DOKUMEN KONTROL KEAMANAN

SISTEM PEMERINTAHAN BERBASIS

ELEKTRONIK
KOTA PASURUAN

Laporan Akhir

TAHUN ANGGARAN
2022
 DAFTAR ISI
DAFTAR ISI 1
DAFTAR GAMBAR 1
DAFTAR TABEL 1
BAB I PENDAHULUAN 1
1.1 LANDASAN HUKUM................................................................................................... 1
1.2 MAKSUD DAN TUJUAN.............................................................................................. 2
1.2.1 MAKSUD............................................................................................................. 2
1.3 SASARAN....................................................................................................................2
1.4 KELUARAN..................................................................................................................2
BAB II TINJAUAN TEORI DAN PUSTAKA 1
2.8.1. BS 7799.................................................................................................................. 5
2.8.2. ITIL..........................................................................................................................5
2.8.3. COBIT......................................................................................................................5
2.8.4. ISO 27000 Family....................................................................................................6
BAB III METODOLOGI PENYUSUNAN 1
3.1 PENDAHULUAN.............................................................................................................. 1
3.2 PENGUMPULAN DATA....................................................................................................3
3.3 PENYUSUNAN KEBIJAKAN PENGAMANAN SISTEM PEMERINTAHAN BERBASIS
ELEKTRONIK..........................................................................................................................5
BAB IV KAJIAN KEBIJAKAN PENGAMANAN INFORMASI 1
4.1 Rencana Strategis Pengamanan Informasi Tahun 2022-2026....................................1
4.2 Rencana Arsitektur Keamanan Informasi...................................................................3
4.2.1 Infrastruktur Teknologi Informasi.....................................................................19
4.2.2 Desain keamanan perangkat teknologi dan keamanan jaringan......................30
4.2.3 Aplikasi keamanan perangkat teknologi informasi dan Keamanan jaringan.........35
4.3 Tata Kelola Keamanan Informasi.............................................................................35
4.3.1 Keamanan Sumber Daya Teknologi Informasi.......................................................35
4.3.2 Keamanan Akses Kontrol.......................................................................................36
(1) Pemberian setiap hak akses, baik lojik maupun fisik(seperti ruang DC/DRC)........36
(2) Tingkatan akses.....................................................................................................36
(3) Pemberian hak akses.............................................................................................37
(4) Hak akses pengguna..............................................................................................37
(5) Tata cara pendaftaran, penutupan dan peninjauan hak akses..............................37
(6) Akses Pihak Ketiga.................................................................................................37

Dokumen Persandian DAFTAR ISI| 1

 (7) Pengelolaan Password.......................................................................................... 37
4.3.3 Keamanan Data dan Informasi..............................................................................38
4.3.4 Keamanan Sumber Daya Manusia.........................................................................40
4.3.5 Keamanan Jaringan............................................................................................... 42
4.3.6 Keamanan Surat Elektronik...................................................................................43
4.3.7 Keamanan Pusat Data............................................................................................44
4.3.8 Keamanan Komunikasi..........................................................................................45
BAB V KAJIAN PENGELOLAAN SUMBER DAYA KEAMANAN INFORMASI 1
5.1 Pengelolaan Aset Keamanan Teknologi Informasi Komunikasi..................................1
5.2 Pengelolaan Sumber Daya Manusia...........................................................................3
5.2.1 Pengembangan Kompetensi....................................................................................3
5.2.2 Pembinaan Karir......................................................................................................6
5.2.3 Pendayagunaan.......................................................................................................6
5.2.4 Pemberian Tunjangan Pengamanan Persandian.....................................................7
5.2.5 Manajemen Pengetahuan.......................................................................................8
BAB VI KAJIAN PENGAMANAN SISTEM ELEKTRONIK DAN PENGAMANAN INFORMASI
NONELEKTRONIK 1
6.1 Penjaminan Kerahasiaan, Keutuhan, Ketersediaan, Keaslian, dan Nirsangkal Terhadap
Data dan Informasi...............................................................................................................1
6.4 Penjaminan Ketersediaan Infrastruktur yang Terdiri Atas Pusat Data, Jaringan Intra
Pemerintah, dan Sistem....................................................................................................... 3
6.4 Penjaminan Keutuhan, Ketersediaan, dan Keaslian Aplikasi........................................12
BAB VII EVALUASI PENYEDIAAN LAYANAN KEAMANAN INFORMASI 1
7.1 Identifikasi Kerentanan dan Penilaian Risiko Terhadap Sistem Elektronik.....................1
7.2 Asistensi dan Fasilitasi Penguatan Keamanan Sistem Elektronik..................................12
7.3 Penerapan Sertifikat Elektronik Untuk Melindungi Sistem Elektronik dan Dokumen
Elektronik........................................................................................................................... 19
7.4 Perlindungan Informasi Melalui Penyediaan Perangkat Teknologi Keamanan Informasi
dan Jaring Komunikasi Sandi..............................................................................................27
a. Peningkatan Perilaku Tidak Etis yang Timbul Dari Anonimitas................................28
b. Konflik Kepemilikan dan Kontrol Informasi..........................................................28
c. Kesenjangan Informasi dan Kesejahteraan Diantara Kelas dan Negara...................29
d. Pertumbuhan Keterbukaan Informasi Disebabkan Oleh Majunya Jaringan.........29
e. 4R Keamanan Informasi.......................................................................................29
f. Pengurangan Risiko (Peringanan Risiko)..................................................................30
g. Penerimaan Risiko................................................................................................... 30

Dokumen Persandian DAFTAR ISI| 2

 h. Pemindahan Risiko...............................................................................................30
i. Penghindaran Risiko................................................................................................ 30
j. Meningkatnya Ancaman Dari Serangan Infrastruktur..............................................31
k. Pengamanan Administratif......................................................................................32
l. Strategi Keamanan Informasi...................................................................................32
m. Kebijakan Keamanan Informasi............................................................................32
n. Pedoman Keamanan Informasi............................................................................32
o. Standar Keamanan Informasi...............................................................................33
p. Jaring Komunikasi Sandi.......................................................................................33
7.5 Fasilitasi Sertifikasi Penerapan Manajemen Pengamanan Sistem Elektronik...............34
7.6 Audit Keamanan Sistem Elektronik...............................................................................35
7.7 Audit Keamanan Pelaksanaan Sistem Manajemen.......................................................38
7.8 Literasi Keamanan Informasi Dalam Rangka Peningkatan Kesadaran Keamanan
Informasi dan Pengukuran Tingkat Kesadaran Keamanan Informasi di Lingkungan
Pemerintah Daerah dan Publik...........................................................................................42
7.9 Peningkatan Kompetensi Sumber Daya Manusia di Bidang Keamanan Informasi
dan/atau Persandian..........................................................................................................44
7.10 Pengelolaan Pusat Operasi Pengamanan Informasi...................................................44
7.11 Penanganan Insiden Keamanan Sistem Elektronik.....................................................44
7.12 Forensik Digital...........................................................................................................45
a. Identifikasi............................................................................................................... 45
b. Penyimpanan....................................................................................................... 45
c. Analisa..................................................................................................................... 45
d. Presentasi.............................................................................................................45
7.13 Perlindungan Informasi pada Kegiatan Penting Pemerintah Daerah Melalui Teknik
Pengamanan Gelombang Frekuensi atau Sinyal.................................................................45
7.14 Perlindungan Informasi pada Aset/Fasilitas Penting Milik atau yang Akan Digunakan
Pemerintah Daerah Melalui Kegiatan Kontra Penginderaan..............................................45
7.15 Konsultasi Keamanan Informasi Bagi Pengguna Layanan...........................................45
7.16 Jenis Layanan Keamanan Informasi lainnya...............................................................47
BAB VIII KESIMPULAN & PENUTUP 1

Dokumen Persandian DAFTAR ISI| 3

 DAFTAR GAMBAR

Gambar 3. 1 Metodologi Kegiatan 1

Gambar 4. 1 Referensi Arsitektur Keamanan 4

Gambar 4. 2 Struktur Referensi Arsitektur Keamanan SPBE 5
Gambar 4. 3 Infrastruktur SPBE 9
Gambar 4. 4 Arsitektur Infrastruktur Teknologi Informasi 11
Gambar 4. 5 Topologi Jaringan OPD Keseluruhan 13
Gambar 4. 6 Topologi Jaringan antar OPD di Kota Pasuruan 14
Gambar 4. 7 Topologi Jaringan Komputer Kota Pasuruan 14
Gambar 4. 8 Disain infrastruktur Data Centre yang ideal 20
Gambar 4. 9 Keamanan SPBE 21
Gambar 4. 10 Elemen - Elemen Keamanan Informasi 30

Gambar 7. 1 Interelasi antara LSK dan PsrE 23

Gambar 7. 2 Hubungan antara Risiko dan Aset Informasi 30
Gambar 7. 3 Penilaian Indeks KAMI 47

Dokumen Persandian DAFTAR ISI| 4

 DAFTAR TABEL

Tabel 2. 1 Arah Kebijakan dan Strategi 2020-2024 9

Tabel 4. 1 Perencanaan strategis Arsitektur Keamanan 1

Tabel 4. 2 Deskripsi Referensi Arsitektur 5
Tabel 4. 3 Pemetaan Referensi Arsitektur Keamanan 7
Tabel 4. 4 Keterkaitan Pemetaan Referensi Arsitektur Keamanan 8
Tabel 4. 5 Gambaran umum arsitektur jaringan 11

Tabel 5. 1 Mekanisme Pengumpulan Pengetahuan SPBE 11

Tabel 5. 2 Mekanisme pengolahan, penyimpanan, dan penggunaan pengetahuan SPBE
menggunakan SECI 13
Tabel 5. 3 Alih Pengetahuan dan Bantuan Teknologi dalam Manajemen Pengetahuan 15

Tabel 6. 1 Standar Teknis Dan Prosedur Keamanan Data Dan Informasi 2

Tabel 6. 2 Standar Teknis Dan Prosedur Keamanan Pusat Data Nasional 3
Tabel 6. 3 Standar Teknis Dan Prosedur Keamanan Jaringan Intra 5
Tabel 6. 4 Standar Teknis Dan Prosedur Keamanan Sistem Penghubung Layanan 9
Tabel 6. 5 Standar Teknis Dan Prosedur Keamanan Aplikasi Spbe (Berbasis Web) 14
Tabel 6. 6 Standar Teknis Dan Prosedur Keamanan Aplikasi Spbe (Berbasis Mobile) 19

Tabel 7. 1 Identifikasi Kerentanan 1

Tabel 7. 2 Kategori Aset TI 3
Tabel 7. 3 PDCA 8

Dokumen Persandian DAFTAR ISI| 5

 BAB I PENDAHULUAN
PENDAHULUAN

Bahwa pengamanan sistem pemerintahan berbasis elektronik di daerah sebagaimana

dimaksud dalam Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan
Berbasis Elektronik merupakan salah satu ketentuan umum untuk malakukan
pengendalian terpadu dalam sistem pemerintahan berbasis elektronik. Keamanan
informasi/SPBE juga mencakup penjaminan kerahasiaan, keutuhan, ketersediaan, keaslian,
dan kenirsangkalan (nonrepudiation) sumber daya terkait data dan informasi, Infrastruktur
SPBE, dan Aplikasi SPBE dilakukan melalui penetapan klasifikasi keamanan, pembatasan
akses, dan pengendalian keamanan lainnya kegiatan di bidang pengamanan data/informasi
yang dilaksanakan dengan menerapkan konsep, teori, seni dan ilmu kripto beserta ilmu
pendukung lainnya secara sistematis, metodologis dan konsisten serta terkait pada etika
profesi sandi dalam bentuk upaya, kegiatan dan tindakan untuk mewujudkan keamanan
informasi/Sistem Pemerintahan Berbasis Elektronik.

Kondisi saat ini di lingkungan Pemerintah Kota Pasuruan yang dalam hal ini untuk
urusan keamanan SPBE diampu oleh Dinas Komunikasi Informatika dan Statistik belum
terdapat dokumen yang dapat digunakan sebagai panduan baku dalam pelaksanaan kontrol
pengamanan SPBE di daerah.

Merujuk pada pasal 4 Peraturan Kepala Badan Siber dan Sandi Negara Nomor 10
Tahun 2019 bahwa dokumen panduan ini sekurang-kurangnya terdapat ketentuan yang
mengatur tentang Kebijakan pengamanan informasi, Pengelolaan Sumber Daya Keamanan
Informasi, Pengamanan Sistem Elektronik dan Pengamanan Informasi Nonelektronik dan
Penyediaan Layanan Keamanan Informasi.

Di saat ini, pencurian data, kejahatan dunia maya, dan tanggung jawab atas kebocoran
privasi merupakan risiko yang harus diperhitungkan oleh semua lingkup pemerintahan.
Setiap bisnis perlu berpikir secara strategis mengenai kebutuhan keamanan informasinya,
dan bagaimana hal tersebut terkait dengan tujuan, proses, ukuran, dan strukturnya.
Pemerintah Kota Pasuruan memerlukan panduan dari semua sektor aktivitas untuk

Dokumen Persandian DAFTAR ISI| 1

menetapkan, menerapkan, memelihara, dan terus meningkatkan sistem manajemen
keamanan informasi

1.1 LANDASAN HUKUM

Adapun landasan hukum dari kegiatan ini adalah:

1. Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis

Elektronik
2. Peraturan Presiden Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara
3. Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi
Nomer 59 tahun 2020 tentang Pemantauan dan Evaluasi Sistem Pemerintahan
Berbasis Elektronik
4. Peraturan Permenpan RB No 19 tahun 2018 tentang Penyusunan Peta Proses
Bisnis
5. Peraturan Badan Siber dan Sandi Negara Nomor 10 tahun 2021 tentang
Pelaksanaan Persandian Untuk Pengamanan Informasi
6. Peraturan Badan Siber dan Sandi Negara Nomor 4 tahun 2021 tentang
Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis
Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan
Berbasis Elektronik
7. Peraturan Badan Siber dan Sandi Negara Nomor 9 tahun 2021 tentang
Perubahan Indeks Keamanan Informasi
8. Peraturan Badan Siber dan Sandi Negara Nomor 8 tahun 2021 tentang
Penyelenggaraan Penilaian Kesiapan Penerapan SNI ISO/IEC 27001
Menggunakan Indeks Keamanan Informasi

1.2 MAKSUD DAN TUJUAN

➢ 1.2.1 MAKSUD
1. Menyediakan dokumen kontrol keamanan SPBE yang memuat antara lain :

▪ Kebijakan dan Pedoman Pengamanan dan Pengelolaan Aset

▪ Kebijakan dan Pedoman Keberlanjutan Bisnis dan Kemanan Informasi

Dokumen Persandian DAFTAR ISI| 2

 ▪ Kebijakan dan Pedoman Keamanan Jaringan

▪ Kebijakan dan Pedoman Pengelolaan Data Center

▪ Konteks dan Ruang Lingkup SMKI

1.2.2 TUJUAN
Tujuan yang ingin dicapai dari kegiatan ini adalah :
Dokumen akan digunakan sebagai pedoman baku dalam pengamanan SPBE
di lingkungan Pemerintah Kota Pasuruan.

1.3 SASARAN
Sasaran dari kegiatan ini adalah:
1. Meningkatnya pemenuhan kepatuhan terhadap peraturan yang berlaku dalam
pelaksanaan persandian untuk pengamanan informasi di lingkungan Pemerintah
Kota Pasuruan.
2. Meningkatnya pemenuhan kebutuhan dokumen pengamanan sistem
pemerintahan berbasis elektronik di Pemerintah Kota Pasuruan

1.4 KELUARAN
Hasil keluaran dari pekerjaan ini adalah sebagai berikut:

● Laporan Pendahuluan berisi:

1. Latar belakang, dasar hukum, maksud, tujuan, sasaran, lokasi, ruang lingkup
pekerjaan, penjadwalan, metodologi, dan sumber daya lainnya yang dibutuhkan
dan digunakan dalam pelaksanaan pekerjaan.
2. Landasan Teori
3. Metodelogi penyusunan

● Laporan Akhir terdiri dari:

1. Ringkasan Eksekutif (executive summary)

2. Pendahuluan, terdiri dari latar belakang, dasar hukum, maksud, tujuan, sasaran,
lokasi, ruang lingkup pekerjaan, penjadwalan, metodologi, dan sumber daya
lainnya yang dibutuhkan dan digunakan dalam pelaksanaan pekerjaan.
Dokumen Persandian DAFTAR ISI| 3
 3. Landasan Teori
4. Kebijakan Kontrol Keamanan
5. Penutup
6. Lampiran-lampiran yang diperlukan.

Dokumen Persandian DAFTAR ISI| 4

 BAB II
TINJAUAN TEORI DAN PUSTAKA

2.1. SISTEM INFORMASI

Data adalah setiap Informasi Elektronik yang dibuat, diteruskan, dikirimkan,
diterima, atau disimpan dalam bentuk analog, digital, elektromagnetik, optikal, atau
sejenisnya, yang dapat dilihat, ditampilkan, dan/atau didengar melalui Komputer atau
Sistem Elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta,
rancangan, foto atau sejenisnya, huruf, tanda, angka, kode akses, simbol atau perforasi
yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu
memahaminya.
Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi
tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data
interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau
sejenisnya, huruf, tanda, angka, kode akses, simbol, atau perforasi yang telah diolah yang
memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.
Informasi adalah keterangan, pernyataan, gagasan, dan tanda-tanda yang
mengandung nilai, makna, dan pesan, baik data, fakta maupun penjelasannya yang dapat
dilihat, didengar, dan dibaca yang disajikan dalam berbagai kemasan dan format sesuai
dengan perkembangan teknologi informasi dan komunikasi secara elektronik ataupun non
elektronik.
Sistem Informasi adalah serangkaian perangkat dan prosedur elektronik yang
berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan,
menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Data dan Informasi
melalui jaringan komunikasi (Peraturan Menteri Pertahanan RI No.21 Tahun 2011).

2.2. TEKNOLOGI INFORMASI

Teknologi Informasi adalah penerapan teknologi komputer yang berfungsi untuk
menciptakan, menyimpan, mempertukarkan dan menggunakan informasi dalam berbagai
bentuk (Fauziah, 2010). Selain itu pengertian Teknologi Informasi merupakan sebuah bentuk
umum yang menggambarkan setiap teknologi yang membantu menghasilkan,

Dokumen Persandian DAFTAR ISI| 1

memanipulasi, menyimpan, mengkomunikasikan dan menyampaikan informasi (Seesar,
2010).

