IKAS — INSTRUMEN PENILAIAN KEMATANGAN KEAMANAN SIBER
Panduan Pihak Terasesmen
Mengisi penilaian kematangan keamanan siber — memahami domain, kontrol, indeks kematangan 1–5, mengunggah bukti, dan mengirim ke Auditor
Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Pihak Terasesmen (Auditee) — yaitu orang yang bertugas mengisi penilaian kematangan keamanan siber di IKAS. Anda akan memilih indeks kematangan untuk setiap kontrol, mengunggah bukti pendukung, dan menambahkan catatan.
Akses Berdasarkan Penugasan: Sebagai Pihak Terasesmen, Anda hanya dapat melihat dan mengisi asesmen yang ditugaskan kepada Anda oleh Admin Instansi. Jika Anda tidak melihat periode asesmen yang diharapkan, hubungi Admin Instansi Anda untuk memastikan Anda sudah ditugaskan pada periode tersebut melalui formulir Periode Asesmen.
Menu Sidebar untuk Pihak Terasesmen: Sebagai Pihak Terasesmen, menu sidebar Anda lebih ringkas dibandingkan peran lain. Anda tidak memiliki akses ke menu Laporan (Laporan Kematangan, Analisis Kesenjangan) dan Manajemen Risiko (Daftar Risiko, Analisis Risiko). Menu yang tersedia untuk Anda meliputi:
Di halaman Periode Asesmen, kolom Aksi hanya menampilkan tombol "Isi Asesmen" untuk langsung melanjutkan pengisian. Anda tidak melihat tombol Edit, Laporan, atau perubahan status lainnya.
- Beranda — ringkasan progres asesmen dan aksi cepat
- Periode Asesmen — daftar periode yang ditugaskan kepada Anda
- Isi Asesmen — formulir pengisian penilaian
- Pusat Bantuan — buat tiket jika membutuhkan bantuan
- Panduan Pengguna — panduan penggunaan aplikasi
Di halaman Periode Asesmen, kolom Aksi hanya menampilkan tombol "Isi Asesmen" untuk langsung melanjutkan pengisian. Anda tidak melihat tombol Edit, Laporan, atau perubahan status lainnya.
1. Login & Navigasi Awal
1
Login ke Sistem
Login menggunakan email dan password yang diberikan oleh Admin Instansi Anda. Jika ini adalah login pertama kali, sistem akan meminta Anda mengganti password default dengan password baru pilihan Anda sendiri.
Setelah login, Anda akan melihat Beranda yang menampilkan:
- Banner Selamat Datang — menampilkan nama Anda, peran (Pihak Terasesmen) beserta deskripsi tugas, dan nama instansi serta sistem elektronik yang ditugaskan kepada Anda
- Notifikasi (jika ada) — muncul tepat di bawah banner biru, misalnya permintaan revisi dari Auditor atau status persetujuan asesmen
- Aksi Cepat — tombol pintasan: Isi Asesmen, Periode Asesmen, Panduan Pengisian, dan Pusat Bantuan
- Panel Kiri — Status Periode Asesmen dan Progres Pengisian
- Panel Kanan — Skor Kematangan Terakhir (jika ada periode yang sudah disetujui)
- Periode Terbaru — tabel periode asesmen terkini yang ditugaskan ke Anda
Login pertama kali? Password default yang dikirim via email bersifat sementara. Anda wajib menggantinya dengan password baru yang kuat (minimal 12 karakter, kombinasi huruf besar-kecil, angka, dan simbol). Lihat panduan registrasi untuk detail persyaratan password.
2. Memahami Struktur Asesmen
Sebelum mulai mengisi, penting untuk memahami bagaimana asesmen IKAS disusun. Penilaian dibagi secara hierarki bertingkat:
HIERARKI
Tingkatan Penilaian dari Atas ke Bawah
Domain → Kategori → Subkategori → Kontrol
- Domain = kelompok besar area keamanan (ada 4: ID, PR, DE, GH)
- Kategori = sub-area dalam domain (contoh: ID.AM = Asset Management)
- Subkategori = topik spesifik dalam kategori (contoh: ID.AM-1)
- Kontrol = pertanyaan spesifik yang harus Anda jawab (contoh: ID.AM-1.a)
Analogi: Seperti buku ujian — Domain = Bab, Kategori = Sub-bab, Subkategori = Topik, Kontrol = Soal. Anda menjawab setiap "soal" dengan memilih indeks kematangan 1-5.
2
Navigasi ke Halaman Asesmen
Klik menu "Isi Asesmen" di sidebar (menu di sisi kiri layar). Pilih periode asesmen yang sedang aktif.
