IKAS — INSTRUMEN PENILAIAN KEMATANGAN KEAMANAN SIBER

Panduan Admin Instansi

Mengelola profil instansi, sistem elektronik, periode asesmen dengan penugasan 4 peran, pengguna, dan menutup asesmen

Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Admin Instansi — yaitu orang yang bertanggung jawab mengelola instansi, sistem elektronik, periode asesmen, dan pengguna di dalam IKAS.

1. Login & Beranda

1 Login ke Sistem IKAS

Buka halaman login IKAS melalui browser dan masukkan:

Email — alamat email yang Anda daftarkan saat registrasi
Password — password yang Anda buat saat registrasi

Jika instansi Anda mengaktifkan MFA (Multi-Factor Authentication), Anda juga akan diminta memasukkan kode 6 digit dari aplikasi authenticator (seperti Google Authenticator atau Microsoft Authenticator).

MFA Apa Itu MFA / Multi-Factor Authentication?

MFA adalah lapisan keamanan tambahan saat login. Selain memasukkan password, Anda juga harus memasukkan kode verifikasi yang dihasilkan oleh aplikasi di HP Anda. Kode ini berubah setiap 30 detik, sehingga meskipun seseorang mengetahui password Anda, mereka tetap tidak bisa login tanpa HP Anda.

Analogi: Seperti brankas yang butuh 2 kunci — password adalah kunci pertama, kode MFA adalah kunci kedua. Keduanya harus ada untuk membuka.

2 Memahami Beranda

Setelah login berhasil, Anda akan melihat Beranda (halaman utama) yang menampilkan tata letak ringkas dan profesional:

Banner Selamat Datang — menampilkan nama Anda, peran (Admin Instansi) beserta deskripsi tugas, dan nama instansi
Notifikasi (jika ada) — muncul tepat di bawah banner biru, menampilkan pembaruan status asesmen atau informasi penting lainnya
Aksi Cepat — tombol pintasan: Periode Asesmen, Kelola Pengguna, Profil Instansi, Pantau Asesmen, Laporan Kematangan, dan Pusat Bantuan
Panel Kiri — Status Periode Asesmen dan Progres Pengisian per domain
Panel Kanan — Skor Kematangan Terakhir (jika ada periode disetujui) dan Sistem Elektronik Instansi
Periode Terbaru — tabel periode asesmen terkini

NAV Menu Navigasi (Sidebar)

Di sisi kiri layar terdapat sidebar — yaitu menu navigasi berupa daftar link yang bisa Anda klik untuk berpindah antar halaman. Menu yang tersedia untuk Admin Instansi dikelompokkan sebagai berikut:

Asesmen:

Beranda — halaman utama setelah login, menampilkan ringkasan analitik
Kelola Instansi — melihat dan mengedit profil instansi serta sistem elektronik
Periode Asesmen — membuat dan mengelola periode penilaian
Isi Asesmen — melihat formulir asesmen dan memantau progres pengisian

Laporan:

Laporan Kematangan — melihat laporan tingkat kematangan keamanan siber
Analisis Kesenjangan — melihat analisis kesenjangan dan rencana aksi korektif

Manajemen Risiko:

Daftar Risiko — mengelola daftar risiko (risk register) dan CAPA
Analisis Risiko — melihat analisis risiko otomatis dan peta risiko (heat map)

Peninjauan:

Persetujuan — memvalidasi, meninjau, dan menyetujui asesmen melalui 3 tahap (Audit, Tinjauan, Persetujuan)

Bantuan:

Pusat Bantuan — sistem tiket bantuan dan komunikasi internal

Administrasi:

Kelola Pengguna — menambah dan mengelola pengguna (Auditor, Pihak Terasesmen, Peninjau, Penyetuju)

Panduan:

Panduan Pengguna — membuka halaman panduan lengkap di tab baru

Di bagian paling bawah sidebar terdapat link "Kebijakan Pengguna" dan "Kebijakan Privasi".