2.3. TATA KELOLA KEAMANAN TEKNOLOGI INFORMASI

Tata Kelola Keamanan Teknologi Informasi sangat penting dan sangat dibutuhkan
oleh Instansi Pemerintahan. Tata Kelola Keamanan Informasi atau Information Security
Governance merupakan bagian dari tata kelola sebuah lembaga (perusahaan atau lembaga
pemerintahan) yang memberikan arahan strategi, memastikan bahwa tujuan perusahaan
dicapai, mengelola resiko, menggunakan sumber daya organisasi secara bertanggung jawab,
dan mengawasi berhasil atau gagalnya program keamanan. Tata Kelola Teknologi Informasi
sendiri memiliki beberapa referensi pengertian menurut para ahli.
IT Governance (Tata Kelola TI) merupakan suatu bagian internal dari tata kelola
perusahaan yang terdiri atas kepemimpinan, struktur dan proses organisasional yang
memastikan bahwa TI organisasi berlanjut serta meningkatkan tujuan dan strategi
organisasi (ITGI, 2007). Selain itu pengertian Tata Kelola TI adalah sebagai struktur dan
proses pengambilan keputusan TI di tingkat korporat untuk mengerahkan perilaku yang
diinginkan dari insan TI dan memastikan keberhasilan TI dalam rangka penciptaan nilai bagi
para stakeholder (Jogiyanto dan Abdillah, 2011).

2.4. TUJUAN TATA KELOLA TEKNOLOGI INFORMASI

Tujuan Tata Kelola Teknologi Informasi adalah mengontrol penggunaannya dalam
memastikan bahwa kinerja Teknologi Informasi memenuhi dan sesuai dengan tujuan
berikut:
● Menyelaraskan TI dengan strategi organisasi serta realisasi dan keuntungan-
keuntungan yang telah dijanjikan dari penerapan TI.
● Penggunaan TI memungkinkan perusahaan mengeksploitasi kesempatan yang ada
dan memaksimalkan keuntungan.
● Penggunaan sumber daya TI yang bertanggung jawab.
● Penanganan manajemen resiko yang terkait IT secara tepat (Surendro, 2009).

Dokumen Persandian DAFTAR ISI| 2

2.5. TATA KELOLA TEKNOLOGI INFORMASI NASIONAL
Penyelenggaraan Pemerintah dalam rangka pelayanan publik memerlukan Good
Governance. Implementasi Good Governance akan menjamin transparansi, efisiensi dan
efektivitas penyelenggaraan Pemerintah. Dengan sisi lain, pengguna TIK pada institusi
Pemerintah sudah dilakukan sejak lama dan terus berkembang. Untuk memastikan
pengguna TIK tersebut benar-benar mendukung tujuan penyelenggaraan Pemerintah
dengan memperhatikan efisiensi penggunaan sumber daya dan pengelolaan resiko.
Berdasarkan Peraturan Meteri Komunikasi dan Infromatika Nomor
41/PER/MEN/KOMINFO/11/2007, terdapat 5 lingkup proses tata kelola yaitu :
1) Perencanaan Sistem
Proses ini menangani identifikasi kebutuhan organisasi dan formulasi inisiatif-inisiatif
TIK apa saja yang dapat memenuhi kebutuhan organisasi tersebut.
2) Manajemen Belanja/Investasi
Proses ini menangani pengelolaan investasi/belanja TIK.
3) Realisasi Sistem
Proses ini menangani pemilihan, penetapan, pengembangan/akuisisi sistem TIK serta
manajemen proyek TIK.
4) Pengoperasian Sistem
Proses ini menangani operasi TIK yang memberikan jaminan tingkat layanan dan
keamanan sistem TIK yang dioperasikan.
5) Pemeliharaan Sistem
Proses ini menangani pemeliharaan aset-aset TIK untuk mendukung pengoperasian
sistem yang optimal.

2.6. KEAMANAN TEKNOLOGI INFORMASI

Keamanan Teknologi Informasi adalah sebuah rencana untuk mencegah resiko yang
berhubungan dengan pemrosesan informasi. Rencana tersebut terdiri dari 3 elemen dasar
yaitu, Confidentiality (pencegahan dari pengguna yang tidak berhak mengakses informasi),
Integrity (memastikan bahwa informasi yang ada itu akurat, utuh dan tidak berubah), dan
Availability (memastikan pengguna dapat mengakses informasi yang dibutuhkan). Ketiga

Dokumen Persandian DAFTAR ISI| 3

elemen tersebut saling berhubungan untuk melindungi informasi yang harusnya dilindungi
sebagai aset yang sama pentingnya seperti aset bisnis lainnya (Wylder, 2003).
Keamanan Teknologi Informasi adalah sebuah program yang bertujuan untuk
melindungi sumber daya yang penting dalam suatu organisasi, seperti informasi, hadware,
software dengan cara memilah dalam penggunaan aplikasi keamanan yang tepat. Keamanan
Sistem Informasi membantu organisasi untuk memenuhi visi dan misi organisasi tersebut
dengan melindungi aset fisik dan aset finansial, rputasi organisasi, posisi hukum, para
pekerja dan aset-aset lainnya yang terukur maupun tidak terukur (Peltier, 2013).

2.7. PENTINGNYA KEAMANAN TEKNOLOGI INFORMASI

Keamanan Teknologi Informasi terutama terkait data penting menjadi hal yang
krusial bagi lembaga Pemerintahan yang menggunakan internet sebagai komponen utama
dalam operasional pelayanan. Kebutuhan industri untuk internet yang aman berbanding
terbalik dengan fakta bahwa kasus keamanan di internet berulang-ulang terjadi. Selain itu
kasus pembobolan keamanan yang terjadi pada suatu Instansi Pemerintahan sangat
merugikan. Oleh sebab itu, kemanan informasi semestinya menjadi hal yang perlu
diutamakan karena akan mempengaruhi seluruh aspek kinerja pelayanan Instansi
Pemerintahan (Garg, Curtis & Halper : 2003).
Ada beberapa faktor yang menyebabkan kebutuhan akan pentingnya keamanan
pada sistem informasi :
● Untuk memenuhi Peraturan Perundang-Undangan
● Meningkatnya kegiatan pencurian data
● Meningkatnya kegiatan hacktivism
● Meningkatnya wilayah ancaman dari internet
● Tren konsumerisme Teknologi Informasi, seperti penggunaan perangkat pribadi pada
lingkungan perusahaan (Andersen, 2015).

2.8. KERANGKA KERJA KEAMANAN TEKNOLOGI INFORMASI

Kerangka kerja adalah suatu struktur konseptual dasar yang digunakan untuk
memecahkan atau menangani suatu masalah. Dalam bidang perangkat lunak (software)
digunakan untuk menggambarkan suatu desain sistem. Sedangkan pada bidang manajemen
Dokumen Persandian DAFTAR ISI| 4
kerangka kerja digunakan untuk menggambarkan suatu konsep yang memungkinkan
penanganan berbagai jenis bisnis.

2.8.1. BS 7799
BS 7799 adalah sebuah standar yang dipublikasikan oleh British Standard Institution
(BSI) Group pada tahun 1995. Standar ini ditulis oleh United Kongdom Government’s
Department of Trade and Industry (DTI) yang terdiri dari beberapa bagian. Bagian pertama
yang merupakan panduan untuk keamanan sistem informasi, telah diperbaiki lagi pada
tahun 1998 dan menjadi rujukan ISO pada ISO 17799. Bagian kedua dipublikasikan pada
tahun 1999 yang dikenal dengan sebutan BSS 7799 part 2 dengan judul “Information
Security Management System - Specification with Guidance for use”. BSS 7799 part 2 ini
berfokus pada bagaimana untuk menerapkan manajemen keamanan sistem informasi,
berdasarkan pada struktur dan kontrol manajemen keamanan informasi yang diidentifikasi
oleh BSS 7799-2 yang nantinya akan menjadi rujukan dibentuknya ISO 27001. Pada tahun
2002, BSS 7799-2 mulai memperkenalkan plan-do-check-act (PDCA) (Deming quality
assurance model) dan mengkombinasikannya dengan standar-standar lainnya seperti ISO
9000 (British Standard Institution, 2017).

2.8.2. ITIL
ITIL (The Information Technology Infrastructure Library) mulai digunakan pada tahun
1980-an ketika pemerintah Britania Raya menganggap bahwa level dari servis Teknologi
Informasi yang tersedia tidak memadai. ITIL adalah suatu kumpulan konsep dan praktik
untuk manajemen servis teknologi informasi, pengembangan teknologi informasi dan
operasional teknologi informasi, dimana ada bagiannya yang fokus pada keamanan. ITIL
sebenarnya adalah sebuah kumpulan dari berbagai buku yang di setiap bukunya mencakup
suatu praktik khusus dalam suatu manajemen servis Teknologi Informasi yang dibentuk oleh
W. Edwards Deming bersama dengan PCDA cycle yang merupakan temuannya juga. ITIL
terdiri dari 8 komponen utama yaitu, Service Support, Service Delivery, ICT Infrastructure
Management, Security Management, Application Management, Software Asset
Management, Planning to Implement Service Management dab Small-Scade
Implementation (Axelos, 2017).

Dokumen Persandian DAFTAR ISI| 5

2.8.3. COBIT
COBIT adalah suatu kerangka praktik prima di bidang Teknologi Informasi. COBIT
menyediakan bagi manajer, auditor Teknologi Informasi dan pengguna dengan ukuran-
ukuran, indikator dan proses suatu kerangka praktik prima yang dapat membantu
memaksimalkan manfaat yang dapat diperoleh dari Teknologi Informasi dan sekaligus untuk
membangun suatu sistem pengelolaan dan pengendalian Teknologi Informasi di suatu
organisasi (Nugroho, 2008).
Pada tahun 1996 COBIT versi 1 muncul dengan lingkup wilayah Audit. Selanjutnya
pada tahun 1998, COBIT versi 2 muncul yang lebih menekankan pada wilayah kontrol.
Kemudian COBIT versi 3 menyusul di tahun 2000 dengan caupan wilayah pada area
manajemen. Pada tahun 2005 muncul COBIT versi 4 dan diperbaharui lagi pada Mei 2007
menjadi COBIT versi 4.1 dengan pedoman pada tata kelola Teknologi Informasi. Selanjutnya
pada tahun 2012 dirilis COBIT versi 5 dengan penekanan pada tata kelola Teknologi
Informasi di perusahaan yang masih dipakai hingga saat ini. COBIT juga mengeluarkan
panduan khusus untuk keamanan informasi pada COBIT 5 for Information Security dalam
salah satu lini standar yang disediakan oleh COBIT.

2.8.4. ISO 27000 Family

Dokomen ISO 27000 Series merupakan standar dalam Information Security
Management System yang dikembangkan oleh International Organization for
Standardization (ISO). Dalam sejarahnya ISO 27000 Series tidak lepas dari standar
sebelumnya yang juga terkait dengan keamanan informasi yaitu, BS (British Standard) 7799
dan ISO 17799. Pemindahan seri ini bertujuan untuk mengelompokkan seri-seri terkait
standar keamanan informasi dalam satu seri.
Adapun penjelasan dari beberapa seri dalam ISO 27000 family adalah sebagai
berikut:
● ISO/IEC 27000: Mencakup daftar kata dan istilah yang digunakan dalam standar ini.

Dokumen Persandian DAFTAR ISI| 6

 ● ISO/IEC 27001 (BS 7799-2): Mencakup spesifikasi dari ISMS based ISO 27000 dan
menyediakan model untuk implementasi, operasi, monitoring, reviewing,
maintaining dan improvement dari ISMS.
● ISO/IEC 27002 (ISO 17799) : Mencakup detail dari kontrol yang ada (code of
practices).
● ISO/IEC 27003 : Mencakup panduan mengenai bagaimana mengimplementasikan
ISMS yang mencakup konsep PDCA.
● ISO/IEC 27004 : Mencakup panduan tentang metode pengukuran, bagaimana
mengukur efektifitas dari ISMS yang telah terimplementasi dan panduan memilih
metrics dalam proses alignment dengan ISO 27002.
● ISO/IEC 27005 : Mencakup panduan mengenai implementasi Information Security
Risk Management dan kebutuhan lain dalam sertifikasi ISO 27000.
● ISO/IEC 27006:2007 : Mencakup audit terhadap ISMS dan sertifikasi dari ISMS
beserta kriteria sertifikasi dari ISMS.

2.9. PERSANDIAN TEKNOLOGI INFORMASI

Persandian adalah kegiatan di bidang pengamanan sistem informasi yang
dilaksanakan dengan menerapkan konsep, teori dan seni dari ilmu kripto beserta ilmu
pendukung lainnya secara sistematis, metodologis dan konsisten serta terikat pada etika
profesi sandi.
Persandian Pertahanan adakah kegiatan di bidang pengamanan data dan informasi
pertahanan yang dilaksanakan melalui penerapan ilmu kripto, pengamanan sistem informasi
dan pengamanan sinyal serta pengumpulan keterangan melalui kegiatan kripto analisis
guna mendukung penyelenggaraan pertahanan negara.
Sistem Persandian adalah suatu totalitas dari kegiatan pembinaan sumber daya
manusia, perangkat lunak dan perangkat keras persandian yang satu sama lain saling terkait,
saling ketergantungan dan saling mempengaruhi sebagai satu kesatuan yang terpadu dan
utuh dalam ranqka terselenggaranya kegiatan pengamanan informasi serta kegiatan analisis
sandi (Peraturan Menteri Pertahanan RI No.21 Tahun 2011).
Di Indonesia kegiatan Persandian dan Keamanan Sistem Informasi dilaksanakan oleh
BSSN (Badan Siber dan Sandi Negara). Berdasarkan Peraturan Presiden Nomor 53 Tahun
Dokumen Persandian DAFTAR ISI| 7
2017, Badan Siber dan Sandi Negara (BSSN) mempunyai tugas melaksanakan keamanan
siber secara efektif dan efisien dengan memanfaatkan, mengembangkan, dan
mengonsolidasikan semua unsur yang terkait dengan keamanan siber.
Selain melaksanakan tugas tersebut, BSSN juga menyelenggarakan fungsi :
● Penyusunan, pelaksanaan, pemantauan, dan evaluasi kebijakan teknis di bidang
identifikasi, deteksi, proteksi, penanggulangan, pemuihan, pemantauan, evaluasi,
pengendalian proteksi e-commerce, persandian, penapisan, diplomasi siber, pusat
manajemen krisis siber, pusat kontak siber, sentra informasi, dukungan mitigasi,
pemulihan penanggulangan kerentanan, insiden dan/atau serangan siber.
● Pengoordinasian kegiatan fungsional dalam pelaksanaan tugas BSSN dan sebagai
wadah koordinasi bagi semua pemangku kepentingan.
● Pelaksanaan pembinaan dan pemberian dukungan administrasi kepada seluruh unit
organisasi di lingkungan BSSN.
● Pengawasan atas pelaksanaan tugas.
● Pelaksanaan dukungan yang bersifat subtantif kepada seluruh unsur organisasi di
lingkungan BSSN.
● Pelaksanaan kerjasama nasional, regional, dan internasional dalam urusan keamanan
siber.
Dalam melaksanakan tugas dan fungsi, BSSN harus menyusun peta bisnis proses yang
menggambarkan tata hubungan kerja yang efektif dan efisien antar unit organisasi di
lingkungan BSSN.

2.10. ARAH KEBIJAKAN TEKNOLOGI INFORMASI

Dalam mendukung pencapaian Tujuh Agenda Pembangunan pada RPJMN 2020-
2024, Renstra 2020-2024 Kemenkominfo akan fokus untuk mendukung mewujudkan
Transformasi Digital Nasional. Seperti yang dicantumkan di dalam RPJMN, Transformasi
Digital Nasional merupakan upaya untuk mengoptimalkan peranan teknologi digital dalam
meningkatkan daya saing bangsa dan sebagai salah satu sumber pertumbuhan ekonomi
Indonesia ke depan. Untuk mencapainya, strategi yang dilakukan adalah dengan
mengembangkan ekosistem digital nasional (sebagai supply), baik ekosistem infrastruktur
TIK maupun ekosistem industri TIK, dan memastikan pemanfaatannya (sebagai sisi demand).
Dokumen Persandian DAFTAR ISI| 8
Pandemi Covid-19 yang terjadi di tahun 2020, mendorong munculnya desakan untuk
mempercepat ketersediaan akses internet broadband ke seluruh wilayah Indonesia, dan
percepat digitalisasi di semua sektor. Selaras juga dengan arahan Presiden untuk melakukan
percepatan digitalisasi nasional, maka Renstra Kemenkominfo 2020—2024 akan fokus pada
upaya percepatan transformasi digital nasional.

Tabel 2. 1 Arah Kebijakan dan Strategi 2020-2024

No Arah Kebijakan Strategi

1. Mempercepat penyelesaian penyediaan

internet cepat dan berkualitas di daerah yang
Menuntaskan penyediaan internet secara ekonomi kurang layak bagi
cepat dan berkualitas di kelurahan operator,termasuk lokasi layanan publik;
1
yang belum terlayani termasuk 2. Mempercepat digitalisasi penyiaran (analog
lokasi layanan publik switch off), untuk meraih digital dividend; dan
3. Farming dan refarming frekuensi untuk layanan
internet cepat dan berkualitas.

1. Menata alokasi frekuensi untuk memenuhi

kebutuhan implementasi next broadband (5G);
Mendorong penerapan teknologi 2. Mengembangkan dan mengimplementasikan
2
berorientasi ke depan teknologi 5G nasional; dan
3. Penyediaan teknologi pengendalian konten di
internet untuk internet bersih dan aman.

1. Mengakselerasi kompetensi SDM talenta digital

Mengembangkan SDM talenta
dan meningkatkan literasi digital masyarakat; dan
3 digital dan ekosistem ekonomi
2. Mempercepat transformasi digital pada sektor-
digital
sektor ekonomi dan bisnis.

