KEMENTERIAN KEUANGAN REPUBLIK INDONESIA KEMENTERIAN KEUANGAN REPUBLIK INDONESIA PERATURAN DIREKTUR JENDERAL PERBENDAHARAAN NOMORPER- i /PB/2021 TENTANG KEBIJAKAN SISTEM MANAJEMEN KEAMANAN INFORMASI DI LINGKUNGAN DIREKTORAT JENDERAL PERBENDAHARAAN DIREKTUR JENDERAL PERBENDAHARAAN,

Dalam Peraturan Direktur Jenderal ini, yang dimaksud dengan: Akun adalah identifikasi pengguna yang diberikan oleh unit Pengelola TIK, bersifat unik dan digunakan bersamaan dengan kata sandi ketika akan memasuki sistem TIK. Aset Informasi Direktorat Jenderal Perbendaharaan adalah aset dalam bentuk data/dokumen, perangkat lunak, aset berwujud (tangible), dan aset tak berwujud (intangible). Dokumen Sistem Manajemen Keamanan Informasi (SMKI) Direktorat Jenderal Perbendaharaan adalah dokumen terkait pelaksanaan SMKI yang meliputi antara lain dokumen rencana, kebijakan, standar, prosedur, dan catatan penerapan SMKI. Fasilitas Pengolah Informasi adalah perangkat pengolah informasi dan perangkat pendukung. Hak Akses Khusus adalah akses terhadap sistem informasi sensitif, termasuk di dalamnya dan tidak terbatas pada sistem operasi, perangkat penyimpanan (storage devices), file server, dan aplikasi-aplikasi sensitif, hanya diberikan kepada pengguna yang membutuhkan dan pemakaiannya terbatas dan dikontrol. Instansi adalah seluruh satuan kerja di lingkup Direktorat Jenderal Perbendaharaan yang meliputi kantor pusat dan kantor vertikal di lingkungan Direktorat Jenderal Perbendaharaan .

Of 7. Kebijakan Keamanan Informasi adalah serangkaian aturan terkait keamanan informasi di lingkungan Direktorat Jenderal Perbendaharaan dalam rangka melindungi Aset Informasi milik Direktorat Jenderal Perbendaharaan meliputi kebijakan SMKI, pedoman pelaksanaan SMKI, dan kebijakan baseline konfigurasi keamanan perangkat TIK di lingkungan Direktorat Jenderal Perbendaharaan.

Kejadian Kemanan Informasi adalah peristiwa yang berpotensi mengakibatkan tidak tercapainya aspek kerahasiaan, keutuhan, dan ketersediaan Aset Informasi milik Direktorat Jenderal Perbendaharaan.

Kelemahan Kemanan Informasi adalah kondisi yang berpotensi mengakibatkan tidak tercapainya aspek kerahasiaan, keutuhan, dan ketersediaan Aset Informasi milik Direktorat Jenderal Perbendaharaan.

Kriptografi adalah ilmu yang mempelajari cara menyamarkan informasi dan mengubah kembali bentuk tersamar tersebut ke informasi awal untuk meningkatkan keamanan informasi. Dalam Kriptografi terdapat dua konsep utama yakni enkripsi dan dekripsi.

Mobile Device adalah penggunaan perangkat komputasi yang dapat dipindah (portabel) misalnya notebook dan Personal Data Assistant (PDA) untuk melakukan akses, pengolahan data dan penyimpanan.

Pengguna adalah pegawai Direktorat Jenderal Perbendaharaan dan/atau pihak ketiga yang diberikan hak mengakses sistem TIK di lingkungan Direktorat Jenderal Perbendaharaan.

Pemasok adalah penyedia layanan (barang dan/atau jasa) kepada Instansi di lingkungan Direktorat Jenderal Perbendaharaan .

Pemilik Aset Informasi adalah satuan kerja yang memiliki kewenangan terhadap Aset Informasi.

Perangkat Jaringan adalah peralatan jaringan komunikasi data seperti: modem, hub, switch, router, dan lain-lain. It 16. Perangkat Lunak adalah kumpulan beberapa perintah yang dieksekusi oleh mesin komputer dalam menjalankan pekerj aannya.

Perangkat Pendukung adalah peralatan yang berfungsi untuk menjamin beroperasinya Perangkat Pengolah Informasi serta untuk melindunginya dari kerusakan, seperti Uninterruptible Power Supply (UPS), pembangkit tenaga listrik, fire suppression dan kabel.

Perangkat Pengolah Informasi adalah perangkat yang digunakan untuk memproses informasi, seperti komputer, faksimili, telepon, mesin fotocopy. 19. Perjanjian Kerahasiaan adalah perikatan antara para pihak yang mencantumkan bahan rahasia, pengetahuan, atau informasi yang mana pihak-pihak ingin berbagi satu sama lain untuk tujuan tertentu, tetapi ingin membatasi akses dengan pihak lain.

Pihak Ketiga adalah Kementerian/Lembaga, penyedia barang dan/atau jasa yang menjadi mitra kerja Direktorat Jenderal Perbendaharaan.

Routing adalah sebuah mekanisme yang digunakan untuk mengarahkan dan menentukan rute jalur yang akan dilewati paket dari satu perangkat ke perangkat yang berada di jaringan lain.

Sertifikat Sistem Manajemen Pengamanan Informasi adalah bukti tertulis yang diberikan oleh Lembaga Sertifikasi kepada Penyelenggara Sistem Elektronik yang telah memenuhi persyaratan.

Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan , mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.

Sistem Elektronik Strategis adalah Sistem Elektronik yang berdampak serius terhadap kepentingan umum, pelayanan publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. or 25. Sistem Elektronik Tinggi adalah Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu.

Sistem Elektronik Rendah adalah Sistem Elektronik lainnya yang tidak termasuk pada Sistem Elektronik Strategis dan Sistem Elektronik Tinggi.

Sistem Informasi adalah serangkaian perangkat keras, perangkat lunak, sumber daya manusia, serta prosedur dan atau aturan yang diorganisasikan secara terpadu untuk mengolah data menjadi informasi yang berguna untuk mencapai suatu tujuan.

Sistem Manajemen Keamanan Informasi yang selanjutnya disingkat SMKI adalah sistem manajemen yang meliputi kebijakan, organisasi, perencanaan, penangung jawab, proses, dan sumber daya yang mengacu pada pendekatan risiko bisnis untuk menetapkan, mengimplementasikan, mengoperasikan, memantau, mengevaluasi, mengelola, dan meningkatkan keamanan informasi.

Teleworking adalah aktivitas bekerja di luar kantor dan berkomunikasi dengan kantor melalui telepon, email atau menggunakan internet.

