PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA
REPUBLIK INDONESIA NOMOR 16 TAHUN 2022
TENTANG KEBIJAKAN UMUM PENYELENGGARAAN
AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI
DENGAN RAHMAT TUHAN YANG MAHA ESA
MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA,
Menimbang
bahwa untuk melaksanakan ketentuan Pasal 55 ayat 5 Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik, perlu menetapkan Peraturan Menteri Komunikasi dan Informatika tentang Kebijakan Umum Penyelenggaraan Audit Teknologi Informasi dan Komunikasi;
Mengingat
- Pasal 17 ayat (3) Undang-Undang Dasar Republik Indonesia Tahun 1945;
- Undang-Undang Nomor 39 Tahun 2008 tentang Kementerian Negara (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 166, Tambahan Lembaran Negara Republik Indonesia Nomor 4916);
- Peraturan Presiden Nomor 54 Tahun 2015 tentang Kementerian Komunikasi dan Informatika (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 96);
- Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (Lembaran Negara Republik Indonesia Tahun 2018 Nomor 182);
- Peraturan Menteri Komunikasi dan Informatika Nomor 12 Tahun 2021 tentang Organisasi dan Tata Kerja Kementerian Komunikasi dan Informatika (Berita Negara Republik Indonesia Tahun 2021 Nomor 1120);
Memutuskan
Menetapkan
PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA TENTANG KEBIJAKAN UMUM PENYELENGGARAAN AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI.
BAB I
KETENTUAN UMUM
Pasal 1
Dalam Peraturan Menteri ini yang dimaksud dengan:
- Teknologi Informasi dan Komunikasi yang selanjutnya disingkat TIK adalah segala kegiatan yang terkait SALINAN dengan pemrosesan, pengelolaan dan penyampaian atau pemindahan informasi antar sarana/media.
- Audit Teknologi Informasi dan Komunikasi yang selanjutnya disebut Audit TIK adalah proses yang sistematis untuk memperoleh dan mengevaluasi bukti secara objektif terhadap aset TIK dengan tujuan untuk menetapkan tingkat kesesuaian antara TIK dengan kriteria dan/atau standar yang telah ditetapkan.
- Instansi Pusat adalah kementerian, lembaga pemerintah nonkementerian, kesekretariatan lembaga negara, kesekretariatan lembaga nonstruktural, dan lembaga pemerintah lainnya.
- Pemerintah Daerah adalah kepala daerah sebagai unsur penyelenggara pemerintahan daerah yang memimpin pelaksanaan urusan pemerintahan yang menjadi kewenangan daerah otonom.
- Sistem Pemerintahan Berbasis Elektronik yang selanjutnya disingkat SPBE adalah penyelenggaraan pemerintahan yang memanfaatkan TIK untuk memberikan layanan kepada pengguna SPBE.
- Infrastruktur SPBE adalah semua perangkat keras, perangkat lunak, dan fasilitas yang menjadi penunjang utama untuk menjalankan sistem, aplikasi, komunikasi data, pengolahan dan penyimpanan data, perangkat integrasi/penghubung, dan perangkat elektronik lainnya.
- Infrastruktur SPBE Nasional adalah Infrastruktur SPBE yang terhubung dengan Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah dan digunakan secara bagi pakai oleh Instansi Pusat dan Pemerintah Daerah.
- Aplikasi SPBE adalah satu atau sekumpulan program komputer dan prosedur yang dirancang untuk melakukan tugas atau fungsi layanan SPBE.
- Aplikasi Umum adalah Aplikasi SPBE yang sama, standar, dan digunakan secara bagi pakai oleh Instansi Pusat dan/atau Pemerintah Daerah.
- Aplikasi Khusus adalah Aplikasi SPBE yang dibangun, dikembangkan, digunakan, dan dikelola oleh Instansi Pusat atau Pemerintah Daerah tertentu untuk memenuhi kebutuhan khusus yang bukan kebutuhan Instansi Pusat dan Pemerintah Daerah lain.
