Audit Keamanan SPBE Internal
(1) Audit Keamanan SPBE internal sebagaimana dimaksud dalam Pasal 24 huruf a dilaksanakan untuk kebutuhan internal Instansi Pusat atau Pemerintah Daerah.
(2) Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (1) dilaksanakan dengan tahapan:
a. perencanaan;
b. pelaksanaan;
c. pelaporan; dan
d. pemantauan tindak lanjut.
(3) Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (1) dilaksanakan secara periodik oleh auditor pada unit kerja Instansi Pusat atau Pemerintah Daerah yang melaksanakan tugas dan fungsi di bidang pengawasan intern.
(4) Unit kerja Instansi Pusat atau Pemerintah Daerah yang melaksanakan tugas dan fungsi di bidang pengawasan
intern sebagaimana dimaksud pada ayat (2) dapat melibatkan pegawai aparatur sipil negara dari unit kerja lain yang memiliki kompetensi:
a. Audit TIK; dan/atau
b. audit keamanan informasi.
(5) Kompetensi Audit sebagaimana dimaksud pada ayat (3) dibuktikan dengan sertifikat pelatihan Audit TIK dan/atau audit keamanan informasi.
(6) Pelatihan audit sebagaimana dimaksud pada ayat (4) diselenggarakan oleh Badan atau lembaga pelatihan lain yang mendapat pengakuan dari Badan.
(1) Audit Keamanan SPBE internal sebagaimana dimaksud dalam Pasal 25 mengacu pada kebijakan Instansi Pusat atau Pemerintah Daerah dengan objek dan kriteria Audit Keamanan SPBE yang sesuai dengan yang diatur dalam Peraturan Badan ini.
(2) Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (1) dilaksanakan sebelum pelaksanaan Audit Keamanan SPBE oleh LATIK pemerintah atau LATIK Terakreditasi yang terdaftar.
(3) Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (2) tidak menghilangkan kewajiban Audit Keamanan SPBE oleh LATIK pemerintah atau LATIK Terakreditasi yang terdaftar.
Audit Keamanan SPBE internal sebagaimana dimaksud dalam Pasal 26 dilaksanakan dengan prosedur:
a. pemahaman kontrol Keamanan SPBE;
b. evaluasi desain kontrol Keamanan SPBE;
c. evaluasi implementasi kontrol Keamanan SPBE; dan
d. evaluasi efektivitas kontrol Keamanan SPBE.
Pemahaman kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 27 huruf a dilakukan melalui identifikasi informasi terdokumentasi untuk memperoleh pemahaman yang memadai tentang kontrol Keamanan SPBE terhadap lingkup Audit Keamanan SPBE.
(1) Evaluasi desain kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 27 huruf b menghasilkan kesimpulan.
(2) Dalam hal kesimpulan sebagaimana dimaksud pada ayat (1) hasilnya memadai atau perlu peningkatan, tim auditor pada unit kerja Instansi Pusat atau Pemerintah Daerah yang melaksanakan tugas dan fungsi di bidang pengawasan intern melakukan:
a. prosedur evaluasi implementasi kontrol Keamanan SPBE dengan cakupan uji petik yang cukup; dan
b. evaluasi efektivitas kontrol Keamanan SPBE.
(3) Dalam hal kesimpulan sebagaimana dimaksud pada ayat (1) hasilnya tidak memadai, tim auditor pada unit kerja Instansi Pusat atau Pemerintah Daerah yang melaksanakan tugas dan fungsi di bidang pengawasan intern melakukan prosedur evaluasi efektivitas kontrol Keamanan SPBE.
(1) Evaluasi implementasi kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 27 huruf c menghasilkan kesimpulan.
(2) Dalam hal kesimpulan sebagaimana dimaksud pada ayat
(1) hasilnya sesuai dengan desain kontrol, tim auditor pada unit kerja Instansi Pusat atau Pemerintah Daerah yang melaksanakan tugas dan fungsi di bidang pengawasan intern melakukan prosedur evaluasi efektivitas kontrol Keamanan SPBE dengan cakupan uji petik yang cukup.