2. Mengelola Profil Instansi

3 Lihat & Edit Profil Instansi

Klik menu "Kelola Instansi" di sidebar (menu navigasi di sisi kiri layar). Di sini Anda dapat melihat dan memperbarui informasi instansi Anda:

Data	Keterangan
Nama Instansi	Nama resmi instansi (dapat diubah jika ada perubahan nama resmi)
Tipe	Kementerian, Lembaga, Provinsi, Kabupaten, Kota, BUMN, atau Swasta
Email & Telepon	Email kontak dan nomor telepon instansi
Sektor IIV	Sektor Infrastruktur Informasi Vital (lihat penjelasan di Panduan Registrasi)
Alamat	Alamat lengkap kantor instansi
Acuan Manajemen Risiko	Framework manajemen risiko yang digunakan (contoh: ISO 31000)
Acuan Keamanan Siber	Framework keamanan siber yang digunakan (contoh: NIST CSF 2.0, ISO 27001)

Klik tombol "Edit" untuk memperbarui data. Setelah selesai, klik "Simpan".

3. Menambah Sistem Elektronik

Sebelum memulai asesmen, Anda harus menambahkan Sistem Elektronik yang akan dinilai keamanan sibernya.

SE Apa Itu Sistem Elektronik?

Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.

Dalam bahasa sederhana: semua sistem berbasis teknologi yang digunakan oleh instansi Anda — mulai dari website, aplikasi, server, jaringan, sampai sistem kontrol mesin di pabrik.

Contoh: Website resmi instansi, Aplikasi SIPD, Sistem e-Office, Mail server, Sistem SCADA pembangkit listrik, Sistem absensi wajah, Smart CCTV.

4 Tambah Sistem Elektronik

Di halaman detail instansi, klik tombol "Tambah Sistem Elektronik". Isi informasi berikut:

Nama Sistem Wajib

Nama dari sistem elektronik yang akan dinilai. Gunakan nama yang jelas dan mudah dikenali.

Contoh: "SIMRS (Sistem Informasi Manajemen Rumah Sakit)", "Portal e-Government Kota Bandung", "SCADA Distribusi Listrik Jawa Bali"

Jenis Sistem Wajib

Pilih jenis/klasifikasi yang paling sesuai dengan karakteristik sistem elektronik yang akan diasesmen. Klasifikasi ini mengacu pada standar IKAS BSSN.

Berikut penjelasan detail untuk setiap jenis sistem elektronik:

Information Technology

Teknologi Informasi

Sistem informasi berbasis teknologi informasi yang digunakan untuk memproses, menyimpan, dan mengirimkan data secara digital. Ini adalah jenis sistem yang paling umum ditemukan di hampir semua instansi — mulai dari website, email, sampai aplikasi bisnis.

Ciri-ciri: Beroperasi di komputer/server, menangani data digital, diakses melalui jaringan/internet, digunakan oleh pengguna (manusia) untuk bekerja.

Contoh:
• Website resmi instansi — portal informasi publik yang diakses masyarakat
• Aplikasi internal — SIPD (Sistem Informasi Pemerintahan Daerah), e-Office (surat menyurat elektronik), e-Budgeting
• Email server — sistem email organisasi (contoh: Microsoft Exchange, Zimbra)
• Database — penyimpanan data seperti MySQL, PostgreSQL, Oracle
• ERP — Enterprise Resource Planning (SAP, Oracle ERP) untuk mengelola proses bisnis
• Cloud services — layanan berbasis cloud seperti Google Workspace, Microsoft 365, AWS
• Sistem e-Government — LAPOR!, SPBE, portal perizinan online

Operational Technology

Teknologi Operasional

Sistem yang digunakan untuk mengontrol dan memonitor peralatan fisik, proses industri, atau infrastruktur secara langsung. Berbeda dengan IT yang menangani data/informasi, OT menangani proses fisik di dunia nyata — seperti mengalirkan listrik, mengatur aliran air, atau mengendalikan mesin produksi.

Ciri-ciri: Terhubung langsung ke peralatan fisik (motor, valve, sensor), beroperasi secara real-time, gangguan bisa berdampak fisik langsung (listrik padam, air berhenti mengalir, mesin berhenti).

Contoh:
• SCADA (Supervisory Control and Data Acquisition) — sistem pengawasan dan pengendalian jarak jauh, misalnya untuk pengawasan distribusi air minum atau jaringan listrik
• Sistem kontrol pembangkit listrik — mengatur operasi turbin, generator, dan distribusi daya
• BMS (Building Management System) — mengontrol AC, lift, pencahayaan, dan sistem kebakaran di gedung
• Traffic Management System — mengatur lampu lalu lintas di persimpangan jalan
• DCS (Distributed Control System) — sistem kontrol di pabrik petrokimia, pengolahan minyak

IoT

Internet of Things

Internet untuk Segala / Perangkat Terhubung

Perangkat fisik yang terhubung ke jaringan/internet untuk mengumpulkan dan bertukar data secara otomatis, tanpa perlu banyak campur tangan manusia. Perangkat IoT biasanya kecil, tersebar di banyak lokasi, dan mengirim data secara terus-menerus.