- Keamanan SPBE adalah pengendalian keamanan yang terpadu dalam SPBE.
- Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.
- Lembaga Pelaksana Audit TIK Terakreditasi adalah badan hukum yang telah terakreditasi sebagai pelaksana Audit TIK.
- Auditor TIK adalah orang yang memiliki kompetensi di bidang Audit TIK berdasarkan ketentuan peraturan perundang-undangan dan diberi tugas untuk melakukan Audit TIK.
- Lembaga Sertifikasi Profesi di bidang Audit TIK adalah lembaga sertifikasi profesi yang melaksanakan kegiatan sertifikasi kompetensi di bidang Audit TIK sesuai dengan ketentuan peraturan perundang-undangan.
- Menteri adalah menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika.
- Kementerian Komunikasi dan Informatika yang selanjutnya disebut Kementerian adalah perangkat pemerintah yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika.
BAB II
PELAKSANAAN AUDIT
TEKNOLOGI INFORMASI DAN KOMUNIKASI
Bagian Kesatu
Umum
Pasal 2
- Audit TIK dilaksanakan pada lingkup:
a. nasional;
b. Instansi Pusat; dan
c. Pemerintah Daerah.
- Audit TIK sebagaimana dimaksud pada ayat 1 dilaksanakan terhadap:
a. Infrastruktur SPBE;
b. Aplikasi SPBE; dan
c. Keamanan SPBE.
Pasal 3
- Audit TIK pada lingkup nasional sebagaimana dimaksud dalam Pasal 2 ayat 1 huruf a mencakup:
a. audit Infrastruktur SPBE Nasional;
b. audit Aplikasi Umum;
c. audit keamanan Infrastruktur SPBE Nasional; dan
d. audit keamanan Aplikasi Umum.
- Audit TIK pada lingkup Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud dalam Pasal 2 ayat 1 huruf b dan huruf c mencakup:
a. audit Infrastruktur SPBE;
b. audit Aplikasi Khusus;
c. audit keamanan Infrastruktur SPBE; dan
d. audit keamanan Aplikasi Khusus.
Pasal 4
- Audit TIK harus dilaksanakan secara periodik.
- Audit TIK pada lingkup nasional sebagaimana dimaksud dalam Pasal 3 ayat 1 dilaksanakan 1 (satu) kali dalam 1 (satu) tahun.
- Audit TIK pada lingkup Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud dalam Pasal 3 ayat 2 dilaksanakan paling sedikit 1 (satu) kali dalam 2 (dua) tahun.
Pasal 5
Audit TIK meliputi pemeriksaan hal pokok teknis pada:
- penerapan tata kelola dan manajemen TIK;
- fungsionalitas TIK;
- kinerja TIK yang dihasilkan; dan
- aspek TIK lainny
- Bagian Kedua Audit Teknologi Informasi dan Komunikasi Pada Penerapan Tata Kelola dan Manajemen Teknologi Informasi dan Komunikasi
Pasal 6
- Audit TIK terhadap tata kelola TIK sebagaimana dimaksud dalam Pasal 5 huruf a meliputi pemeriksaan terhadap kerangka kerja pengaturan, pengarahan, dan pengendalian dalam penerapan SPBE secara terpadu atas unsur-unsur SPBE.
- Unsur-unsur SPBE sebagaimana dimaksud pada ayat 1 sebagai berikut:
a. Rencana Induk SPBE Nasional;
b. Arsitektur SPBE;
c. Peta Rencana SPBE;
d. rencana dan anggaran SPBE;
e. Proses Bisnis;
f. data dan informasi;
g. Infrastruktur SPBE;
h. Aplikasi SPBE;
i. Keamanan SPBE; dan
j. layanan SPBE.
- Pemeriksaan atas kerangka kerja sebagaimana dimaksud pada ayat 1 mencakup pemeriksaan atas aktivitas sebagai berikut:
a. evaluasi TIK;
b. pengarahan TIK; dan
c. pemantauan TIK.
