Pengaturan Audit Keamanan SPBE

Permenkominfo 16 Perpres 95 tahun 2018 Perban 4 tahun 2021 Permenpan 59 tahun 2020
tahun 2022

(R)Perban Standar dan Tata Cara Pelaksanaan Audit

Keamanan SPBE
 Tingkat Kematangan Pelaksanaan
Audit Keamanan SPBE
Apakah Instansi melaksanakan Audit Keamanan SPBE?
Secara Umum Indikator 31
Penjelasan Indikator 31
Penjelasan Indikator 31
Contoh Saran Tindak Lanjut Penerapan
Audit Keamanan
 Arsitektur
Manajemen KAK - RAB Kontrak
Clearance

Implementasi
Standar Teknis Perencanaan PSE Disain Sistem
Coding
Rekomendasi

Uji Coba
Audit Keamanan

Pengembangan
SDLC
LATIK

PSE
Audit Aplikasi / Infra

Integrasi
Uji Kelaikan
Pemantauan

ITSA
Insiden Pemeliharaan
Audit Internal
Pemulihan PSE Operasional
Perbaikan Penanggulangan
Monday, March 13, 2023 Sosialisasi Kebijakan Nasional terkait Audit Keamanan SPBE 8
 Peraturan BSSN no 4 tahun 2021
Peraturan BSSN tentang Pedoman Manajemen Keamanan SPBE dan Standar Tehnis dan Prosedur Keamanan SPBE

Standar Teknis dan Prosedur Keamanan

MANAJEMEN
KEAMANAN

• Penetapan Ruang Lingkup

• Penanggung Jawab
01 02 03 04 05
• Perencanaan
Data & Info Aplikasi PDN JIP SPL
• Dukungan Pengoperasian
• Penerapan Eknripsi • Aplikasi berbasis Mengacu pada SNI / • Administrasi • Interoperabilitas
• Pemanfaatan Web ISO 8799 Jaringan • Sistem
• Evaluasi Keamanan Seritifikat Elektronik • Aplikasi Berbasis • Kontrol Akses dan Terintegrasi
• Pemulihan & Desktop Autentikasi • Perangkat
Pencadangan • Aplikasi berbasis • Kontrol Integrator
• Perbaikan berkelanjutan Mobile Keamanan • API & Web
Service
 Penyamaan persepsi melalui definisi
1 Audit
TIK
Proses yang sistematis untuk
memperoleh dan mengevaluasi
bukti secara objektif terhadap
aset teknologi informasi dan
komunikasi dengan tujuan untuk
menetapkan tingkat kesesuaian
antara teknologi informasi dan
komunikasi dengan kriteria
dan/atau standar yang telah
ditetapkan
Monday, March 13, 2023
2 Audit
Keamanan
SPBE
3 Cakupan
Audit
Audit Teknologi Informasi dan a. Penerapan tata kelola dan
Komunikasi cakupan keamanan manajemen teknologi
SPBE informasi dan komunikasi;
b. Fungsionalitas teknologi
Pertimbangan informasi dan komunikasi;
Profesional c. Kinerja teknologi informasi
Penerapan dari pengetahuan, dan komunikasi yang
kolektif, keterampilan, etika, dihasilkan; dan
dan pengalaman Auditor pada
proses audit
Sosialisasi Kebijakan Nasional terkait Audit Keamanan SPBE 10
 Pembagian Tugas
Cakupan Auditan Waktu Lembaga Auditor Pedoman Kriteria
Audit
Aplikasi Umum 1 tahun BPPT Auditor Teknologi Standar & Tata Cara SNI, ISO, lainnya
sekali BPPT Audit dari BPPT
Aplikasi SPBE
Aplikasi Khusus 2 tahun LATIK Auditor Teknologi Standar & Tata Cara SNI, ISO, lainnya
sekali BPPT Audit dari BPPT
Infrastruktur SPBE 1 tahun BPPT Auditor Teknologi Standar & Tata Cara SNI, ISO, lainnya
Infrastruktur Nasional sekali BPPT Audit dari BPPT
SPBE Infrastruktur SPBE IPPD 2 tahun LATIK Auditor Teknologi Standar & Tata Cara SNI, ISO, lainnya
sekali BPPT Audit dari BPPT
Keamanan Infrastruktur 1 tahun BSSN Auditor Keamanan Standar & Tata Cara SNI, ISO, lainnya
SPBE Nasional sekali Informasi BSSN Audit dari BSSN
Keamanan Infrastruktur 2 tahun LATIK Auditor Keamanan Standar & Tata Cara SNI, ISO, lainnya
Keamanan SPBE IPPD sekali (LAKI) Informasi BSSN Audit dari BSSN
SPBE Keamanan Aplikasi 1 tahun BSSN Auditor Keamanan Standar & Tata Cara SNI, ISO, lainnya
Umum sekali Informasi BSSN Audit dari BSSN
Keamanan Aplikasi 2 tahun LATIK Auditor Keamanan Standar & Tata Cara SNI, ISO, lainnya
Khusus sekali (LAKI) Informasi BSSN Audit dari BSSN
Monday, 13 March 2023 Sosialisasi Kebijakan Nasional terkait Audit Keamanan SPBE 11
PENGATURAN

