Permendagri 57 tahun 2021 tentang SMKI

suryaden Min, 01/30/2022 - 05:13

Apa itu SMKI?

Kementerian Dalam Negeri menerbitkan Permendagri 57 tahun 2021 tentang SMKI. SMKI adalah singkatan dari Sistem Manajemen Keamanan Informasi Administrasi Kependudukan. Merupakan bagian dari sistem manajemen secara keseluruhan, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan, dan memelihara keamanan informasi terkait pelaksanaan SAK. Keamanan data kependudukan merupakan hal sensitif dan vital. Dengan adanya satu data tentang NIK maka negara harus dapat menjaga keamanan agar tidak disalahgunakan untuk tindak kejahatan. Data penduduk maupun data pribadi warga negara harus memiliki bisnis proses dalam keamanannya secara akuntabel dan profesional.

Apa itu Administrasi Kependudukan?

Administrasi Kependudukan adalah rangkaian kegiatan penataan dan penertiban dalam penerbitan dokumen dan Data Kependudukan melalui Pendaftaran Penduduk, Pencatatan Sipil, pengelolaan informasi Administrasi Kependudukan serta pendayagunaan hasilnya untuk pelayanan publik dan pembangunan sektor lain. SAK adalah singkatan dari Sistem Administrasi Kependudukan. Adalah sistem yang memanfaatkan teknologi informasi dan komunikasi untuk penyelenggaraan Administrasi Kependudukan.

Apakah SIAK itu?

SIAK adalah singkatan dari Sistem Informasi Administrasi Kependudukan. Yaitu sistem informasi yang memanfaatkan teknologi informasi dan komunikasi untuk memfasilitasi pengelolaan informasi Administrasi Kependudukan di tingkat penyelenggara dan instansi pelaksana sebagai satu kesatuan. Untuk menjamin adanya keamanan data yang dapat dipertanggunjawabkan Kemendagri membangun Tempat Layanan Operasional SIAK, UNIT TIK, Pusat Data dan Pusat Data Cadangan, dan Satuan Tugas Keamanan Informasi. Pusat Data dan Pusat Data Cadangan adalah tempat/ruang penyimpanan perangkat keras, Perangkat Lunak, basis data cadangan, dan Perangkat Pendukung pada Ditjen Dukcapil yang berfungsi untuk pemulihan kejadian luar biasa/bencana yang tidak direncanakan pada Pusat Data guna menjamin keberlangsungan sistem.

Apa itu Tempat Layanan Operasional SIAK?

Tempat Layanan Operasional SIAK adalah ruangan perangkat keras, Perangkat Lunak, perangkat jaringan komunikasi data, dan sumber daya manusia. Unit TIK adalah satuan pelaksana SAK yang bertanggung jawab melaksanakan pengamanan Aset Informasi SAK dengan mengacu pada kebijakan SMKI. STKI adalah satuan tugas yang memiliki tugas dan tanggung jawab dalam pengamanan Aset Informasi SAK.

Peraturan Menteri Dalam Negeri Nomor 57 tahun 2021 tentang Sistem Manajemen Keamanan Informasi Administrasi Kependudukan ditetapkan Mendagri M. Tito Karnavian pada 10 November 2021 dan diundangkan Dirjen PP Kemenkumham Benny Riyanto pada 17 November 2021 di Jakarta. Ditempatkan pada Berita Negara Republik Indonesia Tahun 2021 Nomor 1272. Agar setiap orang mengetahuinya.

Permendagri 57 tahun 2021 tentang SMKI

Latar Belakang

Pertimbangan Permendagri 57 tahun 2021 tentang SMKI adalah:

bahwa untuk melindungi dan menjamin kerahasiaan, keutuhan, dan ketersediaan aset informasi dari ancaman keamanan perlu disusun sistem manajemen keamanan informasi;
bahwa sistem manajemen keamanan informasi administrasi kependudukan dilaksanakan dengan menerapkan standar nasional Indonesia international organization for standardization/international electrotechnical commission 27001 (SNI ISO/IEC 27001);
bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a dan huruf b, perlu menetapkan Peraturan Menteri Dalam Negeri tentang Sistem Manajemen Keamanan Informasi Administrasi Kependudukan;

Dasar Hukum

Dasar hukum Permendagri 57 tahun 2021 tentang SMKI adalah:

Pasal 17 ayat (3) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945;
Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (Lembaran Negara Republik Indonesia Tahun 2006 Nomor 124, Tambahan Lembaran Negara Republik Indonesia Nomor 4674) sebagaimana telah diubah dengan Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (Lembaran Negara Republik Indonesia Tahun 2013 Nomor 232, Tambahan Lembaran Negara Republik Indonesia Nomor 5475);
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843) sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2016 Nomor 251, Tambahan Lembaran Negara Republik Indonesia Nomor 595);
Undang-Undang Nomor 39 Tahun 2008 tentang Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 166, Tambahan Lembaran Negara Republik Indonesia Nomor 4916);
Peraturan Pemerintah Nomor 40 Tahun 2019 tentang Pelaksanaan Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan sebagaimana telah diubah dengan Undang-undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (Lembaran Negara Republik Indonesia Tahun 2019 Nomor 102, Tambahan Lembaran Negara Republik Indonesia Nomor 6354);
Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2019 Nomor 185, Tambahan Lembaran Negara Republik Indonesia Nomor 6400);
Peraturan Presiden Nomor 11 Tahun 2015 tentang Kementerian Dalam Negeri (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 12);
Peraturan Menteri Dalam Negeri Nomor 95 Tahun 2019 tentang Sistem Informasi Administrasi Kependudukan (Berita Negara Republik Indonesia Tahun 2019 Nomor 1478);
Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik (Berita Negara Republik Indonesia Tahun 2020 Nomor 1375);
Peraturan Menteri Dalam Negeri Nomor 13 Tahun 2021 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri (Berita Negara Republik Indonesia Tahun 2021 Nomor 398);

Isi Permendagri SMKI Administrasi Kependudukan

Berikut adalah isi Peraturan Menteri Dalam Negeri Nomor 57 tahun 2021 tentang Sistem Manajemen Keamanan Informasi Administrasi Kependudukan, bukan format asli:

PERATURAN MENTERI DALAM NEGERI TENTANG SISTEM MANAJEMEN KEAMANAN INFORMASI ADMINISTRASI KEPENDUDUKAN

BAB I
KETENTUAN UMUM

Pasal 1

Dalam Peraturan Menteri ini yang dimaksud dengan:

Administrasi Kependudukan adalah rangkaian kegiatan penataan dan penertiban dalam penerbitan dokumen dan Data Kependudukan melalui Pendaftaran Penduduk, Pencatatan Sipil, pengelolaan informasi Administrasi Kependudukan serta pendayagunaan hasilnya untuk pelayanan publik dan pembangunan sektor lain.
Sistem Administrasi Kependudukan yang selanjutnya disingkat SAK adalah sistem yang memanfaatkan teknologi informasi dan komunikasi untuk penyelenggaraan Administrasi Kependudukan.
Menteri adalah menteri yang menyelenggarakan urusan pemerintahan dalam negeri.
Direktur Jenderal Kependudukan dan Pencatatan Sipil yang selanjutnya disebut Dirjen adalah direktur jenderal yang ruang lingkup tugas dan fungsinya membidangi kependudukan dan pencatatan sipil dan bertanggung jawab kepada Menteri.
Direktorat Jenderal Kependudukan dan Pencatatan Sipil yang selanjutnya disebut Ditjen Dukcapil adalah direktorat jenderal pada Kementerian Dalam Negeri yang bertanggung jawab untuk melaksanakan tugas menyelenggarakan perumusan dan pelaksanaan kebijakan di bidang kependudukan dan pencatatan sipil sesuai dengan ketentuan peraturan perundang- undangan.
Dinas Kependudukan dan Pencatatan Sipil Provinsi yang selanjutnya disebut Disdukcapil Provinsi adalah perangkat pemerintah provinsi yang membidangi urusan Administrasi Kependudukan.
Dinas Kependudukan dan Pencatatan Sipil Kabupaten/Kota yang selanjutnya disebut Disdukcapil Kabupaten/Kota adalah perangkat pemerintah kabupaten/kota selaku instansi pelaksana yang membidangi urusan Administrasi Kependudukan.
Perwakilan Republik Indonesia adalah Kedutaan Besar Republik Indonesia, Konsulat Jenderal Republik Indonesia, dan Konsulat Republik Indonesia di luar wilayah Negara Kesatuan Republik Indonesia yang membidangi urusan Administrasi Kependudukan.
Unit Pelaksana Teknis Dinas Kependudukan dan Pencatatan Sipil Kabupaten/Kota yang selanjutnya disebut UPT Disdukcapil Kabupaten/Kota adalah unit pelayanan Administrasi Kependudukan di tingkat kecamatan yang berkedudukan di bawah Disdukcapil Kabupaten/Kota.
Sistem Manajemen Keamanan Informasi Administrasi Kependudukan yang selanjutnya disebut SMKI adalah bagian dari sistem manajemen secara keseluruhan, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan, dan memelihara keamanan informasi terkait pelaksanaan SAK.
Teknologi Informasi dan Komunikasi yang selanjutnya disingkat TIK adalah segala kegiatan yang terkait dengan pemrosesan, pengelolaan dan penyampaian, atau pemindahan informasi antar sarana/media.
Akun adalah identifikasi pengguna yang diberikan oleh unit pengelola TIK, bersifat unik dan digunakan bersamaan dengan kata sandi ketika akan memasuki sistem TIK.
Keamanan Informasi adalah perlindungan aset informasi dari berbagai bentuk ancaman untuk memastikan kelangsungan kegiatan, menjamin kerahasiaan, keutuhan, dan memastikan ketersediaan sistem dan data Administrasi Kependudukan.
Aset Informasi Sistem Administrasi Kependudukan yang selanjutnya disebut Aset Informasi SAK adalah aset yang digunakan untuk memfasilitasi pengelolaan dan pemanfaatan informasi Administrasi Kependudukan.
Hak Akses Khusus adalah akses terhadap sistem informasi yang bersifat rahasia dan hanya diberikan kepada pihak yang menandatangani perjanjian kerahasiaan dengan pemakaian terbatas dan dikontrol oleh satuan tugas Keamanan Informasi.
Perjanjian Kerahasiaan adalah perikatan antara para pihak dengan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, dan/atau Perwakilan Republik Indonesia berupa pelarangan penyebarluasan, atau penyalahgunaan bahan rahasia, pengetahuan, atau informasi.
Pihak Lain adalah semua unsur selain Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia.
Kriptografi adalah ilmu yang mempelajari cara menyamarkan informasi dan mengubah kembali bentuk tersamar tersebut ke informasi awal untuk meningkatkan Keamanan Informasi.
Perangkat Lunak adalah sistem atau aplikasi yang digunakan untuk mendukung SAK.
Perangkat Pendukung adalah peralatan pendukung untuk menjamin beroperasinya perangkat keras, Perangkat Lunak, dan perangkat jaringan serta melindungnya dari kerusakan.
Perangkat Pengolah Informasi adalah setiap sistem pengolah informasi, layanan atau infrastruktur fisik dan nonfisik.
Pusat Data adalah tempat/ruang penyimpanan perangkat keras, Perangkat Lunak, basis data, dan Perangkat Pendukung pada Ditjen Dukcapil yang menghimpun dan mengintegrasikan data kependudukan dari hasil pelayanan pendaftaran penduduk dan pencatatan sipil.
Pusat Data Cadangan adalah tempat/ruang penyimpanan perangkat keras, Perangkat Lunak, basis data cadangan, dan Perangkat Pendukung pada Ditjen Dukcapil yang berfungsi untuk pemulihan kejadian luar biasa/bencana yang tidak direncanakan pada Pusat Data guna menjamin keberlangsungan sistem.
Pegawai adalah pegawai negeri sipil dan pegawai pemerintah dengan perjanjian kerja yang melaksanakan tugas dalam jabatan, pekerjaan atau kegiatan yang terkait dengan pengamanan Aset Informasi SAK sesuai dengan tugas dan fungsinya.
Satuan Tugas Keamanan Informasi yang selanjutnya disebut STKI adalah satuan tugas yang memiliki tugas dan tanggung jawab dalam pengamanan Aset Informasi SAK.
Sistem Informasi Administrasi Kependudukan yang selanjutnya disingkat SIAK adalah sistem informasi yang memanfaatkan teknologi informasi dan komunikasi untuk memfasilitasi pengelolaan informasi Administrasi Kependudukan di tingkat penyelenggara dan instansi pelaksana sebagai satu kesatuan.
Tempat Layanan Operasional SIAK adalah ruangan perangkat keras, Perangkat Lunak, perangkat jaringan komunikasi data, dan sumber daya manusia.
Standar Operasional Prosedur yang selanjutnya disingkat SOP adalah serangkaian instruksi tertulis yang dibakukan mengenai berbagai prosedur pengamanan Aset Informasi SAK, bagaimana dan kapan harus dilakukan, serta dimana dan oleh siapa dilakukan.
Unit Teknologi Informasi Komunikasi yang selanjutnya disebut Unit TIK adalah satuan pelaksana SAK yang bertanggung jawab melaksanakan pengamanan Aset Informasi SAK dengan mengacu pada kebijakan SMKI.

