PERBAN

Peraturan Badan Nomor 10 Tahun 2019 tentang PELAKSANAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI DI PEMERINTAH DAERAH

PERBAN Nomor 10 Tahun 2019

This content is not legal advice. Always refer to official sources for legal certainty.

Legal documents are displayed in Bahasa Indonesia, their official language of publication.

BAB I

KETENTUAN UMUM

Article 1

Dalam Peraturan Badan ini yang dimaksud dengan: 1. Pemerintah Pusat adalah PRESIDEN Republik INDONESIA yang memegang kekuasaan pemerintahan negara Republik INDONESIA yang dibantu oleh Wakil PRESIDEN dan menteri sebagaimana dimaksud dalam UNDANG-UNDANG Dasar Negara Republik INDONESIA Tahun 1945. 2. Pemerintahan Daerah adalah penyelenggaraan urusan pemerintahan oleh pemerintah daerah dan dewan perwakilan rakyat daerah menurut asas otonomi dan tugas pembantuan dengan prinsip otonomi seluas- luasnya dalam sistem dan prinsip Negara Kesatuan sebagaimana dimaksud dalam UNDANG-UNDANG Dasar Negara Republik INDONESIA Tahun 1945. 3. Perangkat Daerah pelaksana urusan pemerintahan bidang Persandian selanjutnya disebut Perangkat Daerah adalah unsur pembantu kepala daerah dalam penyelenggaraan urusan pemerintahan bidang persandian. 4. Persandian adalah kegiatan di bidang pengamanan data/informasi yang dilaksanakan dengan menerapkan konsep, teori, seni dan ilmu kripto beserta ilmu pendukung lainnya secara sistematis, metodologis dan konsisten serta terkait pada etika profesi sandi. 5. Keamanan Informasi adalah terjaganya kerahasiaan, keaslian, keutuhan, ketersediaan, dan kenirsangkalan Informasi. 6. Pengamanan Informasi adalah segala upaya, kegiatan, dan tindakan untuk mewujudkan Keamanan Informasi. 7. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik. 8. Sertifikat Elektronik adalah sertifikat yang bersifat elektronik yang memuat tanda tangan elektronik dan identitas yang menunjukkan status subjek hukum para pihak dalam transaksi elektronik yang dikeluarkan oleh penyelenggara sertifikasi elektronik. 9. Layanan Keamanan Informasi adalah keluaran dari pelaksanaan 1 (satu) atau beberapa kegiatan penyelenggaraan Urusan Pemerintahan bidang Persandian dan yang memiliki nilai manfaat. 10. Pengguna Layanan Keamanan Informasi yang selanjutnya disebut Pengguna Layanan adalah para pihak yang memanfaatkan Layanan Keamanan Informasi. 11. Badan Siber dan Sandi Negara yang selanjutnya disingkat BSSN adalah lembaga pemerintah yang menyelenggarakan tugas pemerintahan di bidang keamanan siber dan persandian.

BAB II

PENYELENGGARAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI PEMERINTAH DAERAH PROVINSI DAN KABUPATEN/KOTA

Article 4

Correction

(1) Penyelenggaraan Persandian untuk Pengamanan Informasi pemerintah daerah provinsi dan kabupaten/kota sebagaimana dimaksud dalam Pasal 3 huruf a dilaksanakan melalui: a. penyusunan kebijakan Pengamanan Informasi; b. pengelolaan sumber daya Keamanan Informasi; c. pengamanan Sistem Elektronik dan pengamanan informasi nonelektronik; dan d. penyediaan layanan Keamanan Informasi. (2) Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya bertanggung jawab terhadap Penyelenggaraan Persandian untuk Pengamanan Informasi sebagaimana dimaksud pada ayat (1).

Article 5

Penyusunan kebijakan Pengamanan Informasi sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf a dilakukan dengan: a. menyusun rencana strategis Pengamanan Informasi; b. MENETAPKAN arsitektur Keamanan Informasi; dan c. MENETAPKAN aturan mengenai tata kelola Keamanan Informasi.

