Peraturan Badan Nomor 15 Tahun 2019 tentang PENYELENGGARAAN SKEMA COMMON CRITERIA INDONESIA

Dalam Peraturan Badan ini yang dimaksud dengan:
1. Common Criteria selanjutnya disingkat CC adalah standar evaluasi keamanan teknologi informasi sesuai dengan ISO/IEC 15408 dan ISO/IEC 18045.
2. Skema Common Criteria INDONESIA yang selanjutnya disingkat SCCI adalah gambaran dan aturan terkait pedoman sertifikasi keamanan produk teknologi informasi yang dilakukan oleh lembaga sertifikasi produk CC INDONESIA, laboratorium pengujian, sponsor atau developer, dan konsumen sesuai dengan ISO/IEC 15408 dan ISO/IEC 18045.
3. Produk Teknologi Informasi adalah perangkat lunak dan/atau perangkat keras yang menyediakan fungsionalitas dan dirancang untuk digunakan atau diintegrasikan dalam sistem teknologi informasi.
4. Lembaga Sertifikasi Produk Common Criteria INDONESIA yang selanjutnya disebut LSPro adalah unit kerja di Badan Siber dan Sandi Negara yang mengoperasikan skema sertifikasi produk untuk memberikan jaminan tertulis bahwa suatu keamanan Produk Teknologi Informasi telah memenuhi ISO/IEC 15408 dan ISO/IEC
18045. 5.
Laboratorium Pengujian adalah laboratorium yang melaksanakan evaluasi keamanan Produk Teknologi

Informasi sesuai dengan ISO/IEC 15408 dan ISO/IEC
18045. 6.
Target of Evaluation yang selanjutnya disingkat TOE adalah Produk Teknologi Informasi yang menjadi objek sertifikasi sesuai ISO/IEC 15408 dan ISO/IEC 18045.
7. Security Target yang selanjutnya disingkat ST adalah dokumen persyaratan fungsi keamanan yang terdapat pada TOE sesuai dengan tingkat jaminan keamanan yang ingin dicapai dalam sertifikasi TOE yang ditentukan.
8. Bukti Evaluasi TOE adalah dokumen yang mencakup pengembangan TOE, panduan penggunaan TOE, dukungan siklus hidup TOE, dan pengujian fungsionalitas TOE dari Sponsor atau Developer.
9. Protection Profiles yang selanjutnya disingkat PP adalah dokumen standar keamanan suatu tipe TOE tertentu sesuai dengan tingkat jaminan keamanan yang ingin dicapai dalam sertifikasi TOE yang ditentukan.
10. Evaluation Technical Report yang selanjutnya disingkat ETR adalah laporan teknis evaluasi seluruh kelas jaminan keamanan.
11. Evaluation Observation Report yang selanjutnya disingkat EOR adalah laporan temuan hasil observasi dari pekerjaan evaluasi.
12. Review Report yang selanjutnya disingkat RR adalah laporan tinjauan EOR yang dibuat oleh LSPro.
13. Sponsor adalah perusahaan atau perseorangan yang mensponsori suatu TOE atau PP yang akan disertifikasi.
14. Developer adalah perusahan atau perseorangan yang mengembangkan suatu TOE atau PP.
15. Impact Analysis Report yang selanjutnya disingkat IAR adalah laporan analisis perubahan dampak terhadap versi suatu TOE yang telah disertifikasi melalui SCCI.
16. Certification Report yang selanjutnya disingkat CR adalah laporan sertifikasi yang dikeluarkan LSPro dan menyatakan bahwa TOE atau PP telah memenuhi persyaratan SCCI.

17. Common Criteria Recognition Arrangement yang selanjutnya disingkat CCRA adalah perjanjian antar negara yang menggunakan CC sebagai acuan dalam melakukan evaluasi keamanan Produk Teknologi Informasi.
18. Shadow Certification adalah proses penilaian negara CCRA untuk menjadi negara anggota CCRA yang dapat mengeluarkan sertifikat CC dan diakui oleh negara anggota CCRA yang dilakukan oleh Common Criteria Management Committee.
19. Voluntary Periodic Assesment adalah penilaian kesesuaian terhadap skema CC yang dijalankan oleh negara anggota CCRA yang dapat mengeluarkan sertifikat CC dan diakui oleh negara anggota CCRA setiap 5 (lima) tahun sekali.
20. Interpretasi Nasional adalah interpretasi CC, common evaluation methodology, dan aturan skema yang hanya diaplikasikan di dalam SCCI.
21. Interpretasi Internasional adalah interpretasi CC dan common evaluation methodology yang diterbitkan oleh komite skema yang berlaku untuk anggota CCRA.
22. Evaluation Work Plan adalah perencanaan pelaksanaan evaluasi untuk setiap kelas jaminan keamanan.
23. Evaluation Project Proposal adalah dokumen yang berisi tentang sumber daya yang melaksanakan evaluasi, penilaian awal terhadap ST, dan Evaluation Work Plan.

