Logo PT Digital Solusi Grup New Color White 2024
CONTACT US

Regulasi BSSN 8/2020 dan Kewajiban Sertifikasi ISO 27001

BSSN 8/2020

Daftar Isi

Peraturan BSSN Nomor 8 Tahun 2020 (BSSN 8/2020) merupakan regulasi yang diterbitkan oleh Badan Siber dan Sandi Negara untuk mewajibkan setiap Penyelenggara Sistem Elektronik (PSE) menerapkan Sistem Manajemen Keamanan Informasi (SMKI). 

Namun, implementasi Peraturan BSSN 8 Tahun 2020 masih menghadapi berbagai tantangan, mulai dari kesiapan organisasi hingga ketersediaan sumber daya. 

Artikel ini akan mengulas secara ringkas kewajiban, tantangan teknis, serta perkembangan revisi terhadap peraturan tersebut dari perspektif keamanan siber.

Apa Itu BSSN 8/2020

Regulasi ini adalah aturan yang dikeluarkan oleh Badan Siber dan Sandi Negara (BSSN) sebagai pelaksana dari Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. 

Tujuan utama dari Peraturan BSSN 8 Tahun 2020 adalah memastikan setiap Penyelenggara Sistem Elektronik (PSE) menerapkan Sistem Manajemen Keamanan Informasi (SMKI) yang memadai. SMKI yang dimaksud mengacu pada standar internasional ISO 27001. 

Melalui regulasi ini, BSSN berupaya menciptakan standar keamanan siber nasional yang seragam dan terukur. Setiap PSE wajib menilai tingkat risiko sistem elektroniknya, menerapkan kontrol keamanan sesuai tingkat risiko, serta melaporkan hasil penerapan SMKI kepada BSSN secara berkala.

PSE sendiri terbagi menjadi dua ruang lingkup: 

1. Lingkup Publik mencakup instansi pemerintah, lembaga negara, dan institusi yang ditunjuk negara. Konsekuensinya, jika sistem elektroniknya masuk dalam golongan strategis atau berisiko tinggi, wajib menerapkan ISO 27001 secara penuh.

2. Lingkup Privat mencakup badan usaha, perusahaan, dan masyarakat yang menyelenggarakan sistem elektronik. Cakupannya sangat luas, meliputi perusahaan yang diawasi kementerian atau lembaga seperti bank, fintech, asuransi, dan sekuritas. 

Selain itu, seluruh perusahaan yang memiliki portal, situs, atau aplikasi online untuk e commerce, layanan transaksi keuangan, konten digital berbayar, layanan komunikasi, mesin pencari, platform hiburan, serta pemrosesan data pribadi untuk transaksi elektronik juga masuk dalam lingkup ini.

Kategori Sistem Elektronik dan Kewajiban ISO 27001

Kategori Sistem Elektronik Sesuai BSSN 8 2020

Peraturan BSSN 8 Tahun 2020 membagi sistem elektronik menjadi tiga kategori berdasarkan tingkat risiko. Pembagian ini menentukan seberapa ketat kewajiban penerapan ISO 27001 bagi setiap Penyelenggara Sistem Elektronik (PSE).

1. Kategori Strategis

Kategori ini mencakup sistem elektronik yang dampak gangguannya bersifat serius terhadap kepentingan umum, pelayanan publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. 

Jika sistem elektronik dalam kategori ini mengalami gangguan, dampaknya dapat melumpuhkan layanan yang menyangkut hajat hidup orang banyak atau mengganggu stabilitas nasional.

Contoh sistem elektronik kategori strategis adalah:

  • Penyelenggara telekomunikasi seperti Telkom, Indosat, dan XL. Sistem mereka mendukung komunikasi nasional yang jika terganggu dapat melumpuhkan layanan publik, sektor perbankan, hingga koordinasi pemerintahan.
  • Penyedia layanan internet (ISP) seperti Biznet, MyRepublic, dan CBN. Jaringan internet merupakan infrastruktur kritis yang menjadi fondasi bagi sektor lain seperti perbankan, transportasi, dan kesehatan.
  • Sistem perbankan inti (core banking) milik bank nasional. Gangguan pada sistem ini dapat menghentikan transaksi keuangan masyarakat secara nasional.
  • Sistem pengelolaan jaringan listrik nasional (PLN) yang menggunakan sistem elektronik untuk distribusi listrik ke seluruh Indonesia.
  • Sistem imigrasi dan kependudukan (Dukcapil) yang mengelola data seluruh warga negara Indonesia.

2. Kategori Tinggi

Kategori ini mencakup sistem elektronik yang dampak gangguannya terbatas pada kepentingan sektor tertentu dan atau daerah tertentu. 

Meskipun dampaknya tidak seluas kategori strategis, gangguan tetap dapat mengganggu layanan di tingkat sektoral atau regional.

Kewajiban untuk kategori tinggi adalah menerapkan SNI ISO 27001 dan atau standar keamanan lain yang telah ditetapkan.

Contoh sistem elektronik kategori tinggi adalah:

  • Platform e commerce berskala nasional seperti Tokopedia, Shopee, atau Blibli. Gangguan pada platform ini berdampak signifikan pada sektor perdagangan digital dan ribuan merchant, namun tidak langsung melumpuhkan infrastruktur negara.
  • Fintech lending seperti Akulaku, Kredivo, atau Amartha. Gangguan berdampak pada sektor keuangan dan data peminjam, tetapi tidak seluas sistem perbankan inti.
  • Platform streaming berbayar lokal seperti Vidio atau Mola. Gangguan berdampak pada sektor hiburan digital dan hak konsumen atas layanan berbayar.
  • Sistem rumah sakit swasta berskala besar yang menyimpan data medis pasien dan mendukung pelayanan kesehatan di tingkat regional.
  • Platform pendidikan daring (edtech) yang melayani ribuan pengguna di tingkat nasional seperti Ruangguru atau Zenius.

