SMKI

LAPORAN PENDAHULUAN
PENYUSUNAN MASTER PLAN

SISTEM MENEJEMEN KEAMANAN INFORMASI
DI KABUPATEN INDRAMAYU
BAB I PENDAHULUAN
Latar Belakang
Internet merupakan sebuah media pertukaran informasi dan data yang terbuka, artinya
internet dapat diakses oleh siapa saja, kapan saja dan darimana saja. Dengan berbagai
kecanggihan sarana komunikasi modern tersebut, internet sangat rentan terhadap serangan
sistem informasi. Tanpa adanya sistem keamanan terhadap informasi membuat sistem
informasi yang dimiliki individu, organisasi bahkan instansi pemerintahan menjadi sangat
rentan terhadap adanya upayaupaya penyerangan sistem informasi1.
Perspektif masyarakat tentang Teknologi Informasi dan Komunikasi telah bergeser dari Nilai
Aset Bersih (NAB)4 ke Nilai Aset Informasi. Dalam konteks keamanan informasi, informasi
diartikan sebagai sebuah aset yang sangat bernilai dan harus dilindungi. Hal ini dapat bermakna
bahwa informasi dalam sebuah perangkat PC atau infrastruktur TIK bahkan menjadi lebih
berharga dari pada infrastruktur TIK tersebut secara fisik. Dengan demikian, hilang atau
rusaknya sebuah informasi berharga dapat menyebabkan kerugian besar. Seiring dengan
meningkatnya nilai aset informasi, maka semakin besar keinginan orang untuk mendapatkan
akses ke informasi dan mengendalikannya. Maka muncullah individu atau kelompok yang
menggunakan aset informasi demi berbagai tujuan dan mengerahkan segala upaya untuk
mendapatkan aset informasi dengan berbagai cara.
Strategi keamanan informasi menentukan arah semua kegiatan keamanan informasi.

Komponen regulasi dan kebijakan keamanan informasi adalah dokumen rencana tingkat tinggi
dari keamanan informasi seluruh organisasi. Kebijakan berisi kerangka kerja untuk membuat
keputusan spesifik, seperti rencana keamanan fisik dan administratif. ini merupakan rumusan
untuk mengatasi permasalah Keamanan Informasi Nasional. Dengan adanya peraturan dan
strategi maka akan mempertegas serta memperjelas cara untuk mengatasi permasalahan
keamanan informasi.
Dalam penerapan TIK, faktor keamanan informasi merupakan aspek yang sangat penting
diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu
objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut
kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability). Tujuan utama
dari Tata Kelola keamanan informasi pada organisasi/ instansi pemerintah adalah untuk
mengurangi dampak yang merugikan instansi sampai pada tingkatan yang bisa diterima oleh
instansi.
Keamanan informasi mencakup semua jenis informasi, baik fisik dan elektronik. Pada
implementasi sehari-hari dalam instansi, keamanan informasi melindungi semua aset informasi
terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak
berhak ataupun kerusakan informasi.
Tata Kelola Keamanan Informasi dalam sebuah korporasi atau organisasi apapun di aplikasikan
dalam wujud sebuah sistem, yaitu ISMS (information security management system) atau Sistem
Manajemen Keamanan Informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk
merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk
secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta
ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi. Komponen
Kebijakan keamanan informasi yang tercakup dalam tata kelola keamanan informasi adalah
arahan startegis dalam pelaksanaan manajemen risiko keamanan informasi pada sebuah
organisasi. Kebijakan berisi kerangka kerja untuk membuat keputusan spesifik, seperti rencana
keamanan fisik dan administratif. Strategi keamanan informasi akan menentukan arah semua
kegiatan keamanan informasi. Dengan adanya peraturan dan strategi maka akan mempertegas
serta memperjelas cara untuk mengatasi permasalahan keamanan informasi. Setiap elemen
dalam mewujudkan kemanan informasi harus mengacu pada standar keamanan yang telah
ditetapkan.
Setiap elemen harus mengacu pada standar keamanan yang telah ditetapkan dalam
mewujudkan kemanan informasi. Standar keamanan informasi harus khusus dan spesifik
sehingga mereka dapat diterapkan ke semua bidang keamanan informasi. Setiap negara perlu
mengembangkan standar sesudah menganalisis standar keamanan administratif, fisik dan
teknis yang banyak digunakan di dunia. Standar haruslah sesuai dengan lingkungan TIK yang
umum. Standar keamanan informasi harus khusus dan spesifik sehingga dapat diterapkan ke
semua bidang keamanan informasi. Organisasi Internasional untuk
Standarisasi telah mengembangkan sejumlah standar tentang Information Security
Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam
bentuk persyaratan maupun panduan. Standar ISMS yang paling terkenal adalah ISO/IEC 27001
dan ISO/IEC 27002 serta standarstandar terkait yang diterbitkan bersama oleh ISO dan IEC.
Information Security Forum juga menerbitkan suatu ISMS lain yang disebut Standard of Good
Practice (SOGP) yang lebih berdasarkan praktik dari pengalaman mereka. Kerangka Manajemen
Teknologi Informasi (TI) lain seperti COBIT dan ITIL juga menyentuh masalah-masalah
keamanan walaupun lebih terarah pada kerangka Tata Kelola secara umum. Dari standar seri
ISO
27000 hingga September 2011, standar ISO/IEC 27001: 2005 telah diadopsi Badan Standarisasi
Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI
ISO/IEC 27001: 2009. Pada struktur keseluruhan proses SMKI diterapkan model PLAN-DO-
CHECK-ACT (PDCA).
Dalam sebuah pelayanan publik yang diselenggarakan oleh pemerintah, TIK merupakan sebagai
pendukung layanan agar layanan dapat disampaikan dengan efektif dan efisien. Hal ini
dikemukakan dalam penelitian yang dilakukan oleh Saheer Al-Jaghoub, Hussein Al-Yaseen and
Mouath Al-Hourani (Saheer, Hussein & Mouath, 2010) yang menyimpulkan bahwa TIK adalah
instrument yang bermanfaat dan mampu meningkatkan efektivitas dan efisiensi layanan
pemerintah. Meskipun demikian, dalam peneltian tersebut juga disampaikan mengenai
munculnya isuisu, seperti keamanan, privasi dan penerimaan menjadi hambatan dalam adopsi
layanan e-government. Dengan demikian dibutuhkan perhatian khusus mengenai hal tersebut
dalam pengembangan e-government. Terkait dengan kajian tentang kebijakan Tata Kelola
Keamanan Informasi, dalam penelitian berikutnya yang dilakukan oleh Rossouw Von Solms,
Kerry-Lynn Thomson, dan Prosecutor Mvikeli Maninjwa (Solms, Thomson, & Maninjwa, 2011),
menyebutkan bahwa; Praktik Tata Kelola Keamanan Informasi yang komprehensif harus
dilakukan oleh organisasi. Tata Kelola Keamanan Informasi terdiri dari kegiatan langsung dan
kontrol yang harus dilakukan pada semua tingkat (level) manajemen, yaitu: tingkat strategis,
taktis, dan operasional. Kebijakan yang berada di masing-masing tingkatan harus terwakili di
Arsitektur Kebijakan Tata Kelola Keamanan Informasi atau yang dikenal dengan istilah
Information Security Policy Architecture (ISPA) pada sebuah organisasi. Namun dalam banyak
kasus, kebijakan tata kelola keamanan informasi tidak termasuk dalam kebijakan yang berada
di tingkat operasional.
IT Governance Institute (ITGI, 2003) menunjukkan bahwa tata kelola TI berkaitan dengan
penyampaian nilai TI bagi bisnis dan mitigasi risiko TI. Nilai TI didorong oleh keselarasan
strategis TI dengan tujuan bisnis, mitigasi risiko TI disampaikan dengan menanamkan
akuntabilitas ke dalam organisasi. Lebih lanjut lagi, menurut Tenver A. Zia (Zia, 2010), hal ini
menyebabkan lima area fokus utama tata kelola TI. Dua di antaranya adalah hasil, yaitu:
penyampaian nilai TI dan manajemen risiko. Tiga fokus lainnya adalah pendorong, antara lain:
keselarasan strategis, manajemen sumber daya, dan manajemen kinerja. Dalam rangka untuk
memberikan keamanan di layanan manajemen TI dan tata kelola TI, keselarasan strategis TI dan
manajemen risiko harus ditangani dengan baik.
Meskipun ada banyak karakteristik untuk tata kelola keamanan TI, namun sulit untuk
dikontekstualisasikan. Best Practice menyatakan bahwa tata kelola keamanan TI mendefinisikan
inti prinsip-prinsip keamanan TI, akuntabilitas dan tindakan organisasi, untuk memastikan
pencapaian tujuan. Departement of Broadband, Communications and the Digital Economy,
Australia mendefinisikan Tata Kelola Keamanan Informasi sebagai penetapan dan penegakan
budaya keamanan TI untuk memberikan jaminan bahwa tujuan bisnis dan persyaratan para
stakeholder (pemangku kepentingan) akan perlindungan informasi terus dipenuhi (Department
of Broadband Communications, and the Digital Economy- Australia, 2009).
1. Gambar 1. Konsep IT Security Government
Tujuan
1. Menginventarisasi pola keamanan dari aspek komunikasi jaringan , perangkat
keras, dan perangkat lunak perangkat daerah Pemerintah
Kabupaten Indramayu
2. Dalam rangka memfasilitasi keamanan data dan informasi serta sistem secara
komputerisasi dengan mudah
3. Mengefesiensikan pengelolaan persandian lewat jaringan internet terpadu
4. Memberikan hasil yang maksimal untuk keamanan informasi dan komunikasi
publik
Dasar Hukum
1) Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi (Lembaran Negara
Republik Indonesia Tahun 1999 Nomor 154, Tambahan Lembaran Negara Republik
Indonesia Nomor 3881);
2) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
(Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara
Republik Indonesia Nomor 4843);
3) Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik
(Lembaran Negara Republik Indonesia Tahun 2008 Nomor 61, Tambahan Lembaran
Negara Republik Indonesia Nomor 4846);
4) Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik Lembaran Negara

5) Undang-Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-
undangan (Lembaran Negara Republik Indonesia Tahun 2011 Nomor 82, Tambahan
Lembaran Negara Republik Indonesia Nomor 5234), sebagaimana telah diubah dengan
Undang-Undang Nomor 15 Tahun 2019 tentang Perubahan atas Undang-Undang Nomor 12
Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan (Lembaran Negara
6) Undang-Undang Nomor 5 Tahun 2014 tentang Aparatur Sipil Negara (Lembaga Negara
Republik Indonesia Tahun 2014 Nomor 6, Tambahan Lembaran Negara Republik Indonesia
Nomor 5494);
7) Undang-Undang Nomor 23 Tahun 2014 tentang Pemerinatahan Daerah (Lembaran
Negara Republik Indonesia Tahun 2014 Nomor 224, Tambahan Lembaran Negara
Republik Indonesia Nomor 5587), sebagaimana telah diubah dengan Peraturan
Pemerintah Pengganti Undang-Undang Nomor 2 Tahun 2014 tentang Perubahan Atas
Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah (Lembaran Negara

8) Peraturan Pemerintah Nomor 52 Tahun 2000 tentang Penyelenggaraan Telekomunikasi
(Lembaran Negara Republik ndonesia Tahun 2000 Nomor 107, Tambahan Lembaran
Negara Republik Indonesia Nomor 3980);
9) Peraturan Pemerintah Nomor 61 Tahun 2010 tentang Pelaksanaan Keterbukaan Informasi
Publik (Lembaran Negara Republik Indonesia Tahun 2010 Nomor 99, Tambahan
Lembaran Negara Republik Indonesia Nomor 5149);
10)Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan
Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189,
Tambahan Lembaran Negara Republik Indonesia Nomor 5348);
11)Peraturan Presiden Nomor 87 Tahun 2014 tentang Peraturan Pelaksanaan Undang-Undang
Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan (Lembaran
Negara Republik Indonesia Tahun 2014 Nomor 199);
12)Instruksi Presiden Nomor 6 Tahun 2001 tentang Pengembangan dan Pendayagunaan
Telematika di Indonesia;
13)Instruksi Presiden Nomor 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional
Pengembangan e-Government; Peraturan Menteri Dalam Negeri Nomor 35 Tahun 2010
tentang Pedoman dan Pelayanan Informasi dan Dokumentasi di Lingkungan
Kementerian Dalam Negeri dan Pemerintahan Daerah (Berita Negara Republik Indonesia
Tahun 2010 Nomor 245);
14)Peraturan Menteri Pendayagunaan Aparatur Negara Nomor 6 Tahun 2011 tentang
Pedoman Umum Tata Naskah Dinas Elektronik di Lingkungan Instansi Pemerintah;
15)Peraturan Badan Siber dan Sandi Negara Nomor 10 tahun 2019 tentang Pelaksanaan
Persandian Untuk Pengamanan Informasi di Pemerintah Daerah
1)
BAB II Metodologi Penyusunan
A. Metodologi
Metode penelitian yang digunakan adalah metode deskriptif kualitatif yaitu hasil
penelitian disajikan dalam bentuk narasi deskripsi. Pendekatan kualitatif dilakukan
dalam penelitian ini yaitu dengan merincikan Sistem Manajemen Keamanan Informasi
(SMKI) di Pemerintah Kabupaten Indramayu dengan standard yang ada pada ISO/IEC
27001:2013. Dalam penerapan standar ISO/IEC 27001 pada Sistem Manajemen
Keamanan Informasi (SMKI) Pemerintah Kabupaten Indramayu, maka kami akan
berpedoman pada Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021
Tentang Pedoman Manajemen Keamanan Informasi dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik.
Pada prinsipinya metodologi penyusunan dokumen Rencana Induk SMKI

