Penjelasan Butir Kegiatan JFMI

PENJELASAN BUTIR-BUTIR
KEGIATAN JF MANGGALA
INFORMATIKA
BERDASARKAN
DRAF RPB BSSN TENTANG

PETUNJUK TEKNIS
PELAKSANAAN JABATAN
FUNGSIONAL MANGGALA
INFORMATIKA
Pusat Pengembangan Sumber Daya Manusia

Badan Siber dan Sandi Negara
2022
I.A.001 menginventarisasi aset
Deskripsi : Melakukan identifikasi aset yang terkait dengan informasi dan fasilitas pemrosesan informasi dan menyusunnya ke
dalam daftar inventaris aset.
Metodologi : Pelaksanaan prosedur inventarisasi aset, SNI/ISO 27001
Prasyarat : Pedoman pengelolaan aset
Bukti Fisik : 1. Bukti penugasan tertulis
2. Daftar inventaris aset yang disahkan oleh pejabat yang berwenang
3. Dokumentasi daftar inventaris aset yang tercatat didalam sistem informasi aset sekurang-kurangnya
memiliki informasi sebagai berikut:
a. Nama dan spesifikasi aset
b. Identitas aset
c. Klasifikasi informasi aset
d. Fungsi aset
e. Atribut aset (contoh: lisensi)
f. Lokasi aset
g. Umur perolehan aset
Hasil Kerja : daftar inventaris aset
Batasan Penilaian : Sesuai dengan kebutuhan
Angka Kredit : 0,040
Pelaksana : AHLI PERTAMA
I.A.002 mengidentifikasi penanggung jawab aset
Deskripsi : Melakukan identifikasi pemilik aset yang bertanggung jawab terhadap perlindungan aset-aset yang terdapat dalam
daftar inventaris aset. Pejabat/pegawai atau entitas yang mendapat persetujuan dari manajemen instansi
untuk
mengelola suatu aset dapat dikategorikan sebagai pemilik aset tersebut
Metodologi : Pelaksanaan prosedur inventarisasi aset, SNI/ISO 27001
Prasyarat : Pedoman pengelolaan aset
2. Daftar penanggung jawab aset yang disahkan oleh pejabat yang berwenang
3. Dokumentasi daftar penanggung jawab aset yang tercatat didalam sistem informasi aset sekurang-
kurangnya memiliki informasi sebagai berikut:
a. Nama dan spesifikasi aset
b. Pemilik/penanggung jawab aset (nama jabatan satker)
c. Alamat Kontak (email, nomor kantor)
d. Atasan penanggung jawab aset
e. Ruang Lingkup penanggung jawab aset
f. Fungsi aset
Hasil Kerja : data dan informasi terkait penanggung jawab aset
I.A.003 menyiapkan bahan panduan pengamanan fisik aset di lokasi kerja
Deskripsi : Melakukan kegiatan mengumpulkan bahan, data atau referensi yang dibutuhkan dalam membuat
panduan pengaman fisik di lokasi kerja
Metodologi : SNI/ISO/IEC 27001
Prasyarat : -
1. Dokumen yang berisi bukti penyiapan panduan pengamanan fisik aset di lokasi kerja
2. Bahan-bahan yang dibutuhkan dalam membuat panduan pengaman fisik di lokasi kerja
Hasil Kerja : bahan panduan pengamanan fisik aset di lokasi kerja
Batasan Penilaian : Dilakukan untuk setiap jenis aset sesuai lokasi kerja
I.A.004 menyiapkan bahan prosedur pengelolaan aset
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun prosedur pengelolaan
aset. Data atau bahan yang dikumpulkan terdiri dari: peraturan perundang-undangan atau kebijakan terkait,
data pengelolaan aset yang telah berjalan dalam instansi, berbagai referensi yang bersumber dari luar seperti kajian
atau hasil studi termasuk standar dan best practice terkait pegendalian pengelolaan aset, data benchmarking
dengan
instansi lain, dan informasi lain yang relevan.
Metodologi : Pengumpulan data dan informasi, SNI/ISO 27001.
Prasyarat : Data prosedur pengelolaan aset, peraturan atau bahan bain yang relevan
2. Kumpulan bahan/dokumentasi.
Hasil Kerja : bahan prosedur pengelolaan aset
Batasan Penilaian : Maksimal 1 kali dalam 1 tahun atau sesuai kebutuhan
I.A.005 mengidentifikasi pemberian dan penarikan hak akses aset informasi
Deskripsi : Kegiatan melakukan identifikasi pemberian dan penarikan hak akses aset informasi untuk memastikan bahwa hak
akses aset digunakan oleh yang berwenang
Prasyarat : -
Bukti Fisik : 1. Bukti penugasan tertulis, Bukti Permintaan pemberian dan penarikan hak akses asset informasi (bisa
dalam bentuk: email, Formulir permintaan)
2. Dokumen yang berisi hasil identifikasi pemberian dan penarikan hak akses aset informasi
Hasil Kerja : dokumen identifikasi pemberian dan penarikan hak akses aset informasi
I.A.006 melakukan review dokumen penanggung jawab aset
Deskripsi : Mengkaji-ulang (verifikasi, validasi) kepemilikan dan penanggung jawab aset informasi untuk memastikan prasyarat
dan penerapan pengamanan berjalan sesuai dengan klasifikasi dan risiko terkait.
Metodologi : SOP pengelolaan aset , SNI/ISO 27001.
Prasyarat : Bahan prosedur pengelolaan aset, daftar inventaris aset, peraturan BMN yang berlaku pada instansi
2. Daftar aset dengan status kepemilikan/penanggung-jawab yang tervalidasi
Hasil Kerja : Dokumen validasi dan perubahan penanggung jawab aset
I.A.007 membuat prosedur pengelolaan aset
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam pengelolaan aset informasi yang
meliputi kegiatan:
1. inventarisasi aset (identifikasi aset dan kepemilikan aset, pencatatan aset, dan klasifikasi informasi aset)
2. penggunaan aset yang dapat diterima (acceptable use of asset)
3. peminjaman dan pengembalian aset
4. pemindahan aset
5. penghapusan aset
Metodologi : SOP pengelolaan aset , SNI/ISO 27001.
Prasyarat : bahan prosedur pengelolaan aset, peraturan BMN yang berlaku pada instansi
2. Dokumen prosedur yang minimal terdiri dari instruksi kerja, diagram workflow, pemetaan RASCI dan
batasan waktu pelaksanaan prosedur.
Hasil Kerja : dokumen prosedur pengelolaan aset
I.A.008 melakukan pengamanan fisik aset di lokasi kerja
Deskripsi : Melakukan pengamanan fisik aset di lokasi kerja

Prasyarat : -
2. Dokumen yang berisi bukti pengamanan pengamanan fisik aset di lokasi kerja
Hasil Kerja : laporan pelaksanaan pengamanan fisik aset di lokasi kerja
Batasan Penilaian : Dilakukan untuk setiap lokasi kerja
I.A.009 membuat panduan pengamanan fisik aset di lokasi kerja
Deskripsi : Melakukan kegiatan penyusunan panduan pengaman fisik di lokasi kerja

Prasyarat : Dokumen prosedur pengendalian akses, dokumen matriks fisik
2. Dokumen panduan pengamanan fisik aset di lokasi kerja
Hasil Kerja : panduan pengamanan fisik aset di lokasi kerja
Batasan Penilaian : Dilakukan untuk setiap jenis aset sesuai lokasi kerja
I.A.010 meninjau dan melakukan perubahan panduan pengamanan fisik aset
Deskripsi : Melakukan kegiatan pemeriksaan panduan pengamanan fisik aset sekaligus melakukan perubahan/perbaikan atas
panduan pengamanan fisik aset
Prasyarat : -
2. Dokumen hasil peninjauan/review dan perubahan pada panduan pengamanan fisik aset
Hasil Kerja : dokumen perubahan pedoman pengamanan fisik aset
Batasan Penilaian : Setiap ada perubahan terhadap peraturan, lingkungan fisik dan aset
Pelaksana : AHLI MUDA
I.A.011 menganalisis panduan pengamanan fisik aset
Deskripsi : Melakukan kegiatan memeriksan panduan pengaman fisik aset di lokasi kerja
Prasyarat : -
2. Dokumen yang berisi Hasil Analisis panduan pengamanan fisik aset di lokasi kerja
Hasil Kerja : laporan hasil analisis tentang panduan pengamanan fisik aset di lokasi kerja
Batasan Penilaian : dilakukan untuk setiap jenis aset sesuai lokasi kerja
I.A.012 menganalisis prosedur pengelolaan aset
Deskripsi : Melakukan penelaahan atau kajian pengelolaan aset dalam rangka evaluasi dan pengembangan
prosedur pengelolaan aset.
Metodologi : Analisis kebutuhan (needs analysis) dan analisis kesenjangan (gaps analysis) , SNI/ISO 27001.
Prasyarat : SOP pengelolaan aset
2. pengelolaan aset yang berisi:
− Analisis kebutuhan
− Analisis kesenjangan
− Usulan perbaikan prosedur
Hasil Kerja : laporan hasil analisis tentang prosedur pengelolaan aset
Batasan Penilaian : Maksimal 1 kali dalam 1 tahun untuk setiap prosedur
I.A.013 meninjau dokumen kebijakan dan prosedur pengelolaan aset
Deskripsi : Melakukan tinjauan, kajian atau ulasan terhadap kebijakan dan prosedur pengelolaan aset yang bertujuan untuk
mengetahui efektivitas kebijakan dan prosedur pengelolaan aset dan mengusulkan perubahan jika diperlukan.
Melakukan proses pengecekan kesesuaian dokumen kebijakan dengan prosedur yang berlaku dalam
pengelolaan aset, yang meliputi aspek:
− Inventarisasi/pencatatan aset
− Status kepemilikan aset
− Informasi penggunaan aset
− Penghapusan aset
Metodologi : SOP pengelolaan aset, SNI/ISO 27001.
Prasyarat : -
2. Laporan kesesuaian dokumen penggunaan aset
Hasil Kerja : dokumen perubahan kebijakan dan prosedur pengelolaan aset
Pelaksana : AHLI MADYA
I.A.014 melakukan pemantauan pemberian dan penarikan hak akses aset informasi
Deskripsi : Melaksanakan pemantauan/review atas pemberian dan penarikan hak akses aset informasi
Prasyarat : -
2. Dokumen yang berisi hasil pemantauan/review atas pemberian dan penarikan hak akses aset informasi
Hasil Kerja : laporan pemantauan pemberian dan penarikan hak akses aset informasi
Batasan Penilaian : Dilakukan setiap bulan untuk setiap aset
I.A.015 mengamankan akses fisik ke lokasi kerja
Deskripsi : Melaksanakan pengendalian/perlindungan masuk yang sesuai untuk menjamin hanya personel/pegawai yang
berwenang yang diijinkan untuk memasuki lokasi kerja
Prasyarat : -
2. Bukti hasil pengamanan akses fisik ke lokasi kerja (mulai dari proses pemantauan, analisis, dan tindaklanjut)
Hasil Kerja : laporan keamanan akses fisik
Batasan Penilaian : Dilakukan untuk setiap lokasi kerja
I.A.016 menyiapkan bahan tentang kebijakan dan prosedur pengendalian akses
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun kebijakan dan prosedur pengendalian
akses. Data atau bahan yang dikumpulkan terdiri dari: peraturan perundang-undangan atau kebijakan
terkait, data pengelolaan akses yang telah diterapkan dalam instansi, berbagai referensi yang bersumber dari luar
seperti kajian atau hasil studi termasuk standar dan best practice terkait pengendalian akses, data benchmarking
dengan instansi
lain, dan informasi lain yang relevan.
Metodologi : Studi literatur, Pengumpulan data dan informasi, SNI/ISO 27001
Prasyarat : -
2. Dokumen bahan tentang kebijakan dan prosedur pengendalian akses yang dapat terdiri dari:
a. Peraturan perundang-undangan atau kebijakan terkait,
b. Data pengelolaan akses yang telah diterapkan dalam instansi,
c. Berbagai referensi yang bersumber dari luar seperti kajian atau hasil studi termasuk standar dan best practice
terkait pengendalian akses,
d. Data benchmarking dengan instansi lain,
e. Informasi lain yang relevan
Hasil Kerja : bahan kebijakan dan prosedur pengendalian akses
I.A.017 menerapkan prosedur akses data
Deskripsi : Menerapkan prosedur akses data adalah kegiatan mengimplementasikan prosedur otentikasi dan otorisasi
akses data bagi pegguna
Metodologi : SNI/ISO 27001
Prasyarat : SOP otentikasi dan otorisasi akses data bagi pengguna
2. Dokumen hasil implementasi prosedur akses data bagi pegguna
Hasil Kerja : laporan penerapan prosedur akses data
Batasan Penilaian : Maksimal 4 kali dalam satu tahun atau sesuai dengan kebutuhan/perubahan
I.A.018 melakukan kegiatan pengendalian akses pengguna
Deskripsi : Melakukan kegiatan pengelolaan akses pengguna untuk memastikan akses pengguna yang berwenang dan untuk
mencegah akses oleh pihak yang tidak berwenang ke sistem dan layanan.
Metodologi : Pelaksanaan prosedur pengendalian akses, SNI/ISO 27001
Prasyarat : Dokumen prosedur pengendalian akses, Dokumen matriks akses
2. Laporan kegiatan pengendalian akses pengguna
Hasil Kerja : laporan pengendalian akses pengguna
I.A.019 melakukan kegiatan pengendalian akses sistem informasi dan aplikasi
Deskripsi : Melakukan kegiatan pengendalian akses sistem informasi dan aplikasi untuk mencegah akses oleh pihak yang tidak
sah ke sistem informasi dan aplikasi.
Metodologi : Pelaksanaan prosedur pengendalian akses, SNI/ISO 27001.
Prasyarat : Dokumen prosedur pengendalian akses, dokumen matriks akses
2. Laporan kegiatan pengendalian akses sistem informasi dan aplikasi
Hasil Kerja : laporan pengendalian akses sistem dan aplikasi
I.A.020 melakukan perubahan dokumen prosedur pengendalian akses
Deskripsi : Melakukan perubahan berupa menambah, meningkatkan atau menyesuaikan dokumen prosedur pengendalian
akses yang sudah ada terhadap perubahan kebutuhan pada instansi.
Metodologi : Pemutakhiran dokumen, SNI/ISO 27001.
Prasyarat : Dokumen prosedur pengendalian akses
2. Dokumen rancangan perubahan prosedur dengan outline sebagai berikut:
a. Deskripsi/uraian perubahan prosedur pengendalian akses yang diusulkan;
b. Catatan perubahannya (menjelaskan uraian dampak perubahannya).
Hasil Kerja : dokumen perubahan prosedur pengendalian akses
Batasan Penilaian : -
I.A.021 menyusun prosedur otentikasi dan otorisasi akses data bagi pengguna
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis terkait otentikasi dan otorisasi akses data bagi pengguna
Metodologi : Penyusunan dokumen prosedur, SNI/ISO 27001
Prasyarat : -
2. Lembar pengesahan oleh pejabat yang berwenang
batasan waktu pelaksanaan prosedur
Hasil Kerja : dokumen prosedur otentikasi dan otorisasi akses bagi pengguna
Batasan Penilaian : Maksimal 2 kali dalam 1 tahun
I.A.022 membuat prosedur pengendalian akses
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam pengendalian akses yang
meliputi kegiatan:
− pengelolaan akses pengguna (meliputi registrasi pengguna, penyediaan akses, manajemen hak akses istimewa,
peninjauan hak akses, penghapusan dan penyesuaian hak akses).
− pengendalian akses sistem dan aplikasi (meliputi pembatasan akses informasi ke sistem dan aplikasi, penerapan
proses log-on yang aman, sistem pengelolaan password, pembatasan akses atas penggunaan program utilitas
istimewa, pembatasan akses ke kode sumber program).
Prasyarat : Dokumen bahan tentang kebijakan dan prosedur pengendalian akses
2. Dokumen prosedur pengendalian akses yang minimal terdiri dari:
− Instruksi kerja,
− Diagram workflow,
− Pemetaan RASCI
− Batasan waktu pelaksanaan prosedur
Hasil Kerja : dokumen prosedur pengendalian akses
I.A.023 mendiseminasikan prosedur pengendalian akses
Deskripsi : Melakukan kegiatan diseminasi terkait prosedur pengendalian akses di instantasi dalam bentuk
publikasi, sosialisasi, seminar, lokakarya, konferensi atau workshop
Metodologi : Melaksanakan kegiatan diseminasi sebagai narasumber/ pembahas/pembahas, SNI/ISO 27001
Prasyarat : Dokumen prosedur pengendalian akses
2. Laporan kegiatan diseminasi sekurang-kurangnya terdiri dari Materi diseminasi yang disampaikan dan
daftar hadir
Hasil Kerja : laporan diseminasi prosedur pengendalian akses
I.A.024 melakukan evaluasi penerapan prosedur akses data
Deskripsi : Melakukan kegiatan evaluasi terhadap penerapan prosedur akses data untuk mengetahui efektivitasnya
Metodologi : Monitoring dan evaluasi, SNI/ISO 27001
Prasyarat : 1. SOP otentikasi dan otorisasi akses data bagi pengguna
2. Dokumen hasil implementasi prosedur akses data bagi pengguna
3. Dokumen matriks akses
2. Laporan evaluasi efektivitas penerapan prosedur akses data yang berisi:
a. Lembar Pengesahan
b. Pendahuluan (menguraikan latar belakang serta tujuan evaluasi efektivitas prosedur)
c. Deskripsi mengenai prosedur
d. Hasil pemantauan pelaksanaan prosedur
e. Hasil pengukuran efektivitas prosedur dan dampak pelaksanaan prosedur terhadap peningkatan keamanan
informasi dalam akses data
f. Rekomendasi perbaikan yang diperlukan
g. Kesimpulan dan saran
Hasil Kerja : laporan evaluasi penerapan prosedur akses data
I.A.025 menerapkan persyaratan bisnis untuk pengendalian akses
Deskripsi : Menentukan persyaratan bisnis untuk pengendalian akses untuk membatasi akses ke informasi dan fasilitas
pengolahan informasi. Persyarataan tersebut diterapkan atau dinyatakan kepada setiap pengguna dan
penyedia layanan sebagai ketentuan yang harus dipenuhi dalam rangka pengendalian akses.
Metodologi : Penyusunan dokumen persyaratan/kebijakan/ketentuan, SNI/ISO 27001.
Prasyarat : Dokumen prosedur pengendalian akses, peraturan atau persyaratan lain yang relevan
2. Laporan penerapan persyaratan bisnis untuk pengendalian akses
Hasil Kerja : laporan penerapan persyaratan bisnis untuk pengendalian akses
I.A.026 menyusun dokumen Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam melaksanakan klasifikasi
dan penanganan informasi yang meliputi kegiatan: pengklasifikasian informasi, pelabelan informasi dan
penanganan aset sesuai klasifikasinya.
Metodologi : Penyusunan dokumen prosedur, SNI/ISO 27001.
Prasyarat : Peraturan perundangan dan kebijakan keamanan informasi
2. Dokumen Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi dapat terdiri dari:
a. instruksi kerja,
b. diagram workflow,
c. pemetaan RASCI,
d. batasan waktu pelaksanaan prosedur
3. Dokumen juga harus mendefinisikan jenis atau tingkatan klasifikasi informasi dan penanganannya
Hasil Kerja : dokumen Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
Batasan Penilaian : Maksimal 2 kali dalam 1 tahun atau sesuai dengan kebutuhan
I.A.027 mengklasifikasi informasi
Deskripsi : Melakukan klasifikasi informasi untuk setiap aset sesuai dengan kebijakan, pedoman atau prosedur klasifikasi dan
penanganan informasi yang berlaku di instansi. Klasifikasi informasi harus diterapkan dalam daftar inventaris aset
dan juga dapat diterapkan pada aset itu sendiri
Metodologi : Pelaksanaan prosedur klasifikasi dan penanganan informasi, SNI/ISO 27001
Prasyarat : Dokumen Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
2. Dokumentasi yang berisi pemetaan aset informasi terhadap klasifikasinya berikut retensinya
Hasil Kerja : dokumen klasifikasi informasi
I.A.028 melakukan penanganan informasi berdasarkan klasifikasi
Deskripsi : Melakukan penanganan informasi (termasuk aset) berdasarkan klasifikasi yang telah ditentukan untuk
informasi tersebut. Penanganan informasi dilaksanakan sesuai dengan kebijakan, pedoman atau prosedur
klasifikasi dan penanganan informasi yang berlaku di instansi
Metodologi : Pelaksanaan prosedur klasifikasi dan penanganan informasi, SNI/ISO 27001
Prasyarat : 1. Dokumen Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
2. Dokumentasi yang berisi pemetaan aset informasi terhadap klasifikasinya
Bukti Fisik : Laporan penanganan informasi minimal meliputi:
1. Deskripsi informasi yang ditangani
2. Tingkat klasifikasi informasi yang ditangani beserta retensinya
3. Proses penanganan informasi yang dilakukan
Hasil Kerja : laporan kegiatan penanganan informasi
I.A.029 menyusun rencana konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Deskripsi : Kegiatan penyusunan rencana konsultasi ke Lembaga Sertifikasi Keandalan dalam rangka pengamanan sertifikasi
penyelenggaraan sistem elektronik yang bersifat strategis
Metodologi : SNI/ISO 27001, wawancara, Permenkominfo nomor 4 tahun 2016
Prasyarat : -
2. Dokumen rencana konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Hasil Kerja : dokumen rencana konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Batasan Penilaian : Untuk setiap sistem elektronik yang bersifat strategis
Pelaksana : AHLI UTAMA
I.A.030 melakukan konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Deskripsi : Kegiatan konsultasi sesuai dengan rencana konsultasi yang telah disusun dalam rangka pengamanan
penyelenggaraan sistem elektronik yang bersifat strategis
Prasyarat : -
2. Dokumen laporan konsultasi pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Hasil Kerja : laporan konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
I.A.031 mengevaluasi hasil konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Deskripsi : Kegiatan evaluasi hasil konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Prasyarat : -
2. Dokumen evaluasi konsultasi pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
Hasil Kerja : laporan evaluasi hasil konsultasi terkait pengamanan penyelenggaraan sistem elektronik yang bersifat strategis
I.A.032 mengidentifikasi permasalahan dan menganalisis terkait pengamanan penyelenggaraan sistem elektronik yang bersifat
strategis
Deskripsi : Kegiatan melakukan identifikasi permasalahan dan melakukan analisis terkait pengamanan penyelenggaraan
sistem elektronik yang bersifat strategis serta menganalisis hasilnya meliputi aspek yang dibahas, aplikasi,
basis
data, infrastruktur perangkat, lingkungan operasional, organisasi dan SDM
Metodologi : SNI/ISO 27001, perencanaan, observasi, studi literatur
Prasyarat : -
2. Dokumen hasil identifikasi permasalahan serta analisis terkait pengamanan penyelenggaraan sistem elektronik
yang bersifat strategis
Hasil Kerja : laporan identifikasi permasalahan dan menganalisis terkait pengamanan penyelenggaraan sistem elektronik yang
bersifat strategis
Batasan Penilaian : 12 kali dalam satu tahun untuk setiap aspek yang dibahas pada sistem elektronik yang bersifat strategis
I.A.033 mengkaji kebutuhan keamanan informasi dan standar teknis perlindungan informasi infrastruktur yang kritikal (critical
information infrastructure) di sektor strategis terkait
Deskripsi : Kegiatan memeriksa/menyelidiki kebutuhan keamanan informasi dan standar teknis perlindungan
informasi infrastruktur yang kritikal (critical information infrastructure) di sektor strategis terkait. Kebutuhan
keamanan informasi memperhatikan pihak-pihak yang berkepentingan yang relevan dengan sistem manajemen
keamanan informasi dan persyaratan pihak yang berkepentingan terkait keamanan informasi.
Metodologi : SNI/ISO 27001, wawancara, dan koordinasi
Prasyarat : -
2. Dokumen kajian kebutuhan keamanan informasi
Hasil Kerja : laporan kajian kebutuhan keamanan dan standar teknis perlindungan informasi infrastruktur yang kritikal (critical
information infrastructure) di sektor terkait
Batasan Penilaian : Dilakukan sesuai keperluan
I.A.034 mengumpulkan dan mengkaji rencana kerja induk jangka menengah dan panjang terkait SMKI pada sistem elektronik
strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan mengumpulkan dan melakukan pengkajian terhadap rencana kerja induk jangka menengah dan panjang
sistem manajemen keamanan informasi pada sistem elektronik strategis sekaligus mengkajinya
Metodologi : SNI/ISO 27001, PP Nomor 71 Tahun 2019
Prasyarat : -
2. Bukti-bukti pengumpulan rencana kerja induk jangka terkait menengah & panjang sistem manajemen
keamanan informasi pada sistem elektronik strategis
3. Dokumen yang berisi hasil kajian rencana kerja induk jangka terkait menengah & panjang sistem
manajemen
Hasil Kerja : materi rencana kerja induk jangka menengah & panjang terkait SMKI pada sistem elektronik strategis untuk
pelayanan publik di sektor terkait
Batasan Penilaian : Dilakukan 1 kali dalam 1 tahun atau sesuai dengan keperluan
I.A.035 melakukan penyusunan konsep rencana kerja induk jangka menengah dan panjang terkait SMKI pada sistem elektronik
strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan penyusunan konsep rencana kerja induk jangka menengah dan panjang terkait sistem manajemen
keamanan informasi pada sistem elektronik strategis berdasarkan hasil analisisnya dengan area yang
mencakup
organisasi, SDM, teknologi, dan area lainnya yang relevan
Prasyarat : -
2. Dokumen yang berisi konsep rencana kerja induk jangka terkait menengah & panjang sistem manajemen
Hasil Kerja : konsep rencana kerja induk jangka menengah dan panjang terkait SMKI pada sistem elektronik strategis untuk
Batasan Penilaian : Dilakukan sesuai dengan keperluan sistem elektronik yang ada dengan memperhatikan cakupan area diatas
I.A.036 menyusun rencana kerja induk jangka menengah dan panjang terkait SMKI pada sistem elektronik strategis untuk pelayanan
publik di sektor terkait
Deskripsi : Kegiatan penyusunan rencana kerja induk jangka menengah dan panjang terkait sistem manajemen
keamanan informasi pada sistem elektronik strategis berdasarkan hasil analisisnya dengan area yang
mencakup organisasi, SDM, teknologi, dan area lainnya yang relevan
Prasyarat : -
2. Dokumen yang berisikan rencana kerja induk jangka terkait menengah dan panjang sistem
manajemen keamanan informasi pada sistem elektronik strategis
Hasil Kerja : dokumen rencana kerja induk terkait keamanan informasi sistem elektronik untuk pelayanan publik dan sektor
strategis terkait
I.A.037 menyusun kerangka kerja penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan penyusunan kerangka kerja penerapan sistem manajemen keamanan informasi untuk sistem
elektronik pelayanan publik berkategori strategis di sektor terkait.
Metodologi : SNI/ISO 27001, Permenkominfo Nomor 4 Tahun 2016
Prasyarat : -
2. Dokumen yang
berisikan kerangka kerja penerapan sistem manajemen keamanan informasi pada sistem elektronik str
ategis untuk pelayanan publik di sektor terkait
Hasil Kerja : konsep kerangka kerja penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Batasan Penilaian : Dilakukan 1 kali dalam 1 tahun atau sesuai keperluan apabila ada perubahan sistem elektronik atau
peraturan
baru
I.A.038 menyusun persyaratan teknis kelaikan sistem elektronik strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan penyusunan persyaratan teknis terhadap kalayakan sistem elektronik strategis untuk pelayanan publik
Metodologi : ISO SNI 2700 dan PP Nomor 71 Tahun 2019
Prasyarat : -
2. Dokumen yang berisi persyaratan teknis kelayakan sistem elektronik strategis.
Hasil Kerja : konsep persyaratan teknis kelaikan sistem elektronik strategis untuk pelayanan publik di sektor terkait
I.A.039 mengidentifikasi dan menganalisis sistem elektronik strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan mengidentifikasi dan menilai sistem elektronik dengan kategori strategis di sektor terkait. Identifikasi dan
analisis dapat dilaksanakan dengan berpedoman pada Permenkominfo Nomor 4 Tahun 2016 tentang Sistem
Manajemen Penerapan Informasi
Prasyarat : -
2. Dokumen yang berisi hasil identifikasi dan anaisis sistem elektronik strategis untuk pelayanan publik di sektor
terkait
Hasil Kerja : dokumen hasil identifikasi dan analisis sistem elektronik strategis untuk pelayanan publik di sektor terkait
Batasan Penilaian : Satu kali dalam satu tahun atau sesuai dengan keperluan
I.A.040 menyusun strategi penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan penyusunan strategi penerapan sistem manajemen keamanan informasi pada sistem elektronik berkategori
strategis untuk pelayanan publik di sektor terkait.
Prasyarat : -
2. Dokumen yang berisi strategi penerapan sistem manajemen keamanan informasi pada sistem elektronik strategis
untuk pelayanan publik di sektor terkait
Hasil Kerja : konsep strategi penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
peraturan
baru
I.A.041 mengidentifikasi permasalahan dan kebutuhan keamanan informasi penerapan SMKI pada sistem elektronik strategis untuk
Deskripsi : Kegiatan mengidentifikasi permasalahan dan kebutuhan keamanan informasi penerapan sistem
manajemen keamanan informasi untuk sistem elektronik pelayanan publik berkategori strategis di sektor terkait
Prasyarat : -
2. Dokumen yang berisi hasil identifikasi permasalahan dan kebutuhan keamanan informasi penerapan
sistem manajemen keamanan informasi pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Hasil Kerja : dokumen hasil identifikasi permasalahan dan kebutuhan keamanan informasi penerapan SMKI pada sistem
elektronik strategis untuk pelayanan publik di sektor terkait
peraturan
baru
I.A.042 menyusun rencana evaluasi penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan penyusunan rencana evaluasi penilaian/pemantauan/pengukuran kinerja penerapan sistem manajemen
keamanan informasi pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Prasyarat : -
2. Dokumen yang berisikan rencana kerja induk jangka terkait menengah dan panjang sistem
manajemen keamanan informasi pada sistem elektronik strategis
Hasil Kerja : dokumen rencana evaluasi penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor
terkait
I.A.043 melakukan evaluasi penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Deskripsi : Kegiatan penilaian/pemantauan/pengukuran kinerja penerapan sistem manajemen keamanan informasi pada
sistem elektronik strategis untuk pelayanan publik di sektor terkait
Metodologi : SNI/ISO 27001, monitoring dan evaluasi
Prasyarat : -
2. Bukti dokumen yang berisi evaluasi penerapan sistem manajemen keamanan informasi di sektor terkait,
diantaranya berisi tentang:
a. Kriteria Pemantauan/Pengukuran Evaluasi;
b. Metode Pemantauan/Pengukuran Evaluasi;
c. Waktu Pemantauan;
d. Pihak yang terlibat dalam pelaksanaan pemantauan; dan
e. Analisis hasil pemantauan.
Hasil Kerja : laporan evaluasi penerapan SMKI pada sistem elektronik strategis untuk pelayanan publik di sektor terkait
Batasan Penilaian : Dilakukan setiap triwulan terhadap satu sistem elektronik strategis di sektor terkait
I.A.044 menganalisis dan menyusun program peningkatan kinerja SMKI terhadap penyelenggaraan sistem elektronik untuk pelayanan
publik
Deskripsi : Kegiatan menilai dan penyusunan program peningkatan kinerja sistem manajemen keamanan informasi terhadap
penyelenggaraan sistem elektronik untuk pelayanan publik berdasarkan laporan hasil identifikasi
program peningkatan kinerja sistem manajemen keamanan informasi terhadap penyelenggaraan sistem
elektronik untuk pelayanan publik. Program peningkatan kinerja sistem manajemen keamanan informasi
setidaknya berisi sumber
peningkatan, usulan peningkatan, tujuan peningkatan, target waktu, penanggung jawab peningkatan
Metodologi : SNI/ISO 27001, Observasi
Prasyarat : -
2. Dokumen program peningkatan kinerja sistem manajemen keamanan informasi terhadap penyelenggaraan
Hasil Kerja : laporan hasil analisis dan dokumen program peningkatan kinerja SMKI
Batasan Penilaian : 2 kali dalam satu tahun setiap ada laporan hasil identifikasi
I.A.045 mengidentifikasi mekanisme pengukuran sasaran kinerja SMKI dalam rangka penyelenggaraan sistem elektronik untuk
pelayanan publik
Deskripsi : Melaksanakan identifikasi mekanisme pengukuran sasaran kinerja dalam melaksanakan sistem
manajemen keamanan informasi dalam rangka penyelenggaraan sistem elektronik untuk pelayanan publik
Metodologi : SNI/ISO 27001, identifikasi, observasi
Prasyarat : Dokumen IKU, SOP atau kebijakan SMKI
2. Dokumen hasil identifikasi mekanisme pengukuran sasaran kinerja sistem manajemen keamanan informasi
dalam rangka penyelenggaraan sistem elektronik untuk pelayanan publik
Hasil Kerja : laporan identifikasi mekanisme pengukuran sasaran kinerja SMKI
Batasan Penilaian : 1 kali dalam satu tahun atau sesuai dengan kebutuhan
I.A.046 mengidentifikasi sasaran kinerja SMKI dalam rangka penyelenggaraan sistem elektronik untuk pelayanan publik
Deskripsi : Mengidentifikasi Sasaran Kinerja sistem manajemen keamanan informasi dalam rangka penyelenggaraan
sistem elektronik untuk pelayanan publik adalah melaksanakan identifikasi apa saja yang menjadi sasaran kinerja
dalam melaksanakan sistem manajemen keamanan informasi dalam rangka penyelenggaraan sistem elektronik
untuk
pelayanan publik
Metodologi : SNI/ISO 27001, identifikasi, observasi
Prasyarat : Dokumen IKU dan SOP/kebijakan SMKI
2. Dokumen hasil identifikasi sasaran kinerja sistem manajemen keamanan informasi dalam
rangka penyelenggaraan sistem elektronik untuk pelayanan publik
Hasil Kerja : laporan identifikasi sasaran kinerja SMKI
Batasan Penilaian : 1 kali dalam satu tahun atau sesuai dengan kebutuhan/perubahan
I.A.047 mengidentifikasi program peningkatan kinerja SMKI terhadap penyelenggaraan sistem elektronik untuk pelayanan publik
Deskripsi : Melakukan kegiatan identifikasi hal-hal yang mendukung dalam peningkatan kinerja sistem manajemen keamanan
informasi terhadap penyelenggaraan sistem elektronik untuk pelayanan publik. Program peningkatan kinerja SMKI
dapat berasal dari hasil audit internal/eksternal yang bersifat improvement, hasil pemantauan implementasi SMKI,
hasil reviu manajemen terhadap implementasi SMKI atau arahan pimpinan, masukan stakeholder atau hasil survei,
dan lain-lain
Metodologi : SNI/ISO 27001, observasi
Prasyarat : -
2. Dokumen identifikasi program peningkatan kinerja sistem manajemen keamanan informasi
terhadap penyelenggaraan sistem elektronik untuk pelayanan publik
Hasil Kerja : draft program peningkatan kinerja SMKI
Batasan Penilaian : Minimal 1 kali dalam satu tahun atau apabila ada perubahan
I.A.048 melakukan evaluasi program peningkatan kinerja SMKI terhadap penyelenggaraan sistem elektronik untuk pelayanan publik
Deskripsi : Melaksanakan evaluasi hasil kegiatan program peningkatan kinerja sistem manajemen keamanan
informasi terhadap penyelenggaraan sistem elektronik untuk pelayanan publik, evaluasi dilakukan terhadap
pelaksanaan kegiatan/program peningkatan maupun efektivitas hasil program peningkatan kinerja sistem
manajemen keamanan
informasi
Metodologi : SNI/ISO 27001, pemantauan, wawancara
Prasyarat : -
2. Dokumen evaluasi program peningkatan kinerja sistem manajemen keamanan informasi
terhadap penyelenggaraan sistem elektronik untuk pelayanan publik
Hasil Kerja : laporan evaluasi program peningkatan kinerja SMKI
Batasan Penilaian : Triwulanan atau setiap ada kegiatan program peningkatan kinerja sistem manajemen keamanan informasi terhadap
penyelenggaraan sistem elektronik untuk pelayanan publik
I.A.049 menyiapkan koordinasi dalam rangka penerapan SMKI dengan satuan kerja lain
Deskripsi : Menyusun langkah-langkah yang diperlukan dan melaksanakan koordinasi dengan satuan kerja lain dengan tujuan
untuk menyelaraskan penerapan SMKI antar satuan kerja sehingga tercapai penerapan SMKI yang efektif
dalam suatu instansi.
Metodologi : Pelaksanaan koordinasi formal, SNI/ISO 27001
Prasyarat : Peraturan atau kebijakan keamanan informasi
2. Laporan hasil koordinasi yang sekurang-kurangnya berisi:
• Undangan rapat
• Notula rapat yang berisi catatan jalannya rapat disertai dengan catatan keputusan rapat.
• Daftar hadir peserta rapat. Kehadiran dalam rapat melibatkan peserta yang berasal lebih dari 1 satuan kerja
dalam instansi
Hasil Kerja : laporan koordinasi untuk penerapan SMKI dengan satuan kerja lain
I.A.050 melakukan analisis kinerja penerapan SMKI sesuai dengan parameter yang telah ditentukan
Deskripsi : Melakukan analisis/penelitian atas kinerja implementasi penerapan sistem manajemen keamanan informasi sesuai
dengan parameter yang telah ditentukan. Parameter bisa ditetapkan melalui sasaran penerapan sistem manajemen
keamanan informasi sesuai dengan parameter
Metodologi : SNI/ISO 27001, identifikasi, observasi, analisis
Prasyarat : Dokumen sasaran dan mekanisme pengukuran sasaran kinerja sistem manajemen keamanan informasi
dalam rangka penyelenggaraan sistem elektronik untuk pelayanan publik
2. Dokumen yang berisi terkait hasil analisis kinerja penerapan sistem manajemen keamanan informasi
sesuai dengan parameter yang telah ditentukan
Hasil Kerja : laporan analisis kinerja penerapan SMKI sesuai dengan parameter yang telah ditentukan
Batasan Penilaian : Maksimal 4 kali dalam satu tahun
I.A.051 menyusun sasaran dan target kinerja utama SMKI di sektor terkait
Deskripsi : Kegiatan penyusunan sasaran dan target kinerja utama sistem manajemen keamanan informasi di sektor
terkait
berdasarkan proses analisis sasaran dan target kinerja utama sistem manajemen keamanan informasi di
sektor terkait
Metodologi : SNI/ISO 27001, perencanaan, ISO 31000
Prasyarat : -
2. Bukti dokumen yang berisi hasil analisis sasaran dan target kinerja utama sistem manajemen keamanan
informasi di sektor terkait, diantaranya berisi tentang:
a. Apa yang dilakukan;
b. Sumber daya yang diperlukan;
c. Pihak yang bertanggung jawab;
d. Waktu penyelesaian;dan
e. Bagaimana hasilnya akan dievaluasi.
Hasil Kerja : dokumen sasaran dan target kinerja utama terkait pengelolaan keamanan informasi nasional
Batasan Penilaian : Satu kali dalam satu tahun untuk setiap satuan kerja
I.A.052 membuat desain strategi dan kebijakan SMKI di sektor terkait
Deskripsi : Kegiatan membuat rancangan arah dan kebijakan sistem manajemen keamanan informasi terkait kesesuaian
dengan tujuan instansi, mencakup sasaran keamanan informasi, komitmen untuk memenuhi persyaratan
yang berlaku, dan komitmen untuk perbaikan berkelanjutan.
Prasyarat : -
2. Dokumen yang berisi desain strategi dan kebijakan sistem manajemen keamanan informasi di sektor terkait
Hasil Kerja : desain strategi dan kebijakan SMKI di sektor terkait
Batasan Penilaian : Sesuai keperluan sektor terkait
I.A.053 melakukan analisis sasaran dan target kinerja utama SMKI di sektor terkait
Deskripsi : Kegiatan menganalisis/menilai sasaran dan target kinerja utama sistem manajemen keamanan informasi di sektor
terkait yang akan dilaksanakan. Sasaran keamanan informasi harus konsisten dengan kebijakan
keamanan informasi, dapat diukur, mempertimbangkan persyaratan keamanan informasi yang berlaku, dan hasil
dari penilaian
risiko dan penanganan risiko, dikomunikasikan, diperbaharui jika diperlukan.
Prasyarat : -
2. Bukti dokumen yang berisi hasil analisis sasaran dan target kinerja utama sistem manajemen keamanan
informasi di sektor terkait, diantaranya berisi tentang:
a. Apa yang dilakukan;
b. Sumber daya yang diperlukan;
c. Pihak yang bertanggung jawab;
d. Waktu penyelesaian; dan
e. Bagaimana hasilnya akan dievaluasi.
Hasil Kerja : dokumen hasil analisis sasaran dan target kinerja utama SMKI di sektor terkait
Batasan Penilaian : Satu kali dalam satu tahun untuk setiap satuan kerja
I.A.054 melakukan evaluasi penerapan SMKI di sektor terkait
Deskripsi : Kegiatan penilaian/pemantauan/pengukuran kinerja penerapan sistem manajemen keamanan informasi pada
sektor terkait
Prasyarat : -
2. Bukti dokumen yang berisi hasil perencanaan pemantauan pelaksanaan keamanan informasi di
instansi, diantaranya berisi tentang:
Hasil Kerja : laporan evaluasi penerapan SMKI di sektor terkait
Batasan Penilaian : Maksimal per triwulan
I.A.055 melakukan evaluasi tingkat efektifitas dan efisiensi penerapan SMKI di sektor terkait
Deskripsi : Kegiatan melaksanakan evaluasi/penilaian atas hasil pengukuran efektivitas dan efisiensi penerapan
sistem manajemen keamanan informasi di sektor terkait.
Prasyarat : -
2. Dokumen yang berisi hasil evaluasi tingkat efektivitas dan efisiensi penerapan sistem manajemen
keamanan informasi di sektor terkait
Hasil Kerja : laporan evaluasi tingkat efektifitas dan efisiensi penerapan SMKI di sektor terkait
I.A.056 membuat rekomendasi strategi dan kebijakan SMKI di sektor terkait
Deskripsi : Kegiatan menganalisis desain strategi dan kebijakan sistem manajemen keamanan informasi di sektor terkait
berdasarkan desain yang telah dirancang sebelumnya, hingga menghasilkan suatu rekomendasi
Prasyarat : -
2. Dokumen yang berisi rekomendasi desain strategi dan kebijakan sistem manajemen keamanan informasi di
sektor terkait
Hasil Kerja : dokumen rekomendasi strategi dan kebijakan SMKI di sektor terkait
I.A.057 melakukan koordinasi penyusunan rencana kerja induk SMKI di sektor terkait
Deskripsi : Kegiatan melaksanakan koordinasi penyusunan rencana kerja induk sistem manajemen keamanan informasi
di
sektor terkait. Penyusunan rencana kerja mempertimbangkan strategi dan kebijakan keamanan informasi yang
telah disusun/ditetapkan sebelumnya oleh pihak-pihak yang terkait
Prasyarat : -
2. Undangan kegiatan koordinasi penyusunan rencana kerja induk sistem manajemen keamanan serta daftar hadir
kegiatan koordinasi
3. Dokumen yang berisi hasil koordinasi penyusunan rencana kerja induk sistem manajemen keamanan informasi
Hasil Kerja : laporan koordinasi penyusunan rencana kerja induk SMKI di sektor terkait
I.A.058 membuat rencana analisis tingkat kematangan penerapan SMKI di sektor terkait
Deskripsi : Kegiatan merencanakan analisis tingkat kematangan penerapan sistem manajemen keamanan di sektor
terkait sehingga menghasilkan suatu rekomendasi
Prasyarat : -
2. Dokumen yang berisi rencana analisis tingkat kematangan penerapan sistem manajemen keamanan
informasi di sektor terkait
Hasil Kerja : dokumen perencanaan tingkat kematangan keamanan informasi di instansi
I.A.059 merencanakan penilaian tingkat kematangan penerapan SMKI di sektor terkait
Deskripsi : Kegiatan perencanaan penilaian tingkat kematangan penerapan sistem manajemen keamanan informasi di
sektor terkait
Prasyarat : -
2. Dokumen yang berisi tentang rencana perencanaan penilaian tingkat kematangan penerapan sistem manajemen
keamanan informasi di sektor terkait
Hasil Kerja : dokumen rencana penilaian tingkat kematangan penerapan SMKI di sektor terkait
I.A.060 mengukur tingkat kematangan keamanan informasi di setiap area
Deskripsi : Kegiatan mengukur sejauh mana kematangan/kesiapan penerapan keamanan informasi di setiap area
Prasyarat : -
2. Dokumen yang berisi hasil pengukuran tingkat kematangan keamanan informasi di setiap area
Hasil Kerja : laporan pengukuran tingkat kematangan keamanan informasi di setiap area
Batasan Penilaian : Maksimal per triwulan untuk setiap area
I.A.061 mengukur efektifitas dan efisiensi keamanan informasi di setiap area
Deskripsi : Kegiatan pengukuran efektivitas dan efisiensi penerapan keamanan informasi di setiap area menggunakan metode
yang telah ditentukan sebelumnya
Prasyarat : -
2. Dokumen yang berisi hasil pengukuran efektivitas dan efisiensi keamanan informasi di setiap area
yang disampaikan kepada pimpinan
Hasil Kerja : laporan pengukuran efektifitas dan efisiensi keamanan informasi di setiap area
I.A.062 melakukan analisis tingkat kematangan penerapan SMKI di sektor terkait
Deskripsi : Kegiatan analisis tingkat kematangan penerapan sistem manajemen keamanan informasi di sektor terkait
Prasyarat : -
2. Dokumen yang berisi hasil analisis tingkat kematangan penerapan sistem manajemen keamanan informasi
di sektor terkait
Hasil Kerja : laporan analisis tingkat kematangan penerapan SMKI di sektor terkait
Batasan Penilaian : Dilakukan setiap triwulan terhadap penerapan pada sektor terkait
I.A.063 menganalisis tingkat kematangan penerapan SMKI di sektor terkait
Deskripsi : Kegiatan mengukur sejauh mana kematangan/kesiapan penerapan keamanan informasi di sektor terkait
Prasyarat : -
2. Dokumen yang berisi hasil analisis tingkat kematangan keamanan informasi di sektor terkait
Hasil Kerja : dokumen hasil analisis tingkat kematangan penerapan SMKI di sektor terkait
I.A.064 melakukan validasi hasil analisis tingkat kematangan penerapan SMKI di sektor terkait
Deskripsi : Kegiatan pengesahan terhadap validasi hasil analisis tingkat kematangan penerapan sistem manajemen keamanan
Prasyarat : -
2. Dokumen yang berisi validasi hasil analisis tingkat kematangan penerapan sistem manajemen keamanan
Hasil Kerja : laporan validasi hasil analisis tingkat kematangan tingkat kematangan penerapan SMKI di sektor terkait
Batasan Penilaian : Dilakukan setiap triwulan terhadap penerapan pada sektor terkait
I.A.065 merencanakan penelitian dan pengembangan model atau kerangka kerja baru terkait SMKI
Deskripsi : Melakukan kegiatan perencanaan penelitian kerangka kerja (framework) evaluasi dan pengembangan model
atau kerangka kerja baru terkait sistem manajemen keamanan informasi. Model atau kerangka kerja yang
terdiri dari beberapa aspek: teknologi, organisasi, SDM dan sumber daya lain. Dokumen rencana berisi ruang
lingkup, tujuan, metodologi, model atau kerangka kerja, waktu pelaksanaan, dan pihak yang terlibat.
Metodologi : SNI/ISO 27001, Observasi
Prasyarat : -
2. Dokumen rencana kegiatan penelitian dan pengembangan model/kerangka kerja baru terkait SMKI
Hasil Kerja : dokumen perencanaan penelitian dan pengembangan model atau kerangka kerja baru terkait SMKI
Batasan Penilaian : 2 kali dalam satu tahun untuk setiap aspek kerangka kerja yang tertuang di kerangka kerja
I.A.066 melakukan koordinasi dengan stakeholder terkait dalam rangka penelitian dan pengembangan model atau kerangka kerja
baru tentang SMKI
Deskripsi : Melakukan koordinasi dengan stakeholder terkait dalam rangka penelitian dan pengembangan model atau kerangka
kerja baru tentang sistem manajemen keamanan informasi untuk menggali kebutuhan dan konsen dari stakeholder
terkait.
Metodologi : SNI/ISO 27001, wawancara, rapat pembahasan
Prasyarat : -
2. Dokumen hasil koordinasi dengan stakeholder terkait dalam rangka penelitian dan pengembangan model
atau kerangka kerja baru tentang sistem manajemen keamanan informasi sekurang-kurangnya berisi notula
hasil koordinasi dan daftar hadir
Hasil Kerja : laporan koordinasi dengan stakeholder terkait dalam rangka penelitian dan pengembangan model atau kerangka
kerja baru tentang SMKI
Batasan Penilaian : 4 kali dalam satu tahun setiap melakukan koordinasi dalam rangka pengembangan framework
I.A.067 membuat model atau kerangka kerja baru terkait SMKI
Deskripsi : Kegiatan penyusunan model atau kerangka kerja baru terkait sistem manajemen keamanan informasi. Model atau
kerangka kerja setidaknya berisi judul, latar belakang, permasalahan, studi literatur, model atau Kerangka
kerja yang terdiri dari beberapa aspek yaitu teknologi, organisasi, SDM dan sumber daya lain, dan kesimpulan
Metodologi : SNI/ISO 27001, observasi
Prasyarat : -
2. Dokumen model atau kerangka kerja baru terkait sistem manajemen keamanan informasi
Hasil Kerja : dokumen model atau kerangka kerja baru terkait SMKI
Batasan Penilaian : 4 kali dalam satu tahun untuk setiap aspek kerangka kerja yang tertuang di deskripsi
I.A.068 menyiapkan bahan kaji ulang kerangka kerja dalam rangka penyelenggaraan sistem elektronik untuk pelayanan publik
Deskripsi : Menyiapkan bahan kaji ulang kerangka kerja dalam rangka penyelenggaraan sistem elektronik untuk
pelayanan publik adalah kegitan penyiapan bahan yang dibutuhkan untuk melaksanakan kegiatan mengkaji ulang
Kerangka Kerja sistem manajemen keamanan informasi dalam rangka penyelenggaraan sistem elektronik
untuk pelayanan publik
Prasyarat : Laporan hasil kegiatan penerapaan SMKI yang disetujui oleh atasan langsung
2. Dokumen hasil penyiapan bahan kaji ulang kerangka kerja dalam rangka penyelenggaraan sistem
elektronik untuk pelayanan publik
Hasil Kerja : bahan kaji ulang kerangka kerja keamanan informasi
I.A.069 mengkaji ulang kerangka kerja SMKI dalam rangka penyelenggaraan sistem elektronik untuk pelayanan publik
Deskripsi : Mengkaji ulang Kerangka Kerja sistem manajemen keamanan informasi dalam rangka penyelenggaraan sistem
elektronik untuk pelayanan publik adalah kegiatan menganalisis kembali keefektifan kerangka kerja
sistem manajemen keamanan informasi dalam rangka penyelenggaraan sistem elektronik untuk pelayanan
publik yang saat ini digunakan/diterapan
Prasyarat : Dokumen hasil penyiapan bahan kaji ulang kerangka kerja dalam rangka penyelenggaraan sistem elektronik untuk
pelayanan publik
2. Dokumen hasil kajian ulang Kerangka Kerja sistem manajemen keamanan informasi dalam
rangka penyelenggaraan sistem elektronik untuk pelayanan publik
Hasil Kerja : dokumen hasil kaji ulang kerangka kerja keamanan informasi
I.A.070 merencanakan kegiatan peningkatan kepedulian pengamanan penyelenggaraan sistem elektronik di sektor terkait
Deskripsi : Melakukan perencanaan kegiatan untuk peningkatan kepedulian terkait pengamanan penyelenggaraan sistem
elektronik di sektor terkait yang sekurang-kurangnya meliputi metode (sosialisasi/workshop, dll), waktu
pelaksanaan, sasaran/audien, ruang lingkup sistem elektronik, dll
Prasyarat : -
2. Dokumen rencana kegiatan peningkatan kepedulian pengamanan penyelenggaraan sistem elektronik
Hasil Kerja : dokumen perencanaan kegiatan peningkatan kepedulian pengamanan penyelenggaraan sistem elektronik di sektor
terkait
Batasan Penilaian : Sesuai kebutuhan pada sektor terkait atau ruang lingkup sistem elektronik
I.A.071 melaksanakan kegiatan peningkatan kepedulian pengamanan penyelenggaraan sistem elektronik di sektor terkait
Deskripsi : Melaksanakan kegiatan peningkatan kepedulian pengamanan penyelenggaraan sistem elektronik di sektor
terkait berdasarkan perencanaan kegiatan sebelumnya
Prasyarat : -
2. Dokumen laporan yang berisi hasil pelaksanaan kegiatan peningkatan kepedulian pengamanan penyelenggaraan
sistem elektronik sekurang-kurangnya berisi materi dan daftar hadir
Hasil Kerja : laporan pelaksanaan kegiatan peningkatan kepedulian pengamanan penyelenggaraan sistem elektronik di sektor
terkait
Batasan Penilaian : Sesuai kebutuhan pada sektor terkait atau ruang lingkup sistem elektronik
I.A.072 menilai akurasi dan efektivitas pengukuran kinerja sistem keamanan fisik, dan membuat rekomendasi untuk perbaikannya
Deskripsi : Melakukan kegiatan pengawasan terhadap akurasi dan efektivitas pengukuran kinerja sistem keamanan fisik
sehingga menghasilkan suatu rekomendasi untuk perbaikan. Unsurnya meliputi:
a. Penilaian akurasi sistem keamanan fisik
b. Penilaian efektivitas pengukuran kinerja sistem keamanan fisik
c. Analisis gap kesesuaian
d. Rekomendasi perbaikan
Metodologi : SNI/ISO/IEC 27001, Gap Analysis
Prasyarat : ISO prosedur untuk perbaikannya, peraturan atau akurasi lain yang relevan
2. Dokumen yang berisi hasil penilaian akurasi dan efektivitas pengukuran kinerja sistem keamanan fisik
3. Dokumen yang berisi hasil rekomendasi penilaian akurasi dan efektivitas pengukuran kinerja sistem keamanan
fisik
Hasil Kerja : laporan penilaian akurasi dan efektivitas pengukuran kinerja sistem keamanan fisik beserta dokumen rekomendasi
I.A.073 mengidentifikasi persyaratan atau standar eksternal terkait penerapan SMKI
Deskripsi : Melaksanakan identifikasi hal-hal yang menjadi persyaratan atau standar eksternal terkait penerapan
siste manajemen keamanan informasi. Persyaratan atau standar eksternal dapat berupa regulasi/peraturan,
kontra EULA, ataupun standar baik nasional maupun internasional
Metodologi : Studi literatur
Prasyarat : -
2. Dokumen identifikasi persyaratan atau standar eksternal terkait penerapan sistem manajemen keamanan
informasi
Hasil Kerja : dokumen persyaratan atau standar eksternal
Batasan Penilaian : 4 kali dalam satu tahun setiap ada persyaratan atau standar eksternal terkait penerapan sistem manajemen
keamanan informasi
I.A.074 menyusun kebijakan dan standar operasional prosedur SMKI terhadap penyelenggaraan sistem elektronik untuk pelayanan
publik sesuai dengan praktik terbaik (best practices)
Deskripsi : Kegiatan membuat kebijakan dan standar operasional prosedur sistem manajemen keamanan informasi
terhadap penyelenggaraan sistem elektronik untuk pelayanan publik sesuai dengan best practices meliputi area
pada annex SMKI 5-18
Metodologi : SNI/ISO 27001, studi literatur, wawancara
Prasyarat : Minimal telah melalui proses legal drafting
2. Dokumen kebijakan dan standar operasional prosedur sistem manajemen keamanan informasi
terhadap penyelenggaraan sistem elektronik untuk pelayanan publik sesuai dengan best practices
Hasil Kerja : dokumen kebijakan dan standar operasional prosedur SMKI
Batasan Penilaian : 4 kali dalam satu tahun atau sesuai dengan area pada annex SMKI
I.A.075 melaksanakan kebijakan dan SOP SMKI terhadap penyelenggaraan sistem elektronik untuk pelayanan publik
Deskripsi : Melaksanakan kebijakan dan SOP sistem manajemen keamanan informasi terhadap penyelenggaraan
sistem elektronik untuk pelayanan publik sesuai dengan praktik terbaik (best practices)
Prasyarat : SOP atau kebijakan SMKI
2. Laporan hasil kegiatan penerapaan SMKI yang disetujui oleh atasan langsung
Hasil Kerja : laporan pelaksanaan kebijakan dan standar operasional prosedur SMKI
Batasan Penilaian : 2 kali dalam satu tahun atau sesuai kebutuhan
I.A.076 mengembangkan kebijakan manajemen risiko keamanan informasi terkait dengan penyelenggaraan sistem elektronik untuk
Deskripsi : Kegiatan mengembangkan/membangun kebijakan manajemen risiko sebagai penanganan risiko terkait keamanan
informasi terkait dengan penyelenggaraan sistem elektronik untuk pelayanan publik di sektor terkait (setiap sistem
elektronik memiliki risiko yang berbeda)
Prasyarat : -
2. Dokumen yang berisi kebijakan manajemen risiko (tindakan untuk menangani risiko dan peluang)
keamanan informasi terkait dengan penyelenggaraan sistem elektronik untuk pelayanan publik di sektor terkait
3. Dokumen yang telah ditandatangani oleh kepala satuan kerja
Hasil Kerja : kebijakan manajemen risiko keamanan informasi di sektor terkait
Batasan Penilaian : Apabila ada perubahan sistem elektronik baru/peraturan
I.A.077 menganalisis risiko pada fasilitas fisik dan lingkungan
Deskripsi : Melakukan kegiatan menilai risiko pada pada fasilitas fisik dan lingkungan yang meliputi tahapan sebagai berikut:
− Identifikasi risiko
− Analisis risiko
− Evaluasi risiko
Metodologi : SNI/ISO/IEC 27005, ISO 31000
Prasyarat : Dokumen Risk register, Matriks Risiko
2. Dokumen yang berisi hasil analisis risiko pada fasilitas fisik dan lingkungan
Hasil Kerja : laporan penilaian ancaman dan kerentanan
Batasan Penilaian : Dilakukan satu kali dalam 1 tahun atau setiap ada kebutuhan atau setiap siklus penilaian risiko organisasi
I.A.078 mengumpulkan dan mengkaji data referensi dan hasil pengelolaan keamanan informasi pada instansi
Deskripsi : Kegiatan menghimpun dan menganalisis data referensi dan hasil pengelolaan keamanan informasi pada
instansi sebagai panduan dalam penerapan pengelolaan keamanan informasi pada suatu instansi
Prasyarat : -
2. Bukti-bukti dukung data referensi dan hasil pengelolaan keamanan informasi pada instansi
3. Dokumen yang berisi hasil analisis pengelolaan keamanan informasi pada suatu instansi
Hasil Kerja : laporan kajian kondisi berjalan dan kebutuhan pengamanan informasi
I.A.079 menganalisis kesenjangan kondisi saat ini terhadap standar dan prosedur SMKI
Deskripsi : Menganalisis kesenjangan setelah diterapkan sistem manajemen keamanan informasi dengan standar dan prosedur
sistem manajemen keamanan informasi, hingga dihasilkan rekomendasi perbaikan atas kesenjangan tersebut
Prasyarat : Dokumen hasil analisis kinerja penerapan sistem manajemen keamanan informasi sesuai dengan parameter yang
telah ditentukan
2. Dokumen yang berisi sekurang-kurangnya hasil kesenjangan terhadap kondisi saat ini dan
rekomendasi perbaikan terhadap standar dan prosedur sistem manajemen keamanan informasi yang disetujui
oleh atasan langsung
Hasil Kerja : Laporan hasil analisis kesenjangan kondisi saat ini terhadap standar dan prosedur SMKI
I.A.080 menyusun rencana kerja induk jangka menengah atau panjang terkait pengelolaan keamanan informasi nasional
Deskripsi : Kegiatan melaksanakan koordinasi penyusunan rencana kerja induk sistem manajemen keamanan informasi
di lingkup nasional. Penyusunan rencana kerja mempertimbangkan strategi dan kebijakan keamanan informasi
lingkup nasional yang telah disusun/ditetapkan sebelumnya oleh pihak-pihak yang terkait
Prasyarat : -
2. Undangan kegiatan koordinasi rencana kerja induk jangka menengah atau panjang terkait pengelolaan
keamanan informasi nasional serta daftar hadir kegiatan koordinasi
3. Dokumen yang berisi hasil koordinasi penyusunan rencana kerja induk jangka menengah atau panjang
terkait
pengelolaan keamanan informasi nasional
Hasil Kerja : dokumen rencana kerja induk jangka menengah/panjang
I.A.081 menyusun kerangka kerja di bidang SMKI
Deskripsi : Kegiatan penyusunan kerangka kerja sebagai acuan kerja di bidang sistem manajemen keamanan informasi.
Kerangka kerja setidaknya berisi judul, latar belakang, permasalahan, studi literatur, model atau Kerangka
kerja yang terdiri dari beberapa aspek: teknologi, organisasi, SDM dan sumber daya lain, dan kesimpulan
Metodologi : SNI/ISO 27001, NIST, COBIT, dll
Prasyarat : -
2. Dokumen kerangka kerja di bidang sistem manajemen keamanan informasi
Hasil Kerja : rancangan kerangka kerja di bidang SMKI
Batasan Penilaian : 4 kali dalam satu tahun untuk setiap aspek kerangka kerja yang tertuang di kerangka kerjai
I.A.082 mengidentifikasi kebijakan keamanan data terkait penerapan SMKI sesuai dengan tingkat risiko sistem elektronik
Deskripsi : Mengidentifikasi kebijakan keamanan data terkait penerapan sistem manajemen keamanan informasi sesuai dengan
tingkat risiko sistem elektronik adalah kegiatan mengidentifikasi kebijakan keamanan data yang dapat digunakan
dalam penerapan sistem manajemen keamanan informasi sesuai dengan tingkat risiko sistem elektronik
Metodologi : Studi literatur, SNI/ISO 27001, identifikasi, ISO 31000
Prasyarat : -
2. Dokumen hasil identifikasi kebijakan keamanan data terkait penerapan sistem manajemen keamanan informasi
sesuai dengan tingkat risiko sistem elektronik
Hasil Kerja : laporan identifikasi kebijakan keamanan data terkait penerapan SMKI sesuai dengan tingkat risiko sistem elektronik
I.A.083 menyusun kebijakan keamanan data terkait penerapan SMKI sesuai dengan tingkat risiko sistem elektronik
Deskripsi : Menyusun kebijakan keamanan data terkait penerapan sistem manajemen keamanan informasi sesuai dengan
tingkat risiko sistem elektronik adalah kegiatan penyusunan kebijakan keamanan data terkait penerapan
sistem manajemen keamanan informasi sesuai dengan tingkat risiko sistem elektronik
Metodologi : SNI/ISO 27001, ISO 31000
Prasyarat : 1. Dokumen hasil identifikasi kebijakan keamanan data terkait penerapan sistem manajemen keamanan informasi
sesuai dengan tingkat risiko sistem elektronik
2. Dokumen manajemen risiko sistem elektronik yang telah ditetapkan
2. Dokumen kebijakan keamanan data terkait penerapan sistem manajemen keamanan informasi sesuai
dengan tingkat risiko sistem elektronik
Hasil Kerja : kebijakan keamanan data terkait penerapan SMKI sesuai dengan tingkat risiko sistem elektronik
I.A.084 merencanakan pemantauan pelaksanaan keamanan informasi di instansi
Deskripsi : Kegiatan merencanakan penilaian/pemantauan/ pengukuran kinerja penerapan Keamanan Informasi di instansi
Prasyarat : -
2. Bukti dokumen yang berisi terkait hasil perencanaan pemantauan pelaksanaan keamanan informasi di instansi,
Hasil Kerja : dokumen rencana pemantauan pelaksanaan keamanan informasi
Batasan Penilaian : Satu kali dalam 1 tahun atau dilakukan apabila ada perubahan struktur organisasi
I.A.085 merencanakan pengukuran efektifitas dan efisiensi keamanan informasi di instansi
Deskripsi : Kegiatan merencanakan metode pengukuran efektivitas dan efisiensi penerapan keamanan informasi di
instansi yang diperoleh dari perbandingan capaian sasaran dengan rencana sasaran dan lain sebagainya. Salah satu
metode pengukuran efektivitas dan efisiensi keamanan informasi adalah menggunakan Indeks Keamanan
Informasi yang dikeluarkan oleh BSSN
Prasyarat : -
2. Dokumen yang berisi rencana pengukuran efektivitas dan efisiensi keamanan informasi di instansi
Hasil Kerja : dokumen rencana pengukuran efektifitas dan efisiensi keamanan informasi di instansi
Batasan Penilaian : Satu kali dalam 1 tahun atau dilakukan apabila ada perubahan struktur organisasi
I.A.086 melakukan evaluasi pelaksanaan SMKI di semua area terkait
Deskripsi : Kegiatan penilaian/pemantauan/pengukuran kinerja penerapan sistem manajemen keamanan informasi