Ciri-ciri: Perangkat fisik kecil dengan sensor/aktuator, terhubung ke internet/jaringan, mengirim data otomatis, biasanya berjumlah banyak dan tersebar.

Contoh:
• Sensor cuaca/banjir — sensor yang dipasang di sungai untuk memonitor ketinggian air secara otomatis
• CCTV terkoneksi jaringan (IP Camera) — kamera pengawas yang bisa diakses dari jarak jauh via internet
• Smart meter listrik/air — meteran yang mengirim data penggunaan secara otomatis ke pusat (tidak perlu dicatat manual)
• Perangkat absensi wajah (face recognition) — alat absensi pegawai yang menggunakan pengenalan wajah
• Smart parking system — sensor di area parkir yang mendeteksi ketersediaan tempat parkir
• Wearable health device — alat pemantau kesehatan pasien di rumah sakit

Konvergensi (Gabungan IT/OT/IoT)

Convergence — Integrasi Multi-Teknologi

Sistem yang menggabungkan dua atau lebih jenis teknologi (IT, OT, IoT) dalam satu ekosistem terintegrasi. Dalam dunia modern, banyak sistem yang tidak bisa dikategorikan murni sebagai IT atau OT saja, melainkan gabungan dari semuanya.

Ciri-ciri: Terdiri dari komponen IT (server, database, aplikasi) + komponen OT/IoT (sensor, kontrol fisik), data dari perangkat fisik diolah oleh sistem informasi, keputusan bisa dibuat secara otomatis berdasarkan data real-time.

Contoh:
• Smart City Platform (IT + IoT + OT) — platform kota pintar yang mengintegrasikan data dari sensor cuaca, CCTV, lampu jalan cerdas, dan sistem informasi kependudukan
• Sistem rumah sakit terintegrasi (IT + IoT) — SIMRS yang terhubung dengan alat monitor pasien dan perangkat medis
• Sistem distribusi listrik pintar / Smart Grid (OT + IoT) — jaringan listrik yang menggunakan smart meter dan sensor untuk optimasi distribusi
• Command Center daerah (IT + IoT + OT) — pusat kendali yang memonitor lalu lintas, keamanan, cuaca, dan layanan publik secara real-time
• Sistem pelabuhan modern (IT + OT + IoT) — integrasi antara sistem logistik, crane otomatis, dan sensor container

Bingung memilih jenis? Jika sistem Anda sepenuhnya berbasis komputer/server/aplikasi tanpa koneksi ke peralatan fisik, pilih IT. Jika ada komponen sensor atau kontrol peralatan fisik, pertimbangkan OT, IoT, atau Konvergensi sesuai penjelasan di atas.

Deskripsi Opsional

Penjelasan singkat tentang fungsi dan cakupan sistem elektronik yang dinilai. Deskripsi ini membantu tim peninjau memahami konteks saat meninjau asesmen.

Contoh: "Sistem Informasi Manajemen Rumah Sakit (SIMRS) yang mengelola data pasien, rekam medis elektronik, billing, dan farmasi. Terintegrasi dengan alat monitor bedside pasien ICU."

4. Membuat Periode Asesmen

PA Apa Itu Periode Asesmen?

Periode Asesmen adalah satu siklus penilaian kematangan keamanan siber untuk satu sistem elektronik dalam satu tahun tertentu. Setiap periode asesmen berdiri sendiri dan memiliki hasilnya masing-masing.

Analogi: Seperti ujian semester — setiap semester (periode) ada ujiannya sendiri, untuk mata pelajaran tertentu (sistem elektronik), dan ada nilai targetnya (target level).

5 Buat Periode Asesmen Baru

Klik menu "Periode Asesmen" di sidebar, lalu klik tombol "Buat Periode Baru". Isi informasi berikut:

Sistem Elektronik Wajib

Pilih sistem elektronik yang akan dinilai dari daftar sistem yang sudah Anda tambahkan sebelumnya (langkah 4). Setiap periode asesmen menilai satu sistem elektronik.

Tahun Pengukuran Wajib

Tahun di mana asesmen dilakukan. Biasanya tahun berjalan.

