REPUBLIK INDONESIA
Catatan:
Jika versi terbaru telah diterbitkan, maka versi sebelumnya ditetapkan tidak berlaku. Versi terbaru terdapat dalam
bentuk elektronik.
PERNYATAAN KERAHASIAAN
Informasi dalam dokumen ini adalah milik Penyelenggara SPBE BRIN. Tim Koordinasi
SPBE BRIN membuat dokumen ini dengan pemahaman bahwa dokumen ini akan dijaga
kerahasiaannya dan tidak akan diungkapkan, digandakan, atau digunakan, baik
keseluruhan maupun sebagian, untuk tujuan apapun tanpa persetujuan tertulis sebelumnya.
i
DAFTAR ISI
ii
DAFTAR TABEL
iii
DAFTAR GAMBAR
iv
1. PENDAHULUAN
1.1. Latar Belakang
Transformasi digital menjadi arah implementasi Sistem Pemerintahan Berbasis
Elektronik (SPBE) di seluruh jajaran pemerintahan dengan berorientasi tata kelola
pemerintahan yang bersih, efektif, efisien, transparan, dan akuntabel. Pola tata kelola
pemerintahan tersebut diharapkan mampu menjamin pelayanan publik yang
berkualitas dan terpercaya. Badan Riset dan Inovasi Nasional (BRIN) sebagai salah
satu lembaga pemerintah memiliki kewajiban dalam penerapan SPBE.
1.2. Tujuan
Pelaksanaan keamanan siber memerlukan suatu Pedoman Manajemen Keamanan
Informasi SPBE. Pedoman Manajemen Keamanan Informasi SPBE secara umum
memuat tujuan untuk memenuhi standar teknis dan prosedur keamanan siber. Adapun
secara terperinci tujuan penerapan pedoman manajemen keamanan informasi SPBE
ini antara lain untuk:
1. Melaksanakan serangkaian proses manajemen keamanan informasi SPBE sesuai
peraturan yang berlaku;
2. Menerapkan keamanan pada data dan informasi, aplikasi SPBE (baik berbasis
web, mobile, maupun desktop/platform), Sistem Penghubung Layanan
Pemerintahan (SPLP), Jaringan Intra, dan Pusat Data; dan;
3. Menyediakan sumber daya yang dibutuhkan bagi implementasi Manajemen
Keamanan Informasi SPBE BRIN.
1.3. Manfaat
Manfaat yang bisa diperoleh dari penerapan pedoman manajemen keamanan
informasi SPBE ini diantaranya:
1) Terlaksananya proses manajemen keamanan informasi SPBE;
2) Terpenuhinya aspek kerahasiaan, keaslian, keutuhan, kenirsangkalan, dan
1
ketersediaan terhadap data dan informasi SPBE;
3) Terpenuhinya kriteria uji keamanan aplikasi SPBE dalam setiap periode pen-
gujian, evaluasi, dan audit;
4) Terpenuhinya fungsi keamanan interoperabilitas data dan informasi, kontrol sis-
tem integrasi, kontrol perangkat integrator, keamanan API dan web service, dan
keamanan migrasi data pada SPLP;
5) Terpenuhinya aspek administrasi keamanan Jaringan Intra, kontrol akses dan aut-
entikasi, persyaratan perangkat dan aplikasi keamanan Jaringan Intra, kontrol
keamanan gateway, kontrol keamanan access point pada jaringan nirkabel,
kontrol konfigurasi access point pada jaringan nirkabel; dan
6) Terpenuhinya persyaratan keamanan fisik, manajemen, dan koneksi perangkat ke
Pusat Data Nasional
2
data, pengolahan dan penyimpanan data, perangkat integrasi/penghubung, dan
perangkat elektronik lainnya.
6) Jaringan Intra adalah jaringan tertutup yang menghubungkan antar simpul jaringan
dalam suatu organisasi.
7) Keamanan SPBE adalah pengendalian keamanan yang terpadu dalam SPBE.
8) Layanan SPBE adalah keluaran yang dihasilkan oleh 1 (satu) atau beberapa
fungsi aplikasi SPBE dan yang memiliki nilai manfaat.
9) Manajemen Keamanan SPBE adalah serangkaian proses untuk mencapai pen-
erapan keamanan SPBE yang efektif, efisien, dan berkesinambungan, serta men-
dukung layanan SPBE yang berkualitas.
10) Pusat Data adalah fasilitas yang digunakan untuk penempatan sistem elektronik
dan komponen terkait lainnya untuk keperluan penempatan, penyimpanan dan
pengolahan data, dan pemulihan data.
