BADAN RISET DAN INOVASI NASIONAL

REPUBLIK INDONESIA

PEDOMAN MANAJEMEN KEAMANAN INFORMASI

SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK

Nomor Dokumen : B-1520/II.2/DI.02/5/2023

Versi : 2.00
Tanggal Ditetapkan : 22 Mei 2023
Tanggal Ditinjau Kembali : 22 Mei 2023
Disusun oleh: Tim Penyusun Pedoman SMKI SPBE

Koordinator Tata Kelola dan

Diperiksa oleh:
Teknologi Informasi Muh Sirojul Munir

Kepala Pusat Data dan

Disetujui oleh:
Informasi Hendro Subagyo

Disahkan oleh: Koordinator SPBE

Rr Nur Tri Aries Suestiningtyas

Catatan:
Jika versi terbaru telah diterbitkan, maka versi sebelumnya ditetapkan tidak berlaku. Versi terbaru terdapat dalam
bentuk elektronik.

Dokumen ini ditandatangani secara

elektronik menggunakan sertifikat dari
BSrE, silahkan lakukan verifikasi pada
dokumen elektronik yang dapat diunduh
dengan melakukan scan QR Code
 RIWAYAT DOKUMEN

Versi Tanggal Penulis Deskripsi

1 - Tim Penyusun Pedoman Dokumen versi 2023
SMKI

PERNYATAAN KERAHASIAAN

Informasi dalam dokumen ini adalah milik Penyelenggara SPBE BRIN. Tim Koordinasi
SPBE BRIN membuat dokumen ini dengan pemahaman bahwa dokumen ini akan dijaga
kerahasiaannya dan tidak akan diungkapkan, digandakan, atau digunakan, baik
keseluruhan maupun sebagian, untuk tujuan apapun tanpa persetujuan tertulis sebelumnya.

i
 DAFTAR ISI

RIWAYAT DOKUMEN .......................................................................................................... i

PERNYATAAN KERAHASIAAN ............................................................................................ i
DAFTAR ISI ...........................................................................................................................ii
DAFTAR TABEL ................................................................................................................... iii
DAFTAR GAMBAR ...............................................................................................................iv
1. PENDAHULUAN ............................................................................................................ 1
1.1. Latar Belakang ........................................................................................................ 1
1.2. Tujuan ..................................................................................................................... 1
1.3. Manfaat ................................................................................................................... 1
1.4. Dasar Hukum .......................................................................................................... 2
1.5. Istilah dan Definisi ................................................................................................... 2
2. Manajemen Keamanan Informasi SPBE ....................................................................... 4
2.1. Gambaran Umum Organisasi .................................................................................. 4
2.2. Ruang Lingkup ........................................................................................................ 4
2.3. Penanggungjawab................................................................................................... 5
2.4. Perencanaan Program Kerja Keamanan Informasi.................................................. 8
2.5. Standar Teknis dan Prosedur .................................................................................. 8
2.6. Dukungan Pengoperasian ..................................................................................... 19
2.7. Evaluasi Kinerja..................................................................................................... 19
2.8. Perbaikan berkelanjutan ........................................................................................ 19
3. Penutup ....................................................................................................................... 20

ii
 DAFTAR TABEL

Tabel 1. Isu Eksternal dan Isu Internal .................................................................................. 4

iii
 DAFTAR GAMBAR

Gambar 1. Organisasi Manajemen Keamanan Informasi SPBE............................................ 6

iv
1. PENDAHULUAN
1.1. Latar Belakang
Transformasi digital menjadi arah implementasi Sistem Pemerintahan Berbasis
Elektronik (SPBE) di seluruh jajaran pemerintahan dengan berorientasi tata kelola
pemerintahan yang bersih, efektif, efisien, transparan, dan akuntabel. Pola tata kelola
pemerintahan tersebut diharapkan mampu menjamin pelayanan publik yang
berkualitas dan terpercaya. Badan Riset dan Inovasi Nasional (BRIN) sebagai salah
satu lembaga pemerintah memiliki kewajiban dalam penerapan SPBE.

Tata kelola pemerintahan dalam bentuk sistem pemerintahan berbasis elektronik

(SPBE) memerlukan keamanan karena terkait pengolahan dan pengelolaan data dan
aplikasi. Keamanan SPBE didefinisikan dalam Peraturan Presiden Republik Indonesia
Nomor 95 Tahun 2018. Keamanan juga menjadi prinsip pelaksanaan SPBE dengan
aspek-aspek kerahasiaan, keutuhan, ketersediaan, keaslian, dan kenirsangkalan
(nonrepudiation) sumber daya terkait data dan informasi, infrastruktur dan aplikasi.
Tata kelola SPBE memuat unsur keamanan untuk membantu keterpaduan layanan
SPBE sehingga memiliki domain tersendiri dalam arsitektur SPBE. Kedudukan
keamanan SPBE diatur dalam Peraturan Badan Siber dan Sandi Negara Nomor 4
Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi SPBE dan Standar
Teknis dan Prosedur Keamanan SPBE.

Muatan keamanan SPBE dalam Peraturan Presiden RI Nomor 95 Tahun 2018

dilaksanakan berdasarkan Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun
2021 dengan menetapkan klasifikasi keamanan, pembatasan akses, pengendalian
keamanan, pendeteksian modifikasi, penyediaan cadangan dan pemulihan,
penyediaan mekanisme verifikasi dan pemulihan, dan penerapan tanda tangan digital
yang tersertifikasi. Hal-hal yang diperlukan tersebut ditetapkan dalam pedoman
manajemen keamanan informasi SPBE ini.

1.2. Tujuan
Pelaksanaan keamanan siber memerlukan suatu Pedoman Manajemen Keamanan
Informasi SPBE. Pedoman Manajemen Keamanan Informasi SPBE secara umum
memuat tujuan untuk memenuhi standar teknis dan prosedur keamanan siber. Adapun
secara terperinci tujuan penerapan pedoman manajemen keamanan informasi SPBE
ini antara lain untuk:
1. Melaksanakan serangkaian proses manajemen keamanan informasi SPBE sesuai
peraturan yang berlaku;
2. Menerapkan keamanan pada data dan informasi, aplikasi SPBE (baik berbasis
web, mobile, maupun desktop/platform), Sistem Penghubung Layanan
Pemerintahan (SPLP), Jaringan Intra, dan Pusat Data; dan;
3. Menyediakan sumber daya yang dibutuhkan bagi implementasi Manajemen
Keamanan Informasi SPBE BRIN.

