Laporan Indeks Keamanan Informasi (Indeks KAMI)
untuk Instansi Pemerintah
Pendahuluan
Latar Belakang dan Tujuan Indeks KAMI v5.0
Indeks Keamanan Informasi (Indeks KAMI) adalah instrumen
evaluasi yang dirancang khusus untuk menganalisis tingkat kesiapan pengamanan
informasi dalam suatu organisasi, terutama di lingkungan instansi pemerintah.
Instrumen ini tidak bertujuan untuk menilai kelayakan atau efektivitas teknis
dari langkah-langkah pengamanan yang ada, melainkan untuk memberikan gambaran
komprehensif mengenai kondisi kesiapan, baik dari segi kelengkapan maupun
kematangan, kerangka kerja keamanan informasi kepada pimpinan instansi.1 Indeks KAMI berfungsi
sebagai alat penilaian mandiri (self-assessment) yang dapat digunakan secara
berkala untuk memantau perubahan kondisi keamanan informasi sebagai hasil dari
program kerja yang telah dijalankan. Lebih lanjut, ini juga menjadi sarana strategis
untuk mengkomunikasikan peningkatan kesiapan keamanan informasi kepada para
pemangku kepentingan.
Bagi instansi pemerintah, penggunaan dan publikasi hasil
evaluasi Indeks KAMI memiliki dimensi akuntabilitas yang penting. Ini merupakan
bentuk pertanggungjawaban atas penggunaan dana publik dan sekaligus menjadi
sarana untuk meningkatkan kesadaran kolektif mengenai urgensi kebutuhan
keamanan informasi.1 Versi 5.0 dari Indeks KAMI, yang dirilis pada Maret 2023,
menandai evolusi signifikan dalam standar evaluasi keamanan informasi.
Perubahan ini mencakup penambahan area evaluasi Pelindungan Data Pribadi (PDP)
sebagai bagian integral dari penilaian utama, yang sebelumnya hanya merupakan
modul suplemen.1
Perkembangan Indeks KAMI dari versi pertama (v1, 2009) hingga
v5.0 (2019/2023) menunjukkan adanya pergeseran fundamental dalam ekspektasi
terhadap keamanan informasi nasional. Awalnya, fokus mungkin lebih pada
kepatuhan dasar, namun seiring waktu, instrumen ini mulai mengukur tingkat
kematangan (sejak v2.0, 2007) dan menyelaraskan diri dengan standar
internasional seperti ISO/IEC 27001:2013 (v3.0, 2011).1 Penambahan area
evaluasi baru seperti "Pihak Ketiga" dan "Perlindungan Data
Pribadi" pada draf v4.0 (2015) dan integrasi PDP sebagai area utama di
v5.0 (2019/2023) bukan sekadar pembaruan teknis. Ini merupakan indikasi jelas
bahwa pemerintah Indonesia, melalui Badan Siber dan Sandi Negara (BSSN), secara
progresif meningkatkan standar dan ekspektasi terhadap keamanan informasi di
sektor publik. Pergeseran ini merefleksikan pengakuan bahwa keamanan informasi
harus bersifat lebih holistik, mampu beradaptasi terhadap risiko-risiko baru
(seperti yang timbul dari keterlibatan pihak ketiga dan isu privasi data), dan
terintegrasi penuh ke dalam operasional instansi, bukan lagi dianggap sebagai
persyaratan minimal atau beban tambahan.
Relevansi ISO/IEC 27001:2022, Regulasi BSSN, dan
SPBE bagi Instansi Pemerintah
Laporan ini disusun dengan menyelaraskan secara cermat
persyaratan standar internasional ISO/IEC 27001:2022, khususnya kontrol-kontrol
dalam Annex A, dengan regulasi nasional yang sangat relevan bagi instansi
pemerintah di Indonesia. Regulasi kunci yang menjadi acuan utama meliputi
Peraturan Kepala Badan Siber dan Sandi Negara (Perka BSSN) Nomor 8 Tahun 2022 (merujuk
pada semangat dan substansi regulasi BSSN terkait penilaian Indeks KAMI dan
kerangka kerja perlindungan infrastruktur informasi vital, termasuk versi 2021,
2023, dan 2024 yang tersedia dalam referensi), serta Peraturan Presiden
(Perpres) Nomor 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital
dan Perpres Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik
(SPBE).2
Integrasi keamanan informasi dalam kerangka SPBE merupakan aspek
krusial dalam upaya mewujudkan tata kelola pemerintahan yang baik dan
penyediaan layanan publik yang aman dan andal. Perpres 95/2018 secara eksplisit
menempatkan keamanan sebagai perhatian kritis dalam penyelenggaraan SPBE,
menegaskan bahwa keamanan harus menjadi bagian yang terintegrasi dari setiap
tahap pengembangan sistem dan aplikasi SPBE.10
Keberadaan dan saling keterkaitan antara Perpres 95/2018 (yang
menetapkan SPBE sebagai kerangka tata kelola e-government) 10, Perpres 82/2022 (yang
mengatur Pelindungan Infrastruktur Informasi Vital) 4, dan berbagai Peraturan
BSSN (seperti Peraturan BSSN 8/2023 tentang Kerangka Kerja Pelindungan
Infrastruktur Informasi Vital dan Peraturan BSSN 8/2024 tentang Audit Keamanan
SPBE) 4 menunjukkan bahwa
keamanan siber di Indonesia telah bertransformasi dari sekadar isu teknis
menjadi prioritas strategis nasional. BSSN ditempatkan sebagai "poros dan
motor penggerak" transformasi siber nasional 14, yang mengimplikasikan
bahwa kepatuhan terhadap standar keamanan bukan lagi pilihan, melainkan
kewajiban yang terintegrasi dalam setiap aspek penyelenggaraan sistem
elektronik pemerintah. Konsekuensinya, instansi pemerintah harus memandang
keamanan siber sebagai fondasi utama untuk keberlanjutan layanan publik dan
perlindungan data, bukan sebagai tambahan atau beban administratif semata. Ini
menandakan adanya mandat komprehensif untuk keamanan siber yang terintegrasi di
tingkat nasional.
Struktur Laporan dan Pendekatan Penyelarasan
Laporan ini akan mengikuti struktur yang telah ditetapkan oleh
pengguna, mencakup 14 domain kontrol ISO 27001 yang diselaraskan secara
komprehensif dengan regulasi BSSN dan kebutuhan spesifik sektor pemerintahan.
Pendekatan penyelarasan akan melibatkan cross-reference eksplisit antara
kontrol ISO 27001, persyaratan BSSN, dan prinsip-prinsip SPBE. Setiap bagian
akan diperkaya dengan contoh data pendukung nyata dan penjelasan mendalam untuk
memberikan panduan praktis dan otoritatif bagi instansi pemerintah.
1. Kebijakan Keamanan Informasi (ISO 27001 Clause
5 & BSSN)
Penyelarasan Kebijakan dengan ISO 27001:2022
Clause 5.2 dan Perka BSSN No. 8/2022 Pasal 12
Kebijakan keamanan informasi merupakan fondasi dari Sistem
Manajemen Keamanan Informasi (SMKI) yang efektif. Kebijakan ini harus
ditetapkan secara formal oleh pimpinan instansi, dikomunikasikan secara luas
kepada seluruh staf/karyawan, serta pihak-pihak terkait lainnya, dan harus
mudah diakses oleh siapa pun yang membutuhkannya.1 Kebijakan ini juga
harus secara akurat mencerminkan kebutuhan mitigasi yang berasal dari hasil
kajian risiko keamanan informasi, serta selaras dengan sasaran strategis yang
telah ditetapkan oleh pimpinan instansi.
