WALIKOTA MOJOKERTO PERATURAN WALIKOTA MOJOKERTO NOMOR …….. TAHUN 2022 TENTANG PEDOMAN PENYELENGGARAAN AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI WALIKOTA MOJOKERTO







WALIKOTA MOJOKERTO


PERATURAN WALIKOTA MOJOKERTO

NOMOR …….. TAHUN 2022


TENTANG

PEDOMAN PENYELENGGARAAN AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI

DI LINGKUNGAN PEMERINTAH KOTA MOJOKERTO

WALIKOTA MOJOKERTO



Menimbang : a. bahwa pasal 55, pasal 56, pasal 57 dan pasal 58 Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik, mengamanatkan pelaksanaan audit teknologi informasi dan komunikasi oleh Instansi Pemerintah Daerah, paling sedikit satu kali dalam dua tahun;

b. bahwa untuk melaksanakan ketentuan sebagaimana tersebut dalam huruf a, perlu disusun pedoman penyelenggaraan audit teknologi informasi dan komunikasi di lingkungan Pemerintah Kota Mojokerto;

c. bahwa berdasarkan pertimbangan sebagaimana dimaksud pada huruf a dan huruf b, perlu menetapkan Keputusan Walikota Mojokerto tentang Pedoman Penyelenggaraan Audit Teknologi Informasi Dan Komunikasi Di Lingkungan Pemerintah Kota Mojokerto;

Mengingat : 1. Undang-Undang Nomor 17 Tahun 1950 tentang Pembentukan Daerah-Daerah Kota Kecil Dalam Lingkungan Propinsi Jawa Timur / Jawa Tengah / Jawa Barat sebagaimana telah diubah dengan Undang-Undang Nomor 13 Tahun 1954 tentang Pengubahan Undang-Undang Nomor 16 dan 17 Tahun 1950 tentang Pembentukan Kota-Kota Besar dan Kota-Kota Kecil di Jawa (Lembaran Negara Republik Indonesia Tahun 1954 Nomor 40, Tambahan Lembaran Negara Republik Indonesia Nomor 551);

  1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843) sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2016 Nomor 251, Tambahan Lembaran Negara Republik Indonesia Nomor 5952);

  2. Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 61, Tambahan Lembaran Negara Republik Indonesia Nomor 4846);

  3. Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah (Lembaran Negara Republik Indonesia Tahun 2014 Nomor 244, Tambahan Lembaran Negara Republik Indonesia Nomor 5587) sebagaimana telah diubah dengan Undang-Undang Nomor 9 Tahun 2015 tentang Perubahan Kedua atas Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah (Lembaran Negara Republik Indonesia Tahun 2015 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 5679);

  4. Peraturan Pemerintah Nomor 47 Tahun 1982 tentang Perubahan Batas Wilayah Kotamadya Daerah Tingkat II Mojokerto (Lembaran Negara Republik Indonesia Tahun 1982 Nomor 74, Tambahan Lembaran Negara Republik Indonesia Nomor 3242);

  5. Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 127, Tambahan Lembaran Negara Republik Indonesia, Nomor 4890);

  6. Peraturan Pemerintah Nomor 61 Tahun 2010 tentang Pelaksanaan Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik (Lembaran Negara Republik Indonesia Tahun 2010 Nomor 99, Tambahan Lembaran Negara Republik Indonesia Nomor 5149);

  7. Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2019 Nomor 185, Tambahan Lembaran Negara Republik Indonesia Nomor 6400);

  8. Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (Lembaran Negara Republik Indonesia Tahun 2018 Nomor 182);

  9. Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 59 Tahun 2020 tentang Pemantauan Dan Evaluasi Sistem Pemerintahan Berbasis Elektronik;

  10. Peraturan Badan Pengawasan Keuangan Dan Pembangunan Republik Indonesia Nomor 5 Tahun 2021 Tentang Penilaian Maturitas Penyelenggaraan Sistem Pengendalian Intern Pemerintah Terintegrasi Pada Kementerian/ Lembaga/ Pemerintah Daerah;

  11. Peraturan Daerah Kota Mojokerto Nomor 8 Tahun 2016 Tentang Pembentukan Perangkat Daerah;

  12. Peraturan Daerah Kota Mojokerto Nomor 5 Tahun 2020 Tentang Perubahan Kedua Atas Peraturan Daerah Kota Mojokerto Nomor 8 Tahun 2016 Tentang Pembentukan Perangkat Daerah;

  13. Peraturan Walikota Mojokerto Nomor 38 Tahun 2021 tentang Sistem Pemerintahan Berbasis Elektronik Dalam Penyelenggaraan Pemerintahan Daerah;



MEMUTUSKAN :

Menetapkan : PERATURAN WALIKOTA TENTANG PEDOMAN PENYELENGGARAAN AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI DI LINGKUNGAN PEMERINTAH KOTA MOJOKERTO


Pasal 1

Dalam peraturan Walikota ini yang dimaksud dengan:

  1. Pemerintah Daerah adalah Pemerintah Kota Mojokerto.

  2. Walikota adalah Walikota Mojokerto.

  3. Sekretaris Daerah adalah Sekretaris Daerah Kota Mojokerto.

  4. Perangkat Daerah adalah Perangkat Daerah di lingkungan Pemerintah Kota Mojokerto

  5. Sistem Pemerintahan Berbasis Elektronik yang selanjutnya disingkat SPBE adalah penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi dan komunikasi untuk memberikan layanan kepada Pengguna SPBE.

  6. Aparat Pengawasan Intern Pemerintah yang selanjutnya disingkat APIP adalah unit kerja yang melaksanakan fungsi pengawasan intern di Pemerintah Kota MojokertoSistem Pemerintahan Berbasis Elektronik yang selanjutnya disingkat SPBE adalah penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi dan komunikasi untuk memberikan layanan kepada Pengguna SPBE.

  7. Infrastruktur SPBE adalah semua perangkat keras, perangkat lunak, dan fasilitas yang menjadi penunjang utama untuk menjalankan sistem, aplikasi, komunikasi data, pengolahan dan penyimpanan data, perangkat integrasi/penghubung, dan perangkat elektronik lainnya

  8. Aplikasi SPBE adalah satu atau sekumpulan program komputer dan prosedur yang dirancang untuk melakukan tugas atau fungsi layanan SPBE.

