkat keras lainnya yang

dimiliki BPKP harus didukung oleh garansi yang memadai

terhadap kerusakan.

4) Semua peralatan komputer bergerak harus didukung garansi

yang memadai untuk melindungi peralatan tersebut selama

dalam perjalanan dalam atau luar negeri.

5) Hanya mereka yang diijinkan yang diperbolehkan membawa

perangkat teknologi informasi milik BPKP ke luar kantor dengan

konsekuensi mereka harus bertanggung-jawab atas keamanan

perangkat tersebut.

6) Semua peralatan yang dimiliki, di sewa, atau dilisensi oleh BPKP

harus didukung oleh fasilitas pemeliharaan yang memadai.

7) Kerusakan yang terjadi, baik yang dilakukan secara sengaja

maupun tidak sengaja harus dilaporkan kepada pejabat yang

berwenang segera setelah kerusakan tersebut diketahui.

9
B. Pengamanan Lokasi

1. Keamanan Lokasi

1) Lokasi untuk komputer dan penyimpanan data harus diamankan

secara memadai terhadap serangan fisik, pencurian, kebakaran,

banjir, dan sebab lain.

2) Lokasi untuk komputer harus dilindungi terhadap orang yang

tidak berhak yang secara tidak sah dapat memasuki lokasi

tersebut secara fisik.

3) Ketika menempatkan komputer dan perangkat keras lainnya,

tindakan pencegahan yang memadai harus diambil untuk

pengamanan terhadap ancaman alam berupa kebakaran, banjir,

dan kelembaban/temperatur yang berlebihan.

4) Semua lokasi di mana komputer berada harus dilindungi dari

akses oleh orang yang tidak berhak dengan menggunakan

keseimbangan antara penggunaan kartu identitas sederhana

sampai dengan teknologi yang lebih kompleks guna

mengidentifikasi, mengotentikasi, dan memonitor semua usaha

untuk mengakses lokasi tersebut.

5) Semua pegawai harus memahami pentingnya untuk mencegah

orang asing yang tidak berhak memasuki lokasi komputer.

2. Penyimpanan Data

1) Lokasi tempat data disimpan harus dilengkapi perlindungan dan

pengendalian akses yang dapat menurunkan risiko kehilangan

atau kerusakan ke tingkat yang dapat diterima.

10
 2) Bila data disimpan di lokasi yang jauh, maka pada lokasi tersebut

harus disediakan perlindungan dan pengendalian akses yang

dapat menurunkan risiko kehilangan atau kerusakan ke tingkat

yang dapat diterima

3. Hal Lainnya

1) Penyadapan elektronik harus diamankan dengan menggunakan

mekanisme deteksi yang memadai, yang ditempatkan jika dan

bila dipandang perlu menurut penilaian risiko.

2) Keamanan kabel jaringan harus ditelaah selama ada perbaharuan

atau perubahan terhadap perangkat keras atau lokasinya.

3) Pemilik sistem informasi harus memastikan bahwa rencana

penanggulangan bencana (disaster recovery plan) atas sistem

mereka telah dikembangkan, dites, dan diimplementasikan.

11
 BAB III
PENGAMANAN PERANGKAT LUNAK
A. Pengadaan dan Pemeliharaan Perangkat Lunak Komersial

1. Pengadaan

1) Semua permintaan untuk sistem aplikasi yang baru atau

perbaikan perangkat lunak harus disampaikan kepada pejabat

yang berwenang, dan kebutuhan tersebut harus disajikan dalam

dokumen spesifikasi kebutuhan pemakai (user requirements

specification)

2) Harus dihindari pengadaan perangkat lunak yang menurut

pejabat yang berwenang belum terbukti keandalannya, dan

proses pengadaan semua perangkat lunak baru harus mengacu

kepada kriteria pengadaan serta kriteria tersebut harus mendapat

persetujuan dari pejabat yang berwenang.

3) Semua paket perangkat lunak kantor harus sesuai dengan

platform dan sistem operasi yang telah ditetapkan atau

disarankan oleh BPKP.

4) Untuk memenuhi ketentuan dan untuk memastikan dukungan

rekanan, maka kondisi dan persyaratan dalam perjanjian lisensi

pemakai akhir (end user licence agreements) harus diikuti.

5) Implementasi perangkat lunak baru atau perbaharuan (upgrade)

harus direncanakan secara hati-hati dan dikelola untuk

12
 memastikan bahwa penambahan risiko keamanan sistem

informasi yang berkaitan dengan kegiatan tersebut telah

diminimalkan dengan menggunakan penerapan gabungan antara

teknik pengendalian prosedural dan teknikal.

2. Pemeliharaan

1) Tambahan (patch) untuk memperbaiki kesalahan perangkat lunak

hanya dapat diterapkan bila telah diuji dan disetujui oleh pejabat

yang berwenang dan patch tersebut harus berasal dari sumber

yang dapat dipercaya dan telah diuji secara menyeluruh sebelum

digunakan.

2) Sebelum dipakai, perbaharuan atas perangkat lunak harus diuji

oleh pejabat yang berwenang.

3) Keputusan untuk memperbaharui perangkat lunak hanya dapat

dilakukan setelah mempertimbangkan risiko yang terkait dengan

perbaharuan tersebut dan dibandingkan dengan keuntungan dan

kebutuhan yang diharapkan dari perbaharuan tersebut.

4) Pengembangan sistem perangkat lunak tatap muka (interface)

adalah bersifat sangat teknis dan hanya boleh dikembangkan

secara terencana dan terkendali oleh pegawai administrasi sistem

yang ditugaskan.

5) Semua perangkat lunak aplikasi harus dilengkapi dengan tingkat

dukungan teknis yang memadai untuk memastikan bahwa

kegiatan BPKP tidak terganggu dengan memastikan semua

13
 masalah perangkat lunak yang ada telah ditangani secara efisien

dan pemecahannya tersedia setiap saat.

6) Perbaharuan sistem operasi setiap komputer BPKP harus

mempertimbangkan risiko yang terkait dan harus direncanakan

dengan memadai dan semua perbaharuan harus merupakan

kegiatan resmi.

7) Kesalahan perangkat lunak dicatat dan dilaporkan kepada orang

yang bertanggung-jawab terhadap pemeliharaan perangkat

lunak.

3. Hal Lainnya

1) Penghapusan perangkat lunak hanya dapat dilakukan bila sistem

tersebut disetujui untuk tidak digunakan lagi dan bila file data

yang terkait yang mungkin tersimpan di dalamnya tidak akan

diperlukan lagi di masa datang.

B. Pengembangan dan Pemeliharaan Perangkat Lunak

Dikembangkan Sendiri

1. Pengendalian Kode

1) Hanya pegawai administrasi sistem yang ditugaskan yang dapat

mengakses direktori (folder) yang berisi pustaka program dan

perubahan terhadap direktori hanya bisa dilakukan dengan

menggunakan kombinasi prosedur dan pengendalian akses

teknikal yang dilaksanakan secara berganda (dual control).

14
 2) Hanya pegawai administrasi sistem yang ditugaskan yang dapat

mengakses pustaka program sumber (source program library) dan

perubahan program sumber hanya bisa dilakukan dengan

menggunakan kombinasi prosedur dan pengendalian akses

teknikal yang dilaksanakan secara berganda.

3) Prosedur pengendalian perubahan formal harus digunakan

untuk setiap perubahan sistem dan semua perubahan program

harus disetujui dan diuji sebelum dipakai.

4) Listing program harus diamankan dan dijaga agar tetap up-to-date

sepanjang waktu.

5) Prosedur pengendalian perubahan secara formal dengan jejak

audit yang komprehensif digunakan untuk mengamankan

pustaka program sumber.

6) Prosedur pengendalian perubahan secara formal dengan jejak

audit yang komprehensif harus digunakan untuk mengamankan

versi program yang lama.

2. Pengembangan

1) Perangkat lunak yang dikembangkan untuk atau oleh BPKP

harus selalu mengikuti metodologi pengembangan yang telah

ditetapkan oleh Kepala Pusat Informasi Pengawasan.

2) Integritas kode perangkat lunak operasional harus diamankan

dengan menggunakan pengendalian gabungan antara

pengendalian akses teknikal, alokasi hak terbatas, dan prosedur

yang andal.
15
 3) Perubahan mendadak terhadap perangkat lunak tidak

diperkenankan, kecuali dalam situasi yang ditetapkan oleh

pejabat yang berwenang sebagai hal yang kritis dan semua

perubahan tersebut harus mengikuti prosedur pengendalian

perubahan yang telah ditetapkan oleh Kepala Pusat Informasi

Pengawasan.

4) Semua usulan perbaikan sistem harus didasarkan kepada

kebutuhan BPKP serta kepemilikan dan tanggung jawab untuk

setiap perbaikan harus selalu dikaitkan dengan pemilik sistem.

5) Pengembangan perangkat lunak yang besar hanya akan

dijalankan jika didukung dengan alasan kebutuhan yang kuat

dan didukung oleh pejabat yang berwenang dan sumber daya

yang memadai selama masa hidup sistem.

