PENYELENGGARAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI PEMERINTAH DAERAH PROVINSI DAN KABUPATEN/KOTA
(1) Penyelenggaraan Persandian untuk Pengamanan Informasi pemerintah daerah provinsi dan kabupaten/kota sebagaimana dimaksud dalam Pasal 3 huruf a dilaksanakan melalui:
a. penyusunan kebijakan Pengamanan Informasi;
b. pengelolaan sumber daya Keamanan Informasi;
c. pengamanan Sistem Elektronik dan pengamanan informasi nonelektronik; dan
d. penyediaan layanan Keamanan Informasi.
(2) Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya bertanggung jawab terhadap Penyelenggaraan Persandian untuk Pengamanan Informasi sebagaimana dimaksud pada ayat (1).
Penyusunan kebijakan Pengamanan Informasi sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf a dilakukan dengan:
a. menyusun rencana strategis Pengamanan Informasi;
b. MENETAPKAN arsitektur Keamanan Informasi; dan
c. MENETAPKAN aturan mengenai tata kelola Keamanan Informasi.
(1) Rencana strategis Pengamanan Informasi sebagaimana dimaksud dalam Pasal 5 huruf a disusun oleh Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya.
(2) Penyusunan rencana strategis Pengamanan Informasi sebagaimana dimaksud pada ayat (1) dilakukan oleh Perangkat Daerah.
(3) Rencana strategis sebagaimana dimaksud pada ayat (1) terdiri atas:
a. tujuan, sasaran, program, kegiatan, dan target pelaksanaan Pengamanan Informasi setiap tahun untuk jangka waktu 5 (lima) tahun; dan
b. peta rencana penyelenggaraan Pengamanan Informasi yang merupakan penjabaran dari tahapan rencana strategis yang akan dicapai setiap tahun untuk jangka waktu 5 (lima) tahun.
(4) Rencana strategis Pengamanan Informasi yang telah disusun sebagaimana dimaksud pada ayat
(1) diintegrasikan ke dalam Rencana Pembangunan Jangka Menengah Daerah.
(5) Dalam melakukan penyusunan rencana strategis sebagaimana dimaksud pada ayat (1) Gubernur atau Bupati/Wali Kota dapat melakukan koordinasi dan konsultasi kepada BSSN.
(6) Dalam melakukan koordinasi dan konsultasi sebagaimana dimaksud pada ayat (5) Gubernur atau Bupati/Wali Kota dapat menunjuk Perangkat Daerah.
(1) Arsitektur Keamanan Informasi sebagaimana dimaksud dalam Pasal 5 huruf b ditetapkan oleh Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya.
(2) Arsitektur Keamanan Informasi sebagaimana dimaksud pada ayat (1) memuat:
a. infrastruktur teknologi informasi;
b. desain keamanan perangkat teknologi informasi dan keamanan jaringan; dan
c. aplikasi keamanan perangkat teknologi informasi dan keamanan jaringan.
(3) Dalam melakukan penyusunan Arsitektur Keamanan Informasi sebagaimana dimaksud pada ayat (1) Gubernur atau Bupati/Wali Kota dapat melakukan koordinasi dan konsultasi kepada BSSN.
(4) Dalam melakukan koordinasi dan konsultasi sebagaimana dimaksud pada ayat (3) Gubernur atau Bupati/Wali Kota dapat menunjuk Perangkat Daerah.
(5) Arsitektur Keamanan Informasi yang telah disusun dan ditetapkan sebagaimana dimaksud pada ayat (1) berlaku untuk jangka waktu 5 (lima) tahun.
(6) Arsitektur Keamanan Informasi dilakukan evaluasi oleh Gubernur atau Bupati/Wali Kota pada paruh waktu dan tahun terakhir pelaksanaan atau sewaktu waktu sesuai dengan kebutuhan.
(1) Aturan mengenai tata kelola Keamanan Informasi sebagaimana dimaksud dalam Pasal 5 huruf c ditetapkan oleh Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya.