1.3. Manfaat
Manfaat yang bisa diperoleh dari penerapan pedoman manajemen keamanan
informasi SPBE ini diantaranya:
1) Terlaksananya proses manajemen keamanan informasi SPBE;
2) Terpenuhinya aspek kerahasiaan, keaslian, keutuhan, kenirsangkalan, dan

1
 ketersediaan terhadap data dan informasi SPBE;
3) Terpenuhinya kriteria uji keamanan aplikasi SPBE dalam setiap periode pen-
gujian, evaluasi, dan audit;
4) Terpenuhinya fungsi keamanan interoperabilitas data dan informasi, kontrol sis-
tem integrasi, kontrol perangkat integrator, keamanan API dan web service, dan
keamanan migrasi data pada SPLP;
5) Terpenuhinya aspek administrasi keamanan Jaringan Intra, kontrol akses dan aut-
entikasi, persyaratan perangkat dan aplikasi keamanan Jaringan Intra, kontrol
keamanan gateway, kontrol keamanan access point pada jaringan nirkabel,
kontrol konfigurasi access point pada jaringan nirkabel; dan
6) Terpenuhinya persyaratan keamanan fisik, manajemen, dan koneksi perangkat ke
Pusat Data Nasional

1.4. Dasar Hukum

Peraturan dan kebijakan yang menjadi acuan dalam penyusunan dan penerapan
pedoman SMKI SPBE antara lain:
1) Peraturan Presiden Republik Indonesia Nomor 95 Tahun 2018 tentang Sistem
Pemerintahan Berbasis Elektronik;
2) Peraturan Presiden Republik Indonesia Nomor 78 Tahun 2021 tentang Badan
Riset dan Inovasi Nasional;
3) Peraturan Badan Siber dan Sandi Negara Republik Indonesia Nomor 4 Tahun
2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan
Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan
Berbasis Elektronik;
4) Peraturan Badan Siber dan Sandi Negara Republik Indonesia Nomor 10 Tahun
2020 tentang Tim Tanggap Keamanan Siber;
5) Peraturan Menteri Pendayagunaan Aparatur Negara Reformasi Birokrasi Repub-
lik Indonesia Nomor 59 tahun 2020 tentang Pemantauan dan Evaluasi SPBE;
6) Peraturan Menteri Pendayagunaan Aparatur Negara Reformasi Birokrasi Repub-
lik Indonesia Nomor 962 tahun 2021 tentang Pedoman Pemantauan dan Evaluasi
SPBE;
7) Keputusan Kepala Badan Riset dan inovasi Nasional Republik Indonesia Nomor
190/HK/2022 tentang Penyelenggaraan Sistem Pemerintahan Berbasis Elektronik
di Lingkungan Badan Riset dan Inovasi Nasional

1.5. Istilah dan Definisi

Untuk memudahkan dalam penulisan dan memahami dokumen ini, digunakan
beberapa istilah dan atau singkatan sebagai berikut:
1) Aplikasi SPBE adalah satu atau sekumpulan program komputer dan prosedur
yang dirancang untuk melakukan tugas atau fungsi Layanan SPBE.
2) Application Programming Interface yang selanjutnya disingkat API adalah sekum-
pulan perintah, fungsi, serta protokol yang mengintegrasikan dua bagian dari ap-
likasi atau dengan aplikasi yang berbeda secara bersamaan.
3) Badan Riset dan Inovasi Nasional yang selanjutnya disebut BRIN dalam pedoman
ini adalah lembaga pemerintah yang berada di bawah dan bertanggung jawab
kepada Presiden dalam menyelenggarakan penelitian, pengembangan,
pengkajian, dan penerapan, serta invensi dan inovasi, penyelenggaraan
ketenaganukliran, dan penyelenggaraan keantariksaan yang terintegrasi.
4) Badan Siber dan Sandi Negara yang selanjutnya disingkat BSSN adalah lembaga
pemerintah yang menyelenggarakan tugas pemerintahan di bidang keamanan si-
ber.
5) Infrastruktur SPBE adalah semua perangkat keras, perangkat lunak, dan fasilitas
yang menjadi penunjang utama untuk menjalankan sistem, aplikasi, komunikasi

2
 data, pengolahan dan penyimpanan data, perangkat integrasi/penghubung, dan
perangkat elektronik lainnya.
6) Jaringan Intra adalah jaringan tertutup yang menghubungkan antar simpul jaringan
dalam suatu organisasi.
7) Keamanan SPBE adalah pengendalian keamanan yang terpadu dalam SPBE.
8) Layanan SPBE adalah keluaran yang dihasilkan oleh 1 (satu) atau beberapa
fungsi aplikasi SPBE dan yang memiliki nilai manfaat.
9) Manajemen Keamanan SPBE adalah serangkaian proses untuk mencapai pen-
erapan keamanan SPBE yang efektif, efisien, dan berkesinambungan, serta men-
dukung layanan SPBE yang berkualitas.
10) Pusat Data adalah fasilitas yang digunakan untuk penempatan sistem elektronik
dan komponen terkait lainnya untuk keperluan penempatan, penyimpanan dan
pengolahan data, dan pemulihan data.
11) Pusat Data dan Informasi selanjutnya disebut Pusdatin adalah unit kerja yang
mempunyai tugas melaksanakan penyiapan penyusunan kebijakan teknis,
pelaksanaan, pemanfaatan, evaluasi dan pelaporan di bidang data dan informasi.
12) Pusat Data Nasional adalah sekumpulan Pusat Data yang digunakan secara bagi
pakai oleh Instansi Pusat dan Pemerintah Daerah, dan saling terhubung.
13) Sistem Pemerintahan Berbasis Elektronik atau yang selanjutnya disingkat SPBE
adalah penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi
dan komunikasi untuk memberikan layanan kepada Pengguna SPBE.
14) Sistem Penghubung Layanan adalah perangkat integrasi/penghubung untuk
melakukan pertukaran Layanan SPBE.
15) Sistem Manajemen Keamanan Informasi yang selanjutnya disebut SMKI adalah
sistem manajemen yang meliputi kebijakan, organisasi, perencanaan, pe-
nanggung jawab, proses, dan sumber daya yang mengacu pada pendekatan risiko
bisnis untuk menetapkan, mengimplementasikan, mengoperasikan, memantau,
mengevaluasi, mengelola, dan meningkatkan keamanan informasi
16) Akuntabilitas adalah tindakan mempertanggungjawabkan pengelolaan sumber
daya serta pelaksanaan kebijakan yang dipercayakan kepada entitas pelaporan
dalam mencapai tujuan yang telah ditetapkan secara periodik;
17) Analisa Risiko adalah proses untuk memahami sifat risiko dan untuk menentukan
tingkat risiko;
18) Ancaman adalah penyebab potensial dari insiden yang tidak diinginkan, yang
dapat mengakibatkan kerusakan pada sistem atau organisasi;
19) Data adalah kumpulan nilai yang ditetapkan untuk pengukuran dasar ukuran yang
diturunkan dan/atau indikator;
20) Dokumen SMKI adalah dokumen yang terdiri dari Panduan, Prosedur, Instruksi
Kerja dan Formulir;
21) Evaluasi Risiko adalah proses dalam membandingkan hasil analisis risiko dengan
kriteria risiko dan untuk menentukan apakah risiko dan/atau besarnya dapat
diterima atau ditolerir;
22) Identifikasi Risiko adalah proses menemukan, mengenali dan menggambarkan
risiko;
23) Indikator adalah mengukur yang memberikan perkiraan atau evaluasi atribut ter-
tentu yang berasal dari model analitis sehubungan dengan kebutuhan informasi
yang ditentukan;
24) Reviu adalah kegiatan yang dilakukan untuk menentukan kesesuaian, kecukupan
dan efektivitas dari materi pelajaran untuk mencapai tujuan yang ditetapkan;
25) Keberterimaan Risiko (Risk Acceptance) adalah penerimaan Risiko yang dil-
akukan dengan kontrol yang ketat;
26) Kebijakan adalah pernyataan–pernyataan mengenai kontrak penjaminan atau
pernyataan tertulis;
27) Kendali Akses (Access Control) adalah memastikan bahwa akses seseorang ke
harta dibatasi berdasarkan wewenang, persyaratan bisnis dan keamanan;

3
 28) Kerentanan (Vulnerability) adalah kondisi suatu sistem untuk jangka waktu tertentu
yang mengurangi kemampuan sistem tersebut mencegah, meredam, mencapai
kesiapan, dan menanggapi dampak bahaya tertentu.

