Audit Keamanan SPBE

image description


A. Apa yang baru?

Pada bulan November 2022 penyelarasan Rancangan Peraturan BSSN tentang
Standar dan Tata Cara Pelaksanaan Audit Keamanan SPBE kembali dilakukan.
Update kali ini adalah terkait penarikan instrumen audit (digantikan dengan kriteria
audit) dan pemberian informasi tentang penyelarasan yang perlu dilakukan.

 

B. Peran BSSN dalam SPBE

Sesuai dengan Peraturan Presiden Nomor 95 Tahun 2018, BSSN memiliki tiga peranan dalam Audit Keamanan SPBE. Ketiga peran tersebut adalah:

1.    pelaksana Audit Keamanan SPBE untuk tingkat nasional (Aplikasi Umum dan Infrastruktur SPBE Nasional);

2.    penyusunan peraturan terkait standar dan tata cara pelaksanaan Audit Keamanan SPBE; dan

3.    pelaksanaan koordinasi dan konsultasi pelaksanaan Audit Keamanan SPBE

Ketiga peran tersebut mewajibkan BSSN untuk membangun ekosistem pelaksanaan Audit Keamanan yang terdiri dari Auditor dan Lembaga pelaksana audit. Selain itu BSSN juga perlu memberikan literasi terkait pelaksanaan Audit Keamanan SPBE.

 

C. Progres BSSN

Pada tahun 2020 telah dilakukan penyusunan Rancangan Perban BSSN tentang Standar dan Tata Cara Pelaksanaan Audit Keamanan SPBE dan Instrumen Audit Keamanan SPBE yang disusun guna mewujudkan Audit Keamanan SPBE yang sesuai standar dan mewujudkan keseragaman tata cara pelaksanaan Audit Keamanan SPBE. Di tahun 2021 ini, rancangan peraturan tersebut sudah mendapatkan tanggapan hukum dari Biro Hukum dan Humas.

Tanggapan hukum tersebut kemudian dilakukan pembahasan di tim penyusun internal pada tanggal 3-4 Mei 2021 sehingga menghasilkan rancangan Perban versi 10 Mei 2021. Rancangan tersebut sudah dimasukkan kembali ke Biro Hukum dan Humas guna pembahasan pra harmonisasi. Adapun beberapa perubahan mayor dari rancangan Perban versi 14 Desember 2021 adalah: 

1.    Penambahan pengaturan terkait Auditor dan Lembaga Pelaksana Audit TIK cakupan Keamanan SPBE Terakreditasi (swasta) beserta ketentuan peralihannya yang disebabkan kekosongan hukum atas pengaturan Auditor Keamanan Informasi dan Lembaga Audit Keamanan Informasi;

2.    Tata cara pelaksanaan audit khususnya pada prosedur evaluasi desain kontrol keamanan SPBE, pengujian implementasi kontrol keamanan SPBE; dan/atau pengujian terinci efektivitas kontrol keamanan SPBE; dan

3.    Domain audit atas manajemen keamanan SPBE menjadi bagian dari audit atas keamanan Aplikasi SPBE; dan/atau audit atas keamanan Infrastruktur SPBE. Pelaksanaan audit atas manajemen keamanan SPBE juga dapat tidak dilaksanakan jika tidak dibutuhkan oleh Instansi Pusat dan Pemerintah Daerah. (Salah satu pertimbangan adalah sudah dilaksanakan Audit SMPI pada aplikasi/infrastruktur tersebut).

Sebagai tindak lanjut, setidaknya telah dilaksanakan lima kali pembahasan dengan Biro Hukum dan Humas dalam rangka pra harmonisasi di mana terakhir dilakukan pembahasan pada 19 Juli 2021. Pada pembahasan tersebut istilah yang akan digunakan oleh auditor pelaksana audit keamanan SPBE ini akan menyesuaikan dengan hasil pembahasan SKKNI Auditor Keamanan Informasi. Adapun SKKNI Auditor Keamanan Informasi saat ini sedang disusun oleh BSSN. Adapun beberapa perubahan mayor dari rancangan Perban versi 19 Juli 2021 adalah sebagai berikut:

1.    Domain audit atas manajemen keamanan SPBE ditiadakan. Audit terhadap tata kelola dan manajemen penulisannya disesuaikan dengan Perpres Nomor 95 Tahun 2018 sehingga merupakan bagian tidak terpisahkan dari audit atas keamanan Aplikasi SPBE atau audit atas keamanan Infrastruktur SPBE.

2.    Pembatasan pengaturan terkait auditor yang melaksanakan audit keamanan SPBE dan lembaga yang akan melaksanakan audit keamanan SPBE hanya pada proses pendaftaran, penetapan dan ketidakberlakuan penetapan.

3.    Pengecualian pada instansi pusat tertentu diselaraskan dengan data strategis sebagaimana diatur pada PP Nomor 71 Tahun 2019 dan rancangan Perpres IIVN.

4.    Perbaikan pengelompokan penulisan bab pada rancangan Perban. 

Pada bulan Juli 2021 juga dilakukan pembahasan dan sharing knowledge terkait instrumen audit keamanan SPBE sehingga beberapa peraturan perundang-undangan, seperti PP Nomor 60 Tahun 2008 dan Peraturan BSSN Nomor 4 Tahun 2021, dimasukkan untuk melengkapi kriteria audit.

Kemudian, pada bulan November 2022, seiring dengan telah diberikan persetujuan
dari Presiden untuk Rancangan Peraturan Menteri Kominfo tentang Kebijakan
Umum Audit TIK, telah dilaksanakan kegiatan awal penyelarasan pengaturan pada Rancangan Peraturan BSSN tentang Standar dan Tata Cara Pelaksanaan Audit
Keamanan SPBE. Penyelarasan juga memperhatikan pelaksanaan Audit
Keamanan SPBE atas Aplikasi Umum yang telah dilaksanakan sejak tahun 2020.
Penyelarasan tersebut antara lain:
1. Penambahan pengaturan terkait audit internal seiring dengan diaturnya
pelaksanaan audit;
2. Penyelarasan penggunaan istilah, cakupan dan urutan pengaturan; dan
3. Pencabutan instrumen audit dan diubah menjadi kriteria audit.

 

Sumber : https://www.bssn.go.id/audit-keamanan-spbe/