Pedoman Lengkap Pengisian Instrumen Indeks KAMI v5.0 untuk Pemerintah Daerah

Arreza MP Mei 06, 2025 0 Komentar

Pedoman Lengkap Pengisian Instrumen Indeks KAMI v5.0 untuk Pemerintah Daerah

Pendahuluan

Dalam era digital yang terus berkembang, keamanan informasi menjadi aspek krusial bagi instansi pemerintah, termasuk pemerintah daerah. Penerapan sistem manajemen keamanan informasi tidak hanya memastikan kelancaran layanan publik tetapi juga melindungi data sensitif dari ancaman siber. Indeks Keamanan Informasi (Indeks KAMI) v5.0 hadir sebagai alat evaluasi mandiri untuk mengukur kesiapan pemerintah daerah dalam menerapkan standar keamanan informasi sesuai SNI ISO/IEC 27001.

Pedoman ini disusun untuk membantu pegawai pemerintah daerah memahami langkah-langkah pengisian instrumen Indeks KAMI v5.0 secara komprehensif. Dengan mengikuti panduan ini, diharapkan pemerintah daerah dapat:

Meningkatkan kesadaran akan pentingnya keamanan informasi.
Melakukan penilaian mandiri (self-assessment) secara objektif.
Menyusun dokumentasi keamanan informasi yang memadai.
Menyusun roadmap penerapan tata kelola keamanan informasi.

1. Latar Belakang dan Tujuan Indeks KAMI

1.1 Mengapa Indeks KAMI Penting?

Keamanan informasi mencakup tiga aspek utama:

Kerahasiaan (Confidentiality) – Memastikan data hanya diakses oleh pihak berwenang.
Keutuhan (Integrity) – Memastikan data tidak diubah secara tidak sah.
Ketersediaan (Availability) – Memastikan data dapat diakses saat dibutuhkan.

Indeks KAMI membantu pemerintah daerah mengevaluasi kesiapan penerapan keamanan informasi berdasarkan standar SNI ISO/IEC 27001. Hasilnya digunakan untuk:

Memberikan gambaran kondisi keamanan informasi kepada pimpinan instansi.
Menjadi acuan perbaikan dan penetapan prioritas.
Memenuhi tanggung jawab penggunaan dana publik.

1.2 Tujuan Indeks KAMI

Mendorong penerapan tata kelola keamanan informasi berbasis risiko.
Memfasilitasi penilaian mandiri secara objektif.
Menyediakan kerangka kerja dokumentasi keamanan informasi.
Memetakan tingkat kematangan keamanan informasi.

2. Proses Penilaian Indeks KAMI

Penilaian Indeks KAMI v5.0 mengacu pada Peraturan BSSN Nomor 8 Tahun 2021 dan mencakup tiga tahap utama:

2.1 Penilaian Mandiri

Dilakukan oleh Penyelenggara Sistem Elektronik (PSE) dengan mengevaluasi 6 area utama:

Tata Kelola Keamanan Informasi
Pengelolaan Risiko Keamanan Informasi
Kerangka Kerja Keamanan Informasi
Pengelolaan Aset Informasi
Teknologi Keamanan Informasi
Pelindungan Data Pribadi (PDP)

Setiap pertanyaan memiliki 5 opsi jawaban:

Tidak Dilakukan (0 poin)
Dalam Perencanaan (1-3 poin)
Dalam Penerapan/Diterapkan Sebagian (2-6 poin)
Diterapkan Secara Menyeluruh (3-9 poin)
Tidak Berlaku/Relevan (tidak dinilai)

2.2 Pengajuan Permohonan Verifikasi

Setelah penilaian mandiri, pemerintah daerah mengajukan permohonan verifikasi ke Badan Siber dan Sandi Negara (BSSN) dengan melampirkan:

Surat permohonan.
Dokumen pendukung (kebijakan, prosedur, risk register).
Hasil pengisian Indeks KAMI.

