Ditandatangani secara elektronik oleh :

Analis Keamanan Siber,

Julysa Tri Wulandari, S.ST

19860716 200604 2 005

PERENCANAAN STRATEGIS KEAMANAN INFORMASI SPBE

Jakarta, 29 Maret 2019
 Disclaimer
DASAR
1. Undang-undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik;
1. Materi ini bersifat terbatas karena di dalamnya terdapat materi
2. Peraturan Presiden Nomor 53 Tahun 2017 tentang Badan Siber dan
yang berklasifikasi TERBATAS untuk publik;
Sandi Negara;
3. Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan
Berbasis Elektronik;
4. Peraturan BSSN Nomor 2 Tahun 2018 tentang Organisasi Dan Tata
Kerja Badan Siber Dan Sandi Negara.

BADAN SIBER DAN SANDI NEGARA

 Keamanan Siber Indonesia
Disclaimer
“ MEMBANGUN DAN MENJAGA KEAMANAN Guna mewujudkan salah satu Misi
SIBER NASIONAL DENGAN MENSINERGIKAN SPBE dalam melakukan penguatan
1. Materi ini bersifat terbatas
BERBAGAI PEMANGKU KEPENTINGAN UNTUK
karena di dalamnya terdapat materi
tata kelola SPBE khususnya
yangMEWUJUDKAN
IKUT SERTA berklasifikasi TERBATAS untuk publik;Keamanan Informasi SPBE
KEAMANAN
NASIONAL DAN MENINGKATKAN PERTUMBUHAN
EKONOMI NASIONAL”

Tujuan strategis Strategi Keamanan Siber Indonesia adalah

tercapainya ketahanan siber, keamanan layanan publik, penegakan hukum siber,
budaya keamanan siber dan keamanan siber pada ekonomi digital

BADAN SIBER DAN SANDI NEGARA

 Tugas dan Peran BSSN dalam SPBE
Output : Pedoman Keamanan SPBE (tahun 2019)
NO
1
Disclaimer DESKRIPSI
Menyusun Kebijakan Peta Rencana SPBE Nasional bid. Keamanan Tahun 2018
Progress Report

SPBE (ps 14 ayat 1 f) Telah disusun Rencana Induk Keamanan Informasi Pemerintah Berbasis
Ektronik dan telah di Uji Publikkan. Saat ini sedang dilakukan perbaikan dan
1. Materi ini bersifat terbatas karena di dalamnya terdapat materi
rencananya akan dituangkan dalam Peraturan BSSN yang memuat Visi, Misi
Tujuan dan Sasaran SPBE Bidang Keamanan Informasi.
yang berklasifikasi TERBATAS untuk publik;
Pelaksanaan Uji Coba Audit Keamanan Informasi pada 8 Instansi Pusat dan 4
Pemda (sebagai bentuk proses peralihan)
2 Menyusun Kebijakan Domain arsitektur SPBE Nasional bid. Keamanan Tahun 2019
SPBE (ps. 9 ayat 3 d) Telah menjadi Rencana Kerja Prioritas BSSN dimana akan dilaksanakan
3 Menyusun Kebijakan dan melaksanakan keamanan data, aplikasi dan penyusunan kebijakan meso bidang keamanan SPBE sesuai dengan amanat
informasi SPBE (ps. 40) Perpres 95 Tahun 2018

4 Menyusun Kebijakan dan melaksanakan keamanan Pusat data (ps. 30

ayat 2 – d; ps. 40)
5 Menyusun Kebijakan dan melaksanakan keamanan jaringan intra
pemerintah (ps. 31 ayat 1; ps 32 ayat 1, 3c; ps. 40)
6 Menyusun Kebijakan dan melaksanakan keamanan sistem
penghubung layanan pemerintah (ps. 33 ayat 3 d; ps. 40)
7 Menyusun Kebijakan manajemen keamanan informasi dan Audit
Keamanan SPBE (ps.48, ps. 58)
BADAN SIBER DAN SANDI NEGARA
 Tugas dan Peran BSSN dalam SPBE
Output : Pedoman Keamanan SPBE (tahun 2019)

NO Disclaimer DESKRIPSI Progress Report

8 Melaksanakan Audit Keamanan SPBE minimal 1 tahun 1x (ps.58) Tahun 2020
Akan dilaksanakan Uji Petik Penerapan dari Pedoman Keamanan SPBE

1. Materi ini bersifat terbatas karena dimenjadi

Akan dalamnya terdapat
Rencana Kerja materi
Prioritas BSSN dalam penyusunan pedoman
yang berklasifikasi TERBATAS untuk publik;
metode audit keamanan informasi dengan pelibatan pihak eksternal
(swasta)