2. Manajemen Keamanan Informasi SPBE

2.1. Gambaran Umum Organisasi
Badan Riset dan Inovasi Nasional yang selanjutnya disebut BRIN merupakan lembaga
pemerintah yang berada di bawah dan bertanggung jawab kepada Presiden dalam
menyelenggarakan penelitian, pengembangan, pengkajian, dan penerapan, serta
invensi dan inovasi, penyelenggaraan ketenaganukliran, dan penyelenggaraan
keantariksaan yang terintegrasi, sebagaimana tertuang dalam Peraturan Presiden no
78 tahun 2021.

BRIN mempunyai tugas membantu Presiden dalam menyelenggarakan tugas

pemerintahan di bidang penelitian, pengembangan, pengkajian, dan penerapan serta
invensi dan inovasi, penyelenggaraan ketenaganukliran, dan penyelenggaraan
keantariksaan secara nasional yang terintegrasi, serta melakukan monitoring,
pengendalian, dan evaluasi terhadap pelaksanaan tugas dan fungsi BRIDA sesuai
dengan Peraturan Badan Riset dan Inovasi Nasional Republik Indonesia Nomor 1
Tahun 2021 Tentang Organisasi dan Tata Kerja Badan Riset dan Inovasi Nasional.

Dalam pelaksanaan tugas dan fungsinya, BRIN menggunakan dan menghasilkan data
dan informasi dalam penyelenggaraan SPBE, sehingga infrastruktur, aplikasi dan
layanan SPBE wajib didukung keamanan informasi SPBE secara optimal. Maka
seluruh sumber daya keamanan dan pelaksanaannya harus diatur dalam pedoman
manajemen keamanan informasi SPBE ini.

2.2. Ruang Lingkup

Penetapan ruang lingkup dilakukan dengan mendefinisikan isu internal keamanan
informasi SPBE dalam organisasi dan isu eksternal keamanan informasi SPBE. Isu
internal keamanan informasi SPBE dalam organisasi didefinisikan berdasarkan area
yang menjadi prioritas organisasi terhadap pelaksanaan keamanan informasi SPBE.
Area yang menjadi prioritas organisasi terhadap pelaksanaan keamanan informasi
SPBE paling sedikit meliputi:
1) Data dan informasi SPBE;
2) Aplikasi SPBE;
3) Aset Infrastruktur SPBE; dan
4) Kebijakan keamanan informasi SPBE yang telah dimiliki.

Dengan mempertimbangan area prioritas yang merujuk pada Peraturan Badan Siber
dan Sandi Negara Nomor 4 Tahun 2021 tersebut diatas, maka isu internal dan
eksternal di lingkungan BRIN dapat didefinisikan sebagai berikut:

Tabel 1. Isu Eksternal dan Isu Internal

Area Prioritas Isu Internal Isu Eksternal

Data dan Format Arsitektur data Perkembangan teknologi pencurian
Informasi SPBE BRIN saat ini tidak data (Phising, Malware, Password
sesuai dengan format Attack, Ransomware, SQL
terbaru Injection, DDos dll) yang semakin
meningkat baik kualitas
metodologinya maupun kuantitas
korbannya setiap tahunnya
mengancam pengelola data pribadi

4
 Area Prioritas Isu Internal Isu Eksternal
skala besar
Kebijakan pengamanan data
pribadi yang mengharuskan pening-
katan keamanan data / informasi
pribadi di lingkungan BRIN.
Aplikasi SPBE Proses pengujian Dinamika perkembangan regulasi,
keamanan pada teknologi dan standard yang me-
pembangunan / nyebabkan aplikasi yang sudah ada
pengembangan aplikasi harus selalu menyesuaikan diri
belum dilakukan secara
konsisten
Aset Pengelolaan Aset Kebijakan penggunaan PDN dan
Infrastruktur Infrastruktur SPBE belum JIP yang harus dilaksanakan oleh
optimal, masih sangat ter- seluruh K/L/PD yang
gantung dengan dukungan mempengaruhi indepensi kendali
pihak ketiga pengelolaan Infrastruktur di ling-
kungan BRIN
Kebijakan BRIN tidak menerapkan Masih tingginya ego sectoral antar
keamanan kebijakan MKI secara ketat K/L yang menyebabkan penerapan
informasi SPBE karena tingkat keamanan SPBE Nasional masih terkendala
data dan informasi tidak interoperabilitasnya
bernilai kritis Penerapan SPBE masih bersifat
sporadic karena semua pelaksana
manajemennya masih harus
ditetapkan dengan SK tahunan,
seharusnya pengelolaan SPBE
menjadi pekerjaan rutin di seluruh
unit kerja terkait koordinasi penye-
lenggaraan SPBE
SDM SPBE Keterbatasan jumlah SDM Belum ada kebijakan dan standar
yang berkompeten di kompetensi pengelola SPBE
bidang keamanan
informasi
Kurangnya kesadaran
pegawai terkait keamanan
informasi

2.3. Penanggungjawab
Penetapan penanggung jawab organisasi Manajemen Keamanan Informasi di
lingkungan BRIN mengacu pada Peraturan Badan Siber dan Sandi Negara Nomor 4
Tahun 2021 diilustrasikan dengan struktur organisasi pada Gambar 1:

5
 Penanggungjawab

Koordinator SPBE

Ketua Pelaksana
Teknis

Tata Kelola Audit TIK

Pelaksana Teknis Pelaksana Teknis Pelaksana Teknis Pelaksana Teknis

CSIRT
Keamanan Keamanan Data Keamanan Sistem Keamanan Informasi
Infrastruktur Informasi dan Komunikasi

Gambar 1. Organisasi Manajemen Keamanan Informasi SPBE

Pembagian wewenang tugas dan tanggung jawab organisasi MKI di BRIN dalam
rangka proses pengamanan informasi adalah sebagai berikut:
1) Penanggung Jawab Keamanan Informasi SPBE BRIN
a. Menetapkan kebijakan sistem keamanan informasi;
b. Mendukung semua aspek program keamanan informasi;
c. Menetapkan pembagian tugas dan tanggung jawab untuk pengambilan
keputusan terkait manajemen risiko keamanan informasi;
d. Menetapkan tingkat risiko keamanan informasi yang dapat diterima;
e. Melakukan evaluasi terhadap hasil penetapan mitigasi risiko;
f. Memantau pelaksanaan perbaikan MKI;
g. Memastikan tersedianya sumber daya dalam pelaksanaan MKI; dan
h. Mengkomunikasikan kepada seluruh pegawai di BRIN mengenai pentingnya
keamanan informasi.

2) Ketua Pelaksana Teknis

a. Monitoring pelaksanaan MKI dilingkungan BRIN;
b. Melaksanakan program security awareness terkait MKI untuk seluruh pega-
wai Pusdatin BRIN;
c. Melaksanakan risk assessment dilingkungan BRIN;
d. Memantau pengukuran efektivitas kontrol implementasi MKI dilingkungan
BRIN; dan
e. Memberikan laporan mengenai pelaksanaan MKI kepada Pe-
nanggung Jawab Keamanan Informasi SPBE BRIN.