Contoh: 2025, 2026

Target Level Kematangan

Level kematangan yang ingin dicapai oleh instansi. Nilainya antara 1 sampai 5 (Awal, Berulang, Terdefinisi, Terkelola, Inovatif). Bisa dikosongkan jika belum ditentukan.

Rentang Target Nilai

Rentang indeks target yang ingin dicapai (0.00 — 5.00). Terdiri dari nilai minimum dan maksimum.

Pihak Terasesmen (Pengisi)

Pilih pengguna yang ditugaskan untuk mengisi asesmen. Dropdown menampilkan daftar pengguna dengan peran Pihak Terasesmen atau Admin Instansi.

Auditor (Pemeriksa)

Pilih pengguna yang ditugaskan untuk memvalidasi jawaban dan bukti pendukung. Dropdown menampilkan pengguna dengan peran Auditor atau Admin Instansi. Auditor memeriksa kebenaran jawaban setelah Pengisi mengirimkan asesmen.

Peninjau (Reviewer)

Pilih pengguna yang ditugaskan untuk melakukan validasi teknis asesmen. Dropdown menampilkan pengguna dengan peran Peninjau atau Admin Instansi. Peninjau memeriksa asesmen setelah Auditor memvalidasi.

Penyetuju (Approver)

Pilih pengguna yang ditugaskan untuk memberikan persetujuan akhir. Dropdown menampilkan pengguna dengan peran Penyetuju atau Admin Instansi. Setelah Penyetuju menyetujui, data asesmen akan terkunci.

Penting — Penugasan 4 Peran: Dengan memilih Pihak Terasesmen, Auditor, Peninjau, dan Penyetuju pada formulir ini, Anda menentukan siapa yang bertanggung jawab di setiap tahap asesmen. Pengguna yang tidak ditugaskan tidak akan bisa melihat atau mengakses periode asesmen ini. Sebagai Admin Instansi, Anda sendiri tetap dapat melewati semua tahap secara mandiri (single-user path).

TL Bagaimana Menentukan Target Level yang Tepat?

Target Level adalah ambisi organisasi Anda. Pertimbangkan faktor-faktor ini:

Kondisi saat ini — Jika instansi baru mulai, target Level 3 sudah ambisius dan realistis
Sifat data yang dikelola — Instansi yang mengelola data sensitif (keuangan, kesehatan, pertahanan) sebaiknya menarget Level 4 atau 5
Regulasi — Beberapa regulasi mewajibkan level tertentu
Sumber daya — Target harus realistis sesuai anggaran dan SDM yang tersedia

Rekomendasi umum:
• Instansi yang baru pertama kali asesmen → Target Level 3 (Terdefinisi)
• Instansi yang sudah pernah asesmen sebelumnya → Target Level 4 (Terkelola)
• Instansi di sektor IIV kritis (energi, keuangan, pertahanan) → Target Level 4 atau 5

Setelah dibuat, periode asesmen akan berstatus "Draf" — artinya siap untuk diisi oleh Pihak Terasesmen.

STATUS Alur Status Periode Asesmen

Setiap periode asesmen memiliki status yang berubah seiring proses berjalan:

Draf

Baru dibuat, siap diisi Pihak Terasesmen

Asesmen

Pengisi mengisi jawaban & bukti

Audit

Auditor memvalidasi jawaban & bukti

Ditinjau

Peninjau melakukan validasi teknis

Persetujuan

Penyetuju memberikan persetujuan akhir

Disetujui

Data terkunci, laporan tersedia

Catatan: Setiap tahap (Audit, Tinjauan, Persetujuan) dapat menolak atau meminta revisi. Penolakan dikembalikan ke tahap sebelumnya: Auditor → Pengisi, Peninjau → Auditor, Penyetuju → Peninjau. Admin Instansi juga dapat menutup asesmen yang sudah disetujui.

5. Mengelola Pengguna

6 Tambah Pengguna

Untuk menjalankan asesmen, Anda perlu menambahkan pengguna dengan peran yang sesuai. Klik menu "Kelola Pengguna" di sidebar, lalu klik "Tambah Pengguna".

Nama Lengkap Wajib

Nama lengkap pengguna yang akan ditambahkan.

Email Wajib

Email yang akan digunakan pengguna untuk login. Disarankan menggunakan email instansi.