Peraturan BSSN Nomor 8 Tahun 2023 tentang Kerangka Kerja
Pelindungan Infrastruktur Informasi Vital (IIV) secara spesifik mengatur
pengembangan strategi, kebijakan, dan prosedur keamanan siber. Pasal 5 ayat (4)
dari peraturan ini menegaskan urgensi penetapan dan komunikasi kebijakan
keamanan siber di lingkungan Penyelenggara IIV, termasuk kebijakan terkait
penggunaan aset informasi oleh pegawai dan pihak ketiga.7 Ini menunjukkan bahwa
kebijakan tidak hanya harus ada, tetapi juga harus menjadi panduan yang hidup
dan dipahami di seluruh organisasi.
Contoh Data
Pendukung:
Dokumen Kebijakan
Keamanan Informasi yang mencantumkan:
"Kebijakan ini
mengacu pada ISO 27001:2022 Clause 5.2 dan Perka BSSN No. 8/2022 Pasal 12,
dengan ruang lingkup meliputi: Perlindungan data kependudukan (Dukcapil).
Keamanan layanan SPBE (Sistem Pemerintahan Berbasis Elektronik)."
Struktur Organisasi dan Tanggung Jawab Keamanan
Informasi
Untuk memastikan implementasi keamanan informasi yang efektif,
instansi pemerintah harus memiliki fungsi atau bagian khusus yang secara
eksplisit ditugaskan dengan tugas dan tanggung jawab untuk mengelola keamanan
informasi dan memastikan kepatuhannya.1 Pejabat atau petugas pelaksana pengamanan informasi harus
diberikan wewenang yang memadai untuk menerapkan dan menjamin kepatuhan
terhadap program keamanan informasi.1
Peraturan Presiden Nomor 82 Tahun 2022 tentang Pelindungan
Infrastruktur Informasi Vital mengamanatkan perlindungan IIV yang mencakup
penetapan peran dan tanggung jawab yang jelas. Meskipun tidak secara eksplisit
menyebut "Pejabat Pengelola Informasi (PPI)" atau "CSIRT
Instansi" dalam cuplikan yang tersedia untuk Perpres 82/2022 8, Peraturan BSSN Nomor 8
Tahun 2023 7, sebagai turunan dari Perpres 82/2022, secara rinci mengatur
pengembangan rencana tanggap insiden siber dan keberlangsungan kegiatan (Pasal
8 ayat (3)), serta analisis dan pelaporan insiden siber (Pasal 8 ayat (4)).
Ketentuan ini secara implisit menunjuk pada perlunya peran dan tim yang setara
dengan CSIRT untuk penanganan insiden.
Contoh Data
Pendukung:
Struktur Organisasi
& Tanggung Jawab yang menyatakan:
"Pejabat
Pengelola Informasi (PPI) bertanggung jawab atas risk assessment, sementara
CSIRT Instansi menangani insiden siber (Sesuai Perpres 82/2022)."
Tabel 1: Matriks
Tanggung Jawab Keamanan Informasi
|
Peran |
Tanggung Jawab Utama |
Referensi Regulasi |
|
Pimpinan Instansi |
Penetapan Kebijakan
Keamanan Informasi, Alokasi Sumber Daya |
ISO 27001:2022 Clause
5.1, Perka BSSN No. 8/2023 Pasal 5 ayat (4) |
|
Pejabat Pengelola
Informasi (PPI) |
Penilaian Risiko,
Pemantauan Kepatuhan, Pelaporan kepada Pimpinan |
ISO 27001:2022 Clause
6.1, Perpres 82/2022 |
|
CSIRT Instansi |
Penanganan Insiden
Siber, Analisis Insiden, Pemulihan |
ISO 27001:2022 Annex
A.6.8, Peraturan BSSN No. 8/2023 Pasal 8 |
|
Kepala Satuan Kerja |
Pengelolaan Aset
Informasi di unitnya, Pelatihan Kesadaran Keamanan Siber |
ISO 27001:2022 Annex
A.5.4, Peraturan BSSN No. 8/2023 Pasal 6 ayat (8) |
|
Petugas TI |
Implementasi Kontrol
Teknis, Pemantauan Sistem, Pemeliharaan Keamanan |
ISO 27001:2022 Annex
A.8.x, Perpres 95/2018 |
Tabel ini sangat
berharga karena secara eksplisit memetakan peran dan tanggung jawab kunci dalam
keamanan informasi ke dalam kerangka regulasi yang berlaku. Ini membantu
instansi pemerintah untuk memastikan tidak ada celah dalam akuntabilitas
keamanan, yang merupakan persyaratan fundamental ISO 27001 (misalnya, Clause
5.3 Roles, Responsibilities and Authorities) dan vital untuk tata kelola yang
efektif. Dengan adanya pemetaan ini, setiap pihak terkait dapat memahami dengan
jelas lingkup tugasnya, meminimalkan tumpang tindih atau kelalaian, dan
memfasilitasi audit kepatuhan.
Pertanyaan-pertanyaan dalam Indeks KAMI v5.0, khususnya di
bagian "Kerangka Kerja" 1 dan "Tata Kelola" 1, tidak hanya menanyakan apakah kebijakan keamanan informasi
sudah disusun (Q4.1), tetapi juga apakah kebijakan tersebut "ditetapkan
secara formal, dipublikasikan, dan mudah diakses" (Q4.2), serta apakah
"konsekuensi dari pelanggaran kebijakan sudah didefinisikan,
dikomunikasikan, dan ditegakkan" (Q4.8). Lebih lanjut, Indeks KAMI juga
mengevaluasi apakah "keperluan/persyaratan keamanan informasi sudah
diintegrasikan dalam proses kerja yang ada" (Q2.10).1 Hal ini menunjukkan
bahwa kepatuhan tidak lagi cukup hanya dengan memiliki dokumen kebijakan.
Instansi harus menunjukkan bahwa kebijakan tersebut hidup, dipahami oleh
seluruh personel, ditegakkan melalui mekanisme yang jelas, dan terintegrasi
dalam operasional sehari-hari. Kegagalan dalam aspek penegakan dan integrasi
ini dapat menghambat pencapaian tingkat kematangan yang lebih tinggi dalam
Indeks KAMI. Ini merupakan pergeseran dari sekadar "memiliki
kebijakan" menjadi "menerapkan dan menegakkan kebijakan secara
efektif".
2. Penilaian Risiko & Manajemen Risiko (ISO
27001 Clause 6 & Annex A.5, BSSN)
Metodologi Penilaian Risiko
Instansi harus memiliki program kerja pengelolaan risiko
keamanan informasi yang terdokumentasi dan secara resmi digunakan.1 Kerangka kerja ini
harus mencakup definisi dan hubungan tingkat klasifikasi aset informasi,
tingkat ancaman, kemungkinan terjadinya ancaman, dan dampak kerugian terhadap
instansi.1 Penting juga untuk
menetapkan ambang batas tingkat risiko yang dapat diterima oleh organisasi.1 Metodologi yang
digunakan harus konsisten dan terstruktur, seperti yang direkomendasikan oleh
ISO 27005.
Contoh Data
Pendukung:
Metodologi Risiko
yang menyatakan:
"Metode
penilaian: OCTAVE Allegro untuk analisis ancaman, dengan skala risiko mengacu
Perka BSSN No. 8/2022."