Anda akan melihat 4 domain penilaian yang masing-masing dapat diklik:
ID
Identifikasi
Kebijakan keamanan, tata kelola, identifikasi aset, penilaian risiko. Menilai apakah organisasi sudah mengenali dan memahami lingkungan keamanan sibernya.
PR
Proteksi
Kontrol akses, pelatihan SDM, pengamanan data, konfigurasi keamanan. Menilai apakah organisasi sudah melindungi sistem dan datanya.
DE
Deteksi
Monitoring, deteksi anomali/intrusi, evaluasi keamanan. Menilai kemampuan organisasi mendeteksi insiden dan ancaman siber.
GH
Penanggulangan & Pemulihan
Respons insiden, komunikasi, rencana pemulihan. Menilai kesiapan organisasi dalam menanggulangi dan memulihkan diri setelah insiden siber.
Klik salah satu domain untuk melihat daftar subkategori-nya. Kemudian klik subkategori untuk membuka formulir penilaian kontrol.
3. Mengisi Formulir Kontrol — Memilih Indeks Kematangan
Ini adalah inti dari proses asesmen. Untuk setiap kontrol, Anda harus memilih Indeks Kematangan dari skala 1 sampai 5 yang paling sesuai dengan kondisi aktual di instansi Anda.
3
Cara Memilih Indeks Kematangan yang Tepat
Di halaman formulir kontrol, setiap kontrol menampilkan:
- Teks kontrol — pertanyaan/pernyataan yang harus dinilai
- Ruang lingkup — area yang dicakup (Tata Kelola, Teknologi, SDM, atau kombinasi)
- Pilihan indeks 1–5 — masing-masing dengan deskripsi detail yang menjelaskan apa yang diharapkan di setiap level
Bacalah deskripsi setiap indeks dengan seksama! Deskripsi ini menjelaskan secara spesifik apa yang harus sudah diterapkan untuk setiap level. Pilih level yang paling sesuai dengan kondisi nyata, bukan kondisi yang diharapkan.
Penyimpanan jawaban: Setiap kali Anda memilih indeks dan mengklik tombol "Simpan" pada sebuah kontrol, jawaban Anda langsung tersimpan di server. Anda tidak perlu mengisi semua kontrol sekaligus — Anda bisa mengisi beberapa kontrol hari ini, lalu melanjutkan besok. Progress Anda tidak akan hilang selama Anda sudah menekan tombol "Simpan" di setiap kontrol yang diisi.
Bukti Pendukung otomatis muncul: Setelah Anda menekan tombol "Simpan" dan tulisan "Tersimpan" berwarna hijau muncul, formulir unggah Bukti Pendukung akan langsung tampil di bawah kontrol tersebut tanpa perlu me-refresh halaman. Anda bisa langsung mengunggah bukti pendukung setelah menyimpan jawaban.
Bukti Pendukung otomatis muncul: Setelah Anda menekan tombol "Simpan" dan tulisan "Tersimpan" berwarna hijau muncul, formulir unggah Bukti Pendukung akan langsung tampil di bawah kontrol tersebut tanpa perlu me-refresh halaman. Anda bisa langsung mengunggah bukti pendukung setelah menyimpan jawaban.
1
Level 1 — Awal (Initial)
Belum diterapkan sama sekali atau baru sangat awal. Belum ada dokumentasi, belum ada prosedur, penerapan bersifat ad-hoc (hanya saat dibutuhkan, tanpa rencana).
Contoh: "Kami tahu harus ada backup data, tapi belum pernah melakukannya secara rutin. Kadang-kadang backup dilakukan jika ada yang ingat."
2
Level 2 — Berulang (Repeatable)
Sudah mulai diterapkan sebagian, ada kesadaran, tapi belum konsisten dan belum terdokumentasi resmi. Beberapa orang/divisi sudah melakukan, tapi belum menjadi standar organisasi.
Contoh: "Tim IT sudah melakukan backup mingguan ke hard disk eksternal, tapi belum ada SOP tertulis. Tidak semua server di-backup."
3
Level 3 — Terdefinisi (Defined)
Sudah diformalkan dalam kebijakan/prosedur tertulis (SK, SOP, atau NSPK). Diterapkan secara konsisten di seluruh organisasi dan ada bukti dokumentasi.
Contoh: "Ada SOP Backup yang mewajibkan backup harian untuk semua server produksi. Backup disimpan di lokasi terpisah. SOP ditandatangani Kepala Bidang TI."
