Peraturan Kepala Lembaga ini mulai berlaku pada tanggal diundangkan.
Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Kepala Lembaga ini dengan penempatannya dalam Berita Negara Republik INDONESIA.
Ditetapkan di Jakarta pada tanggal 28 April 2017
KEPALA LEMBAGA SANDI NEGARA,
ttd
DJOKO SETIADI
Diundangkan di Jakarta pada tanggal 30 Mei 2017
DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,
ttd
WIDODO EKATJAHJANA
LAMPIRAN PERATURAN KEPALA LEMBAGA SANDI NEGARA NOMOR 7 TAHUN 2017 TENTANG PEDOMAN PENYELENGGARAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI DI LINGKUNGAN PEMERINTAHAN DAERAH PROVINSI DAN KABUPATEN/KOTA
TATA CARA PENYELENGGARAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI DI LINGKUNGAN PEMERINTAHAN DAERAH PROVINSI DAN KABUPATEN/KOTA
A.
Penyediaan Analisis Kebutuhan Persandian untuk Pengamanan Informasi Analisis kebutuhan penyelenggaraan persandian merupakan proses yang berkelanjutan untuk mengidentifikasi kebutuhan penyelenggaraan persandian guna menjamin keamanan informasi di Pemerintah Daerah.
Kegiatan analisis kebutuhan penyelenggaraan persandian, meliputi:
1. Identifikasi pola hubungan komunikasi yang digunakan oleh Pemerintah Daerah, diantaranya meliputi:
a) Mengidentifikasi pola hubungan komunikasi pejabat/pimpinan di Pemerintah Daerah yang sedang dilaksanakan b) Mengidentifikasi alur informasi yang dikomunikasikan antar Perangkat Daerah c) Mengidentifikasi sarana dan prasarana teknologi informasi dan komunikasi yang digunakan oleh pejabat/pimpinan di Pemerintah Daerah
2. Analisis pola hubungan komunikasi sandi yang diperlukan berdasarkan hasil identifikasi pola hubungan komunikasi yang sudah ada (poin a di atas), meliputi:
a) Mengidentifikasi pengelola layanan penyelenggaraan persandian Identifikasi pengelola yaitu kegiatan untuk mengidentifikasi personil dan kompetensi yang dibutuhkan dalam menyelenggarakan kegiatan persandian.
b) Mengidentifikasi Sarana dan Prasarana
1) Materiil Sandi dan Jaring Komunikasi Sandi
(1) Materiil Sandi Identifikasi Materiil Sandi meliputi identifikasi terhadap kebutuhan peralatan sandi dan kunci sistem sandi yang didasarkan pada kondisi infrastuktur, jenis komunikasi, dan hierarki komunikasinya.
(2) Jaring Komunikasi Sandi (JKS) Identifikasi JKS meliputi identifikasi terhadap:
(a) Perangkat Daerah yang akan terhubung dalam JKS termasuk didalamnya unit kerja dalam Perangkat Daerah yang akan mengoperasikan peralatan sandi.
(b) Pejabat Pemerintah Daerah yang akan terhubung dalam JKS termasuk didalamnya penentuan hierarki komunikasi.
(c) Infrastruktur komunikasi yang ada di wilayah Pemerintah Daerah dan di lingkungan kantor Perangkat Daerah 2) Alat Pendukung Utama (APU) Persandian Identifikasi APU Persandian meliputi identifikasi kebutuhan terhadap perangkat yang mendukung penyelenggaran persandian.
3) Tempat Kegiatan Sandi
Identifikasi Tempat Kegiatan Sandi (TKS) meliputi identifikasi kebutuhan pengamanan terhadap tempat yang digunakan untuk operasional persandian sesuai dengan jenis komunikasinya.
4) Sarana Penunjang Identifikasi Sarana Penunjang meliputi identifikasi kebutuhan terhadap peralatan yang mendukung dalam kegiatan penyelenggaraan persandian, meliputi alat tulis kantor dan sarana pengolah data.
c) Identifikasi pembiayaan Identifikasi pembiayaan meliputi identifikasi anggaran yang dibutuhkan oleh penyelenggara persandian di Pemerintah Daerah dalam periode waktu satu tahun anggaran.
3. Mengkoordinasikan hasil identifikasi dan analisis pola hubungan komunikasi sandi tersebut secara berjenjang mulai dari kab/kota ke provinsi sampai ke Lembaga Sandi Negara untuk melihat dan menjamin keterhubungan (interkoneksitas) secara vertikal.