BSSN Siap dalam memberikan Layanan

Security Assessment, Proteksi dan Insiden
Respon Keamanan SPBE
BSSN Siap mendukung Percepatan SPBE

BADAN SIBER DAN SANDI NEGARA

Perancanaan Strategis Keamanan Infromasi SPBE
Disclaimer
GOALS
1. Materi ini bersifat terbatas karena di dalamnya terdapat materi
yangTata
Struktur berklasifikasi TERBATASStandar
Enterprise untuk publik;Manajemen
Kelola Security Pengujian Insiden Keamanan
Keamanan Architecture Keamanan Keamanan Informasi SPBE
Informasi SPBE SPBE Sistem Aplikasi Infromasi SPBE

BADAN SIBER DAN SANDI NEGARA

Guna meminimalisir terjadinya risiko yang terkait dengan penggunaan TI dan untuk melindungi kepentingan Organisasi dan Pengguna, maka
Organisasi perlu menerapkan tata kelola TI (Information Technology Governance)
Disclaimer Mengontrol 3 (tiga) Area

Komitmen
1. Materi ini bersifat terbatas Manajemen
karena di dalamnya Puncak terdapat materi
yang berklasifikasiBentuk
TERBATAS untuk publik;
Komitmen manajemen puncak adalah pengawasan aktif terhadap manajemen TI

Struktur Tata Kelola Model Tren Organisasi TI

Keamanan Informasi Menitik beratkan kepada siklus proses dan segregation of duty yang jelas dari fungsi
perencanaan, pengembangan, operasional, serta monitoring dan evaluasi
SPBE
Organisasi Keamanan Informasi
Menggambarkan Batasan kewenangan, tugas dan hirarki jenis organisasi

BADAN SIBER DAN SANDI NEGARA

Guna mengidentifikasi, menganalisis kemampuan, kelemahan, peluang dan ancaman serta menggambarkan hubungan antara proses bisnis,
aplikasi, dan infrastruktur keamanan SPBE
Disclaimer Mengontrol 2 (dua) Area

Arsitektur Keamanan SPBE Secara Umum

1. Materi ini bersifat terbatas karena di dalamnya terdapat materi
yang berklasifikasi Secara
TERBATAS
umum yanguntuk publik; SABSA dan dihubungkan dengan proses
diadopsi menggunakan
Manajemen Layanan Teknologi Informasi dan Cetak Biru Teknologi Informasi
Enterprise Security
Architecture SPBE Arsitektur dan Desain Infrastruktur Untuk
Keamanan Aplikasi Berbasis Web Serta
Perangkat Bergerak

Persyaratan minimal topologi infrastruktur SPBE, Konfigurasi minimal komponen core

network, Persyaratan minimal desain aplikasi berbasis Web atau perangkat bergerak,
Peta kerentanan dan mitigasinya

BADAN SIBER DAN SANDI NEGARA

Disclaimer
1. Materi ini bersifat terbatas karena di dalamnya terdapat materi
yang berklasifikasi TERBATAS untuk publik;

BADAN SIBER DAN SANDI NEGARA

Kerangka Kerja Strategi Keamanan Informasi SPBE
Disclaimer
ISO 27001, NSA
IAM & NIST SP
1. COBIT
Materi
5
ini bersifat terbatas karena
800
MANAJEMEN
VISI di dalamnya terdapat materi
yangTI berklasifikasi TERBATAS
TATA KELOLA KEAMANAN
INFORMASI TOGAF
untuk publik;
STRATEGI
ISO 31000 KEAMANAN
MANAJEMEN OWASP SABSA INFORMASI
RESIKO
TEKNIS SPBE
KEAMANAN MISI
WEB & MOBILE
APLIKASI

PERATURAN LOKAL
GOOD PRACTICE
BEST PRACTICE

BADAN SIBER DAN SANDI NEGARA

Metodologi Manajemen Risiko Teknologi Informasi
Disclaimer
TUJUAN
1. Materi ini bersifat terbatas karena di dalamnya terdapat materi
Menjamin agar risiko
yang berklasifikasi TERBATAS untuk publik; terkait dengan
penyelenggaraan dan
penggunaan TI
diidentifikasi, diukur,
dianalisis diminimalisasi
serta dikelola sehingga
risikonya berada pada
tingkat yang dapat
diterima