6) Kepala Pusat Informasi Pengawasan harus memastikan bahwa

pemisahan tugas yang memadai telah diterapkan dalam

pengembangan sistem, operasi sistem, atau administrasi sistem.

3. Pengujian dan Pelatihan

1) Prosedur pengendalian perubahan formal harus digunakan

untuk setiap perubahan sistem dan semua perubahan pada

program harus disetujui dan diuji di lingkungan pengujian

sebelum dipakai.

2) Penggunaan data real (real data) untuk menguji sistem baru atau

perubahan sistem hanya diijinkan jika pengendalian yang

memadai untuk keamanan data real tersebut sudah disiapkan.

16
 3) Sistem baru harus diuji pada unsur kapasitas, pemakaian

maksimal, dan pengujian ketahanan dan sistem tersebut harus

dapat menunjukkan tingkat kinerja dan ketahanan yang sesuai

atau melampaui kebutuhan dan persyaratan BPKP.

4) Prosedur pengujian sistem yang normal akan mencakup waktu

yang digunakan untuk pemrosesan paralel (parallel running)

sebelum perubahan sistem dapat diterima untuk dipakai dan

hasil pemrosesan paralel tersebut tidak boleh ada masalah atau

kesulitan yang sebelumnya tidak lolos dalam pengujian

penerimaan pemakai (user acceptance testing).

5) Pelatihan harus disediakan untuk pemakai dan pegawai teknikal

yang terkait dengan tugas dan operasi sistem baru tersebut.

4. Dokumentasi Manual Prosedur

1) Semua sistem baru atau perubahannya harus selalu didukung

oleh pedoman penggunaan dan administrasi sistem yang

komprehensif dan up-to-date dan sistem baru atau perbaharuan

sistem tidak boleh dipakai sebelum pedomannya tersedia.

2) Pejabat yang berwenang harus menyusun pedoman penggunaan

dan administrasi sistem atas sistem yang sudah berjalan tetapi

belum didukung oleh pedoman tersebut selambat-lambatnya

satu tahun setelah kebijakan ini ditetapkan.

5. Hal Lainnya

1) Perangkat lunak yang dibeli dari vendor harus memenuhi

spesifikasi persyaratan pemakai dan menyediakan dukungan

17
produk yang memadai dan harus mengikuti kebijakan

pengamanan sistem informasi ini.

18
 BAB IV
PENGAMANAN SUMBER DAYA
MANUSIA
A. Penanganan Risiko Sumber Daya Manusia

1. Dokumentasi Kepegawaian

1) Kondisi dan persyaratan pekerjaan di BPKP harus meliputi

ketentuan untuk menaati kebijakan pengamanan sistem

informasi ini.

2) Latar belakang pegawai baru harus diverifikasi dan pegawai

tersebut harus diwajibkan untuk menaati kebijakan pengamanan

sistem informasi ini.

3) Semua pegawai dari rekanan yang dikontrak untuk memasok

layanan kepada BPKP harus setuju untuk mengikuti kebijakan

pengamanan sistem informasi ini dan ringkasan yang memadai

mengenai kebijakan ini harus secara formal diberitahukan

kepada mereka sebelum pekerjaan dilaksanakan.

4) Peminjaman kunci sistem, baik secara fisik maupun elektronik,

adalah dilarang.

5) Semua pegawai BPKP dan pihak ketiga yang dikontrak terikat

untuk menjalankan upaya yang berkaitan dengan hak cipta

intelektual pada pekerjaannya.

19
 6) Semua pegawai BPKP diwajibkan untuk menjalankan upaya

yang terkait dengan kebutuhan untuk melindungi informasi

yang rahasia, baik selama dan setelah putus hubungan kerja

dengan BPKP

2. Data Pegawai

1) BPKP menghargai privacy pegawai di tempat kerja, namun dalam

kondisi tertentu pejabat yang berwenang berhak mengakses

semua informasi yang dibuat dan disimpan oleh pegawai

tersebut dalam sistem BPKP.

2) Semua data pegawai diperlakukan sebagai rahasia dan disimpan

hanya untuk pihak yang berhak.

3) Riwayat pekerjaan dan latar belakang dari para pegawai harus

dicek secara seksama.

4) Data pegawai hanya dapat disebarkan kepada orang yang secara

khusus berhak untuk menerima informasi tersebut.

3. Tanggung-Jawab Keamanan

1) Pegawai tidak boleh menggunakan sistem BPKP untuk

mengakses atau men-download materi internet yang bersifat tidak

pantas, menyerang, tidak sesuai hukum, atau yang

membahayakan keamanan dan semua pemakaian internet harus

digunakan untuk keperluan kedinasan saja.

20
2) Semua pegawai harus memperlakukan password sebagai data

pribadi dan sangat rahasia, dan pelanggaran terhadap kebijakan

ini dapat menyebabkan diperlakukannya tindakan disiplin.

3) Penggunaan surat elektronik untuk keperluan pribadi tidak

disarankan dan harus diminimumkan.

4) Panggilan pribadi melalui sistem telepon harus diminimalkan

dan dibatasi hanya untuk keperluan mendesak dan darurat saja.

5) Hanya pegawai yang berhak yang dapat menandatangani

penerimaan perangkat teknologi informasi.

6) Hanya pegawai yang berhak yang boleh menandatangani

penyelesaian pekerjaan oleh pihak ketiga.

7) Hanya pegawai yang berhak yang dapat memesan perangkat

atas nama BPKP dan perangkat ini harus dipesan sesuai dengan

ketentuan pengadaan.

8) Permintaan telepon untuk informasi yang sensitif atau rahasia

pertama kali harus ditujukan kepada pejabat yang berwenang.

9) Semua data dan informasi yang tidak dalam domain untuk

umum (public) yang berkaitan dengan pegawai BPKP harus

dijaga kerahasiaannya sepanjang waktu oleh pihak yang

berwenang.

10) Pegawai BPKP dilarang bermain game dengan menggunakan

komputer atau laptop kantor.

21
 11) Pegawai BPKP tidak diperbolehkan menggunakan perangkat

teknologi informasi milik BPKP untuk penggunaan pribadi atau

bisnis pribadi.

4. Pengelolaan Sumber Daya Manusia

1) Pejabat yang berwenang harus menanggapi secara cepat dan

bijaksana atas indikasi adanya pegawai yang tidak puas yang

akan berpengaruh terhadap sistem informasi BPKP.

2) Rapat dan catatan wawancara pegawai harus secara resmi dicatat

dan isinya diklasifikasikan sebagai sangat rahasia dan hanya

dapat diberikan kepada yang berhak.

5. Pegawai yang Keluar dari BPKP

1) Begitu menerima pemberitahuan pengunduran diri dari seorang

pegawai, pejabat yang berwenang harus menelaah apakah hak

akses ke sistem untuk pegawai tersebut mengandung risiko yang

tidak dapat diterima BPKP, dan jika terdapat risiko tersebut, hak

akses pegawai tersebut harus segera dicabut.

2) Pegawai yang keluar harus diperlakukan secara hati-hati,

khususnya yang berkaitan dengan penghentian hak aksesnya.

3) Hak akses ke sistem informasi BPKP untuk pegawai yang pindah

ke organisasi lain yang sejenis dengan kegiatan BPKP harus

dicabut secepatnya.

22
6. Hal Lainnya

1) Pegawai BPKP tidak diperkenankan untuk memberikan

rekomendasi yang hanya dapat diberikan oleh pejabat yang

berwenang.

B. Penyadaran dan Pelatihan

1. Penyadaran

1) Pegawai BPKP harus memiliki alat pengendali dalam rangka

pengamanan sistem informasi guna meningkatkan kesadaran

dan mendidik mereka dalam hal cakupan ancaman dan

pengamanan yang memadai.

2) Ringkasan tentang kebijakan pengamanan sistem informasi ini

harus disampaikan kepada dan diterima oleh semua pegawai

tidak tetap sebelum mereka melaksanakan tugasnya di BPKP.

3) Para pejabat struktural BPKP harus menjadi teladan dengan

menggunakan contoh untuk memastikan bahwa pengamanan

sistem informasi mempunyai prioritas tinggi dalam setiap

kegiatan dan inisiatif penugasan, baik untuk masa sekarang

maupun untuk masa datang.

4) BPKP harus menyediakan sarana komunikasi berkala untuk

menumbuhkan kesadaran pengamanan sistem informasi yang

relevan kepada semua pegawai, antara lain melalui electronic

updates, briefings, newsletters, dan lain-lain.

23
2. Pelatihan

1) BPKP harus menyediakan pelatihan kepada semua pemakai

sistem baru untuk memastikan bahwa penggunaan sistem

tersebut telah efisien dan tidak mengabaikan aspek keamanan.

2) Pelatihan secara berkala kepada pegawai administrasi sistem

yang ditugaskan dalam pengamanan sistem informasi harus

diprioritaskan, terutama dalam hal pelatihan tentang teknik

keamanan dan ancaman yang terbaru.