Pasal 2

Penyelenggaran SMKI dilaksanakan dengan menerapkan standar nasional Indonesia international organization for standardization/international electrotechnical commission 27001.
SMKI sebagaimana dimaksud pada ayat (1) meliputi:
1. tata kelola Keamanan Informasi;
2. keamanan sumber daya manusia;
3. keamanan fisik dan lingkungan;
4. keamanan operasional dan komunikasi;
5. manajemen aset;
6. manajemen insiden Keamanan Informasi;
7. manajemen kelangsungan layanan;
8. kendali/hak akses;
9. pengendalian kepatuhan;
10. pengembangan dan perawatan sistem; dan
11. audit TIK.

BAB II
PENANGGUNG JAWAB DAN PELAKSANA SISTEM MANAJEMEN KEAMANAN INFORMASI ADMINSITRASI KEPENDUDUKAN

Pasal 3

Dirjen bertanggung jawab atas pelaksanaan SMKI.
SMKI sebagaimana dimaksud pada ayat (1) digunakan untuk melindungi, menjamin kerahasiaan, keutuhan, dan ketersediaan Aset Informasi SAK dalam bentuk:
1. data dan/atau dokumen;
2. Perangkat Lunak;
3. aset berwujud; dan
4. aset tidak berwujud.

Pasal 4

Data dan/atau dokumen sebagaimana dimaksud dalam Pasal 3 ayat (3) huruf a, meliputi data Administrasi Kependudukan, data biometrik penduduk, data balikan dari lembaga pengguna, data aggregat kependudukan, daftar penduduk pemilih potensial pemilihan, file konfigurasi secure access module card, data Akun pengguna sistem, daftar internet protocol sistem, data hasil pemadanan data kepada pengguna, data konfigurasi perangkat keras, data kode sumber aplikasi, dokumen Perjanjian Kerahasiaan, dokumen Administrasi Kependudukan yang ditandatangani secara elektronik, dan dokumen hasil audit.
Perangkat Lunak sebagaimana dimaksud dalam Pasal 3 ayat (3) huruf b meliputi Perangkat Lunak aplikasi, Perangkat Lunak sistem, lisensi, dan perangkat bantu pengembangan sistem.
Aset berwujud sebagaimana dimaksud dalam Pasal 3 ayat (3) huruf c meliputi perangkat komputer, perangkat jaringan dan komunikasi, media penyimpanan data, dan Perangkat Pendukung.
Perangkat Jaringan sebagaimana dimaksud pada ayat 3 merupakan perangkat jaringan komunikasi data antara lain berupa modem, hub, switch, router, firewall, dan proxy.
Aset tidak berwujud sebagaimana dimaksud dalam Pasal 3 ayat (3) huruf d meliputi pengetahuan, pengalaman, keahlian, citra, dan reputasi.

Pasal 5

Dirjen selaku penanggung jawab sebagaimana dimaksud dalam Pasal 3 ayat (2) dibantu oleh STKI selaku pelaksana SMKI.
STKI sebagaimana dimaksud pada ayat (1) berkedudukan di Ditjen Dukcapil.
STKI sebagaimana dimaksud pada ayat (2) dikoordinasikan oleh Sekretaris Ditjen Dukcapil dan beranggotakan pejabat pimpinan tinggi pratama di lingkungan Ditjen Dukcapil.

Pasal 6

STKI sebagaimana dimaksud dalam Pasal 5 memiliki tugas dan tanggung jawab meliputi:

memastikan pelaksanaan kebijakan SMKI;
mengendalikan dokumen SMKI untuk menjaga kemutakhiran dokumen dan efektivitas pelaksanaan operasional;
melakukan pemetaan keperluan Keamanan Informasi;
melakukan audit internal SMKI untuk memperbaiki penerapan SMKI dan menindaklanjuti temuan auditor;
melakukan pemantauan dan evaluasi terhadap pelaksanaan SMKI di Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota dan Perwakilan Republik Indonesia secara berkala untuk meningkatkan Keamanan Informasi;
mengidentifikasi dan mengkaji secara berkala persyaratan untuk menjaga kerahasiaan Aset Informasi SAK yang dituangkan dalam dokumen kerahasiaan; dan
menyampaikan laporan dan rekomendasi pelaksanaan SMKI kepada Dirjen melalui Sekretaris Ditjen Dukcapil selaku koordinator STKI.

Pasal 7

STKI harus memiliki kompetensi dan keahlian yang memadai dalam melaksanakan tugas dan tanggung jawab untuk melakukan pemetaan keperluan Keamanan Informasi sebagaimana dimaksud dalam Pasal 6 huruf c.
Pemetaan keperluan Keamanan Informasi sebagaimana dimaksud pada ayat (1) meliputi:
1. menetapkan standar kompetensi/keahlian pelaksana;
2. mengalokasikan sumber daya;
3. melaksanakan program sosialisasi dan peningkatan pemahaman Keamanan Informasi;
4. melaksanakan program peningkatan kompetensi dan keahlian untuk pejabat dan petugas pelaksana Keamanan Informasi;
5. membuat langkah kelangsungan layanan TIK;
6. membuat matrik, parameter dan proses pengukuran kinerja pengelolaan Keamanan Informasi; dan
7. melaksanakan kebijakan dan langkah penanggulangan insiden Keamanan Informasi yang menyangkut pelanggaran hukum.

Pasal 8

Tugas dan tanggung jawab melakukan audit internal SMKI sebagaimana dimaksud dalam Pasal 6 huruf d STKI dapat menunjuk pihak yang berkompeten di bidang audit teknologi informasi.

Pasal 9

Tugas dan tanggung jawab menyampaikan laporan dan rekomendasi pelaksanaan SMKI sebagaimana dimaksud dalam Pasal 6 huruf g dilakukan dengan cara menggunakan catatan penerapan kebijakan dan standar SMKI untuk mengukur kepatuhan dan efektifitas penerapan SMKI.
Catatan penerapan kebijakan dan standar SMKI sebagaimana dimaksud pada ayat (1) terdiri dari:
1. formulir berdasarkan SOP yang ditetapkan oleh Menteri;
2. catatan gangguan Keamanan Informasi;
3. catatan dari sistem (system log);
4. catatan Pegawai, Pihak Lain dan pengunjung di Pusat Data, Pusat Data Cadangan, atau Tempat Layanan Operasional SIAK;
5. kontrak kerja dengan pihak pelaksana kegiatan;
6. perjanjian kerja sama layanan pemanfaatan data;
7. Perjanjian Kerahasiaan; dan
8. laporan audit.

Pasal 10

Pelaksanaan kebijakan SMKI sebagaimana dimaksud dalam Pasal 3 ayat (2) di Ditjen Dukcapil dilaksanakan oleh Sekretaris Ditjen Dukcapil selaku koordinator STKI, pejabat pimpinan tinggi pratama, pimpinan Unit TIK, dan Unit TIK.
Pelaksanaan kebijakan SMKI sebagaimana dimaksud dalam Pasal 3 ayat (2) di Disdukcapil Provinsi dilaksanakan oleh kepala Disdukcapil Provinsi, pimpinan Unit TIK, dan Unit TIK.
Pelaksanaan kebijakan SMKI sebagaimana dimaksud dalam Pasal 3 ayat (2) di Disdukcapil Kabupaten/Kota dilaksanakan oleh kepala Disdukcapil Kabupaten/Kota, pimpinan Unit TIK, dan Unit TIK.
Pelaksanaan kebijakan SMKI sebagaimana dimaksud dalam Pasal 3 ayat (2) di UPT Disdukcapil Kabupaten/Kota dilaksanakan oleh kepala UPT Disdukcapil Kabupaten/Kota, pimpinan Unit TIK, dan Unit TIK.
Pelaksanaan kebijakan SMKI sebagaimana dimaksud dalam Pasal 3 ayat (2) di Perwakilan Republik Indonesia dilaksanakan oleh kepala Perwakilan Republik Indonesia, pimpinan Unit TIK, dan Unit TIK.

Pasal 11

Dirjen selaku penanggung jawab pelaksanaan kebijakan SMKI sebagaimana dimaksud dalam Pasal 3 ayat (2) dapat melakukan kerja sama dengan:
1. kementerian yang menyelenggarakan urusan pemerintahan di bidang informasi dan telekomunikasi; dan
2. komunitas, badan hukum, dan lembaga yang bergerak dalam bidang Keamanan Informasi, melalui pendampingan teknis, pelatihan, seminar, atau forum lain yang relevan dengan Keamanan Informasi.
Pejabat pimpinan tinggi pratama sebagaimana dimaksud dalam Pasal 10 ayat (1) sampai dengan ayat (3) bertugas untuk melaksanakan Kebijakan SMKI di lingkungan direktorat, Disdukcapil Provinsi, dan Disdukcapil Kabupaten/Kota.
Kepala UPT Disdukcapil Kabupaten/Kota sebagaimana di maksud dalam Pasal 10 ayat (4) bertugas untuk melaksanakan kebijakan SMKI di UPT Disdukcapil Kabupaten/Kota.
Kepala Perwakilan Republik Indonesia sebagaimana dimaksud Pasal 10 ayat (5) bertugas untuk melaksanakan Kebijakan SMKI di Perwakilan Republik Indonesia.
Pimpinan Unit TIK sebagaimana dimaksud dalam Pasal 10 ayat (1) sampai dengan ayat (5) bertugas untuk mengatur pelaksanaan Kebijakan SMKI di lingkungan Unit TIK.
Unit TIK sebagaimana dimaksud dalam Pasal 10 ayat (1) sampai dengan ayat (5) bertugas untuk melaksanakan kebijakan Keamanan Informasi di lingkungan Unit TIK dan bertanggung jawab terhadap pimpinan Unit TIK.