Pasal 7
- Evaluasi TIK sebagaimana dimaksud dalam Pasal 6 ayat 3 huruf a dilakukan dengan meninjau pemanfaatan TIK saat ini dan masa depan dengan memperhatikan kebutuhan Instansi Pusat dan Pemerintah Daerah.
- Pengarahan TIK sebagaimana dimaksud dalam Pasal 6 ayat (3) huruf b merupakan penetapan tanggung jawab serta pemberian arahan atas penyiapan dan pelaksanaan dari rencana dan kebijakan TIK serta mendorong suatu budaya tata kelola TIK yang baik
- Pemantauan TIK sebagaimana dimaksud dalam Pasal 6 ayat (3) huruf c merupakan kegiatan memonitor kinerja TIK melalui sistem pengukuran yang tepat serta memastikan bahwa TIK sesuai dengan kebutuhan pemangku kepentingan.
Pasal 8
- Audit TIK terhadap manajemen TIK sebagaimana dimaksud dalam Pasal 5 huruf a meliputi pemeriksaan terhadap tahapan sebagai berikut:
a. perencanaan TIK;
b. pengembangan TIK;
c. pengoperasian TIK; dan
d. pemantauan TIK.
- Perencanaan TIK sebagaimana dimaksud pada ayat 1 huruf a meliputi seluruh ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait perencanaan strategis dan perencanaan taktis atas kegiatan dan anggaran yang terkait.
- Pengembangan TIK sebagaimana dimaksud pada ayat
- huruf b meliputi seluruh ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait dengan perancangan, pengadaan, pengembangan, pengujian, instalasi, migrasi, dan pelatihan TIK.
- Pengoperasian TIK sebagaimana dimaksud pada ayat 1 huruf c meliputi seluruh ketentuan peraturan perundang-undangan, ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait dengan pengoperasian TIK.
- Pemantauan TIK sebagaimana dimaksud pada ayat 1 huruf d meliputi seluruh ketentuan peraturan internal, standar, dan prosedur serta proses yang terkait dengan pemantauan dan evaluasi TIK.
Pasal 9
- Audit TIK terhadap manajemen TIK sebagaimana dimaksud dalam Pasal 5 huruf a meliputi pemeriksaan terhadap aktivitas sebagai berikut:
a. manajemen keamanan TIK;
b. manajemen risiko TIK;
c. manajemen aset TIK;
d. manajemen pengetahuan TIK;
e. manajemen sumber daya manusia TIK;
f. manajemen layanan TIK;
g. manajemen perubahan TIK; dan/atau
h. manajemen data TIK.
- Manajemen keamanan TIK sebagaimana dimaksud pada ayat 1 huruf a harus memperhatikan prinsip- prinsip:
a. kerahasiaan;
b. integritas;
c. ketersediaan;
d. keautentikan;
e. otorisasi; dan
f. kenirsangkalan TIK, sesuai dengan ketentuan peraturan perundang- undangan.
Bagian Ketiga
Audit Teknologi Informasi dan Komunikasi
Pada Fungsionalitas dan Kinerja
Teknologi Informasi dan Komunikasi
Pasal 10
- Audit TIK terhadap fungsionalitas TIK sebagaimana dimaksud dalam Pasal 5 huruf b merupakan pemeriksaan atas sejauh mana TIK dapat menyediakan fungsi yang memenuhi kebutuhan pada saat digunakan dalam kondisi yang sesuai spesifikasi, meliputi:
a. Kelengkapan fungsi;
b. Kebenaran fungsi; dan
c. Kelayakan fungsi
- Audit TIK terhadap fungsionalitas TIK sebagaimana dimaksud dalam Pasal 5 huruf b dan kinerja TIK yang dihasilkan sebagaimana dimaksud dalam Pasal 5 huruf c mencakup:
a. Aplikasi SPBE;
b. Infrastruktur SPBE; dan
c. Keamanan SPBE.
