dokumen standar lpse 2014 rev

49
LEMBAGA KEBIJAKAN PENGADAAN BARANG JASA PEMERINTAH DOKUMEN STANDAR LPSE 2014 LAYANAN PENGADAAN SECARA ELEKTRONIK (LPSE) JAKARTA 2014

Upload: tazha

Post on 18-Aug-2015

747 views

Category:

Documents


183 download

DESCRIPTION

e

TRANSCRIPT

LEMBAGA KEBIJAKAN PENGADAAN BARANG JASA PEMERINTAH DOKUMEN STANDAR LPSE 2014 LAYANAN PENGADAAN SECARA ELEKTRONIK (LPSE) JAKARTA2014 Hal 2 Daftar Isi 1.Standar Kebijakan Layanan .................................................................................................................. 3 2.Standar Pengorganisasian Layanan ..................................................................................................... 4 3.Standar Pengelolaan Aset Layanan ..................................................................................................... 6 4.Standar Pengelolaan Risiko Layanan ................................................................................................. 13 5.Standar Pengelolaan Layanan Helpdesk ........................................................................................... 15 6.Standar Pengelolaan Perubahan ....................................................................................................... 19 7.Standar Pengelolaan Kapasitas .......................................................................................................... 21 8.Standar Pengelolaan Sumber Daya Manusia .................................................................................... 24 9.Standar Pengelolaan Keamanan Perangkat ...................................................................................... 26 10.Standar Pengelolaan Keamanan Operasional Layanan ................................................................ 29 11.Standar Pengelolaan Keamanan Server dan Jaringan .................................................................. 33 12.Standar Pengelolaan Kelangsungan Layanan ................................................................................ 36 13.Standar Pengelolaan Anggaran Layanan ....................................................................................... 39 14.Standar Pengelolaan Pendukung Layanan .................................................................................... 41 15.Standar Pengelolaan Hubungan dengan Pengguna Layanan ....................................................... 43 16.Standar Pengelolaan Kepatuhan ................................................................................................... 45 17.Standar Penilaian Internal ............................................................................................................. 47 Hal 3 1.Standar Kebijakan Layanan 1.1.Pendahuluan KebijakanlayananmerupakankomitmenLPSEdalamrangkapeningkatankualitas layanandanprosespenyelenggaraannya.KebijakanLayananditetapkanolehKepala LPSEsebagaipemiliklayanandandipatuhisertaditerapkanolehsemuapersonil dalam penyelenggaraan LPSE. 1.2.Kebijakan Layanan a.Peran 1)Kepala LPSE Kepala LPSE dalam menerapkan Standar Kebijakan Layanan bertugas: a)Membuat kebijakan-kebijakan yang mampu meningkatkan kualitas layanan dan membawa proses penyelenggaraan layanan ke arah yang lebih baik; b)Mensosialisasikankebijakanlayanankepadasemuapersonilyangterkait dengan proses penyelenggaraan layanan; c)Memastikansemuapersonilyangterkaitdenganprosespenyelenggaraan layanan mematuhi dan menerapkan kebijakan layanan; b.Kriteria Standar 1)Kebijakan Umum Kebijakanumumadalahkebijakan-kebijakanyangbersifatumumdalam penyelenggaraan layanan, misalnya kepatuhan terhadap hukum dan peraturan yangberlakudiIndonesia,kepatuhanterhadapaturandanprosedurinternal organisasi, dll. 2)Kebijakan Layanan Kebijakanlayananadalahkebijakan-kebijakanyangmengatursecaraumum bagaimanapenyelenggaraanlayanandilakukan.Kebijakanlayanandapatjuga memuatkewajiban-kewajianataspersyaratanyangadadalamstandar, misalnya kewajiban untuk melakukan evaluasi secara berkala terhadap proses penangananpermasalahan,gangguandanpermintaanlayananuntuk menemukan peluang peningkatan kualitas layanan. 3)Kebijakan Keamanan Informasi Kebijakankeamananinformasiadalahkebijakan-kebijakanyangmengatur secara umum bagaimana keamanan informasi dalam penyelenggaraan layanan dilakukan.Kebijakankeamananinformasidapatjugamemuatkewajiban-kewajibanataspersyaratanyangadadalamstandar,misalnyakebijakan penggunaanpassword,kebijakanperlindungandanpenempatanperangkat, kebijakan penggunaan removable media, dll. Hal 4 2.Standar Pengorganisasian Layanan 2.1.Pendahuluan Untukmendukungpenyelenggaraanlayananyangefektifdanefisien, penyelenggaraan layanan harus didukung oleh struktur organisasi yang sesuai dengan pelayananyangdiselenggarakan.Dalamhalpenyelenggaraanlayananteknologi informasi (IT Services) terdapat beberapa framework tata kelola yang dapat dijadikan acuandalampengorganisasianlayanan,sepertiInformationTechnologyService Management(ITSM),ServiceManagementSystem(SMS),dll.Pengorganisasian layanandapatbersifatformaldalambentukstrukturorganisasiataumerupakan susunangugustugas/fungsiyangdibutuhkandalampenyelenggaraanlayanan,agar dapat berjalan dengan efektif dan efisien. 