PERBAN

Peraturan Badan Nomor 8 Tahun 2020 tentang SISTEM PENGAMANAN DALAM PENYELENGGARAAN SISTEM ELEKTRONIK

PERBAN Nomor 8 Tahun 2020

This content is not legal advice. Always refer to official sources for legal certainty.

Legal documents are displayed in Bahasa Indonesia, their official language of publication.

BAB I

KETENTUAN UMUM

Article 1

Dalam Peraturan Badan ini yang dimaksud dengan: 1. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik. 2. Penyelenggara Sistem Elektronik adalah setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. 3. Penyelenggara Sistem Elektronik Lingkup Publik adalah penyelenggara Sistem Elektronik oleh instansi penyelenggara negara atau institusi yang ditunjuk oleh instansi penyelenggara negara. 4. Penyelenggara Sistem Elektronik Lingkup Privat adalah Penyelenggara Sistem Elektronik oleh orang, badan usaha, dan masyarakat. 5. Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem Elektronik oleh penyelenggara negara, orang, badan usaha, dan/atau masyarakat. 6. Sistem Manajemen Pengamanan Informasi yang selanjutnya disebut SMPI adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam penerapan manajemen pengamanan informasi berdasarkan asas Risiko. 7. Keamanan Informasi adalah terjaganya kerahasiaan, keaslian, keutuhan, ketersedian, dan kenirsangkalan informasi. 8. Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik dan/atau nonelektronik. 9. Risiko adalah kejadian atau kondisi yang tidak diinginkan, yang dapat menimbulkan dampak negatif terhadap pencapaian sasaran kinerja dari layanan Sistem Elektronik. 10. Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi yang selanjutnya disebut Lembaga Sertifikasi adalah lembaga audit Keamanan Informasi yang menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi. 11. Sertifikat Sistem Manajemen Pengamanan Informasi yang selanjutnya disebut Sertifikat SMPI adalah bukti tertulis yang diberikan oleh Lembaga Sertifikasi kepada Penyelenggara Sistem Elektronik yang telah memenuhi persyaratan. 12. Penilaian Mandiri adalah mekanisme evaluasi yang dilakukan secara mandiri oleh Penyelenggara Sistem Elektronik berdasarkan kriteria tertentu. 13. Indeks Keamanan Informasi yang selanjutnya disebut Indeks KAMI adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan informasi di organisasi. 14. Auditor Keamanan Informasi yang selanjutnya disebut ArKI adalah orang yang memiliki kompetensi untuk melakukan audit Keamanan Informasi. 15. Kementerian atau Lembaga adalah instansi penyelenggara negara yang bertugas mengawasi dan mengeluarkan pengaturan terhadap sektornya. 16. Tenaga Ahli Penerap yang selanjutnya disebut Tenaga Ahli adalah orang yang memiliki kompetensi dalam penerapan SMPI. 17. Badan Siber dan Sandi Negara yang selanjutnya disingkat BSSN adalah lembaga pemerintah yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.

BAB III

PROSES PENILAIAN MANDIRI DAN KATEGORI SISTEM ELEKTRONIK

Article 6

Correction

(1) Kategori Sistem Elektronik berdasarkan asas Risiko terdiri atas: a. Sistem Elektronik strategis; b. Sistem Elektronik tinggi; dan c. Sistem Elektronik rendah. (2) Sistem Elektronik strategis sebagaimana dimaksud pada ayat (1) huruf a merupakan Sistem Elektronik yang berdampak serius terhadap kepentingan umum, pelayanan publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. (3) Sistem Elektronik tinggi sebagaimana dimaksud pada ayat (1) huruf b merupakan Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu. (4) Sistem Elektronik rendah sebagaimana dimaksud pada ayat (1) huruf c merupakan Sistem Elektronik lainnya yang tidak termasuk pada ayat (2) dan ayat (3).

Article 7

(1) Kategorisasi Sistem Elektronik sebagaimana dimaksud dalam Pasal 6 ayat (1) ditentukan berdasarkan Penilaian Mandiri oleh Penyelenggara Sistem Elektronik terhadap Sistem Elektronik yang dimilikinya. (2) Format Penilaian Mandiri sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini. (3) Hasil Penilaian Mandiri sebagaimana dimaksud pada ayat (1) wajib dilaporkan kepada BSSN untuk diverifikasi. (4) Verifikasi sebagaimana dimaksud pada ayat (3) dilakukan paling lama 10 (sepuluh) hari kerja sejak laporan hasil Penilaian Mandiri diterima.