- Aplikasi SPBE sebagaimana dimaksud pada ayat 2 huruf a meliputi komponen perangkat lunak Sistem Elektronik yang digunakan untuk menjalankan fungsi, proses, dan mekanisme kerja SPBE.
- Infrastruktur SPBE sebagaimana dimaksud pada ayat 2 huruf b terdiri atas:
a. Infrastruktur SPBE Nasional; dan
b. Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah.
- Infrastruktur SPBE Nasional sebagaimana dimaksud pada ayat 4 huruf a terdiri atas:
a. pusat data nasional;
b. jaringan intra pemerintah; dan
c. sistem penghubung layanan pemerintah.
- Infrastruktur SPBE Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud pada ayat 4 huruf b terdiri atas:
a. jaringan intra Instansi Pusat dan Pemerintah Daerah; dan
b. sistem penghubung layanan Instansi Pusat dan Pemerintah Daerah.
- Keamanan SPBE sebagaimana dimaksud pada ayat 2 huruf c meliputi keamanan Aplikasi SPBE dan Infrastruktur SPBE.
Pasal 11
Audit TIK terhadap kinerja TIK yang dihasilkan sebagaimana dimaksud dalam Pasal 5 huruf c merupakan pemeriksaan atas jumlah sumber daya TIK yang digunakan pada kondisi yang sesuai spesifikasi, meliputi:
- waktu;
- utilisasi; dan
- kapasita
- Bagian Keempat Audit Teknologi Informasi dan Komunikasi Pada Aspek Teknologi Informasi dan Komunikasi Lainnya
Pasal 12
- Audit TIK terhadap aspek TIK lainnya sebagaimana dimaksud dalam Pasal 5 huruf d meliputi:
a. audit kepatuhan TIK;
b. audit sertifikasi TIK; dan/atau
c. audit investigasi TIK.
- Audit kepatuhan TIK sebagaimana dimaksud pada ayat 1 huruf a merupakan Audit TIK untuk menilai pemenuhan ketentuan peraturan perundang- undangan.
- Audit sertifikasi TIK sebagaimana dimaksud pada ayat 1 huruf b merupakan Audit TIK untuk menilai kesesuaian dalam rangka sertifikasi atau terdapat perubahan TIK yang telah disertifikasi.
- Audit investigasi TIK sebagaimana dimaksud pada ayat 1 huruf c merupakan Audit TIK sebagai tindak lanjut atas adanya informasi dan/atau laporan publik atas gangguan terhadap TIK yang dilaksanakan tidak dalam rangka penindakan tindak pidana.
Bagian Kelima
Pedoman Umum Audit
Teknologi Informasi dan Komunikasi
Pasal 13
- Penyelenggaraan Audit TIK dilakukan paling sedikit dengan tahapan:
a. perencanaan audit;
b. pelaksanaan audit; dan
c. pelaporan audit.
- Tahapan sebagaimana dimaksud pada ayat 1 harus dilaksanakan sesuai dengan:
a. pedoman umum Audit TIK sebagaimana tercantum dalam Lampiran I yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini; dan
b. standar, tata cara, dan jangka waktu pelaksanaan Audit TIK.
- Standar, tata cara, dan jangka waktu pelaksanaan Audit TIK sebagaimana dimaksud pada ayat 2 huruf b terhadap Infrastruktur SPBE dan Aplikasi SPBE diatur dengan peraturan kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
- Standar, tata cara, dan jangka waktu pelaksanaan Audit TIK sebagaimana dimaksud pada ayat 2 huruf b terhadap Keamanan SPBE diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
Pasal 14
- Lembaga Pelaksana Audit TIK harus menerbitkan surat keterangan untuk setiap Audit TIK yang dilaksanakannya.
- Surat keterangan sebagaimana dimaksud pada ayat 1 dengan format sebagaimana tercantum dalam Lampiran II yang merupakan bagian yang tidak terpisahkan dari Peraturan Menteri ini.