2.2.Pengorganisasian Layanana.Peran 1)Kepala LPSE Dalampengorganisasianpenyelenggaraanlayanan,KepalaLPSEsebagai pemilik layanan bertanggung jawab untuk: a)Menyusunstrukturorganisasiyangmampumendukungpenyelenggaraan layanan,agarpenyelenggaraanlayanan dapatberjalan denganefektifdan efisien; b)Melakukanevaluasiuntukmemastikanstrukturorganisasiyangada mampuuntukmendukungpenyelenggaraanlayananagar penyelenggaraan layanan dapat berjalan dengan efektif dan efisien. b.Kriteria Standar 1)Pengorganisasian Layanan a)Pengorganisasianpenyelenggaraanlayananharusmemperhatikantujuan penyelenggaraan layanan; b)Pengorganisasianpenyelenggaraanlayananharusdapatmendefinisikan rincian peran beserta tugas dan tanggung jawab dari semua unit yang ada; c)Pengorganisasianpenyelenggaraanlayanandapatmengacupada frameworktatakelolapenyelenggaraanlayananteknologiinformasiyang ada, baik ditingkatan nasional maupun internasional; d)Pengorganisasianpenyelenggaraanlayanandapatbersifatformaldalam bentukstrukturorganisasiataumerupakangugustugas/fungsiyang dibutuhkan dalam penyelenggaraan layanan. Hal 5 2)Rincian Peran, Tugas dan Tanggungjawab Rincianperanbesertatugasdantanggungjawabdarisetiapunityangada dalampenyelenggaraanlayananharusdidefinisikandenganjelas,termasuk fungsi-fungsiatauperanpengganti(alternativerole),jikadalamkondisi tertentu terdapat unit yang tidak dapat menjalankan fungsinya sesuai dengan kebutuhan penyelenggaraan layanan. Hal 6 3.Standar Pengelolaan Aset Layanan 3.1.Pendahuluan Setiapasetharusdikeloladenganbaikdandiidentifikasiketerkaitannyadengan penyelenggaraanlayanan.Asetdiklasifikasikanmenjadi6jenis,yaituAsetInformasi, AsetPersonilLPSE,AsetFisik,AsetSoftware,AsetLayanandanAsetIntangible.Aset jugadinilaisesuaidenganklasifikasikeamananinformasiyangmemuatnilai kerahasiaan, integritas dan ketersediaan dari aset. 3.2.Pengelolaan Aset a.Peran 1)Pengelola Aset Pengelola aset dapat diperankan oleh satu orang atau lebih personil LPSE yang melakukan aktifitas-aktifitas pengelolaan aset, diantaranya: a)Membuatdaftarasetdenganstrukturatauformatpendaftaranyangbaik dankonsistendenganberkoordinasidenganunit-unitdalam penyelenggaraanlayananyangmemilikiasetsesuaidenganklasifikasi pengelompokkan aset; b)Memantaudanmemperbaharuidaftarasetsetiapkaliterjadiperubahan atau penambahan aset; c)Berkoordinasi dengan pemilik aset untuk menentukan klasifikasi keamanan informasi untuk setiap aset yang dikelola. b.Kriteria Standar 1)Pendaftaran Aset Setiap aset yang dimiliki penyelenggara layanan harus didaftarkan dengan baik sebagaidasarpengelolaanrisikolayanandanpenerapanstandarpengelolaan lainnya yang terkait dengan aset. Dalam pendaftaran aset, aset dibagi menjadi 6 klasifikasi, yaitu: a)Aset Informasi Adalahsegalabentukinformasiyangbernilaibagipenyelenggaraan layanan,baikyangdidapatkansebelummaupunpadasaat penyelenggaraanlayananberlangsung,misalnyabasisdata(database) ataufile,kontrak,perjanjiantingkatlayanan,dokumentasisistem, dokumentasi dari proses (catatan-catatan, evaluasi penilaian, laporan, dll), petunjuk penggunaan aplikasi,bahan pelatihan, audit log, dll. Aset informasi didaftarkan dengan memuat informasi sekurang-kurangnya: Hal 7 (1)Deskripsiaset,berisideskripsimengenaiaset,misalnyakodeaset, nama aset, penyedia aset, dll; (2)Subklasifikasiaset,berisikodeatauketeranganpengelompokkan antaraasetsatudenganyanglainnya,yangmemilikiciriterkait keamanan informasi yang sama; (3)Pemilikaset,berisiinformasiorangatauunitdalampenyelenggaraan layananyangmemilikiasettersebut,misalnyabasisdataaplikasi dimiliki oleh Kepala LPSE; (4)Klasifikasikeamananinformasi,berisihasilidentifikasinilai kerahasiaan, integritas dan ketersediaan dari aset. b)Aset Personil LPSE AdalahsemuapersonilLPSEyangmemilikiperandanbernilaibagi penyelenggaraanlayanan,diantaranyaterkaitdengankualifikasi, keterampilandanpengalamanyangdimilikipersonilLPSEtersebut, misalnyaKepalaLPSE,Verifikator,Helpdesk,AdministratorSistem,Office Boy, dll. AsetPersonilLPSEdidaftarkandenganmemuatinformasisekurang-kurangnya: (1)Deskripsiaset,berisideskripsimengenaiaset,misalnyakodeaset, nama aset, tugas dan fungsi aset, dll; (2)Subklasifikasiaset,berisikodeatauketeranganpengelompokkan antaraasetsatudenganyanglainnya,yangmemilikiciriterkait keamanan informasi yang sama; (3)Pemilikaset,berisiinformasiunitdanpimpinanunitdalam penyelenggaraanlayanantempatdimanaasettersebutbekerja, misalnyaadministratorsistemlangsungdimilikiolehLPSEdengan KepalaLPSEsebagaipimpinannya,helpdeskdibawahunitdukungan pengguna dengan koordinator helpdesk sebagai pimpinannya; (4)Klasifikasikeamananinformasi,berisihasilidentifikasinilai kerahasiaan, integritas dan ketersediaan dari aset. c)Aset Fisik Adalahsemuainfrastrukturfisikyangdigunakandanbernilaibagi penyelenggaraanlayanan,baikyangdidapatkansebelummaupunpada saat penyelenggaraanlayananberlangsung,misalnyakomputer, peralatan komunikasi, removable media, ruangan atau bangunan, dll. Aset fisik didaftarkan dengan memuat informasi sekurang-kurangnya: (1)Deskripsiaset,berisideskripsimengenaiaset,misalnyakodeaset, nama aset, penyedia aset, dll; Hal 8 (2)Subklasifikasiaset,berisikodeatauketeranganpengelompokkan antaraasetsatudenganyanglainnya,yangmemilikiciriterkait keamanan informasi yang sama; (3)Pemilikaset,berisiinformasiorangatauunitdalampenyelenggaraan layananyangmemilikiasettersebut,misalnyakomputerpadabiding room dimiliki oleh helpdesk atau unit dukungan pengguna; (4)Klasifikasikeamananinformasi,berisihasilidentifikasinilai