4. MENETAPKAN hasil identifikasi dan analisis pola hubungan komunikasi sandi melalui keputusan Kepala Daerah, yang berisi entitas yang terhubung maupun yang tidak terhubung dalam pola hubungan komunikasi tersebut, serta tugas dan tanggung jawab masing-masing entitas terhadap fasilitas dan layanan yang diberikan.
B.
Penyediaan kebijakan penyelenggaraan persandian untuk pengamanan informasi Kebijakan penyelenggaraan persandian dimaksud adalah aturan-aturan yang digunakan sebagai dasar dan acuan dalam penyelenggaraan persandian untuk pengamanan informasi di Pemerintah Daerah.
1. Kebijakan Penyelenggaraan persandian untuk pengamanan informasi di Pemerintah Daerah meliputi:
a) Kebijakan tata kelola persandian, tentang keseluruhan aspek tata kelola persandian di pemerintah daerah sebagai kerangka kerja utama dalam penyelenggaraan persandian, yang meliputi kewenangan, kedudukan, fungsi dan layanan unit kerja persandian di daerah. Antara lain:
1) Pengelolaan dan perlindungan informasi di Pemerintah Daerah;
2) Tata cara klasifikasi tingkat kerahasiaan informasi;
3) Pengendalian akses terhadap informasi;
4) Pengamanan jaringan komunikasi sandi;
5) dst.
b) Kebijakan operasional pengamanan persandian, diantaranya:
1) Pengamanan jaringan komunikasi sandi;
2) Penanganan gangguan layanan persandian;
3) Pengelolaan password bagi pengguna layanan persandian;
4) pengamanan perangkat dan fasilitas pengolahan data dan informasi;
5) tindakan penanggulangan pengamanan informasi pasca bencana;
6) pelaksanaan Kontra Penginderaan dan jamming;
7) dst.
c) Pengelolaan Sumber Daya Persandian, yang merupakan kebijakan pengaturan pengelolaan Sumber Daya Manusia (SDM), Sarana dan Prasarana Persandian, diantaranya ;
1) Pengendalian akses terhadap Materiil Sandi dan Jaring Komunikasi Sandi;
2) Pemeliharaan dan perbaikan umum Materiil Sandi;
3) Penyediaan Materil Sandi dan Jaringan Komunikasi Sandi;
4) Penggunaan Materiil Sandi;
5) Pemenuhan kompetensi SDM.
d) Pengawasan dan evaluasi penyelenggaraan persandian merupakan kebijakan pengawasan dan evaluasi pemanfaatan layanan persandian di Perangkat Daerah sebagai bagian pengukuran kinerja unit kerja persandian di pemerintah daerah.
2. Kebijakan penyelenggaraan persandian pada poin a diatas dapat berupa Peraturan Daerah, Peraturan Kepala Daerah, Peraturan Kepala Dinas, Pedoman, Petunjuk Pelaksanaan, Petunjuk Teknis, atau Standard Operational Procedure (SOP);
3. Penyediaan kebijakan penyelenggaraan persandian untuk pengamanan informasi di Pemerintah Daerah memperhatikan hal-hal sebagai berikut:
a) Perumusan kebijakan penyelenggaraan persandian untuk pengamanan informasi milik Pemerintah Daerah mengacu pada peraturan perundang-undangan yang berlaku;
b) Perumusan kebijakan penyelenggaraan persandian di Pemerintah Daerah harus dapat mendorong terciptanya budaya pengamanan informasi.
c) Perumusan kebijakan penyelenggaraan persandian di pemerintah daerah dilakukan dengan memperhatikan hasil analisis kebutuhan kebijakan dan inovasi Pemerintah daerah.
d) Dalam melakukan perumusan kebijakan, dapat dilakukan melalui koordinasi maupun konsultasi kepada Lembaga Sandi Negara.
C.
Pengelolaan dan perlindungan informasi Pengelolaan dan perlindungan informasi di Pemerintah Daerah meliputi hal-hal sebagai berikut:
1. Fasilitasi penentuan tingkat kerahasiaan informasi berklasifikasi di Perangkat Daerah lingkup provinsi dan kabupaten/kota. Pelaksanaan fasilitasi mengacu pada ketentuan yang diatur dalam Peraturan Kepala Lembaga Sandi Negara.
2. Pengelolaan dan perlindungan informasi publik yang dikecualikan/informasi berklasifikasi di Pemerintah Daerah, a) Pengelolaan informasi publik yang dikecualikan/informasi berklasifikasi meliputi pembuatan, pemberian label, pengiriman, penyimpanan.
1) Pembuatan informasi publik yang dikecualikan/informasi berklasifikasi memperhatikan hal-hal sebagai berikut:
(1) Pembuatan informasi publik yang dikecualikan/informasi berklasifikasi dilakukan oleh Pemilik Informasi atau Pengelola Informasi, dengan menggunakan sarana dan prasarana yang aman.
