Peraturan Badan Nomor 04 Tahun 2018 tentang Sistem Manajemen Keamanan Informasi di Lingkungan Komisi Pemberantasan Korupsi

Dalam Peraturan Komisi ini yang dimaksud dengan: 1. Akses adalah tindakan untuk memperoleh Aset Informasi. 2. Arsip adalah rekaman kegiatan atau peristiwa dalam berbagai bentuk dan media sesuai dengan perkembangan teknologi Informasi dan komunikasi yang dibuat dan diterima oleh lembaga negara, pemerintah daerah, lembaga pendidikan, perusahaan, organisasi politik, organisasi kemasyarakatan, dan perseorangan dalam pelaksanaan kehidupan bermasyarakat, berbangsa, dan bernegara. 3. Aset adalah segala sesuatu yang memiliki nilai untuk Komisi dan karenanya membutuhkan suatu bentuk perlindungan. 4. Aset Informasi adalah Informasi yang memiliki nilai untuk Komisi dan karenanya membutuhkan suatu bentuk perlindungan. 5. Back Up adalah salinan duplikasi dari data atau keseluruhan data dari tempat penyimpanan data ke dalam tempat penyimpanan yang terpisah. 6. Business Continuity Management adalah mekanisme yang mengatur dan memastikan adanya tindakan yang dilakukan ketika aktivitas teknologi Informasi mengalami gangguan/hambatan (bencana) serta memastikan bahwa proses bisnis Komisi masih dapat berjalan dan pelayanan tidak terhenti. 7. Business Continuity Plan adalah strategi pemulihan bencana yang dirancang oleh Komisi. 8. Contingency Planning Process adalah pernyataan secara komprehensif mengenai tindakan yang akan diambil sebelum, selama, dan setelah terjadinya bencana. 9. Document Management System adalah Sistem Informasi yang digunakan untuk mengelola dokumen pada setiap life cycle dokumen tersebut. 10. Enkripsi adalah metode pengodean data agar komputer tidak dapat membaca atau menggunakan data. 11. Event Log adalah objek yang memungkinkan pengguna komputer untuk melihat status dari aplikasi keamanan dan proses dari suatu sistem dan melihat keterkaitannya. 12. Fasilitas Pengolahan Informasi adalah sebuah sistem, layanan, infrastruktur, atau suatu lokasi fisik yang melakukan pengolahan Informasi. 13. Hak Akses adalah izin yang diberikan untuk memperoleh Aset Informasi. 14. Informasi adalah keterangan, pernyataan, gagasan, dan tanda-tanda yang mengandung nilai, makna, dan pesan, baik data, fakta, maupun penjelasannya yang dapat dilihat, didengar, dan dibaca yang disajikan dalam berbagai kemasan dan format sesuai dengan perkembangan teknologi informasi dan komunikasi secara elektronik ataupun non elektronik. 15. Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy, atau sejenisnya, huruf, tanda, angka, kode akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya. 16. Keamanan Informasi adalah terjaganya kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) Aset Informasi untuk pencapaian visi dan misi Komisi. 17. Komisi Pemberantasan Korupsi yang selanjutnya disebut Komisi adalah lembaga negara yang dalam melaksanakan tugas dan wewenangnya bersifat independen dan bebas dari pengaruh kekuasaan manapun sebagaimana dimaksud dalam UNDANG-UNDANG Nomor 30 Tahun 2002 tentang Komisi Pemberantasan Tindak Pidana Korupsi sebagaimana diubah dengan UNDANG-UNDANG Nomor 10 Tahun 2015 tentang Penetapan PERATURAN PEMERINTAH Pengganti UNDANG-UNDANG Nomor 1 Tahun 2015 tentang Perubahan Perubahan atas UNDANG-UNDANG Nomor 30 Tahun 2002 tentang Komisi Pemberantasan Tindak Pidana Korupsi menjadi UNDANG-UNDANG. 18. Kriptografi adalah teknik yang mengubah data menjadi berbeda dari aslinya dengan menggunakan algoritma matematika sehingga orang yang tidak mengetahui kuncinya tidak akan dapat membongkar data tersebut. 19. Malicious Software yang selanjutnya disebut Malware adalah suatu program yang dirancang dengan tujuan untuk merusak dengan menyusup ke sistem komputer. 20. Media Informasi adalah segala bentuk atau alat yang dapat digunakan untuk menyalurkan dan/atau menyimpan Informasi dari pengirim kepada penerima Informasi. 21. Patch adalah perangkat lunak sederhana yang digunakan untuk memperbaiki kelemahan perangkat lunak utama. 