Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

menimbang

bahwa untuk melaksanakan ketentuanPasal 20 ayat (4) Peraturan Pemerintah Republik Indonesia Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, perlu menetapkan Peraturan Menteri Komunikasi dan Informatika tentang Sistem Manajemen Pengamanan Informasi;

mengingat

  1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843);

  2. Undang-Undang Nomor 39 Tahun 2008 tentang Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 166, Tambahan Lembaran Negara Republik Indonesia Nomor 4916);

  3. Undang-Undang Nomor 30 Tahun 2014 tentang Administrasi Pemerintahan (Lembaran Negara Republik Indonesia Tahun 2014 Nomor 292, Tambahan Lembaran Negara Republik Indonesia Nomor 5601);

  4. Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189, Tambahan Lembaran Negara Republik Indonesia Nomor 5348);

  5. Peraturan Presiden Nomor 7 Tahun 2015 tentang Organisasi Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 8);

  6. Peraturan Presiden Nomor 54 Tahun 2015 tentang Kementerian Komunikasi dan Informatika (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 96);

  7. Peraturan Menteri Komunikasi dan Informatika Nomor: 1 Tahun 2016 tentang Organisasi dan Tata Kerja Kementerian Komunikasi dan Informatika;

Pasal 10

  1. Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi.

  2. Penyelenggara Sistem Elektronik rendah dapat memiliki Sertifikat Sistem Manajemen Pengamanan Informasi.

Pasal 11

  1. Sertifikat Sistem Manajemen Pengamanan Informasi diterbitkan oleh Lembaga Sertifikasi.

  2. Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (1) berlaku paling lama 3 (tiga) tahun sejak tanggal diterbitkan.

  3. Sertifikat Sistem Manajemen Pengamanan Informasi harus diperbaharui oleh Penyelenggara Sistem Elektronik paling lambat 3 (tiga) bulan sebelum masa berlakunya berakhir.BAB VLEMBAGA SERTIFIKASI

Pasal 12

  1. Sertifikasi Sistem Manajemen Pengamanan Informasi dilakukan oleh Lembaga Sertifikasi yang diakui oleh Menteri.

  2. Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) harus

    1. berbentuk badan hukum Indonesia;

    2. berdomisili di Indonesia;

    3. terakreditasi oleh Komite Akreditasi Nasional;

    4. memiliki tim Auditor yang beranggotakan paling sedikit 1 (satu) Auditor Permanen; dan

    5. memiliki tim pengambil keputusan sertifikasi.

  3. Tim Auditor dan tim pengambil keputusan sertifikasi yang melakukan sertifikasi Sistem Elektronik strategis harus berkewarganegaraan Indonesia.

  4. Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri.

Pasal 13

  1. Lembaga Sertifikasi mengajukan permohonan pengakuan sebagai Lembaga Sertifikasi kepada Menteri dibuat sesuai Format 2 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  2. Permohonan penetapan sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen

    1. surat permohonan;

    2. sertifikat akreditasi dari Komite Akreditasi Nasional;

    3. daftar anggota tim Auditor;

    4. daftar anggota tim pengambil keputusan sertifikasi; dan

    5. surat pernyataan.

  3. Surat pernyataan sebagaimana dimaksud pada ayat (2) huruf e dibuat sesuai Format 3 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  4. Direktur Jenderal melakukan penilaian terhadap permohonan sebagaimana dimaksud pada ayat (1).

  5. Menteri menetapkan pengakuan terhadap Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap.

  6. Penetapan pengakuan sebagaimana dimaksud pada ayat (4) berlaku untuk jangka waktu paling lama 4 (empat) tahun.

  7. Penetapan pengakuan sebagaimana dimaksud pada ayat (4) dibuat sesuai Format 4 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  8. Lembaga Sertifikasi yang telah memperoleh penetapan pengakuan Menteri sebagaimana dimaksud pada ayat (5) dinyatakan dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

Pasal 14

  1. Lembaga Sertifikasi berhak memungut biaya atas layanan sertifikasi Sistem Manajemen Pengamanan Informasi dari Penyelenggara Sistem Elektronik.

  2. Besaran biaya sertifikasi sebagaimana dimaksud pada ayat (1) ditetapkan oleh Lembaga Sertifikasi dan Penyelenggara Sistem Elektronik dengan mempertimbangkan biaya operasional Lembaga Sertifikasi dan biaya lainnya.

Pasal 15

Perubahan tim Auditor dan tim pengambil keputusan sertifikasi terhadap Sistem Elektronik strategis wajib dilaporkan kepada Menteri paling lambat 2 (dua) hari kerja.

BAB VI

PENERBITAN SERTIFIKAT, PELAPORAN HASIL SERTIFIKASI, DAN PENCABUTAN SERTIFIKAT

Pasal 16

Sertifikasi Sistem Manajemen Pengamanan Informasi harus dilakukan sesuai dengan proses Penyelenggaraan Sistem Elektronik dengan memperhatikan tingkat Risiko sebagaimana dimaksud dalam Pasal 4.

Pasal 17

  1. Lembaga Sertifikasi menugaskan tim Auditor untuk melakukan audit Sistem Manajemen Pengamanan Informasi terhadap Penyelenggara Sistem Elektronik.

  2. Tim Auditor sebagaimana dimaksud pada ayat (1) melaporkan hasil audit pada Lembaga Sertifikasi yang menugaskan.

  3. Lembaga Sertifikasi mengkaji hasil audit yang dilaporkan oleh tim Auditor.

  4. Lembaga Sertifikasi menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi bagi Penyelenggara Sistem Elektronik yang telah memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2).

