Panduan Pengguna Lengkap IKAS
Kembali
Panduan Pengguna
Instrumen Penilaian Kematangan Keamanan Siber
Panduan lengkap penggunaan sistem untuk semua peran pengguna
Versi 1.0 · April 2026
Made with Passion by WTI

Daftar Isi

1
Pengantar IKAS
Apa itu IKAS, siapa saja yang menggunakan, alur kerja penilaian 3 tahap, struktur asesmen, dan istilah-istilah penting
2
Panduan Registrasi Akun Baru
Langkah-langkah lengkap mendaftarkan instansi dan akun baru di IKAS, termasuk penjelasan detail setiap kolom yang harus diisi
3
Panduan Admin Instansi
Mengelola profil instansi, sistem elektronik, periode asesmen dengan penugasan 4 peran, pengguna, dan menutup asesmen
4
Panduan Pihak Terasesmen
Mengisi penilaian kematangan keamanan siber — memahami domain, kontrol, indeks kematangan 1–5, mengunggah bukti, dan mengirim ke Auditor
5
Panduan Auditor
Memvalidasi jawaban asesmen, memeriksa bukti pendukung, mengisi keterangan validasi, dan meneruskan atau menolak ke tahap berikutnya
6
Panduan Peninjau
Melakukan validasi teknis terhadap asesmen, memeriksa catatan auditor, dan meneruskan ke Penyetuju atau mengembalikan ke Auditor
7
Panduan Penyetuju
Memberikan persetujuan akhir asesmen — memeriksa seluruh tahap validasi, menyetujui atau menolak, dan mengunci data asesmen

Pengantar IKAS

Apa itu IKAS, siapa saja yang menggunakan, alur kerja penilaian 3 tahap, struktur asesmen, dan istilah-istilah penting

1. Apa Itu IKAS?

KS Pertama-tama: Apa Itu "Keamanan Siber"?

Keamanan Siber (Cybersecurity) adalah upaya untuk melindungi sistem komputer, jaringan, dan data dari serangan digital. Serangan digital bisa berupa peretasan (hacking), pencurian data, virus/malware, ransomware (penyanderaan data), atau gangguan layanan (DDoS).

Contoh ancaman keamanan siber:
• Hacker membobol website instansi dan mengubah tampilan (defacing)
• Data pribadi masyarakat dicuri dari database pemerintah
• Ransomware mengenkripsi seluruh data rumah sakit sehingga layanan lumpuh
• Email phishing menipu pegawai untuk memberikan password
• Serangan DDoS membuat website layanan publik tidak bisa diakses
1 IKAS = Instrumen Penilaian Kematangan Keamanan Siber

IKAS adalah sebuah aplikasi berbasis web yang digunakan untuk mengukur seberapa matang (seberapa baik dan lengkap) penerapan keamanan siber di sebuah instansi atau organisasi.

Bayangkan Anda ingin tahu apakah sistem komputer dan jaringan di kantor Anda sudah cukup aman dari serangan-serangan di atas. IKAS membantu Anda menjawab pertanyaan itu dengan cara yang terstruktur, terukur, dan sesuai standar nasional.

BSSN Badan Siber dan Sandi Negara

BSSN adalah lembaga pemerintah Indonesia yang bertugas menjaga keamanan siber nasional. BSSN membuat instrumen/alat ukur yang digunakan dalam IKAS ini.

Analoginya: jika BPS (Badan Pusat Statistik) membuat instrumen untuk sensus penduduk, maka BSSN membuat instrumen untuk "sensus keamanan siber" di instansi pemerintah dan organisasi.

INSTANSI Apa yang Dimaksud "Instansi"?

Dalam konteks IKAS, instansi adalah organisasi yang melakukan penilaian keamanan siber. Bisa berupa:

  • Instansi pemerintah — kementerian, lembaga negara, pemerintah daerah (provinsi/kabupaten/kota)
  • BUMN — Badan Usaha Milik Negara seperti Telkom, PLN, Pertamina
  • Organisasi swasta — perusahaan, yayasan, atau organisasi lain yang ingin mengukur keamanan sibernya
KEMATANGAN Apa Maksudnya "Kematangan" Keamanan Siber?

Kematangan (maturity) dalam konteks ini bukan berarti "tua", melainkan seberapa lengkap, terstruktur, dan efektif penerapan keamanan siber di sebuah organisasi.

Seperti halnya seseorang yang makin dewasa makin bijak mengambil keputusan, organisasi yang "matang" dalam keamanan siber artinya sudah memiliki kebijakan, prosedur, teknologi, dan budaya yang baik untuk melindungi sistemnya.

Contoh sederhana:
Level 1 (sangat belum matang) = Kantor belum punya aturan tentang password sama sekali.
Level 5 (sangat matang) = Kantor punya kebijakan password tertulis, sistem memaksa ganti password berkala, ada monitoring, dan dilakukan evaluasi rutin.

2. Dasar Hukum & Standar Acuan

2 Mengapa Instansi Perlu Melakukan Asesmen Ini?

Penilaian kematangan keamanan siber bukan sekadar "proyek IT", melainkan kewajiban yang diamanatkan oleh berbagai regulasi nasional:

Regulasi Penjelasan Singkat
Perpres 95/2018
SPBE		 Sistem Pemerintahan Berbasis Elektronik (SPBE) — Mengamanatkan bahwa setiap instansi pemerintah harus menerapkan tata kelola dan keamanan dalam penyelenggaraan sistem elektronik. IKAS membantu mengukur salah satu domain keamanan dalam kerangka SPBE.
UU PDP No. 27/2022
Perlindungan Data Pribadi		 Undang-Undang Pelindungan Data Pribadi — Mewajibkan setiap pengelola data pribadi untuk memastikan keamanan data. Penilaian kematangan keamanan siber adalah salah satu cara membuktikan kepatuhan terhadap UU ini.
NIST CSF 2.0
Framework Internasional		 National Institute of Standards and Technology Cybersecurity Framework — Kerangka kerja keamanan siber dari Amerika Serikat yang diakui secara internasional. IKAS mengadopsi struktur domain dari NIST CSF sebagai acuan.

3. Siapa Saja yang Menggunakan IKAS?

IKAS memiliki 6 peran (role) pengguna yang masing-masing memiliki tugas dan akses berbeda. Berikut penjelasan lengkapnya:

Super Admin
Administrator tingkat tertinggi. Mengelola seluruh platform, menyetujui pendaftaran instansi baru, mengimpor data instrumen, mengelola pesan masuk, dan mengatur konfigurasi sistem. Dashboard menampilkan aksi cepat dengan indikator badge (pendaftaran baru, pesan masuk), serta daftar terbaru: instansi, pengguna, sistem elektronik, periode asesmen, dan aktivitas audit.

Siapa: Tim pengelola platform IKAS.
Admin Instansi
Penanggung jawab utama dari sebuah instansi/organisasi. Mendaftarkan instansi, menambah sistem elektronik, membuat periode asesmen, menugaskan 4 peran (Pengisi, Auditor, Peninjau, Penyetuju) pada setiap periode, dan mengelola pengguna di instansinya. Admin Instansi juga dapat mengisi asesmen dan melewati semua tahap validasi secara mandiri (single-user path) serta menutup asesmen.

Siapa: Kepala Bidang TI, Manajer IT, atau pejabat yang ditunjuk.
Pihak Terasesmen (Auditee)
Orang yang mengisi (menjawab) penilaian keamanan siber. Memilih indeks kematangan untuk setiap kontrol, mengupload bukti pendukung, dan menambahkan catatan. Hanya dapat mengakses dan mengisi asesmen yang ditugaskan oleh Admin Instansi. Peran ini tidak memiliki akses ke menu Laporan (Laporan Kematangan, Analisis Kesenjangan) dan Manajemen Risiko (Daftar Risiko, Analisis Risiko). Di halaman Periode Asesmen, hanya menampilkan tombol Isi Asesmen.

Siapa: Staf IT, system administrator, atau pejabat teknis yang memahami kondisi teknis di lapangan.
Auditor
Orang yang meninjau jawaban, memberikan catatan validasi, dan memvalidasi bukti pendukung yang diunggah oleh Pihak Terasesmen. Memastikan penilaian sesuai dengan kondisi faktual. Auditor adalah tahap pertama dari validasi 3-tahap. Memiliki akses ke Laporan Kematangan, Analisis Kesenjangan, Daftar Risiko, dan Analisis Risiko.

Siapa: Auditor internal, konsultan keamanan siber, atau tim pemeriksa yang ditunjuk.
Peninjau (Reviewer)
Orang yang melakukan validasi teknis terhadap jawaban asesmen sebelum proses persetujuan akhir. Memeriksa kesesuaian indeks kematangan dengan bukti dan memberikan rekomendasi. Hanya dapat mengakses dan meninjau asesmen yang ditugaskan oleh Admin Instansi.

Siapa: Peninjau teknis atau konsultan keamanan siber yang memiliki keahlian validasi.
Penyetuju (Approver)
Orang yang memberikan persetujuan akhir pada periode asesmen. Setelah Penyetuju menyetujui, data asesmen akan dikunci (hanya-baca) dan laporan resmi akan dihasilkan secara otomatis.

Siapa: Pimpinan bidang IT, CISO, atau pejabat berwenang yang memiliki otoritas persetujuan akhir.

4. Alur Kerja IKAS dari Awal Hingga Akhir

Berikut adalah gambaran besar bagaimana IKAS digunakan dari awal sampai menghasilkan laporan:

1
Registrasi
Admin Instansi mendaftar & disetujui Super Admin
2
Setup
Tambah sistem elektronik, buat periode, tugaskan 4 peran
3
Isi Asesmen
Pihak Terasesmen yang ditugaskan mengisi penilaian & mengunggah bukti
4
Audit
Auditor memvalidasi jawaban & bukti pendukung
5
Tinjauan
Peninjau melakukan validasi teknis
6
Persetujuan
Penyetuju memberikan persetujuan akhir
7
Laporan
Laporan kematangan, analisis kesenjangan, & analisis risiko
Catatan: Setiap tahap memiliki panduan tersendiri. Lihat menu di sidebar kiri untuk membuka panduan masing-masing peran.
Notifikasi Otomatis: IKAS dilengkapi dengan sistem notifikasi in-app yang membantu koordinasi antara peran. Notifikasi muncul tepat di bawah banner biru Selamat Datang di halaman Beranda (Dashboard) dan mencakup: Notifikasi dapat ditandai sebagai "sudah dibaca" secara individual atau sekaligus.

5. Struktur Penilaian: Domain, Kategori, Subkategori, Kontrol

Penilaian dalam IKAS disusun secara hierarki bertingkat (berjenjang dari umum ke spesifik). Berikut penjelasannya dari tingkat paling atas sampai paling bawah:

DOMAIN Tingkat 1 — Kategori Besar (4 Domain)

Domain adalah kelompok besar area keamanan siber yang dinilai. Ada 4 domain utama, masing-masing diwakili oleh kode 2 huruf:

ID
Identifikasi
Identify
Semua hal yang berkaitan dengan mengenali dan memahami risiko keamanan siber di organisasi. Termasuk inventarisasi aset (komputer, server, jaringan), pembuatan kebijakan, tata kelola, dan identifikasi ancaman.
Contoh kontrol: Apakah organisasi memiliki daftar inventaris semua perangkat IT? Apakah ada kebijakan keamanan informasi yang tertulis?
PR
Proteksi
Protect
Semua hal yang berkaitan dengan melindungi sistem dari ancaman. Termasuk kontrol akses (siapa boleh akses apa), pelatihan karyawan, pengamanan data, dan konfigurasi keamanan.
Contoh kontrol: Apakah setiap pengguna punya username & password unik? Apakah ada pelatihan kesadaran keamanan siber untuk karyawan?
DE
Deteksi
Detect
Semua hal yang berkaitan dengan mendeteksi dan menemukan insiden atau anomali keamanan siber. Termasuk monitoring jaringan, deteksi intrusi, dan pemeriksaan berkala.
Contoh kontrol: Apakah ada sistem pemantauan 24/7 terhadap aktivitas jaringan? Apakah ada prosedur untuk mendeteksi akses yang mencurigakan?
GH
Penanggulangan & Pemulihan
Respond & Recover
Semua hal yang berkaitan dengan merespons insiden dan memulihkan sistem setelah terjadi serangan atau gangguan. Termasuk rencana tanggap insiden, komunikasi krisis, dan pemulihan data.
Contoh kontrol: Apakah ada tim respons insiden (CSIRT)? Apakah ada rencana pemulihan bencana (DRP) yang diuji secara berkala?
HIERARKI Dari Domain Sampai Kontrol

Setiap domain dipecah menjadi tingkatan yang lebih spesifik:

Domain (contoh: ID — Identifikasi) → Kategori (contoh: ID.AM — Asset Management / Pengelolaan Aset) → Subkategori (contoh: ID.AM-1) → Kontrol (contoh: ID.AM-1.a — pertanyaan spesifik yang harus dijawab)

Analogi: Seperti buku pelajaran — Domain = Bab, Kategori = Sub-bab, Subkategori = Topik, Kontrol = Soal yang harus dijawab.

6. Memahami Indeks Kematangan (Level 1–5)

Untuk setiap kontrol (pertanyaan), Pihak Terasesmen harus memilih indeks kematangan dari skala 1 sampai 5. Indeks ini menunjukkan seberapa baik kontrol tersebut sudah diterapkan. Berikut penjelasan detail setiap level:

1
Level 1 — Awal (Initial)
Kontrol keamanan belum diterapkan sama sekali, atau baru dilakukan secara sangat awal dan tidak terstruktur. Belum ada dokumentasi, belum ada prosedur formal, dan penerapan bersifat ad-hoc (dilakukan tanpa rencana, spontan saat dibutuhkan saja).
Contoh: "Kami tahu harus ada kebijakan password, tapi belum ditulis dan belum diterapkan. Setiap orang membuat password sesuka hati."
2
Level 2 — Berulang (Repeatable)
Kontrol sudah mulai diterapkan sebagian, tetapi belum konsisten dan belum sepenuhnya terdokumentasi. Sudah ada kesadaran, beberapa orang sudah melakukannya, tapi belum menjadi standar resmi organisasi.
Contoh: "Beberapa divisi sudah menerapkan aturan password minimal 8 karakter, tapi belum ada SK resmi dan tidak semua divisi mengikuti."
3
Level 3 — Terdefinisi (Defined)
Kontrol sudah diformalkan dalam kebijakan/prosedur tertulis (biasanya berupa SK, SOP, atau NSPK). Sudah diterapkan secara konsisten di seluruh organisasi, dan ada bukti dokumentasinya.
Contoh: "Ada SK Kepala Badan tentang Kebijakan Password yang mewajibkan minimal 12 karakter, kombinasi huruf-angka-simbol, dan ganti setiap 90 hari. Semua sistem sudah dikonfigurasi sesuai ketentuan ini."
4
Level 4 — Terkelola (Managed)
Kontrol sudah diterapkan secara formal dan diukur efektivitasnya. Ada mekanisme monitoring, evaluasi berkala, dan perbaikan berdasarkan data. Organisasi tidak hanya menerapkan, tetapi juga mengawasi apakah penerapannya efektif.
Contoh: "Selain ada SK kebijakan password, kami juga melakukan audit triwulanan untuk memeriksa kepatuhan. Data menunjukkan 95% pengguna sudah patuh. Yang 5% tidak patuh ditindaklanjuti."
5
Level 5 — Inovatif (Optimized)
Kontrol sudah pada tingkat tertinggi dan terus disempurnakan. Organisasi secara proaktif melakukan inovasi dan perbaikan berkelanjutan (continuous improvement). Ada benchmarking dengan standar internasional dan best practices terkini.
Contoh: "Selain semua di atas, kami menggunakan sistem passwordless (biometrik + MFA) untuk menghilangkan risiko password lemah. Kebijakan ditinjau setiap kuartal berdasarkan intelijen ancaman (threat intelligence) terbaru."
Penting: Jangan memilih level yang lebih tinggi dari kondisi sebenarnya hanya agar terlihat bagus. Penilaian harus jujur dan objektif karena hasilnya akan ditinjau dan harus didukung oleh bukti pendukung. Penilaian yang tidak akurat justru berbahaya karena memberikan rasa aman yang palsu.