Pasal 12

Pimpinan Unit TIK sebagaimana dimaksud dalam Pasal 11 ayat (5) memberikan informasi kepada Dirjen melalui pejabat pimpinan tinggi pratama atau koordinator STKI untuk melakukan keputusan sepihak guna melindungi kerahasiaan, keutuhan, dan ketersediaan Aset Informasi SAK.
Keputusan sepihak sebagaimana dimaksud pada ayat (1) dilakukan terhadap pihak:
1. yang melanggar perjanjian; dan/atau
2. lainnya yang meretas sistem secara melawan hukum.
Pemberian informasi sebagaimana dimaksud pada ayat (1) dilakukan melalui media elektronik untuk mendapat persetujuan dari Dirjen.
Ditjen Dukcapil tidak bertanggung jawab atas kerugian yang ditimbulkan oleh pihak yang melanggar perjanjian sebagaimana dimaksud pada ayat (1).

BAB III
TATA KELOLA KEAMANAN INFORMASI

Pasal 13

Tata kelola Keamanan Informasi sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf a dilakukan untuk mengamankan pengelolaan kebijakan keamanan Administrasi Kependudukan melalui kepastian prosedur kerja.

Pasal 14

Tata kelola Keamanan Informasi di lingkungan Ditjen Dukcapil dilaksanakan oleh Dirjen bersama dengan Sekretaris Ditjen Dukcapil selaku koordinator STKI, serta pejabat pimpinan tinggi pratama, pimpinan Unit TIK, dan Unit TIK selaku anggota STKI.
Tata kelola Keamanan Informasi di Disdukcapil Provinsi dilaksanakan oleh kepala Disdukcapil Provinsi, pimpinan Unit TIK, dan Unit TIK selaku satuan pelaksana SAK.
Tata kelola Keamanan Informasi di Disdukcapil Kabupaten/Kota dilaksanakan oleh kepala Disdukcapil Kabupaten/Kota, pimpinan Unit TIK, dan Unit TIK selaku satuan pelaksana SAK.
Tata kelola Keamanan Informasi di UPT Disdukcapil Kabupaten/Kota dilaksanakan oleh kepala UPT Disdukcapil Kabupaten/Kota, pimpinan Unit TIK, dan Unit TIK selaku satuan pelaksana SAK.
Tata kelola Keamanan Informasi di Perwakilan Republik Indonesia dilaksanakan oleh kepala Perwakilan Republik Indonesia, pimpinan unit TIK, dan unit TIK selaku satuan pelaksana SAK.

Pasal 15

Dirjen sebagaimana dimaksud dalam Pasal 14 ayat (1) bertugas untuk:

membuat rencana dan target Keamanan Informasi setiap tahunnya; dan
mengukur efektivitas dan konsistensi penerapan Kebijakan dan Standar SMKI.

Pasal 16

Koordinator STKI sebagaimana dimaksud dalam Pasal 14 ayat (1) bertugas untuk:

memastikan kebijakan dan standar SMKI diterapkan secara efektif sesuai dengan standar indeks Keamanan Informasi yang ditetapkan oleh kementerian yang menyelenggarakan urusan pemerintahan di bidang informasi dan telekomunikasi;
memastikan langkah perbaikan sudah dilakukan berdasarkan saran dan rekomendasi yang diberikan STKI dalam pelaksanaan evaluasi dan/atau audit penerapan kebijakan dan standar SMKI;
memastikan peningkatan kesadaran, kepedulian, dan kepatuhan seluruh Pegawai terhadap kebijakan dan standar SMKI;
memastikan terlaksananya evaluasi dan/atau audit internal terhadap kebijakan dan standar SMKI sesuai dengan indeks Keamanan Informasi yang ditetapkan oleh kementerian/lembaga terkait;
memastikan pelaksanaan penanganan gangguan Keamanan Informasi antar unit kerja di lingkungan direktorat; dan
melaporkan kinerja pelaksanaan dan evaluasi penerapan kebijakan dan standar SMKI kepada Dirjen yang akan digunakan sebagai dasar peningkatan Keamanan Informasi.

Pasal 17

Pejabat pimpinan tinggi pratama di Kementerian Dalam Negeri, kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia sebagaimana dimaksud dalam Pasal 14 bertanggung jawab untuk:

melaksanakan kebijakan dan standar SMKI pada Unit TIK;
mengawasi penerapan kebijakan dan standar SMKI pada Unit TIK;
memberikan masukan melalui koordinator STKI untuk meningkatkan penerapan kebijakan dan standar SMKI pada Unit TIK;
mendefinisikan kebutuhan, merekomendasikan, dan memfasilitasi penyelenggaraan pendidikan dan pelatihan Keamanan Informasi bagi Pegawai pada Unit TIK;
memantau, mencatat, menguraikan, dan menindaklanjuti gangguan Keamanan Informasi yang diketahui atau dilaporkan sesuai dengan prosedur pelaporan gangguan Keamanan Informasi pada Unit TIK; dan
memfasilitasi penyelesaian masalah Keamanan Informasi pada Unit TIK.

Pasal 18

Pejabat pimpinan tinggi pratama, kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia sebagaimana dimaksud dalam Pasal 17 menetapkan penanggung jawab Aset Informasi SAK pada Unit TIK.
Penanggung jawab Aset Informasi SAK sebagaimana disebut pada ayat (1) menetapkan aturan penggunaan Aset Informasi SAK sesuai dengan SOP manajemen aset.

Pasal 19

Pimpinan Unit TIK sebagaimana dimaksud dalam Pasal 14 bertanggung jawab untuk:

melaksanakan kebijakan dan standar SMKI untuk pengamanan Aset Informasi SAK pada Unit TIK;
mengawasi penerapan kebijakan dan standar SMKI untuk pengamanan Aset Informasi SAK pada Unit TIK;
memantau, mencatat, menguraikan, dan menindaklanjuti gangguan Keamanan Informasi yang diketahui atau dilaporkan sesuai dengan prosedur pelaporan gangguan Keamanan Informasi pada Unit TIK;
memfasilitasi penyelesaian masalah Keamanan Informasi pada Unit TIK;
menindaklanjuti laporan hasil audit internal SMKI;
meningkatkan pengetahuan, keterampilan, dan kepedulian terhadap Keamanan Informasi pada seluruh pengguna di Unit TIK;
menerapkan prinsip manajemen resiko dalam pelaksanaan pengamanan dan perlindungan Aset Informasi SAK dalam penerapan manajemen resiko; dan
melaporkan kinerja SMKI kepada koordinator STKI, 2 (dua) kali dalam setahun dan sewaktu-waktu jika diperlukan.

Pasal 20

Unit TIK sebagaimana dimaksud dalam Pasal 14 bertanggung jawab untuk:

melaksanakan penerapan kebijakan dan standar SMKI di lingkungan Unit TIK;
memantau, mencatat dan menindaklanjuti gangguan Keamanan Informasi yang diketahui atau dilaporkan sesuai dengan prosedur pelaporan gangguan Keamanan Informasi di lingkungan Unit TIK;
melaksanakan identifikasi, mengklasifikasi, memberikan label inventaris Aset Informasi SAK, dan mendokumentasikan ke dalam daftar inventaris Aset Informasi SAK;
mengendalikan dokumen SMKI untuk menjaga kemutakhiran dokumen dan efektivitas pelaksanaan operasional;
mengendalikan operasional dari kerusakan dan mencegah akses oleh pihak yang tidak berwenang; dan
melaksanakan penyelesaian masalah Keamanan Informasi di lingkungan Unit TIK.

Pasal 21

Klasifikasi daftar inventaris Aset Informasi SAK sebagaimana dimaksud dalam Pasal 20 huruf c diatur dalam SOP manajemen Aset Informasi SAK.
Daftar inventaris Aset Informasi SAK sebagaimana dimaksud pada ayat (1) dipelihara dan dikelola perubahannya oleh Unit TIK.
Pengendalian dokumen sebagaimana dimaksud dalam Pasal 20 huruf d dengan menempatkan dokumen SMKI pada semua area operasional agar mudah diakses oleh pengguna di Unit TIK sesuai dengan peruntukannya.

Pasal 22

Pegawai Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia bertanggung jawab untuk menjaga keamanan Aset Informasi SAK sesuai dengan tugas dan fungsinya.
Pegawai sebagaimana dimaksud pada ayat (1) menyetujui syarat dan menandatangani pakta integritas.
Dalam hal Pegawai sebagaimana dimaksud pada ayat (1) tidak lagi menjadi bagian dalam pengelolaan Aset Informasi SAK, Aset Informasi SAK yang dikuasainya diserahkan kembali kepada Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, atau Perwakilan Republik Indonesia sesuai dengan kewenangan.
Pelaksanaan kebijakan dan standar SMKI oleh Pegawai sebagaimana dimaksud pada ayat (1) harus dievaluasi secara berkala oleh atasan masing-masing dan menjadi bagian dari penilaian kinerja Pegawai.

Pasal 23

Pihak Lain yang ikut serta terhadap pelaksanaan keamanan Aset Informasi SAK wajib menjaga kerahasiaan informasi.
Pihak Lain sebagaimana dimaksud pada ayat (1) membuat perjanjian disertai dengan menyetujui syarat serta menandatangani pernyataan tertulis untuk menjaga keamanan Aset Informasi SAK dan kerahasiaan informasi.
Perjanjian sebagaimana dimaksud pada ayat (2) paling sedikit memuat:
1. perlindungan kepemilikan informasi, rahasia organisasi, dan kekayaan intelektual;
2. izin menggunakan informasi rahasia;
3. hak untuk melakukan audit dan memantau kegiatan yang melibatkan informasi rahasia;
4. pelaporan terhadap penyingkapan yang dilakukan secara tidak sah atau pelanggaran terhadap kerahasiaan; dan
5. syarat untuk informasi yang akan dikembalikan atau dimusnahkan pada saat penghentian perjanjian.
Dalam hal Pihak Lain tidak lagi menjadi bagian dalam pengelolaan Aset Informasi SAK, Aset Informasi SAK yang dikuasainya diserahkan kembali kepada Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, atau Perwakilan Republik Indonesia sesuai dengan kewenangan.

BAB IV
KEAMANAN SUMBER DAYA MANUSIA

Pasal 24

Keamanan sumber daya manusia sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b dilakukan untuk mengamankan dan mengendalikan sumber daya manusia dalam melaksanakan tugas kebijakan keamanan Administrasi Kependudukan.