Pasal 18

  1. Lembaga Sertifikasi wajib menyerahkan laporan hasil sertifikasi Sistem Manajemen Pengamanan Informasi secara tertulis kepada Direktur Jenderal.

  2. Laporan sebagaimana dimaksud pada ayat (1) wajib diserahkan secara berkala paling sedikit 2 (dua) kali dalam setahun.

  3. Laporan sebagaimana dimaksud pada ayat (1) paling sedikit memuat

    1. data Penyelenggara Sistem Elektronik yang mengajukan sertifikasi;

    2. data Penyelenggara Sistem Elektronik yang mendapatkan Sertifikat Sistem Manajemen Pengamanan Informasi;

    3. data Penyelenggara Sistem Elektronik yang dicabut kepemilikan sertifikatnya;

    4. ringkasan eksekutif;

    5. perubahan daftar tim Auditor; dan

    6. perubahan daftar tim pengambil keputusan sertifikasi.

  4. Laporan sebagaimana dimaksud pada ayat (3) dibuat sesuai Format 5 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

Pasal 19

Lembaga Sertifikasi harus melaksanakan audit pengawasan (surveillance audit) paling sedikit 1 (satu) kali dalam setahun terhadap setiap Sistem Elektronik yang telah tersertifikasi.

Pasal 20

  1. Jika hasil audit pengawasan (surveillance audit) sebagaimana dimaksud dalam Pasal 19 tidak memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2), Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen Pengamanan Informasi terkait.

  2. Pencabutan sebagaimana dimaksud pada ayat (1) wajib dilaporkan oleh Lembaga Sertifikasi kepada Direktur Jenderal paling lambat 2 (dua) hari kerja sejak dilakukan pencabutan.BAB VIIPENILAIAN MANDIRI

Pasal 21

Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi dapat melakukan Penilaian Mandiri berdasarkan standar SNI/ISO IEC 27001.

Pasal 22

  1. Penyelenggara Sistem Elektronik harus melakukan Penilaian Mandiri terhadap setiap Sistem Elektronik rendah yang dimilikinya berdasarkan pedoman Indeks Keamanan Informasi.

  2. Penyelenggara Sistem Elektronik rendah wajib melaporkan hasil Penilaian Mandiri sebagaimana dimaksud pada ayat (1) kepada Direktur Jenderal paling sedikit 1 (satu) kali dalam setahun.

  3. Direktur Jenderal melakukan pemeriksaan atas Hasil Penilaian Mandiri sebagaimana dimaksud pada ayat (2).BAB VIIIPEMBINAAN

Pasal 23

Menteri melakukan pembinaan penyelenggaraan sertifikasi Sistem Manajemen Pengamanan Informasi terhadap

  1. Lembaga Sertifikasi;

  2. Penyelenggara Sistem Elektronik; dan

  3. masyarakat.BAB IXPENGAWASAN

Pasal 24

  1. Direktur Jenderal melakukan pengawasan terhadap Lembaga Sertifikasi dan Penyelenggara Sistem Elektronik.

  2. Pengawasan sebagaimana dimaksud pada ayat (1) dilakukan melalui pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan.BAB XSANKSI

Pasal 25

  1. Menteri memberikan sanksi administratif pada Penyelenggara Sistem Elektronik yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 10 ayat (1) dan Pasal 22 ayat (2).

  2. Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi

    1. teguran tertulis; dan

    2. penghentian sementara Nama Domain Indonesia.

  3. Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran.

  4. Penghentian sementara Nama Domain Indonesia sebagaimana dimaksud pada ayat (2) huruf b dikenakan apabila dalam jangka waktu 6 (enam) bulan tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 26

  1. Menteri memberikan sanksi administratif pada Lembaga Sertifikasi yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 15, Pasal 18 ayat (1), Pasal 18 ayat (2), Pasal 20 ayat (1), dan Pasal 20 ayat (2).

  2. Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi

    1. teguran tertulis; dan

    2. dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

  3. Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran.

  4. Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (2) huruf b apabila dalam jangka waktu 30 (tiga puluh) hari kerja tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 27

  1. Dalam hal Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud dalam Pasal 26 ayat (4), Lembaga Sertifikasi tersebut melimpahkan Sertifikat Sistem Manajemen Pengamanan Informasi yang telah diterbitkannya kepada Lembaga Sertifikasi lainnya yang terdapat dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

  2. Segala biaya yang timbul akibat pelimpahan Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (1) dibebankan pada Lembaga Sertifikasi yang dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.BAB XIKETENTUAN PERALIHAN

Pasal 28

  1. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya telah beroperasi sebelum berlakunya Peraturan Menteri ini wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi dalam jangka waktu paling lambat 2 (dua) tahun sejak berlakunya Peraturan Menteri ini.

  2. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya baru beroperasi wajib dilakukan sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 1 (satu) tahun sejak beroperasinya Sistem Elektronik.

  3. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya telah memperoleh Sertifikat Sistem Manajemen Pengamanan Informasi dengan menggunakan standar selain SNI ISO/IEC 27001 sebelum berlakunya Peraturan Menteri ini, wajib menyesuaikan dengan Peraturan Menteri ini dalam jangka waktu paling lambat 2 (dua) tahun sejak berlakunya Peraturan Menteri ini.

  4. Dalam hal Peraturan Menteri mengenai Tenaga Ahli belum diundangkan pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Tenaga Ahli yang berkompeten.

  5. Dalam hal Peraturan Menteri mengenai Penetapan Auditor Sistem Manajemen Pengamanan Informasi belum diundangkan pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Auditor yang berkompeten.