Unit TIK Direktorat Jenderal Perbendaharaan, yang selanjutnya disebut Unit, adalah unit eselon II pada Kantor Pusat Direktorat Jenderal Perbendaharaan yang berada di bawah dan bertanggung jawab kepada Direktur Jenderal Perbendaharaan, yang melaksanakan tugas dan fungsi terkait TIK di lingkungan Direktorat Jenderal dalam hal ini Direktorat Sistem Perbendaharaan, Informasi dan Teknologi Perbendaharaan (SITP).

Unit TIK Pusat Kementerian Keuangan, yang selanjutnya disebut Unit TIK Pusat, adalah unit eselon II pada Sekretariat Jenderal Kementerian Keuangan yang berada di bawah dan bertanggung jawab kepada Sekretaris Jenderal Kementerian Keuangan, yang melaksanakan tugas dan fungsi terkait TIK di lingkungan Kementerian Keuangan, dalam hal ini Pusat Sistem Informasi dan Teknologi Keuangan (PUSINTEK). u

Ruang lingkup pengaturan dalam Peraturan Direktur Jenderal ini meliputi:

Ketentuan pokok SMKI di lingkungan Direktorat Jenderal Perbendaharaan;

Pengendalian SMKI di lingkungan Direktorat Jenderal Perbendaharaan;

Organisasi Keamanan Informasi di lingkungan Direktorat Jenderal Perbendaharaan; dan

Sertifikasi Pelaksanaan SMKI di lingkungan Direktorat Jenderal Perbendaharaan.

SMKI di lingkungan Direktorat Jenderal Perbendaharaan dilaksanakan sesuai dengan SNI ISO/IEC 27001:

Pengelolaan keamanan informasi yang diatur dalam Peraturan Direktur Jenderal ini, dilaksanakan oleh seluruh Instansi dan pegawai di lingkungan Direktorat Jenderal Perbendaharaan serta Pihak Ketiga.

Unit harus membangun, menerapkan, memelihara, dan meningkatkan kebijakan SMKI secara berkelanjutan.

Kebijakan SMKI sebagaimana dimaksud pada ayat (1) dilaksanakan berdasarkan pedoman teknis penerapan kebijakan SMKI.

Unit menyusun pedoman teknis penerapan kebijakan SMKI sebagaimana dimaksud pada ayat (2) dengan berbasis risiko.

Pedoman teknis penerapan kebijakan SMKI sebagaimana dimaksud pada ayat (2) disusun dengan mempertimbangkan : (I a. isu eksternal dan internal Direktorat Jenderal Perbendaharaan dalam keamanan informasi;

kebutuhan pihak yang berkepentingan dalam penerapan kebijakan SMKI; dan

hubungan dan ketergantungan antara kegiatan yang dilakukan oleh internal Direktorat Jenderal Perbendaharaan dan kegiatan yang dilakukan oleh pihak yang berkepentingan dalam penerapan kebijakan SMKI.

Pimpinan Unit dan pimpinan Instansi di lingkungan DJPb hams berkomitmen dalam penerapan kebijakan SMKI sebagaimana dimaksud pada ayat (1).

Komitmen dalam penerapan kebijakan SMKI sebagaimana dimaksud pada ayat (5) dilaksanakan dengan langkah- langkah antara lain: memastikan kebijakan dan sasaran keamanan informasi ditetapkan dan selaras dengan arah strategis Direktorat Jenderal Perbendaharaan;

memastikan penerapan ketentuan SMKI ke dalam proses bisnis Direktorat Jenderal Perbendaharaan; memastikan ketersediaan sumber daya yang digunakan untuk penerapan SMKI;

mengkomunikasikan pentingnya pengelolaan keamanan informasi yang efektif dan kesesuaiannya dengan ketentuan SMKI; memastikan penerapan SMKI mencapai sasaran yang telah ditentukan;

memberi arahan dan dukungan kepada pegawai untuk berkontribusi terhadap penerapan SMKI yang efektif; memastikan peningkatan berkelanjutan atas penerapan SMKI; dan

mendukung peran Direktorat Jenderal Perbendaharaan untuk memberikan kontribusi sesuai dengan tanggung jawabnya.

g- (1 risiko dengan menerapkan memperhatikan ketentuan yang diatur dalam Keputusan Menteri Keuangan mengenai manajemen risiko di lingkungan Kementerian Keuangan.

Penerapan manajemen risiko sebagaimana dimaksud pada ayat (7) dilaksanakan dengan mempertimbangkan kerahasiaan, keutuhan, dan ketersediaan Aset Informasi (7) Unit manajemen Direktorat Jenderal Perbendaharaan.

Unit menentukan sasaran keamanan informasi dan menyusun perencanaan untuk mencapai sasaran keamanan informasi.

Unit dan Instansi menetapkan dan menyediakan sumber daya yang dibutuhkan untuk membangun, menerapkan, memelihara, dan meningkatkan berkelanjutan.

Unit bertanggung jawab untuk meningkatkan pengetahuan, keterampilan, dan kepedulian seluruh pegawai terhadap keamanan informasi.

Unit menetapkan rencana komunikasi internal dan eksternal yang terkait dengan SMKI.

Unit mengelola dokumen SMKI Direktorat Jenderal Perbendaharaan untuk menjaga kemutakhiran dokumen, efektivitas pelaksanaan operasional, menghindarkan dari segala jenis kerusakan, dan mencegah akses oleh pihak yang tidak berwenang.

Unit dan Instansi melaksanakan pengendalian SMKI.

Unit melakukan evaluasi terhadap pelaksanaan SMKI paling sedikit sekali dalam setahun untuk menjamin efektivitas dan meningkatkan keamanan informasi.

Evaluasi sebagaimana dimaksud pada ayat (15) dilakukan melalui:

pemantauan, pengukuran, analisis, dan evaluasi penerapan SMKI;

audit internal SMKI, yaitu audit yang dilakukan oleh unit kepatuhan internal Direktorat Jenderal Perbendaharaan dan/atau SMKI secara oleh unit yang 9 mengkoordinasikan fungsi pengawasan internal di lingkungan Kementerian Keuangan; dan

rapat tinjauan manajemen, yaitu rapat pembahasan yang dilaksanakan secara berkala untuk meninjau penerapan SMKI.

Berdasarkan evaluasi sebagaimana dimaksud pada ayat (15), Unit melaksanakan tindak lanjut basil evaluasi pelaksanaan SMKI serta melakukan peningkatan berkelanjutan.