Article 8

(1) Dalam hal hasil verifikasi sebagaimana dimaksud dalam Pasal 7 ayat (4) menyatakan bahwa Sistem Elektronik yang dimiliki oleh Penyelenggara Sistem Elektronik merupakan Sistem Elektronik Strategis maka ditetapkan oleh Kepala BSSN berdasarkan hasil koordinasi dengan Kementerian atau Lembaga terkait. (2) Dalam hal hasil verifikasi sebagaimana dimaksud dalam Pasal 7 ayat (4) menyatakan bahwa Sistem Elektronik yang dimiliki oleh Penyelenggara Sistem Elektronik merupakan Sistem Elektronik tinggi dan/atau Sistem Elektronik rendah maka ditetapkan oleh Kepala BSSN. (3) Setiap penetapan yang dibuat oleh Kepala BSSN sebagaimana dimaksud pada ayat (1) dan ayat (2) disampaikan kepada Penyelenggara Sistem Elektronik dan Kementerian atau Lembaga terkait.

BAB IV

PENYELENGGARAAN SMPI

Article 9

Correction

(1) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik strategis wajib menerapkan: a. SNI ISO/IEC 27001; b. standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN; dan c. standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga. (2) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik tinggi wajib menerapkan: a. SNI ISO/IEC 27001 dan/atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN; dan b. standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga. (3) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik rendah wajib menerapkan: a. SNI ISO/IEC 27001; atau b. standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN. (4) Standar keamanan lain yang terkait dengan keamanan siber sebagaimana dimaksud pada ayat (1) huruf b, ayat (2) huruf a, dan ayat (3) huruf b diatur dengan Peraturan Badan. (5) Standar keamanan lain yang terkait dengan keamanan siber sebagaimana dimaksud pada ayat (1) huruf c dan ayat (2) huruf b sesuai dengan ketentuan peraturan perundang-undangan.

Article 10

Dalam hal standar sebagaimana dimaksud dalam Pasal 9 ayat (1) huruf b dan huruf c belum ditetapkan, Penyelenggara Sistem Elektronik wajib melaksanakan ketentuan Pasal 9 ayat (1) huruf a.

Article 11

Dalam hal standar sebagaimana dimaksud dalam Pasal 9 ayat (2) huruf b belum ditetapkan, Penyelenggara Sistem Elektronik wajib melaksanakan ketentuan Pasal 9 ayat (2) huruf a.

Article 12

(1) Untuk mempersiapkan penerapan SNI ISO/IEC 27001 sebagaimana dimaksud dalam Pasal 9, Penyelenggara Sistem Elektronik dapat melakukan penilaian berdasarkan Indeks KAMI. (2) Ketentuan mengenai Indeks KAMI dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan

Article 13

(1) Penerapan SMPI dilaksanakan secara mandiri oleh Penyelenggara Sistem Elektronik. (2) Dalam penerapan SMPI secara mandiri sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik menggunakan sumber daya manusia berkewarganegaraan INDONESIA. (3) Dalam penerapan SMPI secara mandiri sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik dapat menggunakan: a. Tenaga Ahli berkewarganegaraan INDONESIA; atau b. lembaga konsultan yang diakui oleh BSSN.

Article 14

(1) Dalam hal belum terdapat Tenaga Ahli berkewarganegaraan INDONESIA sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf a, Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli asing yang diikat dalam perjanjian kerahasiaan. (2) Dalam menggunakan Tenaga Ahli asing sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik wajib mengajukan permohonan kepada unit kerja yang melaksanakan tugas dan fungsi di bidang pemantauan sumber daya manusia keamanan siber dan sandi paling lambat 14 (empat belas) hari kerja sebelum perjanjian kerja ditandatangani. (3) Permohonan sebagaimana dimaksud pada ayat (2) dilengkapi dengan dokumen sebagai berikut: a. manajemen Risiko terkait penggunaan Tenaga Ahli asing; b. 1 (satu) buah pas foto 1 (satu) bulan terakhir ukuran 4x6; c. fotokopi paspor; d. riwayat hidup; e. rancangan perjanjian kerja; f. fotokopi bukti atau keterangan tentang kualifikasi keahlian atau sertifikasi keahlian dalam bidang Keamanan Informasi; g. fotokopi kartu izin tinggal terbatas atau kartu izin tinggal tetap yang dikeluarkan oleh instansi yang berwenang; dan h. fotokopi surat izin mempekerjakan tenaga kerja asing yang dikeluarkan oleh instansi yang berwenang. (4) Unit kerja yang melaksanakan tugas dan fungsi di bidang pemantauan sumber daya manusia keamanan siber dan sandi melakukan penilaian terhadap Tenaga Ahli asing dalam waktu paling lambat 14 (empat belas) hari kerja. (5) Pemberian izin untuk memperkerjakan Tenaga Ahli asing dapat diberikan oleh BSSN kepada Penyelenggara Sistem Elektronik pemohon apabila Tenaga Ahli asing yang diajukan telah memenuhi kriteria penilaian.