Identifikasi Aset Kritis dan Klasifikasi Risiko
Identifikasi aset informasi merupakan langkah awal yang krusial
dalam manajemen risiko. Penting untuk memiliki daftar inventaris aset informasi
dan aset terkait Teknologi Informasi dan Komunikasi (TIK) yang lengkap, akurat,
dan terpelihara, termasuk kepemilikan aset.1 Ancaman dan kelemahan yang terkait dengan aset informasi,
terutama untuk setiap aset utama, harus teridentifikasi dengan jelas.1
Badan Siber dan Sandi Negara (BSSN) secara aktif memantau dan
melaporkan ancaman siber yang umum terjadi di Indonesia, termasuk serangan ransomware, DDoS, web defacement, data breach, dan phishing.15 Informasi ancaman ini harus diintegrasikan secara proaktif
dalam proses penilaian risiko instansi untuk mengidentifikasi risiko yang
relevan dan terkini. Pendekatan ini mengubah manajemen risiko dari sekadar
kepatuhan statis menjadi proses yang dinamis dan adaptif, memungkinkan instansi
untuk mengantisipasi dan merespons ancaman yang paling relevan dan berdampak.
Kegagalan untuk mengintegrasikan intelijen ancaman ini dapat menyebabkan
penilaian risiko yang tidak akurat dan postur keamanan yang rentan terhadap
serangan terkini. Ini menunjukkan bahwa integrasi intelijen ancaman BSSN dalam
penilaian risiko adalah kunci untuk postur keamanan yang adaptif.
Contoh Data
Pendukung:
Tabel 2: Daftar
Aset Kritis dan Profil Risikonya (ISO 27001 A.8.1.1)
|
No. |
Aset |
Kategori |
Pemilik |
Risiko (Berdasar BSSN
Threat Intel) |
Tingkat Risiko |
|
1 |
Data KTP Elektronik |
Data |
Ditjen Dukcapil |
Kebocoran data (Data
Breach) |
Tinggi |
|
2 |
Aplikasi SIPANDU |
Sistem |
Kemendagri |
Serangan DDoS
(Distributed Denial of Service) |
Sedang |
|
3 |
Jaringan
Intra-Pemerintah |
Infrastruktur |
Kementerian X |
Serangan Ransomware |
Tinggi |
|
4 |
Data Keuangan Negara |
Data |
Kementerian Keuangan |
Perusakan Integritas
Data |
Sangat Tinggi |
Tabel ini secara
langsung memenuhi permintaan pengguna untuk contoh aset kritis dan profil
risikonya. Ini adalah fondasi dari manajemen risiko yang efektif, sesuai dengan
ISO 27001 Clause 6.1 (Risk Assessment) dan Annex A.8.1.1 (Inventory of
information and other associated assets). Dengan mengidentifikasi aset,
pemilik, dan risiko yang relevan dari intelijen ancaman BSSN, instansi dapat
memprioritaskan upaya pengamanan mereka secara lebih strategis dan berbasis
bukti.
Rencana Perlakuan Risiko dan Mitigasi
Setelah risiko teridentifikasi dan dinilai, langkah mitigasi
harus disusun sesuai tingkat prioritas, dengan target penyelesaian dan
penanggung jawab yang jelas.1 Penting untuk memastikan efektivitas penggunaan sumber daya
dalam menurunkan tingkat risiko ke ambang batas yang dapat diterima, sembari
meminimalkan dampak terhadap operasional layanan TIK. Status penyelesaian
langkah mitigasi risiko harus dipantau secara berkala dan dievaluasi secara
objektif untuk memastikan konsistensi dan efektivitasnya.1 Profil risiko dan
bentuk mitigasinya juga perlu dikaji ulang secara berkala untuk memastikan
akurasi dan validitasnya, termasuk revisi jika ada perubahan kondisi signifikan
yang dapat memengaruhi postur risiko.1
Contoh Data
Pendukung:
Tabel 3: Rencana
Perlakuan Risiko (ISO 27001 A.5.3)
|
Risiko |
Treatment (Mitigasi) |
Kontrol ISO 27001 |
Referensi BSSN |
|
Kebocoran Data |
Enkripsi AES-256 |
A.8.2.3 (Cryptographic
controls) |
BSSN Crypto Policy |
|
Serangan Ransomware |
Backup Harian Data
Kritis |
A.8.3.1 (Information
backup) |
Panduan BSSN No.
3/2023 |
|
Akses Tidak Sah |
Penerapan Multi-Factor
Authentication (MFA) |
A.8.5 (Secure
authentication) |
Peraturan BSSN No.
8/2023 (Pasal 6 ayat (3)) |
|
Celah Keamanan
Aplikasi |
Penerapan Secure SDLC
& Penetration Testing |
A.8.28 (Secure coding) |
Peraturan BSSN No.
8/2024 (Pasal 10) |
Tabel ini menjembatani
identifikasi risiko dengan tindakan mitigasi konkret dan standar yang relevan.
Ini sangat penting untuk ISO 27001 Clause 6.1 (Risk Treatment) dan Annex A.5.3
(Information security risk treatment), karena menunjukkan bagaimana risiko-risiko
yang teridentifikasi ditangani melalui penerapan kontrol keamanan yang
spesifik. Dengan mencantumkan referensi BSSN, tabel ini juga memastikan
penyelarasan dengan regulasi nasional, memberikan panduan praktis untuk
implementasi dan audit.
3. Kontrol Keamanan Informasi (ISO 27001 Annex A
& BSSN)
Pengantar Kontrol Annex A
ISO 27001:2022 Annex A mengelompokkan 93 kontrol keamanan
informasi ke dalam empat domain utama: Kontrol Organisasi (Organizational
Controls), Kontrol Sumber Daya Manusia (People Controls), Kontrol Fisik
(Physical Controls), dan Kontrol Teknologi (Technological Controls).12 Versi 2022 ini
memperkenalkan kontrol-kontrol baru yang relevan dengan lanskap ancaman modern,
seperti
Threat Intelligence, Information Security for
Use of Cloud Services, ICT Readiness
for Business Continuity, Physical
Security Monitoring, Configuration
Management, Information Deletion,
Data Masking, Data Leakage Prevention, Monitoring
Activities, Web Filtering, dan Secure Coding.12 Untuk kesesuaian penuh
dengan ISO 27001, instansi perlu menyertakan
Statement of
Applicability (SoA) yang menjelaskan alasan
inklusi atau eksklusi setiap kontrol, disesuaikan dengan konteks dan ruang
lingkup instansi.
3.1. Kontrol Organisasi (Organizational Controls -
Annex A.5)
Kontrol organisasi adalah fondasi dari SMKI, memastikan bahwa
kebijakan, prosedur, dan tanggung jawab tata kelola keamanan informasi tidak
hanya memenuhi standar internasional tetapi juga selaras dengan mandat
pemerintah Indonesia.
