Peraturan Badan Nomor 17 Tahun 2023 tentang SISTEM MANAJEMEN KEAMANAN INFORMASI BADAN KEPENDUDUKAN DAN KELUARGA BERENCANA NASIONAL

Dalam Peraturan Badan ini yang dimaksud dengan: 1. Ancaman adalah potensi penyebab insiden yang tidak diinginkan, yang dapat mengakibatkan bahaya pada sistem atau organisasi. 2. Informasi adalah data dalam segala bentuknya (input, output, dan data terproses) yang digunakan oleh aktivitas bisnis. 3. Keamanan Informasi adalah proteksi perlindungan Informasi dari Ancaman yang relevan untuk memastikan keberlangsungan bisnis, dan meminimalkan risiko bisnis. 4. Kendali adalah tindakan yang memelihara dan/atau memodifikasi risiko. 5. Risiko adalah segala kejadian dalam setiap aktivitas organisasi yang timbul karena faktor eksternal maupun internal, yang mengandung potensi menghambat pencapaian tujuan organisasi atau mengoptimalkan peluang bisnis. 6. Manajemen Risiko adalah aktivitas terkoordinasi untuk identifikasi, penilaian, dan penentuan prioritas Risiko yang kemudian akan dikelola, dipantau, dan dikontrol untuk mengurangi dampak dan/atau kemungkinan terjadinya Risiko tersebut. 7. Rencana Tindak Lanjut Risiko yang selanjutnya disebut RTL adalah respon yang direncanakan manajemen untuk menindaklanjuti hasil evaluasi Risiko. 8. Sistem Manajemen Keamanan Informasi yang selanjutnya disingkat SMKI adalah pendekatan sistem manajemen keamanan Aset Informasi terutama dalam konteks confidentiality (kerahasiaan), integrity (keutuhan), dan availability (ketersediaan). 9. Statement of Applicability yang selanjutnya disingkat SoA adalah dokumen komprehensif yang menguraikan Kendali Keamanan Informasi sesuai hasil penilaian Risiko. 10. Pemangku Kepentingan adalah orang atau organisasi yang dapat memengaruhi, dipengaruhi, atau menganggap dirinya dipengaruhi oleh suatu keputusan atau aktivitas. 11. Badan Kependudukan dan Keluarga Berencana Nasional yang selanjutnya disingkat BKKBN adalah Instansi Pemerintah yang melaksanakan tugas pemerintahan di bidang pengendalian penduduk dan penyelenggaraan keluarga berencana.

Peraturan Badan ini dimaksudkan sebagai pedoman bagi pimpinan unit kerja di lingkungan BKKBN dalam mengelola Keamanan Informasi.

Siklus SMKI meliputi: a. penetapan ruang lingkup; b. penetapan penanggung jawab; c. perencanaan; d. dukungan pengoperasian; e. evaluasi kinerja; dan f. perbaikan berkelanjutan, terhadap keamanan informasi dalam sistem pemerintahan berbasis elektronik.

(1) Penetapan ruang lingkup SMKI BKKBN dilakukan melalui tahapan: a. identifikasi isu; b. identifikasi kebutuhan; dan c. penetapan lingkup SMKI. (2) Identifikasi isu sebagaimana dimaksud pada ayat (1) huruf a dilakukan dengan cara mengidentifikasi isu internal maupun eksternal yang berpengaruh dalam pencapaian outcome SMKI. (3) Identifikasi kebutuhan sebagaimana dimaksud pada ayat (1) huruf b dilakukan dengan cara mengidentifikasi Pemangku Kepentingan terkait SMKI dan kebutuhan serta ekspektasi masing-masing Pemangku Kepentingan tersebut. (4) Penetapan lingkup SMKI sebagaimana dimaksud pada ayat (1) huruf c dilakukan dengan cara analisis lingkup dan batasan SMKI dengan mempertimbangkan isu dan kebutuhan yang telah diidentifikasi.

