Peraturan Menteri Nomor 16 Tahun 2022 tentang KEBIJAKAN UMUM PENYELENGGARAAN AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI

Dalam Peraturan Menteri ini yang dimaksud dengan:
1. Teknologi Informasi dan Komunikasi yang selanjutnya disingkat TIK adalah segala kegiatan yang terkait dengan pemrosesan, pengelolaan dan penyampaian atau pemindahan informasi antar sarana/media.
2. Audit Teknologi Informasi dan Komunikasi yang selanjutnya disebut Audit TIK adalah proses yang sistematis untuk memperoleh dan mengevaluasi bukti secara objektif terhadap aset TIK dengan tujuan untuk MENETAPKAN tingkat kesesuaian antara TIK dengan kriteria dan/atau standar yang telah ditetapkan.
3. Instansi Pusat adalah kementerian, lembaga pemerintah nonkementerian, kesekretariatan lembaga negara, kesekretariatan lembaga nonstruktural, dan lembaga pemerintah lainnya.
4. Pemerintah Daerah adalah kepala daerah sebagai unsur penyelenggara pemerintahan daerah yang memimpin pelaksanaan urusan pemerintahan yang menjadi kewenangan daerah otonom.
5. Sistem Pemerintahan Berbasis Elektronik yang selanjutnya disingkat SPBE adalah penyelenggaraan pemerintahan yang memanfaatkan TIK untuk memberikan layanan kepada pengguna SPBE.
6. Infrastruktur SPBE adalah semua perangkat keras, perangkat lunak, dan fasilitas yang menjadi penunjang utama untuk menjalankan sistem, aplikasi, komunikasi data, pengolahan dan penyimpanan data, perangkat integrasi/penghubung, dan perangkat elektronik lainnya.
7. Infrastruktur SPBE Nasional adalah Infrastruktur SPBE yang terhubung dengan Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah dan digunakan secara bagi pakai oleh Instansi Pusat dan Pemerintah Daerah.
8. Aplikasi SPBE adalah satu atau sekumpulan program komputer dan prosedur yang dirancang untuk melakukan tugas atau fungsi layanan SPBE.
9. Aplikasi Umum adalah Aplikasi SPBE yang sama, standar, dan digunakan secara bagi pakai oleh Instansi Pusat dan/atau Pemerintah Daerah.
10. Aplikasi Khusus adalah Aplikasi SPBE yang dibangun, dikembangkan, digunakan, dan dikelola oleh Instansi Pusat atau Pemerintah Daerah tertentu untuk memenuhi kebutuhan khusus yang bukan kebutuhan Instansi Pusat dan Pemerintah Daerah lain.
11. Keamanan SPBE adalah pengendalian keamanan yang terpadu dalam SPBE.
12. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.

13. Lembaga Pelaksana Audit TIK Terakreditasi adalah badan hukum yang telah terakreditasi sebagai pelaksana Audit TIK.
14. Auditor TIK adalah orang yang memiliki kompetensi di bidang Audit TIK berdasarkan ketentuan peraturan perundang-undangan dan diberi tugas untuk melakukan Audit TIK.
15. Lembaga Sertifikasi Profesi di bidang Audit TIK adalah lembaga sertifikasi profesi yang melaksanakan kegiatan sertifikasi kompetensi di bidang Audit TIK sesuai dengan ketentuan peraturan perundang-undangan.
16. Menteri adalah menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika.
17. Kementerian Komunikasi dan Informatika yang selanjutnya disebut Kementerian adalah perangkat pemerintah yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika.

(1) Audit TIK dilaksanakan pada lingkup:
a. nasional;
b. Instansi Pusat; dan
c. Pemerintah Daerah.
(2) Audit TIK sebagaimana dimaksud pada ayat
(1) dilaksanakan terhadap:
a. Infrastruktur SPBE;
b. Aplikasi SPBE; dan
c. Keamanan SPBE.

