PERMEN

Peraturan Menteri Nomor 4 Tahun 2016 tentang SISTEM MANAJEMEN PENGAMANAN INFORMASI

PERMEN Nomor 4 Tahun 2016

Konten ini bukan nasihat hukum. Selalu rujuk sumber resmi untuk kepastian hukum.

BAB I

KETENTUAN UMUM

Pasal 1

Dalam Peraturan Menteri ini yang dimaksud dengan: 1. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. 2. Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. 3. Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem Elektronik oleh penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat. 4. Pelayanan Publik adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik. 5. Sistem Manajemen Pengamanan Informasi adalah pengaturan kewajiban bagi Penyelenggara Sistem Elekronik dalam penerapan manajemen pengamanan informasi berdasarkan asas Risiko. 6. Keamanan Informasi adalah terjaganya kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) informasi. 7. Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. 8. Risiko adalah kejadian atau kondisi yang tidak diinginkan, yang dapat menimbulkan dampak negatif terhadap pencapaian sasaran kinerja dari layanan Sistem Elektronik. 9. Standar Nasional INDONESIA yang selanjutnya disebut SNI adalah dokumen berisi ketentuan teknik, persyaratan, dan karakteristik suatu kegiatan atau hasil kegiatan, yang disusun dan disepakati oleh pihak-pihak yang berkepentingan untuk membentuk keteraturan yang optimal ditinjau dari konteks keperluan tertentu, dan ditetapkan oleh Badan Standardisasi Nasional sebagai standar yang berlaku di seluruh wilayah INDONESIA. 10. Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi yang selanjutnya disebut Lembaga Sertifikasi adalah lembaga yang menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi. 11. Sertifikat Sistem Manajemen Pengamanan Informasi adalah bukti tertulis yang diberikan oleh Lembaga Sertifikasi kepada Penyelenggara Sistem Elektronik yang telah memenuhi persyaratan. 12. Penilaian Mandiri adalah mekanisme evaluasi kategori Sistem Elektronik yang dilakukan secara mandiri (self assessment) oleh Penyelenggara Sistem Elektronik berdasarkan kriteria tertentu. 13. Indeks Keamanan Informasi adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan informasi di organisasi. 14. Komite Akreditasi Nasional adalah lembaga non- struktural, yang berada di bawah dan bertanggung jawab kepada PRESIDEN dengan tugas MENETAPKAN akreditasi dan memberikan pertimbangan dan saran kepada Badan Standardisasi Nasional (BSN) dalam MENETAPKAN sistem akreditasi dan sertifikasi. 15. Auditor Sistem Manajemen Pengamanan Informasi yang selanjutnya disebut Auditor adalah orang yang melakukan audit berdasarkan Peraturan Menteri ini. 16. Auditor Permanen adalah Auditor yang menjadi karyawan tetap di Lembaga Sertifikasi dibuktikan dengan surat pengangkatan dan/atau perjanjian kerja yang sesuai dengan ketentuan ketenagakerjaan yang berlaku dan disertai bukti setor pajak penghasilan terakhir. 17. Instansi Pengawas dan Pengatur Sektor adalah instansi yang bertugas mengawasi pelaksanaan tugas sektor dan mengeluarkan pengaturan terhadap sektor tersebut misalnya sektor perbankan dan sektor perhubungan. 18. Tenaga Ahli Penerap yang selanjutnya disebut Tenaga Ahli adalah tenaga ahli yang memiliki kompetensi dalam penerapan Sistem Manajemen Pengamanan Informasi. 19. Menteri adalah menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika. 20. Direktur Jenderal adalah direktur jenderal yang ruang lingkup tugas dan fungsinya membidangi aplikasi informatika.