pada semua area terkait
Prasyarat : -
2. Bukti dokumen yang berisi terkait hasil perencanaan pemantauan pelaksanaan keamanan informasi di instansi,
Hasil Kerja : laporan evaluasi pelaksanaan SMKI di semua area terkait
I.A.087 melaksanakan tindakan perbaikan sesuai dengan rekomendasi
Deskripsi : Melaksanakan tindakan perbaikan sesuai dengan rekomendasi adalah kegiatan melakukan perbaikan-
perbaikan atas hasil analisis kesenjangan kondisi saat ini terhadap standar dan prosedur sistem manajemen
keamanan informasi
Prasyarat : Dokumen hasil kesenjangan terhadap kondisi saat ini dan rekomendasi perbaikan terhadap standar dan prosedur
sistem manajemen keamanan informasi
2. Laporan hasil pelaksanaan tindakan perbaikan yang disetujui oleh atasan langsung
Hasil Kerja : laporan pelaksanaan tindakan perbaikan sesuai dengan rekomendasi
I.A.088 melakukan koordinasi penerapan SMKI dengan organisasi lainnya baik dalam maupun luar negeri
Deskripsi : Kegiatan melaksanakan koordinasi penerapan sistem manajemen keamanan informasi bersama organisasi lainnya
baik dalam maupun luar negeri. Kerjasama disini baik dengan pihak berwenang maupun hubungan dengan
kelompok minat khusus.
Metodologi : SNI/ISO 27001, koordinasi dengan organisasi keamanan informasi
Prasyarat : -
2. Dokumen yang berisikan hasil koordinasi bersama organisasi lainnya baik dalam maupun luar negeri
seperti
daftar hadir dan/atau notula rapat
Hasil Kerja : laporan koordinasi penerapan SMKI dengan organisasi lainnya baik dalam maupun luar negeri
I.A.089 mengevaluasi dan membuat rekomendasi hasil koordinasi terkait penerapan SMKI dengan organisasi lainnya baik dalam
maupun luar negeri
Deskripsi : Kegiatan melaksanakan evaluasi atas hasil pelaksanaan koordinasi, membuat kesimpulan, dan rekomendasi
atas hasil koordinasi tersebut
Prasyarat : -
2. Dokumen yang berisi hasil evaluasi, kesimpulan, dan rekomendasi atas pelaksanaan koordinasi
Hasil Kerja : dokumen hasil evaluasi dan rekomendasi hasil koordinasi terkait penerapan SMKI dengan organisasi lainnya baik
dalam maupun luar negeri
I.A.090 mengumpulkan data terkait pemenuhan persyaratan SMKI bagi pihak eksternal
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun dokumen pemenuhan persyaratan SMKI
bagi pihak eksternal.
Data atau bahan yang dikumpulkan terdiri dari: peraturan perundang-undangan atau kebijakan terkait, dokumen
perjanjian atau kontrak dengan pihak eksternal, berbagai referensi yang bersumber dari luar seperti kajian
atau hasil studi termasuk standar dan best practice terkait persyaratan SMKI bagi pihak eksternal, data
benchmarking dengan instansi lain, dan informasi lain yang relevan.
Metodologi : Pengumpulan data dan informasi, SNI/ISO 27001
Prasyarat : 1. Dokumen perjanjian kerahasiaan
2. Dokumen pedoman hubungan dengan stakeholder
2. Dokumen daftar persyaratan SMKI yang harus dipenuhi oleh pihak eksternal
Hasil Kerja : data terkait pemenuhan persyaratan SMKI bagi pihak eksternal
Batasan Penilaian : Maksimal 2 kali dalam 1 tahun atau sesuai dengan kebutuhan/perubahan
I.A.091 menganalisis pemenuhan persyaratan SMKI bagi pihak eksternal
Deskripsi : Melakukan penelaahan atau kajian mengenai pemenuhan persyaratan SMKI bagi pihak eksternal pada instansi
Metodologi : Analisis kebutuhan, SNI/ISO 27001
Prasyarat : Dokumen pemenuhan persyaratan SMKI pihak eksternal
2. Dokumentasi hasil penelaahan atau kajian dengan outline sebagai berikut:
a. Lembar persetujuan oleh atasan langsung
b. Pendahuluan (latar belakang, tujuan)
3. Pembahasan/uraian yang meliputi:
a. Tinjauan atas hukum, peraturan, perjanjian, standar atau best practice yang dapat dijadikan referensi dalam
pemenuhan persyaratan SMKI bagi pihak eksternal;
b. Identifikasi risiko yang dimiliki instansi terhadap pihak eksternal khususnya terkait akses atas aset dan
informasi di instansi;
c. Analisis kebutuhan instansi terhadap perlindungan aset dan informasi;
d. Analisis, pertimbangan dan usulan pemenuhan persyaratan SMKI bagi pihak eksternal yang dapat diterapkan
pada instansi.
4. Penutup (berupa kesimpulan dan saran).
Hasil Kerja : dokumen hasil analisis pemenuhan persyaratan SMKI bagi pihak eksternal
I.A.092 menyusun dokumen pemenuhan persyaratan SMKI pihak eksternal
Deskripsi : Melakukan penyusunan dokumen pemenuhan persyaratan SMKI pihak eksternal yang berisi uraian
persyaratan SMKI yang harus dipatuhi/dipenuhi oleh pihak eksternal selama berada atau beraktivitas di instansi
Metodologi : Penyusunan dokumen, SNI/ISO 27001
Prasyarat : Dokumen daftar persyaratan SMKI yang harus dipenuhi oleh pihak eksternal (A90)
2. Pengesahan oleh pejabat yang berwenang
3. Dokumen pemenuhan persyaratan SMKI pihak eksternal, yang berisi uraian persyaratan SMKI. Dokumen dapat
berbentuk:
a. Pedoman/kententuan atau
b. Daftar checklist persyaratan SMKI.
c. Daftar evidence yang harus dilampirkan
Hasil Kerja : dokumen pemenuhan persyaratan SMKI bagi pihak eksternal
I.A.093 membuat rencana kegiatan diseminasi regulasi di bidang SMKI
Deskripsi : Membuat rencana kegiatan diseminasi regulasi di bidang sistem manajemen keamanan informasi.
Rencana diseminasi meliputi waktu pelaksanaan, peserta, pemateri dan/atau pembicara, tujuan dan lain
sebagainya.
Metodologi : SNI/ISO 27001, wawancara, observasi
Prasyarat : -
2. Dokumen rencana kegiatan diseminasi regulasi di bidang sistem manajemen keamanan informasi
Hasil Kerja : dokumen perencanaan kegiatan diseminasi regulasi di bidang SMKI
Batasan Penilaian : 4 kali dalam satu tahun atau setiap ada regulasi baru atau perubahan
I.A.094 mengkaji materi diseminasi regulasi di bidang SMKI
Deskripsi : Melaksanakan kajian materi diseminasi regulasi di bidang sistem manajemen keamanan informasi. Regulasi
tersebut baik dari internal instansi maupun dari luar instansi
Metodologi : SNI/ISO 27001, studi literatur
Prasyarat : -
2. Dokumen hasil kajian materi diseminasi regulasi di bidang sistem manajemen keamanan informasi
Hasil Kerja : materi diseminasi regulasi di bidang SMKI
Batasan Penilaian : 4 kali dalam satu tahun atau setiap ada regulasi baru atau perubahan
I.A.095 melakukan evaluasi kegiatan diseminasi regulasi di bidang SMKI
Deskripsi : Melakukan kegiatan evaluasi kegiatan diseminasi regulasi di bidang sistem manajemen keamanan informasi
Metodologi : SNI/ISO 27001, wawancara, observasi, kuisioner
Prasyarat : -
2. Dokumen evaluasi hasil kegiatan diseminasi regulasi di bidang sistem manajemen keamanan informasi
Hasil Kerja : laporan pelaksanaan kegiatan diseminasi regulasi di bidang SMKI
Batasan Penilaian : 4 kali dalam satu tahun atau untuk setiap evaluasi kegiatan diseminasi baru atau perubahan
I.A.096 menyiapkan bahan terkait prosedur pengamanan
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun prosedur pengamanan atau keamanan fisik dan
lingkungan.
Data atau bahan yang dikumpulkan terdiri dari: peraturan perundang-undangan atau kebijakan terkait,
data pengelolaan keamanan fisik dan lingkungan yang telah diterapkan dalam instansi, berbagai
referensi yang bersumber dari luar seperti kajian atau hasil studi termasuk standar dan best practice
terkait pegendalian
keamanan fisik dan lingkungan, data benchmarking dengan instansi lain, dan informasi lain yang relevan.
Prasyarat : -
2. Kumpulan data atau bahan dalam bentuk dokumentasi yang disetujui oleh atasan MI.
Hasil Kerja : bahan terkait prosedur pengamanan
I.A.097 menyusun prosedur acceptable use dalam mendukung kebijakan keamanan data
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis terkait penggunaan yang dapat diterima (acceptable use)
atas informasi, aset yang berhubungan dengan informasi, dan fasilitas pengolahan informasi dalam
rangka mendukung kebijakan keamanan data.
Prasyarat : -
3. Dokumen SOP/prosedur yang minimal terdiri dari instruksi kerja, diagram workflow, pemetaan RASCI
dan batasan waktu pelaksanaan prosedur.
Hasil Kerja : dokumen prosedur acceptable use
Batasan Penilaian : Maksimal 4 kali dalam satu tahun atau sesuai dengan kebutuhan/perubahan untuk jenis data pada sistem
elektronik
I.A.098 melakukan evaluasi penerapan prosedur acceptable use
Deskripsi : Melakukan kegiatan evaluasi terhadap penerapan prosedur acceptable use untuk mengetahui efektivitasnya.
Prasyarat : Dokumen SOP/prosedur acceptable use dalam mendukung kebijakan keamanan data
2. Laporan evaluasi efektivitas penerapan prosedur acceptable use yang berisi:
b. Pendahuluan (menguraikan latar belakang serta tujuan evaluasi efektivitas prosedur)
c. Deskripsi mengenai prosedur
d. Hasil pemantauan pelaksanaan prosedur
e. Hasil pengukuran efektivitas prosedur dan dampak pelaksanaan prosedur terhadap peningkatan keamanan
informasi dalam penggunaan yang dapat diterima (acceptable use) atas informasi, aset yang berhubungan
dengan informasi, dan fasilitas pengolahan informasi
f. Kesimpulan dan saran
Hasil Kerja : laporan evaluasi penerapan prosedur acceptable use
Batasan Penilaian : Maksimal 4 kali dalam satu tahun atau sesuai dengan kebutuhan/perubahan untuk jenis data pada sistem
elektronik
I.A.099 mengumpulkan data terkait prosedur pengelolaan data strategis
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun prosedur pengelolaan data strategis. Data atau
bahan yang dikumpulkan terdiri dari: peraturan perundang-undangan atau kebijakan terkait, identifikasi
data strategis dan pengelolaan yang telah berjalan dalam instansi, berbagai referensi yang bersumber dari
luar seperti kajian atau hasil studi termasuk standar dan best practice terkait pegendalian pengelolaan data
strategis, data benchmarking dengan instansi lain, dan informasi lain yang relevan
Metodologi : Studi literatur, metode dengumpulan data dan informasi, SNI/ISO 27001
Prasyarat : -
2. Dokumen hasil pengumpulan data pengelolaan data strategis yang disetujui oleh atasan langsung
Hasil Kerja : data dan informasi terkait prosedur pengelolaan data strategis
I.A.100 membuat prosedur pengelolaan data strategis
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam pengelolaan data strategis. Data
stategis adalah data yang berdampak strategis terhadap proses bisnis instansi, kepentingan umum, pelayanan
publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara
Prasyarat : Kebijakan dan Pedoman pengelolaan data
Hasil Kerja : dokumen prosedur pengelolaan data strategis
Batasan Penilaian : Dilakukan diawal atau apabila ada perubahan
I.A.101 menganalisis prosedur pengelolaan data strategis
Deskripsi : Melakukan penelaahan atau kajian pengelolaan data strategis dalam rangka penyusunan dan pengembangan
prosedur pengelolaan data strategis
Metodologi : Analisis kebutahan (needs analysis) dan analisis kesenjangan (gaps analysis) , SNI/ISO 27001
Prasyarat : Dokumen hasil pengumpulan data pengelolaan data strategis yang disetujui oleh atasan langsung
2. Dokumentasi hasil penelaahan atau kajian dengan outline sebagai berikut :
a. Lembar persetujuan oleh atasan langsung
c. Kajian/penelitian yang mencakup:
− Identifikasi data strategis pada instansi dan tinjauan pengelolaan data strategis yang sedang berjalan
dalam instansi;
− Tinjauan atas peraturan, kebijakan, standar atau best practice dalam pengelolaan data strategis;
− Identifikasi kebutuhan instansi terhadap pengelolaan data strategis;
− Kesenjangan, risiko/implikasi, dan solusi.
d. Pembahasan yang mencakup:
− Usulan model pengelolaan data strategis bagi instansi;
− Dampak pelaksanaan model pengelolaan data strategis yang diusulkan terhadap peningkatan keamanan
informasi dalam hal perlidungan data strategis.
− Rekomendasi.
e. Penutup: kesimpulan dan saran
Hasil Kerja : laporan analisis prosedur pengelolaan data strategis
I.A.102 mengumpulkan data terkait standar (template) dokumen perjanjian kerahasiaan
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun standar (template) dokumen
perjanjian kerahasiaan pada instansi yang diperuntukkan bagi pihak ketiga dan pegawai. Data atau bahan yang
dikumpulkan terdiri dari: peraturan perundang-undangan atau kebijakan terkait, dokumen tentang perjanjian
kerahasiaan yang sudah ada sebelumnya di instansi, berbagai referensi yang bersumber dari luar seperti
kajian atau hasil studi termasuk standar dan best practice terkait perjanjian kerahasiaan, data benchmarking
dengan instansi lain, dan informasi lain yang relevan
Prasyarat : Dokumen pedoman hubungan dengan stakeholder
Bukti Fisik : Kumpulan dokumentasi yang disetujui oleh atasan MI
Hasil Kerja : data dan informasi terkait standar perjanjian kerahasiaan
I.A.103 membuat dokumen standar perjanjian kerahasiaan
Deskripsi : Melakukan penyusunan dokumen standar perjanjian kerahasiaan yang akan menjadi template dalam
membuat perjanjian kerahasiaan bagi pihak ketiga dan pegawai pada instansi
Metodologi : Penyusunan dokumen template perjanjian, SNI/ISO 27001
Prasyarat : Dokumen pedoman hubungan dengan stakeholder
2. Pengesahan oleh pejabat yang berwenang
3. Dokumen standar/template perjanjian kerahasiaan, yang berisi hal berikut:
a. Definisi informasi yg dilindungi (misalnya: informasi kategori rahasia);
b. Durasi atau masa berlaku perjanjian, termasuk pertimbangan untuk kasus tertentu dimana kerahasiaan
mungkin perlu dijaga tanpa batasan waktu;
c. Tindakan yang diperlukan saat perjanjian berakhir;
d. Uraian tanggung jawab penandatangan untuk menghindari pengungkapan informasi secara tidak sah;
f. Proses untuk pemberitahuan dan pelaporan pengungkapan yang tidak sah dari kebocoran informasi rahasia;
g. Persyaratan informasi yang akan dikembalikan atau dimusnahkan saat perjanjian dihentikan;
h. Tindakan yang akan ditempuh jika terjadi pelanggaran perjanjian;
i. Persyaratan lain sesuai kebutuhan keamanan informasi pada instansi; dan
j. Persyaratan lain yang relevan sesuai hukum dan peraturan yang berlaku di Indonesia.
e. Hak instansi untuk mengaudit dan memantau aktivitas yang melibatkan informasi rahasia;
Hasil Kerja : dokumen standar perjanjian kerahasiaan
I.A.104 melaksanakan forum diskusi terkait prosedur pengelolaan data strategis
Deskripsi : Menyelenggarakan forum diskusi atau pembahasan formal dengan pihak-pihak terkait yang bertujuan untuk
merumuskan prosedur pengelolaan data strategis. Forum diskusi dalam hal ini termasuk rapat pembahasan
dalam rangka perumusan prosedur pengelolaan data strategis dengan syarat ruang lingkup program tersebut
minimal selevel eselon II.
Metodologi : Menyelenggarakan forum diskusi atau rapat, SNI/ISO 27001
Prasyarat : 1. Dokumen hasil pengumpulan data pengelolaan data strategis
2. Dokumentasi hasil penelaahan atau kajian pengelolaan data strategis
2. Laporan dokumentasi sekurang-kurangnya berisi notula dan daftar hadir
Hasil Kerja : laporan forum diskusi terkait prosedur pengelolaan data strategis
I.A.105 melakukan evaluasi Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
Deskripsi : Melakukan kegiatan evaluasi terhadap Standar Operasional Prosedur (SOP) klasifikasi dan penanganan
informasi untuk mengetahui efektivitasnya
Prasyarat : 1. Dokumen Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
2. Dokumentasi yang berisi pemetaan aset informasi terhadap klasifikasinya
3. Laporan penanganan informasi
2. Laporan evaluasi efektivitas Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
Hasil Kerja : laporan evaluasi Standar Operasional Prosedur (SOP) klasifikasi dan penanganan informasi
I.A.106 mengumpulkan bahan terkait tata tertib SMKI di lokasi kerja dan ruangan peralatan komputer
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun tata tertib sistem manajemen keamanan
informasi di lokasi kerja dan ruangan peralatan komputer.
Data atau bahan yang dikumpulkan terdiri dari: peraturan perundang-undangan, kebijakan,atau
kontrak/perjanjian terkait, pedoman tata tertib dan laporan pelaksanaan tata tertib terkait SMKI yang sudah
ada sebelumnya di instansi, berbagai referensi yang bersumber dari luar seperti kajian atau hasil studi termasuk
standar dan best practice terkait tata tertib SMKI di lokasi kerja dan ruangan peralatan komputer, data
benchmarking dengan instansi lain, dan informasi lain yang relevan.
Prasyarat : Data prosedur peralatan komputer, peraturan atau bahan bain yang relevan
2. Kumpulan data atau bahan dalam bentuk dokumentasi yang disetujui oleh atasan MI.
Hasil Kerja : bahan tentang tata tertib SMKI di lokasi kerja dan ruangan peralatan komputer
Batasan Penilaian : Dilakukan untuk setiap lokasi kerja dan apabila terjadi perubahan pada lokasi kerja
I.A.107 menganalisis tata tertib SMKI di lokasi kerja dan ruangan peralatan komputer
Deskripsi : Melakukan penelaahan atau kajian terhadap tata tertib atau panduan SMKI yang diterapkan di lokasi kerja
dan ruangan peralatan komputer pada instansi meliputi aspek jam kantor, diluar jam kantor, keberadaan pihak
ketiga, penyimpanan perangkat
Metodologi : Analisis kebutuhan (needs analysis) dan analisis kesenjangan (gaps analysis) , SNI/ISO 27001.
Prasyarat : -
2. Dokumentasi hasil penelaahan atau kajian
Hasil Kerja : dokumen hasil analisis tata tertib SMKI di lokasi kerja dan ruangan peralatan komputer
Batasan Penilaian : Dilakukan untuk setiap lokasi kerja atau ruangan peralatan komputer dan setiap aspek yang dibahas
I.A.108 membuat dokumen tata tertib SMKI di lokasi kerja dan ruangan peralatan komputer
Deskripsi : Melakukan penyusunan dokumen tata tertib atau panduan SMKI yang berlaku bagi setiap personel, baik pegawai
maupun pihak ketiga selama berada atau beraktivitas di lokasi kerja dan ruangan peralatan komputer
(termasuk daerah aman) dengan tujuan untuk mencegah akses fisik yang tidak sah, kerusakan dan
interferensi terhadap informasi dan fasilitas pengolahan informasi pada instansi.
Metodologi : Penyusunan dokumen tata tertib atau panduan, SNI/ISO 27001.
Prasyarat : -
2. Dokumen tata tertib yang disahkan oleh pejabat yang berwenang. Tata tertib SMKI yang dibuat memuat
hal berikut:
a. Ketentuan bagi personel yang diperbolehkan berada/beraktivitas di daerah aman;
b. Pengawasan aktivitas selama di area aman;
c. Pengamanan area aman saat kosong atau tidak ada pekerjaan personel;
d. Larangan penggunaan peralatan atau membawa benda berbahaya selama berada di area aman;
e. Ketentuan-ketentuan lainnya.
Hasil Kerja : dokumen tata tertib SMKI di lokasi kerja dan ruangan peralatan komputer
Batasan Penilaian : Dilakukan untuk setiap lokasi kerja atau ruangan peralatan komputer dan setiap aspek yang dibahas
I.A.109 mengidentifikasi persyaratan dan spesifikasi keamanan fisik
Deskripsi : Melakukan kegitaan penilaian persyaratan dan spesifikasi keamanan fisik