Article 6

(1) Rencana strategis Pengamanan Informasi sebagaimana dimaksud dalam Pasal 5 huruf a disusun oleh Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya. (2) Penyusunan rencana strategis Pengamanan Informasi sebagaimana dimaksud pada ayat (1) dilakukan oleh Perangkat Daerah. (3) Rencana strategis sebagaimana dimaksud pada ayat (1) terdiri atas: a. tujuan, sasaran, program, kegiatan, dan target pelaksanaan Pengamanan Informasi setiap tahun untuk jangka waktu 5 (lima) tahun; dan b. peta rencana penyelenggaraan Pengamanan Informasi yang merupakan penjabaran dari tahapan rencana strategis yang akan dicapai setiap tahun untuk jangka waktu 5 (lima) tahun. (4) Rencana strategis Pengamanan Informasi yang telah disusun sebagaimana dimaksud pada ayat (1) diintegrasikan ke dalam Rencana Pembangunan Jangka Menengah Daerah. (5) Dalam melakukan penyusunan rencana strategis sebagaimana dimaksud pada ayat (1) Gubernur atau Bupati/Wali Kota dapat melakukan koordinasi dan konsultasi kepada BSSN. (6) Dalam melakukan koordinasi dan konsultasi sebagaimana dimaksud pada ayat (5) Gubernur atau Bupati/Wali Kota dapat menunjuk Perangkat Daerah.

Article 7

(1) Arsitektur Keamanan Informasi sebagaimana dimaksud dalam Pasal 5 huruf b ditetapkan oleh Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya. (2) Arsitektur Keamanan Informasi sebagaimana dimaksud pada ayat (1) memuat: a. infrastruktur teknologi informasi; b. desain keamanan perangkat teknologi informasi dan keamanan jaringan; dan c. aplikasi keamanan perangkat teknologi informasi dan keamanan jaringan. (3) Dalam melakukan penyusunan Arsitektur Keamanan Informasi sebagaimana dimaksud pada ayat (1) Gubernur atau Bupati/Wali Kota dapat melakukan koordinasi dan konsultasi kepada BSSN. (4) Dalam melakukan koordinasi dan konsultasi sebagaimana dimaksud pada ayat (3) Gubernur atau Bupati/Wali Kota dapat menunjuk Perangkat Daerah. (5) Arsitektur Keamanan Informasi yang telah disusun dan ditetapkan sebagaimana dimaksud pada ayat (1) berlaku untuk jangka waktu 5 (lima) tahun. (6) Arsitektur Keamanan Informasi dilakukan evaluasi oleh Gubernur atau Bupati/Wali Kota pada paruh waktu dan tahun terakhir pelaksanaan atau sewaktu waktu sesuai dengan kebutuhan.

Article 8

(1) Aturan mengenai tata kelola Keamanan Informasi sebagaimana dimaksud dalam Pasal 5 huruf c ditetapkan oleh Gubernur atau Bupati/Wali Kota sesuai dengan kewenangannya. (2) Aturan mengenai tata kelola Keamanan Informasi sebagaimana dimaksud pada ayat (1) paling sedikit terdiri atas: a. keamanan sumber daya teknologi informasi; b. keamanan akses kontrol; c. keamanan data dan informasi; d. keamanan sumber daya manusia; e. keamanan jaringan; f. keamanan surat elektronik; g. keamanan pusat data; dan/atau h. keamanan komunikasi. (3) Dalam melakukan penyusunan aturan mengenai tata kelola Keamanan Informasi sebagaimana dimaksud pada ayat (1) Gubernur atau Bupati/Wali Kota dapat melakukan koordinasi dan konsultasi kepada BSSN. (4) Dalam melakukan koordinasi dan konsultasi sebagaimana dimaksud pada ayat (3) Gubernur atau Bupati/Wali Kota dapat menunjuk Perangkat Daerah.