22. Pegawai Komisi Pemberantasan Korupsi yang selanjutnya disebut Pegawai adalah Pegawai Komisi sebagaimana dimaksud dalam PERATURAN PEMERINTAH Nomor 63 Tahun 2005 tentang Sistem Manajemen Sumber Daya Manusia Komisi Pemberantasan Korupsi sebagaiman telah diubah dengan PERATURAN PEMERINTAH Nomor 14 Tahun 2017 tentang Perubahan Kedua atas PERATURAN PEMERINTAH Nomor 63 Tahun 2005 tentang Sistem Manajemen Sumber Daya Manusia Komisi Pemberantasan Korupsi. 23. Penasihat Komisi Pemberantasan Korupsi yang selanjutnya disebut Penasihat adalah Tim Penasihat sebagaimana dimaksud dalam PERATURAN PEMERINTAH Nomor 63 Tahun 2005 tentang Sistem Manajemen Sumber Daya Manusia Komisi Pemberantasan Korupsi sebagaiman telah diubah dengan PERATURAN PEMERINTAH Nomor 14 Tahun 2017 tentang Perubahan Kedua atas PERATURAN PEMERINTAH Nomor 63 Tahun 2005 tentang Sistem Manajemen Sumber Daya Manusia Komisi Pemberantasan Korupsi. 24. Peran Pengendalian adalah tindakan pengendalian atau penerapan kontrol oleh seseorang dalam suatu peristiwa. 25. Perangkat Penunjang adalah peralatan dan suku cadang yang diperlukan untuk menjaga agar sistem tetap beroperasi. 26. Personil Komisi adalah Pimpinan, Penasihat, dan Pegawai Komisi. 27. Peta Pengendalian adalah pengelompokan kontrol dalam Peran Pengendalian. 28. Pihak Eksternal adalah pihak selain Personil Komisi. 29. Pimpinan Komisi Pemberantasan Korupsi yang selanjutnya disebut Pimpinan adalah Pimpinan Komisi sebagaimana dimaksud dalam UNDANG-UNDANG Nomor 30 Tahun 2002 tentang Komisi Pemberantasan Tindak Pidana Korupsi sebagaimana diubah dengan UNDANG-UNDANG Nomor 10 Tahun 2015 tentang Penetapan PERATURAN PEMERINTAH Pengganti UNDANG-UNDANG Nomor 1 Tahun 2015 tentang Perubahan Perubahan atas UNDANG-UNDANG Nomor 30 Tahun 2002 tentang Komisi Pemberantasan Tindak Pidana Korupsi menjadi UNDANG-UNDANG. 30. Platform Middleware adalah perangkat lunak yang menyediakan layanan bagi aplikasi perangkat lunak yang tersedia di luar sistem operasi. 31. Risiko adalah kejadian atau kondisi yang dapat menimbulkan dampak negatif atau positif terhadap pencapaian sasaran kinerja Komisi. 32. Risiko Keamanan Informasi adalah kejadian atau kondisi yang dapat menimbulkan dampak negatif atau positif terhadap terjaganya kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) Aset Informasi untuk pencapaian visi dan misi Komisi. 33. Removable Media adalah media penyimpanan data yang dapat dipindahkan (portable) dan dapat dihubungkan ke perangkat komputer serta dapat dilepas kembali tanpa membahayakan data di dalamnya. 34. Restore adalah memulihkan salinan data cadangan. 35. Routing adalah pengaturan lintasan komunikasi/data secara otomatis. 36. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. 37. Sistem Informasi adalah kesatuan komponen yang terdiri dari lembaga, sumber daya manusia, perangkat keras, perangkat lunak, substansi data, dan Informasi yang terkait satu sama lain dalam satu mekanisme kerja untuk mengelola data dan Informasi. 38. Sistem Manajemen Keamanan Informasi adalah bagian dari keseluruhan sistem manajemen organisasi untuk MENETAPKAN, menerapkan, mengoperasikan, memantau, meninjau, memelihara, dan meningkatkan Keamanan Informasi yang dibangun dengan pendekatan Risiko untuk mencapai visi dan misi Komisi. 39. System Administrator adalah seseorang yang mengelola sistem komputer dalam suatu organisasi. 40. System Image adalah isi dari cakram keras yang didalamnya terdapat sistem operasi dan aplikasi yang terinstal. 41. System Operator adalah seseorang yang mengelola pengoperasian sistem komputer atau layanan komunikasi elektronik tertentu. 42. Technical Vulnerability adalah sesuatu teknik yang bertalian dengan sistem komputer yang memungkinkan seseorang mengoperasikan dan menjalankannya dengan benar atau memungkinkan pihak yang tidak berwenang mengambil alih. 43. Teleworking adalah suatu aktivitas yang dilakukan oleh Personil Komisi untuk melakukan pekerjaan dari suatu tempat di luar gedung Komisi dan tidak terhubung ke jaringan internal dengan memanfaatkan teknologi komunikasi sehingga mendapatkan tingkatan Akses yang sama seperti saat bekerja di gedung Komisi. 44. User Acceptance Test adalah suatu proses pengujian oleh pengguna untuk menghasilkan dokumen yang dijadikan bukti bahwa software yang dikembangkan telah diterima oleh pengguna, apabila hasil pengujian sudah bisa dianggap memenuhi kebutuhan dari pengguna.