3) Pelatihan secara individual mengenai keamanan sistem informasi

adalah keharusan, yang meliputi semua pelatihan teknis yang

sesuai dengan tanggung-jawab dan fungsi pekerjaan pegawai

dan bila pegawai mutasi penugasan, maka persyaratan

keamanan sistem informasi harus dinilai kembali dan pelatihan

yang diperlukan harus diprioritaskan.

4) Pelatihan tentang ancaman dan pengamanan sistem informasi

adalah keharusan dan harus merefleksikan tanggung-jawab

individu untuk mengkonfigurasi dan memelihara perlindungan

keamanan sistem informasi.

5) Semua pegawai baru harus mengikuti pelatihan tentang

penyadaran pentingnya pengamanan sistem informasi.

24
 BAB V
PENGAMANAN DATA DAN
INFORMASI
A. Pengendalian Akses Sistem Informasi

1) Standar pengendalian akses sistem informasi harus ditetapkan

oleh pejabat yang berwenang dan harus mempertimbangkan

kebutuhan untuk menyeimbangkan antara penyediaan akses

dalam rangka menjalankan tugas kedinasan dan pembatasan

akses oleh yang tidak berhak.

2) Akses kepada semua sistem informasi harus disetujui oleh

pemilik sistem dan setiap akses (termasuk hak akses yang tidak

sah) harus dicatat dalam daftar pengendalian akses (access control

list) yang mana daftar tersebut merupakan dokumen yang sangat

rahasia dan harus diamankan secara memadai.

3) Akses kepada sumber daya yang ada di jaringan BPKP harus

dikendalikan untuk melindungi terhadap akses oleh pihak yang

tidak berhak.

4) Akses terhadap semua sistem komputer dan peralatan

pendukungnya harus dibatasi, kecuali terhadap yang berhak.

5) Akses terhadap perintah sistem operasi dibatasi hanya diberikan

kepada pegawai administrasi sistem yang ditugaskan dan

terhadap akses ini dijalankan mekanisme pengendalian

25
 berpasangan (dual control) yang memerlukan persetujuan khusus

dari pejabat yang berwenang.

6) Pemilihan, pemakaian, dan pengelolaan password sebagai sarana

utama untuk mengendalikan akses harus mengacu kepada

petunjuk yang disarankan. Password tidak boleh dibagikan

kepada orang lain dengan alasan apapun.

7) Akses fisik ke area yang memerlukan tingkat keamanan yang

tinggi harus melalui identifikasi dan teknik otentikasi tertentu.

8) Pegawai yang mempunyai otorisasi untuk masuk ke area tertentu

harus dilengkapi dengan informasi mengenai potensi risiko

keamanan yang mungkin timbul.

9) Pengendalian akses harus dijalankan pada tingkat yang memadai

guna meminimalkan risiko keamanan sistem informasi dan di

pihak lain mengijinkan kegiatan yang dapat dilakukan tanpa

halangan yang berarti.

10) Akses terhadap sistem harus dicatat dan dimonitor untuk

mengidentifikasi potensi penyalahgunaan sistem informasi.

11) Akses kepada informasi dan dokumen harus dikendalikan secara

hati-hati untuk memastikan bahwa hanya pegawai yang berhak

yang dapat mengakses informasi yang sensitif.

12) Pengendalian akses terhadap informasi yang sangat sensitif atau

sistem yang berisiko tinggi harus ditetapkan sesuai dengan nilai

dan klasifikasi aset informasi yang dilindungi tersebut.

26
 13) Prosedur pengendalian akses jarak jauh (remote access) harus

meliputi pengamanan yang memadai melalui teknik identifikasi,

otentikasi, dan enkripsi yang memadai

14) Semua komputer, baik PC maupun laptop, bila tidak dipakai atau

ditinggalkan di atas meja, layar monitornya harus terlihat bersih

dan kosong, tidak boleh terdapat perangkat lunak yang sedang

beroperasi.

15) Login yang telah disetujui harus selalu diawasi dan pengguna

yang hendak meninggalkan komputer tersebut harus mengunci

(lock) akses ke komputer tersebut atau melakukan log-off.

B. Pengklasifikasian Data dan Informasi

1) Setiap unit kerja harus mencatat, memelihara dan

memperbaharui database atas aset sistem informasinya.

2) Semua informasi, data, dan dokumen diberi label secara jelas

sehingga semua pemakai paham akan kepemilikan dan klasikasi

informasinya.

3) Semua informasi, data, dan dokumen harus diproses dan

disimpan sesuai dengan tingkat klasifikasinya.

4) Semua informasi, data, dan dokumen yang diklasifikasikan

sebagai sangat rahasia (top secret) harus disimpan di suatu tempat

terpisah yang aman.

27
 5) Semua informasi, data, dan dokumen harus diklasifikasikan

sesuai dengan tingkat kerahasiaan, sensitifitas, nilai, dan

kekritisannya

6) Semua informasi, data, dan dokumen adalah menjadi

tanggungjawab pemilik atau pemelihara informasi yang

ditunjuk.

7) Informasi yang digolongkan sebagai sangat rahasia tidak boleh

dicetak melalui printer jaringan tanpa pengawasan oleh pejabat

yang berwenang yang dapat menjaga kerahasiaan cetakan

tersebut selama dan setelah proses pencetakan.

8) Informasi rahasia atau sensitif hanya dapat dikirimkan melalui

jalur telepon publik bila metode pengiriman yang lebih aman

tidak tersedia.

9) Informasi rahasia atau sensitif hanya dapat dikirim melalui fax

bila metode pengiriman yang lebih aman tidak tersedia secara

layak.

10) Informasi rahasia atau sensitif tidak boleh direkam di mesin

penjawab otomatis.

C. Pengolahan Informasi dan Dokumen

1. Jaringan Komputer

1) Jaringan komputer BPKP harus dirancang dan dikonfigurasi

untuk memberikan kinerja dan keandalan yang tinggi yang dapat

memenuhi kebutuhan tugas, yang di lain pihak menyediakan

28
 tingkat pengendalian akses yang tinggi dan juga menyediakan

kisaran batasan hak tertentu.

2) Hanya pegawai administrasi sistem yang ditugaskan yang

diperbolehkan mengelola dan menjaga integritas jaringan

komputer yang dalam melaksanakan tugasnya bekerja sama

dengan pemilik sistem yang telah ditunjuk.

3) Akses jarak jauh terhadap jaringan dan sumber daya BPKP hanya

diperbolehkan selama pemakai yang berhak telah diotentikasi,

data di jaringan telah dienkripsi, dan hak akses telah dibatasi.

4) Perangkat keras sistem, perangkat lunak operasi dan aplikasi,

dan sistem jaringan dan komunikasi harus dikonfigurasi dan

diamankan secara memadai terhadap serangan fisik dan logik

oleh pihak yang tidak berhak.

2. Administrasi Sistem

1) Sistem informasi harus dikelola oleh pegawai administrasi sistem

yang ditugaskan untuk mengawasi operasi sehari-hari keamanan

sistem informasi.

2) Pegawai tersebut harus telah dilatih secukupnya dan mempunyai

pengalaman yang memadai dalam lingkup sistem dan platform

yang dipakai oleh BPKP serta memahami dan mengetahui

cakupan dari risiko keamanan sistem informasi yang perlu

dikelola.

3) Data dan informasi yang dibutuhkan oleh pegawai dalam rangka

menjalankan tugasnya harus selalu tersedia saat dibutuhkan dan

29
 pihak lain yang tidak berhak dilarang mengakses data dan

informasi tersebut.

4) Akses pihak ketiga kepada sistem informasi BPKP hanya

diperbolehkan bila informasi yang dibutuhkan telah dibatasi

secukupnya dan risiko kemungkinan akses oleh pihak yang tidak

berhak dapat diminimalkan.

5) Pengelolaan kunci elektronik untuk mengendalikan enkripsi dan

dekripsi pesan yang sensitif harus dilakukan melalui

pengendalian berganda (dual control) dan tugas tersebut harus

dirotasi di antara para pegawai administrasi sistem.

6) Sistem informasi harus dioperasikan dan diadministrasikan

dengan menggunakan prosedur terdokumentasi yang efisien dan

efektif.

7) Log kesalahan harus ditelaah dan dikelola oleh pegawai

administrasi sistem yang ditugaskan untuk itu.

8) Jadwal operasi sistem harus direncanakan, diotorisasi, dan

didokumentasikan secara formal.

9) Perubahan atas prosedur operasi sistem harus melalui

penelaahan dan disetujui oleh pejabat yang berwenang sebelum

dilaksanakan.

10) Log audit sistem harus ditelaah secara berkala oleh pegawai

terlatih dan penyimpangan yang terjadi harus dilaporkan ke

pemilik sistem informasi.

30
 11) Jam sistem harus disesuaikan secara berkala, terutama di antara

beberapa server yang digunakan oleh BPKP.