Kategori Rendah

Kategori ini mencakup sistem elektronik lainnya yang tidak termasuk dalam kategori strategis maupun tinggi. Sistem ini umumnya memiliki skala pengguna terbatas, investasi yang lebih kecil, dan dampak kegagalan yang tidak meluas. Contohnya: 

  • Aplikasi UMKM yang mengelola data pelanggan untuk usaha skala kecil atau menengah, seperti aplikasi kasir atau manajemen inventaris.
  • Situs web perusahaan kecil yang tidak melakukan transaksi keuangan atau mengelola data sensitif dalam jumlah besar.
  • Aplikasi internal organisasi non publik yang digunakan terbatas untuk kebutuhan operasional karyawan.
  • Platform komunitas berskala kecil dengan jumlah pengguna di bawah ambang batas yang ditentukan dalam kriteria penilaian mandiri.

Dengan demikian, setiap perusahaan perlu menilai sendiri tingkat risiko sistem elektronik yang dikelolanya sebelum menentukan standar keamanan yang harus dipenuhi.

Proses Penilaian Mandiri dengan Indeks KAMI

Sebelum mengetahui wajib atau tidaknya menerapkan ISO 27001, setiap Penyelenggara Sistem Elektronik (PSE) harus melakukan Penilaian Mandiri menggunakan Indeks KAMI (Keamanan Informasi). 

Indeks ini merupakan alat ukur yang disediakan BSSN untuk menentukan tingkat kematangan keamanan informasi dan kategori risiko sistem elektronik.

Berikut langkah langkah dalam proses Penilaian Mandiri.

1. PSE mengisi kuesioner Indeks KAMI yang menilai berbagai aspek, seperti tata kelola keamanan informasi, keamanan aset, manajemen risiko, serta kepatuhan terhadap regulasi.

2. PSE menghitung bobot nilai berdasarkan karakteristik sistem elektronik. Karakteristik yang dinilai meliputi besaran investasi, jumlah pengguna, jenis data pribadi yang dikelola, serta dampak kegagalan sistem.

3. PSE mendapatkan kategori risiko berdasarkan hasil perhitungan. Kategori Strategis untuk nilai 36 hingga 50 poin, kategori Tinggi untuk nilai 16 hingga 35 poin, dan kategori Rendah untuk nilai 10 hingga 15 poin.

4. Hasil Penilaian Mandiri wajib dilaporkan kepada BSSN untuk diverifikasi. 

Proses Sertifikasi ISO 27001 Berdasarkan Peraturan BSSN 8 Tahun 2020

Setelah kategori sistem elektronik ditetapkan oleh BSSN, PSE yang masuk dalam kategori Strategis atau Tinggi wajib segera menerapkan dan mendapatkan sertifikasi SNI ISO 27001.

Berikut tahapan wajib dalam proses sertifikasi ini.

1. Penerapan SMKI

Penyelenggara Sistem Elektronik menerapkan Sistem Manajemen Keamanan Informasi (SMKI) di lingkungan internalnya. Penerapan ini dapat dilakukan secara mandiri atau dibantu oleh tenaga ahli maupun lembaga konsultan yang diakui BSSN.

2. Audit oleh Lembaga Sertifikasi

Audit dilakukan oleh Lembaga Sertifikasi yang telah diakui BSSN. Lembaga ini bertugas memeriksa kesesuaian penerapan SMKI dengan standar ISO 27001.

3. Penerbitan Sertifikat SMKI

Jika hasil audit dinyatakan memenuhi syarat, Lembaga Sertifikasi menerbitkan sertifikat SMKI.

4. Audit Pengawasan

Audit pengawasan wajib dilakukan minimal satu kali dalam setahun sesuai ketentuan Pasal 33.

5. Perpanjangan Sertifikat

Sertifikat berlaku paling lama 3 tahun dan harus diperpanjang paling lambat 3 bulan sebelum masa berlaku habis, sebagaimana diatur dalam Pasal 28.

Proses ini tidak dapat dilakukan sendiri oleh perusahaan tanpa melibatkan pihak ketiga yang kompeten.

Jasa Pendampingan Sertifikasi ISO 

Bagi perusahaan yang masuk dalam kategori strategis atau tinggi, maka wajib melakukan sertifikasi ISO 27001 untuk kepatuhan terhadap regulasi BSSN 8/2020.

Jika perusahaan Anda sedang berusaha memenuhi kepatuhan ini, DSG menyediakan jasa pendampingan sertifikasi ISO 27001

Tim DSG terdiri dari tenaga ahli yang memahami secara mendalam Peraturan BSSN 8/2020 serta standar ISO 2700. 

Kami siap membantu Anda menyelesaikan seluruh tahapan, mulai dari asesmen awal hingga pemeliharaan sertifikat melalui audit pengawasan tahunan. 

Hubungi tim kami sekarang dan jadwalkan konsultasi secara gratis!

Isi form berikut! Tim kami segera menghubungi Anda.

Konsultasi Keamanan Data DSG
Picture of Nadia Kamila

Nadia Kamila

Hi, I'm Nadia Lidzikri Kamila, an SEO Content Writer specializing in cybersecurity and digital security. Focused on creating well-researched content on malware, ransomware, antivirus solutions, and data protection to help users stay safe in the digital world.
Promo Bitdefender GravityZone September 2024

Temukan kami di Google News

Google News PT Digital Solusi Grup

Postingan Terbaru

Kosakata Cyber

Event DSG