(1) Penyelenggaraan SCCI meliputi:
a. pelayanan sertifikasi CC INDONESIA;
b. pemeliharaan jaminan keamanan;
c. pengawasan pasca sertifikasi; dan
d. penyelesaian pengaduan layanan.
(2) Penyelenggaraan SCCI sebagaimana dimaksud pada ayat
(1) dilaksanakan oleh Badan Siber dan Sandi Negara.

Pelayanan sertifikasi CC INDONESIA meliputi:
a. permohonan sertifikasi CC INDONESIA;
b. pelaksanaan evaluasi TOE atau PP; dan
c. penetapan keputusan sertifikasi.

(1) Permohonan sertifikasi CC INDONESIA sebagaimana dimaksud dalam Pasal 3 huruf a terdiri atas:
a. permohonan sertifikasi TOE; dan
b. permohonan sertifikasi PP.
(2) Permohonan sertifikasi sebagaimana dimaksud pada ayat
(1) diajukan oleh Sponsor atau Developer kepada LSPro.

Dalam mengajukan permohonan sertifikasi TOE sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf a, Sponsor atau Developer menyampaikan:
a. formulir aplikasi permohonan sertifikasi TOE;
b. ST;
c. Evaluation Project Proposal;
d. surat pernyataan dokumen penilaian awal ST dan kecukupan bukti evaluasi dari Laboratorium Pengujian yang berlisensi; dan
e. TOE.

Dalam mengajukan permohonan sertifikasi PP sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf b, Sponsor atau Developer menyampaikan:
a. formulir aplikasi permohonan sertifikasi PP;
b. Evaluation Project Proposal; dan
c. PP.

Permohonan sertifikasi CC INDONESIA yang diajukan oleh Sponsor atau Developer sebagaimana dimaksud dalam Pasal 4 dicatat dan diverifikasi oleh LSPro.

(1) Verifikasi sebagaimana dimaksud dalam Pasal 7 dilakukan terhadap:
a. kelengkapan persyaratan permohonan; dan
b. substansi.
(2) Verifikasi sebagaimana dimaksud pada ayat (1) dilakukan dalam waktu 10 (sepuluh) hari kerja sejak permohonan diterima.

(1) Dalam hal melakukan verifikasi sebagaimana dimaksud dalam Pasal 7 ditemukan kekurangan kelengkapan persyaratan permohonan sebagaimana dimaksud dalam Pasal 8 ayat (1) huruf a, Sponsor atau Developer harus melengkapi kelengkapan persyaratan permohonan paling lama 2 (dua) hari kerja sejak pemberitahuan kekurangan kelengkapan persyaratan permohonan diterima.
(2) Jangka waktu sebagaimana dimaksud pada ayat (1) tidak mengurangi jangka waktu verifikasi sebagaimana dimaksud dalam Pasal 8 ayat (2).
(3) Dalam hal Sponsor atau Developer tidak melengkapi kelengkapan persyaratan permohonan dalam waktu 2 (dua) hari kerja sebagaimana dimaksud pada ayat (1), LSPro menolak permohonan sertifikasi.

Dalam hal melakukan verifikasi sebagaimana dimaksud dalam Pasal 7 terdapat substansi yang tidak dipenuhi, LSPro menolak permohonan sertifikasi.

(1) Dalam hal verifikasi sebagaimana dimaksud dalam Pasal8 tidak terdapat permasalahan, LSPro melakukan:
a. pemutakhiran register produk CC INDONESIA; dan
b. rapat pembuka dengan Laboratorium Pengujian dan Sponsor atau Developer untuk mendapatkan kesepakatan tentang pelaksanaan evaluasi.
(2) Laboratorium Pengujian sebagaimana dimaksud pada ayat (1) huruf b merupakan Laboratorium Pengujian yang tercantum dalam dokumen sebagaimana dimaksud dalam Pasal 5 huruf c dan huruf d.