4 Integrasi Pusat Data Nasional dan 1. Mempercepat pembangunan dan pemanfaatan

transformasi digital pemerintahan Pusat Data Nasional menuju Satu Data Indonesia;
dan
2. Mendukung percepatan implementasi Sistem

Dokumen Persandian DAFTAR ISI| 9

 Pemerintahan Berbasis Elektronik (SPBE).

1. Mendorong penyelesaian kebijakan dan

Mempercepat penyelesaian regulasi terkait TIK baik Undang-Undang, Perpres,
5
legislasi primer ataupun Peraturan Menteri, meningkatkan
koordinasi dengan pemangku kepentingan terkait.

1. Membangun pengelolaan komunikasi publik

Melakukan orkestrasi komunikasi yang efektif dan terorganisir; dan
6 publik melibatkan perangkat 2. Membangun tim yang solid dan responsif dalam
pemerintah pusat dan daerah mengkonter hoaks dan diseminasi kebijakan
pemerintah.

1. Mendorong inovasi dalam manajemen internal

Meningkatkan kualitas layanan
7 antara lain penerapan smart services, dan inovasi
manajemen internal
perencanaan penganggaran.

Dalam agenda pembangunan penguatan stabilitas politik, hukum, pertahanan dan

keamanan Tahun 2020-2024 diarahkan pada pemantapan stabilitas keamanan nasional
untuk mewujudkan rasa aman dan damai bagi seluruh rakyat, serta keutuhan wilayah
negara kesatuan republik Indonesia dan kedaulatan negara dari berbagai ancaman, baik dari
dalam maupun luar negeri. Kondisi tersebut merupakan prasyarat untuk mendukung
terlaksananya pembangunan nasional. Arah kebijakan dan strategi nasional untuk
mengatasi isu-isu strategis dalam menjaga stabilitas keamanan nasional di ruang siber
adalah penguatan keamanan dan ketahanan siber yang diwujudkan dengan strategi berikut:
1) Penguatan pengamanan infrastruktur siber.
2) Pembangunan dan penguatan computer emergency response team.
3) Pencegahan kejahatan siber dan peningkatan kerjasama internasional bidang siber.
4) Penguatan kapasitas sumber daya manusia keamanan siber.
5) Penyelesaian kejahatan siber clearance rate tindak pidana siber.
Arah kebijakan di atas diperkuat dengan adanya proyek prioritas strategis penguatan
ketahanan dan keamanan siber. Proyek prioritas strategis ini dimaksudkan sebagai
penajaman proyek-proyek prioritas yang dianggap memiliki nilai strategis dan daya ungkit
Dokumen Persandian DAFTAR ISI| 10
dalam mencapai sasaran prioritas pembangunan nasional di bidang keamanan nasional.
Selain itu, dalam RPJMN Tahun 2020-2024 BSSN juga terlibat dalam manajemen keamanan
informasi SPBE (Peraturan BSSN Nomor 5 Tahun 2020 tentang Rencana Strategis BSSN
Tahun 2020-2024)

2.11. Penjaminan Kerahasiaan, Keutuhan, Ketersediaan, Keaslian, dan Nirsangkal

Terhadap Data dan Informasi

Manajemen keamanan informasi dilakukan melalui serangkaian proses yang meliputi

penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan
pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan terhadap keamanan informasi
dalam SPBE. Manajemen keamanan informasi dilaksanakan berdasarkan pedoman
manajemen keamanan informasi SPBE. Dalam pelaksanaan manajemen keamanan
informasi, pimpinan Instansi Pusat dan kepala daerah berkoordinasi dan dapat melakukan
konsultasi dengan kepala lembaga yang menyelenggarakan tugas pemerintahan di bidang
keamanan siber [Perpres 95/2018]. Ketentuan lebih lanjut mengenai PEDOMAN
MANAJEMEN KEAMANAN INFORMASI SPBE diatur pada Peraturan Badan Siber Dan Sandi
Negara Nomor 4 Tahun 2021.

Dokumen Persandian DAFTAR ISI| 11

 BAB III
METODOLOGI PENYUSUNAN

3.1 PENDAHULUAN
Untuk menyiapkan Penyusunan Dokumen Kontrol Keamanan Sistem Pemerintahan
Berbasis Elektronik Pemerintah Kota Pasuruan, akan dilaksanakan lima kegiatan utama,
yaitu: pengumpulan data dan informasi terkait; kajian terhadap SPBE Pemerintah Kota
Pasuruan dan Peraturan perundangan terkait keamanan informasi SPBE; menyiapkan review
renstra dan kebijakan pengamanan informasi; dan menyiapkan pengelolaan keamanan
informasi (termasuk di dalamnya sumber daya keamanan informasi, pengamanan sistem
elektronik dan non elektronik serta layanan keamanan informasi)

Gambar 3. 1 Metodologi Kegiatan

Dokumen kontrol keamanan sistem pemerintahan berbasis elektronik (SPBE)

merupakan salah satu amanat Perpres 95 Tahun 2018 yaitu terkait manajemen keamanan
SPBE.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 1

 Sistem pemerintahan berbasis elektronik (SPBE) adalah amanat Perpres Nomor 95
Tahun 2018. SPBE dilaksanakan dengan prinsip efektivitas, keterpaduan, kesinambungan
efisiensi, akuntabilitas dan interoperabilitas. Untuk implementasi SPBE, telah diamanahkan
pembinaan penerapan SPBE kepada Kementerian Penertiban Aparatur Negara dan
Reformasi Birokrasi (KEMENPANRB). Sehingga untuk memantau perkembangan penerapan
SPBE ini di instansi Pemerintah Pusat dan Daerah, diterbitkan versi akhir PERMENPANRB
59/2020 tentang Pemantauan dan Evaluasi Sistem Pemerintahan Berbasis Elektronik. Dalam
konteks ini semakin lengkap domain SPBE yang dipantau, meliputi Domain Kebijakan SPBE,
Tata kelola SPBE, Manajemen SPBE dan Layanan SPBE. Di dalam domain Manajemen SPBE
di sini meliputi Aspek Penerapan Manajemen dan Audit TIK.
Di dalam salah satu indikator dari Manajemen SPBE adalah Manajemen Keamanan
Informasi (Perpres 95 /2018 pasal 46 dan 48). Manajemen keamanan informasi bertujuan
untuk menjamin keberlangsungan SPBE dengan meminimalkan dampak risiko keamanan
informasi. Manajemen keamanan informasi dilakukan melalui serangkaian proses yang
meliputi penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan
pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan terhadap keamanan informasi
dalam SPBE. Untuk menjalankan Manajemen keamanan informasi perlu dipandu dalam
pedoman manajemen keamanan SPBE.
Kaitan dengan proses manajemen keamanan informasi adalah audit yang diarahkan
pada audit TIK, dan khususnya keamanan (Perpres 95/2018 pasal 55 dan 58). Dimana dalam
kegiatan audit keamanan SPBE ini meliputi audit keamanan Infrastruktur SPBE Nasional;
audit keamanan Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah; audit keamanan
Aplikasi Umum; dan audit keamanan Aplikasi Khusus.
Audit keamanan SPBE berdasarkan standar dan tata cara pelaksanaan audit
Keamanan SPBE. Audit keamanan Infrastruktur SPBE Nasional dan audit keamanan Aplikasi
Umum dilaksanakan 1 (satu) kali dalam 1 (satu) tahun oleh kepala lembaga yang
menyelenggarakan tugas pemerintahan di bidang keamanan siber (BSSN, berdasarkan
Peraturan Presiden Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara).
Sedangkan untuk Audit keamanan Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah
dan audit keamanan Aplikasi Khusus dilakukan paling sedikit 1 (satu) kali dalam 2 (dua)
tahun oleh Instansi Pusat dan Pemerintah Daerah. Selanjutnya peraturan rinci terkait

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 2

kemanan informasi diarahkan oleh BSSN.
Penerapan ISO/IEC27001 menurut Perpres 95 tahun 2018 secara khusus
menekankan audit dokumentasi dan operasi sebagai perilaku administratif dan ketaatan
kepada kebijakan/pedoman dan hukum. Diperlukan konfirmasi yang terus menerus dan
pertahanan oleh administrator. Jadi, ISO/IEC27001 mencoba mengatasi titik-titik lemah dari
sistem keamanan, peralatan, dan lainnya dengan cara administratif. Sebaliknya, tidak
disebutkan keamanan sumber daya manusia ataupun fisik dalam CISA,2 yang fokus pada
kegiatan audit dan pengendalian sistem informasi. Karenanya, peranan auditor dan kinerja
proses audit sangat penting. CISSP3 fokus utamanya pada keamanan teknis. CISSP
menekankan pada pengaturan dan pengendalian peralatan seperti server atau komputer.
Dalam implementasi manajemen Keamanan Informasi dan audit TIK, berdasarkan
pra ISO/IEC27001 mencakup juga Dokumen kontrol keamanan sistem pemerintahan
berbasis elektronik (SPBE) ini akan menghasilkan dokumen SOP dan kelengkapan yang dapat
dimanfaatkan untuk pengelolaan keamanan SPBE lingkup Pemerintah Kota Pasuruan dan
untuk melengkapi dokumen yang belum disiapkan, diantaranya:
- review renstra/master plan SPBE Pemerintah Kota Pasuruan dengan kelengkapan
tambahan terhadap kebijakan keamanan informasi
- melengkapi arsitektur keamanan informasi
- melengkapi tata kelola keamanan informasi
- panduan pengelolaan Sumber Daya Keamanan Informasi
- panduan pengelolaan Pengamanan Sistem Elektronik dan Informasi Nonelektronik
- panduan pengelolaan Layanan Keamanan Informasi

3.2 PENYUSUNAN DATA

Data dan informasi yang menjadi panduan dan acuan dalam penyusunan ini telah
dikumpulkan diantaranya dokumen TIK yang tersedia di Pemerintah Kota Pasuruan, yaitu
Perwali no 51 tahun 2022 tentang Sistem Pemerintahan Berbasis Elektronik Pemerintah
Kota Pasuruan, SK Walikota no 156 tahun 2023 tentang Arsitektur dan Peta Rencana SPBE,
Perwali no 39 tahun 2021 tentang Sistem Manajemen Keamanan Informasi dan Peta
Topologi Jaringan serta hasil dari proses Domain Profiler terhadap domain

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 3

Pasuruankota.go.id. Selain itu data dan informasi yang digali dan diperoleh dalam FGD
bersama Dinas Kominfo Pemerintah Kota Pasuruan.
Sedangkan peraturan perundangan yang diacu dalam kegiatan ini terkait dengan
manajemen keamanan informasi diantaranya meliputi:

● Peraturan Presiden No 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis

Elektronik (SPBE).

● Peraturan Presiden No 132 Tahun 2022 tentang Arsitektur Sistem Pemerintahan

Berbasis Elektronik (SPBE)

● Peraturan Presiden Republik Indonesia Nomor 28 Tahun 2O21 tentang Badan Siber

dan Sandi Negara, yang menyempurnakan Peraturan Presiden Nomor 53 Tahun 2017
tentang Badan Siber dan Sandi Negara

● Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi No. 59

Tahun 2020 tentang Pemantauan dan Evaluasi SPBE.

● Peraturan Menteri Perencanaan Pembangunan Nasional/ Kepala Bappenas RI Nomor

16 Tahun 2020 Tentang Manajemen Data Sistem Pemerintahan Berbasis Elektronik.

● Peraturan Menteri Komunikasi dan Informatika Nomor 16 Tahun 2022 tentang

Kebijakan Umum Penyelenggaraan Audit Teknologi Informasi dan Komunikasi.

● Peraturan Badan Siber dan Sandi Negara Nomor 10 Tahun 2019 tentang Pelaksanaan

Persandian untuk Pengamanan Informasi di Pemerintah Daerah.

● Peraturan Badan Siber Dan Sandi Negara Nomor 8 Tahun 2020 Tentang Sistem

Pengamanan Dalam Penyelenggaraan Sistem Elektronik.

● Peraturan Badan Siber dan Sandi Negara Nomor 3 Tahun 2021 Penyelenggaraan

Literasi Media dan Literasi Keamanan Siber.

● Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021 Pedoman Manajemen

Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis

dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 4

 ● Peraturan Badan Siber dan Sandi Negara Nomor 5 Tahun 2021 Pelatihan Keamanan

Siber dan Persandian.

● Peraturan Badan Siber dan Sandi Negara Nomor 6 Tahun 2021 tentang Organisasi

dan Tata Kerja Badan Siber dan Sandi Negara.

● Peraturan Badan Siber dan Sandi Negara Nomor 9 tahun 2021 tentang Perubahan

Indeks Keamanan Informasi

● Peraturan Badan Siber dan Sandi Negara Nomor 8 tahun 2021 tentang

Penyelenggaraan Penilaian Kesiapan Penerapan SNI ISO/IEC 27001 Menggunakan

Indeks Keamanan Informasi

● Peraturan Walikota nomor 51 tahun 2022 tentang Sistem Pemerintahan Berbasis

Elektronik di Lingkungan Pemerintah Kota Pasuruan

Juga informasi yang diperoleh tim penyusun berupa draft yang masih belum diterbitkan,
seperti:

● Peraturan BPPT RI Tentang Standar Dan Tata Laksana Audit Infrastruktur Sistem

Pemerintahan Berbasis Elektronik (SPBE) (Draft)

● Peraturan BSSN tentang Standar dan Tata Cara Audit Keamanan SPBE (Draft)

Data dan informasi tersebut di atas merupakan masukan yang berharga yang menjadi
acuan utama dalam dokumen ini.

3.3 PENYUSUNAN KEBIJAKAN PENGAMANAN SISTEM PEMERINTAHAN BERBASIS

ELEKTRONIK
Sesuai dengan Peraturan Badan Siber dan Sandi Negara Nomor 10 Tahun 2019
tentang Pelaksanaan Persandian untuk Pengamanan Informasi di Pemerintah Daerah,
bahwa penyelenggaraan persandian untuk pengamanan Informasi pemerintah daerah
provinsi dan kabupaten/kota dilaksanakan melalui:
a. penyusunan kebijakan Pengamanan Informasi;

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 5

 b. pengelolaan sumber daya Keamanan Informasi;
c. pengamanan Sistem Elektronik dan pengamanan informasi nonelektronik; dan
d. penyediaan layanan Keamanan Informasi.
Sehingga kegiatan penyusunan kebijakan pengamanan SPBE, yang meliputi :
● menyusun Konteks dan Ruang Lingkup Pengamanan Informasi;
● menyusun Kebijakan dan Pengelolaan data center;
● menyusun Kebijakan dan Keamanan Jaringan;
● menyusun Kebijakan dan Pedoman Keberlangsungan Bisnis Keamanan Informasi;
dan
● menyusun Kebijakan dan Pedoman Keamanan Aset TIK.
merupakan langkah awal yang perlu disiapkan dalam penyiapan pelaksanaan pengamanan
informasi.
Dari Review Master Plan Arsitektur dan Peta Rencana SPBE yang telah dibuat untuk
pemerintah kota 2023-2026 merupakan dokumen yang menjadi dasar untuk membuat
dokumen kontrol terhadap keamanan SPBE. Tim penyusun telah melakukan review Master
Plan SPBE tersebut, dan menambahkan point terkait dengan kebijakan pengamanan
informasi, rancangan tata kelola keamanan informasi. Rancangan tata kelola Keamanan
Informasi yang nantinya di gunakan sebagai panduan terdiri atas:

1. Kebijakan dan Pedoman Klasifikasi dan Penanganan Informasi

2. Kebijakan dan Pedoman Pengamanan dan Pengelolaan Aset
3. Kebijakan dan Pedoman Instalasi Perangkat Lunak
4. Kebijakan dan Pedoman Pengendalian Akses
5. Kebijakan dan Pedoman Pengelolaan Insiden
6. Kebijakan dan Pedoman Kepatuhan Keamanan Informasi
7. Kebijakan dan Pedoman Keberlanjutan Bisnis dan Kemanan Informasi
8. Kebijakan dan Pedoman Manajemen Perubahan Fasilitas Data Center
9. Kebijakan dan Pedoman Keamanan Jaringan
10. Kebijakan dan Pedoman Manajemen Kapasitas
11. Kebijakan dan Pedoman Pengelolaan Data Center
12. Kebijakan dan Pedoman Pengamanan Pihak Ketiga
13. Konteks dan Ruang Lingkup SMKI
14. Sasaran dan Rencana Kerja SMKI
15. Kebijakan dan Prosedur Peningkatan Pemahaman Kesadaran (Awareness) dan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 6

 Komunikasi SMKI

Rancangan dari 15 (lima belas) komponen tersebut nantinya dapat dijadikan dasar
bagi Pemerintah kota Pasuruan untuk pedoman dalam pelaksanaan/penerapan keamanan
SPBE, yang merupakan masukan dan kajian awal yang memberikan arahan dan masih perlu
ditindaklanjuti dengan program yang dilaksanakan pada tahun 2024 dan selanjutnya.
Namun untuk dokumen ini masih disasar dengan 5 kebijakan yaitu:
1. Kebijakan dan Pedoman Pengamanan dan Pengelolaan Aset

2. Kebijakan dan Pedoman Keberlanjutan Bisnis dan Kemanan Informasi

3. Kebijakan dan Pedoman Keamanan Jaringan
4. Kebijakan dan Pedoman Pengelolaan Data Center
5. Konteks dan Ruang Lingkup SMKI
Adapun penjelasan dari masing-masing point diatas antara lain:
 PENGAMANAN DAN PENGELOLAAN ASET TIK
Pengamanan dan pengelolaan aset TIK perlu didahului dengan meninjau
inventarisasi TIK dahulu. secara garis besar kegiatan inventarisasi TIK akan
berjalan efektif dan dapat memberikan peran yang signifikan dan penyusunan
tujuan organisasi dengan asumsi sebagai berikut:
1. Tersedianya kebijakan yang menjadi panduan dalam
2. Tersedianya strategi pengembangan TIK yang
3. Adanya komitmen pimpinan untuk mendukung
Kontrol terhadap aset TIK dapat memiliki hasil yang berbeda pada jangka
pendek maupun jangka panjang. Efek jangka panjang akan terwujud, yaitu
kinerja organisasi yang lebih tinggi, dengan catatan budaya organisasi yang
mendukung terciptanya budaya inventarisasi aset sudah terbentuk. Budaya
inventarisasi aset TIK ini membutuhkan dukungan dan komitmen pimpinan
untuk bisa menerapkan dari tahap perencanaan hingga pemusnahan aset TIK
secara menyeluruh. Komitmen pimpinan juga yang bisa memastikan
keseluruhan dimensi dapat dijalankan dengan baik.
Keamanan informasi memiliki tiga komponen dasar yang harus dikelola
menyangkut pengelolaan pengamanan asset TIK, yaitu kerahasiaan informasi
sensitif, Integritas informasi untuk memastikan keakuratan dan kelengkapannya;
dan ketersediaan informasi dan layanan vital kepada pengguna yang berwenang
kapan pun dibutuhkan. Selain tiga tujuan dasar tersebut, keamanan informasi
juga mencakup isu-isu yang dapat mengancam akuntabilitas, keandalan, privasi,
otentikasi dan kepercayaan informasi. Manajemen keamanan informasi terdiri
dari:
1) Mengidentifikasi ancaman yang dapat menyerang sumber informasi
institusi,
2) Menentukan risiko yang mungkin disebabkan oleh ancaman tersebut,
3) Menentukan kebijakan keamanan informasi
4) Menerapkan kontrol untuk mengatasi risiko yang ada.
Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 7
 Sistem Manajemen Keamanan Informasi atau “Information Security
Management System (ISMS)” adalah hal yang sangat penting dalam pengelolaan
informasi dalam organisasi. Informasi yang dimiliki institusi saling terintegrasi
dengan seluruh pengeloaan yang ada dalam organisasi.