Kabupaten Indramayu tahun ini mencakup beberapa langkah berikut:
a. Analisis terhadap kondisi saat ini (Current Condition).
Tahap analisis ini dimaksudkan untuk memperoleh informasi yang memadai

mengenai kondisi penerapan SMKI saat ini di lingkungan Pemerintahan
Daerah Kabupaten Indramayu. Termasik di dalamnya kegiatan analisis
aplikasi SMKI yang telah ada, infrastruktur jaringan, SDM pendukung,
peraturan-peraturan (regulasi) internal yang berkaitan dengan penerapan
SMKI.
b. Analisis terhadap kondisi ideal (Future State).
Langkah ini dimaksudkan untuk menyusun kondisi atau konsep ideal

bagi Pemerintah Kabupaten Indramayu dalam penerapan SMKI untuk
mendukung tupoksi seluruh OPD-nya. Tahapan ini difokuskan pada
bagaimana SMKI dapay mendukung tercapainya visi dan misi Pemerintahan
Kabupaten Indramayu. Dalam hal ini juga dilakukan analisis terhadap
kondisi internal, yaitu aset teknologi informasi dan peraturan internal yang
terkait dengan SMKI serta pengaruh- pengaruh external, khususnya
perkembangan Keamanan SPBE.
B. Pendekatan dan Ruang Lingkup
Berikut adalah pendekatan yang digunakan dan ruang lingkup dokumen Rencana
Induk SMKI Kabupaten Indramayu
Pendekatan
1) Pendekatan deskriptif digunakan untuk menggambarkan hasil analisis
kebijakan dan data yang diperoleh dari berbagai OPD di lingkungan
Pemerintah Kabupaten Indramayu
2) Pendekatan Kelembagaan/Organisasi digunakan untuk melakukan
analisis terhadap struktur organisasi Pemerintah Kabupaten Indramayu
serta rencana pengembangannya.
3) Pendekatan Perencanaan dilakukan untuk menganalisis kebutuhan sarana
dan prasarana, berbagai aspek ketersediaan sumber daya manusia serta
ketersediaan biaya dalam kaitan pengembangan SMKI di Kabupaten
Indramayu.
4) Pendekatan Teknis digunakan untuk analisis spesifikasi teknis perangkat
keras/lunak, infrasturktur jaringan komunikasi serta kebutuhan
kualifikasi sumber daya manusia bagi Kabupaten Indramayu.
5) Pendekatan Komprehensif dan Integratif digunakan untuk
mempertimbangkan segala aspek yang terkait secara terpadu terutama
dalam hal perencanaan, pelaksanaan, pengembangan serta pengendalian
pembangunan SMKI di Kabupaten Indramayu.

c. Penyusunan transition plan
Dalam hal ini dilakukan analisis terhadap kendala-kendala yang ada (gap
analysis), yaitu kesenjangan yang ada antara kondisi idealyang ingin dicapai agar
SMKI dapat dipergunakan secara optimal dalam mendukung visi dan misi
Pemerintah Kabupaten Indramayu, dengan kondisi yang ada saat ini. Dari
tahapan ini dapat diketahui langkah-langkah ke depan yang perlu dilakukan untuk
mencapai kondisi ideal, berikut dengan penyusunan prioritasnya sehingga kondisi
ideal yang diharapkan dapat dicapai dalam kurun lima tahun ke depan
Ruang Lingkup
Ruang lingkup Rencana Induk SMKI Pemerintah Kabupaten Indramayu ini
mencakup beberapa hal sebagai berikut:
a) Pendefinisian arah strategis dan kerangka kebijakan penerapan SMKI di
Kabupaten Indramayu.
b) Mengembangkan arah strategis SMKI yang menjelaskan kontribusinya
terhadap pencapaian visi dan misi Pemerintahan Kabupaten Indramayu.
c) Mengembangkan kerangka kebijakan untuk penentuan prioritas dan
alokasi sumber daya dalam penerapan SMKI.
d) Perencanaan daftar kebutuhan keamanan data dan informasi SMKI yang
dibutuhkan Kabupaten Indramayu
e) Menjelaskan arsitektur teknis dari jaringan, perangkat keras dan perangkat
lunak yang memungkinkan penerapan SMKI dalam menunjang
pelaksanaan pemerintahan Kabupaten Indramayu.
f) Merekomendasikan portofolio aplikasi khusus untuk mendukung SMKI
yang sesuai dengan kebutuhan Pemerintah Kabupaten Indramayu.

g) Menjelaskan langkah-langkah untuk menyelaraskan penerapan SMKI
sesuai dengan kaidah standarisasi ISO 27001/2013 Pemerintah Daerah
h) Merekomendasikan usulan pengembangan SMKI sesuai dengan
standarisasi ISO 27001/2013.
i) Merekomendasikan kerangka pengelolaan dan penerapan SMKI yang
tersentral maupun juga yang terdistribusi.

BAB III Analisa Kondisi dan Kebutuhan
A. Pengumpulan Data
Pengumpulan data dilakukan dengan cara pengamatan langsung dilapangan dan

wawancara langsung dengan pengguna akhir sistem dan pengelola sistem dalam hal ini
orang yang berkompeten dalam bidang teknologi informasi. Kebijakan Keamanan
Informasi didefinisikan sebagai: Sebuah rencana tindakan untuk menangani masalah
keamanan informasi, atau satu set peraturan untuk mempertahankan kondisi atau
tingkat keamanan informasi tertentu.
Gambar 3.1 Teknik analisis data kualitatif
B. Kondisi saat ini

Kondisi saat ini akan dijabarkan dalam 4 kategori yang menjadi area prioritas
dalam penyelenggaraan Manajemen Keamanan Sistem Pemerintahan Berbasis
Elektronik (SPBE) yang tercantum dalam Peraturan Badan Siber dan Sandi Negara
Nomor 4 Tahun 2021.
Dibawah ini adalah gambaran infografis untuk menjelaskan aset Sistem Informasi
baik berupa website sebagai media penyampaian informasi dan data ataupun aplikasi
pelayanan yang mendukung penyelenggaran Sistem Pemerintahan Berbasis Elektronik
(SPBE) di lingkungan pemerintah Kabupaten Indramayu dengan domain dan subdomain
indramayukab.go.id
Gambar 3.2 Infografis Aset Sistem Informasi Pemkab Indramayu
1) Data dan Informasi SPBE

Pemerintah Kabupaten Indramayu memiliki memiliki 64 website milik
pemerintah yang terdiri dari :
 1 website milik Pemerintah Daerah:
o Indramayukab.go.id
 32 website milik Satuan Kerja Perangkat Daerah :
o setda.indramayukab.go.id
o inspektorat.indramayukab.go.id
o disdik.indramayukab.go.id
o dinkes.indramayukab.go.id
o pupr.indramayukab.go.id
o satpolppdamkar.indramayukab.go.id
o dlh.indramayukab.go.id
o diskoperindag.indramayukab.go.id
o dpkpp.indramayukab.go.id
o disdukcapil.indramayukab.go.id
o dpmd.indramayukab.go.id
o dinsos.indramayukab.go.id
o disnaker.indramayukab.go.id
o dishub.indramayukab.go.id
o diskominfo.indramayukab.go.id
o dpmptsp.indramayukab.go.id
o diudpar.indramayukab.go.id
o diskanla.indramayukab.go.id
o distan.indramayukab.go.id
o disnakeswan.indramayukab.go.id
o dkp.indramayukab.go.id
o dppkb.indramayukab.go.id
o dp3a.indramayukab.go.id
o dispora.indramayukab.go.id
o disarpus.indramayukab.go.id
o bappeda.indramayukab.go.id
o bkpsdm.indramayukab.go.id
o bkd.indramayukab.go.id
o kesbangpol.indramayukab.go.id
o bpbd.indramayukab.go.id
o rsud.indramayukab.go.id
o rsudmasentot.indramayukab.go.id
 31 website milik Kecamatan :
o anjatan.indramayukab.go.id
o arahan.indramayukab.go.id
o balongan.indramayukab.go.id
o bangodua.indramayukab.go.id
o bongas.indramayukab.go.id
o cantigi.indramayukab.go.id
o cikedung.indramayukab.go.id
o gabuswetan.indramayukab.go.id
o gantar.indramayukab.go.id
o haurgeulis.indramayukab.go.id
o indramayu.indramayukab.go.id
o jatibarang.indramayukab.go.id
o juntinyuat.indramayukab.go.id
o kandanghaur.indramayukab.go.id
o karangampel.indramayukab.go.id
o kedokanbunder.indramayukab.go.id
o kertasemaya.indramayukab.go.id
o krangkeng.indramayukab.go.id
o kroya.indramayukab.go.id
o lelea.indramayukab.go.id
o lohbener.indramayukab.go.id
o losarang.indramayukab.go.id
o pasekan.indramayukab.go.id
o patrol.indramayukab.go.id
o sindang.indramayukab.go.id
o sliyeg.indramayukab.go.id
o sukagumiwang.indramayukab.go.id
o sukra.indramayukab.go.id
o tukdana.indramayukab.go.id
o terisi.indramayukab.go.id
o widasari.indramayukab.go.id
 Selain website diatas sebagai media informasi milik masing-masing satuan
kerja, Pemerintah Kabupaten Indramayu juga memiliki website open data
yang dapat diakses oleh masyarakat maupun perangkat daerah yang
membutuhkan dengan domain berikut :
o opendata.indramayukab.go.id
o data.indramayukab.go.id
o satudata.indramayukab.go.id
Satudata.indramayukab.go.id saat ini belum memiliki kelengkapan data yang

cukup, sehingga belum bisa menjadi alat yang dapat digunakan untuk integrasi data
antara perangkat daerah di Kabupaten Indramayu. Website maupun aplikasi milik
pemerintah Kabupaten Indramayu juga hamper seluruhnya belum menyediakan
Application Programming Interface (API) untuk komunikasi dengan sistem lain. Desain
aplikasi yang dibangun untuk SPBE masih menggunakan pendekatan arsitektur
monolitik yaitu arsitektur dimana keseluruhan kode akan dikompilasi menjadi satu
aplikasi (biasanya menjadi satu binary atau artifact) dimana aplikasi tersebut
menjalankan seluruh proses yang dibutuhkan. Kebutuhan akan komunikasi kepada
aplikasi atau service lain bisa jadi tidak ada, karena aplikasi ini telah mencakup seluruh
kode yang dibutuhkan.
Gambar 3.3 Arsitektur Monolitik
2) Aplikasi SPBE
Pemerintah Kabupaten Indramayu 35 aplikasi yang terdaftar di Dinas Komunikasi
dan Informatika :
o akku.indramayukab.go.id
o bphtb.indramayukab.go.id
o bundaliterasi.indramayukab.go.id
o cekpajak.indramayukab.go.id
o cimanuk.indramayukab.go.id
o covid19.indramayukab.go.id
o dev.indramayukab.go.id
o katalog.arpus.indramayukab.go.id
o lpse.indramayukab.go.id
o m.opac.indramayukab.go.id
o metadatayu.indramayukab.go.id
o opac.indramayukab.go.id
o pusdatin.indramayukab.go.id
o radppk.indramayukab.go.id
o report.lpse.indramayukab.go.id
o rujukan.indramayukab.go.id
o sakip.indramayukab.go.id
o sibayu.indramayukab.go.id
o sibunda.jatibarang.indramayukab.go.id
o silat.indramayukab.go.id
o simanis.indramayukab.go.id
o simdagudang.indramayukab.go.id
o simpan-ayu.indramayukab.go.id
o simparda.indramayukab.go.id
o simpedal.indramayukab.go.id
o sindang.indramayukab.go.id
o sintren.indramayukab.go.id
o sip.indramayukab.go.id
o sip4.indramayukab.go.id
o sipajabobad.indramayukab.go.id
o sipelo.indramayukab.go.id
o siponline.indramayukab.go.id
o sirendaayu.indramayukab.go.id
o siskeudes.indramayukab.go.id
o sliyeg.indramayukab.go.id
o sukagumiwang.indramayukab.go.id
o sukra.indramayukab.go.id
o tamsil.indramayukab.go.id
o wbs.indramayukab.go.id
o 9pajak.indramayukab.go.id
o tte.indramayukab.go.id
Dibawah ini merupakan komposisi teknologi yang digunakan terkait dengan