Dalam membangun, menerapkan, memelihara, dan meningkatkan kebijakan SMKI sebagaimana dimaksud dalam Pasal 3 ayat (1), Unit menghasilkan output paling sedikit berupa:

Pakta pernyataan penerapan SMKI;

Dokumen rencana SMKI yang memuat:

ruang lingkup penerapan SMKI, termasuk dokumen pertimbangan penentuan ruang lingkup;

sasaran keamanan informasi dan rencana pencapaian sasaran keamanan informasi; dan rencana komunikasi internal dan eksternal;

Dokumen pernyataan pemberlakuan (Statement of Applicability/SoA), berisi tentang pengendalian yang diadopsi/tidak diadopsi beserta pertimbangannya;

Daftar inventaris Aset Informasi Direktorat Jenderal Perbendaharaan;

Profil risiko keamanan informasi;

Laporan pemantauan, pengukuran, analisis, dan evaluasi penerapan SMKI; Laporan audit internal;

Laporan rapat tinjauan manajemen;

Dokumen tindak lanjut basil evaluasi terhadap pelaksanaan SMKI; dan Pedoman pengendalian dokumen.

g- J-

Pengendalian keamanan informasi di lingkungan Direktorat Jenderal Perbendaharaan terdiri dari 14 (empat belas) pengendalian, yaitu:

Pengendalian Kebijakan Keamanan Informasi;

Pengendalian Organisasi Keamanan Informasi;

Pengendalian Keamanan Sumber Daya Manusia (SDM);

Pengendalian Pengelolaan Aset Informasi;

Pengendalian Akses;

Pengendalian Terhadap Penerapan Kriptografi;

Pengendalian Keamanan Fisik dan Lingkungan;

Pengendalian Pengelolaan Keamanan Operasional;

Pengendalian Keamanan Komunikasi;

Pengendalian Keamanan Informasi dalam Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi;

Pengendalian Hubungan dengan Pemasok;

Pengendalian Pengelolaan Gangguan Keamanan Informasi 13. Pengendalian Aspek Keamanan Informasi dalam Pengelolaan Kelangsungan Kegiatan; dan

Pengendalian Kepatuhan.

Pengendalian Organisasi Keamanan Informasi terdiri dari:

Organisasi Keamanan Informasi Direktorat Jenderal Perbendaharaan; dan

Mobile Device dan Teleworking. (2) Organisasi Keamanan Informasi Direktorat Jenderal Perbendaharaan sebagaimana dimaksud pada ayat (1) huruf a dilaksanakan dengan ketentuan:

Organisasi Keamanan Informasi Direktorat Jenderal Perbendaharaan bertanggung jawab mengelola keamanan informasi di lingkungan Direktorat Jenderal Perbendaharaan;

peran dan tanggung jawab pengelolaan keamanan informasi hams didefinisikan dan dipetakan, termasuk mengenai pemisahan tugas dan area tanggung jawab;

Organisasi Keamanan Informasi Direktorat Jenderal Perbendaharaan menjalin kerjasama dengan Kementerian/Lembaga yang mengoordinasikan pelaksanaan keamanan informasi nasional dan pihak-pihak berwenang terkait dengan keamanan informasi serta menjalin kerjasama dengan komunitas keamanan informasi di luar Direktorat Jenderal Perbendaharaan; dan

keamanan informasi hams diterapkan dalam manajemen proyek untuk seluruh tipe proyek.

Penggunaan Mobile Device dan Teleworking sebagaimana dimaksud pada ayat (1) huruf b dilaksanakan dengan ketentuan:

Unit menerapkan aturan untuk mengelola risiko terkait penggunaan mobile _device; _ dan b. Unit menerapkan aturan untuk melindungi informasi yang diakses, diproses, atau disimpan pada lokasi teleworking.

Unit dan Instansi melaksanakan pengendalian keamanan informasi kepada seluruh pegawai dan Pemasok.

Pengendalian keamanan informasi sebagaimana dimaksud pada ayat (1) meliputi:

pengendalian sebelum bertugas/bekerja di unit kerja masmg-masing;

pengendalian selama bertugas/bekerja di unit kerja masing-masing, dan c. pengendalian setelah bertugas/bekerja di unit kerja masing-masing; untuk memastikan pegawai dan Pemasok memahami tanggung jawab terkait keamanan informasi.

Pengendalian sebelum pegawai dan Pemasok bertugas di unit kerja masing-masing sebagaimana dimaksud pada ayat (2) huruf a, paling sedikit meliputi: Unit dan Instansi melaksanakan pemeriksaan (screening) data pribadi; dan

Unit dan Instansi memastikan: Pemasok menandatangani perjanjian untuk keamanan informasi Direktorat a.

menjaga Jenderal Perbendaharaan; dan

pegawai menandatangani dokumen yang memuat tanggung jawab menjaga kerahasiaan informasi Direktorat Jenderal Perbendaharaan. (1 (4) Pengendalian selama pegawai dan Pemasok bertugas di unit kerja masing-masing sebagaimana dimaksud pada ayat ( huruf b, paling sedikit meliputi:

Unit dan Instansi harus memastikan pegawai dan Pemasok menerapkan semua kebijakan dan prosedur keamanan informasi, dan menindaklanjuti semua pelanggaran terhadap keamanan informasi;

Unit dan Instansi melaksanakan peningkatan pendidikan, pelatihan, dan kepedulian keamanan informasi kepada pegawai secara berkala sesuai tanggung jawabnya; dan

pelaksanaan peningkatan kepedulian terkait keamanan informasi untuk Pemasok.

Pengendalian sesudah pegawai dan Pemasok bertugas di unit kerja masing-masing sebagaimana dimaksud pada ayat (2) huruf c, paling sedikit meliputi:

Unit dan Instansi memastikan pegawai yang telah menyelesaikan masa kerja atau mutasi tetap bertanggung jawab atas keamanan informasi di lingkungan Direktorat Jenderal Perbendaharaan; dan b. Unit dan Instansi memastikan Pemasok yang telah menyelesaikan hubungan kerja tetap bertanggung jawab atas keamanan informasi di lingkungan Direktorat Jenderal Perbendaharaan.

Aset Informasi terdiri dari aset dalam bentuk:

data/dokumen, meliputi data ekonomi dan keuangan, data gaji, data kepegawaian, dokumen penawaran dan kontrak, dokumen perjanjian hasil kementerian, kebijakan penelitian, bahan penelitian, prosedur operasional, rencana kelangsungan bisnis (business continuity kerahasiaan, plan), dan hasil audit; it b. Perangkat Lunak, meliputi perangkat lunak aplikasi, perangkat lunak sistem, dan perangkat bantu pengembangan sistem;

aset berwujud (tangible), meliputi sumber daya manusia, perangkat komputer, perangkat jaringan dan komunikasi, removable media, dan perangkat pendukung; dan

aset tak berwujud (intangible), meliputi pengetahuan, pengalaman, keahlian, citra, dan reputasi.