Pasal 25

Keamanan sumber daya manusia di lingkungan Ditjen Dukcapil dilaksanakan oleh Dirjen bersama dengan Sekretaris Ditjen Dukcapil selaku koordinator STKI, serta pejabat pimpinan tinggi pratama, pimpinan Unit TIK, dan Unit TIK selaku anggota STKI.
Keamanan sumber daya manusia di Disdukcapil Provinsi dilaksanakan oleh kepala Disdukcapil Provinsi, pimpinan Unit TIK, dan Unit TIK selaku satuan pelaksana SAK.
Keamanan sumber daya manusia di Disdukcapil Kabupaten/Kota dilaksanakan oleh kepala Disdukcapil Kabupaten/Kota, pimpinan Unit TIK, dan Unit TIK selaku satuan pelaksana SAK.
Keamanan sumber daya manusia di UPT Disdukcapil Kabupaten/Kota dilaksanakan oleh kepala UPT Disdukcapil Kabupaten/Kota, pimpinan Unit TIK, dan Unit TIK selaku satuan pelaksana SAK.
Keamanan sumber daya manusia di Perwakilan Republik Indonesia dilaksanakan oleh kepala Perwakilan Republik Indonesia, pimpinan Unit TIK, dan Unit TIK selaku satuan pelaksana SAK.

Pasal 26

Dirjen sebagaimana dimaksud dalam Pasal 25 ayat (1) bertugas menetapkan tugas dan fungsi Sekretaris Ditjen Dukcapil, pejabat pimpinan tinggi pratama, pimpinan Unit TIK, dan Unit TIK tentang keamanan sumber daya manusia.
Kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/ Kota, dan kepala Perwakilan Republik Indonesia sebagaimana dimaksud dalam Pasal 25 ayat (2) sampai dengan ayat (5) bertugas menetapkan tugas dan fungsi pimpinan Unit TIK dan Unit TIK tentang keamanan sumber daya manusia.

Pasal 27

Koordinator STKI, kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia sebagaimana dimaksud dalam Pasal 25 bertugas untuk menyediakan Pegawai pengganti yang berkeahlian khusus sesuai dengan kompetensi yang setara dengan Pegawai yang mutasi atau berhenti.

Pasal 28

Pejabat pimpinan tinggi pratama, kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia sebagaimana dimaksud dalam Pasal 25 bertugas untuk:

memahami substansi dan mendokumentasikan tugas dan fungsi Pegawai Unit TIK;
mengkomunikasikan peran dan tanggung jawab kepada Pegawai Unit TIK;
menghentikan hak penggunaan Aset Informasi SAK bagi Pegawai yang sedang dalam pemeriksaan dan/atau menjalani proses hukum terkait dengan dugaan pelanggaran SMKI;
mencabut hak akses terhadap akses informasi SAK yang dimiliki Pegawai dan Pihak Lain apabila yang bersangkutan tidak lagi bekerja di Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia;
membuat berita acara serah terima terkait mengembalikan seluruh Aset Informasi SAK yang dipergunakan selama bekerja bagi Pegawai Unit TIK yang berhenti bekerja atau mutasi;
melakukan pemeriksaan latar belakang Pihak Lain dengan memperhitungkan privasi, perlindungan data pribadi, dan/atau pekerjaan sesuai dengan standar SMKI; dan
mengikutsertakan Pegawai Unit TIK mendapatkan pendidikan/pelatihan/sosialisasi keamanan sistem informasi secara berkala sesuai dengan tingkat tanggung jawabnya.

Pasal 29

Pemeriksaan latar belakang Pihak Lain sebagaimana dimaksud dalam Pasal 28 huruf f dilakukan terhadap pengguna dan nonpengguna.
Pemeriksaan latar belakang Pihak Lain terhadap pengguna dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Pemeriksaan latar belakang Pihak Lain nonpengguna dengan melakukan wawancara dan menyerahkan dokumen kepada pejabat pimpinan tinggi pratama, kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia.
Wawancara sebagaimana dimaksud pada ayat (3) dilakukan paling sedikit terhadap substansi:
1. pemahaman atas kebijakan Keamanan Informasi dan standar SMKI; dan
2. pengalaman kerja sesuai dengan bidang keahlian.
Dokumen sebagaimana dimaksud pada ayat (3) meliputi:
1. daftar riwayat hidup pemohon;
2. ijazah pendidikan yang dilegalisir;
3. sertifikasi profesi;
4. surat keterangan pengalaman kerja; dan
5. surat keterangan catatan kepolisian.

Pasal 30

Pihak Lain nonpengguna sebagaimana dimaksud dalam Pasal 29 ayat (3) harus melakukan:

menyetujui syarat dan menandatangani pernyataan tertulis untuk menjaga keamanan Aset Informasi SAK;
bertanggung jawab memahami substansi, mendokumentasikan, dan memberikan informasi kepada pihak dalam perjanjian terhadap keamanan Aset Informasi SAK; dan
mengembalikan seluruh Aset Informasi SAK yang dipergunakan selama bekerja apabila berhenti bekerja atau berakhir masa kontraknya.

Pasal 31

Pimpinan Unit TIK sebagaimana dimaksud dalam Pasal 25 bertugas untuk memahami substansi dan mendokumentasikan tugas dan fungsi Pegawai Unit TIK.

Pasal 32

Pegawai, Pihak Lain, dan tamu yang memasuki lingkungan area Pusat Data, Pusat Data Cadangan, dan Tempat Layanan Operasional SIAK mematuhi standar keamanan fisik dan lingkungan.

BAB V
KEAMANAN FISIK DAN LINGKUNGAN

Pasal 33

Keamanan fisik dan lingkungan sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf c dilakukan untuk memberikan pelindungan, pemeliharaan, dan pemindahan perangkat terhadap pengamanan fisik dan lingkungan.

Pasal 34

Keamanan fisik dan lingkungan di Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1) bertugas untuk melakukan:
1. pemeliharaan perangkat wajib sesuai dengan petunjuk manualnya;
2. pengamanan area;
3. pengamanan kantor, ruangan, dan fasilitas;
4. perlindungan terhadap ancaman eksternal dan lingkungan;
5. penempatan dan perlindungan perangkat; dan
6. pengamanan kabel di Pusat Data, Pusat Data Cadangan, dan/atau Tempat Layanan Operasional SIAK.

Pasal 35

Pemeliharaan perangkat sebagaimana dimaksud dalam Pasal 34 ayat (2) huruf a dilakukan dengan cara mencatat serta menyimpan data Aset Informasi SAK yang digunakan.
Dalam hal pemeliharaan perangkat sebagaimana dimaksud pada ayat (1) tidak dapat dilakukan di tempat, pemindahan perangkat berdasarkan persetujuan pimpinan Unit TIK.
Pemindahan perangkat sebagaimana dimaksud pada ayat (2) untuk data yang memiliki klasifikasi sangat rahasia dan rahasia yang disimpan pada perangkat tersebut dipindahkan terlebih dahulu.
Dalam hal pemeliharaan sebagaimana dimaksud pada ayat (1) dilakukan oleh Pihak Lain, pelaksanaannya dilakukan dengan membuat perjanjian kerja sama.
Perjanjian kerja sama sebagaimana dimaksud pada ayat (4) substansinya paling sedikit memuat pemeliharaan yang disediakan dan tingkat kinerja yang harus dipenuhi Pihak Lain.

Pasal 36

Pengamanan area sebagaimana dimaksud dalam Pasal 34 ayat (2) huruf b dilakukan dengan cara:

menyimpan Perangkat Pengolah Informasi di ruangan khusus yang dilindungi dengan pengamanan fisik yang memadai yaitu pintu elektronik, sistem pemadam kebakaran, alarm bahaya, dan perangkat pemutus aliran listrik;
akses ke Pusat Data, Pusat Data Cadangan, Tempat Layanan Operasional SIAK dan/atau area kerja yang berisi Aset Informasi SAK yang memiliki klasifikasi sangat rahasia dan rahasia harus dibatasi dan hanya diberikan kepada Pegawai yang diberi akses;
Pihak Lain yang memasuki Pusat Data, Pusat Data Cadangan, Tempat Layanan Operasional SIAK, dan/atau area kerja yang berisikan Aset Informasi SAK yang memiliki klasifikasi sangat rahasia dan rahasia harus didampingi oleh Pegawai yang ditugaskan sepanjang waktu kunjungan;
kantor, ruangan, dan perangkat yang berisikan Aset Informasi SAK yang memiliki klasifikasi sangat rahasia dan rahasia wajib dilindungi secara memadai; dan
pengamanan area Pusat Data, Pusat Data Cadangan dan Tempat Layanan Operasional SIAK sesuai dengan SOP pengamanan area.

Pasal 37

Pengamanan kantor, ruangan, dan fasilitas sebagaimana dimaksud dalam Pasal 34 ayat (2) huruf c dilakukan dengan cara:

pengamanan kantor, ruangan, dan fasilitas sesuai dengan peraturan dan standar keamanan dan keselamatan kerja;
fasilitas utama wajib ditempatkan pada area khusus untuk menghindari akses publik; dan
pembatasan pemberian identitas atau tanda keberadaan aktivitas pengolahan informasi.

Pasal 38

Perlindungan terhadap ancaman eksternal dan lingkungan sebagaimana dimaksud dalam Pasal 34 ayat (2) huruf d dilakukan dengan cara:

bahan berbahaya atau mudah terbakar wajib disimpan pada jarak yang aman dari batas aman;
perangkat pemulihan dan media data cadangan wajib diletakkan pada jarak yang aman untuk menghindari kerusakan dari bencana yang mempengaruhi fasilitas utama; dan
perangkat pemadam kebakaran wajib disediakan dan diletakkan di tempat yang mudah dijangkau.

Pasal 39

Penempatan dan perlindungan perangkat sebagaimana dimaksud dalam Pasal 34 ayat (2) huruf e dilakukan dengan cara:

perangkat diletakkan pada lokasi yang meminimalkan akses yang tidak perlu ke dalam area kerja;
Perangkat Pengolah Informasi yang menangani informasi sensitif diposisikan dan dibatasi sudut pandangnya untuk mengurangi risiko informasi dilihat oleh pihak tidak berwenang;
perangkat yang memerlukan perlindungan khusus wajib terisolasi;
melakukan langkah pengendalian untuk meminimalkan risiko potensi ancaman fisik;
kondisi lingkungan, seperti suhu dan kelembaban wajib dipantau sesuai dengan SOP Pusat Data/Pusat Data Cadangan; dan
perlindungan petir wajib diterapkan untuk semua bangunan dan filter perlindungan petir dipasang untuk semua jalur komunikasi dan listrik.

Pasal 40

Pengamanan kabel di Pusat Data, Pusat Data Cadangan, dan/atau Tempat Layanan Operasional SIAK sebagaimana dimaksud dalam Pasal 34 ayat (2) huruf f dilakukan dengan mengikuti standar elektrikal/mekanikal Pusat Data dan/atau Pusat Data Cadangan.

BAB VI
KEAMANAN OPERASIONAL DAN KOMUNIKASI

Pasal 41

Keamanan operasional dan komunikasi sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf d dilakukan untuk memastikan operasional yang aman dan benar pada Aset Informasi SAK, mengimplementasikan dan memelihara keamanan Aset Informasi SAK, mengelola layanan yang diberikan oleh Pihak Lain, meminimalkan risiko kegagalan, melindungi keutuhan dan ketersediaan Aset Informasi SAK, dan memastikan keamanan akses dan pertukaran informasi melalui jaringan komunikasi.