Sistem Manajemen Keamanan Informasi bertujuan: a. mengendalikan Risiko dan manfaat Informasi untuk pencapaian sasaran Komisi melalui perlindungan kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) Aset Informasi; b. meningkatkan komitmen terhadap pelaksanaan Sistem Manajemen Keamanan Informasi untuk mewujudkan Sistem Manajemen Keamanan Informasi sesuai dengan ketentuan peraturan perundang-undangan; c. memperoleh sertifikasi Keamanan Informasi berdasarkan Standar Nasional INDONESIA (SNI) ISO/IEC 27001:2013 Teknologi Informasi, Teknik Keamanan, Sistem Manajemen Keamanan Informasi, Persyaratan (Information Technology, Security Techniques, Information Security Management Systems, Requirements) dan ISO/IEC 27002:2013 Information Technology, Security Techniques, Code of Practice for Information Security Controls; dan d. menerapkan Keamanan Informasi berdasarkan Standar Nasional INDONESIA (SNI) ISO/IEC 27001:2013 dan ISO/IEC 27002:2013 di lingkungan Komisi.

Lingkup Peraturan Komisi ini mencakup: a. komitmen Pimpinan dan kebijakan Sistem Manajemen Keamanan Informasi; b. susunan organisasi Keamanan Informasi; c. sasaran, Peran Pengendalian, dan Peta Pengendalian Sistem Manajemen Keamanan Informasi; dan d. kerangka kerja Sistem Manajemen Keamanan Informasi.