Kriteria aman meliputi aman secara fisik, aman secara administrasi, dan aman secara lojik (logical security).
(2) Perangkat atau peralatan yang digunakan untuk membuat dan/atau mengkomunikasikan informasi publik yang dikecualikan/informasi berklasifikasi harus milik dinas dan hanya dimanfaatkan untuk kepentingan dinas.
Contoh:
Komputer/laptop/alat komunikasi milik dinas tidak digunakan untuk kepentingan pribadi.
(3) Konsep informasi publik yang dikecualikan/informasi berklasifikasi tidak boleh disimpan dan harus dihancurkan secara fisik maupun lojik (logical security).
Contoh: Apabila dokumen/surat resmi sudah selesai dibuat maka konsep surat/dokumen tersebut dihancurkan.
Untuk hardcopy bisa dihancurkan dengan paper shredder, untuk softcopy menggunakan software file shredder yang direkomendasikan oleh Lemsaneg.
(4) Dokumen elektronik yang berisi informasi publik yang dikecualikan/informasi berklasifikasi yang sudah disahkan disimpan dalam bentuk yang tidak dapat diubah/dimodifikasi (read only). Contoh: Dokumen
elekronik diubah menjadi berbentuk file .pdf dan diberikan watermark.
(5) Penggandaan dan/atau perubahan informasi publik yang dikecualikan/informasi berklasifikasi dilakukan harus dengan ijin dari Pemilik Informasi atau Pengelola Informasi.
2) Pemberian label klasifikasi pada informasi publik yang dikecualikan/informasi berklasifikasi harus sesuai dengan tingkat kerahasiaan informasinya, serta bergantung pada bentuk dan media penyimpanannya.
3) Pengiriman informasi publik yang dikecualikan/informasi berklasifikasi
(1) Pengiriman dokumen elektronik yang berisi informasi publik yang dikecualikan/informasi berklasifikasi menggunakan teknik kriptografi dan melalui saluran komunikasi yang aman.
(2) Pengiriman dokumen cetak yang berisi informasi publik yang dikecualikan/informasi berklasifikasi dilakukan dengan memasukkannya ke dalam dua amplop.
(a) Amplop pertama dibubuhi alamat lengkap, nomor, cap dinas, dan cap yang sesuai dengan klasifikasi dan derajat kecepatan (kilat, sangat segera, segera, dan biasa).
(b) Selanjutnya amplop pertama dimasukkan ke dalam amplop kedua dengan tanda-tanda yang sama kecuali cap klasifikasi.
4) Penyimpanan informasi publik yang dikecualikan/informasi berklasifikasi berupa dokumen elektronik dan dokumen cetak memperhatikan ketentuan yang telah diatur dalam Peraturan Kepala Lembaga Sandi Negara.
b) Perlindungan informasi publik yang dikecualikan/informasi berklasifikasi meliputi:
1) Perlindungan fisik dilakukan melalui kendali akses ruang, pemasangan teralis dan kunci ganda, pemasangan CCTV.
2) Perlindungan administrasi Pelaksanaan perlindungan administrasi dilakukan dengan berpedoman pada kebijakan, standar, dan prosedur
operasional pengamanan informasi publik yang dikecualikan/informasi berklasifikasi.
3) Perlindungan lojik (logical security)
(1) Perlindungan lojik (logical security) menggunakan teknik kriptografi dan steganografi untuk memenuhi aspek: kerahasiaan, keutuhan, otentikasi, dan nir penyangkalan. Contoh:
Penggunaan aplikasi enkripsi pada master naskah soal ujian CPNS Nasional untuk menjamin kerahasiaan naskah soal tersebut.
Penggunaan sertifikat digital pada dokumen elektronik yang memuat informasi publik yang dikecualikan/ informasi berklasifikasi untuk menjamin kerahasiaan, keutuhan, otentikasi, dan nir penyangkalan.
(2) Perlindungan lojik (logical security) yang menggunakan teknik kriptografi dan steganografi harus memenuhi standar dan direkomendasikan oleh Lembaga Sandi Negara.
(3) Rincian Pengelolaan dan perlindungan informasi berklasifikasi di Pemerintah Daerah mengacu pada ketentuan yang diatur dalam peraturan Kepala Lembaga Sandi Negara.
3. Pengelolaan dan perlindungan informasi terbuka di Pemerintah Daerah.
a) Pengelolaan dan perlindungan informasi terbuka meliputi:
1) Fasilitasi pengiriman informasi terbuka melalui jaringan yang aman;
Contoh: pengiriman dan penerimaan dokumen elektronik melalui Virtual Private Network (VPN).