(1) Penanggung jawab SMKI dijabat oleh Sekretaris Utama BKKBN. (2) Penanggung jawab SMKI memiliki tugas: a. memastikan tujuan dan kebijakan SMKI yang selaras dengan arahan strategis BKKBN; b. memastikan terjadinya integrasi antara SMKI dengan proses bisnis BKKBN; c. memastikan ketersediaan sumber daya SMKI; d. mengkomunikasikan pentingnya SMKI dan pemenuhan persyaratannya kepada Pemangku Kepentingan; e. memberikan arahan dan dukungan kepada manajemen dan pelaksana SMKI; dan f. memastikan tercapainya tujuan SMKI. (3) Dalam melaksanakan tugas, penanggung jawab SMKI dibantu oleh tim SMKI. (4) Tim SMKI sebagaimama dimaksud pada ayat (3) ditetapkan oleh Kepala BKKBN.

(1) Perencanaan SMKI dilakukan melalui tahapan: a. penilaian Risiko Keamanan Informasi; b. penetapan SoA; dan c. perencanaan sasaran Keamanan Informasi. (2) Tim SMKI melakukan penilaian Risiko Keamanan Informasi sebagaimana dimaksud pada ayat (1) huruf a dengan tahapan: a. penetapan pendekatan penilaian Risiko Keamanan Informasi yang akan digunakan oleh BKKBN; b. identifikasi, analisis, evaluasi, dan penanganan Risiko yang akan menghasilkan analisis Risiko dan RTL; c. RTL memuat Kendali yang dibutuhkan untuk memitigasi Risiko; d. Pelaksanaan Kendali diarahkan pada upaya mengurangi Risiko Keamanan Informasi sampai batas yang dapat diterima oleh BKKBN; dan e. Persetujuan dari Kepala BKKBN atas hasil analisis Risiko Keamanan Informasi dan RTL BKKBN. (3) Sekretaris Utama BKKBN selaku penanggung jawab SMKI MENETAPKAN SoA sebagaimana dimaksud pada ayat (1) huruf b dengan memilih Kendali Keamanan Informasi sesuai dengan hasil penilaian Risiko. (4) Tim SMKI melakukan perencanaan sasaran Keamanan Informasi sebagaimana dimaksud pada ayat (1) huruf c dengan berdasarkan pada kebijakan SMKI dan kebutuhan Keamanan Informasi. (5) Perencanaan sasaran Keamanaan Informasi sebagaimana dimaksud pada ayat (4) dapat dilakukan perubahan. (6) Perubahan sebagaimana dimaksud pada ayat (5) dilaksanakan sesuai dengan Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Dalam melaksanakan SMKI BKKBN diperlukan dukungan: a. sumber daya; b. penyampaian komunikasi dan dokumentasi SMKI; dan c. pengendalian dokumen. (2) Dukungan sumber daya sebagaimana dimaksud pada ayat (1) huruf a dilakukan melalui: a. persetujuan rencana kerja anggaran terkait dan realisasi pengadaannya untuk keberjalanan SMKI; dan b. alokasi sumber daya manusia Keamanan Informasi yang memadai untuk keberjalanan SMKI, yang memenuhi aspek kuantitas dan kualitas yang disyaratkan. (3) Dukungan penyampaian komunikasi dan dokumentasi SMKI sebagaimana dimaksud pada ayat (1) huruf b dilakukan melalui: a. penyampaian komunikasi Keamanan Informasi oleh Kepala BKKBN kepada Pemangku Kepentingan; dan b. pengelolaan dan pengendalian dokumentasi SMKI oleh Tim SMKI yang sesuai dengan prosedur Keamanan Informasi yang berlaku dan memenuhi aspek ketersediaan, keutuhan, kerahasiaan dalam hal akses, distribusi, penyimpanan, perubahan/Kendali versi, retensi serta disposisi. (4) Dukungan pengendalian dokumen sebagaimana dimaksud pada ayat (1) huruf c dilakukan melalui: a. pengendalian distribusi dokumen sesuai dengan klasifikasi Keamanan Informasi dokumen; b. pengendalian dokumen yang digunakan merupakan dokumen yang terbaru; c. kebijakan, prosedur, dan pedoman dipublikasikan secara terpusat; dan d. dokumen yang sudah tidak digunakan, sudah digantikan oleh dokumen versi terbaru, atau ditarik karena alasan tertentu, ditandai sebagai dokumen kadaluarsa atau tidak digunakan sejak tanggal tertentu.