Pengendalian Pengelolaan Aset Informasi terdiri dari:

Tanggung jawab terhadap Aset Informasi;

Klasifikasi Aset Informasi; dan

Penanganan Media Penyimpanan Informasi.

Tanggung jawab terhadap Aset Informasi sebagaimana dimaksud pada ayat (2) huruf a dilaksanakan dengan ketentuan: Unit dan Instansi melaksanakan identifikasi Aset Informasi dan mendokumentasikannya dalam daftar inventaris Aset Informasi serta menentukan pemilik dan penanggung jawab aset;

Pemilik Aset Informasi menetapkan aturan penggunaan Aset Informasi; dan

pegawai dan Pemasok/Pihak Ketiga yang telah menyelesaikan masa kerja atau mutasi harus mengembalikan Aset Informasi Direktorat Jenderal Perbendaharaan yang berupa data/dokumen dan perangkat TIK.

Klasifikasi Aset Informasi sebagaimana dimaksud pada ayat (2) huruf b dilaksanakan dengan ketentuan: Unit melaksanakan klasifikasi Aset Informasi sesuai tingkat kerahasiaan, nilai, tingkat kritikalitas, serta aspek hukumnya;

klasifikasi kerahasiaan sesuai dengan ketentuan klasifikasi data pada peraturan mengenai tata kelola TIK di lingkungan Kementerian Keuangan;

tingkat berdasarkan informasi (t c. pemberian label klasifikasi Aset Informasi Direktorat Jenderal Perbendaharaan dilakukan secara konsisten terhadap seluruh Aset Informasi; dan

Unit mengembangkan dan mengimplementasikan prosedur penanganan Aset Informasi Direktorat Jenderal Perbendaharaan sesuai dengan klasifikasi informasinya.

Penanganan Media Penyimpanan Informasi sebagaimana dimaksud pada ayat (2) huruf c dilaksanakan dengan ketentuan:

Unit melaksanakan pengelolaan media penyimpanan informasi untuk mencegah pengungkapan, modifikasi, pemindahan, dan penghapusan informasi secara tidak sah; dan

pengelolaan media penyimpanan informasi sebagaimana dimaksud dalam huruf a, antara lain dilakukan dengan: Unit harus mengimplementasikan prosedur penanganan media yang dapat dipindahkan (removable _media); _ 2) media yang memuat informasi harus dilindungi terhadap akses, penyalahgunaan, atau perubahan yang tidak sah pada saat dipindahkan; dan media yang tidak lagi dibutuhkan harus dihancurkan dengan aman menggunakan prosedur yang berlaku.

Unit menyusun, mendokumentasikan, dan mengkaji ketentuan akses terhadap Aset Informasi berdasarkan organisasi dan ketentuan keamanan kebutuhan informasi. (1 (2) Unit menyediakan akses ke jaringan dan layanan jaringan untuk Pengguna sesuai dengan tingkat wewenangnya.

Unit hams mengelola akses seperti pendaftaran, penyediaan, peninjauan, penghapusan, dan penyesuaian hak akses Pengguna.

Penghapusan hak akses Pengguna, sebagaimana dimaksud pada ayat (3), hams dilakukan pada saat terjadi penghentian pegawai, penghentian kontrak/perjanjian atau disesuaikan dengan pembahan yang terjadi.

Unit hams membatasi dan mengendalikan penggunaan hak akses khusus yaitu hak akses terhadap Sistem TIK yang bersifat sensitif, termasuk di dalamnya namun tidak terbatas pada sistem operasi, perangkat penyimpanan [storage devices), file server, dan aplikasi-aplikasi yang bersifat sensitif.

Unit hams memastikan bahwa akses terhadap Sistem TIK dilaksanakan dengan aman.

Pengguna sebagaimana dimaksud pada ayat (3), bertanggung jawab menjaga kerahasiaan dalam menggunakan akun dan kata sandi, sesuai dengan ketentuan mengenai penggunaan akun dan kata sandi, surat elektronik, intranet dan internet di lingkungan Kementerian Keuangan.

Pembatasan akses ke informasi dan Sistem TIK hams diterapkan sesuai dengan kendali akses (matrik akses).

Unit hams memastikan Sistem TIK memiliki fitur pengelolaan kata sandi yang interaktif dan berkualitas.

Unit hams membatasi dan mengendalikan dengan ketat penggunaan program utilitas yang dapat membatalkan kendali keamanan sistem informasi.

Unit hams membatasi akses ke kode sumber program. O'

Unit menerapkan Kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keabsahan, dan integritas informasi.

Pengendalian Keamanan Fisik dan Lingkungan terdiri dari:

Area yang aman; dan

Pengamanan Fasilitas Pengolah Informasi.

Area yang aman sebagaimana dimaksud pada ayat (1) huruf a dilaksanakan dengan ketentuan:

Unit dan Instansi menerapkan pengamanan fisik kantor, ruangan, serta fasilitasnya untuk melindungi yang berisi informasi yang bersifat rahasia dan sangat rahasia, dengan cara:

membuat parameter;

membatasi akses masuk; mendesain pengamanan dan penempatan fasilitas, ruangan, dan kantor; dan membangun perlindungan terhadap ancaman bencana alam, serangan berbahaya, dan kecelakaan;

Unit dan Instansi merancang dan menerapkan prosedur untuk bekerja di area yang aman; dan Unit dan Instansi menjaga, mengawasi, dan mengendalikan area keluar masuk barang untuk menghindari akses ke Perangkat TIK oleh pihak yang tidak berwenang.

Pengamanan Fasilitas Pengolah Informasi sebagaimana dimaksud pada ayat (1) huruf b dilaksanakan dengan ketentuan: area 3) 4) c. ‘ f a. Unit dan Instansi hams menempatkan dan melindungi Fasilitas Pengolah Informasi dari ancaman dan bahaya lingkungan, serta akses tidak sah;

Unit dan Instansi hams melindungi Perangkat Pengolah Informasi dari kegagalan catu daya (power supply) dan gangguan lain yang disebabkan oleh kegagalan perangkat pendukung;

kabel daya dan telekomunikasi yang membawa data dan informasi hams dilindungi dari intersepsi, interferensi dan/atau kerusakan;

Unit dan Instansi hams melakukan pemeliharaan yang tepat terhadap Fasilitas Pengolah Informasi untuk menjamin keutuhan dan ketersediaan Fasilitas Pengolah Informasi;

perangkat penyimpan data yang sudah tidak digunakan lagi hams dilakukan penghapusan data secara permanen sebelum digunakan kembali atau dihapuskan / dimusnahkan;

penggunaan Aset Informasi Direktorat Jenderal Perbendaharaan yang dibawa ke luar dari lingkungan kantor Unit dan Instansi hams disetujui oleh Pejabat yang berwenang.