12) Hanya pegawai administrasi sistem yang ditugaskan dan berhak

atau teknisi dari pihak ketiga yang mempunyai ikatan dengan

BPKP yang diperbolehkan untuk memperbaiki kerusakan

perangkat keras sistem informasi.

13) Laporan transaksi dan proses harus ditelaah secara berkala oleh

pejabat yang berwenang.

14) Semua pihak ketiga yang mengelola fasilitas sistem informasi

BPKP harus dapat menunjukkan ketaatannya kepada kebijakan

pengamanan sistem informasi ini dan juga menyediakan

perjanjian tingkat layanan yang mendokumentasikan kinerja

yang diharapkan dan perbaikan yang memungkinkan bila

terdapat gangguan terhadap pelaksanaan kebijakan pengamanan

sistem informasi ini.

3. Surat Elektronik dan Internet

1) Kewaspadaan penuh harus dijaga ketika men-download informasi

dan file dari internet untuk melindungi terhadap kode yang dapat

merusak sistem (mallicious code) maupun materi yang tidak

pantas.

2) Sedapat mungkin pengiriman data yang sensitif dan rahasia

harus diotentikasi dengan menggunakan tanda tangan digital

(digital signatures).

31
3) Surat elektronik (email) hanya dipergunakan untuk keperluan

tugas BPKP, dengan menggunakan ketentuan yang konsisten

dengan bentuk komunikasi lainnya.

4) Akses terhadap lampiran (attachment) surat elektronik hanya

diperbolehkan setelah melalui pengecekan klasifikasi informasi

yang akan dikirim dan pengecekan virus atau kode yang dapat

merusak lainnya yang mungkin ada pada file tersebut.

5) Surat elektronik yang masuk harus diperlakukan dengan

waspada karena adanya risiko melekat (inherent) terhadap

pengamanan sistem informasi.

6) Pembukaan surat elektronik yang mempunyai lampiran tidak

diperbolehkan kecuali lampiran tersebut telah dicek atas

kemungkinan adanya virus dan kode yang dapat merusak.

7) Periode penyimpanan data untuk surat elektronik harus

ditetapkan dengan memenuhi ketentuan hukum dan harus

diikuti oleh para pegawai BPKP.

8) Pegawai administrasi sistem yang ditugaskan untuk melakukan

setup akses intranet harus memastikan bahwa semua batasan

akses yang berkaitan dengan data di sistem juga diterapkan

untuk akses intranet BPKP.

9) Pegawai administrasi sistem yang ditugaskan untuk melakukan

setup akses ekstranet harus memastikan bahwa semua batasan

akses yang berkaitan dengan data di sistem juga diterapkan

untuk akses ekstranet BPKP.

32
10) Pegawai administrasi sistem yang ditugaskan untuk melakukan

setup akses internet harus memastikan bahwa jaringan

komputer BPKP telah diamankan dari serangan eksternal dengan

menyediakan, secara minimum, firewall yang telah dikonfigurasi

secara memadai.

11) Pejabat yang berwenang dalam pengelolaan sumber daya

manusia BPKP harus memastikan bahwa semua pegawai yang

mengakses internet (termasuk surat elektronik) telah paham dan

taat terhadap kode perilaku (code of conduct) yang dapat diterima

dalam pemakaian internet selain ketaatan terhadap kebijakan

pengamanan sistem ini.

12) Sehubungan dengan risiko perusakan yang cukup besar oleh

pihak di luar BPKP, web site BPKP hanya dikelola dan dipelihara

oleh pegawai administrasi sistem yang ditugaskan dan pejabat

yang berwenang.

13) Surat elektronik yang diragukan keamanannya harus

diperlakukan dengan hati-hati dan tidak boleh ditanggapi.

14) Informasi yang diteruskan (forward) melalui surat elektronik

(khususnya yang mempunyai lampiran) harus dipastikan bahwa

alamat pengiriman benar dan hanya dikirim kepada pihak yang

hendak ditujukan.

15) Pegawai administrasi sistem yang ditugaskan dalam

pengendalian akses pengguna ke internet harus memastikan

bahwa pemakai paham terhadap ancaman virus dan kode

33
 perusak lainnya dan terlatih dalam pengamanan untuk

mengurangi risiko terjadinya kejadian yang berkaitan dengan

keamanan sistem informasi yang tidak diharapkan.

16) Penjelajahan (browser) web digunakan dengan keamanan yang

baik dengan menggunakan fitur keamanan yang tersedia dalam

perangkat lunak tersebut. Pejabat yang berwenang harus

memastikan bahwa pegawai telah mengerti mengenai setting

yang diperlukan untuk menggunakan perangkat lunak tersebut.

17) Informasi yang diperoleh dari sumber internet harus diverifikasi

sebelum digunakan untuk keperluan kedinasan.

18) Web site adalah sumber informasi dan media sosialisasi yang

penting bagi BPKP dan penanganan gangguan dari pihak lain

yang hendak merusak web site tersebut merupakan prioritas

utama.

19) Hanya pegawai administrasi sistem yang ditugaskan dan pejabat

yang berwenang yang boleh mengubah web site dan perubahan

tersebut harus didokumentasikan dan ditelaah secara memadai.

20) Setiap unit kerja BPKP harus menggunakan perangkat lunak

penyaring (filter) dan teknik lain yang memungkinkan untuk

membatasi akses atas informasi yang tidak semestinya yang ada

di internet.

21) Laporan mengenai akses kepada informasi yang tidak semestinya

harus diperiksa dengan teliti oleh pejabat yang berwenang secara

berkala.
34
 22) File komputer yang diterima dari pengirim yang tidak dikenal

harus dihapus tanpa dibuka.

4. Telepon dan Fax

1) Konferensi telepon (conference call) hanya diperbolehkan jika para

pegawai mengerti akan risiko keamanan sistem informasi yang

mungkin timbul dari konferensi tersebut.

2) Konferensi melalui video (conference video call) hanya

diperbolehkan jika para pegawai mengerti akan risiko keamanan

sistem informasi yang mungkin timbul dari konferensi tersebut.

3) Semua pihak terkait harus diberitahukan sebelumnya bila

pembicaraan teleponnya akan direkam.

4) Semua fax salah kirim yang kebetulan diterima oleh seorang

pegawai harus dikembalikan kepada pengirimnya dan isi fax

tersebut tidak boleh disebarkan kepada pihak lain tanpa ijin

pengirim fax tersebut.

5) Identitas pihak yang meminta informasi melalui telepon yang

sifatnya rahasia atau sensitif harus diverifikasi terlebih dahulu

dan dapat dilayani jika pihak tersebut memiliki hak untuk itu.

6) Fax yang tidak diketahui pengirimnya atau yang tidak

diharapkan harus diperlakukan secara bijaksana sampai

pengirim dapat diidentifikasi.

35
5. Pengelolaan Data

1) Data dan informasi yang sensitif atau rahasia, hanya boleh

dikirim melalui jaringan komputer atau disalin ke media lain jika

kerahasiaan dan integritas data dapat dipastikan secara

bertanggung-jawab, misalnya dengan menggunakan teknik

enkripsi.

2) Dalam penyimpanan data sehari-hari harus dipastikan bahwa

data yang mutakhir yang akan disajikan kepada pemakai yang

berhak akan selalu tersedia dan arsipnya harus disimpan dan

selalu dapat diakses bila diperlukan.

3) Integritas dan kestabilan database milik BPKP harus dipelihara

sepanjang waktu.

4) Perubahan data secara darurat hanya digunakan dalam keadaan

ekstrim dan hanya digunakan dengan menaati prosedur

perubahan darurat tersebut.

5) Penggunaan media disket yang dapat dipindah (removable media

disks) seperti disket dan CD-ROM tidak diperbolehkan, kecuali

secara spesifik sudah mendapatkan ijin untuk memakainya.

6) Struktur dan direktori data sebaiknya dibuat oleh pemilik sistem

informasi dan pemakainya dan pembatasan akses pada direktori

tertentu harus diterapkan seperlunya untuk membatasi akses

oleh pihak yang tidak berhak.

36
7) Struktur direktori dan folder yang telah ada hanya dapat diubah

bila mendapatkan ijin yang memadai, yaitu dari pemilik sistem

informasi yang bersangkutan.

8) Pengarsipan dokumen harus dilakukan dan informasi yang

dibuat dan disimpan oleh sistem informasi BPKP harus

dipelihara selama periode minimum tertentu yang mengacu pada

ketentuan hukum yang berlaku.

9) Klasifikasi dari pengolah angka (spreadsheets) harus disesuaikan

dengan kesensitifan dan kerahasiaan data yang terdapat di

dalamnya

10) Semua model data untuk pengambilan keputusan harus

didokumentasikan dan dipelihara oleh pemilik informasi.

11) Database harus sudah teruji baik secara logik maupun fisik,

sebelum dipakai secara operasional dan jika database tersebut

mengandung informasi yang bersifat pribadi, pengendalian akses

dan prosedur yang dijalankan harus dipastikan ketaatannya

dengan ketentuan yang berlaku, misalnya ketaatan dengan

kebijakan pengamanan sistem informasi ini.