kerahasiaan, integritas dan ketersediaan dari aset. d)Aset Software Adalah semua software yang digunakan dan bernilai bagi penyelenggaraan layanan, misalnya sistem operasi, perangkat lunakperkantoran, perangkat lunakserver,alatbantupenyelenggaraanlayanan(troubleticketing system, customer relationship manager, remote terminal), dll. Aset software didaftarkan dengan memuat informasi sekurang-kurangnya: (1)Deskripsiaset,berisideskripsimengenaiaset,misalnyakodeaset, nama aset, penyedia aset, lisensi, dll; (2)Subklasifikasiaset,berisikodeatauketeranganpengelompokkan antaraasetsatudenganyanglainnya,yangmemilikiciriterkait keamanan informasi yang sama; (3)Pemilikaset,berisiinformasiorangatauunitdalampenyelenggaraan layanan yang memiliki aset tersebut, misalnya sistem operasi komputer helpdesk dimiliki oleh helpdesk yang menggunakan komputer tersebut; (4)Klasifikasikeamananinformasi,berisihasilidentifikasinilai kerahasiaan, integritas dan ketersediaan dari aset. e)Aset Layanan Adalahsemualayananyangdidapatkandaripihaklainyangbernilaibagi penyelenggaraanlayanan,misalnyalayananinternet,layananperawatan pendinginruangan,layanankomunikasi,layananumumsepertilistrik,air, fotocopy, dll. Aset layanan didaftarkan dengan memuat informasi sekurang-kurangnya: (1)Deskripsiaset,berisideskripsimengenaiaset,misalnyakodeaset, nama aset, penyedia aset, SLA, dll; (2)Subklasifikasiaset,berisikodeatauketeranganpengelompokkan antaraasetsatudenganyanglainnya,yangmemilikiciriterkait keamanan informasi yang sama; (3)Pemilikaset,berisiinformasiorangatauunitdalampenyelenggaraan layananyangmemilikiasettersebut,misalnyalayananumumseperti listrik dan air dimiliki oleh bagian umum; Hal 9 (4)Klasifikasikeamananinformasi,berisihasilidentifikasinilai kerahasiaan, integritas dan ketersediaan dari aset. f)Aset Intangible Adalahasettakberwujudyangbernilaibagipenyelenggaraanlayanan, misalnya reputasi LPSE, pencitraan, kualitas layanan, dll. AsetIntangible didaftarkan dengan memuat informasi sekurang-kurangnya: (1)Deskripsiaset,berisideskripsimengenaiaset,misalnyakodeaset, nama aset, dll; (2)Subklasifikasiaset,berisikodeatauketeranganpengelompokkan antaraasetsatudenganyanglainnya,yangmemilikiciriterkait keamanan informasi yang sama; (3)Pemilikaset,berisiinformasiorangatauunitdalampenyelenggaraan layananyangmemilikiasettersebut,misalnyakualitaspenanganan permasalahan,gangguandanpermintaanlayanandimilikiolehunit helpdesk; (4)Klasifikasikeamananinformasi,berisihasilidentifikasinilai kerahasiaan, integritas dan ketersediaan dari aset. 2)Klasifikasi Keamanan Aset Klasifikasi keamanan aset diidentifikasi oleh pemilik aset dari nilai kerahasiaan, integritasdanketersediaandarisetiapaset.Pengklasifikasiannilaikeamanan aset dapat diperjelas dalam prosedur pengelolaan aset agar untuk setiap jenis aset terjaga konsistensi penilaiannya, misalnya: a)Aset Informasi (1)Kerahasiaan,adalahtingkatkerahasiandariasetinformasiyang direpresentasikandalamangka(rendah=1;sedang=2;tinggi=3), misalnya apakah aset tersebut boleh diketahui umum atau tidak; (2)Integritas,adalahtingkatkeakurasiandanketepatan(integritas)dari asetinformasiyangdirepresentasikandalamangka(rendah=1; sedang=2;tinggi=3).misalnyadaftargaji,tingkatkeakurasiandan ketepatan penggolongan atau pemberian isi dari gaji tidak boleh dapat diubah sembarangan oleh orang yang tidak berhak; (3)Ketersediaan,adalahtingkatkebutuhanakanketersediaandariaset informasiyangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyadatayangseringdipergunakanmakamemiliki tingkat ketersediaan lebih tinggi dibandingkan data yang diakses hanya setahun sekali; Hal 10 b)Aset Personil LPSE (1)Kerahasiaan,adalahtingkatkerahasiandariAsetPersonilLPSEyang direpresentasikandalamangka(rendah=1;sedang=2;tinggi=3), misalnya admin system yang memiliki akses kepada system lebih tinggi nilaikerahasiaannyadaripadahelpdeskyangbertugasmelayani pengguna; (2)Integritas,adalahtingkatkebutuhanintegritasdariAsetPersonilLPSE yangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyaverifikatoryangmelakukanverifikasipendaftaran penggunalebihtinggikebutuhanintegritasnyadaripadapelatih (trainer) aplikasi; (3)Ketersediaan, adalah tingkat kebutuhan ketersediaan dari Aset Personil LPSEyangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyahelpdeskyangmelayanipenggunalebihtinggi kebutuhan ketersediaannya dibandingkan dengan pelatih (trainer); c)Aset Fisik (1)Kerahasiaan,adalahtingkatkerahasiandariasetfisikyang direpresentasikandalamangka(rendah=1;sedang=2;tinggi=3), misalnyalemaribrankas(safedepositbox)yangmemilikitingkat kerahasiaan lebih tinggi dibandingkan dengan lemari perpustakaan; (2)Integritas,adalahtingkatkeakurasiandanketepatan(integritas)dari asetfisikyangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyakabel-kabelyangharusdiamankandarigangguan kerusakanmemilikinilaiintegritasyangtinggidibandingkandengan aset fisik habis pakai; (3)Ketersediaan,adalahtingkatkebutuhanakanketersediaandariaset fisikyangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyakebutuhanketersediaankomputerkerjaadmin systemyanglebihtinggidibandingkandengankomputerdiruangan pelatihan; d)Aset Software (1)Kerahasiaan,adalahtingkatkerahasiandariasetsoftwareyang direpresentasikandalamangka(rendah=1;sedang=2;tinggi=3), misalnyaaplikasiyangdigunakanuntukmelakukanenkripsidata