BAB III
PELAKSANA AUDIT
TEKNOLOGI INFORMASI DAN KOMUNIKASI
Pasal 15
- Dalam melaksanakan Audit TIK, pimpinan instansi pusat dan kepala daerah dilaksanakan dalam wadah Tim Koordinasi SPBE.
- Tim Koordinasi sebagaimana dimaksud pada ayat 1 bertugas:
a. mengarahkan, memantau, dan mengevaluasi pelaksanaan Audit TIK SPBE yang terpadu di dalam Instansi Pusat dan Pemerintah Daerah masing-masing; dan
b. melakukan koordinasi dengan Tim Koordinasi SPBE Nasional untuk pelaksanaan Audit TIK SPBE yang melibatkan lintas Instansi Pusat dan Pemerintah Daerah.
- Tim Koordinasi sebagaimana dimaksud ayat 1 diketuai oleh Koordinator SPBE Instansi Pusat dan Pemerintah Daerah dan dijabat oleh:
a. sekretaris di Instansi Pusat atau pejabat yang memimpin unit sekretariat untuk Instansi Pusat;
b. sekretaris daerah untuk Pemerintah Daerah.
Pasal 16
- Audit TIK dilaksanakan oleh Lembaga Pelaksana Audit TIK pemerintah atau Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sesuai dengan ketentuan peraturan perundang-undangan.
- Lembaga Pelaksana Audit TIK pemerintah sebagaimana dimaksud pada ayat 1 terdiri atas:
a. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.; dan
b. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
- Lembaga Pelaksana Audit TIK pemerintah melaksanakan Audit TIK untuk cakupan Aplikasi Umum, Infrastruktur SPBE Nasional, dan Keamanan SPBE nasional.
- Instansi Pusat dan Pemerintah Daerah melaksanakan Audit TIK untuk cakupan Aplikasi Khusus, Infrastruktur SPBE, dan/atau Keamanan SPBE pada Instansi Pusat dan Pemerintah Daerah.
- Instansi Pusat dan Pemerintah Daerah melaksanakan Audit TIK dengan menunjuk Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagai pelaksana Audit TIK.
- Pelaksanaan Audit TIK sebagaimana dimaksud pada ayat 5 dikoordinasikan oleh Tim Koordinasi SPBE Instansi Pusat dan Pemerintah Daerah.
- Koordinasi sebagaimana dimaksud pada ayat 6 dilakukan khususnya terkait:
a. jadwal pelaksanaan audit;
b. lingkup audit; dan
c. pemilihan Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar.
- Dalam hal Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud pada ayat 5 belum ada, pelaksanaan Audit TIK dilakukan oleh Lembaga Pelaksana Audit TIK Pemerintah.
- Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud pada ayat 1 harus melakukan pendaftaran pada:
a. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional untuk pelaksanaan Audit TIK dengan cakupan audit Aplikasi SPBE dan audit Infrastruktur SPBE; dan/atau
b. lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber untuk pelaksanaan Audit TIK dengan cakupan audit Keamanan SPBE.
- Pendaftaran sebagaimana dimaksud pada ayat 7 dilakukan dengan menyerahkan dokumen persyaratan pendaftaran paling sedikit:
a. akta pendirian badan hukum;
b. struktur organisasi;
c. sistem kendali mutu audit;
d. memiliki paling sedikit 1 (satu) orang Auditor TIK dengan status pegawai tetap;
e. bukti akreditasi dari lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian; dan
f. persyaratan lain yang ditetapkan oleh lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber dan lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
- Pendaftaran Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud pada ayat 7 dilaksanakan melalui pelayanan perizinan berusaha terintegrasi secara elektronik.
- Lembaga Pelaksana Audit TIK pemerintah dapat mengambil akreditasi dari lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian untuk menjamin mutu Audit TIK yang dilaksanakan.
- Lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional berkoordinasi dengan lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian untuk penetapan skema akreditasi Lembaga Pelaksana Audit TIK cakupan audit Aplikasi SPBE dan audit Infrastruktur SPBE.
- Lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber berkoordinasi dengan lembaga pemerintah nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian untuk penetapan skema akreditasi Lembaga Pelaksana Audit TIK cakupan audit Keamanan SPBE.
Pasal 17
- Selain Lembaga Pelaksana Audit TIK pemerintah atau Lembaga Pelaksana Audit TIK Terakreditasi, untuk kebutuhan internal Instansi Pusat dan Pemerintah Daerah, unit kerja Instansi Pusat dan Pemerintah Daerah yang memiliki fungsi pengawasan internal melaksanakan audit TIK internal secara periodik.
- Pelaksanaan audit TIK internal sebagaimana dimaksud pada ayat 1 mengacu pada kebijakan Audit TIK.
- Pelaksanaan audit TIK internal sebagaimana dimaksud pada ayat 1, dapat melibatkan pegawai Aparatur Sipil Negara dari unit kerja lain yang memiliki kompetensi Audit TIK.
- Pelaksanaan audit TIK internal oleh unit kerja sebagaimana dimaksud pada ayat 1 tidak menghilangkan kewajiban Audit TIK oleh Lembaga Pelaksana Audit TIK pemerintah atau Lembaga Pelaksana Audit TIK Terakreditasi.
Pasal 18
- Pelaksanaan Audit TIK sebagaimana dimaksud dalam Pasal 16 ayat 5 untuk cakupan Keamanan SPBE dikecualikan untuk Instansi Pusat tertentu.
- Pelaksanaan Audit TIK sebagaimana dimaksud pada ayat 1 dilaksanakan oleh lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
- Ketentuan lebih lanjut mengenai Instansi Pusat tertentu sebagaimana dimaksud pada ayat 1 diatur dengan peraturan kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
Pasal 19
- Proses penunjukan Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar oleh Instansi Pusat dan Pemerintah Daerah sebagaimana dimaksud pada Pasal 16 ayat 5 dilakukan sesuai dengan ketentuan peraturan perundangan-undangan tentang pengadaan barang dan jasa.
- Besaran biaya Audit TIK mengacu pada standar biaya pemerintah pusat dan daerah serta mempertimbangkan jumlah hari pelaksanaan Audit TIK.
Pasal 20
- Pelaksanaan Audit TIK oleh Lembaga Pelaksana Audit TIK sebagaimana dimaksud dalam Pasal 16 ayat 1 dilakukan oleh tim Auditor TIK.
- Tim Auditor TIK sebagaimana dimaksud pada ayat 1 beranggotakan paling sedikit 2 (dua) orang Auditor TIK.
- Dalam hal Pelaksanaan Audit TIK dilakukan oleh Lembaga Audit Terakreditasi, Tim Auditor TIK sebagaimana dimaksud pada ayat 2 beranggotakan paling sedikit 1 (satu) orang pegawai tetap dan bertindak sebagai ketua Tim Auditor TIK.
- Auditor TIK sebagaimana dimaksud pada ayat 2 harus memiliki sertifikat kompetensi di bidang Audit TIK sesuai peranannya dalam tim Auditor TIK.
- Auditor TIK sebagaimana dimaksud pada ayat 2 harus terdaftar pada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional untuk cakupan audit Infrastruktur SPBE dan audit Aplikasi SPBE.
- Auditor TIK sebagaimana dimaksud pada ayat 2 harus terdaftar pada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber untuk cakupan audit Keamanan SPBE.
- Auditor TIK sebagaimana dimaksud pada ayat 2 harus menjadi anggota asosiasi profesi terkait bidang Audit TIK.
Pasal 21
- Sertifikat kompetensi di bidang Audit TIK sebagaimana dimaksud dalam pasal 20 ayat 4 diterbitkan oleh Lembaga Sertifikasi Profesi di Bidang Audit TIK.
- Lembaga Sertifikasi Profesi di bidang Audit TIK sebagaimana dimaksud pada ayat 1 diatur sesuai dengan ketentuan peraturan perundang-undangan.