(3) Dalam hal kesimpulan sebagaimana dimaksud pada ayat
(1) hasilnya tidak sesuai dengan desain kontrol Keamanan SPBE, tim auditor pada unit kerja Instansi Pusat atau Pemerintah Daerah yang melaksanakan tugas dan fungsi di bidang pengawasan intern melakukan:
a. penambahan cakupan uji petik dalam evaluasi implementasi kontrol Keamanan SPBE; dan
b. prosedur evaluasi efektivitas kontrol Keamanan SPBE dengan cakupan uji petik yang ekstensif.
Evaluasi efektivitas kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 27 huruf d menghasilkan kesimpulan.
(1) Kesimpulan sebagaimana dimaksud dalam Pasal 29 ayat
(1), Pasal 30 ayat (1), dan Pasal 31 dapat digunakan untuk menentukan konklusi Audit Keamanan SPBE internal.
(2) Konklusi Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (1) mendapatkan hasil memadai jika:
a. hasil evaluasi desain kontrol memadai, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol efektif atau perlu peningkatan; atau
b. hasil evaluasi desain kontrol perlu peningkatan, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol efektif.
(3) Konklusi Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (1) mendapatkan hasil perlu peningkatan jika:
a. hasil evaluasi desain kontrol memadai, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol belum efektif;
b. hasil evaluasi desain kontrol memadai, hasil evaluasi implementasi kontrol tidak sesuai dengan desain
kontrol, dan hasil evaluasi efektivitas kontrol efektif;
atau
c. hasil evaluasi desain kontrol perlu peningkatan, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol perlu peningkatan.
(4) Konklusi Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (1) mendapatkan hasil tidak memadai jika hasil kesimpulan tidak memenuhi ketentuan sebagaimana dimaksud pada ayat (2) dan ayat
(3).
(1) Audit Keamanan SPBE internal sebagaimana dimaksud dalam Pasal 25 harus dituangkan dalam Peta Rencana SPBE pada Instansi Pusat dan Pemerintah Daerah.
(2) Audit Keamanan SPBE internal sebagaimana dimaksud pada ayat (1) disusun dengan memperhatikan:
a. Aplikasi SPBE dan/atau Infrastruktur SPBE yang dimiliki Instansi Pusat dan Pemerintah Daerah;
b. risiko pada Aplikasi SPBE dan/atau Infrastruktur SPBE;
c. kategori Sistem Elektronik;
d. tingkat vitalitas Sistem Elektronik; dan/atau
e. Audit Keamanan SPBE yang sudah dilaksanakan sebelumnya.
Audit Keamanan SPBE oleh LATIK Terakreditasi yang terdaftar sebagaimana dimaksud dalam Pasal 24 huruf b dilakukan dengan tahapan:
a. penunjukan;
b. penugasan;
c. perencanaan; dan
d. pelaksanaan.
(1) Penunjukan sebagaimana dimaksud dalam Pasal 34 huruf a dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan mengenai pengadaan barang dan/atau jasa pemerintah.
(2) Dalam melakukan penunjukan sebagaimana dimaksud pada ayat (1), Instansi Pusat atau Pemerintah Daerah harus menyediakan dokumen mengenai:
a. lingkup Audit Keamanan SPBE; dan
b. ringkasan hasil Audit Keamanan SPBE internal dengan objek Audit Keamanan SPBE yang sama paling lama 2 (dua) tahun sebelumnya.
(1) Penugasan sebagaimana dimaksud dalam Pasal 34 huruf b diberikan oleh pimpinan LATIK Terakreditasi yang terdaftar kepada tim auditor Keamanan SPBE.
(2) Tim auditor Keamanan SPBE sebagaimana dimaksud pada ayat (1) beranggotakan auditor Keamanan SPBE yang telah teregistrasi pada Badan.