Pasal 42

Keamanan operasional dan komunikasi di lingkungan Ditjen Dukcapil, Dinas Dukcapil Provinsi, Dinas Dukcapil Kabupaten/Kota, UPT Dinas Dukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1) bertugas untuk melakukan pengendalian:
1. SOP dan tanggung jawab;
2. pengelolaan layanan oleh Pihak Lain;
3. perencanaan dan penerimaan sistem;
4. perlindungan terhadap ancaman program yang membahayakan;
5. data cadangan;
6. pengelolaan keamanan jaringan;
7. penanganan media penyimpanan data;
8. pertukaran informasi;
9. pemantauan penggunaan sistem pengolah informasi; dan
10. pemisahan perangkat pengembangan dan operasional.

Pasal 43

Pengendalian SOP dan tanggung jawab sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf a dilakukan dengan cara:
1. mendokumentasikan, memelihara, dan menyediakan SOP terkait dengan penggunaan Perangkat Pengolah Informasi sesuai dengan peruntukannya;
2. mengendalikan perubahan terhadap Perangkat Pengolah Informasi;
3. melakukan pemisahan informasi yang memiliki klasifikasi sangat rahasia dan rahasia untuk menghindari adanya Pegawai yang memiliki pengendalian ekslusif terhadap seluruh Aset Informasi SAK dan perangkat pengolahnya; dan
4. memisahkan perangkat pengembangan, pengujian dan operasional untuk mengurangi resiko perubahan atau akses oleh pihak yang tidak berhak terhadap sistem operasional.
SOP sebagaimana dimaksud pada ayat (1) ditetapkan oleh Menteri.
SOP sebagaimana dimaksud pada ayat (2) memuat lingkup SMKI sebagaimana dimaksud dalam Pasal 2 ayat (2) dan SOP lainnya yang terkait.

Pasal 44

Pengendalian pengelolaan layanan oleh Pihak Lain sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf b dilakukan dengan cara:

memastikan pengendalian Keamanan Informasi, definisi layanan, dan tingkat layanan yang termuat dalam kesepakatan penyediaan layanan telah diterapkan, dioperasikan, dan dipelihara oleh Pihak Lain;
melakukan pemantauan terhadap kinerja penyediaan layanan, laporan, dan catatan yang disediakan oleh Pihak Lain secara berkala;
memperhatikan kritikalitas, proses yang terkait dan hasil penilaian ulang resiko layanan apabila terjadi perubahan pada layanan yang disediakan oleh Pihak Lain;
mengkaji laporan layanan Pihak Lain;
memberikan informasi tentang gangguan keamanan dan mengkaji informasi bersama Pihak Lain; dan
memeriksa jejak audit Pihak Lain dan pencatatan peristiwa keamanan, masalah operasional, kegagalan, dan gangguan yang terkait dengan layanan yang diberikan.

Pasal 45

Pengendalian perencanaan dan penerimaan sistem sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf c dilakukan dengan cara:

memantau penggunaan Perangkat Pengolah Informasi dan membuat perkiraan pertumbuhan kebutuhan ke depan untuk memastikan ketersediaan kapasitas; dan
menetapkan kriteria penerimaan untuk sistem informasi baru, pemutakhiran, dan versi baru serta melakukan pengujian sebelum penerimaan.

Pasal 46

Pengendalian perlindungan terhadap ancaman program yang membahayakan sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf d, dengan menerapkan sistem pada Pusat Data, Pusat Data Cadangan dan atau Tempat Layanan Operasional SIAK yang dapat melakukan pendeteksian, pencegahan, dan pemulihan sebagai bentuk perlindungan terhadap ancaman program yang membahayakan.
Perlindungan sebagaimana dimaksud pada ayat (1) dilakukan dengan cara pemasangan paling sedikit meliputi:
1. perangkat firewall;
2. perangkat antivirus;
3. perangkat manajemen akses pengguna; dan
4. Perangkat Pendukung lainnya sesuai dengan perkembangan teknologi Keamanan Informasi.

Pasal 47

Pengendalian data cadangan sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf e dilakukan dengan cara:

melakukan pembuatan data cadangan informasi dan Perangkat Lunak yang berada di Pusat Data, Pusat Data Cadangan, dan/atau Tempat Layanan Operasional SIAK secara berkala; dan
memproses pembuatan data cadangan sesuai dengan standar pembuatan data cadangan pada Pusat Data/Pusat Data Cadangan.

Pasal 48

Pengendalian pengelolaan keamanan jaringan sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf f dilakukan dengan cara:

mengelola dan melindungi keamanan jaringan dari berbagai bentuk ancaman;
mengidentifikasi fitur keamanan layanan, tingkat layanan, dan kebutuhan pengelolaan serta mencantumkannya dalam kesepakatan penyediaan layangan jaringan termasuk layanan jaringan yang disediakan oleh Pihak Lain;
mencatat informasi Pihak Lain yang diizinkan mengakses ke jaringan dan menerapkan pemantauan serta pencatatan kegiatan selama menggunakan jaringan;
memutus layanan tanpa pemberitahuan sebelumnya jika terjadi gangguan Keamanan Informasi;
melindungi jaringan dari pihak yang tidak berhak mengakses dengan cara:
1. penetapan untuk penanggung jawab pengelolaan jaringan dipisahkan dari pengelolaan Perangkat Pengolah Informasi;
2. penerapan pengendalian khusus untuk melindungi keutuhan informasi yang melewati jaringan umum antara lain dengan penggunaan enkripsi dan tanda tangan elektronik; dan
3. pendokumentasian arsitektur jaringan seluruh komponen perangkat keras, jaringan, dan Perangkat Lunak.
menerapkan fitur keamanan layanan jaringan meliputi:
1. teknologi keamanan seperti autentifikasi, enkripsi, dan pengendalian sambungan jaringan;
2. parameter teknis yang diperlukan untuk koneksi aman dengan layanan jaringan sesuai dengan keamanan dan aturan koneksi jaringan; dan
3. prosedur untuk penggunaan layanan jaringan yang membatasi akses ke layanan jaringan atau aplikasi.

Pasal 49

Pengendalian penanganan media penyimpanan data sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf g dilakukan dengan cara:

menyusun prosedur yang mengatur penanganan media penyimpanan data untuk melidungi Aset Informasi SAK; dan
melakukan penanganan media penyimpanan data sesuai dengan standar penanganan media penyimpanan data pada Pusat Data/Pusat Data Cadangan.

Pasal 50

Pengendalian pertukaran informasi sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf h dilakukan dengan cara:
1. melakukan pertukaran informasi dan Perangkat Lunak antara Kementerian Dalam Negeri melalui Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dengan Pihak Lain berdasarkan kesepakatan tertulis kedua belah pihak dengan persetujuan Kementerian Dalam Negeri melalui Ditjen Dukcapil;
2. melakukan penilaian resiko yang memadai sebelum melakukan pertukaran informasi;
3. menerapkan pengendalian Keamanan Informasi untuk pengiriman informasi melalui surat elektronik atau pengiriman informasi melalui jasa layanan pengiriman untuk menghindari akses pihak yang tidak berhak;
4. memberikan perlindungan pertukaran informasi dari pencegatan, penyalinan, modifikasi, dan perusakan;
5. melakukan pendeteksian dan perlindungan terhadap kode berbahaya yang dapat dikirim melalui penggunaan sistem elektronik;
6. memberikan perlindungan informasi elektronik yang memiliki klasifikasi sangat rahasia dan rahasia;
7. memberikan pertimbangan resiko terkait penggunaan perangkat komunikasi nirkabel;
8. melakukan pertukaran informasi yang menggunakan sistem manual berpedoman sesuai dengan ketentuan peraturan perundang-undangan; dan
9. pengendalian terhadap SOP mengenai pertukaran informasi secara elektronik ditetapkan oleh Menteri.
Pengiriman informasi melalui surat elektronik sebagaimana dimaksud pada ayat (1) huruf c harus menggunakan alamat surat elektronik milik Ditjen Dukcapil, Dinas Dukcapil Provinsi, Dinas Kabupaten/Kota, UPT Dinas Kabupaten/Kota, atau Perwakilan Republik Indonesia.

Pasal 51

Pengendalian pemantauan penggunaan sistem pengolah informasi sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf i dilakukan dengan cara:
1. menerapkan audit logging yang mencatat aktivitas pengguna, pengecualian, dan kejadian Keamanan Informasi dalam kurun waktu tertentu untuk membantu pengendalian akses dan investigasi di masa mendatang;
2. memantau penggunaan sistem dan mengkaji secara berkala hasil pemantauan;
3. melindungi fasilitas pencatatan dan data yang dicatat dari kerusakan dan akses oleh pihak yang tidak berwenang;
4. menerapkan sistem pencatatan kegiatan system administrator dan system operator;
5. menerapkan pencatatan kesalahan untuk dianalisis dan diambil tindak pengamanan yang tepat; dan
6. memastikan semua Perangkat Pengolah Informasi yang tersambung dengan jaringan telah disinkronisasi dengan sumber waktu yang akurat dan disepakati.
Pemantauan sebagaimana dimaksud pada ayat (1) dilakukan dengan cara memantau:
1. kegagalan akses;
2. penggunaan hak akses tidak wajar;
3. alokasi dan penggunaan Hak Akses Khusus;
4. penelusuran transaksi pengiriman file sistem atau dokumen tertentu yang mencurigakan; dan
5. penggunaan sumber daya sensitif.

Pasal 52

Pengendalian pemisahan perangkat pengembangan dan operasional sebagaimana dimaksud dalam Pasal 42 ayat (2) huruf j dilakukan dengan cara:

mengembangan dan mengoperasionalkan Perangkat Lunak pada sistem atau prosesor komputer yang berbeda;
mengimplementasikan pengembangan Perangkat Lunak mengikuti prosedur manajemen rilis;
menjaga agar perangkat pengembangan tidak boleh diakses dari sistem operasional layanan;
mengupayakan lingkungan sistem pengujian sama dengan lingkungan sistem operasional layanan;
membantu pengguna menggunakan profil pengguna yang berbeda untuk sistem pengujian dan sistem operasional layanan; dan
menjaga data yang memiliki klasifikasi sangat rahasia dan rahasia tidak boleh disalin ke dalam lingkungan pengujian sistem.

BAB VII
MANAJEMEN ASET

Pasal 53

Manajemen aset sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf e dilakukan untuk mengamankan Aset Informasi SAK sebagaimana dimaksud dalam Pasal 3 ayat (3) berdasarkan klasifikasi sangat rahasia, rahasia, terbatas, dan publik.

Pasal 54

Manajemen Aset Informasi SAK di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1) bertanggung jawab terhadap keamanan Aset Informasi SAK dan bertugas untuk:
1. mengidentifikasi Aset Informasi SAK dan mendokumentasikannya dalam daftar inventaris Aset Informasi SAK;
2. menetapkan pemilik Aset Informasi SAK di Unit TIK;
3. menetapkan Aset Informasi SAK yang terkait dengan Perangkat Pengolah Informasi; dan
4. menetapkan aturan penggunaan Aset Informasi SAK.
Unit TIK mengkaji dan menetapkan secara berkala klasifikasi Aset Informasi SAK sebagaimana dimaksud pada ayat (2) dan jenis perlindungan keamanannya.
Unit TIK sebagaimana dimaksud pada ayat (3) menetapkan pihak yang dapat mengakses Aset Informasi SAK.