2) Fasilitasi perlindungan transaksi elektronik melalui implementasi sertifikat elektronik.
Fasilitasi implementasi sertifikat elektronik bertujuan untuk menjamin keutuhan, otentikasi dan nir penyangkalan dokumen elektronik tersebut. Tahap fasilitasi implementasi sertifikat elektronik tersebut dilakukan melalui :
(1) Pelaksaan verifikasi identitas & berkas untuk
Pendaftaran, Pembaruan dan Pencabutan Sertifikat Elektronik (a) Menangani verifikasi identitas berdasarkan Identitas Resmi, Keanggotaan pada Instansi, Rekomendasi dari Instansi (b) Menyetujui/menolak permintaan Pendaftaran sertifikat elektronik (c) Menindaklanjuti permintaan sertifikat elektronik kepada Balai Sertifikat Elektronik Lembaga Sandi Negara (d) Menyampaikan sertifikat elektronik kepada pemohon (e) Melakukan pengarsipan berkas Pendaftaran sertifikat elektronik (hardcopy & softcopy)
(2) Fasilitasi kegiatan sosialisasi dan bimbingan teknis terkait sertifikat elektronik.
Pemerintah daerah dapat melakukan kegiatan fasilitasi implementasi sertifikat elektronik disesuaikan dengan kemampuannya.
b) Pengelolaan dan perlindungan terhadap informasi terbuka di Pemerintah Daerah mengacu pada ketentuan yang ada.
4. Penyelenggaraan Jaring Komunikasi Sandi (JKS) untuk pengamanan informasi berklasifikasi di Pemerintah Daerah. Penyelenggaraan JKS mengacu pada ketentuan yang diatur dalam Peraturan Kepala Lembaga Sandi Negara.
D.
Pengelolaan Sumber Daya Persandian Pengelolaan Sumber Daya Persandian terdiri atas:
1. Pengelolaan Sumber Daya Manusia (SDM)
Pengelolaan SDM meliputi:
a) Perencanaan kebutuhan SDM
Perencanaan kebutuhan SDM yang bertugas di bidang persandian disusun dengan memperhatikan jumlah dan kompetensi yang dibutuhkan. Dalam kegiatan perencanaan ini, unit yang menangani persandian di Pemerintah Daerah dapat menyusun Analisis Beban Kerja (ABK) dan Formasi Jabatan
Fungsional Sandiman serta mengajukan usulan kebutuhan tersebut kepada Badan Kepegawaian Daerah.
b) Pengembangan kompetensi SDM Pengembangan kompetensi SDM yang bertugas di bidang persandian diantaranya melalui Diklat Fungsional Sandiman (Pembentukan dan Penjenjangan), Diklat Teknis Sandi, Bimbingan Teknis/ Asistensi/ Workshop/ Seminar terkait dengan Persandian dan Teknologi Informasi serta bidang ilmu lainnya yang dibutuhkan.
c) Pengajuan Tunjangan Pengamanan Persandian (TPP) sebagai bentuk pemberian kompensasi atas tanggung jawab dalam melaksanakan tugas di bidang penyelenggaraan persandian untuk pengamanan persandian.
d) Pengajuan Tunjangan Jabatan Fungsional Sandiman bagi pegawai yang diangkat dalam Jabatan Fungsional Sandiman.
e) Pengajuan usulan pemberian Tanda Penghargaan Bidang Persandian untuk SDM yang bertugas di bidang persandian yang telah memenuhi syarat kepada Kepala Lembaga Sandi Negara.
2. Pengelolaan Sarana dan Prasarana;
Pengelolaan Sarana dan Prasarana meliputi:
a) Pengelolaan Materiil Sandi dan JKS
Pengelolaan terhadap Materiil Sandi dan JKS meliputi:
1) Pemenuhan terhadap kebutuhan Materiil Sandi yang akan digunakan dalam penyelenggaraan JKS eksternal oleh Pemerintah Daerah difasilitasi oleh Lembaga Sandi Negara dengan mengajukan permohonan kepada Lembaga Sandi Negara sesuai hasil analisis kebutuhan.
2) Pemenuhan terhadap kebutuhan Materiil Sandi yang akan digunakan dalam penyelenggaraan JKS internal di Pemerintah Daerah, meliputi:
(1) Pemerintah Daerah mengadakan Peralatan Sandi secara mandiri dengan syarat bahwa Peralatan Sandi tersebut telah disertifikasi oleh Lembaga Sandi Negara dan sesuai dengan kewenangan pola hubungan komunikasi sandi yang telah ditetapkan. Dalam hal Pemerintah Daerah tidak dapat mengadakan Peralatan Sandi secara mandiri, maka Pemerintah Daerah dapat
mengajukan permohonan Peralatan Sandi kepada Lembaga Sandi Negara.