(1) Audit TIK pada lingkup nasional sebagaimana dimaksud dalam Pasal 2 ayat (1) huruf a mencakup:
a. audit Infrastruktur SPBE Nasional;
b. audit Aplikasi Umum;
c. audit keamanan Infrastruktur SPBE Nasional; dan
d. audit keamanan Aplikasi Umum.
(2) Audit TIK pada lingkup Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud dalam Pasal 2 ayat (1) huruf b dan huruf c mencakup:
a. audit Infrastruktur SPBE;
b. audit Aplikasi Khusus;
c. audit keamanan Infrastruktur SPBE; dan
d. audit keamanan Aplikasi Khusus.

(1) Audit TIK harus dilaksanakan secara periodik.
(2) Audit TIK pada lingkup nasional sebagaimana dimaksud dalam Pasal 3 ayat (1) dilaksanakan 1 (satu) kali dalam 1

(satu) tahun.
(3) Audit TIK pada lingkup Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud dalam Pasal 3 ayat (2) dilaksanakan paling sedikit 1 (satu) kali dalam 2 (dua) tahun.

Audit TIK meliputi pemeriksaan hal pokok teknis pada:
a. penerapan tata kelola dan manajemen TIK;
b. fungsionalitas TIK;
c. kinerja TIK yang dihasilkan; dan
d. aspek TIK lainnya.

(1) Audit TIK terhadap tata kelola TIK sebagaimana dimaksud dalam Pasal 5 huruf a meliputi pemeriksaan terhadap kerangka kerja pengaturan, pengarahan, dan pengendalian dalam penerapan SPBE secara terpadu atas unsur-unsur SPBE.
(2) Unsur-unsur SPBE sebagaimana dimaksud pada ayat (1) sebagai berikut:
a. Rencana Induk SPBE Nasional;
b. Arsitektur SPBE;
c. Peta Rencana SPBE;
d. rencana dan anggaran SPBE;
e. Proses Bisnis;
f. data dan informasi;
g. Infrastruktur SPBE;
h. Aplikasi SPBE;
i. Keamanan SPBE; dan
j. layanan SPBE.
(3) Pemeriksaan atas kerangka kerja sebagaimana dimaksud pada ayat (1) mencakup pemeriksaan atas aktivitas sebagai berikut:
a. evaluasi TIK;
b. pengarahan TIK; dan
c. pemantauan TIK.

(1) Evaluasi TIK sebagaimana dimaksud dalam Pasal 6 ayat
(3) huruf a dilakukan dengan meninjau pemanfaatan TIK saat ini dan masa depan dengan memperhatikan kebutuhan Instansi Pusat dan Pemerintah Daerah.
(2) Pengarahan TIK sebagaimana dimaksud dalam Pasal 6 ayat (3) huruf b merupakan penetapan tanggung jawab serta pemberian arahan atas penyiapan dan pelaksanaan dari rencana dan kebijakan TIK serta mendorong suatu budaya tata kelola TIK yang baik.
(3) Pemantauan TIK sebagaimana dimaksud dalam Pasal 6 ayat (3) huruf c merupakan kegiatan memonitor kinerja

TIK melalui sistem pengukuran yang tepat serta memastikan bahwa TIK sesuai dengan kebutuhan pemangku kepentingan.

(1) Audit TIK terhadap manajemen TIK sebagaimana dimaksud dalam Pasal 5 huruf a meliputi pemeriksaan terhadap tahapan sebagai berikut:
a. perencanaan TIK;
b. pengembangan TIK;
c. pengoperasian TIK; dan
d. pemantauan TIK.
(2) Perencanaan TIK sebagaimana dimaksud pada ayat (1) huruf a meliputi seluruh ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait perencanaan strategis dan perencanaan taktis atas kegiatan dan anggaran yang terkait.
(3) Pengembangan TIK sebagaimana dimaksud pada ayat (1) huruf b meliputi seluruh ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait dengan perancangan, pengadaan, pengembangan, pengujian, instalasi, migrasi, dan pelatihan TIK.
(4) Pengoperasian TIK sebagaimana dimaksud pada ayat (1) huruf c meliputi seluruh ketentuan peraturan perundang-undangan, ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait dengan pengoperasian TIK.
(5) Pemantauan TIK sebagaimana dimaksud pada ayat (1) huruf d meliputi seluruh ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait dengan pemantauan dan evaluasi TIK.