(1) Pelaksanaan evaluasi TOE atau PP sebagaimana dimaksud dalam Pasal 3 huruf b dilakukan oleh Laboratorium Pengujian.
(2) Pelaksanaan evaluasi TOE sebagaimana dimaksud pada ayat (1) terdiri atas:
a. audit dokumen ST dan Bukti Evaluasi TOE;
b. pengujian fungsionalitas TOE; dan
c. pengujian penilaian kerentanan TOE.
(3) Pelaksanaan evaluasi PP sebagaimana dimaksud pada ayat (1) meliputi audit dokumen PP dan evaluasi konfigurasi PP.
(4) Dalam melaksanakan evaluasi TOE sebagaimana dimaksud pada ayat
(2) Laboratorium Pengujian melakukan:
a. penyusunan EOR setiap kelas jaminan keamanan;
b. penyusunan ETR; dan
c. penyusunan test plan untuk pengujian fungsionalitas TOE dan pengujian penilaian kerentanan TOE.
(5) Dalam melaksanakan evaluasi PP sebagaimana dimaksud pada ayat (3), Laboratorium Pengujian melakukan pengujian terhadap PP yang menghasilkan EOR untuk setiap kelas jaminan keamanan.

(6) Laboratorium Pengujian menyampaikan EOR, ETR, dan test plan sebagaimana dimaksud pada ayat (4) kepada LSPro untuk mendapatkan reviu dan persetujuan.
(7) Laboratorium Pengujian menyampaikan EOR sebagaimana dimaksud pada ayat (5) kepada LSPro untuk mendapatkan reviu dan persetujuan.

(1) Pelaksanaan evaluasi TOE dan PP sebagaimana dimaksud dalam Pasal 12 diawasi oleh LSPro.
(2) Pengawasan terhadap pelaksanaan evaluasi TOE sebagaimana dimaksud pada ayat (1) dilakukan melalui:
a. rapat kemajuan evaluasi untuk mereviu dan menyetujui EOR;
b. rapat teknis pengujian untuk mereviu dan menyetujui test plan; dan
c. mereviu dan menyetujui ETR.
(3) Pengawasan terhadap pelaksanaan evaluasi PP sebagaimana dimaksud pada ayat (1) dilakukan melalui rapat kemajuan evaluasi untuk mereviu dan menyetujui EOR.

(1) LSPro menghubungi Sponsor atau Developer mengenai temuan dan/atau celah kerawanan pada EOR berdasarkan hasil reviu sebagaimana dimaksud dalam Pasal 13 ayat (2) huruf a dan ayat (3).
(2) Dalam menindaklanjuti temuan dan/atau celah kerawanan pada EOR sebagaimana dimaksud pada ayat
(1) LSPro memberikan jangka waktu perbaikan sesuai dengan Evaluation Project Proposal.
(3) Dalam hal Sponsor atau Developer tidak dapat memenuhi ketentuan sebagaimana dimaksud pada ayat (2) LSPro dapat menyatakan proses sertifikasi tidak dapat dilanjutkan.

(1) Penetapan keputusan sertifikasi sebagaimana dimaksud dalam Pasal 3 huruf c dilakukan oleh LSPro.
(2) Penetapan keputusan sertifikasi sebagaimana dimaksud pada ayat (1) terdiri atas:
a. lulus sertifikasi; dan
b. tidak lulus sertifikasi.
(3) Dalam hal lulus sertifikasi sebagaimana dimaksud pada ayat (2) huruf a, LSPro mengeluarkan hasil keputusan sertifikasi berupa:
a. CR;
b. sertifikat CC INDONESIA; dan
c. ST.
(4) Dalam hal tidak lulus sertifikasi sebagaimana dimaksud pada ayat (2) huruf b, LSPro mengeluarkan surat keterangan tidak lulus sertifikasi.
(5) LSPro menyampaikan hasil keputusan sertifikasi sebagaimana dimaksud pada ayat (2) kepada Sponsor atau Developer dalam rapat penutup.

Setelah melakukan penetapan keputusan sertifikasi sebagaimana dimaksud dalam Pasal 15 ayat (1), LSPro melakukan pemutakhiran register produk CC INDONESIA dengan status telah disertifikasi.

Sertifikat CC INDONESIA yang telah diterbitkan tetap berlaku sepanjang tidak dicabut.