(2) Pemenuhan kebutuhan Kunci Sistem Sandi sesuai dengan pola hubungan komunikasi sandi yang telah ditetapkan dengan mengkonsultasikan dan mengajukan permohonan ke Lembaga Sandi Negara.
3) Penyimpanan Materiil Sandi (peralatan sandi dan kunci sistem sandi) dengan memperhatikan syarat-syarat keamanan antara lain:
(1) Lokasi penyimpanan Materiil Sandi harus dilengkapi kendali akses untuk mencegah risiko kehilangan, kerusakan, dan manipulasi.
(2) Materiil sandi dilarang digunakan, dipinjam, atau dibawa ke luar ruang kerja atau kantor tanpa ijin dari Penanggung Jawab pengelola Materiil Sandi.
(3) Mekanisme penyimpanan materiil sandi berdasarkan ketentuan yang berlaku.
4) Pendistribusian Materiil Sandi (peralatan sandi dan kunci sistem sandi) ke Perangkat Daerah atau pejabat Pemerintah Daerah dengan memperhatikan ketentuan sebagai berikut:
(1) dilengkapi dengan berita acara penyerahan;
(2) terjamin keamanan dan keutuhannya sehingga terhindar dari kehilangan dan kerusakan;
(3) peralatan sandi dalam keadaan netral atau non aktif (tidak terisi kunci sistem sandi);
5) Penggunaan Materiil Sandi (peralatan sandi dan kunci sistem sandi) dalam operasional persandian dengan memperhatikan hal sebagai berikut:
(1) memastikan bahwa kunci sistem sandi yang digunakan merupakan kunci sistem sandi yang aktif digunakan;
(2) setting parameter peralatan sandi
(3) memastikan peralatan sandi yang terpasang di Perangkat Daerah atau di pejabat Pemerintah Daerah dalam kondisi siap dioperasionalkan.
6) Pemeliharaan peralatan sandi dan APU dilaksanakan dengan melakukan perawatan dan perbaikan (bila ada kerusakan) sesuai dengan kewenangan yang dimiliki oleh
Pemerintah Daerah.
Pelaksanaan pemeliharan dan perbaikan peralatan sandi mengacu pada Peraturan Kepala Lembaga Sandi Negara tentang Pemeliharaan dan Perbaikan Peralatan Sandi dan APU Persandian.
7) Penghapusan Materiil Sandi dilakukan dengan tindakan penghapusan Materiil Sandi dari daftar barang atau penghapusan Materiil Sandi dengan tindak lanjut pemusnahan. Pelaksanaan penghapusan Materiil Sandi (peralatan sandi dan kunci sistem sandi) mengacu pada Peraturan Kepala Lembaga Sandi Negara dan Peraturan Deputi Pengamanan Persandian Lembaga Sandi Negara.
b) Pengelolaan APU Persandian Pengelolaan terhadap APU Persandian meliputi:
1) Pemenuhan Pemerintah Daerah mengadakan APU Persandian secara mandiri dengan wajib meminta rekomendasi dari Lembaga Sandi Negara. Dalam hal Pemerintah Daerah tidak dapat mengadakan APU Persandian secara mandiri, maka Pemerintah Daerah dapat mengajukan permohonan pemanfaatan APU Persandian kepada Lembaga Sandi Negara, dengan mempertimbangkan:
(1) Prioritas kebutuhan pemerintah daerah;
(2) Ketersediaan Sumber Daya Manusia yang memiliki kemampuan dalam pemanfaatan APU Persandian pada Pemerintah Daerah; dan
(3) Kemampuan Lembaga Sandi Negara dalam memenuhi kebutuhan APU Persandian untuk Pemerintah Daerah.
2) Penyimpanan Penyimpanan APU Persandian dengan memperhatikan syarat-syarat keamanan antara lain:
(1) Lokasi penyimpanan APU Persandian harus dilengkapi kendali akses untuk mencegah risiko kehilangan, kerusakan, dan manipulasi.
(2) APU Persandian dilarang digunakan, dipinjam, atau dibawa ke luar ruang kerja atau kantor tanpa ijin dari Penanggung Jawab pengelola Materiil Sandi.