12) Dokumen yang sangat sensitif atau kritis tidak boleh tergantung

pada ketersediaan atau integritas file dari data eksternal, karena

hal ini dapat menyebabkan pembuat dokumen tidak mempunyai

kendali terhadap keandalan dokumen tersebut.

13) Laporan dan dokumen kunci harus dapat berdiri sendiri dan

berisi seluruh informasi yang diperlukan.

37
14) Laporan draf hanya dapat diperbaiki dengan ijin dari pemilik

laporan yang telah ditentukan dan versi draf dari laporan harus

dihapus atau disimpan setelah versi akhirnya dibuat serta harus

dijaga agar hanya tersedia satu versi file untuk akses operasional.

15) Prosedur pengendalian versi sebaiknya selalu diterapkan untuk

mendokumentasikan informasi yang akan menjadi milik BPKP

atau pihak terkait lainnya.

16) Hanya pegawai yang berhak yang dapat mengakses data sensitif

atau rahasia yang berhubungan dengan penugasan kedinasan

atau kegiatan yang dimiliki atau dikelola oleh BPKP.

17) Penamaan file data di BPKP harus mempunyai makna dan dapat

dikenali oleh pemakai yang dituju.

18) Tingkat klasifikasi keamanan dan kepemilikan dokumen harus

disebutkan di antara header dan footer di setiap halaman

dokumen.

19) File sementara yang terdapat dalam komputer pribadi dan laptop

pengguna harus dihapus secara berkala untuk menjaga

kemungkinan penyalahgunaan oleh pemakai yang tidak berhak.

20) Semua pemakai sistem informasi yang fungsi pekerjaannya

memerlukan pembuatan atau perubahan file data harus

menyimpan hasil kerjanya di sistem secara berkala sesuai dengan

praktek terbaik untuk menghindari kerusakan atau kehilangan

karena tenaga listrik atau sistem yang tidak bekerja.

38
 21) Pegawai yang memakai server terpusat di dalam kantor BPKP

harus bertanggung-jawab atas pemasukan dan penghapusan

informasi yang dimasukkan ke dalam server tersebut.

6. Penduplikasian dan Pemulihan

1) Pemilik sistem informasi harus memastikan bahwa prosedur

penduplikasian (backup) dan pemulihan (recovery) telah dilakukan

secara memadai

2) Data dan informasi yang disimpan di laptop atau komputer

bergerak harus diduplikasi secara berkala dan pemakai laptop

atau komputer bergerak tersebut harus memastikan kegiatan ini

telah dilakukan secara berkala.

3) Penduplikasian file data BPKP dan kemampuan untuk pemulihan

data tersebut harus menjadi prioritas utama dan pejabat yang

berwenang harus memastikan bahwa frekuensi operasi

penduplikasian dan prosedur pemulihan tersebut telah

memenuhi persyaratan yang berlaku.

4) Media penyimpanan yang digunakan untuk menyimpan

informasi harus sepadan dengan harapan lama umur informasi

yang disimpannya dan format penyimpanan data juga harus

menjadi hal yang harus dipertimbangkan.

5) Penyimpanan file data elektronik harus mengacu kepada

kebutuhan penugasan BPKP serta ketentuan hukum dan

peraturan terkait.

39
 6) Pejabat yang berwenang harus dapat memastikan bahwa telah

dilakukan pengamanan untuk melindungi integritas data selama

proses pemulihan, terutama bila file tersebut akan tergantikan

oleh file yang lebih baru.

7. Pengelolaan Dokumen

1) Salinan cetak atas bahan yang sensitif atau rahasia harus

dilindungi dan ditangani sesuai dengan tingkat distribusi dan

otorisasi yang berlaku untuk dokumen tersebut.

2) Seluruh pegawai harus memahami risiko pelanggaran

kerahasiaan yang berkaitan dengan penggandaan dokumen yang

sensitif dan persetujuan untuk melakukan penggandaan harus

didapatkan dari pemilik dokumen jika dokumen diklasifikasikan

sebagai rahasia.

3) Semua informasi yang dipakai untuk atau oleh BPKP harus

disimpan secara memadai dan disimpan sesuai dengan

klasifikasinya.

4) Dokumen harus dibuat dengan tanda tangan penguat (baik

secara manual maupun elektronik) untuk menegaskan validitas

dan integritasnya, khususnya untuk dokumen tertentu yang

diperlukan dan diwajibkan oleh ketentuan hukum.

5) Dokumen harus selalu dicek untuk menegaskan validitas dan

integritasnya, khususnya untuk dokumen tertentu yang

diperlukan dan diwajibkan oleh ketentuan hukum.

40
6) Semua informasi yang dikirim oleh unit kerja BPKP kepada pihak

ketiga harus disetujui oleh pejabat yang berwenang.

7) Semua tanda tangan yang memberi hak untuk akses ke sistem

atau penyebaran informasi harus diotentikasi secara memadai.

8) Surat elektronik yang tidak dikenal pengirimnya (unsolicited mail)

tidak untuk diperhatikan secara serius sampai identitas dan

otentikasi pengirim surat elektronik dapat diverifikasi.

9) Sebuah format dokumen tertentu yang telah disepakati harus

digunakan untuk memelihara konsistensi, integritas, dan untuk

menunjang citra BPKP yang telah disepakati

10) Pemilik dokumen yang mempunyai informasi sensitif harus

memastikan bahwa tindakan tertentu telah dilakukan secara

memadai untuk melindungi kerahasiaan, integritas dan

ketersediaannya, baik selama maupun setelah pengiriman.

11) Semua dokumen yang sensitif atau rahasia harus dimusnahkan

jika tidak lagi dibutuhkan sesuai ketentuan pemusnahan

dokumen yang berlaku (pedoman retensi arsip), dan pemilik

dokumen harus menyetujui atau berinisiatif untuk memulai

pemusnahan tersebut.

12) Semua pemakai sistem informasi harus mengelola pembuatan,

penyimpanan, perubahan, penggandaan, dan

penghapusan/penghancuran file data sehingga dapat menjaga

dan melindungi kerahasiaan, integritas, dan ketersediaan file

tersebut.
41
8. Pengamanan Data

1) Informasi atau data yang sensitif dan rahasia harus dikirim

dalam bentuk terenkripsi, dan semua prosedur yang digunakan

antara pihak pengirim dan penerima serta semua risiko yang

mungkin timbul dalam penggunaan teknik enkripsi harus

dipertimbangkan sebelum pengiriman dilakukan.

2) Pejabat yang bertanggung jawab terhadap pengelolaan sumber

daya manusia harus memastikan bahwa semua pegawai telah

memahami tugas dan tanggung-jawab yang berkaitan dengan

penyebaran dan pelepasan informasi yang tidak semestinya, baik

kepada pihak internal maupun pihak eksternal.

3) Sebelum melakukan pengiriman informasi kepada pihak ketiga

harus terlebih dahulu dipastikan bahwa penerima yang dituju

mempunyai hak untuk menerima informasi tersebut serta

tindakan dan prosedur pengamanan sistem informasi yang

dipakai oleh pihak ketiga tersebut dapat menjaga kerahasiaan

dan integritas informasi yang dikirim.

4) Informasi yang berkaitan dengan penugasan BPKP adalah

termasuk informasi yang rahasia, dan harus dijaga dan

dilindungi dari akses dan pengungkapan oleh pihak yang tidak

berhak.

5) Semua data dan informasi harus dilindungi terhadap risiko

kerusakan karena kebakaran, dan tingkat pengamanan yang

42
 diperlukan harus merefleksikan risiko kebakaran dan nilai serta

klasifikasi informasi yang sedang diamankan.

6) Informasi keuangan yang sensitif harus diklasifikasikan sebagai

informasi sangat rahasia dan harus diterapkan tindakan

pengamanan (baik secara teknologi maupun prosedural) dari

pengungkapan dan akses oleh pihak yang tidak berhak.

7) Data harus diamankan terhadap perubahan yang tidak

diperbolehkan maupun yang tidak sengaja dan hanya dapat

dihapus dengan kewenangan yang memadai.

8) Data dan informasi elektronik yang sensitif dan rahasia harus

diamankan dengan penerapan pengendalian akses yang

diterapkan pada direktori komputer dan pengamanan dokumen

individu tidak hanya terbatas dengan password karena password

dapat terlupakan atau diketahui oleh pihak yang tidak berhak.

9. Hal Lainnya

1) Keputusan untuk menerapkan pengendalian berganda untuk

pemasukan data dilakukan oleh pemilik sistem informasi dan

bila diperlukan dapat diterapkan prosedur penanganan data

yang aman, di antaranya termasuk pemasukan secara berganda

(dual input).

2) Pegawai tidak diperbolehkan memakai screen saver yang belum

disetujui oleh pihak yang berwenang ke dalam komputer BPKP.