Article 15

(1) Lembaga konsultan sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf b harus: a. berbentuk badan hukum INDONESIA; b. berdomisili di INDONESIA; dan c. memiliki tim implementor yang beranggotakan paling sedikit 1 (satu) orang implementor berkewarganegaraan INDONESIA. (2) Implementor sebagaimana dimaksud pada ayat (1) huruf c merupakan orang yang memiliki kompetensi dalam penerapan SMPI.

Article 16

(1) Calon lembaga konsultan mengajukan permohonan pengakuan sebagai lembaga konsultan SMPI kepada Kepala BSSN. (2) Permohonan pengakuan sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen: a. surat permohonan; b. akte pendirian perusahaan; c. surat izin usaha perdagangan bidang dagang utama jasa konsultan teknologi informasi; d. surat keterangan domisili; dan e. daftar anggota tim implementor. (3) Format surat permohonan sebagaimana dimaksud pada ayat (2) huruf a tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 17

(1) Unit kerja yang melaksanakan tugas dan fungsi di bidang sertifikasi lembaga konsultan melakukan penilaian terhadap permohonan pengakuan sebagaimana dimaksud dalam Pasal 16 ayat (2). (2) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan lengkap, Kepala BSSN memberikan pengakuan kepada lembaga konsultan sebagai lembaga konsultan SMPI paling lambat 14 (empat belas) hari kerja setelah dokumen permohonan dinyatakan lengkap. (3) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan tidak lengkap, Kepala BSSN mengembalikan dokumen permohonan kepada calon lembaga konsultan untuk dilengkapi.

Article 18

(1) Pemberian pengakuan sebagaimana dimaksud dalam Pasal 17 ayat (2) diberikan dalam bentuk sertifikat pengakuan lembaga konsultan SMPI. (2) Sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud pada ayat (1) berlaku untuk jangka waktu 5 (lima) tahun. (3) Lembaga konsultan yang telah memperoleh sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud pada ayat (1) dicantumkan dalam daftar lembaga konsultan SMPI. (4) Format sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 19

(1) Sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud dalam Pasal 18 dinyatakan tidak berlaku apabila: a. sertifikat pengakuan lembaga konsultan SMPI habis masa berlaku; b. lembaga konsultan melanggar ketentuan perundang-undangan; atau c. lembaga konsultan dinyatakan pailit sesuai dengan ketentuan perundang-undangan. (2) Lembaga konsultan yang sertifikat pengakuannya tidak berlaku sebagaimana dimaksud pada ayat (1) dihapus dari daftar lembaga konsultan SMPI.

Article 20

Dalam hal sertifikat pengakuan lembaga konsultan SMPI habis masa berlaku, lembaga konsultan mengajukan permohonan pengakuan kembali dengan menyampaikan dokumen sesuai dengan ketentuan dalam Pasal 16 ayat (2).

Article 21

(1) Calon implementor mengajukan permohonan surat tanda register implementor SMPI kepada Kepala BSSN. (2) Permohonan surat tanda register sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen: a. surat permohonan; b. ijasah pendidikan terakhir paling rendah Strata-1; c. daftar riwayat hidup; d. sertifikat kelulusan uji kompetensi di bidang Keamanan Informasi; e. sertifikat kelulusan uji kompetensi sebagai implementor SNI ISO/IEC 27001; f. dokumen yang menyatakan masa pengalaman kerja di bidang teknologi informasi terutama dalam bidang implementasi Keamanan Informasi; dan g. fotokopi kartu identitas diri. (3) Format surat permohonan sebagaimana dimaksud pada ayat (2) huruf a tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 22