11) Pusat Data dan Informasi selanjutnya disebut Pusdatin adalah unit kerja yang
mempunyai tugas melaksanakan penyiapan penyusunan kebijakan teknis,
pelaksanaan, pemanfaatan, evaluasi dan pelaporan di bidang data dan informasi.
12) Pusat Data Nasional adalah sekumpulan Pusat Data yang digunakan secara bagi
pakai oleh Instansi Pusat dan Pemerintah Daerah, dan saling terhubung.
13) Sistem Pemerintahan Berbasis Elektronik atau yang selanjutnya disingkat SPBE
adalah penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi
dan komunikasi untuk memberikan layanan kepada Pengguna SPBE.
14) Sistem Penghubung Layanan adalah perangkat integrasi/penghubung untuk
melakukan pertukaran Layanan SPBE.
15) Sistem Manajemen Keamanan Informasi yang selanjutnya disebut SMKI adalah
sistem manajemen yang meliputi kebijakan, organisasi, perencanaan, pe-
nanggung jawab, proses, dan sumber daya yang mengacu pada pendekatan risiko
bisnis untuk menetapkan, mengimplementasikan, mengoperasikan, memantau,
mengevaluasi, mengelola, dan meningkatkan keamanan informasi
16) Akuntabilitas adalah tindakan mempertanggungjawabkan pengelolaan sumber
daya serta pelaksanaan kebijakan yang dipercayakan kepada entitas pelaporan
dalam mencapai tujuan yang telah ditetapkan secara periodik;
17) Analisa Risiko adalah proses untuk memahami sifat risiko dan untuk menentukan
tingkat risiko;
18) Ancaman adalah penyebab potensial dari insiden yang tidak diinginkan, yang
dapat mengakibatkan kerusakan pada sistem atau organisasi;
19) Data adalah kumpulan nilai yang ditetapkan untuk pengukuran dasar ukuran yang
diturunkan dan/atau indikator;
20) Dokumen SMKI adalah dokumen yang terdiri dari Panduan, Prosedur, Instruksi
Kerja dan Formulir;
21) Evaluasi Risiko adalah proses dalam membandingkan hasil analisis risiko dengan
kriteria risiko dan untuk menentukan apakah risiko dan/atau besarnya dapat
diterima atau ditolerir;
22) Identifikasi Risiko adalah proses menemukan, mengenali dan menggambarkan
risiko;
23) Indikator adalah mengukur yang memberikan perkiraan atau evaluasi atribut ter-
tentu yang berasal dari model analitis sehubungan dengan kebutuhan informasi
yang ditentukan;
24) Reviu adalah kegiatan yang dilakukan untuk menentukan kesesuaian, kecukupan
dan efektivitas dari materi pelajaran untuk mencapai tujuan yang ditetapkan;
25) Keberterimaan Risiko (Risk Acceptance) adalah penerimaan Risiko yang dil-
akukan dengan kontrol yang ketat;
26) Kebijakan adalah pernyataan–pernyataan mengenai kontrak penjaminan atau
pernyataan tertulis;
27) Kendali Akses (Access Control) adalah memastikan bahwa akses seseorang ke
harta dibatasi berdasarkan wewenang, persyaratan bisnis dan keamanan;
3
28) Kerentanan (Vulnerability) adalah kondisi suatu sistem untuk jangka waktu tertentu
yang mengurangi kemampuan sistem tersebut mencegah, meredam, mencapai
kesiapan, dan menanggapi dampak bahaya tertentu.
Dalam pelaksanaan tugas dan fungsinya, BRIN menggunakan dan menghasilkan data
dan informasi dalam penyelenggaraan SPBE, sehingga infrastruktur, aplikasi dan
layanan SPBE wajib didukung keamanan informasi SPBE secara optimal. Maka
seluruh sumber daya keamanan dan pelaksanaannya harus diatur dalam pedoman
manajemen keamanan informasi SPBE ini.
Dengan mempertimbangan area prioritas yang merujuk pada Peraturan Badan Siber
dan Sandi Negara Nomor 4 Tahun 2021 tersebut diatas, maka isu internal dan
eksternal di lingkungan BRIN dapat didefinisikan sebagai berikut:
4
Area Prioritas Isu Internal Isu Eksternal
skala besar
Kebijakan pengamanan data
pribadi yang mengharuskan pening-
katan keamanan data / informasi
pribadi di lingkungan BRIN.