  6. Pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Lembaga Sertifikasi sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi apabila belum ada Lembaga Sertifikasi yang ditetapkan oleh Menteri.BAB XIIKETENTUAN PENUTUP

Pasal 29

Peraturan Menteri ini mulai berlaku pada tanggal diundangkan

Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Menteri ini dengan penempatannya dalam Berita Negara Republik Indonesia.


PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA
NOMOR 4 TAHUN 2016
TENTANG
SISTEM MANAJEMEN PENGAMANAN INFORMASI



menimbang

bahwa untuk melaksanakan ketentuanPasal 20 ayat (4) Peraturan Pemerintah Republik Indonesia Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, perlu menetapkan Peraturan Menteri Komunikasi dan Informatika tentang Sistem Manajemen Pengamanan Informasi;

mengingat

  1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843);

  2. Undang-Undang Nomor 39 Tahun 2008 tentang Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 166, Tambahan Lembaran Negara Republik Indonesia Nomor 4916);

  3. Undang-Undang Nomor 30 Tahun 2014 tentang Administrasi Pemerintahan (Lembaran Negara Republik Indonesia Tahun 2014 Nomor 292, Tambahan Lembaran Negara Republik Indonesia Nomor 5601);

  4. Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189, Tambahan Lembaran Negara Republik Indonesia Nomor 5348);

  5. Peraturan Presiden Nomor 7 Tahun 2015 tentang Organisasi Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 8);

  6. Peraturan Presiden Nomor 54 Tahun 2015 tentang Kementerian Komunikasi dan Informatika (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 96);

  7. Peraturan Menteri Komunikasi dan Informatika Nomor: 1 Tahun 2016 tentang Organisasi dan Tata Kerja Kementerian Komunikasi dan Informatika;



memperhatikan

memutuskan

menetapkan

Bagian Kesatu

Penyelenggara Sistem Elektronik

Pasal 10

  1. Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi.

  2. Penyelenggara Sistem Elektronik rendah dapat memiliki Sertifikat Sistem Manajemen Pengamanan Informasi.

Bagian Kedua

Sertifikat Sistem Manajemen Pengamanan Informasi

Pasal 11

  1. Sertifikat Sistem Manajemen Pengamanan Informasi diterbitkan oleh Lembaga Sertifikasi.

  2. Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (1) berlaku paling lama 3 (tiga) tahun sejak tanggal diterbitkan.

  3. Sertifikat Sistem Manajemen Pengamanan Informasi harus diperbaharui oleh Penyelenggara Sistem Elektronik paling lambat 3 (tiga) bulan sebelum masa berlakunya berakhir.
    BAB V
    LEMBAGA SERTIFIKASI

Pasal 12

  1. Sertifikasi Sistem Manajemen Pengamanan Informasi dilakukan oleh Lembaga Sertifikasi yang diakui oleh Menteri.

  2. Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) harus

    1. berbentuk badan hukum Indonesia;

    2. berdomisili di Indonesia;

    3. terakreditasi oleh Komite Akreditasi Nasional;

    4. memiliki tim Auditor yang beranggotakan paling sedikit 1 (satu) Auditor Permanen; dan

    5. memiliki tim pengambil keputusan sertifikasi.

  3. Tim Auditor dan tim pengambil keputusan sertifikasi yang melakukan sertifikasi Sistem Elektronik strategis harus berkewarganegaraan Indonesia.

  4. Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri.

Pasal 13

  1. Lembaga Sertifikasi mengajukan permohonan pengakuan sebagai Lembaga Sertifikasi kepada Menteri dibuat sesuai Format 2 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  2. Permohonan penetapan sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen

    1. surat permohonan;

    2. sertifikat akreditasi dari Komite Akreditasi Nasional;

    3. daftar anggota tim Auditor;

    4. daftar anggota tim pengambil keputusan sertifikasi; dan

    5. surat pernyataan.

  3. Surat pernyataan sebagaimana dimaksud pada ayat (2) huruf e dibuat sesuai Format 3 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  4. Direktur Jenderal melakukan penilaian terhadap permohonan sebagaimana dimaksud pada ayat (1).

  5. Menteri menetapkan pengakuan terhadap Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap.

  6. Penetapan pengakuan sebagaimana dimaksud pada ayat (4) berlaku untuk jangka waktu paling lama 4 (empat) tahun.

  7. Penetapan pengakuan sebagaimana dimaksud pada ayat (4) dibuat sesuai Format 4 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  8. Lembaga Sertifikasi yang telah memperoleh penetapan pengakuan Menteri sebagaimana dimaksud pada ayat (5) dinyatakan dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

Pasal 14

  1. Lembaga Sertifikasi berhak memungut biaya atas layanan sertifikasi Sistem Manajemen Pengamanan Informasi dari Penyelenggara Sistem Elektronik.

  2. Besaran biaya sertifikasi sebagaimana dimaksud pada ayat (1) ditetapkan oleh Lembaga Sertifikasi dan Penyelenggara Sistem Elektronik dengan mempertimbangkan biaya operasional Lembaga Sertifikasi dan biaya lainnya.

Pasal 15

Perubahan tim Auditor dan tim pengambil keputusan sertifikasi terhadap Sistem Elektronik strategis wajib dilaporkan kepada Menteri paling lambat 2 (dua) hari kerja.