backuplebihtinggikerahasiaannyadaripadaaplikasiyangdigunakan untuk melakukan kompresi; (2)Integritas,adalahtingkatkeakurasiandanketepatan(integritas)dari asetsoftwareyangdirepresentasikandalamangka(rendah=1; Hal 11 sedang=2;tinggi=3),misalnyakebutuhanintegritasaplikasiemailclient lebih tinggi daripada aplikasi internet browser; (3)Ketersediaan,adalahtingkatkebutuhanakanketersediaandariaset softwareyangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyakebutuhanketersediaanaplikasiperkantoranlebih tinggidibandingkandenganaplikasipendukunglayanan(trouble ticketing system, dll); e)Aset Layanan (1)Kerahasiaan,adalahtingkatkerahasiandariasetlayananyang direpresentasikandalamangka(rendah=1;sedang=2;tinggi=3), misalnyalayanancallcentreyangdipihakketigakanlebihtingginilai kerahasiannya untuk menjaga citra LPSE dibandingkan dengan layanan internet yang umumnya memang dipihak ketigakan; (2)Integritas,adalahtingkatkeakurasiandanketepatan(integritas)dari asetlayananyangdirepresentasikandalamangka(rendah=1; sedang=2; tinggi=3),misalnya layanan call centre yang dipihak ketigakan lebihtinggikebutuhanintegritasnyadibandingkandenganlayanan pengelolaan air conditioner (AC); (3)Ketersediaan,adalahtingkatkebutuhanakanketersediaandariaset layananyangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyakebutuhanketersediaanlayananinternetuntuk serverlebihtinggidibandingkanketersediaanlayananinternetuntuk bidding roomyang sudah terhubung ke server secara lokal; f)Aset Intangible (1)Kerahasiaan,adalahtingkatkerahasiandariasetintangibleyang direpresentasikandalamangka(rendah=1;sedang=2;tinggi=3), misalnyakenyamananpersonilLPSEdalambekerjalebihtinggi kerahasiaannyadibandingkandenganpenghargaanyangdidapatkan dari LKPP sebagai LPSE terbaik; (2)Integritas,adalahtingkatkeakurasiandanketepatan(integritas)dari asetintangibleyangdirepresentasikandalamangka(rendah=1; sedang=2; tinggi=3),misalnya untuk mendapatkan penghargaan sebagai LPSE terbaik lagi ditahun yang akan datang, maka kualitas layanan tidak boleh menurun; (3)Ketersediaan,adalahtingkatkebutuhanakanketersediaandariaset intangibleyangdirepresentasikandalamangka(rendah=1;sedang=2; tinggi=3),misalnyakebutuhankenyamananpersonilLPSEdalam Hal 12 bekerjaperluditingkatkandibandingdengankebutuhanmendapatkan penghargaan; Hal 13 4.Standar Pengelolaan Risiko Layanan 4.1.Pendahuluan Setiaporganisasitermasukdidalamnyapenyelenggaralayananharusmelakukan pengelolaanrisiko.Denganmelakukanpengelolaanrisiko,penyelenggaralayanan dapatmenerapkanpengendalian(control)yangsesuaiuntukmenghindariterjadinya risiko yang tidak diinginkan. 4.2.Pengelolaan Risiko a.Peran 1)Pengelola Risiko PengelolarisikodapatdiperankanlangsungolehKepalaLPSEatausatuatau beberapapegawaiyangditunjukuntukmelakukanaktifitas-aktifitas pengelolaan risiko, diantaranya: a)Menyusun metodologi yang akan digunakan dalam menilai risiko; b)Membuatdaftaridentifikasirisikoyangmungkinakantimbuldalam penyelenggaraan layanan; c)Berkoordinasidenganunitlaindalampenyelenggaraanlayananuntuk mencari tahu dan memastikan tindakan pengendalian (control) yang tepat untuk penanganan risiko; d)Memantau daftar identifikasi risiko untuk melihat kemungkinan perubahan risikoyangbisadisebabkandarihasilpengendalianataurisikoyang berubah karna hal lain, misalnya waktu, perubahan struktur organisasi, dll; b.Kriteria Standar 1)Metode Penilaian Risiko Risikodinilaiberdasarkanaset,denganmemperhatikanfaktor-faktor penyebab timbulnya risiko, diantaranya: a)Dampak,adalahpengaruhatauakibatyangmungkinmunculketika terjadinya suatu risiko; b)Pengancam,adalahpihakyangmembawaakibatdarisuatukejadianyang tidakdikehendakikarenaadanyakerentananpadaasetyangdapat membahayakan penyelenggaraan layanan; c)Kerentanan,adalahkelemahanataukerawanandariasetyangdapat dieksploitasiolehpengancamsehinggamenimbulkansuatuakibatatau dampak yang tidak dikehendaki; d)Pengendalian,adalahalatuntukmengendalikanataumengurangitingkat risikodengancaramenutupcelahkerentananpadaasetataumenutup Hal 14 kemungkinanterjadinyaancaman.Pengendaliandapatberupakebijakan, prosedur,standar,strukturorganisasiatautindakanyangdapatberupa penerapan teknologi, administratif, teknis atau hukum. e)Penilaianrisikodapatdilakukandenganmetodepenilaiansederhana ataupundenganmenggunakanalatbantu(tools)penilaianrisiko,selama metode penilaian risiko tersebut: (1)Mampuuntukmenggambarkantingkatrisiko,denganmelakukan pengujianhasilpenilaianrisikodengankondisipenyelenggaraan layanan; (2)Telah disetujui oleh Kepala LPSE sebagai pemilik layanan; 2)Tindakan Penanganan Risiko Tindakanpenangananrisikoyangdiambilberdasarkanhasilpenilaianrisiko, dapat berupa: a)Avoid,ataumenghindaririsikodenganmenghentikantindakan/kegiatan yangdapatmenimbulkanrisiko,misalnyalaranganpenggunaanflashdisk karena risiko penyebaran virus, penutupan akses situs web tertentu karena berisiko terhadap kinerja pegawai, dll; b)Mitigate,ataumengendalikanrisikodenganmenerapkanpengendalian yangdapatmengurangiancamanataukelemahan,misalnyapenerapan antivirusuntukmengendalikanpenyebarluasanvirus,firewalluntuk membatasi akses tertentu pada jaringan, dll; c)Transfer,ataumemindahkanrisikokepadapihaklainyangbersedia menanggungrisiko,misalnyadenganmengasuransikanbangunanuntuk memindahkan risiko kebakaran kepada pihak asuransi; d)Accept,ataumenerimarisikodenganmembiarkanrisikotersebutada, karna dampak yang ditimbulkan sangat kecil atau tidak signifikan, misalnya kehilangan informasi rahasia pada flashdisk yang sudah terenkripsi. 