2.3 Verifikasi oleh BSSN

BSSN melakukan verifikasi melalui:

Pemeriksaan kelengkapan dokumen.
Evaluasi penerapan kebijakan.
Hasil verifikasi menentukan tingkat kesiapan:
Baik (Siap sertifikasi ISO 27001).
Cukup Baik (Perlu sedikit perbaikan).
Pemenuhan Kerangka Kerja Dasar (Masih banyak kekurangan).
Tidak Layak (Belum memenuhi standar).

3. Petunjuk Pengisian Instrumen Indeks KAMI

3.1 Kategori Sistem Elektronik

Sebelum mengisi area penilaian, tentukan kategori sistem elektronik yang digunakan:

Sistem Elektronik Strategis (Wajib SNI ISO/IEC 27001).
Sistem Elektronik Tinggi (Disarankan SNI ISO/IEC 27001).
Sistem Elektronik Rendah (Minimal standar BSSN).

Contoh Pertanyaan Kategori Sistem Elektronik:

Nilai investasi sistem elektronik (Rp 3 M vs Rp 30 M).
Jumlah pengguna (1.000 vs 5.000 pengguna).
Dampak kegagalan sistem (gangguan layanan vs bahaya pertahanan negara).

3.2 Area Penilaian Indeks KAMI

A. Tata Kelola Keamanan Informasi

Contoh Pertanyaan:

Apakah pimpinan instansi bertanggung jawab atas program keamanan informasi?
Apakah ada fungsi khusus pengelola keamanan informasi?
Apakah ada program sosialisasi keamanan informasi?

Dokumen Pendukung:

Kebijakan keamanan informasi.
SK Tim Pengelola Keamanan Informasi.
Laporan sosialisasi.

B. Pengelolaan Risiko Keamanan Informasi

Contoh Pertanyaan:

Apakah ada risk register yang terdokumentasi?
Apakah langkah mitigasi risiko dipantau berkala?

Dokumen Pendukung:

Dokumen manajemen risiko.
Laporan evaluasi risiko.

C. Kerangka Kerja Keamanan Informasi

Contoh Pertanyaan:

Apakah ada prosedur penanganan insiden?
Apakah kebijakan keamanan informasi dikomunikasikan ke seluruh pegawai?

Dokumen Pendukung:

Prosedur BCP/DRP.
Laporan uji coba disaster recovery.

D. Pengelolaan Aset Informasi

Contoh Pertanyaan:

Apakah ada daftar inventaris aset informasi?
Apakah ada prosedur backup data?

Dokumen Pendukung:

Daftar inventaris aset.
Laporan backup dan restore.

E. Teknologi Keamanan Informasi

Contoh Pertanyaan:

Apakah jaringan dilindungi firewall dan IDS/IPS?
Apakah sistem menggunakan enkripsi data?

Dokumen Pendukung:

Laporan vulnerability assessment.
Konfigurasi keamanan jaringan.

F. Pelindungan Data Pribadi (PDP)

Contoh Pertanyaan:

Apakah ada kebijakan perlindungan data pribadi?
Apakah ada mekanisme penghapusan data pribadi?

Dokumen Pendukung:

Kebijakan privasi.
SOP penanganan data pribadi.

4. Tingkat Kematangan Keamanan Informasi

Indeks KAMI menggunakan tingkat kematangan (maturity level) untuk menilai kesiapan instansi:

Tingkat	Deskripsi	Padanan ISO 27001
1 (Awal)	Pengamanan masih reaktif, tidak terdokumentasi.	Tidak layak.
2 (Dasar)	Pengamanan teknis ada, tetapi belum terstruktur.	Kerangka kerja dasar.
3 (Terdefinisi)	Kebijakan dan prosedur sudah terdokumentasi.	Ambang batas sertifikasi.
4 (Terkelola)	Pengamanan efektif berbasis risiko.	Cukup baik.
5 (Optimal)	Keamanan informasi terintegrasi dengan bisnis.	Baik.