(1) Komitmen Pimpinan Komisi dalam Sistem Manajemen Keamanan Informasi diwujudkan dengan: a. memastikan Sistem Manajemen Keamanan Informasi dilaksanakan sesuai dengan Rencana Strategis Komisi; b. memastikan integrasi ketentuan Sistem Manajemen Keamanan Informasi terdapat dalam proses bisnis dan prosedur operasi baku Direktorat, Biro, dan unit kerja terkait; c. memastikan ketersediaan sumber daya yang dibutuhkan untuk Sistem Manajemen Keamanan Informasi; d. mengomunikasikan pentingnya Sistem Manajemen Keamanan Informasi yang efektif dan sesuai dengan ketentuan Sistem Manajemen Keamanan Informasi; e. memastikan Sistem Manajemen Keamanan Informasi sesuai tujuan Komisi; f. mengarahkan dan memberi dukungan terhadap Direktur/Kepala Biro dalam implementasi Sistem Manajemen Keamanan Informasi; g. mendorong perbaikan Sistem Manajemen Keamanan Informasi secara berkelanjutan; h. mendukung peran kepemimpinan kepala unit kerja di Komisi dalam melaksanakan tugas dan fungsi unit kerja; dan i. memastikan tersedianya regulasi untuk mendukung pelaksanaan Sistem Manajemen Keamanan Informasi. (2) Regulasi sebagaimana dimaksud pada ayat (1) huruf i, harus memenuhi unsur sebagai berikut: a. sesuai dengan tujuan Komisi; b. sesuai dengan tujuan dari Keamanan Informasi; c. adanya komitmen untuk MENETAPKAN ketentuan yang terukur terkait dengan Keamanan Informasi; dan d. adanya komitmen untuk perbaikan yang berkelanjutan dari Sistem Manajemen Keamanan Informasi.

Susunan organisasi keamanan informasi dalam Sistem Manajemen Keamanan Informasi di lingkungan Komisi, sebagai berikut: a. Komite Keamanan Informasi (Information Security Committee/ISC) yaitu Sekretaris Jenderal sebagai Ketua dan beranggotakan Deputi Bidang Informasi dan Data, Deputi Bidang Pencegahan, Deputi Bidang Penindakan, Deputi Bidang Pengawasan Internal dan Pengaduan Masyarakat, dan Direktur/Kepala Biro; b. Chief Security Officer (CSO) yaitu Deputi Bidang Informasi dan Data; c. Chief Information Security Officer (CISO) yaitu Direktur/Kepala Biro; dan d. Sekretariat Keamanan Informasi (Information Security Secretariat) yaitu terdiri atas Pegawai pada Direktorat Pengolahan Informasi dan Data, Biro Sumber Daya Manusia, dan Biro Umum yang ditunjuk berdasarkan surat tugas.

(1) Susunan keanggotaan organisasi keamanan informasi sebagaimana dimaksud dalam Pasal 5 berlaku secara ex officio. (2) Apabila pejabat yang menduduki jabatan sedang berhalangan dan/atau tidak ada yang memegang jabatan maka secara ex officio digantikan oleh pelaksana tugas atau pelaksana harian yang ditunjuk berdasarkan Peraturan Komisi. (3) Peranan, tugas, dan hubungan kerja pada organisasi keamanan informasi di lingkungan Komisi tercantum dalam Lampiran I yang merupakan bagian tidak terpisahkan dari Peraturan Komisi ini.

(1) Sasaran pengendalian dalam Sistem Manajemen Keamanan Informasi di lingkungan Komisi, meliputi 14 (empat belas) area, yaitu: a. umum; b. organisasi Keamanan Informasi; c. sumber daya manusia; d. manajemen Media Informasi; e. pengendalian Akses; f. Kriptografi; g. keamanan fisik dan lingkungan; h. keamanan operasional; i. keamanan komunikasi; j. sistem akuisisi, pengembangan, dan pemeliharaan; k. hubungan dengan penyedia barang dan jasa; l. manajemen insiden Keamanan Informasi; m. Business Continuity Management; dan n. kepatuhan. (2) Pengendalian dalam Sistem Manajemen Keamanan Informasi dilaksanakan sesuai dengan peran, wewenang, dan tanggung jawab masing-masing pengendali sebagaimana tercantum dalam Lampiran II yang merupakan bagian tidak terpisahkan dari Peraturan Komisi ini.