(1) Audit TIK terhadap manajemen TIK sebagaimana dimaksud dalam Pasal 5 huruf a meliputi pemeriksaan terhadap aktivitas sebagai berikut:
a. manajemen keamanan TIK;
b. manajemen risiko TIK;
c. manajemen aset TIK;
d. manajemen pengetahuan TIK;
e. manajemen sumber daya manusia TIK;
f. manajemen layanan TIK;
g. manajemen perubahan TIK; dan/atau
h. manajemen data TIK.
(2) Manajemen keamanan TIK sebagaimana dimaksud pada ayat (1) huruf a harus memperhatikan prinsip-prinsip:
a. kerahasiaan;
b. integritas;
c. ketersediaan;
d. keautentikan;
e. otorisasi; dan
f. kenirsangkalan TIK, sesuai dengan ketentuan peraturan perundang-undangan.

(1) Audit TIK terhadap fungsionalitas TIK sebagaimana dimaksud dalam Pasal 5 huruf b merupakan pemeriksaan atas sejauh mana TIK dapat menyediakan fungsi yang memenuhi kebutuhan pada saat digunakan dalam kondisi yang sesuai spesifikasi, meliputi:
a. Kelengkapan fungsi;
b. Kebenaran fungsi; dan
c. Kelayakan fungsi
(2) Audit TIK terhadap fungsionalitas TIK sebagaimana dimaksud dalam Pasal 5 huruf b dan kinerja TIK yang dihasilkan sebagaimana dimaksud dalam Pasal 5 huruf c mencakup:
a. Aplikasi SPBE;
b. Infrastruktur SPBE; dan
c. Keamanan SPBE.
(3) Aplikasi SPBE sebagaimana dimaksud pada ayat (2) huruf a meliputi komponen perangkat lunak Sistem Elektronik yang digunakan untuk menjalankan fungsi, proses, dan mekanisme kerja SPBE.
(4) Infrastruktur SPBE sebagaimana dimaksud pada ayat (2) huruf b terdiri atas:
a. Infrastruktur SPBE Nasional; dan
b. Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah.
(5) Infrastruktur SPBE Nasional sebagaimana dimaksud pada ayat (4) huruf a terdiri atas:
a. pusat data nasional;
b. jaringan intra pemerintah; dan
c. sistem penghubung layanan pemerintah.
(6) Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud pada ayat (4) huruf b terdiri atas:
a. jaringan intra Instansi Pusat dan Pemerintah Daerah; dan
b. sistem penghubung layanan Instansi Pusat dan Pemerintah Daerah.
(7) Keamanan SPBE sebagaimana dimaksud pada ayat (2) huruf c meliputi keamanan Aplikasi SPBE dan Infrastruktur SPBE.

Audit TIK terhadap kinerja TIK yang dihasilkan sebagaimana dimaksud dalam Pasal 5 huruf c merupakan pemeriksaan atas jumlah sumber daya TIK yang digunakan pada kondisi yang sesuai spesifikasi, meliputi:
a. waktu;
b. utilisasi; dan
c. kapasitas.

(1) Audit TIK terhadap aspek TIK lainnya sebagaimana dimaksud dalam Pasal 5 huruf d meliputi:
a. audit kepatuhan TIK;
b. audit sertifikasi TIK; dan/atau
c. audit investigasi TIK.
(2) Audit kepatuhan TIK sebagaimana dimaksud pada ayat
(1) huruf a merupakan Audit TIK untuk menilai pemenuhan ketentuan peraturan perundang-undangan.
(3) Audit sertifikasi TIK sebagaimana dimaksud pada ayat (1) huruf b merupakan Audit TIK untuk menilai kesesuaian dalam rangka sertifikasi atau terdapat perubahan TIK yang telah disertifikasi.
(4) Audit investigasi TIK sebagaimana dimaksud pada ayat
(1) huruf c merupakan Audit TIK sebagai tindak lanjut atas adanya informasi dan/atau laporan publik atas gangguan terhadap TIK yang dilaksanakan tidak dalam rangka penindakan tindak pidana.