(1) Unit kerja yang melaksanakan tugas dan fungsi di bidang pemantauan sumber daya manusia keamanan siber dan sandi melakukan penilaian terhadap permohonan sebagaimana dimaksud dalam Pasal 21 ayat (2). (2) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan lengkap, Kepala BSSN mengeluarkan surat tanda register implementor SMPI paling lambat 14 (empat belas) hari kerja setelah dokumen permohonan dinyatakan lengkap. (3) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan tidak lengkap, Kepala BSSN mengembalikan dokumen permohonan kepada calon implementor untuk dilengkapi. (4) Surat tanda register implementor SMPI sebagaimana dimaksud pada ayat (2) berlaku untuk jangka waktu 5 (lima) tahun. (5) Implementor yang telah memperoleh surat tanda register implementor SMPI sebagaimana dimaksud pada ayat (2) dicantumkan dalam daftar implementor SMPI. (6) Format surat tanda register implementor SMPI sebagaimana dimaksud pada ayat (2) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 23

(1) Surat tanda register implementor SMPI sebagaimana dimaksud dalam Pasal 22 dinyatakan tidak berlaku apabila: a. implementor SMPI meninggal dunia; b. surat tanda register implementor SMPI habis masa berlaku; atau c. implementor SMPI melanggar ketentuan peraturan perundang-undangan. (2) Implementor yang surat tanda register implementor SMPI-nya tidak berlaku sebagaimana dimaksud pada ayat (1) dihapus dari daftar implementor SMPI.

Article 24

Dalam hal surat tanda register implementor SMPI habis masa berlaku, implementor mengajukan permohonan kembali dengan menyampaikan dokumen sesuai dengan ketentuan dalam Pasal 21 ayat (2).

Article 25

(1) Lembaga konsultan menugaskan tim implementor untuk membantu penerapan SMPI terhadap Penyelenggara Sistem Elektronik. (2) Tim implementor sebagaimana dimaksud pada ayat (1) melaporkan hasil penerapan SMPI pada lembaga konsultan yang menugaskan.

Article 26

Sertifikasi SMPI dilakukan oleh Lembaga Sertifikasi yang diakui oleh BSSN.

Article 27

Ketentuan mengenai pengakuan Lembaga Sertifikasi sebagaimana dimaksud dalam Pasal 26 sesuai dengan ketentuan peraturan perundang-undangan.

Article 28

(1) Sertifikat SMPI diterbitkan oleh Lembaga Sertifikasi. (2) Sertifikat SMPI sebagaimana dimaksud pada ayat (1) berlaku paling lama 3 (tiga) tahun sejak tanggal diterbitkan. (3) Sertifikat SMPI harus diperbaharui oleh Penyelenggara Sistem Elektronik paling lambat 3 (tiga) bulan sebelum masa berlakunya berakhir.

Article 29

Sertifikasi SMPI harus dilakukan sesuai dengan proses Penyelenggaraan Sistem Elektronik dengan memperhatikan kategori Sistem Elektronik sebagaimana dimaksud dalam Pasal 6.

Article 30

(1) Lembaga Sertifikasi menugaskan tim ArKI untuk melakukan audit SMPI terhadap Penyelenggara Sistem Elektronik. (2) Tim ArKI sebagaimana dimaksud pada ayat (1) melaporkan hasil audit pada Lembaga Sertifikasi yang menugaskan. (3) Lembaga Sertifikasi mengkaji hasil audit yang dilaporkan oleh tim ArKI. (4) Lembaga Sertifikasi menerbitkan Sertifikat SMPI bagi Penyelenggara Sistem Elektronik yang telah memenuhi standar sebagaimana dimaksud dalam Pasal 9.

Article 31

(1) Lembaga Sertifikasi wajib menyampaikan laporan hasil sertifikasi SMPI secara periodik paling sedikit 2 (dua) kali dalam 1 (satu) tahun kepada Kepala BSSN. (2) Laporan sebagaimana dimaksud pada ayat (1) paling sedikit memuat: a. data Penyelenggara Sistem Elektronik yang mengajukan sertifikasi; b. data Penyelenggara Sistem Elektronik yang mendapatkan Sertifikat SMPI; c. data Penyelenggara Sistem Elektronik yang dicabut kepemilikan sertifikatnya; d. ringkasan eksekutif yang memuat: 1) kondisi organisasi; 2) struktur organisasi; 3) temuan mayor dan temuan minor; 4) rekomendasi; 5) tindakan perbaikan; dan 6) tindak lanjut audit; e. perubahan daftar tim ArKI; dan f. perubahan daftar tim pengambil keputusan sertifikasi. (3) Format laporan sebagaimana dimaksud pada ayat (2) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 32

Lembaga Sertifikasi wajib melaporkan perubahan tim ArKI dan tim pengambil keputusan sertifikasi kepada Kepala BSSN paling lambat 2 (dua) hari kerja sebelum tim ArKI melaksanakan audit Keamanan Informasi.