Sertifikat CC INDONESIA dapat dicabut jika terbukti terdapat:
a. penyalahgunaan sertifikat CC INDONESIA oleh Sponsor atau Developer;
b. penyalahgunaan nama dan logo Badan Siber dan Sandi Negara, LSPro, SCCI dan/atau CCRA oleh Sponsor atau Developer; atau

c. konflik kepentingan yang mengakibatkan keberpihakan dalam proses sertifikasi.

Proses pelayanan sertifikasi CC INDONESIA sebagaimana dimaksud dalam Pasal 3 tercantum dalam Lampiran I yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Pemeliharaan jaminan keamanan merupakan proses sukarela yang diajukan oleh Sponsor atau Developer terhadap perubahan atau penambahan fitur keamanan atas TOE untuk peningkatan jaminan keamanan.
(2) Pemeliharaan jaminan keamanan sebagaimana dimaksud pada ayat (1) diberikan kepada TOE yang sudah disertifikasi melalui SCCI.
(3) Pemeliharaan jaminan keamanan sebagaimana dimaksud pada ayat (2) dapat diajukan setelah 30 (tiga puluh) hari kerja sejak sertifikat CC INDONESIA diterbitkan.

Pemeliharaan jaminan keamanan sebagaimana dimaksud dalam Pasal 20 terdiri atas:
a. permohonan pemeliharaan jaminan keamanan; dan
b. pelaksanaan pemeliharaan jaminan keamanan.

(1) Permohonan pemeliharaan jaminan keamanan sebagaimana dimaksud dalam Pasal 21 huruf a diajukan oleh Sponsor atau Developer kepada LSPro.
(2) Dalam mengajukan permohonan pemeliharaan jaminan keamanan sebagaimana dimaksud pada ayat (1), Sponsor atau Developer menyampaikan:

a. formulir aplikasi permohonan pemeliharaan jaminan keamanan;
b. IAR;
c. ST;
d. CR; dan
e. fotokopi sertifikat CC INDONESIA.

Permohonan pemeliharaan jaminan keamanan yang diajukan oleh Sponsor atau Developer sebagaimana dimaksud dalam Pasal 22 dicatat dan diverifikasi oleh LSPro.

(1) Verifikasi sebagaimana dimaksud dalam Pasal 23 dilakukan terhadap:
a. kelengkapan persyaratan permohonan; dan
b. substansi.
(2) Verifikasi sebagaimana dimaksud pada ayat (1) dilakukan dalam waktu 10 (sepuluh) hari kerja sejak permohonan diterima.

(1) Dalam hal melakukan verifikasi sebagaimana dimaksud dalam Pasal 23 ditemukan kekurangan kelengkapan persyaratan permohonan sebagaimana dimaksud dalam Pasal 24 ayat (1) huruf a Sponsor atau Developer harus melengkapi kelengkapan persyaratan permohonan paling lama 2 (dua) hari kerja sejak pemberitahuan kekurangan kelengkapan persyaratan permohonan diterima.
(2) Jangka waktu sebagaimana dimaksud pada ayat (1) tidak mengurangi jangka waktu verifikasi sebagaimana dimaksud dalam Pasal 24 ayat (2).
(3) Dalam hal Sponsor atau Developer tidak melengkapi kelengkapan persyaratan permohonan dalam waktu 2 (dua) hari kerja sebagaimana dimaksud pada ayat (1), LSPro menolak permohonan pemeliharaan jaminan keamanan.

Dalam hal melakukan verifikasi sebagaimana dimaksud dalam Pasal 25 ayat (1) tidak terdapat permasalahan, LSPro melaksanakan pemeliharaan jaminan keamanan.

(1) Dalam melaksanakan pemeliharaan jaminan keamanan sebagaimana dimaksud dalam Pasal 21 huruf b, LSPro melakukan penilaian IAR untuk menentukan kategori perubahan TOE.
(2) Kategori perubahan TOE sebagaimana dimaksud pada ayat (1) terdiri atas:
a. perubahan minor; dan
b. perubahan mayor.
(3) Perubahan minor sebagaimana dimaksud pada ayat (2) huruf a merupakan perubahan yang tidak terkait langsung dengan spesifikasi keamanan TOE.
(4) Perubahan mayor sebagaimana dimaksud pada ayat (2) huruf b merupakan perubahan yang terkait langsung dengan spesifikasi keamanan TOE.