(1) Penyelenggaraan Audit TIK dilakukan paling sedikit dengan tahapan:
a. perencanaan audit;
b. pelaksanaan audit; dan
c. pelaporan audit.
(2) Tahapan sebagaimana dimaksud pada ayat (1) harus dilaksanakan sesuai dengan:
a. pedoman umum Audit TIK sebagaimana tercantum dalam Lampiran I yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini; dan
b. standar, tata cara, dan jangka waktu pelaksanaan Audit TIK.
(3) Standar, tata cara, dan jangka waktu pelaksanaan Audit TIK sebagaimana dimaksud pada ayat (2) huruf b terhadap Infrastruktur SPBE dan Aplikasi SPBE diatur dengan peraturan kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
(4) Standar, tata cara, dan jangka waktu pelaksanaan Audit TIK sebagaimana dimaksud pada ayat (2) huruf b terhadap Keamanan SPBE diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.

(1) Lembaga Pelaksana Audit TIK harus menerbitkan surat keterangan untuk setiap Audit TIK yang dilaksanakannya.
(2) Surat keterangan sebagaimana dimaksud pada ayat (1) dengan format sebagaimana tercantum dalam Lampiran II yang merupakan bagian yang tidak terpisahkan dari Peraturan Menteri ini.

(1) Dalam melaksanakan Audit TIK, pimpinan instansi pusat dan kepala daerah dilaksanakan dalam wadah Tim Koordinasi SPBE.
(2) Tim Koordinasi sebagaimana dimaksud pada ayat (1) bertugas:
a. mengarahkan, memantau, dan mengevaluasi pelaksanaan Audit TIK SPBE yang terpadu di dalam Instansi Pusat dan Pemerintah Daerah masing- masing; dan
b. melakukan koordinasi dengan Tim Koordinasi SPBE Nasional untuk pelaksanaan Audit TIK SPBE yang melibatkan lintas Instansi Pusat dan Pemerintah Daerah.
(3) Tim Koordinasi sebagaimana dimaksud ayat (1) diketuai oleh Koordinator SPBE Instansi Pusat dan Pemerintah Daerah dan dijabat oleh:
a. sekretaris di Instansi Pusat atau pejabat yang memimpin unit sekretariat untuk Instansi Pusat;
b. sekretaris daerah untuk Pemerintah Daerah.

(1) Audit TIK dilaksanakan oleh Lembaga Pelaksana Audit TIK pemerintah atau Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sesuai dengan ketentuan peraturan perundang-undangan.
(2) Lembaga Pelaksana Audit TIK pemerintah sebagaimana dimaksud pada ayat (1) terdiri atas:
a. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.; dan
b. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
(3) Lembaga Pelaksana Audit TIK pemerintah melaksanakan Audit TIK untuk cakupan Aplikasi Umum, Infrastruktur SPBE Nasional, dan Keamanan SPBE nasional.
(4) Instansi Pusat dan Pemerintah Daerah melaksanakan Audit TIK untuk cakupan Aplikasi Khusus, Infrastruktur SPBE, dan/atau Keamanan SPBE pada Instansi Pusat dan Pemerintah Daerah.