BAB II

KATEGORISASI SISTEM ELEKTRONIK

Pasal 4

Koreksi

(1) Kategorisasi Sistem Elektronik berdasarkan asas Risiko sebagaimana dimaksud dalam Pasal 2 terdiri atas: a. Sistem Elektronik strategis; b. Sistem Elektronik tinggi; dan c. Sistem Elektronik rendah. (2) Sistem Elektronik strategis sebagaimana dimaksud pada ayat (1) huruf a merupakan Sistem Elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. (3) Sistem Elektronik tinggi sebagaimana dimaksud pada ayat (1) huruf b merupakan Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu. (4) Sistem Elektronik rendah sebagaimana dimaksud pada ayat (1) huruf c merupakan Sistem Elektronik lainnya yang tidak termasuk pada ayat (2) dan ayat (3).

Pasal 5

(1) Kategorisasi Sistem Elektronik sebagaimana dimaksud dalam Pasal 4 ayat (1) dibuat sesuai Format 1 berdasarkan penilaian sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini. (2) Penilaian sebagaimana dimaksud pada ayat (1) dilakukan oleh Penyelenggara Sistem Elektronik secara mandiri (self assessment) terhadap setiap Sistem Elektronik yang dimilikinya.

Pasal 6

(1) Dalam hal hasil penilaian sebagaimana dimaksud dalam Pasal 5 menyatakan bahwa Sistem Elektronik yang dimiliki oleh Penyelenggara Sistem Elektronik merupakan Sistem Elektronik strategis maka ditetapkan oleh Menteri berdasarkan rekomendasi dari Instansi Pengawas dan Pengatur Sektor terkait. (2) Dalam hal rekomendasi sebagaimana dimaksud pada ayat (1) tidak diberikan oleh Instansi Pengawas dan Pengatur Sektor terkait maka ditetapkan oleh Menteri dalam kategori Sistem Elektronik tinggi. (3) Dalam hal hasil penilaian sebagaimana dimaksud dalam Pasal 5 menyatakan bahwa Sistem Elektronik yang dimiliki oleh Penyelenggara Sistem Elektronik merupakan Sistem Elektronik tinggi dan/atau Sistem Elektronik rendah maka ditetapkan oleh Menteri.

BAB III

STANDAR SISTEM MANAJEMEN PENGAMANAN INFORMASI

Pasal 7

Koreksi

(1) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik strategis harus menerapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektornya. (2) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik tinggi harus menerapkan standar SNI ISO/IEC 27001. (3) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik rendah harus menerapkan pedoman Indeks Keamanan Informasi. (4) Ketentuan mengenai pedoman Indeks Keamanan Informasi sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Menteri.

Pasal 8

(1) Dalam penerapan standar dan pedoman sebagaimana dimaksud dalam Pasal 7, Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli internal dan/atau Tenaga Ahli eksternal. (2) Dalam hal penerapan standar sebagaimana dimaksud dalam Pasal 7 ayat (1), terhadap Sistem Elektronik strategis, Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan INDONESIA. (3) Ketentuan lebih lanjut mengenai Tenaga Ahli sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri.

Pasal 9

(1) Dalam hal belum terdapat Tenaga Ahli berkewarganegaraan INDONESIA sebagaimana dimaksud dalam Pasal 8 ayat (2), Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli asing. (2) Dalam menggunakan Tenaga Ahli asing sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik harus mengajukan permohonan kepada Direktur Jenderal paling lambat 14 (empat belas) hari kerja sebelum perjanjian kerja ditandatangani. (3) Permohonan sebagaimana dimaksud pada ayat (2) dilengkapi dengan dokumen sebagai berikut: a. manajemen risiko terkait penggunaan Tenaga Ahli asing; dan b. biodata Tenaga Ahli asing yang paling sedikit memuat pengalaman kerja. (4) Direktur Jenderal MENETAPKAN Tenaga Ahli asing paling lambat 14 (empat belas) hari kerja setelah permohonan sebagaimana dimaksud pada ayat (3) dinyatakan lengkap.