Aplikasi SPBE Proses pengujian Dinamika perkembangan regulasi,
keamanan pada teknologi dan standard yang me-
pembangunan / nyebabkan aplikasi yang sudah ada
pengembangan aplikasi harus selalu menyesuaikan diri
belum dilakukan secara
konsisten
Aset Pengelolaan Aset Kebijakan penggunaan PDN dan
Infrastruktur Infrastruktur SPBE belum JIP yang harus dilaksanakan oleh
optimal, masih sangat ter- seluruh K/L/PD yang
gantung dengan dukungan mempengaruhi indepensi kendali
pihak ketiga pengelolaan Infrastruktur di ling-
kungan BRIN
Kebijakan BRIN tidak menerapkan Masih tingginya ego sectoral antar
keamanan kebijakan MKI secara ketat K/L yang menyebabkan penerapan
informasi SPBE karena tingkat keamanan SPBE Nasional masih terkendala
data dan informasi tidak interoperabilitasnya
bernilai kritis Penerapan SPBE masih bersifat
sporadic karena semua pelaksana
manajemennya masih harus
ditetapkan dengan SK tahunan,
seharusnya pengelolaan SPBE
menjadi pekerjaan rutin di seluruh
unit kerja terkait koordinasi penye-
lenggaraan SPBE
SDM SPBE Keterbatasan jumlah SDM Belum ada kebijakan dan standar
yang berkompeten di kompetensi pengelola SPBE
bidang keamanan
informasi
Kurangnya kesadaran
pegawai terkait keamanan
informasi
2.3. Penanggungjawab
Penetapan penanggung jawab organisasi Manajemen Keamanan Informasi di
lingkungan BRIN mengacu pada Peraturan Badan Siber dan Sandi Negara Nomor 4
Tahun 2021 diilustrasikan dengan struktur organisasi pada Gambar 1:
5
Penanggungjawab
Koordinator SPBE
Ketua Pelaksana
Teknis
Pembagian wewenang tugas dan tanggung jawab organisasi MKI di BRIN dalam
rangka proses pengamanan informasi adalah sebagai berikut:
1) Penanggung Jawab Keamanan Informasi SPBE BRIN
a. Menetapkan kebijakan sistem keamanan informasi;
b. Mendukung semua aspek program keamanan informasi;
c. Menetapkan pembagian tugas dan tanggung jawab untuk pengambilan
keputusan terkait manajemen risiko keamanan informasi;
d. Menetapkan tingkat risiko keamanan informasi yang dapat diterima;
e. Melakukan evaluasi terhadap hasil penetapan mitigasi risiko;
f. Memantau pelaksanaan perbaikan MKI;
g. Memastikan tersedianya sumber daya dalam pelaksanaan MKI; dan
h. Mengkomunikasikan kepada seluruh pegawai di BRIN mengenai pentingnya
keamanan informasi.
3) Tata Kelola
a. Memastikan setiap dokumen sesuai standar yang berlaku;
b. Memberikan informasi tentang status tahapan aktifitas MKI dan ketaatan ter-
hadap standar yang berlaku;
c. Memastikan perbaikan dan peredaran dokumen MKI dilakukan oleh pihak
yang berwenang sesuai standar dan regulasi yang berlaku;
6
d. Melakukan tinjauan manajemen secara periodik untuk mengevaluasi
pelaksanaan MKI;
e. Mengkomunikasikan pentingnya pencapaian tujuan dan pelaksanaan kes-
esuaian terhadap kebijakan keamanan informasi kepada kelompok kerja lain
yang terkait; dan
f. Mendukung pelaksanaan audit (internal / eksternal) sebagai tim yang sangat
paham tentang dokumentasi MKI.
4) Audit TIK
a. Melaksanakan internal audit MKI di Pusdatin BRIN secara berkala;
b. Mengajukan saran atas tindakan perbaikan yang harus dilakukan; dan
c. Membuat laporan internal audit.
7
8) Pelaksana Teknis Keamanan Data
a. Melaksanakan proses pengamanan data dan informasi dalam rangka MKI;
b. Melaporkan potensi insiden serta ketidaksesuaian terkait dengan MKI sesuai
dengan ketentuan yang berlaku; dan
c. Menindaklanjuti hasil temuan internal audit.