3) Tata Kelola
a. Memastikan setiap dokumen sesuai standar yang berlaku;
b. Memberikan informasi tentang status tahapan aktifitas MKI dan ketaatan ter-
hadap standar yang berlaku;
c. Memastikan perbaikan dan peredaran dokumen MKI dilakukan oleh pihak
yang berwenang sesuai standar dan regulasi yang berlaku;

6
 d. Melakukan tinjauan manajemen secara periodik untuk mengevaluasi
pelaksanaan MKI;
e. Mengkomunikasikan pentingnya pencapaian tujuan dan pelaksanaan kes-
esuaian terhadap kebijakan keamanan informasi kepada kelompok kerja lain
yang terkait; dan
f. Mendukung pelaksanaan audit (internal / eksternal) sebagai tim yang sangat
paham tentang dokumentasi MKI.

4) Audit TIK
a. Melaksanakan internal audit MKI di Pusdatin BRIN secara berkala;
b. Mengajukan saran atas tindakan perbaikan yang harus dilakukan; dan
c. Membuat laporan internal audit.

5) CSIRT (Computer Security Incident Response Team)

a. Mengkoordinasikan penanganan Insiden Siber;
b. Merumuskan panduan teknis penanganan Insiden Siber;
c. Melakukan koordinasi dengan Tim Tanggap Insiden Siber Nasional;
d. Memberikan bantuan yang diperlukan kepada pihak yang menerima
layanan;
e. Memberikan laporan penanganan insiden siber yang telah terjadi kepada Pe-
nanggung Jawab Keamanan Informasi dan Tim Tanggap Insiden Siber Na-
sional; dan
f. Melakukan koordinasi dan/atau kerja sama dengan pihak lain dengan mem-
perhatikan kerahasiaan informasi, perlindungan data, dan sesuai dengan ke-
tentuan peraturan perundangan-undangan.

6) Pelaksana Teknis Keamanan Sistem Informasi

a. Memastikan terlaksananya prosedur keamanan informasi pada setiap taha-
pan pengembangan sistem informasi;
b. Melakukan pengelolaan kode sumber sistem informasi dan menyiapkan
website cadangan sebagai solusi sementara apabila terjadi insiden siber;
c. Berkoordinasi dengan pengguna sistem informasi ketika terjadi insiden;
d. Melakukan tindakan korektif pada sistem informasi sebagai solusi atas in-
siden siber maupun temuan celah keamanan; dan
e. Menindaklanjuti hasil temuan internal audit.

7) Pelaksana Teknis Keamanan Infrastruktur SPBE

a. Membuat dokumentasi jaringan yang beroperasional, berupa dokumentasi
konfigurasi, dokumentasi lalu lintas normal (baseline) jaringan, dan doku-
mentasi performa jaringan;
b. Menyiapkan perangkat jaringan yang diperlukan untuk melakukan deteksi in-
trusi di jaringan dan analisa log di server;
c. Melakukan analisa log dan rekam digital lainnya pada jaringan dan server;
d. Menerapkan konsep keamanan pada konfigurasi jaringan dan meminimalisir
celah keamanan (vulnerability) di jaringan;
e. Melakukan pemantauan lalu lintas jaringan dan memeriksa apabila terdapat
anomali di jaringan;
f. Melakukan tindakan korektif pada jaringan dan server sebagai solusi atas
insiden siber maupun temuan celah keamanan;
g. Melakukan duplikasi data secara berkala;
h. Berkoordinasi dengan Internet Service Provider (ISP), jika diperlukan; dan
i. Menindaklanjuti hasil temuan internal audit.

7
 8) Pelaksana Teknis Keamanan Data
a. Melaksanakan proses pengamanan data dan informasi dalam rangka MKI;
b. Melaporkan potensi insiden serta ketidaksesuaian terkait dengan MKI sesuai
dengan ketentuan yang berlaku; dan
c. Menindaklanjuti hasil temuan internal audit.

2.4. Perencanaan Program Kerja Keamanan Informasi

Program kerja Keamanan Informasi meliputi hal-hal sebagai berikut:
1) Edukasi kesadaran Keamanan SPBE
Edukasi kesadaran Keamanan SPBE dilaksanakan paling sedikit melalui
kegiatan:
a. Sosialisasi; dan
b. Pelatihan

2) Penilaian kerentanan keamanan SPBE

Guna mewujudkan program kerja Penilaian kerentanan Keamanan SPBE
dilaksanakan paling sedikit melalui:
a. Menginventarisasi seluruh aset SPBE meliputi data dan informasi, aplikasi,
dan infrastruktur;
b. Mengidentifikasi kerentanan dan ancaman terhadap aset SPBE; dan
c. Mengukur tingkat risiko Keamanan SPBE.

3) Peningkatan Keamanan SPBE

Peningkatan Keamanan SPBE dilaksanakan berdasarkan hasil dari penilaian
kerentanan Keamanan SPBE paling sedikit melalui kegiatan
a. Menerapkan standar teknis dan prosedur Keamanan SPBE; dan
b. Menguji fungsi keamanan terhadap Aplikasi SPBE dan Infrastruktur SPBE.

4) Penanganan insiden Keamanan SPBE

Penanganan insiden Keamanan SPBE dilaksanakan paling sedikit melalui:
a. Mengidentifikasi sumber serangan;
b. Menganalisis informasi yang berkaitan dengan insiden selanjutnya;
c. Memprioritaskan penanganan insiden berdasarkan tingkat dampak yang ter-
jadi;
d. Mendokumentasi bukti insiden yang terjadi; dan
e. Memitigasi atau mengurangi dampak risiko Keamanan SPBE.
f. Penghapusan konten yang bersifat destruktif dan/atau terkait malware

5) Audit keamanan SPBE

Audit Keamanan SPBE dilakukan sesuai dengan ketentuan peraturan perundang-
undangan.

2.5. Standar Teknis dan Prosedur

Merujuk pada Peraturan Badan Siber dan Sandi Negara tahun 2021, maka Standar
teknis dan prosedur Keamanan SPBE yang diterapkan di lingkungan Badan Riset dan
Inovasi Nasional adalah sebagai berikut:
1) Keamanan data dan informasi;
2) Keamanan Aplikasi SPBE;
3) Keamanan Jaringan Intra;
4) Keamanan Sistem Penghubung Layanan Pemerintah
5) Keamanan Pusat Data Nasional

Secara rinci standar teknis dan prosedur keamanan SPBE yang diterapkan di
lingkungan Badan Riset dan Inovasi Nasional adalah sebagai berikut :

8
a. Keamanan data dan informasi;
Standar teknis keamanan data dan informasi terdiri atas terpenuhinya aspek:
1) kerahasiaan;
2) keaslian;
3) keutuhan;
4) kenirsangkalan; dan
5) ketersediaan

Terpenuhinya aspek pada Standar teknis keamanan data dan informasi dilakukan
dengan terpenuhinya prosedur sebagai berikut:
1) Kerahasiaan
Terpenuhinya aspek kerahasiaan dilakukan dengan prosedur:
a. Menetapkan klasifikasi informasi;
b. Menerapkan enkripsi dengan sistem kriptografi; dan
c. Menerapkan pembatasan akses terhadap data dan informasi sesuai
dengan kewenangan dan kebijakan yang telah ditetapkan.