3) Semua pihak ketiga yang ditugaskan untuk penghapusan

perangkat dan peralatan teknologi informasi yang sudah usang

43
 harus dapat menunjukkan ketaatannya terhadap kebijakan

pengamanan sistem informasi ini dan juga bila diperlukan pihak

ketiga tersebut harus menyediakan perjanjian tingkat layanan

yang mendokumentasikan kinerja yang diharapkan dan

perbaikan yang diperlukan bila ada gangguan.

4) Penggunaan foto kopi atau pengganda lainnya tidak disarankan

untuk penggunaan pribadi, dengan perkecualian telah mendapat

ijin khusus dari pejabat yang berwenang.

5) Hanya pegawai yang berwenang yang diperbolehkan berbicara

kepada media massa (koran, radio, majalah, dan lain-lain)

mengenai segala sesuatu yang berkaitan dengan BPKP.

6) Informasi yang berkaitan dengan kedinasan atau pihak yang

berhubungan dengan BPKP harus dijaga kerahasiaannya dan

informasi tentang hal tersebut hanya dapat disampaikan oleh

pegawai yang berwenang dan kompeten.

7) Teknik pengendalian ganda dan pemisahan fungsi harus

diterapkan untuk meningkatkan pengendalian terhadap

prosedur yang mengandung risiko keamanan dan mempunyai

dampak finansial atau kerusakan bagi sistem informasi BPKP.

8) Semua pegawai agar tidak meletakkan dokumen yang harus

dijaga kerahasiaannya di meja kerja pada saat pegawai tersebut

pergi ke luar ruangan.

9) Alamat surat elektronik dan fax harus dicek sebelum pengiriman,

khususnya bila informasi yang dikirim dan alamat surat

44
 elektronik atau informasi kontak lainnya termasuk dalam

klasifikasi rahasia.

10) Para pegawai harus menjaga integritas dan ketepatan informasi

yang dimiliki dan pejabat yang berwenang harus

mengembangkan dan menerapkan prosedur yang memadai yang

berkaitan dengan hal tersebut.

11) Pegawai yang menjalankan tugas di luar kantor bertanggung-

jawab terhadap keamanan sistem informasi yang berada dalam

pengawasan mereka tersebut.

D. Pengendalian Keamanan e-Government

1) Sistem pemrosesan e-government termasuk web site BPKP harus

dirancang dengan perlindungan atas serangan berbahaya

(malicious attack) dengan prioritas tertinggi.

2) Web site dan sistem terkait lainnya yang berhubungan dengan e-

government harus diamankan dengan menggunakan gabungan

antara pengendalian dengan menggunakan teknologi dan

prosedur yang andal.

3) Web site e-government BPKP harus dikonfigurasi secara teliti oleh

teknisi spesialis untuk memastikan bahwa risiko karena

gangguan yang berbahaya (malicious intrusion) tidak hanya

diminimalkan, tetapi semua data yang diperoleh site tersebut

telah diamankan terhadap akses oleh pihak yang tidak berhak

dengan menggunakan gabungan antara pengendalian akses yang

andal dan data enkripsi.

45
4) Bila instansi lain terlibat dalam interaksi secara langsung dengan

sistem e-government BPKP melalui saluran penyampaian (delivery

channel) yang rahasia, maka harus dipastikan bahwa instansi lain

tersebut juga memiliki sistem ketahanan dan keamanan sistem

informasi yang memadai.

46
 BAB VI
PENGAMANAN TINDAKAN HUKUM
A. Pencegahan Kejahatan Komputer

1) Pengamanan jaringan BPKP harus dilakukan secara maksimal

dan pegawai administrasi sistem yang ditugaskan serta pejabat

yang berwenang terhadap pengamanan jaringan ini harus

menerima pelatihan yang memadai tentang penilaian risiko dan

memiliki pengetahuan untuk membangun sistem yang aman

yang dapat meminimalkan ancaman dari kejahatan komputer

(cyber crimes).

2) Rencana pengamanan harus disiapkan, dipelihara, dan diuji

secara berkala untuk memastikan bahwa kerusakan yang

diakibatkan oleh serangan kejahatan komputer dari pihak luar

dapat diminimalkan dan, jika terjadi, pemulihan dapat dilakukan

secepat mungkin.

3) Pelaku kejahatan komputer akan dituntut oleh BPKP semaksimal

mungkin sesuai hukum yang berlaku dan prosedur yang

memadai harus dikembangkan untuk menjamin tersedianya

pengumpulan dan pengamanan bukti kejahatan komputer

tersebut.

4) Untuk mengurangi kejadian dan kemungkinan serangan dari

dalam (al. serangan virus), standar pengendalian akses dan

47
 standar klasifikasi data harus ditelaah secara periodik oleh

Pusinfowas.

5) Usaha pencegahan peluang atas serangan kejahatan komputer ke

sistem informasi BPKP harus diprioritaskan melalui gabungan

pengendalian akses teknikal dan prosedur yang andal.

6) Rencana cadangan (contingency plan) untuk pencegahan serangan

harus diterapkan dan diuji secara periodik untuk memastikan

kelayakannya.

7) Risiko terhadap sistem informasi BPKP harus diminimalkan

dengan mengembangkan pemahaman dan kewaspadaan

pegawai serta menerapkan alat dan sistem pengamanan yang

memadai.

8) Prosedur yang terkait dengan peringatan virus palsu (hoax virus

warning) harus diterapkan dan dipelihara.

9) Tanpa perkecualian, perangkat lunak anti virus harus diinstal ke

semua komputer pribadi dengan perbaruan (update) definisi virus

dan pemindaian (scan) virus di server, komputer pribadi, maupun

laptop secara periodik.

10) Ancaman karena penyusupan virus adalah tinggi dan juga

risikonya terhadap sistem dan file data BPKP. Oleh karena itu,

prosedur formal untuk menanggapi serangan virus harus

dikembangkan, diuji, dan dilaksanakan serta tindak lanjut

terhadap tanggapan serangan virus ini harus ditelaah dan diuji

secara berkala
48
 11) Perangkat lunak anti virus yang dipasang di BPKP harus dipilih

dari rekanan yang telah terjamin keandalannya.

B. Kepatuhan Terhadap Ketentuan Hukum

1. Kepatuhan

1) Pejabat yang berwenang harus memastikan bahwa pegawai

BPKP telah paham terhadap konsekuensi hukum yang berkaitan

dengan pemakaian sistem informasi dan data berbasis teknologi

informasi.

2) Setiap unit kerja harus taat secara penuh kepada ketentuan

hukum yang berkaitan dengan pengamanan data, terutama

dalam hal ketentuan tersebut berpengaruh langsung terhadap

aktivitas BPKP.

3) Pejabat yang berwenang harus menyiapkan pedoman untuk

memastikan bahwa pegawai BPKP paham mengenai aspek kunci

dari hak paten, hak cipta yang berkaitan dengan database, dan

lisensi perangkat lunak selama ketentuan tersebut

mempengaruhi tugas pegawai yang bersangkutan.

4) Pejabat yang berwenang harus menyiapkan pedoman untuk

memastikan bahwa pegawai BPKP paham mengenai aspek kunci

dari ketentuan hukum penyalahgunaan perangkat keras selama

ketentuan tersebut mempengaruhi tugas pegawai yang

bersangkutan.

49
2. Penghindaran Tuntutan Hukum

1) Pegawai dilarang untuk menggunakan perangkat sistem

informasi BPKP untuk melakukan segala sesuatu yang dapat

mengakibatkan tuntutan hukum terhadap BPKP seperti

pencemaran nama baik orang lain atau organisasi lain.

2) Informasi dari internet atau sumber elektronik lainnya tidak

boleh digunakan tanpa otorisasi dari pemilik hak cipta atau tanpa

menyebut sumbernya sesuai ketentuan hukum yang berlaku.

3) Informasi dari internet atau sumber elektronik lainnya tidak

boleh disebarkan tanpa ijin dari pemilik hak cipta.

4) Tulisan dari laporan, buku, atau dokumen tidak boleh disalin

atau digunakan oleh pegawai BPKP tanpa ijin dari pemilik hak

cipta.

3. Hal Lainnya

1) Pegawai BPKP harus memahami bahwa kejadian yang berkaitan

dengan keamanan sistem informasi harus secara resmi dicatat

dan dipelihara dan disampaikan kepada pejabat yang

berwenang.

2) Nama domain terdaftar yang digunakan untuk web site BPKP

harus diamankan dan dilindungi seperti halnya melindungi aset

penting milik BPKP yang lainnya.

3) Penilaian kembali terhadap ancaman dan risiko hukum yang

berkaitan dengan kegiatan BPKP harus dilakukan secara periodik

50
untuk memastikan bahwa sistem informasi BPKP telah

dilindungi secara layak sepanjang waktu.

51
 BAB VII
PENANGANAN TINDAKAN
KEAMANAN
A. Perencanaan Keberlangsungan

1) Pejabat yang berwenang harus membuat rencana

keberlangsungan bisnis (Business continuity plan) dan secara

periodik melakukan penilaian risiko secara formal.

2) Pejabat yang berwenang harus mengembangkan rencana

keberlangsungan yang mencakup semua kegiatan yang penting

dan kritis.