  9. Keamanan Informasi adalah terjaganya kerahasiaan, keaslian, keutuhan, ketersediaan, dan kenirsangkalan Informasi

  10. Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara independen, objektif dan profesional berdasarkan standar audit untuk menilai kebenaran, kecermatan, kredibilitas, efektivitas, efisiensi dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah.

  11. Audit Teknologi Informasi dan Komunikasi atau disingkat Audit TIK adalah proses yang sistematis untuk memperoleh dan mengevaluasi bukti secara objektif terhadap aset teknologi informasi dan komunikasi dengan tujuan untuk menetapkan tingkat kesesuaian antara teknologi informasi dan komunikasi dengan kriteria dan/atau standar yang telah ditetapkan.

  12. Audit Infrastruktur SPBE adalah proses yang sistematis untuk memperoleh dan mengevaluasi bukti secara objektif terhadap aset Infrastruktur SPBE dengan tujuan untuk menetapkan tingkat kesesuaian antara Infrastruktur SPBE dengan kriteria dan/atau standar yang telah ditetapkan.

  13. Audit Aplikasi SPBE adalah proses yang sistematis untuk memperoleh dan mengevaluasi bukti secara objektif terhadap aset Aplikasi SPBE dengan tujuan untuk menetapkan tingkat kesesuaian antara Aplikasi SPBE dengan kriteria dan/atau standar yang telah ditetapkan.

  14. Audit Keamanan SPBE adalah Audit Teknologi Informasi dan Komunikasi lingkup Keamanan SPBE.

  15. Auditor adalah orang yang memiliki kompetensi pengetahuan dan/ keterampilan khusus dengan tugas utama melakukan evaluasi atas pengendalian sistem elektronik yang dapat dipertanggungjawabkan secara akademis maupun praktis.

  16. Pusat Data adalah fasilitas yang digunakan untuk penempatan sistem elektronik dan komponen terkait lainnya untuk keperluan penempatan, penyimpanan dan pengolahan data, serta pemulihan data.

  17. Jaringan Intra adalah jaringan tertutup yang menghubungkan antar simpul jaringan dalam suatu organisasi.

  18. Sistem Penghubung Layanan adalah /perangkat integrasi/penghubung untuk melakukan pertukaran layanan SPBE.

  19. Jaringan Intra Pemerintah adalah jaringan interkoneksi tertutup yang menghubungkan antar jaringan intra instansi pusat dan pemerintah daerah.

  20. Sistem Penghubung Layanan Pemerintah adalah perangkat terintegrasi yang terhubung dengan sistem penghubung layanan instansi pusat dan pemerintah daerah untuk pertukaran layanan SPBE antar instansi pusat dan/atau pemerintah daerah.

  21. Auditee adalah unit kerja yang menjadi objek /dari pelaksanaan Audit Infrastruktur SPBE dan Audit Aplikasi SPBE.

  22. Jejak audit (audit trail) adalah urutan kronologis catatan audit yang berkaitan dengan pelaksanaan suatu kegiatan.


Pasal 2

Tujuan ditetapkannya Peraturan Walikota ini adalah untuk :

    1. memberikan pemahaman memberikan pemahaman yang sarna standar kerangka kerja Audit TIK;

    2. memberikan pedoman penyelenggaraan Audit TIK


Pasal 3

Pedoman Penyelenggaraan Audit TIK sebagaimana dimaksud dalam Pasal 2 tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Walikota Mojokerto ini.


Pasal 4

  1. Audit TIK adalah proses yang sistematis untuk memperoleh dan mengevaluasi bukti secara objektif terhadap aset teknologi informasi dan komunikasi di lingkungan Pemerintah Kota Mojokerto dengan tujuan untuk:

            1. Menetapkan tingkat kesesuaian antara teknologi informasi dan komunikasi dengan kriteria dan/atau standar yang telah ditetapkan;

            2. Memastikan kehandalan dan keamanan sistem pemerintahan berbasis elektronik seluruh perangkat daerah di lingkup Pemerintah Kota Mojokerto.

  1. Objek Audit TIK sebagaimana ayat (1) terdiri dari :

  1. Infrastrutur SPBE yang terdiri dari Pusat Data, Jaringan Intra Pemerintah Daerah dan Sistem Penghubung Layanan Pemerintah Daerah;

  2. Aplikasi SPBE Pemerintah Daerah, yang merupakan aplikasi khusus yang dikembangkan, dikelola dan/atau digunakan oleh Perangkat Daerah guna mendukung uraian tugas pokok dan fungsi serta memenuhi kebutuhan khusus Perangkat Daerah; dan

  3. Keamanan infrastruktur dan keamanan aplikasi SPBE Pemerintah Daerah yang terkait pada poin a dan b diatas.

  1. Audit Teknologi Informasi dan Komunikasi meliputi pemeriksaan hal pokok teknis pada:

    1. penerapan tata kelola dan manajemen teknologi informasi dan komunikasi;

    2. fungsionalitas teknologi informasi dan komunikasi;

    3. kinerja teknologi informasi dan komunikasi yang dihasilkan; dan

    4. aspek teknologi informasi dan komunikasi lainnya.

  1. Audit TIK di lingkungan Pemerintah Kota Mojokerto terdiri atas audit Internal dan Eksternal


Pasal 5

  1. Pelaksanaan Audit Internal sebagaimana dimaksud pasal 4 ayat (4) untuk Audit Infrastruktur SPBE, Audit Aplikasi SPBE dan Audit Keamanan SPBE

  2. Penyelenggaraan Audit Internal sebagaimana dimaksud pada ayat (1) dikoordinasikan oleh APIP lingkungan Pemerintah Kota Mojokerto dengan melibatkan Perangkat Kerja yang menyelenggarakan fungsi pengelolaan teknologi informasi dan komunikasi di Pemerintah Kota Mojokerto.

  3. Audit TIK dilaksanakan secara periodik

  4. Periode pelaksanaan Audit TIK sebagaimana ayat (3) ditentukan sesuai dengan ketentuan perundang-undangan.


Pasal 6

  1. Audit eksternal TIK dilaksanakan setelah pelaksanaan audit internal TIK Pemerintah Daerah.

  2. Pelaksanaan Audit Eksternal Infrastruktur SPBE dan Audit Eksternal Aplikasi SPBE dilaksanakan oleh lembaga terakreditasi yang memiliki tugas dan fungsi di bidang teknologi informasi dan komunikasi atau LATIK SPBE, sedangkan Pelaksanaan Audit Eksternal Keamanan SPBE dilaksanakan oleh BSSN atau sesuai dengan ketentuan perundang-undangan.