Secara rinci standar teknis dan prosedur keamanan SPBE yang diterapkan di
lingkungan Badan Riset dan Inovasi Nasional adalah sebagai berikut :
8
a. Keamanan data dan informasi;
Standar teknis keamanan data dan informasi terdiri atas terpenuhinya aspek:
1) kerahasiaan;
2) keaslian;
3) keutuhan;
4) kenirsangkalan; dan
5) ketersediaan
Terpenuhinya aspek pada Standar teknis keamanan data dan informasi dilakukan
dengan terpenuhinya prosedur sebagai berikut:
1) Kerahasiaan
Terpenuhinya aspek kerahasiaan dilakukan dengan prosedur:
a. Menetapkan klasifikasi informasi;
b. Menerapkan enkripsi dengan sistem kriptografi; dan
c. Menerapkan pembatasan akses terhadap data dan informasi sesuai
dengan kewenangan dan kebijakan yang telah ditetapkan.
2) Keaslian
Terpenuhinya aspek keaslian dilakukan dengan prosedur:
a. Menyediakan mekanisme verifikasi;
b. Menyediakan mekanisme validasi; dan
c. Menerapkan sistem hash function.
3) Keutuhan
Terpenuhinya aspek keutuhan dilakukan dengan prosedur:
a. Menerapkan pendeteksian modifikasi; dan
b. Menerapkan tanda tangan elektronik tersertifikasi.
4) Kenirsangkalan
Terpenuhinya aspek kenirsangkalan sebagaimana dilakukan dengan
prosedur:
a. Menerapkan tanda tangan elektronik tersertifikasi; dan
b. Penjaminan oleh penyelenggara sertifikasi elektronik melalui
sertifikat elektronik.
5) Ketersediaan
Terpenuhinya aspek ketersediaan dilakukan dengan prosedur sebagai
berikut:
a. Menerapkan sistem pencadangan secara berkala;
b. Membuat perencanaan untuk menjamin data dan Informasi dapat selalu
diakses; dan
c. Menerapkan sistem pemulihan.
b. Keamanan Aplikasi
Aplikasi SPBE sebagaimana dimaksud dilakukan pengujian keamanan setiap
periode tertentu yang dilakukan dengan:
1) Mengidentifikasi persyaratan minimum keamanan yang belum diterapkan;
2) Memastikan pengkodean pemrograman aplikasi yang dibuat tidak memiliki
kerawanan;
3) Melakukan pemindaian otomatis dan/atau pengujian penetrasi sistem;
4) Mengidentifikasi kerentanan dan mengelola ancaman sejak awal siklus
pengembangan Aplikasi SPBE; dan
5) Menganalisis kerentanan.
9
1) Aplikasi berbasis web
Aplikasi berbasis web merupakan aplikasi yang diakses melalui peramban
saat terhubung dengan koneksi internet atau intranet.
1) Autentikasi
Terpenuhinya fungsi autentikasi dilakukan dengan prosedur:
a. Menggunakan manajemen kata sandi untuk proses autentikasi;
b. Menerapkan verifikasi kata sandi pada sisi server;
c. Mengatur jumlah karakter, kombinasi jenis karakter, dan masa ber-
laku dari kata sandi;
d. Mengatur jumlah maksimum kesalahan dalam pemasukan
kata sandi;
e. Mengatur mekanisme pemulihan kata sandi;
f. Menjaga kerahasiaan kata sandi yang disimpan Melalui mekanisme
kriptografi; dan
g. Menggunakan jalur komunikasi yang diamankan untuk proses aut-
entikasi
2) Manajemen sesi
Terpenuhinya fungsi manajemen sesi sebagaimana dimaksud dilakukan
dengan prosedur:
a. Menetapkan otorisasi pengguna untuk membatasi kontrol akses;
b. Mengatur peringatan terhadap bahaya serangan otomatis apabila
terjadi akses yang bersamaan atau akses yang terus-menerus pada
fungsi;
c. Mengatur antarmuka pada sisi administrator; dan
d. Mengatur verifikasi kebenaran token ketika mengakses data dan in-
formasi yang dikecualikan.
10
terjadi akses yang bersamaan atau akses yang terus-menerus pada
fungsi;
c. Mengatur antarmuka pada sisi administrator; dan
d. Mengatur verifikasi kebenaran token ketika mengakses data dan in-
formasi yang dikecualikan
4) Validasi input
Terpenuhinya fungsi validasi input sebagaimana dimaksud dalam
dilakukan dengan prosedur:
a. Menerapkan fungsi validasi input pada sisi server;
b. Menerapkan mekanisme penolakan input jika terjadi kesalahan vali-
dasi; memastikan runtime environment aplikasi tidak rentan terhadap
serangan validasi input;
c. Melakukan validasi positif pada seluruh input;
d. Melakukan filter terhadap data yang tidak dipercaya;
e. Menggunakan fitur kode dinamis;
f. Melakukan pelindungan terhadap akses yang mengandung konten
skrip; dan
g. Melakukan perlindungan dari serangan injeksi basis data.