3) Pemeliharaan
Pemeliharaan APU Persandian dilaksanakan dengan melakukan perawatan dan perbaikan (bila ada kerusakan) sesuai dengan kewenangan yang dimiliki oleh Pemerintah Daerah. Ketentuan lebih lanjut mengenai pemeliharan dan perbaikan APU Persandian mengacu ke Peraturan Kepala Lembaga Sandi Negara tentang Pemeliharaan dan Perbaikan Peralatan Sandi dan Alat Pendukung Utama Persandian.
E.
Penyelenggaraan operasional dukungan persandian untuk pengamanan informasi Kegiatan operasional dukungan persandian tersebut merupakan kegiatan operasional yang tidak terkait dengan kriptografi namun mendukung terciptanya keamanan informasi di Pemerintah Daerah, meliputi hal-hal sebagai berikut:
1. Jamming a) Kegiatan jamming dilakukan untuk mencegah terungkapnya informasi berklasifikasi kepada pihak yang tidak berhak selama berlangsungnya rapat terbatas Pimpinan Pemerintah Daerah.
Contohnya: Pengacakan sinyal seluler karena dikhawatirkan ada peserta rapat ataupun alat penyadapan yang dapat menyebarkan infomasi berklasifikasi selama rapat terbatas berlangsung.
b) Selain itu kegiatan jamming juga dapat dilakukan berdasarkan hasil identifikasi kegiatan-kegiatan yang berpotensi untuk timbulnya ancaman dan gangguan terhadap penyalahgunaan sinyal. Contohnya: Pengacakan sinyal seluler selama aksi demonstrasi.
c) Pelaksanaan kegiatan jamming untuk pengamanan informasi di pemerintah daerah mengacu pada ketentuan yang berlaku.
2. Kontra Penginderaan a) Kontra Penginderaan bertujuan untuk mencegah adanya pengawasan dari pihak yang tidak berhak terhadap informasi berklasifikasi yang disampaikan oleh Pimpinan Pemerintah Daerah.
b) Kontra Penginderaan dilakukan terhadap ruangan-ruangan yang digunakan oleh Pimpinan Pemerintah Daerah untuk penyampaian informasi berklasifikasi, contohnya: Ruang Kerja, Ruang Rapat, Rumah Jabatan.
c) Kegiatan Kontra Penginderaan dilakukan melalui pemeriksaan fisik ruangan dengan memperhatikan barang-barang di dalam ruangan yang berpotensi menjadi peralatan surveillance.
Contohnya: lukisan, meja kerja, engsel pintu, saklar listrik.
d) Temuan hasil Kontra Penginderaan berupa barang-barang yang diduga menjadi peralatan surveillance dapat dikonsultasikan ke Lembaga Sandi Negara.
e) Pelaksanaan kegiatan Kontra Penginderaan dilakukan secara berkala.
f) Pelaksanaan kegiatan Kontra Penginderaan untuk pengamanan informasi di pemerintah daerah mengacu pada ketentuan yang berlaku.
3. Pelaksanaan Kegiatan Assessment Keamanan Sistem Informasi a) Kegiatan Assessment Keamanan Sistem Informasi untuk mengukur tingkat kerawanan dan keamanan informasi di Pemerintah Daerah.
b) Kegiatan Assessment Keamanan Sistem Informasi dilakukan dengan melakukan pemeriksaan terhadap ada atau tidaknya celah kerawananan pada Sistem Informasi di Pemerintah Daerah.
c) Pemerintah Daerah melakukan kegiatan Assessment Keamanan Sistem Informasi secara mandiri. Dalam hal Pemerintah Daerah tidak dapat melakukan kegiatan Assessment Keamanan Sistem Informasi secara mandiri, maka Pemerintah Daerah dapat mengajukan permohonan Assessment Keamanan Sistem Informasi kepada Lembaga Sandi Negara.
d) Pelaksanaan Kegiatan Assessment Keamanan Sistem Informasi di pemerintah daerah mengacu pada ketentuan yang berlaku.
4. Penyelenggaraan Security Operation Center (SOC) a) SOC adalah kegiatan pengamanan informasi dengan melakukan proses pengawasan, perlindungan, dan penanggulangan insiden keamanan informasi dengan memperhatikan aspek personil, proses pelaksanaan, dan ketersediaan teknologi.
b) SOC merupakan suatu infrastruktur terpusat dimana di dalamnya terdapat SDM yang bertugas di bidang persandian yang melakukan fungsi SOC seperti mengawasi, melindungi dan menganalisis masalah keamanan informasi untuk melakukan
penaggulangan, dengan menggunakan teknologi pengolahan data.
c) Penyelenggaraan SOC di Pemerintah Daerah bertujuan untuk mencegah dan menanggulangi ancaman keamanan informasi dengan berkolaborasi bersama Network Operation Center (NOC) Pemerintah Daerah yang telah terbangun infrastrukturnya.
d) Penyelenggaraan SOC di Pemerintah Daerah dilakukan secara mandiri namun tetap berkerjasama dengan Lembaga Sandi Negara sebagai instansi pembina dimana infrastruktur SOC pada Pemerintah Daerah dapat terpusat dan terhubung dengan Lembaga Sandi Negara, sehingga kegiatan akan berlangsung responsif.
e) Penyelenggaraan SOC di Pemerintah Daerah mengacu pada ketentuan yang berlaku.