3)Pengelolaan Risiko a)Risikoharusdikelolasesuaidenganhasilpenilaianrisikoyangdilakukan agar tindakan penanganan risiko yang diberikan sesuai, efektif dan efisien; b)Penilaianrisikoharusdilakukansesuaidenganmetodepenilaianrisiko yang sudah disetujui oleh Kepala LPSE sebagai pemilik layanan; c)Hasilpenilaianrisikodimasukkandalamdaftaridentifikasirisikodan dipantau secara berkala untuk melihat kemungkinan perubahan risiko yang bisa disebabkan dari hasil pengendalian atau risiko yang berubah karna hal lain, misalnya waktu, perubahan struktur organisas, dll. Hal 15 5.Standar Pengelolaan Layanan Helpdesk 5.1.Pendahuluan Setiap layanan helpdesk yang berupa penanganan permintaan layanan,gangguan, dan permasalahan,harusterdokumentasidenganbaik,dievaluasisecaraberkalauntuk peningkatan kualitas layanan serta dapat dimanfaatkan sebagai bahan untuk menjaga konsistensi pemberian layanan diwaktu yang akan datang. 5.2.Pengelolaan Layanan Helpdeska.Peran 1)Koordinator Helpdesk Koordinator Helpdesk adalah personil LPSEyang berperan mengkoordinasikan penangananpermintaanlayanan,gangguan,danpermasalahan..Koordinator Helpdesk memiliki tugas dan tanggung jawab: a)Menerapkan proses pengelolaan layanan helpdesk yang efektif dan efisien; b)Melakukanpemantauanefektifitasdanefisiensiprosespengelolaan layanan helpdesk; c)Melakukanpemantauanstatusdanperkembanganproseslayanan helpdesk; d)Memastikanakarpermasalahantelahditemukanuntuksetiap permasalahan layanan yang sedang ditangani; e)Melakukanevaluasisecaraberkalaterhadapproseslayananhelpdesk untuk menemukan peluang peningkatan kualitas layanan; f)MenyusundanmelaporkankepadaKepalaLPSEterkaitdenganhasil evaluasi layanan helpdesk.2)Helpdesk Helpdesk adalah personil/timyangmenjalankan tugas dan fungsi Unit Layanan DukunganPenggunaLPSE.DalamPengelolaanlayananhelpdesk,personil/tim helpdesk memiliki tugas dan tanggung jawab: a)Melakukanpencatatanpermintaanlayanan,gangguandanpermasalahan, daripenggunadenganformatpencatatanyangrapihdankonsistendan dapat digunakan sebagai bahan evaluasi; b)Menentukanklasifikasiataspermintaanlayanan,gangguan danpermasalahanyang diterima; c)Menentukanlangkahtindaklanjutpemberiansolusidengan memperhatikankonsistensipemberiansolusiberdasarkancatatan penanganan permintaan layanan, gangguan dan permasalahan yang sudah diselesaikan sebelumnya; Hal 16 d)MelaporkankepadaKoordinatorHelpdeskterkaitdengankesulitanyang dihadapisaatpenangananpermasalahan,gangguanataupermintaan layanan; e)Melakukaneskalasipenangananpermintaanlayanan,gangguandan permasalahan yang tidak dapat diatasi, jika dibutuhkan; f)Melakukanpemutakhirancatatansesuaidenganstatusdankondisi terakhirprosespenangananpermintaanlayanan,gangguandan permasalahan; g)Melakukankomunikasidenganpenggunaterkait(yangmenyampaikan keluhan/gangguan/permasalahan)denganstatusdankondisiterakhir proses penanganan permasalahan, gangguan atau permintaan layanan. b.Kriteria Standar1)Pencatatan Dalampenyelenggaraanlayananhelpdeskdiperlukanpencatatanterhadap semuapermasalahan,gangguandanpermintaanlayanandaripengguna. Pencatatantersebutharusberisiinformasiyangjelas.Setiappermasalahan, gangguanataupermintaanlayanandicatatsebagaitiketyangdapat dimutakhirkanstatuspenanganannya,dansekurang-kurangnyamemiliki informasi berikut: a)Nomor Tiket Adalahnomoryangdijadikanreferensiterhadapcatatan/tiketsuatu permasalahan,gangguanataupermintaanlayanan,yangbersifatunik denganmenggunakanformatyanginformatif,misalnya20140101-01-TS yangmerupakanimplementasidariformat[yyyymmdd]-[nomorurut tiket]-[inisial nama helpdesk yang menerima laporan]. b)Informasi Pelaporan Adalahinformasiyangjelasmengenaibagaimanalaporanditerima, misalnya berisi: (1)Nama Pengguna; (2)Kontak Pengguna (berisi alamat email, atau no. telephon, alamat surat, dll); (3)Media Pelaporan (email, telpon, surat, dll) c)Waktu Pelaporan;Deskripsi Berisiinformasidetiltentangpermasalahan,gangguanataupermintaan layanan yang disampaikan oleh pengguna. d)Klasifikasi Hal 17 Merupakaninformasihasilpengklasifikasiandarihelpdeskterkaitdengan laporanpermasalahan,gangguanataupermintaanlayananyangditerima daripenggunayangdapatdimanfaatkandalampenanganandanevaluasi, misalnya: (1)Tipe,merupakanpilihanpermasalahan,gangguandanpermintaan layanan; (2)Kategori, merupakan pilihan Teknis atau Non Teknis; (3)User, merupakan pilihan atas pengguna sistem: Panitia, Penyedia, PPK, Auditor, Publik, dll; (4)Jenis, merupakan pilihan Hardware, Software, Prosedur atau User; (5)Tingkat Kepentingan, merupakan pilihan:Tinggi, Sedang, atauRendah; (6)Dampak, merupakan pilihan: Besar, Sedang, atau Kecil; (7)Prioritas, merupakan pilihan: Tinggi, Sedang, atau Rendah; e)Informasi Penanganan Merupakaninformasiyangterkaitdenganprosespenanganan permasalahan, gangguan atau permintaan layanan, sekurang-kurangnya: (1)NamaPersonil,berisinamapersonilyangmenanganipermasalahan, gangguan atau permintaan layanan; (2)Status, berisi pilihan: Terdaftar, Dalam Proses, Eskalasi atau Selesai (3)Keterangan,berisiinformasikondisiterakhirprosespenanganan permasalahan,gangguanataupermintaanlayananatauakar permasalahansebagaibagiandariprosedurpenyelesaian permasalahan (4)TanggalPemutakhiran,berisiinformasitanggalterakhircatatan dimutakhirkan. f)Informasi Penyelesaian Merupakanhasilprosespenangananpermasalahan,gangguanatau permintaan layanan yang sudah selesai, misalnya berisi: (1)Solusi yang diberikan; (2)Tanggal penyelesaian; (3)Status konfirmasi kepada pengguna: Sudah, Belum; 2)Evaluasi dan Pelaporan Evaluasidilakukansecaraberkalauntukmendapatkanpeluangpeningkatan kualitaslayanan.HasilevaluasidilaporkankepadaKepalaLPSEyangberisi informasi/kesimpulandetilpenangananpermasalahan,gangguanatau permintaanlayananper-klasifikasi,sehinggaKepalaLPSEsebagaipemilik layanandapatmengetahuitingkatlayananyangsudahdiberikanuntuk Hal 18 memutuskan kecukupan dari pelayanan penanganan permasalahan, gangguan dan permintaan layanan. 