(2) Aturan mengenai tata kelola Keamanan Informasi sebagaimana dimaksud pada ayat (1) paling sedikit terdiri atas:
a. keamanan sumber daya teknologi informasi;
b. keamanan akses kontrol;
c. keamanan data dan informasi;
d. keamanan sumber daya manusia;
e. keamanan jaringan;
f. keamanan surat elektronik;
g. keamanan pusat data; dan/atau
h. keamanan komunikasi.
(3) Dalam melakukan penyusunan aturan mengenai tata kelola Keamanan Informasi sebagaimana dimaksud pada ayat
(1) Gubernur atau Bupati/Wali Kota dapat melakukan koordinasi dan konsultasi kepada BSSN.
(4) Dalam melakukan koordinasi dan konsultasi sebagaimana dimaksud pada ayat (3) Gubernur atau Bupati/Wali Kota dapat menunjuk Perangkat Daerah.
(1) Pengelolaan sumber daya Keamanan Informasi sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf b dilaksanakan oleh Perangkat Daerah.
(2) Pengelolaan sumber daya Keamanan Informasi sebagaimana dimaksud pada ayat (1) terdiri atas:
a. pengelolaan aset keamanan teknologi informasi dan komunikasi;
b. pengelolaan sumber daya manusia; dan
c. manajemen pengetahuan.
(1) Pengelolaan aset keamanan teknologi Informasi dan komunikasi sebagaimana dimaksud dalam Pasal 9 ayat
(2) huruf a dilakukan melalui perencanaan, pengadaan, pemanfaatan, dan penghapusan terhadap aset keamanan teknologi informasi dan komunikasi sesuai dengan ketentuan peraturan perundang-undangan.
(2) Aset keamanan teknologi informasi dan komunikasi sebagaimana dimaksud pada ayat
(1) merupakan perangkat yang digunakan untuk mengidentifikasi, mendeteksi, memproteksi, menganalisis, menanggulangi, dan/atau memulihkan insiden Keamanan Informasi dalam Sistem Elektronik.
(1) Pengelolaan sumber daya manusia sebagaimana dimaksud dalam Pasal 9 ayat (2) huruf b dilakukan oleh Perangkat Daerah.
(2) Pengelolaan sumber daya manusia sebagaimana dimaksud pada ayat (1) dilakukan melalui serangkaian proses sebagai berikut:
a. pengembangan kompetensi;
b. pembinaan karir;
c. pendayagunaan; dan
d. pemberian tunjangan pengamanan persandian.
(1) Pengembangan kompetensi sebagaimana dimaksud dalam Pasal 11 ayat (2) huruf a dilaksanakan dengan ketentuan:
a. melalui tugas belajar, pendidikan dan pelatihan pembentukan dan penjenjangan fungsional, pendidikan dan pelatihan teknis, bimbingan teknis, asistensi, workshop, seminar, dan kegiatan lainnya yang terkait pengembangan kompetensi sumber daya manusia di bidang Keamanan Informasi;
b. mengikuti berbagai kegiatan pengembangan kompetensi yang dilaksanakan oleh BSSN, pihak lainnya, atau pemerintah daerah masing-masing;
dan
c. memenuhi jumlah waktu minimal seorang pegawai untuk meningkatkan kompetensi bidangnya.
(2) Pembinaan karir sebagaimana dimaksud dalam Pasal 11 ayat (2) huruf b dilaksanakan dengan ketentuan:
a. pembinaan jabatan fungsional di bidang Keamanan Informasi; dan
b. pengisian formasi jabatan pimpinan tinggi, jabatan administrator, dan jabatan pengawas sesuai dengan standar kompetensi yang ditetapkan.
(3) Pendayagunaan sebagaimana dimaksud dalam Pasal 11 ayat (2) huruf c dilaksanakan agar seluruh sumber daya manusia yang bertugas di bidang Keamanan Informasi melaksanakan tugasnya sesuai dengan sasaran kinerja pegawai dan standar kompetensi kerja pegawai yang ditetapkan.
(1) Manajemen pengetahuan sebagaimana dimaksud dalam Pasal 9 ayat (2) huruf c dilakukan oleh Perangkat Daerah.