Pasal 55

Klasifikasi sangat rahasia sebagaimana dimaksud dalam Pasal 53 merupakan Aset Informasi SAK yang tidak boleh diketahui oleh orang lain dan apabila didistribusikan kepada yang tidak berhak akan menyebabkan kerugian dan/atau ketahanan SAK nasional.
Klasifikasi rahasia sebagaimana dimaksud dalam Pasal 53 merupakan Aset Informasi SAK yang tidak boleh diketahui oleh orang lain dan apabila didistribusikan kepada yang tidak berhak akan mengganggu kelancaran kegiatan dan mengganggu reputasi Kementerian Dalam Negeri, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, atau Perwakilan Republik Indonesia.
Klasifikasi terbatas sebagaimana dimaksud dalam Pasal 53 merupakan Aset Informasi SAK yang bersifat terbatas dan hanya dapat digunakan oleh pihak yang bersangkutan.
Klasifikasi publik sebagaimana dimaksud dalam Pasal 53 merupakan Aset Informasi SAK yang terbuka untuk umum dengan persetujuan:
1. Menteri melalui Dirjen untuk lingkup Kementerian Dalam Negeri;
2. kepala Disdukcapil Provinsi untuk lingkup provinsi;
3. kepala Disdukcapil Kabupaten/Kota untuk lingkup kabupaten/kota; atau
4. kepala UPT Disdukcapil Kabupaten/Kota dan kepala Perwakilan Republik Indonesia untuk lingkup wilayah kerjanya.

Pasal 56

Setiap Aset Informasi SAK yang berada di dalam Pusat Data, Pusat Data Cadangan, dan Tempat Layanan Operasional SIAK dalam penguasaan Unit TIK secara fisik atau sistem.
Aset Informasi SAK sebagaimana dimaksud pada ayat (1) yaitu aset fisik, perangkat keras, Perangkat Lunak, Perangkat Pendukung, dan seluruh data/dokumen elektronik.
Penguasaan secara fisik sebagaimana dimaksud pada ayat (1) dilakukan oleh Unit TIK untuk mengakses dan mengontrol Aset Informasi SAK secara fisik sesuai dengan prosedur.
Penguasaan secara sistem sebagaimana dimaksud pada ayat (1) yaitu Unit TIK mempunyai user akses tingkat administrator pada Perangkat Lunak seperti firmware, sistem operasi, dan aplikasi yang berada di dalam Aset Informasi SAK sesuai dengan prosedur.

Pasal 57

Perangkat Pengolah Informasi dan Perangkat Pendukung di Pusat Data, Pusat Data Cadangan, dan Tempat Layanan Operasional SIAK untuk ditempatkan di lokasi yang aman guna mengurangi risiko Aset Informasi SAK dapat diakses oleh pihak yang tidak berwenang.
Perangkat Pengolah Informasi sebagaimana dimaksud pada ayat (1) dipelihara secara berkala untuk menjamin ketersediaan, keutuhan, dan fungsinya.
Perangkat Pendukung sebagaimana dimaksud pada ayat (1) digunakan untuk menjamin beroperasinya Perangkat Pengolah Informasi dan secara berkala harus diperiksa dan diuji ulang kinerjanya.
Penggunaan perangkat yang dibawa ke luar dari lingkungan Pusat Data, Pusat Data Cadangan, atau Tempat Layanan Operasional SIAK harus disetujui oleh pimpinan Unit TIK.
Perangkat Pengolah Informasi penyimpanan data yang sudah tidak digunakan lagi harus disanitasi sebelum digunakan kembali atau dihapuskan/dimusnahkan.
Penanganan Perangkat Pengolah Informasi untuk media penyimpan data di Pusat Data, Pusat Data Cadangan, dan Tempat Layanan Operasional SIAK sesuai dengan SOP pengelolaan data elektronik yang dikeluarkan oleh Dirjen.

BAB VIII
MANAJEMEN INSIDEN KEAMANAN INFORMASI

Pasal 58

Manajemen insiden Keamanan Informasi sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf f dilaksanakan untuk mengendalikan pengelolaan gangguan Keamanan Informasi.

Pasal 59

Manajemen insiden Keamanan Informasi di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1) bertugas melakukan pengendalian pengelolaan gangguan Keamanan Informasi, dilakukan dengan cara:
1. melaporkan peristiwa terjadinya gangguan Keamanan Informasi sebagai bentuk pencegahan dan tindakan;
2. melaksanakan SOP jika terjadi insiden Keamanan Informasi dalam sistem atau layanan TIK;
3. memberikan tanggung jawab kepada Pegawai untuk memastikan insiden Keamanan Informasi ditangani secara cepat dan efektif; dan
4. mengumpulkan, menyimpan dan menyajikan bukti pelanggaran terhadap SMKI.
Bentuk pencegahan sebagaimana dimaksud pada ayat (2) huruf a dilakukan dengan menemukan kelemahan Keamanan Informasi dalam sistem atau layanan TIK.

Pasal 60

Pegawai dan Pihak Lain harus melaporkan peristiwa terjadinya insiden Keamanan Informasi kepada pimpinan Unit TIK.
Insiden Keamanan Informasi yang terjadi harus dicatat dalam basis data sebagai masukan dalam penanganan insiden Keamanan Informasi dan bahan evaluasi untuk perbaikan dan pencegahan.
Dalam hal belum terdapat basis data sebagaimana dimaksud pada ayat (2) dicatat pada buku catatan pelaporan insiden Keamanan Informasi.

BAB IX
MANAJEMEN KELANGSUNGAN LAYANAN

Pasal 61

Manajemen kelangsungan layanan sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf g dilakukan untuk mengamankan keberlangsungan kegiatan pelayanan pada saat keadaan darurat dan menetapkan kategori resiko sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 62

Manajemen kelangsungan layanan di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1) bertugas untuk melakukan:
1. pengelolaan proses kelangsungan kegiatan pada saat keadaan darurat sesuai dengan prosedur kelangsungan kegiatan pada Pusat Data dan/atau Pusat Data Cadangan;
2. penetapan kategori resiko sesuai dengan ketentuan peraturan perundang-undangan;
3. analisis dampak yang ditimbulkan pada saat terjadi keadaan darurat untuk menjamin kelangsungan kegiatan;
4. penyusunan dan penerapan rencana kelangsungan kegiatan untuk menjaga dan mengembalikan kegiatan operasional dalam jangka waktu yang disepakati dan tingkat kelangsungan yang dibutuhkan;
5. pemeliharaan kelangsungan kegiatan dan memastikan rencana yang termuat dalam rencana kelangsungan kegiatan masih sesuai;
6. identifikasi prioritas untuk kegiatan uji coba rencana kelangsungan kegiatan; dan
7. uji coba rencana kelangsungan kegiatan secara berkala oleh Unit TIK bersama Unit Pengelola Pusat Data/Pusat Data Cadangan.

Pasal 63

Rencana kelangsungan kegiatan sebagaimana dimaksud dalam Pasal 62 ayat (2) huruf d sampai dengan huruf g, meliputi:

SOP pengelolaan kelangsungan kegiatan pada saat keadaan darurat, manajemen resiko, analisis dampak kegiatan, pengembalian kondisi semula (fallback), peralihan kondisi normal, dan ujicoba kelangsungan kegiatan;
menetapkan penanggung jawab dan peran Unit TIK dalam pelaksanaan kelangsungan kegiatan; dan
melaksanakan sosialisasi dan pelatihan kelangsungan kegiatan.

BAB X
KENDALI/HAK AKSES

Pasal 64

Kendali/hak akses sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf h dilakukan untuk mengamankan pengendalian akses ke Aset Informasi SAK dan pengendalian akses pengguna.

Pasal 65

Kendali/hak akses terhadap Aset Informasi SAK di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1) bertugas untuk melakukan:
1. penyusunan, pendokumentasikan, dan pengkajian ketentuan akses ke Aset Informasi SAK berdasarkan kebutuhan organisasi dan prasyarat keamanan;
2. pengelolaan akses pengguna;
3. pelaksanaan tanggung jawab pengguna;
4. pengendalian akses jaringan;
5. pengendalian akses ke sistem operasi;
6. pengendalian akses ke aplikasi dan sistem informasi; dan
7. pengendalian perangkat bergerak dan kerja jarak jauh.

Pasal 66

Pengelolaan akses pengguna sebagaimana dimaksud dalam Pasal 65 ayat (2) huruf b dilakukan dengan cara:

menyusun prosedur pengelolaan hak akses pengguna sesuai dengan peruntukannya;
membatasi dan mengendalikan penggunaan Hak Akses Khusus;
mengatur pengelolaan kata sandi pengguna; dan
memantau dan mengevaluasi hak akses pengguna dan penggunaannya secara berkala untuk memastikan kesesuaian status pemakaiannya.

Pasal 67

Pelaksanaan tanggung jawab pengguna sebagaimana dimaksud dalam Pasal 65 ayat (2) huruf c dilakukan dengan cara:

mematuhi aturan pembuatan dan penggunaan kata sandi;
memastikan Perangkat Pengolah Informasi yang digunakan mendapatkan perlindungan terutama saat ditinggalkan; dan
melindungi informasi agar tidak diakses oleh pihak yang tidak berhak.

Pasal 68

Pengendalian akses jaringan sebagaimana dimaksud dalam Pasal 65 ayat (2) huruf d dilakukan dengan cara:
1. mengatur akses pengguna dalam mengakses jaringan di lingkungan Ditjen Dukcapil, Pusat Data, Pusat Data Cadangan, dan/atau Tempat Layanan Operasional SIAK sesuai dengan peruntukannya;
2. mengatur akses pengguna pemerintah daerah dan lembaga pengguna data ke Pusat Data dan/atau Pusat Data Cadangan sesuai dengan peruntukannya;
3. menerapkan proses otorisasi penggunaan untuk setiap akses ke dalam jaringan internal melalui koneksi eksternal;
4. mengakses ke perangkat keras dan Perangkat Lunak untuk melakukan diagnosa harus dikontrol berdasarkan SOP pada Pusat Data/Pusat Data Cadangan dan hanya digunakan untuk Pegawai yang bertugas untuk melakukan pengujian, pemecahan masalah, dan pengembangan sistem;
5. memisahkan jaringan untuk pengguna, sistem informasi, dan layanan informasi; dan
6. menerapkan mekanisme pengendalian akses pengguna sesuai dengan persyaratan pengendalian akses.
Koneksi eksternal sebagaimana dimaksud pada ayat (1) huruf c merupakan suatu akses jaringan komunikasi dari luar Pusat Data kependudukan dan/atau Pusat Data Cadangan kependudukan ke dalam Pusat Data kependudukan dan/atau Pusat Data Cadangan kependudukan.

Pasal 69

Pengendalian akses ke sistem operasi sebagaimana dimaksud dalam Pasal 65 ayat (2) huruf e dilakukan dengan cara:

akses ke sistem operasi wajib dikontrol dengan menggunakan sistem manajemen akses pengguna;
setiap pengguna wajib memiliki Akun yang unik dan hanya digunakan sesuai dengan peruntukannya, dan proses otorisasi pengguna wajib menggunakan teknik autentikasi yang sesuai untuk memvalidasi identitas pengguna;
sistem pengelolaan kata sandi harus mudah digunakan dan dapat memastikan kualitas sandi yang dibuat pengguna;
membatasi dan mengendalikan penggunaan system utilities;
fasilitas session time-out wajib diaktifkan untuk menutup dan mengunci layar komputer, aplikasi, dan koneksi jaringan apabila tidak ada aktivitas pengguna setelah periode tertentu; dan
membatasi waktu koneksi untuk sistem informasi dan aplikasi yang memiliki klasifikasi sangat rahasia dan rahasia.