Untuk mendukung keberhasilan Sistem Manajemen Keamanan Informasi, ditentukan sebagai berikut: a. Sekretaris Jenderal MENETAPKAN dan menyediakan sumber daya yang diperlukan untuk pengembangan, pelaksanaan, pemeliharaan, dan perbaikan yang berkesinambungan dalam Sistem Manajemen Keamanan Informasi; b. Kepala Biro Sumber Daya Manusia yang selanjutnya disebut Kepala Biro SDM dan Komite Keamanan Informasi menjamin terbentuknya pemahaman dan pelaksanaan tanggung jawab Keamanan Informasi sesuai dengan peran masing-masing; c. Direktur dan Kepala Biro memastikan Personil Komisi dan Pihak Eksternal menyadari dan memenuhi tanggung jawabnya terhadap Keamanan Informasi; d. Kepala Biro SDM memastikan tersedianya sumber daya manusia yang kompeten dalam pengelolaan Keamanan Informasi; e. Kepala Biro Hubungan Masyarakat yang selanjutnya disebut Kepala Biro Humas bekerja sama dengan Komite Keamanan Informasi memastikan berjalannya komunikasi yang diperlukan dalam pelaksanaan Sistem Manajemen Keamanan Informasi; f. Direktur dan Kepala Biro bekerja sama dengan Kepala Biro Umum untuk mendokumentasikan Informasi sesuai dengan ketentuan kearsipan Komisi; g. Direktur dan Kepala Biro bekerja sama dengan Kepala Biro Umum dalam MENETAPKAN Aset Informasi berupa dokumentasi Informasi yang meliputi: 1. Informasi yang diarsipkan; 2. penentuan klasifikasi Informasi yang diperlukan oleh Komisi untuk efektivitas Sistem Manajemen Keamanan Informasi; dan 3. klasifikasi Informasi sesuai dengan ketentuan kearsipan Komisi. h. Direktur dan Kepala Biro bekerja sama dengan Kepala Biro Umum untuk MENETAPKAN pembuatan dan perubahan dokumentasi informasi, harus memastikan: 1. identifikasi dan deskripsi; 2. format; dan 3. pengendalian dokumen. i. Direktur dan Kepala Biro bekerja sama dengan Kepala Biro Umum mendokumentasikan informasi yang diperlukan oleh Sistem Manajemen Keamanan Informasi untuk memastikan: 1. ketersediaan dan kesesuaian waktu serta lokasi penggunaannya; dan 2. terlindungi sesuai dengan standar yang berlaku. j. Direktur dan Kepala Biro bekerja sama dengan Kepala Biro Umum untuk mengendalikan dokumentasi Informasi dengan penanganan terhadap aktivitas, meliputi: 1. distribusi, Akses, pengambilan, dan penggunaan; 2. penyimpanan dan pemeliharaannya; 3. pengendalian terhadap perubahan; dan 4. retensi serta relokasi Informasi.

Sistem Manajemen Keamanan Informasi dilaksanakan dengan 4 (empat) tahapan sebagai berikut: a. perencanaan; b. implementasi; c. evaluasi; dan d. perbaikan.

