INDIKATOR 31
Tingkat Kematangan Pelaksanaan Audit Keamanan SPBE.
- Audit Keamanan SPBE Instansi Pusat dan Pemerintah Daerah dilaksanakan berdasarkan standar dan tata cara pelaksanaan Audit Keamanan SPBE.
-
Audit Keamanan SPBE terdiri atas:
- Audit Keamanan Aplikasi; dan
- Audit Keamanan Infrastruktur.
- Standar/pedoman audit dapat berupa standar internal Instansi Pusat/Pemerintah Daerah, standar/pedoman nasional, atau standar/pedoman internasional.
Penilaian dilakukan terhadap bukti dukung pelaksanaan Audit Keamanan SPBE Instansi Pusat/Pemerintah Daerah yang memenuhi kriteria ruang lingkup, serta terdokumentasi secara formal.
Bukti dukung tingkat kematangan dilampirkan berupa dokumentasi penerapan Audit Keamanan sesuai huruf a dan b.
Kegiatan Audit Keamanan SPBE belum atau telah
dilaksanakan.
Kondisi: Kegiatan Audit Keamanan dilaksanakan tanpa
perencanaan yang berkesinambungan.
Instansi Pusat/Pemerintah Daerah telah melakukan kegiatan Audit Keamanan SPBE namun masih bersifat sementara (adhoc).
Draf/rancangan pelaksanaan Audit Keamanan SPBE, notulensi/catatan penyusunan rancangan pelaksanaan Audit Keamanan SPBE, bukti undangan rapat penyusunan rancangan pelaksanaan Audit Keamanan SPBE dan/atau dokumentasi aktivitas-aktivitas pelaksanaan Audit Keamanan SPBE.
Kriteria tingkat 1 telah terpenuhi dan kegiatan Audit
Keamanan dilaksanakan sesuai dengan perencanaan yang
berkesinambungan.
Kondisi: Kegiatan Audit Keamanan dilaksanakan tanpa
standar/pedoman.
Instansi Pusat/Pemerintah Daerah telah melakukan Audit Keamanan SPBE pada Aplikasi dan Infrastruktur SPBE secara rutin minimal 2 tahun sekali, namun audit hanya dilakukan pada sebagian dari hal pokok teknis yang disyaratkan.
Konteks pelaksanaan Audit Keamanan SPBE yang selaras dengan arah dan perencanaan programnya dan terdokumentasi secara formal, namun pelaksanaannya belum memenuhi standar/pedoman dan hanya terhadap sebagian hal pokok teknis yang disyaratkan.
Kriteria tingkat 2 telah terpenuhi dan kegiatan Audit
Keamanan dilaksanakan sesuai dengan standar/pedoman.
Kondisi: kegiatan Audit Keamanan dilaksanakan oleh auditor
TIK/Sistem Keamanan Informasi internal Instansi
Pusat/Pemerintah Daerah.
Instansi Pusat/Pemerintah Daerah telah melakukan Audit Keamanan SPBE pada Aplikasi dan Infrastruktur SPBE secara rutin minimal 2 tahun sekali dan audit telah dilakukan terhadap seluruh hal pokok teknis yang disyaratkan.
Konteks pelaksanaan Audit Keamanan SPBE yang selaras dengan arah dan perencanaan programnya dan terdokumentasi secara formal, dan pelaksanaannya sudah terhadap seluruh hal pokok teknis yang disyaratkan pada aplikasi dan/atau infrastruktur yang ada namun dilaksanakan oleh auditor TIK internal.
Kriteria tingkat 3 telah terpenuhi dan kegiatan Audit Keamanan dilaksanakan oleh auditor TIK/Sistem Keamanan Informasi eksternal yang memiliki sertifikasi auditor TIK/Sistem Keamanan Informasi.
Instansi Pusat/Pemerintah Daerah telah melakukan Audit Keamanan SPBE secara rutin minimal 2 tahun sekali dan audit telah dilakukan terhadap seluruh hal pokok teknis yang disyaratkan, dan/atau telah melakukan evaluasi terhadap hasil Audit Keamanan SPBE.
- Konteks pelaksanaan Audit Keamanan SPBE yang selaras dengan arah dan perencanaan programnya dan terdokumentasi secara formal, dan pelaksanaannya sudah terhadap terhadap seluruh hal pokok teknis yang disyaratkan yang ada dan sudah dilaksanakan oleh auditor TIK eksternal tersertifikasi.
- Terdapat dokumen reviu dan evaluasi hasil pelaksanaan Audit Keamanan SPBE, bukti undangan rapat reviu dan evaluasi hasil pelaksanaan Audit Keamanan SPBE, dan/atau dokumentasi aktivitas- aktivitas reviu dan evaluasi hasil pelaksanaan Audit Keamanan SPBE.
Kriteria tingkat 4 telah terpenuhi dan hasil audit Keamanan SPBE telah ditindaklanjuti melalui perbaikan penerapan Keamanan SPBE.
Instansi Pusat/Pemerintah Daerah telah melakukan Audit Keamanan SPBE secara rutin minimal 2 tahun sekali dan audit telah dilakukan terhadap seluruh hal pokok teknis yang disyaratkan, dan telah melakukan evaluasi terhadap hasil audit, serta telah menindaklanjuti hasil evaluasi secara berkesinambungan.
- Terdapat notulensi/catatan/laporan hasil reviu/evaluasi dan rekomendasi tindak lanjut hasil pelaksanaan Audit Keamanan SPBE, bukti undangan rapat pembahasan tindak lanjut hasil pelaksanaan Audit Keamanan SPBE, dan/atau dokumentasi aktivitas-aktivitas analisis komparasi atau penyempurnaan dari hasil pelaksanaan Audit Keamanan SPBE;
- Dokumentasi penerapan Keamanan SPBE yang sebelumnya dan yang berisi penyempurnaan penerapan Keamanan SPBE.