BAB V

LEMBAGA SERTIFIKASI

Pasal 12

Koreksi

(1) Sertifikasi Sistem Manajemen Pengamanan Informasi dilakukan oleh Lembaga Sertifikasi yang diakui oleh Menteri. (2) Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) harus: a. berbentuk badan hukum INDONESIA; b. berdomisili di INDONESIA; c. terakreditasi oleh Komite Akreditasi Nasional; d. memiliki tim Auditor yang beranggotakan paling sedikit 1 (satu) Auditor Permanen; dan e. memiliki tim pengambil keputusan sertifikasi. (3) Tim Auditor dan tim pengambil keputusan sertifikasi yang melakukan sertifikasi Sistem Elektronik strategis harus berkewarganegaraan INDONESIA. (4) Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri.

Pasal 13

(1) Lembaga Sertifikasi mengajukan permohonan pengakuan sebagai Lembaga Sertifikasi kepada Menteri dibuat sesuai Format 2 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini. (2) Permohonan penetapan sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen: a. surat permohonan; b. sertifikat akreditasi dari Komite Akreditasi Nasional; c. daftar anggota tim Auditor; d. daftar anggota tim pengambil keputusan sertifikasi; dan e. surat pernyataan. (3) Surat pernyataan sebagaimana dimaksud pada ayat (2) huruf e dibuat sesuai dengan Format 3 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini. (4) Direktur Jenderal melakukan penilaian terhadap permohonan sebagaimana dimaksud pada ayat (1). (5) Menteri MENETAPKAN pengakuan terhadap Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap. (6) Penetapan pengakuan sebagaimana dimaksud pada ayat (4) berlaku untuk jangka waktu paling lama 4 (empat) tahun. (7) Penetapan pengakuan sebagaimana dimaksud pada ayat (4) dibuat sesuai dengan Format 4 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini. (8) Lembaga Sertifikasi yang telah memperoleh penetapan pengakuan Menteri sebagaimana dimaksud pada ayat (5) dinyatakan dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

Pasal 14

(1) Lembaga Sertifikasi berhak memungut biaya atas layanan sertifikasi Sistem Manajemen Pengamanan Informasi dari Penyelenggara Sistem Elektronik. (2) Besaran biaya sertifikasi sebagaimana dimaksud pada ayat (1) ditetapkan oleh Lembaga Sertifikasi dan Penyelenggara Sistem Elektronik dengan mempertimbangkan biaya operasional Lembaga Sertifikasi dan biaya lainnya.

Pasal 15

Perubahan tim Auditor dan tim pengambil keputusan sertifikasi terhadap Sistem Elektronik strategis wajib dilaporkan kepada Menteri paling lambat 2 (dua) hari kerja.

BAB VI

PENERBITAN SERTIFIKAT, PELAPORAN HASIL SERTIFIKASI, DAN PENCABUTAN SERTIFIKAT

Pasal 16

Koreksi

Sertifikasi Sistem Manajemen Pengamanan Informasi harus dilakukan sesuai dengan proses Penyelenggaraan Sistem Elektronik dengan memperhatikan tingkat Risiko sebagaimana dimaksud dalam Pasal 4.

Pasal 17

Koreksi

(1) Lembaga Sertifikasi menugaskan tim Auditor untuk melakukan audit Sistem Manajemen Pengamanan Informasi terhadap Penyelenggara Sistem Elektronik. (2) Tim Auditor sebagaimana dimaksud pada ayat (1) melaporkan hasil audit pada Lembaga Sertifikasi yang menugaskan. (3) Lembaga Sertifikasi mengkaji hasil audit yang dilaporkan oleh tim Auditor. (4) Lembaga Sertifikasi menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi bagi Penyelenggara Sistem Elektronik yang telah memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2).