 KEBERLANGSUNGAN BISNIS KEAMANAN INFORMASI

Komponen dari rencana keamanan meliputi: kebijakan, standard dan
prosedur keamanan informasi (policy), kontrol pengelolaan Sumber Daya
Manusia (SDM) untuk keamanan informasi (people), dan kontrol teknologi
keamanan informasi (technology). Kontrol yang dimaksud adalah langkah
implementasi yang spesifik dan prosedural. Sedangkan yang menjadi kebutuhan
penting rencana ini adalah permintaan level pengamanan yang diinginkan.
Rencana keamanan menjadi sangat penting, karena sebagai dasar dalam
mengembangkan suatu business continuity plan, yang berisi tentang langkah
dan prosedur untuk selalu menjaga keberlangsungan bisnis yang dapat saja
terganggu dengan gangguan yang mungkin dapat terjadi.
Adapun langkah keberlangsungan bisnis keamanan informasi adalah rencana
keamanan TI yang berlanjut dengan Ancaman dan Kerawanan, Tujuan dan
Sasaran, Aturan dan tanggung jawab kemudian strategi dalam mengatasinya.

 KEAMANAN JARINGAN
Keamanan jaringan terdiri dari kebijakan dan praktik yang diterapkan untuk
mencegah dan memantau akses yang tidak sah, penyalahgunaan, modifikasi,
atau penolakan jaringan komputer dan sumber daya yang dapat diakses
jaringan. Keamanan jaringan melibatkan otorisasi akses ke data dalam jaringan,
yang dikendalikan oleh administrator jaringan. Pengguna memilih atau diberi ID
dan kata sandi atau informasi otentikasi lainnya yang memungkinkan mereka
mengakses informasi dan program dalam otoritas mereka.
Keamanan jaringan mencakup berbagai jaringan komputer, baik publik
maupun swasta, yang digunakan dalam pekerjaan sehari-hari: melakukan
transaksi dan komunikasi antara bisnis, lembaga pemerintah, dan individu.
Jaringan dapat bersifat pribadi, seperti di dalam perusahaan, dan lainnya yang
mungkin terbuka untuk akses publik. Keamanan jaringan terlibat dalam
organisasi, perusahaan, dan jenis lembaga lainnya. Itu sesuai dengan judulnya:
mengamankan jaringan, serta melindungi dan mengawasi operasi yang sedang
dilakukan. Cara paling umum dan sederhana untuk melindungi sumber daya
jaringan adalah dengan memberinya nama unik dan kata sandi yang sesuai.
Secara umum, keamanan jaringan yang digunakan antara lain keamanan fisik,
keamanan akses, keamanan perangkat keras, keamanan perangkat lunak, dan
keamanan data.
Konteks pengelolaan jaringan dalam menjaga keamanan informasi adalah
seluruh kesepakatan awal yang direncanakan pada dimensi ini. Evaluasi ini lebih
terkait pada penyediaan informasi untuk menetapkan tujuan yang baik,
merumuskan lingkungan yang relevan serta mengidentifikasi masalah yang
berhubungan dengan program. Aspek Konteks evaluasi yang dilakukan meliputi
dasar hukum, tujuan, dan sasaran organisasi. bahwa untuk melaksanakan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 8

 ketentuan Pasal 41 ayat (4) dan Pasal 48 ayat (5) Peraturan Presiden Nomor 95
Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik, perlu menetapkan
Peraturan Badan Siber dan Sandi Negara tentang Pedoman Manajemen
Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar
Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik.
Manajemen keamanan informasi SPBE dilaksanakan oleh setiap Instansi
Pemerintah Daerah berdasarkan pedoman manajemen keamanan informasi SPBE.
a. Penetapan Ruang Lingkup
b. Penetapan Penanggung Jawab
c. Perencanaan
d. Dukungan Pengoperasian
e. Evaluasi Kinerja.
f. Perbaikan Berkelanjutan.

 KEAMANAN DATA CENTER

Data center (pusat data) merupakan sebuah bangunan atau unit yang
berisikan kumpulan sistem komputer dan sistem pendukungnya (jaringan,
kelistrikan, pendingin, pencahayaan) yang digunakan sebagai pusat komputasi
sebuah institusi atau lembaga. Melanjutkan pembahasan tersebut, kali ini kita
akan menelusuri lebih lanjut mengenai data center, khususnya terkait
pengelolaan data center untuk pengembangan produk dan layanan instansi.
Data center berperan sebagai pondasi jalannya institusi/organisasi/perusahaan.
Biasanya berhubungan dengan penyimpanan data, transaksi data, aplikasi, dan
pusat berbagai layanan sehingga data center perlu dilihat sebagai bagian dari
pengelolaan infrastruktur IT
Pada pengelolaan keamanan data center memerlukan Standart Operating
Procedure yaitu, Setiap langkah harus dilakukan sesuai
standart/framework/compliance yang diikuti atau sesuai dengan peraturan dan
undang-undang yang ada. SOP juga harus aman baik dari keamanan digital, fisik,
maupun K3. Selain itu, adanya SOP terkait manajemen error, problem, dan
complaint juga menjadi hal yang harus ada di setiap penyusunan arsitektur
infrastruktur.
Berdasarkan Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021
tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan
Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem
Pemerintahan Berbasis Elektronik pasal 1 menyatakan bahwa pusat data adalah
fasilitas yang digunakan untuk penempatan sistem elektronik dan komponen
terkait lainnya untuk keperluan penempatan, penyimpanan dan pengolahan data,
dan pemulihan data. SPBE membutuhkan pusat data yang digunakan untuk
penempatan sistem elektronik dan komponen terkait lainnya untuk keperluan
penempatan, penyimpanan dan pengolahan data, dan pemulihan data. SPBE
termasuk dalam kategori sistem elektronik strategis dan tinggi sehingga
diperlukan jaminan sistem dengan asas resiko yang menganut prinsip keamanan
informasi yaitu kerahasiaan, integritas dan ketersediaan.
Standar teknis keamanan pusat data diatur dalam Peraturan Badan Siber dan
Sandi Negara Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan
Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan
Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik pasal 35 ayat 2

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 9

 yang menyatakan bahwa terpenuhinya persyaratan koneksi perangkat ke Pusat
Data Nasional sebagaimana dimaksud dalam Pasal 34 huruf b dilakukan dengan
prosedur:
a. memastikan keamanan perangkat yang terkoneksi ke infrastruktur Pusat
Data Nasional;
b. memutus akses fisik atau logic dari perangkat yang tidak terotorisasi;
c. memastikan akses tingkat administrator ke server dan perangkat jaringan
utama tidak boleh dilakukan secara remote;
d. memastikan hanya personil yang berwenang yang boleh menggunakan
komputer di area Pusat Data Nasional;
e. melakukan backup informasi dan perangkat lunak yang berada di Pusat
Data Nasional secara berkala;
f. memastikan perangkat komputer Pusat Data Nasional terbebas dari virus
dan malware;
g. melakukan pembatasan akses pemanfaatan removable media di area Pusat
Data Nasional;
h. memastikan pengaktifan konfigurasi port universal serial bus telah
mendapatkan izin dari personil yang berwenang;
i. memastikan setiap perangkat yang akan terkoneksi ke infrastruktur Pusat
Data Nasional menggunakan internet protocol address dan hostname yang
telah ditentukan; dan
j. menerapkan server perantara saat client mengakses server database dalam
rangka pemeliharaan.

 Sistem Manajemen Keamanan Informasi/SMKI

Sistem Manajemen Keamanan Informasi (SMKI) adalah sebuah rencana
manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlukan
untuk implementasi kontrol keamanan yang telah disesuaikan dengan
kebutuhan organisasi. SMKI didesain untuk melindungi asset informasi dari
seluruh gangguan keamanan.
Dalam penerapannya, terdapat dokumen penting yang harus dilengkapi pada
saat proses audit, yaitu dokumen Statement of Applicability (SoA). Dokumen ini
merupakan dokumentasi analisis kontrol penerapan SMKI yang memuat
pernyataan bahwa organisasi penerap sudah menerapkan terhadap pernyataan
kontrol dari 14 Domain & 114 Kontrol pengamanan informasi. Pada
pelaksanaannya perusahaan/organisasi dapat memilih kontrol mana yang paling
relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan
aset pada tahapan awal.
SMKI tidak hanya terkait dengan Teknologi Informasi (TI) saja, tetapi juga
terdiri dari sistem manajemen, keamanan fisik, dan pengelolaan berkelanjutan.
SMKI tidak bisa hanya mengandalkan dari sistem TI saja, namun juga harus
didukung dengan sistem manajemen dan orang. Oleh karena itu, kesadaran dan
pemahaman orang/pegawai dalam menerapkan kebijakan menjadi penting
sebagai penentu keberhasilan penerapan SMKI.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 10

 Adapun ruang lingkup SMKI meliputi:
 Proses dan/atau Kegiatan. Misalnya: Penyediaan layanan publik,
Pengamanan Pusat Data, pengembangan aplikasi, penggunaan jaringan dan
fasilitas email, dan sebagainya.

 Satuan Kerja. Misalnya: Direktorat, Departemen atau Bidang.

 Lokasi kerja. Misalnya: Tingkat Pusat, daerah atau keduanya. Mana saja lokasi
yang dipilih untuk menerapkan SMKI? Apakah SMKI akan langsung diterapkan
ke seluruh lokasi kerja? Atau apakah diterapkan secara bertahap dengan
memprioritaskan pada lokasi tertentu terlebih dahulu?

3.4 Referensi Arsitektur Keamanan SPBE

Sebagaimana dijeaskan pada kerangka kerja arsitektur keamanan, domain arsitektur

keamanan SPBE akan mendukung arah kebijakan nasional, selanjutnya substansi keamanan
SPBE diklasifikasikan ke dalam tingkatan struktur referensi arsitektur keamanan SPBE
dengan 2 (dua) tingkat, yaitu:
a. domain keamanan, yang mengelompokkan keamanan SPBE ke dalam domain
keamanan terdiri dari standar keamanan, penerapan keamanan dan rekomendasi
kelaikan keamanan, sebagai tingkat 1(pertama), yang menjadi struktur di tingkat
nasional
b. area keamanan, yang mengelompokkan keamanan SPBE ke dalam area keamanan
terhadap data dan informasi, Aplikasi SPBE, serta infrastruktur SPBE sebagai tingkat 2
(kedua), yang menjadi struktur di tingkat nasional.
Instansi Pusat dan Pemerintah Daerah akan mendefinisikan penerapan keamanan SPBE,
melalui pedoman penyusunan Arsitektur SPBE. Ilustrasi struktur referensi arsitektur
keamanan SPBE dapat terlihat pada gambar berikut

Gambar 4. 1 Referensi Arsitektur Keamanan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 11

 Domain keamanan seperti disebutkan sebelumnya memiliki struktur dengan 2 (dua)
tingkat, dimana keseluruhan tingkat merupakan struktur di tingkat nasional. Berdasarkan
hal tersebut, maka ditentukan referensi arsitektur keamanan SPBE tingkat 1 (satu)
sebagaimana ilustrasi pada Gambar struktur referensi Arsitektur Keamanan SPBE dan daftar
referensi arsitektur keamanan pada tabel 4.2, berupa komponen standar keamanan,
penerapan keamanan, dan kelaikan keamanan.

Gambar 4. 2 Struktur Referensi Arsitektur Keamanan SPBE

Tabel 4. 2 Deskripsi Referensi Arsitektur

Kode Referensi Arsitektur Deskripsi Referensi Arsitektur

Standar Keamanan (01)

01.01 Standar Teknis dan Prosedur Peraturan terkait standar teknis dan prosedur
Keamanan SPBE keamanan SPBE dari lembaga yang
menyelenggarakan tugas pemerintahan di bidang
keamanan siber.
01.02 Standar Keamanan Standar internasional yang digunakan sebagai
Internasional pendukung dan untuk meningkatkan penerapan
keamanan SPBE
01.03 Regulasi lainnya Peraturan Pemerintah lainnya yang dinilai masih
relevan selain dari peraturan terkait standar teknis

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 12

 dan prosedur keamanan SPBE, yang saat ini
menjadi acuan dalam penerapan keamanan SPBE.
Penerapan Keamanan (02)
02.01 Edukasi kesadaran Keamanan Bentuk kegiatan di Instansi Pusat dan Pemerintah
SPBE Daerah untuk meningkatkan kesadaran keamanan
SPBE.
02.02 Identifikasi kerentanan Bentuk kegiatan di Instansi Pusat dan
Keamanan SPBE Pemerintah Daerah untuk mengidentifikasi
kerentanan dan risiko keamanan SPBE.
02.03 Peningkatan Keamanan SPBE Bentuk kegiatan di Instansi Pusat dan
Pemerintah Daerah untuk meningkatkan
keamanan SPBE.
02.04 Penanganan insiden Bentuk kegiatan di Instansi Pusat dan
Keamanan SPBE Pemerintah Daerah untuk menanggulangi,
memulihkan, dan memitigasi risiko insiden
keamanan SPBE.
02.05 Audit Keamanan SPBE Bentuk kegiatan di Instansi Pusat dan
Pemerintah Daerah untuk mengukur tingkat
kesesuain penerapan standar keamanan SPBE
Kelaikan Keamanan (03)
03.01 Kelaikan Keamanan Aplikasi Kelaikan keamanan terhadap Aplikasi Umum
Umum dilakukan melalui penilaian kerentanan secara
mandiri di Instansi Pusat dan Pemerintah Daerah
dan verifikasi di tingkat nasional.Output dari
kegiatan ini adalah daftar Aplikasi Umum yang
telah mendapatkan rekomendasi kelaikan
keamanan.
03.02 Kelaikan Keamanan Kelaikan keamanan terhadap Infrastruktur SPBE
Infrastruktur SPBE Nasional nasional dilakukan melalui penilaian kerentanan
secara mandiri di Instansi Pusat dan Pemerintah
Daerah dan verifikasi di tingkat nasional. Output

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 13

 dari kegiatan ini adalah daftar infrastruktur SPBE
nasional yang telah mendapatkan rekomendasi
kelaikan keamanan.

Berikut hasil pemetaan referensi arsitektur keamanan SPBE pemerintah kota Pasuruan

Tabel 4. 3 Pemetaan Referensi Arsitektur Keamanan

Deskripsi Referensi
Kode RAK Arsitektur Keamanan Status Kategori Sub-kategori
Kebijakan Keamanan Standar Standar Teknis dan
RAK.01.01.001 Informasi Rencana Keamanan Prosedur Keamanan SPBE
SOP Keamanan Standar Standar Teknis dan
RAK.01.01.002 Informasi Rencana Keamanan Prosedur Keamanan SPBE
Standar Standar Keamanan
RAK.01.02.003 ISO 27001 Rencana Keamanan Internasional
Security Control Standar Standar Keamanan
RAK.01.02.004 Framework Rencana Keamanan Internasional
Standar
RAK.01.03.005 Undang-undang ITE Rencana Keamanan Regulasi lainnya
PP no 71 tentang
Penyelenggara Sistem Standar
RAK.01.03.006 Transaksi Elektronik Rencana Keamanan Regulasi lainnya
Sosialisasi Kesadaran Penerapan
RAK.02.02.007 Keamanan SPBE Rencana Keamanan Kesadaran Keamanan SPBE
Pedoman Prinsip
Keamanan Informasi Penerapan
RAK.02.02.008 bagi Individu Rencana Keamanan Kesadaran Keamanan SPBE
Provisi Keamanan Penerapan Kerentanan Keamanan
RAK.02.02.009 Aplikasi Rencana Keamanan SPBE
Provisi Keamanan Penerapan Kerentanan Keamanan
RAK.02.02.010 Infrastruktur Rencana Keamanan SPBE
Penerapan Kerentanan Keamanan
RAK.02.02.011 Pen-test berkala Rencana Keamanan SPBE
Monitoring risiko Penerapan Kerentanan Keamanan
RAK.02.02.012 keamanan berkala Rencana Keamanan SPBE
Pengelolaan register Penerapan Kerentanan Keamanan
RAK.02.02.013 risiko keamanan Rencana Keamanan SPBE
Penerapan Kerentanan Keamanan
RAK.02.02.014 Audit keamanan Rencana Keamanan SPBE
Pengelolaan Tools Penerapan Peningkatan Keamanan
RAK.02.03.015 Keamanan Operasional Keamanan SPBE
RAK.02.03.016 Antivirus Operasional Penerapan Peningkatan Keamanan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 14

 Keamanan SPBE
Penerapan Peningkatan Keamanan
RAK.02.03.017 Data Leak Prevention Operasional Keamanan SPBE
Penerapan Peningkatan Keamanan
RAK.02.03.018 Firewall Operasional Keamanan SPBE
Penerapan Peningkatan Keamanan
RAK.02.03.019 Data Protection Rencana Keamanan SPBE
Manajemen
penanganan insiden Penerapan Penanganan insiden
RAK.02.04.020 keamanan Rencana Keamanan Keamanan SPBE
Sistem Monitoring
Pengelolaan dan
Pencegahan Insiden Penerapan Penanganan insiden
RAK.02.04.021 (IDS) Rencana Keamanan Keamanan SPBE
Web Application Kelaikan Kelaikan Keamanan
RAK.03.01.022 Firewall Operasional Keamanan Aplikasi Umum
Kelaikan Keamanan
System Security Kelaikan Infrastruktur SPBE
RAK.03.02.023 Testing Operasional Keamanan Nasional
Sertifikat SSL (Secure Kelaikan Kelaikan Keamanan
RAK.03.01.024 Socket Layer) Operasional Keamanan Aplikasi Umum

Pada pemetaan arsitektur aplikasi SPBE dan keterkaitan dengan pemetaan arsitektur
keamanan SPBE pada Pemerintah kota Pasuruan dapat disajikan pada tabel berikut.