3) Rencana keberlangsungan kegiatan secara periodik harus diuji

untuk memastikan bahwa para pegawai mengerti cara untuk

menjalankannya.

4) Semua pegawai harus dibuat paham tentang rencana

keberlangsungan kegiatan dan peran mereka dalam rencana

tersebut.

5) Rencana keberlangsungan kegiatan harus tetap up-to-date dan

diuji ulang secara periodik.

52
B. Pelaporan dan Penanganan Pelanggaran

1. Pelaporan Pelanggaran

1) Semua dugaan adanya insiden keamanan sistem informasi harus

segera dilaporkan kepada pejabat yang berwenang.

2) Bila diperlukan, insiden keamanan sistem informasi harus

dilaporkan kepada pihak kepolisian jika menyangkut

pelanggaran hukum pidana dan pelaporan ini dilakukan oleh

pejabat yang berwenang.

3) Semua pelanggaran keamanan sistem informasi harus dilaporkan

tanpa ditunda kepada pejabat yang berwenang untuk

mempercepat identifikasi segala kerusakan yang disebabkannya,

pemulihan dan perbaikannya, dan untuk memfasilitasi

pengumpulan semua bukti yang terkait.

4) Semua kelemahan keamanan sistem informasi yang telah

teridentifikasi atau diperkirakan akan terjadi harus diberitahukan

sesegera mungkin kepada pejabat yang berwenang.

5) Pegawai yang menyaksikan insiden atau pelanggaran keamanan

sistem informasi harus melaporkannya sesegera mungkin kepada

pejabat yang berwenang.

6) Pegawai harus tetap waspada terhadap kemungkinan terjadinya

pelanggaran.

53
2. Penanganan Pelanggaran

1) Pelanggaran keamanan sistem informasi harus diselidiki oleh

pegawai administrasi sistem yang ditugaskan.

2) Bukti yang berkaitan dengan pelanggaran keamanan sistem

informasi harus dikumpulkan dan diserahkan kepada pejabat

yang berwenang.

3) Bukti yang berkaitan dengan dugaan pelanggaran keamanan

sistem informasi harus dicatat dan diproses.

4) Pejabat yang berwenang harus menanggapi secara cepat dan

tenang semua insiden keamanan sistem informasi dan sebagai

mediator untuk berkoordinasi dengan rekan kerja, baik untuk

mengumpulkan informasi maupun untuk menawarkan bantuan.

3. Tindakan Korektif

1) Sebuah database mengenai ancaman yang telah terjadi dan

penanggulangan keamanan sistem informasi yang telah

dilakukan harus dibuat dan dipelihara, dan database tersebut

harus dipelajari secara berkala dengan menggunakan bukti yang

ada untuk membantu mengurangi risiko dan frekuensi

pelanggaran keamanan sistem informasi.

4. Hal Lainnya

1) Penggunaan sistem informasi harus dimonitor secara berkala

dengan mencatat dan menyelidiki kejadian yang tidak

diharapkan serta harus diaudit secara berkala dengan

54
 mengkombinasikan hasil dan catatannya untuk memperkuat

integritas penyelidikan berikutnya.

2) Pelanggaran keamanan sistem informasi yang timbul karena

kegagalan sistem harus diselidiki oleh pejabat yang berwenang.

3) Pelanggaran kerahasiaan harus segera dilaporkan kepada pejabat

yang berwenang sesegera mungkin.

4) Selama penyelidikan insiden keamanan sistem informasi,

pengendalian berganda dan pemisahan tugas harus dimasukkan

ke dalam prosedur untuk memperkuat integritas informasi dan

data.

5) Pejabat yang berwenang harus memiliki alat bantu, seperti daftar

cek insiden keamanan dan sebagainya, agar dapat melakukan

tindakan memadai terhadap pelanggaran keamanan sistem

informasi.

6) Jika penilaian risiko telah mengidentifikasi adanya risiko tinggi

yang abnormal terhadap ancaman penyadapan elektronik dan

atau aktivitas penyusupan, semua pegawai BPKP harus

diberitahu dan diingatkan akan adanya suatu ancaman khusus

beserta pengamanan khusus yang harus dilakukan.

7) Informasi yang berkaitan dengan adanya pelanggaran keamanan

sistem informasi hanya boleh diungkapkan oleh pejabat yang

berwenang.

55
 BAB VIII
DAFTAR ISTILAH
Penuangan daftar definisi/istilah di bagian berikut ini

dimaksudkan agar para pegawai BPKP dapat mendapatkan

pemahaman, sudut pandang, atau persepsi yang sama dengan apa

yang terkandung dalam kebijakan ini.

Daftar definisi/istilah tersebut disajikan urut abjad, yaitu sebagai

berikut:

1) Aset Sistem Informasi adalah aset yang berhubungan dengan

instalasi sistem informasi, yang biasanya mencakup manusia

(knowledge), perangkat keras, perangkat lunak sistem, perangkat

lunak aplikasi, file data/informasi, dokumentasi sistem, fasilitas,

dan alat pendukung lainnya.

2) Catatan Keamanan (Security Log) adalah catatan-catatan yang

berkaitan dengan keamanan perangkat lunak dan perangkat

keras.

3) Data/Informasi Biasa adalah data yang tidak memerlukan

pengamanan khusus.

4) Data/Informasi Rahasia adalah data/informasi yang

membutuhkan tingkat pengamanan yang tinggi. Tingkat

pengamanannya erat hubungannya dengan keamanan kedinasan

56
 dan hanya boleh diketahui oleh pejabat yang berwenang atau

yang ditunjuk.

5) Data/Informasi Sangat Rahasia adalah data/informasi yang

membutuhkan tingkat pengamanan yang tertinggi. Tingkat

pengamanannya ini erat hubungannya dengan keamanan dan

keselamatan negara serta hanya boleh diketahui oleh pejabat

yang berhak menerimanya.

6) Data/Informasi Terbatas adalah data/informasi yang

membutuhkan tingkat pengamanan yang tinggi. Tingkat

pengamanannya erat hubungannya dengan tugas khusus

kedinasan dan hanya boleh diketahui oleh pejabat yang

berwenang atau yang ditunjuk.

7) Dekripsi (Decryption) adalah proses konversi terhadap data

yang telah di-enkripsi ke dalam bentuk aslinya (original)

sehingga data tersebut dapat dibaca dan dimengerti kembali oleh

pembacanya.

8) Ekstranet adalah suatu jaringan yang menggunakan standar

protokol internet yang menghubungkan jaringan organisasi

BPKP dengan pihak lain. Dengan kata lain, ekstranet adalah

gabungan intranet BPKP dengan intranet pihak lain.

9) Enkripsi (Encryption) adalah teknik yang digunakan untuk

mengaburkan atau menyamarkan data dengan tujuan untuk

mengamankan data dan menyimpan kerahasiaan data tersebut,

atau proses konversi data ke bentuk lain (biasa disebut sebagai

57
 ciphertext/teks yang teracak) yang sulit dimengerti oleh orang

yang tidak berhak atas data tersebut.

10) File adalah kumpulan dari data dan informasi yang memiliki

sebuah nama, yang biasanya disebut nama file. Hampir semua

informasi yang tersimpan dalam komputer adalah dalam bentuk

file. Terdapat beberapa macam file, yaitu file data, file teks, file

program, file direktori, dan sebagainya. Masing-masing file

menyimpan tipe informasi yang berbeda. Sebagai contoh, file

program biasanya menyimpan program, sementara file teks

biasanya menyimpan teks.

11) Internet adalah suatu jaringan publik yang menghubungkan

seluruh jaringan-jaringan kecil melalui komputer-komputer

yang ada di perusahaan-perusahaan, akademik, maupun

kalangan publik/masyarakat yang memanfaatkan protokol

TCP/IP.

12) Intranet adalah suatu jaringan organisasi (corporate network) yang

menggunakan standar protokol internet. Dengan kata lain,

intranet adalah jaringan komunikasi seperti internet, tetapi hanya

dapat diakses untuk kepentingan internal BPKP.

13) Jaringan adalah sistem komunikasi data dalam bentuk jaringan

komputer yang menghubungkan komputer dalam suatu

ruangan, gedung atau antar lokasi tertentu yang dihubungkan

dengan saluran komunikasi secara khusus.

58
14) Lingkungan Pengujian (Staging Area) adalah suatu tempat

(letak domain, media penyimpan) yang terpisah dari sistem

produksi dan dirancang untuk area uji coba sistem sebelum

sistem tersebut dioperasikan di lokasi operasional.

15) Otentikasi (Authentication) adalah proses untuk mengetahui

apakah seseorang atau sesuatu telah benar-benar sesuai dengan

yang dinyatakan oleh orang atau sesuatu tersebut. Dalam

jaringan internal ataupun jaringan publik (termasuk internet),

otentikasi umumnya dilakukan dengan menggunakan password.

16) Outsourcing adalah pengembangan atau pengelolaan sistem

informasi atas nama BPKP yang operasionalnya dikerjakan atau

dibantu oleh pihak ketiga.