2) Keaslian
Terpenuhinya aspek keaslian dilakukan dengan prosedur:
a. Menyediakan mekanisme verifikasi;
b. Menyediakan mekanisme validasi; dan
c. Menerapkan sistem hash function.

3) Keutuhan
Terpenuhinya aspek keutuhan dilakukan dengan prosedur:
a. Menerapkan pendeteksian modifikasi; dan
b. Menerapkan tanda tangan elektronik tersertifikasi.

4) Kenirsangkalan
Terpenuhinya aspek kenirsangkalan sebagaimana dilakukan dengan
prosedur:
a. Menerapkan tanda tangan elektronik tersertifikasi; dan
b. Penjaminan oleh penyelenggara sertifikasi elektronik melalui
sertifikat elektronik.

5) Ketersediaan
Terpenuhinya aspek ketersediaan dilakukan dengan prosedur sebagai
berikut:
a. Menerapkan sistem pencadangan secara berkala;
b. Membuat perencanaan untuk menjamin data dan Informasi dapat selalu
diakses; dan
c. Menerapkan sistem pemulihan.

b. Keamanan Aplikasi
Aplikasi SPBE sebagaimana dimaksud dilakukan pengujian keamanan setiap
periode tertentu yang dilakukan dengan:
1) Mengidentifikasi persyaratan minimum keamanan yang belum diterapkan;
2) Memastikan pengkodean pemrograman aplikasi yang dibuat tidak memiliki
kerawanan;
3) Melakukan pemindaian otomatis dan/atau pengujian penetrasi sistem;
4) Mengidentifikasi kerentanan dan mengelola ancaman sejak awal siklus
pengembangan Aplikasi SPBE; dan
5) Menganalisis kerentanan.

Standar teknis dan prosedur keamanan Aplikasi SPBE diterapkan pada:

9
1) Aplikasi berbasis web
Aplikasi berbasis web merupakan aplikasi yang diakses melalui peramban
saat terhubung dengan koneksi internet atau intranet.

Standar teknis keamanan aplikasi berbasis web terpenuhinya fungsi:

a. Autentikasi;
b. Manajemen sesi;
c. Persyaratan kontrol akses;
d. Validasi input;
e. Kriptografi pada verifikasi statis;
f. Penanganan error dan pencatatan log;
g. Proteksi data;
h. Keamanan komunikasi;
i. Pengendalian kode berbahaya;
j. Logika bisnis;
k. File;
l. Keamanan API dan web service; dan
m. Keamanan konfigurasi.

Terpenuhinya fungsi pada standar teknis keamanan aplikasi berbasis web

tersebut dengan prosedur sebagai berikut :

1) Autentikasi
Terpenuhinya fungsi autentikasi dilakukan dengan prosedur:
a. Menggunakan manajemen kata sandi untuk proses autentikasi;
b. Menerapkan verifikasi kata sandi pada sisi server;
c. Mengatur jumlah karakter, kombinasi jenis karakter, dan masa ber-
laku dari kata sandi;
d. Mengatur jumlah maksimum kesalahan dalam pemasukan
kata sandi;
e. Mengatur mekanisme pemulihan kata sandi;
f. Menjaga kerahasiaan kata sandi yang disimpan Melalui mekanisme
kriptografi; dan
g. Menggunakan jalur komunikasi yang diamankan untuk proses aut-
entikasi

2) Manajemen sesi
Terpenuhinya fungsi manajemen sesi sebagaimana dimaksud dilakukan
dengan prosedur:
a. Menetapkan otorisasi pengguna untuk membatasi kontrol akses;
b. Mengatur peringatan terhadap bahaya serangan otomatis apabila
terjadi akses yang bersamaan atau akses yang terus-menerus pada
fungsi;
c. Mengatur antarmuka pada sisi administrator; dan
d. Mengatur verifikasi kebenaran token ketika mengakses data dan in-
formasi yang dikecualikan.

3) Persyaratan kontrol akses

Terpenuhinya fungsi validasi input sebagaimana dimaksud dalam
dilakukan dengan prosedur:
a. Menetapkan otorisasi pengguna untuk membatasi kontrol akses;
b. Mengatur peringatan terhadap bahaya serangan otomatis apabila

10
 terjadi akses yang bersamaan atau akses yang terus-menerus pada
fungsi;
c. Mengatur antarmuka pada sisi administrator; dan
d. Mengatur verifikasi kebenaran token ketika mengakses data dan in-
formasi yang dikecualikan

4) Validasi input
Terpenuhinya fungsi validasi input sebagaimana dimaksud dalam
dilakukan dengan prosedur:
a. Menerapkan fungsi validasi input pada sisi server;
b. Menerapkan mekanisme penolakan input jika terjadi kesalahan vali-
dasi; memastikan runtime environment aplikasi tidak rentan terhadap
serangan validasi input;
c. Melakukan validasi positif pada seluruh input;
d. Melakukan filter terhadap data yang tidak dipercaya;
e. Menggunakan fitur kode dinamis;
f. Melakukan pelindungan terhadap akses yang mengandung konten
skrip; dan
g. Melakukan perlindungan dari serangan injeksi basis data.

5) Kriptografi pada verifikasi statis

Terpenuhinya fungsi validasi input sebagaimana dimaksud dilakukan
dengan prosedur:
a. Menggunakan algoritma kriptografi, modul kriptografi, protokol
kriptografi, dan kunci kriptografi sesuai dengan ketentuan peraturan
perundang- undangan;
b. Melakukan autentikasi data yang dienkripsi;
c. Menerapkan manajemen kunci kriptografi; dan
d. Membuat angka acak yang menggunakan generator
angka acak kriptografi.

6) Penanganan error dan pencatatan log

Terpenuhinya fungsi penanganan error dan pencatatan log sebagaimana
dimaksud dilakukan dengan prosedur:
a. Mengatur konten pesan yang ditampilkan ketika terjadi kesalahan;
b. Menggunakan metode penanganan error untuk mencegah kesala-
han terprediksi dan tidak terduga serta menangani seluruh pengec-
ualian yang tidak ditangani;
c. Tidak mencantumkan informasi yang dikecualikan dalam pencatatan
log;
d. Mengatur cakupan log yang dicatat untuk mendukung upaya
penyelidikan ketika terjadi insiden;
e. Mengatur perlindungan log aplikasi dari akses dan modifikasi yang
tidak sah;
f. Melakukan enkripsi pada data yang disimpan untuk mencegah injeksi
log; dan
g. Melakukan sinkronisasi sumber waktu sesuai dengan zona waktu
dan waktu yang benar

7) Proteksi data
Terpenuhinya fungsi proteksi data sebagaimana dimaksud dilakukan
dengan prosedur:
a. Melakukan identifikasi dan penyimpanan salinan informasi yang

11
 dikecualikan;
b. Melakukan perlindungan dari akses yang tidak sahn terhadap infor-
masi yang dikecualikan yang disimpan sementara dalam aplikasi;
c. Melakukan pertukaran, penghapusan, dan audit informasi yang
dikecualikan;
d. Melakukan penentuan jumlah parameter;
e. Memastikan data disimpan dengan aman;
f. Menentukan metode untuk menghapus dan mengekspor data sesuai
permintaan pengguna; dan
g. Membersihkan memori setelah tidak diperlukan.