(1) Perencanaan sebagaimana dimaksud dalam Pasal 9 huruf a mencakup, proses penetapan peraturan, tujuan, proses, dan prosedur Sistem Manajemen Keamanan Informasi dalam rangka mengelola Risiko Keamanan Informasi sesuai dengan ketentuan peraturan perundang-undangan. (2) Dalam menentukan tujuan sebagaimana dimaksud pada ayat (1) harus memenuhi kriteria sebagai berikut: a. selaras dan terukur dengan Sistem Manajemen Keamanan Informasi; b. memperhitungkan ketentuan Keamanan Informasi, hasil identifikasi, evaluasi, analisis, serta penanganan Risiko; dan c. mempertimbangkan isu eksternal dan internal, serta isu yang mempengaruhi kemampuan untuk mencapai sasaran Komisi berdasarkan Manajemen Risiko Komisi. (3) Tujuan sebagaimana dimaksud pada ayat (2) harus dikomunikasikan kepada Personil Komisi dan diperbarui oleh Komite Keamanan Informasi. (4) Dalam rangka mengelola Risiko Keamanan Informasi dalam tahap perencanaan sebagaimana dimaksud pada ayat (1), Komite Keamanan Informasi berwenang: a. menentukan kegiatan untuk mengatasi Risiko Keamanan Informasi; b. mengintegrasikan dan menerapkan kegiatan yang diperlukan dalam proses Sistem Manajemen Keamanan Informasi; c. mengevaluasi efektivitas kegiatan yang dimaksud dalam huruf a dan huruf b; dan d. MENETAPKAN dan menerapkan penilaian serta perlakuan Risiko Keamanan Informasi berdasarkan Manajemen Risiko Komisi. (5) Implementasi sebagaimana dimaksud dalam Pasal 9 huruf b mencakup pelaksanaan proses, prosedur, dan pengendalian terkait Sistem Manajemen Keamanan Informasi. (6) Evaluasi sebagaimana dimaksud dalam Pasal 9 huruf c mencakup proses penilaian dan pengukuran kinerja pelaksanaan Sistem Manajemen Keamanan Informasi untuk dilaporkan kepada Pimpinan. (7) Perbaikan sebagaimana dimaksud dalam Pasal 9 huruf d merupakan kegiatan perbaikan yang berkesinambungan sebagai tindak lanjut hasil audit atau evaluasi terhadap Sistem Manajemen Keamanan Informasi.

Implementasi Sistem Manajemen Keamanan Informasi dilakukan oleh Komisi sebagai berikut: a. unit kerja wajib menyusun dan melaksanakan rencana kegiatan serta melakukan pengendalian kegiatan untuk memenuhi ketentuan Sistem Manajemen Keamanan Informasi; b. unit kerja wajib menjaga Arsip yang diperlukan untuk memastikan pelaksanaan kegiatan telah sesuai dengan yang direncanakan; c. unit kerja wajib mengendalikan perubahan yang telah direncanakan dan mereviu konsekuensi dari perubahan serta mengambil tindakan mitigasi yang diperlukan; d. unit kerja wajib mengendalikan dan bertanggung jawab atas Keamanan Informasi sehubungan dengan kegiatan Pihak Eksternal yang berhubungan dengan Komisi; dan e. unit kerja wajib melaksanakan penilaian Risiko Keamanan Informasi secara berkala maupun apabila terjadi perubahan yang berdampak signifikan.

Direktorat Pengawasan Internal melakukan evaluasi kinerja Keamanan Informasi dengan MENETAPKAN hal-hal sebagai berikut: a. objek dan ruang lingkup yang perlu dipantau dan diukur, termasuk proses dan kendali Keamanan Informasi; b. metode pemantauan, pengukuran, analisis, dan evaluasi untuk memastikan hasil yang valid; c. waktu pemantauan dan pengukuran; d. pihak yang melakukan pemantauan dan pengukuran; e. waktu hasil dari pemantauan dan pengukuran untuk dianalisis serta dievaluasi; f. pihak yang melakukan analisis dan evaluasi hasil pemantauan serta pengukuran; g. pengendalian Keamanan Informasi terhadap Informasi disesuaikan dengan klasifikasi Informasi; dan h. mengidentifikasi Informasi dan mendefinisikan penanggung jawab pengendali Keamanan Informasi;

Hasil evaluasi yang dilakukan Direktorat Pengawasan Internal sebagaimana dimaksud dalam Pasal 12, menjadi bahan pertimbangan bagi Pimpinan untuk menentukan arah dan kebijakan Sistem Manajemen Keamanan Informasi selanjutnya.