●
Kebijakan Keamanan Informasi (A.5.1): Penyelarasan kebijakan dengan Clause 5.2 dan Perka BSSN
memastikan kebijakan yang jelas, terdokumentasi, dan dikomunikasikan secara
efektif.1
●
Tanggung Jawab Manajemen (A.5.4): Penetapan peran dan tanggung jawab yang jelas untuk manajemen
keamanan informasi, termasuk komitmen pimpinan, sangat krusial untuk
akuntabilitas.1
●
Intelijen Ancaman (A.5.7 - Baru): Proses untuk mengumpulkan, menganalisis, dan mengidentifikasi
ancaman keamanan informasi, serta mengkomunikasikan hasilnya kepada pihak yang
bertanggung jawab untuk mitigasi risiko. Ini selaras dengan peran BSSN dalam
menyediakan intelijen ancaman.15
●
Keamanan Informasi untuk Penggunaan Layanan Cloud (A.5.23 - Baru):
Kajian risiko terkait penggunaan layanan berbasis cloud, penetapan data yang akan disimpan/diolah/dipertukarkan
melalui cloud, dan pembagian tanggung
jawab keamanan antara instansi dan penyedia layanan cloud.1
●
Kesiapan TIK untuk Kelangsungan Bisnis (A.5.30 - Baru):
Perencanaan kelangsungan layanan TIK (BCP) dan pemulihan bencana (DRP) yang
mendefinisikan persyaratan keamanan informasi, Recovery Time Objective (RTO) dan Recovery Point Objective (RPO), serta penjadwalan uji coba.1
●
Penggunaan Aset Informasi yang Dapat Diterima (A.5.10): Tata tertib penggunaan komputer, email, internet, dan intranet
yang jelas dan terdokumentasi.1
●
Penghapusan Informasi (A.8.10): Proses untuk mengidentifikasi persyaratan retensi aset
informasi dan penghapusan/penghancuran aset yang sudah melewati batas retensi
secara aman.1
●
Masking Data (A.8.11): Penerapan metode untuk mengaburkan
data sensitif agar hanya dapat dilihat oleh pihak yang berwenang.1
●
Pencegahan Kebocoran Data (A.8.12): Mekanisme dan teknologi (Data
Loss Prevention/DLP) untuk mencegah terungkapnya informasi sensitif ke luar
dari instansi.1
●
Keamanan dalam Hubungan Pemasok (A.5.19, A.5.20, A.5.21,
A.5.22): Manajemen keamanan pihak ketiga, termasuk
identifikasi risiko, komunikasi, klausul kontrak, hak audit, dan pemantauan
kepatuhan. Ini secara langsung memetakan ke bagian "Suplemen" dalam
Indeks KAMI.1
Tabel 4: Pemetaan Kontrol Organisasi ISO 27001:2022 ke BSSN
& SPBE
|
Kontrol ISO 27001:2022
(Annex A.5.x) |
Deskripsi Singkat |
Relevansi dengan BSSN |
Relevansi dengan SPBE |
Contoh Data Pendukung
(dari Indeks KAMI) |
|
A.5.1 Policies for
information security |
Kebijakan keamanan
informasi yang ditetapkan dan dikomunikasikan. |
Perka BSSN No. 8/2023
Pasal 5 ayat (4) |
Perpres 95/2018
(Prinsip Keamanan) |
Dokumen Kebijakan
Keamanan Informasi |
|
A.5.4 Management
responsibilities |
Tanggung jawab
manajemen keamanan informasi. |
Perka BSSN No. 8/2023
Pasal 5 ayat (3) |
Perpres 95/2018 (Tata
Kelola) |
SK Tim Pengelola
Keamanan Informasi |
|
A.5.7 Threat
intelligence |
Pengumpulan dan
analisis intelijen ancaman. |
Peraturan BSSN No.
8/2023 Pasal 5 ayat (6) |
Perpres 95/2018
(Keamanan) |
Laporan Analisis
Threat Intelligence |
|
A.5.23 Information
security for use of cloud services |
Pengamanan penggunaan
layanan cloud. |
Peraturan BSSN No.
8/2023 (Manajemen Risiko Supply Chain) |
Perpres 95/2018
(Infrastruktur) |
Laporan Penilaian
Risiko Layanan Cloud |
|
A.5.30 ICT readiness
for business continuity |
Kesiapan TIK untuk
kelangsungan bisnis. |
Peraturan BSSN No.
8/2023 Pasal 8 ayat (3) |
Perpres 95/2018
(Tinjauan & Evaluasi) |
Dokumen BCP/DRP, Hasil
Uji Coba |
Tabel ini menyediakan
panduan sistematis bagi instansi pemerintah dalam menyelaraskan kontrol
organisasi ISO 27001 dengan kerangka regulasi nasional. Kontrol organisasi
adalah fondasi dari Sistem Manajemen Keamanan Informasi (SMKI), dan pemetaan
ini membantu memastikan bahwa kebijakan, prosedur, dan tanggung jawab tata
kelola keamanan informasi tidak hanya memenuhi standar internasional tetapi
juga selaras dengan mandat pemerintah Indonesia, memfasilitasi audit dan
kepatuhan yang komprehensif.
3.2. Kontrol Sumber Daya Manusia (People Controls
- Annex A.6)
Sumber daya manusia seringkali menjadi titik terlemah dalam
rantai keamanan. Kontrol ini memastikan bahwa aspek "people" dalam
keamanan informasi, dari proses perekrutan hingga pelatihan berkelanjutan dan
pelaporan insiden, dikelola dengan baik.
●
Penyaringan (A.6.1): Proses pengecekan latar
belakang SDM untuk memastikan integritas dan keandalan.1
●
Kesadaran, Pendidikan, dan Pelatihan Keamanan Informasi (A.6.3): Program sosialisasi dan peningkatan pemahaman/kepedulian
keamanan siber secara rutin untuk seluruh ASN, termasuk peningkatan kompetensi
dan keahlian.1
●
Perjanjian Kerahasiaan atau Non-Disclosure (A.6.6): Persyaratan NDA untuk pihak ketiga yang terlibat dalam layanan.1
●
Pelaporan Insiden Keamanan Informasi (A.6.8): Prosedur untuk pelaporan insiden keamanan informasi, termasuk
kepada pihak eksternal atau yang berwajib.1
Contoh Data Pendukung:
Data Pelatihan:
"Pelatihan
'Kesadaran Keamanan Siber untuk ASN' diadakan 4x/tahun (Sesuai ISO 27001 A.6.3
dan BSSN Roadmap 2024)."
Tabel 5: Pemetaan
Kontrol SDM ISO 27001:2022 ke BSSN & SPBE
|
Kontrol ISO 27001:2022
(Annex A.6.x) |
Deskripsi Singkat |
Relevansi dengan BSSN |
Relevansi dengan SPBE |
Contoh Data Pendukung
(dari Indeks KAMI) |
|
A.6.1 Screening |
Proses pengecekan
latar belakang SDM. |
Peraturan BSSN No.
8/2023 Pasal 6 ayat (8) |
Perpres 95/2018 (SDM) |
Dokumen Prosedur
Perekrutan (memuat screening) |
|
A.6.3 Information
security awareness, education and training |
Pelatihan dan
peningkatan kesadaran keamanan informasi. |
Peraturan BSSN No.
8/2023 Pasal 6 ayat (8) |
Perpres 95/2018
(Pelatihan & SDM) |
Laporan Pelatihan
Kesadaran Siber ASN |
|
A.6.6 Confidentiality
or non-disclosure agreements |
Perjanjian
kerahasiaan. |
Peraturan BSSN No.
8/2023 Pasal 5 ayat (7) |
Perpres 95/2018
(Keamanan Data) |
Dokumen NDA dengan
Pihak Ketiga |
|
A.6.8 Information
security event reporting |
Pelaporan insiden
keamanan informasi. |
Peraturan BSSN No.
8/2023 Pasal 8 ayat (4) |
Perpres 95/2018
(Keamanan) |
SOP Pelaporan Insiden
Siber |
Dengan memetakan kontrol
ini ke persyaratan BSSN (misalnya, peningkatan kapasitas SDM keamanan siber
dalam Peraturan BSSN 8/2023 Pasal 6 ayat (8)) dan prinsip SPBE, instansi dapat
membangun budaya keamanan yang kuat dan memastikan bahwa personel memiliki pengetahuan
serta kesadaran yang diperlukan untuk melindungi aset informasi.
3.3. Kontrol Fisik (Physical Controls - Annex A.7)
Keamanan fisik adalah lapisan pertahanan krusial yang mendukung
keamanan siber. Kontrol ini memastikan bahwa perlindungan fisik terhadap
fasilitas vital seperti pusat data pemerintah, yang merupakan bagian dari
Infrastruktur Informasi Vital (IIV) sesuai Perpres 82/2022, diimplementasikan
sesuai standar internasional dan regulasi BSSN.