Pengguna hams memastikan Aset Informasi Direktorat Jenderal Perbendaharaan yang tidak berada dalam pengawasan atau yang digunakan di luar lingkungan kantor memiliki perlindungan keamanan yang tepat; dan

Unit dan Instansi menerapkan aturan bagi pegawai yang meninggalkan area kerja agar membersihkan media yang menampilkan informasi rahasia dan sangat rahasia.

Pengendalian Pengelolaan Keamanan Operasional terdiri dari:

prosedur operasional dan tanggung jawab;

perlindungan terhadap ancaman program yang membahayakan _(malware); _ c. pengelolaan _backup; _ d. pengelolaan data aktivitas (log) dan pemantauan;

pengendalian perangkat lunak operasional;

pengelolaan kerentanan teknis; dan pelaksanaan Audit Sistem Informasi.

Prosedur operasional dan tanggung jawab sebagaimana dimaksud pada ayat (1) huruf a dilaksanakan dengan ketentuan:

Unit mendokumentasikan, memelihara, dan menyediakan seluruh prosedur operasional yang terkait dengan penggunaan Perangkat TIK bagi pengguna sesuai dengan peruntukannya;

Unit hams mengelola perubahan organisasi, proses bisnis, dan Fasilitas Pengolah Informasi yang berdampak terhadap keamanan informasi; Unit hams melakukan pemisahan lingkungan pengembangan, pengujian, dan operasional Sistem TIK untuk mengurangi risiko pembahan atau akses tidak sah terhadap sistem operasional;

Unit hams melakukan pemantauan penggunaan sumber daya dan membuat perkiraan kebutuhan untuk memastikan kecukupan kapasitas sumber daya yang akan datang; dan Unit hams melakukan pemantauan terhadap ketersediaan Fasilitas Pengolah Informasi dan memastikan Fasilitas Pengolah Informasi berfungsi sebagaimana mestinya. g- c.

Perlindungan terhadap ancaman program yang membahayakan (malware) sebagaimana dimaksud pada ayat (1) huruf b dilaksanakan dengan ketentuan Unit hams menerapkan sistem yang dapat melakukan pendeteksian, pencegahan, dan pemulihan sebagai bentuk perlindungan terhadap malware, disertai dengan pemberian awareness atas ancaman malware kepada Pengguna, melalui:

implementasi perangkat lunak anti malware yang dilaksanakan sesuai dengan ketentuan mengenai anti malicious code dan perangkat lunak antivirus di lingkungan Direktorat Jenderal Perbendaharaan; dan b. implementasi join domain Kementerian Keuangan dilaksanakan sesuai dengan ketentuan yang mengenai manajemen perangkat TIK di lingkungan Direktorat Jenderal Perbendaharaan.

Pengelolaan Backup sebagaimana dimaksud pada ayat (1) huruf c dilaksanakan dengan ketentuan Unit hams melakukan backup terhadap informasi dan Perangkat Lunak yang berada di Pusat Data (Data Center) secara berkala, dengan ketentuan sebagai berikut:

backup dilaksanakan terhadap:

sistem operasi;

aplikasi;

data dan/atau informasi; dan

konfigurasi;

Unit melaksanakan backup sesuai dengan tanggung jawab dan kewenangannya;

tanggung jawab sebagaimana dimaksud dalam huruf b, dituangkan dalam Service Level Agreement (SLA) antara Unit dengan Unit TIK Pusat, dengan mengacu kepada tingkat kritikalitas layanan TIK berdasarkan business impact _analysis; _ dan d. Unit melaksanakan restore secara berkala untuk memverifikasi hasil backup. If (5) Pengelolaan data aktivitas (log) dan pemantauan sebagaimana dimaksud pada ayat (1) huruf d dilaksanakan dengan ketentuan:

Unit hams mencatat, menyimpan, dan meninjau secara berkala data aktivitas yang terdiri dari Pengguna/administrator/ operator, pengecualian (exception), kegagalan, dan Kejadian Keamanan Informasi pada sistem;

fasilitas pencatat log dan informasi log hams dilindungi terhadap pemalsuan dan akses yang tidak sah; dan Unit hams memastikan semua Perangkat TIK yang tersambung dengan jaringan Kementerian Keuangan telah disinkronisasi dengan sumber waktu yang aktivitas c. akurat dan disepakati.

Pengendalian perangkat lunak operasional sebagaimana dimaksud pada ayat (1) huruf e dilaksanakan dengan ketentuan Unit hams menerapkan prosedur untuk mengendalikan instalasi Perangkat Lunak pada sistem operasional.

Pengelolaan kerentanan teknis sebagaimana dimaksud pada ayat (1) huruf f dilaksanakan dengan ketentuan:

Unit hams melakukan evaluasi dan penilaian risiko berkala terhadap kerentanan teknis yang dalam Sistem Informasi serta secara ditemukan menetapkan pengendalian yang tepat terhadap risiko terkait;

pengendalian terhadap risiko kerentanan teknis dapat dilakukan dengan mengimplementasikan baseline konfigurasi keamanan sesuai dengan ketentuan mengenai baseline konfigurasi keamanan di lingkungan Kementerian Keuangan; dan Unit membatasi Pengguna dalam melakukan instalasi Perangkat Lunak.

(f (8) Pelaksanaan Audit Sistem Informasi sebagaimana dimaksud pada ayat (1) huruf g dilaksanakan dengan ketentuan Audit Sistem Informasi yang melibatkan verifikasi sistem operasional harus direncanakan secara hati-hati dan disepakati para pihak yang terlibat dalam proses audit untuk memperkecil gangguan terhadap proses bisnis.

Pengendalian Keamanan Komunikasi terdiri dari:

pengelolaan keamanan jaringan; dan

keamanan dalam transfer informasi.

Pengelolaan keamanan jaringan sebagaimana dimaksud pada ayat (1) huruf a dilaksanakan dengan ketentuan:

Unit bekerja sama dengan Unit TIK Pusat dalam mengelola dan mengendalikan jaringan, termasuk memisahkan jaringan untuk pengguna, sistem informasi, dan layanan informasi; dan

Unit memastikan Unit TIK Pusat dapat memberikan jaminan layanan jaringan yang tertuang dalam kesepakatan penyediaan layanan, termasuk layanan yang disediakan oleh Pemasok.