Framework atau Content Management System yang digunakan pada website dan aplikai
di lingkungan pemerintah Kabupaten Indramayu :
Gambar 3.4 Framework dan CMS Teknologi SPBE Kabupaten Indramayu
Berdasarkan data diatas maka diketahui bahwa bahasa pemograman PHP masih
menjadi satu-satunya yang digunakan pada website atau aplikasi berbasis website
(100%) dengan komposisi :
 Wordpress menempati posisi teratas sebagai Content Management System
(CMS) dengan persentase 64,6%
 Codeigniter menempati posisi kedua sebagai Framework PHP dengan
persentase 20,2%
 Laravel menempati posisi ketiga sebagai Framework PHP dengan persentase
10,1%
 Terakhir adalah campuran dari berbagai aplikasi yang di develop sendiri atau
memanfaatkan CMS atau Framework yang diluar 3 posisi teratas, seperti
moodle CMS pada aplikasi LMS pinterayu, Bahasa Pemograman Java untuk
aplikasi Android Indramayu1 atau Firebase pada aplikasi Opendata
Penggunaan CMS Wordpress menjadi pilihan utama bagi terselenggaranya

Sistem Informasi Berbasis Elektronik (SPBE) di lingkungan Pemerintah Kabupaten
Indramayu dapat kami fahami karena Wordpress memiliki beberapa kelebihan yaitu :
a. Hemat Biaya
b. Instalasi Mudah
c. Update Praktis
d. Kaya Akan Fitur Tambahan dari Plugin
e. Tampilan Mudah Diganti dan Diatur
f. Ramah Optimasi Mesin Pencarian
Gambar 3.5 Persentase penggunaan CMS pada website di dunia tahun 2022
Pada gambar diatas dapat dilihat bahwa 43,4% website di dunia menggunakan
wordpress, dan sebesar 65,3% wordpress menguasai market share CMS seluruh dunia.
Namun dibalik kepopuleran dan segala kelebihan dari Wordpress, CMS ini juga memiliki
kekurangan yaitu mudah di hack hal ini dikarenakan aplikasi tersebut bersifat open source
dan kelebihan mengubah tampilan dengan tema juga penambahan fitur dengan plugin
dengan beberapa kali klik, kadang menjadi pisau bermata dua yang justru menjadi celah
untuk membobol website dengan CMS wordpress.
Gambar 3.6 Persentase CMS yang terkena Hack (Sumber : Sucuri)

3) Infrastruktur Data Center dan Jaringan
i. Data Center
Dinas Komunikasi dan Informatika Kabupaten Indramayu memiliki 3 data center
yaitu terdiri dari :
1. 2 (dua) buah server fisik yang berlokasi di Indramayu Command Center (ICC)
2. 1 (satu) buah server fisik yang berlokasi di Kantor Dinas Komunikasi dan
Informatika Kabupaten Indramayu
3. 1 (satu) buah server virtual yang disewa di ardhosting.com
ii. Topologi Jaringan Diskominfo Indramayu
Jaringan Dinas Komunikais dan Informatika Kabupaten Indramayu masih

menggunakan wireless., dengan sentral di Kantor diskominfo. Topologi wireless
dibagi menjadi beberapa (Base Transceiver Station ) BTS dengan system Point To
Point dan Multi Point.
Gambar 3.7 Topologi Jaringan Diskominfo Indramayu
Keterangan Warna
Device dalam keadaan ON

Device dalam keadaan OFF
Device NVR CCTV dalam keadaan ON
4) Kebijakan keamanan informasi SPBE yang telah dimiliki
Pemerintah Kabupaten Indramayu sudah memiliki Peraturan Bupati terkait dengan
Keamanan Informasi. Beberapa Peraturan Bupati dan Keputusan Bupati terkait dengan
Keamanan Informasi dan Sistem Informasi Berbasis Elektronik (SPBE) yaitu :
No Nomor dan Tahun Judul

1 Nomor 19 Tahun 2020 Peraturan Bupati Indramayu Nomor 19 Tahun
2020 tentang Pelaksanaan dan Pengelolaan
Sistem Keamanan Informasi Pemerintah
Kabupten Indramayu
2 489.05/Kep.126-Diskominfo/2021 PEMBETUKAN TIM EVALUATOR INTERNAL
PENYELENGGARAAN SISTEM PEMERINTAHAN
BERBASIS ELEKTRONIK (SPBE) PEMERINTAH
DAERAH KABUPATEN INDRAMAYU
3 489.05/Kep.125-Diskominfo/2021 PEMBENTUKAN TIM KOORDINASI SISTEM
PEMERINTAHAAN BERBASIS ELEKTRONIK
PEMERINTAH DAERAH KABUPATEN
INDRAMAYU
4 710.05/Kep.218-Diskominfo/2022 TIM EVALUATOR INTERNAL
PENYELENGGARAAN SISTEM PEMERINTAHAN
BERBASIS ELEKTRONIK (SPBE) PEMERINTAH
DAERAH KABUPATEN INDRAMAYU
5 710.05/Kep.217-Diskominfo/2022 TIM KOORDINASI SISTEM PEMERINTAHAN
BERBASIS ELEKTRONIK PEMERINTAH DAERAH
KABUPATEN INDRAMAYU
Peraturan baru BSSN nomor 4 tahun 2021 tentang Pedoman Manajemen Keamanan
Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik maka dibutuhkan penyesuaian
Peraturan Bupati Kabupaten Indramayu nomor 19 Tahun 2020 dalam Kebijakan
Keamanan Informasi untuk mendukung terwujudnya Sistem Manajemen Keamanan
Informasi (SMKI) Pemerintah Daerah Kabupaten Indramayu berdasarkan Peraturan
Badan Siber dan Sandi Negara Nomor 4 tahun 2021 yang dianggap lebih relevan dan
sesuai standar ISO 27001/2013. Adapun dibawah ini kami cantumkan beberapa
Peraturan Kebijakan Keamanan Informasi yang sudah diterbitkan dan disahkan sebagai
referensi :
N Judul
o
1 PERATURAN NOMOR 92 TAHUN 2021 tentang PEDOMAN MANAJEMEN
KEAMANAN INFORMASI SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK DAN
PELAKSANAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI
2 PERATURAN SEKRETARIS JENDERAL KEMENTERIAN PENDIDIKAN, KEBUDAYAAN,

RISET, DAN TEKNOLOGI NOMOR 11 TAHUN 2022 tentang SISTEM MANAJEMEN
KEAMANAN INFORMASI PADA SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK
KEMENTERIAN PENDIDIKAN, KEBUDAYAAN, RISET, DAN TEKNOLOGI
C. Kondisi Umum dan Kesimpulan

Beberapa kondisi umum yang diperoleh dari hasil interview dengan responden
pengelola sistem informasi Dinas Komunikasi dan Informatika Kabupaten Indramayu
didapatkan hasil sebagai berikut :
 Belum adanya Peraturan Daerah yang mengatur tentang Kebijakan Keamanan
Informasi.
 Belum dibentuknya Tim yang memiliki wewenang yang terdiri dari Pejabat
Koordinator dan Pelaksana Sistem Manajemen Keamanan Informasi (SMKI)
Pemerintah Daerah Kabupaten Indramayu.
 Mayoritas aplikasi masih bersifat scattered dan memiliki arsitektur monolit
(terpisah dan belum berkorelasi satu dengan yang lain).
 Pengembangan aplikasi sebagian besar dilakukan secara otonom di masing-
masing Perangkat Daerah dengan bantuan pihak ketiga sehingga akan
berdampak pada sulitnya integrasi data dan standarisasi keamanan sistem.
 Belum maksimalnya mekanisme untuk membuat sentralisasi pengelolaan
aplikasi di data center yang dikelola oleh Dinas Komunikasi dan Informatika
sehingga beberapa aplikasi di hosting oleh pihak ke 3 di server yang mereka
kelola atau sewa yang sangat riskan menyimpan data sensitif milik Pemerintah
Daerah di pihak penyedia Hosting.
 Penggunaan Content Management System (CMS) yang populer seperti
wordpress, memiliki resiko tinggi untuk diretas. Namun, anggaran untuk
mengamankannya dengan plugin keamanan yang mumpuni belum dianggarkan
sehingga website-website milik Pemerintah Kabupaten Indramayu menjadi
rentan.
Selanjutnya, dari berbagai macam sumber referensi, Penyedia jasa konsultan

membuat pentahapan keamanan sistem untuk sebuah entitas. Tahapan tersebut adalah
sebagai berikut:
 Level 0 : Ground
Organisasi harus melindungi semua aset IT-nya. Langkah pertama adalah
melakukan audit menyeluruh dan membuat inventaris aset lengkap yang mencakup
semua perangkat keras fisik, sumber daya cloud, dan penyimpanan yang menyimpan
data rahasia seperti kata sandi. Ini harus menjadi latihan yang berkelanjutan karena,
seiring pertumbuhan organisasi, aset baru ditambahkan.
 Level 1 : Essential
Tingkat selanjutnya dari piramida kami melibatkan perubahan semua kata sandi
bawaan, pengaturan, konfigurasi, aturan firewall, port, dan lain sebagainya, untuk
meminimalkan risiko pelanggaran. Penjahat dunia maya mencari titik akses terlemah
ke jaringan dan sistem organisasi, dan titik akses tersebut biasanya merupakan
pengaturan bawaan dan konfigurasi sistem dan kombinasi kata sandi bawaan atau
standar. Juga disarankan untuk menonaktifkan komponen yang tidak perlu dan
menghapus aplikasi yang tidak penting.
 Level 2 : Basic
Setelah mengubah semua kebijakan standar Teknologi Informasi, akses jaringan
ke aset fisik dan virtual harus dibatasi dengan tepat. Ini akan memerlukan
konfigurasi firewall khusus dengan pengaturan lanjutan, deteksi intrusi, dan solusi
perangkat lunak antivirus (yang perlu dikonfigurasi dengan baik dan diperbarui
secara berkala), autentikasi berbasis RFID, serta pengujian dan audit keamanan data
reguler.
 Level 3 : Elevated
Level ini melibatkan pemisahan tugas, pemisahan peran, dan prinsip IAAA.
Pemisahan tugas berarti menghindari penggunaan bersama perangkat keras,
perangkat lunak, dan jaringan yang memiliki tujuan berbeda. Misalnya,
menggunakan komputer yang sama untuk penyimpanan data dan penerapan web
dapat membahayakan seluruh jaringan. Meskipun pemisahan tugas tidak hemat
biaya, hal itu mengurangi banyak risiko dan dapat membatasi dampak pelanggaran
dengan mengurangi jumlah komponen yang dapat diakses penyerang.
Pemisahan peran berarti memberikan akses ke file, sistem, atau perangkat hanya
kepada pengguna yang membutuhkannya. Jumlah pengguna yang diizinkan untuk
mengakses platform, sistem operasi, atau perangkat apa pun harus dibatasi
sebanyak mungkin, izin harus diberikan secara individual, dan identitas semua
pengguna yang memiliki akses ke aset tertentu harus diketahui setiap saat.
«IAAA» singkatan dari identifikasi, otentikasi, otorisasi, dan audit. Mengikuti prinsip
IAAA membantu memastikan bahwa data selalu terlindungi secara menyeluruh.
 Level 4 : Advanced
Level Advanced dicapai hanya ketika dokumen internal dikategorikan (berlabel
keamanan) dan dilindungi dengan akses berbasis izin. Pemisahan yang lebih luas ini
mutlak diperlukan bagi usaha menengah dan besar yang tersebar di banyak lokasi.
Dokumen harus diklasifikasikan sebagai Publik, Pribadi, atau Dilindungi, dan izin
akses dapat diatur untuk membuka, membaca, mengedit, dan mengunduh.
Misalnya, seorang CEO mungkin memiliki izin untuk mengakses laporan keuangan
untuk dibuka, dibaca, diedit, dan diunduh, sedangkan kepala departemen mungkin
hanya memiliki akses baca.
Level ini juga mencakup penggunaan alat manajemen kata sandi seperti autentikasi
multifaktor dan alat manajemen kunci seperti AWS KMS, Azure Key Vault, atau
HashiCorp Vault. Alat-alat ini membantu memastikan bahwa kata sandi kuat,
disimpan dengan aman, dan dikelola dengan benar.
 Level 5 : Endurance
Serangan siber bukan satu-satunya ancaman keamanan. Bencana alam seperti
gempa bumi dan banjir dapat sangat mengganggu atau bahkan menghancurkan
bisnis dengan menghilangkan perangkat keras dan aset lainnya. Setiap organisasi
harus menyusun rencana untuk mengurangi kerusakan dan gangguan dari peristiwa
force majeure yang mungkin dihadapinya.
Ini berarti mengembangkan Rencana Pemulihan Bencana dan Rencana Tanggap
Darurat Keamanan Cyber. Pencadangan data rutin, latihan, dan pengujian rutin
kerentanan sistem juga disarankan.
 Level 6 : Trust
Level ini adalah tentang meningkatkan aspek keamanan manusia.
Selalu lakukan penyaringan SDM menyeluruh saat merekrut personel baru untuk
posisi kunci. Karyawan baru harus layak dipercaya dalam memperhatikan keamanan
dan penanganan informasi rahasia.
Pemasok dan vendor juga harus diperiksa dengan cermat. Jika ada celah atau
kelemahan keamanan yang signifikan teridentifikasi, desaklah agar hal itu ditangani.
Terakhir, pemindaian Dark Web sangat penting untuk menentukan apakah ada data
organisasi yang dimiliki oleh peretas.
Untuk perlindungan tambahan, serangan dapat disimulasikan untuk menguji
bagaimana sistem akan berperilaku dan menghilangkan kelemahan.
 Level 7 : Paranoia
Level ini untuk perusahaan yang ingin menambahkan lapisan keamanan ekstra
untuk informasi berharga mereka.
Salah satu langkah yang baik adalah membangun Pusat Operasi Keamanan yang
menangani semua permintaan keamanan dan bertanggung jawab untuk mencegah
dan menanggapi insiden keamanan. Perangkat lunak pendeteksi ancaman dapat
diintegrasikan dengan sistem organisasi untuk menemukan pola perilaku karyawan
yang tidak biasa, potensi malware, phishing, spamming, dan serangan serupa
lainnya. Sistem akses biometrik dengan pemindaian retina, pengenalan suara, atau
autentikasi sidik jari dapat memperketat akses ke tempat, perangkat keras, dan titik
akhir. Izin keamanan mungkin diperlukan untuk bekerja dengan informasi rahasia,
rahasia, dan sangat rahasia. (Setiap negara memiliki tingkatan dan norma yang
berbeda).
Ada banyak tindakan lain yang dapat diambil untuk meningkatkan pengendalian
sistem internal, tetapi pendekatan yang disajikan di tingkat 0 sampai 6 sudah cukup
untuk sebagian besar perusahaan.
Gambar 3.8 Piramida Keamanan Perusahaan
Dari berbagai kondisi yang telah disampaikan sebelumnya, status Sistem