(5) Instansi Pusat dan Pemerintah Daerah melaksanakan Audit TIK dengan menunjuk Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagai pelaksana Audit TIK.
(6) Pelaksanaan Audit TIK sebagaimana dimaksud pada ayat
(5) dikoordinasikan oleh Tim Koordinasi SPBE Instansi Pusat dan Pemerintah Daerah.
(7) Koordinasi sebagaimana dimaksud pada ayat
(6) dilakukan khususnya terkait:
a. jadwal pelaksanaan audit;
b. lingkup audit; dan
c. pemilihan Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar.
(8) Dalam hal Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud pada ayat (5) belum ada, pelaksanaan Audit TIK dilakukan oleh Lembaga Pelaksana Audit TIK Pemerintah.
(9) Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud pada ayat (1) harus melakukan pendaftaran pada:
a. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional untuk pelaksanaan Audit TIK dengan cakupan audit Aplikasi SPBE dan audit Infrastruktur SPBE; dan/atau
b. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber untuk pelaksanaan Audit TIK dengan cakupan audit Keamanan SPBE.
(10) Pendaftaran sebagaimana dimaksud pada ayat (7) dilakukan dengan menyerahkan dokumen persyaratan pendaftaran paling sedikit:
a. akta pendirian badan hukum;
b. struktur organisasi;
c. sistem kendali mutu audit;
d. memiliki paling sedikit 1 (satu) orang Auditor TIK dengan status pegawai tetap;
e. bukti akreditasi dari lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian;
dan
f. persyaratan lain yang ditetapkan oleh lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber dan lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
(11) Pendaftaran Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud pada ayat (7) dilaksanakan melalui pelayanan perizinan berusaha terintegrasi secara elektronik.
(12) Lembaga Pelaksana Audit TIK pemerintah dapat mengambil akreditasi dari lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian untuk

menjamin mutu Audit TIK yang dilaksanakan.
(13) Lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional berkoordinasi dengan lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian untuk penetapan skema akreditasi Lembaga Pelaksana Audit TIK cakupan audit Aplikasi SPBE dan audit Infrastruktur SPBE.
(14) Lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber berkoordinasi dengan lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian untuk penetapan skema akreditasi Lembaga Pelaksana Audit TIK cakupan audit Keamanan SPBE.

(1) Selain Lembaga Pelaksana Audit TIK pemerintah atau Lembaga Pelaksana Audit TIK Terakreditasi, untuk kebutuhan internal Instansi Pusat dan Pemerintah Daerah, unit kerja Instansi Pusat dan Pemerintah Daerah yang memiliki fungsi pengawasan internal melaksanakan audit TIK internal secara periodik.
(2) Pelaksanaan audit TIK internal sebagaimana dimaksud pada ayat (1) mengacu pada kebijakan Audit TIK.
(3) Pelaksanaan audit TIK internal sebagaimana dimaksud pada ayat (1), dapat melibatkan pegawai Aparatur Sipil Negara dari unit kerja lain yang memiliki kompetensi Audit TIK.
(4) Pelaksanaan audit TIK internal oleh unit kerja sebagaimana dimaksud pada ayat
(1) tidak menghilangkan kewajiban Audit TIK oleh Lembaga Pelaksana Audit TIK pemerintah atau Lembaga Pelaksana Audit TIK Terakreditasi.

(1) Pelaksanaan Audit TIK sebagaimana dimaksud dalam Pasal 16 ayat (5) untuk cakupan Keamanan SPBE dikecualikan untuk Instansi Pusat tertentu.
(2) Pelaksanaan Audit TIK sebagaimana dimaksud pada ayat
(1) dilaksanakan oleh lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
(3) Ketentuan lebih lanjut mengenai Instansi Pusat tertentu sebagaimana dimaksud pada ayat (1) diatur dengan peraturan kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.

(1) Proses penunjukan Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar oleh Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud pada Pasal

16 ayat (5) dilakukan sesuai dengan ketentuan peraturan perundangan-undangan tentang pengadaan barang dan jasa.
(2) Besaran biaya Audit TIK mengacu pada standar biaya pemerintah pusat dan daerah serta mempertimbangkan jumlah hari pelaksanaan Audit TIK.

(1) Pelaksanaan Audit TIK oleh Lembaga Pelaksana Audit TIK sebagaimana dimaksud dalam Pasal 16 ayat (1) dilakukan oleh tim Auditor TIK.
(2) Tim Auditor TIK sebagaimana dimaksud pada ayat (1) beranggotakan paling sedikit 2 (dua) orang Auditor TIK.
(3) Dalam hal Pelaksanaan Audit TIK dilakukan oleh Lembaga Audit Terakreditasi, Tim Auditor TIK sebagaimana dimaksud pada ayat (2) beranggotakan paling sedikit 1 (satu) orang pegawai tetap dan bertindak sebagai ketua Tim Auditor TIK.
(4) Auditor TIK sebagaimana dimaksud pada ayat (2) harus memiliki sertifikat kompetensi di bidang Audit TIK sesuai peranannya dalam tim Auditor TIK.
(5) Auditor TIK sebagaimana dimaksud pada ayat (2) harus terdaftar pada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional untuk cakupan audit Infrastruktur SPBE dan audit Aplikasi SPBE.
(6) Auditor TIK sebagaimana dimaksud pada ayat (2) harus terdaftar pada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber untuk cakupan audit Keamanan SPBE.
(7) Auditor TIK sebagaimana dimaksud pada ayat (2) harus menjadi anggota asosiasi profesi terkait bidang Audit TIK.