Pasal 7

  1. Laporan hasil audit dibuat dalam bentuk Dokumen Laporan Audit dengan isi yang dapat dimengerti oleh auditee dan pihak lain yang terkait.

  2. Laporan audit harus dibuat tepat waktu, lengkap, akurat, objektif, meyakinkan, jelas dan ringkas.

  3. Auditor dapat meminta tanggapan atau pendapat terhadap temuan, kesimpulan dan rekomendasi yang diberikannya termasuk tindakan perbaikan yang direncanakan oleh auditee secara tertulis dari pejabat auditee yang bertanggung jawab.

  4. Laporan audit disampaikan oleh Ketua Tim Audit kepada pimpinan APIP, untuk kemudian oleh pimpinan APIP disampaikan salinannya kepada Koordinator SPBE tembusan Dinas Teknis terkait TIK dan auditee.










Pasal 8

Peraturan Walikota ini mulai berlaku pada tanggal ditetapkan




Ditetapkan di Mojokerto

Pada tanggal … Januari 2022



WALIKOTA MOJOKERTO


Ttd


IKA PUSPITASARI, SE

Diundangkan di MOJOKERTO

Pada tanggal…. Januari 2022


SEKRETARIS DAERAH

KOTA MOJOKERTO

Ttd


XXXXX XXX XXXXXXXX, ATD, MM

Pembina Utama Muda

NIP. 19680206 199301 1 002


BERITA DAERAH KOTA MOJOKERTO TAHUN…..NOMOR…..
















LAMPIRAN

KEPUTUSAN WALIKOTA WOJOKERTO

NOMOR ………………………………………2022

TENTANG

PEDOMAN PENYELENGGARAAN AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI DI LINGKUNGAN PEMERINTAH KOTA MOJOKERTO

PEDOMAN PENYELENGGARAAN AUDIT TEKNOLOGI INFORMASI DAN KOMUNIKASI DI LINGKUNGAN PEMERINTAH KOTA MOJOKERTO

BAB I

STANDAR PELAKSANAAN AUDIT SPBE

Standar pelaksanaan audit TIK adalah Batasan minimal bagi regulator dan auditor untuk membantu pelaksanaan audit sesuai prosedur dalam rangka pencapaian tujuan audit.

Standar Pelaksanaan Audit TIK memiliki tujuan sebagai berikut:

                1. Menetapkan prinsip-prinsip dasar bagi pelaksanaan Audit TIK;

    1. Menyusun Kerangka Kerja dalam pemberian layanan jasa Audit TIK, guna menambah nilai kepada yang diaudit (Auditee) melalui perbaikan proses dan operasionalnya; dan

    2. Menyusun dasar dalam melakukan evaluasi terhadap regulasi dan pelaksanaan Audit TIK guna mendorong rencana perbaikan.

Standar Pelaksanaan Audit TIK mencakup hal-hal sebagai berikut:

    1. Standar Umum;

                1. Standar Umum memberikan prinsip dasar untuk mengatur Auditor TIK dalam melaksanakan tugasnya dan sehingga pelaksanaan pekerjaan Audit TIK hingga pelaporannya dapat terlaksana dengan baik dan efektif.

                2. Dalam rangka memastikan kehandalan dan keamanan sistem teknologi informasi dan komunikasi di lingkungan Pemerintah Kota Mojokerto perlu dilakukan audit TIK secara berkala dan berkelanjutan

                3. Objek Audit TIK tersebut terdiri dari :

  1. Infrastrutur SPBE yang terdiri dari Pusat Data, Jaringan Intra Pemerintah Daerah dan Sistem Penghubung Layanan Pemerintah Daerah;

  2. Aplikasi SPBE Pemerintah Daerah, yang merupakan aplikasi khusus yang dikembangkan, dikelola dan/atau digunakan oleh Perangkat Daerah guna mendukung uraian tugas pokok dan fungsi serta memenuhi kebutuhan khusus Perangkat Daerah; dan

  3. Keamanan infrastruktur dan keamanan aplikasi SPBE Pemerintah Daerah yang terkait pada poin a dan b diatas.

                1. Lingkup/ cakupan Audit TIK yang dilaksanakan meliputi pemeriksaan hal pokok teknis pada setiap objek audit yaitu :

  1. penerapan tata kelola dan manajemen teknologi informasi dan komunikasi;

  2. fungsionalitas teknologi informasi dan komunikasi;

  3. kinerja teknologi informasi dan komunikasi yang dihasilkan; dan

  4. aspek teknologi informasi dan komunikasi lainnya.

                1. Permintaan Audit TIK diajukan untuk satu atau lebih dari tujuan berikut ini:

      1. Peningkatan kinerja birokrasi dan pelayanan publik;

      2. Penilaian kesesuaian dengan standar/prosedur/pedoman dan kesesuaian dengan rencana/kebutuhan/kondisi;

      3. Identifikasi status teknologi yang dimiliki, identifikasi kemampuan teknologi, termasuk dalam hal ini adalah inventarisasi dan pemetaan aset teknologi;

      4. Perencanaan pengembangan sistem/teknologi dan perencanaan perbaikan kelemahan; dan/atau

      5. Pengungkapan suatu sebab atau fakta terkait dengan suatu kejadian atau peristiwa yang biasanya berimplikasi pada kondisi yang membahayakan keselamatan atau keamanan.

                1. Audit TIK di lingkungan Pemerintah Kota Mojokerto terdiri atas audit Internal dan Eksternal

                  1. Audit eksternal TIK dilaksanakan oleh lembaga pelaksana Audit TIK pemerintah atau lembaga pelaksana Audit TIK yang terakreditasi dan auditor yang tersertifikasi sesuai dengan ketentuan peraturan perundang-undangan. Sebelum dilakukan audit eksternal TIK pada Pemerintah Daerah, harus terlebih dahulu melaksanakan audit internal TIK Pemerintah Daerah.