BAB VI

PENERBITAN SERTIFIKAT, PELAPORAN HASIL SERTIFIKASI, DAN PENCABUTAN SERTIFIKAT

Bagian Kesatu

Penerbitan Sertifikat

Pasal 16

Sertifikasi Sistem Manajemen Pengamanan Informasi harus dilakukan sesuai dengan proses Penyelenggaraan Sistem Elektronik dengan memperhatikan tingkat Risiko sebagaimana dimaksud dalam Pasal 4.

Pasal 17

  1. Lembaga Sertifikasi menugaskan tim Auditor untuk melakukan audit Sistem Manajemen Pengamanan Informasi terhadap Penyelenggara Sistem Elektronik.

  2. Tim Auditor sebagaimana dimaksud pada ayat (1) melaporkan hasil audit pada Lembaga Sertifikasi yang menugaskan.

  3. Lembaga Sertifikasi mengkaji hasil audit yang dilaporkan oleh tim Auditor.

  4. Lembaga Sertifikasi menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi bagi Penyelenggara Sistem Elektronik yang telah memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2).

Bagian Kedua

Pelaporan Hasil Sertifikasi

Pasal 18

  1. Lembaga Sertifikasi wajib menyerahkan laporan hasil sertifikasi Sistem Manajemen Pengamanan Informasi secara tertulis kepada Direktur Jenderal.

  2. Laporan sebagaimana dimaksud pada ayat (1) wajib diserahkan secara berkala paling sedikit 2 (dua) kali dalam setahun.

  3. Laporan sebagaimana dimaksud pada ayat (1) paling sedikit memuat

    1. data Penyelenggara Sistem Elektronik yang mengajukan sertifikasi;

    2. data Penyelenggara Sistem Elektronik yang mendapatkan Sertifikat Sistem Manajemen Pengamanan Informasi;

    3. data Penyelenggara Sistem Elektronik yang dicabut kepemilikan sertifikatnya;

    4. ringkasan eksekutif;

    5. perubahan daftar tim Auditor; dan

    6. perubahan daftar tim pengambil keputusan sertifikasi.

  4. Laporan sebagaimana dimaksud pada ayat (3) dibuat sesuai Format 5 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

Bagian Ketiga

Pencabutan Sertifikat

Pasal 19

Lembaga Sertifikasi harus melaksanakan audit pengawasan (surveillance audit) paling sedikit 1 (satu) kali dalam setahun terhadap setiap Sistem Elektronik yang telah tersertifikasi.

Pasal 20

  1. Jika hasil audit pengawasan (surveillance audit) sebagaimana dimaksud dalam Pasal 19 tidak memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2), Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen Pengamanan Informasi terkait.

  2. Pencabutan sebagaimana dimaksud pada ayat (1) wajib dilaporkan oleh Lembaga Sertifikasi kepada Direktur Jenderal paling lambat 2 (dua) hari kerja sejak dilakukan pencabutan.
    BAB VII
    PENILAIAN MANDIRI

Pasal 21

Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi dapat melakukan Penilaian Mandiri berdasarkan standar SNI/ISO IEC 27001.

Pasal 22

  1. Penyelenggara Sistem Elektronik harus melakukan Penilaian Mandiri terhadap setiap Sistem Elektronik rendah yang dimilikinya berdasarkan pedoman Indeks Keamanan Informasi.

  2. Penyelenggara Sistem Elektronik rendah wajib melaporkan hasil Penilaian Mandiri sebagaimana dimaksud pada ayat (1) kepada Direktur Jenderal paling sedikit 1 (satu) kali dalam setahun.

  3. Direktur Jenderal melakukan pemeriksaan atas Hasil Penilaian Mandiri sebagaimana dimaksud pada ayat (2).
    BAB VIII
    PEMBINAAN

Pasal 23

Menteri melakukan pembinaan penyelenggaraan sertifikasi Sistem Manajemen Pengamanan Informasi terhadap

  1. Lembaga Sertifikasi;

  2. Penyelenggara Sistem Elektronik; dan

  3. masyarakat.
    BAB IX
    PENGAWASAN

Pasal 24

  1. Direktur Jenderal melakukan pengawasan terhadap Lembaga Sertifikasi dan Penyelenggara Sistem Elektronik.

  2. Pengawasan sebagaimana dimaksud pada ayat (1) dilakukan melalui pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan.
    BAB X
    SANKSI

Pasal 25

  1. Menteri memberikan sanksi administratif pada Penyelenggara Sistem Elektronik yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 10 ayat (1) dan Pasal 22 ayat (2).

  2. Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi

    1. teguran tertulis; dan

    2. penghentian sementara Nama Domain Indonesia.

  3. Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran.

  4. Penghentian sementara Nama Domain Indonesia sebagaimana dimaksud pada ayat (2) huruf b dikenakan apabila dalam jangka waktu 6 (enam) bulan tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 26

  1. Menteri memberikan sanksi administratif pada Lembaga Sertifikasi yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 15, Pasal 18 ayat (1), Pasal 18 ayat (2), Pasal 20 ayat (1), dan Pasal 20 ayat (2).

  2. Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi

    1. teguran tertulis; dan

    2. dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

  3. Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran.

  4. Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (2) huruf b apabila dalam jangka waktu 30 (tiga puluh) hari kerja tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 27

  1. Dalam hal Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud dalam Pasal 26 ayat (4), Lembaga Sertifikasi tersebut melimpahkan Sertifikat Sistem Manajemen Pengamanan Informasi yang telah diterbitkannya kepada Lembaga Sertifikasi lainnya yang terdapat dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

  2. Segala biaya yang timbul akibat pelimpahan Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (1) dibebankan pada Lembaga Sertifikasi yang dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.
    BAB XI
    KETENTUAN PERALIHAN

Pasal 28

  1. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya telah beroperasi sebelum berlakunya Peraturan Menteri ini wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi dalam jangka waktu paling lambat 2 (dua) tahun sejak berlakunya Peraturan Menteri ini.