Peran Wajib

Pilih peran pengguna. Sebagai Admin Instansi, Anda dapat menugaskan 4 peran berikut:

Auditor

Orang yang bertugas memvalidasi jawaban dan bukti pendukung yang diisi oleh Pihak Terasesmen. Tahap pertama dari proses validasi 3-tahap. Biasanya auditor internal atau konsultan keamanan siber.

Pihak Terasesmen (Pengisi)

Orang yang bertugas mengisi penilaian — memilih indeks kematangan, mengupload bukti, dan menambah catatan. Biasanya staf IT atau orang yang memahami kondisi teknis di lapangan.

Peninjau (Reviewer)

Orang yang bertugas meninjau dan memvalidasi secara teknis jawaban asesmen setelah Auditor memvalidasi. Tahap kedua dari proses validasi 3-tahap. Biasanya konsultan keamanan atau pimpinan bidang IT.

Penyetuju (Approver)

Orang yang bertugas memberikan persetujuan akhir terhadap asesmen. Tahap ketiga dan terakhir — setelah disetujui, data asesmen terkunci permanen. Biasanya pimpinan IT atau CISO.

Pengguna yang baru ditambahkan akan menerima email verifikasi beserta kredensial login (password yang digenerate oleh sistem secara acak). Mereka wajib mengganti password saat login pertama kali.

Penting: Pengguna yang Anda buat hanya akan terkait dengan instansi Anda. Anda tidak dapat membuat pengguna untuk instansi lain. Pastikan email yang didaftarkan benar karena kredensial login dikirim ke email tersebut.

6. Pemantauan Progres Asesmen

7 Pantau Progres Pengisian

Setelah Pihak Terasesmen mulai mengisi asesmen, Anda bisa memantau progresnya. Klik menu "Isi Asesmen" di sidebar dan pilih periode yang aktif.

Anda akan melihat informasi berikut untuk setiap domain:

Bilah progres (progress bar) — persentase kontrol yang sudah terisi (contoh: 45/120 kontrol = 37.5%)
Status per subkategori — mana yang sudah lengkap dan mana yang belum
Jumlah evidence terupload — berapa banyak bukti yang sudah diunggah

Gunakan informasi ini untuk mengingatkan Pihak Terasesmen jika ada bagian yang belum terisi menjelang tenggat waktu.

7. Laporan & Analisis

8 Mengakses Laporan

Setelah asesmen diisi dan disetujui oleh Penyetuju (persetujuan akhir tahap 3), Anda dapat mengakses 3 jenis laporan melalui menu di sidebar:

Laporan	Isi & Manfaat	Export
Laporan Kematangan	Menampilkan indeks kematangan keseluruhan dan per domain. Dilengkapi radar chart (grafik berbentuk jaring laba-laba) yang memvisualisasikan perbandingan antara skor saat ini dan target. Juga menampilkan detail per kategori dan status tiap domain (Level 1-5).	PDF, XLSX
Analisis Kesenjangan & Rencana Aksi Korektif	Menampilkan kesenjangan (gap) antara kondisi saat ini dengan target, untuk setiap kontrol yang belum mencapai target. Sistem menghasilkan satu rencana aksi korektif terpadu (CISO-grade) per kontrol — mencakup identifikasi, formalisasi, implementasi, monitoring, dan kesiapan audit — beserta prioritas dan analisis risiko.	PDF
Analisis Risiko	Menampilkan identifikasi risiko otomatis berdasarkan kontrol dengan indeks rendah. Dilengkapi skor risiko, peta risiko visual (heat map) berupa tabel warna, tingkat severitas, dampak, kemungkinan, dan rekomendasi mitigasi. Juga termasuk Daftar Risiko (Risk Register) dan pemantauan CAPA.	PDF

Setiap halaman laporan memiliki tombol "Ekspor PDF" berwarna merah di bagian atas halaman. Klik tombol ini untuk membuka versi cetak yang bisa disimpan sebagai file PDF melalui browser.

Penting — Laporan Otomatis oleh Sistem

Di setiap halaman laporan terdapat Panduan Pembacaan dengan peringatan bahwa seluruh hasil analisis digenerate secara otomatis oleh sistem dan bersifat indikatif. Untuk penilaian yang lebih mendalam, hubungi penyedia layanan audit keamanan siber atau konsultan profesional.

Tips: Laporan PDF yang dihasilkan bersifat print-ready — sudah diformat untuk ukuran kertas A4 dan bisa langsung dicetak atau dilampirkan dalam dokumen audit resmi.