                  2. Audit internal TIK dilaksanakan oleh tim auditor internal TIK Pemerintah Daerah yang mempunyai kompetensi teknis sesuai objek audit dan lingkup audit dan ditetapkan oleh Sekretaris Daerah selaku Koordinator SPBE Pemerintah Daerah. Audit internal TIK dapat dilakukan dengan bantuan tenaga ahli audit TIK yang tersertifikasi atau lembaga audit TIK yang terakreditasi, dengan :

  1. memastikan bahwa tenaga ahli yang digunakan mempunyai kompetensi, kualifikasi profesi, pengalaman yang relevan, dan independensi; dan

  2. melakukan evaluasi terhadap hasil kerja tenaga ahli yang digunakan dan menyimpulkan tingkatan ketergunaannya.

                1. Tujuan, wewenang dan tanggung jawab suatu aktivitas Audit TIK harus didefinisikan dengan jelas, tertuang dalam suatu dokumen formal berupa piagam audit (audit charter), surat tugas, atau dokumen-dokumen yang setara. Hal yang perlu diperhatikan sebagai berikut:

                  1. Surat tugas atau piagam audit (audit charter) menjelaskan tujuan audit, ruang lingkup, kewenangan tim audit dan etika yang harus dipatuhi oleh tim audit.

                  2. Penugasan Tim Auditor TIK dalam melaksanakan Audit TIK berupa Surat Tugas yang diberikan oleh Sekretaris Daerah selaku Koordinator SPBE Pemerintah Kota Mojokerto dan ditembuskan kepada Dinas teknis terkait TIK dan Auditee

                  3. Kegiatan Audit TIK dilakukan berdasarkan uraian yang disusun di dalam surat penugasan kerja Audit TIK. Surat penugasan kerja Audit TIK berisikan antara lain:

  1. Tujuan Audit TIK;

  2. Lingkup Audit TIK;

  3. Wewenang auditor;

  4. Tanggung jawab auditor;

  5. Periode penugasan; dan

  6. Tata pelaporan hasil Audit TIK.

                1. Integritas Auditor TIK diwujudkan melalui sikap independen, objektif, dan menjaga kerahasiaan. Dalam melaksanakan tugasnya, Auditor TIK dituntut untuk menjalankan hal-hal sebagai berikut:

    1. Menggunakan keahlian profesionalnya dengan cermat dan seksama (due professional care) serta berhati-hati (prudent) dalam setiap penugasan;

    2. Senantiasa mengasah dan melatih kecermatan profesionalnya;

    3. Meningkatkan pengetahuan, keahlian, dan kompetensi lain yang diperlukannya dengan mengikuti pendidikan dan pelatihan berkelanjutan;

    4. Mematuhi prosedur yang ditetapkan dan mematuhi aturan perundangan; dan

    5. Memiliki pengetahuan (knowledge), keterampilan (skill), sikap (attitude) dan pengalaman (experience) yang sesuai /guna memenuhi tanggung jawabnya dalam pelaksanaan audit.


    1. Standar Pelaksanaan;

  1. Xxx Xxxxx TIK terdiri dari posisi-posisi dengan uraian tugas dan tanggung jawab sebagai berikut:

  1. Ketua Xxx Xxxxx (Lead Auditor), bertanggung jawab merencanakan Audit TIK, melaksanakan Audit TIK di lapangan, mengendalikan data dan melaporkan hasil Audit TIK serta secara efektif mengelola aktivitas audit untuk menjamin agar tujuan Audit TIK tercapai.

Ketua tim audit (Lead Auditor) harus melakukan hal-hal sebagai berikut:

      1. Menyusun dan menetapkan rencana audit (audit plan) guna menentukan prioritas-prioritas dalam kegiatan Audit TIK yang konsisten dengan tujuan audit sesuai dengan piagam audit (audit charter);

      2. Menyampaikan rencana audit (audit plan) kepada Auditee untuk dikaji dan diberi persetujuan, serta mengkomunikasikan dampak dari keterbatasan sumberdaya;

      3. Mengelola sumber daya audit yang tepat, memadai, dan efektif untuk melaksanakan rencana audit yang telah disetujui;

      4. Melakukan koordinasi dengan pimpinan LATIK SPBE untuk menjamin bahwa pelaksanaan Audit TIK dapat berjalan efektif dan efisien; dan

      5. Memberi laporan yang memadai kepada pimpinan unit kerja yang diaudit mengenai tujuan, wewenang, tanggung jawab, dan kinerja audit.

  1. Auditor, bertugas membantu Lead Auditor dalam aktivitas Audit TIK;

  2. Asisten Auditor, bertugas membantu Auditor dalam aktivitas Audit TIK. Asisten Auditor harus sudah mengikuti sosialisasi Audit TIK;

  3. Teknisi, bertugas membantu Auditor dalam pengumpulan data lapangan;

  4. Pengawas Mutu, berperan melakukan monitoring dan evaluasi aktivitas Audit TIK untuk menjamin pelaksanaan Audit TIK sesuai dengan ketentuan peraturan perundang-undangan. Pengawas mutu dapat berasal dari pihak eksternal; dan

  5. Narasumber, berperan memberi masukan yang berkaitan dengan isu, status industri dan teknologi, serta keilmuan yang relevan dengan lingkup yang diaudit.


Dalam pelaksanaan suatu Audit TIK, Xxx Xxxxx TIK minimal terdiri dari seorang Ketua Xxx Xxxxx (Lead Auditor) dan Auditor.

  1. Pemeriksaan yang dilakukan terhadap Auditee mencakup:

      1. Penerapan tata kelola dan manajemen SPBE;

      2. Fungsionalitas dan kinerja SPBE; dan

      3. Tingkat kepatuhan terhadap regulasi.

  1. Hal yang perlu diperhatikan dalam Perencanaan Audit TIK sebagai berikut:

  1. Auditor harus menyusun perencanaan dan program Audit TIK berdasarkan pendekatan risiko (risk approach). Hasil penilaian risiko digunakan untuk mengatur prioritas dan pengalokasian sumber daya audit.