(1) Sertifikat kompetensi di bidang Audit TIK sebagaimana dimaksud dalam pasal 20 ayat (4) diterbitkan oleh Lembaga Sertifikasi Profesi di Bidang Audit TIK.
(2) Lembaga Sertifikasi Profesi di bidang Audit TIK sebagaimana dimaksud pada ayat (1) diatur sesuai dengan ketentuan peraturan perundang-undangan.
(3) Sertifikat kompetensi di bidang Audit TIK untuk Audit TIK cakupan Infrastruktur SPBE dan Aplikasi SPBE yang diterbitkan oleh lembaga selain Lembaga Sertifikasi Profesi di Bidang Audit TIK sebagaimana dimaksud pada ayat (1) harus mendapat pengakuan dari lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
(4) Sertifikat kompetensi di bidang Audit TIK untuk Audit TIK cakupan Keamanan SPBE yang diterbitkan oleh lembaga selain Lembaga Sertifikasi Profesi di Bidang Audit TIK sebagaimana dimaksud ayat (1) harus mendapat pengakuan dari lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.

(5) Persyaratan pengakuan sertifikat kompetensi di bidang Audit TIK sebagaimana dimaksud pada ayat (3) dan ayat
(4) paling sedikit meliputi:
a. kerangka kompetensi;
b. metode pengujian kompetensi;
c. persyaratan pemberian sertifikat kompetensi; dan
d. persyaratan pemeliharaan sertifikat kompetensi.

Menteri melakukan pemantauan dan evaluasi terhadap:
a. penyelenggaraan Audit TIK sesuai dengan pedoman umum Audit TIK sebagaimana dimaksud dalam BAB II Peraturan Menteri ini; dan
b. tindak lanjut atas hasil Audit TIK.

(1) Dalam rangka pemantauan dan evaluasi sebagaimana dimaksud dalam Pasal 21, Instansi Pusat dan Pemerintah Daerah melalui Koordinator SPBE Instansi Pusat dan Pemerintah Daerah wajib menyampaikan secara elektronik laporan periodik penyelenggaraan Audit TIK kepada Menteri paling sedikit 1 (satu) kali dalam 2 (dua) tahun.
(2) Laporan periodik penyelenggaraan Audit TIK sebagaimana dimaksud pada ayat (1) dengan format sebagaimana tercantum dalam Lampiran III yang merupakan bagian yang tidak terpisahkan dari Peraturan Menteri ini.
(3) Penyampaian secara elektronik sebagaimana dimaksud pada ayat (1) disampaikan melalui portal pelayanan publik.
(4) Portal pelayanan publik sebagaimana dimaksud pada ayat (3) diselenggarakan oleh Kementerian.
(5) Perlakuan atas informasi dalam laporan penyelenggaraan Audit TIK sebagaimana dimaksud pada ayat (1) harus sesuai dengan klasifikasi informasi sesuai dengan ketentuan peraturan perundang-undangan.