Dalam hal hasil penilaian IAR sebagaimana dimaksud dalam Pasal 27 menunjukkan kategori perubahan minor, LSPro menerbitkan laporan pemeliharaan jaminan keamanan dan melakukan pemutakhiran register produk CC INDONESIA.

Dalam hal hasil penilaian IAR sebagaimana dimaksud dalam Pasal 27 menunjukkan kategori perubahan mayor, LSPro menerbitkan surat rekomendasi pelaksanaan sertifikasi TOE ulang kepada Sponsor atau Developer.

(1) Berdasarkan surat rekomendasi dari LSPro sebagaimana dimaksud dalam Pasal 29 Sponsor atau Developer dapat mengajukan kembali permohonan sertifikasi terhadap

perubahan atau penambahan fitur keamanan atas TOE.
(2) Pelaksanaan permohonan sertifikasi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan sebagaimana dimaksud dalam Pasal 4 sampai dengan Pasal 16, kecuali Pasal 5.
(3) Persyaratan untuk mengajukan permohonan sertifikasi sebagaimana dimaksud pada ayat (1) meliputi:
a. formulir aplikasi permohonan sertifikasi TOE;
b. ST;
c. dokumentasi test plan pada penambahan atau perubahan fitur keamanan;
d. CR;
e. IAR;
f. surat rekomendasi pelaksanaan sertifikasi TOE ulang dari LSPro yang masih berlaku; dan
g. TOE yang sudah terdapat perubahan atau penambahan fitur keamanan.

Proses pemeliharaan jaminan keamanan sebagaimana dimaksud dalam Pasal 21 tercantum dalam Lampiran II yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Pengawasan pasca sertifikasi dilakukan terhadap:
a. penyalahgunaan sertifikat CC INDONESIA; dan
b. penyalahgunaan nama dan logo Badan Siber dan Sandi Negara, LSPro, SCCI, dan/atau CCRA.
(2) Pengawasan sebagaimana dimaksud pada ayat (1) dilaksanakan oleh LSPro.

Pengawasan pasca sertifikasi sebagaimana dimaksud dalam Pasal 32 dilaksanakan setiap 2 (dua) tahun sekali atau sewaktu-waktu ketika dibutuhkan.

(1) Sponsor atau Developer dapat mengajukan pengaduan secara tertulis kepada LSPro terhadap layanan permohonan sertifikasi CC INDONESIA dan pemeliharaan jaminan keamanan.
(2) LSPro memberikan tanggapan atas pengaduan yang diajukan oleh Sponsor atau Developer sebagaimana dimaksud pada ayat (1).
(3) Pemberian tanggapan sebagaimana dimaksud pada ayat
(2) dilaksanakan dalam waktu paling lama 10 (sepuluh) hari kerja sejak pengaduan diterima.

Penyelenggara SCCI terdiri atas:
a. komite skema;
b. LSPro; dan
c. Laboratorium Pengujian.

(1) Komite skema sebagaimana dimaksud dalam Pasal 35 huruf a ditetapkan oleh Kepala Badan Siber dan Sandi Negara.
(2) Komite skema sebagaimana dimaksud pada ayat (1) memiliki tugas:
a. melakukan evaluasi laporan manajemen dan kinerja SCCI sebagai bahan pertimbangan kaji ulang SCCI;

b. melaksanakan kaji ulang SCCI paling sedikit 2 (dua) tahun sekali; dan
c. melakukan tinjauan mengenai ketidakberpihakan dalam proses sertifikasi paling sedikit 1 (satu) tahun sekali.

Komite skema sebagaimana dimaksud dalam Pasal 35 huruf a terdiri atas:
a. 1 (satu) orang kepala yang merupakan pejabat pimpinan tinggi madya yang tugas dan fungsinya di bidang sertifikasi keamanan Produk Teknologi Informasi di Badan Siber dan Sandi Negara;
b. 1 (satu) orang perwakilan dari instansi pemerintah yang merupakan pejabat pimpinan tinggi pratama yang menguasai keamanan Produk Teknologi Informasi;
c. 1 (satu) orang perwakilan dari industri yang merupakan ketua asosiasi di bidang industri keamanan Produk Teknologi Informasi; dan
d. 1 (satu) orang pakar di bidang keamanan Produk Teknologi Informasi.