7. Istilah-Istilah Penting dalam IKAS

Berikut daftar istilah yang sering muncul dalam IKAS beserta penjelasannya:

Istilah Penjelasan
Asesmen Penilaian — proses mengevaluasi atau mengukur sesuatu. Dalam IKAS, asesmen adalah proses menilai tingkat kematangan keamanan siber.
Periode Asesmen Jangka waktu tertentu (biasanya 1 tahun) di mana asesmen dilakukan. Contoh: "Periode Asesmen 2025" berarti penilaian untuk tahun 2025.
Sistem Elektronik Sistem berbasis teknologi yang digunakan oleh instansi dan akan dinilai keamanan sibernya. Bisa berupa website, aplikasi, server, jaringan, sistem kontrol industri, atau perangkat IoT. Setiap periode asesmen menilai satu sistem elektronik.
Kontrol Pertanyaan spesifik yang harus dijawab dalam asesmen. Setiap kontrol menanyakan tentang satu aspek keamanan siber tertentu. Contoh: "Apakah organisasi memiliki kebijakan keamanan informasi yang tertulis?"
Indeks Kematangan Skor dari 1 sampai 5 yang menunjukkan tingkat penerapan sebuah kontrol. 1 = sangat awal, 5 = sangat matang dan inovatif. Lihat penjelasan detail di bagian 6 di atas.
Bukti Pendukung (Evidence) Dokumen atau file yang membuktikan bahwa kontrol sudah diterapkan sesuai indeks yang dipilih. Contoh: SK kebijakan, SOP, tangkapan layar konfigurasi, log audit, sertifikat pelatihan.
Target Level Level kematangan yang ingin dicapai oleh instansi. Ditetapkan saat membuat periode asesmen. Contoh: jika Target Level = 3, artinya instansi menargetkan semua kontrol minimal berada di Level 3 (Terdefinisi).
Gap / Kesenjangan Selisih antara kondisi saat ini dengan target yang diinginkan. Contoh: jika saat ini di Level 2 dan targetnya Level 4, maka gap = 2 level.
Rencana Aksi Korektif (CAP) Rencana Aksi Korektif (Corrective Action Plan) — rencana remediasi terpadu (CISO-grade) yang dihasilkan secara otomatis per kontrol untuk menutup kesenjangan dari level saat ini ke target. Berisi langkah-langkah konkret yang mencakup identifikasi, formalisasi, implementasi, monitoring, dan kesiapan audit.
CAPA Tindakan Korektif dan Preventif (Corrective Action & Preventive Action) — tindakan korektif (memperbaiki masalah yang sudah terjadi) dan preventif (mencegah masalah terjadi lagi). Digunakan dalam modul Daftar Risiko.
Sektor IIV Infrastruktur Informasi Vital — sektor-sektor penting yang jika terganggu dapat berdampak pada kepentingan umum, pelayanan publik, pertahanan, dan keamanan negara. Contoh: Energi, Keuangan, Transportasi, Kesehatan, Telekomunikasi.
SPBE Sistem Pemerintahan Berbasis Elektronik — penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi untuk memberikan layanan yang lebih baik kepada masyarakat.
MFA / 2FA Multi-Factor Authentication / Two-Factor Authentication — metode keamanan login yang membutuhkan lebih dari sekadar password. Biasanya menggunakan kombinasi password + kode dari aplikasi authenticator di HP (TOTP).
TOTP Time-based One-Time Password — kode 6 digit yang berubah setiap 30 detik, dihasilkan oleh aplikasi authenticator (contoh: Google Authenticator, Microsoft Authenticator). Digunakan untuk MFA di IKAS.
Ruang Lingkup Area atau aspek yang dicakup oleh sebuah kontrol. Dalam IKAS ada beberapa ruang lingkup: Tata Kelola (kebijakan & prosedur), Teknologi (konfigurasi teknis), Sumber Daya Manusia (kompetensi orang), dan kombinasinya.
Read-Only / Terkunci Status di mana data tidak bisa diubah lagi. Setelah asesmen disetujui oleh Penyetuju (tahap akhir), semua data asesmen menjadi hanya-baca untuk menjaga integritas dan nilai audit.
SK Surat Keputusan — dokumen resmi dari pejabat berwenang yang menetapkan suatu kebijakan atau keputusan. Contoh: "SK Kepala Badan No. 123/2025 tentang Kebijakan Keamanan Informasi". SK adalah bukti utama bahwa kebijakan sudah diformalkan (Level 3 ke atas).
SOP Standard Operating Procedure (Prosedur Operasi Standar) — dokumen yang menjelaskan langkah-langkah detail untuk menjalankan suatu aktivitas. Contoh: "SOP Backup Data Harian" berisi siapa yang bertanggung jawab, kapan dilakukan, bagaimana caranya, dan apa yang dilakukan jika gagal.
NSPK Norma, Standar, Prosedur, dan Kriteria — istilah di pemerintahan Indonesia untuk dokumen-dokumen regulasi yang mengatur tata cara pelaksanaan suatu tugas. NSPK mencakup SK, SOP, pedoman, dan standar teknis.
CSIRT Computer Security Incident Response Team — tim khusus yang bertugas menangani insiden keamanan siber. Jika terjadi serangan atau kebocoran data, CSIRT adalah tim yang pertama kali merespons dan mengkoordinasikan penanganan.
DRP Disaster Recovery Plan (Rencana Pemulihan Bencana) — rencana tertulis yang menjelaskan langkah-langkah untuk memulihkan sistem IT setelah terjadi bencana atau gangguan besar. Contoh: rencana untuk memulihkan data dari backup jika server utama rusak.
Beranda (Dashboard) Halaman utama yang muncul setelah login. Menampilkan banner selamat datang dengan nama, peran, deskripsi peran, serta instansi & sistem yang ditugaskan. Di bawahnya terdapat notifikasi (jika ada), aksi cepat, dan panel analitik 2 kolom yang ringkas — seperti progres asesmen, skor kematangan, dan status periode. Di IKAS, halaman ini disebut Beranda.
Sidebar Menu navigasi yang terletak di sisi kiri layar. Berisi link ke semua halaman yang bisa Anda akses — seperti Beranda, Isi Asesmen, Kelola Instansi, Laporan, dll. Klik menu di sidebar untuk berpindah halaman.
Cookie Consent Persetujuan Cookie — mekanisme yang meminta persetujuan Anda sebelum mengaktifkan cookie non-esensial. IKAS menggunakan banner cookie consent saat pertama kali Anda mengakses platform. Anda dapat mengatur preferensi cookie kapan saja melalui link "Pengaturan Cookie" di bagian bawah setiap halaman.

8. Fitur Laporan yang Dihasilkan IKAS

Setelah asesmen selesai dan disetujui, IKAS menghasilkan 4 jenis laporan dan analisis utama secara otomatis:

1
Laporan Kematangan
Menampilkan skor kematangan keseluruhan dan per domain (Maturity Report). Dilengkapi radar chart (grafik laba-laba) yang memvisualisasikan perbandingan antara kondisi saat ini dengan target. Anda bisa melihat domain mana yang sudah baik dan domain mana yang perlu diperbaiki.
2
Analisis Kesenjangan & Rencana Aksi Korektif
Menganalisis kesenjangan (gap) antara kondisi saat ini dan target, lalu secara otomatis menghasilkan satu rencana aksi korektif terpadu (CISO-grade) per kontrol — mencakup langkah identifikasi, formalisasi kebijakan, implementasi menyeluruh, monitoring berkala, dan kesiapan audit. Setiap kontrol yang memiliki kesenjangan akan mendapat rencana remediasi yang spesifik dan actionable.
3
Daftar Risiko (Risk Register)
Menampilkan daftar risiko teridentifikasi beserta skor risiko, dampak, kemungkinan, dan tingkat severitas. Dilengkapi fitur CAPA (Corrective Action & Preventive Action) — tindakan korektif dan preventif untuk setiap risiko yang dicatat.
4
Analisis Risiko
Mengidentifikasi risiko keamanan siber secara otomatis (Risk Analysis) berdasarkan kontrol yang memiliki indeks rendah (≤ 2). Dilengkapi skor risiko, peta risiko visual (heat map), tingkat severitas, dampak, kemungkinan, dan rekomendasi mitigasi.
Penting — Laporan Otomatis oleh Sistem

Setiap halaman laporan (Laporan Kematangan, Analisis Kesenjangan, Analisis Risiko) menyertakan Panduan Pembacaan dengan peringatan: seluruh hasil analisis digenerate secara otomatis oleh sistem dan bersifat indikatif. Apabila memerlukan penilaian yang lebih mendalam dan akurat, disarankan untuk menghubungi penyedia layanan audit keamanan siber atau konsultan profesional yang berkompeten.

Semua laporan dapat diekspor ke PDF melalui tombol "Ekspor PDF" yang tersedia di setiap halaman laporan. PDF yang dihasilkan siap cetak dan dapat digunakan untuk keperluan audit, presentasi ke pimpinan, atau pelaporan resmi.

9. Mulai Menggunakan IKAS

Sekarang Anda sudah memahami dasar-dasar IKAS. Lanjutkan membaca panduan sesuai peran Anda:

Panduan Registrasi Akun Baru

Langkah-langkah lengkap mendaftarkan instansi dan akun baru di IKAS, termasuk penjelasan detail setiap kolom yang harus diisi

Sebelum mulai: Pastikan Anda sudah membaca halaman Pengantar IKAS untuk memahami apa itu IKAS dan istilah-istilah yang digunakan. Registrasi ini hanya perlu dilakukan sekali per instansi.

1. Membuka Halaman Registrasi

1 Akses Halaman Registrasi

Buka aplikasi IKAS melalui browser (Google Chrome, Mozilla Firefox, atau Microsoft Edge). Pada halaman login, Anda akan melihat beberapa link di bawah tombol "Masuk ke Sistem":

Di bagian paling bawah halaman login (footer), terdapat juga link "Kebijakan Pengguna" dan "Kebijakan Privasi" yang membuka halaman kebijakan di tab baru.

Di sisi kanan halaman login, terdapat panel informasi yang menampilkan ringkasan tentang IKAS beserta tombol "Baca Panduan Pengguna" yang akan membuka halaman panduan lengkap ini di tab baru.

Anda juga bisa langsung mengakses halaman registrasi dengan menambahkan /register di akhir URL IKAS.

Halaman Login dengan Link Daftar

2. Mengisi Formulir Pendaftaran

Formulir pendaftaran terdiri dari 3 bagian: Data Instansi, Data Pemohon, dan Keamanan Akun. Berikut penjelasan detail untuk setiap kolom:

Bagian A — Data Instansi

Data ini menjelaskan tentang instansi/organisasi Anda. Isi sesuai dengan data resmi instansi.

Nama Instansi Wajib
Nama resmi instansi atau organisasi Anda. Gunakan nama lengkap sesuai yang tertulis di dokumen resmi (SK pendirian, peraturan pembentukan, atau akta perusahaan).
Contoh: "Badan Siber dan Sandi Negara", "Dinas Komunikasi dan Informatika Provinsi Jawa Barat", "PT Telekomunikasi Indonesia Tbk"
Tipe Instansi Wajib
Pilih jenis instansi Anda dari dropdown. Klasifikasi ini menentukan konteks penilaian. Berikut penjelasan setiap tipe:
Tipe Penjelasan & Contoh
Kementerian Lembaga pemerintah tingkat pusat yang dipimpin oleh menteri dan bertanggung jawab kepada presiden.
Contoh: Kementerian Kesehatan, Kementerian Pendidikan, Kementerian Keuangan, Kementerian Pertahanan.
Lembaga Lembaga pemerintah non-kementerian (LPNK), lembaga negara, atau badan pemerintah lainnya.
Contoh: BSSN, BPS, BPKP, LKPP, Badan Pom, KPK, LIPI/BRIN, Bank Indonesia.
Provinsi Pemerintah daerah tingkat provinsi, termasuk dinas-dinas di bawahnya.
Contoh: Pemerintah Provinsi DKI Jakarta, Dinas Kominfo Provinsi Jawa Tengah.
Kabupaten Pemerintah daerah tingkat kabupaten.
Contoh: Pemerintah Kabupaten Bandung, Dinas Kominfo Kabupaten Sleman.
Kota Pemerintah daerah tingkat kota.
Contoh: Pemerintah Kota Surabaya, Dinas Kominfo Kota Yogyakarta.
BUMN Badan Usaha Milik Negara — perusahaan yang seluruh atau sebagian besar modalnya dimiliki negara.
Contoh: PT Telkom Indonesia, PT PLN, PT Pertamina, PT Pos Indonesia, Bank Mandiri.
Swasta Perusahaan swasta, organisasi non-pemerintah, atau entitas privat lainnya yang ingin melakukan asesmen keamanan siber.
Contoh: PT Tokopedia, Yayasan pendidikan, Rumah sakit swasta, Perusahaan fintech.
Email Instansi Wajib
Alamat email resmi yang akan digunakan sebagai username untuk login dan untuk menerima semua notifikasi dari IKAS (verifikasi, persetujuan, dll). Gunakan email instansi, bukan email pribadi seperti Gmail atau Yahoo.
Contoh: admin.it@bssn.go.id, keamanan.siber@diskominfo.jabarprov.go.id, csirt@telkom.co.id
Telepon Opsional
Nomor telepon kontak instansi. Bisa berupa nomor telepon kantor (fixed line) atau nomor HP penanggung jawab.
Contoh: 021-78833610, 08123456789
Sektor IIV Opsional
IIV = Infrastruktur Informasi Vital. Ini adalah sektor-sektor strategis nasional yang jika terganggu dapat berdampak serius pada kepentingan umum, pelayanan publik, dan keamanan negara. Pilih sektor yang paling relevan dengan bidang kerja instansi Anda.
IIV Apa Itu Sektor Infrastruktur Informasi Vital?

Sektor IIV adalah bidang-bidang yang sangat penting bagi kelangsungan hidup masyarakat dan negara. Jika sistem informasi di sektor ini diserang atau terganggu, dampaknya bisa sangat luas.

Contoh sektor IIV:
Energi — PLN, Pertamina, PGN (listrik padam = seluruh aktivitas terhenti)
Keuangan & Perbankan — Bank Indonesia, OJK, bank-bank (gangguan = transaksi keuangan lumpuh)
Transportasi — Penerbangan, kereta api, pelabuhan (gangguan = mobilitas terhambat)
Kesehatan — Rumah sakit, sistem e-Health (gangguan = nyawa terancam)
Telekomunikasi — Telkom, operator seluler (gangguan = komunikasi terputus)
Pangan & Pertanian — Sistem distribusi pangan
Pertahanan & Keamanan — TNI, Polri, intelijen
Layanan Publik — e-Government, SIPD, dukcapil

Jika instansi Anda tidak termasuk dalam sektor IIV di atas, Anda boleh mengosongkan kolom ini.

Alamat Opsional
Alamat lengkap kantor/instansi Anda. Berguna untuk keperluan korespondensi dan identifikasi.
Contoh: Jl. Harsono RM No.70, Ragunan, Pasar Minggu, Jakarta Selatan 12550
Acuan Manajemen Risiko Opsional
Framework (kerangka kerja) manajemen risiko yang saat ini digunakan atau menjadi acuan di instansi Anda. Jika belum ada, boleh dikosongkan.
MR Apa Itu Acuan Manajemen Risiko?

Manajemen Risiko adalah proses mengidentifikasi, menganalisis, dan mengelola risiko (hal-hal buruk yang mungkin terjadi) supaya dampaknya bisa diminimalkan. Acuan adalah standar atau kerangka kerja yang dijadikan pedoman dalam menjalankan manajemen risiko tersebut.

Analogi sederhana: Bayangkan Anda akan membangun rumah. Sebelum membangun, Anda perlu menghitung risiko apa saja yang bisa terjadi (gempa, banjir, kebakaran), lalu memutuskan cara mengatasinya (pondasi anti gempa, saluran air, APAR). "Acuan manajemen risiko" adalah buku pedoman yang mengajarkan Anda bagaimana cara menghitung dan mengelola risiko tersebut secara sistematis.

Acuan yang umum digunakan di Indonesia:
1 ISO 31000 — Standar Internasional Manajemen Risiko

Apa itu? ISO 31000 adalah standar internasional yang diterbitkan oleh International Organization for Standardization (ISO), organisasi dunia yang membuat standar untuk berbagai bidang. ISO 31000 adalah panduan tentang cara mengelola risiko secara umum, berlaku untuk semua jenis organisasi (pemerintah, swasta, besar, kecil).

Apa isinya? Memberikan prinsip, kerangka kerja, dan proses manajemen risiko: mulai dari identifikasi risiko, analisis dampak, evaluasi, hingga mitigasi (tindakan mengurangi risiko).

Mengapa penting? Ini adalah acuan paling umum digunakan di dunia, termasuk di Indonesia. Banyak instansi pemerintah dan perusahaan menggunakan ISO 31000 sebagai dasar kebijakan manajemen risikonya.

Analogi: Seperti "buku resep umum" untuk mengelola risiko — bisa dipakai untuk semua jenis organisasi dan situasi.

Contoh penerapan: Instansi yang menggunakan ISO 31000 biasanya memiliki dokumen Risk Register (daftar risiko) dan melakukan Risk Assessment (penilaian risiko) secara berkala.

2 COSO ERM — Enterprise Risk Management

Apa itu? COSO ERM adalah kerangka kerja manajemen risiko yang dibuat oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO), sebuah organisasi internasional yang terdiri dari 5 asosiasi profesi keuangan dan akuntansi terbesar di dunia.