Manajemen Keamanan Informasi di Pemerintah Daerah Kabupaten Indramayu dapat
disimpulkan berada di level 1 (Essential) dimana, penggunaan Firewall, port dan
keamanan standar lainnya sudah diimplementasikan namun belum dapat masuk ke
level 2 (Basic) karena banyak komponen yang belum dilaksanakan, salah satu
contohnya adalah akses jaringan ke data center oleh pihak ke 3 atau penyedia belum
menggunakan VPN atau 2 factor authentication.
D. Kondisi Ideal
1) Standarisasi Keamanan Informasi
ISO 27001 merupakan standar internasional keamanan informasi yang memuat
persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsep-
konsep keamanan informasi yang berlaku secara internasional pada sebuah organisasi.
Standar ISO 27001 menyatakan persyaratan utama yang harus dipenuhi
menyangkut:
• Konteks Organisasi
• Kepemimpinan
• Perencanaan
• Support
• Operasional ·
• Evaluasi Kinerja ·
• Improvement
Disamping persyaratan utama, standar 27001 mensyaratkan penetapan sasaran
kontrol dan kontrolkontrol keamanan informasi meliputi 14 area pengamanan
sebagai berikut:
 Kebijakan keamanan informasi
 Organisasi keamanan informasi
 Sumber daya manusia menyangkut keamanan informasi
 Manajemen aset
 Akses control
 Kriptographie
 Keamanan fisik dan lingkungan Keamanan operasi
 Kemanaan Komunikasi
 Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
 Hubungan dengan pemasok
 Pengelolaan insiden keamanan informasi
 Manajemen kelangsungan usaha (business continuity management)
 Kepatuhan
Manfaat Tata Kelola Keamanan Informasi ISO 27001 agar organsiasi atau
instansi/lembaga
 Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan
konsisten dengan pendekatan berbasis risiko.
 Mampu melakukan penilaian mandiri (selfassessment) secara berkala melalui
mekanisme audit internal
 Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk
menerapkan tata kelola keamanan informasi
 Membantu memberikan pemahaman pentingnya keamanan informasi pada
karyawan, stakeholder dan masyarakat umum.
Gambar 3.8 ISO 27001 Sistem Manajemen Keamanan Informasi
2) Peraturan Daerah yang menuangkan standar teknis dan prosedur SMKI

Analisa kondisi ideal dimaksudkan untuk melihat sejauh mana kondisi yang dapat
di capai dari penerapan Sistem Manajemen Keamanan Informasi (SMKI) dalam
mendukung kinerja pemerintahan daerah dalam menyelenggarakan Sistem
Pemerintahan Berbasis Elektronik(SPBE). Analisa kondisi ideal ini disusun berdasarkan
peraturan yang berlaku, trend teknologi informasi saat ini dan yang akan datang. Dasar
hukum standarisasi ISO 270001 terkait penerapan Sistem Manajemen Keamanan
Informasi (SMKI) sudah di susun oleh BSSN yang tertuang pada Peraturan Badan Siber
dan Sandi Negara Nomor 4 Tahun 2021 yang secara garis besar Pemerintah Daerah
perlu menerbitkan Peraturan yang disahkan Kepala Daerah tentang Pedoman
Manajemen Keamanan Informasi SPBE berupa :
o Membentuk Tim yang ditetapkan Kepala Daerah yang terdiri dari Kooridinator
Keamanan SPBE dan Pelaksanan Keamanan SPBE.
o Memiliki perencanaan (Masterplan) dalam mengimplementasi Keamanan
SPBE.
o Edukasi kesadaran dan dukungan anggaran Keamanan SPBE.
o Penilaian kerentanan Keamanan SPBE (Risk Management).
o Penanganan insiden Keamanan SPBE.
o Melaksanakan audit terhadap Keamanan Informasi secara berkala.
o Melakukan perbaikan berkelanjutan dari hasil audit.
o Memiliki Standar Teknis Keamanan Informasi.
3) Arsitektur Sistem Informasi

Disintergasi aplikasi dan sistem informasi milik Pemerintah Kabupaten
Indramayu juga perlu diubah ke kondisi ideal dimana dapat tercapainya data terpusat
sehingga Manajemen Resiko Keamanan Informasi dapat maksimalkan karena berfokus
pada sedikit aplikasi atau service. Hal ini dapat dicapai apabila pengembangan sistem
informasi menggunakan pendekatan arsitektur microservices atau strategi SOA (Service
Oriented Architecture) dimana kedua arsitektur sistem tersebut memiliki kemudahan
dalam integrasi dengan menggunakan API (Application Programming Language) sebagai
jembatan komunikasi antar aplikasi.
Microservices adalah suatu framework Architecture yang dipakai sebagai model
dalam pembuatan aplikasi cloud yang modern. Di dalam microservices setiap aplikasi di
bangun sebagai sekumpulan service dan setiap layanan berjalan dalam processnya
sendiri. Masing-masing dari aplikasi tersebut saling berkomunikasi melalu API
(Application Programing Interface).
Microservices merupakan Architecture dalam pembangunan aplikasi cloud yang
modern. Architecture microservices bersifat terdistribusi, sehingga perubahan pada
program yang di lakukan oleh satu tim developer tidak menganggu keseluruhan aplikasi.
Manfaat utama dalam mempergunakan microservices adalah agar team
developer mampu mengembangkan aplikasi secara cepat dengan membuat komponen-
komponen dari aplikasi berjalan secara independen sehingga dapat memenuhi
kebutuhan bisnis yang terus menerus berubah.
Cara pebangunan aplikasi yang seperti ini dioptimalkan dengan mempergunakan
DevOps (Development and Operation) dan CI / CD (Continuous Integration and
Continuous Delivery).
Apa yang membedakan Architecture Microservices dengan pendekatan yang
lebih tradisional seperti Monolithic Architecture adalah bagaimana framework ini
memecah aplikasi menjadi fungsi intinya. Setiap fungsi ini disebut sebagai service, dapat
dibangun dan dijalankan secara independen, yang berarti service tersebut dapat
berfungsi (dan gagal) tanpa berdampak negatif pada fungsi-fungsi yang lain.
Gambar 3.9 Arsitektur Monolitik vs Microservice
Framework ini membantu dalam sisi teknologi dari DevOps dalam pelaksanaan
continuous integration dan continuous delivery (CI / CD) sehingga menjadi lebih mulus
dan dapat tercapai.
Lebih cepat
menanggapi Karena siklus pengembangan dipersingkat, Architecture microservices mendukung
kebutuhan penerapan dan update yang lebih gesit.
pasar
Sangat Scalabl Saat permintaan untuk service tertentu tumbuh, Anda dapat menerapkan di beberapa
e server, dan infrastruktur, untuk memenuhi kebutuhan Anda.
Service Independent ini jika dibangun dengan benar tidak akan berdampak satu sama
Handal lain. Artinya, jika salah satu bagian gagal, seluruh aplikasi tidak akan mati, tidak seperti
model aplikasi Monolithic.
Karena aplikasi yang lebih besar dipecah menjadi bagian-bagian yang lebih kecil,
developer dapat lebih mudah memahami, memperbarui, dan menyempurnakan bagian
Aksesibilitas
tersebut, menghasilkan siklus pengembangan yang lebih cepat, terutama jika
dikombinasikan dengan metodologi pengembangan yang gesit.
Karena penggunaan API dan poliglot, pengembang memiliki kebebasan untuk memilih
Lebih terbuka
Bahasa pemrograman dan teknologi terbaik untuk fungsi yang diperlukan.
E. GAP analisis
1) Standarisasi Keamanan Informasi ISO 27001/2013
No Aspek Kondisi Saat ini Kondisi Mendatang
1 Konteks Organisasi Ada namun belum  Memahami Organisasi dan Konteks
spesifik dalam Organisasi
cakupan Keamanan  Memahami Kebutuhan dan
Informasi. Harapan Pihak Berkepentingan
 Menentukan Ruang Lingkup
 Sistem Manajemen Keamanan
Informasi (SMKI) Kabupaten
Indramayu
2 Kepemimpinan SMKI Tidak ada  Kebijakan berupa Peraturan Bupati
Kabupaten Indramayu
 Kepemimpinan dan Komitmen
 Peran, Tanggung Jawab dan
Wewenang
3 Perencanaan SMKI Tidak ada  Program kerja Keamanan SPBE yang
disusun berdasarkan kategori risiko
Keamanan SPBE
 Target realisasi program kerja
Keamanan SPBE
4 Pendukung SMKI Tidak ada  Tersedianya Sumber Daya Manusia
 Tersedianya anggaran
 Kesadaraan Keamanan Informasi
 Dokumentasi
5 Operasional SMKI Tidak ada  Standar Teknis
 Assessment manajemen resiko
Keamanan Informasi
 Penanganan resiko Keamanan
Informasi
6 Evaluasi kinerja Tidak ada Melakukan audit terhadap SPBE secara
SMKI berkala
7 Peningkatan SMKI Tidak ada Melakukan perbaikan berkelanjutan
berdasarkan hasil temuan dan
rekomendasi dari audit TI.
2) Peraturan Daerah
1 Pembentukan Tim Tidak ada  Sekretaris Daerah sebagai
Koordinator Koordinator Keamanan SPBE
Keamanan SPBE  Kepala Dinas Komunikasi dan
yang ditetapkan oleh Informatika sebagai Pelaksana
Kepala Daerah Teknis Keamanan SPBE
(Peraturan Bupati)
2 Perencanaan Sistem Tidak ada Memiliki komponen perencanaan
Manajemen Keamanan SPBE yaitu :
Keamanan Informasi  Program kerja Keamanan SPBE yang
(SMKI) disusun berdasarkan kategori risiko
Keamanan SPBE
 Target realisasi program kerja
Keamanan SPBE
3 Standar Teknis Ada, namun tidak Memiliki standar teknis Keamanan
lengkap dan belum Informasi di lingkungan Pemerintah
berupa peraturan Kabupaten Indramayu
daerah (Perbup)
4 Audit Keamanan Ada dan sudah Mengatur audit Keamanan Informasi
Informasi tercantum pada didalam Perbup/Kepbup khusus tentang
produk hukum Sistem Manajemen Keamanan Informasi
daerah Nomor: (SMKI) Kabupaten Indramayu
710.05/Kep.217-
Diskominfo/2022
5 Perbaikan Tidak ada Melakukan perbaikan berkelanjutan
Keamanan Informasi berdasarkan hasil temuan dan
rekomendasi dari audit TI.
3) Arsitektur Sistem Informasi

1 Data terpadu Ada namun masih  Data Terpadu yang dapat
sangat minim dimanfaatkan oleh lintas perangkat
daerah Kabupaten Indramayu
 Real Time CRUD (Create, Update
dan Delete) data
2 Application Ada namun masih  Dokumentasi API
Programming sangat minim  Data transactional via API
Language (API)  Keamanan Informasi API
3 CMS website Opensource  CMS yang dibuat Dinas Komunikasi
Wordpress dan Informatika yang disediakan
untuk website Perangkat Daerah
BAB IV
Penerapan Sistem Manajemen Keamanan Informasi (SMKI)
Pada penerapan Sistem Manajemen Keamanan Informasi selanjutnya akan kami sebut
SMKI akan dijelaskan dengan 3 bagian utama yang merupakan panduan pekerjaan yang
merupakan hasil Analisa dari Bab sebelumnya yaitu : Standarisasi ISO 27001, Pembuatan
peraturan (policy) dan arsitektur keamanan informasi (aplikasi dan infrastruktur).
A. Standarisasi ISO 27001