Komite skema sebagaimana dimaksud dalam Pasal 35 huruf a bersifat ad-hoc dan memiliki masa jabatan selama 2 (dua) tahun.

(1) Dalam melaksanakan tugas sebagaimana dimaksud dalam Pasal 36 ayat (2) komite skema dibantu oleh sekretariat komite skema yang ditetapkan oleh Kepala Badan Siber dan Sandi Negara.
(2) Sekretariat komite skema sebagaimana dimaksud pada ayat (1) memiliki tugas memberikan dukungan teknis, operasional, dan administrasi kepada komite skema.
(3) Sekretariat komite skema sebagaimana dimaksud pada ayat (1) dilaksanakan oleh unit kerja Badan Siber dan

Sandi Negara yang tugas dan fungsinya di bidang sertifikasi keamanan Produk Teknologi Informasi.

(1) LSPro sebagaimana dimaksud dalam Pasal 35 huruf b ditetapkan oleh Kepala Badan Siber dan Sandi Negara.
(2) LSPro sebagaimana dimaksud pada ayat (1) memiliki tugas melaksanakan sertifikasi keamanan Produk Teknologi Informasi sesuai dengan ISO/IEC 15408 dan ISO/IEC 18045.

(1) LSPro sebagaimana dimaksud dalam Pasal 35 huruf b paling sedikit meliputi:
a. kepala;
b. manajer teknis;
c. manajer mutu; dan
d. 2 (dua) orang sertifikator.
(2) Kepala sebagaimana dimaksud pada ayat (1) huruf a merupakan pejabat pimpinan tinggi pratama Badan Siber dan Sandi Negara yang tugas dan fungsinya di bidang sertifikasi keamanan Produk Teknologi.
(3) Manajer teknis sebagaimana dimaksud pada ayat (1) huruf b merupakan pejabat administrator Badan Siber dan Sandi Negara yang tugas dan fungsinya di bidang sertifikasi keamanan Produk Teknologi Informasi.
(4) Manajer mutu sebagaimana dimaksud pada ayat (1) huruf c merupakan pejabat administrator Badan Siber dan Sandi Negara yang tugas dan fungsinya di bidang standardisasi keamanan Produk Teknologi Informasi.
(5) Sertifikator sebagaimana dimaksud pada ayat (1) huruf d merupakan pegawai yang memiliki kompetensi di bidang sertifikasi keamanan Produk Teknologi Informasi.

Kepala sebagaimana dimaksud dalam Pasal 41 ayat (1) huruf a memiliki tugas:

a. melakukan reviu aplikasi permohonan sertifikasi CC INDONESIA dan aplikasi permohonan pemeliharaan jaminan keamanan;
b. menandatangani sertifikat CC INDONESIA;
c. melaksanakan fungsi manajemen LSPro sesuai ISO/IEC 17065;
d. menjadi perwakilan SCCI di dalam CCRA;
e. menyusun Interpretasi Nasional dan Interpretasi Internasional;
f. menyusun laporan manajemen dan kinerja SCCI kepada komite skema;
g. memberikan lisensi Laboratorium Pengujian; dan
h. melaksanakan kaji ulang manajemen LSPro paling sedikit 1 (satu) tahun sekali.

Manajer teknis sebagaimana dimaksud dalam Pasal 41 ayat
(1) huruf b memiliki tugas:
a. memastikan sumber daya sertifikasi terpenuhi dalam proses sertifikasi;
b. mereviu dan menandatangani CR sebelum diserahkan kepada kepala;
c. menyusun laporan tahunan kegiatan kepada kepala;
d. melakukan otorisasi pemutakhiran register produk CC INDONESIA terkait sertifikasi TOE atau PP;
e. mereviu permohonan lisensi Laboratorium Pengujian;
dan
f. melakukan pengawasan pasca sertifikasi dan melaporkan hasilnya kepada kepala.

Manajer mutu sebagaimana dimaksud dalam Pasal 41 ayat (1) huruf c memiliki tugas:
a. melakukan audit mutu internal LSPro sesuai ISO/IEC 17065;
b. melakukan manajemen keamanan informasi LSPro sesuai ISO/IEC 27001;

c. melakukan audit mutu pekerjaan sertifikasi yang dilaksanakan oleh sertifikator;
d. menyusun program pengembangan kompetensi sertifikator; dan
e. memantau pelaksanaan panduan mutu LSPro.