  2. Dalam melakukan penilaian risiko, Audit TIK paling sedikit melakukan beberapa hal sebagai berikut:

  1. Mengidentifikasi aset SPBE yang berupa data, aplikasi SPBE, sistem operasi, infrastruktur SPBE, fasilitas, dan personil;

  2. Mengidentifikasi kegiatan dan proses bisnis yang menggunakan SPBE; dan

  3. Mengidentifikasi tingkat dampak risiko SPBE dalam operasional layanan SPBE dan mempertimbangkan skala prioritas berdasarkan tingkat risiko.

  1. Program Audit TIK disusun sesuai dengan cakupan Audit TIK yang sudah ditetapkan dari hasil penilaian risiko TIK. Auditor dapat mengalokasikan sumber daya yang lebih fokus pada area yang berisiko tinggi dan mempunyai skala kepentingan yang tinggi pada Layanan TIK.

  2. Rencana kerja Audit TIK harus disusun untuk setiap penugasan Audit TIK. Dalam hal merencanakan Audit TIK, Auditor harus mengembangkan dan mendokumentasikan rencana untuk setiap pelaksanaan Audit, yang paling sedikit mencakup:

  1. Tujuan Audit TIK, jadwal, jumlah auditor, dan pelaporan;

  2. Lingkup Audit TIK sesuai hasil penilaian risiko;

  3. Pembagian tugas dan tanggung jawab dari auditor; dan

  4. Alokasi sumber daya.

  1. Rencana audit (audit plan) disusun dengan mempertimbangkan, antara lain:

  1. Sistem pengendalian internal dan kepatuhan Auditee terhadap kebijakan atau standar;

  2. Penetapan tujuan Audit TIK;

  3. Penetapan kecukupan lingkup; dan

  4. Penggunaan metodologi yang tepat.

  1. Ketua tim audit dan Auditee harus menyepakati rencana audit sebelum tahap pelaksanaan audit.


    1. Hal yang perlu diperhatikan dalam Pelaksanaan Audit TIK sebagai berikut:

      1. Proses pelaksanaan Audit TIK mengacu pada program Audit TIK yang telah disusun pada tahap perencanaan

      2. Auditor menyiapkan kertas kerja Audit TIK untuk mendokumentasikan pelaksanaan Audit TIK. Dokumen kertas kerja Audit TIK, yang sekurangnya terdiri dari:

  1. Dokumen rencana dan program audit;

  2. Surat Tugas Tim Audit;

  3. Laporan Hasil Audit;

  4. Laporan Tindak Lanjut Hasil Audit.

      1. Dalam hal pelaksanaan audit TIK, Auditor TIK harus mengidentifikasi, menganalisis, mengevaluasi, dan mendokumentasikan informasi yang cukup untuk mencapai tujuan audit. Dalam melaksanakan audit tersebut, Auditor TIK harus:

      1. Memperoleh bukti-bukti audit yang cukup, handal, dan relevan untuk mendukung penilaian audit dan kesimpulan audit;

      2. Mendasarkan temuan dan kesimpulan audit pada analisis dan interpretasi yang memadai atas bukti-bukti audit;

      3. Menyiapkan, mengelola dan menyimpan data dan informasi yang diperoleh selama pelaksanaan audit; dan

      4. Disupervisi dengan baik untuk memastikan terjaminnya kualitas dan meningkatnya kemampuan Auditor.

      1. Dalam hal komunikasi atas hasil Audit TIK, Auditor TIK harus mengkomunikasikan hasil pelaksanaan audit kepada pihak-pihak yang berkepentingan. Komunikasi tersebut harus mencakup tujuan dan ruang lingkup pelaksanaan audit, selain kesimpulan yang terkait, rekomendasi dan rencana tindak lanjut. Jika komunikasi final berisi kesalahan atau penghilangan yang signifikan, ketua tim audit (Lead Auditor) harus mengkomunikasikan informasi yang telah diperbaiki kepada semua pihak yang menerima komunikasi.

    1. Monitoring dan evaluasi dilakukan oleh pengawas mutu dalam rangka memberikan informasi atas aktivitas audit yang sedang berjalan yang bertujuan untuk mengidentifikasi kemajuan dalam pelaksanaan audit, serta memastikan audit diimplementasikan secara efektif. Pengawas mutu menyampaikan hasil monitoring dan evaluasi aktivitas audit kepada Walikota dan koordinator SPBE.

    2. Evaluasi secara menyeluruh dilakukan setelah aktivitas audit selesai yang bertujuan untuk mengetahui kelebihan dan kekurangan aktivitas audit yang telah dilakukan dalam rangka meningkatkan kualitas pelaksanaan audit berikutnya.

    3. Aspek monitoring dalam aktivitas Audit TIK meliputi:

      1. Kepatuhan terhadap Kode Etik dan Standar Audit;

      2. Kesesuaian terhadap Piagam Audit;

      3. Kesesuaian terhadap Rencana Audit; dan

      4. Kesesuaian terhadap Protokol Audit


    1. Standar Pelaporan

  1. Laporan audit disampaikan oleh ketua Tim audit kepada Auditee dan pimpinan APIP untuk memutuskan apakah kesimpulan hasil pemeriksaan, termasuk temuan yang diperoleh selama Audit TIK berlangsung, serta rekomendasi yang diberikan dapat diterima oleh Xxxxxxx

  2. Hal yang diperhatikan dalam pelaporan audit sebagai berikut:

                1. Laporan hasil audit dibuat dalam bentuk dokumen laporan audit dengan tepat waktu, lengkap, akurat, objektif, meyakinkan, jelas, dan ringkas.

                2. Auditor dapat meminta tanggapan atau pendapat terhadap temuan, kesimpulan dan rekomendasi yang diberikannya termasuk tindakan perbaikan yang direncanakan oleh auditee secara tertulis dari pejabat auditee yang bertanggung jawab.

                3. Setelah konfirmasi dilakukan, Xxx Xxxxx wajib menyampaikan laporan hasil audit yang berisikan antara lain:

  1. Tujuan Audit TIK;

  2. Lingkup Audit TIK;

  3. Periode pelaksanaan Audit TIK;

  4. Kriteria dan acuan Audit TIK;

  5. Metoda pengumpulan data dan metode analisa;

  6. Hasil analisis, kesimpulan, dan rekomendasi;

  7. Tanggapan Auditi terhadap hasil Audit TIK;

  8. Batasan dan kendala yang ditemui selama proses Audit TIK; dan

  9. Tata cara pendistribusian laporan sesuai dengan surat penugasan.

                1. Draft laporan diriviu oleh ketua tim audit untuk memastikan konsistensi dengan tujuan dan ruang lingkup audit.

                2. Laporan Audit diterbitkan dan dibuat rangkap dengan memberi identifikasi (nomor dokumen) untuk masing-masing salinan asli. Pada setiap halaman dokumen laporan hasil audit diberi identifikasi (nomor dokumen) yang menggambarkan sekurang kurangnya: tahun pelaksanaan audit, nomor urut atau nomor seri dokumen, domain Aplikasi atau Infrastruktur SPBE, Auditee dan kode pengendalian distribusi salinan dokumen.