17) Password adalah suatu kode atau simbol khusus yang ada dalam

sistem komputer sehingga orang yang akan mengakses (seperti

mengakses data, program, ataupun aplikasi komputer) harus

memiliki atau mengenal kode atau simbol password tersebut.

Password digunakan untuk tujuan identifikasi dan pengamanan

sistem komputer. Masing-masing pengguna diberikan satu set

karakter/alphanumeric untuk dapat mengakses seluruh atau

sebagian sistem komputer.

18) Pegawai Administrasi Sistem adalah pegawai yang ditugaskan

oleh pejabat yang berwenang untuk menjalankan tugas yang

berhubungan dengan pengamanan sistem informasi. Tugas ini

berupa pengelolaan sistem yang biasanya terdiri dari

59
 administrasi sistem jaringan, administrasi sistem surat elektronik,

administrasi sistem internet, administrasi sistem intranet,

administrasi sistem basisdata, dan administrasi sistem firewall,

dan lain-lain.

19) Pejabat yang Berwenang adalah pejabat struktural yang

diangkat oleh Kepala BPKP untuk menjalankan tugas dan

fungsinya berdasarkan Keputusan Kepala BPKP nomor Kep-

06.00.00-080/K/2001 tentang Organisasi dan Tata Kerja BPKP dan

Keputusan Kepala BPKP nomor Kep-06.00.00-286/K/2001 tentang

Organisasi dan Tata Kerja Perwakilan BPKP.

20) Pemilik Sistem adalah pejabat struktural BPKP yang karena

tugas dan fungsinya bertanggung-jawab atas semua data dan

informasi yang dihasilkan serta dikelola dan/atau

dikumpulkannya selama bekerja untuk dan atau atas nama

BPKP.

21) Pemulihan (Recovery) adalah penyelamatan data dari media

yang rusak ke kondisi awalnya. Terdapat berbagai macam

perangkat lunak yang dapat membantu memulihkan data karena

kerusakan disk atau virus. Banyak perusahaan yang

mengkhususkan diri pada pemulihan data.

Tentunya, tidak semua data yang rusak dapat dipulihkan.

22) Penduplikasian (Backup) adalah mengkopi file ke media kedua,

baik berupa disk atau tape, untuk berjaga-jaga jika media pertama

tidak berfungsi dengan baik. Salah satu prinsip dalam

60
 penggunaan teknologi informasi adalah melakukan

penduplikasian file secara reguler. Sebab, sistem yang handal

sekalipun masih ada kemungkinan untuk mengalami kegagalan.

Biasanya, penduplikasian dilakukan dalam dua, atau bahkan

tiga, duplikasi file. Agar aman, satu duplikasi harus disimpan

dalam lokasi lain yang berbeda. Penduplikasian ini dapat

menggunakan perintah (command) sistem operasi atau

menggunakan utilitas khusus untuk penduplikasian. Program

penduplikasian biasanya mengkompresi data sehingga hasil

duplikasi menggunakan kapasitas disk yang lebih kecil.

23) Perangkat Keras adalah peralatan fisik yang digunakan dalam

media input, pemrosesan, maupun output data elektronis, seperti

keyboard, mouse, monitor, central processing unit, printer, modem, dan

sebagainya.

24) Perangkat Lunak adalah sekumpulan program komputer yang

berisikan serangkaian perintah untuk mengendalikan kegiatan

suatu sistem komputer atau untuk mengoperasikan aplikasi.

25) Perangkat Lunak Dikembangkan Sendiri adalah perangkat

lunak yang dikembangkan sendiri dengan menggunakan sumber

daya manusia BPKP atau dikerjakan oleh pihak lain dengan

pengawasan dan atas nama BPKP.

26) Perangkat Lunak Jaringan adalah suatu program komputer yang

dapat mengatur komputer dalam berhubungan dengan

61
 komputer atau aplikasi tertentu dan dapat mengontrol

penggunaannya.

27) Perangkat Lunak Pengamanan adalah suatu program komputer

yang melekat pada sistem operasi, di mana pengguna sebelum

mengoperasikan komputer disyaratkan harus memasukkan user

id dan password yang tidak ditampakkan pada layar monitor,

dan/atau suatu program komputer yang melekat pada perangkat

lunak aplikasi yang bertujuan membatasi akses dari pengguna

lainnya atas menu-menu tertentu yang telah ditetapkan.

28) Perangkat Lunak Sistem adalah suatu program komputer yang

berhubungan dengan kontrol-kontrol terhadap perangkat keras

komputer, untuk membantu programmer aplikasi dalam

melakukan tugas-tugasnya, ataupun berhubungan dengan

fungsi-fungsi lain yang tidak berkaitan dengan pengguna.

29) Perangkat Lunak Tambahan (Patches) adalah program yang

dipergunakan untuk menutupi kesalahan dalam program

sebelumnya.

30) Pihak Ketiga adalah mitra kerja, rekanan, atau pihak-pihak di

luar BPKP yang bekerja sama dengan BPKP.

31) Program Sumber (Source Program) atau Kode Sumber (Source

Code) adalah suatu instruksi program dalam bentuk aslinya. Kata

sumber membedakannya dengan kata program atau kode yang

bisa dalam beragam bentuk, seperti program/kode objek

(program/object code) dan program/kode yang dapat dieksekusi

62
 (executable program/code). Biasanya, seorang pemerogram menulis

suatu program dalam bahasa pemerograman tertentu. Program

semacam inilah yang disebut program/kode sumber. Akan tetapi,

untuk dapat mengeksekusi program tersebut, pemerogram harus

mengubahnya dalam bahasa mesin yang dimengerti komputer.

Proses perubahan ini biasanya dilakukan oleh sebuah utilitas

yang disebut pengkompilasi (compiler). Pengkompilasi ini

mengubah program/kode sumber menjadi suatu bentuk yang

disebut program/kode objek. Kadang-kadang, program/kode

objek ini sama dengan kode mesin. Kadang-kadang,

program/kode objek ini perlu diubah lagi dalam bahasa yang

dimengerti mesin dengan utilitas yang disebut perakit (assembler).

32) Prosedur Pemulihan adalah prosedur pemulihan sistem pada

kondisi darurat, di mana sistem utama dan/atau perangkat

pendukung sistem utama diperkirakan tidak dapat dipergunakan

sebagai akibat adanya kerusakan sumber listrik, kerusakan

sarana komunikasi dan jaringan komputer, kebakaran, banjir,

bencana alam, sabotase/pelanggaran, atau kondisi darurat

lainnya.

33) Sistem Keamanan (Security System) adalah sistem yang

digunakan untuk pengamanan fisik dan pengamanan logik

terhadap teknologi informasi.

34) Sistem Operasi adalah perangkat lunak yang harus ada dan

selalu aktif karena berfungsi mengatur pelaksanaan operasional

63
 sistem komputer. Setiap sistem operasi memiliki kemampuan

berbeda tergantung ukuran serta kompleksitas sistem komputer

yang dikontrolnya. Pada umumnya, fungsi sistem operasi terdiri

dari scheduling, input/output control, compilation, storage,

assignment, data management, dan pelayanan rutin lainnya.

35) Surat Elektronik (Email) adalah surat yang melalui

jaringan BPKP dan/atau melalui jaringan publik (internet) untuk

keperluan tukar-menukar pesan atau informasi di lingkungan

BPKP.

36) Virus adalah program komputer yang mampu memperbanyak

diri dengan cara menyertakan kode program virus tersebut ke

dalam file atau program lainnya. Secara umum, virus dapat

merusak/mengganggu data atau file dalam komputer.

64
Susunan Tim Penyusun Kebijakan Pengamanan
Sistem Informasi di Lingkungan BPKP
Penanggung-Jawab:
Mochammad Ichwan
Kepala Pusat Informasi Pengawasan

Sekretariat:
Doso Sukendro
Aries Sulastowo
Pramestiti
Mujahidin
Netta Catharina

Penyusun Konsep:
Arief Hidayat (Penyelia)
Yoyok Suyoko (Ketua Tim)
Nugroho Edipatrianto (Anggota Tim)

Penyunting:
Teguh Waluyo
Fery Nurtjahjo
David Bobby
Bambang Purwoko
Sri Winarti
Apriliana Sinuraya

Nara Sumber:
Haryono Umar (Kabid Pengembangan Sistem Informasi)
Rudy M. Harahap (Kasubid Pengembangan Teknologi Informasi)
Daryanto (Kasubid Pengembangan Sistem Aplikasi)
Ishak A. Wahyudi (Kasubid Dukungan Pengguna)
Jarot Budi Martono (Kasubag Tata Usaha)

Pembahas:
Sekretariat Utama
Deputi Bidang Perekonomian
Deputi Bidang Polsoskam
Deputi Bidang Penyelenggaraan
Keuangan Daerah
Deputi Akuntan Negara
Deputi Bidang Investigasi
Pusdiklatwas
Puslitbangwas

Gambar Cover: www.arbegui.com

65