Prasyarat : -
2. Dokumen yang berisi hasil identifikasi persyaratan dan spesifikasi keamanan fisik
Hasil Kerja : laporan identifikasi persyaratan dan spesifikasi keamanan fisik
I.A.110 membuat persyaratan dan spesifikasi keamanan fisik
Deskripsi : melakukan kegiatan penyusunan persyaratan dan spefisikasi keamanan fisik yang meliputi perangkat
dan lingkungan kerja sebagai berikut:
a. Pengamananan lingkungan
b. Keamanan akses
c. perimeter
Prasyarat : -
Bukti Fisik : 1. Bukti penugasan
2. Dokumen yang berisi persyaratan dan spesifikasi keamanan fisik
Hasil Kerja : dokumen persyaratan dan spesifikasi keamanan fisik
Batasan Penilaian : Maksimal 2 kali dalam 1 tahun atau disusun berdasarkan kebutuhan
I.A.111 menganalisis panduan instalasi dan pemeliharaan infrastruktur, sistem, dan peralatan pendukung
Deskripsi : Memeriksa dan memberikan saran/rekomendasi perbaikan untuk dokumen panduan instalasi dan
pemeliharaan infrastruktur, sistem, dan peralatan pendukung
Prasyarat : Petunjuk manual peralatan, Dokumen panduan instalasi dan pemeliharaan infrastruktur, sistem, dan
peralatan pendukung
2. Dokumen yang berisi hasil pelaksanaan analisis panduan instalasi dan pemeliharaan infrastruktur, sistem, dan
peralatan pendukung
Hasil Kerja : laporan hasil analisis panduan instalasi dan pemeliharaan infrastruktur, sistem, dan peralatan pendukung
Batasan Penilaian : Dilakukan untuk setiap jenis infrastruktur atau jenis peralatan pendukung
I.A.112 membuat prosedur keamanan fisik
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam pengendalian keamanan
fisik dan lingkungan yang meliputi kegiatan:
1. pengedalian masuk fisik (physical entry)
2. pengamanan ruangan dan fasilitas
3. pengaturan saat bekerja di daerah aman
4. pengamanan saat bongkar muat perangkat
5. pemeliharaan perangkat pengendali keamanan fisik
6. pemindahan/penarikan perangkat ke luar lokasi
7. pengamanan perangkat yang tidak diawasi
8. pelaksanaan prosedur clear desk dan clear screen
Metodologi : Penyusunan dokumen prosedur, SNI/ISO 27001.
Prasyarat : -
Hasil Kerja : dokumen prosedur keamanan fisik
Batasan Penilaian : Dilakukan untuk setiap fasilitas fisik atau apabila terjadi perubahan terhadap fasilitas fisik
I.A.113 menerapkan kontrol keamanan untuk memenuhi rencana dan persyaratan keamanan fisik dan lingkungan
Deskripsi : Melakukan kegiatan implementasi kendali-kendali keamanan dalam pemenuhan rencana dan persyaratan
keamanan fisik dan lingkungan yang meliputi aspek sebagai berikut:
a. Perimeter keamanan fisik
b. Kontrol masuk
c. Keamanan ruangan, kantor dan fasilitas
d. Pengamanan gangguan eksternal
e. Bekerja pada wilayah terbatas
f. Pengamanan perangkat
g. Peralatan pendukung
h. Pengamanan pengkabelan
i. Pemeliharaan peralatan
j. Penghapusan aset
k. Pengamanan aset off-premises
l. Pengamanan perangkat yang tidak terpakai
m. Pengawasan perangkat yang tidak tercatat
n. Kebijakan clear desk dan clear screen
Prasyarat : -
2. Dokumen yang berisi laporan pelaksaan kontrol keamanan untuk memenuhi rencana dan
persyaratan keamanan fisik dan lingkungan
Hasil Kerja : laporan penerapan kontrol keamanan fisik dan lingkungan
I.A.114 menganalisis perimeter keamanan fisik
Deskripsi : Melakukan penelaahan atau kajian atas batas fisik keamanan yang harus ditetapkan dan digunakan untuk
melindungi area yang mengandung informasi dan fasilitas pengolah informasi yang sensitif dan kritis.
Metodologi : Analisis kebutahan (needs analysis) dan analisis kesenjangan (gaps analysis) , SNI/ISO 27001.
Prasyarat : -
2. Dokumentasi hasil penelaahan atau kajian dengan outline sebagai berikut lapisan pengamanan fisik, jumlah dan
jenis akses fisik
Hasil Kerja : laporan analisis perimeter keamanan fisik
Batasan Penilaian : Minimal 1 kali dalam 1 tahun atau sesuai dengan kebutuhan
I.A.115 melakukan evaluasi efektifitas kebijakan dan prosedur keamanan fisik dan lingkungan serta membuat rekomendasi untuk
perbaikan yang diperlukan
Deskripsi : Melakukan kegiatan evaluasi terhadap kebijakan dan prosedur keamanan fisik dan lingkungan untuk mengetahui
efektivitasnya dan membuat rekomendasi untuk perbaikan yang dapat mencakup aspek berikut :
b. Kontrol masuk
j. Penghapusan aset
Metodologi : Monitoring dan evaluasi, SNI/ISO 27001.
Prasyarat : -
2. Laporan evaluasi efektivitas kebijakan dan prosedur keamanan fisik dan lingkungan
Hasil Kerja : laporan evaluasi efektifitas kebijakan dan prosedur keamanan fisik dan lingkungan serta dokumen rekomendasi
untuk perbaikan yang diperlukan
Batasan Penilaian : Setiap periode evaluasi
I.A.116 melakukan evaluasi proses pengadaan yang memiliki implikasi terhadap keamanan fisik
Deskripsi : Melakukan kegiatan evaluasi keseluruhan proses pengadaan yang berdampak pada keamanan fisik yang meliputi
Perangkat atau lingkungan kerja sebagai berikut:
− Pengamananan lingkungan
− Keamanan akses
− perimeter
Prasyarat : Dokumen pengadaan
2. Dokumen laporan hasil pelaksanaan evaluasi proses pengadaan yang memiliki implikasi terhadap
keamanan fisik
Hasil Kerja : laporan evaluasi proses pengadaan memiliki implikasi terhadap keamanan fisik
Batasan Penilaian : Setiap proses pengadaan
I.A.117 meninjau proyek konstruksi fisik agar sesuai dengan kontrol keamanan fisik dan lingkungan
Deskripsi : Melakukan tinjauan terhadap proyek konstruksi fisik agar sesuai dengan kontrol keamanan fisik yang
meliputi aspek sebagai berikut:
b. Kontrol masuk
j. Penghapusan aset
Prasyarat : -
2. Laporan hasil peninjauan proyek konstruksi fisik
Hasil Kerja : laporan peninjauan kontruksi fisik sesuai dengan kontrol keamanan informasi
Batasan Penilaian : Setiap kegiatan proyek
I.A.118 mengamankan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
Deskripsi : Melaksanakan kegiatan penerapan pengamanan instalasi dan pemeliharaan infrastruktur, sistem dan
peralatan pendukung
Prasyarat : -
2. Dokumen laporan pengamanan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
Hasil Kerja : laporan pengamanan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
I.A.119 melakukan pengelolaan media
Deskripsi : Melakukan kegiatan pengelolaan media penyimpanan informasi yang terdiri dari:
− Penanganan media yang dapat dipindahkan (removable media);
− pengamanan informasi dalam penggunaan ulang media;
− pengamanan informasi dalam penghacuran media saat tidak dibutuhkan lagi; atau
− pengamanan selama proses pemindahan media secara fisik.
Metodologi : Pelaksanaan prosedur pengelolaan media atau prosedur sejenis, SNI/ISO 27001.
Prasyarat : -
2. Laporan atau berita acara pelaksanaan pengelolaan media penyimpanan informasi
Hasil Kerja : laporan pengelolaan media
I.A.120 mengumpulkan bahan panduan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
Deskripsi : Melakukan pengumpulan bahan atau referensi dalam menyusun panduan instalasi dan pemeliharaan infrastruktur,
sistem dan peralatan pendukung yang meliputi aspek:
− Identifikasi subjek
− Petunjuk kelengkapan subjek
− Petunjuk instalasi subjek
− Petunjuk pemeliharaan subjek
Prasyarat : Petunjuk manual peralatan
2. Dokumen yang berisi laporan hasil pelaksanaan pengumpulan bahan panduan instalasi dan pemeliharaan
infrastruktur, sistem dan peralatan pendukung
3. Berkas pendukung
Hasil Kerja : bahan panduan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
I.A.121 meninjau dokumen panduan instalasi dan pemeliharaan infrastruktur, sistem, dan peralatan pendukung
Deskripsi : Melakukan penelaahan dan pemeriksaan dokumen panduan instalasi dan pemeliharaan infrastruktur, sistem, dan
peralatan pendukung
Prasyarat : -
2. Laporan kegiatan peninjauan panduan instalasi dan pemeliharaan infrastruktur, sistem dan
peralatan pendukung
Hasil Kerja : dokumen perubahan panduan instalasi dan pemeliharaan infrastruktur, sistem, dan peralatan pendukung
I.A.122 membuat panduan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
Deskripsi : Membuat dokumentasi lengkap panduan terkait instalasi dan pemeliharaan infrastruktur, sistem dan
peralatan pendukung
Prasyarat : Petunjuk manual peralatan, Laporan tinjauan panduan instalasi dan pemeliharaan infrastruktur, sistem dan
peralatan pendukung
2. Dokumen yang berisi panduan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
Hasil Kerja : panduan instalasi dan pemeliharaan infrastruktur, sistem dan peralatan pendukung
I.A.123 menyiapkan bahan rancangan struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
Deskripsi : Mengumpulkan bahan yang diperlukan dalam menyusun rancangan struktur organisasi penerapan SMKI
berikut tugas pokok dan fungsinya, yang terdiri dari: peraturan perundang-undangan atau kebijakan terkait,
struktur organisasi dan tata kerja pada instansi, daftar tugas dan fungsi serta uraian jabatan setiap unit
pada intansi, berbagai referensi yang bersumber dari luar seperti kajian atau hasil studi termasuk standar dan best
practice, data
benchmarking dengan instansi lain, dan informasi lain yang relevan
Prasyarat : 1. Peraturan yang disahkan pimpinan terkait implementasi SMKI
2. Dokumen Kebijakan SMKI
2. Laporan dokumentasi bahan rancangan struktu r organisasi yang disetujui oleh atasan MI
Hasil Kerja : dokumen bahan rancangan struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
Batasan Penilaian : Maksimal 1 kali dalam 1 tahun atau apabila ada perubahan organisasi
I.A.124 menganalisis struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
Deskripsi : Melakukan penelaahan atau kajian struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya dalam
rangka penyusunan dan pengembangan struktur organisasi penerapan SMKI
Metodologi : Studi literatur, Analisis kebutuhan (needs analysis) dan analisis kesenjangan (gaps analysis), SNI/ISO 27001
Prasyarat : 1. Peraturan atau kebijakan keamanan informasi
a. Lembar persetujuan oleh atasan MI
c. Kajian/penelitian yang mencakup:
• Tinjauan organisasi instansi saat ini: ruang lingkup, tugas dan fungsi (tusi) dan uraian jabatan (urjab);
• Harapan stakeholder internal dan eksternal;
• Identifikasi tusi dan urjab terkait penerapan SMKI yang sedang berjalan;
• Analisis organisasi penerapan SMKI: identifikasi kebutuhan instansi terhadap organisasi penerapan SMKI
• Kesenjangan, risiko/implikasi, dan solusi.
d. Pembahasan yang mencakup:
• Usulan model struktur organisasi penerapan SMKI
• Pemetaan tusi dan urjab instansi pada model struktur organisasi penerapan SMKI yang diusulkan.
e. Penutup: kesimpulan dan saran/rekomendasi
• Uraian tugas pokok dan fungsi berdasarkan struktur organisasi penerapan SMKI yang diusulkan.
Hasil Kerja : laporan hasil analisis struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
I.A.125 merancang struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
Deskripsi : Membuat rancangan struktur organisasi penerapan SMKI dan membuat uraian tugas pokok dan fungsi atau
tanggung jawab setiap bagian/posisi dalam struktur organsisasi yang dirancang.
Metodologi : Penyusunan rancangan atau konsep, SNI/ISO 27001.
2. Laporan dokumentasi bahan rancangan struktur organisasi yang disetujui oleh atasan MI
2. Lembar persetujuan dari atasan MI.
3. Dokumentasi rancangan yang minimal terdiri dari:
a. Bagan organisasi penerapan SMKI;
b. Hubungan antar bagian/posisi dalam susunan organisasi penerapan SMKI;
c. Uraian tugas pokok dan fungsi atau tanggung jawab setiap bagian/posisi; dan
d. Susunan keanggotaan organsisasi yang diisi oleh pejabat/petugas/personel atau unit pada instansi yang
bertanggung jawab pada setiap bagian/posisi.
4. Bukti rancangan tersebut digunakan atau sebagai referensi antara lain:
a. Surat keputusan atau surat tugas kepala instansi tentang pembentukan struktur organisasi penerapan SMKI;
atau
b. Dokumen kebijakan atau pedoman tentang struktur organisasi penerapan SMKI pada instansi.
Hasil Kerja : rancangan struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
I.A.126 melakukan forum diskusi tentang struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
Deskripsi : Menyelenggarakan forum diskusi atau pembahasan formal yang bertujuan untuk merumuskan struktur organisasi
penerapan SMKI berikut tugas pokok dan fungsinya dengan pihak-pihak terkait. Forum diskusi dalam hal ini
termasuk rapat tentang struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya dengan syarat
ruang lingkup program tersebut minimal selevel eselon II.
Metodologi : Diskusi atau rapat, SNI/ISO 27001
2. Dokumentasi dengan outline sebagai berikut:
a. Topik (menjelaskan topik diskusi);
b. Agenda dan materi diskusi (menjelaskan agenda diskusi dilengkapi dengan materi diskusi);
c. Notula atau Hasil diskusi (rangkuman dari hasil diskusi dan menguraikan keputusan atau perumusan yang
dihasilkan);
d. Daftar peserta (daftar hadir peserta yang berisi nama, unit asal, dan tanda tangan).
Hasil Kerja : laporan pelaksanaan forum diskusi tentang struktur organisasi penerapan SMKI berikut tugas pokok dan fungsinya
I.A.127 merumuskan peran dan tanggung jawab pegawai dan pihak ketiga
Deskripsi : Menyusun ketentuan tentang peran dan tanggung jawab pegawai dan pihak ketiga terhadap keamanan informasi di
instansi.
Metodologi : Analisis dan rekomendasi, SNI/ISO 27001
Prasyarat : Peraturan perundangan dan kebijakan keamanan infomasi
2. Dokumen rumusan peran dan tanggung jawab pegawai dan pihak ketiga
Hasil Kerja : dokumen peran dan tanggung jawab pegawai dan pihak ketiga
I.A.128 melakukan sosialisasi peran dan tanggung jawab pegawai dan pihak ketiga
Deskripsi : Melakukan kegiatan sosialisasi atau diseminasi informasi terkait peran dan tanggung jawab pegawai dan
pihak ketiga yang bertujuan untuk memberi pemahaman kepada pegawai dan pihak ketiga terkait tanggung jawab
mereka dalam menjaga keamanan informasi sesuai dengan peran mereka di instansi. Kegiatan ini dapat berbentuk
sosialisasi tatap muka, seminar, lokakarya, konferensi, workshop , atau rapat.
Metodologi : Melaksanakan kegiatan sosialisasi sebagai narasumber/pembahas/pembahas, SNI/ISO 27001
Prasyarat : Dokumen rumusan peran dan tanggung jawab pegawai dan pihak ketiga
2. Laporan kegiatan yang sekurang-kurangnya berisi materi sosialisasi yang disampaikan dan daftar hadir
peserta sosialisasi
Hasil Kerja : laporan sosialisasi dokumen peran dan tanggung jawab pegawai dan pihak ketiga
I.A.129 mengidentifikasi pelanggaran terhadap prosedur SMKI oleh pegawai atau personil pihak ketiga
Deskripsi : Mengidentifikasi pelanggaran terhadap prosedur sistem manajemen keamanan informasi oleh pegawai atau personil
pihak ketiga seperti melakukan identifikasi kesesuaian dengan persyaratan perundang-undangan dan kontraktual
yang berlaku, hak atas kekayaan intelektual, perlindungan rekaman, dan lain sebagainya
Prasyarat : -
2. Dokumen yang berisi identifikasi pelanggaran terhadap prosedur sistem manajemen keamanan informasi
oleh pegawai atau personil pihak ketiga, bisa dalam bentuk checklist kesesuaian terhadap prosedur SMKI
Hasil Kerja : laporan identifikasi pelanggaran terhadap prosedur SMKI oleh pegawai atau personil pihak ketiga
I.A.130 melakukan proses tindak lanjut terhadap pelanggaran prosedur SMKI oleh pegawai atau personil pihak ketiga
Deskripsi : Melaksanakan proses tindak lanjut atas pelanggaran prosedur sistem manajemen keamanan informasi oleh pegawai
atau personil pihak ketiga
Prasyarat : -
2. Dokumen yang berisi pelaksanaan proses tindak lanjut terhadap pelanggaran prosedur sistem manajemen
keamanan informasi oleh pegawai atau personil pihak ketiga
Hasil Kerja : laporan tindak lanjut terhadap pelanggaran terhadap prosedur SMKI oleh pegawai atau personil pihak ketiga
I.A.131 menyusun rencana evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan prosedur SMKI
Deskripsi : Melakukan penyusunan rencana evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan prosedur
Metodologi : SNI/ISO/IEC 27001, COBIT
Prasyarat : -
2. Dokumen yang berisi rencana evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan prosedur
Hasil Kerja : rencana evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan prosedur SMKI
I.A.132 melakukan evaluasi terhadap pihak ketiga terkait tingkat kepatuhan SMKI sesuai dengan kesepakatan
Deskripsi : Melakukan kegiatan evaluasi kepatuhan pihak ketiga tehadap keamanan informasi sesuai persyaratan
pada peraturan, kebijakan atau perjanjian kontraktual di instansi, yang meliputi aspek:
− Kebijakan kontrol keamanan informasi dalam berhubungan dengan pihak ketiga
− Kebijakan level keamanan informasi yang boleh diketahui oleh pihak ketiga
− Kebijakan akses informasi oleh pihak ketiga
Prasyarat : -
2. Laporan evaluasi kepatuhan pihak ketiga terhadap keamanan informasi
Hasil Kerja : laporan evaluasi terhadap pihak ketiga terkait tingkat kepatuhan SMKI sesuai dengan kesepakatan
Batasan Penilaian : Minimal 1 kali untuk setiap pihak ketiga
I.A.133 melakukan evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan prosedur SMKI
Deskripsi : Melakukan evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan prosedur sistem manajemen
keamanan informasi
Metodologi : SNI/ISO/IEC 27001, COBIT
Prasyarat : -
2. Dokumen yang berisi hasil evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan
prosedur sistem manajemen keamanan informasi
Hasil Kerja : laporan evaluasi tingkat kepatuhan personil pihak ketiga terhadap kebijakan dan prosedur SMKI
I.A.134 memberikan rekomendasi persyaratan pada seleksi pegawai dan pihak ketiga dalam penerapan SMKI
Deskripsi : Menyusun rekomendasi persyaratan pada seleksi pegawai dan pihak ketiga dalam penerapan SMKI. Rekomendasi
tersebut digunakan dalam proses penyaringan calon pegawai dan pihak ketiga melalui pemeriksaan verifikasi latar
belakang calon, khususnya dalam hal hubungan peran/pekerjaan yang akan diberikan dengan klasifikasi informasi
yang akan diakses dan risiko yang muncul bagi instansi.
Metodologi : Analisis dan rekomendasi, SNI/ISO 27001.
Prasyarat : Kebijakan keamanan informasi, SKJ, SKKNI Keamanan informasi
2. Dokumen rekomendasi persyaratan pada seleksi pegawai dan pihak ketiga dalam penerapan sistem manajemen
keamanan informasi
Hasil Kerja : rekomendasi persyaratan pada seleksi pegawai dan pihak ketiga dalam penerapan SMKI
I.A.135 menganalisis kebutuhan program peningkatan kesadaran dan kompetensi di bidang SMKI
Deskripsi : Melakukan penelaahan atau kajian kebutuhan program peningkatan kesadaran dan kompetensi di bidang
SMKI bagi pegawai dan pihak ketiga di instansi
Metodologi : Analisis kebutuhan (needs analysis) dan analisis kesenjangan (gaps analysis), SNI/ISO 27001
Prasyarat : Dokumen laporan hasil pengumpulan data yang disetujui oleh atasan langsung
b. Pendahuluan (menguraikan latar belakang serta tujuan kegiatan)
c. Pembahasan/uraian yang meliputi:
− Analisis kesenjangan terhadap kebutuhan program peningkatan kesadaran dan kompetensi dengan kondisi yang
ada saat ini pada instansi. Analisis disertai dengan pengukuran tingkat kesadaran (awareness) pegawai dan pihak
ketiga terhadap keamanan informasi pada instansi.
− Analisis, pertimbangan dan usulan kebutuhan program peningkatan kesadaaran kompetensi. Usulan
kebutuhan program dapat berupa: sosialisasi, workshop, seminar, atau lokakarya.
d. Penutup (berupa kesimpulan dan saran).
Hasil Kerja : laporan analisis kebutuhan program peningkatan kesadaran dan kompetensi di bidang SMKI
I.A.136 menyiapkan dokumen program peningkatan kesadaran dan kompetensi di bidang SMKI
Deskripsi : Melakukan penyusunan dokumen program peningkatan kesadaran dan kompetensi di bidang SMKI
berupa dokumen perencanaan program atau proposal
Metodologi : Penyusunan perencanaan program atau proposal, SNI/ISO 27001
Prasyarat : 1. Laporan hasil kebutuhan program peningkatan kesadaran dan kompetensi di bidang SMKI bagi pegawai
dan pihak ketiga
2. Laporan hasil forum diskusi
2. Dokumen rencana program atau proposal dengan outline seperti berikut:
a. Lembar Persetujuan oleh pejabat yang berwenang;
b. Pendahuluan (menjelaskan latar belakang program);
c. Tujuan/sasaran program;
d. Target yang ingin dicapai;
e. Tahapan tahapan dalam pelaksanaan program;
f. Jadwal/waktu pelaksanaan ;
g. Cakupan kegiatan (menjelaskan ruang lingkup program, termasuk peserta);
h. Sumber daya yang diperlukan, misalnya: kebutuhan tenaga (penyelenggara dan narasumber) dan biaya untuk
melaksanakan program
Hasil Kerja : dokumen program peningkatan kesadaran dan kompetensi di bidang SMKI
I.A.137 menganalisis peningkatan kompetensi sumber daya manusia di bidang SMKI
Deskripsi : Melakukan penelaahan atau kajian atas substansi materi peningkatan terhadap peningkatan kompetensi
sumber daya manusia di bidang SMKI di instansi.
Metodologi : Analisis kebutuhan (needs analysis) dan analisis kesenjangan (gaps analysis), SNI/ISO 27001
Prasyarat : 1. Dokumen laporan hasil pengumpulan data yang disetujui oleh atasan MI
2. Standar Kompetensi Jabatan
b. Pendahuluan (menguraikan latar belakang serta tujuan kegiatan)
c. Pembahasan/uraian yang meliputi:
• Analisis kesenjangan terhadap kebutuhan kompetensi sumber daya manusia di bidang SMKI dengan
kondisi kompetensi yang dimiliki instansi saat ini. Analisis disertai dengan pengukuran tingkat
kompetensi yang telah dimiliki oleh setiap pegawai pada instansi
• Analisis, pertimbangan dan usulan kebutuhan peningkatan kompetensi bagi pegawai. Usulan kebutuhan
peningkatan kompetensi berupa: pelatihan, pendidikan, atau transfer knowledge
d. Usulan peningkatan kompetensi
e. Penutup (berupa kesimpulan dan saran)
Hasil Kerja : laporan analisis peningkatan kompetensi sumber daya manusia di bidang SMKI
I.A.138 mengumpulkan data program peningkatan kesadaran dan kompetensi di bidang SMKI
Deskripsi : Mengumpulkan data atau bahan yang diperlukan dalam menyusun program peningkatan kesadaran
dan kompetensi di bidang SMKI. Data atau bahan yang dikumpulkan terdiri dari: peraturan perundang-
undangan atau kebijakan terkait, data kegiatan terkait peningkatan kesadaran dan kompetensi yang telah
dilaksanakan dalam instansi, berbagai referensi yang bersumber dari luar seperti kajian atau hasil studi
termasuk standar dan best practice terkait pegendalian keamanan fisik dan lingkungan, data benchmarking
dengan instansi lain, dan informasi lain yang relevan
Prasyarat : -
Bukti Fisik : 1. Bukti penugasan tertulis tertulis
2. Dokumen laporan hasil pengumpulan data yang disetujui oleh atasan langsung
Hasil Kerja : data dan informasi program peningkatan kesadaran dan kompetensi di bidang SMKI
I.A.139 mengumpulkan data atau bukti tentang kompetensi sumber daya manusia di bidang SMKI
Deskripsi : Mengumpulkan data atau bukti tentang kompetensi sumber daya manusia di bidang SMKI pada instansi,
yang terdiri dari: data kompetensi pegawai, penilaian kompetensi pegawai, posisi/jabatan yang diampu,
kebutuhan kompetensi pada instansi, daftar program peningkatan kompetensi yang sudah dilakukan,
security learning
path/traning path, dan informasi lain yang relevan.
Prasyarat : -
2. Dokumen laporan hasil pengumpulan data yang disetujui oleh atasan MI
Hasil Kerja : data atau bukti kompetensi di bidang SMKI
I.A.140 menganalisis aspek teknis dan fisik yang terkait dengan sumber daya manusia dan kontrol keamanan informasi
Deskripsi : Melakukan penelaahan atau kajian atas aspek tekns dan fisik terkait penerapan kntrol keamananinformasi dan
kaitannya dengan kompetensi, kesadaran dan kepedulian SDM terkait.
Metodologi : Pengumpulan data dan informasi, acuan standar industri terkait SDM dan kontrol keamanan informasi dan ,
SNI/ISO 27001
Prasyarat : Daftar profil SDM dan kontrol keamanan informasi
2. Dokumen laporan hasil analisis aspek teknis dan fisik yang disetujui oleh atasan MI
Hasil Kerja : Dokumen analisis aspek teknis dan fisik yang terkait dengan sumber daya manusia dan kontrol keamanan informasi
I.A.141 mengkaji materi peningkatan kesadaran dan kompetensi bidang SMKI
Deskripsi : Melakukan penelaahan atau kajian atas materi peningkatan kesadaran dan kompetensi di bidang SMKI
untuk memastikan kesesuaian materi dengan tujuan program peningkatan kesadaran dan kompetensi dan
kesesuaian
dengan standar atau best practice terkini.
Metodologi : Analisis konten (content analysis) , SNI/ISO 27001
Prasyarat : Dokumen rencana program atau proposal
2. Dokumentasi hasil penelaahan atau kajian yang memuat yang berisi:
b. Pendahuluan (menguraikan latar belakang)
c. Pembahasan yang meliputi:
• uraian atas materi
• analisis kesesuaian materi dengan tujuan program dan kesesuaian dengan standar atau best practice
yang dijadikan acuan
• usulan penyesuaian jika diperlukan
d. Kesimpulan dan saran
Hasil Kerja : materi peningkatan kesadaran dan kompetensi bidang SMKI
I.A.142 melakukan evaluasi efektivitas program kegiatan diseminasi informasi peningkatan kesadaran dan kompetensi bidang SMKI
Deskripsi : Melakukan kegiatan evaluasi terhadap pelaksanaan program kegiatan diseminasi informasi atau
peningkatan kesadaran dan kompetensi bidang SMKI untuk mengetahui efektivitas program.
Prasyarat : 1. Dokumen program peningkatan kesadaran dan kompetensi di bidang SMKI
2. Laporan hasil pelaksanaan kegiatan yang berisi sekurang-kurangnya materi, notula dan daftar hadir
2. Laporan evaluasi efektivitas program kegiatan diseminasi informasi peningkatan kesadaran dan kompetensi
bidang SMKI yang berisi:
b. Pendahuluan (menguraikan latar belakang serta tujuan evaluasi efektivitas program)
c. Deskripsi mengenai program
d. Hasil pemantauan pelaksanaan program
e. Hasil pengukuran efektivitas program dan dampak pelaksanaan program terhadap peningkatan kesadaran dan
kompetensi bidang SMKI.
f. Kesimpulan dan saran.
Hasil Kerja : laporan evaluasi efektivitas diseminasi informasi peningkatan kesadaran dan kompetensi bidang SMKI
I.A.143 menyiapkan forum diskusi dalam rangka program peningkatan kesadaran dan kompetensi di bidang SMKI
Deskripsi : Mempersiapkan substansi dan menyelenggarakan forum diskusi atau pembahasan formal yang bertujuan
untuk merumuskan program peningkatan kesadaran dan kompetensi di SMKI dengan pihak-pihak yang selama ini
terlibat dalam menjalankan topik manajemen keamanan
informasi. Forum diskusi dalam hal ini termasuk rapat pembahasan dalam rangka program peningkatan
kesadaran dan
kompetensi di bidang SMKI dengan syarat ruang lingkup program tersebut minimal selevel eselon II
Metodologi : Diskusi atau rapat, SNI/ISO 27001
Prasyarat : Laporan hasil kebutuhan program peningkatan kesadaran dan kompetensi di bidang SMKI bagi pegawai dan pihak
ketiga
2. Undangan pelaksanaan diskusi
3. Dokumentasi dengan outline sebagai berikut:
a. Topik (menjelaskan topik diskusi)
b. Agenda dan materi diskusi (menjelaskan agenda diskusi dilengkapi dengan materi diskusi)
c. Hasil diskusi (rangkuman dari hasil diskusi dan menguraikan keputusan atau perumusan yang dihasilkan).
d. Daftar peserta (daftar hadir peserta yang berisi nama, unit asal, dan tanda tangan)
Hasil Kerja : laporan forum diskusi peningkatan kesadaran dan kompetensi di bidang SMKI
I.A.144 melaksanakan kegiatan diseminasi informasi peningkatan kesadaran dan kompetensi bidang SMKI
Deskripsi : Melakukan kegiatan diseminasi informasi atau program peningkatan kesadaran dan kompetensi bidang
SMKI di instantasi dalam bentuk publikasi, sosialisasi, seminar, lokakarya, konferensi, atau workshop.
Metodologi : Pelaksanaan kegiatan diseminasi sebagai penyelenggara, narasumber/pembahas/pemrasaran, atau peserta,
SNI/ISO 27001.
Prasyarat : Dokumen program peningkatan kesadaran dan kompetensi di bidang SMKI
2. Laporan hasil pelaksanaan kegiatan yang berisi sekurang-kurangnya materi, notula dan daftar hadir
Hasil Kerja : laporan pelaksanaan diseminasi informasi peningkatan kesadaran dan kompetensi bidang SMKI
I.A.145 merencanakan konsultasi kepada jabatan fungsional manggala informatika satu tingkat di bawahnya
Deskripsi : Menyusun jadwal, topik bahasan dan agenda terkait perkembangan, penerapan dan pembinaan JF MI
Prasyarat : Daftar MI, penetapan IKU, rencana kerja instansi
2. Dokumen perencanaan (jadwal, topik dan agenda konsultasi)
Hasil Kerja : Dokumen rencana konsultasi kepada Jabatan Fungsional Manggala Informatika satu tingkat di bawahnya
Batasan Penilaian : Maksimal 2 Kali dalam satu tahun
I.A.146 melakukan konsultasi kepada jabatan fungsional manggala informatika satu tingkat di bawahnya
Deskripsi : Kegiatan koordinasi dalam rangka bertukar pengetahuan terkait sistem manajemen keamanan informasi
Prasyarat : -
2. Dokumen yang berisi materi hasil konsultasi kepada JF MI satu tingkat dibawahnya dan daftar hadir peserta
Hasil Kerja : laporan pelaksanaan konsultasi kepada Jabatan Fungsional Manggala Informatika satu tingkat di bawahnya
Batasan Penilaian : Maksimal 12 Kali dalam satu tahun
I.A.147 merencanakan evaluasi kompetensi dan kinerja jabatan fungsional manggala informatika satu tingkat di bawahnya
Deskripsi : Kegiatan perencanaan pengujian atau penilaian kompetensi dan kinerja Jabatan Fungsional Manggala Informatika
satu tingkat dibawahnya
Metodologi : Observasi, wawancara
Prasyarat : -
2. Dokumen yang berisi hasil perencanaan evaluasi kompetensi dan kinerja Jabatan Fungsional
Manggala Informatika satu tingkat dibawahnya
Hasil Kerja : dokumen rencana evaluasi kompetensi dan kinerja Jabatan Fungsional Manggala Informatika satu tingkat di
bawahnya
I.A.148 melakukan evaluasi kompetensi dan kinerja jabatan fungsional manggala informatika satu tingkat di bawahnya
Deskripsi : Kegiatan pengujian atau penilaian kompetensi dan kinerja Jabatan Fungsional Manggala Informatika satu tingkat
dibawahnya
Metodologi : Observasi, wawancara
Prasyarat : -
2. Dokumen yang berisi hasil evaluasi kompetensi dan kinerja Jabatan Fungsional Manggala Informatika
satu tingkat dibawahnya
Hasil Kerja : laporan evaluasi kompetensi dan kinerja Jabatan Fungsional Manggala Informatika satu tingkat di bawahnya
Batasan Penilaian : Dilakukan setiap triwulan untuk JFMI satu tingkat dibawahnya
I.B.001 mengidentifikasi dan menganalisis risiko keamanan informasi terkait dengan penyelenggaraan sistem elektronik untuk
Deskripsi : Kegiatan ini terkait pembinaan instansi dalam suatu sektor yang belum dapat melakukan identifikasi,
evaluasi, analisis risiko secara mandiri.
Lingkup kegiatan adalah identifikasi risiko dan analisis risiko yang kemungkinan dapat terjadi pada sistem
elektronik (khususnya Aplikasi Khusus dan SE terkait milik sektor) yang digunakan untuk
pelayanan publik. Lingkup bahasan mencakup aspek strategis dari risiko pada SE publik di suatu sektor
– mengacu pada ancaman skala nasional/regional. Aspek yang dapat dibahas :
1. Jenis ancaman
2. Kelemahan Umum
3. Dampak skala nasional
4. Peluang kemungkinan
5. Peluang dampak
Metodologi : Standar Manajemen Risiko ISO: 31000, 27005
Prasyarat : 1. Dokumen SE milik Sektor
2. Kebijakan Keamanan Informasi (Sektor)
3. Kebijakan Manajemen Risiko (Sektor)
4. Matriks Risiko
2. Laporan Identifikasi Risiko Keamanan Informasi
3. Laporan Analisis Risiko Keamanan Informasi
Hasil Kerja : laporan identifikasi dan analisis risiko
Batasan Penilaian : Secara periodik dalam proses Manajemen Risiko Sistem atau saat terjadi review risiko sewaktu-waktu
Angka Kredit : 0,15
I.B.002 mengidentifikasi risiko terkait aspek teknis, fisik, sumber daya manusia dan prosedural terkait hubungan kerja dengan pihak
ketiga
Deskripsi : Kegiatan proses identifikasi risiko yang kemungkinan terjadi dalam hal aspek teknis, fisik, sumber daya
manusia dan prosedural terkait hubungan kerja dengan pihak ketiga
Prasyarat : 1. Kebijakan Keamanan Informasi
2. Kebijakan Manajemen Risiko
3. Prosedur Manajemen Risiko
4. Matriks Risiko
5. Daftar Aset Informasi
6. Kontrak kerjasama pihak ketiga
2. Laporan Identifikasi Risiko
3. Risk register
Hasil Kerja : laporan identifikasi risiko terkait hubungan kerja dengan pihak ketiga
I.B.003 menyiapkan bahan prosedur audit atau kaji-ulang tingkat efektifitas mitigasi risiko yang telah berjalan
Deskripsi : Proses penyiapan bahan pendukung prosedur audit atau kaji-ulang tingkat efektivitas mitigasi risiko. Hal ini terkait
dengan analisis efektivitas mitigasi risiko (pengukuran hasil) yang telah berjalan.
Metodologi : Standar Manajemen Risiko ISO: 31000 atau Standar Manajemen Risiko Organisasi
Prasyarat : 1. Kebijakan Manajemen Risiko
3. Matriks Risiko
4. Daftar Risiko
5. Rencana dan pelaksanaan mitigasi risiko
2. Laporan
Hasil Kerja : bahan prosedur audit atau kaji-ulang tingkat efektifitas mitigasi risiko yang telah berjalan
Batasan Penilaian : Setiap kegiatan audit atau setiap siklus pengukuran mitigasi risiko yang masih berjalan (setiap bulan atau
setiap kuartal sesuai metrik yang ditetapkan)
I.B.004 mengidentifikasi dan menganalisis risiko sistem elektronik untuk pelayanan publik di sektor terkait
Lingkup kegiatan adalah identifikasi dan analisis risiko yang kemungkinan dapat terjadi pada pada
Sistem Elektronik tertentu* yang digunakan untuk pelayanan publik di
sektor terkait.
Catatan: Sistem Elektronik yang dimaksud disini adalah Sistem Elektronik yang tidak masuk dalam definisi Aplikasi
Khusus, Umum atau Pendukung (sesuai SPBE). Aspek Risiko yang dibahas dapat mencakup:
1. Data dan Informasi
2. Perangkat Keras
3. Perangkat Lunak
4. Jaringan Internal
5. Jaringan Eksternal (Internet dan koneksi pihak ketiga)
6. Fasilitas & Infrastruktur
7. SDM
Metodologi : Standar Manajemen Risiko ISO: 31000
4. Matriks Risiko
2. Laporan Identifikasi Risiko
3. Laporan Analisis Risiko
4. Risk Register
Hasil Kerja : laporan identifikasi dan analisis risiko sistem elektronik untuk pelayanan publik di sektor terkait
Batasan Penilaian : Sesuai dengan siklus Manajemen Risiko atau diperlukan
I.B.005 mengidentifikasi risiko dari aset
Deskripsi : Proses identifikasi risiko dengan dasar aset keamanan informasi yang dimiliki organsiasi.
Prasyarat : 1. Daftar Aset Informasi
4. Matriks Risiko
2. Laporan identifikasi risiko
Hasil Kerja : daftar risiko dari aset
Batasan Penilaian : Setiap siklus Manajemen Risiko Organisasi
I.B.006 menerapkan tindakan perbaikan mitigasi risiko yang belum efektif
Deskripsi : Kegiatan koordinasi penerapan tindakan perbaikan mitigasi risiko yang masih berada diatas nilai batas penerimaan
risiko organisasi.
3. Matriks Risiko
4. Rencana Mitigasi Risiko
5. Laporan Mitigasi Risiko
6. Laporan kaji ulang tingkat efektivitas mitigasi risiko
2. Laporan penerapan mitigasi risiko keamanan informasi
Hasil Kerja : laporan penerapan tindakan perbaikan mitigasi risiko yang belum efektif
Batasan Penilaian : Dilakukan selama ada keperluan untuk koordinasi penerapan tindakan perbaikan mitigasi
risiko Pelaksanaan koordinasi dihitung untuk setiap mitigasi suatu risiko
I.B.007 menyusun penilaian risiko keamanan informasi
Deskripsi : Kegiatan penyusunan identifikasi risiko dengan menilai berdasarkan tingkat kemungkinan risiko tersebut terjadi
dan perkiraan dampak yang dapat ditimbulkan akibat risiko yang muncul.
3. Matriks Risiko
2. Laporan penilaian risiko
3. Matriks nilai risiko
Hasil Kerja : laporan penilaian risiko
I.B.008 memvalidasi risk register termasuk langkah mitigasinya
Deskripsi : Melakukan validasi risk register secara berkala. Validasi dapat mencakup:
1. Aplikasi Umum
2. Aplikasi Khusus
3. Aplikasi Pendukung
4. SE atau Aset Informasi lainnya yang menimbulkan risiko bagi instansi Yang masing-masing dibahas dari aspek:
1. Data Informasi
2. Perangkat Lunak lainnya
3. Jaringan Internal (LAN & WAN)
4. Jaringan Eksternal (Internet & Koneksi pihak ketiga)
5. Perangkat Keras
6. SDM
7. Layanan Eksternal
8. Fasilitas dan Infrastruktur
9. Kerangka kerja
Metodologi : ISO/IEC 27005 atau ISO/IEC 31000
Prasyarat : 1. Daftar risiko
2. Ambang batas penerimaan risiko
3. Matriks penilaian risiko
2. Daftar Risiko yang telah divalidasi
Hasil Kerja : laporan validasi kajian risiko (risk register)
Batasan Penilaian : Penilaian unit angka kredit diberikan untuk setiap area bahasan risiko. Penilaian dapat dilakukan setiap
kuartal atau setelah terjadi perubahan yang signifikan pada organisasi, sistem elektronik atau lingkungan risiko.
I.B.009 memverifikasi risk register termasuk langkah mitigasinya
Deskripsi : Melakukan verifikasi kelengkapan, validitas, kemutakhiran dan akurasi risk register secara
berkala. Verifikasi dapat mencakup:
1. Aplikasi Umum
2. Aplikasi Khusus
3. Aplikasi Pendukung
4. SE atau Aset Informasi lainnya yang menimbulkan risiko bagi instansi Yang masing-masing dibahas dari aspek:
1. Data Informasi
2. Perangkat Lunak lainnya
3. Jaringan Internal (LAN & WAN)
4. Jaringan Eksternal (Internet & Koneksi pihak ketiga)
5. Perangkat Keras
6. SDM
7. Layanan Eksternal
8. Fasilitas dan Infrastruktur
9. Kerangka kerja
Metodologi : ISO/IEC 27005 atau ISO/IEC 31000