                3. Laporan Audit didistribusikan kepada Walikota

                4. Laporan Periodik yang berisi ringkasan hasil audit disampaikan oleh Walikota kepada Instansi Pemerintah Pusat, satu kali dalam satu tahun

    1. Standar Tindak Lanjut.

    1. Dalam kondisi pemantauan terhadap tindak lanjut akan dilaksanakan, ketua tim audit (Lead Auditor) harus menetapkan sebuah sistem pemantauan terhadap tindak lanjut temuan, kesimpulan dan rekomendasi audit oleh Audistee, mencakup cara berkomunikasi dengan Auditee, prosedur pemantauan, dan laporan status temuan.

    2. Untuk menjamin pelaksanaan tindak lanjut hasil audit TIK, APIP melakukan:

  1. pemantauan tindak lanjut hasil audit TIK; dan

  2. koordinasi dengan Koordinator SPBE, Dinas teknis terkait TIK, Auditee dan pihak terkait lainnya untuk mendorong penyelesaian Tindak Lanjut Hasil Audit.

  3. Tindak lanjut perbaikan dari Auditee perlu dievaluasi oleh auditor, untuk menilai apakah saran tindak lanjut yang diberikan dapat diimplementasikan dan memberikan manfaat bagi Auditee

  1. APIP dan Auditi harus memelihara dokumentasi atas hasil tindak lanjut tersebut.
















BAB II

PANDUAN TEKNIS AUDIT TIK


    1. Tata Cara Pelaksanaan Audit

Pelaksanaan Audit SPBE terbagi dalam tiga kelompok tahapan, yaitu:

    1. tahap Perencanaan (Pre – Audit)

    2. tahap Pelaksanaan Lapangan (onsite audit) dan

    3. tahap Analisa data dan pelaporan (post audit)

Tata laksana dalam tiga tahapan diatas sebagai berikut:

  1. Penyiapan tim pelaksana meliputi penetapan personil tim audit .

  2. Quick Assessment dilakukan untuk mengenali obyek audit dengan mengidentifikasi isu terkini (current issue), lokasi organisasi yang diaudit, struktur organisasi dari organisasi yang diaudit, proses bisnis dari organisasi, atau bagian yang diaudit, teknologi produk (bila relevan), teknologi proses (bila relevan), pengguna produk (bisa relevan)

  3. Penyiapan protocol audit

Penyiapan protocol audit dimulai dengan komunikasi dengan auditee untuk menjelaskan secara garis besar tentang audit TIK. Tim auditor menindaklanjuti dengan menyusun protokol audit yang berisi detail instrumen audit, meliputi tujuan, lingkup, kriteria, acuan, metode pengumpulan data, metoda Analisa, perkiraan jadwal pelaksanaan, Daftar data, pertanyaan dan pengujian, Formulir untuk mencatat data, jawaban, hasil observasi dan hasil pengujian;

  1. Penyepakatan protocol audit.

Komunikasi lanjutan dengan auditee dilakukan untuk menyepakati protocol yang disusun. Auditee dapat memberi masukan untuk memperbaiki protocol dan menunjuk personil di pihak auditee yang akan mendampingi auditor dalam pelaksanaan lapangan. Dokumen protocol ditandatangani oleh penanggung jawab tim auditor dan penanggung jawab tim auditee.

  1. Penyiapan kertas kerja dan penyiapan audit tools

Setelah protocol audit disepakati, tim auditor menyiapkan secara rinci form-form yang diperlukan. Form tersebut dianggap sebagai kerja kerja formal dalam pengumpulan data

  1. Melakukan pertemuan pembukaan dengan auditee

Pelaksanaan lapangan diawasi dengan pertemuan pembukaan yang memaparkan rincian pelaksanaan lapangan audit aplikasi TIK dengan diawali dengan tata cara pelaksanaan audit melalui

  1. Melaksanakan audit lapangan, melalui:

  1. Penelaahan dokumen;

  2. Wawancara;

  3. Observasi lapangan;

  4. Pengujian; dan

  5. Verifikasi bukti. Auditor dapat meminta data atau informasi guna keperluan pelaksanaan tugas, baik dalam bentuk salinan cetak maupun salinan lunak termasuk basis data dari Aplikasi SPBE

  1. Melakukan analisis bukti;

  2. Memberikan rekomendasi perbaikan untuk mengatasi temuan audit TIK. Temuan Audit TIK merupakan keadaan dimana fakta status penyelenggaraan SPBE Auditee tidak sesuai dengan ketentuan peraturan perundang-undangan serta standar penyelenggaraan SPBE.

  3. Melakukan pertemuan penutupan dengan auditee;

  4. Penyusunan laporan;

  5. Proof-read laporan (memeriksa kembali laporan hasil audit);

  6. Penyerahan laporan;

  7. Evaluasi aktivitas



    1. Pedoman Teknis Audit Infrastruktur SPBE

    1. Audit TIK Infrastruktur SPBE dengan obyek pusat data, jaringan infra dan sistem penghubung layanan, dilakukan pada aspek:

  1. Tata kelola infrastruktur SPBE, yang meliputi evaluasi, pengarahan, dan pemantauan;

  2. Manajemen Infrastruktur SPBE, yang meliputi

      1. Manajemen keamanan,

      2. Manajemen risiko,

      3. Manajemen asset,

      4. Manajemen pengetahuan,

      5. Manajemen sumbesr daya manusia (SDM),

      6. Manajemen layanan, Manajemen perubahan, dan

      7. Manajemen data;

  1. Fungsionalitas dan kinerja operasional dan pemeliharaan Infrastruktur SPBE, yang meliputi perencanaan, pengembangan, pengoperasian, dan pemeliharaan infrastruktur SPBE; dan

  2. Tingkat kepatuhan terhadap regulasi.

    1. Auditor melakukan pemeriksaan terhadap Infrastruktur SPBE untuk memastikan bahwa:

  1. Perubahan teknologi, ketentuan hukum, dan regulasi dipantau;

  2. Strategi Infrastruktur SPBE dan rencana Infrastruktur SPBE sudah selaras dengan kebutuhan Perangkat Daerah;

  3. Standar teknologi sudah ditetapkan dan diimplementasikan; dan

  4. Rekomendasi arsitektur Infrastruktur SPBE sudah dilaksanakan.

  5. Rencana pengadaan Infrastruktur SPBE sudah mempertimbangkan faktor risiko, biaya, manfaat, keamanan, dan kesesuaian teknis dengan Infrastruktur SPBE lainnya.