Article 33

Lembaga Sertifikasi wajib melaksanakan audit pengawasan paling sedikit 1 (satu) kali dalam setahun dan audit khusus apabila terjadi insiden terhadap setiap Sistem Elektronik yang telah tersertifikasi.

Article 34

(1) Jika hasil audit pengawasan sebagaimana dimaksud dalam Pasal 33 tidak memenuhi standar sebagaimana dimaksud dalam Pasal 9, diberikan waktu paling lama 90 (sembilan puluh) hari kalender untuk memenuhi standar tersebut. (2) Jika setelah 90 (sembilan puluh) hari kalender belum terpenuhi, maka Lembaga Sertifikasi dapat mencabut Sertifikat SMPI terkait. (3) Pencabutan sebagaimana dimaksud pada ayat (1) wajib dilaporkan oleh Lembaga Sertifikasi kepada BSSN paling lambat 2 (dua) hari kerja sejak dilakukan pencabutan.

BAB Ketiga

Penerapan SMPI Oleh Penyelenggara Sistem elektronik

Article 13

Correction

(1) Penerapan SMPI dilaksanakan secara mandiri oleh Penyelenggara Sistem Elektronik. (2) Dalam penerapan SMPI secara mandiri sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik menggunakan sumber daya manusia berkewarganegaraan INDONESIA. (3) Dalam penerapan SMPI secara mandiri sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik dapat menggunakan: a. Tenaga Ahli berkewarganegaraan INDONESIA; atau b. lembaga konsultan yang diakui oleh BSSN.

Article 14

(1) Dalam hal belum terdapat Tenaga Ahli berkewarganegaraan INDONESIA sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf a, Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli asing yang diikat dalam perjanjian kerahasiaan. (2) Dalam menggunakan Tenaga Ahli asing sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik wajib mengajukan permohonan kepada unit kerja yang melaksanakan tugas dan fungsi di bidang pemantauan sumber daya manusia keamanan siber dan sandi paling lambat 14 (empat belas) hari kerja sebelum perjanjian kerja ditandatangani. (3) Permohonan sebagaimana dimaksud pada ayat (2) dilengkapi dengan dokumen sebagai berikut: a. manajemen Risiko terkait penggunaan Tenaga Ahli asing; b. 1 (satu) buah pas foto 1 (satu) bulan terakhir ukuran 4x6; c. fotokopi paspor; d. riwayat hidup; e. rancangan perjanjian kerja; f. fotokopi bukti atau keterangan tentang kualifikasi keahlian atau sertifikasi keahlian dalam bidang Keamanan Informasi; g. fotokopi kartu izin tinggal terbatas atau kartu izin tinggal tetap yang dikeluarkan oleh instansi yang berwenang; dan h. fotokopi surat izin mempekerjakan tenaga kerja asing yang dikeluarkan oleh instansi yang berwenang. (4) Unit kerja yang melaksanakan tugas dan fungsi di bidang pemantauan sumber daya manusia keamanan siber dan sandi melakukan penilaian terhadap Tenaga Ahli asing dalam waktu paling lambat 14 (empat belas) hari kerja. (5) Pemberian izin untuk memperkerjakan Tenaga Ahli asing dapat diberikan oleh BSSN kepada Penyelenggara Sistem Elektronik pemohon apabila Tenaga Ahli asing yang diajukan telah memenuhi kriteria penilaian.

Article 15

(1) Lembaga konsultan sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf b harus: a. berbentuk badan hukum INDONESIA; b. berdomisili di INDONESIA; dan c. memiliki tim implementor yang beranggotakan paling sedikit 1 (satu) orang implementor berkewarganegaraan INDONESIA. (2) Implementor sebagaimana dimaksud pada ayat (1) huruf c merupakan orang yang memiliki kompetensi dalam penerapan SMPI.

Article 16

(1) Calon lembaga konsultan mengajukan permohonan pengakuan sebagai lembaga konsultan SMPI kepada Kepala BSSN. (2) Permohonan pengakuan sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen: a. surat permohonan; b. akte pendirian perusahaan; c. surat izin usaha perdagangan bidang dagang utama jasa konsultan teknologi informasi; d. surat keterangan domisili; dan e. daftar anggota tim implementor. (3) Format surat permohonan sebagaimana dimaksud pada ayat (2) huruf a tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 17

(1) Unit kerja yang melaksanakan tugas dan fungsi di bidang sertifikasi lembaga konsultan melakukan penilaian terhadap permohonan pengakuan sebagaimana dimaksud dalam Pasal 16 ayat (2). (2) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan lengkap, Kepala BSSN memberikan pengakuan kepada lembaga konsultan sebagai lembaga konsultan SMPI paling lambat 14 (empat belas) hari kerja setelah dokumen permohonan dinyatakan lengkap. (3) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan tidak lengkap, Kepala BSSN mengembalikan dokumen permohonan kepada calon lembaga konsultan untuk dilengkapi.