- Sertifikat kompetensi di bidang Audit TIK untuk Audit TIK cakupan Infrastruktur SPBE dan Aplikasi SPBE yang diterbitkan oleh lembaga selain Lembaga Sertifikasi Profesi di Bidang Audit TIK sebagaimana dimaksud pada ayat 1 harus mendapat pengakuan dari lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
- Sertifikat kompetensi di bidang Audit TIK untuk Audit TIK cakupan Keamanan SPBE yang diterbitkan oleh lembaga selain Lembaga Sertifikasi Profesi di Bidang Audit TIK sebagaimana dimaksud ayat 1 harus mendapat pengakuan dari lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
- Persyaratan pengakuan sertifikat kompetensi di bidang Audit TIK sebagaimana dimaksud pada ayat 3 dan ayat 4 paling sedikit meliputi:
a. kerangka kompetensi;
b. metode pengujian kompetensi;
c. persyaratan pemberian sertifikat kompetensi; dan
d. persyaratan pemeliharaan sertifikat kompetensi.
BAB IV
PEMANTAUAN, EVALUASI, DAN PELAPORAN
AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI
Pasal 22
Menteri melakukan pemantauan dan evaluasi terhadap:
- penyelenggaraan Audit TIK sesuai dengan pedoman umum Audit TIK sebagaimana dimaksud dalam BAB II Peraturan Menteri ini; dan
- tindak lanjut atas hasil Audit TIK.
Pasal 23
- Dalam rangka pemantauan dan evaluasi sebagaimana dimaksud dalam Pasal 21, Instansi Pusat dan Pemerintah Daerah melalui Koordinator SPBE Instansi Pusat dan Pemerintah Daerah wajib menyampaikan secara elektronik laporan periodik penyelenggaraan Audit TIK kepada Menteri paling sedikit 1 (satu) kali dalam 2 (dua) tahun.
- Laporan periodik penyelenggaraan Audit TIK sebagaimana dimaksud pada ayat 1 dengan format sebagaimana tercantum dalam Lampiran III yang merupakan bagian yang tidak terpisahkan dari Peraturan Menteri ini.
- Penyampaian secara elektronik sebagaimana dimaksud pada ayat 1 disampaikan melalui portal pelayanan publik.
- Portal pelayanan publik sebagaimana dimaksud pada ayat 3 diselenggarakan oleh Kementerian.
- Perlakuan atas informasi dalam laporan penyelenggaraan Audit TIK sebagaimana dimaksud pada ayat 1 harus sesuai dengan klasifikasi informasi sesuai dengan ketentuan peraturan perundang- undangan.
Pasal 24
- Dalam hal Penyelenggaraan Audit TIK tidak sesuai dengan pedoman umum Audit TIK sebagaimana dimaksud dalam Pasal 22 huruf a maka Instansi Pusat atau Pemerintah Daerah yang diaudit dapat mengajukan keberatan sehubungan dengan ketidaksesuaian tersebut.
- Keberatan sebagaimana dimaksud pada ayat 1 disampaikan oleh Instansi Pusat atau Pemerintah Daerah melalui surat keberatan kepada Lembaga Pelaksana Audit TIK dengan tembusan kepada Menteri.
- Tindak lanjut atas keberatan sebagaimana dimaksud pada ayat 2 didasarkan pada kesepakatan antara Instansi Pusat atau Pemerintah Daerah dan Lembaga Pelaksana Audit TIK.
- Dalam hal kesepakatan sebagaimana dimaksud pada ayat 3 tidak dapat dicapai maka Menteri memutuskan tindak lanjut atas keberatan yang dimaksud.
- Dalam mengambil keputusan sebagaimana dimaksud pada ayat 4, Menteri dapat berkoordinasi dengan lembaga terkait.
Pasal 25
- Menteri mendelegasikan kewenangan melakukan pemantauan dan evaluasi sebagaimana dimaksud dalam Pasal 22 kepada direktur jenderal.