2. Daftar Risiko yang telah divalidasi
Hasil Kerja : laporan verifikasi kajian risiko (risk register)
Batasan Penilaian : Penilaian unit angka kredit diberikan untuk setiap area bahasan
risiko. Penilaian dapat dilakukan setiap kuartal atau setelah terjadi perubahan yang signifikan pada
organisasi, sistem
elektronik atau lingkungan risiko.
I.B.010 membuat risk register terkait hubungan kerja dengan pihak ketiga
Deskripsi : Penyusunan dokumen risk register dalam kemungkinan timbulnya risiko akibat aspek keterkaitan hubungan
dengan pihak ketiga.
Daftar risiko yang disusun mencakup aspek teknis, fisik, sumber daya manusia dan prosedural.
Prasyarat : 1. Kebijakan Keamanan Informasi
4. Matriks Risiko
5. Daftar Aset Informasi
6. Kontrak kerjasama pihak ketiga
7. Identifikasi risiko pihak ketiga (I.B.008)
2. Risk register
Hasil Kerja : risk register terkait hubungan kerja dengan pihak ketiga
I.B.011 mengidentifikasi rencana mitigasi risiko
Deskripsi : Kegiatan melakukan identifikasi rencana tindakan-tindakan untuk mengontrol atau mencegah terjadinya risiko
yang akan menimbulkan dampak kerusakan/kerugian dan untuk mengurangi probabilitas risiko tersebut terjadi.
2. Laporan identifikasi rencana mitigasi risiko
Hasil Kerja : dokumen identifikasi rencana mitigasi risiko
I.B.012 menerapkan langkah mitigasi bersama pemilik risiko
Deskripsi : Mengarahkan, memberi masukan, membantu, dan memantau penerapan langkah mitigasi bersama-sama
dengan pemilik risiko.
4. Usulan/Identifikasi mitigasi risiko
2. Laporan pelaksanaan penerapan langkah mitigasi risiko
Hasil Kerja : laporan penerapan mitigasi risiko
Batasan Penilaian : Untuk setiap langkah mitigasi
I.B.013 menyusun tindakan perbaikan mitigasi risiko yang belum efektif
Deskripsi : Kegiatan penyusunan tindakan perbaikan mitigasi risiko yang masih berada diatas nilai batas penerimaan
risiko organisasi.
Prasyarat : -
2. Laporan analisis mitigasi risiko keamanan informasi
3. Rencana dan laporan pelaksanaan Mitigasi Risiko
Hasil Kerja : dokumen langkah perbaikan mitigasi risiko yang belum efektif
I.B.014 memantau proses penerapan mitigasi risiko keamanan informasi dan proses perbaikan yang diperlukan
Deskripsi : Kegiatan pemantauan prosedur penerapan mitigasi risiko keamanan informasi dengan mengacu kepada hasil
mitigasi untuk menurunkan tingkat kemungkinan dan dampak dari risiko yang ditimbulkan. Jika prosedur
mitigasi masih belum memenuhi kriteria nilai batas penerimaan risiko maka diberikan saran masukan untuk
perbaikan tindakan
mitigasi risikonya.
3. Matriks Risiko
2. Laporan pemantauan mitigasi risiko keamanan informasi
Hasil Kerja : laporan pemantauan proses penerapan mitigasi risiko keamanan informasi dan proses perbaikan yang diperlukan
Pelaksanaan pemantauan dihitung untuk setiap mitigasi suatu risiko
I.B.015 mengevaluasi dan menyusun mitigasi risiko keamanan informasi terhadap penyelenggaraan sistem elektronik untuk
Lingkup kegiatan adalah perumusan dan evaluasi kontrol mitigasi risiko keamanan informasi
dalam penyelenggaraan sistem elektronik (khususnya Aplikasi Khusus dan SE terkait mitigasi risiko)
4. Matriks Risiko
2. Dokumen laporan evaluasi mitigasi risiko
Hasil Kerja : dokumen hasil evaluasi mitigasi risiko keamanan informasi terhadap penyelenggaraan sistem elektronik untuk
Batasan Penilaian : Secara periodik sesuai dengan mekanisme Manajemen Risiko atau setiap ada review risiko
I.B.016 mengkaji ulang tingkat efektifitas mitigasi risiko keamanan informasi yang telah berjalan
Deskripsi : Kegiatan analisis efektivitas tindakan perbaikan mitigasi risiko yang masih berada diatas nilai batas
penerimaan risiko organisasi.
3. Matriks Risiko
5. Laporan Mitigasi Risiko
2. Laporan analisis efektivitas mitigasi risiko keamanan informasi
3. Laporan evaluasi mitigasi risiko
4. Dokumen Risk Treatment Process
Hasil Kerja : laporan kaji-ulang tingkat efektifitas mitigasi risiko keamanan informasi yang sudah berjalan
Batasan Penilaian : Setiap siklus Manajemen Risiko Organisasi (maksimal setiap kuartal)
I.B.017 menyusun kajian risiko (risk register)
Deskripsi : Kegiatan penyusunan dokumen risk register yang bersumber dari proses identifikasi potensi kejadian-kejadian risiko
yang mungkin timbul dan akar penyebabnya (root cause) dengan disertai dokumentasi terhadap karakteristik
dari risiko-risiko tersebut. Kemudian dilanjutkan dengan melakukan skala prioritas terhadap risiko-
risiko untuk dianalisis lebih lanjut dengan memperkirakan dan menggabungkan probabilitas dan dampak
untuk menghasilkan status risiko (seberapa berbahanya suatu kejadian risiko bagi organisasi). Untuk masing-
masing masing risiko yang telah teridentifikasi diberikan pembobotan nilai kemungkinan dan dampak untuk proses
kalkukasi nilai dari setiap
risiko tersebut.
3. Matriks Risiko
2. Dokumen risk register
Hasil Kerja : laporan kajian risiko (risk register)
I.B.018 menyusun strategi manajemen risiko keamanan informasi
Deskripsi : Penyusunan kerangka kerja dan strategi manajemen risiko keamanan informasi bagi seluruh lingkup
instransi, termasuk aspek:
1. Konteks manajemen risiko keamanan informasi
2. Penetapan dampak risiko
4. Kriteria penetapan penerimaan risiko (Risk Accepatnce)
5. Kriteria atau pedoman keputusan untuk memindahkan risiko kepada pihak lain (transfer risk),
menghindari risiko (avoid risk), mengurangi efek negatif risiko (mitigate risk), dan menerima sebagian atau semua
konsekuensi risiko tertentu (accept risk)
Prasyarat : Peraturan perundangan yang relevan (UU ITE, PP PSTE, dll)
2. Dokumen usulan strategi manajemen risiko keamanan informasi
Hasil Kerja : dokumen strategi manajemen risiko keamanan informasi
Batasan Penilaian : Setiap siklus kaji ulang Manajemen Risiko Organisasi
I.B.019 menerapkan strategi manajemen risiko keamanan informasi
Deskripsi : Pengawasan dan pembahasan penerapan/implementasi strategi manajemen risiko keamanan informasi secara
berkala (setiap bulan) yang meliputi:
1. Status (kelengkapan, validasi dan akurasi) daftar risiko
2. Perubahan pada daftar risiko (mitigasi risiko, kegagalan kontrol, insiden)
3. Perubahan pada lingkungan operasional (organisasi, SDM, faktor eksternal) yang berdampak pada profil risiko
4. Status mitigasi risiko
5. Kendala
Prasyarat : 1. Kebijakan manajemen risiko
2. Matriks Risiko
2. Notulen pengawasan dan pembahasan penerapan strategi manajemen risiko keamanan informasi
Hasil Kerja : laporan pelaksanaan strategi manajemen risiko keamanan informasi
Batasan Penilaian : Dilakukan setiap bulan sesuai penugasan
I.B.020 merumuskan hasil kajian risiko keamanan informasi terhadap penyelenggaraan sistem elektronik untuk pelayanan publik di
sektor terkait
Lingkup kegiatan adalah penyusunan rekomendasi hasil kajian risiko keamanan informasi keamanan
informasi dalam penyelenggaraan sistem elektronik (khususnya Aplikasi Khusus dan SE terkait milik sektor) yang
digunakan untuk pelayanan publik di sektor terkait
Metodologi : Standar Manajemen Risiko ISO: 31000, 27005 atau Standar Manajemen Risiko organisasi
4. Matriks Risiko
2. Dokumen laporan hasil kajian risiko keamanan informasi
Hasil Kerja : dokumen hasil kajian risiko keamanan informasi terhadap penyelenggaraan sistem elektronik untuk pelayanan
publik di sektor terkait
I.B.021 membuat rekomendasi hasil kajian risiko keamanan informasi keamanan informasi terkait dengan penyelenggaraan sistem
elektronik untuk pelayanan publik di sektor terkait
Lingkup kegiatan adalah penyusunan rekomendasi hasil kajian risiko keamanan informasi keamanan
informasi dalam penyelenggaraan sistem elektronik (khususnya Aplikasi Khusus dan SE terkait milik sektor) yang
digunakan untuk pelayanan publik di sektor terkait.
Lingkup bahasan mencakup aspek strategis dari risiko pada SE publik di suatu sektor – mengacu pada
ancaman skala nasional/regional. Aspek yang dapat dibahas:
1. Jenis ancaman
2. Kelemahan Umum
5. Peluang dampak
4. Matriks Risiko
2. Dokumen laporan evaluasi hasil kajian risiko keamanan informasi
Hasil Kerja : dokumen rekomendasi rekomendasi hasil kajian risiko keamanan informasi di sektor terkait
I.B.022 merumuskan dan mengevaluasi kebijakan mitigasi risiko keamanan informasi terkait dengan penyelenggaraan sistem
elektronik untuk pelayanan publik di sektor terkait
Lingkup kegiatan adalah perumusan dan evaluasi kebijakan kontrol mitigasi risiko keamanan informasi
dalam penyelenggaraan sistem elektronik (khususnya Aplikasi Khusus dan SE terkait milik sektor) yang digunakan
dalam pelayanan publik.
Lingkup bahasan mencakup aspek strategis dari risiko pada SE publik di suatu sektor – mengacu pada
ancaman skala nasional/regional. Aspek yang dapat dibahas:
1. Jenis ancaman
2. Kelemahan Umum
5. Peluang dampak
4. Matriks Risiko
2. Dokumen laporan evaluasi kebijakan mitigasi risiko
Hasil Kerja : kebijakan mitigasi risiko keamanan informasi di sektor terkait
I.B.023 menyusun kerangka kerja manajemen risiko keamanan informasi terhadap penyelenggaraan sistem elektronik untuk
Lingkup kegiatan adalah penyusunan usulan kerangka kerja manajemen risiko keamanan informasi terhadap
penyelenggaraan sistem elektronik (khususnya Aplikasi Khusus dan SE terkait milik sektor) untuk pelayanan publik
di sektor terkait yang meliputi tahapan penetapan konteks risiko, identifikasi risiko, analisis risiko, mitigasi risiko,
dan evaluasi risiko.
Aspek yang dibahas dalam kerangka kerja minimal mencakup:
1. Definisi risiko pada sektor
2. Peran, tugas dan tanggung-jawab dalam mengelola risiko
3. Dampak risiko SE Sektor dalam konteks sektoral dan regional/nasional
4. Kejadian/Ancaman, kelemahan, kemungkinan dan dampak Risiko
5. Kriteria penerimaan risiko
6. Strategi mitigasi risiko
7. Pemantauan perkembangan/perubahan risiko
8. Pemeliharaan dan pemutakhiran kerangka kerja
Prasyarat : Peraturan Perundangan termasuk yang terkait Sektor Dokumen SE milik Sektor
2. Draf dokumen kerangka kerja manajemen risiko keamanan informasi
Hasil Kerja : konsep kerangka kerja manajemen risiko keamanan informasi terhadap penyelenggaraan sistem elektronik untuk
Batasan Penilaian : Setiap periode siklus evaluasi Manajemen Risiko (misal setiap 3 atau 5 tahun)
Kegiatan dapat dilakukan untuk menyusun atau mengkaji-ulang keranga kerja
I.B.024 mengkaji ulang tingkat efektifitas mitigasi risiko keamanan informasi
Deskripsi : Kegiatan menganalisis kembali efektivitas mitigasi risiko untuk mengurangi dampak risiko keamanan
informasi. Kegiatan ini dilakukan apabila ada mitigasi risiko yang sedang diterapkan.
Apabila mitigasi risiko dianggap telah efektif, daftar risiko dimutakhirkan dengan memasukkan status/kondisi
kontrol hasil mitigasi.
Metodologi : Standar manajemen risiko ISO: 31000 atau standar manajemen risiko organisasi
3. Matriks Risiko
4. Daftar Risiko
5. Rencana dan pelaksanaan mitigasi risiko
2. Laporan analisis efektivitas mitigasi risiko keamanan informasi
Hasil Kerja : dokumen hasil kaji-ulang tingkat efektifitas mitigasi risiko keamanan informasi
Batasan Penilaian : Setiap siklus pemantauan dan evaluasi mitigasi risiko (maksimal setiap bulan) atau/dan saat mitigasi risiko selesai
dilakukan
I.B.025 menganalisis perubahan kerangka kerja dan strategi manajemen risiko
Deskripsi : Analisis keperluan perubahan terhadap kerangka kerja dan strategi manajemen risiko yang dapat disebabkan oleh:
1. Adanya peraturan perundangan baru
2. Perubahan struktur organisasi, NSPK
3. Perubahan lingkungan operasional
Analisis dilakukan terkait perubahan dan dampaknya pada aspek:
1. Konteks manajemen risiko keamanan informasi
2. Penetapan dampak risiko
4. Kriteria penetapan penerimaan risiko (Risk Acceptance)
5. Kriteria atau pedoman keputusan untuk memindahkan risiko kepada pihak lain (transfer risk),
menghindari risiko (avoid risk), mengurangi efek negatif risiko (mitigate risk), dan menerima sebagian atau semua
konsekuensi
risiko tertentu (accept risk)
Prasyarat : 1. Peraturan perundangan
2. Kerangka kerja manajemen risiko
3. Laporan penerapan strategi manajemen risiko
2. Usulan perubahan terhadap kerangka kerja dan strategi manajemen risiko keamanan informasi
Hasil Kerja : dokumen hasil analisis perubahan kerangka kerja dan strategi manajemen risiko keamanan informasi
Batasan Penilaian : Dilakukan apabila terjadi perubahan yang memerlukan penyesuaian terhadap kerangka kerja dan
strategi manajemen risiko keamanan informasi.
I.B.026 mengembangkan metodologi untuk evaluasi kelaikan langkah-langkah mitigasi risiko yang diterapkan dalam sistem
elektronik
Deskripsi : Mengembangkan metodologi untuk mengevaluasi sejauh mana langkah mitigasi yang direncanakan nantinya akan
mengubah kondisi atau profil risiko. Evaluasi melibatkan pengukuran terhadap efektivitas dan/atau
konsistensi penerapan kontrol pengamanan sehingga merubah profil risiko yang bermasalah. Pengukuran
dilakukan dengan menetapkan metrik terkait kontrol keamanan yang diusulkan pada rencana mitigasi. Metrik
untuk evaluasi kelaikan langkah-langkah mitigasi risiko, ditetapkan sesuai dengan jenis/tujuan kontrol
keamanan yang akan diterapkan. Sasaran peningkatan/perbaikan kontrol keamanan ditetapkan sesuai
dengan target profil risiko yang dihatrapkan.
Metodologi : ISO/IEC 27004 atau rujukan metrik lainnya yang relevan
Prasyarat : 1. Matriks risiko
2. Daftar risiko
3. Rencana mitigasi risiko
4. Laporan pengukuran efektivitas kontrol keamanan
2. Metrik pengukuran rencana mitigasi risiko
3. Laporan evaluasi efektivitas langkah mitigasi risiko
Hasil Kerja : dokumen metodologi untuk evaluasi kelaikan langkah-langkah mitigasi risiko yang diterapkan dalam sistem
elektronik
Batasan Penilaian : Dilakukan maksimal setiap kuartal sesuai rencana mitigasi risiko yang ada
I.B.027 menyesuaikan strategi manajemen risiko keamanan informasi untuk menindaklanjuti perubahan pada kondisi dan lingkungan
instansi
Deskripsi : Kegiatan penyesuaian penerapan strategi manajemen risiko keamanan informasi sebagai kelanjutan dari
(setelah) adanya perubahan pada kondisi dan lingkungan instansi. Penyesuaian strategi meliputi
keputusan yang sebelumnya sudah diambil untuk:
1. memindahkan risiko kepada pihak lain (transfer risk)
2. menghindari risiko (avoid risk)
3. mengurangi efek negatif risiko (mitigate risk)
4. menerima sebagian atau semua konsekuensi risiko tertentu (accept risk).
Metodologi : Standar Manajemen Risiko ISO: 31000 atau Standar Manajemen Risiko
Organisasi Keputusan penyesuaian penerapan strategi manajemen risiko keamanan informasi dapat
dilakukan dengan menetapkan kembali langkah mitigasi yang ada, melakukan perubahan terhadap langkah
mitigasi, mengganti
langkah mitigasi atau menerapkan langkah mitigasi baru untuk menambah yang sudah ada.
2. Daftar mitigasi risiko
3. Kajian perubahan kondisi dan lingkungan instansi
2. Laporan penyesuaian strategi manajemen risiko keamanan informasi
Hasil Kerja : dokumen perubahan strategi manajemen risiko keamanan informasi
Batasan Penilaian : Insidentil
I.C.001 mengumpulkan data terkait Norma, Standar, Prosedur dan Kriteria (NSPK) sistem pengamanan
Deskripsi : Merupakan kegiatan mengumpulkan data sistem pengamanan yang meliputi:

1. Norma sistem pengamanan
2. Standar sistem pengamanan
3. Prosedur sistem pengamanan
4. Kriteria sistem pengamanan
Metodologi : -
Prasyarat : -
2. Data Norma, Standar, Prosedur dan Kriteria Sistem Pengamanan
Hasil Kerja : data dan informasi mengenai NSPK Sistem Pengamanan
I.C.002 menyusun kompilasi peraturan perundang-undangan di bidang SMKI
Deskripsi : Menyatukan secara terstruktur atau tersistematis kumpulan peraturan perundang-undangan di bidang sistem
manajemen keamanan informasi
Metodologi : 1. Data primer (wawancara, observasi)
2. Data sekunder (kebijakan, pedoman)
Prasyarat : -
Bukti Fisik : Dokumen hasil kompilasi peraturan perundang-undangan di bidang sistem manajemen keamanan informasi
Hasil Kerja : laporan kompilasi peraturan perundang-undangan di bidang SMKI
Batasan Penilaian : Dokumen hasil kompilasi peraturan perundang-undangan di bidang sistem manajemen keamanan informasi
I.C.003 mengidentifikasi peraturan perundang-undangan di bidang SMKI
Deskripsi : Mengidentifikasi peraturan perundang-undangan di bidang sistem manajemen keamanan informasi

Metodologi : Empiris
Prasyarat : -
Bukti Fisik : Dokumen laporan hasil identifikasi peraturan perundang-undangan di bidang sistem manajemen
keamanan informasi
Hasil Kerja : daftar peraturan perundang-undangan di bidang SMKI
Batasan Penilaian : Dokumen laporan hasil identifikasi peraturan perundang-undangan di bidang sistem manajemen
keamanan informasi
I.C.004 mengklasifikasikan peraturan perundang-undangan di bidang SMKI
Deskripsi : Mengelompokkan dan memberi derajat peraturan perundang-undangan di bidang sistem manajemen
keamanan informasi
Prasyarat : -
Bukti Fisik : Dokumen hasil klasifikasi peraturan perundang-undangan di bidang sistem manajemen keamanan informasi
Hasil Kerja : daftar klasifikasi peraturan perundang-undangan di bidang SMKI
Batasan Penilaian : Dokumen hasil klasifikasi peraturan perundang-undangan di bidang sistem manajemen keamanan informasi
I.C.005 menganalisis peraturan perundang-undangan di bidang SMKI
Deskripsi : Menguraikan dan mengelompokkan aturan perundang-undangan di bidang sistem manajemen keamanan informasi
Prasyarat : -
Bukti Fisik : Dokumen laporan hasil analisis peraturan perundang-undangan di bidang sistem manajemen keamanan informasi
Hasil Kerja : laporan hasil analisis peraturan perundang-undangan di bidang SMKI
Batasan Penilaian : Dokumen laporan hasil analisis peraturan perundang-undangan di bidang sistem manajemen keamanan informasi
I.C.006 mengidentifikasi peraturan hukum yang berlaku terkait SMKI
Deskripsi : Mengidentifikasi peraturan hukum yang berlaku terkait sistem manajemen kemanan informasi adalah melakukan
kegiatan pengumpulan, pendokumentasian aturan terkait sistem manajemen keamanan informasi
Metodologi : Observasi, ISO 27001
Prasyarat : -
2. Laporan yang berisi hasil identifikasi peraturan hukum
Hasil Kerja : laporan identifikasi peraturan hukum yang berlaku
Batasan Penilaian : 12 kali dalam setahun
I.C.007 mengumpulkan data isu kebijakan di bidang SMKI
Deskripsi : Kegiatan mengumpulkan data isu-isu kebijakan di bidang sistem manajemen keamanan informasi dan menganalisis
isu yang diperoleh tersebut untuk mengetahui kemungkinan dampaknya jika diterapkan terhadap sistem elektronik
yang ada
Prasyarat : -
Bukti Fisik : Penugasan tertulis
Dokumen hasil kegiatan berupa deskripsi isu dan analisisnya
Hasil Kerja : data isu kebijakan di bidang SMKI
I.C.008 mengumpulkan data identifikasi isu-isu terkait penerapan kebijakan di bidang SMKI
Deskripsi : Kegiatan membuat atau mengumpulkan data mengenai definisi terkait isu-su penerapan kebijakan di bidang sistem
manajemen keamanan informasi Kegiatan mengevaluasi penerapan kebijakan dengan mengumpulkan data dan isu
hasil penerapan kebijakan terhadap sistem yang terpasang
Metodologi : -
Prasyarat : -
2. Laporan kegiatan
Hasil Kerja : data isu terkait penerapan kebijakan di bidang SMKI
I.C.009 mengidentifikasi isu-isu aktual di bidang SMKI
Deskripsi : Mengenali dan mendokumentasikan isu-isu terkini di bidang sistem manajemen keamanan
informasi Identifikasi isu-isu terkait ketidaksesuaian terhadap kebijakan SMKI
yang ada. Ketidaksesuaian yang dapat dibahas:
1. Perubahan struktur organisasi atau proses kerja
2. Perubahaan infrastruktur teknologi (SE)
3. Perubahan peraturan perundangan
4. Perubahan standar
5. Masukan dari pihak terkait
2. Data sekunder (kebijakan, pedoman, jurnal)
Prasyarat : -
Bukti Fisik : Dokumen hasil identifikasi isu-isu aktual di bidang sistem manajemen keamanan informasi
Hasil Kerja : laporan identifikasi isu aktual di bidang SMKI
Batasan Penilaian : Dokumen hasil identifikasi isu-isu aktual di bidang sistem manajemen keamanan
informasi Setiap aspek perubahan (butir 1-5) menghasilkan satu kali angka kredit. Dilakukan minimal 1 kali dalam
setahun
I.C.010 menganalisis isu aktual di bidang SMKI
Deskripsi : Menguraikan dan mengelompokkan isu-isu terkini di bidang sistem manajemen keamanan
informasi Analisis terkait ketidaksesuaian yang dapat dibahas:
1. Perubahan struktur organisasi atau proses kerja
2. Perubahaan infrastruktur teknologi (SE)
3. Perubahan peraturan perundangan
4. Perubahan standar
5. Masukan dari pihak terkait
2. Data sekunder (kebijakan, pedoman, jurnal)
Prasyarat : -
Bukti Fisik : Dokumen hasil analisis isu-isu aktual di bidang sistem manajemen keamanan informasi
Hasil Kerja : laporan hasil analisis isu aktual di bidang SMKI
Batasan Penilaian : Dokumen hasil analisis isu-isu aktual di bidang sistem manajemen keamanan
informasi Setiap analisis dari perubahan (butir 1-5) menghasilkan satu kali angka kredit. Dilakukan minimal
1 kali dalam setahun
I.C.011 menyiapkan bahan terkait isu-isu kebijakan di bidang SMKI
Deskripsi : Kegiatan analisis dalam bentuk matrik terkait isu-isu kebijakan dan dampaknya di bidang sistem manajemen
keamanan informasi
Metodologi : -
Prasyarat : -
2. Laporan hasil
Hasil Kerja : data untuk setiap isu-isu kebijakan
I.C.012 mengadakan diskusi publik atas regulasi di bidang SMKI
Deskripsi : Melaksanakan forum diskusi publik secara tatap muka dan/atau daring dalam menyamakan pemahaman, bertukar
gagasan, atau mencari solusi terkait regulasi di bidang sistem manajemen keamanan informasi
Metodologi : Tatap muka dan/atau daring
Prasyarat : -
2. Laporan diskusi publik
3. Bukti kehadiran peserta forum diskusi
Hasil Kerja : laporan diskusi publik atas regulasi di bidang SMKI
Batasan Penilaian : Terlaksananya kegiatan forum diskusi publik
I.C.013 menyiapkan bahan penyusunan naskah akademis atas isu-isu kebijakan di bidang SMKI
Deskripsi : Terlibat dalam Kegiatan menuangkan isu-isu kebijakan di bidang sistem manajemen keamanan informasi kedalam
naskah akademis. Dapat dalam bentuk makalah atau
penelitian. Kegiatan melakukan pengkajian terhadap isu yang diperoleh dengan menggunakan kaidah
akademis dan
menuangkannya ke dalam dokumen.
Prasyarat : -
Bukti Fisik : penugasan tertulis
Naskah yang telah ditetapkan
Hasil Kerja : laporan desk study isu-isu kebijakan di bidang SMKI
I.C.014 melaksanakan forum diskusi terkait dengan isu kebijakan di bidang SMKI
Deskripsi : Menyusun rancangan pelaksanaan kegiatan forum, Mengorganisir atau sebagai Panitia, Mengikuti
atau melaksanakan kegiatan dalam forum diskusi mengenai isu-isu kebijakan di bidang sistem manajemen
keamanan
informasi
Metodologi : Diskusi, Forum
Prasyarat : -
2. Daftar hadir
3. Laporan Kegiatan
Hasil Kerja : laporan forum diskusi terkait dengan isu-isu kebijakan di bidang SMKI
I.C.015 menyusun naskah Regulatory Impact Analysis (RIA) di bidang SMKI
Deskripsi : Melakukan perumusan naskah Regulatory Impact Analysis (RIA) untuk mengkaji dampak suatu kebijakan
terkait keamanan informasi sebelum kebijakan tersebut ditetapkan.
Metodologi : Pengumpulan Data Kebijakan Keamanan Informasi (Wawancara dan Studi Pustaka)
Prasyarat : -
2. Laporan penyusunan naskah Regulatory Impact Analysis (RIA) mencakup:
a. Latar Belakang
Menjelaskan tentang alasan disusunnya dokumen naskah Regulatory Impact Analysis (RIA).
b. Perumusan Masalah
Melakukan Identifikasi dan analisis masalah yang berkaitan dengan peraturan yang baru dan atau peraturan yang
sedang berlaku. Dalam tahap ini dilakukan perumusan masalah atau isu yang menimbulkan
kebutuhan untuk menerbitkan suatu kebijakan.
c. Identifikasi Tujuan
Menentukan sasaran/tujuan yang akan dicapai dengan cara mengidentifikasi tujuan.
d. Alternatif Tindakan
Pengembangan pilihan untuk memecahkan masalah yang diidentifikasi, yaitu mengidentifikasi beberapa
alternatif tindakan (opsi) dalam rangka mencapai tujuan dan sasaran yang telah dirumuskan sebelumnya.
e. Analisis Manfaat dan Biaya
Melakukan analisis nilai biaya dan manfaat dari setiap tindakan alternatif yang digunakan.
f. Pemilihan Tindakan
Penentuan pemilihan tindakan dilakukan berdasarkan analisis manfaat dan biaya.
g. Penyusunan Strategi Implementasi
Melakukan penyusunan strategi implementasi kebijakan.
h. Konsultasi Kepada Stakeholder
Melakukan konsultasi dengan stakeholder terkait mengenai naskah Regulatory Impact Analysis (RIA).
i. Kesimpulan
Hasil Kerja : dokumen hasil Regulatory Impact Analysis (RIA) di bidang SMKI
I.C.016 menyusun naskah akademik di bidang SMKI
Deskripsi : Kegiatan mengidentifikasi dan menginventarisir masalah, menganalisis dan menyusun naskah akademik
terkait bidang sistem manajemen keamanan informasi dalam bentuk buku, makalah atau penelitian.
Metodologi : -
Prasyarat : -
2. Dokumen naskah akademik yang telah ditetapkan
Hasil Kerja : naskah akademik di bidang SMKI
I.C.017 melaksanakan forum diskusi terkait penyusunan naskah akademik di bidang SMKI
Deskripsi : Menyusun rancangan pelaksanaan kegiatan forum, Mengorganisir atau sebagai Panitia, Melakukan
pembahasan formal yang bertujuan untuk merumuskan kebutuhan penyusunan/pemutakhiran naskah akademik
terkait sistem keamanan informasi berdasarkan informasi dari pihak - pihak terkait.
Metodologi : -
Prasyarat : -
2. Laporan pelaksanaan kegiatan forum diskusi yang mencakup:
a. Topik
Menjelaskan topik diskusi
b. Agenda dan materi diskusi
Menjelaskan agenda diskusi dilengkapi dengan materi diskusi (khusus untuk penggagas)
c. Hasil diskusi
Rangkuman dari hasil diskusi dan menguraikan keputusan atau perumusan yang dihasilkan
d. Daftar peserta
Daftar hadir peserta yang berisi nama, unit asal, dan tanda tangan
Hasil Kerja : laporan forum diskusi terkait dengan penyusunan naskah akademik di bidang SMKI
I.C.018 menyiapkan naskah rekomendasi kebijakan di bidang SMKI
Deskripsi : kegiatan mengumpulkan literature untuk naskah rekomendasi kebijakan di bidang sistem manajemen
keamanan informasi
Kegiatan mengidentifikasi ruang lingkup kebijakan yang akan disusun, mengumpulkan literature yang terkait,
menganalisis keterhubungan dengan kebijakan yang telah ada dan menyusun naskah rekomendasi kebijakan
dimaksud
Kebijakan dapat mencakup kebutuhan internal organisasi ataupun yang lebih luas.
Prasyarat : -
Bukti Fisik : 1. Penugasan
2. Dokumen litarature
3. Dokumen Naskah rekomendasi kebijakan
Hasil Kerja : naskah rekomendasi kebijakan di bidang SMKI
I.C.019 membuat rekomendasi kebijakan keamanan informasi yang tersedia untuk umum atau publik
Deskripsi : Melakukan penelaahan penerapan keamanan informasi yang dipublikasi, dan menyusun rekomendasi
kebijakan terkait area tersebut pada suatu instansi.
Metodologi : Analisis kebutuhan, SNI/ISO 27001.
Prasyarat : -
2. Bukti publikasi
c. Pembahasan/uraian dapat meliputi:
• Identifikasi risiko yang dimiliki instansi terhadap keamanan informasi pada area umum atau publik;
• Analisis kebutuhan instansi terhadap perlindungan informasi pada area umum atau publik;
• Tinjauan atas hukum, peraturan, perjanjian, standar atau best practice yang dapat dijadikan referensi
dalam pengamanan informasi pada area umum atau publik;
• Analisis, pertimbangan dan usulan kebijakan keamanan informasi yang tersedia untuk umum atau publik yang
dapat diterapkan pada instansi.
d. Penutup (berupa kesimpulan dan saran).
Hasil Kerja : dokumen rekomendasi kebijakan keamanan informasi yang tersedia untuk umum atau publik
Batasan Penilaian : Dilakukan untuk setiap dokumen yang dipublikasi
I.C.020 melaksanakan kebijakan dan standar sistem manajemen pengamanan informasi
Deskripsi : Melaksanakan kebijakan dan standar sistem manajemen pengamanan informasi