Article 9

(1) Pengelolaan sumber daya Keamanan Informasi sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf b dilaksanakan oleh Perangkat Daerah. (2) Pengelolaan sumber daya Keamanan Informasi sebagaimana dimaksud pada ayat (1) terdiri atas: a. pengelolaan aset keamanan teknologi informasi dan komunikasi; b. pengelolaan sumber daya manusia; dan c. manajemen pengetahuan.

Article 10

(1) Pengelolaan aset keamanan teknologi Informasi dan komunikasi sebagaimana dimaksud dalam Pasal 9 ayat (2) huruf a dilakukan melalui perencanaan, pengadaan, pemanfaatan, dan penghapusan terhadap aset keamanan teknologi informasi dan komunikasi sesuai dengan ketentuan peraturan perundang-undangan. (2) Aset keamanan teknologi informasi dan komunikasi sebagaimana dimaksud pada ayat (1) merupakan perangkat yang digunakan untuk mengidentifikasi, mendeteksi, memproteksi, menganalisis, menanggulangi, dan/atau memulihkan insiden Keamanan Informasi dalam Sistem Elektronik.

Article 11

(1) Pengelolaan sumber daya manusia sebagaimana dimaksud dalam Pasal 9 ayat (2) huruf b dilakukan oleh Perangkat Daerah. (2) Pengelolaan sumber daya manusia sebagaimana dimaksud pada ayat (1) dilakukan melalui serangkaian proses sebagai berikut: a. pengembangan kompetensi; b. pembinaan karir; c. pendayagunaan; dan d. pemberian tunjangan pengamanan persandian.

Article 12

(1) Pengembangan kompetensi sebagaimana dimaksud dalam Pasal 11 ayat (2) huruf a dilaksanakan dengan ketentuan: a. melalui tugas belajar, pendidikan dan pelatihan pembentukan dan penjenjangan fungsional, pendidikan dan pelatihan teknis, bimbingan teknis, asistensi, workshop, seminar, dan kegiatan lainnya yang terkait pengembangan kompetensi sumber daya manusia di bidang Keamanan Informasi; b. mengikuti berbagai kegiatan pengembangan kompetensi yang dilaksanakan oleh BSSN, pihak lainnya, atau pemerintah daerah masing-masing; dan c. memenuhi jumlah waktu minimal seorang pegawai untuk meningkatkan kompetensi bidangnya. (2) Pembinaan karir sebagaimana dimaksud dalam Pasal 11 ayat (2) huruf b dilaksanakan dengan ketentuan: a. pembinaan jabatan fungsional di bidang Keamanan Informasi; dan b. pengisian formasi jabatan pimpinan tinggi, jabatan administrator, dan jabatan pengawas sesuai dengan standar kompetensi yang ditetapkan. (3) Pendayagunaan sebagaimana dimaksud dalam Pasal 11 ayat (2) huruf c dilaksanakan agar seluruh sumber daya manusia yang bertugas di bidang Keamanan Informasi melaksanakan tugasnya sesuai dengan sasaran kinerja pegawai dan standar kompetensi kerja pegawai yang ditetapkan.

Article 13

(1) Manajemen pengetahuan sebagaimana dimaksud dalam Pasal 9 ayat (2) huruf c dilakukan oleh Perangkat Daerah. (2) Manajemen pengetahuan sebagaimana dimaksud pada ayat (1) dilakukan untuk meningkatkan kualitas Layanan Keamanan Informasi dan mendukung proses pengambilan keputusan terkait Keamanan Informasi. (3) Manajemen pengetahuan dilakukan melalui serangkaian proses pengumpulan, pengolahan, penyimpanan, penggunaan, dan alih pengetahuan dan teknologi yang dihasilkan dalam pelaksanaan Keamanan Informasi pemerintah daerah. (4) Manajemen pengetahuan sebagaimana dimaksud pada ayat (3) dilaksanakan berdasarkan pedoman manajemen pengetahuan Keamanan Informasi pemerintah daerah. (5) Dalam pelaksanaan manajemen pengetahuan, Pemerintah Daerah berkoordinasi dan dapat melakukan konsultasi dengan BSSN. (6) Ketentuan lebih lanjut mengenai pedoman manajemen pengetahuan Keamanan Informasi pemerintah daerah diatur dengan Peraturan Badan.