- Direktur jenderal sebagaimana dimaksud pada ayat 1 merupakan direktur jenderal pada Kementerian yang mempunyai tugas menyelenggarakan perumusan dan pelaksanaan kebijakan di bidang penatakelolaan aplikasi informatika.
Pasal 26
- Dalam rangka pemantauan dan evaluasi, Lembaga Audit TIK Terakreditasi dan Terdaftar wajib menyampaikan laporan periodik 1 (satu) kali dalam 1 (satu) tahun tentang Audit TIK cakupan Infrastruktur SPBE dan Aplikasi SPBE yang dilaksanakannya kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
- Ketentuan lebih lanjut mengenai pelaporan sebagaimana dimaksud pada ayat 1 diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
Pasal 27
- Dalam rangka pemantauan dan evaluasi, Instansi Pusat dan Pemerintah Daerah yang menyelenggarakan Infrastruktur SPBE Nasional dan/atau Aplikasi Umum melalui Koordinator SPBE Instansi Pusat dan Pemerintah Daerah wajib menyampaikan laporan periodik penyelenggaraan Audit TIK atas Infrastruktur SPBE dan Aplikasi SPBE 1 (satu) kali dalam 1 (satu) tahun kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
- Ketentuan lebih lanjut mengenai pelaporan sebagaimana dimaksud pada ayat 1 diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional.
Pasal 28
- Dalam rangka pemantauan dan evaluasi, Instansi Pusat dan Pemerintah Daerah yang menyelenggarakan Infrastruktur SPBE Nasional dan/atau Aplikasi Umum melalui Koordinator SPBE Instansi Pusat dan Pemerintah Daerah wajib menyampaikan laporan periodik penyelenggaraan Audit TIK atas keamanan 1 (satu) kali dalam 1 (satu) tahun kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
- Ketentuan lebih lanjut mengenai pelaporan sebagaimana dimaksud pada ayat 1 diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
Pasal 29
- Dalam rangka pemantauan dan evaluasi, Lembaga Audit TIK terakreditasi dan terdaftar wajib menyampaikan laporan periodik 2 (dua) kali dalam 1 (satu) tahun tentang audit Keamanan SPBE yang dilaksanakannya kepada lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
- Ketentuan lebih lanjut mengenai laporan sebagaimana dimaksud pada ayat 1 diatur dengan Peraturan Kepala lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber.
Pasal 30
Dalam rangka pemantauan dan evaluasi, lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang keamanan siber dan lembaga pemerintah nonkementerian yang menyelenggarakan tugas pemerintahan di bidang riset dan inovasi nasional menyampaikan hasil Audit TIK yang dilaksanakannya kepada Tim Koordinasi SPBE Nasional paling sedikit 1 (satu) kali dalam 1 (satu) tahun.
Pasal 31
- Dalam rangka pemantauan dan evaluasi atas pelaksanaan Audit TIK oleh lembaga Audit TIK pemerintah, Tim Koordinasi SPBE Nasional melakukan evaluasi 1 (satu) kali dalam 3 (tiga) tahun
- Tim Koordinasi SPBE Nasional dapat menunjuk pihak independen untuk melakukan evaluasi sebagaimana dimaksud pada ayat 1.
BAB V
KETENTUAN PENUTUP
Pasal 33
Ketentuan pelaksanaan Audit TIK oleh Lembaga Pelaksana Audit TIK Terakreditasi dan Terdaftar sebagaimana dimaksud dalam Pasal 16 ayat 5 mulai berlaku paling lama 2 (dua) tahun sejak Peraturan Menteri ini diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Menteri ini dengan penempatannya dalam Berita Negara Republik Indonesia.
Ditetapkan di Jakarta
pada tanggal 27 Desember 2022
MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA,
ttd JOHNNY G. PLATE
Diundangkan di Jakarta
pada tanggal 30 Desember 2022
MENTERI HUKUM DAN HAK ASASI MANUSIA
REPUBLIK INDONESIA,
ttd YASONNA H. LAOLY
BERITA NEGARA REPUBLIK INDONESIA TAHUN 2022 NOMOR 1374