3)Pembelajaran dan Basis Data Pengelolaan HelpdeskBasis data pengelolaan helpdesk berisi ringkasan permasalahan, gangguan dan permintaanlayananyangsudahpernahdiselesaikanbesertadengansolusi ataulangkah-langkahpenyelesaiannya.Denganadanyapencatatanyang teraturdanevaluasisecaraberkalaterhadapprosespenanganan permasalahan,gangguandanpermintaanlayanan,semuainformasiyang terkandungdidalamnyadapatdijadikanpembelajarandenganmembentuk basis data permasalahan, gangguan dan permintaan layanan. Hal 19 6.Standar Pengelolaan Perubahan 6.1.Pendahuluan Perubahanpadalayananharusdikelolaagardipastikanperubahanyangdilakukan membawadampakpositifterhadappenyelenggaraanlayanansecarakeseluruhan. Perubahan pada layanan harus memperhatikan kebutuhan akan perubahan yang bisa datang dari pihak internal penyelenggara layanan maupun pihak eksternal. 6.2.Pengelolaan Perubahan a.Peran 1)Pengelola Perubahan PengelolaPerubahanadalahpegawaiyangmenjalankanaktifitaspengelolaan perubahan. Pengelola Perubahan memiliki tugas dan tanggung jawab: Melakukananalisakebutuhanperubahanyangmemuatsumber,latar belakang, maksud dan tujuan dilakukannya perubahan; a)Melakukan identifikasi jenis perubahan yang akan diterapkan; b)Melakukan analisa dampak perubahan terhadap penyelenggaraan layanan, termasuk berkoordinasi dengan Pengelola Risiko untuk menilai risiko yang mungkin ditimbulkan dari perubahan yang akan diterapkan; c)Berkoordinasidenganunitlaindalampenyelenggaraanlayananyang terkaitlangsungdenganperubahanyangakanditerapkan,untuk melakukan ujicoba penerapan perubahan; d)Mendokumentasikan proses penerapan perubahan. b.Kriteria Standar 1)Prosedur Perubahan Setiapperubahanharusdilakukandenganmengikutiproseduryangberlaku, yang sekurang-kurangnya memuat: a)Pemohon mengisi form permintaan perubahan yang memuat maksud dan tujuanperubahan kemudian ditujukan kepada pengelola perubahan. b)PengelolaperubahanmelakukanIdentifikasijeniskebutuhan,yang sekurang-kurangnyaberupaperubahanmendesak(emergencychange) atau perubahan biasa (normal change). c)Perubahan biasa bisa dilakukan setelah mendapat persetujuan dari Kepala LPSE. d)Perubahanmendesakmemungkinkanadanyaaktifitasalternatifuntuk memastikanagartujuandariperubahantetaptercapainamunharus Hal 20 memilikipengendaliantambahanuntukmenjagaintegritasproses perubahan.e)Pengendaliantambahandilakukandenganpersetujuanpenanggungjawab komponenlayanan(misalpenanggungjawabjaringanadalahadmin sistem),namunsemuaprosesnyaharusterdokumentasidanpermintaan persetujuan tetap harus dilakukan kepada kepala LPSE f)Analisadampakperubahanterhadapkomponenlayananyanglain termasuk juga langkah penyelesaiannya perlu dilakukan untuk memastikan penyelenggaraanlayanantetapdapatberjalanoptimalsaatperubahan dilakukan; g)Analisadampakperubahanharusmemperhatikananalisarisikoterhadap penyelenggaraanlayanan,dansetiapperubahanharusdisetujuioleh KepalaLPSEdenganmempertimbangkanaspek-aspekrisikoterhadap perubahan tersebut; h)Ujicobaterhadapperubahanharusdilakukansebelumdiriliskepada pengguna.Ujicobadapatdilakukandenganmenggunakaninfrastruktur testingataulatihan,sebelumdilakukanperubahanpadainfrastruktur production; i)Prosespengembalian(roolback)ketikaujicobaterhadapperubahan menunjukkan hasil yang tidak sesuai; j)Pendokumentasian perubahan harus dilakukan dan memuat catatan setiap komponen layanan yang mengalami perubahan. k)Apabilaterjadiperubahanpadaaset,makapengelolaperubahan melakukan pemutakhiran daftar aset.2)Dokumentasi Perubahan Dokumentasi perubahan sekurang-kurangnya memuat: a)Nomor Formulir Permintaan Perubahan. b)Waktu saat perubahan diterapkan; c)Analisakebutuhanperubahanyangmemuatmaksuddantujuan dilakukannya perubahan; d)Identifikasi kategori dan jenis perubahan; e)Rincian permintaan perubahan; f)Langkah-langkahatautindakanyangdiambiluntukmenerapkan perubahan; g)Catatansetiapkomponenlayananyangmengalamiperubahanbeserta hasil ujicoba setelah dilakukan perubahan. Hal 21 7.Standar Pengelolaan Kapasitas 7.1.Pendahuluan Pengelolaan kapasitas dibutuhkan dalam penyelenggaraan layanan untuk memastikan bahwakapasitaslayananantaralainperangkatkeras,sumberdayamanusia, infrastruktur jaringan dan semua komponen layanan lainnyabaik saat ini maupun yang akandatangselalutersediadalamwaktudanbiayayangefektifdanefisien,dengan katalainkebutuhankapasitaspenyelenggaraanlayananharusdinamis,mengikuti kebutuhan penyelenggaraan layanan. 