Article 14

Pengamanan Sistem Elektronik dan pengamanan informasi nonelektronik sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf c dilaksanakan oleh Perangkat Daerah sesuai dengan ketentuan peraturan perundang-undangan.

Article 15

Pengamanan Sistem Elektronik sebagaimana dimaksud dalam Pasal 14 terdiri atas: a. penjaminan kerahasiaan, keutuhan, ketersediaan, keaslian, dan nirsangkal terhadap data dan informasi; b. penjaminan ketersediaan infrastruktur yang terdiri atas pusat data, jaringan intra pemerintah, dan sistem penghubung layanan penyelenggaraan pemerintahan berbasis elektronik; dan c. penjaminan keutuhan, ketersediaan, dan keaslian aplikasi.

Article 16

(1) Dalam melaksanakan Pengamanan Sistem Elektronik sebagaimana dimaksud dalam Pasal 15 Perangkat Daerah melakukan: a. identifikasi; b. deteksi; c. proteksi; dan d. penanggulangan dan pemulihan. (2) Identifikasi sebagaimana dimaksud pada ayat (1) huruf a dilakukan melalui kegiatan analisis kerawanan dan risiko terhadap Sistem Elektronik. (3) Deteksi sebagaimana dimaksud pada ayat (1) huruf b dilakukan melalui kegiatan analisis untuk menentukan adanya ancaman atau kejadian insiden pada Sistem Elektronik. (4) Proteksi sebagaimana dimaksud pada ayat (1) huruf c dilakukan dengan kegiatan mitigasi risiko dan penerapan pelindungan terhadap Sistem Elektronik untuk menjamin keberlangsungan penyelenggaraan pemerintahan berbasis elektronik. (5) Penanggulangan dan pemulihan sebagaimana dimaksud pada ayat (1) huruf d dilakukan dengan kegiatan penanganan yang tepat dan perbaikan terhadap adanya insiden pada Sistem Elektronik agar penyelenggaraan pemerintahan berbasis elektronik berfungsi kembali dengan baik.

Article 17

(1) Dalam melaksanakan Pengamanan Sistem Elektronik sebagaimana dimaksud dalam Pasal 15 Pemerintah Daerah wajib menggunakan Sertifikat Elektronik pada setiap layanan publik dan layanan pemerintahan berbasis elektronik. (2) Sertifikat Elektronik sebagaimana dimaksud pada ayat (1) diterbitkan oleh BSSN dan/atau lembaga penyelenggara Sertifikasi Elektronik dalam negeri yang telah diakui. (3) Untuk mendapatkan Sertifikat elektronik sebagaimana dimaksud pada ayat (2) dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.

Article 18

(1) Dalam mendukung penyelenggaraan layanan pemerintahan berbasis elektronik sebagaimana dimaksud dalam Pasal 17 ayat (1) Pemerintah Daerah dapat menyelenggarakan pusat operasi Pengamanan Informasi sesuai standar yang ditetapkan oleh BSSN. (2) Pusat operasi Pengamanan Informasi sebagaimana dimaksud pada ayat (1) bertujuan untuk pengamanan Sistem Elektronik dengan melakukan proses pengawasan, penanggulangan, dan pemulihan atas insiden keamanan Sistem Elektronik dengan memperhatikan aspek personel, proses pelaksanaan, dan ketersediaan teknologi.