(2) Manajemen pengetahuan sebagaimana dimaksud pada ayat (1) dilakukan untuk meningkatkan kualitas Layanan Keamanan Informasi dan mendukung proses pengambilan keputusan terkait Keamanan Informasi.
(3) Manajemen pengetahuan dilakukan melalui serangkaian proses pengumpulan, pengolahan, penyimpanan, penggunaan, dan alih pengetahuan dan teknologi yang dihasilkan dalam pelaksanaan Keamanan Informasi pemerintah daerah.
(4) Manajemen pengetahuan sebagaimana dimaksud pada ayat (3) dilaksanakan berdasarkan pedoman manajemen pengetahuan Keamanan Informasi pemerintah daerah.
(5) Dalam pelaksanaan manajemen pengetahuan, Pemerintah Daerah berkoordinasi dan dapat melakukan konsultasi dengan BSSN.
(6) Ketentuan lebih lanjut mengenai pedoman manajemen pengetahuan Keamanan Informasi pemerintah daerah diatur dengan Peraturan Badan.
Pengamanan Sistem Elektronik dan pengamanan informasi nonelektronik sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf c dilaksanakan oleh Perangkat Daerah sesuai dengan ketentuan peraturan perundang-undangan.
Pengamanan Sistem Elektronik sebagaimana dimaksud dalam Pasal 14 terdiri atas:
a. penjaminan kerahasiaan, keutuhan, ketersediaan, keaslian, dan nirsangkal terhadap data dan informasi;
b. penjaminan ketersediaan infrastruktur yang terdiri atas pusat data, jaringan intra pemerintah, dan sistem penghubung layanan penyelenggaraan pemerintahan berbasis elektronik; dan
c. penjaminan keutuhan, ketersediaan, dan keaslian aplikasi.
(1) Dalam melaksanakan Pengamanan Sistem Elektronik sebagaimana dimaksud dalam Pasal 15 Perangkat Daerah melakukan:
a. identifikasi;
b. deteksi;
c. proteksi; dan
d. penanggulangan dan pemulihan.
(2) Identifikasi sebagaimana dimaksud pada ayat (1) huruf a dilakukan melalui kegiatan analisis kerawanan dan risiko terhadap Sistem Elektronik.
(3) Deteksi sebagaimana dimaksud pada ayat (1) huruf b dilakukan melalui kegiatan analisis untuk menentukan adanya ancaman atau kejadian insiden pada Sistem Elektronik.
(4) Proteksi sebagaimana dimaksud pada ayat (1) huruf c dilakukan dengan kegiatan mitigasi risiko dan penerapan pelindungan terhadap Sistem Elektronik untuk menjamin keberlangsungan penyelenggaraan pemerintahan berbasis elektronik.
(5) Penanggulangan dan pemulihan sebagaimana dimaksud pada ayat (1) huruf d dilakukan dengan kegiatan penanganan yang tepat dan perbaikan terhadap adanya insiden pada Sistem Elektronik agar penyelenggaraan pemerintahan berbasis elektronik berfungsi kembali dengan baik.
(1) Dalam melaksanakan Pengamanan Sistem Elektronik sebagaimana dimaksud dalam Pasal 15 Pemerintah
Daerah wajib menggunakan Sertifikat Elektronik pada setiap layanan publik dan layanan pemerintahan berbasis elektronik.
(2) Sertifikat Elektronik sebagaimana dimaksud pada ayat (1) diterbitkan oleh BSSN dan/atau lembaga penyelenggara Sertifikasi Elektronik dalam negeri yang telah diakui.
(3) Untuk mendapatkan Sertifikat elektronik sebagaimana dimaksud pada ayat (2) dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
(1) Dalam mendukung penyelenggaraan layanan pemerintahan berbasis elektronik sebagaimana dimaksud dalam Pasal 17 ayat (1) Pemerintah Daerah dapat menyelenggarakan pusat operasi Pengamanan Informasi sesuai standar yang ditetapkan oleh BSSN.