BADAN SIBER DAN SANDI NEGARA

 Standar Pengujian Keamanan Sistem Aplikasi
Disclaimer
Pengukuran hasil pengujian kerentanan terhadap aspek keamanan informasi dengan menggunakan Common Vulnerability
Scoring System (CVSS) versi 3.0. Hasil skor tersebut bernilai numerik yang dapat diterjemahkan ke dalam representasi
kualitatif (seperti low, medium, high dan critical) untuk membantu organisasi menilai dan memprioritaskan proses
1. Materi
pengelolaan kerentananini bersifat
secara terbatas
tepat. Ketika karena
terdapat hasil dengandikategori
dalamnya
“Tinggi”, terdapat materiaplikasi tersebut
maka secara otomatis
yang
dinyatakan tidak lulusberklasifikasi
pengujian TERBATAS untuk publik;

BADAN SIBER DAN SANDI NEGARA

 Mengontrol 4 (empat) Area
Security Operation Center dari Sisi

Disclaimer
Manusia
Peta pengembangan minimal kompetensi teknis terkait analis keamanan, insiden
responder, Subject Matter Expert (SME)
Security Operation Center dari Sisi
1. Materi ini bersifat terbatas
Proses karena di dalamnya terdapat materi
yang berklasifikasi
Manajemen Insiden TERBATAS
Menerapkan NISTuntuk
SP800-61 publik;
Rev 2 (Computer Security incident Handling Guide) sebagai
acuan
Keamanan Informasi Security Operation Center dari Sisi
Teknologi
SPBE
Menggabungkan antara data yang dikumpulkan dari proses pemantauan endpoints
(Server, Workstation dan Mobile Devices) serta jaringan komunikasi dan log serta
sumber dari event di sistem Organisasi

Fase Pengembangan Security Operation Center

Menitik beratkan perihal fase dan tahapan, serta untuk membangun sebuah layanan
Security Operation Center

BADAN SIBER DAN SANDI NEGARA

Langkah Penyelenggaraan Keamanan Informasi SPBE
Disclaimer
1. Materi ini bersifat terbatas karena di dalamnya terdapat materi
yang berklasifikasi TERBATAS untuk publik;

BADAN SIBER DAN SANDI NEGARA

 AUDIT KEAMANAN INFORMASI

BSSN sesuai dengan mandat yang diembannya, sedang

melaksanakan perancangan konsep audit keamanan
informasi di sektor PEMERINTAH, INFRASTRUKTUR
INFORMASI KRITIS NASIONAL, dan EKONOMI DIGITAL.

BADAN SIBER DAN SANDI NEGARA T E R B ATA S https://bssn.go.id

Profesional Integritas adapTAbilitas teknologi tepeRcaya

 Landasan Filosofis Audit Keamanan Informasi
 Untuk melindungi segenap bangsa Indonesia dan tumpah darah Indonesia, negara
perlu hadir mengemban amanah tersebut. Perlindungan diberikan pada seluruh
area kehidupan termasuk area siber.
 Pada era siber saat ini Indonesia butuh mengamankan aset informasi yang
dimilikinya dari ancaman dan serangan siber.
 Aset penting organisasi diamankan melalui penerapan standar keamanan Informasi
yang dikeluarkan oleh institusi yang memiliki kapasitas dan kompetensi di bidang
keamanan informasi.
 Untuk memastikan standar keamanan itu diterapkan, maka dibutuhkan audit
keamanan Informasi.
 Instansi Pemerintah baik di dalam negeri maupun luar negeri merupakan salah satu
entitas yang perlu mendapatkan perlindungan dan keyakinan dari pihak yang
berwenang bahwa penyelenggaraan keamanan informasinya telah dilaksanakan
sesuai standar.

BADAN SIBER DAN SANDI NEGARA T E R B ATA S https://bssn.go.id

Profesional Integritas adapTAbilitas teknologi tepeRcaya

 Landasan Sosiologis Audit Keamanan Informasi
 Penerapan TIK ini juga menimbulkan risiko-risiko yang semakin beragam dan kompleks, berisiko terhadap
kepentingan nasional, pertahanan dan keamanan, serta kepentingan publik secara umum.
 Semakin banyak aset penting yang dimiliki, maka semakin dibutuhkan keamanan informasi. Semakin banyak
informasi yang rahasia organisasi maka semakin dibutuhkan perlindungannya. Semakin sering transakasi
elektronik dilakukan maka semakin dibutuhkan ketersediaan, integritas, keaslian informasinya.
 Tingkat keamanan informasi ruang siber yang terpercaya dan handal menjadi tuntutan negara. Kepastian
hukum di ruang siber juga menjadi tuntutan masyarakat agar negara hadir dalam menegakan hukum (law
enforcement) karena semakin banyaknya kejahatan siber yang belum ditangani secara masif.
 Dibutuhkan ekosistem keamanan siber yang aman, nyaman dan bersahabat sehingga mampu menjaga
keamanan nasional dan pertumbuhan ekonomi.
 Oleh karena itu sebagai upaya untuk menjamin bidang keamanan siber yang merupakan salah satu bidang
pemerintahan yang diharapkan dapat meningkatkan pertumbuhan ekonomi nasional dan mewujudkan keamanan
nasional, dibutuhkan audit keamanan informasi untuk memastikan setiap organisasi menerapkan standar
keamanan informasi yang memadai, patuh terhadap regulasi di tingkat nasional