Keamanan dalam transfer informasi sebagaimana dimaksud pada ayat (1) huruf b dilaksanakan dengan ketentuan:

Unit harus menetapkan kebijakan, prosedur, dan pengendalian transfer informasi yang dikirimkan melalui semua jenis fasilitas komunikasi;

Unit menyusun kesepakatan yang mengatur transfer informasi yang aman dengan Pihak Ketiga;

Unit harus menerapkan pengamanan informasi yang terdapat dalam surat elektronik, sebagaimana diatur dalam ketentuan mengenai penggunaan akun dan kata sandi, surat elektronik, intranet dan internet di lingkungan Kementerian Keuangan; dan Unit memastikan persyaratan kerahasiaan terkait kegiatan transfer informasi dengan Pihak Ketiga melalui Perjanjian Kerahasiaan atau Non Disclosure Agreement. d.

Pengendalian keamanan Informasi dalam akuisisi, pengembangan, dan pemeliharaan sistem informasi terdiri dari:

persyaratan keamanan pada Sistem Informasi;

keamanan dalam proses pengembangan dan pendukung; dan

data pengujian.

Persyaratan keamanan pada Sistem Informasi sebagaimana dimaksud pada ayat (1) huruf a dilakukan melalui:

analisis dan spesifikasi persyaratan keamanan Sistem Informasi yang dilaksanakan dengan ketentuan: Unit menetapkan dan mendokumentasikan persyaratan keamanan informasi yang relevan sebelum pengembangan Sistem Informasi;

persyaratan keamanan informasi yang hams disusun juga termasuk vulnerability point atas Sistem Informasi yang akan dikembangkan; dan

Unit hams mengindentifikasi risiko dari setiap vulnerability point dan menentukan mitigasi yang hams diterapkan dalam pengembangan Sistem Informasi.

Pengamanan layanan aplikasi pada jaringan publik yang dilaksanakan dengan ketentuan:

Unit hams melindungi informasi dalam layanan aplikasi yang melewati jaringan publik dari kegiatan penipuan, perselisihan, dan pengungkapan informasi serta kegiatan modifikasi yang tidak sah; dan

Unit hams melakukan penilaian risiko terkait potensi serangan siber terhadap Sistem Informasi yang dapat diakses melalui jaringan publik, serta menetapkan pengendalian yang tepat terhadap risiko terkait.

Perlindungan transaksi layanan aplikasi yang dilaksanakan dengan ketentuan Unit hams melindungi informasi dalam transaksi pada layanan aplikasi untuk mencegah transmisi informasi yang tidak lengkap, kesalahan Routing dan perubahan, serta pengungkapan dan duplikasi pesan yang tidak sah.

Keamanan dalam proses pengembangan dan pendukung sebagaimana dimaksud pada ayat (1) humf b dilaksanakan dengan ketentuan:

Unit hams menerapkan ketentuan pengembangan Sistem Informasi yang aman;

Unit hams mengelola perubahan pada sistem dalam setiap tahapan pengembangan Sistem Informasi dengan menerapkan prosedur pengelolaan perubahan; Unit hams melakukan review teknis dan uji coba setelah adanya perubahan _platform; _ d. pembahan terhadap paket program (software package) hams dibatasi;

prinsip untuk rekayasa sistem yang aman hams ditetapkan, didokumentasikan, dipelihara dan diterapkan pada setiap upaya implementasi sistem informasi;

Unit hams melakukan perlindungan terhadap lingkungan pengembangan pada selumh tahapan pengembangan Sistem Informasi dan melakukan c. (I pengawasan dalam hal pengembangan dilakukan oleh Pihak Ketiga;

pengujian fungsi keamanan hams dilakukan selama pengembangan; dan

program pengujian penerimaan dan kriteria lain hams ditetapkan untuk Sistem Informasi bam, peningkatan dan versi bam.

Data pengujian sebagaimana dimaksud pada ayat (1) humf c hams dipilih dengan hati-hati, dilindungi, dan dikendalikan.

Unit dan Instansi memastikan Pemasok menyetujui selumh persyaratan keamanan informasi yang ditetapkan dalam perjanjian, termasuk mitigasi risiko terkait rantai pasok layanan dan produk TIK.

Unit dan Instansi melakukan pemantauan, review, dan audit secara berkala layanan Pemasok.

Unit dan Instansi melakukan pengelolaan perubahan ketentuan layanan Pemasok, dengan mempertimbangkan kritikalitas informasi, sistem dan proses bisnis serta perlu adanya asesmen ulang risiko.

Unit menyusun dan menetapkan prosedur dan tanggung jawab pegawai untuk memastikan tanggapan yang cepat, efektif, dan tepat untuk gangguan keamanan informasi.

Setiap pegawai dan Pemasok wajib melaporkan adanya kejadian dan/atau kelemahan keamanan informasi kepada petugas keamanan informasi dan/atau melalui Layanan Pengguna HAI-DJPb. cr (3) Unit menilai dan memutuskan bahwa Kejadian Keamanan Informasi merupakan gangguan keamanan informasi.

Unit memastikan tanggapan dan penanganan gangguan keamanan informasi dilakukan sesuai dengan prosedur yang berlaku.

Unit mendokumentasikan seluruh gangguan keamanan informasi yang terjadi beserta tindakan perbaikannya untuk digunakan sebagai basis pengetahuan agar dapat mengurangi peluang atau dampak gangguan di masa mendatang.

Unit mendefinisikan dan menerapkan prosedur untuk melakukan identifikasi, pengumpulan, akuisisi, dan preservasi informasi yang dapat berguna sebagai bukti gangguan keamanan informasi.

Unit bersama dengan Unit TIK Pusat berkoordinasi dengan Pusat Operasi Keamanan Siber Nasional Badan Siber dan Sandi Negara (BSSN) dalam hal penanganan gangguan siber.

Unit hams melakukan perencanaan dan penerapan kelangsungan keamanan informasi jika terjadi keadaan kahar yang merugikan, seperti selama keadaan krisis atau bencana.

Unit hams melakukan evaluasi pengendalian kelangsungan keamanan informasi dalam keadaan kahar untuk memastikan pengendalian dimaksud valid dan efektif.

Unit hams mengelola Infrastruktur TIK dengan redundancy yang memadai untuk memenuhi persyaratan ketersediaan.

Redundancy Sistem Informasi hams diuji secara berkala untuk memastikan kelangsungan kegiatan. (it

Pengendalian Kepatuhan terdiri dari:

kepatuhan terhadap persyaratan peraturan perundang-undangan dan perjanjian; dan

review keamanan informasi.