Article 19

(1) Pengamanan informasi nonelektronik sebagaimana dimaksud dalam Pasal 14 dilakukan pada tahapan pemrosesan, pengiriman, penyimpanan, dan pemusnahan informasi nonelektronik. (2) Pengamanan Informasi nonelektronik sebagaimana dimaksud pada ayat (1) dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.

Article 20

(1) Perangkat Daerah melaksanakan audit Keamanan Informasi di lingkup pemerintah daerah. (2) Audit Keamanan Informasi meliputi audit keamanan Sistem Elektronik dan audit pelaksanaan sistem manajemen. (3) Audit Keamanan Informasi sebagaimana dimaksud pada ayat (2) dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.

Article 21

(1) Penyediaan Layanan Keamanan Informasi sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf d dilaksanakan oleh Perangkat Daerah. (2) Layanan Keamanan Informasi sebagaimana dimaksud pada ayat (1) disediakan untuk Pengguna Layanan yang terdiri atas: a. kepala daerah dan wakil; b. perangkat daerah; c. pegawai atau aparatur sipil negara pada pemerintah daerah; dan d. pihak lainnya.

Article 22

Jenis Layanan Keamanan Informasi sebagaimana dimaksud dalam Pasal 21 ayat (1) meliputi: a. identifikasi kerentanan dan penilaian risiko terhadap Sistem Elektronik; b. asistensi dan fasilitasi penguatan keamanan Sistem Elektronik; c. penerapan Sertifikat Elektronik untuk melindungi Sistem Elektronik dan dokumen elektronik; d. perlindungan Informasi melalui penyediaan perangkat teknologi Keamanan Informasi dan jaring komunikasi sandi; e. fasilitasi sertifikasi penerapan manajemen pengamanan Sistem Elektronik; f. audit Keamanan Sistem Elektronik; g. audit keamanan pelaksanaan sistem manajemen; h. literasi Keamanan Informasi dalam rangka peningkatan kesadaran Keamanan Informasi dan pengukuran tingkat kesadaran Keamanan Informasi di lingkungan pemerintah daerah dan Publik ; i. peningkatan kompetensi sumber daya manusia di bidang Keamanan Informasi dan/atau persandian; j. pengelolaan pusat operasi Pengamanan Informasi; k. penanganan insiden Keamanan Sistem Elektronik; l. forensik digital; m. perlindungan Informasi pada kegiatan penting pemerintah daerah melalui teknik pengamanan gelombang frekuensi atau sinyal; n. perlindungan Informasi pada aset/fasilitas penting milik atau yang akan digunakan pemerintah daerah melalui kegiatan kontra penginderaan; o. konsultasi Keamanan Informasi bagi Pengguna Layanan; dan/atau p. jenis Layanan Keamanan Informasi lainnya.

Article 23

(1) Dalam menyediakan Layanan Keamanan Informasi sebagaimana dimaksud dalam Pasal 22 Perangkat Daerah melaksanakan manajemen Layanan Keamanan Informasi. (2) Manajemen Layanan Keamanan Informasi sebagaimana dimaksud pada ayat (1) bertujuan untuk menjamin keberlangsungan dan meningkatkan kualitas Layanan Keamanan Informasi kepada Pengguna Layanan. (3) Manajemen Layanan Keamanan Informasi sebagaimana dimaksud pada ayat (1) merupakan penanganan terhadap keluhan, gangguan, masalah, permintaan, dan/atau perubahan Layanan Keamanan Informasi dari Pengguna Layanan. (4) Manajemen Layanan Keamanan Informasi sebagaimana dimaksud pada ayat (3) dilaksanakan berdasarkan pedoman manajemen Layanan Keamanan Informasi.