Dokumen ISO 27001 yang kami gunakan menggunakan versi oktober 2013 yang
sudah terbukti efektif dan menjadi dasar BSSN dalam penyusunan peraturan Nomor 4
Tahun 2021 meskipun ISO 27001 versi 2022 sudah resmi dipublikasikan.
Gambar 4.1 Publikasi ISO 27001/2013
Menerapkan Sistem Manajemen Keamanan Informasi (SMKI) atau secara literatur

dalam dokumen publikasi ISO 27001 disebut dengan ISMI yang merupakan singkatan
dari Information Security Management System yang sesuai dengan standarisasi ISO
27001 itu tidaklah mudah dan penuh tantangan. Maka dari itu kami sebagai konsultan
sudah merangkum langkah-langkah strategis untuk Pemerintah Kabupaten Indramayu
dalam penerapan SMKI yang sesuai dengan kaidah-kaidah dan standarisasi ISO 27001.
Langkah penerapan ISO 27001 berupa 9 langkah strategis (Roadmap) yang perlu
dilakukan.
Gambar 4.2 : Infografis 9 Langkah strategis (Roadmap) penerapan ISO 27001/2013
A.1 Bentuk tim penerapan SMKI
Langkah pertama adalah Kepala Daerah perlu menunjuk pemimpin proyek untuk
mengawasi penerapan SMKI. Menurut Peraturan BSSN nomor 4 tahun 2021 pemimpin
proyek yang sesuai dengan aturan di lingkungan Pemerintahan Daerah adalah Sekretaris
Daerah sebagai Koordinator SPBE Pasal 5 Ayat (2).
Pemimpin proyek akan membutuhkan sekelompok orang untuk membantu mereka.
Manajemen senior dapat memilih tim sendiri atau membiarkan pemimpin tim memilih
stafnya sendiri. Manajemen senior yaitu Pelaksana Teknis Keamanan SPBE yang diatur
pada Pasal 6 ayat (2) :
a. Pejabat pimpinan tinggi pratama yang melaksanakan tugas dan fungsi di bidang
keamanan teknologi, informasi dan komunikasi pada Instansi Pusat dan
Pemerintah Daerah masing-masing; dan
b. Pejabat pimpinan tinggi atau pejabat administrator yang membawahi,
membangun, memelihara, dan/atau mengembangkan Aplikasi SPBE.
Setelah tim terbentuk, tim pelaksana harus membuat mandat proyek SMKI berupa
Peraturan Bupati atau Keputusan Bupati Kabupaten Indramayu. Ini pada dasarnya
adalah serangkaian jawaban untuk pertanyaan-pertanyaan berikut:
 Apa yang ingin kita capai ?
 Akan mengabiskan waktu berapa lama ?
 Berapa biayanya ?
 Apakah proyek mendapat dukungan Kepala Daerah melalui Produk Hukum ?
A.2 Buat rencana penerapan SMKI

Tim implementasi akan menggunakan mandat proyek mereka untuk membuat
garis besar yang lebih rinci tentang tujuan, rencana, dan daftar risiko keamanan
informasi mereka.
Ini termasuk menetapkan kebijakan tingkat tinggi untuk SMKI yang menetapkan:
a. Peran dan tanggung jawab.
b. Aturan untuk perbaikan terus-menerus.
c. Bagaimana meningkatkan kesadaran proyek melalui komunikasi internal dan
eksternal.
Perencanaan implementasi SMKI sendiri dapat menggunakan masterplan ini sebagai
acuan penerapan SMKI di Kabupaten Indramayu.
A.3 Memulai Sistem Manajemen Keamanan Informasi (SMKI)

Dengan rencana yang ada, saatnya untuk menentukan metodologi peningkatan
berkelanjutan mana yang akan digunakan.
ISO 27001 tidak menentukan metode tertentu, melainkan merekomendasikan
"pendekatan proses". Ini pada dasarnya adalah strategi Plan-Do-Check-Act.
Gambar 4.3 : Penerapan SMKI sesuai ISO 27001:2013
Penerapan SMKI dapat menggunakan model apa pun asalkan persyaratan dan
prosesnya didefinisikan dengan jelas, diterapkan dengan benar, dan ditinjau serta
ditingkatkan secara berkala.
Pemerintah Kabupaten Indramayu juga perlu membuat kebijakan SMKI. Ini tidak
perlu dirinci; itu hanya perlu menguraikan apa yang ingin dicapai oleh tim implementasi
Keamanan SPBE dan bagaimana tim pelaksana berencana untuk melakukannya.
Pada titik ini, Anda dapat mengembangkan sisa struktur dokumen Anda. Kami
merekomendasikan penggunaan strategi empat tingkat:
a. Kebijakan di atas, menentukan posisi organisasi pada isu-isu spesifik, seperti
penggunaan yang dapat diterima dan pengelolaan kata sandi.
b. Prosedur untuk memberlakukan persyaratan kebijakan.
c. Instruksi kerja yang menjelaskan bagaimana karyawan harus memenuhi kebijakan
tersebut.
d. Catatan pelacakan prosedur dan instruksi kerja
A.4 Tentukan ruang lingkup Sistem Manajemen Keamanan Informasi (SMKI)

Langkah selanjutnya adalah mendapatkan pemahaman yang lebih luas tentang
kerangka SMKI. Proses ini diuraikan dalam pasal 4 dan 5 standar ISO 27001. Langkah ini
sangat penting dalam menentukan skala SMKI Kabupaten Indramayu dan tingkat
jangkauannya dalam penerapan SMKI dilingkungan Pemerintah Daerah Indramayu pada
aktifitas sehari-hari. Dengan demikian, tim pelaksana harus mengenali semua yang
relevan dengan Pemerintah Daerah sehingga SMKI dapat memenuhi kebutuhan
Pemerintah Daerah Kabupaten Indramayu.
Bagian terpenting dari proses ini adalah menentukan ruang lingkup SMKI
Kabupaten Indramayu. Ini melibatkan identifikasi lokasi penyimpanan informasi, apakah
itu file fisik atau digital, sistem, atau perangkat portabel.
Mendefinisikan ruang lingkup Anda dengan benar adalah bagian penting dari
proyek implementasi SMKI Kabupaten Indramayu.
Jika ruang lingkup SMKI terlalu kecil, hal tersebut sama saja membiarkan
informasi terbuka, membahayakan keamanan informasi di Kabupaten Indramayu.
Namun jika cakupan ruang lingkupnya terlalu luas, SMKI akan menjadi terlalu rumit
untuk dikelola.
A.5 Identifikasi garis dasar keamanan SMKI

Garis dasar keamanan organisasi adalah tingkat aktivitas minimum yang
diperlukan untuk menjalankan SPBE dengan aman. Tim pelaksana dapat
mengidentifikasi garis dasar keamanan dengan informasi yang dikumpulkan dalam
penilaian risiko ISO 27001. Ini akan membantu tim pelaksana mengidentifikasi
kerentanan keamanan paling signifikan di organisasi Anda dan kontrol ISO 27001 yang
sesuai untuk mengurangi risiko (diuraikan dalam Lampiran A Standar ).
A.6 Menetapkan proses manajemen resiko keamanan informasi
Manajemen risiko adalah inti dari SMKI. Hampir setiap aspek sistem keamanan
organisasi dalam hal ini Pemerintah Kabupaten Indramayu didasarkan pada ancaman
yang telah tim pelaksana identifikasi dan prioritaskan, menjadikan manajemen risiko
sebagai kompetensi inti untuk setiap organisasi yang menerapkan ISO 27001. Standar
memungkinkan organisasi untuk menentukan proses manajemen risiko mereka sendiri.
Metode umum berfokus pada risiko terhadap aset tertentu atau risiko yang disajikan
dalam skenario tertentu.
Proses apa pun yang tim pelaksana penerapan SMKI pilih, keputusan tersebut
harus dihasilkan dari penilaian risiko. Ini adalah lima langkah proses yang perlu
dilaksanakan:
a. Menetapkan kerangka penilaian risiko
b. Identifikasi risiko
c. Menganalisis risiko
d. Mengevaluasi risiko
e. Pilih opsi manajemen risiko
Anda kemudian perlu menetapkan kriteria penerimaan risiko Anda, yaitu
kerusakan yang akan ditimbulkan oleh ancaman dan kemungkinan terjadinya hal
tersebut. Manajer sering mengkuantifikasi risiko dengan memberi skor pada matriks
risiko ; semakin tinggi skornya, semakin besar ancamannya. Mereka kemudian akan
memilih ambang batas untuk titik di mana risiko harus ditangani.
Ada empat pendekatan yang dapat Anda ambil saat menangani risiko:
a. Toleransi risikonya
b. Perlakukan risiko dengan menerapkan control
c. Hentikan risiko dengan menghindarinya sepenuhnya
d. Mentransfer risiko (dengan polis asuransi atau melalui perjanjian dengan pihak
lain).
e. Terakhir, ISO 27001 mengharuskan Pemerintah Kabupaten Indramayu untuk
menyelesaikan SoA (Statement of Applicability) yang mendokumentasikan
kontrol Standar mana yang telah tim pelaksana pilih dan hilangkan dan mengapa
tim pelaksana SMKI membuat pilihan tersebut.
A.7 Penerapan rencana penanganan resiko keamanan informasi

Penerapan rencana penanganan risiko adalah proses membangun kontrol
keamanan yang akan melindungi aset informasi Pemerintah Kabupaten Indramayu.
Untuk memastikan kontrol ini efektif, tim pelaksana harus memeriksa apakah
seluruh ASN dan pegawai yang bekerja dilingkungan Pemerintah Daerah dapat
mengoperasikan atau berinteraksi dengan kontrol dan mengetahui kewajiban
keamanan informasi mereka. Tim pelaksana SMKI juga perlu menyusun proses untuk
menentukan, meninjau, dan mempertahankan kompetensi yang diperlukan untuk
mencapai tujuan SMKI Pemerintah Kabupaten Indramayu.
A.8 Pemantauan dan peninjauan SMKI

Tim pelaksana SMKI tidak akan dapat mengetahui apakah SMKI pemerintah
Kabupaten Indramayu berfungsi atau tidak kecuali dilakukan peninjauan. Kami
merekomendasikan untuk melakukan peninjauan SMKI secara berkala setidaknya
setiap tahun sehingga tim pelaksana SMKI dapat terus memantau lanskap risiko yang
terus berkembang.
Proses peninjauan melibatkan identifikasi kriteria yang mencerminkan tujuan
yang Tim pelaksana buat dalam mandat penerapan SMKI.
Metrik umum adalah analisis kuantitatif, di mana Tim pelaksana menetapkan
angka untuk apa pun yang di ukur. Ini berguna saat menggunakan hal-hal yang
melibatkan biaya atau waktu keuangan.
Alternatifnya adalah analisis kualitatif, di mana pengukuran didasarkan pada
penilaian. Tim pelaksana SMKI akan menggunakan analisis kualitatif ketika penilaian
paling cocok untuk kategorisasi, seperti 'tinggi', 'sedang', dan 'rendah'. Selain proses
ini, tim pelaksana harus melakukan audit internal secara berkala atas SMKI.
Tidak ada cara khusus untuk melakukan audit ISO 27001, artinya penilaian dapat
dilakukan untuk satu Satuan Kerja Perangkat Daerah (SKPD) pada satu waktu. Ini
membantu mencegah kerugian yang signifikan dalam produktivitas dan memastikan
upaya tim pelaksana menjadi tidak efektif di berbagai tugas.
Tim pelaksana harus menyelesaikan prosesnya secepat mungkin, karena tim
pelaksana perlu mendapatkan hasilnya, meninjaunya, dan merencanakan audit
tahun berikutnya. Hasil audit internal tim pelaksana SMKI menjadi masukan untuk
tinjauan Kepala daerah dan koordinator SPBE yaitu Sekretari Daerah apabila
merujuk pada peraturan BSSN, yang hasil audit tersebut akan dimasukkan ke dalam
proses perbaikan berkelanjutan di tahun berikutnya.
A.9 Pengajuan sertifikasi SMKI Kabupaten Indramayu