Apa bedanya dengan ISO 31000? COSO ERM lebih fokus pada tata kelola perusahaan (corporate governance) dan keuangan. Jika ISO 31000 seperti buku resep umum, COSO ERM lebih seperti "buku resep khusus untuk restoran besar" — lebih detail untuk organisasi yang sudah mapan.

Apa isinya? 5 komponen utama: Tata Kelola & Budaya, Strategi & Penetapan Tujuan, Performa, Tinjauan & Revisi, serta Informasi, Komunikasi & Pelaporan.

Mengapa penting? Banyak digunakan oleh BUMN, bank, dan perusahaan besar di Indonesia karena kesesuaiannya dengan standar audit dan pelaporan keuangan.

Contoh penerapan: Bank-bank besar di Indonesia menggunakan COSO ERM untuk mengelola risiko kredit, risiko operasional, dan risiko pasar.

3 Perban BSSN No. 8/2020 — Peraturan BSSN tentang Sistem Pengamanan

Apa itu? Ini adalah peraturan resmi pemerintah Indonesia yang dikeluarkan oleh Badan Siber dan Sandi Negara (BSSN). "Perban" adalah singkatan dari "Peraturan Badan".

Apa isinya? Mengatur tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik. Isinya mencakup kewajiban penyelenggara sistem elektronik untuk menerapkan keamanan informasi, melakukan penilaian risiko, dan melaporkan insiden keamanan siber.

Mengapa penting? Peraturan ini bersifat mengikat secara hukum bagi penyelenggara sistem elektronik di Indonesia, terutama yang mengelola Infrastruktur Informasi Vital (IIV). Jika instansi Anda adalah penyelenggara sistem elektronik, peraturan ini wajib dipatuhi.

Analogi: Jika ISO 31000 adalah "buku panduan umum", maka Perban BSSN ini adalah "undang-undang lalu lintas" — bukan sekadar saran, tapi aturan yang harus diikuti.

Contoh penerapan: Instansi yang mengacu pada Perban ini wajib memiliki Tim Tanggap Insiden Siber (CSIRT), melakukan audit keamanan, dan melaporkan insiden keamanan ke BSSN.

4 PP 71/2019 — Peraturan Pemerintah tentang Penyelenggaraan Sistem dan Transaksi Elektronik

Apa itu? PP 71/2019 adalah Peraturan Pemerintah yang merupakan turunan dari UU ITE (Undang-Undang Informasi dan Transaksi Elektronik). "PP" artinya Peraturan Pemerintah, yaitu aturan yang dibuat oleh presiden untuk melaksanakan undang-undang.

Apa isinya? Mengatur secara detail tentang:
• Kewajiban penyelenggara sistem elektronik (PSE) dalam menjaga keamanan, keandalan, dan kerahasiaan data
• Klasifikasi sistem elektronik (strategis, tinggi, rendah)
• Perlindungan data pribadi (sebelum UU PDP terbit)
• Tata kelola dan pengawasan sistem elektronik

Mengapa penting? PP ini adalah dasar hukum utama yang mengatur kewajiban keamanan bagi semua penyelenggara sistem elektronik di Indonesia, baik pemerintah maupun swasta. Pelanggaran terhadap PP ini dapat dikenai sanksi administratif.

Analogi: Jika sistem elektronik Anda seperti "kendaraan di jalan", maka PP 71/2019 adalah "buku aturan lalu lintas" yang wajib diikuti semua pengendara.

Contoh penerapan: Semua aplikasi e-Government, platform fintech, dan marketplace diwajibkan mendaftar dan memenuhi standar keamanan sesuai PP ini.

5 Kebijakan Internal Instansi

Apa itu? Beberapa instansi memiliki kebijakan atau pedoman manajemen risiko sendiri yang dibuat secara internal, biasanya dalam bentuk Surat Keputusan (SK), Standar Operasional Prosedur (SOP), atau pedoman tertulis lainnya.

Mengapa ada yang membuat sendiri? Karena setiap instansi memiliki karakteristik, risiko, dan kebutuhan yang berbeda. Kebijakan internal biasanya mengadopsi sebagian dari standar internasional (seperti ISO 31000) dan disesuaikan dengan konteks lokal instansi.

Contoh: "Pedoman Manajemen Risiko TI Dinas Kominfo Kota Surabaya", "SOP Manajemen Risiko Keamanan Informasi PT Telkom Indonesia".

Jika instansi Anda menggunakan ini: Tuliskan nama dokumen kebijakan internal tersebut di kolom Acuan Manajemen Risiko.

Bingung memilih? Jika Anda tidak yakin acuan mana yang digunakan instansi Anda, tanyakan ke bagian IT/Kominfo/Keamanan Informasi di instansi Anda. Jika memang belum ada, kosongkan saja — kolom ini opsional.
Acuan Keamanan Siber Opsional
Framework keamanan siber yang saat ini dijadikan acuan oleh instansi Anda. Jika belum ada, boleh dikosongkan.
KS Apa Itu Acuan Keamanan Siber?

Acuan Keamanan Siber adalah standar atau kerangka kerja yang digunakan sebagai pedoman dalam menerapkan keamanan siber (perlindungan sistem komputer, jaringan, dan data dari serangan digital) di organisasi.

Analogi sederhana: Jika organisasi Anda adalah sebuah "benteng", maka acuan keamanan siber adalah buku panduan pertahanan benteng — isinya menjelaskan bagaimana membangun tembok yang kuat, menempatkan penjaga, mengunci pintu gerbang, dan apa yang harus dilakukan jika ada penyerang.

Acuan yang umum digunakan:
1 NIST CSF 2.0 — National Institute of Standards and Technology Cybersecurity Framework

Apa itu? NIST CSF 2.0 adalah kerangka kerja keamanan siber yang dibuat oleh NIST (National Institute of Standards and Technology), sebuah lembaga pemerintah Amerika Serikat yang bertugas mengembangkan standar teknologi. Versi 2.0 adalah versi terbaru yang dirilis tahun 2024.

Apa isinya? NIST CSF membagi keamanan siber menjadi 6 fungsi utama:
Govern (Tata Kelola) — kebijakan dan strategi keamanan
Identify (Identifikasi) — mengenali aset dan risiko
Protect (Proteksi) — membangun perlindungan
Detect (Deteksi) — mendeteksi serangan/ancaman
Respond (Respons) — merespons insiden keamanan
Recover (Pemulihan) — memulihkan layanan setelah insiden

Mengapa penting? NIST CSF adalah acuan utama yang digunakan IKAS ini. BSSN mengadaptasi NIST CSF untuk membuat instrumen penilaian kematangan keamanan siber Indonesia. Jadi jika Anda menggunakan IKAS, secara tidak langsung Anda sudah mengacu pada NIST CSF 2.0.

Analogi: NIST CSF seperti "kurikulum lengkap pertahanan benteng" — mencakup semua aspek dari perencanaan, perlindungan, deteksi, hingga pemulihan setelah serangan.

Siapa yang cocok? Semua jenis organisasi. NIST CSF dirancang fleksibel — bisa digunakan oleh instansi kecil maupun besar, pemerintah maupun swasta.

2 ISO/IEC 27001 — Standar Sistem Manajemen Keamanan Informasi (SMKI/ISMS)

Apa itu? ISO/IEC 27001 adalah standar internasional yang dibuat oleh ISO (International Organization for Standardization) dan IEC (International Electrotechnical Commission). Standar ini mengatur cara membangun, menerapkan, memelihara, dan terus meningkatkan Sistem Manajemen Keamanan Informasi (SMKI) di organisasi.

Apa bedanya dengan NIST CSF?
NIST CSF lebih seperti "panduan/framework" — fleksibel, bisa diterapkan sebagian
ISO 27001 lebih seperti "sertifikasi/ujian" — Anda bisa diaudit dan mendapat sertifikat resmi ISO 27001 yang diakui secara internasional

Apa isinya? ISO 27001 berisi 93 kontrol keamanan yang dikelompokkan dalam 4 tema: Organisasi, Orang, Fisik, dan Teknologi. Contoh kontrol: kebijakan keamanan informasi, kontrol akses, enkripsi, backup, manajemen insiden.

Mengapa penting? ISO 27001 adalah standar keamanan informasi paling diakui di dunia. Banyak instansi pemerintah dan perusahaan Indonesia yang sudah atau sedang mengejar sertifikasi ISO 27001 sebagai bukti bahwa mereka serius mengelola keamanan informasi.

Analogi: Jika NIST CSF adalah "panduan membangun benteng yang kuat", maka ISO 27001 adalah "ujian sertifikasi yang membuktikan benteng Anda memang sudah memenuhi standar internasional".

Contoh penerapan: Bank Indonesia, beberapa kementerian, dan perusahaan teknologi besar Indonesia sudah tersertifikasi ISO 27001.

3 CIS Controls — Daftar Kontrol Keamanan Prioritas dari Center for Internet Security

Apa itu? CIS Controls adalah daftar 18 kontrol keamanan siber yang paling penting, disusun berdasarkan prioritas dari yang paling kritis hingga yang bersifat pelengkap. Dibuat oleh Center for Internet Security (CIS), sebuah organisasi nirlaba internasional yang fokus pada keamanan siber.

Apa bedanya dengan standar lain? CIS Controls lebih praktis dan langsung bisa diterapkan. Jika ISO 27001 adalah "kurikulum lengkap", CIS Controls adalah "daftar 18 hal terpenting yang harus dilakukan dulu" — cocok untuk organisasi yang baru memulai perjalanan keamanan siber.

Contoh isi CIS Controls:
• Kontrol 1: Inventaris dan Pengendalian Aset Perangkat Keras (tahu semua perangkat yang terhubung)
• Kontrol 2: Inventaris dan Pengendalian Aset Perangkat Lunak (tahu semua software yang dipakai)
• Kontrol 3: Perlindungan Data (enkripsi, backup)
• Kontrol 4: Konfigurasi Aman (setting perangkat dengan benar)
• Kontrol 5: Manajemen Akun (siapa yang boleh akses apa)

Analogi: Jika keamanan siber adalah "menjaga rumah dari pencuri", CIS Controls adalah "checklist 18 langkah terpenting": kunci pintu, pasang CCTV, nyalakan alarm, simpan barang berharga di brankas, dst.

Siapa yang cocok? Sangat cocok untuk instansi yang baru mulai menerapkan keamanan siber dan ingin tahu harus mulai dari mana.

4 COBIT — Control Objectives for Information and Related Technologies

Apa itu? COBIT adalah kerangka kerja untuk tata kelola dan manajemen teknologi informasi (IT Governance) yang dibuat oleh ISACA (Information Systems Audit and Control Association), sebuah asosiasi profesional internasional di bidang audit dan keamanan sistem informasi.

Apa bedanya dengan standar keamanan siber lain? COBIT lebih luas cakupannya — bukan hanya tentang keamanan, tapi tentang seluruh tata kelola IT: bagaimana IT dikelola, diawasi, dan diselaraskan dengan tujuan bisnis organisasi. Keamanan siber hanyalah salah satu bagiannya.

Apa isinya? COBIT 2019 (versi terbaru) berisi 40 tujuan tata kelola dan manajemen yang mencakup: perencanaan strategis IT, pengelolaan anggaran IT, manajemen risiko IT, keamanan informasi, manajemen perubahan, dan lainnya.

Mengapa penting? Banyak digunakan oleh instansi pemerintah Indonesia yang menerapkan SPBE (Sistem Pemerintahan Berbasis Elektronik), karena COBIT memberikan panduan lengkap tentang cara mengelola IT secara profesional.

Analogi: Jika NIST CSF dan ISO 27001 fokus pada "keamanan benteng", COBIT fokus pada "bagaimana mengelola seluruh kerajaan secara efisien" — termasuk keuangan, sumber daya, dan strategi, di mana keamanan benteng hanyalah salah satu aspek.

Siapa yang cocok? Instansi atau perusahaan yang ingin mengelola seluruh aspek IT secara profesional, bukan hanya keamanan saja.

5 SNI ISO/IEC 27001:2022 — Standar Nasional Indonesia versi ISO 27001

Apa itu? SNI ISO/IEC 27001:2022 adalah adopsi resmi Indonesia dari standar internasional ISO/IEC 27001. "SNI" artinya Standar Nasional Indonesia, yang diterbitkan oleh BSN (Badan Standardisasi Nasional). Isinya sama persis dengan ISO 27001 internasional, tetapi sudah diadaptasi dan diterjemahkan ke bahasa Indonesia.

Apa bedanya dengan ISO/IEC 27001? Secara isi, tidak ada perbedaan — keduanya adalah standar yang sama. Perbedaannya hanya:
ISO/IEC 27001 diterbitkan oleh ISO internasional (dalam bahasa Inggris)
SNI ISO/IEC 27001:2022 diterbitkan oleh BSN Indonesia (tersedia dalam bahasa Indonesia)

Mengapa penting? Beberapa regulasi Indonesia mewajibkan penggunaan versi SNI untuk sertifikasi di Indonesia. Jadi jika instansi Anda ingin mendapat sertifikasi keamanan informasi yang diakui di Indonesia, gunakan SNI ISO/IEC 27001:2022.

Analogi: Seperti buku teks internasional yang sudah "diterjemahkan dan disahkan" oleh pemerintah Indonesia supaya bisa digunakan secara resmi di Indonesia.

6 Kebijakan Internal Instansi

Apa itu? Beberapa instansi memiliki kebijakan keamanan siber internal yang dibuat sendiri, biasanya dalam bentuk SK Kepala Daerah/Menteri, SOP Keamanan Informasi, atau Pedoman Pengamanan Sistem Elektronik.

Mengapa ada yang membuat sendiri? Kebijakan internal biasanya mengambil sebagian dari standar internasional dan disesuaikan dengan kebutuhan, anggaran, dan kapasitas instansi.

Contoh: "SK Gubernur tentang Kebijakan Keamanan Informasi", "SOP Pengamanan Jaringan Dinas Kominfo", "Pedoman Keamanan Siber PT Pertamina".

Jika instansi Anda menggunakan ini: Tuliskan nama dokumen kebijakan internal tersebut di kolom Acuan Keamanan Siber.

Bingung memilih? Jika tidak yakin, tanyakan ke bagian IT/Kominfo/Keamanan Informasi di instansi Anda. Jika belum ada acuan yang digunakan, kosongkan saja — kolom ini opsional. Anda bisa mengisinya nanti setelah instansi Anda menentukan acuan yang digunakan.
Formulir Registrasi — Data Instansi

Bagian B — Data Pemohon

Data ini tentang Anda sebagai orang yang mendaftarkan instansi. Anda akan menjadi Admin Instansi pertama setelah pendaftaran disetujui.

Nama Lengkap Pemohon Wajib
Nama lengkap Anda sesuai identitas resmi. Nama ini akan tercatat sebagai Admin Instansi yang bertanggung jawab atas akun IKAS instansi Anda.
Contoh: Dr. Budi Santoso, S.Kom., M.T.
Jabatan Pemohon Opsional
Jabatan atau posisi Anda di instansi. Ini membantu Super Admin memverifikasi bahwa orang yang mendaftar memang berwenang mewakili instansi dalam hal keamanan siber.
Contoh: Kepala Bidang Teknologi Informasi, CISO (Chief Information Security Officer — pejabat yang bertanggung jawab atas keamanan informasi), Manajer IT, Direktur Teknologi, Kabag Infrastruktur TI
Siapa yang sebaiknya mendaftar? Idealnya, orang yang mendaftarkan instansi adalah pejabat yang memiliki wewenang dan pengetahuan tentang kondisi keamanan siber di instansi tersebut. Setelah mendaftar, orang ini menjadi Admin Instansi dan bisa menambahkan pengguna lain (Pihak Terasesmen untuk mengisi asesmen, Peninjau untuk meninjau).

Bagian C — Keamanan Akun (Password)

2 Buat Password yang Kuat

Karena IKAS menangani data keamanan siber yang bersifat sensitif, password Anda harus memenuhi standar keamanan yang tinggi:

Persyaratan Penjelasan
Minimal 12 karakter Password harus terdiri dari minimal 12 karakter. Semakin panjang semakin aman. Disarankan 14-20 karakter.
Huruf besar (A-Z) Minimal mengandung satu huruf kapital. Contoh: A, B, K
Huruf kecil (a-z) Minimal mengandung satu huruf kecil. Contoh: a, b, k
Angka (0-9) Minimal mengandung satu angka. Contoh: 1, 7, 0
Simbol/karakter khusus Minimal mengandung satu simbol. Contoh: !, @, #, $, %, ^, &, *
Contoh password yang baik: Keamanan$iber2025!, IKAS_Admin#Bssn99, P@ssw0rd!Instansi2025
Jangan gunakan: Password yang mudah ditebak seperti password123, admin2025, nama instansi, tanggal lahir, atau kata-kata umum. Password ini sangat mudah diretas oleh penyerang.

Masukkan password yang sama persis di kedua kolom (Password dan Konfirmasi Password).