  2. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya baru beroperasi wajib dilakukan sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 1 (satu) tahun sejak beroperasinya Sistem Elektronik.

  3. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya telah memperoleh Sertifikat Sistem Manajemen Pengamanan Informasi dengan menggunakan standar selain SNI ISO/IEC 27001 sebelum berlakunya Peraturan Menteri ini, wajib menyesuaikan dengan Peraturan Menteri ini dalam jangka waktu paling lambat 2 (dua) tahun sejak berlakunya Peraturan Menteri ini.

  4. Dalam hal Peraturan Menteri mengenai Tenaga Ahli belum diundangkan pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Tenaga Ahli yang berkompeten.

  5. Dalam hal Peraturan Menteri mengenai Penetapan Auditor Sistem Manajemen Pengamanan Informasi belum diundangkan pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Auditor yang berkompeten.

  6. Pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Lembaga Sertifikasi sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi apabila belum ada Lembaga Sertifikasi yang ditetapkan oleh Menteri.
    BAB XII
    KETENTUAN PENUTUP

Pasal 29

Peraturan Menteri ini mulai berlaku pada tanggal diundangkan

Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Menteri ini dengan penempatannya dalam Berita Negara Republik Indonesia.

Ditetapkan di Jakarta

pada tanggal 8 April 2016

MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA,

ttd

RUDIANTARA

Diundangkan di Jakarta

pada tanggal 11 April 2016

DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

ttd

WIDODO EKATJAHJANA

BERITA NEGARA REPUBLIK INDONESIA TAHUN 2016 NOMOR 551

endbatangtubuh

BAB I

KETENTUAN UMUM

Pasal 1

Dalam Peraturan Menteri ini yang dimaksud dengan:

  1. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.

  2. Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

  3. Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem Elektronik oleh penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat.

  4. Pelayanan Publik adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik.

  5. Sistem Manajemen Pengamanan Informasi adalah pengaturan kewajiban bagi Penyelenggara Sistem Elekronik dalam penerapan manajemen pengamanan informasi berdasarkan asas Risiko.

  6. Keamanan Informasi adalah terjaganya kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) informasi.

  7. Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

  8. Risiko adalah kejadian atau kondisi yang tidak diinginkan, yang dapat menimbulkan dampak negatif terhadap pencapaian sasaran kinerja dari layanan Sistem Elektronik.

  9. Standar Nasional Indonesia yang selanjutnya disebut SNI adalah dokumen berisi ketentuan teknik, persyaratan, dan karakteristik suatu kegiatan atau hasil kegiatan, yang disusun dan disepakati oleh pihak-pihak yang berkepentingan untuk membentuk keteraturan yang optimal ditinjau dari konteks keperluan tertentu, dan ditetapkan oleh Badan Standardisasi Nasional sebagai standar yang berlaku di seluruh wilayah Indonesia.

  10. Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi yang selanjutnya disebut Lembaga Sertifikasi adalah lembaga yang menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi.

  11. Sertifikat Sistem Manajemen Pengamanan Informasi adalah bukti tertulis yang diberikan oleh Lembaga Sertifikasi kepada Penyelenggara Sistem Elektronik yang telah memenuhi persyaratan.

  12. Penilaian Mandiri adalah mekanisme evaluasi kategori Sistem Elektronik yang dilakukan secara mandiri (self assessment) oleh Penyelenggara Sistem Elektronik berdasarkan kriteria tertentu.

  13. Indeks Keamanan Informasi adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan informasi di organisasi.

  14. Komite Akreditasi Nasional adalah lembaga non-struktural, yang berada di bawah dan bertanggung jawab kepada Presiden dengan tugas menetapkan akreditasi dan memberikan pertimbangan dan saran kepada Badan Standardisasi Nasional (BSN) dalam menetapkan sistem akreditasi dan sertifikasi.

  15. Auditor Sistem Manajemen Pengamanan Informasi yang selanjutnya disebut Auditor adalah orang yang melakukan audit berdasarkan Peraturan Menteri ini.

  16. Auditor Permanen adalah Auditor yang menjadi karyawan tetap di Lembaga Sertifikasi dibuktikan dengan surat pengangkatan dan/atau perjanjian kerja yang sesuai dengan ketentuan ketenagakerjaan yang berlaku dan disertai bukti setor pajak penghasilan terakhir.

  17. Instansi Pengawas dan Pengatur Sektor adalah instansi yang bertugas mengawasi pelaksanaan tugas sektor dan mengeluarkan pengaturan terhadap sektor tersebut misalnya sektor perbankan dan sektor perhubungan.

  18. Tenaga Ahli Penerap yang selanjutnya disebut Tenaga Ahli adalah tenaga ahli yang memiliki kompetensi dalam penerapan Sistem Manajemen Pengamanan Informasi.

  19. Menteri adalah menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika.

  20. Direktur Jenderal adalah direktur jenderal yang ruang lingkup tugas dan fungsinya membidangi aplikasi informatika.

Pasal 2

Peraturan Menteri ini mengatur mengenai penerapan Sistem Manajemen Pengamanan Informasi oleh Penyelenggara Sistem Elektronik untuk Pelayanan Publik berdasarkan asas Risiko.