Tabel 4. 4 Keterkaitan Pemetaan Referensi Arsitektur Keamanan

Hostname IP Address DNS RAA Kategori Sub Kategori RAK
RAK.02.03.018
Aplikasi RAK.03.01.022
absensi.pasuruankot RAA Aplikasi Administrasi RAK.03.02.023
a.go.id 103.165.154.39 A 01.02.001 Umum Pemerintahan RAK.03.01.024
RAK.02.03.018
RAK.03.01.022
api.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi RAK.03.02.023
id 103.165.154.16 A 02.01.002 Khusus Tertentu RAK.03.01.024
RAK.03.01.022
bakalan.pasuruankot RAA Aplikasi Aplikasi Layanan RAK.03.02.023
a.go.id 103.165.154.15 A 01.01.003 Umum Publik RAK.03.01.024
RAK.03.01.022
bakesbangpol.pasuru RAA Aplikasi Aplikasi Fungsi RAK.03.02.023
ankota.go.id 103.165.154.15 A 02.01.004 Khusus Tertentu RAK.03.01.024
bangilan.pasuruankot 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
a.go.id 02.01.005 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
bapenda.pasuruankot 103.165.154.33 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
a.go.id 02.01.006 Khusus Tertentu RAK.03.01.022

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 15

 RAK.03.02.023
RAK.03.01.024
bappelitbangda.pasur 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
uankota.go.id 02.01.007 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
bkd.pasuruankota.go. 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
id 02.01.008 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
blp.pasuruankota.go.i 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
d 02.01.009 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
bpbd.pasuruankota.g 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
o.id 02.01.010 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
bpbj.pasuruankota.go 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
.id 02.01.011 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
bpka.pasuruankota.g 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
o.id 02.01.012 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
bugulkidul.pasuruank 103.165.154.15 A RAA Aplikasi Aplikasi RAK.02.03.018
ota.go.id 01.02.013 Umum Administrasi RAK.03.01.022
Pemerintahan RAK.03.02.023
RAK.03.01.024
bugullor.pasuruankot 103.165.154.15 A RAA Aplikasi Aplikasi RAK.03.01.022
a.go.id 01.02.014 Umum Administrasi RAK.03.02.023
Pemerintahan RAK.03.01.024
ciamik.pasuruankota. 103.165.154.15 A RAA Aplikasi Aplikasi Layanan RAK.03.01.022
go.id 01.01.015 Umum Publik RAK.03.02.023
RAK.03.01.024
covid19.pasuruankot 103.165.154.15 A RAA Aplikasi Aplikasi Layanan RAK.02.03.018
a.go.id 01.01.016 Umum Publik RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
data.pasuruankota.go 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
.id 02.01.017 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
digis.pasuruankota.go 103.165.154.17 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
.id 02.01.018 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
dikbud.pasuruankota. 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
go.id 02.01.019 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
dinkes.pasuruankota. 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
go.id 02.01.020 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
dinsos.pasuruankota. 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
go.id 02.01.021 Khusus Tertentu RAK.03.02.023
RAK.03.01.024

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 16

dishub.pasuruankota. 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
go.id 02.01.022 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
disnaker.pasuruankot 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
a.go.id 02.01.023 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
disnakes.pasuruankot 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
a.go.id 02.01.024 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
disparpora.pasuruank 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
ota.go.id 02.01.025 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
dispendukcapil.pasur 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
uankota.go.id 02.01.026 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
disperindag.pasuruan 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.02.03.018
kota.go.id 02.01.027 Khusus Tertentu RAK.03.01.022
RAK.03.02.023
RAK.03.01.024
disperta.pasuruankot 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
a.go.id 02.01.028 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
dispusip.pasuruankot 103.165.154.15 A RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
a.go.id 02.01.029 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
dlhkp.pasuruankota.g RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
o.id 02.01.030 Khusus Tertentu
RAK.03.01.024

Aplikasi RAK.03.01.022
dokum.pasuruankota. RAA Aplikasi
103.106.74.73 A Administrasi RAK.03.02.023
go.id 01.02.031 Umum
Pemerintahan RAK.03.01.024

RAK.03.01.022
dpmptsp.pasuruankot RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
a.go.id 02.01.032 Khusus Tertentu
RAK.03.01.024
RAK.02.03.018
dppkb.pasuruankota. RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
go.id 02.01.033 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
e- Aplikasi
RAA Aplikasi RAK.03.01.022
makam.pasuruankota 103.165.154.15 A Administrasi
01.02.034 Umum RAK.03.02.023
.go.id Pemerintahan
RAK.03.01.024
RAK.02.03.018
Aplikasi
emonev.pasuruankot RAA Aplikasi RAK.03.01.022
103.165.154.15 A Administrasi
a.go.id 01.02.035 Umum RAK.03.02.023
Pemerintahan
RAK.03.01.024
RAK.03.01.022
esambat.pasuruankot RAA Aplikasi Aplikasi Layanan
103.165.154.21 A RAK.03.02.023
a.go.id 01.01.036 Umum Publik
RAK.03.01.024

e- 103.165.154.15 A RAA Aplikasi Aplikasi Layanan RAK.02.03.018

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 17

 RAK.03.01.022
sista.pasuruankota.go
01.01.037 Umum Publik RAK.03.02.023
.id
RAK.03.01.024
RAK.02.03.018
Aplikasi
ews.pasuruankota.go. RAA Aplikasi RAK.03.01.022
103.165.154.23 A Administrasi
id 01.02.038 Umum RAK.03.02.023
Pemerintahan
RAK.03.01.024
RAK.02.03.018
gadingrejo.pasuruank RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
ota.go.id 01.01.039 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
inlis.pasuruankota.go. RAA Aplikasi Aplikasi Layanan
103.165.154.41 A RAK.03.02.023
id 01.01.040 Umum Publik
RAK.03.01.024
RAK.02.03.018
inspektorat.pasuruan RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
kota.go.id 02.01.041 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
jdih.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
id 02.01.042 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
kandangsapi.pasurua RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
nkota.go.id 01.01.043 Umum Publik
RAK.03.01.024
RAK.02.03.018
karanganyar.pasurua RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
nkota.go.id 02.01.044 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
kebonagung.pasurua RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
nkota.go.id 02.01.045 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
kebonsari.pasuruank RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ota.go.id 02.01.046 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
kepel.pasuruankota.g RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
o.id 02.01.047 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
kesra.pasuruankota.g RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
o.id 02.01.048 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
kominfo.pasuruankot RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
a.go.id 02.01.049 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
koperasi.pasuruankot RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
a.go.id 02.01.050 Khusus Tertentu RAK.03.02.023
RAK.03.01.024

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 18

 RAK.03.01.022
latarteras.pasuruanko RAA Aplikasi Aplikasi Fungsi
103.165.154.14 A RAK.03.02.023
ta.go.id 02.01.051 Khusus Tertentu
RAK.03.01.024
RAK.02.03.018
Aplikasi
lpse.pasuruankota.go. RAA Aplikasi RAK.03.01.022
103.165.154.22 A Administrasi
id 01.02.052 Umum RAK.03.02.023
Pemerintahan
RAK.03.01.024
RAK.02.03.018
mail.pasuruankota.go RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
.id 02.01.053 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
mampir.pasuruankot RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
a.go.id 01.01.054 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
mandaranrejo.pasuru RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ankota.go.id 02.01.055 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
mastani.pasuruankot RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
a.go.id 02.01.056 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
mayangan.pasuruank RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ota.go.id 02.01.057 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
metrologi.pasuruanko RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ta.go.id 02.01.058 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
monil.pasuruankota.g RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
o.id 02.01.059 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
mpp.pasuruankota.go RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
.id 02.01.060 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
ngemplakrejo.pasuru RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
ankota.go.id 02.01.061 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
nms.pasuruankota.go RAA Aplikasi Aplikasi Fungsi
103.165.154.18 A RAK.03.02.023
.id 02.01.062 Khusus Tertentu
RAK.03.01.024
RAK.02.03.018
ns1.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.24 A
id 02.01.063 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
ns2.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi
103.165.154.24 A RAK.03.01.022
id 02.01.064 Khusus Tertentu
RAK.03.02.023

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 19

 RAK.03.01.024
RAK.02.03.018
organisasi.pasuruank RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ota.go.id 02.01.065 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
panggungrejo.pasuru RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ankota.go.id 02.01.066 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
pasuruankota.go.id 103.165.154.15 A
02.01.067 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
pekuncen.pasuruank RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
ota.go.id 02.01.068 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
pembangunan.pasuru RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
ankota.go.id 02.01.069 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
pemerintahan.pasuru RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
ankota.go.id 01.01.070 Umum Publik
RAK.03.01.024
RAK.02.03.018
perekonomian.pasuru RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ankota.go.id 02.01.071 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
Aplikasi
perijinan.pasuruankot RAA Aplikasi RAK.03.01.022
103.165.154.15 A Administrasi
a.go.id 01.02.072 Umum RAK.03.02.023
Pemerintahan
RAK.03.01.024
RAK.02.03.018
perikanan.pasuruank RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ota.go.id 02.01.073 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
perkasa.pasuruankot RAA Aplikasi Aplikasi Layanan
103.165.154.14 A RAK.03.02.023
a.go.id 01.01.074 Umum Publik
RAK.03.01.024

RAK.03.01.022
perkim.pasuruankota. RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
go.id 01.01.075 Umum Publik
RAK.03.01.024

RAK.03.01.022
petahunan.pasuruank RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
ota.go.id 01.01.076 Umum Publik
RAK.03.01.024

RAK.03.01.022
petamanan.pasuruan RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
kota.go.id 01.01.077 Umum Publik
RAK.03.01.024
RAK.02.03.018
pkk.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.01.022
id 02.01.078 Khusus Tertentu
RAK.03.02.023

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 20

 RAK.03.01.024
RAK.02.03.018
pkmbugulkidul.pasur RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
uankota.go.id 02.01.079 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pkmgadingrejo.pasur RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
uankota.go.id 02.01.080 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pkmkandangsapi.pas RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
uruankota.go.id 02.01.081 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pkmkarangketug.pasu RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ruankota.go.id 02.01.082 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pkmkebonagung.pasu RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ruankota.go.id 02.01.083 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pkmkebonsari.pasuru RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ankota.go.id 02.01.084 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pkmsekargadung.pas RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
uruankota.go.id 02.01.085 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pkmtrajeng.pasuruan RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
kota.go.id 02.01.086 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
ppid.pasuruankota.go RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.245.225.85 A
.id 02.01.087 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
prokopim.pasuruanko RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ta.go.id 02.01.088 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
pupr.pasuruankota.g RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
o.id 02.01.089 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
purworejo.pasuruank RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
ota.go.id 02.01.090 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
Aplikasi RAK.03.01.022
quick.pasuruankota.g RAA Aplikasi
103.165.154.15 A Administrasi RAK.03.02.023
o.id 01.02.091 Umum
Pemerintahan RAK.03.01.024

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 21

 RAK.03.01.022
ramapati.pasuruanko RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
ta.go.id 01.01.092 Umum Publik
RAK.03.01.024

RAK.03.01.022
reklame.pasuruankot RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
a.go.id 01.01.093 Umum Publik
RAK.03.01.024

RAK.03.01.022
rsud.pasuruankota.go RAA Aplikasi Aplikasi Fungsi
103.165.154.36 A RAK.03.02.023
.id 02.01.094 Khusus Tertentu
RAK.03.01.024
RAK.02.03.018
rusunawa.pasuruank RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.14 A
ota.go.id 02.01.095 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
satpolpp.pasuruankot RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
a.go.id 02.01.096 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
Aplikasi
satudata.pasuruankot RAA Aplikasi RAK.03.01.022
103.165.154.14 A Administrasi
a.go.id 01.02.097 Umum RAK.03.02.023
Pemerintahan
RAK.03.01.024
RAK.02.03.018
server2.pasuruankota RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
.go.id 02.01.098 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
server3.pasuruankota RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.14 A
.go.id 02.01.099 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
Aplikasi
siakur.pasuruankota.g RAA Aplikasi RAK.03.01.022
103.165.154.15 A Administrasi
o.id 01.02.100 Umum RAK.03.02.023
Pemerintahan
RAK.03.01.024
RAK.02.03.018
Aplikasi
sidak.pasuruankota.g RAA Aplikasi RAK.03.01.022
103.165.154.35 A Administrasi
o.id 01.02.101 Umum RAK.03.02.023
Pemerintahan
RAK.03.01.024
RAK.02.03.018
sidapp.pasuruankota. RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
go.id 01.01.102 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
siduta.pasuruankota. RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.14 A
go.id 01.01.103 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
sigap.pasuruankota.g RAA Aplikasi Aplikasi Layanan
103.165.154.14 A RAK.03.02.023
o.id 01.01.104 Umum Publik
RAK.03.01.024

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 22

 RAK.03.01.022
sijaja.pasuruankota.g RAA Aplikasi Aplikasi Layanan
103.165.154.19 A RAK.03.02.023
o.id 01.01.105 Umum Publik
RAK.03.01.024

RAK.03.01.022
sijitu.pasuruankota.g RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
o.id 01.01.106 Umum Publik
RAK.03.01.024

RAK.03.01.022
sikn.pasuruankota.go. RAA Aplikasi Aplikasi Layanan
103.165.154.42 A RAK.03.02.023
id 01.01.107 Umum Publik
RAK.03.01.024

RAK.03.01.022
silat.pasuruankota.go RAA Aplikasi Aplikasi Layanan
103.165.154.14 A RAK.03.02.023
.id 01.01.108 Umum Publik
RAK.03.01.024
RAK.02.03.018
silihpas.pasuruankota RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.14 A
.go.id 01.01.109 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
simak.pasuruankota.g RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.14 A
o.id 01.01.110 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
simas.pasuruankota.g RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
o.id 01.01.111 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
simaskot.pasuruankot RAA Aplikasi Aplikasi Layanan
103.165.154.25 A RAK.03.02.023
a.go.id 01.01.112 Umum Publik
RAK.03.01.024
RAK.02.03.018
simpan.pasuruankota RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.14 A
.go.id 01.01.113 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
simpel.pasuruankota. RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
go.id 01.01.114 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
simperan.pasuruanko RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
ta.go.id 01.01.115 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
simpro.pasuruankota. RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
go.id 01.01.116 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
sinaker.pasuruankota RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.14 A
.go.id 01.01.117 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
sip.pasuruankota.go.i RAA Aplikasi Aplikasi Layanan
103.165.154.40 A RAK.03.01.022
d 01.01.118 Umum Publik
RAK.03.02.023

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 23

 RAK.03.01.024
RAK.03.01.022
sipanda.pasuruankota RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
.go.id 01.01.119 Umum Publik
RAK.03.01.024

RAK.03.01.022
sipendik.pasuruankot RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
a.go.id 01.01.120 Umum Publik
RAK.03.01.024
RAK.02.03.018
siperi.pasuruankota.g RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
o.id 01.01.121 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
sipipi.pasuruankota.g RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.15 A
o.id 01.01.122 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
sipnakes.pasuruankot RAA Aplikasi Aplikasi Layanan RAK.03.01.022
103.165.154.14 A
a.go.id 01.01.123 Umum Publik RAK.03.02.023
RAK.03.01.024
RAK.03.01.022
sipraja.pasuruankota. RAA Aplikasi Aplikasi Layanan
103.165.154.14 A RAK.03.02.023
go.id 01.01.124 Umum Publik
RAK.03.01.024

RAK.03.01.022
siremi.pasuruankota. RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
go.id 01.01.125 Umum Publik
RAK.03.01.024

RAK.03.01.022
sisurat.pasuruankota. RAA Aplikasi Aplikasi Layanan
103.165.154.41 A RAK.03.02.023
go.id 01.01.126 Umum Publik
RAK.03.01.024

RAK.03.01.022
sitalak.pasuruankota. RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
go.id 01.01.127 Umum Publik
RAK.03.01.024

RAK.03.01.022
siupin.pasuruankota.g RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
o.id 01.01.128 Umum Publik
RAK.03.01.024

RAK.03.01.022
smart.pasuruankota.g RAA Aplikasi Aplikasi Layanan
103.165.154.15 A RAK.03.02.023
o.id 01.01.129 Umum Publik
RAK.03.01.024
RAK.02.03.018
spasi.pasuruankota.g RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
o.id 02.01.130 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
spbe.pasuruankota.g RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
o.id 02.01.131 Khusus Tertentu RAK.03.02.023
RAK.03.01.024

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 24

 RAK.03.01.022
tambaan.pasuruankot RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
a.go.id 02.01.132 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
tpid.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
id 02.01.133 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
trajeng.pasuruankota. RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
go.id 02.01.134 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
umum.pasuruankota. RAA Aplikasi Aplikasi Fungsi
103.165.154.15 A RAK.03.02.023
go.id 02.01.135 Khusus Tertentu
RAK.03.01.024

RAK.03.01.022
uppks.pasuruankota.g RAA Aplikasi Aplikasi Fungsi
103.165.154.14 A RAK.03.02.023
o.id 02.01.136 Khusus Tertentu
RAK.03.01.024
RAK.02.03.018
uptkefarmasian.pasur RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.15 A
uankota.go.id 02.01.137 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
vpn.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.12 A
id 02.01.138 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
vpnbkd.pasuruankota RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.39 A
.go.id 02.01.139 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
vpnbpka.pasuruankot RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.38 A
a.go.id 02.01.140 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
vpncapil.pasuruankot RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.14 A
a.go.id 02.01.141 Khusus Tertentu RAK.03.02.023
RAK.03.01.024
RAK.02.03.018
wbs.pasuruankota.go. RAA Aplikasi Aplikasi Fungsi RAK.03.01.022
103.165.154.14 A
id 02.01.142 Khusus Tertentu RAK.03.02.023
RAK.03.01.024

Rincian kebijakan dan pejabarannya yang di susun nantinya akan dibahas lebih rinci
di Bab IV, tentang kajian Kebijakan Dokumen Kontrol Keamanan Sistem Pemerintahan
Berbasis Elektronik.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 25

 BAB IV KAJIAN KEBIJAKAN PENGAMANAN INFORMASI
KEBIJAKAN DOKUMEN KONTROL KEAMANAN SISTEM
PEMERINTAHAN BERBASIS ELEKTRONIK

4.1. KEBIJAKAN DAN PEDOMAN PENGAMANAN DAN PENGELOLAAN ASET

1. TUJUAN DAN SASARAN

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 26

 Aset milik Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan yang terkait
dengan SMKI harus dikelola dan diamankan dengan baik.
Penggunaan dari Infrastruktur Teknologi Informasi dan Komunikasi milik organisasi
oleh pengguna akhir harus dikelola dan diamankan dengan baik untuk menjamin
keamanan dari informasi milik organisasi.
Kebijakan dan prosedur ini ditetapkan untuk :
1. Menyediakan panduan untuk pengelolaan aset terkait SMKI;
2. Menyediakan panduan untuk personil, baik internal maupun eksternal, yang
menggunakan Infrastruktur Teknologi Informasi dan Komunikasi milik
organisasi.