Bagian D — Verifikasi Keamanan (CAPTCHA)

3 Kode Verifikasi Keamanan

Di bagian akhir formulir terdapat CAPTCHA — yaitu gambar berisi teks acak yang harus Anda ketik ulang. Ini adalah langkah keamanan untuk membuktikan bahwa Anda adalah manusia, bukan program otomatis (bot).

3. Mengirim Pendaftaran

4 Klik "Daftarkan Akun"

Setelah semua kolom wajib terisi dengan benar, klik tombol "Daftarkan Akun" di bagian bawah formulir.

Sistem akan melakukan pengecekan:

Jika ada yang kurang atau salah, sistem akan menampilkan pesan kesalahan berwarna merah di bagian atas halaman. Perbaiki data yang bermasalah dan coba lagi.

Halaman Konfirmasi Pendaftaran Berhasil

4. Verifikasi Email

5 Cek Email & Klik Link Verifikasi

Segera setelah pendaftaran berhasil dikirim, IKAS akan mengirim email ke alamat yang Anda daftarkan. Email ini berisi link verifikasi yang harus Anda klik untuk membuktikan bahwa email tersebut benar milik Anda.

Langkah-langkah:

  1. Buka inbox email Anda (gunakan email yang sama dengan yang didaftarkan)
  2. Cari email dari IKAS dengan subjek "Verifikasi Email Pendaftaran"
  3. Buka email tersebut
  4. Klik tombol "Verifikasi Email Saya" di dalam email
  5. Anda akan diarahkan ke halaman IKAS yang mengkonfirmasi bahwa email sudah terverifikasi
Email tidak ditemukan? Coba langkah-langkah berikut:
  • Periksa folder Spam/Junk di email Anda — kadang email otomatis masuk ke folder spam
  • Pastikan Anda mengecek email yang benar (email yang sama dengan yang didaftarkan)
  • Tunggu beberapa menit — pengiriman email bisa memakan waktu 1-5 menit
  • Jika setelah 30 menit masih belum menerima email, hubungi administrator IKAS
Mengapa harus verifikasi email? Verifikasi email memastikan bahwa alamat email yang didaftarkan benar-benar aktif dan dimiliki oleh pendaftar. Ini penting untuk keamanan — supaya notifikasi dan informasi login tidak terkirim ke orang yang salah.
Email Verifikasi dari IKAS

5. Menunggu Persetujuan Super Admin

6 Proses Peninjauan oleh Super Admin

Setelah email berhasil diverifikasi, pendaftaran Anda belum langsung aktif. Pendaftaran Anda masuk ke antrian untuk ditinjau oleh Super Admin (pengelola platform IKAS).

PROSES Mengapa Ada Proses Persetujuan?

Proses persetujuan manual oleh Super Admin diperlukan untuk:

  • Verifikasi identitas — Memastikan yang mendaftar benar-benar mewakili instansi tersebut
  • Mencegah penyalahgunaan — Mencegah pendaftaran palsu atau duplikat
  • Keamanan data — IKAS berisi data sensitif tentang keamanan siber instansi, sehingga akses harus dikontrol ketat

Super Admin akan meninjau data pendaftaran Anda dan memberikan salah satu keputusan:

Disetujui
Pendaftaran Anda diterima. Anda akan menerima email konfirmasi dan bisa langsung login ke IKAS menggunakan email dan kata sandi yang Anda buat saat registrasi. Akun Anda otomatis memiliki peran Admin Instansi.
Ditolak
Pendaftaran Anda ditolak. Anda akan menerima email berisi alasan penolakan. Anda dapat memperbaiki data dan mendaftar ulang. Alasan umum penolakan: data tidak lengkap, instansi sudah terdaftar, atau informasi tidak valid.
Berapa lama prosesnya? Waktu persetujuan tergantung ketersediaan Super Admin. Biasanya 1-3 hari kerja. Anda akan mendapat notifikasi via email segera setelah keputusan dibuat.

6. Login Pertama Kali

7 Masuk ke IKAS Setelah Disetujui

Setelah menerima email bahwa pendaftaran disetujui, Anda bisa langsung login:

  1. Buka halaman login IKAS
  2. Masukkan Email yang Anda daftarkan
  3. Masukkan Password yang Anda buat saat registrasi
  4. Klik "Masuk ke Sistem"

Anda akan masuk ke beranda IKAS dengan peran Admin Instansi. Dari sini Anda bisa mulai mengelola instansi, menambah sistem elektronik, membuat periode asesmen, dan menambah pengguna (Pihak Terasesmen dan Peninjau).

Langkah selanjutnya: Baca Panduan Admin Instansi untuk mempelajari cara mengelola instansi dan memulai asesmen keamanan siber.

7. Lupa Password

8 Cara Meminta Reset Password

Jika Anda lupa password, IKAS menyediakan fitur Lupa Password yang juga memerlukan persetujuan Super Admin (untuk keamanan):

  1. Di halaman login, klik link "Lupa Password?"
  2. Masukkan email yang terdaftar di IKAS
  3. Opsional: tulis alasan kenapa perlu reset password
  4. Klik "Kirim Permintaan"
  5. Permintaan Anda akan dikirim ke Super Admin untuk ditinjau
  6. Jika disetujui, Anda akan menerima email berisi password baru sementara
  7. Login dengan password baru tersebut, lalu segera ganti dengan password pilihan Anda sendiri
Keamanan: Password baru yang dikirim via email bersifat sementara. Sistem akan memaksa Anda mengganti password saat login pertama kali menggunakan password sementara tersebut.

Panduan Admin Instansi

Mengelola profil instansi, sistem elektronik, periode asesmen dengan penugasan 4 peran, pengguna, dan menutup asesmen

Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Admin Instansi — yaitu orang yang bertanggung jawab mengelola instansi, sistem elektronik, periode asesmen, dan pengguna di dalam IKAS.

1. Login & Beranda

1 Login ke Sistem IKAS

Buka halaman login IKAS melalui browser dan masukkan:

Jika instansi Anda mengaktifkan MFA (Multi-Factor Authentication), Anda juga akan diminta memasukkan kode 6 digit dari aplikasi authenticator (seperti Google Authenticator atau Microsoft Authenticator).

MFA Apa Itu MFA / Multi-Factor Authentication?

MFA adalah lapisan keamanan tambahan saat login. Selain memasukkan password, Anda juga harus memasukkan kode verifikasi yang dihasilkan oleh aplikasi di HP Anda. Kode ini berubah setiap 30 detik, sehingga meskipun seseorang mengetahui password Anda, mereka tetap tidak bisa login tanpa HP Anda.

Analogi: Seperti brankas yang butuh 2 kunci — password adalah kunci pertama, kode MFA adalah kunci kedua. Keduanya harus ada untuk membuka.
Halaman Login IKAS
2 Memahami Beranda

Setelah login berhasil, Anda akan melihat Beranda (halaman utama) yang menampilkan tata letak ringkas dan profesional:

  1. Banner Selamat Datang — menampilkan nama Anda, peran (Admin Instansi) beserta deskripsi tugas, dan nama instansi
  2. Notifikasi (jika ada) — muncul tepat di bawah banner biru, menampilkan pembaruan status asesmen atau informasi penting lainnya
  3. Aksi Cepat — tombol pintasan: Periode Asesmen, Kelola Pengguna, Profil Instansi, Pantau Asesmen, Laporan Kematangan, dan Pusat Bantuan
  4. Panel Kiri — Status Periode Asesmen dan Progres Pengisian per domain
  5. Panel Kanan — Skor Kematangan Terakhir (jika ada periode disetujui) dan Sistem Elektronik Instansi
  6. Periode Terbaru — tabel periode asesmen terkini
NAV Menu Navigasi (Sidebar)

Di sisi kiri layar terdapat sidebar — yaitu menu navigasi berupa daftar link yang bisa Anda klik untuk berpindah antar halaman. Menu yang tersedia untuk Admin Instansi dikelompokkan sebagai berikut:

Asesmen:

  • Beranda — halaman utama setelah login, menampilkan ringkasan analitik
  • Kelola Instansi — melihat dan mengedit profil instansi serta sistem elektronik
  • Periode Asesmen — membuat dan mengelola periode penilaian
  • Isi Asesmen — melihat formulir asesmen dan memantau progres pengisian

Laporan:

  • Laporan Kematangan — melihat laporan tingkat kematangan keamanan siber
  • Analisis Kesenjangan — melihat analisis kesenjangan dan rencana aksi korektif

Manajemen Risiko:

  • Daftar Risiko — mengelola daftar risiko (risk register) dan CAPA
  • Analisis Risiko — melihat analisis risiko otomatis dan peta risiko (heat map)

Peninjauan:

  • Persetujuan — memvalidasi, meninjau, dan menyetujui asesmen melalui 3 tahap (Audit, Tinjauan, Persetujuan)

Bantuan:

  • Pusat Bantuan — sistem tiket bantuan dan komunikasi internal

Administrasi:

  • Kelola Pengguna — menambah dan mengelola pengguna (Auditor, Pihak Terasesmen, Peninjau, Penyetuju)

Panduan:

  • Panduan Pengguna — membuka halaman panduan lengkap di tab baru

Di bagian paling bawah sidebar terdapat link "Kebijakan Pengguna" dan "Kebijakan Privasi".

Beranda Admin Instansi

2. Mengelola Profil Instansi

3 Lihat & Edit Profil Instansi

Klik menu "Kelola Instansi" di sidebar (menu navigasi di sisi kiri layar). Di sini Anda dapat melihat dan memperbarui informasi instansi Anda:

Data Keterangan
Nama InstansiNama resmi instansi (dapat diubah jika ada perubahan nama resmi)
TipeKementerian, Lembaga, Provinsi, Kabupaten, Kota, BUMN, atau Swasta
Email & TeleponEmail kontak dan nomor telepon instansi
Sektor IIVSektor Infrastruktur Informasi Vital (lihat penjelasan di Panduan Registrasi)
AlamatAlamat lengkap kantor instansi
Acuan Manajemen RisikoFramework manajemen risiko yang digunakan (contoh: ISO 31000)
Acuan Keamanan SiberFramework keamanan siber yang digunakan (contoh: NIST CSF 2.0, ISO 27001)

Klik tombol "Edit" untuk memperbarui data. Setelah selesai, klik "Simpan".

Halaman Kelola Instansi & Formulir Edit

3. Menambah Sistem Elektronik

Sebelum memulai asesmen, Anda harus menambahkan Sistem Elektronik yang akan dinilai keamanan sibernya.

SE Apa Itu Sistem Elektronik?

Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik.

Dalam bahasa sederhana: semua sistem berbasis teknologi yang digunakan oleh instansi Anda — mulai dari website, aplikasi, server, jaringan, sampai sistem kontrol mesin di pabrik.

Contoh: Website resmi instansi, Aplikasi SIPD, Sistem e-Office, Mail server, Sistem SCADA pembangkit listrik, Sistem absensi wajah, Smart CCTV.
4 Tambah Sistem Elektronik

Di halaman detail instansi, klik tombol "Tambah Sistem Elektronik". Isi informasi berikut:

Nama Sistem Wajib
Nama dari sistem elektronik yang akan dinilai. Gunakan nama yang jelas dan mudah dikenali.
Contoh: "SIMRS (Sistem Informasi Manajemen Rumah Sakit)", "Portal e-Government Kota Bandung", "SCADA Distribusi Listrik Jawa Bali"
Jenis Sistem Wajib
Pilih jenis/klasifikasi yang paling sesuai dengan karakteristik sistem elektronik yang akan diasesmen. Klasifikasi ini mengacu pada standar IKAS BSSN.

Berikut penjelasan detail untuk setiap jenis sistem elektronik:

IT
Information Technology
Teknologi Informasi
Sistem informasi berbasis teknologi informasi yang digunakan untuk memproses, menyimpan, dan mengirimkan data secara digital. Ini adalah jenis sistem yang paling umum ditemukan di hampir semua instansi — mulai dari website, email, sampai aplikasi bisnis.

Ciri-ciri: Beroperasi di komputer/server, menangani data digital, diakses melalui jaringan/internet, digunakan oleh pengguna (manusia) untuk bekerja.
Contoh:
Website resmi instansi — portal informasi publik yang diakses masyarakat
Aplikasi internal — SIPD (Sistem Informasi Pemerintahan Daerah), e-Office (surat menyurat elektronik), e-Budgeting
Email server — sistem email organisasi (contoh: Microsoft Exchange, Zimbra)
Database — penyimpanan data seperti MySQL, PostgreSQL, Oracle
ERP — Enterprise Resource Planning (SAP, Oracle ERP) untuk mengelola proses bisnis
Cloud services — layanan berbasis cloud seperti Google Workspace, Microsoft 365, AWS
Sistem e-Government — LAPOR!, SPBE, portal perizinan online
OT
Operational Technology
Teknologi Operasional
Sistem yang digunakan untuk mengontrol dan memonitor peralatan fisik, proses industri, atau infrastruktur secara langsung. Berbeda dengan IT yang menangani data/informasi, OT menangani proses fisik di dunia nyata — seperti mengalirkan listrik, mengatur aliran air, atau mengendalikan mesin produksi.

Ciri-ciri: Terhubung langsung ke peralatan fisik (motor, valve, sensor), beroperasi secara real-time, gangguan bisa berdampak fisik langsung (listrik padam, air berhenti mengalir, mesin berhenti).
Contoh:
SCADA (Supervisory Control and Data Acquisition) — sistem pengawasan dan pengendalian jarak jauh, misalnya untuk pengawasan distribusi air minum atau jaringan listrik
Sistem kontrol pembangkit listrik — mengatur operasi turbin, generator, dan distribusi daya
BMS (Building Management System) — mengontrol AC, lift, pencahayaan, dan sistem kebakaran di gedung
Traffic Management System — mengatur lampu lalu lintas di persimpangan jalan
DCS (Distributed Control System) — sistem kontrol di pabrik petrokimia, pengolahan minyak
IoT
Internet of Things
Internet untuk Segala / Perangkat Terhubung
Perangkat fisik yang terhubung ke jaringan/internet untuk mengumpulkan dan bertukar data secara otomatis, tanpa perlu banyak campur tangan manusia. Perangkat IoT biasanya kecil, tersebar di banyak lokasi, dan mengirim data secara terus-menerus.

Ciri-ciri: Perangkat fisik kecil dengan sensor/aktuator, terhubung ke internet/jaringan, mengirim data otomatis, biasanya berjumlah banyak dan tersebar.
Contoh:
Sensor cuaca/banjir — sensor yang dipasang di sungai untuk memonitor ketinggian air secara otomatis
CCTV terkoneksi jaringan (IP Camera) — kamera pengawas yang bisa diakses dari jarak jauh via internet
Smart meter listrik/air — meteran yang mengirim data penggunaan secara otomatis ke pusat (tidak perlu dicatat manual)
Perangkat absensi wajah (face recognition) — alat absensi pegawai yang menggunakan pengenalan wajah
Smart parking system — sensor di area parkir yang mendeteksi ketersediaan tempat parkir
Wearable health device — alat pemantau kesehatan pasien di rumah sakit
KV
Konvergensi (Gabungan IT/OT/IoT)
Convergence — Integrasi Multi-Teknologi
Sistem yang menggabungkan dua atau lebih jenis teknologi (IT, OT, IoT) dalam satu ekosistem terintegrasi. Dalam dunia modern, banyak sistem yang tidak bisa dikategorikan murni sebagai IT atau OT saja, melainkan gabungan dari semuanya.

Ciri-ciri: Terdiri dari komponen IT (server, database, aplikasi) + komponen OT/IoT (sensor, kontrol fisik), data dari perangkat fisik diolah oleh sistem informasi, keputusan bisa dibuat secara otomatis berdasarkan data real-time.
Contoh:
Smart City Platform (IT + IoT + OT) — platform kota pintar yang mengintegrasikan data dari sensor cuaca, CCTV, lampu jalan cerdas, dan sistem informasi kependudukan
Sistem rumah sakit terintegrasi (IT + IoT) — SIMRS yang terhubung dengan alat monitor pasien dan perangkat medis
Sistem distribusi listrik pintar / Smart Grid (OT + IoT) — jaringan listrik yang menggunakan smart meter dan sensor untuk optimasi distribusi
Command Center daerah (IT + IoT + OT) — pusat kendali yang memonitor lalu lintas, keamanan, cuaca, dan layanan publik secara real-time
Sistem pelabuhan modern (IT + OT + IoT) — integrasi antara sistem logistik, crane otomatis, dan sensor container
Bingung memilih jenis? Jika sistem Anda sepenuhnya berbasis komputer/server/aplikasi tanpa koneksi ke peralatan fisik, pilih IT. Jika ada komponen sensor atau kontrol peralatan fisik, pertimbangkan OT, IoT, atau Konvergensi sesuai penjelasan di atas.
Deskripsi Opsional
Penjelasan singkat tentang fungsi dan cakupan sistem elektronik yang dinilai. Deskripsi ini membantu tim peninjau memahami konteks saat meninjau asesmen.
Contoh: "Sistem Informasi Manajemen Rumah Sakit (SIMRS) yang mengelola data pasien, rekam medis elektronik, billing, dan farmasi. Terintegrasi dengan alat monitor bedside pasien ICU."
Formulir Tambah Sistem Elektronik

4. Membuat Periode Asesmen

PA Apa Itu Periode Asesmen?