8) Keamanan komunikasi
Terpenuhinya fungsi keamanan komunikasi sebagaimana dimaksud
dilakukan dengan prosedur:
a. Menggunakan komunikasi terenkripsi;
b. Mengatur koneksi masuk dan keluar yang aman dan terenkripsi dari
sisi pengguna;
c. Mengatur jenis algoritma yang digunakan dan alat pengujiannya;
dan
d. Mengatur aktivasi dan konfigurasi sertifikat elektronik yang diterbit-
kan oleh penyelenggara sertifikasi elektronik.

9) Pengendalian kode berbahaya

Terpenuhinya fungsi pengendalian kode berbahaya sebagaimana
dimaksud dilakukan dengan prosedur:
a. Menggunakan analisis kode dalam kontrol kode berbahaya;
b. Memastikan kode sumber aplikasi dan pustaka tidak mengandung
kode berbahaya dan fungsionalitas lain yang tidak diinginkan;
c. Mengatur izin terkait fitur atau sensor terkait privasi;
d. Mengatur perlindungan integritas; dan
e. Mengatur mekanisme fitur pembaruan.

10) Logika bisnis

Terpenuhinya fungsi logika bisnis sebagaimana dimaksud dalam
dilakukan dengan prosedur:
a. Memproses alur logika bisnis dalam urutan langkah dan waktu yang
realistis;
b. Memastikan logika bisnis memiliki batasan dan validasi;
c. Memonitor aktivitas yang tidak biasa;
d. Membantu dalam kontrol anti otomatisasi; dan
e. Memberikan peringatan ketika terjadi serangan otomatis
atau aktivitas yang tidak biasa.

11) Keamanan file

Keamanan file yang dilaksanakan dengan prosedur sebagai berikut:
a. Mengatur jumlah file untuk setiap pengguna dan kuota ukuran file
yang diunggah;
b. Melakukan validasi file sesuai dengan tipe konten yang diharapkan;
c. Melakukan perlindungan terhadap metadata input dan metadata file;
d. Melakukan pemindaian file yang diperoleh dari sumber
yang tidak dipercaya; dan
e. Melakukan konfigurasi server untuk mengunduh file sesuai
ekstensi yang ditentukan.

12
 12) Keamanan API dan web service
Terpenuhinya fungsi keamanan API dan web service dilakukan dengan
prosedur:
a. Melakukan konfigurasi layanan web;
b. Memverifikasi uniform resource identifier API tidak menampilkan in-
formasi yang berpotensi sebagai celah keamanan;
c. Membuat keputusan otorisasi;
d. Menampilkan metode RESTful hypertext transfer protocol apabila in-
put pengguna dinyatakan valid;
e. Menggunakan validasi skema dan verifikasi sebelum
menerima input;
f. Menggunakan metode perlindungan layanan berbasis web; dan
g. Menerapkan kontrol anti otomatisasi.

13) Keamanan konfigurasi

Keamanan konfigurasi dilakukan dengan prosedur:
a. Mengkonfigurasi server sesuai rekomendasi server aplikasi dan
kerangka kerja aplikasi yang digunakan;
b. Mendokumentasi, menyalin konfigurasi, dan semua dependensi;
c. Menghapus fitur, dokumentasi, sampel, dan konfigurasi yang tidak
diperlukan;
d. Memvalidasi integritas aset jika aset aplikasi diakses secara ekster-
nal; dan
e. Menggunakan respons aplikasi dan konten yang aman.

2) Aplikasi berbasis mobile

Aplikasi berbasis mobile sebagaimana dimaksud merupakan aplikasi yang
dalam pengoperasiannya dapat berjalan di perangkat bergerak, dan memiliki
sistem operasi yang mendukung perangkat lunak secara standalone.

Standar teknis keamanan aplikasi berbasis mobile dengan terpenuhinya

a. Penyimpanan data dan persyaratan privasi;
b. Kriptografi;
c. Autentikasi dan manajemen sesi;
d. Komunikasi jaringan;
e. Interaksi platform;
f. Kualitas kode dan pengaturan build; dan
g. Ketahanan.

Prosedur untuk memenuhi Standar teknis keamanan aplikasi berbasis mobile

meliputi:
1) Terpenuhinya fungsi penyimpanan data dan persyaratan privasi dilakukan
dengan prosedur:
a. Menyimpan seluruh data dan informasi yang dikecualikan hanya da-
lam fasilitas penyimpanan kredensial sistem;
b. Membatasi pertukaran data dan informasi yang dikecualikan dengan
third party;
c. Menonaktifkan cache keyboard pada saat memasukkan data dan in-
formasi yang dikecualikan;
d. Melindungi informasi yang dikecualikan saat terjadi interprocess com-
munication; dan
e. Melindungi data dan informasi yang dikecualikan yang dimasukkan

13
 melalui antarmuka pengguna.

2) Terpenuhinya fungsi kriptografi dilakukan dengan prosedur:

a. Menghindari penggunaan kriptografi simetrik dengan hard-coded
key;
b. Mengimplementasikan metode kriptografi yang sudah teruji sesuai
kebutuhan;
c. Menghindari penggunaan protokol kriptografi atau algoritma kripto-
grafi yang obsolet;
d. Menghindari penggunaan kunci kriptografi yang sama;
e. Menggunakan pembangkit kunci acak yang memenuhi kriteria kea-
cakan kunci.

3) Terpenuhinya fungsi autentikasi dan manajemen sesi dilakukan dengan

prosedur:
a. Menerapkan autentikasi pada remote endpoint terhadap aplikasi
yang menyediakan akses pengguna untuk layanan jarak jauh;
b. Menggunakan session identifier yang acak tanpa perlu mengirimkan
kredensial pengguna apabila menggunakan stateful manajemen
sesi;
c. Memastikan server menyediakan token yang telah ditandatangani
menggunakan algoritma yang aman apabila menggunakan autenti-
kasi stateless berbasis token;
d. Memastikan remote endpoint memutus sesi yang ada saat pengguna
log out;
e. Menerapkan pengaturan sandi pada remote endpoint;
f. Membatasi jumlah percobaan log in pada remote endpoint;
g. Menentukan masa berlaku sesi dan masa kadaluarsa token pada re-
mote endpoint; dan
h. Melakukan otorisasi pada remote endpoint.

4) Terpenuhinya fungsi komunikasi jaringan dilakukan dengan prosedur:

a. Menerapkan secure socket layer atau transport layer security yang
tidak obsolet secara konsisten; dan
b. Memverifikasi sertifikat remote endpoint.

5) Terpenuhinya fungsi interaksi platform dilakukan dengan prosedur:

a. Memastikan aplikasi hanya meminta akses terhadap sumber daya
yang diperlukan;
b. Melakukan validasi terhadap seluruh input dari sumber eksternal dan
pengguna;
c. Menghindari pengiriman fungsionalitas sensitif melalui skema custom
uniform resource locator dan fasilitas inter process communication;
d. Menghindari penggunaan JavaScript dalam WebView;
e. Menggunakan protokol hypertext transfer protocol secure pada Web-
View; dan
f. Mengimplementasikan penggunaan serialisasi API yang aman.

6) Terpenuhinya fungsi kualitas kode dan pengaturan build dilakukan

dengan prosedur:
a. Menandatangani aplikasi dengan sertifikat yang valid;
b. Memastikan aplikasi dalam mode rilis;
c. Menghapus simbol debugging dari native binary;
d. Menghapus kode debugging dan kode bantuan pengembang;
e. Mengidentifikasi kelemahan seluruh komponen third party;

14
 f. Menentukan mekanisme penanganan error;
g. Mengelola memori secara aman; dan
h. Mengaktifkan fitur keamanan yang tersedia.