Article 18

(1) Pemberian pengakuan sebagaimana dimaksud dalam Pasal 17 ayat (2) diberikan dalam bentuk sertifikat pengakuan lembaga konsultan SMPI. (2) Sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud pada ayat (1) berlaku untuk jangka waktu 5 (lima) tahun. (3) Lembaga konsultan yang telah memperoleh sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud pada ayat (1) dicantumkan dalam daftar lembaga konsultan SMPI. (4) Format sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 19

(1) Sertifikat pengakuan lembaga konsultan SMPI sebagaimana dimaksud dalam Pasal 18 dinyatakan tidak berlaku apabila: a. sertifikat pengakuan lembaga konsultan SMPI habis masa berlaku; b. lembaga konsultan melanggar ketentuan perundang-undangan; atau c. lembaga konsultan dinyatakan pailit sesuai dengan ketentuan perundang-undangan. (2) Lembaga konsultan yang sertifikat pengakuannya tidak berlaku sebagaimana dimaksud pada ayat (1) dihapus dari daftar lembaga konsultan SMPI.

Article 20

Dalam hal sertifikat pengakuan lembaga konsultan SMPI habis masa berlaku, lembaga konsultan mengajukan permohonan pengakuan kembali dengan menyampaikan dokumen sesuai dengan ketentuan dalam Pasal 16 ayat (2).

Article 21

(1) Calon implementor mengajukan permohonan surat tanda register implementor SMPI kepada Kepala BSSN. (2) Permohonan surat tanda register sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen: a. surat permohonan; b. ijasah pendidikan terakhir paling rendah Strata-1; c. daftar riwayat hidup; d. sertifikat kelulusan uji kompetensi di bidang Keamanan Informasi; e. sertifikat kelulusan uji kompetensi sebagai implementor SNI ISO/IEC 27001; f. dokumen yang menyatakan masa pengalaman kerja di bidang teknologi informasi terutama dalam bidang implementasi Keamanan Informasi; dan g. fotokopi kartu identitas diri. (3) Format surat permohonan sebagaimana dimaksud pada ayat (2) huruf a tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 22

(1) Unit kerja yang melaksanakan tugas dan fungsi di bidang pemantauan sumber daya manusia keamanan siber dan sandi melakukan penilaian terhadap permohonan sebagaimana dimaksud dalam Pasal 21 ayat (2). (2) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan lengkap, Kepala BSSN mengeluarkan surat tanda register implementor SMPI paling lambat 14 (empat belas) hari kerja setelah dokumen permohonan dinyatakan lengkap. (3) Dalam hal penilaian sebagaimana dimaksud pada ayat (1), dokumen permohonan dinyatakan tidak lengkap, Kepala BSSN mengembalikan dokumen permohonan kepada calon implementor untuk dilengkapi. (4) Surat tanda register implementor SMPI sebagaimana dimaksud pada ayat (2) berlaku untuk jangka waktu 5 (lima) tahun. (5) Implementor yang telah memperoleh surat tanda register implementor SMPI sebagaimana dimaksud pada ayat (2) dicantumkan dalam daftar implementor SMPI. (6) Format surat tanda register implementor SMPI sebagaimana dimaksud pada ayat (2) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 23

(1) Surat tanda register implementor SMPI sebagaimana dimaksud dalam Pasal 22 dinyatakan tidak berlaku apabila: a. implementor SMPI meninggal dunia; b. surat tanda register implementor SMPI habis masa berlaku; atau c. implementor SMPI melanggar ketentuan peraturan perundang-undangan. (2) Implementor yang surat tanda register implementor SMPI-nya tidak berlaku sebagaimana dimaksud pada ayat (1) dihapus dari daftar implementor SMPI.

Article 24

Dalam hal surat tanda register implementor SMPI habis masa berlaku, implementor mengajukan permohonan kembali dengan menyampaikan dokumen sesuai dengan ketentuan dalam Pasal 21 ayat (2).

Article 25

(1) Lembaga konsultan menugaskan tim implementor untuk membantu penerapan SMPI terhadap Penyelenggara Sistem Elektronik. (2) Tim implementor sebagaimana dimaksud pada ayat (1) melaporkan hasil penerapan SMPI pada lembaga konsultan yang menugaskan.