Prasyarat : -
Bukti Fisik : Dokumen berisi hasil tinjauan manajemen
Hasil Kerja : laporan pelaksanaan kebijakan dan standar SMKI
Batasan Penilaian : Dokumen berisi hasil tinjauan manajemen
I.C.021 mengumpulkan bahan pemetaan keamanan informasi nasional
Deskripsi : Melakukan pengumpulan bahan – bahan yang dibutuhkan guna melakukan pemetaan terkait keamanan informasi
yang relevan dari berbagai sumber
Metodologi : Wawancara dan Studi Pustaka
Prasyarat : -
2. Kumpulan dokumentasi bahan – bahan pemetaan keamanan informasi
Hasil Kerja : data dan informasi mengenai peta keamanan informasi nasional
I.C.022 membuat peta keamanan informasi nasional
Deskripsi : Terlibat dalam kegiatan Membuat Peta Keamanan Informasi Nasional adalah kegiatan menyusun suatu Peta
Keamanan Informasi berskala Nasional
Prasyarat : -
2. Dokumen Peta Keamanan Informasi Nasional yang mencakup:
a. Pendahuluan
Terdiri dari maksud dan tujuan, ruang lingkup, landasan hukum, dasar pelaksanaan dan jangka waktu
b. Gambaran Umum
c. Metodologi Penyusunan
d. Penyusunan Peta Keamanan Informasi
e. Kesimpulan dan Saran
Hasil Kerja : dokumen peta keamanan informasi nasional
I.C.023 menganalisis peta keamanan informasi nasional
Deskripsi : Terlibat dalam Melakukan kegiatan analisis terhadap Peta Keamanan Informasi Nasional yang ada apakah
sudah sesuai dengan kondisi saat ini
Prasyarat : -
2. Dokumentasi hasil kegiatan analisis
Hasil Kerja : dokumen analisis peta keamanan informasi nasional
I.C.024 melaksanakan forum diskusi terkait dengan peta keamanan informasi nasional
pembahasan formal yang bertujuan untuk merumuskan kebutuhan penyusunan/pemutakhiran Peta
Keamanan Informasi Nasional berdasarkan informasi dari pihak - pihak terkait.
Metodologi : -
Prasyarat : -
a. Topik
c. Hasil diskusi
d. Daftar peserta
Hasil Kerja : laporan forum diskusi terkait dengan peta keamanan informasi nasional
I.C.025 menyiapkan bahan masterplan atau blueprint di bidang SMKI
Deskripsi : Melakukan pengumpulan bahan – bahan terkait penyusunan masterplan atau blueprint terkait perangkat jaringan
(perangkat keras, perangkat lunak dan pengaturannya) di Bidang sistem manajemen keamanan informasi
yang relevan dari berbagai sumber
Metodologi : Pengumpulan bahan – bahan terkait penyusunan masterplan atau blueprint (Wawancara dan Studi Pustaka
dan
Studi Banding)
Prasyarat : -
2. Kumpulan dokumentasi bahan – bahan penyusunan masterplan atau blueprint
Hasil Kerja : data dan informasi mengenai masterplan/blueprint di bidang SMKI
I.C.026 menganalisis masterplan di bidang SMKI
Deskripsi : Melakukan analisis terkait masterplan yang telah disusun apakah sudah sesuai dan berjalan dengan optimal atau
mengalami perubahan teknologi/versi
Metodologi : Wawancara dan studi pustaka
Prasyarat : -
2. Dokumentasi hasil kegiatan analisis
Hasil Kerja : hasil analisis masterplan di bidang SMKI
I.C.027 membuat dokumen master plan keamanan informasi nasional
Deskripsi : Terlibat dalam Melakukan kegiatan penyusunan/pemutakhiran dokumen terkait masterplan keamanan
informasi untuk layanan sistem elektronik yang digunakan secara Nasional
Prasyarat : -
2. Dokumen Masterplan mencakup:
a. Pendahuluan
Terdiri dari maksud dan tujuan, ruang lingkup, landasan hukum, dasar pelaksanaan dan jangka waktu
b. Gambaran Umum
c. Metodologi Penyusunan
d. Penyusunan Masterplan
e. Kesimpulan dan Saran
Hasil Kerja : dokumen masterplan keamanan informasi nasional
Batasan Penilaian : 1 kali per tahun
I.C.028 melaksanakan forum diskusi terkait master plan di bidang SMKI
pembahasan formal yang bertujuan untuk merumuskan kebutuhan penyusunan/pemutakhiran masterplan
keamanan informasi berdasarkan informasi dari pihak - pihak terkait
Metodologi : -
Prasyarat : -
a. Topik
Menjelaskan agenda diskusi dilengkapi dengan materi diskusi (khusus untuk penggagas).
c. Hasil diskusi
d. Daftar peserta
Daftar hadir peserta yang berisi nama, unit asal, dan tanda tangan.
Hasil Kerja : laporan forum diskusi terkait dengan masterplan di bidang SMKI
Batasan Penilaian : Maksimal 12 Kali per tahun
I.C.029 mengumpulkan data terkait Norma, Standar, Prosedur dan Kriteria (NSPK) tata kelola keamanan informasi
Deskripsi : Terlibat dalam Melakukan kegiatan pengumpulan data – data terkait Norma, Standar, Prosedur Dan Kriteria (NSPK)
Tata Kelola Keamanan Informasi yang relevan dari berbagai sumber dan melakukan identifikasi terhadap NSPK yang
sudah ataupun belum diterapkan
Metodologi : Wawancara, Diskusi dan Studi Pustaka
Prasyarat : -
2. Kumpulan dokumentasi data – data Norma, Standar, Prosedur Dan Kriteria (NSPK) terkait Tata Kelola Keamanan
Informasi
Hasil Kerja : data dan informasi mengenai NSPK tata kelola
I.C.030 menyiapkan norma, standar, prosedur dan kriteria (NSPK) SMKI
Deskripsi : Melakukan pengumpulan bahan berupa data atau informasi baik dalam bentuk cetak atau non cetak yang terkait
dengan Norma, Standar, Prosedur dan Kriteria (NSPK) sistem manajemen keamanan informasi
Metodologi : Pengumpulan bahan berupa data atau informasi dengan melakukan wawancara, observasi, FGD, studi
literatur (Undang- undang, Kebijakan, pedoman, dll).
Prasyarat : -
2. Dokumen yang berisi kumpulan sumber/referensi tentang Norma, Standar, Prosedur dan Kriteria (NSPK) sistem
manajemen keamanan informasi, seperti standard, peraturan, pedoman, SOP, dll (dalam bentuk tabel dan
disertakan lampirannya)
Hasil Kerja : dokumen norma, standar, prosedur dan kriteria (NSPK) SMKI
Batasan Penilaian : Terkumpulnya sumber/referensi tentang Norma, Standar, Prosedur dan Kriteria (NSPK) sistem manajemen
keamanan informasi yang disertai dengan data dukung
I.C.031 menganalisis norma, standar, prosedur dan kriteria (NSPK) SMKI
Deskripsi : Melakukan analiis sistem manajemen keamanan informasi yang mencakup:

1. Norma
2. Standar
3. Prosedur
4. Kriteria
Metodologi : -
Prasyarat : -
2. Dokumen Analisis sistem manajemen keamanan informasi
Hasil Kerja : hasil analisis norma, standar, prosedur dan kriteria (NSPK) SMKI
I.C.032 menganalisis norma, standar, prosedur dan kriteria (NSPK) tata kelola keamanan informasi
Deskripsi : Melakukan kegiatan menganalisis Norma, Standar, Prosedur dan Kriteria (NSPK) terkait Tata Kelola Keamanan
Informasi yang berlaku sebagai acuan untuk menyusun/memutakhirkan Norma, Standar, Prosedur dan
Kriteria (NSPK) Tata Kelola Keamanan Informasi tersebut untuk diimplementasikan atau dievaluasi
Prasyarat : -
2. Dokumen hasil analisis
Hasil Kerja : laporan hasil analisis norma, standar, prosedur dan kriteria (NSPK) tata kelola keamanan informasi
I.C.033 membuat norma, standar, prosedur dan kriteria (NSPK) tata kelola keamanan informasi
Deskripsi : Melakukan kegiatan penyusunan/pemutakhiran Norma, Standar, Prosedur Dan Kriteria (NSPK) terkait Tata Kelola
Keamanan Informasi
Prasyarat : -
Bukti Fisik : 1. Bukti penugasan tertulis; dan
2. Dokumen Norma, Standar, Prosedur Dan Kriteria (NSPK) Tata Kelola Keamanan Informasi
3. Dokumen Norma, Standar, Prosedur Dan Kriteria (NSPK) Tata Kelola Keamanan Informasi yang lama
(jika kegiatannya adalah pemutakhiran)
Hasil Kerja : dokumen norma, standar, prosedur dan kriteria (NSPK) tata kelola keamanan informasi
I.C.034 melaksanakan forum diskusi terkait dengan Norma, Standar, Prosedur dan Kriteria (NSPK) tata kelola keamanan informasi
Deskripsi : Melakukan pembahasan formal Terkait Dengan Norma, Standar, Prosedur Dan Kriteria (NSPK) Tata
Kelola Keamanan Informasi yang berlaku.
Metodologi : -
Prasyarat : -
a. Topik
c. Hasil diskusi
d. Daftar peserta
Hasil Kerja : pendapat ahli terkait dengan NSPK tata kelola
I.C.035 melaksanakan forum diskusi terkait dengan norma, standar, prosedur dan kriteria (NSPK) SMKI
Deskripsi : Melaksanakan forum diskusi secara tatap muka dan/atau daring dalam menyamakan pemahaman, bertukar
gagasan, atau mencari solusi terkait Norma, Standar, Prosedur dan Kriteria
Prasyarat : -
2. Draft NSPK
3. Laporan diskusi
Hasil Kerja : laporan forum diskusi terkait dengan norma, standar, prosedur dan kriteria (NSPK) SMKI
Batasan Penilaian : Terlaksananya kegiatan forum diskusi dengan menghasilkan draft NSPK. Forum diskusi terkait SMKI dapat
dilakukan sesuai kebutuhan
I.C.036 mengumpulkan data terkait Norma, Standar, Prosedur dan Kriteria (NSPK) tenaga ahli di bidang SMKI
Deskripsi : Merupakan kegiatan mengumpulkan data Norma, Standar, Prosedur dan Kriteria tenaga ahli berdasarkan kejadian
di bidang sistem manajemen keamanan informasi
Metodologi : -
Prasyarat : -
2. Data Norma, Standar, Prosedur dan Kriteria Tenaga Ahli di Bidang sistem manajemen keamanan informasi
Hasil Kerja : data dan informasi mengenai NSPK Tenaga Ahli di bidang SMKI
I.C.037 menganalisis norma, standar, prosedur dan kriteria (NSPK) tenaga ahli di bidang SMKI
Deskripsi : Melakukan analiis tenaga ahli di bidang sistem manajemen keamanan informasi yang mencakup:
1. Norma tenaga ahli
2. Standar tenaga ahli
3. Prosedur tenaga ahli
4. Kriteria tenaga ahli
Metodologi : -
Prasyarat : -
2. Dokumen Analisis Pengamanan Perangkat Lunak
Hasil Kerja : hasil analisis norma, standar, prosedur dan kriteria (NSPK) tenaga ahli di bidang SMKI
I.C.038 membuat norma, standar, prosedur dan kriteria (NSPK) tenaga ahli di bidang SMKI
Deskripsi : Menyusun dokumentasi terkait Norma, Standar, Prosedur dan Kriteria tenaga ahli yang digunakan untuk di bidang
Metodologi : -
Prasyarat : -
2. Dokumen Norma, Standar, Prosedur dan Kriteria tenaga ahli
Hasil Kerja : dokumen norma, standar, prosedur dan kriteria (NSPK) tenaga ahli di bidang SMKI
I.C.039 melaksanakan forum diskusi terkait dengan norma, standar, prosedur dan kriteria (NSPK) tenaga ahli di bidang SMKI
Deskripsi : Melaksanakan kegiatan forum diskusi di bidang sistem manajemen keamanan informasi yang membahas minimal
terkait:
1. Norma tenaga ahli
2. Standar tenaga ahli
3. Prosedur tenaga ahli
4. Kriteria tenaga ahli
Metodologi : -
Prasyarat : -
2. Notulen Kegiatan
3. Absensi Kegiatan
Hasil Kerja : laporan forum diskusi terkait dengan norma, standar, prosedur dan kriteria (NSPK) tenaga ahli di bidang SMKI
I.C.040 membuat daftar induk Standar Operasional Prosedur (SOP) SMKI
Deskripsi : Melakukan kegiatan pembuatan daftar induk standar operasional prosedur (sop) sistem manajemen keamanan
informasi. penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan
Prasyarat : -
2. Dokumen daftar induk standar operasional prosedur (sop) sistem manajemen keamanan informasi
Hasil Kerja : daftar induk Standar Operasional Prosedur (SOP) SMKI
I.C.041 menyusun Standar Operasional Prosedur (SOP) pertukaran informasi
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam melaksanakan
pertukaran/perpindahan data/informasi melalui penggunaan semua jenis jalur komunikasi dalam suatu instansi
atau dengan pihak eksternal.
Metodologi : Penyusunan dokumen prosedur.
Prasyarat : -
3. Dokumen prosedur yang minimal terdiri dari instruksi kerja, diagram workflow, identifikasi pelaksana, pemetaan
RASCI dan batasan waktu pelaksanaan prosedur.
Hasil Kerja : dokumen Standar Operasional Prosedur (SOP) pertukaran informasi
Batasan Penilaian : Dilakukan untuk setiap SOP pertukaran informasi pada satu SE
I.C.042 menyusun pedoman perlindungan informasi elektronik
Deskripsi : Melakukan penyusunan dokumen pedoman atau panduan dalam melaksanakan perlindungan terhadap data/
informasi dalam system elektronik di instansi. Pedoman perlindungan informasi elektronik dapat membahas hal-
hal sebagai berikut:
1. perlindungan informasi yang ditransfer;
2. pendeteksian dan perlindungan dari malware;
3. perlindungan informasi elektronik sensitive;
4. penentuan penggunaan fasilitas komunikasi yang dapat diterima;
5. tanggung jawab setiap personel, pihak ekternal dan pengguna lainnya;
6. pengaturan akses terhadap data/informasi;
7. pengklasifikasian data/informasi;
8. penentuan metode pengamanan data/informasi berdasarkan tingkat klasifikasinya;
9. penggunaan teknik kriptografi;
10. prosedur pembuatan, pendistribusian, penyimpanan, dan pemusnahan semua informasi
dalam korespondensi, dan sebagainya
Metodologi : Penyusunan dokumen pedoman
Prasyarat : -
2. Dokumen pedoman perlindungan informasi elektronik yang disetujui oleh pejabat yang berwenang
Hasil Kerja : pedoman perlindungan informasi elektronik
Batasan Penilaian : Dilakukan untuk setiap pedoman
I.C.043 menyusun pedoman pengendalian terhadap kode berbahaya
Deskripsi : Kegiatan membuat panduan dalam pencegahan suatu insiden yang disebabkan oleh malware, berisi Langkah-
langkah pencegahan kode berbahaya.
Metodologi : -
Prasyarat : -
2. Buku pedoman/panduan/artikel
Hasil Kerja : pedoman pengendalian terhadap kode berbahaya
Batasan Penilaian : Dilakukan untuk setiap panduan pencegahan kode berbahaya yang berbeda
I.C.044 menyiapkan bahan monitoring dan evaluasi di bidang SMKI
dengan kegiatan monitoring dan evaluasi di bidang sistem manajemen keamanan
informasi. Cakupan pemantauan dapat berupa: Pengumpulan bahan berupa data atau informasi berupa standard,
Undang-
undang, Kebijakan, pedoman, SOP, dll.
Metodologi : -
Prasyarat : -
2. Dokumen yang berisi bahan monitoring dan evaluasi seperti standard, peraturan, pedoman, SOP, dll
(dalam bentuk tabel dan disertakan lampirannya)
Hasil Kerja : bahan kegiatan monitoring dan evaluasi di bidang SMKI
Batasan Penilaian : Terkumpulnya bahan monitoring dan evaluasi di bidang sistem manajemen keamanan informasi
I.C.045 melakukan monitoring dan evaluasi di bidang SMKI
Deskripsi : Melakukan reviu, audit, dan/atau evaluasi pelaksanaan sistem manajemen keamanan informasi
Metodologi : Reviu, audit, dan evaluasi dengan melakukan wawancara, observasi, reviu administrasi berdasarkan standard
Prasyarat : -
2. Dokumen monitoring dan evaluasi yang disertai dengan data dukung
Hasil Kerja : hasil monitoring dan evaluasi di bidang SMKI
Batasan Penilaian : Terlaksananya monitoring dan evaluasi yang disertai dengan hasil dari pelaksanaan monitoring dan evaluasi (berupa
dokumen monitoring dan evaluasi)
I.C.046 analisis tingkat kepatuhan terhadap ketentuan internal dan eksternal
Deskripsi : Menguraikan kemungkinan tingkat kepatuhan terhadap ketentuan internal dan

eksternal internal: terkait ketentuan yang berlaku di instansi untuk aspek keamanan
informasi eksternal: terkait ketentuan yang diberlakukan secara umum di semua instansi (misal Perpres 95 SPBE)
Metodologi : Data primer (wawancara, observasi)
Prasyarat : -
Bukti Fisik : Dokumen laporan berisi hasil analisis tingkat kepatuhan terhadap ketentuan internal dan eksternal
Hasil Kerja : laporan analisis tingkat kepatuhan terhadap ketentuan internal dan eksternal
Batasan Penilaian : Dokumen laporan berisi hasil analisis tingkat kepatuhan terhadap ketentuan internal dan eksternal
I.C.047 menyusun laporan kesiapan pengamanan terkait serah terima sistem elektronik ke dalam lingkup operasional
Deskripsi : Kegiatan menyusun laporan kesiapan pengamanan meliputi hasil tahapan pengujian keamanan aplikasi (meliputi :
Security Testing, Vulnerability/Penetration Testing, Vulnerability assessment), UAT (User Acceptance Test) dan
BIA (Bussiness Impact Analysis). Kegiatan ini bertujuan untuk memastikan bahwa sistem elektronik sudah
dilakukan tahapan sesuai prosedur untuk operasional.
Metodologi : -
Prasyarat : -
2. Laporan kegiatan
Hasil Kerja : laporan kesiapan pengamanan terkait serah terima sistem elektronik ke dalam lingkup operasional
Batasan Penilaian : Dilakukan untuk setiap release dan perubahan sistem elektronik
I.C.048 menyusun kebijakan sinkronisasi waktu sistem elektronik
Deskripsi : Melakukan penyusunan kebijakan atau ketentuan yang menjadi acuan dalam pelaksanaan sinkronisasi waktu pada
sistem elektronik di instansi. Kebijakan sinkronisasi waktu sistem elektronik meliputi:
1. Persyaratan eksternal dan internal untuk representasi waktu, sinkronisasi dan akurasi;
2. Ketentuan terkait standar waktu referensi yang digunakan dalam organisasi;
3. Pendekatan untuk mendapatkan waktu referensi dari sumber eksternal dan cara menyinkronkan jam internal;
4. Penggunaan protokol waktu jaringan untuk menjaga semua server tetap sinkron dengan jam utama.
5. Dan lain-lain
Metodologi : Penyusunan dokumen kebijakan
Prasyarat : -
2. Dokumen kebijakan sinkronisasi waktu sistem elektronik yang disetujui oleh pejabat yang berwenang
Hasil Kerja : dokumen kebijakan sinkronisasi waktu sistem elektronik
Batasan Penilaian : Maksimal 1 kali dalam 1 tahun atau apabila ada perubahan arsitektur
I.C.049 melakukan sinkronisasi waktu (NTP)
Deskripsi : Melaksanakan proses sinkronisasi waktu dengan menggunakan protokol waktu jaringan (network time
protokol/NTP) untuk semua sistem yang terhubung dan memastikan sesuai dengan standar waktu referensi
berdasarkan kebijakan sinkronisasi waktu sistem elektronik yang berlaku di instansi
Metodologi : Penerapan NTP, proses sinkronisasi waktu, penerapan Annex 12.4.4 SNI/ISO/IEC 27001:2013
Prasyarat : -
2. Laporan pelaksanaan sinkronisasi waktu yang disetujui oleh atasan MI
3. Screenshot proses pelaksanaan NTP
Hasil Kerja : laporan pelaksanaan sinkronisasi waktu sistem elektronik
Batasan Penilaian : Dilakukan untuk setiap perangkat di awal konfigurasi atau setiap ada perubahan NTP
I.C.050 menerapkan pedoman penerapan hak kekayaan intelektual (HAKI)
Deskripsi : Kajian penerapan dan penetapan hak kekayaan intelektual (HAKI) berdasarkan peraturan yang berlaku
Melakukan evaluasi dan menetapkan kepatuhan terhadap pedoman penerapan HAKI, terkait:
1. Kode sumber milik instansi
2. Kode sumber atau produk perangkat lunak milik pihak ketiga
3. Karya tulis pribadi
4. Karya tulis milik instansi
5. Karya kreatif lainnya yang dapat dilindungi oleh UU
Prasyarat : -
Bukti Fisik : Dokumen berisi daftar peraturan-peraturan yang menjadi acuan yang salah satunya terkait dengan HAKI
Hasil Kerja : laporan penerapan hak kekayaan intelektual (HAKI)
Batasan Penilaian : Dokumen berisi daftar peraturan-peraturan yang menjadi acuan yang salah satunya terkait dengan HAKI
I.C.051 menyusun panduan penerapan Hak Kekayaan Intelektual (HAKI)
Deskripsi : Menyusun panduan penerapan Hak Kekayaan Intelektual (HAKI) adalah melakukan kegiatan penyusunan panduan
penerapan Hak Kekayaan Intelektual pada sistem atau produk mulai dari penyiapan requirement hingga
proses sertifikasi
Metodologi : SOP, Observasi
Prasyarat : Peraturan perundangan terkait HAKI
2. Prosedur yang berisi langkah-langkah penerapan Hak Kekayaan Intelektual pada sistem atau produk mulai dari
penyiapan requirement hingga proses sertifikasi
Hasil Kerja : dokumen panduan penerapan Hak Kekayaan Intelektual (HAKI)
Batasan Penilaian : sesuai dengan kebutuhan
I.C.052 menyusun panduan dan Standar Operasional Prosedur (SOP) penerapan manajemen kunci kriptografi
Deskripsi : Menyusun panduan dan Standar Operasional Prosedur (SOP) penerapan manajemen kunci kriptografi adalah
kegiatan menyusun prosedur penerapan manajemen kunci kriptografi pada sistem manajemen keamanan informasi
mulai dari pembangkitan hingga pemusnahan kunci
Metodologi : Standard (NIST, FIPS, RFC), Peraturan, Observasi
Prasyarat : Peraturan dan standar terkait kriptografi
2. Dokumen SOP penerapan manajemen kunci kriptografi
Hasil Kerja : dokumen panduan dan Standar Operasional Prosedur (SOP) penerapan manajemen kunci kriptografi
I.C.053 menyusun aturan tentang kontrol kriptografi
Deskripsi : Menyusun aturan tentang kontrol kriptografi

1. Pengelolaan kunci kriptogradi
2. Setiap standar kriptografi yang digunakan
3. Setiap skenario penggunaan kriptografi
2. Data sekunder (uu, kebijakan, pedoman)
Prasyarat : -
Bukti Fisik : Dokumen aturan tentang kontrol kriptografi
Hasil Kerja : dokumen aturan tentang kontrol kriptografi
Batasan Penilaian : Dokumen aturan tentang kontrol kriptografi
I.C.054 menyusun kebijakan dan pedoman penggunaan kriptografi
Deskripsi : Menyusun kebijakan dan pedoman penggunaan kriptografi adalah Kegiatan menyusun pedoman
kebijakan kriptografi terkait implementasi kriptografi berdasarkan sistem manajemen keamanan informasi
Metodologi : Peraturan, Standard (NIST, FIPS, RFC)
Bukti Fisik : 1. Penugasan tertulis
2. Dokumen pedoman atau kebijakan yang berisi Metode, daur hidup, algoritma, elemen kriptografi,
serta implementasi kriptografi pada sistem manajemen keamanan informasi
Hasil Kerja : dokumen kebijakan dan pedoman penggunaan kriptografi
I.C.055 menerapkan aturan tentang kontrol kriptografi
Deskripsi : Kajian kepatuhan terhadap aturan tentang kontrol kriptografi

Prasyarat : -
Bukti Fisik : Dokumen implementasi kriptografi pada sistem elektronik maupun non elektronik
Hasil Kerja : laporan penerapan aturan tentang kontrol kriptografi
Batasan Penilaian : Dokumen implementasi kriptografi pada sistem elektronik maupun non elektronik
I.C.056 menerapkan kebijakan dan pedoman penggunaan kriptografi
Deskripsi : Menerapkan kebijakan dan pedoman penggunaan kriptografi adalah kegiatan melakukan penerapan
penggunaan kriptografi sesuai dengan kebijakan dan pedoman yang telah ditetapkan
Metodologi : Observasi, Pedoman
Prasyarat : Dokumen pedoman atau kebijakan penggunaan kriptografi (C69) Peraturan dan standar terkait kriptografi
2. Laporan kegiatan yang berisi deskripsi penerapan kriptografi yang disertai dengan pedoman dan kebijakan yang
digunakan
Hasil Kerja : laporan penerapan kebijakan dan pedoman penggunaan kriptografi
I.C.057 membuat mekanisme enkripsi data
Deskripsi : Kegiatan membuat enkripsi data dalam bentuk pedoman, digunakan sebagai acuan dalam pelaksanaan
enkripsi data
Metodologi : Diskusi/Meeting
Prasyarat : -
2. Dokumen standar dan prosedur mekanisme enkripsi data
Hasil Kerja : dokumen standar dan prosedur mekanisme enkripsi data
Batasan Penilaian : Sesuai dengan kebutuhan sistem elektronik
I.C.058 mengelola penerapan mekanisme enkripsi data
Deskripsi : Kegiatan pelaksanaan penerapan mekanisme enkripsi data mengacu pada dokumen mekanisme enkripsi data yang
telah ditetapkan.
Metodologi : Audit/Asesmen /VA
Prasyarat : -
2. Dokumentasi kegiatan
3. Laporan penerapan mekanisme enkripsi data
Hasil Kerja : laporan penerapan mekanisme enkripsi data
Batasan Penilaian : Sesuai dengan kebutuhan sistem elektronik yang akan menerapkan mekanisme enkripsi data
I.C.059 menerapkan pedoman dan Standar Operasional Prosedur (SOP) penerapan manajemen kunci kriptografi
Deskripsi : Menerapkan pedoman dan Standar Operasional Prosedur (SOP) penerapan manajemen kunci kriptografi
adalah kegiatan melakukan penerapan manajemen kunci kriptografi pada sistem elektronik sesuai dengan
pedoman dan SOP yang telah ditetapkan
Metodologi : SOP, Standard
2. Laporan kegiatan yang berisi deskripsi penerapan manajemen kunci kriptografi pada sistem elektronik
Hasil Kerja : laporan penerapan manajemen kunci kriptografi
Batasan Penilaian : sesuai dengan kebutuhan
I.C.060 menyusun Standar Operasional Prosedur (SOP) perlindungan data pribadi
Deskripsi : Menyusun tata cara perlindungan data pribadi

1. Persetujuan
2. Digunakan untuk keperluan layanan
3. Transfer
2. Data sekunder (uu, kebijakan, pedoman)
Prasyarat : -
Bukti Fisik : Dokumen SOP perlindungan data pribadi
Hasil Kerja : dokumen standar operasional prosedur (SOP) perlindungan data pribadi
Batasan Penilaian : Dokumen SOP perlindungan data pribadi
I.C.061 menerapkan Standar Operasional Prosedur (SOP) perlindungan data pribadi
Deskripsi : Menerapkan tata cara perlindungan data pribadi