(1) Dalam hal Penyelenggaraan Audit TIK tidak sesuai dengan pedoman umum Audit TIK sebagaimana dimaksud dalam Pasal 22 huruf a maka Instansi Pusat atau Pemerintah Daerah yang diaudit dapat mengajukan keberatan sehubungan dengan ketidaksesuaian tersebut.
(2) Keberatan sebagaimana dimaksud pada ayat
(1) disampaikan oleh Instansi Pusat atau Pemerintah Daerah melalui surat keberatan kepada Lembaga Pelaksana Audit TIK dengan tembusan kepada Menteri.
(3) Tindak lanjut atas keberatan sebagaimana dimaksud pada ayat (2) didasarkan pada kesepakatan antara Instansi Pusat atau Pemerintah Daerah dan Lembaga

Pelaksana Audit TIK.
(4) Dalam hal kesepakatan sebagaimana dimaksud pada ayat (3) tidak dapat dicapai maka Menteri MEMUTUSKAN tindak lanjut atas keberatan yang dimaksud.
(5) Dalam mengambil keputusan sebagaimana dimaksud pada ayat (4), Menteri dapat berkoordinasi dengan lembaga terkait.

(1) Menteri mendelegasikan kewenangan melakukan pemantauan dan evaluasi sebagaimana dimaksud dalam Pasal 22 kepada direktur jenderal.
(2) Direktur jenderal sebagaimana dimaksud pada ayat (1) merupakan direktur jenderal pada Kementerian yang mempunyai tugas menyelenggarakan perumusan dan pelaksanaan kebijakan di bidang penatakelolaan aplikasi informatika.

(1) Dalam rangka pemantauan dan evaluasi, Lembaga Audit TIK Terakreditasi dan Terdaftar wajib menyampaikan laporan periodik 1 (satu) kali dalam 1 (satu) tahun tentang Audit TIK cakupan Infrastruktur SPBE dan Aplikasi SPBE yang dilaksanakannya kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
(2) Ketentuan lebih lanjut mengenai pelaporan sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.

(1) Dalam rangka pemantauan dan evaluasi, Instansi Pusat dan Pemerintah Daerah yang menyelenggarakan Infrastruktur SPBE Nasional dan/atau Aplikasi Umum melalui Koordinator SPBE Instansi Pusat dan Pemerintah Daerah wajib menyampaikan laporan periodik penyelenggaraan Audit TIK atas Infrastruktur SPBE dan Aplikasi SPBE 1 (satu) kali dalam 1 (satu) tahun kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
(2) Ketentuan lebih lanjut mengenai pelaporan sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.

(1) Dalam rangka pemantauan dan evaluasi, Instansi Pusat dan Pemerintah Daerah yang menyelenggarakan Infrastruktur SPBE Nasional dan/atau Aplikasi Umum melalui Koordinator SPBE Instansi Pusat dan Pemerintah Daerah wajib menyampaikan laporan periodik

penyelenggaraan Audit TIK atas keamanan 1 (satu) kali dalam 1 (satu) tahun kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
(2) Ketentuan lebih lanjut mengenai pelaporan sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.

(1) Dalam rangka pemantauan dan evaluasi, Lembaga Audit TIK terakreditasi dan terdaftar wajib menyampaikan laporan periodik 2 (dua) kali dalam 1 (satu) tahun tentang audit Keamanan SPBE yang dilaksanakannya kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
(2) Ketentuan lebih lanjut mengenai laporan sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.

Dalam rangka pemantauan dan evaluasi, lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber dan lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional menyampaikan hasil Audit TIK yang dilaksanakannya kepada Tim Koordinasi SPBE Nasional paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

(1) Dalam rangka pemantauan dan evaluasi atas pelaksanaan Audit TIK oleh lembaga Audit TIK pemerintah, Tim Koordinasi SPBE Nasional melakukan evaluasi 1 (satu) kali dalam 3 (tiga) tahun
(2) Tim Koordinasi SPBE Nasional dapat menunjuk pihak independen untuk melakukan evaluasi sebagaimana dimaksud pada ayat (1).

Ketentuan pelaksanaan Audit TIK oleh Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud dalam Pasal 16 ayat (5) mulai berlaku paling lama 2 (dua) tahun sejak Peraturan Menteri ini diundangkan.

Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Menteri ini dengan penempatannya dalam Berita Negara Republik INDONESIA.

Ditetapkan di Jakarta pada tanggal 27 Desember 2022

MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA,

ttd

JOHNNY G. PLATE

Diundangkan di Jakarta pada tanggal 30 Desember 2022

MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

ttd

YASONNA H. LAOLY