●
Perimeter Keamanan Fisik (A.7.1): Penerapan pengamanan fasilitas fisik (lokasi kerja) yang
berlapis sesuai klasifikasi aset informasi untuk mencegah akses tidak
berwenang.1
●
Kontrol Akses Fisik (A.7.2):
Proses untuk mengelola alokasi kunci masuk (fisik dan elektronik) ke fasilitas
fisik.1
●
Pemantauan Keamanan Fisik (A.7.4 - Baru): Pemantauan
infrastruktur komputasi melalui CCTV dan pengelolaan logbook pengunjung.1
●
Perlindungan Terhadap Ancaman Fisik dan Lingkungan (A.7.5): Perlindungan infrastruktur komputasi dari dampak lingkungan
(suhu, kelembaban), api, gangguan pasokan listrik, dan petir.1
Contoh Data Pendukung:
Checklist Audit
Fisik yang mencakup:
"Pemeriksaan
akses biometrik (ISO 27001 A.7.2) dan logbook pengunjung (BSSN Annex C)
dilakukan bulanan."
Tabel 6: Pemetaan
Kontrol Fisik ISO 27001:2022 ke BSSN & SPBE
|
Kontrol ISO 27001:2022
(Annex A.7.x) |
Deskripsi Singkat |
Relevansi dengan BSSN |
Relevansi dengan SPBE |
Contoh Data Pendukung
(dari Indeks KAMI) |
|
A.7.1 Physical
security perimeter |
Pengamanan fasilitas
fisik berlapis. |
Peraturan BSSN No.
8/2023 Pasal 6 ayat (2) |
Perpres 95/2018
(Infrastruktur) |
Foto Penerapan
Pengamanan Fisik (Pagar, Pintu Keamanan) |
|
A.7.2 Physical entry
controls |
Pengelolaan akses
masuk fisik (kunci, biometrik). |
Peraturan BSSN No.
8/2023 Pasal 6 ayat (3) |
Perpres 95/2018
(Keamanan) |
Logbook Pengunjung,
Matriks Akses Fisik |
|
A.7.4 Physical
security monitoring |
Pemantauan keamanan
fisik (CCTV). |
Peraturan BSSN No.
8/2023 Pasal 7 ayat (3) |
Perpres 95/2018
(Tinjauan & Evaluasi) |
Rekaman CCTV, Laporan
Pemantauan Fisik |
|
A.7.5 Protecting
against physical and environmental threats |
Perlindungan dari
ancaman lingkungan (api, suhu, listrik). |
Peraturan BSSN No.
8/2023 Pasal 6 ayat (2) |
Perpres 95/2018
(Infrastruktur) |
Laporan Pemantauan
Suhu/Kelembaban, Checklist APAR |
Kegagalan pada keamanan
fisik dapat berdampak langsung pada ketersediaan dan integritas sistem
elektronik.
3.4. Kontrol Teknologi (Technological Controls -
Annex A.8)
Tabel ini adalah inti dari implementasi keamanan teknis. Dengan
memetakan kontrol teknologi ISO 27001 ke persyaratan BSSN dan SPBE (misalnya,
arsitektur SPBE mencakup keamanan infrastruktur dan aplikasi 10), instansi dapat
memastikan bahwa solusi teknis mereka tidak hanya memenuhi standar
internasional tetapi juga relevan dengan konteks ancaman dan regulasi nasional.
●
Keamanan Jaringan (A.8.20) & Segmentasi Jaringan (A.8.22): Penerapan pengamanan berlapis untuk layanan TIK yang terhubung
internet dan segmentasi jaringan sesuai kepentingan.1
●
Manajemen Konfigurasi (A.8.9 - Baru): Tersedianya konfigurasi
standar keamanan sistem, pengelolaan konfigurasi perangkat komputasi yang
konsisten, dan pembaruan/penyesuaian konfigurasi melalui manajemen perubahan.1
●
Manajemen Kerentanan Teknis (A.8.8): Pemindaian rutin jaringan, sistem, dan aplikasi untuk
mengidentifikasi celah kelemahan.1
●
Aktivitas Pemantauan (A.8.16 - Baru): Perekaman otomatis
setiap perubahan dan upaya akses tidak berhak dalam log, serta analisis log
secara berkala untuk akurasi dan forensik (penggunaan SIEM sangat dianjurkan).1
●
Penggunaan Kriptografi (A.8.24): Penerapan enkripsi untuk melindungi aset informasi penting,
standar penggunaan enkripsi, dan pengelolaan kunci enkripsi.1
●
Pengkodean Aman (A.8.28 - Baru): Penetapan prinsip pengembangan aplikasi yang aman (secure coding), proses perencanaan
pengembangan sistem yang aman (Secure
SDLC), dan source code review
sebelum produksi.1
●
Pencegahan Kebocoran Data (A.8.12 - Baru): Penerapan proses atau
mekanisme (termasuk teknologi DLP) untuk mencegah terungkapnya informasi
sensitif ke luar instansi.1
●
Perlindungan Terhadap Malware (A.8.7): Perlindungan desktop
dan server dari serangan malware, pembaruan sistem operasi dan
antivirus terkini, serta tindak lanjut laporan serangan.1
●
Penyaringan Web (A.8.23 - Baru): Analisis dan pemblokiran rutin situs web yang membahayakan atau
tidak seharusnya diakses karyawan.1
●
Arsitektur Zero Trust: Penerapan konsep
"Never Trust, Always Verify" untuk jaringan pemerintah, dengan
verifikasi eksplisit, least privilege
access, segmentasi mikro, dan pemantauan anomali. Ini adalah pendekatan
strategis yang direkomendasikan BSSN.18
●
Kriptografi Post-Quantum: Untuk proteksi data
jangka panjang, pertimbangkan implementasi kriptografi post-quantum yang tahan terhadap serangan komputer kuantum, sejalan
dengan standar yang dikembangkan oleh NIST (2024).20
Contoh Data Pendukung:
Contoh RPO/RTO:
"Recovery Time
Objective (RTO) untuk sistem SIPANDU: ≤4 jam (Sesuai Kategori Layanan Kritis
BSSN)." (Meskipun RPO/RTO terkait dengan A.5.30 ICT readiness for business
continuity, implementasinya sangat bergantung pada teknologi operasional).
Tabel 7: Pemetaan
Kontrol Teknologi ISO 27001:2022 ke BSSN & SPBE
|
Kontrol ISO 27001:2022
(Annex A.8.x) |
Deskripsi Singkat |
Relevansi dengan BSSN |
Relevansi dengan SPBE |
Contoh Data Pendukung
(dari Indeks KAMI) |
|
A.8.20 Network
security |
Pengamanan jaringan
komunikasi. |
Peraturan BSSN No.
8/2023 Pasal 6 ayat (2) |
Perpres 95/2018
(Infrastruktur) |
Diagram Topologi
Jaringan dengan FW, IDS/IPS |
|
A.8.9 Configuration
management |
Pengelolaan
konfigurasi sistem dan aplikasi. |
Peraturan BSSN No.
8/2024 Pasal 10 |
Perpres 95/2018
(Keamanan) |
Dokumen Standar
Konfigurasi Sistem |
|
A.8.16 Monitoring
activities |
Pemantauan aktivitas
sistem dan log. |
Peraturan BSSN No.
8/2023 Pasal 7 ayat (3) |
Perpres 95/2018
(Tinjauan & Evaluasi) |
Laporan Analisis Log
SIEM |
|
A.8.24 Use of
cryptography |
Penerapan enkripsi
data. |
BSSN Crypto Policy |
Perpres 95/2018
(Keamanan Data) |
Bukti Penerapan
Enkripsi (SSL, AES-256) |
|
A.8.28 Secure coding |
Prinsip pengembangan
aplikasi yang aman. |
Peraturan BSSN No.
8/2024 Pasal 10 |
Perpres 95/2018
(Aplikasi) |
Laporan Source Code
Review, UAT Keamanan |
|
A.8.12 Data leakage
prevention |
Pencegahan kebocoran
data. |
Peraturan BSSN No.