(1) Direktorat Pengawasan Internal melakukan audit internal terhadap unit kerja lain secara berkala untuk memastikan Sistem Manajemen Keamanan Informasi dilaksanakan dan dikelola secara efektif sesuai dengan ketentuan peraturan perundang-undangan dan ketentuan internal mengenai Keamanan Informasi Komisi. (2) Pimpinan MENETAPKAN tim audit untuk melakukan audit terhadap Sistem Manajemen Keamanan Informasi yang dilaksanakan di lingkungan Direktorat Pengawasan Internal yang anggotanya terdiri atas Personil Komisi yang memiliki kompetensi dalam bidang audit selain yang berasal dari Direktorat Pengawasan Internal. (3) Tim audit sebagaimana dimaksud pada ayat (2) dibantu dan didampingi oleh tim teknis yang terdiri atas Personil Komisi yang memiliki kompetensi dalam bidang hukum serta Personil Komisi yang memiliki kompetensi dalam bidang teknologi Informasi.

Audit internal Sistem Manajemen Keamanan Informasi berdasarkan ketentuan dalam Pedoman Umum Pengawasan Internal yang mencakup: a. perencanaan, penetapan, penerapan pengelolaan, periode pelaksanaan audit, metode, tanggung jawab, dan pelaporan; b. pertimbangan objek pemeriksaan yang penting dan hasil audit sebelumnya; c. penentuan kriteria dan ruang lingkup audit; d. penentuan tim auditor internal untuk memastikan pelaksanaan audit dilakukan secara objektif dan tidak berpihak; e. pelaporan hasil audit kepada Pimpinan dan unit kerja terkait; dan f. pengarsipan kegiatan dan hasil audit.

Dalam hal terjadi ketidaksesuaian terhadap Sistem Manajemen Keamanan Informasi maka Komisi: a. mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dengan Sistem Manajemen Keamanan Informasi untuk mencegah terulangnya kembali ketidaksesuaian tersebut dengan mempertimbangkan konsekuensinya; b. melakukan evaluasi tindakan yang diperlukan untuk menghilangkan penyebab ketidaksesuaian Sistem Manajemen Keamanan Informasi agar hal tersebut tidak berulang melalui: 1. reviu; 2. menentukan penyebab ketidaksesuaian; dan 3. menentukan ketidaksesuaian yang serupa atau dapat terjadi lagi; c. mengimplementasikan semua tindakan yang diperlukan; d. mereviu efektivitas semua tindakan perbaikan yang dilakukan; dan e. membuat perubahan Sistem Manajemen Keamanan Informasi jika diperlukan.

(1) Komite Keamanan Informasi secara efektif wajib melakukan perbaikan terhadap penyimpangan dalam pelaksanaan Sistem Manajemen Keamanan Informasi. (2) Dalam rangka perbaikan sebagaimana dimaksud pada ayat (1), Sekretariat Keamanan Informasi mendokumentasikan Informasi yang membuktikan: a. penyebab dari penyimpangan Sistem Manajemen Keamanan Informasi dan tindak lanjut yang dilakukan; dan b. hasil dari setiap upaya perbaikan.

(1) Teknis pelaksanaan Sistem Manajemen Keamanan Informasi dituangkan dalam bentuk pedoman dan/atau prosedur. (2) Ketentuan lebih lanjut mengenai bentuk pelanggaran dan sanksi yang berkaitan dengan Sistem Manajemen Keamanan Informasi diatur dengan Peraturan Komisi.

Peraturan Komisi ini mulai berlaku sejak tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Komisi ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 17 April 2018 PIMPINAN KOMISI PEMBERANTASAN KORUPSI REPUBLIK INDONESIA, ttd. AGUS RAHARDJO Diundangkan di Jakarta pada tanggal 3 Mei 2018 DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd. WIDODO EKATJAHJANA