Pasal 70

Pengendalian akses ke aplikasi dan sistem informasi sebagaimana dimaksud dalam Pasal 65 ayat (2) huruf f dilakukan dengan cara memastikan:

akses terhadap aplikasi dan sistem informasi hanya diberikan kepada pengguna sesuai dengan peruntukannya; dan
aplikasi dan sistem informasi yang memiliki klasifikasi sangat rahasia dan rahasia wajib diletakkan pada lokasi terpisah untuk mengurangi kemungkinan akses oleh pihak yang tidak berhak.

Pasal 71

Pengendalian perangkat bergerak dan kerja jarak jauh sebagaimana dimaksud dalam Pasal 65 ayat (2) huruf g dilakukan sesuai dengan prosedur penggunaan perangkat bergerak dan kerja jarak jauh untuk menjaga keamanan perangkat informasi di dalamnya.

Pasal 72

Pengendalian akses pengguna sebagaimana dimaksud dalam Pasal 64 di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1) bertugas untuk melakukan:
1. pemenuhan persyaratan pengendalian akses;
2. pengelolaan akses pengguna;
3. pengelolaan Hak Akses Khusus;
4. pengkajian hak akses pengguna dan Hak Akses Khusus;
5. pengendalian akses jaringan;
6. pemisahan dalam jaringan; dan
7. pemantauan penggunaan sistem pengolah informasi.

Pasal 73

Pemenuhan persyaratan pengendalian akses sebagaimana dimaksud dalam Pasal 72 ayat (2) huruf a dilakukan dengan cara:

mematuhi Perjanjian Kerahasiaan;
menentukan kebutuhan keamanan dari pengolah aset informasi; dan
memisah peran pengendalian akses.

Pasal 74

Pengelolaan akses pengguna sebagaimana dimaksud dalam Pasal 72 ayat (2) huruf b dilakukan dengan cara:

menggunakan Akun yang unik;
menggunakan Akun khusus hanya diperbolehkan sebatas yang diperlukan untuk kegiatan atau alasan operasional;
Akun dan Akun khusus sebagaimana dimaksud dalam huruf a dan huruf b harus disetujui pimpinan Unit TIK dan didokumentasikan;
memeriksa tingkat akses yang diberikan sesuai dengan tujuan kegiatan dan konsisten dengan SMKI;
Pengguna menandatangani pernyataan ketentuan akses yang diberikan;
memberikan akses kepada pengguna setelah prosedur otorisasi dilaksanakan;
memelihara catatan pengguna layanan (user log);
menonaktifan akses pengguna yang telah berakhir penugasannya; dan
memeriksa dan menonaktifan Akun secara berkala.

Pasal 75

Pengelolaan Hak Akses Khusus sebagaimana dimaksud dalam Pasal 72 ayat (2) huruf c merupakan pengelolaan sistem informasi yang bersifat rahasia dan tidak terbatas pada sistem operasi, perangkat penyimpanan (storage devices), file server, dan aplikasi sensitif, yang dilakukan dengan cara:

mengidentifikasi Hak Akses Khusus untuk dialokasikan kepada pengguna yang terkait;
memberikan Hak Akses Khusus hanya kepada pengguna sesuai dengan peruntukannya berdasarkan kebutuhan dan kegiatan tertentu;
mengelola proses otorisasi dan catatan dari seluruh Hak Akses Khusus; dan
memberikan Hak Akses Khusus wajib secara terpisah dari Akun yang digunakan untuk kegiatan umum.

Pasal 76

Pengkajian hak akses pengguna dan Hak Akses Khusus sebagaimana dimaksud dalam Pasal 72 ayat (2) huruf d, dilakukan dengan cara:

mengkaji ulang dalam periode 6 (enam) bulan sekali atau setelah terjadi perubahan pada sistem atau struktur organisasi atau sewaktu-waktu jika diperlukan; dan
memeriksa Hak Akses Khusus dilakukan secara berkala atau sewaktu-waktu.

Pasal 77

Pengendalian akses jaringan sebagaimana dimaksud dalam Pasal 72 ayat (2) huruf e dilakukan dengan cara:

menerapkan prosedur otorisasi untuk pemberian akses ke jaringan dan layanan jaringan;
menerapkan teknis autentikasi akses dari jaringan eksternal; dan
melakukan penghentian layanan jaringan pada area jaringan yang mengalami gangguan Keamanan Informasi.

Pasal 78

Pemisahan jaringan sebagaimana dimaksud dalam Pasal 72 ayat (2) huruf f, dilakukan dengan cara:

memisahkan jaringan berdasarkan kelompok layanan informasi, pengguna, dan aplikasi; dan
memberikan akses jaringan kepada tamu hanya untuk akses terbatas dan waktu tertentu.

Pasal 79

Pemantauan penggunaan sistem pengolah informasi oleh Unit TIK sebagaimana dimaksud dalam Pasal 72 ayat (2) huruf g dilakukan terhadap:

kegagalan akses;
penggunaan hak akses tidak wajar;
alokasi dan penggunaan Hak Akses Khusus;
penelusuran transaksi pengiriman file sistem atau dokumen tertentu yang mencurigakan; dan
penggunaan sumber daya sensitif.

BAB XI
PENGENDALIAN KEPATUHAN

Pasal 80

Pengendalian kepatuhan sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf i dilaksanakan untuk melakukan pengamanan terhadap pengendalian kepatuhan terhadap penggunaan Aset Informasi SAK dan melakukan pemeriksaan kepatuhan Pegawai dan Pihak Lain dalam melaksanakan SMKI sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 81

Pengendalian kepatuhan di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh STKI dan/atau Unit TIK.
STKI dan/atau Unit TIK sebagaimana dimaksud pada ayat (1) bertugas untuk:
1. mengidentifikasi, mendokumentasikan, dan memelihara kemutakhiran peraturan perundang- undangan terkait dengan sistem Keamanan Informasi;
2. membuat perencanaan persyaratan, ruang lingkup, dan kegiatan audit yang melibatkan pemeriksaan sistem untuk mengurangi kemungkinan gangguan resiko;
3. melakukan pemeriksaan Perangkat Lunak secara berkala terhadap Perangkat Lunak berlisensi;
4. melakukan pemeriksaan kepatuhan seluruh Pegawai dan Pihak Lain secara berkala untuk menjamin efektivitas pelaksanaan standar dan prosedur Keamanan Informasi; dan
5. memantau dan mengendalikan kepatuhan seluruh Pegawai dan Pihak Lain untuk menaati ketentuan peraturan perundang-undangan mengenai Keamanan Informasi.

Pasal 82

Anggota STKI, Pegawai pada satuan pelaksana SAK, atau Pihak Lain yang melaksanakan tugas di Unit TIK Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia wajib melindungi kepemilikan dan kerahasiaan SAK serta wajib melaksanakan kebijakan dan standar SMKI.

Pasal 83

Pengendalian Kepatuhan dalam melindungi kekayaan intelektual di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia oleh STKI dan Unit TIK dilakukan dengan cara:

mendapatkan Perangkat Lunak hanya melalui sumber yang dikenal dan memiliki reputasi baik, untuk memastikan tidak ada pelanggaran hak cipta;
memelihara daftar Aset Informasi SAK sesuai dengan persyaratan untuk melindungi hak kekayaan intelektual;
memelihara bukti kepemilikan lisensi, master disk, buku manual, dan lain sebagainya;
menerapkan pengendalian untuk memastikan jumlah pengguna tidak melampaui lisensi yang dimiliki;
melakukan pemeriksaan bahwa hanya Perangkat Lunak dan produk berlisensi yang terpasang; dan
mematuhi terhadap syarat dan kondisi untuk Perangkat Lunak dan informasi yang didapat dari jaringan publik.

Pasal 84

Dalam hal terdapat ketidakpatuhan terhadap SMKI di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia, STKI dan Unit TIK melakukan:

evaluasi penyebab ketidakpatuhan;
tindakan berdasarkan hasil evaluasi; dan
reviu tindakan berdasarkan hasil evaluasi.

Pasal 85

Pengendalian kepatuhan terhadap penggunaan perangkat keras, Perangkat Lunak, dan jaringan komunikasi data telah diimplementasikan secara benar pada sistem informasi di lingkungan Ditjen Dukcapil serta Tempat Layanan Operasional SIAK wajib diperiksa secara berkala atau sewaktu-waktu jika diperlukan.
Pengendalian Kepatuhan sebagaimana dimaksud pada ayat (1) juga mencakup pengujian penetrasi.
Pengujian penetrasi sebagaimana dimaksud pada ayat (2) dilakukan untuk mendeteksi kerentanan sistem dan memeriksa pengendalian akses terhadap sistem yang diterapkan.

BAB XII
PENGEMBANGAN DAN PERAWATAN SISTEM

Pasal 86

Pengembangan dan perawatan sistem sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf j dilakukan untuk memastikan bahwa Keamanan Informasi merupakan bagian yang terintegrasi dengan Aset Informasi SAK, mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak yang tidak berwenang.

Pasal 87

Pengembangan dan perawatan sistem di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota dan Perwakilan Republik Indonesia dilakukan oleh Unit TIK.
Unit TIK sebagaimana dimaksud pada ayat (1), mempunyai tugas mengendalikan Keamanan Informasi dengan cara melakukan:
1. pendokumentasikan persyaratan Keamanan Informasi yang relevan sebelum pengadaan, pengembangan, atau pemeliharaan sistem informasi baru;
2. pengelolaan informasi pada aplikasi;
3. pengendalian penggunaan Kriptografi;
4. pengamanan file sistem;
5. pengamanan proses pengembangan dan pendukung;
6. pengelolaan kerentanan teknis; dan
7. pengendalian Keamanan Informasi dalam pengadaan, pengembangan, dan pemeliharaan sistem informasi.

Pasal 88

Pengelolaan informasi pada aplikasi sebagaimana dimaksud dalam Pasal 87 ayat (2) huruf b paling sedikit dilakukan dengan cara:
1. data yang dimasukkan ke dalam aplikasi untuk diperiksa terlebih dahulu kebenaran dan kesesuaiannya;
2. setiap aplikasi disertakan proses validasi untuk mendeteksi informasi yang dihasilkan lengkap dan sesuai dengan standar pengelolaan informasi pada aplikasi; dan
3. data keluaran aplikasi harus divalidasi untuk memastikan data yang dihasilkan benar.
Dalam hal data keluaran sebagaimana dimaksud pada ayat (1) huruf c tervalidasi tidak benar, dilakukan penandaan dan pelaporan pengelolaan informasi pada aplikasi.

Pasal 89

Pengendalian penggunaan Kriptografi sebagaimana dimaksud dalam Pasal 87 ayat (2) huruf c digunakan untuk melindungi Aset Informasi SAK yang memiliki klasifikasi sangat rahasia, rahasia, dan terbatas.