(3) Tim auditor Keamanan SPBE sebagaimana dimaksud pada ayat (2) bertindak sebagai:
a. pengendali mutu;
b. pengendali teknis;
c. ketua tim; dan
d. anggota tim.
(4) Pengendali mutu sebagaimana dimaksud pada ayat (3) huruf a bertugas memastikan pelaksanaan Audit Keamanan SPBE telah sesuai dengan kebijakan dan prosedur Audit Keamanan SPBE yang dimiliki oleh LATIK Terakreditasi yang terdaftar.
(5) Pengendali teknis sebagaimana dimaksud pada ayat (3) huruf b bertugas memastikan pelaksanaan Audit Keamanan SPBE telah memadai secara teknis sesuai dengan lingkup Audit Keamanan SPBE.
(6) Ketua tim sebagaimana dimaksud pada ayat (3) huruf c bertugas memimpin pelaksanaan Audit Keamanan SPBE.
(7) Anggota tim sebagaimana dimaksud pada ayat (3) huruf d bertugas melaksanakan prosedur Audit Keamanan SPBE.
(1) Penugasan sebagaimana dimaksud dalam Pasal 36 dilaksanakan berdasarkan surat tugas tim auditor Keamanan SPBE.
(2) Surat tugas tim auditor Keamanan SPBE sebagaimana dimaksud pada ayat (1) paling sedikit memuat:
a. nama auditor Keamanan SPBE;
b. jabatan dalam tim auditor Keamanan SPBE;
c. nama Instansi Pusat atau Pemerintah Daerah yang diaudit; dan
d. lingkup Audit Keamanan SPBE.
(3) Tim auditor Keamanan SPBE sebagaimana dimaksud pada ayat (1) harus memiliki kompetensi Audit Keamanan SPBE yang dapat dipenuhi secara kolektif.
(1) Perencanaan sebagaimana dimaksud dalam Pasal 34 huruf c dilakukan oleh tim auditor Keamanan SPBE.
(2) Perencanaan sebagaimana dimaksud pada ayat (1) paling sedikit memuat:
a. lingkup Audit Keamanan SPBE;
b. analisis risiko Keamanan SPBE;
c. kriteria Audit Keamanan SPBE; dan
d. rencana pengujian Audit Keamanan SPBE.
(3) Lingkup Audit Keamanan SPBE sebagaimana dimaksud pada ayat (2) huruf a merupakan hasil kesepakatan
dengan klien Audit Keamanan SPBE terkait objek, organisasi, lokasi geografis, dan periode Audit Keamanan SPBE.
(4) Analisis risiko keamanan SPBE sebagaimana dimaksud pada ayat (2) huruf b merupakan proses identifikasi dan evaluasi risiko Keamanan SPBE yang relevan dengan lingkup Audit Keamanan SPBE.
(5) Kriteria Audit Keamanan SPBE sebagaimana dimaksud pada ayat (2) huruf c merupakan identifikasi dan pemetaan kriteria kontrol Keamanan SPBE yang sesuai dengan lingkup Audit Keamanan SPBE.
(6) Rencana pengujian Audit Keamanan SPBE sebagaimana dimaksud pada ayat (2) huruf d berisikan rencana prosedur pengujian yang harus dilakukan Auditor Keamanan Informasi atas kontrol Keamanan SPBE termasuk alokasi waktu, personel, dan alat bantu Audit Keamanan SPBE.
Pelaksanaan sebagaimana dimaksud dalam Pasal 34 huruf d terdiri atas prosedur:
a. pemahaman kontrol Keamanan SPBE;
b. evaluasi desain kontrol Keamanan SPBE;
c. evaluasi implementasi kontrol Keamanan SPBE; dan
d. evaluasi efektivitas kontrol Keamanan SPBE.
Pemahaman kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 39 huruf a dilakukan melalui identifikasi informasi terdokumentasi untuk memperoleh pemahaman yang memadai tentang kontrol Keamanan SPBE terhadap lingkup Audit Keamanan SPBE.