5. Pelaksanaan kegiatan pengamanan informasi lainnya untuk mendukung pengamanan informasi di Pemerintah Daerah.
F.
Pengawasan dan evaluasi penyelenggaraan pengamanan informasi melalui persandian di seluruh perangkat daerah Pengawasan dan evaluasi dimaksudkan untuk memantau perkembangan, mengidentifikasi hambatan, dan upaya perbaikan dalam penyelenggaraan Persandian untuk pengamanan Informasi di Pemerintah Daerah.
1. Pengawasan dan evaluasi dilaksanakan dengan memperhatikan ketentuan umum sebagai berikut:
a) Pengawasan dan evaluasi dilaksanakan dengan menerapkan fungsi pencegahan, penindakan, serta penanggulangan dan pemulihan sesuai dengan peraturan perundang-undangan.
b) Pengawasan dan evaluasi dalam penyelenggaraan Persandian di Pemerintah Daerah dilaksanakan oleh Perangkat Daerah penyelenggara Persandian untuk pengamanan Informasi guna meningkatkan kinerja Persandian.
c) Pengawasan dan evaluasi harus ditindaklanjuti dengan rencana perbaikan sebagai bahan masukan bagi penyusunan kebijakan, program, dan kegiatan penyelenggaraan Persandian tahun berikutnya.
2. Pengawasan dan evaluasi penyelenggaraan Persandian yang dilaksanakan oleh Pemerintah Daerah meliputi:
a) Pengawasan dan evaluasi yang bersifat rutin dan insidentil sebagai berikut:
1) Pemantauan penggunaan Materiil Sandi, aplikasi sandi, dan/atau fasilitas layanan Persandian lainnya di Pemerintah Daerah.
Kegiatan pengawasan dan evaluasi ini dilaksanakan dengan memperhatikan ketentuan sebagai berikut:
(1) Dilakukan terhadap seluruh Materiil Sandi, aplikasi sandi, dan/atau fasilitas layanan Persandian lainnya yang dimanfaatkan oleh pengguna (user) atau Perangkat Daerah.
(2) Dapat dilaksanakan dengan cara melakukan pemantauan langsung di lapangan (on site) dan/atau memanfaatkan teknologi informasi dengan menerapkan sistem pengamanan yang baik dan diaudit secara berkala.
(3) Dilakukan paling sedikit satu kali dalam 3 (tiga) bulan atau sesuai kebutuhan dengan memperhatikan tingkat risiko pemanfaatan Materiil Sandi, aplikasi sandi, dan/atau fasilitas layanan Persandian lainnya.
(4) Hasil kegiatan dapat digunakan sebagai data dukung dalam melakukan evaluasi pemanfaatan layanan Persandian oleh Perangkat Daerah.
2) Melaksanakan kebijakan manajemen risiko penyelenggaraan Persandian di Pemerintah Daerah.
Kegiatan pengawasan dan evaluasi ini dilaksanakan dengan memperhatikan ketentuan sebagai berikut:
(1) Pemerintah Daerah melaksanakan kebijakan manajemen risiko yang ditetapkan Lembaga Sandi Negara.
(2) Perangkat Daerah penyelenggara Persandian melaksanakan fungsi koordinasi pelaksanaan kebijakan manajemen risiko penyelenggaraan Persandian.
(3) Dalam hal terdapat potensi insiden dan/atau terjadinya insiden penyelenggaraan Persandian dan
keamanan informasi, Pemerintah Daerah membantu pelaksanaan tugas Pemeriksaan Persandian Khusus (audit khusus) atau Investigasi yang dilaksanakan oleh Lembaga Sandi Negara atas terjadinya insiden penyelenggaraan Persandian dan keamanan Informasi.
(4) Menyusun laporan pelaksanaan kebijakan manajemen risiko penyelenggaraan Persandian.
b) Pengawasan dan evaluasi yang bersifat tahunan sebagai berikut:
1) Pengukuran tingkat pemanfaatan layanan Persandian oleh Perangkat Daerah.