  6. Pengadaan Infrastruktur SPBE sesuai dengan rencana.

  7. Aset SPBE sudah diidentifikasikan, ditentukan pemilik atau penanggung jawabnya, dan dicatat agar dapat dilindungi secara tepat.

  8. Penghapusan aset SPBE sudah dilakukan dengan tepat sehingga aset aman untuk dihapus dan/atau dimusnahkan.

  9. Kapasitas Infrastruktur SPBE sudah direncanakan dengan baik, dipantau, dianalisis dan dievaluasi penggunaannya.

  10. Insiden terkait Infrastruktur SPBE dicatat dan ditangani dengan baik sesuai dengan kesepakatan tingkat layanan.

  11. Pemeliharaan Infrastruktur SPBE telah dilakukan secara reguler sesuai dengan petunjuk penggunaannya; dan

  12. Setiap pegawai/petugas pengelola fasilitas, Infrastruktur SPBE harus memiliki kompetensi yang sesuai dengan bidang tugasnya.

    1. Audit dapat difokuskan pada penilaian fungsionalitas dan kinerja infrastruktur SPBE.

    2. Auditor harus melakukan pemeriksaan terhadap penyediaan layanan infrastruktur SPBE oleh pihak eksternal untuk memastikan bahwa :

  1. Pengendalian pemberian hak akses kepada pihak eksternal telah dilakukan;

  2. Pemantauan dan evaluasi layanan pihak eksternal telah ditinjau secara berkala;

  3. Evaluasi dan peninjauan layanan yang diberikan oleh pihak eksternal telah sesuai dengan pengendalian keamanan informasi yang ditetapkan dalam perjanjian atau kontrak; dan

  4. Perjanjian Kerahasiaan (Non Disclosure Agreement) telah ditandatangani oleh pihak eksternal.

    1. Panduan teknis dan kriteria penilaian pada audit infrastruktur SPBE dapat ditetapkan lebih lanjut oleh APIP, sesuai ketentuan peraturan perundang-undangan.


    1. Pedoman Teknis Audit Aplikasi SPBE

    1. Audit Aplikasi SPBE dilakukan pada aspek:

  1. Penerapan tata kelola Aplikasi SPBE yang meliputi evaluasi, pengarahan, dan pemantauan;

  2. Penerapan manajemen Aplikasi SPBE, yang meliputi

      1. Manajemen keamanan,

      2. Manajemen risiko,

      3. Manajemen asset,

      4. Manajemen pengetahuan,

      5. Manajemen sumber daya manusia,

      6. Manajemen layanan,

      7. Manajemen perubahan, dan

      8. Manajemen data;

  1. Fungsionalitas dan Kinerja Aplikasi SPBE yang meliputi perencanaan, pengembangan, pengoperasian, dan pemeliharaan aplikasi SPBE; dan

  2. Tingkat kepatuhan terhadap regulasi.

    1. Auditor harus melakukan pemeriksaan terhadap Arsitektur Aplikasi SPBE paling sedikit untuk memastikan bahwa:

  1. Aplikasi direncanakan dalam suatu dokumen spesifikasi kemampuan aplikasi (Software Requirements Spesifications) dengan mengacu kepada arsitektur SPBE Nasional, arsitektur SPBE Pemerintah Daerah, dengan mempertimbangkan kebutuhan, peluang dan proses bisnis

  2. Perubahan kebutuhan dan proses bisnis dipantau;

  3. Standar pembangunan dan pengembangan Aplikasi SPBE sudah ditetapkan dan diimplementasikan;

  4. Rekomendasi arsitektur Aplikasi SPBE sudah dilaksanakan.

  5. Aplikasi SPBE sudah dibangun dan dikembangkan sesuai rencana dengan metodologi pembangunan dan pengembangan yang ada;

  6. Rancangan Aplikasi SPBE sudah mempertimbangkan kebutuhan keamanan dan ketersediaan;

  7. Aplikasi SPBE memiliki dokumentasi pembangunan dan pengembangan Aplikasi SPBE yang dibutuhkan;

  8. Aplikasi SPBE sudah diujicobakan sebelum dioperasionalkan sesuai dengan kebutuhannya. Uji coba terhadap aplikasi harus terdokumentasi.

  9. Pengendalian akses ke kode sumber (source code) Aplikasi SPBE sudah dilakukan;

  10. Pelatihan kepada pengguna dan pegawai/petugas pengelola Aplikasi SPBE telah dilakukan;

  11. Tinjauan pasca implementasi telah dilakukan ketika selesai implementasi Aplikasi SPBE.

  12. Kapasitas Aplikasi SPBE sudah direncanakan dengan baik, dipantau, dianalisis dan dievaluasi penggunaannya;

  13. Insiden terkait Aplikasi SPBE dicatat dan ditangani dengan baik sesuai dengan kesepakatan tingkat layanan;

  14. Pengoperasian dan pemeliharaan Aplikasi SPBE telah dilakukan secara rutin sesuai dengan pedoman; dan

  15. Setiap pegawai/petugas pengelola Aplikasi SPBE harus mempunyai kompetensi yang sesuai dengan bidang tugasnya.

    1. Auditor harus melakukan pemeriksaan terhadap penyediaan layanan pengembangan dan/atau pemeliharaan aplikasi SPBE oleh pihak ketiga, paling sedikit untuk memastikan bahwa:

  1. Pengendalian pemberian hak akses kepada pihak eksternal telah dilakukan;

  2. Pemantauan dan evaluasi layanan pihak eksternal telah ditinjau secara berkala;

  3. Evaluasi dan peninjauan layanan yang diberikan oleh pihak eksternal telah sesuai dengan pengendalian keamanan informasi yang ditetapkan dalam perjanjian atau kontrak; dan

  4. Perjanjian Kerahasiaan (Non Disclosure Agreement) telah ditandatangani oleh pihak eksternal.

    1. Panduan teknis dan kriteria penilaian pada audit aplikasi SPBE dapat ditetapkan lebih lanjut oleh APIP, sesuai ketentuan peraturan perundang-undangan.


