Peraturan Badan Nomor 8 Tahun 2020 tentang SISTEM MANAJEMEN KEAMANAN INFORMASI DI LINGKUNGAN BADAN PENGAWAS TENAGA NUKLIR

Dalam Peraturan Badan ini yang dimaksud dengan: 1. Aset Informasi adalah aset dalam bentuk data atau dokumen, perangkat lunak, aset fisik, dan aset tak berwujud. 2. Badan adalah Badan Pengawas Tenaga Nuklir. 3. Chief Information Officer yang selanjutnya disingkat CIO adalah pejabat pengarah informasi yang dijabat oleh Sekretaris Utama sebagai koordinator penyelenggaraan tata kelola Teknologi Informasi dan Komunikasi di lingkungan Badan. 4. Chief Information Security Officer yang selanjutnya disingkat CISO adalah pejabat yang berperan sebagai koordinator dalam pelaksanaan implementasi kebijakan dan standar SMKI di Lingkungan Badan. 5. Keamanan Informasi adalah terjaganya kerahasiaan, keutuhan, dan ketersediaan informasi. 6. Teknologi Informasi dan Komunikasi yang selanjutnya disingkat TIK adalah teknologi untuk mengumpulkan, menyiapkan, menyimpan, mengolah, mengumumkan, menganalisis, mengambil kembali, mengirim atau menerima data dan informasi. 7. Komite TIK adalah komite yang terdiri dari Deputi Perizinan dan Inspeksi, Deputi Pengkajian Keselamatan Nuklir, Manajemen Unit Pengelola TIK, dan Ahli TIK yang dibentuk dengan tujuan untuk memberikan dukungan teknis TIK dalam mendukung pelaksanaan tugas CIO. 8. Sistem Manajemen Keamanan Informasi yang selanjutnya disingkat SMKI adalah sistem manajemen yang meliputi organisasi, perencanaan, penanggung jawab, proses, dan sumber daya yang mengacu pada pendekatan risiko bisnis untuk MENETAPKAN, mengimplementasikan, mengoperasikan, memantau, mengevaluasi, mengelola, dan meningkatkan keamanan informasi. 9. Tim Keamanan Informasi adalah tim yang dibentuk dalam rangka perlindungan terhadap keamanan informasi Badan. 10. Unit Pemilik Proses Bisnis adalah unit kerja yang memiliki aplikasi sistem informasi dan/atau memiliki alat monitoring pengawasan ketenaganukliran. 11. Unit Pengelola TIK adalah unit kerja yang melakukan pengelolaan teknologi informasi dan komunikasi berupa mengumpulkan, menyiapkan, menyimpan, mengolah, mengumumkan, menganalisis, mengambil kembali, mengirim atau menerima data dan informasi.

Peraturan Badan ini mengatur kebijakan dan standar SMKI yang digunakan sebagai pedoman dalam melindungi keamanan aset informasi milik Badan.

Kebijakan dan standar SMKI sebagaimana dimaksud dalam Pasal 2 dikoordinasikan oleh Sekretaris Utama selaku CIO dan sekaligus CISO.

(1) Dalam melaksanakan tugasnya, CISO sebagaimana dimaksud dalam Pasal 3 MENETAPKAN Tim Keamanan Informasi. (2) Tim Keamanan Informasi sebagaimana dimaksud pada ayat (1) terdiri atas: a. CISO; b. Unit Pengelola TIK; dan c. Unit Pemilik Proses Bisnis

CISO sebagaimana dimaksud dalam Pasal 4 bertanggung jawab untuk: a. mengkoordinasikan perumusan dan penyempurnaan kebijakan dan standar SMKI di Lingkungan Badan; b. memelihara dan mengendalikan penerapan kebijakan dan standar SMKI di seluruh area di Lingkungan Badan yang menjadi tujuan sasaran pengendalian; c. MENETAPKAN target keamanan informasi setiap tahunnya serta menyusun rencana kerja; d. memastikan efektivitas dan konsistensi penerapan kebijakan dan standar SMKI di Lingkungan Badan serta mengukur kinerja keseluruhan; dan e. melaporkan kinerja penerapan kebijakan dan standar SMKI di Lingkungan Badan serta pencapaian target kepada Komite TIK. f. menunjuk pihak yang berkompeten untuk melakukan audit terhadap penerapan kebijakan dan standar SMKI di Lingkungan Badan.