(1) Pengoperasian SMKI dilakukan dengan tahapan: a. formulasi rencana penanganan Risiko; b. implementasi rencana pengendalian Risiko; c. pengendalian perubahan tahap operasional; dan d. penilaian Risiko Keamanan Informasi tahap operasional. (2) Formulasi rencana penanganan Risiko sebagaimana dimaksud pada ayat (1) huruf a meliputi rencana tindakan, sumber daya, tanggung jawab, serta prioritas yang memadai untuk mengelola Risiko Keamanan Informasi di BKKBN. (3) Implementasi rencana pengendalian Risiko sebagaimana dimaksud pada ayat (1) huruf b dilakukan dalam rangka mencapai tujuan pengendalian dengan mempertimbangkan aspek pendanaan dan alokasi peran serta tanggung jawab Keamanan Informasi di BKKBN. (4) Pengendalian perubahan tahap operasional sebagaimana dimaksud pada ayat (1) huruf c dilakukan dengan mereviu dampak perubahan dan melakukan tindakan untuk memitigasi Risiko perubahan tersebut. (5) Penilaian Risiko Keamanan Informasi tahap operasional sebagaimana dimaksud pada ayat (1) huruf d dilakukan secara rutin atau pada saat perubahan sesuai dengan Kebijakan Manajemen Risiko yang berlaku.

(1) Evaluasi kinerja SMKI dilakukan melalui tahapan: a. evaluasi pencapaian sasaran SMKI; b. audit internal; dan c. tinjauan manajemen. (2) Tim SMKI melakukan evaluasi pencapaian sasaran SMKI sebagaimana dimaksud pada ayat (1) huruf a melalui evaluasi pencapaian kinerja Keamanan Informasi sesuai dengan sasaran yang telah ditetapkan sebelumnya. (3) Unit kerja yang melaksanakan fungsi pengawasan internal melakukan audit internal sebagaimana dimaksud pada ayat (1) huruf b untuk memastikan persyaratan SMKI telah dipenuhi dan terimplementasi serta terpelihara secara efektif. (4) Penanggung jawab SMKI melakukan tinjauan manajemen sebagaimana dimaksud pada ayat (1) huruf c terhadap: a. status tinjauan manajemen sebelumnya; b. perubahan isu Keamanan Informasi; c. perubahan pihak berkepentingan dan kebutuhannya; d. feedback kinerja Keamanan Informasi; e. feedback dari pihak terkait; f. hasil asesmen Risiko dan status risk treatment; dan g. peluang peningkatan kematangan SMKI BKKBN. (5) Evaluasi Kinerja SMKI sebagaimana dimaksud pada ayat (1) dilaksanakan secara rutin paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

(1) Tim SMKI melakukan upaya tindak lanjut berdasarkan hasil tinjauan manajemen sebagaimana dimaksud dalam Pasal 9 ayat (4) melalui peningkatan kesesuaian, kecukupan, dan efektivitas SMKI di BKKBN. (2) Berdasarkan hasil evaluasi kinerja SMKI ditemukan ketidaksesuaian SMKI, tim SMKI melakukan: a. peningkatan Kendali dan perbaikan dalam rangka mitigasi Risiko; b. mitigasi dampak atas ketidaksesuaian SMKI; c. mengevaluasi efektivitas tindakan koreksi; dan d. pendokumentasian hasil tindak lanjut ketidaksesuaian SMKI.

(1) Kendali sebagaimana dimaksud dalam Pasal 6 ayat (2) huruf c merupakan seperangkat upaya dalam rangka memitigasi Risiko. (2) Kendali Keamanan Informasi sebagaimana dimaksud pada ayat (1) terbagi atas kategori organisasi, orang, fisik, dan teknologi. (3) Ketentuan mengenai Kendali Keamanan Informasi sebagaimana dimaksud pada ayat (2) tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Peraturan Badan ini mulai berlaku pada tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 8 November 2023 KEPALA BADAN KEPENDUDUKAN DAN KELUARGA BERENCANA NASIONAL REPUBLIK INDONESIA, ttd. HASTO WARDOYO Diundangkan di Jakarta pada tanggal 20 November 2023 DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd. ASEP N. MULYANA