8/2023 Pasal 6 ayat (2) |
Perpres 95/2018
(Keamanan Data) |
Laporan Implementasi
Solusi DLP |
Penambahan konsep Zero Trust dan Post-Quantum Cryptography menunjukkan pandangan ke depan dan
kesiapan menghadapi ancaman siber yang berkembang.
3.5. Pelindungan Data Pribadi (PDP - Annex A.8
& BSSN)
Area ini mengevaluasi kelengkapan, konsistensi, dan efektivitas
penerapan kontrol keamanan terkait Pelindungan Data Pribadi (PDP), yang telah
menjadi area penilaian utama dalam Indeks KAMI v5.0.1
●
Dokumentasi Jenis Data Pribadi (A.8.1.2, A.8.1.3): Pendokumentasian jenis dan bentuk data pribadi yang disimpan,
diolah, dan dipertukarkan, serta pemetaan alur pemrosesannya.1
●
Kebijakan Pelindungan Data Pribadi (A.5.1.1): Kepemilikan kebijakan PDP yang sesuai dengan peraturan
perundang-undangan yang berlaku (misalnya, UU PDP).1
●
Fungsi/Unit PDP (A.5.1.1):
Penunjukan fungsi/unit Pejabat Pelindung Data Pribadi yang bertanggung jawab
dalam penerapan kebijakan dan proses PDP.1
●
Penilaian Risiko untuk PDP (A.5.3): Analisis dampak terkait terungkapnya data pribadi dan integrasi
aspek PDP dalam kajian risiko keamanan.1
●
Hak Subjek Data (A.8.2.1, A.8.2.2): Penerapan proses yang menjamin hak pemilik data pribadi untuk
mengakses, memutakhirkan, dan meminta penghapusan/pemusnahan data.1
●
Pelaporan Insiden Data Pribadi (A.6.8): Proses untuk melaporkan insiden terkait terungkapnya data
pribadi.1
Tabel 8: Pemetaan Kontrol PDP ISO 27001:2022 ke BSSN & SPBE
|
Kontrol ISO 27001:2022
(Annex A.x.x) |
Deskripsi Singkat |
Relevansi dengan BSSN |
Relevansi dengan SPBE |
Contoh Data Pendukung
(dari Indeks KAMI) |
|
A.8.1.2 Information
classification |
Dokumentasi jenis dan
bentuk data pribadi. |
UU Perlindungan Data
Pribadi |
Perpres 95/2018
(Pengelolaan Data) |
Dokumen Klasifikasi
Data Pribadi, ROPA |
|
A.5.1.1 Policies for
information security |
Kebijakan Pelindungan
Data Pribadi. |
UU Perlindungan Data
Pribadi |
Perpres 95/2018
(Keamanan Data) |
Dokumen Kebijakan
Privasi |
|
A.5.3 Information
security risk treatment |
Penilaian risiko
terkait PDP. |
Peraturan BSSN No.
8/2023 Pasal 5 ayat (6) |
Perpres 95/2018
(Keamanan) |
Laporan Analisis
Dampak Privasi (PIA) |
|
A.8.2.1 Access control
for logical access |
Hak subjek data untuk
mengakses data. |
UU Perlindungan Data
Pribadi |
Perpres 95/2018
(Layanan Publik) |
SOP Akses Data Pribadi |
|
A.6.8 Information
security event reporting |
Pelaporan insiden data
pribadi. |
Peraturan BSSN No.
8/2023 Pasal 8 ayat (4) |
Perpres 95/2018
(Keamanan) |
SOP Penanganan Insiden
Data Leak |
Perlindungan data
pribadi adalah kebutuhan sektor pemerintahan yang eksplisit dalam permintaan
pengguna. Dengan semakin ketatnya regulasi privasi data (misalnya, UU
Perlindungan Data Pribadi di Indonesia), tabel ini sangat penting untuk memandu
instansi dalam memenuhi kewajiban hukum dan etika terkait pengelolaan data
publik. Integrasi PDP sebagai area utama dalam Indeks KAMI v5.0 1 menggarisbawahi urgensi
ini.
Kontrol-kontrol baru dalam ISO 27001:2022, seperti Threat Intelligence, Cloud Services, ICT Readiness for Business Continuity, Data Masking, DLP, Monitoring Activities, Web Filtering, dan Secure Coding 12, secara eksplisit mencerminkan pergeseran dari keamanan
berbasis perimeter reaktif ke pendekatan yang lebih proaktif dan berorientasi
pada data. Ini selaras dengan fokus BSSN pada perlindungan Infrastruktur
Informasi Vital (IIV) 7 dan audit keamanan SPBE.5 Implikasinya, instansi pemerintah diharapkan untuk tidak hanya
bereaksi terhadap insiden tetapi juga membangun ketahanan siber melalui identifikasi
ancaman dini, pencegahan kebocoran data, pengembangan aplikasi yang aman sejak
awal, dan pemantauan berkelanjutan. Ini menunjukkan bahwa kepatuhan yang
efektif memerlukan investasi dalam kapabilitas proaktif dan adaptasi terhadap
ancaman yang terus berkembang. Dengan demikian, ISO 27001:2022 dan regulasi
BSSN mendorong pendekatan keamanan siber yang proaktif dan holistik.
4. Pemantauan & Evaluasi Kinerja Keamanan
Informasi (ISO 27001 Clause 9 & 10, BSSN)
Audit Internal dan Eksternal Keamanan Informasi
Instansi harus memiliki program audit internal yang dilakukan
oleh pihak independen, mencakup seluruh aset informasi, kebijakan, dan prosedur
keamanan.1 Audit ini harus
mengevaluasi tingkat kepatuhan, konsistensi, dan efektivitas penerapan keamanan
informasi.1 Hasil audit internal harus dikaji/dievaluasi untuk
mengidentifikasi langkah pembenahan dan pencegahan, serta dilaporkan kepada
pimpinan organisasi untuk penetapan langkah perbaikan.1
Peraturan BSSN Nomor 8 Tahun 2024 tentang Standar dan Tata Cara
Pelaksanaan Audit Keamanan Sistem Pemerintahan Berbasis Elektronik (SPBE)
menetapkan objek audit (infrastruktur SPBE nasional/instansi, aplikasi
umum/khusus), pelaksana audit (LATIK pemerintah/terakreditasi), kriteria audit
(tata kelola, manajemen, fungsionalitas keamanan SPBE), bukti audit, dan
kesimpulan audit (memadai, perlu peningkatan, tidak memadai).5 Audit ini harus
dilakukan paling sedikit 1 (satu) kali dalam 2 (dua) tahun untuk aplikasi
khusus dan infrastruktur SPBE instansi pusat tertentu.
Contoh Data
Pendukung:
Laporan Audit
Internal yang mencatat:
"Audit tahunan
menemukan 3 minor non-conformity (ISO 27001 Clause 9.2), dengan rencana
perbaikan terlampir."