Unit Pengelola TIK sebagaimana dimaksud dalam Pasal 4 bertanggung jawab untuk: a. memastikan kebijakan dan standar SMKI di Lingkungan Badan diterapkan secara efektif; b. memastikan langkah-langkah perbaikan sudah dilakukan berdasarkan saran dan rekomendasi yang diberikan dalam pelaksanaan evaluasi dan/atau audit penerapan kebijakan dan standar SMKI di Lingkungan Badan; c. memastikan peningkatan kesadaran, kepedulian, dan kepatuhan seluruh pegawai terhadap kebijakan dan standar SMKI di Lingkungan Badan; d. melaporkan kinerja penerapan kebijakan dan standar SMKI di Lingkungan Badan sesuai ruang lingkup tanggung jawabnya kepada CISO yang akan digunakan sebagai dasar peningkatan keamanan informasi; e. mengkoordinasikan penanganan gangguan keamanan informasi Badan; dan f. memastikan terlaksananya audit terhadap penerapan kebijakan dan standar SMKI pada masing-masing unit eselon I di lingkungan Badan paling sedikit 1 (satu) kali dalam 3 (tiga) tahun.

Unit Pemilik Proses Bisnis sebagaimana dimaksud dalam Pasal 4 bertanggung jawab untuk: a. melaksanakan dan mengawasi penerapan kebijakan dan standar SMKI di Lingkungan Badan; b. memberi masukan peningkatan terhadap kebijakan dan standar SMKI di Lingkungan Badan; c. mendefinisikan kebutuhan, merekomendasikan, dan mengupayakan penyelenggaraan pendidikan dan pelatihan keamanan informasi bagi pegawai di Lingkungan Badan; d. memantau, mencatat, dan menguraikan secara jelas gangguan keamanan informasi yang diketahui atau laporan yang diterima, dan menindaklanjuti laporan tersebut sesuai prosedur pelaporan gangguan keamanan informasi, dan e. memberi panduan dan/atau bantuan penyelesaian masalah-masalah keamanan informasi di Lingkungan Badan;

(1) Audit terhadap penerapan kebijakan dan standar SMKI di Lingkungan Badan sebagaimana dimaksud dalam Pasal 6 huruf f dilakukan dengan tujuan untuk memastikan pengendalian, proses dan prosedur SMKI dilaksanakan secara efektif dan dipelihara dengan baik. (2) Audit sebagaimana dimaksud pada ayat (1) dilakukan oleh pihak yang berkompeten untuk melakukan audit yang ditunjuk oleh CISO. (3) Pihak yang berkompeten untuk melakukan audit menyampaikan laporan hasil audit terhadap penerapan kebijakan dan standar SMKI di Lingkungan Badan kepada CISO.

(1) CISO menyampaikan laporan hasil audit kepada Unit Pengelola TIK. (2) Unit Pengelola TIK berkoordinasi dengan Unit Pemilik Proses Bisnis untuk melakukan tindak lanjut atas laporan hasil audit. (3) Unit Pemilik Proses Bisnis menindaklanjuti laporan hasil audit. (4) Unit Pemilik Proses Bisnis menyampaikan hasil tindak lanjut terhadap laporan hasil audit kepada Unit Pengelola TIK dalam laporan kinerja SMKI.

Kebijakan dan standar SMKI sebagaimana dimaksud dalam Pasal 2 terdiri dari 11 sasaran pengendalian, yaitu: a. Pengendalian Umum; b. Pengendalian Organisasi Keamanan Informasi; c. Pengendalian Pengelolaan Aset Informasi; d. Pengendalian Keamanan Sumber Daya Manusia; e. Pengendalian Keamanan Fisik dan Lingkungan; f. Pengendalian Pengelolaan Komunikasi dan Operasional; g. Pengendalian Kontrol Akses; h. Pengendalian Keamanan Informasi dalam Pengadaan, Pengembangan dan Pemeliharaaan Sistem Informasi; i. Pengendalian Pengelolaan Gangguan Keamanan Informasi; j. Pengendalian Keamanan Informasi Dalam Pengelolaan Kelangsungan Kegiatan; dan k. Pengendalian Kepatuhan

Kebijakan dan standar SMKI sebagaimana dimaksud dalam Pasal 10 tercantum dalam lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Peraturan Badan ini mulai berlaku pada tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 9 Oktober 2020 KEPALA BADAN PENGAWAS TENAGA NUKLIR REPUBLIK INDONESIA, ttd JAZI EKO ISTIYANTO Diundangkan di Jakarta pada tanggal 27 Oktober 2020 DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd WIDODO EKATJAHJANA