Pasal 3

Penerapan Sistem Manajemen Pengamanan Informasi oleh Penyelenggara Sistem Elektronik untuk Pelayanan Publik sebagaimana dimaksud dalam Pasal 2 meliputi:

  1. institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya;

  2. korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;

  3. lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya; atau

  4. badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara.

BAB II

KATEGORISASI SISTEM ELEKTRONIK

Pasal 4

  1. Kategorisasi Sistem Elektronik berdasarkan asas Risiko sebagaimana dimaksud dalam Pasal 2 terdiri atas:

    1. Sistem Elektronik strategis;

    2. Sistem Elektronik tinggi;

    3. Sistem Elektronik rendah.

  2. Sistem Elektronik strategis sebagaimana dimaksud pada ayat (1) huruf a merupakan Sistem Elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara.

  3. Sistem Elektronik tinggi sebagaimana dimaksud pada ayat (1) huruf b merupakan Sistem Elektronik yang berdampak terbatas pada kepentingan sektor dan/atau daerah tertentu.

  4. Sistem Elektronik rendah sebagaimana dimaksud pada ayat (1) huruf c merupakan Sistem Elektronik lainnya yang tidak termasuk pada ayat (2) dan ayat (3).

Pasal 5

  1. Kategorisasi Sistem Elektronik sebagaimana dimaksud dalam Pasal 4 ayat (1) dibuat sesuai Format 1 berdasarkan penilaian sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  2. Penilaian sebagaimana dimaksud pada ayat (1) dilakukan oleh Penyelenggara Sistem Elektronik secara mandiri (self assessment) terhadap setiap Sistem Elektronik yang dimilikinya.

Pasal 6

  1. Dalam hal hasil penilaian sebagaimana dimaksud dalam Pasal 5 menyatakan bahwa Sistem Elektronik yang dimiliki oleh Penyelenggara Sistem Elektronik merupakan Sistem Elektronik strategis maka ditetapkan oleh Menteri berdasarkan rekomendasi dari Instansi Pengawas dan Pengatur Sektor terkait.

  2. Dalam hal rekomendasi sebagaimana dimaksud pada ayat (1) tidak diberikan oleh Instansi Pengawas dan Pengatur Sektor terkait maka ditetapkan oleh Menteri dalam kategori Sistem Elektronik tinggi.

  3. Dalam hal hasil penilaian sebagaimana dimaksud dalam Pasal 5 menyatakan bahwa Sistem Elektronik yang dimiliki oleh Penyelenggara Sistem Elektronik merupakan Sistem Elektronik tinggi dan/atau Sistem Elektronik rendah maka ditetapkan oleh Menteri.

BAB III

STANDAR SISTEM MANAJEMEN PENGAMANAN INFORMASI

Pasal 7

  1. Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik strategis harus menerapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektornya.

  2. Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik tinggi harus menerapkan standar SNI ISO/IEC 27001.

  3. Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik rendah harus menerapkan pedoman Indeks Keamanan Informasi.

  4. Ketentuan mengenai pedoman Indeks Keamanan Informasi sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Menteri.

Pasal 8

  1. Dalam penerapan standar dan pedoman sebagaimana dimaksud dalam Pasal 7, Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli internal dan/atau Tenaga Ahli eksternal.

  2. Dalam hal penerapan standar sebagaimana dimaksud dalam Pasal 7 ayat (1), terhadap Sistem Elektronik strategis, Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan Indonesia.

  3. Ketentuan lebih lanjut mengenai Tenaga Ahli sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri.

Pasal 9

  1. Dalam hal belum terdapat Tenaga Ahli berkewarganegaraan Indonesia sebagaimana dimaksud dalam Pasal 8 ayat (2), Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli asing.

  2. Dalam menggunakan Tenaga Ahli asing sebagaimana dimaksud pada ayat (1), Penyelenggara Sistem Elektronik harus mengajukan permohonan kepada Direktur Jenderal paling lambat 14 (empat belas) hari kerja sebelum perjanjian kerja ditandatangani.

  3. Permohonan sebagaimana dimaksud pada ayat (2) dilengkapi dengan dokumen sebagai berikut:

    1. manajemen risiko terkait penggunaan Tenaga Ahli asing; dan

    2. biodata Tenaga Ahli asing yang paling sedikit memuat pengalaman kerja.

  4. Direktur Jenderal menetapkan Tenaga Ahli asing paling lambat 14 (empat belas) hari kerja setelah permohonan sebagaimana dimaksud pada ayat (3) dinyatakan lengkap.

BAB IV

PENYELENGGARAAN

Bagian Kesatu

Penyelenggara Sistem Elektronik

Pasal 10 

  1. Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi.

  2. Penyelenggara Sistem Elektronik rendah dapat memiliki Sertifikat Sistem Manajemen Pengamanan Informasi.

Bagian Kedua

Sertifikat Sistem Manajemen Pengamanan Informasi

Pasal 11

  1. Sertifikat Sistem Manajemen Pengamanan Informasi diterbitkan oleh Lembaga Sertifikasi.

  2. Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (1) berlaku paling lama 3 (tiga) tahun sejak tanggal diterbitkan.

  3. Sertifikat Sistem Manajemen Pengamanan Informasi harus diperbaharui oleh Penyelenggara Sistem Elektronik paling lambat 3 (tiga) bulan sebelum masa berlakunya berakhir.

BAB V

LEMBAGA SERTIFIKASI

Pasal 12

  1. Sertifikasi Sistem Manajemen Pengamanan Informasi dilakukan oleh Lembaga Sertifikasi yang diakui oleh Menteri.

  2. Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) harus:

    1. berbentuk badan hukum Indonesia;

    2. berdomisili di Indonesia;

    3. terakreditasi oleh Komite Akreditasi Nasional;

    4. memiliki tim Auditor yang beranggotakan paling sedikit 1 (satu) Auditor Permanen; dan

    5. memiliki tim pengambil keputusan sertifikasi.