2. RUANG LINGKUP
Prosedur ini berlaku untuk :
1. Prosedur ini mengatur proses pencatatan, pemeliharaan, perbaikan dan
pemusnahan aset di lingkungan Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan;
2. Aset yang diatur dalam kebijakan ini adalah PC, notebook, removable media,
aplikasi, server, perangkat jaringan dan pendukung (contoh: AC, Genset).

3. TANGGUNG JAWAB
 Bagian Perlengkapan dan Rumah Tangga bertanggung jawab untuk
mengidentifikasi, menginventarisasi, mengkoordinasikan dan memantau
pengelolaan aset penting terkait informasi dan sistem informasi organisasi. Hal ini
mencakup proses registrasi, inventarisasi serta pemeliharaan inventarisasi aset.
 Perwakilan Manajemen SMKI bertanggung jawab untuk pelaksanaan dari
keseluruhan proses dan aktivitas yang dijabarkan dalam prosedur ini.
 Manajemen Puncak SMKI bertanggung jawab untuk memberikan arahan dan
tujuan umum dari SMKI organisasi, dalam bentuk kebijakan information security
management system (ISMS) / sistem manajemen keamanan informasi (SMKI).
 Koordinator Pengendalian Dokumen SMKI bertanggung jawab untuk
mengkoordinasikan dan memantau proses pengelolaan dokumentasi terkait SMKI

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 27

 organisasi. Hal ini mencakup kebijakan dan prosedur terkait SMKI organisasi.
 Pemilik aset bertanggung jawab untuk:
1. Memastikan bahwa aset yang menjadi tanggung jawabnya telah
teridentifikasi dan terinventarisasi;
2. Memastikan bahwa setiap aset telah diklasifikasikan dan dilindungi secara
memadai;
3. Mendefinisikan dan meninjau pengendalian akses ke aset tersebut;
4. Memastikan penanganan yang baik untuk aset.

4. REFERENSI
 Annex 8.1 ISO 27001:2013 Tanggung jawab untuk aset;
 Annex 8.1.3 ISO 27001:2013 Penggunaan aset yang dapat diterima;
 Annex 12.2. ISO 27001:2013 Perlindungan dari malware;
 Annex 11.2.9. ISO 27001:2013 Clear desk clear screen;
 Kerangka Kerja dan Kebijakan SMKI Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan;
 Kebijakan dan Prosedur Klasifikasi dan Penanganan Informasi.

5. PENINJAUAN DOKUMENTASI
Dokumen ini harus ditinjau paling sedikit 1 (satu) kali dalam 1 (satu) tahun atau
apabila terdapat perubahan signifikan dalam proses bisnis organisasi untuk
menjamin kesesuaian dan kecukupan dengan kondisi terkini. Setiap perubahan
terhadap dokumen ini harus didokumentasikan dan disetujui melalui proses
manajemen perubahan.
6. KEBIJAKAN UMUM
1. Aset merupakan segala sesuatu yang dapat memberikan nilai tambah bagi
Dinas Komunikasi dan Informatika Provinsi Jawa Timur.
2. Aset Non – BMN adalah semua barang yang dibeli atau diperoleh bukan atas
beban APBN. Contoh: flashdisk, dan aset pribadi.
3. Aset pengelolaan informasi merupakan aset yang digunakan untuk mengelola
dan menyimpan informasi seperti PC, notebook, flashdisk, aplikasi dan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 28

 server.
6.1. PENGELOLAAN ASET
6.1.1. INVENTARISASI DAN KEPEMILIKAN ASET
1. Seluruh aset Dinas Komunikasi dan Informatika Kota Pasuruan yang terkait
dengan informasi, fasilitas pengolahan informasi dan sarana pendukungnya
harus diidentifikasi dan diinventarisasi;
2. Pemilik aset adalah pihak yang memiliki kendali dan tanggung jawab penuh
terkait aset yang dapat mencakup proses pembuatan, modifikasi,
pengolahan dan disposal dari aset tersebut;
3. Klasifikasi terhadap aset akan ditentukan berdasarkan kritikalitas aset dilihat
dari aspek kerahasiaan, integritas dan ketersediaan dari aset.
6.1.2. PEMELIHARAAN DAN DISPOSAL ASET
1. Pemeliharaan preventif dan korektif harus dilakukan sesuai dengan
prasyarat dari pembuat aset untuk menjamin daya tahan dari perangkat. Hal
ini mencakup juga kepastian dalam spareparts;
2. Kontrak pemeliharaan harus dibuat dengan pihak ketiga penyedia jasa yang
kompeten dan relevan;
3. Peralatan yang dibawa keluar untuk pemeliharaan harus diperiksa untuk
mencegah kebocoran informasi. Sebagai contoh adalah pengambilan
harddisk drive dari komputer yang akan dibawa oleh pihak ketiga untuk
diperbaiki;
4. Aset harus di-dispose secara aman dengan metode yang dapat mencegah
kebocoran informasi. Sebagai contoh adalah menghancurkan secara fisik
harddisk drive dari komputer yang akan di-dispose.
6.1.3. PENGEMBALIAN DAN PENGGUNAAN KEMBALI ASET
1. Semua aset terkait SMKI milik Dinas Komunikasi dan Informatika Kota
Pasuruan harus dikembalikan setelah personil pengguna tidak memiliki
hubungan kepegawaian lagi dengan Dinas Komunikasi dan Informatika
Provinsi Jawa Timur, misalnya karena pengunduran diri, pensiun dan
pemindahan posisi;
2. Pengembalian aset harus juga dilakukan apabila personil tersebut akan
absen untuk jangka waktu lebih dari 1 bulan;
3. Pengembalian aset harus terdokumentasi secara formal;
4. Untuk pengembalian aset yang disebabkan oleh terhentinya status
kepegawaian, informasi yang tersimpan dalam aset harus di-backup dan
informasi yang tersimpan dalam aset harus dihapus secara aman, antara lain
dengan secure format atau melakukan instalasi ulang sistem operasi secara
menyeluruh;
5. Aset pengolahan informasi milik Dinas Komunikasi Dan Informatika Kota
Pasuruan seperti komputer dan laptop yang akan digunakan kembali baik
oleh pihak internal maupun eksternal harus diperiksa untuk menjamin tidak
ada informasi sensitif yang terdapat dalam aset tersebut.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 29

 6.1.4. PENGGUNAAN ASET PRIBADI
1. Penggunaan aset milik pribadi, yaitu aset yang merupakan milik pribadi
personil, untuk aktivitas bisnis organisasi sangat tidak dianjurkan;
2. Aset pribadi yang mengakses dan/atau menyimpan informasi milik Dinas
Komunikasi dan Informatika Kota Pasuruan harus diidentifikasi, dilaporkan
kepada Koordinator Pengelolaan Aset SMKI serta diinventarisasi;
3. Koordinator Pengelolaan Aset SMKI bertanggung jawab untuk memastikan
bahwa aset pribadi telah mematuhi standard keamanan SMKI;
4. Penggunaan aset pribadi yang dapat digunakan sebagai media komunikasi
atau rekreasi seperti membaca dengan wajar dan terbatas.
5. Penggunaan aset pribadi tidak diperkenankan namun tidak terbatas pada :
a. Menyimpan atau mengirimkan informasi rahasia;
b. Memfoto dan video informasi rahasia, area data center atau disaster
recovery center.
6. Penggunaan aplikasi yang tidak diunduh melalui iTunes dan google play
tidak diperkenankan;
7. Personil diperbolehkan menggunakan perangkat pribadi untuk mengakses
sumber daya yang dimiliki instansi seperti : kalender dan kontak;
8. Untuk mencegah akses yang tidak berwenang perangkat pribadi harus
diberikan password sesuai dengan kebijakan SMKI;
9. Penggunaan perangkat Root (android) atau jailbreak (iOs) dilarang untuk
mengakses jaringan instansi;
10. Penggunaan aset pribadi yang tidak mendukung kegiatan instansi tidak
diperkanankan untuk mengakses jaringan instansi;
11. Personil bertanggung jawab penuh untuk risiko termasuk, namun tidak
terbatas pada, hilangnya sebagian atau keseluruhan data instansi dan
pribadi karena sistem operasi crash, bug, virus, malware, kegagalan
perangkat lunak dan / atau perangkat keras atau kegagalan lainnya yang
menyebabkan perangkat tidak dapat digunakan;
12. Personil secara pribadi bertanggung jawab untuk semua biaya yang terkait
dengan perangkatnya.

6.2. PENGGUNAAN ASET YANG DAPAT DITERIMA

6.2.1. KOMPUTER DAN NOTEBOOK
1. Dinas Komunikasi dan Informatika Provinsi Jawa Timur menyediakan
komputer dan/atau notebook bagi personil organisasi, hanya untuk
kebutuhan bisnis dan operasional Dinas Komunikasi dan Informatika Kota
Pasuruan yang terkait dengan pengelolaan Data Center Pemkot Pasuruan;
2. Personil Dinas Komunikasi dan Informatika Kota Pasuruan tidak diizinkan
untuk menggunakan komputer dan notebook organisasi untuk kegiatan
yang melanggar hukum;
3. Pengguna bertanggung jawab untuk pengamanan dan perlindungan dari
komputer dan notebook organisasi;
4. Pengguna dilarang untuk melakukan modifikasi perangkat keras maupun
lunak pada komputer organisasi tanpa izin dari Kepala Bidang Infrastruktur

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 30

 Teknologi Informasi dan Komunikasi dari pengguna tersebut dan dari pihak
IT helpdesk;
5. Pengguna dilarang untuk memasang / meng-install perangkat keras maupun
lunak tambahan tanpa izin dari manajer dari pengguna tersebut dan dari
pihak IT helpdesk;
6. Kehilangan dan pencurian terhadap komputer dan notebook organisasi
harus dilaporkan segera kepada Koordinator Manajemen Insiden SMKI
dan/atau pihak IT helpdesk.
6.2.2. KEAMANAN TERHADAP MALWARE
1. Setiap komputer, notebook dan server yang mengakses jaringan Dinas
Komunikasi dan Informatika Kota Pasuruan harus dipasang perangkat lunak
antivirus yang memadai;
2. Perangkat lunak antivirus harus secara otomatis melakukan scanning
terhadap media penyimpanan eksternal / removable media yang
dihubungkan kepada komputer, notebook tersebut;
3. Apabila memungkinkan, aplikasi antivirus harus digunakan untuk mencegah
eksekusi dari mobile code yang tidak diizinkan;
4. Perangkat lunak antivirus harus memiliki versi dan definisi virus terkini.
6.2.3. REMOVABLE MEDIA
1. Setiap removable media baik yang dimiliki oleh pribadi atau organisasi, yang
menyimpan informasi milik Dinas Komunikasi dan Informatika Kota
Pasuruan yang terkait dengan pengelolaan data center Pemprov Jatim harus
disetujui dan diinventarisasi secara formal;
2. Pengamanan dari removable media harus diimplementasikan sesuai dengan
klasifikasi dari informasi yang tersimpan didalamnya;
3. Removable media yang berukuran kecil seperti USB flash disk, memory
cards tidak boleh digunakan untuk menyimpan informasi secara permanen.
Penggunaanya hanya untuk kebutuhan transfer informasi.
6.2.4. KEBIJAKAN CLEAR DESK DAN CLEAR SCREEN
1. Setiap personil Dinas Komunikasi dan Informatika Kota Pasuruan
bertanggung jawab untuk memastikan kerapihan dan keteraturan area
kerjanya;
2. Informasi rahasia harus disimpan dalam tempat penyimpanan yang
memadai sesuai dengan kebijakan dan prosedur klasifikasi dan penanganan
informasi Dinas Komunikasi dan Informatika Kota Pasuruan serta hanya
dikeluarkan pada saat dibutuhkan saja;
3. Informasi rahasia tidak boleh ditinggalkan diarea kerja tanpa pengawasan;
4. Kebijakan clear desk ini juga terkait dengan penanganan dan penyimpanan
removable media yang digunakan untuk menyimpan informasi rahasia dan
sensitif;
5. Ruang rapat harus dibersihkan dari informasi rahasia dan sensitif setelah
tidak digunakan lagi. Hal ini mencakup informasi yang tertulis pada papan
tulis dan/atau ditulis pada secarik kertas;
6. Hasil cetakan pada printer harus segera diambil setelah dicetak;
7. Pada saat menggunakan mesin fotokopi, perhatian harus diberikan untuk
memastikan tidak ada materi informasi yang tertinggal;
Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 31
 8. Apabila tidak dibutuhkan lagi, informasi sensitif dan permanen harus
dihancurkan / di-shred dan tidak dibuang ke tempat sampah;
9. Semua komputer dan notebook milik Dinas Komunikasi dan Informatika
Provinsi Jawa Timur harus mengaktifkan fitur screen saver lock secara
otomatis 5 menit setelah tidak adanya aktivitas pengguna;
10. Pengguna harus mengunci komputernya pada saat meninggalkan area
kerjanya dan/atau saat pihak eksternal mendatangi area kerjanya.

7. TATA CARA PELABELAN ASET NON BMN

PELABELAN ASET NON AAA-BBB-CCCC-DD-EEEE

BMN
AAA Unit pemilik aset
001 = DIVISITI
003 = Pribadi
002 = Biro/Bidang ...
BBB Jenis Aset
001 =
Server
002 = PC
003 =
Notebook
004 =
Flashdisk
005 = ...
CCCC Tahun Pembelian
DD Bulan Pembelian
EEEE No Urut Aset
Contoh 001-003-2015-12-0001

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 32

4.2. KEBIJAKAN DAN PEDOMAN KEAMANAN JARINGAN
1. TUJUAN DAN SASARAN
Kebijakan dan prosedur ini ditetapkan sebagai panduan untuk memastikan bahwa
pengiriman data harus terlindungi dari kehilangan, kerusakan dan akses oleh pihak
yang tidak berwenang.

2. RUANG LINGKUP
Ruang lingkup kebijakan dan prosedur ini adalah keamanan dari jaringan internal
Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan dan keamanan dari
komunikasi yang melewati jaringan eksternal Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan.

3. TANGGUNG JAWAB
Bidang Layanan E-Government mempunyai kewenangan dalam pengaturan, evaluasi
dan monitoring konfigurasi jaringan komunikasi, perangkat jaringan komunikasi dan
perangkat keamanan jaringan komunikasi seperti firewall, intrusion detection dan
prevention system milik Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan.

4. REFERENSI
 Lampiran Kerangka Kerja Kebijakan SMKI;
 Annex A.13 ISO 27001:2013 Keamanan Komunikasi.

5. PENINJAUAN DOKUMENTASI
Dokumen ini harus ditinjau paling sedikit 2 (dua) kali dalam 1 (satu) tahun atau
apabila terdapat perubahan signifikan dalam proses bisnis organisasi untuk
menjamin kesesuaian dan kecukupan dengan kondisi terkini. Setiap perubahan
terhadap dokumen ini harus didokumentasikan dan disetujui melalui proses
manajemen perubahan.

6. KEBIJAKAN UMUM
1. Bagi pihak internal selain Bidang Layanan E-Government yang membutuhkan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 33

 akses untuk pengaturan, evaluasi dan monitoring jaringan atau perangkat
jaringan dan keamanan jaringan perlu mengajukan permohonan yang disetujui
secara formal oleh Kepala Bidang Layanan E-Government dengan
sepengetahuan Kepala Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan;
2. Penggunaan jaringan komunikasi data pihak ketiga harus disertai dengan
perjanjian yang memuat unsur pengamanan antara lain :
a. Jangka waktu penggunaan;
b. Jenis dan kapasitas yang digunakan;
c. Tujuan dan asal saluran;
d. Service Level Agreement (SLA) yang diberikan;
e. Hak dan kewajiban masing-masing pihak.