4
Level 4 — Terkelola (Managed)
Sudah diformalkan dan diukur efektivitasnya. Ada monitoring, evaluasi berkala, dan perbaikan berdasarkan data. Tidak hanya menerapkan, tapi juga mengawasi apakah efektif.
Contoh: "Selain ada SOP backup, dilakukan audit triwulanan untuk memastikan backup berhasil. Ada laporan keberhasilan/kegagalan backup. Kegagalan ditindaklanjuti dalam 24 jam."
5
Level 5 — Inovatif (Optimized)
Tingkat tertinggi — terus disempurnakan. Organisasi proaktif melakukan inovasi dan perbaikan berkelanjutan. Ada benchmarking dengan standar internasional.
Contoh: "Backup menggunakan strategi 3-2-1 (3 salinan, 2 media berbeda, 1 off-site). Ada immutable backup untuk mencegah ransomware. Dilakukan pengujian pemulihan bencana (DR testing) setiap kuartal. Kebijakan ditinjau berdasarkan lanskap ancaman (threat landscape) terkini."
N/A
Opsi "Tidak Relevan" / Not Applicable
Jika suatu kontrol benar-benar tidak berlaku untuk sistem elektronik yang sedang dinilai, Anda dapat memilih "Tidak Relevan (N/A)". Kontrol yang ditandai N/A tidak akan dihitung dalam skor kematangan.
Kapan memilih N/A: Misalnya kontrol tentang "Sistem SCADA" — jika sistem yang dinilai adalah website (IT murni), maka kontrol tentang SCADA tidak relevan dan bisa ditandai N/A.
Jangan gunakan N/A hanya karena Anda belum menerapkan kontrol tersebut — dalam kasus itu, pilih Level 1 (Awal).
Jangan gunakan N/A hanya karena Anda belum menerapkan kontrol tersebut — dalam kasus itu, pilih Level 1 (Awal).
Tips penting saat memilih indeks:
- Jujur dan objektif — Pilih berdasarkan kondisi nyata, bukan kondisi yang diharapkan atau yang sedang direncanakan
- Baca deskripsi — Setiap indeks punya deskripsi spesifik di formulir. Baca dan cocokkan dengan kondisi Anda
- Konsisten — Pastikan indeks yang dipilih konsisten dengan bukti yang akan Anda upload
- Jika ragu, pilih yang lebih rendah — Lebih baik menilai konservatif daripada terlalu optimis. Auditor dapat meminta Anda menaikkan level jika bukti mendukung
- Tanyakan Auditor — Jika Anda benar-benar tidak yakin, isi dengan level terbaik menurut Anda dan tuliskan kebingungan Anda di kolom Catatan. Auditor akan memberikan masukan
4. Mengunggah Bukti Pendukung
4
Upload Bukti yang Mendukung Penilaian Anda
Bukti pendukung adalah dokumen atau file yang membuktikan bahwa kontrol keamanan sudah diterapkan sesuai indeks yang Anda pilih. Bukti ini akan diperiksa oleh Auditor, Peninjau, dan Penyetuju pada proses validasi 3 tahap.
| Format File | Keterangan |
|---|---|
| Dokumen kebijakan, SOP, laporan audit, sertifikat (format paling disarankan) | |
| DOC / DOCX | Dokumen Word — draft SOP, notulen rapat, template kebijakan |
| XLS / XLSX | Spreadsheet Excel — log audit, data inventaris aset, jadwal pelatihan |
| JPG / PNG | Gambar — screenshot konfigurasi sistem, foto pelatihan, screenshot dashboard |
| ZIP | File terkompresi — jika perlu mengunggah beberapa file sekaligus |
Ukuran maksimal per file: 20 MB. Klik tombol "Unggah" pada kontrol yang bersangkutan, pilih file dari komputer Anda, lalu kirim.
BUKTI
Contoh Bukti Pendukung yang Baik untuk Setiap Level
Berikut contoh jenis bukti yang sesuai untuk setiap level kematangan:
| Level | Jenis Bukti yang Sesuai |
|---|---|
| 1 | Biasanya belum ada bukti formal. Bisa lampirkan: email internal yang menunjukkan kesadaran awal, notulen rapat yang membahas rencana, atau pernyataan bahwa kontrol belum diterapkan. |
| 2 | Bukti penerapan parsial: draft SOP (belum disahkan), screenshot konfigurasi yang sudah dilakukan di sebagian sistem, daftar kehadiran pelatihan informal, email instruksi dari atasan. |
| 3 | Bukti penerapan formal: SK/SOP yang ditandatangani pejabat berwenang, bukti sosialisasi kebijakan, screenshot konfigurasi yang konsisten di seluruh sistem, sertifikat pelatihan formal. |
| 4 | Bukti pemantauan & evaluasi: Laporan audit internal, dasbor pemantauan yang menunjukkan metrik, laporan evaluasi berkala, dokumen tindak lanjut temuan, notulen rapat tinjauan keamanan. |
| 5 | Bukti inovasi & perbaikan berkelanjutan: Laporan benchmarking, dokumen continuous improvement, bukti adopsi best practice terbaru, laporan threat intelligence yang digunakan untuk perbaikan, sertifikasi internasional. |
5. Menambah Catatan
5
Tulis Catatan Pendukung
Pada setiap kontrol tersedia kolom "Catatan" untuk menuliskan penjelasan tambahan. Catatan bersifat opsional tetapi sangat direkomendasikan karena membantu Auditor dan tim peninjau memahami konteks penilaian Anda.