RPeraturan 1. Pelaksana
Kepala BSSN
tentang Standar 2. Ruang Lingkup
dan Tata cara 3. Standar Audit Keamanan SPBE
Pelaksanaan 4. Tata Cara Audit Keamanan SPBE
Audit
Keamanan 5. Sumber Daya Audit Keamanan SPBE
SPBE
Tata Kelola Keamanan
Umumnya lebih mengarah pada kebijakan-
kebijakan pimpinan yang tertuang.
Meliputi
Sistem Manajemen Keamanan
Audit Keamanan Sistem
Cakupan pengujian atas control keamanan dalam Pemerintahan Berbasis Elektronik
Manajemen Keamanan.
sebagaimana dimaksud, meliputi:

Pengendalian Keamanan
Hal-hal yang dilakukan untuk melakukan
pengujian terhadap kontrol keamanan

Fungsionalitas dan Kinerja

Cakupan pada seluruh proses
Lebih lanjut tentang

Tata Kelola Sistem Manajemen Fungsionalitas dan kinerja

harus mencakup harus mencakup pengujian mencakup kepada pengujian

pengujian atas kontrol atas kontrol keamanan atas kontrol keamanan dalam:
keamanan dalam: dalam: 1. perencanaan;
1. pengevaluasian; 1. perencanaan; 2. pengembangan;
2. pengarahan; 2. pengembangan; 3. pengoperasian; dan
3. pemantauan; dan 3. pelaksanaan; 4. pemantauan
4. komunikasi 4. evaluasi; dan
5. peningkatan
Terdiri atas pengujian terhadap kontrol
keamanan

1. Kebijakan keamanan;
Pengendalian
2. Organisasi keamanan;
3. Keamanan personel;
Keamanan
4. Keamanan aset;
5. Keamanan akses;
dipilih berdasarkan analisis
6. Keamanan kriptografi; risiko keamanan
7. Keamanan fisik dan lingkungan;
8. Keamanan operasional;
9. Keamanan komunikasi;
10. Keamanan pengembangan dan pemeliharaan;
11. Keamanan rekanan;
12. Insiden keamanan;
13. Keamanan kontinuitas; dan/atau
14. Kepatuhan keamanan
 B A DA N S I B E R DA N S A N D I N E G A R A
REPUBLIK INDONESIA

S TA N DA R

KRITERIA KESIMPULAN
- pe do man Audit Ke amanan S PB E dar i memadai
BSSN*

- Standar Nasional Indonesia p e r l u p e n i n g kata n

- p e rat u ra n d a r i Ke m e nte r i a n / L e m b a ga
tidak memadai

* Pe d o m a n a u d i t te rs e b u t d i teta p ka n d a l a m
Ke p u t u s a n Ke p a l a B a d a n
 B A DA N S I B E R DA N S A N D I N E G A R A
REPUBLIK INDONESIA
KRITERIA

OPERASIONAL PEMANTAUAN
evaluasi desain dan im plem entasi pengendalian Keam anan evaluasi desain dan implementasi
O p e ra s io n a l P D N : p e n ge n d a l i a n Ke a m a n a n Pe m a nta u a n P D N :
ü p e n g u n j u n g ya n g a ka n m e m a s u k i a re a p u s a t d a ta d i ke n d a l i ka n
dengan mendapatkan ijin masuk ü pemantauan terhadap akses personil dan
ü menggunakan sistem pengendali akses berupa kartu akses pengunjung pusat data
elektronik, biometrik ü p e m a n t a u a n t e r h a d a p a k s e s m a s u k d a n ke l u a r
ü p e nya m b u n ga n i n t e r ko n e k s i t e l e ko m u n i ka s i d i s e t u j u i o l e h p i h a k b a ra n g p a d a p u s at d ata
p e nye d i a j a s a t e l e ko m u n i ka s i d a n p e n ga w a s p e nye d i a l aya n a n ü p e m a n t a u a n t e r h a d a p ko n d i s i l i n g k u n ga n p u s a t
pusat data data telah dilakukan m encakup suhu ruangan pusat
ü ke a m a n a n a k s e s f i s i k m e n u j u p e r i m e te r d a n r u a n g p e ra l a ta n d a t a , k e l e m b a b a n r u a n g a n , k e b o c o r a n a i r, s i s t e m
pa da pus at data s e s ua i de nga n pe rsya rata n pus at data s e s ua i p e m a n t a u a n ke b a ka ra n d a r i s e n s o r p a n a s d a n
dengan Standar Nasional tentang pusat data
s e n s o r a s a p , ke t e rs e d i a a n p a s o ka n l i s t r i k d a n
ü m o b i l i s a s i p e ra n g ka t p a d a p u s a t d a ta d i ke n d a l i ka n d e n ga n s u ra t
i j i n m a s u k / ke l u a r b a ra n g , d i l a ku ka n m e l a l u i a re a b o n g ka r m u a t peng gunaan daya listrik
dan melalui pemeriksaan fisik atas penerimaan dan pengiriman
ba ra ng di pus at data
 KESIMPULAN