  3. Tim Auditor dan tim pengambil keputusan sertifikasi yang melakukan sertifikasi Sistem Elektronik strategis harus berkewarganegaraan Indonesia.

  4. Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri.

Pasal 13

  1. Lembaga Sertifikasi mengajukan permohonan pengakuan sebagai Lembaga Sertifikasi kepada Menteri dibuat sesuai Format 2 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  2. Permohonan penetapan sebagaimana dimaksud pada ayat (1) dilengkapi dengan dokumen:

    1. surat permohonan;

    2. sertifikat akreditasi dari Komite Akreditasi Nasional;

    3. daftar anggota tim Auditor;

    4. daftar anggota tim pengambil keputusan sertifikasi; dan

    5. surat pernyataan.

  3. Surat pernyataan sebagaimana dimaksud pada ayat (2) huruf e dibuat sesuai Format 3 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  4. Direktur Jenderal melakukan penilaian terhadap permohonan sebagaimana dimaksud pada ayat (1).

  5. Menteri menetapkan pengakuan terhadap Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap.

  6. Penetapan pengakuan sebagaimana dimaksud pada ayat (4) berlaku untuk jangka waktu paling lama 4 (empat) tahun.

  7. Penetapan pengakuan sebagaimana dimaksud pada ayat (4) dibuat sesuai Format 4 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

  8. Lembaga Sertifikasi yang telah memperoleh penetapan pengakuan Menteri sebagaimana dimaksud pada ayat (5) dinyatakan dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

Pasal 14

  1. Lembaga Sertifikasi berhak memungut biaya atas layanan sertifikasi Sistem Manajemen Pengamanan Informasi dari Penyelenggara Sistem Elektronik.

  2. Besaran biaya sertifikasi sebagaimana dimaksud pada ayat (1) ditetapkan oleh Lembaga Sertifikasi dan Penyelenggara Sistem Elektronik dengan mempertimbangkan biaya operasional Lembaga Sertifikasi dan biaya lainnya.

Pasal 15

Perubahan tim Auditor dan tim pengambil keputusan sertifikasi terhadap Sistem Elektronik strategis wajib dilaporkan kepada Menteri paling lambat 2 (dua) hari kerja.

BAB VI

PENERBITAN SERTIFIKAT PELAPORAN HASIL SERTIFIKASI DAN PENCABUTAN SERTIFIKAT

Bagian Kesatu

Penerbitan Sertifikat

Pasal 16

Sertifikasi Sistem Manajemen Pengamanan Informasi harus dilakukan sesuai dengan proses Penyelenggaraan Sistem Elektronik dengan memperhatikan tingkat Risiko sebagaimana dimaksud dalam Pasal 4.

Pasal 17

  1. Lembaga Sertifikasi menugaskan tim Auditor untuk melakukan audit Sistem Manajemen Pengamanan Informasi terhadap Penyelenggara Sistem Elektronik.

  2. Tim Auditor sebagaimana dimaksud pada ayat (1) melaporkan hasil audit pada Lembaga Sertifikasi yang menugaskan.

  3. Lembaga Sertifikasi mengkaji hasil audit yang dilaporkan oleh tim Auditor.

  4. Lembaga Sertifikasi menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi bagi Penyelenggara Sistem Elektronik yang telah memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2).

Bagian Kedua

Pelaporan Hasil Sertifikasi

Pasal 18 

  1. Lembaga Sertifikasi wajib menyerahkan laporan hasil sertifikasi Sistem Manajemen Pengamanan Informasi secara tertulis kepada Direktur Jenderal.

  2. Laporan sebagaimana dimaksud pada ayat (1) wajib diserahkan secara berkala paling sedikit 2 (dua) kali dalam setahun.

  3. Laporan sebagaimana dimaksud pada ayat (1) paling sedikit memuat:

    1. data Penyelenggara Sistem Elektronik yang mengajukan sertifikasi;

    2. data Penyelenggara Sistem Elektronik yang mendapatkan Sertifikat Sistem Manajemen Pengamanan Informasi;

    3. data Penyelenggara Sistem Elektronik yang dicabut kepemilikan sertifikatnya;

    4. ringkasan eksekutif;

    5. perubahan daftar tim Auditor; dan

    6. perubahan daftar tim pengambil keputusan sertifikasi.

  4. Laporan sebagaimana dimaksud pada ayat (3) dibuat sesuai Format 5 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

Bagian Ketiga

Pencabutan Sertifikat

Pasal 19

Lembaga Sertifikasi harus melaksanakan audit pengawasan (surveillance audit) paling sedikit 1 (satu) kali dalam setahun terhadap setiap Sistem Elektronik yang telah tersertifikasi.

Pasal 20 

  1. Jika hasil audit pengawasan (surveillance audit) sebagaimana dimaksud dalam Pasal 19 tidak memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2), Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen Pengamanan Informasi terkait.

  2. Pencabutan sebagaimana dimaksud pada ayat (1) wajib dilaporkan oleh Lembaga Sertifikasi kepada Direktur Jenderal paling lambat 2 (dua) hari kerja sejak dilakukan pencabutan.

BAB VII

PENILAIAN MANDIRI

Pasal 21

Penyelenggara Sistem Elektronik strategis dan Penyelenggara Sistem Elektronik tinggi dapat melakukan Penilaian Mandiri berdasarkan standar SNI/ISO IEC 27001.

