PEMAHAMAN AUDIT KEAMANAN

SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK (SPBE)

DIREKTORAT OPERASI KEAMANAN DAN PENGENDALIAN INFORMASI

DEPUTI BIDANG OPERASI KEAMANAN SIBER DAN SANDI
BADAN SIBER DAN SANDI NEGARA

31 JANUARI 2024

#JagaRuangSiber
 Outline Kegiatan
AUDIT KEAMANAN SPBE
1 Informasi Terkait Audit
Keamanan SPBE yang dilakukan
pada Aplikasi Umum dan Khusus
AUDIT

2
TAHAPAN
AUDIT KEAMANAN
Tahapan - Tahapan proses
Audit Keamanan Aplikasi SPBE

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 2
 PEMANTAUAN DAN EVALUASI SPBE
Permen PAN RB Nomor 59 Tahun 2020
Pemantauan dan Evaluasi Sistem Pemerintahan Berbasis Elektronik

INDIKATOR 8 INDIKATOR 22
Tingkat Kematangan Kebijakan Internal Manajemen Keamanan Informasi Tingkat Kematangan Penerapan Manajemen Keamanan Informasi

INDIKATOR 31
Tingkat Kematangan Pelaksanaan Audit Keamanan SPBE

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 3
 Indikator 31 : Tingkat Kematangan Pelaksanaan
Audit Keamanan SPBE

Kriteria tingkat 4 telah terpenuhi dan hasil audit Keamanan SPBE telah ditindaklanjuti TINGKAT
melalui perbaikan penerapan Keamanan SPBE. 5

Kriteria tingkat 3 telah terpenuhi dan kegiatan Audit Keamanan dilaksanakan oleh
auditor TIK/Sistem Keamanan Informasi eksternal yang memiliki sertifikasi auditor TINGKAT
TIK/Sistem Keamanan Informasi. 4
Kriteria tingkat 2 telah terpenuhi dan kegiatan Audit Keamanan dilaksanakan
sesuai dengan pedoman Audit Keamanan. Kondisi : kegiatan Audit Keamanan
dilaksanakan oleh auditor TIK/Sistem Keamanan Informasi internal Instansi TINGKAT
Pusat/Pemerintah Daerah. 3
Kriteria tingkat 1 telah terpenuhi dan kegiatan Audit Keamanan
dilaksanakan sesuai dengan perencanaan berkesinambungan. Kondisi : TINGKAT
Kegiatan Audit Keamanan dilaksanakan tanpa pedoman Audit
2
Keamanan.

Kegiatan Audit Keamanan SPBE belum atau telah

dilaksanakan. Kondisi: Kegiatan Audit Keamanan TINGKAT
1
dilaksanakan tanpa perencanaan yang berkesinambungan

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 4
AUDIT TIK SPBE
Pasal 1 Perpres Nomor 95 Tahun 2018

Audit Teknologi Informasi dan Komunikasi adalah

proses yang sistematis untuk memperoleh dan
mengevaluasi bukti secara objektif terhadap aset
teknologi informasi dan komunikasi dengan tujuan
untuk menetapkan tingkat kesesuaian antara
teknologi informasi dan komunikasi dengan kriteria
dan/atau standar yang telah ditetapkan.

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 5
SEMESTA AUDIT TIK

APLIKASI INFRASTRUKTUR

NASIONAL UMUM PDN JIP SPLP BRIN AUDIT

APLIKASI &
IPPD KHUSUS JI IPPD SPL IPPD LATIK INFRASTRUKTUR

NASIONAL UMUM PDN JIP SPLP BSSN

AUDIT
KEAMANAN
IPPD KHUSUS JI-IPPD SPL IPPD LATIK

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 6
 AUDIT TIK
AUDIT INFRASTRUKTUR SPBE AUDIT KEAMANAN

• Infrastruktur SPBE Nasional di audit • Audit Keamanan pada infrastruktur SPBE

Nasional dan Aplikasi Umum dilakukan setiap
setiap tahun oleh BRIN
tahun oleh BSSN
• Infrastruktur SPBE instansi Pusat dan
Pemerintah Daerah diaudit setiap dua • Audit Keamanan pada infrastruktur SPBE
tahun oleh Lembaga audit TIK Instansi Pusat dan Pemda serta Aplikasi
• Koordinasi dengan kementerian Kominfo Khusus dilakukan minimal 1 (satu) kali dalam 2
(dua) tahun oleh Lembaga Audit TIK
AUDIT APLIKASI SPBE
• Aplikasi umum diaudit setiap tahun oleh
BRIN
• Aplikasi khusus di audit setiap dua tahun
oleh Lembaga Audit TIK
• Koordinasi dengan Kementerian Kominfo