Catatan yang baik menjelaskan:
- Apa yang sudah diterapkan — jelaskan secara singkat kondisi saat ini
- Bukti apa yang dilampirkan — jelaskan relasi antara bukti pendukung dengan indeks yang dipilih
- Kendala atau catatan khusus — jika ada hal yang perlu diketahui Peninjau
Contoh catatan yang baik:
- "Kebijakan keamanan informasi telah ditetapkan melalui SK Kepala Badan No. 123/2025 tanggal 15 Januari 2025. Sudah disosialisasikan ke seluruh unit kerja melalui surat edaran. Bukti: SK terlampir."
- "Pelatihan kesadaran keamanan siber (awareness) dilaksanakan 2 kali setahun sejak 2024. Diikuti seluruh pegawai (termasuk outsourcing). Bukti: sertifikat + daftar hadir terlampir."
- "Backup dilakukan harian secara otomatis ke NAS lokal. Belum ada backup off-site. Memilih Level 3 karena sudah ada SOP tapi belum ada mekanisme evaluasi berkala."
6. Memahami Ruang Lingkup Kontrol
Setiap kontrol memiliki ruang lingkup yang menunjukkan area apa yang dinilai. Memahami ruang lingkup membantu Anda menentukan indeks yang tepat dan bukti yang relevan:
| Ruang Lingkup | Penjelasan | Contoh Bukti |
|---|---|---|
| Tata Kelola | Berkaitan dengan kebijakan, prosedur, aturan, dan tata kelola organisasi. Apakah ada kebijakan tertulis? Apakah ada SOP? Apakah sudah disosialisasikan? | SK, SOP, NSPK, Peraturan Internal, Surat Edaran, Notulen Rapat |
| Teknologi | Berkaitan dengan konfigurasi teknis dan implementasi teknologi. Apakah firewall sudah dikonfigurasi? Apakah enkripsi sudah diterapkan? | Screenshot konfigurasi, Log sistem, Laporan scan vulnerability, Output perintah teknis |
| Sumber Daya Manusia | Berkaitan dengan kompetensi, pelatihan, dan kesadaran orang. Apakah ada pelatihan keamanan? Apakah ada awareness program? | Sertifikat pelatihan, Daftar hadir, Materi pelatihan, Bukti sertifikasi profesional |
| Kombinasi (contoh: Tata Kelola & Teknologi) |
Kontrol yang mencakup lebih dari satu area. Anda harus memberikan bukti untuk semua area yang tercakup. | SK + Screenshot konfigurasi, SOP + Log implementasi, dst. |
7. Kirim Asesmen ke Auditor
6
Periksa Jawaban, Lalu Kirim ke Auditor
Setelah semua kontrol terisi, periksa kembali jawaban Anda melalui halaman ringkasan asesmen (klik "Kembali ke Ringkasan" di halaman formulir). Pastikan progress bar menunjukkan semua domain sudah terisi sesuai harapan.
Daftar periksa sebelum mengirim:
- Semua kontrol yang relevan sudah diberi indeks kematangan (1-5)?
- Kontrol yang tidak relevan sudah ditandai N/A?
- Bukti pendukung sudah diunggah untuk kontrol-kontrol penting?
- Catatan sudah ditambahkan untuk kontrol yang memerlukan penjelasan?
- Indeks yang dipilih konsisten dengan bukti yang diunggah?