BAB Keempat

Penerbitan Sertifikat, Pelaporan Sertifikasi, dan Pencabutan Sertifikat SMPI

Article 26

Correction

Sertifikasi SMPI dilakukan oleh Lembaga Sertifikasi yang diakui oleh BSSN.

Article 27

Correction

Ketentuan mengenai pengakuan Lembaga Sertifikasi sebagaimana dimaksud dalam Pasal 26 sesuai dengan ketentuan peraturan perundang-undangan.

Article 28

(1) Sertifikat SMPI diterbitkan oleh Lembaga Sertifikasi. (2) Sertifikat SMPI sebagaimana dimaksud pada ayat (1) berlaku paling lama 3 (tiga) tahun sejak tanggal diterbitkan. (3) Sertifikat SMPI harus diperbaharui oleh Penyelenggara Sistem Elektronik paling lambat 3 (tiga) bulan sebelum masa berlakunya berakhir.

Article 29

Sertifikasi SMPI harus dilakukan sesuai dengan proses Penyelenggaraan Sistem Elektronik dengan memperhatikan kategori Sistem Elektronik sebagaimana dimaksud dalam Pasal 6.

Article 30

(1) Lembaga Sertifikasi menugaskan tim ArKI untuk melakukan audit SMPI terhadap Penyelenggara Sistem Elektronik. (2) Tim ArKI sebagaimana dimaksud pada ayat (1) melaporkan hasil audit pada Lembaga Sertifikasi yang menugaskan. (3) Lembaga Sertifikasi mengkaji hasil audit yang dilaporkan oleh tim ArKI. (4) Lembaga Sertifikasi menerbitkan Sertifikat SMPI bagi Penyelenggara Sistem Elektronik yang telah memenuhi standar sebagaimana dimaksud dalam Pasal 9.

Article 31

(1) Lembaga Sertifikasi wajib menyampaikan laporan hasil sertifikasi SMPI secara periodik paling sedikit 2 (dua) kali dalam 1 (satu) tahun kepada Kepala BSSN. (2) Laporan sebagaimana dimaksud pada ayat (1) paling sedikit memuat: a. data Penyelenggara Sistem Elektronik yang mengajukan sertifikasi; b. data Penyelenggara Sistem Elektronik yang mendapatkan Sertifikat SMPI; c. data Penyelenggara Sistem Elektronik yang dicabut kepemilikan sertifikatnya; d. ringkasan eksekutif yang memuat: 1) kondisi organisasi; 2) struktur organisasi; 3) temuan mayor dan temuan minor; 4) rekomendasi; 5) tindakan perbaikan; dan 6) tindak lanjut audit; e. perubahan daftar tim ArKI; dan f. perubahan daftar tim pengambil keputusan sertifikasi. (3) Format laporan sebagaimana dimaksud pada ayat (2) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Article 32

Lembaga Sertifikasi wajib melaporkan perubahan tim ArKI dan tim pengambil keputusan sertifikasi kepada Kepala BSSN paling lambat 2 (dua) hari kerja sebelum tim ArKI melaksanakan audit Keamanan Informasi.

Article 33

Lembaga Sertifikasi wajib melaksanakan audit pengawasan paling sedikit 1 (satu) kali dalam setahun dan audit khusus apabila terjadi insiden terhadap setiap Sistem Elektronik yang telah tersertifikasi.

Article 34

(1) Jika hasil audit pengawasan sebagaimana dimaksud dalam Pasal 33 tidak memenuhi standar sebagaimana dimaksud dalam Pasal 9, diberikan waktu paling lama 90 (sembilan puluh) hari kalender untuk memenuhi standar tersebut. (2) Jika setelah 90 (sembilan puluh) hari kalender belum terpenuhi, maka Lembaga Sertifikasi dapat mencabut Sertifikat SMPI terkait. (3) Pencabutan sebagaimana dimaksud pada ayat (1) wajib dilaporkan oleh Lembaga Sertifikasi kepada BSSN paling lambat 2 (dua) hari kerja sejak dilakukan pencabutan.

BAB VI

SANKSI

Article 37

Correction

(1) Kepala BSSN memberikan sanksi administratif pada Penyelenggara Sistem Elektronik yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 7 ayat (3), Pasal 9 ayat (1), Pasal 9 ayat (2), dan Pasal 9 ayat (3), Pasal 10, Pasal 11, Pasal 14 ayat (2), dan Pasal 43 ayat (2). (2) Sanksi administratif sebagaimana dimaksud pada ayat (1) yaitu teguran tertulis. (3) Teguran tertulis sebagaimana dimaksud pada ayat (2) diberikan setelah ditemukannya pelanggaran.