7. KETENTUAN
7.1. KETENTUAN TERKAIT KEAMANAN PERIMETER JARINGAN
1. Perimeter jaringan merupakan batas antara jaringan internal dan eksternal
Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan yang dilindungi
dengan menggunakan firewall;
2. Alamat jaringan internal harus disembunyikan apabila perangkat yang
terletak pada jaringan internal Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan melakukan komunikasi ke jaringan eksternal Dinas Komunikasi,
Informatika dan Statistik Kota Pasuruan. Oleh karena itu penggunaan
teknologi network address translation perlu diimplementasikan untuk lalu
lintas data yang melewati perimeter jaringan;
3. Firewall policy adalah default deny, pengecualian atau pembukaan port
aplikasi harus berdasarkan permintaan resmi dan harus ditinjau kebutuhan
dan keamanannya sebelum disetujui. Setiap perubahan terhadap firewall
policy harus disetujui oleh Bidang Layanan E-Government. Setiap permintaan
dan perubahan firewall policy harus terdokumentasi;
4. Firewall policy harus ditinjau, diuji dan diaudit minimal 2 (dua) kali dalam 1
(satu) tahun untuk menjamin kesesuaikan dengan kebutuhan dan kondisi
keamanan jaringan komunikasi Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan.
5. Fitur log keamanan pada perangkat firewall harus diaktifkan. Log tersebut
harus ditinjau minimal 1 (satu) kali dalam 1 (satu) bulan, untuk
mengidentifikasi pelanggaran maupun percobaan pelanggaran jaringan
komunikasi Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 34

 6. Penggunaan intrusion detection system dan intrusion prevention system
dapat dilakukan untuk mendeteksi usaha intrusi jaringan oleh pihak yang
tidak berwenang;
7.2. KETENTUAN TERKAIT DEMILITARIZED ZONE (DMZ)
1. Seluruh layanan sistem informasi Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan yang disediakan melalui jaringan internet, yang mencakup
namun tidak terbatas pada aplikasi berbasis web, FTP, email, VPN atau VOIP
perlu diletakkan (deployed) di demilitarized zone (DMZ);
2. Seluruh komunikasi antara server pada DMZ ke jaringan internal harus
dikendalikan dan dipantau dengan penggunaan firewall.
7.3. KETENTUAN TERKAIT KONEKSI DARI ATAU KE JARINGAN EKSTERNAL
1. Koneksi dari jaringan eksternal ke jaringan internal Dinas Komunikasi,
Informatika dan Statistik Kota Pasuruan (remote access) harus melalui
firewall dan secure gateway;
2. Koneksi tersebut harus menggunakan metode enkripsi untuk menjaga
keamanan data yang ditransmisikan. Metode tersebut dapat mencakup
namun tidak terbatas pada penggunaan TLS / SSL, IPSec, VPN atau RADIUS;
3. Koneksi dari atau ke jaringan eksternal perlu menggunakan metode otentikasi
untuk menjamin identitas pengguna jaringan. Metode otentikasi tersebut
harus disesuaikan dengan hak akses pengguna dan kebutuhan bisnis dan
operasional;
4. Metode otentikasi untuk remote access harus menggunakan two factor
authentication;
5. Koneksi dari atau ke jaringan eksternal yang tidak aktif (idle) selama 5 (lima)
menit harus segera diputus (timeout);
6. Penggunaan modem wireless broadband atau dial-up, hanya dapat dilakukan
setelah mendapat persetujuan Kepala Bidang Layanan E-Government;
7. Akses komputer milik Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan ke jaringan eksternal dengan menggunakan modem harus
dilakukan pada komputer yang tidak terhubung ke jaringan internal Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan (standalone);
8. Koneksi dari jaringan eksternal ke jaringan internal secara remote access
harus mendapat persetujuan dari Kepala Bidang Layanan E-Government.
7.4. KETENTUAN TERKAIT NETWORK SECURITY ASSESSMENT
1. Network security assessment merupakan aktivitas yang dilakukan untuk
melihat kondisi keamanan jaringan komunikasi Dinas Komunikasi, Informatika
dan Statistik Kota Pasuruan. Aktivitas ini mencakup namun tidak terbatas
pada aktifitas Vulnerability scanning atau network penetration test;
2. Network security assessment perlu dilakukan untuk menguji kerawanan pada
jaringan komunikasi Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan dan dilakukan paling sedikit 1 (satu) kali dalam 1 (satu) tahun;
3. Network security assessment merupakan bagian dari tanggung jawab dari
Bidang Layanan E-Government Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan. Proses tersebut dapat dilakukan secara internal maupun
menggunakan jasa vendor;

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 35

 4. Dalam penggunaan jasa vendor perlu diperhatikan pengendalian terhadap
pekerjaan vendor dan kerahasiaan informasi;
5. Seluruh aktifitas dalam kegiatan network security assessment harus
direncanakan, disetujui dan didokumentasi.
7.5. KETENTUAN MENGENAI PERANGKAT JARINGAN DAN KEAMANAN JARINGAN
1. Pengadaan terkait dengan perangkat jaringan perlu dilakukan berdasarkan
peninjauan teknis, keamanan dan kebutuhan Dinas Komunikasi, Informatika
dan Statistik Kota Pasuruan serta memperhatikan standar perangkat yang
ditetapkan Bidang Layanan E-Government;
2. Bidang Layanan E-Government bertindak sebagai administrator jaringan
yang memiliki hak untuk mengakses baik secara fisik maupun logikal,
perangkat jaringan milik Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan.
3. Perangkat jaringan perlu ditempatkan di ruangan khusus yang aksesnya
dibatasi (terkunci). Apabila penyediaan ruangan khusus tidak
memungkinkan, perangkat jaringan dapat disimpan di dalam rak khusus
yang juga dibatasi aksesnya (terkunci), pembatasan akses fisik tersebut
perlu diberikan kepada perangkat jaringan tersebut untuk mencegah akses
tanpa wewenang;
4. Pihak lain, baik internal maupun eksternal, selain Bidang Layanan E-
Government perlu mengajukan izin resmi apabila perlu mengakses
perangkat jaringan Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan.
5. Layanan dan port pada perangkat jaringan maupun server dan PC yang tidak
digunakan untuk mengakses jaringan komunikasi Dinas Komunikasi,
Informatika dan Statistik Kota Pasuruan harus dinonaktifkan (disabled);
6. Seluruh perangkat jaringan perlu diberi nama pengenal jaringan baik secara
fisik dengan menggunakan label pada perangkat tersebut serta secara
logikal pada aplikasi perangkat tersebut. Nama pengenal jaringan tersebut
harus konsisten dan memungkinkan identifikasi bagi sistem informasi Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan serta personil Bidang
Layanan E-Government;
7. Perlu ada pemisahan antara kabel listrik dengan kabel data bagi perangkat
jaringan komunikasi;
8. Seluruh kabel dari perangkat jaringan perlu ditempatkan dengan rapi,
terlindung dari ancaman gangguan serta diberi label pada kedua sisinya
untuk memudahkan identifikasi dan pemeliharaan;
9. Log dari perangkat jaringan Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan harus diaktifkan dan disimpan sesuai dengan aturan pada
kebijakan keamanan informasi dan prosedur terkait audit log;
10. Akses logikal ke perangkat jaringan harus menggunakan user-id dan
password yang memiliki tingkat keamanan tinggi (strong password);
11. Default password dari perangkat jaringan harus diganti, sesuai dengan
standar password yang berlaku;
12. User-id dan password dengan hak akses khusus seperti super administrator
atau root tidak boleh digunakan dengan bebas. User- id dan password

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 36

 tersebut harus disimpan dalam amplop tertutup oleh Bidang Layanan E-
Government dan hanya dapat digunakan melalui permohonan resmi;
13. Penggunaan user-ID tersebut harus didokumentasikan yang mencakup
informasi mengenai pengguna, waktu penggunaan, sistem yang diakses,
serta tujuan pemakaian;
14. Bidang Layanan E-Government perlu memelihara dan meninjau kesesuaian
dokumentasi perangkat jaringan yang meliputi data perangkat keras
(hardware), perangkat lunak (software), dan konfigurasi yang berlaku pada
perangkat tersebut;
15. Perangkat jaringan yang sudah tidak digunakan lagi, antara lain karena
rusak, diganti, atau habis masa sewanya, harus dicabut dari jaringan
komunikasi Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan dan
dipastikan tidak mengandung segala bentuk informasi yang berkaitan
dengan konfigurasi jaringan Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan;
16. Untuk menjaga kehandalan perangkat, dilakukan pemeliharaan secara
berkala minimal 1 (satu) kali dalam 6 (enam) bulan sebagai bentuk
Preventive Maintenance.
7.6. KETENTUAN TERKAIT SEGMENTASI JARINGAN
1. Untuk meningkatkan keamanan jaringan Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan, perlu dilakukan segmentasi jaringan dengan
menerapkan antara lain dengan metode VLAN atau subnetting;
2. Segmentasi jaringan komunikasi perlu dilakukan untuk membatasi akses
personil berdasarkan kebutuhan keamanan informasi dan operasional
bisnis. Sebagai contoh adalah segmentasi bagi sistem production,
development, unit pengembangan aplikasi, masing – masing biro atau
bidang;
3. Segmentasi jaringan tersebut perlu ditinjau kelayakannya secara berkala
untuk mengetahui kesesuaian atau kebutuhan terkini terkait dengan
keamanan informasi maupun operasional bisnis;
4. Segmentasi jaringan harus dilakukan untuk memantau keamanan pihak
eksternal, seperti vendor pengembangan aplikasi atau pihak auditor
eksternal, yang memerlukan akses ke jaringan internal Dinas Komunikasi,
Informatika dan Statistik Kota Pasuruan.
7.7. KETENTUAN TERKAIT ROUTING JARINGAN
1. Routing jaringan komunikasi Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan harus memastikan pengendalian terhadap alamat asal
(source) dan tujuan (destination) dari komunikasi data;
2. Pengendalian tersebut dapat dilakukan dengan menggunakan security
gateway, proxy maupun network address translation;
3. Pengendalian terhadap routing jaringan perlu memperhatikan pengendalian
akses bagi pengguna jaringan komunikasi;
4. Pengendalian routing jaringan perlu mempertimbangkan sistem dengan
sensitifitas tinggi pada sistem informasi Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 37

 7.8. KETENTUAN LAYANAN JARINGAN
1. Penggunaan layanan jaringan komunikasi Dinas Komunikasi, Informatika
dan Statistik Kota Pasuruan perlu dibatasi hanya untuk pengguna yang
memerlukannya berdasarkan kebutuhan bisnis maupun operasional;
2. Pembatasan akses penggunaan layanan jaringan tersebut perlu dilakukan
menggunakan sistem yang telah terotomatisasi sehingga proses otorisasi
penggunaan layanan jaringan dapat dilakukan secara otomatis bagi setiap
pengguna layanan jaringan Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan.
3. Sebuah matriks pengguna yang berisi daftar pengguna layanan jaringan
komunikasi Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan dan
otorisasi yang dimiliki bagi setiap pengguna harus dibuat dan disetujui oleh
atasan pengguna terkait dan diketahui oleh Kepala Bidang Layanan E-
Government. Matriks pengguna ini merupakan dasar bagi pemberian akses
ke layanan jaringan Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan.
4. Untuk membatasi penyalahgunaan, dapat dipertimbangkan membatasi
akses penggunaan layanan jaringan Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan hanya pada jam operasional kerja;
5. Pengamanan akses layanan jaringan berupa internet dilakukan dengan
menerapkan daftar hitam pada internet gateway, dimana akses ke situs
internet dalam daftar hitam tersebut ditutup secara otomatis pada gateway
internet Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan.
6. Koneksi ke internet harus melalui internet gateway resmi milik Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan. Penggunaan proxy
server selain proxy server resmi milik Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan adalah terlarang;
7. Internet gateway tidak boleh menyimpan data atau informasi yang bersifat
rahasia;
8. Situs internet yang harus dimasukkan ke dalam daftar hitam antara lain
namun tidak terbatas pada situs yang mengandung isi pornografi, judi,
kekerasan, file sharing, serta pertentangan suku agama ras (SARA);
9. Penggunaan layanan email perlu dilengkapi dengan aplikasi antivirus, anti
malware dan anti spam untuk mencegah serangan virus, malware maupun
spam melalui layanan email Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan.
7.9. KETENTUAN TERKAIT KETERSEDIAAN JARINGAN
1. Untuk menjamin stabilitas jaringan komunikasi maka perlu diperhatikan
aspek redundancy dari perangkat dan link komunikasi;
2. Untuk perangkat dan link jaringan yang kritikal perlu disediakan backup
dengan spesifikasi dan kapasitas yang setara;
3. Aspek redundancy bagi link komunikasi perlu mempertimbangkan:
a. Aspek teknologi, menggunakan redundant link yang memiliki teknologi
yang berbeda seperti MPLS dan FR;

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 38

 b. Aspek penyedia jasa, menggunakan penyedia jasa yang berbeda dan
memiliki infrastruktur jaringan yang saling independen.
4. Bidang Layanan E-Government perlu mempersiapkan Disaster Recovery Plan
(DRP) terkait dengan jaringan komunikasi yang menjadi bagian Data Center
Pemerintah Kota Pasuruan dan BCP Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan. Hal tersebut meliputi :
a. Ketersediaan perangkat dan link backup jaringan komunikasi dengan
spesifikasi yang memadai;
b. Ketersediaan desain jaringan komunikasi dan setting bagi perangkat
dalam kondisi gangguan;
c. Ketersediaan sumber listrik alternatif;
d. Prosedur untuk mengelola jaringan komunikasi dalam kondisi
gangguan.
7.10. KETENTUAN TERKAIT PEMANTAUAN (MONITORING) JARINGAN DAN
KEAMANAN JARINGAN
1. Pemantauan jaringan komunikasi dan keamanan jaringan komunikasi Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan hanya boleh dilakukan
oleh Bidang Layanan E-Government. Personil dari unit lain, baik eksternal
maupun internal, yang perlu melakukan aktifitas pemantauan jaringan
maupun keamanan jaringan harus mendapatkan izin dari Kepala Bidang
Layanan E-Government dan dalam melakukan aktifitasnya harus didampingi
oleh personel dari Bidang Layanan E-Government;
2. Sistem pemantauan jaringan komunikasi dan keamanan jaringan komunikasi
harus memiliki kemampuan untuk:
a. Mendeteksi secara dini gangguan pada system dan peralatan yang
kritikal dan memberikan tanda peringatan;
b. Mendeteksi seluruh peralatan yang terhubung ke jaringan Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan.
c. Menginformasikan kondisi dan status jaringan untuk keperluan analisa
dan pemeliharaan;
d. Membuat, menyimpan dan mencetak aktivitas system jaringan untuk
keperluan pemeliharaan dan audit.
3. Sistem pemantauan jaringan dan keamanan jaringan komunikasi hanya
dapat digunakan oleh administrator jaringan sesuai dengan ketentuan
keamanan informasi;
4. Pemantauan jaringan dan keamanan jaringan komunikasi difokuskan namun
tidak terbatas pada hal berikut:
a. Pelanggaran keamanan jaringan sistem informasi (security violation)
maupun percobaannya;
b. Aktifitas dan kondisi jaringan komunikasi.
5. Pemantauan jaringan dan keamanan jaringan sistem informasi
menggunakan perangkat keras maupun lunak khusus yang dapat memantau
aktifitas dan kondisi jaringan serta pelanggaran keamanan jaringan sistem
informasi maupun percobaannya;
6. Penggunaan perangkat pada butir nomor 3, hanya boleh dilakukan oleh
Bidang Layanan E-Government. Personil selain dari Bidang Layanan E-

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 39

 Government Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan
harus mendapatkan izin dari Kepala Bidang Layanan E-Government dan
dalam melakukan aktifitasnya harus didampingi oleh personel dari Bidang
Layanan E-Government;
7. Seluruh hasil aktifitas pemantauan tersebut perlu disimpan dalam log yang
harus dikelola sesuai ketentuan dalam kebijakan keamanan informasi dan
prosedur terkait audit log;
8. Log pemantauan jaringan perlu ditinjau secara harian, untuk memastikan
kondisi jaringan komunikasi Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan dalam kondisi baik. Peninjauan ini dilakukan oleh Bidang
Layanan E-Government;
9. Log pemantauan keamanan jaringan perlu ditinjau secara harian, untuk
memastikan kondisi keamanan jaringan Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan dalam kondisi aman. Peninjauan dilakukan oleh
Bidang Layanan E-Government;
10. Perhatian perlu segera diberikan apabila kondisi berikut terjadi pada
jaringan komunikasi Dinas Komunikasi, Informatika dan Statistik Kota
Pasuruan:
a. Terjadi pelanggaran keamanan jaringan (security violations) dan
percobaannya seperti adanya serangan malware, denial of service,
percobaan akses yang gagal, percobaan akses yang diluar jam kerja dan
tidak terjadwal atau aktifitas portscan;
b. Kondisi penggunaan bandwidth yang telah mencapai batas 80% dari
kapasitas bandwidth keseluruhan dari jaringan komunikasi Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan.
7.11. KETENTUAN TERKAIT DOKUMENTASI JARINGAN
1. Pengelolaan jaringan komunikasi Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan harus dilakukan secara terkontrol dan konsisten. Hal
ini dilakukan dengan penentuan tugas dan tanggung jawab pengelolaan
jaringan komunikasi serta pendokumentasian secara teratur proses dan
aktifitas pengelolaan jaringan;
2. Dokumentasi jaringan komunikasi yang perlu dibuat dan dipelihara
mencakup namun tidak terbatas pada:
a. Diagram topologi jaringan komunikasi;
b. Perangkat jaringan komunikasi, baik perangkat keras maupun lunak
beserta spesifikasinya;
c. Setting perangkat jaringan komunikasi;
d. Prosedur kerja bagi pengelolaan jaringan komunikasi;
e. Manual pengguna untuk perangkat jaringan komunikasi;
f. Records dari aktifitas pengelolaan jaringan seperti, formulir
permohonan izin, log dari sistem dan perangkat jaringan komunikasi
atau log permasalahan jaringan komunikasi;
g. Perjanjian kerja sama dan SLA dengan pihak vendor penyedia barang
dan jasa terkait jaringan komunikasi;
3. Pengelolaan dokumentasi jaringan komunikasi menjadi tanggung jawab
Bidang Layanan E-Government.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 40

 7.12. KETENTUAN TERKAIT PERBAIKAN SECARA REMOTE
1. Perbaikan sistem informasi (Operating System, Database, Support software,
dan aplikasi) secara remote merupakan alternatif terakhir metode
perbaikan sistem aplikasi dengan pertimbangan kerawanan keamanan yang
dapat timbul karena perbaikan yang dilakukan secara remote;
2. Perbaikan secara remote diperbolehkan untuk dilakukan jika 2 kondisi
berikut ini terjadi, yaitu:
a. Terjadi gangguan atas sistem informasi yang sifatnya urgent sehingga
perbaikannya harus segera dilakukan;
b. Personil yang berwenang dan berkompeten untuk melakukan perbaikan
(Administrator Sistem) berada di tempat yang tidak memungkinkannya
untuk melakukan perbaikan dari dalam jaringan internal Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan.
3. Untuk memastikan keamanan proses perbaikan, hal – hal berikut harus
diperhatikan pada workstation (PC / Notebook) yang digunakan untuk
melakukan perbaikan secara remote, yaitu:
a. Diusahakan menggunakan PC/Notebook milik Dinas Komunikasi,
Informatika dan Statistik Kota Pasuruan.
b. Memiliki kemampuan teknis untuk mendukung pelaksanaan akses
secara remote;
c. Terhubung ke internet melalui jaringan yang stabil dan aman
(workstation tidak berada di tempat umum atau diakses oleh publik /
umum dan menggunakan jaringan yang terlindungi dengan baik);
d. Menggunakan aplikasi yang telah ditetapkan oleh Bidang Layanan E-
Government untuk terhubung dengan jaringan internal Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan.
e. Menggunakan antivirus yang ter-update dengan baik.
4. Sebagai persiapan dokumentasi, rincian pelaksanaan perbaikan secara
remote berikut harus didokumentasikan:
a. Lokasi perbaikan;
b. Jaringan yang digunakan;
c. Waktu pelaksanaan perbaikan (tanggal, waktu mulai akses, waktu
selesai);
d. Analisa gangguan dan perbaikannya.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 41

4.3. KEBIJAKAN DAN PEDOMAN PENGELOLAAN DATA CENTER
1. TUJUAN DAN SASARAN
Keamanan fisik dan lingkungan sangatlah penting untuk memastikan keamanan dari
informasi, fasilitas pengolahan informasi organisasi, dan sarana pendukungnya.
Dokumen ini ditetapkan untuk memastikan pengamanan yang memadai akan
diimplementasikan untuk melindungi informasi, fasilitas pengolahan informasi Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan beserta sarana pendukungnya
dari ancaman fisik dan lingkungan.