Setelah yakin semua data sudah benar, klik tombol "Kirim ke Auditor" (berwarna hijau). Tombol ini tersedia di beberapa tempat:
| Lokasi | Keterangan |
|---|---|
| Halaman Ringkasan Asesmen | Di bagian bawah halaman, setelah daftar 4 domain. Ini adalah tempat paling utama untuk mengirim asesmen karena Anda bisa melihat progres keseluruhan sebelum mengirim. |
| Halaman Formulir Kontrol (subkategori terakhir) | Saat Anda berada di subkategori terakhir dan tidak ada lagi subkategori berikutnya, tombol "Kirim ke Auditor" muncul di samping tombol "Kembali ke Ringkasan". |
| Halaman Periode Asesmen | Di kolom Aksi pada daftar periode, tombol "Kirim ke Auditor" tampil di samping tombol "Isi Asesmen" untuk periode yang sedang berlangsung. |
Catatan penting: Sebagai Pihak Terasesmen, Anda tidak memiliki akses ke halaman Tinjauan & Kematangan, Laporan Kematangan, Analisis Kesenjangan, maupun Analisis Risiko. Halaman-halaman tersebut hanya tersedia untuk Admin Instansi, Peninjau, dan Penyetuju. Tugas Anda berfokus pada pengisian asesmen, pengunggahan bukti, dan pengiriman asesmen ke Auditor.
Perhatian: Setelah Anda menekan tombol "Kirim ke Auditor", asesmen akan masuk ke proses validasi 3 tahap: Auditor → Peninjau → Penyetuju. Anda tidak bisa mengubah jawaban selama proses ini berlangsung. Pastikan semua data sudah benar sebelum mengirim.
Namun, jika Auditor meminta revisi atau menolak asesmen, asesmen akan dikembalikan ke Anda dan Anda bisa melakukan perbaikan lalu mengirim ulang.
Namun, jika Auditor meminta revisi atau menolak asesmen, asesmen akan dikembalikan ke Anda dan Anda bisa melakukan perbaikan lalu mengirim ulang.
8. Setelah Dikirim — Apa yang Terjadi Selanjutnya?
1
Anda Kirim
Asesmen dikirim ke Auditor
2
Audit
Auditor memvalidasi jawaban & bukti
3
Tinjauan
Peninjau melakukan validasi teknis
4
Persetujuan
Penyetuju menyetujui, data terkunci
!
Minta Revisi / Tolak
Auditor dapat mengembalikan ke Anda untuk diperbaiki
Jika diminta revisi: Auditor akan memberikan catatan tentang apa yang perlu diperbaiki. Anda akan menerima notifikasi otomatis di Beranda. Buka kembali formulir asesmen, perbaiki sesuai catatan, lalu kirim ulang ke Auditor. Proses ini bisa berulang sampai asesmen lolos ketiga tahap validasi (Auditor → Peninjau → Penyetuju) dan disetujui oleh Penyetuju.
9. Notifikasi di Dashboard
Setiap kali Auditor mengambil keputusan atas asesmen Anda — baik itu meminta perbaikan, menolak, atau meneruskan — Anda akan menerima notifikasi otomatis yang muncul di halaman Beranda (Dashboard). Anda juga akan menerima notifikasi saat asesmen disetujui atau ditutup.
9.1 Jenis Notifikasi
| Tipe Notifikasi | Deskripsi | Yang Harus Dilakukan |
|---|---|---|
| Permintaan Revisi | Auditor meminta Anda memperbaiki jawaban asesmen. Termasuk alasan/komentar dari Auditor. | Buka asesmen melalui tombol "Lihat Asesmen", perbaiki sesuai catatan, lalu kirim ulang. |
| Ditolak | Auditor menolak asesmen Anda. Disertai alasan penolakan. | Periksa alasan penolakan, lakukan perbaikan yang diperlukan, lalu kirim ulang. |
| Disetujui | Asesmen telah disetujui. Data terkunci dan tidak dapat diubah lagi. | Tidak perlu tindakan lebih lanjut. Asesmen sudah final. |
9.2 Mengelola Notifikasi
- Notifikasi ditampilkan di bagian atas halaman Beranda dalam panel berwarna kuning.
- Setiap notifikasi menampilkan judul, alasan/komentar dari Auditor, dan waktu.
- Klik tombol "Lihat Asesmen" untuk langsung menuju halaman asesmen terkait.
- Klik tombol "Tandai Dibaca" untuk menghilangkan notifikasi setelah Anda membacanya.
- Gunakan tombol "Tandai Semua Dibaca" untuk menghapus semua notifikasi sekaligus.
- Jumlah notifikasi belum dibaca juga ditampilkan sebagai badge merah pada ikon lonceng di topbar.
Penting: Pastikan Anda secara rutin memeriksa halaman Beranda untuk notifikasi baru. Notifikasi permintaan revisi berarti Auditor menunggu perbaikan dari Anda — semakin cepat Anda merespons, semakin cepat proses asesmen selesai.