1. Persetujuan
2. Digunakan untuk keperluan layanan
3. Transfer
Prasyarat : -
Bukti Fisik : Dokumen implementasi tata cara perlindungan data pribadi baik secara elektronik maupun non elekteronik
Hasil Kerja : laporan penerapan perlindungan data pribadi
Batasan Penilaian : Dokumen implementasi tata cara perlindungan data pribadi baik secara elektronik maupun non elekteronik
I.C.062 menyusun Standar Operasional Prosedur (SOP pengendalian rekaman (evidence)) terhadap penyelenggaraan sistem elektronik
Deskripsi : Menyusun tata cara pengendalian rekaman (evidence) terhadap penyelenggaraan sistem elektronik
1. Kontrol akses
2. Perubahan konfigurasi
3. Perubahan (penambahan/penghapusan) akun
4. Aktivitas transaksi
Prasyarat : -
Bukti Fisik : Dokumen berisi SOP pengendalian rekaman (evidence) terhadap penyelenggaraan sistem elektronik
Hasil Kerja : dokumen Standar Operasional Prosedur (SOP pengendalian rekaman (evidence) terhadap penyelenggaraan sistem
elektronik
Batasan Penilaian : Dokumen berisi SOP pengendalian rekaman (evidence) terhadap penyelenggaraan sistem elektronik
I.C.063 menerapkan Standar Operasional Prosedur (SOP pengendalian rekaman (evidence)) terhadap penyelenggaraan sistem
elektronik
Deskripsi : Menerapkan tata cara pengendalian rekaman (evidence) terhadap penyelenggaraan sistem elektronik sesuai SOP
1. Kontrol akses
2. Perubahan konfigurasi
3. Perubahan (penambahan/penghapusan) akun
4. Aktivitas transaksi
Prasyarat : -
Bukti Fisik : Form berisi hasil pemantau rekaman penyelenggaraan sistem elektronik yang dilakukan secara berkala
Hasil Kerja : laporan penerapan Standar Operasional Prosedur (SOP pengendalian rekaman (evidence) terhadap penyelenggaraan
sistem elektronik
Batasan Penilaian : Form berisi hasil pemantau rekaman penyelenggaraan sistem elektronik yang dilakukan secara berkala
I.C.064 menyusun Standar Operasional Prosedur (SOP) back up data dan sistem
Deskripsi : Kegiatan membuat alur dan deskripsi proses terkait pengelolaan back up data dan sistem dalam satu unit kerja
agar kegiatan back up data dan sistem pada unit kerja tersebut berjalan dengan baik sesuai dengan maksud
dan tujuannya.
Metodologi : -
Prasyarat : -
2. SOP yang telah disahkan diajukan dengan bukti surat atau nota dinas kepada pejabat yang berwenang kepada
unit yang mengesahkan
Hasil Kerja : dokumen Standar Operasional Prosedur (SOP) back up data dan sistem
Batasan Penilaian : Dilakukan untuk setiap SE yang di back up
I.C.065 melakukan back up data dan sistem
Deskripsi : Kegiatan melakukan back up data dan sistem sesuai petunjuk teknis yang telah ditetapkan.
Metodologi : -
Prasyarat : -
2. Laporan kegiatan per bulan
3. Dokumentasi back up per bulan
Hasil Kerja : laporan back up data dan sistem
Batasan Penilaian : Dilakukan untuk setiap SE per bulan
I.C.066 menyusun standar rekaman data log sistem
Deskripsi : Melakukan penyusunan dokumen standar rekaman data log sistem yang menjadi panduan dalam pencatatan,
pemeliharaan dan pemantauan aktifitas pengguna dan sistem. Rekaman data log sistem terdiri dari log
kejadian (aktifitas pengguna), log administrator dan operator, yang meliputi informasi berikut:
1. data identitas pengguna;
2. aktivitas sistem;
3. tanggal, waktu dan detail peristiwa penting, mis. log-on dan log-off;
4. identitas perangkat atau lokasi jika memungkinkan dan pengidentifikasi sistem;
5. catatan upaya akses sistem yang berhasil dan ditolak;
6. rekaman data yang berhasil dan ditolak serta upaya akses sumber daya lainnya;
7. perubahan konfigurasi sistem;
8. penggunaan hak istimewa;
9. penggunaan utilitas dan aplikasi sistem;
10.file yang diakses dan jenis aksesnya;
11.alamat dan protokol jaringan;
12.alarm atau peringatan yang dimunculkan oleh sistem kontrol akses;
13.aktivasi dan de-aktivasi sistem proteksi, seperti sistem anti- virus dan intrusi sistem deteksi; dancatatan
transaksi yang dijalankan oleh pengguna dalam aplikasi.
Metodologi : Penyusunan dokumen standar
Prasyarat : -
2. Dokumen standar rekaman data log sistem yang disetujui oleh pejabat yang berwenang
Hasil Kerja : dokumen standar rekaman data log sistem
Batasan Penilaian : Dilakukan untuk setiap SE
I.C.067 menyusun panduan audit log sistem
Deskripsi : Melakukan penyusunan dokumen panduan dalam melaksanakan audit terhadap log
sistem. Panduan audit log sistem dapat meliputi:
1. persyaratan audit untuk akses ke sistem dan data;
2. ruang lingkup pengujian audit teknis;
3. ketentuan pembatasan uji audit dengan akses read-only dan pengendalian untuk akses selain read-only;
4. ketentuan pelaksanaan uji audit yang dapat mempengaruhi ketersediaan sistem;
5. pencatatan dan pemantauan akses uji audit;
6. dan lain-lain
Metodologi : Penyusunan dokumen panduan
Prasyarat : -
2. Dokumen panduan audit log sistem yang disetujui oleh pejabat yang berwenang
Hasil Kerja : dokumen panduan audit log sistem
Batasan Penilaian : Dilakukan 1 kali dalam 1 tahun atau setiap akan melakukan kegiatan audit internal/eksternal
I.C.068 melakukan penerapan standar konfigurasi keamanan pada sistem elektronik dan peralatan komunikasi
Deskripsi : Melakukan kegiatan penerapan standar konfigurasi keamanan pada sistem elektronik dan peralatan
komunikasi. penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan
Metodologi : SNI/ISO 27001, configuration and network security best practices
Prasyarat : Dokumen aset sistem elektronik, perangkat komunikasi, perangkat jaringan.
2. Laporan penerapan standar konfigurasi keamanan
Hasil Kerja : laporan penerapan standar konfigurasi keamanan pada sistem elektronik dan peralatan komunikasi
I.C.069 menyusun dokumentasi sistem infrastruktur dan aplikasi
Deskripsi : Melakukan penyusunan dokumentasi atas sistem infrastruktur maupun aplikasi. Dokumentasi sistem meliputi
inventarisasi spesifikasi sistem, inventarisasi perangkat keras, inventarisasi perangkat lunak, topologi jaringan,
Layanan, protocol dan port. petunjuk penggunaan (user manual), rancangan sistem, list program (source
code
listing), uji skenario, petunjuk instalasi, executable program, deskripsi data/database, dan catatan perawatan.
Metodologi : Penyusunan dokumentasi
Prasyarat : -
2. Dokumentasi sistem yang disetujui oleh atasan langsung
Hasil Kerja : dokumentasi sistem infrastruktur dan aplikasi
Batasan Penilaian : Dilakukan untuk setiap jenis infrastruktur/aplikasi, setiap penambahan, dan perubahan
I.C.070 menyediakan fasilitas pendukung untuk pengamanan informasi
Deskripsi : Tersedianya fasilitas pendukung pengamanan informasi dalam kondisi baik dan siap operasional
Prasyarat : -
2. Dokumen yang berisi terkait kegitan penyediaan fasilitas pendukung untuk pengaman informasi
Hasil Kerja : laporan ketersediaan fasilitas pendukung untuk pengamanan informasi
Batasan Penilaian : Dilakukan untuk setiap jenis perangkat fasilitas pendukung pengamanan informasi
I.C.071 melakukan pemeliharaan peralatan
Deskripsi : Melakukan pemeliharaan peralatan adalah kegiatan pemeliharaan peralatan secara tepat untuk
menjamin ketersediaan yang berkelanjutan dan integritas
Prasyarat : -
2. Dokumen yang berisi terkait kegiatan pemeliharaan peralatan
Hasil Kerja : laporan pemeliharaan peralatan
Batasan Penilaian : Dilakukan sesuai penugasan per jenis peralatan keamanan informasi
I.C.072 melakukan pengamanan peralatan yang berada di luar area kerja
Deskripsi : Melakukan pengamanan peralatan yang berada di luar area kerja adalah kegiatan pengamanan aset di luar kantor
(off-premise) dengan memperhitungkan risiko akibat bekerja di luar lokasi kantor/organisasi
Metodologi : ISO 27001, SOP, Observasi
Prasyarat : Prosedur pengamanan fisik perangkat
2. Laporan kegiatan yang disertai dengan:
− deksripsi proses pengamanan peralatan
− objek peralatan yang diamankan
Hasil Kerja : laporan pengamanan peralatan yang berada di luar area kerja
I.C.073 melakukan pengamanan peralatan
Deskripsi : Melaksanakan pengamanan peralatan untuk mencegah kerugian, kerusakan, pencurian, atau penguasaan
aset tanpa hak, dan gangguan terhadap operasi organisasi. Pengamanan perangkat peralatan dapat meliputi:
1. Penempatan dan perlindungan peralatan
2. pemindahan aset,
3. keamanan dari peralatan dan aset di luar lokasi,
4. pembuangan atau penggunaan kembali peralatan secara aman,
5. peralatan pengguna yang tidak diawasi,
6. pelaksanaan clean desk, dan
7. clean screen/lock screen.
Metodologi : Pelaksanaan prosedur keamanan fisik, SNI/ISO/IEC 27001:2013
Prasyarat : -
2. Laporan pelaksanaan pengamanan perangkat yang disetujui oleh atasan langsung
Hasil Kerja : laporan pengamanan peralatan
Batasan Penilaian : Dilakukan untuk setiap aktivitas pengamanan (awal dan perubahan)
I.C.074 melakukan pengamanan sistem pengkabelan
Deskripsi : Melakukan pengamanan sistem pengkabelan adalah kegiatan perlindungan kabel daya dan telekomunikasi
yang membawa data atau layanan informasi pedukung dari pencegatan, interferensi atau kerusakan
Prasyarat : -
Bukti Fisik : 1. Buktu penugasan tertulis
2. Dokumen terkait pengamanan system pengkabelan
Hasil Kerja : laporan pengamanan sistem pengkabelan
Batasan Penilaian : Dilakukan sesuai penugasan per sistem pengkabelan
I.C.075 melakukan prosedur pemusnahan peralatan
Deskripsi : Melakukan prosedur pemusnahan peralatan adalah kegiatan pelaksanaan pemusnahan peralatan
yang mengandung media penyimpanan dengan melakukan verifikasi untuk menjamin bahwa data rahasia dan
perangkat lunak berlisensi apapun sudah dihapus atau ditimpa secara aman sebelumnya untuk dibuang
atau digunakan
kembali
Metodologi : SOP, ISO 27001
Prasyarat : 1. Peraturan BMN terkait pemusnahan peralatan
2. Prosedur pemusnahan peralatan
3. Daftar inventaris aset
4. Surat Keputusan pemusnahan peralatan

− pelaksanaan prosedur pemusnahan peralatan
− peralatan yang dimusnahkan
− BA pemusnahan
Hasil Kerja : laporan prosedur pemusnahan peralatan
I.C.076 melakukan prosedur pemindahan aset
Deskripsi : Melakukan prosedur pemindahan aset adalah kegiatan pemindahan aset seperti peralatan, data,
informasi, perangkat lunak atau keras sesuai dengan prosedur yang telah ditetapkan
Metodologi : Pemindahan aset dari satu tempat ke tempat lain, SOP, ISO 27001
Prasyarat : Prosedur pemindahan aset
− deskripsi proses pemindahan aset
− aset yang dipindahkan
− BA pemindahan aset
Hasil Kerja : laporan penerapan prosedur pemindahan aset
I.C.077 menyusun prosedur perlindungan keamanan informasi terhadap perangkat yang ditinggal oleh penggunanya (unattended user
equipment)
Deskripsi : Menyusun prosedur perlindungan keamanan informasi terhadap perangkat yang ditinggal oleh penggunanya
(unattended user equipment) adalah melaksanakan kegiatan penyusunan prosedur perlindungan
keamanan informasi pada perangkat lunak atau keras yang tidak diawasi oleh penggunanya
Prasyarat : Dokumen pedoman pengamanan fisik
2. Dokumen prosedur perlindungan keamanan informasi terhadap perangkat yang ditinggal oleh penggunanya
(unattended user equipment)
Hasil Kerja : dokumen prosedur perlindungan terhadap barang yang ditinggal oleh penggunanya (unattended user equipment)
I.C.078 menyusun Standar Operasional Prosedur (SOP) clear desk dan clean screen
Deskripsi : Menyusun Standar Operasional Prosedur (SOP) clear desk dan clean screen adalah kegiatan penyusunan prosedur
terkait kebijakan mengosongkan meja dari kertas, peralatan kantor dan media penyimpanan yang dapat dipindah
serta kebijakan mengosongkan layar dari fasilitas pengamanan informasi
Prasyarat : Dokumen pedoman pengamanan fisik
2. Dokumen SOP clear desk dan clean screen
Hasil Kerja : dokumen Standar Operasional Prosedur (SOP) clear desk dan clean screen
Batasan Penilaian : Maksimal 2 kali dalam satu tahun atau sesuai dengan kebutuhan
I.C.079 menyusun Standar Operasional Prosedur (SOP) pemantauan penggunaan sistem elektronik
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam pemantauan penggunaan atau
utilisasi sistem elektronik.
Prasyarat : -
Hasil Kerja : dokumen Standar Operasional Prosedur (SOP) pemantauan penggunaan sistem elektronik
I.C.080 menyusun kebijakan mobile computing
Deskripsi : Menyusun kebijakan mobile computing adalah kegiatan penyusunan kebijakan dan tindakan terkait keamanan yang
mendukung untuk mengelola risiko yang terjadi akibat penggunaan perangkat bergerak
Metodologi : Observasi, Peraturan, ISO 27001
Prasyarat : Pedoman pengamanan jaringan, pengamanan fisik perangkat, prosedur kode berbahaya
2. Dokumen kebijakan mobile computing (dalam bentuk perangkat lunak atau perangkat keras)
Hasil Kerja : dokumen kebijakan mobile computing
Batasan Penilaian : Maksimal 2 kali dalam setahun atau sesuai dengan kebutuhan
I.C.081 melaksanakan prosedur mobile computing
Deskripsi : Melaksanakan prosedur mobile computing adalah kegiatan pelaksanaan mobile computing sesuai dengan
prosedur yang telah ditetapkan
Metodologi : Prosedur, ISO 27001
Prasyarat : Prosedur mobile computing, kebijakan mobile computing, prosedur kode berbahaya
2. Laporan kegiatan yang berisi pelaksanaan prosedur mobile computing
Hasil Kerja : Laporan pelaksanaan prosedur mobile computing
I.C.082 menyusun prosedur teleworking
Deskripsi : Menyusun prosedur teleworking adalah kegiatan penyusunan kebijakan dan tindakan keamanan yang mendukung
untuk melindungi informasi yang diakses, diproses, atau disimpan pada proses teleworking
Prasyarat : Prosedur teleworking, kebijakan teleworking, prosedur kode berbahaya
2. Dokumen prosedur teleworking
Hasil Kerja : dokumen prosedur teleworking
I.C.083 menyusun uraian pemisahan tugas operasional
Deskripsi : Melakukan kegiatan penyusunan uraian pemisahan tugas operasional. penugasan ditetapkan sesuai dengan
lingkup yang ditentukan atasan
Prasyarat : 1. Dokumen daftar induk standar operasional prosedur (sop) sistem manajemen keamanan informasi (C30)
2. Dokumen inventaris sistem elektronik
3. Daftar matriks akses sistem elektronik
2. Laporan pemisahan tugas operasional
Hasil Kerja : dokumen uraian pemisahan tugas operasional
I.C.084 melakukan evaluasi proses operasional untuk mengidentifikasi pelanggaran kebijakan SMKI
Deskripsi : Melakukan kegiatan evaluasi proses operasional untuk mengidentifikasi pelanggaran kebijakan sistem manajemen
keamanan informasi. penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan
Prasyarat : 1. Laporan audit keamanan jaringan (C19)
2. Laporan pengujian efektivitas teknologi keamanan jaringan (C20)
3. Laporan bahan prosedur keamanan jaringan (C23)
4. Laporan pelaksanaan prosedur keamanan jaringan (C25)
5. Laporan peninjauan kebijakan dan prosedur keamanan jaringan (C26)
6. Laporan analisis anomali (C29)
7. Dokumen daftar induk standar operasional prosedur (sop) sistem manajemen keamanan informasi (C30)
8. Laporan identifikasi keamanan layanan sistem elektronik (C33)
2. Laporan evaluasi proses operasional
Hasil Kerja : laporan evaluasi proses operasional untuk mengidentifikasi pelanggaran kebijakan SMKI
I.C.085 memelihara pengendalian akses terhadap sistem operasi, aplikasi, dan jaringan
Deskripsi : Kegiatan evaluasi terhadap pengendalian akses terhadap sistem operasi, aplikasi, dan jaringan yang sudah berjalan
(production). Kegiatan ini dilakukan untuk memastikan pengendalian akses masih dijalankan dengan baik.
Metodologi : Audit Akses Control
Prasyarat : -
2. Dokumen Laporan yang berisi sekurang-kurangnya melampirkan bukti log sistem elektronik
Hasil Kerja : laporan pemeliharaan pengendalian akses terhadap sistem operasi, aplikasi, dan jaringan
Batasan Penilaian : Sesuai dengan kebutuhan sistem elektronik yang berjalan (production)
I.C.086 menerapkan pengendalian akses terhadap sistem operasi, aplikasi, dan jaringan
Deskripsi : Kegiatan implementasi hak akses sesuai dengan role yang ada berdasarkan pedoman yang telah dibuat
terhadap sistem operasi, aplikasi, dan jaringan yang baru. Termasuk dalam kegiatan ini:
1. Penerapan baseline configuration
2. Penerapan pembatasan hak akses perangkat
Metodologi : Dokumen matriks hak akses
Prasyarat : -
2. Laporan hasil
Hasil Kerja : laporan penerapan pengendalian akses terhadap sistem operasi, aplikasi, dan jaringan
Batasan Penilaian : Sesuai dengan kebutuhan hak akses sistem elektronik
I.C.087 menganalisis laporan terkait adanya masalah keamanan (anomali)
Deskripsi : Melakukan kegiatan analisis laporan terkait adanya masalah keamanan (anomali). penugasan ditetapkan
sesuai dengan lingkup yang ditentukan atasan
Prasyarat : 1. Dokumen sistem elektronik
2. Laporan/tiket tentang anomali
2. Laporan analisis anomali
Hasil Kerja : laporan terkait indikasi adanya anomali
I.C.088 menyusun dokumen kontrak yang memenuhi persyaratan SMKI pada penggunaan teknologi informasi dalam pengelolaan
rantai pasokan (supply chain)
Deskripsi : Menyusun dokumen kontrak yang memenuhi persyaratan sistem manajemen keamanan informasi pada
penggunaan teknologi informasi dalam pengelolaan rantai pasokan (supply chain) adalah kegiatan penyusunan
dokumen kontrak dengan pemasok dengan penyertaan persyaratan keamanan informasi terkait rantai pasokan dan
produk teknologi informasi dan komunikasi
Metodologi : ISO 27001, Observasi
Prasyarat : Standar pelaksanaan kepatuhan terhadap kebijakan prosedur keamanan informasi, risiko pihak ketiga, KAK
terhadap penyedia layanan teknologi informasi
2. Dokumen kontrak yang memenuhi persyaratan sistem manajemen keamanan informasi pada penggunaan
teknologi informasi dalam pengelolaan rantai pasokan (supply chain)
Hasil Kerja : dokumen kontrak yang memenuhi persyaratan keamanan informasi pada penggunaan teknologi informasi dalam
pengelolaan rantai pasokan (supply chain)
Batasan Penilaian : Dilakukan setiap pengadaan rantai pasokan (supply chain)
I.C.089 mengidentifikasi kebijakan keamanan informasi terkait hubungan dengan pihak ketiga
Deskripsi : Mengidentifikasi kebijakan keamanan informasi terkait hubungan dengan pihak ketiga adalah kegiatan
mencari, menemukan, mengumpulkan, serta memeriksa kegiatan-kegiatan terkait hubungan dan koordinasi
dengan pihak ketiga
Metodologi : Observasi dan wawancara, ISO 27001
Prasyarat : standar pelaksanaan kepatuhan terhadap kebijakan prosedur keamanan informasi, risiko pihak ketiga,
2. Laporan kegiatan yang berisi:
a. hasil identifikasi kebijakan keamanan informasi terkait hubungan dengan pihak ketiga
b. Lampiran kebijakan pendukung
Hasil Kerja : dokumen kebijakan keamanan informasi terkait hubungan dengan pihak ketiga
I.C.090 menyusun dokumen kontrak dengan pihak ketiga yang memuat persyaratan SMKI
Deskripsi : Menyusun dokumen kontrak yang memuat persyaratan sistem manajemen keamanan informasi adalah
kegiatan penyusunan dokumen kontrak dengan pihak ketiga dengan penyertaan persyaratan keamanan informasi
Metodologi : ISO 27001, Observasi
Prasyarat : Standar pelaksanaan kepatuhan terhadap kebijakan prosedur keamanan informasi, risiko pihak ketiga, KAK
terhadap penyedia layanan teknologi informasi
2. Dokumen kontrak yang memuat persyaratan sistem manajemen keamanan informasi
Hasil Kerja : dokumen kontrak pihak ketiga yang memuat persyaratan SMKI
Batasan Penilaian : Dilakukan setiap pengadaan dengan pihak ketiga
I.C.091 melakukan pemantauan dan review layanan pihak ketiga
Deskripsi : Melakukan pemantauan dan review layanan pihak ketiga adalah kegiatan pemantauan, pengecekan, serta
audit penyampaian layanan pihak ketiga secara berkala
Metodologi : Observasi dan wawancara, pengumpulan data, ISO 27001
Prasyarat : Dokumen layanan pihak ketiga
Dokumen kontrak dan perjanjian pihak ketiga
2. Dokumen yang berisi:
a. lembar pengesahan
b. hasil pemantauan
c. review layanan pihak ketiga
Hasil Kerja : dokumen hasil pemantauan dan review layanan pihak ketiga
I.C.092 mengelola perubahan terhadap layanan pihak ketiga
Deskripsi : Mengelola perubahan terhadap layanan pihak ketiga adalah kegiatan melakukan identifikasi dampak dan
risiko perubahan terhadap layanan pihak ketiga dengan memastikan prosedur perubahan dilaksanakan
dengan efektif dan efisien
Prasyarat : Dokumen panduan pengelolaan perubahan terhadap layanan pihak ketiga, Dokumen kontrak dan perjanjian kerja
pihak ketiga
2. Laporan hasil dokumentasi pengelolaan yang disertai dengan layanan pihak ketiga
Hasil Kerja : dokumen perubahan terhadap layanan pihak ketiga
I.C.093 memantau kinerja SMKI dalam pelaksanaan layanan pihak ketiga
Deskripsi : Melakukan kegiatan pemantauan kinerja sistem manajemen keamanan informasi dalam pelaksanaan layanan pihak
ketiga. penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan.
Metodologi : Monitoring, SNI/ISO 27001
Prasyarat : 1. Dokumen layanan sistem elektronik
3. Dokumen perjanjian pihak ketiga
2. Laporan pemantauan kinerja sistem manajemen keamanan informasi layanan pihak ketiga
Hasil Kerja : laporan pemantauan kinerja SMKI dalam pelaksanaan layanan pihak ketiga
I.C.094 menyusun panduan pengelolaan perubahan terhadap layanan pihak ketiga
Deskripsi : Melakukan kegiatan penyusunan panduan pengelolaan perubahan terhadap layanan pihak ketiga. penugasan
ditetapkan sesuai dengan lingkup yang ditentukan atasan.
Prasyarat : 1. Dokumen layanan
2. Dokumen panduan pengelolaan perubahan terhadap layanan pihak ketiga
Hasil Kerja : panduan pengelolaan perubahan terhadap layanan pihak ketiga
I.C.095 menyusun Standar Operasional Prosedur (SOP) keamanan sistem elektronik untuk pelayanan publik
Deskripsi : Melakukan penyusunan prosedur atau panduan sistematis yang digunakan dalam pengamanan sistem elektronik
untuk pelayanan publik di instansi. Sistem elektronik untuk pelayanan publik adalah sistem elektronik
yang digunakan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-
undangan bagi
setiap warga negara dan penduduk atas barang, jasa, dan/ atau pelayanan administratif.
Prasyarat : -
Hasil Kerja : dokumen Standar Operasional Prosedur (SOP) keamanan sistem elektronik untuk pelayanan publik
I.C.096 mengidentifikasi keamanan layanan sistem elektronik
Deskripsi : Melakukan kegiatan identifikasi keamanan layanan sistem elektronik. penugasan ditetapkan sesuai dengan lingkup
yang ditentukan atasan.
Metodologi : Vulnerability assessment, SNI/ISO 27001
Prasyarat : 1. Dokumen layanan sistem elektronik
3. Laporan penerapan standar konfigurasi keamanan (C27)
2. Laporan identifikasi keamanan layanan sistem elektronik
Hasil Kerja : laporan hasil identifikasi keamanan layanan sistem elektronik
I.C.097 melakukan pengamanan atas layanan jaringan
Deskripsi : Melaksanakan pengamanan atas layanan jaringan untuk mencegah akses yang tidak sah serta
menjamin perlindungan informasi dalam jaringan dan fasilitas pendukung pengolah informasi. Kegiatan ini meliputi:
− pengaturan akses : pembuatan tingkatan akses, membuat mekanisme kendali akses, pembatasan akses;
− proteksi password,
− produk autentikasi user,
− perlindungan asset fisik / non fisik ( firewall dan vpn)
Metodologi : Pelaksanaan prosedur, SNI/ISO/IEC 27001:2013
Prasyarat : -
2. Laporan pelaksanaan pengamanan perangkat yang disetujui oleh atasan langsung
Hasil Kerja : laporan pengamanan atas layanan jaringan
Batasan Penilaian : Dilakukan sesuai penugasan apabila ada perubahan konfigurasi per satu perangkat jaringan
I.C.098 merencanakan proses analisis kerentanan dan pengujian penetrasi keamanan sistem informasi
Deskripsi : Menyusun rencana terkait proses analisis kerentanan dan pengujian yang mencakup:
1. Perencanaan kegiatan yang akan dilakukan;
2. Penentuan sasaran dan target sistem elektronik;
3. Penentuan jadwal waktu dan sumber daya yang diperlukan.
Metodologi : Security Baseline, Metode OWASP (The Open Web Application Security Project) dan Common Vulnerabilities
and
Exposures (CVE) Metode CVSS, Metode Open Source Security Testing Methodology (OSTM)
Prasyarat : 1. Dokumen Non Disclosure Agreement
2. SOP analisis kerentanan dan pengujian penetrasi keamanan informasi
3. Dokumentasi TI/SE
2. Dokumen Laporan
Hasil Kerja : dokumen rencana analisa kerentanan dan pengujian penetrasi keamanan sistem informasi
Batasan Penilaian : Sesuai dengan kebutuhan untuk setiap satu sistem elektonik
I.C.099 mengkoordinasikan proses analisis kerentanan dan pengujian penetrasi keamanan sistem informasi
Deskripsi : Melakukan koordinasi untuk menentukan metode analisis kerentanan dan pengujian penetrasi keamanan.
Metodologi : Diskusi (offline/online)
2. Laporan koordinasi yang berisikan sekurang-kurangnya notula dan daftar hadir
Hasil Kerja : laporan koordinasi proses analisa kerentanan dan pengujian penetrasi keamanan sistem informasi
Batasan Penilaian : Sesuai dengan kebutuhan rencana terkait proses analisis kerentanan dan pengujian
I.C.100 menganalisis kerentanan penetrasi keamanan sistem elektronik
Deskripsi : Kegiatan menganalisis hasil kerentanan penetrasi keamanan sistem elektronik untuk menghasilkan final report.
and Exposures (CVE), Metode CVSS, Metode Open Source Security Testing Methodology (OSSTM)
4. Dokumen laporan rencana analisis kerentanan dan pengujian penetrasi keamanan sistem informasi
2. Dokumentasi berupa laporan pengolahan dan analisis hasil kerentanan.
Hasil Kerja : laporan analisis kerentanan penetrasi keamanan sistem elektronik
I.C.101 menguji penetrasi keamanan sistem elektronik
Deskripsi : Kegiatan yang bertujuan untuk melihat tingkat kebenaran dari celah keamanan yang ditemukan.
4. Dokumen laporan rencana analisis kerentanan dan pengujian penetrasi keamanan sistem informasi
5. Dokumen laporan hasil analisis kerentanan penetrasi keamanan sistem elektronik
2. Laporan hasil pengujian
Hasil Kerja : laporan hasil uji penetrasi keamanansistem elektronik
I.C.102 membuat rekomendasi dan tindak lanjut terhadap hasil pengujian penetrasi keamanan sistem elektronik
Deskripsi : Merupakan kegiatan memberikan rekomendasi perbaikan yang diperlukan dari hasil kegiatan pengujian penetrasi
keamanan sistem elektronik
Metodologi : Laporan
Prasyarat : Dokumen laporan hasil uji penetrasi keamanan sistem elektronik
2. Laporan hasil pengujian dengan dilengkapi rekomendasi perbaikan
3. Dokumen NDA yang ditandatangani oleh pihak-pihak terkait
Hasil Kerja : rekomendasi dan tindak lanjut terhadap hasil pengujian penetrasi keamanan sistem elektronik
I.C.103 mengkaji keamanan informasi terhadap proses manajemen perubahan untuk memastikan perbaikan kerentanan
Deskripsi : Mengelola perubahan terhadap perbaikan kerentanan mencakup beberapa kegiatan berikut:
1. Memastikan bahwa prosedur dan metode yang telah distandarkan digunakan untuk menangani
seluruh perubahan secara efisien dan tepat.
2. Memastikan semua perubahan dicatat pada configuration management system.
3. Memastikan bahwa seluruh resiko bisnis telah dimitigasi.
and
Exposures (CVE), Metode CVSS, Metode Open Source Security Testing Methodology (OSSTM)
Prasyarat : -
2. Laporan hasil dokumentasi perubahan
Hasil Kerja : laporan kajian keamanan informasi terhadap proses manajemen perubahan
I.C.104 memeriksa adanya kerentanan baru terkait aspek teknis, keamanan fisik, sumber daya manusia dan prosedur operasional
Deskripsi : Kegiatan evaluasi sistem yang sedang berjalan termasuk dalam kegiatan ini
adalah :
- Pemeriksaan kerentanan baru
- Keamanan fisik
- Sumber daya manus ia,
dan
- Prosedur operasional
and
Exposures (CVE), Metode CVSS, Metode Open Source Security Testing Methodology (OSSTM
4. Dokumen laporan hasil uji penetrasi keamanan sistem elektronik
2. Bukti dukung adanya kerentanan baru
3. Laporan temuan kerentanan
Hasil Kerja : laporan pemeriksaan adanya kerentanan baru
I.C.105 merespon terhadap adanya kerentanan baru terkait aspek teknis, keamanan fisik, sumber daya manusia dan prosedur
operasional
Deskripsi : Kegiatan merespon adanya laporan atau informasi terkait kerentanan baru terkait aspek teknis, keamanan
fisik, sumber daya manusia dan prosedur operasional. Kegiatan meliputi pengecekan sumber laporan atau informasi
dan pencatatan.
Prasyarat : 1. Dokumen laporan pemeriksaan adanya kerentanan baru
2. Dokumen laporan hasil uji penetrasi keamanan sistem elektronik
Bukti Fisik : 1. Bukti penugasan tertulis atau tiket laporan
2. Laporan respon terhadap adanya kerentanan baru
Hasil Kerja : laporan penerapan langkah mitigasi yang diperlukan terhadap kerentanan baru
I.C.106 menilai tingkat efektifitas dan kehandalan keamanan sistem, mekanisme, dan produk
Deskripsi : Menilai tingkat efektivitas dan kehandalan keamanan sistem, mekanisme, dan produk adalah melakukan kegiatan
review, ujicoba keamanan sistem, mekanisme, dan produk dari segi efektivitas dan kehandalan
Metodologi : Indeks Kami, ISO 27001
Prasyarat : Peraturan dan standar yang berlaku
2. Laporan penilaian yang disertai dengan rekomendasi
Hasil Kerja : laporan kajian efektifitas dan kehandalan keamanan sistem, mekanisme, dan produk
Batasan Penilaian : sesuai dengan kebutuhan dan dapat dilakukan setiap memkanisme/produk
I.C.107 menerapkan pemisahan fasilitas pengembangan, pengujian dan operasional
Deskripsi : Melakukan kegiatan penerapan pemisahan fasilitas pengembangan, pengujian dan operasional. penugasan
ditetapkan sesuai dengan lingkup yang ditentukan atasan
Prasyarat : 1. Dokumen fasilitas pengembangan
2. Dokumen fasilitas pengujian
3. Dokumen fasilitas operasional
4. Laporan pemisahan tugas operasional (C31)
2. Laporan pemisahan fasilitas
Hasil Kerja : laporan pemisahan fasilitas pengembangan, pengujian dan operasional
Batasan Penilaian : Dilakukan untuk setiap proses pengembangan
I.C.108 membuat prosedur pengelolaan media
Deskripsi : Membuat prosedur pengelolaan media adalah pembuatan petunjuk teknis mengenai tata cara pengelolaan media
Metodologi : Laporan
Prasyarat : -
Bukti Fisik : 1. Penugasan
2. Pedoman
3. Flowchart
Hasil Kerja : dokumen prosedur pengelolaan media
Batasan Penilaian : Dilakukan di awal atau di akhir
I.C.109 melakukan pemantauan tingkat kepatuhan secara kontinu terhadap prosedur pengelolaan media
Deskripsi : Kegiatan pemantauan dan evaluasi terhadap kinerja kepatuhan terhadap prosedur pengelolaan media. Kegiatan ini
dilakukan untuk memastikan prosedur pengelolaan media dijalankan seperti yang diharapkan.
Metodologi : Prosedur
Prasyarat : -
2. Laporan dokumentasi hasil pemantauan yang ditandatangani atasan langsung
Hasil Kerja : laporan pemantauan tingkat kepatuhan secara kontinu terhadap prosedur pengelolaan media
Batasan Penilaian : Maksimal 12 kali dalam setahun
I.C.110 menyiapkan bahan prosedur keamanan jaringan
Deskripsi : Melakukan kegiatan penyiapan bahan prosedur keamanan jaringan berbasis IP.
penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan
Metodologi : Studi literatur, SNI/ISO 27001
Prasyarat : 1. Dokumen topologi jaringan
2. Dokumen aset jaringan
3. Dokumen aplikasi dan perangkat
2. Laporan bahan prosedur keamanan jaringan sekurang-kurangnya berisi lampiran berupa dokumen prosedur
keamanan jaringan.
Hasil Kerja : bahan prosedur keamanan jaringan
I.C.111 menganalisis prosedur keamanan jaringan dan sistem
Deskripsi : Melakukan kegiatan analisis prosedur keamanan jaringan berbasis IP. penugasan ditetapkan
Prasyarat : Laporan bahan prosedur keamanan jaringan (C23)
2. Laporan analisis prosedur keamanan jaringan dan sistem
Hasil Kerja : laporan hasil analisis prosedur keamanan jaringan
I.C.112 melaksanakan prosedur keamanan jaringan
Deskripsi : Melakukan kegiatan penerapan prosedur keamanan jaringan berbasis IP. penugasan ditetapkan
Prasyarat : Laporan bahan prosedur keamanan jaringan (C24)
Bukti Fisik : 1. Surat perintah
2. Laporan pelaksanaan prosedur keamanan jaringan
Hasil Kerja : laporan pelaksanaan prosedur keamanan jaringan
I.C.113 menganalisis perimeter jaringan
Deskripsi : Kegiatan menganalisis perangkat kemanan informasi sebagai perimeter jaringan atau kontrol akses jaringan
dari pihak luar.
Metodologi : Vulnerability Analysis/Penetration Testing, Best Practice Network Security
Prasyarat : -
2. Laporan Log Perangkat Security
3. Laporan analisis
Hasil Kerja : laporan data jaringan
Batasan Penilaian : Sesuai dengan kebutuhan perangkat jaringan
I.C.114 mendeteksi, menilai dan memonitor kerentanan dan ancaman keamanan jaringan
Deskripsi : Kegiatan memantau, mendeteksi dan menilai setiap aktifitas ancaman keamanan jaringan, dengan cara pemantauan
dengan monitoring tools dan/atau melihat log.
Metodologi : Vulnerability Analysis/Penetration Testing.
Prasyarat : -
2. Dokumentasi hasil monitoring
3. Laporan Vulnerability Analysis/Pentest/Audit trail
Hasil Kerja : laporan deteksi, penilaian, dan monitor kerentanan dan ancaman keamanan jaringan
Batasan Penilaian : 12 kali setahun setiap sistem elektronik
I.C.115 menguji efektifitas teknologi keamanan jaringan
Deskripsi : Melakukan kegiatan pengujian efektivitas teknologi keamanan jaringan intranet dan internet terkait
operasional keamanan informasi. Kegiatan terdiri dari penyusunan rencana, pelaksanaan kegiatan, dan
pembuatan laporan. penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan
Metodologi : SNI/ISO 27001, network Security Testing best practices
Prasyarat : 1. Laporan pelaksanaan prosedur keamanan jaringan (C25)
2. Dokumen topologi jaringan
4. Dokumen VA
2. Dokumen rencana pengujian
3. Laporan pengujian efektivitas teknologi keamanan jaringan
Hasil Kerja : laporan pengujian efektifitas teknologi keamanan jaringan
I.C.116 melaksanakan audit keamanan jaringan
Deskripsi : Melakukan kegiatan audit keamanan jaringan intranet dan internet terkait operasional keamanan informasi.
Kegiatan terdiri dari penyusunan rencana, koordinasi, pelaksanaan kegiatan, dan pembuatan laporan. penugasan
ditetapkan sesuai dengan lingkup yang ditentukan atasan
Metodologi : Vulnerability assessment, SNI/ISO 27001
3. Dokumen log
2. Dokumen rencana audit
3. Laporan audit keamanan jaringan
Hasil Kerja : laporan audit keamanan jaringan
I.C.117 membuat laporan kinerja keamanan jaringan
Deskripsi : Melakukan kegiatan pembuatan laporan kinerja keamanan jaringan berbasis IP.
penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan
Prasyarat : 1. Laporan audit keamanan jaringan (C19)
2. Laporan pengujian efektivitas teknologi keamanan jaringan (C20)
3. Laporan pengamanan jaringan komunikasi elektronik (C21)
2. Laporan kinerja keamanan jaringan
Hasil Kerja : laporan kinerja keamanan jaringan
I.C.118 memperbaiki kerentanan keamanan jaringan
Deskripsi : Kegiatan implementasi penutupan celah keamanan / kerentanan dari hasil rekomendasi temuan celah keamanan
/ kerentanan.
Metodologi : Hardening Sistem Elektronik
Prasyarat : -
2. Laporan kegiatan
3. Dokumentasi implementasi penutupan celah keamanan
4. NDA yang ditandatangani oleh pihak-pihak terkait
Hasil Kerja : laporan perbaikan kerentanan dan ancaman keamanan jaringan
Batasan Penilaian : 12 kali setahun setiap sistem elektronik
I.C.119 meninjau atau menyesuaikan kebijakan dan prosedur keamanan jaringan
Deskripsi : Melakukan kegiatan peninjauan atau penyesuaian kebijakan dan prosedur keamanan jaringan berbasis
IP. Penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan.
Prasyarat : 1. Dokumen kebijakan
2. Laporan peninjauan kebijakan dan prosedur keamanan jaringan
Hasil Kerja : dokumen perubahan kebijakan dan prosedur keamanan jaringan
I.C.120 melakukan keamanan jaringan komunikasi elektronik yang bersifat rahasia dari gangguan dan penyadapan
Deskripsi : Melakukan kegiatan pengamanan jaringan komunikasi elektronik yang bersifat rahasia dari gangguan
dan penyadapan berbasis IP. Kegiatan terdiri dari penyusunan rencana, koordinasi, pelaksanaan
kegiatan, dan pembuatan laporan. penugasan ditetapkan sesuai dengan lingkup yang ditentukan atasan
Metodologi : SNI/ISO 27001, enkripsi
2. Laporan penerapan standar konfigurasi keamanan (C27)
6. Dokumen aplikasi dan perangkat
2. Dokumen rencana pengamanan
3. Laporan pengamanan jaringan komunikasi elektronik mencakup: Pendahuluan, Lingkup pengamanan,
Metode pengamanan, Kesimpulan
Hasil Kerja : laporan pelaksanaan keamanan jaringan komunikasi elektronik yang bersifat rahasia dari gangguan dan
penyadapan
I.C.121 melakukan diseminasi informasi terkait kerentanan, perbaikan atau mitigasi risiko yang telah diterapkan
Deskripsi : Koordinasi dengan pemilik sistem untuk memberikan informasi terkait kerentanan yang ada, rekomendasi
yang harus dilakukan dan penjelasan terkait risiko sistem ketika tidak dilakukan penutupan terhadap celah.
Metodologi : Diskusi (offline/online)
Prasyarat : -
2. Laporan Hasil koordinasi yang berisikan sekurang-kurangnya notula, bsensi peserta diseminasi dan dokumentasi
Kegiatan
Hasil Kerja : laporan diseminasi informasi terkait kerentanan, perbaikan atau mitigasi risiko yang telah diterapkan
Batasan Penilaian : Sesuai dengan kebutuhan sistem elektronik yang dibahas
I.C.122 mengumpulkan data terkait Norma, Standar, Prosedur dan Kriteria (NSPK) pengamanan perangkat lunak
Deskripsi : Melakukan kegiatan pengumpulan data – data terkait Norma, Standar, Prosedur Dan Kriteria (NSPK) terkait
Pengamanan Perangkat Lunak yang relevan dari berbagai sumber
Prasyarat : -
Bukti Fisik : a. Bukti penugasan tertulis; dan
b. Kumpulan dokumentasi data – data Norma, Standar, Prosedur Dan Kriteria (NSPK) terkait
Pengamanan Perangkat Lunak
Hasil Kerja : data dan informasi mengenai NSPK Perangkat Lunak
I.C.123 membuat norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat lunak
Deskripsi : Menyusun dokumentasi terkait Norma, Standar, Prosedur dan Kriteria yang digunakan untuk
menyelesaian kegiatan pengamanan perangkat lunak.
Metodologi : -
Prasyarat : -
2. Dokumen Norma, Standar, Prosedur dan Kriteria pengamanan perangkat lunak
Hasil Kerja : dokumen norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat lunak
I.C.124 menganalisis norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat lunak
Deskripsi : Melakukan analiis pengamanan perangkat lunak yang mencakup:

1. Norma pengamanan perangkat lunak
2. Standar pengamanan perangkat lunak
3. Prosedur pengamanan perangkat lunak
4. Kriteria pengamanan perangkat lunak
Metodologi : -
Prasyarat : -
2. Dokumen Analisis Pengamanan Perangkat Lunak
Hasil Kerja : laporan hasil analisis norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat lunak
I.C.125 melaksanakan forum diskusi terkait dengan norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat lunak
Deskripsi : Melaksanakan kegiatan forum diskusi yang membahas minimal terkait:

1. Norma pengamanan perangkat lunak
2. Standar pengamanan perangkat lunak
3. Prosedur pengamanan perangkat lunak
4. Kriteria pengamanan perangkat lunak
Metodologi : -
Prasyarat : -
2. Notulen Kegiatan
3. Absensi Kegiatan
Hasil Kerja : laporan forum diskusi terkait dengan norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat lunak
I.C.126 mengumpulkan data terkait Norma, Standar, Prosedur dan Kriteria (NSPK) pengamanan perangkat keras
Deskripsi : Merupakan kegiatan mengumpulkan data Norma, Standar, Prosedur dan Kriteria berdasarkan kejadian di lapangan
Metodologi : -
Prasyarat : -
2. Data Norma, Standar, Prosedur dan Kriteria Pengamanan Perangkat Keras
Hasil Kerja : data dan informasi mengenai NSPK Perangkat Keras
I.C.127 menganalisis norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat keras
Deskripsi : Melakukan analiis pengamanan perangkat keras yang mencakup:

1. Norma pengamanan perangkat Keras
2. Standar pengamanan perangkat Keras
3. Prosedur pengamanan perangkat Keras
4. Kriteria pengamanan perangkat Keras
Metodologi : -
Prasyarat : -
2. Dokumen Analisis Pengamanan Perangkat Keras
Hasil Kerja : dokumen hasil analisis norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat keras
Batasan Penilaian : 12 kali per Tahun
I.C.128 membuat norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat keras
Deskripsi : Menyusun dokumentasi terkait Norma, Standar, Prosedur dan Kriteria yang digunakan untuk
menyelesaian kegiatan pengamanan perangkat Keras.
Metodologi : -
Prasyarat : -
2. Dokumen Norma, Standar, Prosedur dan Kriteria pengamanan perangkat Keras
Hasil Kerja : dokumen norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat keras
I.C.129 melaksanakan forum diskusi terkait dengan norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat keras
Deskripsi : Melaksanakan kegiatan forum diskusi yang membahas minimal terkait:

1. Norma pengamanan perangkat Keras
2. Standar pengamanan perangkat Keras
3. Prosedur pengamanan perangkat Keras
4. Kriteria pengamanan perangkat Keras
Metodologi : -
Prasyarat : -
2. Notulen Kegiatan
3. Absensi Kegiatan
Hasil Kerja : laporan forum diskusi terkait norma, standar, prosedur dan kriteria (NSPK) pengamanan perangkat keras
Batasan Penilaian : 12 kali per Tahun
I.C.130 menyiapkan bahan kegiatan bimbingan teknis
dengan kegiatan bimtek
Metodologi : Pengumpulan bahan berupa data atau informasi berupa Undang-undang, Kebijakan, pedoman, materi narasumber
bimtek, presensi kehadiran peserta, dll.
Prasyarat : -
2. Dokumen yang berisi bahan kegiatan bimtek seperti standard, peraturan, bahan paparan, presensi kehadiran
peserta, dll (dalam bentuk tabel dan disertakan lampirannya)
Hasil Kerja : bahan kegiatan bimbingan teknis di bidang SMKI
Batasan Penilaian : Terkumpulnya bahan terkait kegiatan bimtek yang disertai dengan data dukung
I.C.131 memberikan bimbingan teknis di bidang SMKI
Deskripsi : Melakukan bimtek secara tatap muka dan/atau daring tentang sistem manajemen keamanan informasi.
Materi bimtek dapat teridiri dari sejumlah pkok bahasan, sesuai lingkup penugasan.
Metodologi : Penyampaian materi bimtek mengenai sistem manajemen keamanan informasi secara tatap muka dan/atau daring
Prasyarat : -
2. Materi bimtek
3. Sertifikat narasumber
Hasil Kerja : notulensi bimbingan teknis di bidang SMKI
Batasan Penilaian : Setiap adanya kebutuhan bimtek di bidang sistem manajemen keamanan informasi dan dengan terlaksananya
kegiatan bimtek
I.C.132 membuat laporan pelaksanaan bimbingan teknis
Deskripsi : Menyusun laporan kegiatan berdasarkan pelaksanaan bimtek

Metodologi : Penyusunan laporan berdasarkan pelaksanaan kegiatan bimtek
Prasyarat : -
2. Laporan kegiatan bimtek
Hasil Kerja : laporan kegiatan bimbingan teknis di bidang SMKI
Batasan Penilaian : Membuat laporan kegiatan yang berisi materi bimtek, hasil kegiatan, dan capaian kegiatan bimtek
I.C.133 menyusun panduan pengelolaan kapasitas sumber daya
Deskripsi : Melakukan kegiatan penyusunan panduan pengelolaan kapasitas sumber daya. penugasan ditetapkan sesuai
dengan lingkup yang ditentukan atasan.
Prasyarat : 1. Dokumen sistem elektronik
3. Dokumen pemantauan kapasitas sumber daya
2. Dokumen panduan pengelolaan kapasitas sumber daya
Hasil Kerja : panduan pengelolaan kapasitas sumber daya
I.C.134 melakukan pembinaan sumber daya manusia di bidang SMKI
Deskripsi : Melakukan upaya pendidikan formal maupun non formal dalam rangka penumbuhan, peningkatan,
dan pengembangan kemampuan sumber daya manusia di bidang sistem manajemen keamanan informasi
Metodologi : Memberikan pendidikan, pelatihan, dan sertifikasi kepada sumber daya manusia di bidang sistem manajemen
keamanan informasi
Prasyarat : -
2. Laporan kegiatan pembinaan
3. Sertifikat Pendidikan, pelatihan, sertifikasi
Hasil Kerja : laporan kegiatan pembinaan sumber daya manusia di bidang SMKI
Batasan Penilaian : Sumber daya manusia telah melaksanaan kegiatan pembinaan seperti pendidikan, pelatihan, sertifikasi, dll
I.C.135 melakukan uji kompetensi personil di bidang SMKI
Deskripsi : Melakukan pengujian, evaluasi, dan reviu terhadap kompetensi personil di bidang sistem manajemen
keamanan informasi
Metodologi : Pengujian kompetensi personil dengan melakukan wawancara, observasi, reviu administrasi berdasarkan standard
Prasyarat : -
2. Dokumen hasil uji kompetensi personil
Hasil Kerja : materi uji kompetensi
Batasan Penilaian : Terlaksananya uji kompetensi personil dengan mendapatkan hasil dari uji kompetensi
I.C.136 menyiapkan bahan kegiatan diskusi publik atas regulasi di bidang SMKI
dengan kegiatan diskusi publik atas regulasi di bidang sistem manajemen keamanan informasi
Metodologi : Pengumpulan bahan berupa data atau informasi berupa Undang-undang, Kebijakan, pedoman, materi narasumber,
presensi kehadiran peserta, dll.
Prasyarat : -
2. Dokumen yang berisi bahan kegiatan diskusi publik seperti standard, peraturan, bahan paparan, presensi
kehadiran peserta, dll (dalam bentuk tabel dan disertakan lampirannya)
Hasil Kerja : bahan kegiatan diskusi publik atas regulasi di bidang SMKI
Batasan Penilaian : Terkumpulnya bahan terkait kegiatan diskusi publik atas regulasi di bidang sistem manajemen keamanan informasi
I.C.137 menyiapkan bahan kegiatan forum keamanan informasi nasional
dengan kegiatan forum keamanan informasi nasional
Metodologi : Pengumpulan bahan berupa data atau informasi berupa Undang-undang, Kebijakan, pedoman, materi narasumber,
presensi kehadiran peserta, dll.
Prasyarat : -
2. Dokumen yang berisi bahan kegiatan forum keamanan informasi nasional seperti standard, peraturan, pedoman,
bahan paparan, dll (dalam bentuk tabel dan disertakan lampirannya)
Hasil Kerja : bahan kegiatan Forum Keamanan Informasi Nasional
Batasan Penilaian : Terkumpulnya bahan terkait kegiatan forum keamanan informasi nasional
I.C.138 menyelenggarakan forum keamanan informasi nasional
Deskripsi : melakukan kegiatan forum diskusi secara tatap muka dan/atau daring terkait keamanan informasi nasional
Prasyarat : -
2. Laporan kegiatan
Hasil Kerja : laporan kegiatan forum keamanan informasi nasional
Batasan Penilaian : Terlaksananya kegiatan forum keamanan informasi nasional
I.C.139 membuat laporan pelaksanaan forum keamanan informasi nasional
Deskripsi : Menyusun laporan kegiatan berdasarkan pelaksanaan forum keamanan informasi nasional
Metodologi : Penyusunan laporan berdasarkan pelaksanaan kegiatan forum keamanan informasi nasional
Prasyarat : -
2. Laporan kegiatan
Hasil Kerja : laporan pelaksanaan Forum Keamanan Informasi Nasional
Batasan Penilaian : Membuat laporan kegiatan yang berisi materi, hasil kegiatan, dan capaian kegiatan forum keamanan
informasi nasional
I.C.140 menyiapkan bahan kegiatan sosialisasi di bidang SMKI
dengan sistem manajemen keamanan informasi
Metodologi : Pengumpulan bahan berupa data atau informasi berupa Standard ISO, Undang-undang, Kebijakan, Pedoman,
materi narasumber, dll
Prasyarat : -
2. Dokumen yang berisi kumpulan sumber/referensi tentang sistem manajemen keamanan informasi yang disertai
dengan data dukung
Hasil Kerja : bahan kegiatan seminar di bidang SMKI
Batasan Penilaian : Terkumpulnya sumber/referensi tentang sistem manajemen keamanan informasi yang disertai dengan data dukung
I.C.141 membuat laporan pelaksanaan sosialisasi di bidang SMKI
Deskripsi : Menyusun laporan kegiatan berdasarkan pelaksanaan sosialisasi di bidang sistem manajemen keamanan informasi
Metodologi : Data sekunder (laporan kegiatan sosialisasi)
Prasyarat : -
2. Laporan kegiatan sosialisasi
Hasil Kerja : laporan kegiatan seminar di bidang SMKI
Batasan Penilaian : Membuat laporan kegiatan yang berisi materi sosialisasi, hasil kegiatan, dan capaian kegiatan sosialisasi
I.C.142 memproses pendaftaran di bidang SMKI
Deskripsi : Melakukan pengecekan, inventarisasi, dan verifikasi data dan/atau informasi organisasi yang melakukan
pendaftaran di bidang sistem manajemen keamanan informasi yang disertai dengan data
dukung. Contoh: pendaftaran pembentukan CSIRT, Pendaftaran SE
Metodologi : Melakukan prosedur pendaftaran mulai dari pengecekan administrasi hingga verifikasi data atau informasi kepada
organisasi
Prasyarat : -
2. Laporan disertai dengan salinan form pendaftaran
Hasil Kerja : daftar peserta tenaga ahli dan auditor yang lulus sertifikasi (white list)
Batasan Penilaian : Keberhasilan pendaftar dalam melakukan pendaftaran di bidang sistem manajemen keamanan informasi
I.D.001 melakukan identifikasi protokol keamanan pertukaran informasi
Deskripsi : Kegiatan menyusun keperluan atau persyaratan protokol pertukaran informasi yang dibutuhkan pada
satu unit kerja atau instansi ketika akan bertukar data dengan pihak eksternal
Metodologi : Kajian teknis dengan mengacu pada keperluan dan proses kerja pertukaran informasi
Prasyarat : Dokumen administrasi keperluan pertukaran informasi Dokumen proses kerja pertukaran informasi
2. Dokumentasi identifikasi/penelitian yang meliputi:
a. Pendahuluan
menjelaskan latar belakang dan tujuan dilakukannya kegiatan identifikasi/penelitian
b. Ketersediaan protokol
menjelaskan protokol pertukaran informasi yang di miliki organisasi
c. Kebutuhan protokol
menjelaskan kebutuhan protokol pertukaran informasi
d. Sistem informasi
menjelaskan sistem informasi yang membutuhkan protokol pertukaran informasi
Hasil Kerja : laporan identifikasi protokol keamanan pertukaran informasi
Batasan Penilaian : Setiap adanya keperluan untuk menyambungkan jaringan TI ke pihak eksternal (ISP, layanan eksternal,
atau organisasi/instansi lain) Lingkup protokol yang harus diidentifikasikan minimal mencakup:
1. Mekanisme kerahasiaan data sesuai klasifikasinya
2. Mekanisme pengamanan data pribadi sesuai keperluan
3. Mekanisme pencatatan data yang dipertukarkan
4. Mekanisme kaji ulang berkala terkait jumlah/volumen/ragam data yang dipertukarkan
I.D.002 menyiapkan dokumen standar protokol keamanan pertukaran informasi
Deskripsi : Menyusun dokumen tatacara atau standar yang mengatur atau mengijinkan terjadinya hubungan, komunikasi, dan
perpindahan data antara dua atau lebih titik informasi, berikut pemeriksaan kepatuhannya.
Metodologi : Kajian teknis dengan mengacu pada keperluan dan proses kerja pertukaran informasi
Prasyarat : Dokumen kajian persyaratan protokol pertukaran informasi Standar industri pertukaran data/informasi
2. Dokumentasi meliputi aspek:
a. Fungsi Protokol – Menjelaskan fungsi protokol
b. Standar Protokol – Menjelaskan standar protokol yang digunakan
c. Data Informasi – Menjelaskan informasi yang dipertukarkan
Hasil Kerja : dokumen standar protokol keamanan pertukaran informasi
Batasan Penilaian : Dilakukan untuk setiap sistem elektronik yang terkait dengan proses pertukaran informsai dengan pihak eksternal.
Contoh: akses data CCTV oleh pihak eksternal untuk keperluan pemantauan bersama. Mekanisme akses, protokol
yang digunakan untuk mengirimkan/mengakses data harus ditetapkan sebagai standar, untuk
kemudian diperiksa secara berkala kepatuhan terhadap standar yang diberlakukan. Apabila ternyata ada
keperluan untuk
merevisi standar yang diperlukan, akan dilakukan pemutakhiran dokumen standar.
I.D.003 menyusun arsitektur keamanan informasi
Deskripsi : Menyusun prinsip-prinsip dasar dari arsitektur keamanan informasi sesui dengan standard
internasional untuk memitigasi risiko keamanan informasi maupun untuk
memenuhi persyaratan atau peraturan yang berlaku.
Metodologi : Kajian teknis terkait praktek terbaik penerapan prinsip-prinsip keamanan untuk aspek:
1. Tata kelola
2. Proses bisnis atau layanan yang sedang berjalan
3. Data/informasi yang ada di instansi, sesuai klasifikasinya
4. Sistem elektronik (sistem aplikasi) yang sedang berjalan
5. Infrastruktur jaringan yang digunakan
6. Proses dan mekanisme pertukaran informasi dengan pihak eksternal instansi
7. Perangkat teknologi lainnya yang digunakan
8. Transkasi keuangan dalam sistem elektronik.
Prasyarat : Standar Internasional yang sudah diadopsi atau ditetapkan Peraturan perundangan yang
berlaku
Rencana strategis instansi
2. Dokumentasi yang menjelaskan prinsip-prinsip keamanan dan bagaimana penerapannya pada:
a. Tata kelola arsitektur keamanan informasi
b. Proses bisnis atau layanan yang sedang berjalan
c. Data/informasi yang ada di instansi, sesuai klasifikasinya
d. Sistem elektronik (sistem aplikasi) yang sedang berjalan
e. Infrastruktur jaringan yang digunakan
f. Proses dan mekanisme pertukaran informasi dengan pihak eksternal instansi
g. Perangkat teknologi lainnya yang digunakan
h. Transkasi keuangan dalam sistem elektronik.
Hasil Kerja : dokumen arsitektur keamanan informasi
Batasan Penilaian : Dilakukan maksimal 1 kali dalam satu tahun. Dikaji ulang atau diperbarui setiap tahun.
I.D.004 mengidentifikasi arsitektur keamanan informasi sesuai dengan standar internasional
Deskripsi : Mengumpulkan, meneliti dan menelaah keperluan arsitektur keamanan informasi pada organisasi sesuai
dengan standard internasional dengan tujuan mendapatkan kesesuain dengan standard yang ada.
Metodologi : Proses Manual
Prasyarat : 1. Peraturan perundangan terkait
2. Standar dan praktek terbaik
2. Dokumentasi laporan yang mencakup:
a. Pendahuluan menjelaskan latar belakang dan tujuan dilakukannya kegiatan
b. Pembahasan/uraian indentifikasi:
− Arsitektur keamanan informasi keseluruhan yang ada dalam organisasi
− Analisis/penelahaan tata kelola arsitektur keamanan informasi
− Analisis/penelahaan arsitektur keamanan informasi terkait proses bisnis atau layanan yang sedang
berjalan
− Analisis/penelahaan arsitektur keamanan informasi terkait data/informasi yang ada di instansi
− Analisis/penelahaan arsitektur keamanan informasi terkait sistem elektronik (sistem
aplikasi) yang sedang berjalan
− Analisis/penelahaan arsitektur keamanan informasi terkait infrastruktur jaringan yang sedang berjalan
− Analisis/penelahaan arsitektur keamanan informasi terkait proses dan mekanisme pertukaran informasi dengan
pihak eksternal instansi
− Analisis/penelahaan arsitektur keamanan informasi terkait perangkat teknologi lainnya yang digunakan
− Analisis/penelahaan arsitektur keamanan informasi terkait transkasi keuangan dalam sistem elektronik
− Target/sasaran yang ingin dicapai (identifikasi dan inventarisasi)
− Kesenjangan dan implikasi penyesuaian terhadap standard internasional
− Usulan solusi
Hasil Kerja : dokumen hasil identifikasi arsitektur keamanan informasi
Batasan Penilaian : Dilakukan maksimal 1 kali dalam satu tahun. Dikaji ulang atau dperbarui setiap tahun.
I.D.005 mengembangkan mekanisme dan standar keamanan informasi untuk mengamankan proses bisnis atau platform teknologi
Deskripsi : Mengembangkan rancangan pembakuan keamanan informasi terhadap proses pengembangan sistem elektronik
atau kegiatan mengembangkan pedoman baku untuk keamanan informasi terhadap pengembangan
sistem elektronik.
Standar keamanan informasi yang akan dikembangkan termasuk mengidentifikasi keperluan standar keamanan
teknis platform teknologi yang digunakan.
Rancangan pembakuan keamanan informasi untuk suatu SE minimal mencakup area berikut:
1. Otentikasi – mekanisme pemberian akses ke SE melalui suatu mekanisme yang membuktikan pengguna
memiliki kewenangan (what you know, what you have, who you are)
2. Monitoring – pemantauan aspek keamanan pada SE
3. Jejak Audit – catatan kejadian (events) yang diperlukan sebagai bukti audit keamanan
4. Compliance – kepatuhan terhadap kebijakan atau standar yang diberlakukan
5. Access Matrix (Segregasi kewenangan) – pembagian dan segregasi kewenangan untuk alokasi akses SE
Aspek keamanan lainnya yang relevan (misal, perlindungan data pribadi) dapat dimasukkan dalam
bahasan sebagai cakupan terpisah.
Metodologi : Kajian teknis dengan mengacu pada standar indsutri atau peraturan perundangan
Prasyarat : Peraturan perundangan atau standar industri
2. Pendahuluan
Menguraikan latar belakang serta tujuan kegiatan dan ruang lingkup pengembangan pembakuan/standard.
3. Standard keamanan informasi terhadap pengembangan sistem elektronik
Menguraikan pengembangan standard keamanan informasi terhadap pengembangan sistem
4. Kesimpulan
Menjelaskan bagaimana standar teknis dapat memenuhi keperluan pengamanan dan mitigasi risiko dampak
dari standar keamanan informasi terhadap pengembangan sistem elektronik terhadap kinerja sistem informasi dan
peningkatan produktivitas maupun kinerja organisasi
Hasil Kerja : draft pengembangan mekanisme dan standar keamanan informasi untuk mengamankan proses bisnis atau platform
teknologi
Batasan Penilaian : Angka kredit diberikan untuk setiap rancangan area pengamanan sistem elektronik, yang minimal mencakup area
berikut: Otentikasi, Monitoring, Jejak Audit, Compliance, Access Matrix (Segregasi kewenangan). Hal lain yang dapat
dimasukkan dalam lingkup: pengamanan data pribadi, transaksi keuangan, tanda tanga elektronik
Contoh:
Suatu sistem elektronik akan dibangun untuk mengotomasi proses bisnis terkait penerbitan izin. Sistem elektronik
tersebut akan digunakan oleh pihak yang meminta izin dan oleh pejabat yang terlibat dalam proses penyelenggaraan
layanan (menerima, memeriksa, menetapkan, menerbitkan izin). Mekanisme keamanan yang dimaksud untuk area
otentikasi adalah bagaimana pengguna sistem elektronik diamankan pada proses otentikasi sebelum mendapatkan
akses ke layanan aplikasi. Misal, akses via internet dengan menggunakan browser dan otentikasi
via
username/password (dapat ditambahkan menggunakan sertifikat)
I.D.006 mengkaji kesesuaian penerapan protokol pertukaran informasi
Deskripsi : Mengkaji pemenuhan persyaratan penerapan protokol pertukaran informasi yang berjalan (sudah
diterapkan), khususnya aspek pengamanan informasi sesuai klasifikasinya.
Metodologi : Pemeriksaan kontrol keamanan yang diterapkan, pemeriksaan log sistem terkait
Prasyarat : 1. Dokumen standar keamanan pertukaran data/informasi
2. Perjanjian/kesepakatan pertukaran data
3. Topologi jaringan yang menggambarkan interkoneksi dengan pihak eksternal terkait pertukaran data
Bukti Fisik : 1. Bukti penugasan tertulis;
2. Laporan yang mencakup
a. Tingkat kepatuhan penerapan protokol pertukaran informasi;
b. Verifikasi penerapan protokol pertukaran informasi;
c. Saran perbaikan yang diperlukan dalam rangka penyempurnaan penerapan protokol pertukaran informasi
Hasil Kerja : laporan kajian penerapan protokol pertukaran informasi
Batasan Penilaian : Dilakukan setiap bulan untuk setiap koneksi pertukaran informasi antar SE
I.D.007 merancang mekanisme, komponen dan teknologi keamanan informasi
Deskripsi : Merancang suatu sistem teknologi keamanan informasi yang mencakup catatan rinci mengenai
sistem komputer, sistem jaringan, dan sistem prosedur.
Metodologi : Kajian teknis dengan menggunakan acuan praktek terbaik atau standar industri.
Prasyarat : 1. Arsitektur keamanan informasi
2. Dokumen teknis platform teknologi informasi yang digunakan Standar industri
2. Dokumentasi rancangan yang meliputi:
a. Uraian rancangan (deskripsi rancangan)
b. Rancangan teknologi keamanan informasi yang minimal mencakup aspek berikut:
i. Diagram rancangan yang menggambarkan rancangan teknologi keamanan informasi
ii. Platform teknologi dan standar yang dipilih
iii. Protokol yang dipilih
iv. Fitur atau kontrol keamanan yang diterapkan
v. Prosedur kerja terkait
Aspek keamanan lainnya yang relevan dapat dibahas dalam kajian yang sama Contoh: Untuk rancangan area
keamanan jaringan
Pilihan teknologi: IPV6
• Pilihan protokol: …
• Fitur keamanan: …
• Prosedur pemantauan keamanan jaringan
Hasil Kerja : dokumen mekanisme dan standar keamanan informasi
Batasan Penilaian : Dilakukan untuk setiap platform teknologi yang digunakan
I.D.008 mengintegrasikan solusi arsitektur keamanan dengan arsitektur teknologi informasi
Deskripsi : Memadukan arsitektur keamanan informasi dengan arsitektur teknologi informasi menjadi satu kesatuan
yang utuh dengan tujuan untuk meminimalkan risiko keamanan informasi, meningkatkan efisiensi
dan efektivitas sistem informasi pada organisasi
Metodologi : Kajian teknis untuk menerapkan (mengubah, mengintegrasikan) solusi arsitektur keamanan informasi
pada arsitektur TI yang ada. Dilakukan melalui penyelerasan perencanaan pengembangan dan pengadaan,
koordinasi
penerapan dan evaluasi
Prasyarat : 1. Arsitektur TI
2. Rencana Strategis TI
3. Peta Jalan Pengembangan TI
2. Dokumentasi hasil kajian atau usulan rancangan pengintegrasian dengan cakupan sebagai berikut:
a. Uraian secara umum solusi arsitektur keamanan informasi yang akan diintegrasikan dengan
arsitektur teknologi informasi
b. Uraian kontrol keamanan informasi yang diterapkan (misal: enkripsi, kontrol akses multifaktor, jejak
audit, sertifikasi digital, dll)
c. Uraian pelaksanaan integrasi – menjelaskan cara dan proses integrasi solusi arsitektur keamanan
informasi dengan arsitektur teknologi informasi
d. Uraian pengujian efektivitas solusi arsitektur keamanan informasi yang akan diterapkan.
Hasil Kerja : laporan hasil integrasi solusi arsitektur keamanan informasi
Batasan Penilaian : Dilakukan untuk setiap solusi keamanan informasi yang akan diterapkan/diintegrasikan dengan arsitektur
teknologi informasi. Dapat dilakukan untuk setiap solusi keamanan informasi yang akan diterapkan pada suatu
arsitektur SE.
Contoh:
1. Penerapan Jump Host untuk mengamankan akses ke sistem aplikasi atau DB yang
memerlukan pengendalian ketat dengan jejak audit
2. Penerapan syslog untuk mengamankan jejak audit dengan pembatasan akses yang ketat
I.D.009 mengkaji kesesuaian penerapan arsitektur keamanan informasi
Deskripsi : Mengkaji pemenuhan persyaratan penerapan arsitektur keamanan informasi terhadap