Setelah SMKI diterapkan, Anda dapat memilih untuk mencari sertifikasi SNI/ISO
27001, dalam hal ini Tim pelaksana perlu mempersiapkan audit eksternal.
Audit sertifikasi dilakukan dalam dua tahap. Audit awal menentukan apakah
SMKI Kabupaten Indramayu telah dikembangkan sesuai dengan persyaratan ISO
27001. Jika auditor puas, mereka akan melakukan investigasi yang lebih menyeluruh.
Tim pelaksana harus yakin dengan suksesnya penerapan SMKI untuk
mensertifikasi sebelum melanjutkan ke tahap ini, hal ini dikarenakan prosesnya
memakan waktu dan masih akan dikenakan biaya jika proses sertifikasi langsung
gagal.
Hal lain yang harus Tim pelaksana SMKI ingat adalah lembaga sertifikasi mana
yang harus dipilih. Ada banyak pilihan, tetapi Anda harus memastikan mereka
diakreditasi oleh badan sertifikasi nasional, yang harus menjadi anggota IAF (Badan
Akreditasi Internasional).
Hal ini memastikan bahwa tinjauan tersebut benar-benar sesuai dengan ISO
27001, berbeda dengan badan yang tidak bersertifikat, yang sering berjanji untuk
memberikan sertifikasi terlepas dari postur kepatuhan organisasi pada pedoman
sertifikasi ISO 27001.
Biaya audit sertifikasi mungkin akan menjadi faktor utama saat memutuskan
badan mana yang akan dipilih, tetapi itu seharusnya bukan satu-satunya perhatian
Tim pelaksana SMKI. Tim pelaksana juga harus mempertimbangkan apakah peninjau
atau badan sertifikasi memiliki pengalaman di lingkungan Pemerintahan Daerah.
Lagi pula, SMKI selalu unik bagi organisasi yang membuatnya, dan siapa pun
yang melakukan audit harus mengetahui kebutuhan yang diperlukan di Pemerintah
Daerah Kabupaten Indramayu.
Kami menyarankan sertifikasi ISO 27001 Kabupaten Indramayu dapat
berkoordinasi dengan BSN, karena tentunya sertifikasi oleh sesama Lembaga
pemerintahan akan lebih ideal untuk Pemerintah Daerah sehingga terwujudnya
kerjasama Government to Government (G2G).
Namun sertifikasi oleh lembaga BSN tidak menjadi keharusan, apabila lembaga
sertifikasi lain dianggap lebih sesuai untuk sertifikasi ISO 27001 di Pemerintah
Kabupaten Indramayu. Karena beberapa instansi pemerintah di daerah lain
menggunakan lembaga lain untuk sertifikasi, sebagai contoh Dinas Kependudukan
dan Pencatatan Sipil (Disdukcapil) Kabupaten Bantul yang mendapatkan sertifikasi
ISO 27001 dari Lembaga Sertifikasi AQC.
B. Pembuatan peraturan (policy)

Peraturan Sistem Manajemen Keamanan Informasi (SMKI) di lingkungan
Pemerintah Kabupaten Indramayu perlu memiliki Standar Teknis dan Prosedur
Keamanan, konsultan membuatnya seperti yang tercantum pada peraturan Badan
Sandi dan Statistik Negara nomor 14 tahun 2021 karena masterplan ini dibuat untuk
Kabupaten Indramayu sebagai instansi pemerintahan. Dibawah ini kami coba
rangkum daftar kebutuhan keamanan data dan informasi :
N Standar Teknis dan Aspek yang Prosedur