Pasal 90

Pengamanan file sistem sebagaimana dimaksud dalam Pasal 87 ayat (2) huruf d dilakukan dengan cara:

melaksanakan prosedur pengendalian Perangkat Lunak pada sistem operasi;
menentukan sistem pengujian data, melindungi dari kemungkinan kerusakan, kehilangan, atau perubahan oleh pihak yang tidak berwenang; dan
mengendalikan kode program (source code) secara ketat dan menyalin versi terkini ke tempat yang aman.

Pasal 91

Pengamanan proses pengembangan dan pendukung sebagaimana dimaksud dalam Pasal 87 ayat (2) huruf e dilakukan sesuai dengan SOP pengembangan aplikasi, manajemen rilis, dan manajemen perubahan.

Pasal 92

Pengelolaan kerentanan teknis sebagaimana disebut dalam Pasal 87 ayat (2) huruf f dilakukan sesuai dengan SOP pengelolaan kerentanan teknis dengan cara:

mengumpulkan informasi kerentanan teknis secara berkala dari seluruh Aset Informasi SAK yang digunakan; dan
melakukan evaluasi dan penilaian resiko terhadap kerentanan teknis yang ditemukan.

Pasal 93

Pengendalian Keamanan Informasi dalam pengadaan, pengembangan, dan pemeliharaan sistem informasi sebagaimana disebut dalam Pasal 87 ayat (2) huruf g paling sedikit dengan cara melakukan:

spesifikasi kebutuhan Perangkat Pengolah Informasi yang dikembangkan oleh internal atau Pihak Lain didokumentasikan secara formal;
pengembangan sistem informasi mengikuti SOP pengembangan aplikasi;
pengendalian penggunaan Kriptografi; dan
penerapan SOP pengendalian Perangkat Lunak, pengujian sistem, pengendalian akses, pengendalian perubahan sistem operasi dan Perangkat Lunak, kajian teknis aplikasi, dan pengelolaan kerentanan teknis.

BAB XIII
AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI

Pasal 94

Audit TIK sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf k dilaksanakan untuk melakukan pengamanan pada saat pemeriksaan paling sedikit 1 (satu) kali dalam 1 (satu) tahun terhadap Aset Informasi SAK dan pengujian keamanan sistem.

Pasal 95

Audit TIK di lingkungan Ditjen Dukcapil, Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, UPT Disdukcapil Kabupaten/Kota, dan Perwakilan Republik Indonesia dilakukan oleh auditor TIK.
Auditor TIK sebagaimana dimaksud pada ayat (1) bertugas untuk melakukan:
1. pemeriksaan secara berkala terhadap Aset Informasi SAK untuk memastikan pengendalian perangkat keras, Perangkat Lunak, dan jaringan komunikasi data telah diimplementasikan secara benar; dan
2. pengujian penetrasi untuk mendeteksi kerentanan dalam sistem, dan memeriksa pengendalian akses telah diterapkan.

Pasal 96

Pemeriksaan terhadap Aset Informasi SAK sebagaimana dimaksud dalam Pasal 95 ayat (2) huruf a, dengan memenuhi:
1. persyaratan audit disetujui Menteri melalui Dirjen;
2. ruang lingkup pemeriksaan/audit disetujui oleh STKI; dan
3. auditor harus independen dari kegiatan yang diaudit.
Pemenuhan sebagaimana dimaksud dalam pada ayat (1) dilakukan dengan cara:
1. melakukan pemeriksaan Perangkat Lunak dan data dibatasi untuk akses baca saja;
2. membuat salinan file sistem yang diisolasi dan dihapus bila audit telah selesai;
3. merekam semua akses yang diperiksa dan dipantau serta dicatat untuk menghasilkan jejak audit; dan
4. SOP, persyaratan, dan hasil pemeriksaan harus didokumentasikan.

BAB XIV
PENYIDIK PEGAWAI NEGERI SIPIL ADMINISTRASI KEPENDUDUKAN

Pasal 97

Dalam hal terdapat dugaan pelanggaran SMKI yang berhubungan dengan tindak pidana tertentu, penyidik pegawai negeri sipil Administrasi Kependudukan berwenang melakukan penyidikan sesuai dengan kewenangannya berdasarkan lingkup undang-undang mengenai Administrasi Kependudukan.
STKI memberikan dukungan informasi dan data kepada penyidik pegawai negeri sipil Administrasi Kependudukan dalam melakukan penyidikan sesuai dengan SMKI berdasarkan Peraturan Menteri ini.
Penyidik pegawai negeri sipil Administrasi Kependudukan sebagaimana dimaksud pada ayat (1) diatur sesuai dengan ketentuan peraturan perundang-undangan.

BAB XV
PEMANTAUAN, EVALUASI, DAN PELAPORAN SISTEM MANAJEMEN KEAMANAN INFORMASI

Pasal 98

Menteri melalui Dirjen melakukan pemantauan dan evaluasi terhadap pelaksanaan SMKI.
Pemantauan dan evaluasi sebagaimana dimaksud pada ayat (1) meliputi tata kelola, pengelolaan resiko, kinerja pengelolaan, pengelolaan aset, serta pengelolaan teknologi, dan Keamanan Informasi.

Pasal 99

Pimpinan Unit TIK di lingkungan Disdukcapil Provinsi, Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia menyampaikan laporan hasil pemantauan dan evaluasi pelaksanaan SMKI kepada kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia setiap 6 (enam) bulan atau sewaktu-waktu jika dibutuhkan.
Kepala Disdukcapil Provinsi, kepala Disdukcapil Kabupaten/Kota, kepala UPT Disdukcapil Kabupaten/Kota, dan kepala Perwakilan Republik Indonesia menyampaikan laporan hasil pemantauan dan evaluasi kepada Dirjen pada bulan Desember atau sewaktu-waktu jika dibutuhkan.

Pasal 100

STKI menyampaikan laporan atas hasil pemantauan dan evaluasi pelaksanaan SMKI kepada Sekretaris Ditjen Dukcapil setiap 6 (enam) bulan atau sewaktu-waktu jika dibutuhkan.
Sekretaris Ditjen Dukcapil menyampaikan laporan atas hasil pemantauan dan evaluasi pelaksanaan SMKI kepada Dirjen pada bulan Desember atau sewaktu-waktu jika dibutuhkan.

BAB XVI
SANKSI ADMINISTRATIF

Pasal 101

Anggota STKI, Pegawai pada satuan pelaksana SAK, atau Pihak Lain yang melanggar ketentuan Pasal 82 yaitu terhadap perlindungan kepemilikan dan kerahasiaan SAK serta kebijakan dan standar SMKI, dikenakan sanksi administratif berupa:

teguran lisan; dan
teguran tertulis diberhentikan dari anggota STKI, satuan pelaksana SAK, atau Pihak Lain yang bertugas di Unit TIK.

BAB XVII
PENDANAAN

Pasal 102

Pendanaan pelaksanaan SMKI dibebankan pada anggaran pendapatan dan belanja negara, anggaran pendapatan dan belanja daerah, atau sumber lainnya yang sah dan tidak mengikat.

BAB XVIII
KETENTUAN PENUTUP

Pasal 103

Pada saat Peraturan Menteri ini mulai berlaku, Ditjen Dukcapil menyiapkan SMKI secara bertahap paling lambat Tahun 2023.

Pasal 104

Peraturan Menteri ini mulai berlaku pada tanggal diundangkan.

Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Menteri ini dengan penempatannya dalam Berita Negara Republik Indonesia.

Demikianlah bunyi dari Peraturan Menteri Dalam Negeri Nomor 57 tahun 2021 tentang Sistem Manajemen Keamanan Informasi Administrasi Kependudukan.

Lampiran	Ukuran
Permendagri 57 tahun 2021 tentang SMKI (286.16 KB)	286.16 KB

Permendagri 57 tahun 2021 tentang SMKI

Apa itu SMKI?

Apa itu Administrasi Kependudukan?

Apakah SIAK itu?

Apa itu Tempat Layanan Operasional SIAK?

Permendagri 57 tahun 2021 tentang SMKI

Latar Belakang

Dasar Hukum

Isi Permendagri SMKI Administrasi Kependudukan

PERATURAN MENTERI DALAM NEGERI TENTANG SISTEM MANAJEMEN KEAMANAN INFORMASI ADMINISTRASI KEPENDUDUKAN

BAB IKETENTUAN UMUM

Pasal 1

Pasal 2

BAB IIPENANGGUNG JAWAB DAN PELAKSANA SISTEM MANAJEMEN KEAMANAN INFORMASI ADMINSITRASI KEPENDUDUKAN

Pasal 3

Pasal 4

Pasal 5

Pasal 6

Pasal 7

Pasal 8

Pasal 9

Pasal 10

Pasal 11

Pasal 12

BAB IIITATA KELOLA KEAMANAN INFORMASI

Pasal 13

Pasal 14

Pasal 15

Pasal 16

Pasal 17

Pasal 18

Pasal 19

Pasal 20

Pasal 21

Pasal 22

Pasal 23

BAB IVKEAMANAN SUMBER DAYA MANUSIA

Pasal 24

Pasal 25

Pasal 26

Pasal 27

Pasal 28

Pasal 29

Pasal 30

Pasal 31

Pasal 32

BAB VKEAMANAN FISIK DAN LINGKUNGAN

Pasal 33

Pasal 34

Pasal 35

Pasal 36

Pasal 37

Pasal 38

Pasal 39

Pasal 40

BAB VIKEAMANAN OPERASIONAL DAN KOMUNIKASI

Pasal 41

Pasal 42

Pasal 43

Pasal 44

Pasal 45

Pasal 46

Pasal 47

Pasal 48

Pasal 49

Pasal 50

Pasal 51

Pasal 52

BAB VIIMANAJEMEN ASET

Pasal 53

Pasal 54

Pasal 55

Pasal 56

Pasal 57

BAB VIIIMANAJEMEN INSIDEN KEAMANAN INFORMASI

Pasal 58

Pasal 59

Pasal 60

BAB IXMANAJEMEN KELANGSUNGAN LAYANAN

Pasal 61

BAB I
KETENTUAN UMUM

BAB II
PENANGGUNG JAWAB DAN PELAKSANA SISTEM MANAJEMEN KEAMANAN INFORMASI ADMINSITRASI KEPENDUDUKAN

BAB III
TATA KELOLA KEAMANAN INFORMASI

BAB IV
KEAMANAN SUMBER DAYA MANUSIA

BAB V
KEAMANAN FISIK DAN LINGKUNGAN

BAB VI
KEAMANAN OPERASIONAL DAN KOMUNIKASI

BAB VII
MANAJEMEN ASET

BAB VIII
MANAJEMEN INSIDEN KEAMANAN INFORMASI

BAB IX
MANAJEMEN KELANGSUNGAN LAYANAN

BAB X
KENDALI/HAK AKSES

BAB XI
PENGENDALIAN KEPATUHAN

BAB XII
PENGEMBANGAN DAN PERAWATAN SISTEM

BAB XIII
AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI

BAB XIV
PENYIDIK PEGAWAI NEGERI SIPIL ADMINISTRASI KEPENDUDUKAN

BAB XV
PEMANTAUAN, EVALUASI, DAN PELAPORAN SISTEM MANAJEMEN KEAMANAN INFORMASI

BAB XVI
SANKSI ADMINISTRATIF

BAB XVII
PENDANAAN

BAB XVIII
KETENTUAN PENUTUP