BAB Kedua

Penyusunan Kebijakan Pengamanan Informasi

Article 5

Correction

Article 6

Correction

Article 7

Article 8

BAB Ketiga

Pengelolaan Sumber Daya Keamanan Informasi

Article 9

Correction

Article 10

Correction

Article 11

Article 12

Article 13

BAB Keempat

Pengamanan Sistem Elektronik dan Pengamanan Informasi Nonelektronik

Article 14

Correction

Article 15

Correction

Article 16

Article 17

Article 18

Article 19

Article 20

BAB Kelima

Penyediaan Layanan Keamanan Informasi

Article 21

Correction

Article 22

Article 23

(1) Penetapan pola hubungan komunikasi sandi antar perangkat daerah provinsi dan kabupaten/kota sebagaimana dimaksud dalam Pasal 24 ayat (1) dilaksanakan melalui: a. identifikasi pola hubungan komunikasi sandi; dan b. analisis pola hubungan komunikasi sandi. (2) Identifikasi pola hubungan komunikasi sandi sebagaimana dimaksud pada ayat (1) huruf a, dilakukan terhadap: a. pola hubungan komunikasi pimpinan dan pejabat struktural internal pemerintah daerah; b. alur informasi yang dikomunikasikan antar perangkat daerah dan internal perangkat daerah; c. teknologi informasi dan komunikasi; d. infrastruktur komunikasi; dan e. kompetensi personel. (3) Analisis pola hubungan komunikasi sandi sebagaimana dimaksud pada ayat (2) huruf b dilakukan terhadap hasil identifikasi pola hubungan komunikasi sandi sebagaimana dimaksud pada ayat (3). (4) Analisis pola hubungan komunikasi sandi sebagaimana dimaksud pada ayat (4) memuat: a. pengguna Layanan yang akan terhubung dalam jaring komunikasi sandi; b. topologi atau bentuk atau model keterhubungan jaring komunikasi sandi antar Pengguna Layanan; c. perangkat keamanan teknologi Informasi dan komunikasi, dan infrastruktur komunikasi, serta fasilitas lainnya yang dibutuhkan; dan d. tugas dan tanggung jawab pengelola dan Pengguna Layanan. (5) Hasil analisis pola hubungan komunikasi sandi sebagaimana dimaksud pada ayat (5) ditetapkan sebagai pola hubungan komunikasi sandi antar perangkat daerah provinsi dan kabupaten/kota oleh Gubernur atau Bupati/Wali Kota dalam bentuk keputusan. (6) Keputusan sebagaimana dimaksud pada ayat (5) paling sedikit memuat: a. entitas Pengguna Layanan yang terhubung dalam jaring komunikasi sandi; b. topologi atau bentuk atau model keterhubungan antar Pengguna Layanan; c. sarana dan prasarana yang digunakan; dan d. tugas dan tanggung jawab pengelola dan Pengguna Layanan. (7) Salinan keputusan sebagaimana dimaksud pada ayat (6) disampaikan oleh: a. Gubernur kepada Kepala BSSN; dan b. Bupati/Wali Kota kepada Gubernur sebagai wakil Pemerintah Pusat dan ditembuskan kepada Kepala BSSN.

Peraturan Badan Nomor 10 Tahun 2019 tentang PELAKSANAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI DI PEMERINTAH DAERAH

BAB I

Article 1

BAB I

Article 1

Article 2

Article 3

BAB II

Article 4

Article 5

Article 6

Article 7

Article 8

Article 9

Article 10

Article 11

Article 12

Article 13

Article 14

Article 15

Article 16

Article 17

Article 18

Article 19

Article 20

Article 21

Article 22

Article 23

BAB Kesatu

Article 4

BAB Kedua

Article 5

Article 6

Article 7

Article 8

BAB Ketiga

Article 9

Article 10

Article 11

Article 12

Article 13

BAB Keempat

Article 14

Article 15

Article 16

Article 17

Article 18

Article 19

Article 20

BAB Kelima

Article 21

Article 22

Article 23

BAB III

Article 24

Article 25

BAB IV

Article 26

Article 27

BAB V

Article 28

Article 29

Article 30

BAB VI

Article 31

BAB VII

Article 32

Article 33