Pedoman Manajemen Keamanan Informasi ini memakai Sistem Manajemen Keamanan Informasi sebagai kerangka kerja pengamanan informasi.
Proses manajemen keamanan meliputi:
- penetapan ruang lingkup
- penetapan penanggung jawab
- perencanaan
- dukungan pengoperasian
- evaluasi kinerja; dan
- perbaikan berkelanjutan
Proses manajemen keamanan tersebut ditetapkan oleh setiap pimpinan Instansi Pusat dan Pemerintah Daerah serta harus mengomunikasikan dan mendokumentasikan kegiatan Manajemen Keamanan Informasi SPBE masing-masing.
Penetapan ruang lingkup dilakukan oeh setiap pimpinan Instansi Pusat dan Pemerintah Daerah, dengan mendefinisikan:
- isu internal keamanan informasi SPBE dalam organisasi yang didefinisikan berdasarkan area yang menjadi prioritas organisasi terhadap pelaksanaan keamanan informasi SPBE, paling sedikit meliputi:
- data dan informasi SPBE;
- Aplikasi SPBE;
- aset Infrasktruktur SPBE; dan
- kebijakan keamanan informasi SPBE yang telah dimiliki
- isu eksternal keamanan informasi SPBE yang didefinisikan sesuai dengan ketentuan peraturan perundang-undangan.
Penetapan penanggung jawab dilaksanakan oleh pimpinan Instansi Pusat dan Pemerintah Daerah. Penanggung jawab dijawab oleh sekretaris Instansi Pusat dan sekretaris daerah pada Pemerintah Daerah, selaku Koordinator SPBE.
Dalam melaksanakan tugas sebagai penanggung jawab Keamanan SPBE, Koordinator SPBE menetapkan pelaksana teknis Keamanan SPBE, yang terdiri atas:
- pejabat pimpinan tinggi pratama yang melaksanakan tugas dan fungsi di bidang keamanan teknologi, informasi, dan komunikasi pada Instansi Pusat dan Pemerintah Daerah;
- pejabat pimpinan tinggi atau pejabat administrator yang membawahi, membangun, memelihara, dan/atau mengembangkan Aplikasi SPBE.
Pejabat pimpinan tinggi pratama yang melaksanakan tugas dan fungsi di bidang keamanan teknologi, informasi, dan komunikasi pada Instansi Pusat dan Pemerintah Daerah, mempunyai tugas:
- memastikan penerapan standar teknis dan prosedur Keamanan SPBE;
- merumuskan, mengoordinasikan, dan melaksanakan program kerja dan anggaran Keamanan SPBE; dan
- melaporkan pelaksanaan manajemen keamanan informasi SPBE dan penerapan standar teknis dan prosedur Keamanan SPBE kepada Koordinator SPBE Instansi Pusat atau Koordinator SPBE Pemerintah Daerah.
Pejabat pimpinan tinggi atau pejabat administrator yang membawahi, membangun, memelihara, dan/atau mengembangkan Aplikasi SPBE:
- menerapkan standar teknis dan prosedur keamanan aplikasi di unit kerjanya masing-masing;
- memastikan seluruh pembangunan atau pengembangan Aplikasi dan Infrastruktur SPBE yang dilakukan pihak ketiga memenuhi standar teknis dan prosedur Keamanan SPBE yang telah ditetapkan;
- memastikan keberlangsungan proses bisnis SPBE; dan
- berkoordinasi dengan pejabat tinggi pratama yang melaksanakan tugas dan fungsi di bidang keamanan teknologi, informasi, dan komunikasi pada Instansi Pusat dan Pemerintah Daerah masing-masing terkait perumusan program kerja dan anggaran Keamanan SPBE.
Perencanaan dilakukan oleh pelaksana teknis Keamanan SPBE dengan merumuskan program kerja Keamanan SPBE yang disusun berdasarkan kategori risiko Keamanan SPBE serta merumuskan target realisasi program kerja Keamanan SPBE.
Program kerja Keamanan SPBE paling sedikit meliputi:
- edukasi kesadaran Keamanan SPBE, paling sedikit melalui kegiatan
- sosialisasi; dan
- pelatihan
- penilaian kerentanan Keamanan SPBE, paling sedikit melalui:
- menginventarisasi seluruh aset SPBE meliputi data dan informasi, aplikasi, dan infrastruktur;
- mengidentifikasi kerentanan dan ancaman terhadap aset SPBE; dan
- mengukur tingkat risiko Keamanan SPBE
- peningkatan Keamanan SPBE berdasarkan hasil dari penilaian kerentanan SPBE, melalui:
- menerapkan standar teknis dan prosedur Keamanan SPBE;
- menguji fungsi keamanan terhadap Aplikasi SPBE dan Infrastruktur SPBE
- penanganan insiden Keamanan SPBE, melalui:
- mengidentifikasi sumber serangan;
- menganalisis informasi yang berkaitan dengan insiden selanjutnya;
- memprioritaskan penanganan insiden berdasarkan tingkat dampak yang terjadi;
- mendokumentasikan bukti insiden yang terjadi;
- memitigasi atau mengurangi dampak risiko Keamanan SPBE
- audit Keamanan SPBE yang dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Kategori risiko Keamanan SPBE ditentukan sesuai dengan ketentuan peraturan perundang-undangan. Sedangkan target realisasi program kerja Keamanan SPBE ditetapkan berdasarkan kebutuhan setiap Instansi Pusat dan Pemerintah Daerah.
Dukungan pengoperasian dilakukan oleh Koordinator SPBE, dengan meningkatkan kapasitas terhadap sumber daya manusia Keamanan SPBE dan anggaran Keamanan SPBE.
Sumber daya manusia Keamanan SPBE paling sedikit harus memiliki kompetensi keamanan infrastruktur teknologi, informasi, dan komunikasi; serta keamanan aplikasi. Untuk memenuhi kompetensi tersebut, Instansi Pusat dan Pemerintah Daerah melakukan kegiatan:
- pelatihan dan/atau sertifikasi kompetensi keamanan infrastruktur teknologi, informasi, dan komunikasi dan keamanan aplikasi; dan
- bimbingan teknis mengenai standar Keamanan SPBE
Anggaran Keamanan SPBE disusun berdasarkan perencanaa yang telah ditetapkan sesuai dengan ketentuan peraturan perundang-undangan.
Evaluasi kinerja terhadap pelaksanaan [[Keamanan SPBE]] dilakukan oleh Koordinator SPBE, dengan cara:
- mengidentifikasi area proses yang memiliki risiko tinggi terhadap keberhasilan pelaksanaan Keamanan SPBE;
- menetapkan indikator kinerja pada setiap area proses;
- memformulasi pelaksanaan Keamanan SPBE dengan mengukur secara kuantitatif kinerja yang diharapkan;
- menganalisis efektifitas pelaksanaan Keamanan SPBE; dan
- mendukung dan merealisasikan program audit Keamanan SPBE.
Evaluasi kinerja ini paling sedikit dilaksanakan 1 (satu) kali dalam setahun.
Perbaikan berkelanjutan dilakukan oleh pelaksana teknis Keamanan SPBE yang merupakan tindak lanjut dari hasil evaluasi kinerja.
Perbaikan berkelanjutan dilakukan dengan mengatasi permasalahan dalam pelaksanaan Keamanan SPBE dan memperbaiki pelaksanaan Keamanan SPBE secara periodik.