    1. Pedoman Teknis Audit Keamanan SPBE

    1. Audit Keamanan SPBE dilakukan pada aspek:

  1. Penerapan tata kelola keamanan pada lingkup aplikasi dan infrastruktur SPBE, yang meliputi evaluasi, pengarahan, dan pemantauan;

  2. Penerapan manajemen keamanan SPBE, yang meliputi: kebijakan keamanan; organisasi keamanan; keamanan personil; keamanan aset; keamanan akses; keamanan kriptografi; keamanan fisik dan lingkungan; keamanan operasional; keamanan komunikasi; keamanan pengembangan dan pemeliharaan; keamanan rekanan; insiden keamanan; keamanan kontinuitas; dan/atau kepatuhan keamanan.;

  3. Kinerja Keamanan Aplikasi SPBE dan Keamanan Infrastruktur SPBE; dan

  4. Tingkat kepatuhan terhadap regulasi.

    1. Auditor harus melakukan pemeriksaan terhadap Arsitektur Keamanan SPBE paling sedikit untuk memastikan bahwa:

  1. Perubahan ancaman, kerentanan, risiko, dan kendali SPBE dipantau;

  2. Strategi Keamanan SPBE dan rencana Keamanan SPBE sudah selaras dengan kebutuhan Pemerintah Daerah;

  3. Standar keamanan informasi sudah ditetapkan dan diimplementasikan; dan

  4. Rekomendasi arsitektur Keamanan SPBE sudah dilaksanakan.

  5. Peta Rencana Keamanan SPBE telah disusun berdasarkan analisis risiko dan kesenjangan arsitektur Keamanan SPBE;

  6. Peta Rencana Keamanan SPBE disusun berdasarkan prioritas pengembangannya;

  7. Sejauh mana Peta Rencana Keamanan SPBE sudah diimplementasikan; dan

  8. Peta Rencana Keamanan SPBE ditinjau secara berkala berdasarkan kajian risiko, rencana anggaran, atau hasil evaluasi SPBE.

  9. Kebijakan dan pedoman keamanan informasi sudah disusun dan disosialisasikan secara berkala;

  10. Dilakukan pelatihan peningkatan kepedulian (awareness training) keamanan informasi secara berkala;

  11. Pengelola dan pelaksana keamanan informasi sudah ditetapkan; dan

  12. Setiap sistem, Aplikasi SPBE, dan data telah ditentukan tingkat kritikalitasnya;

  13. Setiap sistem dan proses bisnis telah ditetapkan pemiliknya;

  14. Ada prosedur pengelolaan pengguna dan hak aksesnya untuk setiap pegawai dan pihak eksternal;

  15. Setiap pengguna sistem diberi hak akses sesuai dengan kebutuhan minimumnya dan disetujui oleh pemilik proses bisnis;

  16. Setiap pengguna sistem bisa diidentifikasi secara individual;

  17. Dilakukan tinjauan secara berkala terhadap pengguna dan hak aksesnya di setiap sistem;

  18. Dilakukan pemantauan keamanan sistem secara proaktif;

  19. Dilakukan pengujian keamanan sistem secara berkala;

  20. Insiden keamanan informasi ditangani secara efektif;

  21. Dilakukan perlindungan terhadap data yang bersifat rahasia;

  22. Terdapat kendali aplikasi paling sedikit pada:

  1. Identifikasi, otentikasi, dan otorisasi;

  2. Antarmuka sistem;

  3. Keakuratan dan kelengkapan transaksi; dan

  4. Logging dan audit trail.

  1. Terdapat kendali infrastruktur paling sedikit pada:

  1. Identifikasi, otentikasi, dan otorisasi penggunaan Infrastruktur SPBE sudah dikelola;

  2. Di setiap sistem dilakukan instalasi perangkat lunak untuk mencegah dan mendeteksi perangkat lunak berbahaya (virus, malware, dan lain-lain);

  3. Pengendalian keamanan pada jaringan telah dilakukan; dan

  4. Dilakukan identifikasi infrastruktur yang kritikal untuk dipantau.

    1. Auditor harus melakukan pemeriksaan terhadap penyediaan layanan keamanan SPBE oleh pihak eksternal paling sedikit untuk memastikan bahwa:

        1. Pengendalian pemberian hak akses kepada pihak eksternal telah dilakukan;

        2. Pemantauan dan evaluasi layanan pihak eksternal telah ditinjau secara berkala;

        3. Evaluasi dan peninjauan layanan yang diberikan oleh pihak eksternal telah sesuai dengan pengendalian keamanan informasi yang ditetapkan dalam perjanjian atau kontrak; dan

        4. Perjanjian Kerahasiaan (Non Disclosure Agreement) telah ditandatangani oleh pihak eksternal.

    1. Panduan teknis dan kriteria penilaian pada audit keamanan SPBE dapat ditetapkan lebih lanjut oleh APIP, sesuai ketentuan peraturan perundang-undangan.


  1. Pembiayaan Audit TIK

  1. Pembiayaan untuk pelaksanaan Audit TIK dapat ditanggung oleh:

  1. APIP;

  2. Dinas Teknis terkait TIK; dan/atau

  3. Auditee yang mengusulkan kegiatan audit TIK.

  1. Besaran biaya pelaksanaan audit didasarkan pada cakupan area audit sesuai dengan kompleksitas proses bisnis.

  2. Mekanisme penganggaran audit TIK dapat dilakukan melalui perjanjian kerja dengan pihak ketiga atau swakelola yang disesuaikan dengan ketentuan peraturan perundang-undangan.





WALIKOTA MOJOKERTO




IKA PUSPITASARI






Document Metadata

Filed: May 12th, 2022