Pengukuran Indikator Kinerja Utama (KPI) Keamanan
Informasi
Instansi harus mendefinisikan metrik, parameter, dan proses
pengukuran kinerja pengelolaan keamanan informasi, mencakup mekanisme, waktu
pengukuran, pelaksana, pemantauan, dan eskalasi pelaporan.1 Program penilaian
kinerja pengelolaan keamanan informasi juga harus diterapkan bagi individu
(pejabat & petugas) pelaksananya.1 Target dan sasaran pengelolaan keamanan informasi harus
ditetapkan, dievaluasi pencapaiannya secara rutin, dan dilaporkan statusnya
kepada pimpinan instansi.1
Contoh Data
Pendukung:
Tabel 9: Indikator
Kinerja (KPI) Keamanan Informasi
|
KPI |
Target (ISO/BSSN) |
Realisasi |
Status |
|
% Sistem
Tersertifikasi SSL |
100% (BSSN) |
95% |
Perlu Peningkatan |
|
Frekuensi Pelatihan
Kesadaran Siber |
2x/tahun (ISO) |
4x/tahun |
Tercapai |
|
% Insiden Siber yang
Diselesaikan dalam SLA |
90% (BSSN) |
85% |
Perlu Peningkatan |
|
Tingkat Kematangan
Indeks KAMI |
Level III+ (ISO/BSSN) |
Level II+ |
Perlu Peningkatan |
Tabel ini secara
langsung memenuhi permintaan pengguna untuk contoh KPI dan sangat penting untuk
fase "Check" dan "Act" dari siklus PDCA dalam ISO 27001
(Clause 9 Performance Evaluation dan Clause 10 Improvement). Dengan menetapkan
KPI yang terukur dan memantau realisasinya, instansi dapat secara objektif
menilai efektivitas program keamanan informasi mereka, mengidentifikasi area
yang memerlukan perbaikan, dan menunjukkan kemajuan kepada pimpinan dan
pemangku kepentingan. Ini juga mendukung pencapaian tingkat kematangan yang
lebih tinggi dalam Indeks KAMI.
Tinjauan Manajemen dan Peningkatan Berkelanjutan
Instansi harus secara periodik menguji dan mengevaluasi
tingkat/status kepatuhan program keamanan informasi yang ada (mencakup
pengecualian atau kondisi ketidakpatuhan lainnya) untuk memastikan bahwa
keseluruhan inisiatif telah diterapkan secara efektif.1 Penting juga untuk
memiliki rencana dan program peningkatan keamanan informasi untuk jangka
menengah/panjang (1-3-5 tahun) yang direalisasikan secara konsisten.1
Peraturan BSSN Nomor 8 Tahun 2024 5 yang merinci standar
audit keamanan SPBE, bersama dengan pertanyaan-pertanyaan Indeks KAMI yang
mendalam tentang audit internal dan KPI 1, menunjukkan bahwa pemerintah Indonesia sangat menekankan
akuntabilitas dan pengukuran kinerja dalam keamanan siber. Kesimpulan audit
seperti "memadai," "perlu peningkatan," atau "tidak
memadai" 5 memberikan umpan balik yang terstruktur dan dapat
ditindaklanjuti. Ini berarti bahwa instansi tidak hanya diharapkan untuk
mengimplementasikan kontrol, tetapi juga untuk secara sistematis memverifikasi
efektivitasnya dan menggunakan data ini untuk mendorong perbaikan
berkelanjutan. Ini adalah langkah penting menuju pencapaian tingkat kematangan
"Terkelola dan Terukur" (Level IV) dan "Optimal" (Level V)
dalam Indeks KAMI 1, yang menunjukkan bahwa keamanan siber adalah proses yang
dinamis dan terus-menerus disempurnakan. Dengan demikian, audit dan pengukuran
kinerja adalah pilar kunci untuk akuntabilitas dan peningkatan kematangan
keamanan siber pemerintah.
5. Dokumen Pendukung Wajib dan Kriteria
Daftar Regulasi Acuan
Dokumen pendukung harus secara eksplisit mengacu pada regulasi
dan standar berikut:
●
ISO/IEC 27001:2022 (Annex A):
Standar internasional untuk Sistem Manajemen Keamanan Informasi.12
●
Perka BSSN No. 8 Tahun 2022:
Merujuk pada Peraturan BSSN yang mengatur penilaian Indeks KAMI dan kerangka
kerja perlindungan IIV (mengacu pada versi 2021, 2023, 2024 yang tersedia).2
●
Perpres No. 82/2022 tentang Pelindungan Infrastruktur Informasi
Vital: Mengatur perlindungan sistem elektronik yang
menunjang sektor strategis.8
●
Perpres No. 95/2018 tentang SPBE: Kerangka kerja tata kelola pemerintahan berbasis elektronik.10
●
Peraturan MenPANRB No. 59/2020 tentang SPBE: Pedoman teknis terkait SPBE.22
Template Dokumen Esensial
Untuk memastikan konsistensi dan kelengkapan, instansi harus
menggunakan template dokumen esensial berikut:
●
Formulir Risk Assessment: Menggabungkan elemen
ISO 27005 dan kerangka kerja risiko BSSN untuk penilaian risiko yang
komprehensif.1
●
Laporan Insiden Siber: Menggunakan format yang
disepakati oleh CSIRT BSSN untuk pelaporan insiden yang konsisten dan efektif.15
●
Statement of Applicability (SoA): Dokumen wajib ISO 27001 yang menjelaskan alasan inklusi atau
eksklusi setiap kontrol Annex A, disesuaikan dengan konteks dan ruang lingkup
instansi.
Diagram Arsitektur Keamanan
Visualisasi
arsitektur keamanan sangat penting untuk memahami implementasi kontrol teknis.
Contoh: "Zero
Trust Architecture untuk jaringan pemerintah (Sesuai BSSN & NIST SP
800-207)." Diagram ini harus visualisasi prinsip "Never Trust, Always
Verify" dengan segmentasi mikro, verifikasi eksplisit, dan kontrol akses
berbasis least privilege.18
Format & Kriteria Dokumen
●
Gunakan template resmi instansi (logo, nomor
dokumen) untuk semua dokumen pendukung.
●
Sertakan cross-reference yang jelas antara ISO
27001, regulasi BSSN, dan SPBE di seluruh dokumen.
●
Lampirkan contoh nyata
(misalnya, hasil risk assessment, log
pelatihan, laporan audit) sebagai bukti implementasi.
Penekanan berulang pada
"terdokumentasi," "rekaman," dan "bukti
penerapan" di seluruh pertanyaan Indeks KAMI 1 dan persyaratan
eksplisit untuk "Dokumen Pendukung Wajib" dalam permintaan pengguna
menunjukkan bahwa keamanan informasi bukan hanya tentang implementasi teknis,
tetapi juga tentang kemampuan untuk menunjukkan dan membuktikan kepatuhan.
Dokumentasi yang komprehensif dan terstruktur adalah kunci untuk berhasil dalam
audit 5 dan mencapai tingkat
kematangan yang lebih tinggi dalam Indeks KAMI (Level III dan di atasnya).1 Tanpa bukti
terdokumentasi, klaim kepatuhan akan sulit diverifikasi. Dengan demikian,
dokumentasi yang kuat adalah fondasi kepatuhan yang dapat diaudit dan kematangan
keamanan siber.
Rekomendasi dan Langkah Selanjutnya
Prioritas Implementasi Berdasarkan Kategori Sistem
Elektronik (Indeks KAMI)
Tingkat implementasi SNI ISO/IEC 27001 dan standar keamanan
lainnya harus disesuaikan dengan kategori Sistem Elektronik (SE) instansi:
Rendah, Tinggi, atau Strategis. SE Strategis memiliki kewajiban kepatuhan
tertinggi, diikuti oleh SE Tinggi, dan kemudian SE Rendah.1 Instansi harus memahami
kategori SE mereka untuk menetapkan prioritas yang tepat.