Article 38

Pelanggaran terhadap ketentuan sebagaimana dimaksud dalam Pasal 31 ayat (1), Pasal 32, Pasal 33, Pasal 34 ayat (3). dikenai sanksi administratif berupa: a. teguran tertulis; b. pembekuan sertifikat pengakuan Lembaga Sertifikasi; atau c. pencabutan sertifikat pengakuan Lembaga Sertifikasi.

Article 39

(1) Teguran tertulis sebagaimana dimaksud dalam Pasal 38 huruf a diberikan dalam bentuk surat yang memuat: a. rincian pelanggaran; b. kewajiban untuk melaksanakan perbaikan; dan c. tindakan pengenaan sanksi berikutnya yang akan diberikan. (2) Teguran tertulis sebagaimana dimaksud pada ayat (1) diberikan 1 (satu) kali. (3) Teguran tertulis sebagaimana dimaksud pada ayat (1) harus ditindaklanjuti paling lama 15 (lima belas) hari kerja sejak teguran tertulis diterbitkan. (4) Teguran tertulis sebagaimana dimaksud pada ayat (3) diterbitkan oleh Badan Siber dan Sandi Negara.

Article 40

(1) Pembekuan sertifikat pengakuan Lembaga Sertifikasi sebagaimana dimaksud dalam Pasal 38 huruf b diberikan dalam bentuk surat kepada Lembaga Sertifikasi yang tidak mengindahkan teguran tertulis sebagaimana dimaksud dalam Pasal 39 ayat (3). (2) Pembekuan sebagaimana dimaksud pada ayat (1) diberikan untuk jangka waktu 15 (lima belas) hari kerja. (3) Pembekuan sebagaimana dimaksud pada ayat (2) diterbitkan oleh Badan Siber dan Sandi Negara.

Article 41

(1) Pembekuan sertifikat pengakuan Lembaga Sertifikasi sebagaimana dimaksud dalam Pasal 40 dicabut apabila Lembaga Sertifikasi mengindahkan teguran tertulis dalam jangka waktu sebagaimana dimaksud dalam Pasal 39 ayat (3). (2) Pencabutan pembekuan sebagaimana dimaksud pada ayat (1) dinyatakan dalam bentuk surat yang diterbitkan oleh Badan Siber dan Sandi Negara.

Article 42

(1) Pencabutan sertifikat pengakuan Lembaga Sertifikasi sebagaimana dimaksud dalam Pasal 38 huruf c diberikan kepada Lembaga Sertifikasi SMPI yang tidak melakukan perbaikan sampai dengan berakhirnya jangka waktu pembekuan sebagaimana dimaksud dalam Pasal 40 ayat (2). (2) Pencabutan sertifikat pengakuan Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) dilaksanakan dengan cara menerbitkan keputusan pencabutan sertifikat pengakuan Lembaga Sertifikasi. (3) Keputusan pencabutan sertifikat pengakuan Lembaga Sertifikasi sebagaimana dimaksud pada ayat (2) ditetapkan oleh Kepala Badan Siber dan Sandi Negara.

Peraturan Badan Nomor 8 Tahun 2020 tentang SISTEM PENGAMANAN DALAM PENYELENGGARAAN SISTEM ELEKTRONIK

BAB I

Article 1

BAB I

Article 1

Article 2

Article 3

BAB II

Article 4

Article 5

BAB III

Article 6

Article 7

Article 8

BAB IV

Article 9

Article 10

Article 11

Article 12

Article 13

Article 14

Article 15

Article 16

Article 17

Article 18

Article 19

Article 20

Article 21

Article 22

Article 23

Article 24

Article 25

Article 26

Article 27

Article 28

Article 29

Article 30

Article 31

Article 32

Article 33

Article 34

BAB Kesatu

Article 9

Article 10

Article 11

BAB Kedua

Article 12

BAB Ketiga

Article 13

Article 14

Article 15

Article 16

Article 17

Article 18

Article 19

Article 20

Article 21

Article 22

Article 23

Article 24

Article 25

BAB Keempat

Article 26

Article 27

Article 28

Article 29

Article 30

Article 31

Article 32

Article 33

Article 34

BAB V

Article 35

Article 36

BAB VI

Article 37

Article 38

Article 39

Article 40

Article 41