BADAN SIBER DAN SANDI NEGARA T E R B ATA S https://bssn.go.id

Profesional Integritas adapTAbilitas teknologi tepeRcaya

 Landasan Yuridis Audit Keamanan Informasi
a. UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;
b. UU No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik;
c. UU No. 39 Tahun 2008 tentang Kementerian Negara;
d. UU No. 23 Tahun 2014 tentang Pemerintahan Daerah;
e. PP No. 82 tentang Penyelenggaraan Sistem dan Transaksi Elektronik;
f. Perpres No. 53 Tahun 2017 tentang Badan Siber dan Sandi Negara sebagaimana telah diubah
dengan Perpres 133 Tahun 2017;
g. Keppres No. 103 Tahun 2001 tentang Kedudukan, Tugas, Fungsi, Kewenangan, Susunan
Organisasi, dan Tata Kerja Lembaga Pemerintah Non Kementerian sebagaimana telah
beberapa kali diubah, terakhir dengan Perpres Nomor 145 Tahun 2015 tentang Perubahan
Kedelapan atas Keppres Nomor 103 Tahun 2001 tentang Kedudukan, Tugas, Fungsi,
Kewenangan, Susunan Organisasi dan Tata Kerja Lembaga Pemerintah Non Departemen;
h. Perpres 95 Tahun 2018 tentang Sistem Pemerintahan Berbassis Elektronik;
i. Peraturan BSSN Nomor 2 Tahun 2018 tentang Organisasi dan Tata Kerja Badan Siber dan
Sandi Negara.

BADAN SIBER DAN SANDI NEGARA T E R B ATA S https://bssn.go.id

Profesional Integritas adapTAbilitas teknologi tepeRcaya

 Audit Keamanan Informasi Menurut Perpres 95/2018 - SPBE
AUDIT TEKNOLOGI INFORMASI DAN
KOMUNIKASI
a. audit Infrastruktur SPBE
b. audit Aplikasi SPBE; dan
c. audit Keamanan SPBE.
Infrastruktur : Pusat Data, Jaringan, dan
Sistem Penghubung Layanan
DILAKUKAN DENGAN MELAKUKAN
PEMERIKSAAN TEKNIS
a. penerapan tata kelola dan manajemen
teknologi informasi dan komunikasi;
b. fungsionalitas teknologi informasi dan
komunikasi;
c. kinerja teknologi informasi dan
komunikasi yang dihasilkan; dan
d. aspek teknologi informasi dan
komunikasi lainnya.
KEBIJAKAN UMUM AUDIT KEAMANAN
AUDIT TEKNOLOGI INFORMASI DAN SPBE
KOMUNIKASI
a. audit keamanan Infrastruktur SPBE
Ditetapkan oleh Kementerian Komunikasi dan Nasional;
Informatika b. audit keamanan Infrastruktur SPBE
Instansi Pusat dan Pemerintah Daerah;
PELAKSANA AUDIT TEKNOLOGI INFORMASI
c. audit keamanan Aplikasi Umum; dan
DAN KOMUNIKASI
d. audit keamanan Aplikasi Khusus
a. lembaga pelaksana Audit Teknologi
Informasi dan Komunikasi pemerintah; AUDIT KEAMANAN SPBE
dan (KONSEP PENERAPAN)
b. lembaga pelaksana Audit Teknologi
Informasi dan Komunikasi yang a. audit internal oleh auditor internal; dan
b. audit eksternal oleh auditor eksternal.
terakreditasi
AUDIT KEAMANAN SPBE
(KONSEP PENERAPAN)
a. audit sertifikasi;
b. audit kepatuhan; dan
c. audit investigatif (insiden).

BADAN SIBER DAN SANDI NEGARA T E R B ATA S https://bssn.go.id

Profesional Integritas adapTAbilitas teknologi tepeRcaya

“Kechilafan Satu Orang Sahaja Tjukup
Sudah Menjebabkan Keruntuhan Negara”

Mayjen TNI Dr. Roebiono Kertopati

(1914 - 1984)
Bapak Persandian Republik Indonesia

TERIMA KASIH