o Prosedur dipenuhi
1 Keamanan data dan Kerahasiaan a. Menetapkan klasifikasi
informasi informasi;
b. Menerapkan enkripsi dengan
sistem kriptografi; dan
c. Menerapkan pembatasan akses
terhadap data dan informasi
sesuai dengan kewenangan dan
kebijakan yang telah
ditetapkan.
Keaslian a. Menyediakan mekanisme
verifikasi;
b. Menyediakan mekanisme
validasi; dan
c. Menerapkan sistem hash
function.
Keutuhan a. Menerapkan pendeteksian
modifikasi; dan
b. Menerapkan tanda tangan
elektronik tersertifikasi.
Kenirsangkalan a. Menerapkan tanda tangan
elektronik tersertifikasi; dan
b. Penjaminan oleh
penyelenggara sertifikasi
elektronik melalui sertifikat
elektronik.
Ketersediaan a. Menerapkan sistem
pencadangan secara berkala;
b. Membuat perencanaan untuk
menjamin data dan informasi
dapat selalu diakses; dan
c. Menerapkan sistem pemulihan.
2 Keamanan Aplikasi SPBE Autentikasi a. Menggunakan manajemen kata
berbasis Website sandi untuk proses autentikasi;
b. Menerapkan verifikasi kata
sandi pada sisi server;
c. Mengatur jumlah karakter,
kombinasi jenis karakter, dan
masa berlaku dari kata sandi
d. Mengatur jumlah maksimum
kesalahan dalam pemasukan
kata sandi;
e. Mengatur mekanisme
pemulihan kata sandi;
f. Menjaga kerahasiaan kata
sandi yang disimpan melalui
mekanisme kriptografi;
g. Menggunakan jalur komunikasi
yang diamankan untuk proses
autentikasi.
Manajemen sesi a. menggunakan pengendali sesi
untuk proses manajemen sesi;
b. menggunakan pengendali sesi
yang disediakan oleh kerangka
kerja aplikasi;
c. mengatur pembuatan dan
keacakan token sesi yang
dihasilkan oleh pengendali sesi;
d. mengatur kondisi dan jangka
waktu habis sesi;
e. validasi dan pencantuman
session id;
f. pelindungan terhadap lokasi
dan pengiriman token untuk
sesi terautentikasi; dan
g. pelindungan terhadap duplikasi
dan mekanisme persetujuan
pengguna.
Persyaratan kontrol a. menetapkan otorisasi
akses pengguna untuk membatasi
kontrol akses;
b. mengatur peringatan terhadap
bahaya serangan otomatis
apabila terjadi akses yang
bersamaan atau akses yang
terus-menerus pada fungsi;
c. mengatur antarmuka pada sisi
administrator;
d. mengatur verifikasi kebenaran
token ketika mengakses data
dan informasi yang
dikecualikan.
Validasi input a. menerapkan fungsi validasi
input pada sisi server;
b. menerapkan mekanisme
penolakan input jika terjadi
kesalahan validasi;
c. memastikan runtime
environment aplikasi tidak
rentan terhadap serangan
validasi input;
d. melakukan validasi positif pada
seluruh input;
e. melakukan filter terhadap data
yang tidak dipercaya;
f. menggunakan fitur kode
dinamis;
g. melakukan pelindungan
terhadap akses yang
mengandung konten skrip; dan
h. melakukan pelindungan dari
serangan injeksi basis data.
Kriptografi pada a. menggunakan algoritma
verifikasi statis kriptografi, modul kriptografi,
protokol kriptografi, dan kunci
kriptografi sesuai dengan
ketentuan peraturan
perundangundangan;
b. melakukan autentikasi data
yang dienkripsi;
c. menerapkan manajemen kunci
kriptografi; dan
d. membuat angka acak yang
menggunakan generator angka
acak kriptografi.
Penanganan eror a. mengatur konten pesan yang
dan pencatatan log ditampilkan ketika terjadi
kesalahan;
b. menggunakan metode
penanganan eror untuk
mencegah kesalahan
terprediksi dan tidak terduga
serta menangani seluruh
pengecualian yang tidak
ditangani;
c. tidak mencantumkan informasi
yang dikecualikan dalam
pencatatan log;
d. mengatur cakupan log yang
dicatat untuk mendukung
upaya penyelidikan ketika
terjadi insiden;
e. mengatur pelindungan log
aplikasi dari akses dan
modifikasi yang tidak sah;
f. melakukan enkripsi pada data
yang disimpan untuk mencegah
injeksi log; dan
g. melakukan sinkronisasi sumber
waktu sesuai dengan zona
waktu dan waktu yang benar.
Proteksi data a. melakukan identifikasi dan
penyimpanan Salinan informasi
yang dikecualikan;
b. melakukan pelindungan dari
akses yang tidak sah terhadap
informasi yang dikecualikan
yang disimpan sementara
dalam aplikasi;
c. melakukan pertukaran,
penghapusan, dan audit
informasi yang dikecualikan;
d. melakukan penentuan jumlah
parameter;
e. memastikan data disimpan
dengan aman;
f. menentukan metode untuk
menghapus dan mengekspor
data sesuai permintaan
pengguna; dan
g. membersihkan memori setelah
tidak diperlukan.
Keamanan a. menggunakan komunikasi
komunikasi terenkripsi;
b. mengatur koneksi masuk dan
keluar yang aman dan
terenkripsi dari sisi pengguna;
c. mengatur jenis algoritma yang
digunakan dan alat
pengujiannya; dan
d. mengatur aktivasi dan
konfigurasi sertifikat elektronik
yang diterbitkan oleh
penyelenggara sertifikasi
elektronik.
Pengendalian kode a. menggunakan analisis kode
berbahaya dalam kontrol kode berbahaya;
b. memastikan kode sumber
aplikasi dan pustaka tidak
mengandung kode berbahaya
dan fungsionalitas lain yang
tidak diinginkan;
c. mengatur izin terkait fitur atau
sensor terkait privasi;
d. mengatur pelindungan
integritas;
e. mengatur mekanisme fitur
pembaruan.
Logika bisnis a. memproses alur logika bisnis
dalam urutan Langkah dan
waktu yang realistis;
b. memastikan logika bisnis
memiliki batasan dan validasi;
c. memonitor aktivitas yang tidak
biasa;
d. membantu dalam kontrol
antiotomatisasi; dan
e. memberikan peringatan ketika
terjadi serangan otomatis atau
aktivitas yang tidak biasa.
File a. mengatur jumlah file untuk
setiap pengguna dan kuota
ukuran file yang diunggah;
b. melakukan validasi file sesuai
dengan tipe konten yang
diharapkan;
c. melakukan pelindungan
terhadap metadata input dan
metadata file;
d. melakukan pemindaian file
yang diperoleh dari sumber
yang tidak dipercaya; dan
e. melakukan konfigurasi server
untuk mengunduh file sesuai
ekstensi yang ditentukan.
Keamanan API dan a. melakukan konfigurasi layanan
web service web;
b. memverifikasi uniform
resource identifier API tidak
menampilkan informasi yang
berpotensi sebagai celah
keamanan;
c. membuat keputusan otorisasi;
d. menampilkan metode RESTful
hypertext transfer protocol
apabila input pengguna
dinyatakan valid;
e. menggunakan validasi skema
dan verifikasi sebelum
menerima input;
f. menggunakan metode
pelindungan layanan berbasis
web; dan
g. xmenerapkan kontrol
antiotomatisasi.
Keamanan a. mengonfigurasi server sesuai
konfigurasi rekomendasi server aplikasi
dan kerangka kerja aplikasi
yang digunakan;
b. mendokumentasi, menyalin
konfigurasi, dan semua
dependensi;
c. menghapus fitur, dokumentasi,
sampel, dan konfigurasi yang
tidak diperlukan;
d. memvalidasi integritas aset jika
aset aplikasi diakses secara
eksternal; dan
e. menggunakan respons aplikasi
dan konten yang aman.
3 Keamanan Aplikasi SPBE Penyimpanan data a. menyimpan seluruh data dan
berbasis Mobile dan persyaratan informasi yang dikecualikan
privasi hanya dalam fasilitas
penyimpanan kredensial
sistem;
b. membatasi pertukaran data
dan informasi yang
dikecualikan dengan third
party;
c. menonaktifkan cache keyboard
pada saat memasukkan data
dan informasi yang
dikecualikan;
d. melindungi informasi yang
dikecualikan saat terjadi inter
process communication; dan
e. melindungi data dan informasi
yang dikecualikan yang
dimasukkan melalui antarmuka
pengguna.
Kriptografi a. menghindari penggunaan
kriptografi simetrik dengan
hardcoded key;
b. mengimplementasikan metode
kriptografi yang sudah teruji
sesuai kebutuhan;
c. menghindari penggunaan
protokol kriptografi atau
algoritme kriptografi yang
obsolet;
d. menghindari penggunaan kunci
kriptografi yang sama;
e. menggunakan pembangkit
kunci acak yang memenuhi
kriteria keacakan kunci.
Autentikasi dan a. menerapkan autentikasi pada
manajemen sesi remote endpoint terhadap
aplikasi yang menyediakan
akses pengguna untuk layanan
jarak jauh;
b. menggunakan session identifier
yang acak tanpa perlu
mengirimkan kredensial
pengguna apabila
menggunakan stateful
manajemen sesi;
c. memastikan server
menyediakan token yang telah
ditandatangani menggunakan
algoritme yang aman apabila
menggunakan autentikasi
stateless berbasis token;
d. memastikan remote endpoint
memutus sesi yang ada saat
pengguna log out;
e. menerapkan pengaturan sandi
pada remote endpoint;
f. membatasi jumlah percobaan
log in pada remote endpoint;
g. menentukan masa berlaku sesi
dan masa kedaluwarsa token
pada remote endpoint; dan
h. melakukan otorisasi pada
remote endpoint.
Komunikasi jaringan a. menerapkan secure socket
layer atau transport layer
security yang tidak obsolet
secara konsisten; dan
b. memverifikasi sertifikat remote
endpoint.
Interaksi platform a. memastikan aplikasi hanya
meminta akses terhadap
sumber daya yang diperlukan;
b. melakukan validasi terhadap
seluruh input dari sumber
eksternal dan pengguna;
c. menghindari pengiriman
fungsionalitas sensitive melalui
skema custom uniform
resource locator dan fasilitas
inter process communication;
d. menghindari penggunaan
JavaScript dalam WebView;
e. menggunakan protokol
secure pada WebView; dan
f. mengimplementasikan
penggunaan serialisasi API yang
aman.
Kualitas kode dan a. menandatangani aplikasi
pengaturan build dengan sertifikat yang valid;
b. memastikan aplikasi dalam
mode rilis;
c. menghapus simbol debugging
dari native binary;
d. menghapus kode debugging
dan kode bantuan
pengembang;
e. mengidentifikasi kelemahan
seluruh komponen third party;
f. menentukan mekanisme
penanganan eror;
g. mengelola memori secara
aman;
h. mengaktifkan fitur keamanan
yang tersedia.
Ketahanan a. mencegah aplikasi berjalan
pada perangkat yang telah
dilakukan modifikasi yang tidak
sah;
b. mendeteksi dan merespons
debugger;
c. mencegah executable file
melakukan perubahan pada
sumber daya perangkat;
d. mendeteksi dan merespons
keberadaan perangkat reverse
engineering;
e. mencegah aplikasi berjalan
dalam emulator;
f. mendeteksi perubahan kode
dan data di ruang memori;
g. menerapkan fungsi device
binding dengan menggunakan
property unik pada perangkat;
h. melindungi seluruh file dan
library pada aplikasi; dan
i. menerapkan metode
obfuscation.
4 Keamanan Sistem Keamanan a. menerapkan sistem tanda
Penghubung Layanan interoperabilitas tangan elektronik tersertifikasi
data dan informasi untuk pengamanan dokumen
dan surat elektronik;
b. menerapkan sistem enkripsi
data;
c. memastikan data dan informasi
selalu dapat diakses sesuai
otoritasnya; dan
d. menerapkan sistem hash
function pada file
Kontrol sistem a. menerapkan protokol secure
integrasi socket layer atau protokol
transport layer security versi
terkini pada sesi pengiriman
data dan informasi;
b. menerapkan internet protocol
security untuk mengamankan
transmisi data dalam jaringan
berbasis transmission control
protocol/internet protocol;
c. menerapkan sistem anti
distributed denial of service;
d. menerapkan autentikasi untuk
memverifikasi identitas
eksternal antar Layanan SPBE
yang terhubung;
e. menerapkan manajemen
keamanan sesi;
f. menerapkan pembatasan akses
pengguna berdasarkan
otorisasi yang telah ditetapkan;
g. menerapkan validasi input;
h. menerapkan kriptografi pada
verifikasi statis;
i. menerapkan sertifikat
elektronik pada web
authentication;
j. menerapkan penanganan eror
dan pencatatan log;
k. menerapkan proteksi data dan
jalur komunikasi;
l. menerapkan pendeteksi virus
untuk memeriksa beberapa
konten file;
m. menetapkan perjanjian tingkat
layanan dengan standar paling
rendah 95% (sembilan puluh
lima per seratus); dan
n. memastikan sistem integrasi
tidak memiliki kerentanan yang
berpotensi menjadi celah
peretas.
Kontrol perangkat a. menggunakan sistem operasi
integrator dan perangkat lunak dengan
security patches terkini;
b. menggunakan anti virus dan
anti-spyware terkini;
c. mengaktifkan fitur keamanan
pada peramban web;
d. menerapkan firewall dan host-
based intrusion detection
systems;
e. mencegah instalasi perangkat
lunak yang belum terverifikasi;
f. mencegah akses terhadap situs
yang tidak sah; dan
g. mengaktifkan sistem recovery
dan restore pada perangkat
integrator.
Keamanan API dan a. menerapkan protokol secure
web service socket layer atau protokol
transport layer security
diantara pengirim dan
penerima API;
b. menerapkan protokol open
authorization versi terkini
untuk menjembatani interaksi
antara resource owner,
resource server dan/atau third
party;
c. menampilkan metode RESTful
apabila input pengguna
dinyatakan valid;
d. melindungi layanan web
RESTful yang menggunakan
cookie dari cross-site request
forgery; dan
e. memvalidasi parameter yang
masuk oleh penerima API
untuk memastikan data yang
diterima valid dan tidak
menyebabkan kerusakan.
Keamanan migrasi a. memastikan migrasi data
data dilakukan secara bertahap dan
terprogram oleh sistem;
b. memastikan aplikasi yang
menggunakan sistem basis data
lama tetap dipertahankan
sampai sistem pendukung basis
data baru dapat berjalan atau
berfungsi dengan normal;
c. mendokumentasikan format
sistem basis data lama secara
rinci;
d. melakukan pencadangan
seluruh data yang tersimpan
pada sistem sebelum
melakukan migrasi data;
e. menerapkan teknik kriptografi
pada proses penyimpanan dan
pengambilan data; dan
f. melakukan validasi data ketika
proses migrasi data selesai.
5 Keamanan Jaringan Intra Aspek administrasi a. menyusun dan mengevaluasi
Pemerintah keamanan Jaringan dokumen arsitektur Jaringan
Intra Intra;
b. mengidentifikasi seluruh aset
infrastruktur jaringan;
c. menyusun dan menetapkan
standar operasional prosedur
terkait pemeliharaan
keamanan Jaringan Intra; dan
d. membuat laporan pengawasan
keamanan jaringan secara
periodik.
Kontrol akses dan a. menempatkan perangkat
autentikasi infrastruktur jaringan yang
menyediakan layanan Jaringan
Intra pada zona terpisah;
b. menggunakan autentikasi
untuk mengakses Jaringan
Intra;
c. menerapkan pembatasan akses
dalam Jaringan Intra;
d. mematikan atau membatasi
protocol, port, dan layanan
yang tidak digunakan;
e. menerapkan penyaringan
tautan dan memblokir akses ke
situs berbahaya;
f. menerapkan fungsi honeypot
untuk menganalisis celah
keamanan berdasarkan jenis
serangan;
g. menerapkan virtual private
network dan mengaktifkan
fungsi enkripsi pada jalur
komunikasi yang digunakan;
h. memberikan kewenangan
hanya kepada administrator
untuk menginstal perangkat
lunak dan/atau mengubah
konfigurasi sistem dalam
Jaringan Intra;
i. menerapkan secure endpoints;
j. memblokir layanan yang tidak
dikenal;
k. menerapkan secure socket
layer atau transport layer
security versi terkini pada jalur
akses Jaringan Intra; dan
l. menerapkan server perantara
saat client mengakses server
database dalam rangka
pemeliharaan.
Persyaratan a. menggunakan perangkat
perangkat dan security information and event
aplikasi keamanan management untuk network
Jaringan Intra logging dan monitoring;
b. menerapkan sistem deteksi dini
kerentanan keamanan
perangkat jaringan;
c. menggunakan perangkat
firewall;
d. menggunakan perangkat
intrusion detection systems
dan intrusion prevention
systems;
e. menerapkan virtual private
network terenkripsi untuk
penggunaan akses jarak jauh
secara terbatas;
f. menerapkan kontrol update
patching pada infrastruktur
Jaringan Intra dan sistem
komputer;
g. menggunakan perangkat web
application firewall;
h. menggunakan perangkat load
balancer untuk menjaga
ketersediaan akses terhadap
jaringan dan aplikasi;
i. memperbarui teknologi
keamanan perangkat keras dan
perangkat lunak untuk
meminimalisasi celah peretas;
j. mengunduh perangkat lunak
melalui enterprise software
distribution system; dan
k. menerapkan sertifikat
elektronik.
Kontrol keamanan a. menerapkan content filtering;
gateway b. menerapkan inspection packet
filtering untuk memeriksa
packet yang masuk pada
Jaringan Intra;
c. menerapkan kontrol keamanan
pada fitur akses jarak jauh
perangkat gateway;
d. memastikan perangkat
gateway yang menghubungkan
antar Jaringan Intra tidak
terkoneksi langsung dengan
jaringan publik;
e. melaksanakan manajemen
traffic gateway; dan
f. f. memastikan port tidak
dibuka secara default.
Kontrol keamanan a. menerapkan protokol
access point pada keamanan access point
jaringan nirkabel nirkabel dan teknologi enkripsi
terkini;
b. menerapkan media access
control pada address filtering;
c. menerapkan dedicated service
set identifier;
d. menerapkan pembatasan
jangkauan radio transmisi dan
pengguna jaringan;
e. menerapkan pembatasan
terkait penambahan perangkat
nirkabel yang dipasang secara
tidak sah;
f. menerapkan manajemen
vulnerability secara berkala dan
berkelanjutan; dan
g. melakukan patching firmware
secara rutin.
Kontrol konfigurasi a. menggunakan kata sandi yang
access point pada kuat;
jaringan nirkabel b. menggunakan protokol model
authentication authorization
dan accounting pada perangkat
infrastruktur jaringan untuk
management user atau
otentikasi administrator access
point;
c. memastikan fitur akses
konfigurasi jarak jauh hanya
dapat digunakan dalam kondisi
darurat dengan menerapkan
kontrol keamanan;
d. mengisolasi atau melakukan
segmentasi jaringan area lokal
nirkabel; dan
e. menonaktifkan antarmuka
nirkabel, layanan, dan aplikasi
yang tidak digunakan.
6 Keamanan Pusat Data Persyaratan Standar Nasional Indonesia yang
Nasional keamanan fisik dan terkait dengan Pusat Data
manajemen Pusat
Data Nasional
Persyaratan koneksi a. memastikan keamanan
perangkat ke Pusat perangkat yang terkoneksi ke
Data Nasional. infrastruktur Pusat Data
Nasional;
b. memutus akses fisik atau logic
dari perangkat yang tidak
terotorisasi;
c. memastikan akses tingkat
administrator ke server dan
perangkat jaringan utama tidak
boleh dilakukan secara remote;
d. memastikan hanya personil
yang berwenang yang boleh
menggunakan komputer di
area Pusat Data Nasional;
e. melakukan backup informasi
dan perangkat lunak yang
berada di Pusat Data Nasional
secara berkala;
f. memastikan perangkat
komputer Pusat Data Nasional
terbebas dari virus dan
malware;
g. melakukan pembatasan akses
pemanfaatan removable media
di area Pusat Data Nasional;
h. memastikan pengaktifan
konfigurasi port universal serial
bus telah mendapatkan izin
dari personil yang berwenang;
i. memastikan setiap perangkat
yang akan terkoneksi ke
infrastruktur Pusat Data
Nasional menggunakan
internet protocol address dan
hostname yang telah
ditentukan; dan
j. menerapkan server perantara
saat client mengakses server
database dalam rangka
pemeliharaan.
Agar lebih memahami aspek-aspek kebutuhan keamanan data dan informasi
dalam rancangan Sistem Manajemen Keamanan Informasi (SMKI) di Kabupaten
Indramayu maka kami buatkan Mind Mapping aspek SMKI dibawah ini :
Gambar 4.4 : Aspek SMKI Kabupaten Indramayu
C. Arsitektur Keamanan Informasi (aplikasi dan infrastruktur)

Arsitektur keamanan data dan informasi yang dibutuhkan di Pemerintah
Kabupaten Indramayu kami bagi menjadi dua yaitu aplikasi dan infrastruktur.
Pembahasan disini akan menjelaskan secara lebih praktikal dari aspek keamanan
SMKI yang kami jelaskan pada bagian sebelumnya yang berisi daftar kebutuhan data
dan informasi.
C.1 Aplikasi
1) Arsitektur Aplikasi
Sistem Informasi yang mendukung SPBE di Kabupaten Indramayu
sebaiknya diubah dari arsitektur monolitik menjadi arsitektur berorientasi
service. Hal tersebut akan mewujudkan SPBE yang lebih aman dikarenakan
operasional pengamanan data dan informasi dapat berfokus pada beberapa
service saja dibandingkan harus memperhatikan keamanan dari banyaknya
aplikasi dengan arsitektur monolitik seperti yang sekarang dimiliki pemerintah
Service yang kami maksud dalam hal ini adalah ruang lingkup informasi
yang dimiliki oleh Satuan Kerja Perangkat Daerah (SKPD). Dibawah ini kami
contohkan beberapa service tersentralisasi sesuai SKPD.
a. Data Kepegawaian dimiliki oleh BKPSDM
b. Data Barang Milik Daerah dimiliki oleh Badan Keuangan Daerah (BKD)
c. Data Kependudukan dimiliki oleh Disdukcapil
d. Data Ketenaga Kerjaan dimiliki oleh Disnaker
e. Data Inftastruktur dimiliki oleh Dinas PUPR
f. dst
Informasi dan data yang menjadi milik SKPD tersebut beberapa

diantaranya sudah dikelola secara elektronik dengan menggunakan aplikasi yang
dikelola oleh SKPD masing-masing dan seluruhnya masih dibangun dengan
arsitektur monolitik dimana setiap modul aplikasi beserta basis data hanya untuk
kebutuhan 1 (satu) aplikasi saja.
Transformasi arsitektur aplikasi menjadi SOA yang dalam hal ini kami
memberikan usulan menggunakan arsitektur microservice dapat mewujudkan
SPBE yang :
a. Data dan Informasi menjadi aman apabila mengikuti pedoman system
security yang ada.
b. Data dan Informasi menjadi aktual karena pembaharuan data dan
penggunaannya secara real time melalui API.
c. Mewujudkan Indramayu 1 data.
d. Pengembangan aplikasi baru akan lebih cepat karena dapat
menggunakan API service yang tersedia untuk kebutuhan beberapa
modul.
Sebagai contoh, apabila salah satu program bupati unggulan yaitu Lacak Aset
Daerah (LADa) hendak dibuatkan aplikasi untuk mendukung program tersebut
yang memiliki fitur melacak kendaraan dinas dan pegawai yang memakainya.
Maka developer aplikasi tidak perlu repot mengimport data aset dan
kepegawaian secara manual dan tidak perlu khawatir data yang dimiliki tidak
valid karena misalnya, terjadi barang hilang/TGR atau mutasi pegawai.
Selanjutnya aplikasi yang sedang dibangun tersebut bisa berfokus pada fitur
menyimpan informasi yang menghubungkan antara aset milik daerah
(kendaraan dinas) dan pegawai.
Gambar 4.5 : Usulan Arsitektur Microservice Aplikasi Kabupaten Indramayu
2) Aspek keamanan aplikasi