Periode Asesmen adalah satu siklus penilaian kematangan keamanan siber untuk satu sistem elektronik dalam satu tahun tertentu. Setiap periode asesmen berdiri sendiri dan memiliki hasilnya masing-masing.

Analogi: Seperti ujian semester — setiap semester (periode) ada ujiannya sendiri, untuk mata pelajaran tertentu (sistem elektronik), dan ada nilai targetnya (target level).
5 Buat Periode Asesmen Baru

Klik menu "Periode Asesmen" di sidebar, lalu klik tombol "Buat Periode Baru". Isi informasi berikut:

Sistem Elektronik Wajib
Pilih sistem elektronik yang akan dinilai dari daftar sistem yang sudah Anda tambahkan sebelumnya (langkah 4). Setiap periode asesmen menilai satu sistem elektronik.
Tahun Pengukuran Wajib
Tahun di mana asesmen dilakukan. Biasanya tahun berjalan.
Contoh: 2025, 2026
Target Level Kematangan
Level kematangan yang ingin dicapai oleh instansi. Nilainya antara 1 sampai 5 (Awal, Berulang, Terdefinisi, Terkelola, Inovatif). Bisa dikosongkan jika belum ditentukan.
Rentang Target Nilai
Rentang indeks target yang ingin dicapai (0.00 — 5.00). Terdiri dari nilai minimum dan maksimum.
Pihak Terasesmen (Pengisi)
Pilih pengguna yang ditugaskan untuk mengisi asesmen. Dropdown menampilkan daftar pengguna dengan peran Pihak Terasesmen atau Admin Instansi.
Auditor (Pemeriksa)
Pilih pengguna yang ditugaskan untuk memvalidasi jawaban dan bukti pendukung. Dropdown menampilkan pengguna dengan peran Auditor atau Admin Instansi. Auditor memeriksa kebenaran jawaban setelah Pengisi mengirimkan asesmen.
Peninjau (Reviewer)
Pilih pengguna yang ditugaskan untuk melakukan validasi teknis asesmen. Dropdown menampilkan pengguna dengan peran Peninjau atau Admin Instansi. Peninjau memeriksa asesmen setelah Auditor memvalidasi.
Penyetuju (Approver)
Pilih pengguna yang ditugaskan untuk memberikan persetujuan akhir. Dropdown menampilkan pengguna dengan peran Penyetuju atau Admin Instansi. Setelah Penyetuju menyetujui, data asesmen akan terkunci.
Penting — Penugasan 4 Peran: Dengan memilih Pihak Terasesmen, Auditor, Peninjau, dan Penyetuju pada formulir ini, Anda menentukan siapa yang bertanggung jawab di setiap tahap asesmen. Pengguna yang tidak ditugaskan tidak akan bisa melihat atau mengakses periode asesmen ini. Sebagai Admin Instansi, Anda sendiri tetap dapat melewati semua tahap secara mandiri (single-user path).
TL Bagaimana Menentukan Target Level yang Tepat?

Target Level adalah ambisi organisasi Anda. Pertimbangkan faktor-faktor ini:

  • Kondisi saat ini — Jika instansi baru mulai, target Level 3 sudah ambisius dan realistis
  • Sifat data yang dikelola — Instansi yang mengelola data sensitif (keuangan, kesehatan, pertahanan) sebaiknya menarget Level 4 atau 5
  • Regulasi — Beberapa regulasi mewajibkan level tertentu
  • Sumber daya — Target harus realistis sesuai anggaran dan SDM yang tersedia
Rekomendasi umum:
• Instansi yang baru pertama kali asesmen → Target Level 3 (Terdefinisi)
• Instansi yang sudah pernah asesmen sebelumnya → Target Level 4 (Terkelola)
• Instansi di sektor IIV kritis (energi, keuangan, pertahanan) → Target Level 4 atau 5

Setelah dibuat, periode asesmen akan berstatus "Draf" — artinya siap untuk diisi oleh Pihak Terasesmen.

STATUS Alur Status Periode Asesmen

Setiap periode asesmen memiliki status yang berubah seiring proses berjalan:

1
Draf
Baru dibuat, siap diisi Pihak Terasesmen
2
Asesmen
Pengisi mengisi jawaban & bukti
3
Audit
Auditor memvalidasi jawaban & bukti
4
Ditinjau
Peninjau melakukan validasi teknis
5
Persetujuan
Penyetuju memberikan persetujuan akhir
6
Disetujui
Data terkunci, laporan tersedia
Catatan: Setiap tahap (Audit, Tinjauan, Persetujuan) dapat menolak atau meminta revisi. Penolakan dikembalikan ke tahap sebelumnya: Auditor → Pengisi, Peninjau → Auditor, Penyetuju → Peninjau. Admin Instansi juga dapat menutup asesmen yang sudah disetujui.
Formulir Buat Periode Asesmen

5. Mengelola Pengguna

6 Tambah Pengguna

Untuk menjalankan asesmen, Anda perlu menambahkan pengguna dengan peran yang sesuai. Klik menu "Kelola Pengguna" di sidebar, lalu klik "Tambah Pengguna".

Nama Lengkap Wajib
Nama lengkap pengguna yang akan ditambahkan.
Email Wajib
Email yang akan digunakan pengguna untuk login. Disarankan menggunakan email instansi.
Peran Wajib
Pilih peran pengguna. Sebagai Admin Instansi, Anda dapat menugaskan 4 peran berikut:
Auditor
Orang yang bertugas memvalidasi jawaban dan bukti pendukung yang diisi oleh Pihak Terasesmen. Tahap pertama dari proses validasi 3-tahap. Biasanya auditor internal atau konsultan keamanan siber.
Pihak Terasesmen (Pengisi)
Orang yang bertugas mengisi penilaian — memilih indeks kematangan, mengupload bukti, dan menambah catatan. Biasanya staf IT atau orang yang memahami kondisi teknis di lapangan.
Peninjau (Reviewer)
Orang yang bertugas meninjau dan memvalidasi secara teknis jawaban asesmen setelah Auditor memvalidasi. Tahap kedua dari proses validasi 3-tahap. Biasanya konsultan keamanan atau pimpinan bidang IT.
Penyetuju (Approver)
Orang yang bertugas memberikan persetujuan akhir terhadap asesmen. Tahap ketiga dan terakhir — setelah disetujui, data asesmen terkunci permanen. Biasanya pimpinan IT atau CISO.

Pengguna yang baru ditambahkan akan menerima email verifikasi beserta kredensial login (password yang digenerate oleh sistem secara acak). Mereka wajib mengganti password saat login pertama kali.

Penting: Pengguna yang Anda buat hanya akan terkait dengan instansi Anda. Anda tidak dapat membuat pengguna untuk instansi lain. Pastikan email yang didaftarkan benar karena kredensial login dikirim ke email tersebut.
Formulir Tambah Pengguna

6. Pemantauan Progres Asesmen

7 Pantau Progres Pengisian

Setelah Pihak Terasesmen mulai mengisi asesmen, Anda bisa memantau progresnya. Klik menu "Isi Asesmen" di sidebar dan pilih periode yang aktif.

Anda akan melihat informasi berikut untuk setiap domain:

Gunakan informasi ini untuk mengingatkan Pihak Terasesmen jika ada bagian yang belum terisi menjelang tenggat waktu.

Halaman Progres Asesmen per Domain

7. Laporan & Analisis

8 Mengakses Laporan

Setelah asesmen diisi dan disetujui oleh Penyetuju (persetujuan akhir tahap 3), Anda dapat mengakses 3 jenis laporan melalui menu di sidebar:

Laporan Isi & Manfaat Export
Laporan Kematangan Menampilkan indeks kematangan keseluruhan dan per domain. Dilengkapi radar chart (grafik berbentuk jaring laba-laba) yang memvisualisasikan perbandingan antara skor saat ini dan target. Juga menampilkan detail per kategori dan status tiap domain (Level 1-5). PDF, XLSX
Analisis Kesenjangan & Rencana Aksi Korektif Menampilkan kesenjangan (gap) antara kondisi saat ini dengan target, untuk setiap kontrol yang belum mencapai target. Sistem menghasilkan satu rencana aksi korektif terpadu (CISO-grade) per kontrol — mencakup identifikasi, formalisasi, implementasi, monitoring, dan kesiapan audit — beserta prioritas dan analisis risiko. PDF
Analisis Risiko Menampilkan identifikasi risiko otomatis berdasarkan kontrol dengan indeks rendah. Dilengkapi skor risiko, peta risiko visual (heat map) berupa tabel warna, tingkat severitas, dampak, kemungkinan, dan rekomendasi mitigasi. Juga termasuk Daftar Risiko (Risk Register) dan pemantauan CAPA. PDF

Setiap halaman laporan memiliki tombol "Ekspor PDF" berwarna merah di bagian atas halaman. Klik tombol ini untuk membuka versi cetak yang bisa disimpan sebagai file PDF melalui browser.

Penting — Laporan Otomatis oleh Sistem

Di setiap halaman laporan terdapat Panduan Pembacaan dengan peringatan bahwa seluruh hasil analisis digenerate secara otomatis oleh sistem dan bersifat indikatif. Untuk penilaian yang lebih mendalam, hubungi penyedia layanan audit keamanan siber atau konsultan profesional.

Tips: Laporan PDF yang dihasilkan bersifat print-ready — sudah diformat untuk ukuran kertas A4 dan bisa langsung dicetak atau dilampirkan dalam dokumen audit resmi.
Halaman Laporan Kematangan dengan Radar Chart

Panduan Pihak Terasesmen

Mengisi penilaian kematangan keamanan siber — memahami domain, kontrol, indeks kematangan 1–5, mengunggah bukti, dan mengirim ke Auditor

Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Pihak Terasesmen (Auditee) — yaitu orang yang bertugas mengisi penilaian kematangan keamanan siber di IKAS. Anda akan memilih indeks kematangan untuk setiap kontrol, mengunggah bukti pendukung, dan menambahkan catatan.
Akses Berdasarkan Penugasan: Sebagai Pihak Terasesmen, Anda hanya dapat melihat dan mengisi asesmen yang ditugaskan kepada Anda oleh Admin Instansi. Jika Anda tidak melihat periode asesmen yang diharapkan, hubungi Admin Instansi Anda untuk memastikan Anda sudah ditugaskan pada periode tersebut melalui formulir Periode Asesmen.
Menu Sidebar untuk Pihak Terasesmen: Sebagai Pihak Terasesmen, menu sidebar Anda lebih ringkas dibandingkan peran lain. Anda tidak memiliki akses ke menu Laporan (Laporan Kematangan, Analisis Kesenjangan) dan Manajemen Risiko (Daftar Risiko, Analisis Risiko). Menu yang tersedia untuk Anda meliputi:
Di halaman Periode Asesmen, kolom Aksi hanya menampilkan tombol "Isi Asesmen" untuk langsung melanjutkan pengisian. Anda tidak melihat tombol Edit, Laporan, atau perubahan status lainnya.

1. Login & Navigasi Awal

1 Login ke Sistem

Login menggunakan email dan password yang diberikan oleh Admin Instansi Anda. Jika ini adalah login pertama kali, sistem akan meminta Anda mengganti password default dengan password baru pilihan Anda sendiri.

Setelah login, Anda akan melihat Beranda yang menampilkan:

  1. Banner Selamat Datang — menampilkan nama Anda, peran (Pihak Terasesmen) beserta deskripsi tugas, dan nama instansi serta sistem elektronik yang ditugaskan kepada Anda
  2. Notifikasi (jika ada) — muncul tepat di bawah banner biru, misalnya permintaan revisi dari Auditor atau status persetujuan asesmen
  3. Aksi Cepat — tombol pintasan: Isi Asesmen, Periode Asesmen, Panduan Pengisian, dan Pusat Bantuan
  4. Panel Kiri — Status Periode Asesmen dan Progres Pengisian
  5. Panel Kanan — Skor Kematangan Terakhir (jika ada periode yang sudah disetujui)
  6. Periode Terbaru — tabel periode asesmen terkini yang ditugaskan ke Anda
Login pertama kali? Password default yang dikirim via email bersifat sementara. Anda wajib menggantinya dengan password baru yang kuat (minimal 12 karakter, kombinasi huruf besar-kecil, angka, dan simbol). Lihat panduan registrasi untuk detail persyaratan password.
Beranda Pihak Terasesmen Setelah Login

2. Memahami Struktur Asesmen

Sebelum mulai mengisi, penting untuk memahami bagaimana asesmen IKAS disusun. Penilaian dibagi secara hierarki bertingkat:

HIERARKI Tingkatan Penilaian dari Atas ke Bawah

Domain → Kategori → Subkategori → Kontrol

  • Domain = kelompok besar area keamanan (ada 4: ID, PR, DE, GH)
  • Kategori = sub-area dalam domain (contoh: ID.AM = Asset Management)
  • Subkategori = topik spesifik dalam kategori (contoh: ID.AM-1)
  • Kontrol = pertanyaan spesifik yang harus Anda jawab (contoh: ID.AM-1.a)
Analogi: Seperti buku ujian — Domain = Bab, Kategori = Sub-bab, Subkategori = Topik, Kontrol = Soal. Anda menjawab setiap "soal" dengan memilih indeks kematangan 1-5.
2 Navigasi ke Halaman Asesmen

Klik menu "Isi Asesmen" di sidebar (menu di sisi kiri layar). Pilih periode asesmen yang sedang aktif.

Anda akan melihat 4 domain penilaian yang masing-masing dapat diklik:

ID
Identifikasi
Kebijakan keamanan, tata kelola, identifikasi aset, penilaian risiko. Menilai apakah organisasi sudah mengenali dan memahami lingkungan keamanan sibernya.
PR
Proteksi
Kontrol akses, pelatihan SDM, pengamanan data, konfigurasi keamanan. Menilai apakah organisasi sudah melindungi sistem dan datanya.
DE
Deteksi
Monitoring, deteksi anomali/intrusi, evaluasi keamanan. Menilai kemampuan organisasi mendeteksi insiden dan ancaman siber.
GH
Penanggulangan & Pemulihan
Respons insiden, komunikasi, rencana pemulihan. Menilai kesiapan organisasi dalam menanggulangi dan memulihkan diri setelah insiden siber.

Klik salah satu domain untuk melihat daftar subkategori-nya. Kemudian klik subkategori untuk membuka formulir penilaian kontrol.

Halaman Asesmen — Daftar Domain dan Subkategori

3. Mengisi Formulir Kontrol — Memilih Indeks Kematangan

Ini adalah inti dari proses asesmen. Untuk setiap kontrol, Anda harus memilih Indeks Kematangan dari skala 1 sampai 5 yang paling sesuai dengan kondisi aktual di instansi Anda.

3 Cara Memilih Indeks Kematangan yang Tepat

Di halaman formulir kontrol, setiap kontrol menampilkan:

Bacalah deskripsi setiap indeks dengan seksama! Deskripsi ini menjelaskan secara spesifik apa yang harus sudah diterapkan untuk setiap level. Pilih level yang paling sesuai dengan kondisi nyata, bukan kondisi yang diharapkan.

Penyimpanan jawaban: Setiap kali Anda memilih indeks dan mengklik tombol "Simpan" pada sebuah kontrol, jawaban Anda langsung tersimpan di server. Anda tidak perlu mengisi semua kontrol sekaligus — Anda bisa mengisi beberapa kontrol hari ini, lalu melanjutkan besok. Progress Anda tidak akan hilang selama Anda sudah menekan tombol "Simpan" di setiap kontrol yang diisi.