2. RUANG LINGKUP
Kebijakan dan prosedur ini mengatur pengelolaan ruang server yang terdapat di
Dinas Komunikasi, Informatika dan Statistik Kota Pasurua yang meliputi pengamanan
akses fisik ruang server, pemeliharaan infrastruktur ruang server.

3. TANGGUNG JAWAB
 Kepala Bidang Layanan E-Government bertugas menyelenggarakan manajemen
informasi dan perubahan dalam rangka penerapan teknologi informasi di internal
pemerintahan dan layanan masyarakat.
 Personil Data center bertanggung jawab untuk melakukan kegiatan pengelolaan
sarana pendukung, pemeliharaan perangkat TI ruang server, serta pengelolaan
suhu dan kelembaban ruang server.
 Tamu merupakan pihak yang tidak memiliki akses untuk memasuki suatu ruangan
dan harus mengikuti prosedur yang berlaku di ruangan terkait untuk dapat
memasukinya.

4. REFERENSI
 ISO/IEC 27001:2013 Annex A.11.1.2 – Pengendalian Akses Masuk Secara Fisik
 ISO/IEC 27001:2013 Annex A.11.1.5 – Bekerja di Wilayah Aman
 ISO/IEC 27001:2013 Annex A.11.2.4 – Pemeliharaan Perangkat
 ISO/IEC 27001:2013 Annex A.11.2.2 – Utilitas Pendukung

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 42

 5. PENINJAUAN DOKUMENTASI
Dokumen ini harus ditinjau paling sedikit 1 (satu) kali dalam 1 (satu) tahun atau
apabila terdapat perubahan signifikan dalam proses bisnis organisasi untuk
menjamin kesesuaian dan kecukupan dengan kondisi terkini. Setiap perubahan
terhadap dokumen ini harus didokumentasikan dan disetujui melalui proses
manajemen perubahan.

6. KEBIJAKAN UMUM
6.1. WILAYAH AMAN
1. Akses ke wilayah Data center Pemerintah Kota Pasuruan di Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan harus dikendalikan dan
dipantau menggunakan pengendalian akses yang memadai;
2. Proses keluar dan masuk untuk tamu ke dalam area tertutup harus tercatat.
Pencatatan tersebut perlu mencakup:
a. Identitas dari tamu;
b. Waktu masuk dan keluar area data center.
1. Setiap tamu yang akan mengunjungi data center Pemerintah Kota Pasuruan
di Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan, harus
mengajukan permohonan formal untuk memasuki data center.
2. Setiap tamu yang memasuki area data center Pemerintah Kota Pasuruan
harus didampingi oleh Personil Bidang Layanan E-Government selama
aktifitas yang dilakukan di area data center Pemerintah Kota Pasuruan;
3. Hak akses fisik untuk personil dan pihak ketiga Bidang Layanan E-
Government hanya diberikan sesuai dengan kebutuhan bisnis dan
operasionalnya berdasarkan prinsip need to have dan harus secara formal
disetujui dan terdokumentasi;
4. Area data center Pemerintah Kota Pasuruan dan area kerja Dinas
Komunikasi, Informatika dan Statistik Kota Pasuruan harus memiliki
perlindungan yang memadai terhadap bencana alam maupun yang
ditimbulkan oleh manusia, yang dapat mencakup tetapi tidak terbatas pada
gempa bumi, banjir dan kebakaran;

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 43

 5. Personil yang dapat memasuki area data center Pemerintah Kota Pasuruan
adalah Pengelola data center selain dari itu harus mengikuti ketentuan
penerimaan tamu di area tertutup.
6.2. PERALATAN
1. Peralatan dan perangkat pendukung Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan yang mendukung layanan organisasi seperti UPS,
genset, pendingin, sistem pemadam api, atau server harus ditempatkan di
lokasi yang aman dan dipantau secara berkesinambungan;
2. Standar suhu ruang data center antara 18 – 27o C dan kelembapan antara 41
– 60% RH.
3. Pemeliharaan preventif dan korektif secara berkala beserta pengujian
terhadap peralatan dan sarana pendukung Dinas Komunikasi, Informatika
dan Statistik Kota Pasuruan khususnya di area data center harus dijadwalkan
dan dilaksanakan dengan memperhatikan rekomendasi dari pembuat
peralatan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 44

 No.
Tanggal
LOG AKSES DATA CENTER
Halaman

No Nama Pengunjung Bertemu Dengan Waktu Keperluan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 45

 No.
LOG PEMELIHARAAN Tanggal
PERALATAN DATA CENTER Halaman

Tahun .....
No Nama Peralatan Periode Pemeliharaan
1 2 3 4 5 6 7 8 9 10 11 12

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 46

4.4. KEBIJAKAN DAN PEDOMAN KEBERLANGSUNGAN BISNIS KEAMANAN INFORMASI

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 47

4.5. KONTEKS DAN RUANG LINGKUP SISTEM MANAJEMEN KEAMANAN INFORMASI
1. LATAR BELAKANG DAN TUJUAN
Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan memiliki komitmen untuk
memastikan keamanan informasi organisasi untuk menjaga aspek kerahasiaan,
integritas dan ketersediaan informasi dari ancaman kegagalan keamanan informasi.
Hal tersebut diwujudkan dengan mengimplementasikan sistem manajemen
keamanan informasi (SMKI) yang berdasarkan pada standar internasional ISO
27001:2013.
Dokumen ini bertujuan untuk mendeskripsikan ruang lingkup SMKI, faktor internal
dan eksternal yang mempengaruhinya dan untuk mengidentifikasi secara garis besar
potensi kegagalan keamanan informasi dan dampaknya.

2. RUANG LINGKUP
Dokumen ini berlaku dalam ruang lingkup implementasi SMKI di Data Center
Pemerintah Kota Pasuruan yang dikelola oleh Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan.

3. TANGGUNG JAWAB
 Tim Implementasi SMKI bertanggung jawab untuk mengkoordinasikan proses
dan aktivitas yang dijabarkan dalam dokumen ini termasuk pemeliharaan dari
catatan (records) hasil proses dan aktivitas tersebut;
 Perwakilan manajemen bertanggung jawab untuk pelaksanaan dari keseluruhan
proses dan aktivitas yang dijabarkan dalam dokumen ini;
 Manajemen puncak SMKI bertanggung jawab penuh (accountable) pelaksanaan
dari keseluruhan proses dan aktivitas yang dijabarkan dalam dokumen ini;
 Koordinator pengendalian dokumen SMKI bertanggung jawab untuk proses
peninjauan dan pemeliharaan dari dokumen ini.

4. REFERENSI
 Klausul 4 standard ISO 27001:2013, Konteks organisasi;

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 48

  Klausul 6.1.1 ISO 27001:2013, Tindakan umum untuk menangani risiko dan
kesempatan;
 Annex A.18.1.1. Identifikasi dari prasyarat hukum perundang-undangan serta
kontraktual yang berlaku;
 Kerangka Kerja dan Kebijakan SMKI Dinas Komunikasi, Informatika dan Statistik
Kota Pasuruan.

5. PENINJAUAN DOKUMENTASI
Dokumen ini harus ditinjau paling sedikit 1 (satu) kali dalam 1 (satu) tahun atau
apabila terdapat perubahan signifikan dalam proses bisnis organisasi untuk
menjamin kesesuaian dan kecukupan dengan kondisi terkini. Setiap perubahan
terhadap dokumen ini harus didokumentasikan dan disetujui melalui proses
manajemen perubahan.

6. KONTEKS ORGANISASI
Bagian dari dokumen ini menjabarkan faktor-faktor dan aspek-aspek yang menjadi
konteks dari SMKI yang diimplementasikan oleh organisasi.
6.1. GAMBARAN ORGANISASI
Berdasarkan Peraturan Wali Kota Pasuruan Nomor 65 Tahun 2016 tentang Tugas
Pokok dan Fungsi Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan
adalah melaksanakan urusan pemerintahan daerah di bidang komunikasi dan
informasi publik, teknologi informatika serta bidang statistik, persandian dan
pengamanan informasi yang menjadi kewenangan daerah dan tugas
pembantuan.
6.2. FAKTOR INTERNAL DAN EKSTERNAL
6.2.1. FAKTOR INTERNAL
Faktor dan permasalahan internal terkait dengan SMKI yang dihadapi oleh
Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan pada saat ini
meliputi:
1. Belum mempunyai kebijakan SMKI;
2. Belum memiliki struktur dari organisasi untuk keamanan Informasi;

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 49

 3. Belum memiliki tugas / peran dalam organisasi untuk keamanan
informasi;
4. Tidak memiliki ketersediaan dari personil yang handal, berkualifikasi
dan kompeten;
5. Tingkat kesadaran dari personil dan pihak ketiga;
6. Resistensi dari Perangkat Daerah dan Instansi lain;
7. Sarana dan prasarana belum memadai.
6.2.2. FAKTOR EKSTERNAL
Faktor dan permasalahan eksternal terkait dengan SMKI yang dihadapi
oleh Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan meliputi:
1. Perjanjian kontraktual / tingkat layanan dengan pengguna;
2. Kondisi politik, ekonomi, sosial, teknologi, hukum dan perundang-
undangan;
3. Kondisi lingkungan, seperti konsumsi listrik, daur ulang atau
penghancuran perangkat
4. Ekspekstasi masyarakat;
5. Standardisasi dan sertifikasi pada institusi;
6. Regulasi pemerintah;
7. Prasyarat lisensi perangkat lunak.
6.3. PIHAK TERKAIT DAN EKSPEKSTASINYA
Pada tabel dibawah ini tercantum pihak yang terkait dengan Dinas Komunikasi,
Informatika dan Statistik Kota Pasuruan serta relevan dengan SMKI organisasi
beserta ekspektasi mereka terkait keamanan informasi.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 50

 Pihak Internal Ekspektasi / prasyarat

Pegawai 1) Keamanan informasi pribadi dari

kebocoran;
2) Pelatihan dan pengetahuan terkait
keamanan informasi yang memadai;
3) Ketersediaan dan stabilitas sistem
informasi organisasi, seperti email,
jaringan LAN, jaringan internet;
4) Keamanan fisik ruangan kerja
organisasi.

Perangkat Daerah dan Instansi Lain
1) Ketersediaan dan stabilitas dari sistem
informasi pendukung proses bisnis dari
Perangkat Daerah dan Instansi Lain
(nama sistem informasi/aplikasi);
2) Keamanan informasi bisnis milik
Perangkat Daerah dan Instansi Lain
dari kebocoran dan/atau perubahan
tanpa izin;

Tabel 1
Ekspektasi / prasyarat keamanan informasi dari pihak internal terkait SMKI

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 51

 Pihak Eksternal Ekspektasi / prasyarat

Kementrian Komunikasi dan 1) Kepatuhan terhadap UU No.14 tahun

Informatika Republik Indonesia 2008 tentang keterbukaan informasi
publik, beserta aturan pelaksanaanya;
2) Permen KOMINFO
41/PER/M.KOMINFO/11/2007 tentang
Panduan Umum Tata Kelola Teknologi
Informasi dan Komunikasi Nasional
3) UU ITE No. 11 tahun 2008
4) Permen KOMINFO No. 4 Tahun 2016
tentang Sistem Manajemen
Pengamanan Informasi

Outsource 1) Kepatuhan / sertifikasi ISO 27001;

2) Ketersediaan layanan / sistem;

Vendor 1) Kepatuhan / sertifikasi ISO 27001;

2) Ketersediaan layanan / sistem;

Regulator 1) PP No. 82 Tahun 2012 mengenai

Penyelengaraan Sistem dan Transaksi
Elektronik

Tabel 2
Ekspektasi / prasyarat keamanan informasi dari pihak eksternal terkait SMKI

7. RUANG LINGKUP SMKI

Ruang lingkup Penerapan SMKI adalah sebagai berikut :
Area data center yang berlokasi di gedung Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan di Jl. Pahlawan No. 28 B, Kota Pasuruan.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 52

 1.1. HUBUNGAN DAN KETERGANTUNGAN
Tabel berikut menjabarkan hubungan dan ketergantungan antara aktivitas yang
dijalankan dengan pihak internal organisasi dan dengan aktivitas yang dilakukan
oleh organisasi lain diluar ruang lingkup SMKI Dinas Komunikasi, Informatika dan
Statistik Kota Pasuruan.

PIHAK PENGAWAS
PROSES YANG
PIHAK EKSTERNAL / PENGHUBUNG
DILAKUKAN
INTERNAL

PT. Amtek Perkasa Pengadaan Server, Gugi Alifrianto W.

Internasional Firewall, Storage

PT. PT. Indosat Tbk Penyediaan bandwidth Gugi Alifrianto W.

PT. Garis Waktu Kita Penyediaan bandwidth Gugi Alifrianto W.

CV.Cubiespot Pilar Tech Membantu proses Gugi Alifrianto W.

Indonesia pemeliharaan EMS dan
UPS

Pengadaan Memory Gugi Alifrianto W.

PT. Maxima Surya Abadi Lisensi perangkat Gugi Alifrianto W.

Pengadaan firewall Gugi Alifrianto W.

CV. Tempat Untuk Lisesnsi SSL Gugi Alifrianto W.

Tersenyum

CV. Sukses Abadi Maintenance PAC Gugi Alifrianto W.

PT. Natrya Kreasi Mandiri Membantu proses Gugi Alifrianto W.

implementasi DRC

Tabel 3
Hubungan & Ketergantungan Dengan Proses yang Dilakukan Oleh Pihak
Eksternal SMKI

8. RISIKO DAN KESEMPATAN

Berdasarkan faktor internal dan eksternal keamanan informasi yang dijabarkan pada
6.2 dan prasyarat keamanan informasi yang diberikan pada 6.3, risiko dan

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 53

 kesempatan harus diidentifikasikan dan ditangani untuk:
1. Memastikan bahwa SMKI dapat mencapai tujuannya;
2. Mencegah atau mengurangi dampak yang tidak diinginkan;
3. Mencapai peningkatan yang berkesinambungan.
Dinas Komunikasi, Informatika dan Statistik Kota Pasuruan telah mengidentifikasi
risiko dan kesempatan secara detail dalam proses manajemen risiko SMKI.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 54

 BAB VIII KESIMPULAN & PENUTUP
KESIMPULAN & PENUTUP

Kajian terkait dengan penyiapan panduan pelaksanaan persandian dan pengamanan

informasi SPBE Pemerintah Kota Pasuruan telah dilaksanakan, dengan beberapa kesimpulan
berikut:
1. Dalam penyusunan panduan pelaksanaan ini telah diacu dari dokumen Rencana Induk
SPBE Kota Pasuruan dan beberapa peraturan perundangan terkait dengan SPBE,
khususnya yang terkait dengan Pengamanan Informasi.
2. Dalam penyusunan kebijakan pengamanan informasi ini telah melakukan review dan
pelengkapan dokumen SPBE Pemerintah Kota Pasuruan dengan hal-hal yang terkait
lebih rinci terkait dengan Rencana Strategis, Arsitektur dan Tata Kelola Keamanan
Informasi.
3. Rancangan kebijakan pelaksanaan pengamanan informasi yang berupa perbaikan
Dokumen SPBE dapat menjadi sekaligus melengkapi Rencana Strategis Pengamana
Informasi, yang dapat menjadi bahan kajian, dapat dibreakdown dan dilengkapi sesuai
dengan diskusi internal maupun bersama eksternal agar dapat menyempurnakan hingga
menjadi dokumen resmi.
4. Dalam Rancangan Arsitektur Keamanan Informasi telah diuraikan rancangan dasar
Arsitektur Keamanan Informasi dan disiapkan dokumen kontrol Rancangan Arsitektur
Keamanan Informasi yang selanjutnya perlu dikembangkan secara bertahap sesuai
dengan kelengkapan informasi yang mulai digali.
5. Telah disiapkan rancangan pengelolaan Sumber Daya Pengamanan Informasi, termasuk
di dalamnya pengelolaan aset, sumber daya manusia dan manajemen pengetahuan.
Elaborasi dari panduan dasar ini dapat dijadikan bahan untuk kelengkapan dokumen
resmi jika diperlukan dan disesuaikan dengan perkembangan kondisi yang ada
6. Rancangan Pengamanan Sistem Elektronik dan Informasi Elektronik juga telah dikaji
diuraikan rangkaian pilihan pedoman agar dapat mengamankan sistem dan informasi.
7. Selanjutnya kajian dan rancangan pedoman Pengelolaan Layanan Keamanan Informasi
telah dijabarkan pada bagian akhir dari kajian ini. Diharapkan dapat diambil prioritas
lingkup yang akan dikerjakan yang selanjutnya bisa dimasukkan sebagai program.

Dokumen Persandian BAB IV KAJIAN PENGELOLAAN KEAMANAN INFORMASI| 55