7) Terpenuhinya fungsi ketahanan sebagaimana dimaksud dilakukan

dengan prosedur:
a. Mencegah aplikasi berjalan pada perangkat yang telah dilakukan
modifikasi yang tidak sah;
b. Mendeteksi dan merespons debugger;
c. Mencegah executable file melakukan perubahan pada sumber daya
perangkat;
d. Mendeteksi dan merespons keberadaan perangkat reverse engi-
neering;
e. Mencegah aplikasi berjalan dalam emulator;
f. Mendeteksi perubahan kode dan data di ruang memori;
g. Menerapkan fungsi device binding dengan menggunakan properti
unik pada perangkat;
h. Melindungi seluruh file dan library pada aplikasi; dan
i. Menerapkan metode obfuscation.

c. Keamanan Jaringan Intra

Standar teknis keamanan Jaringan Intra terdiri atas terpenuhinya:
1) Aspek administrasi keamanan Jaringan Intra;
2) Kontrol akses dan autentikasi;
3) Persyaratan perangkat dan aplikasi keamanan Jaringan Intra;
4) Kontrol keamanan gateway;
5) Kontrol keamanan access point pada jaringan nirkabel; dan
6) Kontrol konfigurasi access point pada jaringan nirkabel.

Prosedur pemenuhan aspek keamanan jaringan intra adalah sebagai berikut :

1) Terpenuhinya aspek administrasi keamanan Jaringan Intra dilakukan
dengan prosedur:
a. Menyusun dan mengevaluasi dokumen arsitektur Jaringan Intra;
b. Mengidentifikasi seluruh aset infrastruktur jaringan;
c. Menyusun dan menetapkan standar operasional prosedur terkait pemeli-
haraan keamanan Jaringan Intra; dan
d. Membuat laporan pengawasan keamanan jaringan secara periodik.

2) Terpenuhinya kontrol akses dan autentikasi dilakukan dengan prosedur:

a. Menempatkan perangkat infrastruktur jaringan yang menyediakan
layanan Jaringan Intra pada zona terpisah;
b. Menggunakan autentikasi untuk mengakses Jaringan Intra;
c. Menerapkan pembatasan akses dalam Jaringan Intra;
d. Mematikan atau membatasi protocol, port, dan layanan yang tidak
digunakan;
e. Menerapkan penyaringan tautan dan memblokir akses ke situs berba-
haya;
f. Menerapkan fungsi honeypot untuk menganalisis celah keamanan ber-
dasarkan jenis serangan;
g. Menerapkan virtual private network dan mengaktifkan fungsi enkripsi
pada jalur komunikasi yang digunakan;
h. Memberikan kewenangan hanya kepada administrator untuk menginstal
perangkat lunak dan/atau mengubah konfigurasi sistem dalam Jaringan
Intra;
i. Menerapkan secure endpoints;

15
 j. Memblokir layanan yang tidak dikenal;
k. Menerapkan secure socket layer atau transport layer security versi terkini
pada jalur akses Jaringan Intra; dan
l. Menerapkan server perantara saat client mengakses server database da-
lam rangka pemeliharaan.

3) Terpenuhinya persyaratan perangkat dan aplikasi keamanan Jaringan Intra

dilakukan dengan prosedur:
a. Menggunakan perangkat security information and event management
untuk network logging dan monitoring;
b. Menerapkan sistem deteksi dini kerentanan keamanan perangkat jarin-
gan;
c. Menggunakan perangkat firewall;
d. Menggunakan perangkat intrusion detection systems dan intrusion pre-
vention systems;
e. Menerapkan virtual private network terenkripsi untuk penggunaan akses
jarak jauh secara terbatas;
f. Menerapkan kontrol update patching pada infrastruktur Jaringan Intra
dan sistem komputer;
g. Menggunakan perangkat web application firewall;
h. Menggunakan perangkat load balancer untuk menjaga ketersediaan
akses terhadap jaringan dan aplikasi;
i. Memperbarui teknologi keamanan perangkat keras dan perangkat lunak
untuk meminimalisasi celah peretas;
j. Mengunduh perangkat lunak melalui enterprise software distribution sys-
tem; dan
k. Menerapkan sertifikat elektronik.

4) Terpenuhinya kontrol keamanan access point pada jaringan nirkabel dil-

akukan dengan prosedur:
a. Menerapkan content filtering;
b. Menerapkan inspection packet filtering untuk memeriksa paket yang ma-
suk pada Jaringan Intra;
c. Menerapkan kontrol keamanan pada fitur akses jarak jauh perangkat
gateway;
d. Memastikan perangkat gateway yang menghubungkan antar Jaringan In-
tra tidak terkoneksi langsung dengan jaringan publik;
e. Melaksanakan manajemen traffic gateway; dan
f. Memastikan port tidak dibuka secara default.

5) Terpenuhinya kontrol konfigurasi access point pada jaringan nirkabel dil-

akukan dengan prosedur:
a. Menggunakan kata sandi yang kuat;
b. Menggunakan protokol model authentication authorization dan account-
ing pada perangkat infrastruktur jaringan untuk management user atau
otentikasi administrator access point;
c. Memastikan fitur akses konfigurasi jarak jauh hanya dapat digunakan da-
lam kondisi darurat dengan menerapkan kontrol keamanan;
d. Mengisolasi atau melakukan segmentasi jaringan area lokal nirkabel; dan
e. Menonaktifkan antarmuka nirkabel, layanan, dan aplikasi yang tidak
digunakan.

d. Keamanan Sistem Penghubung Layanan Pemerintah

Standar teknis keamanan Sistem Penghubung Layanan terpenuhinya fungsi:
1) Keamanan interoperabilitas data dan informasi;

16
2) Kontrol sistem integrasi;
3) Kontrol perangkat integrator;
4) Keamanan API dan web service; dan
5) Keamanan migrasi data.

Prosedur pemenuhan Standar teknis keamanan Sistem Penghubung Layanan

meliputi:
1) Terpenuhinya fungsi keamanan interoperabilitas data dan informasi dilakukan
dengan prosedur:
a. Menerapkan sistem tanda tangan elektronik tersertifikasi untuk penga-
manan dokumen dan surat elektronik;
b. Menerapkan sistem enkripsi data;
c. Memastikan data dan informasi selalu dapat diakses sesuai otoritasnya;
dan
d. Menerapkan sistem hash function pada file.

2) Terpenuhinya fungsi kontrol sistem integrasi dilakukan dengan

prosedur:
a. Menerapkan protokol secure socket layer atau protokol transport layer se-
curity versi terkini pada sesi pengiriman data dan informasi;
b. Menerapkan internet protocol security untuk mengamankan transmisi
data dalam jaringan berbasis transmission control protocol/internet proto-
col;
c. Menerapkan sistem anti distributed denial of service;
d. Menerapkan autentikasi untuk memverifikasi identitas eksternal antar
Layanan SPBE yang terhubung;
e. Menerapkan manajemen keamanan sesi;
f. Menerapkan pembatasan akses pengguna berdasarkan otorisasi yang te-
lah ditetapkan;
g. Menerapkan validasi input;
h. Menerapkan kriptografi pada verifikasi statis;
i. Menerapkan sertifikat elektronik pada web authentication;
j. Menerapkan penanganan error dan pencatatan log;
k. Menerapkan proteksi data dan jalur komunikasi;
l. Menerapkan pendeteksi virus untuk memeriksa beberapa konten file;
m. Menetapkan perjanjian tingkat layanan dengan standar paling rendah
95% (sembilan puluh lima perseratus); dan
n. Memastikan sistem integrasi tidak memiliki kerentanan yang berpotensi
menjadi celah peretas.