Bukti Pendukung otomatis muncul: Setelah Anda menekan tombol "Simpan" dan tulisan "Tersimpan" berwarna hijau muncul, formulir unggah Bukti Pendukung akan langsung tampil di bawah kontrol tersebut tanpa perlu me-refresh halaman. Anda bisa langsung mengunggah bukti pendukung setelah menyimpan jawaban.
1
Level 1 — Awal (Initial)
Belum diterapkan sama sekali atau baru sangat awal. Belum ada dokumentasi, belum ada prosedur, penerapan bersifat ad-hoc (hanya saat dibutuhkan, tanpa rencana).
Contoh: "Kami tahu harus ada backup data, tapi belum pernah melakukannya secara rutin. Kadang-kadang backup dilakukan jika ada yang ingat."
2
Level 2 — Berulang (Repeatable)
Sudah mulai diterapkan sebagian, ada kesadaran, tapi belum konsisten dan belum terdokumentasi resmi. Beberapa orang/divisi sudah melakukan, tapi belum menjadi standar organisasi.
Contoh: "Tim IT sudah melakukan backup mingguan ke hard disk eksternal, tapi belum ada SOP tertulis. Tidak semua server di-backup."
3
Level 3 — Terdefinisi (Defined)
Sudah diformalkan dalam kebijakan/prosedur tertulis (SK, SOP, atau NSPK). Diterapkan secara konsisten di seluruh organisasi dan ada bukti dokumentasi.
Contoh: "Ada SOP Backup yang mewajibkan backup harian untuk semua server produksi. Backup disimpan di lokasi terpisah. SOP ditandatangani Kepala Bidang TI."
4
Level 4 — Terkelola (Managed)
Sudah diformalkan dan diukur efektivitasnya. Ada monitoring, evaluasi berkala, dan perbaikan berdasarkan data. Tidak hanya menerapkan, tapi juga mengawasi apakah efektif.
Contoh: "Selain ada SOP backup, dilakukan audit triwulanan untuk memastikan backup berhasil. Ada laporan keberhasilan/kegagalan backup. Kegagalan ditindaklanjuti dalam 24 jam."
5
Level 5 — Inovatif (Optimized)
Tingkat tertinggi — terus disempurnakan. Organisasi proaktif melakukan inovasi dan perbaikan berkelanjutan. Ada benchmarking dengan standar internasional.
Contoh: "Backup menggunakan strategi 3-2-1 (3 salinan, 2 media berbeda, 1 off-site). Ada immutable backup untuk mencegah ransomware. Dilakukan pengujian pemulihan bencana (DR testing) setiap kuartal. Kebijakan ditinjau berdasarkan lanskap ancaman (threat landscape) terkini."
N/A Opsi "Tidak Relevan" / Not Applicable

Jika suatu kontrol benar-benar tidak berlaku untuk sistem elektronik yang sedang dinilai, Anda dapat memilih "Tidak Relevan (N/A)". Kontrol yang ditandai N/A tidak akan dihitung dalam skor kematangan.

Kapan memilih N/A: Misalnya kontrol tentang "Sistem SCADA" — jika sistem yang dinilai adalah website (IT murni), maka kontrol tentang SCADA tidak relevan dan bisa ditandai N/A.
Jangan gunakan N/A hanya karena Anda belum menerapkan kontrol tersebut — dalam kasus itu, pilih Level 1 (Awal).
Tips penting saat memilih indeks:
Formulir Kontrol dengan Pilihan Indeks 1–5

4. Mengunggah Bukti Pendukung

4 Upload Bukti yang Mendukung Penilaian Anda

Bukti pendukung adalah dokumen atau file yang membuktikan bahwa kontrol keamanan sudah diterapkan sesuai indeks yang Anda pilih. Bukti ini akan diperiksa oleh Auditor, Peninjau, dan Penyetuju pada proses validasi 3 tahap.

Format File Keterangan
PDFDokumen kebijakan, SOP, laporan audit, sertifikat (format paling disarankan)
DOC / DOCXDokumen Word — draft SOP, notulen rapat, template kebijakan
XLS / XLSXSpreadsheet Excel — log audit, data inventaris aset, jadwal pelatihan
JPG / PNGGambar — screenshot konfigurasi sistem, foto pelatihan, screenshot dashboard
ZIPFile terkompresi — jika perlu mengunggah beberapa file sekaligus

Ukuran maksimal per file: 20 MB. Klik tombol "Unggah" pada kontrol yang bersangkutan, pilih file dari komputer Anda, lalu kirim.

BUKTI Contoh Bukti Pendukung yang Baik untuk Setiap Level

Berikut contoh jenis bukti yang sesuai untuk setiap level kematangan:

Level Jenis Bukti yang Sesuai
1 Biasanya belum ada bukti formal. Bisa lampirkan: email internal yang menunjukkan kesadaran awal, notulen rapat yang membahas rencana, atau pernyataan bahwa kontrol belum diterapkan.
2 Bukti penerapan parsial: draft SOP (belum disahkan), screenshot konfigurasi yang sudah dilakukan di sebagian sistem, daftar kehadiran pelatihan informal, email instruksi dari atasan.
3 Bukti penerapan formal: SK/SOP yang ditandatangani pejabat berwenang, bukti sosialisasi kebijakan, screenshot konfigurasi yang konsisten di seluruh sistem, sertifikat pelatihan formal.
4 Bukti pemantauan & evaluasi: Laporan audit internal, dasbor pemantauan yang menunjukkan metrik, laporan evaluasi berkala, dokumen tindak lanjut temuan, notulen rapat tinjauan keamanan.
5 Bukti inovasi & perbaikan berkelanjutan: Laporan benchmarking, dokumen continuous improvement, bukti adopsi best practice terbaru, laporan threat intelligence yang digunakan untuk perbaikan, sertifikasi internasional.
Area Unggah Bukti Pendukung

5. Menambah Catatan

5 Tulis Catatan Pendukung

Pada setiap kontrol tersedia kolom "Catatan" untuk menuliskan penjelasan tambahan. Catatan bersifat opsional tetapi sangat direkomendasikan karena membantu Auditor dan tim peninjau memahami konteks penilaian Anda.

Catatan yang baik menjelaskan:

Contoh catatan yang baik:
  • "Kebijakan keamanan informasi telah ditetapkan melalui SK Kepala Badan No. 123/2025 tanggal 15 Januari 2025. Sudah disosialisasikan ke seluruh unit kerja melalui surat edaran. Bukti: SK terlampir."
  • "Pelatihan kesadaran keamanan siber (awareness) dilaksanakan 2 kali setahun sejak 2024. Diikuti seluruh pegawai (termasuk outsourcing). Bukti: sertifikat + daftar hadir terlampir."
  • "Backup dilakukan harian secara otomatis ke NAS lokal. Belum ada backup off-site. Memilih Level 3 karena sudah ada SOP tapi belum ada mekanisme evaluasi berkala."
Kolom Catatan pada Form Kontrol

6. Memahami Ruang Lingkup Kontrol

Setiap kontrol memiliki ruang lingkup yang menunjukkan area apa yang dinilai. Memahami ruang lingkup membantu Anda menentukan indeks yang tepat dan bukti yang relevan:

Ruang Lingkup Penjelasan Contoh Bukti
Tata Kelola Berkaitan dengan kebijakan, prosedur, aturan, dan tata kelola organisasi. Apakah ada kebijakan tertulis? Apakah ada SOP? Apakah sudah disosialisasikan? SK, SOP, NSPK, Peraturan Internal, Surat Edaran, Notulen Rapat
Teknologi Berkaitan dengan konfigurasi teknis dan implementasi teknologi. Apakah firewall sudah dikonfigurasi? Apakah enkripsi sudah diterapkan? Screenshot konfigurasi, Log sistem, Laporan scan vulnerability, Output perintah teknis
Sumber Daya Manusia Berkaitan dengan kompetensi, pelatihan, dan kesadaran orang. Apakah ada pelatihan keamanan? Apakah ada awareness program? Sertifikat pelatihan, Daftar hadir, Materi pelatihan, Bukti sertifikasi profesional
Kombinasi
(contoh: Tata Kelola & Teknologi)		 Kontrol yang mencakup lebih dari satu area. Anda harus memberikan bukti untuk semua area yang tercakup. SK + Screenshot konfigurasi, SOP + Log implementasi, dst.

7. Kirim Asesmen ke Auditor

6 Periksa Jawaban, Lalu Kirim ke Auditor

Setelah semua kontrol terisi, periksa kembali jawaban Anda melalui halaman ringkasan asesmen (klik "Kembali ke Ringkasan" di halaman formulir). Pastikan progress bar menunjukkan semua domain sudah terisi sesuai harapan.

Daftar periksa sebelum mengirim:

Setelah yakin semua data sudah benar, klik tombol "Kirim ke Auditor" (berwarna hijau). Tombol ini tersedia di beberapa tempat:

Lokasi Keterangan
Halaman Ringkasan Asesmen Di bagian bawah halaman, setelah daftar 4 domain. Ini adalah tempat paling utama untuk mengirim asesmen karena Anda bisa melihat progres keseluruhan sebelum mengirim.
Halaman Formulir Kontrol (subkategori terakhir) Saat Anda berada di subkategori terakhir dan tidak ada lagi subkategori berikutnya, tombol "Kirim ke Auditor" muncul di samping tombol "Kembali ke Ringkasan".
Halaman Periode Asesmen Di kolom Aksi pada daftar periode, tombol "Kirim ke Auditor" tampil di samping tombol "Isi Asesmen" untuk periode yang sedang berlangsung.
Catatan penting: Sebagai Pihak Terasesmen, Anda tidak memiliki akses ke halaman Tinjauan & Kematangan, Laporan Kematangan, Analisis Kesenjangan, maupun Analisis Risiko. Halaman-halaman tersebut hanya tersedia untuk Admin Instansi, Peninjau, dan Penyetuju. Tugas Anda berfokus pada pengisian asesmen, pengunggahan bukti, dan pengiriman asesmen ke Auditor.
Perhatian: Setelah Anda menekan tombol "Kirim ke Auditor", asesmen akan masuk ke proses validasi 3 tahap: Auditor → Peninjau → Penyetuju. Anda tidak bisa mengubah jawaban selama proses ini berlangsung. Pastikan semua data sudah benar sebelum mengirim.

Namun, jika Auditor meminta revisi atau menolak asesmen, asesmen akan dikembalikan ke Anda dan Anda bisa melakukan perbaikan lalu mengirim ulang.

8. Setelah Dikirim — Apa yang Terjadi Selanjutnya?

1
Anda Kirim
Asesmen dikirim ke Auditor
2
Audit
Auditor memvalidasi jawaban & bukti
3
Tinjauan
Peninjau melakukan validasi teknis
4
Persetujuan
Penyetuju menyetujui, data terkunci
!
Minta Revisi / Tolak
Auditor dapat mengembalikan ke Anda untuk diperbaiki
Jika diminta revisi: Auditor akan memberikan catatan tentang apa yang perlu diperbaiki. Anda akan menerima notifikasi otomatis di Beranda. Buka kembali formulir asesmen, perbaiki sesuai catatan, lalu kirim ulang ke Auditor. Proses ini bisa berulang sampai asesmen lolos ketiga tahap validasi (Auditor → Peninjau → Penyetuju) dan disetujui oleh Penyetuju.

9. Notifikasi di Dashboard

Setiap kali Auditor mengambil keputusan atas asesmen Anda — baik itu meminta perbaikan, menolak, atau meneruskan — Anda akan menerima notifikasi otomatis yang muncul di halaman Beranda (Dashboard). Anda juga akan menerima notifikasi saat asesmen disetujui atau ditutup.

9.1 Jenis Notifikasi
Tipe NotifikasiDeskripsiYang Harus Dilakukan
Permintaan Revisi Auditor meminta Anda memperbaiki jawaban asesmen. Termasuk alasan/komentar dari Auditor. Buka asesmen melalui tombol "Lihat Asesmen", perbaiki sesuai catatan, lalu kirim ulang.
Ditolak Auditor menolak asesmen Anda. Disertai alasan penolakan. Periksa alasan penolakan, lakukan perbaikan yang diperlukan, lalu kirim ulang.
Disetujui Asesmen telah disetujui. Data terkunci dan tidak dapat diubah lagi. Tidak perlu tindakan lebih lanjut. Asesmen sudah final.
9.2 Mengelola Notifikasi
  1. Notifikasi ditampilkan di bagian atas halaman Beranda dalam panel berwarna kuning.
  2. Setiap notifikasi menampilkan judul, alasan/komentar dari Auditor, dan waktu.
  3. Klik tombol "Lihat Asesmen" untuk langsung menuju halaman asesmen terkait.
  4. Klik tombol "Tandai Dibaca" untuk menghilangkan notifikasi setelah Anda membacanya.
  5. Gunakan tombol "Tandai Semua Dibaca" untuk menghapus semua notifikasi sekaligus.
  6. Jumlah notifikasi belum dibaca juga ditampilkan sebagai badge merah pada ikon lonceng di topbar.
Penting: Pastikan Anda secara rutin memeriksa halaman Beranda untuk notifikasi baru. Notifikasi permintaan revisi berarti Auditor menunggu perbaikan dari Anda — semakin cepat Anda merespons, semakin cepat proses asesmen selesai.

Panduan Auditor

Memvalidasi jawaban asesmen, memeriksa bukti pendukung, mengisi keterangan validasi, dan meneruskan atau menolak ke tahap berikutnya

Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Auditor — yaitu orang yang bertugas memvalidasi jawaban asesmen dan memeriksa bukti pendukung yang diunggah oleh Pihak Terasesmen (Auditee). Auditor adalah tahap pertama dalam proses validasi 3-tahap sebelum asesmen disetujui secara final.
Hanya-baca terhadap jawaban: Sebagai Auditor, Anda tidak dapat mengubah pilihan indeks kematangan yang telah diisi Auditee. Tugas Anda adalah memvalidasi kebenaran dan kecukupan jawaban serta bukti pendukung. Jika Anda menemukan jawaban yang perlu diperbaiki, gunakan aksi "Minta Revisi" atau "Tolak" agar Auditee dapat memperbaikinya sendiri.
Menu Sidebar untuk Auditor: Sebagai Auditor, menu sidebar Anda meliputi: Laporan: Manajemen Risiko: Bantuan:

1. Login & Beranda Auditor

1 Login ke Sistem

Login menggunakan email dan password yang diberikan oleh Admin Instansi Anda. Jika ini adalah login pertama kali, sistem akan meminta Anda mengganti password default dengan password baru pilihan Anda sendiri.

Setelah login, Anda akan melihat Beranda yang menampilkan:

  1. Banner Selamat Datang — menampilkan nama Anda, peran (Auditor) beserta deskripsi tugas, dan nama instansi serta sistem elektronik yang ditugaskan kepada Anda
  2. Notifikasi (jika ada) — muncul tepat di bawah banner biru, misalnya pemberitahuan asesmen yang siap divalidasi atau permintaan perbaikan dari Peninjau
  3. Aksi Cepat — tombol pintasan ke halaman Persetujuan, Periode Asesmen, dan fitur terkait
  4. Panel Analitik — ringkasan periode yang memerlukan perhatian Anda
Login pertama kali? Password default yang dikirim via email bersifat sementara. Anda wajib menggantinya dengan password baru yang kuat (minimal 12 karakter, kombinasi huruf besar-kecil, angka, dan simbol). Lihat panduan registrasi untuk detail persyaratan password.
Beranda Auditor

2. Memahami Proses Validasi

Sebelum mulai memvalidasi, penting untuk memahami posisi Anda dalam alur asesmen IKAS. Proses validasi terdiri dari 3 tahap berurutan:

ALUR Proses Validasi 3-Tahap

Setiap asesmen yang dikirim Auditee harus melewati 3 tahap validasi sebelum data terkunci secara permanen:

  • Tahap 1 — Auditor (Anda): Memvalidasi kebenaran jawaban dan kecukupan bukti pendukung
  • Tahap 2 — Peninjau: Melakukan validasi teknis menyeluruh berdasarkan standar NIST CSF 2.0
  • Tahap 3 — Penyetuju: Memberikan persetujuan akhir; data menjadi hanya-baca
Analogi: Seperti proses persetujuan dokumen di kantor — Anda adalah pemeriksa pertama yang memastikan kelengkapan dan kebenaran, sebelum dokumen diteruskan ke atasan untuk tinjauan teknis dan persetujuan akhir.
1
Auditee Kirim
Asesmen dikirim untuk validasi
2
Auditor (Anda)
Validasi jawaban & bukti
3
Peninjau
Validasi teknis menyeluruh
4
Penyetuju
Persetujuan akhir, data terkunci
!
Minta Revisi / Tolak
Anda dapat mengembalikan ke Auditee untuk diperbaiki

3. Melihat Daftar Asesmen

2 Navigasi ke Daftar Periode Asesmen

Di menu "Periode Asesmen" di sidebar, Anda akan melihat daftar periode yang ditugaskan kepada Anda sebagai Auditor. Perhatikan kolom Status untuk mengetahui posisi setiap asesmen:

Status Keterangan Aksi Anda
Audit Asesmen sudah dikirim oleh Auditee dan siap divalidasi oleh Anda. Klik "Validasi"
Ditinjau Asesmen sudah Anda teruskan dan sedang ditinjau oleh Peninjau. Menunggu
Persetujuan Asesmen sudah melewati Peninjau dan menunggu persetujuan Penyetuju. Menunggu
Disetujui Asesmen telah disetujui secara final. Data terkunci dan tidak dapat diubah. Selesai
Fokus pada status "Audit": Asesmen dengan status Audit adalah yang memerlukan tindakan Anda. Asesmen dengan status lain sedang diproses di tahap selanjutnya atau sudah selesai.

4. Memvalidasi Asesmen

Ini adalah tugas utama Anda sebagai Auditor. Anda perlu memeriksa kebenaran jawaban dan kecukupan bukti pendukung yang diunggah Auditee.