teknologi informasi yang mencakup penerapan arsitektur keamanan informasi pada jaringan dan platform
teknologi (sistem elektronik)
Metodologi : Kajian teknis dengan mengevaluasi solusi arsitektur keamanan informasi yang diterapkan dengan efektivitas
kontrol keamanan yang digunakan.
Prasyarat : Dokumen integrasi solusi arsitektur keamanan dengan arsitektur teknologi informasi
2. Laporan yang mencakup:
a. Verifikasi penerapan solusi arsitektur keamanan informasi
b. Tingkat kepatuhan dan konsistensi penerapan arsitektur keamanan informasi
c. Saran perbaikan yang diperlukan dalam rangka penyempurnaan penerapan arsitektur keamanan informasi
Hasil Kerja : laporan kajian kesesuaian penerapan arsitektur keamanan informasi
Batasan Penilaian : Dilakukan minimal sekali dalam tahun pada setiap integrasi solusi arsitektur keamanan dengan arsitektur teknologi
informasi
I.D.010 mengusulkan perbaikan ataupun perubahan terhadap arsitektur keamanan informasi
Deskripsi : Menyesuaikan rancangan arsitektur keamanan informasi keseluruhan yang sudah ada terhadap perubahan
kebutuhan dan atau perkembangan teknologi informasi.
Metodologi : Kajian teknis dengan mengacu pada hal-hal sebagai berikut:
1. Rencana pengembangan TI
2. Rencana pengembangan organisasi, layanan atau proses kerja
3. Perubahan pada platform teknologi yang digunakan
4. Peraturan perundangan baru
5. Standar keamanan
6. Atau perkembangan kondisi lainnya yang mengakibatkan perlunya perubahan pada arsitektur keamanan
informasi.
Prasyarat : Arsitektur keamanan informasi yang ada Rencana perubahan (organisasi, layanan, proses kerja, peraturan,
standar)
2. Laporan dengan satau atau lebih cakupan sebagai berikut :
a. Rencana pengembangan TI
b. Rencana pengembangan organisasi, layanan atau proses bisnis
c. Perubahan pada platform teknologi yang digunakan
d. Perubahan pada peraturan perundangan
e. Standar keamanan
f. Perubahan lainnya yang relevan
Hasil Kerja : laporan usulan perubahan arsitektur keamanan informasi
Batasan Penilaian : Dilakukan untuk setiap adanya perubahan kondisi operasional yang berdampak pada arsitektur keamanan
informasi
I.E.001 menyusun secure system engineering principle
Deskripsi : Menyusun prinsip-prinsip dasar dari perancangan sistem yang aman untuk memitigasi risiko
keamanan informasi (antara lain mencegah hilangnya/rusaknya data dan mencegah akses oleh yang
tidak berwenang) maupun untuk memenuhi persyaratan atau peraturan yang berlaku.
Penyusunan dapat dilakukan untuk keperluan umum, terkait dengan platform teknologi tertentu (misal platform
Android, iOS) maupun untuk pengembangan yang memerlukan pendekatan atau pemenuhan standar teknis yang
spesifik.
Metodologi : Kajian tertulis
Prasyarat : Arsitektur TIK instansi
Rencana Strategis dan Peta Jalan Pengembangan TI
2. Dokumen rancangan sistem yang aman dengan cakupan
a. Lapisan fisik menjelaskan pembatasan akses fisik ke perangkat
b. Keamanan lokas menjelaskan hak akses setiap user
c. Keamanan root
Hasil Kerja : dokumen secure system engineering principle
Batasan Penilaian : Dilakukan setiap adanya keperluan pengembangan sistem yang menggunakan platform teknologi baru atau
pendekatan pengembangan baru. Contohnya prinsip mengamankan pengembangan dengan metodologi (DevOps).
Dilakukan apabila diperlukan kaji ulang dan direvisi terkait dengan pemutakhiran platform teknologi
atau keperluan khusus lainnya, dengan penilaian sesuai pedoman terkait revisi dokumen.
Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.E.002 menyusun standar keamanan informasi terhadap pengembangan sistem elektronik
Deskripsi : Menyusun rancangan pembakuan keamanan informasi terhadap proses pengembangan sistem elektronik
atau kegiatan penyusunan pedoman baku untuk keamanan informasi terhadap pengembangan sistem
elektronik.
Pedoman dapat disusun secara umum (berlaku untuk semua proses pengembangan) atau disusun
khusus untuk keperluan pengembangan yang harus mematuhi persyaratan khusus.
Standar untuk sistem eletkronik yang akan dibangun termasuk mengidentifikasi keperluan standar
keamanan teknis platform teknologi yang digunakan
Metodologi : Kajian tertulis dengan mengacu pada praktek terbaik seperti ISO/IEC 12207, ISO/IEC 27034, seri NIST 800
atau standar teknis lain yang terkait
Prasyarat : Adanya keperluan standar umum atau adanya platform teknologi tertentu yang dimiliki instansi
2. Dokumen standar dengan outline seperti berikut:
a. Pendahuluan
Menguraikan latar belakang serta tujuan kegiatan dan ruang lingkup pembakuan/standard.
b. Pembakuan keamanan informasi terhadap pengembangan sistem
elektronik. Menguraikan pembakuan keamanan informasi terhadap pengembangan sistem elektronik yang
dilengkapi dengan contoh, dan panduan yang diperlukan.
c. Kesimpulan
Menjelaskan bahwa standar teknis dapat memenuhi keperluan pengamanan dan mitigasi risiko serta
menjelasksan dampak dari standar keamanan informasi terhadap pengembangan sistem elektronik terhadap kinerja
sistem informasi dan peningkatan produktivitas maupun kinerja organisasi
Hasil Kerja : dokumen standar keamanan informasi terhadap pengembangan sistem elektronik
Batasan Penilaian : Sesuai keperluan penyusunan standar teknis pada platform teknologi yang digunakan. Nilai diberikan setelah
pengajuan disampaikan kepada atasan pejabat yang berwenang
I.E.003 menyusun Standar Operasional Prosedur (SOP) perlindungan data uji sistem
Deskripsi : Menyusun sistem prosedur/panduan sistematis yang digunakan untuk perlindungan data uji sistem.
Yang dimaksud data uji sistem adalah data-data yang diperlukan untuk menguji suatu sistem aplikasi yang
sedang dikembangkan atau sedang diubah. Perlindungan yang dimaksud adalah terkait dengan pengamanan data
sensitif atau data pribadi agar tidak terungkap kepada tim pengembang sistem aplikasi. SOP dapat disusun
untuk keperluan umum, maupun untuk keperluan uji sistem aplikasi yang memerlukan data uji khusus.
Prasyarat : Keperluan data uji pada pengembangan SE
2. Surat Pengusulan (Nota Dinas)
3. Dokumen SOP yang telah diusulkan kepada pejabat yang berwenang atau sudah disahkan
oleh organisasi yang berwenang
Hasil Kerja : dokumen standar operasional prosedur (SOP) perlindungan data uji sistem
Batasan Penilaian : Setiap adanya keperluan untuk mengatur proses perlindungan data uji sistem, termasuk perubahan
terkait adanya peraturan khusus
I.E.004 menerapkan persyaratan SMKI dalam pengembangan aplikasi oleh pihak ketiga
Deskripsi : Mengevaluasi, mengawasi penerapan dan pemenuhan persyaratan sistem manajemen keamanan informasi dalam
pengembangan aplikasi oleh pihak ketiga, dengan tujuan untuk menjamin kerahasiaan, keutuhan,
dan ketersediaan aset informasi. Kegiatan ini dilakukan pada:
1. Awal proses pengembangan dengan mengevaluasi kesiapan pihak ketiga dalam melakukan pengembangan
sistem sesuai persyaratan sistem manajemen keamanan informasi - menjadi bagian dari yang dilaporkan pada
laporan awal
2. Saat pengembangan sedang berlangsung untuk memastikan persyaratan terkait dipenuhi secara konsisten
- menjadi bagian dari yang dilaporkan pada laporan tengah
Metodologi : Proses manual
Prasyarat : Rencana pengembangan SE oleh pihak ketiga
2. Dokumen dengan cakupan:
a. Memastikan bahwa pengendalian keamanan informasi yang tercantum dalam kesepakatan telah
diterapkan, dioperasikan, dan dipelihara oleh pihak ketiga.
b. Pemantauan terhadap kinerja penyediaan layanan, laporan, dan catatan yang disediakan oleh pihak
ketiga secara berkala.
Hasil Kerja : laporan penerapan persyaratan keamanan informasi dalam pengembangan aplikasi oleh pihak ketiga
Batasan Penilaian : Maksimal dilakukan 2 (dua) kali untuk setiap pengembangan SE - di awal (Laporan Awal) dan saat proses
pengembangan sedang berjalan (Laporan Tengah)
I.E.005 melakukan penerapan persyaratan SMKI terhadap layanan aplikasi pada jaringan publik
Deskripsi : Kegiatan implementasi persyaratan rancangan sistem manajemen keamanan informasi dan peraturan atau
sta ndar terkait, meliputi telaah ulang rancangan, pemenuhan persyaratan seperti validasi mitigasi risiko,
segregasi kewenangan, ketersediaan data, jejak/rekam audit, dan pengujian pada area layanan aplikasi
pada jaringa n publik, termasuk ketika terjadi perubahan pada layanan aplikasi tersebut
Contoh (perubahan layanan apliaksi): ketika suatu layanan aplikasi mengalami perubahan (rilis versi
baru, penambahan fitur), diperlukan kaji ulang kepatuhan terhadap penerapan persyaratan sistem manajemen
keamanan informasi yang relevan seperti segregasi kewenangan, kontrol akses, manajemen perubahan, pengujian
dll.
Prasyarat : Rencana penerapan atau operasionalisasi layanan aplikasi
2. Dokumentasi hasil penerapan persyaratan sistem manajemen keamanan informasi yang meliputi:
a. Laporan penerapan persyaratan sistem manajemen keamanan informasi pada layanan aplikasi baru
(atau perubahannya) – pemetaan persyaratan standar, peraturan dan relevansinya
b. Hasil validasi kepatuhan penerapan layanan aplikasi pada jaringan publik terhadap sistem manajemen
keamanan informasi – daftar periksa (checklist) pemenuhan kepatuhan
Hasil Kerja : laporan penerapan persyaratan SMKI terhadap layanan aplikasi pada jaringan publik
Batasan Penilaian : 1. Setiap adanya layanan aplikasi baru pada jaringan publik
2. Setiap adanya perubahan layanan aplikasi – dilakukan kaji ulang kepatuhan penerapan sistem manajemen
keamanan informasi pada perubahan sistem aplikasi (misal penerapan versi aplikasi baru).
3. Penilaian merujuk pada pedoman terkait revisi dokumen – perubahan tingkat besar)
4. Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.E.006 melakukan penerapan persyaratan SMKI terhadap layanan transaksi pada aplikasi
Deskripsi : Kegiatan implementasi persyaratan rancangan sistem manajemen keamanan informasi dan peraturan atau
sta ndar terkait, meliputi telaah ulang rancangan, pemenuhan persyaratan seperti validasi mitigasi risiko, segregasi
kewenangan, ketersediaan data, jejak/rekam audit, dan pengujian pada pada area layanan transaksi pada aplikasi
Kegiatan ini dilakukan untuk setiap jenis transaksi yang berbeda – misal tranfer via Bank, menggunakan
uang elektronik, pembayaran via kartu kredit]
Prasyarat : Rencana penerapan atau operasionalisasi layanan transaksi
2. Dokumentasi hasil penerapan persyaratan sistem manajemen keamanan informasi yang meliputi:
a. Laporan penerapan persyaratan sistem manajemen keamanan informasi pada layanan aplikasi baru
(atau perubahannya) – pemetaan persyaratan standar, peraturan dan relevansinya
b. Hasil validasi kepatuhan penerapan layanan aplikasi pada jaringan publik terhadap sistem manajemen
keamanan informasi – daftar periksa (checklist) pemenuhan kepatuhan
Hasil Kerja : laporan penerapan persyaratan SMKI terhadap layanan transaksi pada aplikasi
Batasan Penilaian : 1. Setiap adanya layanan transaksi baru pada aplikasi
2. Setiap adanya perubahan layanan transaksi pada aplikasi – dilakukan kaji ulang kepatuhan penerapan
sistem manajemen keamanan informasi pada perubahan sistem aplikasi (misal penerapan metode
pembayaran/transaksi baru).
3. Penilaian merujuk pada pedoman terkait revisi dokumen – perubahan tingkat besar)
4. Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.E.007 menyusun prosedur kontrol perubahan sistem elektronik
Deskripsi : Menyusun prosedur/panduan sistematis yang digunakan untuk melakukan perubahan terhadap sistem elektronik
(SE) yang digunakan. Prosedur dapat disusun untuk keperluan perubahan secara umum, maupun untuk yang
bersifat spesifik (misal, prosedur perubahan terhadap konfigurasi perangkat atau sistem aplikasi).
Prasyarat : -
2. Dokumen prosedur kontrol perubahan sistem elektronik
Hasil Kerja : dokumen prosedur kontrol perubahan sistem elektronik
Batasan Penilaian : Sesuai adanya keperluan mengelola perubahan terhadap sistem elektronik atau penerapan teknologi baru.
I.E.008 menguji fungsionalitas keamanan sistem elektronik
Deskripsi : Melakukan uji coba fungsi mekanisme keamanan sistem elektronik dengan tujuan untuk melihat tingkat
kebenaran (efektivitas) suatu keamanan sistem elektronik dengan spesifikasi atau persyaratan yang
telah ditetapkan.
Metodologi : Menguji fungsi keamanan secara langsung (termasuk negative testing) sesuai dengan yang disyaratkan
dan diterapkan pada SE, misal proses otentikasi menggunakan password dengan jumlah karakter minimal,
proses login yang gagal, session time-out.
Kegiatan ini berbeda dengan proses pengujian kode sumber (static/dynamic appliation security test), VA
atau pentest
Prasyarat : 1. Rencana uji coba SE
2. Dokumen rancangan SE
2. Dokumen pelaksanaan uji fungsionalitas yang memuat:
a. Waktu proses uji coba;
b. Persyaratan fungsional, berisi cakupan dan tujuan;
c. Prasyarat, berisi syarat yang harus dipenuhi sebelum menjalankan prosedur uji coba;
d. Prosedur uji coba, berisi langkah-langkah pelaksanaan uji coba program, termasuk aspek “negative test”;
e. Output, berisi output yang diharapkan; dan
f. Keterangan, berisi catatan hasil ujicoba dan keterangan lain yang diperlukan.
Hasil Kerja : laporan pengujian keamanan sistem elektronik
Batasan Penilaian : Dilakukan maksimal 1 (satu) kali untuk setiap pengembangan SE (atau perubahan pada SE) saat diajukan untuk
dirilis. Apabila diperlukan pengujian ulang setelah adanya perbaikan pada aspek pengamanan yang
belum memenuhi persyaratan, tetap dianggap sebagai bagian dari
pengujian awal Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.E.009 menguji tingkat penerimaan sistem dan kriteria yang berhubungan dengan SMKI serta menyusun tindakan korektif yang
diperlukan
Deskripsi : Melakukan penilaian terhadap tingkat kepatuhan pemenuhan persyaratan keamanan suatu sistem,
sesuai dengan kriteria yang telah ditetapkan pada standar keamanan (baik sistem manajemen
keamanan informasi maupun standar teknis) terkait. Dilakukan pada tahap Staging sebelum sistem
dinyatakan operasional
Prasyarat : Laporan uji coba sistem elektronik
2. Dokumen laporan pelaksanaan pengujian yang memuat:
a. Validasi kelengkapan persyaratan kepatuhan yang telah dipenuhi
b. Validasi pemenuhan kepatuhan sesuai standar atau peraturan yang berlaku sesuai kriteria ataupun
ambang batas terkait
c. Pengecualian atau keterbatsan pemenuhan persyaratan berikut penjelasannya
d. Kesimpulan
Hasil Kerja : laporan pengujian tingkat penerimaan sistem elektronik
Batasan Penilaian : Sesuai dengan adanya keperluan pengujian sistem baru atau perubahannya. Nilai diberikan setelah pengajuan
disampaikan kepada atasan pejabat yang berwenang
I.E.010 menganalisis persyaratan keamanan informasi dalam siklus hidup pengembangan sistem elektronik
Deskripsi : Penelaahan dan penguraian risiko, permasalahan dan kebutuhan keamanan informasi terkait
proses pengembangan SE secara umum maupun untuk pengembangan suatu sistem aplikasi baru untuk
keperluan khusus/tertentu.
Metodologi : Kajian tertulis dengan mengacu pada praktek terbaik seperti ISO/IEC 12207, ISO/IEC 27034, seri NIST 800
atau standar teknis lain yang terkait.
Prasyarat : Rencana pengembangan sistem baru atau perubahannya
2. Dokumentasi hasil analisis keamanan informasi harus meliputi:
a. Kajian risiko keamanan informasi terkait SE yang akan dikembangkan
b. Sasaran dan batasan sistem keamanan informasi
c. Arsitektur sistem keamanan informasi
d. Deskripsi sistem keamanan informasi
e. Pertimbangan khusus kinerja sistem keamanan inforasi
f. Hasil pemodelan
g. Lampiran referensi standar teknis terkait
Hasil Kerja : dokumen hasil analisis persyaratan keamanan informasi dalam siklus hidup pengembangan sistem elektronik
Batasan Penilaian : Setiap adanya kebutuhan dokumen analisis untuk pengembangan sistem baru atau perubahan/revisinya
(lihat pedoman terkait revisi dokumen) Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat
yang berwenang
I.E.011 mengkaji keamanan lingkungan pengembangan sistem elektronik
Deskripsi : Mengkaji pemenuhan persyaratan dan spesifikasi keamanan lingkungan pengembangan sistem elektronik
yang mencakup:
1. Penerapan standar keamanan pada jaringan dan platform teknologi (sistem operasi, paltform aplikasi, DB
dll) yang digunakan dalam pengembangan SE
2. Kesiapan data uji yang aman
3. Pengamanan sistem terkait yang digunakan sebagai bagian dari proses pengembangan (misal keperluan
untuk integrasi ke Directory Service untuk keperluan pengembangan dan pengujian dengan menggunakan
akses dan akun pengguna khusus).
Dilakukan pada setiap awal proses pengembangan SE
Prasyarat : Rencana pengembangan SE
2. Dokumen yang mencakup:
a. Daftar periksa dan tingkat kepatuhan penerapan standar keamanan pada jaringan dan platform teknologi
(sistem operasi, paltform aplikasi, DB dll) yang digunakan dalam pengembangan SE
b. Kesiapan data uji yang telah diamankan
c. Verifikasi penerapan pengamanan sistem terkait yang digunakan sebagai bagian dari
proses pengembangan
Hasil Kerja : dokumen kajian keamanan lingkungan pengembangan sistem elektronik
Batasan Penilaian : Setiap adanya proses pengambangan sistem baru atau perubahan terhadap sistem melalui proyek
tersendiri Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.E.012 mengendalikan perubahan atas software packages
Deskripsi : Mengelola perubahan atas software packages mencakup beberapa kegiatan berikut:
1. Memastikan bahwa prosedur dan metode yang telah distandarkan digunakan untuk menangani
seluruh perubahan secara efisien dan tepat
2. Memastikan semua perubahan service asset dan configuration item dicatat pada configuration management
system
3. Memastikan bahwa seluruh resiko bisnis telah dimitigasi
Catatan: proses perubahan akan dilakukan oleh pihak pengembangan atau operasional SE, MI akan
memeriksa proses perubahan sudah dijalankan sesuai dengan prosedur dan standar, khususnya
aspek keamanan informasi.
Prasyarat : Rencana atau usulan perubahan software package
2. Permintaan perubahan dari pejabat yang berwenang
3. Laporan hasil dokumentasi perubahan berisi:
− Evaluasi kesesuaian prosedur dan metode layanan dengan yang direncanakan
− Evaluasi pencatatan perubahan service asset dan CI
− Evaluasi risiko yang terjadi selama proses perubahan
Hasil Kerja : laporan pengendalian perubahan atas software packages
Batasan Penilaian : Laporan sesuai dengan keperluan (permintaan) perubahan software package dari pejabat yang
berwenang Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.F.001 membuat prosedur layanan sistem elektronik dalam kondisi darurat
Deskripsi : Menyusun prosedur penyediaan komponen layanan suatu sistem elektronik dalam kondisi darurat
untuk mengembalikan fungsi atau kapabilitas yang diperlukan. Komponen Sistem Elektronik yang dimaksud
adalah:
1. Sistem Aplikasi
2. Sistem Database
3. Sistem Server
4. Sistem Jaringan terkait
5. Sistem terkait lainnya yang diperlukan untuk menyediakan layanan sistem elektronik dalam kondisi darurat
Prosedur disusun dalam bentuk Instruksi Kerja teknis sesuai dengan platform teknologi yang digunakan
Metodologi : Kajian teknis penyusunan langkah pemulihan komponen layanan suatu sistem elektronik sesuai dengan
praktek
terbaik
Prasyarat : 1. Arsitektur Sistem Elektronik
2. Spesifikasi teknis komponen Sistem Elektronik
3. Proses kerja Sistem Elektronik
4. Prosedur penanganan gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik
Bukti Fisik : Bukti penugasan tertulis
Hasil Kerja : dokumen prosedur layanan sistem elektronik dalam kondisi darurat
Batasan Penilaian : 1. Penyusunan dilakukan untuk setiap komponen Sistem Elektronik
2. Kaji ulang prosedur dilakukan setiap tahun atau setelah terjadinya perubahan signifikan pada suatu komponen
layanan sistem elektronik
I.F.002 membuat prosedur penanganan gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk pelayanan
publik
Deskripsi : Menyusun prosedur penanganan gangguan, kegagalan dan kerugian dengan tujuan untuk membatasi dampak pada
pangguna layanan, rusaknya atau hilangnya data. Prosedur disusun untuk setiap Sistem Elektronik dan
harus mencakup seluruh aspek yang ada. Aspek layanan Sistem Elektronik yang dimaksud adalah:
1. Dampak gangguan layanan terhadap publik ataupun penyelenggara
2. Data atau informasi yang terkait/terdampak
3. Komunikasi dan koordinasi termasuk alur eskalasi dan pelaporan
4. Layanan atau Sistem Elektronik terkait lainnya yang juga terdampak atas kegagalan ini
5. Langkah penanganan gangguan, kegagalan dan kerugian
Prosedur disusun dalam bentuk proses kerja atau langkah-langkah operasional yang menjelaskan
tahapan penanganan gangguan, kegagalan dan kerugian.
Metodologi : 1. Kajian layanan Sistem Elektronik dan proses kerja atau langkah (manual) yang diperlukan untuk
menangani dan menyelesaikan gangguan, kegagalan dan kerugian.
2. Prosedur disusun dalam bentuk alur kerja (workflow)
Prasyarat : 1. Deskripsi Layanan Sistem Elektronik
2. Arsitektur Sistem Elektronik
3. Proses kerja Sistem Elektronik
Hasil Kerja : dokumen prosedur penanganan gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik
Batasan Penilaian : 1. Dilakukan untuk setiap layanan Sistem Elektronik
2. Kaji ulang prosedur dilakukan setiap tahun atau setelah terjadinya perubahan signifikan pada layanan Sistem
Elektronik
I.F.003 melakukan pengelolaan terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk pelayanan
publik
Deskripsi : Melaksanakan operasional pengendalian gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik
untuk pelayanan publik sesuai prosedur dan instruksi kerja yang telah ditetapkan dan esakalasi pelaporan,
koordinasi dan komunikasi dengan pimpinan maupun pemangku kepentingan di Instansi dan pihak eksternal
sesuai arahan.
Metodologi : Menjalankan prosedur dan instruksi kerja yang telah ditetapkan
Prasyarat : 1. Proses kerja Sistem Elektronik
3. Formulir laporan penanganan gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik
4. Dokumen instruksi kerja penyediaan komponen layanan suatu sistem elektronik dalam kondisi darurat
Hasil Kerja : laporan pengelolaan terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik
Batasan Penilaian : Dilakukan setiap minggu sesuai penugasan
I.F.004 melakukan pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik
Deskripsi : Memberikan arahan, melakukan koordinasi eksternal, eskalasi pelaporan dan memantau pelaksanaan pengendalian
oleh pelaksana teknis, terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik, koordinasi dan Komunikasi dengan pemangku kepentingan di Instansi, maupun pihak eksternal
yang terkait dengan layanan Sistem Elektronik.
Metodologi : 1. Manajemen proses
2. Koordinasi
3. Komunikasi dengan pihak eksternal
3. Formulir laporan penanganan gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik
Hasil Kerja : laporan pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik
I.F.005 melakukan koordinasi mekanisme pelaporan terjadinya gangguan, kegagalan dan kerugian penyelenggaraan sistem elektronik
untuk pelayanan publik dalam sektor terkait
Deskripsi : Koordinasi pelaporan dan penyampaian informasi pada pihak terkait atas terjadinya gangguan, kegagalan
dan kerugian penyelenggaraan sistem elektronik untuk pelayanan publik dalam sektor terkait, koordinasi
dan komunikasi dengan pihak terkait di sektor lain, koordinasi untuk menyelesaikan insiden yang melibatkan
pihak-pihak dalam suatu sektor (intra-sektor) maupun lintas sektor, memberikan arahan untuk
menyelesaikan insiden sesuai keperluan, eskalasi dan pelaporan pada pimpinan Instansi
Metodologi : 1. Manajemen komunikasi
2. Koordinasi
3. Penyelesaian konflik
Prasyarat : -
Hasil Kerja : laporan koordinasi mekanisme pelaporan terjadinya gangguan, kegagalan dan kerugian penyelenggaraan sistem
elektronik untuk pelayanan publik dalam sektor terkait
I.F.006 melakukan evaluasi upaya pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik
untuk pelayanan publik
Deskripsi : Evaluasi upaya pengendalian terhadap gangguan, kegagalan dan kerugian yang mencakup:
1. Total (jumlah/statistik) gangguan dan kegagalan layanan
2. Total dampak yang terjadi pada layanan (kerugian materiil atau imateriil)
3. Akar masalah
4. Identifikasi keperluan perbaikan atau pencegahan
Metodologi : Kajian dampak dan akar masalah insiden, penghitungan
Prasyarat : Laporan insiden (gangguan, kegagalan dan kerugian)
Hasil Kerja : laporan evaluasi upaya pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem
I.F.007 membentuk pusat pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik
Deskripsi : Perencanaan, penetapan dan pembagian tugas pusat pengendalian terhadap gangguan, kegagalan dan
kerugian atas penyelenggaraan sistem elektronik untuk pelayanan publik dan perencanaan mencakup
koordinasi kesiapan sistem dan informasi yang diperlukan pusat pengendalian.
Metodologi : Manajemen proses, waktu, SDM, komunikasi dan koordinasi
Hasil Kerja : pusat pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik
I.F.008 mengelola pusat pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem elektronik untuk
pelayanan publik
Deskripsi : Memberikan arahan terkait operasional (jadwal, penugasan), melakukan koordinasi eksternal, dan memantau
kinerja pelaksanaan pengendalian oleh pelaksana teknis, terhadap gangguan, kegagalan dan kerugian
atas penyelenggaraan sistem elektronik untuk pelayanan publik
Metodologi : 1. Manajemen proses
2. Koordinasi
3. Komunikasi dengan pihak eksternal
Prasyarat : Penugasan dan jadwal kerja tim teknis
Hasil Kerja : laporan kegiatan pusat pengendalian terhadap gangguan, kegagalan dan kerugian atas penyelenggaraan sistem
I.G.001 mengidentifikasi persyaratan hukum dan peraturan di bidang SMKI
Deskripsi : Mengidentifikasi peraturan hukum berlaku yang terkait dengan pelaksanaan tata kelola sistem
manajemen keamanan informasi. Peraturan dapat berupa undang-undang, standar, regulasi, dan prosedur baik
yang berlaku secara nasional, sektoral maupun internal organisasi. Untuk setiap peraturan hukum yang
teridentifikasi, diuraikan relevansinya terhadap tata Kelola sistem manajemen keamanan informasi yang ada
dan aspek kepatuhan yang diperlukan
Prasyarat : -
2. Dokumen identifikasi setiap persyaratan hukum dan peraturan di bidang sistem manajemen keamanan
informasi manajemen keamanan informasi
Hasil Kerja : dokumen persyaratan hukum dan peraturan di bidang SMKI
Batasan Penilaian : Dilakukan maksimal sekali setiap kuartal
I.G.002 melakukan audit internal di bidang SMKI secara berkala
Deskripsi : Melakukan penilaian yang sistematis dan objektif untuk memeriksa dan mengevaluasi kegiatan
pengelolaan keamanan informasi pada organisasi. Audit internal dapat dilakukan dengan lingkup:
1. Instansi (berikut fasilitas, infrastruktur atau SE yang ada), atau
2. Satuan kerja (berikut fasilitas, infrastruktur atau SE yang ada), atau
3. Fasilitas/Infrastruktur (misal Pusat Data) dan/atau
4. Satu atau lebih Sistem Elektronik
Pelaksanaan audit internal dilakukan dengan tahapan:
1. Koordinasi, penjadwalan dan penetapan lingkup audit (Instansi, Satuan Kerja, Fasilitas/Infrastruktur,
atau Sistem Elektronik)
2. Perencanaan Audit – pemetaan klausul standar audit dan area yang akan diaudit
3. Pelaksanaan Audit – pemeriksaan kepatuhan terhadap klausul standar audit pada area terkait
4. Penetapan Hasil Audit – pelaporan akhir termasuk semua temuan yang ada, hasil observasi selama audit, dan
validasi usulan rencana perbaikan oleh pihak yang diaudit
Metodologi : 1. Kuesioner/Ceklis, Wawancara dengan orang yang relevan, pengamatan langsung terhadap proses,
dan pemeriksaan informasi terdokumentasi
2. Peraturan Menteri KOMINFO terkait Sistem Manajemen Pengamanan Informasi
3. SNI/ISO 27001
4. SNI/ISO 27002
5. ISO 27007
6. NIST
7. Compliance Analysis
Prasyarat : Penetapan dan penugasan Audit Internal
2. Dokumen laporan hasil audit internal
Hasil Kerja : laporan audit internal di bidang SMKI
Batasan Penilaian : 1. Pelaksanaan audit internal dapat dilakukan setiap tahun untuk suatu lingkup
2. Audit internal dapat dilakukan untuk keperluan penyidikan insiden keamanan informasi dengan lingkup
tertentu
I.G.003 mengkaji kepatuhan kebijakan di bidang SMKI di instansi terhadap hukum dan peraturan terkait lainnya
Deskripsi : Melakukan pengkajian kepatuhan kebijakan di bidang sistem manajemen keamanan informasi di instansi
terkait rencana keberlangsungan layanan terhadap hukum dan peraturan terkait lainnya
Metodologi : Compliance Analysis
Prasyarat : 1. Dokumen kerangka kerja keberlangsungan layanan TI/SE
2. Dokumen strategi keberlangsungan layanan TI/SE
3. Dokumen identifikasi persyaratan hukum dan peraturan
2. Laporan kajian kepatuhan kebijakan keamanan informasi
Hasil Kerja : dokumen analisis kajian kepatuhan kebijakan di bidang SMKI di instansi terhadap hukum dan peraturan terkait
lainnya
Batasan Penilaian : Maksimal dilakukan setiap kuartal atau setelah adanya perubahan strategi keberlangsungan layanan TI/SE. Nilai
diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.G.004 melakukan evaluasi kebijakan SMKI untuk mematuhi semua undang-undang dan peraturan perlindungan data pribadi
Deskripsi : Melakukan kegiatan evaluasi kebijakan sistem manajemen keamanan informasi rencana keberlangsungan layanan
terhadap hukum perlindungan data pribadi dan peraturan terkait lainnya
2. Dokumen rencana keberlangsungan layanan TI/SE
2. Dokumen evaluasi kebijakan sistem manajemen keamanan informasi
Hasil Kerja : laporan evaluasi kebijakan SMKI mematuhi semua undang-undang dan peraturan perlindungan data pribadi
Batasan Penilaian : Maksimal 2 kali dalam 1 tahun. Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang
berwenang
I.G.005 melakukan evaluasi kepatuhan kebijakan SMKI di instansi terhadap hukum dan peraturan terkait lainnya
Deskripsi : Melakukan kegiatan evaluasi kepatuhan kebijakan sistem manajemen keamanan informasi di instansi terkait
rencana keberlangsungan layanan terhadap hukum dan peraturan terkait lainnya. Evaluasi dilakukan untuk setiap
skenario rencana keberlangsungan layanan TI/SE
3. Dokumen identifikasi persyaratan hukum dan peraturan
2. Laporan evaluasi kepatuhan kebijakan keamanan informasi
Hasil Kerja : laporan evaluasi kepatuhan kebijakan sistem manajemen keamanan di instansi terhadap hukum dan peraturan
terkait lainnya
Batasan Penilaian : Maksimal dilakukan setiap kuartal atau setelah adanya perubahan pada infrastruktur atau organisasi. Nilai
I.H.001 membuat prosedur untuk pemulihan layanan sistem elektronik
Deskripsi : Melakukan kegiatan pembuatan prosedur pengamanan dalam pemulihan suatu layanan sistem
elektronik. Cakupan bahasan:
1. Proses bisnis
2. Identifikasi pihak yang terlibat
3. Komponen aplikasi terkait
4. Komponen basis data
5. Komponen jaringan terkait
6. Data atau informasi yang diperlukan
7. Kontrol akses
8. Sistem terkait (ketergantungan pada sistem lain)
Metodologi : Proses penyusunan DRP, BCP, ITSCM dan SOP
Prasyarat : 1. Dokumen BIA, termasuk RTO dan RPO
2. Dokumen BCP SE
2. Dokumen prosedur pengamanan pemulihan layanan SE
Hasil Kerja : dokumen prosedur untuk pemulihan layanan sistem elektronik
berwenang
I.H.002 menyusun kebijakan terkait koordinasi untuk menjaga keberlangsungan dan pemulihan layanan dengan stakeholder terkait
Deskripsi : Merumuskan pendekatan dalam melakukan koordinasi dengan pemangku kepentingan untuk mendefinisikan dan
menetapkan keperluan menjaga keberlangsungan dan pemulihan layanan, termasuk aspek risiko, RTO, dan RPO.
Metodologi : Proses penyusunan DRP, BCP, ITSCM dan SOP, standar terkait (misal ISO 22301)
Prasyarat : 1. Dokumen rancangan penyusunan BIA, termasuk RTO dan RPO
2. Dokumen rancangan penyusunan BCP SE
2. Dokumen usulan kebijakan
Hasil Kerja : Dokumen kebijakan terkait koordinasi untuk menjaga kelangsungan dan pemulihan layanan dengan stakeholder
terkait
berwenang
I.H.003 menyusun kerangka kerja dan manajemen Keberlangsungan layanan sistem elektronik sesuai dengan persyaratan SMKI yang
berlaku
Deskripsi : Melakukan kegiatan penyusunan kerangka kerja dan manajemen keberlangsungan layanan sistem elektronik
dengan cakupan:
1. Kebijakan Umum
2. Struktur Kerangka Kerja
3. Struktur Organisasi
4. Peran dan Tanggung-Jawab
5. Deklarasi aktivasi keberlangsungan layanan sistem elektronik
6. Strategi keberlangsungan layanan sistem elektronik
7. Ruang Lingkup keberlangsungan layanan sistem elektronik
8. Skenario bencana, krisis atau gangguan layanan
9. Program Kerja
10. Evaluasi kelaikan dan kepatuhan
Metodologi : DR Plan, BCP, ITSCM dan SDLC
Prasyarat : Dokumen Layanan SE
2. Dokumen kerangka kerja dan manajemen Keberlangsungan layanan sistem elektronik
Hasil Kerja : dokumen kerangka kerja dan kebijakan manajemen Keberlangsungan layanan sistem elektronik sesuai dengan
persyaratan SMKI yang berlaku
Batasan Penilaian : Penyusunan baru atau apabila terjadi perubahan (struktur organisasi, layanan SE). Proses kaji ulang (review) wajib
dilakukan setiap tahun. Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.H.004 merancang, mengembangkan, dan menerapkan strategi keberlangsungan layanan dan rencana penanggulangan krisis atau
bencana
Deskripsi : Menyusun dokumen strategi keberlangsungan layanan dan rencana penanggulangan krisis atau
bencana. Aspek strategi yang dibahas mencakup:
1. Perlindungan layanan dan mitigasi risiko
2. Uraian strategi untuk menstabilkan, memulihkan dan melanjutkan layanan
3. Kebutuhan SDM
4. Kebutuhan Data dan Informasi
5. Kebutuhan Sistem ICT
6. Kebutuhan Fasilitas dan perangkat terkait
7. Kebutuhan Logistik dan Transportasi
8. Keterlibatan pihak ketiga
Metodologi : DRP, BCP dan ITSCM
Prasyarat : 1. Dokumen layanan SE
2. Daftar risiko terkait skenario bencana, krisis atau gangguan layanan
2. Dokumen strategi keberlangsungan layanan dan rencana penanggulangan krisis atau bencana
Hasil Kerja : dokumen perencanaan, pengembangan, dan penerapan strategi keberlangsungan layanan dan rencana
penanggulangan krisis atau bencana
Batasan Penilaian : Disusun untuk semua skenario bencana, krisis atau gangguan terhadap suatu layanan SE. Setiap strategi/skenario
harus dikaji ulang setiap tahun atau ketika ada perubahan infrastruktur/kondisi layanan. Nilai diberikan setelah
pengajuan disampaikan kepada atasan pejabat yang berwenang
I.H.005 menyusun prosedur terkait koordinasi kegiatan menjaga keberlangsungan dan pemulihan layanan dengan stakeholder terkait
Deskripsi : Merumuskan proses melakukan koordinasi dengan pemangku kepentingan untuk mendefinisikan dan menetapkan
keperluan menjaga keberlangsungan dan pemulihan layanan, termasuk aspek risiko, RTO, dan RPO.
Metodologi : Proses penyusunan DRP, BCP, ITSCM dan SOP, standar terkait (misal ISO 22301)
Prasyarat : 1. Dokumen rancangan penyusunan BIA, termasuk RTO dan RPO
2. Dokumen rancangan penyusunan BCP SE
3. Dokumen kebijakan terkait koordinasi pemangku kepentingan untuk menjaga keberlangsungan dan pemulihan
layanan
2. Dokumen usulan prosedur
Hasil Kerja : Dokumen prosedur terkait koordinasi kegiatan menjaga kelangsungan dan pemulihan layanan dengan stakeholder
terkait
berwenang
I.H.006 menerapkan proses yang menjamin kesiapan kemampuan sumber daya manusia dalam menjaga keberlangsungan layanan
Deskripsi : Melakukan kegiatan penerapan proses yang menjamin kesiapan kemampuan sumber daya manusia dalam menjaga
keberlangsungan layanan. Kegiatan dapat berupa training/workshop terkait keberlang-sungan layanan,
misalnya training ITSCM, BCP, DRP. Kegiatan mencakup penyusunan perencanaan, koordinasi, pengawasan
dan evaluasi hasil pelaksanaannya. Kegiatan ini merupakan aspek pengelolaan dari pelaksanaan detail/teknis
pengujian rencana keberlangsungan layanan (I.H.008).
Metodologi : Penyelenggaraan kegiatan (simulasi, Training, Workshop atau asesmen)
Prasyarat : Dokumen rencana keberlangsungan layanan
Bukti Fisik : Maksimal 2X setahun untuk setiap skenario pada suatu SE – penugasan dapat disesuaikan dengan lingkup skenario
atau skala simulasi. Misal :
1. Desktop simulation untuk semua skenario
2. Walkthrough simulation untuk sejumlah skenario terkait
3. Parallel operation atau limited switchover ke DRC untuk 1-2 skenario
Hasil Kerja : laporan pelaksanaan proses yang menjamin kesiapan kemampuan sumber daya manusia dalam menjaga
keberlangsungan layanan
Batasan Penilaian : Maksimal 2X setahun untuk setiap skenario pada suatu SE – penugasan dapat disesuaikan dengan lingkup skenario
atau skala simulasi. Misal :
1. Desktop simulation untuk semua skenario
2. Walkthrough simulation untuk sejumlah skenario terkait
3. Parallel operation atau limited switchover ke DRC untuk 1-2 skenario
I.H.007 melakukan sosialisasi rencana keberlangsungan layanan sistem elektronik dan penanggulangan krisis atau bencana
Deskripsi : Melakukan kegiatan sosialisasi rencana keberlangsungan layanan sistem elektronik dan penanggulangan krisis atau
bencana. Lingkup materi sosialisasi:
1. kebijakan,
2. struktur organisasi,
3. peran, tugas dan tanggungjawab
4. prosedur,
5. pembelajaran (lesson-learned) dari kejadian yang ada (baik yang menimpa instansi maupun dari insiden
eksternal)
Metodologi : Presentasi
Prasyarat : 1. Dokumen kerangka kerja keberlangsungan layanan
2. Dokumen rencana keberlangsungan layanan
2. Laporan sosialisasi: materi sosialisasi, daftar hadir
Hasil Kerja : laporan sosialisasi rencana keberlangsungan layanan sistem elektronik dan penanggulangan krisis atau bencana
Batasan Penilaian : Maksimal 12 kali dalam 1 tahun. Nilai diberikan setelah pengajuan disampaikan kepada atasan pejabat
yang berwenang
I.H.008 menganalisis asas-manfaat untuk penerapan kontrol keamanan informasi baru
Deskripsi : Melakukan kegiatan analisis asas-manfaat untuk penerapan kontrol keamanan informasi baru. Misalnya
analisis penerapan web application firewall, access control management (Privileged access management), log
management atau security information and event management
Metodologi : Analisis log system
3. Dokumen kajian risiko dan rencana mitigasi
2. Dokumen analisis asas-manfaat untuk penerapan kontrol keamanan informasi baru
Hasil Kerja : dokumen analisis azas-manfaat untuk penerapan kontrol keamanan informasi baru
Batasan Penilaian : Setiap adanya keperluan penerapan kontrol keamanan baru terkait keberlangsungan layanan TI/SE. Nilai diberikan
setelah pengajuan disampaikan kepada atasan pejabat yang berwenang
I.H.009 menganalisis dampak terjadinya kondisi darurat dan menyusun recovery time objective (RTO) dan recovery point objective
(RPO) yang sesuai dengan kebutuhan instansi
Deskripsi : Melakukan kegiatan analisis dampak terjadinya kondisi darurat (business impact analysis/BIA) dan
penyusunan Recovery Time Objective (RTO) & Recovery Point Objective (RPO) terkait suatu layanan SE, yang
sesuai dengan kebutuhan instansi
Metodologi : DRP, BCP, ITSCM dan BIA
2. Dokumen layanan SE
3. Dokumen kajian risiko SE
2. Dokumen BIA (yang didalamnya memuat hasil BIA, RTO, RPO).
Hasil Kerja : dokumen analisis dampak terjadinya kondisi darurat dan menyusun recovery time objective (RTO) dan recovery
point objective (RPO) yang sesuai dengan kebutuhan instansi
Batasan Penilaian : Maksimal 1 kali dalam 1 tahun untuk setiap layanan SE. Nilai diberikan setelah pengajuan disampaikan
kepada atasan pejabat yang berwenang
I.H.010 menguji dan mengevaluasi rencana keberlangsungan layanan sistem elektronik
Deskripsi : Melakukan kegiatan supervisi pengujian dan evaluasi rencana keberlangsungan layanan sistem elektronik
sesuai skenario yang ada. Pengujian suatu skenario dapat dilakukan dengan cara:
1. Desktop Simulation (Daftar periksa)
2. Walkthrough
3. Parallel Operation
4. Full Interruption
Pengujian dapat dilakukan berurutan (misal a, b dan c) untuk meningkatkan kesiapan atau sebagai proses
persiapan pengujian yang rumit.
Pelaksana teknis atau operasional pengujian adalah penanggung jawab dan/atau administrator layanan SE.
Untuk SE baru dengan syarat tingkat ketersediaan tinggi dan wajib memiliki rencana keberlangsungan
layanan, pengujian harus dilakukan melalui simulasi butir a, b, dan c atau d sebagai kesiapan operasional.
Metodologi : DRP, BCP, dan ITSCM
3. Dokumen proses keberlangsungan (BCP) layanan sistem elektronik
2. Laporan pengujian dan evaluasi rencana keberlangsungan layanan sistem elektronik.
Hasil Kerja : dokumen hasil uji dan evaluasi rencana keberlangsungan layanan sistem elektronik
Batasan Penilaian : Maksimal 1 kali dalam 1 tahun untuk setiap cara pengujian pada satu skenario. Nilai diberikan setelah pengajuan
I.H.011 mengevaluasi hasil uji-coba rencana keberlangsungan layanan sistem elektronik
Deskripsi : Mengkaji hasil uji coba rencana keberlangsungan layana sistem elektronik untuk menelaah sejauh mana rencana
tersebut sudah memenuhi kriteria atau keperluan yang ditetapkan (pada BIA, RTO, RPO).
Metodologi : DRP, BCP, dan ITSCM
4. BIA, RTO, RPO
5. Dokumen laporan hasil uji coba rencana keberlangsungan layanan sistem elektronik
2. Laporan evaluasi hasil pengujian dan evaluasi rencana keberlangsungan layanan sistem elektronik.
Hasil Kerja : Laporan evaluasi uji coba rencana kelangsungan layanan sistem elektronik
Batasan Penilaian : Setiap adanya laporan hasil uji coba yang harus dievaluasi. Nilai diberikan setelah pengajuan disampaikan kepada
atasan pejabat yang berwenang
I.H.012 melakukan pengukuran efektifitas rencana keberlangsungan layanan sistem elektronik, dan menyusun langkah perbaikan
Deskripsi : Analisis untuk mengukur efektifitas rencana keberlangsungan layanan sistem elektronik dengan mengacu pada BIA,
RTO, dan RPO. Apabila ditemukan kondisi yang perlu diperbaiki, langkah perbaikannya disusun untuk diterapkan
pada SOP dan/atau uji-coba berikutnya.
Metodologi : DRP, BCP, dan ITSCM. Metrik pengukuran parameter sasaran keberlangsungan layanan sistem elektronik.
4. Dokumen BIA, RTO, RPO
5. Dokumen laporan hasil uji coba rencana keberlangsungan layana sistem elektronik
2. Laporan pengukuran efektifitas rencana keberlangsungan layanan sistem elektronik.
3. Dokumen usulan langkah perbaikan (apabila diperlukan)
Hasil Kerja : Laporan hasil pengukuran berkala rencana keberlangsungan layanan sistem elektronik dan rekomendasi langkah
perbaikan
Batasan Penilaian : Setiap adanya laporan hasil uji coba yang harus diukur efektifitasnya. Nilai diberikan setelah pengajuan
I.H.013 memastikan seluruh komponen infrastruktur dan fasilitas pemulihan layanan sistem elektronik dapat berfungsi dengan baik
Deskripsi : Menelaah kesiapan keseluruhan infrastruktur dan fasilitas pemulihan layanan sistem elektronik agar sasaran
pemulihan dapat dicapai dan menghindari gangguan atau tidak tersedianya infrastruktur daat dibutuhkan dalam
kondisi darurat
Metodologi : SOP Penyelenggaraan Layanan berbasis SE, DRP, BCP, dan ITSCM. Inspeksi dan pengujian langsung.
4. Dokumen BIA, RTO, RPO
5. Dokumen laporan hasil uji coba rencana keberlangsungan layana sistem elektronik
6. Dokumen laporan pengukuran efektifitas rencana keberlangsungan layanan sistem elektronik
2. Laporan kesiapan infrastruktur dan fasilitas pemulihan layanan sistem elektronik.
Hasil Kerja : Laporan kesiapan infrastruktur dan fasilitas pemulihan layanan sistem elektronik
Batasan Penilaian : Maksimal 2 kali dalam 1 tahun atau sesuai keperluan apabila terjadi perubahan infrastruktur/layanan. Nilai
I.H.014 menyusun dan menerapkan proses dan fungsi manajemen keberlangsungan layanan sistem elektronik
Deskripsi : Melakukan kegiatan penyusunan serta penerapan proses dan fungsi manajemen keberlangsungan layanan sistem
elektronik, dengan cakupan:
1. Ruang Lingkup
2. Pihak terkait (satuan kerja, fungsi atau pihak ketiga)
3. Peran dan tanggung-jawab
4. Kondisi pemberlakuan proses keberlangsungan layanan sistem elektronik
5. Prosedur
6. Data atau Informasi yang diperlukan
7. Infrastruktur teknologi yang diperlukan
8. Call Tree
Penyusunan dilakukan terhadap suatu skenario pada setiap layanan SE (sesuai dengan skenario bencana,
krisis atau gangguan)
Metodologi : DR Plan, BCP, ITSCM dan SDLC
Hasil Kerja : laporan manajemen keberlangsungan layanan sistem elektronik
Batasan Penilaian : Sesuai keperluan (sesuai dengan skenario bencana, krisis atau gangguan). Nilai diberikan setelah pengajuan

Penjelasan Butir Kegiatan JFMI

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Penjelasan Butir Kegiatan JFMI

Diunggah oleh

Hak Cipta:

Format Tersedia

PENJELASAN BUTIR-BUTIR

DRAF RPB BSSN TENTANG

Pusat Pengembangan Sumber Daya Manusia

Deskripsi : Melakukan pengamanan fisik aset di lokasi kerja

Deskripsi : Melakukan kegiatan penyusunan panduan pengaman fisik di lokasi kerja

Deskripsi : Kegiatan penilaian/pemantauan/pengukuran kinerja penerapan sistem manajemen keamanan informasi

Deskripsi : Melakukan kegitaan penilaian persyaratan dan spesifikasi keamanan fisik

Metodologi : ISO/IEC 27005 atau ISO/IEC 31000

Prasyarat : 1. Daftar risiko

Deskripsi : Merupakan kegiatan mengumpulkan data sistem pengamanan yang meliputi:

Deskripsi : Mengidentifikasi peraturan perundang-undangan di bidang sistem manajemen keamanan informasi

Deskripsi : Melaksanakan kebijakan dan standar sistem manajemen pengamanan informasi

Deskripsi : Melakukan analiis sistem manajemen keamanan informasi yang mencakup:

Deskripsi : Menguraikan kemungkinan tingkat kepatuhan terhadap ketentuan internal dan

Deskripsi : Menyusun aturan tentang kontrol kriptografi

Deskripsi : Kajian kepatuhan terhadap aturan tentang kontrol kriptografi

Deskripsi : Menyusun tata cara perlindungan data pribadi

Deskripsi : Menerapkan tata cara perlindungan data pribadi

Bukti Fisik : 1. Bukti penugasan tertulis

Deskripsi : Melakukan analiis pengamanan perangkat lunak yang mencakup:

Deskripsi : Melaksanakan kegiatan forum diskusi yang membahas minimal terkait:

Deskripsi : Melakukan analiis pengamanan perangkat keras yang mencakup:

Deskripsi : Melaksanakan kegiatan forum diskusi yang membahas minimal terkait:

Deskripsi : Menyusun laporan kegiatan berdasarkan pelaksanaan bimtek

Deskripsi : Mengkaji pemenuhan persyaratan penerapan arsitektur keamanan informasi terhadap

Anda mungkin juga menyukai