Pasal 18

(1) Lembaga Sertifikasi wajib menyerahkan laporan hasil sertifikasi Sistem Manajemen Pengamanan Informasi secara tertulis kepada Direktur Jenderal. (2) Laporan sebagaimana dimaksud pada ayat (1) wajib diserahkan secara berkala paling sedikit 2 (dua) kali dalam setahun. (3) Laporan sebagaimana dimaksud pada ayat (1) paling sedikit memuat: a. data Penyelenggara Sistem Elektronik yang mengajukan sertifikasi; b. data Penyelenggara Sistem Elektronik yang mendapatkan Sertifikat Sistem Manajemen Pengamanan Informasi; c. data Penyelenggara Sistem Elektronik yang dicabut kepemilikan sertifikatnya; d. ringkasan eksekutif; e. perubahan daftar tim Auditor; dan f. perubahan daftar tim pengambil keputusan sertifikasi. (4) Laporan sebagaimana dimaksud pada ayat (3) dibuat sesuai Format 5 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

Pasal 19

Lembaga Sertifikasi harus melaksanakan audit pengawasan (surveillance audit) paling sedikit 1 (satu) kali dalam setahun terhadap setiap Sistem Elektronik yang telah tersertifikasi.

Pasal 20

(1) Jika hasil audit pengawasan (surveillance audit) sebagaimana dimaksud dalam Pasal 19 tidak memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2), Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen Pengamanan Informasi terkait. (2) Pencabutan sebagaimana dimaksud pada ayat (1) wajib dilaporkan oleh Lembaga Sertifikasi kepada Direktur Jenderal paling lambat 2 (dua) hari kerja sejak dilakukan pencabutan.

BAB X

SANKSI

Pasal 25

Koreksi

(1) Menteri memberikan sanksi administratif pada Penyelenggara Sistem Elektronik yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 10 ayat (1) dan Pasal 22 ayat (2). (2) Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi: a. teguran tertulis; dan b. penghentian sementara Nama Domain INDONESIA. (3) Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran. (4) Penghentian sementara Nama Domain INDONESIA sebagaimana dimaksud pada ayat (2) huruf b dikenakan apabila dalam jangka waktu 6 (enam) bulan tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 26

(1) Menteri memberikan sanksi administratif pada Lembaga Sertifikasi yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 15, Pasal 18 ayat (1), Pasal 18 ayat (2), Pasal 20 ayat (1), dan Pasal 20 ayat (2). (2) Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi: a. teguran tertulis; dan b. dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi. (3) Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran. (4) Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (2) huruf b apabila dalam jangka waktu 30 (tiga puluh) hari kerja tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 27

(1) Dalam hal Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud dalam Pasal 26 ayat (4), Lembaga Sertifikasi tersebut melimpahkan Sertifikat Sistem Manajemen Pengamanan Informasi yang telah diterbitkannya kepada Lembaga Sertifikasi lainnya yang terdapat dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi. (2) Segala biaya yang timbul akibat pelimpahan Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (1) dibebankan pada Lembaga Sertifikasi yang dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

Peraturan Menteri Nomor 4 Tahun 2016 tentang SISTEM MANAJEMEN PENGAMANAN INFORMASI

BAB I

Pasal 1

BAB I

Pasal 1

Pasal 2

Pasal 3

BAB II

Pasal 4

Pasal 5

Pasal 6

BAB III

Pasal 7

Pasal 8

Pasal 9

BAB IV

Pasal 10

Pasal 11

BAB Kesatu

Pasal 10

BAB Kedua

Pasal 11

BAB V

Pasal 12

Pasal 13

Pasal 14

Pasal 15

BAB VI

Pasal 16

Pasal 17

Pasal 18

Pasal 19

Pasal 20

BAB Kesatu

Pasal 16

Pasal 17

BAB Kedua

Pasal 18

BAB Ketiga

Pasal 19

Pasal 20

BAB VII

Pasal 21

Pasal 22

BAB VIII

Pasal 23

BAB IX

Pasal 24

BAB X

Pasal 25

Pasal 26

Pasal 27

BAB XI

Pasal 28

BAB XII

Pasal 29