Dalam melaksanakan pengukuran tingkat pemanfaatan layanan Persandian oleh Perangkat Daerah perlu memperhatikan hal-hal sebagai berikut:
(1) Jumlah Perangkat Daerah yang memanfaatkan analisis kebutuhan penyelenggaraan persandian untuk pengamanan Informasi di Pemerintah Daerah.
(2) Jumlah Perangkat Daerah yang melaksanakan pengelolaan dan perlindungan Informasi di Pemerintah Daerah.
(3) Jumlah Perangkat Daerah yang memanfaatkan layanan penyelenggaraan operasional dukungan Persandian untuk pengamanan Informasi di Pemerintah Daerah.
2) Penilaian mandiri (self assessment) terhadap penyelenggaraan Persandian pada Pemerintah Daerah.
Kegiatan pengawasan dan evaluasi ini dilaksanakan dengan memperhatikan ketentuan sebagai berikut:
(1) Penilaian mandiri (self assessment) merupakan pengukuran penyelenggaraan Persandian mandiri oleh Pemerintah Daerah yang dilaksanakan dengan menggunakan Instrumen Pengukuran Penyelenggaraan Persandian yang telah ditetapkan oleh Lembaga Sandi Negara.
(2) Dalam melakukan penilaian mandiri (self assessment) diperlukan objektifitas yang tinggi sesuai dengan kondisi penyelenggaraan Persandian di Pemerintah
Daerah. Oleh sebab itu diperlukan bukti pendukung yang valid sehingga hasilnya dapat dipertanggungjawabkan.
(3) Penilaian mandiri (self assessment) dilakukan oleh SDM yang berkualifikasi sandi, menguasai teknik pemeriksaan (audit), dan telah mengikuti bimbingan teknis penggunaan Instrumen Pengukuran Penyelenggaraan Persandian yang ditetapkan oleh Lembaga Sandi Negara.
(4) Dalam hal Perangkat Daerah penyelenggara Persandian memiliki keterbatasan SDM sesuai butir 3 di atas, maka Pemerintah Daerah harus berkonsultasi dengan Lembaga Sandi Negara untuk ditentukan kebijakan lebih lanjut.
(5) Penilaian mandiri (self assessment) akan menghasilkan opini mandiri yang bersifat sementara tentang penyelenggaraan Persandian di Pemerintah Daerah.
(6) Hasil penilaian mandiri (self assessment) dilaporkan secara khusus kepada Lembaga Sandi Negara untuk dilakukan validasi melalui Dekstop Assessment dan/atau On Site Assessment.
3) Pengukuran tingkat kepuasan Perangkat Daerah terhadap layanan Persandian yang dikelola oleh Perangkat Daerah penyelenggara Persandian.
Kegiatan pengawasan dan evaluasi ini dilaksanakan dengan memperhatikan ketentuan sebagai berikut:
(1) Penyusunan instrumen pengukuran Perangkat Daerah terhadap layanan Persandian dilaksanakan dengan pendekatan ilmiah dan dilakukan pengujian validitas dan reliabilitasnya. Instrumen pengukuran disusun sesuai dengan objek layanan yang akan diukur kepuasannya.
(2) Pemerintah Daerah dapat berkonsultasi kepada Lembaga Sandi Negara terkait penggunaan instrumen pengukuran kepuasan Perangkat Daerah terhadap layanan Persandian.
4) Penyusunan Laporan Penyelenggaraan Persandian Tahunan
(LP2T) Pemerintah Daerah.
Kegiatan pengawasan dan evaluasi ini dilaksanakan dengan memperhatikan ketentuan sebagai berikut:
(1) LP2T berisi tentang hasil pelaksanaan kebijakan, program, dan kegiatan teknis Pemerintah Daerah termasuk hasil kegiatan pengawasan dan evaluasi yang menggambarkan hasil penyelenggaraan urusan pemerintahan di bidang Persandian selama satu tahun.
(2) Mengoordinasikan penyiapan bahan dan melaksanakan penyusunan LP2T Pemerintah Daerah.
(3) LP2T Pemerintah Daerah provinsi dan kabupaten/kota disampaikan kepada Lembaga Sandi Negara.
G.
Koordinasi dan konsultasi penyelenggaraan persandian untuk pengamanan informasi Dalam rangka pelaksanaan urusan pemerintahan bidang persandian, unit kerja persandian di Pemerintah Daerah provinsi dan kabupaten/kota dapat melaksanakan koordinasi dan/atau konsultasi ke Lembaga Sandi Negara, perangkat daerah terkait maupun antar Pemerintah Daerah lainnya.
KEPALA LEMBAGA SANDI NEGARA,
ttd
DJOKO SETIADI