(1) Evaluasi desain kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 39 huruf b menghasilkan kesimpulan.
(2) Dalam hal kesimpulan sebagaimana dimaksud pada ayat (1) hasilnya memadai atau perlu peningkatan, tim auditor Keamanan SPBE melakukan:
a. prosedur evaluasi implementasi kontrol Keamanan SPBE dengan cakupan uji petik yang cukup; dan
b. evaluasi efektivitas kontrol Keamanan SPBE.
(3) Dalam hal kesimpulan sebagaimana dimaksud pada ayat (1) hasilnya tidak memadai, tim auditor Keamanan SPBE melakukan prosedur evaluasi efektivitas kontrol Keamanan SPBE.
(1) Evaluasi implementasi kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 39 huruf c menghasilkan kesimpulan.
(2) Dalam hal kesimpulan sebagaimana dimaksud pada ayat
(1) hasilnya sesuai dengan desain kontrol, tim auditor Keamanan SPBE melakukan prosedur evaluasi efektivitas
kontrol Keamanan SPBE dengan cakupan uji petik yang cukup.
(3) Dalam hal kesimpulan sebagaimana dimaksud pada ayat
(1) hasilnya tidak sesuai dengan desain kontrol Keamanan SPBE, tim auditor Keamanan SPBE melakukan:
a. penambahan cakupan uji petik dalam evaluasi implementasi kontrol Keamanan SPBE; dan
b. prosedur evaluasi efektivitas kontrol Keamanan SPBE dengan cakupan uji petik yang ekstensif.
Evaluasi efektivitas kontrol Keamanan SPBE sebagaimana dimaksud dalam Pasal 39 huruf d menghasilkan kesimpulan.
(1) Kesimpulan sebagaimana dimaksud dalam Pasal 41 ayat
(1), Pasal 42 ayat (1), dan Pasal 43 digunakan untuk menentukan konklusi Audit Keamanan SPBE.
(2) Konklusi Audit Keamanan SPBE sebagaimana dimaksud pada ayat (1) mendapatkan hasil memadai jika:
a. hasil evaluasi desain kontrol memadai, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol efektif atau perlu peningkatan; atau
b. hasil evaluasi desain kontrol perlu peningkatan, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol efektif.
(3) Konklusi Audit Keamanan SPBE sebagaimana dimaksud pada ayat (1) mendapatkan hasil perlu peningkatan jika:
a. hasil evaluasi desain kontrol memadai, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol belum efektif;
b. hasil evaluasi desain kontrol memadai, hasil evaluasi implementasi kontrol tidak sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol efektif;
atau
c. hasil evaluasi desain kontrol perlu peningkatan, hasil evaluasi implementasi kontrol sesuai dengan desain kontrol, dan hasil evaluasi efektivitas kontrol perlu peningkatan.
(5) Konklusi Audit Keamanan SPBE sebagaimana dimaksud pada ayat (1) mendapatkan hasil tidak memadai jika hasil kesimpulan tidak memenuhi ketentuan sebagaimana dimaksud pada ayat (2) dan ayat (3).
LATIK Terakreditasi yang terdaftar harus menerbitkan surat keterangan untuk setiap Audit Keamanan SPBE yang dilaksanakannya sesuai dengan ketentuan peraturan perundang-undangan.
Ketentuan mengenai pelaksanaan Audit Keamanan SPBE oleh LATIK Terakreditasi yang terdaftar sebagaimana dimaksud dalam Pasal 34 sampai dengan Pasal 45 berlaku secara mutatis mutandis terhadap pelaksanaan Audit Keamanan SPBE oleh LATIK pemerintah yang dilaksanakan terhadap Aplikasi Khusus dan/atau Infrastruktur Instansi Pusat dan Pemerintah Daerah jika LATIK Terakreditasi yang terdaftar belum ada.