Sertifikator sebagaimana dimaksud dalam Pasal 41 ayat (1) huruf d memiliki tugas:
a. melaksanakan sertifikasi TOE atau PP;
b. membuat draft CR yang diserahkan kepada manajer teknis;
c. mereviu ETR dan EOR;
d. menyusun RR terhadap ETR dan EOR;
e. berkoordinasi atau berkonsultasi dengan evaluator terkait proses sertifikasi TOE atau PP atau apabila terdapat temuan yang memerlukan tindak lanjut; dan
f. mereviu IAR dan memberikan laporan hasil reviu kepada manajer teknis.

(1) Laboratorium Pengujian sebagaimana dimaksud dalam Pasal 35 huruf c diselenggarakan oleh pemerintah atau swasta.
(2) Laboratorium Pengujian sebagaimana dimaksud pada ayat (1) harus mendapatkan lisensi dari LSPro.
(3) Lisensi sebagaimana dimaksud pada ayat (2) berlaku selama 5 (lima) tahun.

Laboratorium Pengujian sebagaimana dimaksud dalam Pasal 35 huruf c memiliki tugas melakukan pengujian kesesuaian keamanan Produk Teknologi Informasi berdasarkan SCCI.

Laboratorium Pengujian sebagaimana dimaksud dalam Pasal 47 paling sedikit terdiri atas:

a. kepala;
b. manajer teknis;
c. manajer mutu; dan
d. 2 (dua) orang evaluator.

Kepala sebagaimana dimaksud dalam Pasal 48 huruf a memiliki tugas:
a. melakukan pembinaan dan pengembangan kompetensi sumber daya manusia laboratorium;
b. melakukan pemutakhiran dan pengembangan teknologi dan peralatan uji laboratorium;
c. menandatangani ETR yang sudah diotorisasi oleh manajer teknis laboratorium dan dikirimkan kepada LSPro;
d. melakukan koordinasi teknis dengan LSPro;
e. melaksanakan fungsi manajemen laboratorium sesuai ISO/IEC 17025; dan
f. melaksanakan kaji ulang manajemen laboratorium paling sedikit 1 (satu) tahun sekali.

Manajer teknis sebagaimana dimaksud dalam Pasal 48 huruf b memiliki tugas:
a. melakukan manajemen kegiatan evaluasi sesuai Evaluation Work Plan;
b. melakukan reviu IAR;
c. memberikan konsultasi pembuatan Evaluation Project Proposal, ST, dan Bukti Evaluasi TOE;
d. melakukan otorisasi ETR;
e. mengalokasikan sumber daya untuk kegiatan evaluasi TOE;
f. melakukan koordinasi teknis dengan LSPro;
g. menyusun laporan tahunan kegiatan; dan
h. membantu proses Shadow Certification dan Voluntary Periodic Assesment sesuai dengan ratifikasi perjanjian CCRA.

Manajer mutu sebagaimana dimaksud dalam Pasal 48 huruf c memiliki tugas:
a. merencanakan kegiatan audit internal laboratorium sesuai ISO/IEC 17025;
b. melakukan manajemen keamanan informasi laboratorium sesuai ISO/IEC 27001;
c. melakukan audit mutu pekerjaan evaluasi yang dilaksanakan oleh evaluator;
d. menyusun program pengembangan kompetensi evaluator; dan
e. memantau pelaksanaan panduan mutu laboratorium.

Evaluator sebagaimana dimaksud dalam Pasal 48 huruf d memiliki tugas:
a. melaksanakan evaluasi TOE;
b. menyusun buku kerja evaluasi;
c. menyusun EOR;
d. menyusun ETR;
e. berkoordinasi atau berkonsultasi dengan sertifikator apabila terdapat temuan di dalam EOR yang memerlukan tindak lanjut perbaikan oleh Sponsor atau Developer; dan
f. mereviu IAR dan memberikan laporan hasil reviu kepada manajer teknis Laboratorium Pengujian.

Struktur penyelenggara SCCI sebagaimana dimaksud dalam Pasal 35 tercantum dalam Lampiran III yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Peraturan Badan ini mulai berlaku pada tanggal diundangkan.

Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA.

Ditetapkan di Jakarta pada tanggal 20 Desember 2019

KEPALA BADAN SIBER DAN SANDI NEGARA,

ttd.

HINSA SIBURIAN

Diundangkan di Jakarta pada tanggal 27 Desember 2019

DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

ttd.

WIDODO EKATJAHJANA