7.2.Pengelolaan Kapasitas a.Peran 1)Pengelola Kapasitas PengelolaKapasitasadalahpersonilLPSEyangmenjalankanaktifitas pengelolaan kapasitas, yang memiliki tugas dan tanggung jawab: a)Melakukanpemantauan,mencatatdanmemutakhirkaninformasi penggunaan kapasitas komponen layanan; b)Melakukan evaluasi penggunaan kapasitas komponen layanan; c)Membuatperencanaankapasitaskomponenlayanandengan memperhatikankondisikapasitaskomponenlayanansaatinidanprediksi kebutuhankapasitaskomponenlayananyangakandatangberdasarkan analisa beban layanan; d)Memastikanlayanandankomponenlayanandapatmemberikantarget kapasitasdankinerjayangoptimaldalamperiodewaktuyang direncanakan; e)Meyusun dan melaporkan kepada kepala LPSE hasil pengelolaan kapasitas layanan secara berkala. b.Kriteria Standar 1)Pemantauan Penggunaan Komponen layanan a)Mendokumentasikanbatasandarikomponenlayanan,ditinjausecara berkaladandimutakhirkansetiapadapenambahanatauperubahan komponen layanan; b)Mengidentifikasidanmenentukankomponenlayananterhadapbatas kelayakanataumaksimalpenggunaannyasebelummempersiapkan penggantianataupenambahankapasitas.Misalnyakapasitasmedia penyimpanan (hardisk) 2 TB, maksimal penggunaannya 1.8 TB, maka ketika Hal 22 penggunaannyasudahmencapai1.8TB,sudahharusdisiapkan penggantian atau penambahan media penyimpanan tersebut; c)Memantaudanmendokumentasikanutilisasiataustatuspenggunaan komponen layanan secara berkala, yang dilengkapi dengan kondisi-kondisi penyelenggaraan layanan terkini, misalnya jumlah pelelangan yang sedang berjalan, jumlah pagu yang dilelangkan, kondisi alam dan lingkungan, dll; d)Dalampemantauankapasitaskomponenlayanan,PengelolaKapasitas dapat berkoordinasi dengan unit-unit atau pihak lain yang terkait langsung dengan komponen layanan untuk menjamin keakuratan data dalam analisa beban layanan. 2)Evaluasi Dan Perencanaan Kapasitas a)Hasil pemantauan kapasitas dievaluasi secara berkala dengan tujuan: 1.Menentukankecukupankomponenlayanandalampenyelenggaraan layanandengancaramembandingkanpenggunaankomponenlayanan denganbataskelayakanataumaksimalpenggunaankomponen layanan,agarkomponenlayanandapatmemberikankinerjayang optimal; 2.Mengetahui perubahan kebutuhan kapasitas komponen layanan dalam penyelenggaraanlayanan.Analisaperubahankebutuhankapasitas komponenlayanandapatberupaanalisaperubahanberdasarkan waktu,misalnyamelihatkenaikankebutuhankapasitasperbulanatau berdasarkankondisi-kondisipenyelenggaraanlayanan,misalnya berdasarkanjumlahpelelangan,jumlahpenyedia,dllataumerupakan perpaduan dari keduanya; b)Hasildarievaluasipemantauankapasitaskomponenlayananmenjadi masukandalamperencanaankapasitas,denganmemprediksikan kebutuhankapasitaskomponenlayanandimasayangakandatangdan kesesuaiandenganperjanjiantingkatlayanan(ServiceLevelAgreement) jika ada; c)Prosespengelolaankapasitasdidokumentasikandandilaporkankepada KepalaLPSEdenganformatyanginformatifdengancontohsebagai berikut: 1.Pendahuluan (a)Latarbelakangpermasalahanyangberisistatussaatinidan permasalahan-permasalahan kapasitas komponen layanan; (b)Ruang lingkup pengelolaan kapasitas yang berisi komponen layanan mana saja yang dikelola; Hal 23 (c)Metodepengumpulandatadanmetodeuntukmemprediksikan kebutuhan kapasitas komponen layanan kedepan; (d)Asumsi-asumsiyangdigunakan,misalkenaikankebutuhan kapasitasperbulanataudenganmembandingkankondisi-kondisi penyelenggaraan layanan saat ini dan yang akan datang; 2.Ringkasan layanan (a)Laporan layanan yang diselenggarakan saat ini; (b)Prediksi layanan yang akan diselenggarakan kedepan; 3.Ringkasan penggunaan kapasitas komponen layanan saat ini; 4.Pilihan peningkatan kapasitas yang berisi opsi-opsi tindakan yang dapat diambil untuk mengantisipasi terjadinya kekurangan kapasitas; d)Kesimpulandanrekomendasitindakanyangakandiambiluntuk mengantisipasiterjadinyakekurangankapasitasdengandilengkapi penjelasanpertimbangan-pertimbangannya,sepertipembiayaan,lama waktu pengerjaan dll; Hal 24 8.Standar Pengelolaan Sumber Daya Manusia 8.1.Pendahuluan Pengelolaansumberdayamanusiadibutuhkanuntukmemastikanbahwapersonil LPSE,PendukungLayanan(pemasok)ataupihakketigadapatmemenuhiperanyang dibutuhkanpadapenyelenggaraanlayanan.Pengelolaansumberdayamanusiajuga merupakansalahsatucarauntukmengurangirisikokeamananinformasi,untukitu sumberdayamanusiaharusdikelolasejaksebelummulaibekerja,saatbekerjadan setelah selesai bekerja. 8.2.Pengelolaan Sumber Daya Manusia a.Personil 1)Kepala LPSE KepalaLPSEsebagaipemiliklayananbertanggungjawabataspelayanan diberikan, termasuk didalamnya struktur LPSE dan personil yang terlibat dalam penyelenggaraanlayanan.KepalaLPSEperludengancermatmemperhatikan hal-halyangdapatmempengaruhiperformapenyelenggaraanlayananyang terkait dengan personil, diantaranya: a)Pembuatandeskripsipekerjaan,agardapatmemenuhikebutuhan penyelenggaraan layanan serta tugas, kewajiban dan tanggung jawab yang terkaitdengankeamananinformasi,khususnyapadapekerjaan-pekerjaan yang bersifat sensitif; b)PemilihanatauperekrutanpersonilLPSE,hendaknyamelaluiprosesyang sesuai dengan ketentuan LPSE, termasuk jika dibutuhkan adanya perjanjian kerahasiaan (non disclosure agreement); c)PemantauankinerjapersonilLPSE,hendaknyasesuaidengankontrak, perjanjian kerja atau posisi dan tanggung jawabnya; d)ProsespenghentianatauperpindahanpersonilLPSEketempatlain, hendaknya telah memenuhi ketentuan keamanan informasi. b.Proses 1)Perekrutan Prosesperekrutanadalahtahapawalyangmenentukanbagaimanasumber dayamanusiaataupersonilLPSEyangakanturutberperandalam