Kepatuhan terhadap persyaratan peraturan perundang- undangan dan perjanjian sebagaimana dimaksud pada ayat (1) huruf a dilakukan dengan ketentuan:

Unit harus mengidentifikasi, mendokumentasikan, dan memelihara kemutakhiran semua persyaratan peraturan perundang-undangan dan kontrak yang terkait dengan keamanan informasi;

Unit harus menerapkan prosedur untuk memastikan kepatuhan terhadap peraturan perundang- undangan dan persyaratan kontrak terkait dengan hak atas kekayaan intelektual dan penggunaan Perangkat Lunak berlisensi;

Unit harus melindungi arsip milik Direktorat Jenderal Perbendaharaan dari kehilangan, kerusakan, pemalsuan, akses yang tidak sah dan rilis yang tidak sah;

Unit harus melindungi privasi dan data pribadi sesuai ketentuan perundang-undangan yang berlaku; dan

Unit melaksanakan pengendalian Kriptografi dalam rangka kepatuhan terhadap perjanjian dan peraturan perundang-undangan.

Review keamanan informasi sebagaimana dimaksud pada ayat (1) huruf b dilakukan dengan ketentuan:

Unit melakukan review secara independen terhadap pengelolaan dan penerapan keamanan informasi secara berkala dalam selang waktu yang direncanakan atau ketika terjadi perubahan yang signifikan; Unit melakukan review kepatuhan proses dan prosedur pada area tanggung jawab Unit sesuai dengan kebijakan, standar dan persyaratan keamanan lainnya; dan Unit hams melakukan review aspek keamanan pada Sistem Informasi secara berkala agar tetap sesuai dengan kebijakan dan standar keamanan informasi.

Ketentuan Organisasi Keamanan Informasi Direktorat Jenderal Perbendaharaan terdiri dari:

Struktur Organisasi; dan

Tugas dan Tanggung Jawa

Struktur Organisasi Keamanan Informasi Direktorat Jenderal Perbendaharaan sebagaimana dimaksud dalam Pasal 20 huruf a terdiri dari:

Organisasi Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan; dan

Organisasi Keamanan Informasi Instansi Direktorat Jenderal Perbendaharaan. Vertikal

Organisasi Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sebagaimana dimaksud dalam Pasal 21 huruf a mengelola keamanan informasi di lingkup Direktorat Jenderal Perbendaharaan.

Struktur Organisasi Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sekurang-kurangnya terdiri dari: Ketua Keamanan Informasi; Koordinator Keamanan Informasi; dan Petugas Keamanan Informasi.

Ketua Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sebagaimana dimaksud pada a.

b.

ayat (2) huruf a dijabat oleh Pejabat Eselon II yang Jenderal Direktorat Unit TIK membawahi Perbendaharaan.

Koordinator Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sebagaimana dimaksud pada ayat (2) huruf b dijabat oleh Pejabat setingkat eselon III pada Unit TIK Direktorat Jenderal Perbendaharaan.

Petugas Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sebagaimana dimaksud pada ayat (2) huruf c dijabat oleh Pejabat/Pelaksana pada Unit TIK Direktorat Jenderal Perbendaharaan dan Unit Eselon II di lingkup Kantor Pusat Direktorat Jenderal Perbendaharaan yang diusulkan oleh Pimpinan Unit Eselon II di lingkup Kantor Pusat Direktorat Jenderal Perbendaharaan.

Organisasi Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan ditetapkan melalui Keputusan Direktur Jenderal Perbendaharaan.

Vertikal (1) Organisasi Keamanan Informasi Instansi Direktorat Jenderal Perbendaharaan sebagaimana dimaksud dalam Pasal 21 huruf b mengelola keamanan informasi di lingkup Kantor Wilayah Direktorat Jenderal Perbendaharaan, termasuk KPPN di wilayah kerjanya.

Struktur Organisasi Keamanan Informasi Instansi Vertikal Direktorat Jenderal Perbendaharaan terdiri dari: (I a. Koordinator Keamanan Informasi Instansi Vertikal, dijabat oleh Pejabat setingkat eselon III yang ditunjuk oleh Kepala Kantor Wilayah Direktorat Jenderal Perbendaharaan; dan

Petugas Keamanan Informasi Instansi Vertikal, dijabat oleh Pejabat/Pelaksana pada Kantor Wilayah Direktorat Jenderal Perbendaharaan dan perwakilan Pejabat/Pelaksana dari KPPN di lingkup wilayah kerja Kantor Wilayah Direktorat Jenderal Perbendaharaan, yang ditunjuk oleh Kepala Kantor Wilayah Direktorat Jenderal Perbendaharaan.

Organisasi Keamanan Informasi Instansi Direktorat Jenderal Perbendaharaan ditetapkan melalui Keputusan Kepala Kantor Wilayah Direktorat Jenderal Perbendaharaan sesuai wilayah kerjanya masing-masing. Vertikal

Ketua Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sebagaimana dimaksud dalam Pasal 22 ayat (2) huruf a bertanggung jawab untuk: mengoordinasikan perumusan dan penyempurnaan Kebijakan Keamanan Informasi di Direktorat Jenderal Perbendaharaan;

menetapkan target dan rencana kerja keamanan informasi setiap tahunnya di Direktorat Jenderal Perbendaharaan ; berkoordinasi dengan Unit Pemilik Risiko Direktorat Jenderal Perbendaharaan dalam pelaksanaan manajemen risiko keamanan informasi di Direktorat Jenderal Perbendaharaan;

memastikan pelaksanaan audit internal secara berkala untuk memeriksa kepatuhan terhadap kebijakan, persyaratan, standar, dan prosedur keamanan informasi, minimal sekali dalam setahun;

(T e. memastikan efektivitas penerapan Kebijakan Keamanan Informasi di Lingkungan Direktorat Jenderal Perbendaharaan; dan

melaporkan kinerja penerapan kebijakan serta pencapaian target keamanan informasi di Direktorat Jenderal Perbendaharaan kepada Ketua Keamanan Informasi Kementerian Keuangan dan tembusan kepada Direktur Jenderal Perbendaharaan.

Koordinator Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sebagaimana dimaksud dalam Pasal 22 ayat huruf b bertanggung jawab untuk:

mengoordinasikan penerapan Kebijakan Keamanan Informasi di Direktorat Jenderal Perbendaharaan;

memastikan langkah-langkah perbaikan sudah dilakukan berdasarkan saran dan rekomendasi yang diberikan dalam pelaksanaan evaluasi dan/atau audit penerapan Kebijakan Keamanan Informasi di Direktorat Jenderal Perbendaharaan;

mengoordinasikan penanganan gangguan keamanan informasi pada Direktorat Jenderal Perbendaharaan;

mengoordinasikan pelaksanaan evaluasi efektivitas Kebijakan Keamanan Informasi dan penerapannya pada Direktorat Jenderal Perbendaharaan;

mengoordinasikan dengan pihak terkait dalam rangka peningkatan pengetahuan dan keterampilan terkait keamanan informasi;