7) Proteksi data
Terpenuhinya fungsi proteksi data sebagaimana dimaksud dilakukan
dengan prosedur:
a. Melakukan identifikasi dan penyimpanan salinan informasi yang
11
dikecualikan;
b. Melakukan perlindungan dari akses yang tidak sahn terhadap infor-
masi yang dikecualikan yang disimpan sementara dalam aplikasi;
c. Melakukan pertukaran, penghapusan, dan audit informasi yang
dikecualikan;
d. Melakukan penentuan jumlah parameter;
e. Memastikan data disimpan dengan aman;
f. Menentukan metode untuk menghapus dan mengekspor data sesuai
permintaan pengguna; dan
g. Membersihkan memori setelah tidak diperlukan.
8) Keamanan komunikasi
Terpenuhinya fungsi keamanan komunikasi sebagaimana dimaksud
dilakukan dengan prosedur:
a. Menggunakan komunikasi terenkripsi;
b. Mengatur koneksi masuk dan keluar yang aman dan terenkripsi dari
sisi pengguna;
c. Mengatur jenis algoritma yang digunakan dan alat pengujiannya;
dan
d. Mengatur aktivasi dan konfigurasi sertifikat elektronik yang diterbit-
kan oleh penyelenggara sertifikasi elektronik.
12
12) Keamanan API dan web service
Terpenuhinya fungsi keamanan API dan web service dilakukan dengan
prosedur:
a. Melakukan konfigurasi layanan web;
b. Memverifikasi uniform resource identifier API tidak menampilkan in-
formasi yang berpotensi sebagai celah keamanan;
c. Membuat keputusan otorisasi;
d. Menampilkan metode RESTful hypertext transfer protocol apabila in-
put pengguna dinyatakan valid;
e. Menggunakan validasi skema dan verifikasi sebelum
menerima input;
f. Menggunakan metode perlindungan layanan berbasis web; dan
g. Menerapkan kontrol anti otomatisasi.
13
melalui antarmuka pengguna.
14
f. Menentukan mekanisme penanganan error;
g. Mengelola memori secara aman; dan
h. Mengaktifkan fitur keamanan yang tersedia.
15
j. Memblokir layanan yang tidak dikenal;
k. Menerapkan secure socket layer atau transport layer security versi terkini
pada jalur akses Jaringan Intra; dan
l. Menerapkan server perantara saat client mengakses server database da-
lam rangka pemeliharaan.
16
2) Kontrol sistem integrasi;
3) Kontrol perangkat integrator;
4) Keamanan API dan web service; dan
5) Keamanan migrasi data.
17
security di antara pengirim dan penerima API;
b. Menerapkan protokol open authorization versi terkini untuk menjembatani
interaksi antara resource owner, resource server dan/atau third party;
c. Menampilkan metode RESTful hypertext transfer protocol apabila input
pengguna dinyatakan valid;
d. Melindungi layanan web RESTful yang menggunakan cookie dari cross-
site request forgery; dan
e. masuk oleh penerima API untuk memastikan data yang diterima valid dan
tidak menyebabkan kerusakan.
18
2.6. Dukungan Pengoperasian
a) Kompetensi Sumber Daya Manusia
Sumber daya manusia Keamanan SPBE merujuk pada Peraturan BSSN Nomor
4 Tahun 2021 Sumber daya manusia terkait SMKI paling sedikit harus memiliki
kompetensi:
1) Keamanan infrastruktur teknologi, informasi dan komunikasi; dan
2) Keamanan aplikasi.
b) Anggaran
Anggaran Keamanan SPBE disusun berdasarkan perencanaan yang telah
ditetapkan sesuai dengan ketentuan peraturan perundang-undangan.
19
3. Penutup
Penerapan Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik
pada seluruh unit kerja di lingkungan BRIN telah dilaksanakan dengan baik. Dengan
disusunnya Pedoman Manajemen Keamanan Informasi diharapkan mampu
meningkatkan nilai kematangan penerapan keamanan informasi di BRIN. Pedoman
keamanan informasi digunakan sebagai acuan dasar penyelenggaraan keamanan
informasi Sistem Pemerintahan Berbasis Elektronik, mulai dari tahapan tata kelola
sebagai bentuk tanggung jawab penyelenggaraan system elektronik, pengelolaan risiko
sebagai bentuk mitigasi terhadap berbagai ancaman yang muncul, penyusunan kebijakan
dan prosedur, serta pengelolaan aset dan teknologi.
20