Hasil penilaian Indeks KAMI akan mengklasifikasikan instansi ke
dalam tingkat kesiapan: Baik, Cukup Baik, Pemenuhan Kerangka Kerja Dasar, atau
Tidak Layak. Klasifikasi ini memberikan panduan yang jelas untuk
mengidentifikasi area yang memerlukan perbaikan segera.2
Peningkatan Kematangan Keamanan Informasi (Mengacu
Indeks KAMI Maturity Levels)
Indeks KAMI mendefinisikan lima tingkat kematangan (I - Kondisi
Awal, II - Penerapan Kerangka Kerja Dasar, III - Terdefinisi dan Konsisten, IV
- Terkelola dan Terukur, V - Optimal), dengan tingkatan antara (I+, II+, III+,
IV+). Instansi harus menggunakan model ini sebagai peta jalan untuk
meningkatkan postur keamanan mereka secara bertahap. Tingkat III+ diharapkan
sebagai ambang batas minimum kesiapan untuk sertifikasi ISO/IEC 27001.1
Peningkatan harus difokuskan pada perbaikan proses, konsistensi
penerapan, pengukuran kinerja yang objektif, dan kemampuan untuk beradaptasi dan
berinovasi. Ini mencerminkan bahwa keamanan siber adalah perjalanan
berkelanjutan, bukan tujuan akhir.
Integrasi Keamanan Siber dalam SPBE secara
Menyeluruh
Keamanan siber harus diintegrasikan sebagai bagian tak
terpisahkan dari setiap tahap pengembangan dan operasional SPBE. Ini mencakup
arsitektur SPBE (infrastruktur, aplikasi, data, keamanan), perencanaan dan
penganggaran, pengelolaan data dan informasi, serta tinjauan dan evaluasi
berkelanjutan.10 Pendekatan holistik ini akan memastikan bahwa keamanan siber
tidak hanya menjadi fungsi pendukung, tetapi menjadi inti dari tata kelola
pemerintahan berbasis elektronik yang tangguh dan terpercaya.
Karya yang dikutip
1.
20250728
- Indeks-KAMI-Versi-5.0.xlsx
2.
pusdik.mkri.id,
diakses Juli 31, 2025, https://pusdik.mkri.id/materi/materi_234_12A%20-%20Peraturan%20BSSN.docx
3.
Peraturan
BSSN No. 9 Tahun 2021, diakses Juli 31, 2025, https://peraturan.bpk.go.id/Details/226093/peraturan-bssn-no-9-tahun-2021
4.
Peraturan
Badan Siber Dan Sandi Negara Nomor 8 Tahun 2023, diakses Juli 31, 2025, https://peraturan.infoasn.id/peraturan-badan-siber-dan-sandi-negara-nomor-8-tahun-2023/
5.
Standar
dan Tata Cara Pelaksanaan Audit Keamanan Sistem Pemerintahan Berbasis
Elektronik - Peraturan BPK, diakses Juli 31, 2025, https://peraturan.bpk.go.id/Details/309821/peraturan-bssn-no-8-tahun-2024
6.
- 1 -
PERATURAN BADAN SIBER DAN SANDI NEGARA REPUBLIK ..., diakses Juli 31, 2025, https://kominfo.babelprov.go.id/sites/default/files/dokumen/bank_data/Peraturan%20BSSN%208%20Tahun%202024%20%28STA%29.pdf
7.
PERATURAN
BADAN SIBER DAN SANDI ... - Peraturan BPK, diakses Juli 31, 2025, https://peraturan.bpk.go.id/Download/350553/%5BSALINAN%5D-Peraturan-BSSN-Nomor-8-Tahun-2023_signed.pdf
8.
PERATURAN
PRESIDEN REPUBLIK INDONESIA NOMOR 82 ..., diakses Juli 31, 2025, https://www.regulasip.id/book/19717/read
9.
PERPRES
No. 82 Tahun 2022 - Peraturan BPK, diakses Juli 31, 2025, https://peraturan.bpk.go.id/Details/211029/perpres-no-82-tahun-2022
10.
Badan
Kepegawaian dan Pengembangan Sumber Daya Manusia ..., diakses Juli 31, 2025, https://bkpsdm.jogjakota.go.id/detail/index/28324
11.
Perpres
95/2018 - Kepatuhan | Google Cloud, diakses Juli 31, 2025, https://cloud.google.com/security/compliance/gr95?hl=id
12.
ISO
27001:2022 Annex A Controls Ultimate Certification Guide, diakses Juli 31,
2025, https://hightable.io/iso-27001-annex-a-controls-reference-guide/
13.
ISO
27001:2022 Annex A Control 5.9 Explained - ISMS.online, diakses Juli 31, 2025, https://www.isms.online/iso-27001/annex-a/5-9-inventory-of-information-other-associated-assets-2022/
14.
Transformasi
Sistem Pertahanan Siber Indonesia dengan BSSN Sebagai Poros & Motor
Penggerak Menuju Angkatan Siber Mandiri di Masa Depan, diakses Juli 31, 2025, https://scholarhub.ui.ac.id/cgi/viewcontent.cgi?article=1097&context=jkskn
15.
LANSKAP
KEAMANAN SIBER INDONESIA - CSIRT KEMENPORA, diakses Juli 31, 2025, https://csirt.kemenpora.go.id/wp-content/uploads/2025/02/keamanan.pdf
16.
10
Kasus Serangan Siber yang Pernah Terjadi di Indonesia dalam 5 Tahun Terakhir,
diakses Juli 31, 2025, https://temika.co.id/10-kasus-serangan-siber-yang-pernah-terjadi-di-indonesia-dalam-5-tahun-terakhir/
17.
SK
ARSITEKTUR SPBE 2023 - Kominfo Sulawesi Selatan, diakses Juli 31, 2025, https://kominfo.sulselprov.go.id/storage/1735532514.pdf
18.
Penerapan
Zero Trust Architecture (ZTA) dalam Meningkatkan Keamanan Infrastruktur
Jaringan - CSIRT-BP Batam, diakses Juli 31, 2025, https://csirt.bpbatam.go.id/posts/penerapan-zero-trust-architecture-zta-dalam-meningkatkan-keamanan-infrastruktur-jaringan
19.
Penerapan
Zero Trust sebagai Upaya Pelindungan dari Ancaman Serangan Siber - Sekretariat
Kabinet Republik Indonesia, diakses Juli 31, 2025, https://setkab.go.id/penerapan-zero-trust-sebagai-upaya-pelindungan-dari-ancaman-serangan-siber/
20.
Post-quantum
cryptography - Wikipedia, diakses Juli 31, 2025, https://en.wikipedia.org/wiki/Post-quantum_cryptography
21.
NIST
Releases Post-Quantum Encryption Standards, diakses Juli 31, 2025, https://www.quantum.gov/nist-releases-post-quantum-encryption-standards/
22.
The
SPBE assessment scheme based on PermenPAN-RB 59/2020 Source - ResearchGate,
diakses Juli 31, 2025, https://www.researchgate.net/figure/The-SPBE-assessment-scheme-based-on-PermenPAN-RB-59-2020-Source-Dewan-Teknologi_fig2_370597307
23.
Permen
PANRB No. 59 Tahun 2020.pdf - Regulasip, diakses Juli 31, 2025, https://www.regulasip.id/themes/default/resources/js/pdfjs/web/viewer.html?file=/eBooks/2021/March/605c17803768e/Permen%20PANRB%20No.%2059%20Tahun%202020.pdf
baca juga: BeSign Desktop: Solusi Tanda Tangan Elektronik (TTE) Aman dan Efisien di Era Digital
baca juga:
- Panduan Praktis Menaikkan Nilai Indeks KAMI (Keamanan Informasi) untuk Instansi Pemerintah dan Swasta
- Buku Panduan Respons Insiden SOC Security Operations Center untuk Pemerintah Daerah
- Ebook Strategi Keamanan Siber untuk Pemerintah Daerah - Transformasi Digital Aman dan Terpercaya Buku Digital Saku Panduan untuk Pemda
- Panduan Lengkap Pengisian Indeks KAMI v5.0 untuk Pemerintah Daerah: Dari Self-Assessment hingga Verifikasi BSSN
 untuk Instansi Pemerintah){kind=link}
0 Komentar