Agar aplikasi memiliki keamanan yang baik maka SMKI Indramayu harus
memastikan setiap aplikasi yang dibangun dan sudah digunakan memenuhi
aspek dan prosedur dibawah ini :
No Aspek Prosedur
1 Autentikasi a. Menggunakan manajemen kata sandi untuk
proses autentikasi;
b. Menerapkan verifikasi kata sandi pada sisi server;
c. Mengatur jumlah karakter, kombinasi jenis
karakter, dan masa berlaku dari kata sandi
d. Mengatur jumlah maksimum kesalahan dalam
pemasukan kata sandi;
e. Mengatur mekanisme pemulihan kata sandi;
f. Menjaga kerahasiaan kata sandi yang disimpan
melalui mekanisme kriptografi;
g. Menggunakan jalur komunikasi yang diamankan
untuk proses autentikasi.
2 Manajemen a. menggunakan pengendali sesi untuk proses

sesi manajemen sesi;
b. menggunakan pengendali sesi yang disediakan
oleh kerangka kerja aplikasi;
c. mengatur pembuatan dan keacakan token sesi
yang dihasilkan oleh pengendali sesi;
d. mengatur kondisi dan jangka waktu habis sesi;
e. validasi dan pencantuman session id;
f. pelindungan terhadap lokasi dan pengiriman
token untuk sesi terautentikasi; dan
g. pelindungan terhadap duplikasi dan mekanisme
persetujuan pengguna.
3 Persyaratan a. menetapkan otorisasi pengguna untuk membatasi
kontrol akses kontrol akses;
b. mengatur peringatan terhadap bahaya serangan
otomatis apabila terjadi akses yang bersamaan
atau akses yang terus-menerus pada fungsi;
c. mengatur antarmuka pada sisi administrator;
d. mengatur verifikasi kebenaran token ketika
mengakses data dan informasi yang dikecualikan.
4 Validasi input a. menerapkan fungsi validasi input pada sisi server;
b. menerapkan mekanisme penolakan input jika
terjadi kesalahan validasi;
c. memastikan runtime environment aplikasi tidak
rentan terhadap serangan validasi input;
d. melakukan validasi positif pada seluruh input;
e. melakukan filter terhadap data yang tidak
dipercaya;
f. menggunakan fitur kode dinamis;
g. melakukan pelindungan terhadap akses yang
mengandung konten skrip; dan
h. melakukan pelindungan dari serangan injeksi basis
data.
Aspek dan prosedur SMKI Indramayu untuk keamanan aplikasi diatas
perlu untuk dijelaskan lagi secara detail untuk mengetahui standar yang harus
diikuti dan sebagai dasar checklist pemenuhan prosedur dan bisa digunakan
sebagai Quality Check keamanan informasi aplikasi yang kami sebut sebagai
Scenario Test. Dibawah ini kami buatkan satu contoh Scenario Test dalam
pemenuhan aspek autentifikasi pada aplikasi SPBE di Kabupaten Indramayu.
No Aspek Prosedur Scenario Test
1 Autentikasi Menggunakan manajemen  Login dengan Username dan
kata sandi untuk proses Password yang benar
autentikasi;  Login dengan Username dan
Password yang salah
Menerapkan verifikasi kata Autentifikasi di server side dengan
sandi pada sisi server; melihat request dan response
ketika melakukan autentifikasi agar
mengentahui dimana autentifikasi
dijalankan apakah di client side
atau di server side
Mengatur jumlah karakter,  Mencoba membuat password
kombinasi jenis karakter, dengan aturan yang sudah
dan masa berlaku dari kata ditentukan, misalkan jumlah
sandi karakter harus berupa angka,
alfabet UpperCase, alfabet
LowerCase, karakter special
dan minimal panjang karakter
8 angka.
 Melakukan pengecekan pada
fungsi masa berlaku sandi
dalam periode tertentu, agar
diperbaharui oleh pengguna
dengan menambahkan field
updated at sebagai data acuan
password expiration date
Mengatur jumlah Melakukan pengecekan berupa
maksimum kesalahan mencoba login dengan username
dalam pemasukan kata atau password yang salah dan
sandi; melihat apakah user akan di block
atau harus memperbaharui
password dengan fitur “lupa
password”
Mengatur mekanisme  Melakukan test apakah link
pemulihan kata sandi; reset password berhasil
dikirimkan ke email user
 Mencoba fitur update
password
 Login dengan password yang
baru
Menjaga kerahasiaan kata Melihat isi field pada tabel di
sandi yang disimpan melalui dalam basis data yang menyimpan
mekanisme kriptografi; kata sandi, apakah berupa plain
text sesuai inputan user pada saat
membuat kata sandi atau sudah
dilakukan kriptografi seperti
umumnya menggunakan md5
C.2 SMKI Infrastruktur Jaringan
1) Manajemen Firewall
Agar data dan informasi Pemerintah Kabupaten Indramayu terlindungi,
maka aspek keamanan dan prosedur yang sudah dijelaskan di dalam tabel daftar
kebutuhan keamanan data dan informasi untuk pengamanan di lingkup
Keamanan Jaringan Intra Pemerintah. Agar aspek dan prosedur tersebut
terpenuhi maka kami menyarankan penggunaan alat bantu cyber security yang
sudah beredar dipasaran, dalam hal ini kami akan menggunakan Sophos sebagai
contoh sebagai One Stop Solution pengamanan infrastruktur jaringan. Sophos
dapat dimanage oleh Dinas Komunikasi dan Informatika Kabupaten Indramayu
dan berfungsi untuk seluruh jaringan SIDT yang tersebar di kecamatan dan SKPD.
Dibawah ini adalah contoh usulan topologi jaringan yang diamankan
menggunakan firewall Sophos di Diskominfo Indramayu sebagai kantor pusat
dan SIDT BKPSDM sebagai kantor cabang.
Gambar 4.5 : Usulan topologi jaringan dengan firewall Sophos SMKI Indramayu
Gambar diatas berisi konfigurasi Sophos Firewall untuk mengizinkan

pengguna di SIDT mengautentikasi dengan Server Direktori Aktif (AD)
Diskominfo. Dalam contoh ini, Sophos Firewall terhubung ke Sophos Firewall
lainnya. Lalu lintas yang dihasilkan oleh firewall Kantor Cabang (SIDT BKPSDM)
diarahkan ke server di 172.16.1.15 di jaringan Kantor Pusat (Diskominfo).
2) Data Center
Data center yang handal diperlukan untuk mendukung penerapan SMKI.
Dinas Komunikasi dan Informatika yang nantinya akan menjadi pusat leading
sektor pengelolaan teknologi informasi , selayaknya perlu dibangun data center
yang handal untuk menampung semua server dari semua dinas dan lembaga
yang ada di Pemda Kabupaten Indramayu.
Dengan data center terpusat yang terpusat mempunyai keuntungan :

 Dinas-dinas atau lembaga pemerintahan dapat lebih fokus pada tugas
utamanya dan meminimalkan kompleksitas IT
 Dinas tidak lagi dipusingkan dengan masalah server crash, pemutakhiran
teknologi ataupun hardware, cabling, connection, dan proses
pemeliharaannya.
Topologi Datacenter sesuai TIA-942 (Telecommunication Industry
Association) adalah sebagai berikut :
Gambar 4.6 : Topologi Data Center TIA-942

SMKI

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

SMKI

Diunggah oleh

Hak Cipta:

Format Tersedia

LAPORAN PENDAHULUAN

PENYUSUNAN MASTER PLAN

Strategi keamanan informasi menentukan arah semua kegiatan keamanan informasi.

1. Menginventarisasi pola keamanan dari aspek komunikasi jaringan , perangkat

keras, dan perangkat lunak perangkat daerah Pemerintah

komputerisasi dengan mudah

3. Mengefesiensikan pengelolaan persandian lewat jaringan internet terpadu

4. Memberikan hasil yang maksimal untuk keamanan informasi dan komunikasi

1) Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi (Lembaran Negara

Indonesia Nomor 3881);

2) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik

Republik Indonesia Nomor 4843);

3) Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik

Negara Republik Indonesia Nomor 4846);

4) Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik Lembaran Negara

Indonesia Nomor 5038);

Undang-Undang Nomor 15 Tahun 2019 tentang Perubahan atas Undang-Undang Nomor 12

Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan (Lembaran Negara

Indonesia Nomor 6398);

7) Undang-Undang Nomor 23 Tahun 2014 tentang Pemerinatahan Daerah (Lembaran

Republik Indonesia Nomor 5587), sebagaimana telah diubah dengan Peraturan

Pemerintah Pengganti Undang-Undang Nomor 2 Tahun 2014 tentang Perubahan Atas

Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah (Lembaran Negara

Indonesia Nomor 5589);

Negara Republik Indonesia Nomor 3980);

9) Peraturan Pemerintah Nomor 61 Tahun 2010 tentang Pelaksanaan Keterbukaan Informasi

Lembaran Negara Republik Indonesia Nomor 5149);

10)Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan

Tambahan Lembaran Negara Republik Indonesia Nomor 5348);

11)Peraturan Presiden Nomor 87 Tahun 2014 tentang Peraturan Pelaksanaan Undang-Undang

Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan (Lembaran

Negara Republik Indonesia Tahun 2014 Nomor 199);

12)Instruksi Presiden Nomor 6 Tahun 2001 tentang Pengembangan dan Pendayagunaan

Pengembangan e-Government; Peraturan Menteri Dalam Negeri Nomor 35 Tahun 2010

tentang Pedoman dan Pelayanan Informasi dan Dokumentasi di Lingkungan

Tahun 2010 Nomor 245);

14)Peraturan Menteri Pendayagunaan Aparatur Negara Nomor 6 Tahun 2011 tentang

Pedoman Umum Tata Naskah Dinas Elektronik di Lingkungan Instansi Pemerintah;

Persandian Untuk Pengamanan Informasi di Pemerintah Daerah

Pada prinsipinya metodologi penyusunan dokumen Rencana Induk SMKI

Tahap analisis ini dimaksudkan untuk memperoleh informasi yang memadai

b. Analisis terhadap kondisi ideal (Future State).

Langkah ini dimaksudkan untuk menyusun kondisi atau konsep ideal

1) Pendekatan deskriptif digunakan untuk menggambarkan hasil analisis

kebijakan dan data yang diperoleh dari berbagai OPD di lingkungan

Pemerintah Kabupaten Indramayu

2) Pendekatan Kelembagaan/Organisasi digunakan untuk melakukan

analisis terhadap struktur organisasi Pemerintah Kabupaten Indramayu

serta rencana pengembangannya.

3) Pendekatan Perencanaan dilakukan untuk menganalisis kebutuhan sarana

dan prasarana, berbagai aspek ketersediaan sumber daya manusia serta

ketersediaan biaya dalam kaitan pengembangan SMKI di Kabupaten

4) Pendekatan Teknis digunakan untuk analisis spesifikasi teknis perangkat

keras/lunak, infrasturktur jaringan komunikasi serta kebutuhan

kualifikasi sumber daya manusia bagi Kabupaten Indramayu.

5) Pendekatan Komprehensif dan Integratif digunakan untuk

mempertimbangkan segala aspek yang terkait secara terpadu terutama

dalam hal perencanaan, pelaksanaan, pengembangan serta pengendalian

pembangunan SMKI di Kabupaten Indramayu.

Ruang lingkup Rencana Induk SMKI Pemerintah Kabupaten Indramayu ini

mencakup beberapa hal sebagai berikut:

a) Pendefinisian arah strategis dan kerangka kebijakan penerapan SMKI di

b) Mengembangkan arah strategis SMKI yang menjelaskan kontribusinya

terhadap pencapaian visi dan misi Pemerintahan Kabupaten Indramayu.