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 7
 AUDIT TIK (CAKUPAN KEAMANAN)
Proses yang sistematis untuk memperoleh dan mengevaluasi bukti secara
objektif terhadap keamanan aset TIK dengan tujuan untuk menetapkan
tingkat kesesuaian antara keamanan TIK dengan kriteria dan/atau standar
keamanan yang telah ditetapkan

REGULASI KEAMANAN : STANDAR TEKNIS DAN PROSEDUR TEKNIS :

SISTEM MANAJEMEN KEAMANAN ✓ Pasal 41 ayat 3 : Penerapan Keamanan harus
INFORMASI (SMKI) memenuhi Standar Teknis & Prosedur Keamanan
Pasal 48 ayat 5 : Pedoman Manajemen SPBE
keamanan Infromasi SPBE diatur oleh BSSN ✓ Pasal 41 ayat 4 : Ketentuan Standar Teknis &
Prosedur Keamanan diatur oleh BSSN

PERATURAN BSSN No. 4 tahun 2021

tentang Pedoman SMKI SPBE dan Standar
Teknis dan Prosedur Keamanan SPBE

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 8
PEMERIKSAAN HAL POKOK TEKNIS

Sumber: Peraturan Presiden No 95 Tahun 2018 tentang SPBE

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 9
STANDAR ACUAN KEAMANAN SPBE
Peraturan BSSN No. 10 Tahun 2020
Peraturan Presiden Nomor 95 Tahun 2018
Tim Tanggap Insiden Siber
Sistem Pemerintahan Berbasis Elektronik
Peraturan BSSN No. 4 Tahun 2021
Peraturan Presiden Nomor 132 Tahun 2022
Pedoman Manajemen Keamanan Informasi Sistem
Arsitektur Sistem Pemerintahan Berbasis Elektronik Pemerintahan Berbasis Elektronik dan Standar
Nasional Teknis dan Prosedur Keamanan Sistem
Pemerintahan Berbasis Elektronik
Peraturan Menteri PANRB Nomor 59 Tahun 2020 Peraturan BSSN No. 4 Tahun 2023
Pemantauan dan Evaluasi Sistem Pemerintahan Perubahan Atas Peraturan Badan Siber dan Sandi
Berbasis Elektronik Negara Nomor 6 Tahun 2021 Tentang Organisasi
dan Tata Kerja Badan Siber Dan Sandi Negara

Rancangan Peraturan BSSN

Peraturan Menteri Komunikasi dan Informatika
Standar dan Tata Cara Audit Keamanan SPBE
Nomor 16 Tahun 2022
Kebijakan Umum Penyelenggaraan Audit Teknologi Rancangan Peraturan Kepala BSSN
Informasi dan Komunikasi
Pedoman Penggunaan Instrumen Audit Keamanan
SPBE

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera
 PROSES AUDIT KEAMANAN APLIKASI UMUM
DAN INFRASTRUKTUR SPBE NASIONAL
TAHA
PAN PP
ER
SIA EN
R
PE C

AN
AP

EVALUASI DESAIN KONTROL

AA
TAH

N
EVALUASI IMPLEMENTASI KONTROL
EVALUASI EFEKTIVITAS KONTROL

TAHAP PE
ALUASI

PROSES AUDIT
• Peraturan BSSN No 4 Tahun 2021
KEAMANAN tentang Pedoman Manajemen
V

L
E

AK Keamanan Informasi SPBE dan

AP

SA
Standar Teknis dan Prosedur
H

N
TA

AA

N Keamanan SPBE

TAHA
P PELAPORAN

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 11
TAHAP PERSIAPAN
TUJUAN TAHAP PERSIAPAN
Tujuan Tim Auditor melaksanakan kegiatan ini adalah untuk mempersiapkan pelaksanaan Audit
Keamanan Aplikasi Umum dengan baik dan sesuai dengan acuan peraturan perundang-undangan

KEGIATAN TAHAP PERSIAPAN

Pengembangan
Surat Pernyataan
Kompetensi /
Penugasan Independensi
Wawasan
Audit Auditor
Auditor

Penentuan Dokumen
Dokumen
Kriteria Audit Koordinasi
NDA
Keamanan Uji Efektivitas

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 12
KEBUTUHAN DOKUMEN AWAL
AUDIT KEAMANAN APLIKASI SPBE
1. Surat perintah / tugas tim auditan beserta PIC yang ditunjuk
2. Dokumen yang menjelaskan informasi mengenai aplikasi yang akan di audit
(mulai dari perencanaan, pengoperasian, pengembangan, dan pemantauan
aplikasi)
3. Dokumen yang menjelaskan proses bisnis dari aplikasi
4. Dokumen yang menjelaskan informasi mengenai infrastruktur aplikasi
5. Dokumen yang menjelaskan prosedur-prosedur terkait dengan aplikasi yang
telah disusun serta dijalankan
6. Dokumen yang menjelaskan tugas dan fungsi pihak-pihak yang berkaitan
dengan aplikasi
7. Dokumen yang memuat analisis risiko terkait dengan aplikasi dan pendukung