Kesimpulan Audit a. hasil evaluasi desain kontrol keamanan SPBE

Keamanan SPBE dibandingkan dengan standar yang digunakan
sebagai kriteria audit;
sebagaimana dimaksud
b. hasil evaluasi implementasi kontrol keamanan
didapatkan dengan SPBE dibandingkan dengan desain kontrol
memperhatikan keamanan SPBE; dan
c. hasil evaluasi efektivitas kontrol keamanan
SPBE dibandingkan dengan tujuan kontrol
keamanan SPBE.
 Hasil Evaluasi Hasil Evaluasi Hasil Pengujian Terinci Kesimpulan Audit
Desain Implementasi Efektivitas Keamanan SPBE
Pengendalian Pengendalian Pengendalian
Memadai Sesuai Dengan Efektif Memadai
Desain Pengendalian Perlu Peningkatan Memadai
MATRIKS Belum Efektif Perlu Peningkatan
Tidak Sesuai Dengan Efektif Perlu Peningkatan
KESIMPULAN Desain Pengendalian Perlu Peningkatan Tidak Memadai
Belum Efektif Tidak Memadai
AUDIT Perlu Sesuai Dengan Efektif Memadai
KEAMANAN Peningkatan Desain Pengendalian Perlu Peningkatan
Belum Efektif
Perlu Peningkatan
Tidak Memadai
SPBE Tidak Sesuai Dengan Efektif Tidak Memadai
Desain Pengendalian Perlu Peningkatan Tidak Memadai
Belum Efektif Tidak Memadai
Tidak Memadai - Efektif Tidak Memadai
Perlu Peningkatan Tidak Memadai
Belum Efektif Tidak Memadai
Pemetaan
waktu
Audit

Monday, March 13, 2023 Sosialisasi Kebijakan Nasional terkait Audit Keamanan SPBE 20
 Pemetaan
profil Auditee

Monday, 13 March 2023 Sosialisasi Kebijakan Nasional terkait Audit Keamanan SPBE 21
 B A DA N S I B E R DA N S A N D I N E G A R A
REPUBLIK INDONESIA

PERMINTAAN PENUGASAN PERENCANAAN PELAKSANAAN

• Hanya untuk audit yang • Dilakukan menerbitkan • menyusun • prosedur pemahaman pengendalian
dilaksanakan LAKI bidang SPBE Surat Tugas Audit Perencanaan Audit • prosedur evaluasi desain pengendalian
yang terakreditasi Keamanan SPBE Keamanan SPBE • prosedur pengujian implementasi
• Dilakukan dengan mengirimkan pengendalian
Surat Permintaan Audit • prosedur pengujian terinci efektivitas
Keamanan SPBE pengendalian

TATA CARA
PELAKSANAAN TINDAK LANJUT PELAPORAN SUPERVISI
• Dilakukan oleh Auditor • dilakukan dengan • supervisi aspek mutu
AUDIT KEAMANAN Keamanan SPBE berikutnya
atau Instansi Pusat dan
menyusun Laporan
Audit Keamanan
• supervisi aspek teknis

SPBE
Pemerintah Daerah SPBE
“Kechilafan Satu Orang Sahaja Tjukup
Sudah Menjebabkan Keruntuhan Negara”

Mayjen TNI Dr. Roebiono Kertopati

(1914 - 1984)
Bapak Persandian Republik Indonesia

BADAN SIBER DAN SANDI NEGARA REPUBLIK INDONESIA

Jalan Raya Muchtar 70, Duren Mekar, Bojong Sari, Depok, 16518
Tel: +6221 77973360. Pos-el: humas@bssn.go.id