mengoordinasikan kepedulian seluruh pegawai terhadap Kebijakan Keamanan Informasi pada Direktorat Jenderal Perbendaharaan; melaporkan kinerja penerapan Kebijakan Keamanan Informasi pada Direktorat Jenderal Perbendaharaan sesuai ruang lingkup tanggung jawabnya kepada Ketua Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan; dan

menjalankan tugas lain terkait penerapan keamanan informasi. g- f (3) Petugas Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan sebagaimana dimaksud dalam Pasal 22 ayat (2) huruf c bertanggung jawab untuk:

melaksanakan dan memantau penerapan Kebijakan Keamanan Informasi di Direktorat Jenderal Perbendaharaan;

memberi masukan dalam rangka penyempurnaan Kebijakan Keamanan Informasi Jenderal Perbendaharaan; mengusulkan kebutuhan pendidikan dan pelatihan terkait keamanan informasi bagi pegawai di Direktorat Jenderal Perbendaharaan;

memantau, mencatat, menguraikan adanya gangguan keamanan informasi dan menindaklanjuti sesuai prosedur penanganan gangguan keamanan informasi di Direktorat Jenderal Perbendaharaan; memberikan panduan dan/atau bantuan penyelesaian masalah-masalah keamanan informasi di Direktorat Jenderal Perbendaharaan;

menyampaikan progress pelaksanaan Kebijakan Keamanan Informasi di Direktorat Jenderal Perbendaharaan kepada Koordinator Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan; menjalankan tugas lain terkait penerapan keamanan informasi; dan

melaporkan kinerja penerapan Kebijakan Keamanan Informasi pada Direktorat Jenderal Perbendaharaan sesuai ruang lingkup tanggung jawabnya kepada Koordinator Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan. Direktorat di c.

g-

Koordinator Keamanan Informasi Instansi Vertikal sebagaimana dimaksud dalam Pasal 23 ayat (2) huruf a bertanggung jawab untuk:

mengoordinasikan penerapan Kebijakan Keamanan Informasi di lingkungan instansi vertikal masing- masing;

memastikan langkah-langkah perbaikan sudah dilakukan berdasarkan saran dan rekomendasi basil evaluasi dan/atau audit penerapan Kebijakan Keamanan Informasi di lingkungan instansi vertikal masing-masing;

mengoordinasikan penanganan gangguan keamanan informasi di lingkungan instansi vertikal masing- masing;

mengoordinasikan dengan pihak terkait dalam rangka peningkatan pengetahuan dab keterampilan terkait keamanan informasi;

mengoordinasikan kepedulian seluruh pegawai terhadap Kebijakan Keamanan Informasi lingkungan instansi vertikal masing-masing; dan

melaporkan kinerja penerapan Kebijakan Keamanan Informasi di lingkungan instansi vertikal masing- masing sesuai ruang lingkup tanggung jawabnya kepada Ketua Keamanan Informasi Kantor Pusat Direktorat Jenderal Perbendaharaan dan tembusan kepada Kepala Kantor Wilayah Direktorat Jenderal Perbendaharaan.

Petugas Keamanan Informasi Instansi sebagaimana dimaksud dalam Pasal 23 ayat huruf b bertanggung jawab untuk:

melaksanakan dan memantau penerapan Kebijakan Keamanan Informasi di lingkungan instansi vertikal masing-masing;

memberi masukan untuk meningkatkan penerapan Kebijakan Keamanan Informasi di lingkungan instansi vertikal masing-masing;

mengusulkan kebutuhan pendidikan dan pelatihan terkait keamanan informasi bagi pegawai di lingkungan instansi vertikal masing-masing; di Vertikal r memantau, mencatat, dan menguraikan adanya gangguan keamanan informasi dan menindaklanjuti sesuai dengan prosedur penanganan gangguan keamanan informasi di lingkungan instansi vertikal masing-masing; memberikan panduan dan/atau bantuan penyelesaian masalah-masalah keamanan informasi di lingkungan instansi vertikal masing-masing; dan melaporkan pelaksanaan dan pemantauan penerapan Kebijakan Keamanan Informasi lingkungan instansi vertikal masing-masing kepada Koordinator Keamanan Informasi instansi vertikal.

di

Dalam pelaksanaan SMKI di lingkungan Direktorat Jenderal Perbendaharaan, Unit harus membuat kategori atas setiap Sistem Elektronik yang diselenggarakan di lingkungan Direktorat Jenderal Perbendaharaan.

Kategori Sistem Elektronik di lingkungan Direktorat Jenderal Perbendaharaan sebagaimana dimaksud pada ay at (1), terdiri atas:

Sistem Elektronik Strategis;

Sistem Elektronik Tinggi; dan Sistem Elektronik Rendah.

Untuk menjamin efektivitas pelaksanaan SMKI, Unit selaku penyelenggara Sistem Elektronik di lingkungan Direktorat Jenderal Perbendaharaan: harus memiliki Sertifikat Sistem Manajemen Pengamanan Informasi untuk Sistem Elektronik dengan kategori Strategis dan Sistem Elektronik Tinggi; dan

dapat memiliki Sertifikat Sistem Manajemen Pengamanan Informasi untuk Sistem Elektronik dengan kategori Sistem Elektronik Rendah.

(t (4) Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (3) huruf a dan huruf b, diperoleh setelah Unit yang menyelenggarakan Sistem sertifikasi SNI ISO/IEC Elektronik melaksanakan 27001:

Unit yang menyelenggarakan Sistem Elektronik hams memiliki Sertifikat Sistem Manajemen Pengamanan Informasi untuk Sistem Elektronik dengan kategori Sistem Elektronik Strategis dan Sistem Elektronik Tinggi sebagaimana dimaksud pada ayat (3) bumf a paling lambat 2 (dua) tahun sejak Keputusan Menteri Keuangan mengenai pengelolaan keamanan informasi di lingkungan Kementerian Keuangan ditetapkan.

Pedoman teknis yang diperlukan dalam rangka pelaksanaan Peraturan Direktur Jenderal ini diatur lebih lanjut oleh Chief Information Officer (CIO) Direktorat Jenderal Perbendaharaan.

Pada saat Peraturan Direktur Jenderal ini berlaku, Peraturan Direktur Jenderal Perbendaharaan Nomor PER-17/PB/2019 tentang Kebijakan Sistem Manajemen Keamanan Informasi di Lingkungan Direktorat Jenderal Perbendaharaan dicabut dan dinyatakan tidak berlaku. (r Pasal 29 Peraturan Direktur Jenderal Perbendaharaan ini mulai berlaku pada tanggal ditetapkan. Ditetapkan di Jakarta pada tanggal 15 J#.nuari 2©21 ,KTUR JENDERAL PERBENDAHARAAN, ^mREP i/e % m % Sf^REKTU * \ JENDER r % ADIYANTO q