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 13
TAHAP PERENCANAAN
TUJUAN TAHAP PERENCANAAN
Tujuan Tim Auditor melaksanakan kegiatan ini adalah untuk merencanakan pelaksanaan Audit
Keamanan Aplikasi Umum dengan baik dalam menentukan ruang lingkup dan metodologi audit
keamanan

KEGIATAN TAHAP PERENCANAAN

2

Konsolidasi Penyusunan
Audit Plan

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 14
TAHAP PELAKSANAAN
TUJUAN TAHAP PELAKSANAAN
Tujuan dilaksanakan kegiatan ini adalah untuk mendapatkan kesimpulan dari setiap tahapan audit yang
dilaksanakan. Kesimpulan yang didapat berupa kesesuaian objek yang diaudit dibandingkan dengan
kriteria audit dan temuan hasil pelaksanakan aplikasi objek audit

START

Pemahaman Entry Evaluasi Evaluasi

Kontrol Desain Implementasi
Meeting
Keamanan Kontrol Kontrol

FINISHED

LHAK
Rencana
Tindak Exit Evaluasi
Lanjut Meeting Efektivitas
Kontrol

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 15
KESIMPULAN AUDIT KEAMANAN SPBE

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 16
METODE PENARIKAN KESIMPULAN
Evaluasi Evaluasi Evaluasi
Kesimpulan
Kondisi Desain Implementasi Efektivitas
Audit
Kontrol Kontrol Kontrol
Efektif Memadai
Sesuai Dengan Desain Perlu Peningkatan Memadai
Kontrol
Belum Efektif Perlu Peningkatan
1 Memadai Efektif Perlu Peningkatan
Tidak Sesuai Dengan Perlu Peningkatan Tidak Memadai
Desain Kontrol
Belum Efektif Tidak Memadai
Efektif Memadai
Sesuai Dengan Perlu Peningkatan Perlu Peningkatan
Desain Kontrol
Perlu Belum Efektif Tidak Memadai
2
Peningkatan Efektif Tidak Memadai
Tidak Sesuai Dengan Perlu Peningkatan Tidak Memadai
Desain Kontrol
Belum Efektif Tidak Memadai
Efektif Tidak Memadai
3 Tidak Memadai -- Perlu Peningkatan Tidak Memadai
Belum Efektif Tidak Memadai

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 17
TAHAP PELAPORAN
TUJUAN TAHAP PELAPORAN
Tujuan Tim Auditor melaksanakan kegiatan ini adalah untuk melakukan penyusunan Laporan Hasil
Audit Keamanan (LHAK), termasuk di dalamnya dokumen Rencana Tindak Lanjut atas temuan hasil
pelaksanaan Audit Keamanan Aplikasi Umum yang komprehensif dan terukur dalam melaksanakan
Audit Keamanan.

KEGIATAN TAHAP PELAPORAN

Dok Rencana
Tindak Lanjut
(RTL) 2

1 Laporan Hasil
Audit
Keamanan
(LHAK)

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 18
TAHAP EVALUASI
TUJUAN TAHAP EVALUASI
Tujuan Tim Auditor melaksanakan kegiatan ini adalah untuk melakukan pemantauan, evaluasi, serta
verifikasi terhadap tindak lanjut atas temuan dan rekomendasi Audit Keamanan.

KEGIATAN TAHAP EVALUASI

MONITORING
TINDAK
LANJUT

Berorirentasi Pelayanan | Akuntabel | Kompeten | Harmonis | Loyal | Adaptif | Kolaboratif || Bersama BSSN Negara Aman Rakyat Sejahtera 19
 TERIMA KASIH
DEPUTI BIDANG OPERASI KEAMANAN SIBER DAN SANDI
DIREKTORAT OPERASI KEAMANAN DAN PENGENDALIAN INFORMASI
BADAN SIBER DAN SANDI NEGARA

#JagaRuangSiber
“KECHILAFAN SATU ORANG SAHAJA
TJUKUP SUDAH MENJEBABKAN
KERUNTUHAN NEGARA”
Mayjen TNI Dr. Roebiono Kertopati (1914 - 1984)
Bapak Persandian Republik Indonesia

OPSKAMDALINFO