STANDAR KEAMANAN KONTROL AKSES SISTEM DAN APLIKASI

PADA
SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK (SPBE)

Nomor Dokumen : ………..

Revisi : ………..
Tanggal Terbit : ………..

BADAN SIBER DAN SANDI NEGARA

2019
 -1-

DAFTAR ISI

A. TUJUAN .......................................................................................................................................... 2
B. RUANG LINGKUP ........................................................................................................................... 2
C. ISTILAH DAN DEFINISI .................................................................................................................. 2
D. REFERENSI .................................................................................................................................... 2
E. STANDAR ....................................................................................................................................... 3
F. PROSEDUR TERKAIT .................................................................................................................... 4
G. PENUTUP ....................................................................................................................................... 4

Kualifikasi : TERBATAS Badan Siber dan Sandi Negara

 -2-

A. TUJUAN

Standar ini bertujuan untuk mengontrol akses ke sistem di lingkungan instansi pusat atau
daerah.

B. RUANG LINGKUP

Standar ini berlaku untuk semua jenis akses secara logika ke sistem/aplikasi yang merupakan
aset instansi pusat atau daerah.

C. ISTILAH DAN DEFINISI

1. Audit Trail : Catatan yang menerangkan transaksi maupun aktifitas

sistem informasi yang menyediakan informasi untuk
keperluan verifikasi aktifitas sistem.
2. Instansi : Instansi pusat atau daerah.
3. Log-on : Proses yang disediakan oleh sistem komputer untuk
mengidentifikasi dan otentifikasi pengguna pada saat
mulai mengakses (berinteraksi dengan) sistem
komputer. Biasanya pengguna lebih dahulu
memasukkan kode identitas (user-id) dan kata sandi
(password), kemudian sistem melakukan proses
validasi (pengesahan).
4. Password : Kata sandi yang digunakan bersamaan dengan
username (sign on/sign in/log-on/log-in) oleh pemilik
yang sah sebelum melakukan koneksi/akses ke sistem
computer.

D. REFERENSI

1. ISO/IEC 27001:2013 Information technology – security techniques - Information security

management system – Requirements - Annex A.9.4 – System and Application Access
Control
2. Kebijakan Keamanan Informasi SPBE

Kualifikasi : TERBATAS Badan Siber dan Sandi Negara

 -3-

E. STANDAR

1. Standar log-on sistem

a. Sistem dan/atau aplikasi hanya dapat ditampilkan setelah log-on berhasil
dilaksanakan.
b. Proses log-on hanya menampilkan informasi yang berkaitan dengan sistem tersebut
seminimal mungkin.
c. Proses log-on harus menampilkan peringatan yang menyebutkan bahwa sistem
tersebut hanya dapat diakses oleh para pengguna yang mempunyai hak akses.
d. Pesan dari sistem tidak boleh mengidentifikasikan penyebab error terjadi selama
proses log-on.
e. Proses log-on akan terkunci bila berturut-turut melakukan kegagalan log-on
sebanyak 3 kali.
f. Penguncian akses akan dibuka kembali setelah melaporkan kepada pihak
administrator dari sistem tersebut melalui email dan pembukaan akses akan
diberikan setelah administrator melakukan verifikasi atas hak akses..
g. Membatasi waktu idle (tidak ada aktivitas) yang diperbolehkan untuk melakukan
proses log-on dan apabila melebihi waktu yang ditentukan maka proses log-on
dihentikan. Waktu idle yang diperbolehkan adalah maksimal 10 menit.
h. Sesaat setelah upaya log-on berhasil dilakukan, tanggal dan waktu dari log-on
sebelumnya harus ditampilkan bersamaan dengan upaya log-on yang tidak berhasil
sejak log-on terakhir dilakukan.
i. Tampilan password yang dimasukkan ke dalam sistem harus digantikan dengan
simbol.
j. Apabila usia password telah expired maka begitu berhasil log-on akan diawali
tampilan informasi dan permintaan penggantian password sebelum masuk sistem.

2. Standar log-off sistem

a. Standar time-out akses sistem operasi adalah 20 menit. Waktu time-out dihitung dari
waktu idle (tidak ada aktivitas).
b. Seluruh kegiatan pengguna dalam mengakses sistem harus terekam pada audit trail
dan tersimpan dengan baik.
c. Penghapusan User ID untuk mengakses sistem harus terlebih dahulu dilakukan
pemblokiran User ID selama 1 bulan dan semua audit trail disimpan sebagai aset
informasi dengan retensi sesuai klasifikasi aset informasi yang dikelolanya.
Klasifikasi aset dapat dilihat pada Standar klasifikasi dan pengamanan informasi.

Kualifikasi : TERBATAS Badan Siber dan Sandi Negara

 -4-

F. PROSEDUR TERKAIT
Prosedur Pengelolaan Hak Akses

G. PENUTUP

1. Hal-hal lain yang belum tertuang dalam ketentuan ini, karena adanya perubahan kebijakan
eksternal ataupun internal maka akan diadakan penyesuaian lebih lanjut dan merupakan
bagian yang tidak terpisahkan dengan ketentuan ini.
2. Hal-hal lain yang bersifat teknis dituangkan dalam prosedur yang merupakan dokumen
terpisah yang menjadi satu kesatuan dengan standar ini.

Kualifikasi : TERBATAS Badan Siber dan Sandi Negara