3 Membuka Halaman Validasi

Untuk memvalidasi asesmen yang berstatus Audit:

  1. Buka menu "Persetujuan" di sidebar, atau klik tombol "Validasi" di daftar periode asesmen.
  2. Di halaman detail, Anda dapat melihat:
    • Ringkasan skor kematangan — skor total dan rata-rata per domain
    • Progres pengisian — persentase kontrol yang sudah diisi oleh Auditee
    • Detail asesmen — jawaban per kontrol beserta bukti pendukung
    • Catatan Auditee — penjelasan tambahan yang ditulis Auditee untuk setiap kontrol
4 Memeriksa Jawaban dan Bukti Pendukung

Di halaman detail asesmen, periksa setiap kontrol dengan seksama:

Kolom "Keterangan Validasi": Kolom ini khusus untuk Anda sebagai Auditor. Gunakan untuk mencatat temuan, baik positif maupun yang perlu diperbaiki. Catatan ini akan terlihat oleh Peninjau di tahap berikutnya sehingga membantu kelancaran proses tinjauan.
Halaman Validasi Asesmen
TIPS Yang Harus Diperiksa Saat Validasi

Berikut checklist yang dapat Anda gunakan saat memvalidasi setiap kontrol:

  • Apakah indeks kematangan sesuai dengan bukti? — Jika Auditee memilih Level 3 (Terdefinisi), pastikan ada dokumen SOP/kebijakan yang sudah disahkan sebagai bukti
  • Apakah bukti pendukung lengkap? — Setiap kontrol idealnya memiliki minimal satu dokumen bukti
  • Apakah kontrol N/A valid? — Jika ada kontrol yang ditandai "Tidak Relevan (N/A)", pastikan alasannya masuk akal untuk sistem elektronik yang dinilai
  • Apakah catatan Auditee masuk akal? — Periksa apakah penjelasan Auditee konsisten dengan bukti dan indeks yang dipilih
  • Apakah ada indikasi penilaian terlalu optimis? — Bandingkan indeks yang dipilih dengan bukti aktual

5. Mengambil Keputusan

Setelah memeriksa keseluruhan asesmen, Anda harus mengambil keputusan di halaman Persetujuan. Tersedia tiga pilihan aksi:

Aksi Efek Notifikasi
Validasi & Teruskan Status berubah ke Ditinjau — asesmen diteruskan ke Peninjau untuk validasi teknis. Peninjau menerima notifikasi bahwa asesmen siap ditinjau.
Minta Revisi Status kembali ke Asesmen — dikembalikan ke Auditee untuk diperbaiki. Auditee menerima notifikasi dengan komentar Anda tentang apa yang perlu diperbaiki.
Tolak Status kembali ke Asesmen — dikembalikan ke Auditee dengan penolakan. Auditee menerima notifikasi penolakan beserta alasan.
Selalu berikan komentar: Saat meminta revisi atau menolak asesmen, wajib tuliskan alasan yang jelas dan spesifik. Sebutkan kontrol mana yang bermasalah dan apa yang perlu diperbaiki, agar Auditee dapat langsung memahami dan menindaklanjuti tanpa kebingungan.
Contoh komentar validasi yang baik:
Halaman Persetujuan Auditor

6. Jika Peninjau Mengembalikan Asesmen

5 Menangani Pengembalian dari Peninjau

Jika Peninjau menemukan masalah dalam validasi Anda, asesmen akan dikembalikan ke status Audit. Anda akan menerima notifikasi di Beranda.

Langkah yang perlu dilakukan:

  1. Baca catatan/komentar dari Peninjau di halaman Persetujuan
  2. Periksa kembali kontrol yang disebutkan oleh Peninjau
  3. Jika masalah bisa Anda selesaikan di level validasi (misalnya keterangan validasi kurang lengkap), perbaiki catatan Anda lalu teruskan kembali
  4. Jika masalah memerlukan perbaikan dari Auditee (misalnya bukti tidak cukup), kembalikan asesmen ke Auditee dengan catatan spesifik
Komunikasi antar tahap: Catatan yang Anda tulis di kolom Keterangan Validasi akan terlihat oleh Peninjau dan Penyetuju. Demikian juga, catatan Peninjau akan terlihat oleh Anda. Manfaatkan fitur ini untuk komunikasi yang efektif antar tahap validasi.

7. Tips untuk Auditor

6 Praktik Terbaik Validasi
Jangan terburu-buru: Validasi yang teliti di tahap Auditor akan mempercepat proses secara keseluruhan. Jika ada masalah yang tidak terdeteksi di tahap ini, Peninjau mungkin mengembalikan asesmen ke Anda, yang berarti proses validasi harus diulang.

8. Pusat Bantuan

7 Menggunakan Pusat Bantuan

Jika Anda mengalami kendala teknis atau memiliki pertanyaan seputar proses validasi, Anda dapat menggunakan Pusat Bantuan:

  1. Klik menu "Pusat Bantuan" di sidebar untuk membuka halaman bantuan
  2. Klik tombol "Buat Tiket" untuk membuat permintaan bantuan baru
  3. Isi judul dan deskripsi masalah secara detail — sertakan informasi kontrol/periode yang bermasalah jika relevan
  4. Kirim tiket — Super Admin atau Admin Instansi akan merespons

Setiap tiket memiliki status: Baru, Diproses, atau Selesai — sehingga Anda dapat melacak penanganan permintaan Anda.

9. Notifikasi di Dashboard

Sebagai Auditor, Anda akan menerima notifikasi otomatis di halaman Beranda (Dashboard) setiap kali ada pembaruan terkait asesmen yang ditugaskan kepada Anda.

8.1 Jenis Notifikasi
Tipe Notifikasi Deskripsi Yang Harus Dilakukan
Asesmen Dikirim Auditee mengirimkan asesmen untuk divalidasi oleh Anda. Buka halaman Persetujuan untuk mulai memvalidasi.
Dikembalikan Peninjau Peninjau mengembalikan asesmen ke tahap Audit karena ditemukan masalah. Baca catatan Peninjau, periksa ulang, lalu tindak lanjuti.
Asesmen Disetujui Asesmen telah disetujui secara final oleh Penyetuju. Tidak perlu tindakan. Asesmen sudah final.
8.2 Mengelola Notifikasi
  1. Notifikasi ditampilkan di bagian atas halaman Beranda dalam panel berwarna kuning.
  2. Setiap notifikasi menampilkan judul, komentar (jika ada), dan waktu.
  3. Klik tombol "Lihat Asesmen" untuk langsung menuju halaman asesmen terkait.
  4. Klik tombol "Tandai Dibaca" untuk menghilangkan notifikasi setelah Anda membacanya.
  5. Gunakan tombol "Tandai Semua Dibaca" untuk menghapus semua notifikasi sekaligus.
  6. Jumlah notifikasi belum dibaca juga ditampilkan sebagai badge merah pada ikon lonceng di topbar.
Penting: Pastikan Anda secara rutin memeriksa halaman Beranda untuk notifikasi baru. Notifikasi asesmen yang dikirim berarti Auditee menunggu validasi dari Anda — semakin cepat Anda merespons, semakin cepat proses asesmen selesai.

Panduan Peninjau

Melakukan validasi teknis terhadap asesmen, memeriksa catatan auditor, dan meneruskan ke Penyetuju atau mengembalikan ke Auditor

Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Peninjau (Reviewer) — yaitu orang yang melakukan validasi teknis terhadap asesmen yang telah divalidasi oleh Auditor. Peninjau adalah tahap kedua dalam proses validasi 3-tahap sebelum asesmen disetujui secara final oleh Penyetuju.
Tanggung Jawab Teknis: Berbeda dengan Auditor yang fokus pada kelengkapan dan kebenaran dasar, tugas Anda sebagai Peninjau adalah memastikan penilaian sesuai dengan standar NIST CSF 2.0 dan pedoman IKAS. Anda melakukan tinjauan teknis yang lebih mendalam sebelum asesmen diteruskan ke Penyetuju untuk keputusan akhir.
Menu Sidebar untuk Peninjau: Sebagai Peninjau, Anda memiliki akses ke menu berikut: Laporan: Manajemen Risiko: Bantuan:

1. Login & Beranda Peninjau

1 Login ke Sistem

Login menggunakan email dan password yang diberikan oleh Admin Instansi Anda. Jika ini adalah login pertama kali, sistem akan meminta Anda mengganti password default dengan password baru pilihan Anda sendiri.

Setelah login, Anda akan melihat Beranda yang menampilkan:

  1. Banner Selamat Datang — menampilkan nama Anda, peran (Peninjau) beserta deskripsi tugas, dan nama instansi serta sistem elektronik yang ditugaskan kepada Anda
  2. Notifikasi (jika ada) — muncul tepat di bawah banner biru, misalnya pemberitahuan asesmen yang siap ditinjau atau permintaan perbaikan dari Penyetuju
  3. Aksi Cepat — tombol pintasan ke halaman Persetujuan dan fitur terkait
  4. Panel Analitik — ringkasan periode yang memerlukan perhatian Anda
Login pertama kali? Password default yang dikirim via email bersifat sementara. Anda wajib menggantinya dengan password baru yang kuat (minimal 12 karakter, kombinasi huruf besar-kecil, angka, dan simbol). Lihat panduan registrasi untuk detail persyaratan password.
Beranda Peninjau

2. Memahami Posisi Peninjau dalam Alur

Sebagai Peninjau, Anda berada di tahap kedua dari proses validasi 3-tahap. Anda menerima asesmen yang sudah divalidasi oleh Auditor dan meneruskannya ke Penyetuju setelah Anda puas dengan kualitas teknisnya.

ALUR Posisi Peninjau dalam Validasi 3-Tahap

Setiap asesmen melewati 3 tahap validasi berurutan:

  • Tahap 1 — Auditor: Memvalidasi kebenaran jawaban dan kecukupan bukti pendukung
  • Tahap 2 — Peninjau (Anda): Melakukan validasi teknis menyeluruh — memastikan penilaian sesuai standar NIST CSF 2.0
  • Tahap 3 — Penyetuju: Memberikan persetujuan akhir; data menjadi hanya-baca dan terkunci permanen
Analogi: Jika Auditor adalah pemeriksa kelengkapan berkas, maka Peninjau adalah pakar teknis yang menilai apakah substansi jawaban sudah benar dan sesuai standar. Anda menjembatani antara validasi awal dan persetujuan akhir.
1
Auditee Kirim
Asesmen dikirim untuk validasi
2
Auditor
Validasi jawaban & bukti
3
Peninjau (Anda)
Validasi teknis menyeluruh
4
Penyetuju
Persetujuan akhir, data terkunci
!
Minta Revisi / Tolak
Anda dapat mengembalikan ke Auditor untuk ditinjau ulang
VS Perbedaan Auditor dan Peninjau

Meskipun keduanya melakukan "validasi", fokus dan kedalaman pemeriksaan berbeda:

Aspek Auditor (Tahap 1) Peninjau (Tahap 2)
Fokus Kelengkapan dan kebenaran dasar: apakah bukti ada dan sesuai level? Validasi teknis: apakah penilaian sesuai standar NIST CSF 2.0 dan pedoman IKAS?
Kedalaman Memeriksa per kontrol — jawaban, bukti, catatan Memeriksa per domain — konsistensi, kesesuaian standar, perbandingan lintas kontrol
Jika Bermasalah Kembalikan ke Auditee Kembalikan ke Auditor

3. Melihat Daftar Asesmen

2 Navigasi ke Daftar Periode Asesmen

Di menu "Periode Asesmen" atau "Persetujuan" di sidebar, Anda akan melihat daftar periode yang ditugaskan kepada Anda. Perhatikan kolom Status:

Status Keterangan Aksi Anda
Ditinjau (Review) Asesmen sudah divalidasi Auditor dan siap Anda tinjau secara teknis. Klik "Tinjau"
Persetujuan Asesmen sudah Anda teruskan dan menunggu keputusan Penyetuju. Menunggu
Disetujui Asesmen telah disetujui secara final. Data terkunci dan tidak dapat diubah. Selesai
Fokus pada status "Ditinjau": Asesmen dengan status Ditinjau adalah yang memerlukan tindakan Anda. Status lain berarti asesmen sedang di tahap selanjutnya atau sudah selesai.

4. Meninjau Asesmen

Ini adalah tugas utama Anda sebagai Peninjau. Anda melakukan validasi teknis menyeluruh untuk memastikan penilaian sesuai dengan standar dan pedoman yang berlaku.

3 Membuka Halaman Tinjauan

Untuk meninjau asesmen yang berstatus Ditinjau:

  1. Buka menu "Persetujuan" di sidebar, atau klik tombol "Tinjau" di daftar periode asesmen.
  2. Di halaman detail, Anda dapat melihat:
    • Ringkasan skor kematangan — skor total dan rata-rata per domain NIST CSF
    • Progres pengisian — persentase kontrol yang sudah diisi
    • Detail asesmen — jawaban per kontrol beserta bukti dan catatan Auditee
    • Catatan Auditor — keterangan validasi yang ditulis Auditor di tahap sebelumnya
    • Laporan Kematangan — akses ke laporan kematangan untuk tinjauan
Manfaatkan catatan Auditor: Auditor sudah melakukan pemeriksaan awal dan menulis keterangan validasi untuk setiap kontrol. Baca catatan ini untuk mempercepat tinjauan Anda — Anda tidak perlu mengulang pemeriksaan yang sudah dilakukan Auditor.
Halaman Tinjauan Asesmen
TIPS Yang Harus Diperiksa Saat Tinjauan Teknis

Sebagai Peninjau, fokus tinjauan Anda lebih mendalam dari Auditor. Berikut aspek yang perlu diperhatikan:

  • Kesesuaian dengan standar NIST CSF 2.0 — Apakah indeks kematangan yang dipilih mencerminkan tingkat penerapan kontrol sesuai definisi standar?
  • Konsistensi antar domain — Apakah penilaian di satu domain tidak kontradiktif dengan domain lain? Misalnya, Level 4 di Proteksi tetapi Level 1 di Deteksi bisa jadi inkonsisten
  • Kualitas bukti pendukung — Apakah bukti yang dilampirkan memang relevan dan cukup untuk membuktikan level kematangan yang dipilih?
  • Perbandingan dengan periode sebelumnya — Jika ada riwayat asesmen sebelumnya, apakah perubahan skor masuk akal?
  • Kontrol N/A — Pastikan setiap kontrol yang ditandai "Tidak Berlaku" memang benar-benar tidak relevan untuk sistem elektronik yang dinilai

5. Mengambil Keputusan

Setelah meninjau asesmen secara teknis, Anda harus mengambil keputusan di halaman Persetujuan. Tersedia tiga pilihan aksi:

Aksi Efek Notifikasi
Setujui & Teruskan Status berubah ke Persetujuan — asesmen diteruskan ke Penyetuju untuk keputusan akhir. Penyetuju menerima notifikasi bahwa asesmen menunggu persetujuan akhir.
Minta Revisi Status kembali ke Audit — dikembalikan ke Auditor untuk ditinjau ulang. Auditor menerima notifikasi dengan catatan perbaikan yang diperlukan.
Tolak Status kembali ke Audit — dikembalikan ke Auditor dengan penolakan. Auditor menerima notifikasi penolakan beserta alasan.
Berikan catatan yang spesifik: Saat mengembalikan asesmen ke Auditor, tuliskan secara jelas kontrol atau domain mana yang bermasalah dan apa yang perlu diperbaiki. Catatan yang spesifik membantu Auditor meninjau ulang bagian yang tepat tanpa harus mengulang seluruh proses.
Contoh catatan tinjauan yang baik:
Halaman Persetujuan Peninjau

6. Jika Penyetuju Mengembalikan Asesmen

4 Menangani Pengembalian dari Penyetuju

Jika Penyetuju mengembalikan asesmen, status akan kembali ke Ditinjau dan Anda akan menerima notifikasi di Beranda.

Langkah yang perlu dilakukan:

  1. Baca catatan/komentar dari Penyetuju di halaman Persetujuan
  2. Periksa kembali bagian yang disebutkan oleh Penyetuju
  3. Jika masalah bisa Anda tangani di level tinjauan, perbaiki dan teruskan kembali ke Penyetuju
  4. Jika masalah memerlukan pemeriksaan ulang dari Auditor, kembalikan asesmen ke Auditor dengan catatan spesifik
Rantai pengembalian: Penyetuju mengembalikan ke Anda (Peninjau), lalu Anda bisa meneruskan kembali ke Penyetuju setelah diperbaiki, atau mengembalikan ke Auditor jika masalah lebih mendasar. Auditor kemudian bisa mengembalikan ke Auditee jika diperlukan. Proses ini memastikan setiap tahap bertanggung jawab atas kualitas validasinya.