Pasal 22 

  1. Penyelenggara Sistem Elektronik harus melakukan Penilaian Mandiri terhadap setiap Sistem Elektronik rendah yang dimilikinya berdasarkan pedoman Indeks Keamanan Informasi.

  2. Penyelenggara Sistem Elektronik rendah wajib melaporkan hasil Penilaian Mandiri sebagaimana dimaksud pada ayat (1) kepada Direktur Jenderal paling sedikit 1 (satu) kali dalam setahun.

  3. Direktur Jenderal melakukan pemeriksaan atas Hasil Penilaian Mandiri sebagaimana dimaksud pada ayat (2).

BAB VIII

PEMBINAAN

Pasal 23

Menteri melakukan pembinaan penyelenggaraan sertifikasi Sistem Manajemen Pengamanan Informasi terhadap:

  1. Lembaga Sertifikasi;

  2. Penyelenggara Sistem Elektronik; dan

  3. masyarakat.

BAB IX

PENGAWASAN

Pasal 24

  1. Direktur Jenderal melakukan pengawasan terhadap Lembaga Sertifikasi dan Penyelenggara Sistem Elektronik.

  2. Pengawasan sebagaimana dimaksud pada ayat (1) dilakukan melalui pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan.

BAB X

SANKSI

Pasal 25

  1. Menteri memberikan sanksi administratif pada Penyelenggara Sistem Elektronik yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 10 ayat (1) dan Pasal 22 ayat (2).

  2. Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi:

    1. teguran tertulis; dan

    2. penghentian sementara Nama Domain Indonesia.

  3. Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran.

  4. Penghentian sementara Nama Domain Indonesia sebagaimana dimaksud pada ayat (2) huruf b dikenakan apabila dalam jangka waktu 6 (enam) bulan tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 26 

  1. Menteri memberikan sanksi administratif pada Lembaga Sertifikasi yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 15, Pasal 18 ayat (1), Pasal 18 ayat (2), Pasal 20 ayat (1), dan Pasal 20 ayat (2).

  2. Sanksi administratif sebagaimana dimaksud pada ayat (1) meliputi:

    1. teguran tertulis; dan

    2. dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

  3. Teguran tertulis sebagaimana dimaksud pada ayat (2) huruf a diberikan setelah ditemukannya pelanggaran.

  4. Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (2) huruf b apabila dalam jangka waktu 30 (tiga puluh) hari kerja tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Pasal 27

  1. Dalam hal Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud dalam Pasal 26 ayat (4), Lembaga Sertifikasi tersebut melimpahkan Sertifikat Sistem Manajemen Pengamanan Informasi yang telah diterbitkannya kepada Lembaga Sertifikasi lainnya yang terdapat dalam daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

  2. Segala biaya yang timbul akibat pelimpahan Sertifikat Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (1) dibebankan pada Lembaga Sertifikasi yang dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi.

BAB XI

KETENTUAN PERALIHAN

Pasal 28

  1. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya telah beroperasi sebelum berlakunya Peraturan Menteri ini wajib memiliki Sertifikat Sistem Manajemen Pengamanan Informasi dalam jangka waktu paling lambat 2 (dua) tahun sejak berlakunya Peraturan Menteri ini.

  2. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya baru beroperasi wajib dilakukan sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 1 (satu) tahun sejak beroperasinya Sistem Elektronik.

  3. Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya telah memperoleh Sertifikat Sistem Manajemen Pengamanan Informasi dengan menggunakan standar selain SNI ISO/IEC 27001 sebelum berlakunya Peraturan Menteri ini, wajib menyesuaikan dengan Peraturan Menteri ini dalam jangka waktu paling lambat 2 (dua) tahun sejak berlakunya Peraturan Menteri ini.

  4. Dalam hal Peraturan Menteri mengenai Tenaga Ahli belum diundangkan pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Tenaga Ahli yang berkompeten.

  5. Dalam hal Peraturan Menteri mengenai Penetapan Auditor Sistem Manajemen Pengamanan Informasi belum diundangkan pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Auditor yang berkompeten.

  6. Pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Lembaga Sertifikasi sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi apabila belum ada Lembaga Sertifikasi yang ditetapkan oleh Menteri.

BAB XII

KETENTUAN PENUTUP

Pasal 29

Peraturan Menteri ini mulai berlaku pada tanggal diundangkan

Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Menteri ini dengan penempatannya dalam Berita Negara Republik Indonesia.

Ditetapkan di Jakarta

pada tanggal 8 April 2016

MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA,

ttd

RUDIANTARA



Diundangkan di Jakarta

pada tanggal 11 April 2016

DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

ttd

WIDODO EKATJAHJANA


Meta Keterangan
Tipe Dokumen Peraturan Perundang-undangan
Judul Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi
T.E.U. Badan/Pengarang Indonesia, Kementerian Komunikasi dan Informatika
Nomor Peraturan 4
Jenis / Bentuk Peraturan Peraturan Menteri
Singkatan Jenis/Bentuk Peraturan PERMEN
Tempat Penetapan Jakarta
Tanggal-Bulan-Tahun Penetapan/Pengundangan 08-04-2016  /  11-04-2016
Sumber

BN (551) LL KEMKOMINFO: 18 hlm.

Subjek SISTEM MANAJEMEN – PENGAMANAN – INFORMASI
Status Peraturan Berlaku

Bahasa Indonesia
Lokasi BIRO HUKUM
Bidang Hukum -
Lampiran