(2) Pusat operasi Pengamanan Informasi sebagaimana dimaksud pada ayat (1) bertujuan untuk pengamanan Sistem Elektronik dengan melakukan proses pengawasan, penanggulangan, dan pemulihan atas insiden keamanan Sistem Elektronik dengan memperhatikan aspek personel, proses pelaksanaan, dan ketersediaan teknologi.
(1) Pengamanan informasi nonelektronik sebagaimana dimaksud dalam Pasal 14 dilakukan pada tahapan pemrosesan, pengiriman, penyimpanan, dan pemusnahan informasi nonelektronik.
(2) Pengamanan Informasi nonelektronik sebagaimana dimaksud pada ayat (1) dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
(1) Perangkat Daerah melaksanakan audit Keamanan Informasi di lingkup pemerintah daerah.
(2) Audit Keamanan Informasi meliputi audit keamanan Sistem Elektronik dan audit pelaksanaan sistem manajemen.
(3) Audit Keamanan Informasi sebagaimana dimaksud pada ayat (2) dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
(1) Penyediaan Layanan Keamanan Informasi sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf d dilaksanakan oleh Perangkat Daerah.
(2) Layanan Keamanan Informasi sebagaimana dimaksud pada ayat (1) disediakan untuk Pengguna Layanan yang terdiri atas:
a. kepala daerah dan wakil;
b. perangkat daerah;
c. pegawai atau aparatur sipil negara pada pemerintah daerah; dan
d. pihak lainnya.
Jenis Layanan Keamanan Informasi sebagaimana dimaksud dalam Pasal 21 ayat (1) meliputi:
a. identifikasi kerentanan dan penilaian risiko terhadap Sistem Elektronik;
b. asistensi dan fasilitasi penguatan keamanan Sistem Elektronik;
c. penerapan Sertifikat Elektronik untuk melindungi Sistem Elektronik dan dokumen elektronik;
d. perlindungan Informasi melalui penyediaan perangkat teknologi Keamanan Informasi dan jaring komunikasi sandi;
e. fasilitasi sertifikasi penerapan manajemen pengamanan Sistem Elektronik;
f. audit Keamanan Sistem Elektronik;
g. audit keamanan pelaksanaan sistem manajemen;
h. literasi Keamanan Informasi dalam rangka peningkatan kesadaran Keamanan Informasi dan pengukuran tingkat kesadaran Keamanan Informasi di lingkungan pemerintah daerah dan Publik ;
i. peningkatan kompetensi sumber daya manusia di bidang Keamanan Informasi dan/atau persandian;
j. pengelolaan pusat operasi Pengamanan Informasi;
k. penanganan insiden Keamanan Sistem Elektronik;
l. forensik digital;
m. perlindungan Informasi pada kegiatan penting pemerintah daerah melalui teknik pengamanan gelombang frekuensi atau sinyal;
n. perlindungan Informasi pada aset/fasilitas penting milik atau yang akan digunakan pemerintah daerah melalui kegiatan kontra penginderaan;
o. konsultasi Keamanan Informasi bagi Pengguna Layanan;
dan/atau
p. jenis Layanan Keamanan Informasi lainnya.
(1) Dalam menyediakan Layanan Keamanan Informasi sebagaimana dimaksud dalam Pasal 22 Perangkat Daerah melaksanakan manajemen Layanan Keamanan Informasi.
(2) Manajemen Layanan Keamanan Informasi sebagaimana dimaksud pada ayat (1) bertujuan untuk menjamin keberlangsungan dan meningkatkan kualitas Layanan Keamanan Informasi kepada Pengguna Layanan.
(3) Manajemen Layanan Keamanan Informasi sebagaimana dimaksud pada ayat
(1) merupakan penanganan terhadap keluhan, gangguan, masalah, permintaan, dan/atau perubahan Layanan Keamanan Informasi dari Pengguna Layanan.
(4) Manajemen Layanan Keamanan Informasi sebagaimana dimaksud pada ayat (3) dilaksanakan berdasarkan pedoman manajemen Layanan Keamanan Informasi.