3) Terpenuhinya fungsi kontrol perangkat integrator dilakukan dengan prosedur:

a. Menggunakan sistem operasi dan perangkat lunak dengan security
patches terkini;
b. Menggunakan anti virus dan anti-spyware terkini;
c. Mengaktifkan fitur keamanan pada peramban web;
d. Menerapkan firewall dan host-based intrusion detection systems;
e. Mencegah instalasi perangkat lunak yang belum terverifikasi;
f. Mencegah akses terhadap situs yang tidak sah; dan
g. Mengaktifkan sistem recovery dan restore pada perangkat integrator.

4) Terpenuhinya fungsi keamanan API dan web service dilakukan dengan

prosedur:
a. Menerapkan protokol secure socket layer atau protokol transport layer

17
 security di antara pengirim dan penerima API;
b. Menerapkan protokol open authorization versi terkini untuk menjembatani
interaksi antara resource owner, resource server dan/atau third party;
c. Menampilkan metode RESTful hypertext transfer protocol apabila input
pengguna dinyatakan valid;
d. Melindungi layanan web RESTful yang menggunakan cookie dari cross-
site request forgery; dan
e. masuk oleh penerima API untuk memastikan data yang diterima valid dan
tidak menyebabkan kerusakan.

5) Terpenuhinya fungsi keamanan migrasi data dilakukan dengan prosedur:

a. Memastikan aplikasi yang menggunakan sistem basis data lama tetap di-
pertahankan sampai sistem pendukung basis data baru dapat berjalan
atau berfungsi dengan normal;
b. Mendokumentasikan format sistem basis data lama secara rinci;
c. Melakukan pencadangan seluruh data yang tersimpan pada sistem
sebelum melakukan migrasi data;
d. Menerapkan teknik kriptografi pada proses penyimpanan dan pengambi-
lan data;
e. Melakukan validasi data ketika proses migrasi data selesai.

e. Keamanan Pusat Data

Standar teknis keamanan Pusat Data BRIN terdiri atas terpenuhinya:
1) Persyaratan keamanan fisik dan manajemen Pusat Data merujuk pada
Standar Teknis Keamanan Pusat Data Nasional Nasional.
2) Persyaratan keamanan fisik dan manajemen Pusat Data BRIN dilakukan
dengan prosedur sesuai dengan Standar Nasional Indonesia yang terkait
dengan Pusat Data; dan
3) Persyaratan koneksi perangkat ke Pusat Data BRIN dilakukan dengan
prosedur:

Terpenuhinya keamanan perangkat yang terkoneksi ke infrastruktur pusat Data

meliputi:
a. Memutus akses fisik atau logic dari perangkat yang tidak terotorisasi;
b. Memastikan akses tingkat administrator ke server dan perangkat jaringan
utama tidak boleh dilakukan secara remote;
c. Memastikan hanya personil yang berwenang yang boleh menggunakan kom-
puter di area Pusat Data;
d. Melakukan backup informasi dan perangkat lunak yang berada di Pusat Data
BRIN secara berkala;
e. Memastikan perangkat komputer Pusat Data terbebas dari virus dan malware;
f. Melakukan pembatasan akses pemanfaatan removable media di area Pusat
Data;
g. Memastikan pengaktifan konfigurasi port universal serial bus telah mendapat-
kan izin dari personil yang berwenang;
h. Memastikan setiap perangkat yang akan terkoneksi ke infrastruktur Pusat
Data BRIN menggunakan internet protocol address dan hostname yang telah
ditentukan; dan
i. Menerapkan server perantara saat client mengakses server database dalam
rangka pemeliharaan.

18
2.6. Dukungan Pengoperasian
a) Kompetensi Sumber Daya Manusia
Sumber daya manusia Keamanan SPBE merujuk pada Peraturan BSSN Nomor
4 Tahun 2021 Sumber daya manusia terkait SMKI paling sedikit harus memiliki
kompetensi:
1) Keamanan infrastruktur teknologi, informasi dan komunikasi; dan
2) Keamanan aplikasi.

Selaras dengan Pedoman Manajemen Sumber Daya Manusia SPBE untuk

memenuhi kompetensi dimaksud maka paling sedikit perlu dilakukan kegiatan :
1) Pelatihan dan/atau sertifikasi kompetensi keamanan infrastruktur teknologi,
informasi dan komunikasi dan keamanan aplikasi; dan
2) Bimbingan teknis mengenai standar Keamanan SPBE.

b) Anggaran
Anggaran Keamanan SPBE disusun berdasarkan perencanaan yang telah
ditetapkan sesuai dengan ketentuan peraturan perundang-undangan.

2.7. Evaluasi Kinerja

Evaluasi kinerja dilakukan oleh koordinator SPBE terhadap pelaksanaan Keamanan
SPBE. Evaluasi kinerja dilaksanakan paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

Evaluasi Kinerja yang dimaksud dilaksanakan dengan:

a. Mengidentifikasi area proses yang memiliki risiko tinggi terhadap keberhasilan
pelaksanaan keamanan SPBE.
b. Menetapkan indikator kinerja pada setiap area proses.
c. Memformulasi pelaksanaan keamanan SPBE dengan SPBE dengan mengukur
secara kuantitatif kinerja yang diharapkan;
d. Menganalisis efektifitas pelaksanaan keamanan SPBE; dan
e. Mendukung dan merealisasikan program audit keamanan SPBE.

2.8. Perbaikan berkelanjutan

Perbaikan berkelanjutan dilakukan oleh pelaksana teknis Keamanan SPBE. Perbaikan
berkelanjutan merupakan tindak lanjut dari hasil evaluasi kinerja.

Perbaikan berkelanjutan dilakukan dengan:

a. mengatasi permasalahan dalam pelaksanaan Keamanan SPBE; dan
b. memperbaiki pelaksanaan Keamanan SPBE secara periodik.

19
3. Penutup
Penerapan Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik
pada seluruh unit kerja di lingkungan BRIN telah dilaksanakan dengan baik. Dengan
disusunnya Pedoman Manajemen Keamanan Informasi diharapkan mampu
meningkatkan nilai kematangan penerapan keamanan informasi di BRIN. Pedoman
keamanan informasi digunakan sebagai acuan dasar penyelenggaraan keamanan
informasi Sistem Pemerintahan Berbasis Elektronik, mulai dari tahapan tata kelola
sebagai bentuk tanggung jawab penyelenggaraan system elektronik, pengelolaan risiko
sebagai bentuk mitigasi terhadap berbagai ancaman yang muncul, penyusunan kebijakan
dan prosedur, serta pengelolaan aset dan teknologi.

Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik

dilakukan perbaikan secara terus menerus. Perbaikan terhadap pedoan diharapkan
dapat meningkatkan efektivitas penerapan keamanan informasi diseluruh lingkungan
BRIN.

20