7. Akses Laporan dan Analisis

Sebagai Peninjau, Anda memiliki akses ke fitur laporan dan analisis yang membantu Anda dalam proses tinjauan teknis:

LK
Laporan Kematangan
Laporan kematangan keamanan siber dengan grafik radar (radar chart) per domain NIST CSF. Menampilkan skor total, rata-rata per domain, dan distribusi level kematangan.
AK
Analisis Kesenjangan
Gap analysis yang menunjukkan kesenjangan antara target dan capaian per domain. Dilengkapi rencana tindak koreksi (corrective action plan) untuk menutup kesenjangan.
DR
Daftar Risiko
Risk register yang menampilkan daftar risiko teridentifikasi beserta skor, dampak, kemungkinan, dan tindakan korektif (CAPA). Mengelola respons risiko secara terstruktur.
AR
Analisis Risiko
Analisis risiko dengan heat map dan ringkasan risiko teridentifikasi berdasarkan hasil asesmen. Membantu mengidentifikasi area yang memerlukan perhatian prioritas.
Gunakan laporan untuk tinjauan: Laporan-laporan ini tersedia untuk asesmen yang sudah melewati tahap Anda. Gunakan sebagai referensi tambahan saat meninjau asesmen — misalnya, membandingkan skor domain saat ini dengan target organisasi.

8. Tips untuk Peninjau

5 Praktik Terbaik Tinjauan Teknis
Jangan mengandalkan Penyetuju: Sebagai tahap terakhir sebelum persetujuan akhir, tinjauan teknis Anda sangat krusial. Pastikan semua aspek teknis sudah diperiksa agar Penyetuju bisa memberikan persetujuan dengan percaya diri.

9. Pusat Bantuan

6 Menggunakan Pusat Bantuan

Jika Anda mengalami kendala teknis atau memiliki pertanyaan seputar proses tinjauan, Anda dapat menggunakan Pusat Bantuan:

  1. Klik menu "Pusat Bantuan" di sidebar untuk membuka halaman bantuan
  2. Klik tombol "Buat Tiket" untuk membuat permintaan bantuan baru
  3. Isi judul dan deskripsi masalah secara detail — sertakan informasi kontrol/periode yang bermasalah jika relevan
  4. Kirim tiket — Super Admin atau Admin Instansi akan merespons

Setiap tiket memiliki status: Baru, Diproses, atau Selesai — sehingga Anda dapat melacak penanganan permintaan Anda.

10. Notifikasi di Dashboard

Sebagai Peninjau, Anda akan menerima notifikasi otomatis di halaman Beranda (Dashboard) setiap kali ada pembaruan terkait asesmen yang ditugaskan kepada Anda.

7.1 Jenis Notifikasi
Tipe Notifikasi Deskripsi Yang Harus Dilakukan
Asesmen Diteruskan Auditor memvalidasi dan meneruskan asesmen untuk Anda tinjau. Buka halaman Persetujuan untuk mulai meninjau.
Dikembalikan Penyetuju Penyetuju mengembalikan asesmen ke tahap Tinjauan karena ditemukan masalah. Baca catatan Penyetuju, periksa ulang, lalu tindak lanjuti.
Asesmen Disetujui Asesmen telah disetujui secara final oleh Penyetuju. Tidak perlu tindakan. Asesmen sudah final.
Periode Ditutup Periode asesmen ditutup oleh Admin. Tidak perlu tindakan lebih lanjut.
7.2 Mengelola Notifikasi
  1. Notifikasi ditampilkan di bagian atas halaman Beranda dalam panel berwarna kuning.
  2. Setiap notifikasi menampilkan judul, komentar (jika ada), dan waktu.
  3. Klik tombol "Lihat Asesmen" untuk langsung menuju halaman asesmen terkait.
  4. Klik tombol "Tandai Dibaca" untuk menghilangkan notifikasi setelah Anda membacanya.
  5. Gunakan tombol "Tandai Semua Dibaca" untuk menghapus semua notifikasi sekaligus.
  6. Jumlah notifikasi belum dibaca juga ditampilkan sebagai badge merah pada ikon lonceng di topbar.
Penting: Pastikan Anda secara rutin memeriksa halaman Beranda untuk notifikasi baru. Notifikasi asesmen yang diteruskan berarti Auditor sudah menyelesaikan validasi dan menunggu tinjauan teknis dari Anda — semakin cepat Anda merespons, semakin cepat proses asesmen selesai.

Panduan Penyetuju

Memberikan persetujuan akhir asesmen — memeriksa seluruh tahap validasi, menyetujui atau menolak, dan mengunci data asesmen

Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Penyetuju (Approver) — yaitu orang yang memberikan persetujuan akhir terhadap asesmen kematangan keamanan siber. Penyetuju adalah tahap ketiga dan terakhir dalam proses validasi. Persetujuan Anda akan mengunci seluruh data asesmen secara permanen — tidak ada pihak yang dapat mengubahnya setelah itu.
Implikasi Persetujuan: Setelah Anda menyetujui asesmen, semua data menjadi hanya-baca dan terkunci permanen. Data yang terkunci ini dapat digunakan sebagai laporan resmi kematangan keamanan siber instansi. Pastikan Anda yakin semua data sudah benar sebelum memberikan persetujuan akhir.
Menu Sidebar untuk Penyetuju: Sebagai Penyetuju, Anda memiliki akses ke menu berikut: Laporan: Manajemen Risiko: Bantuan:

1. Login & Beranda Penyetuju

1 Login ke Sistem

Login menggunakan email dan password yang diberikan oleh Admin Instansi Anda. Jika ini adalah login pertama kali, sistem akan meminta Anda mengganti password default dengan password baru pilihan Anda sendiri.

Setelah login, Anda akan melihat Beranda yang menampilkan:

  1. Banner Selamat Datang — menampilkan nama Anda, peran (Penyetuju) beserta deskripsi tugas, dan nama instansi serta sistem elektronik yang ditugaskan kepada Anda
  2. Notifikasi (jika ada) — muncul tepat di bawah banner biru, misalnya pemberitahuan asesmen yang menunggu persetujuan akhir dari Anda
  3. Aksi Cepat — tombol pintasan ke halaman Persetujuan dan fitur terkait
  4. Panel Analitik — ringkasan periode yang memerlukan keputusan Anda
Login pertama kali? Password default yang dikirim via email bersifat sementara. Anda wajib menggantinya dengan password baru yang kuat (minimal 12 karakter, kombinasi huruf besar-kecil, angka, dan simbol). Lihat panduan registrasi untuk detail persyaratan password.
Beranda Penyetuju

2. Memahami Posisi Penyetuju dalam Alur

Sebagai Penyetuju, Anda berada di tahap terakhir dari proses validasi 3-tahap. Keputusan Anda bersifat final — setelah disetujui, data asesmen terkunci permanen dan menjadi dokumen resmi.

ALUR Posisi Penyetuju dalam Validasi 3-Tahap

Setiap asesmen melewati 3 tahap validasi berurutan sebelum mencapai Anda:

  • Tahap 1 — Auditor: Memvalidasi kebenaran jawaban dan kecukupan bukti pendukung
  • Tahap 2 — Peninjau: Melakukan validasi teknis menyeluruh berdasarkan standar NIST CSF 2.0
  • Tahap 3 — Penyetuju (Anda): Memberikan persetujuan akhir — data menjadi hanya-baca dan terkunci permanen
Analogi: Anda adalah pejabat penandatangan dokumen akhir. Setelah dua tingkat pemeriksaan (Auditor dan Peninjau) memastikan kelengkapan dan kebenaran teknis, Anda mengesahkan hasilnya. Tanda tangan Anda mengunci dokumen dan menjadikannya resmi.
1
Auditee Kirim
Asesmen dikirim untuk validasi
2
Auditor
Validasi jawaban & bukti
3
Peninjau
Validasi teknis menyeluruh
4
Penyetuju (Anda)
Persetujuan akhir, data terkunci
LOCK Apa Artinya "Data Terkunci"?

Setelah Anda memberikan persetujuan akhir, asesmen memasuki status "Disetujui" yang berarti:

  • Semua jawaban indeks kematangan tidak dapat diubah oleh siapa pun
  • Bukti pendukung tidak dapat ditambah, dihapus, atau diganti
  • Catatan dan keterangan validasi terkunci dan menjadi catatan resmi
  • Laporan kematangan yang dihasilkan dari data ini bersifat final dan dapat digunakan sebagai dokumen resmi
Mengapa dikunci? Penguncian data menjaga integritas dan non-repudiation — memastikan bahwa laporan kematangan yang dihasilkan benar-benar mencerminkan penilaian yang telah divalidasi melalui 3 tahap. Ini penting untuk keperluan audit dan kepatuhan terhadap regulasi (SPBE, UU PDP).

3. Melihat Daftar Asesmen

2 Navigasi ke Daftar Periode Asesmen

Di menu "Persetujuan" di sidebar, Anda akan melihat daftar periode yang ditugaskan kepada Anda. Perhatikan kolom Status:

Status Keterangan Aksi Anda
Persetujuan (Approval) Asesmen sudah melewati Auditor dan Peninjau, dan menunggu keputusan akhir Anda. Klik "Setujui/Tolak"
Disetujui (Approved) Asesmen yang sudah Anda setujui sebelumnya. Data terkunci permanen. Lihat laporan
Indikator progres: Di halaman detail asesmen yang berstatus "Persetujuan", Anda akan melihat indikator bahwa asesmen telah berhasil melewati tahap Audit dan Tinjauan. Ini memberi Anda kepercayaan bahwa asesmen sudah melalui dua tingkat pemeriksaan sebelumnya.

4. Meninjau dan Menyetujui Asesmen

Sebelum memberikan persetujuan akhir, Anda perlu meninjau asesmen secara keseluruhan. Meskipun Auditor dan Peninjau sudah melakukan pemeriksaan, keputusan akhir tetap ada di tangan Anda.

3 Membuka Halaman Persetujuan

Untuk meninjau asesmen yang berstatus Persetujuan:

  1. Buka menu "Persetujuan" di sidebar, atau klik tombol "Setujui/Tolak" di daftar periode asesmen.
  2. Di halaman detail, Anda dapat melihat:
    • Indikator progres — menunjukkan asesmen telah melewati tahap Audit dan Tinjauan
    • Ringkasan skor kematangan — skor total dan rata-rata per domain NIST CSF
    • Detail asesmen — jawaban per kontrol, bukti pendukung, dan catatan Auditee
    • Catatan Auditor & Peninjau — keterangan validasi dan tinjauan dari kedua tahap sebelumnya
    • Riwayat persetujuan — semua aksi yang telah dilakukan Auditor dan Peninjau (termasuk revisi/penolakan jika ada)
    • Laporan Kematangan — akses ke laporan lengkap dan ekspor XLSX
Periksa riwayat persetujuan: Riwayat persetujuan menampilkan semua aksi yang telah dilakukan pada asesmen ini — siapa yang memvalidasi, siapa yang meminta revisi, dan kapan. Gunakan informasi ini untuk memahami perjalanan asesmen sebelum sampai ke Anda.
Halaman Persetujuan Akhir

5. Mengambil Keputusan Akhir

Setelah meninjau asesmen secara keseluruhan, Anda harus mengambil keputusan akhir. Tersedia tiga pilihan aksi:

Aksi Efek Notifikasi
Setujui (Final) Status berubah ke Disetujuiseluruh data terkunci permanen dan tidak dapat diubah oleh siapa pun. Auditee, Admin Instansi, Auditor, dan Peninjau menerima notifikasi persetujuan.
Minta Revisi Status kembali ke Ditinjau — dikembalikan ke Peninjau untuk ditinjau ulang. Peninjau menerima notifikasi dengan catatan perbaikan dari Anda.
Tolak Status kembali ke Ditinjau — dikembalikan ke Peninjau dengan penolakan. Peninjau menerima notifikasi penolakan beserta alasan.
Keputusan bersifat final: Setelah Anda menyetujui asesmen, data tidak dapat dibatalkan atau diubah. Pastikan Anda sudah memeriksa riwayat persetujuan, catatan Auditor & Peninjau, serta ringkasan skor sebelum memberikan persetujuan. Jika masih ragu, lebih baik kembalikan ke Peninjau dengan catatan spesifik daripada langsung menyetujui.
Checklist sebelum menyetujui:

6. Setelah Disetujui — Apa yang Terjadi?

Setelah Anda memberikan persetujuan akhir, beberapa hal terjadi secara otomatis:

Aspek Efek Persetujuan
Status Asesmen Berubah menjadi "Disetujui" — ditandai dengan badge hijau di seluruh platform.
Data Jawaban Semua indeks kematangan, bukti, catatan, dan keterangan validasi terkunci (read-only).
Laporan Laporan Kematangan, Analisis Kesenjangan, dan Analisis Risiko dapat diakses oleh semua pihak terkait dan diekspor.
Notifikasi Semua pihak (Auditee, Admin Instansi, Auditor, Peninjau) menerima notifikasi bahwa asesmen telah disetujui.
Penutupan Periode Admin Instansi atau Super Admin dapat menutup periode asesmen kapan pun setelah disetujui.

7. Akses Laporan dan Analisis

Setelah asesmen disetujui, Anda memiliki akses ke berbagai laporan yang dihasilkan dari data asesmen:

LK
Laporan Kematangan
Laporan kematangan keamanan siber dengan grafik radar (radar chart) per domain NIST CSF. Menampilkan skor total, rata-rata per domain, dan distribusi level kematangan. Dapat diekspor ke PDF untuk arsip atau presentasi.
AK
Analisis Kesenjangan
Gap analysis yang menunjukkan kesenjangan antara target dan capaian per domain. Dilengkapi rencana tindak koreksi (corrective action plan) untuk menutup kesenjangan. Dapat diekspor ke PDF.
DR
Daftar Risiko
Risk register yang menampilkan daftar risiko teridentifikasi beserta skor, dampak, kemungkinan, dan tindakan korektif (CAPA). Mengelola respons risiko secara terstruktur.
AR
Analisis Risiko
Analisis risiko dengan heat map dan ringkasan risiko teridentifikasi berdasarkan hasil asesmen. Membantu mengidentifikasi area yang memerlukan perhatian prioritas. Dapat diekspor ke PDF.
Laporan Kematangan

8. Tips untuk Penyetuju

4 Praktik Terbaik Persetujuan
Tanggung jawab Penyetuju: Sebagai pemberi keputusan akhir, Anda bertanggung jawab memastikan bahwa asesmen yang disetujui akurat dan dapat dipertanggungjawabkan. Persetujuan Anda menjadi catatan permanen di audit trail sistem.

9. Pusat Bantuan

5 Menggunakan Pusat Bantuan

Jika Anda mengalami kendala teknis atau memiliki pertanyaan seputar proses persetujuan, Anda dapat menggunakan Pusat Bantuan:

  1. Klik menu "Pusat Bantuan" di sidebar untuk membuka halaman bantuan
  2. Klik tombol "Buat Tiket" untuk membuat permintaan bantuan baru
  3. Isi judul dan deskripsi masalah secara detail — sertakan informasi kontrol/periode yang bermasalah jika relevan
  4. Kirim tiket — Super Admin atau Admin Instansi akan merespons

Setiap tiket memiliki status: Baru, Diproses, atau Selesai — sehingga Anda dapat melacak penanganan permintaan Anda.

10. Notifikasi di Dashboard

Sebagai Penyetuju, Anda akan menerima notifikasi otomatis di halaman Beranda (Dashboard) setiap kali ada pembaruan terkait asesmen yang ditugaskan kepada Anda.

6.1 Jenis Notifikasi
Tipe Notifikasi Deskripsi Yang Harus Dilakukan
Asesmen Diteruskan Peninjau menyetujui dan meneruskan asesmen untuk keputusan akhir Anda. Buka halaman Persetujuan untuk meninjau dan mengambil keputusan.
Asesmen Disetujui Konfirmasi setelah Anda berhasil menyetujui asesmen. Tidak perlu tindakan. Data sudah terkunci.
Periode Ditutup Periode asesmen ditutup oleh Admin. Tidak perlu tindakan lebih lanjut.
6.2 Mengelola Notifikasi
  1. Notifikasi ditampilkan di bagian atas halaman Beranda dalam panel berwarna kuning.
  2. Setiap notifikasi menampilkan judul, komentar (jika ada), dan waktu.
  3. Klik tombol "Lihat Asesmen" untuk langsung menuju halaman asesmen terkait.
  4. Klik tombol "Tandai Dibaca" untuk menghilangkan notifikasi setelah Anda membacanya.
  5. Gunakan tombol "Tandai Semua Dibaca" untuk menghapus semua notifikasi sekaligus.
  6. Jumlah notifikasi belum dibaca juga ditampilkan sebagai badge merah pada ikon lonceng di topbar.
Penting: Pastikan Anda secara rutin memeriksa halaman Beranda untuk notifikasi baru. Notifikasi asesmen yang diteruskan berarti Peninjau sudah menyelesaikan validasi teknis dan asesmen menunggu keputusan akhir dari Anda — semakin cepat Anda merespons, semakin cepat proses asesmen selesai.
Dicetak pada 04/04/2026 18:03 WIB · IKAS — Panduan Pengguna · Made with Passion by WTI