penyelenggaraanlayanan.Prosesperekrutanhendaknyamemperhatikanhal-hal berikut: Hal 25 a)Pembuatandeskripsipekerjaan,tugasdantanggungjawabcalonpersonil LPSEhendaknyadapatmemenuhikebutuhanterkaitpenyelenggaraan layanan; b)Padapekerjaan-pekerjaanyangbersifatsensitifhendaknyadiperjelas kewajibandantanggungjawabcalonpersonilLPSEterkaitdengan keamanan informasi LPSE; c)Jikadibutuhkandapatdibuatperjanjiankerahasiaan(nondisclosure agreement)yangmemuatkewajiban-kewajibancalonpersonilLPSE terhadap kerahasiaan informasi yang ada pada LPSE. 2)Masa Kerja Dalammasabekerja,seiringdenganperkembanganwaktudanperubahan kebutuhanpenyelenggaraanlayanan, diperlukan adanyaaktifitaspengelolaan kompetensi personil LPSE. Pengelolaan kompetensi personil LPSE dapat dibuat dalam bentuk matrik yang berisikan: a)Analisakompetensi,adalahaktifitasidentifikasikebutuhankompetensi untukmenjalankansuatufungsidalampenyelenggaraanlayanan.Analisa kompetensidilakukandenganmelihatkondisipenyelenggaraanlayanan terkini.b)KebutuhanPelatihan,adalahaktifitasmembandingkankesesuaian kebutuhankompetensiuntukpenyelenggaraanlayanandengan kompetensiyangdimilikiolehpersonilLPSE,sehinggadapatterlihat kebutuhan peningkatan kompetensi (dalam bentuk pelatihan) dari personil LPSE yang bersangkutan. 3)Penghentian dan Perpindahan PenghentianatauperpindahanpersonilLPSEharusmemperhatikanhal-hal berikut: a)Serah terima pekerjaan yang sudah selesai maupun sedang dikerjakan b)Pengembalian aset yang digunakan selama bekerja, misalnya laptop, media penyimpanan portable, dll.c)PencabutanhakaksesyangdimilikipersonilLPSEselamabekerja, misalnya hak akses server dan jaringan Hal 26 9.Standar Pengelolaan Keamanan Perangkat 9.1.Pendahuluan Pengelolaankeamananperangkatbertujuanuntukmelindungiperangkatterhadap akses yang tidak sah, yang dapat menyebabkan kerusakan atau interferensi terhadap informasi yang ada didalamnya. Perangkat pengolahan informasi penting atau sensitif harus ditempatkan dengan aman dan dilindungi oleh perimeter keamanan yang tepat, sepadan dengan nilai risiko yang melekat padanya. 9.2.Pengelolaan Keamanan Perangkat a.Peran 1)Koordinator Keamanan Informasi KoordinatorKeamananInformasiadalahpegawaiyangberperansebagai koordinatordalampengelolaankeamananinformasi,termasukdidalamnya keamananperangkat,keamananoperasionallayanandankeamananserver danjaringan.KoordinatorKeamananInformasimemilikitugasdantanggung jawab: a)Menyusunrancanganprosedur-prosedurkeamananinformasidan memberikanmasukankepadaKepalaLPSEdalammenyusunkebijakan keamanan informasi di lingkungan LPSE; b)Mengkoordinasikansemuapersonildalammengimplementasikan kebijakan dan prosedur-prosedur keamanan informasi; c)Memastikan efektifitas dan konsistensi penerapan kebijakan dan prosedur-prosedur keamanan informasi; d)Memberikanlaporankinerjapenerapankebijkaandanprosedur-prosedur keamanan informasi kepada Kepala LPSE. 2)Personil LPSE AdalahsemuapegawaiyangberadadilingkungankerjaLPSEyangmemiliki tugasdantanggungjawabuntukmenjalankansemuakebijakandanprosedur yang terkait dengan keamanan perangkat. b.Kriteria Standar 1)Penempatan dan perlindungan perangkat a)Perangkatpengolahaninformasipentingatausensitifharusditempatkan padalokasiyangdapatmeminimalisiraksesyangtidakdibutuhkan, misalnyaserverdanperangkatjaringanharusditempatkandiruangan khusus(pusatdata)yanghanyadapatdiaksesolehpegawaitertentu sesuai dengan prosedur; Hal 27 b)Komputer atau perangkat lain yang digunakan untuk mengaksesinformasi pentingatausensitifharusberadapadalokasidengansudutpandangtertentuyangmampumengurangirisikokebocoraninformasi,misalnya komputeradministratorsistemtidakberadadiruangyangterbuka, administratorsistemtidakbolehmengaksessecararemotekeserver menggunakan komputer yang ada pada ruang bidding; c)Perangkatharusdilindungidaripotensigangguansecarafisik,seperti pencurian, kebakaran, air atau banjir, getaran, radiasi elektromagnetis, dll d)Perangkat pengolahan informasi harus berada pada lingkungan yang sesuai dengan spesifikasinya, misalnya suhu ruangan dan tingkat kelembaban; e)Penggunaan alat penangkal petir pada gedung sangat dibutuhkan, terlebih untuk daerah-daerah tertentu yang memiliki potensi petir tinggi; 2)Akses fisik perangkat a)Aksesfisikpadapusatdatayangberisiperangkatpengolahinformasi penting atau sensitif harus dikendalikan dengan pendaftaran hak akses dan prosedur, yang diantaranya memuat pencatatan akses yang berisi:(1)Identitas(2)Waktu (3)Tujuan b)Aksesfisikyangdilakukanolehpihakketigaperluditambahkanklausul tentangpendampinganolehpegawaiyangmemilikihakaksesterhadap perangkat yang akan diakses; c)Aksesfisikterhadapkomputeratauperangkatyangdigunakanuntuk mengaksesinformasipentingatausensitifharusdiamankandengan metode autentikasi, misalnya username dan password; d)Perangkatyangdigunakanuntukbekerjadalampenyelenggaraanlayanan harusdiamankanketikasedangditinggalkanatautidakdigunakan, misalnyamenguncilayarkomputersaattidakdigunakan,mengaktifkan penguncianotomatisketikakomputertidakdigunakandalambeberapa menit,menutupsemuaaplikasidanmematikankomputersaatjamkerja berakhir; e)AksesfisikolehpenggunaLPSEterhadapfasilitas-fasilitaslayanan(misal ruangtraining,ruangbiding)harussesuaidenganproseduryangberlaku, yangdiantaranyamemuatpencatatanaksesberisisiapayangmengakses, waktu akses dan tujuan mengakses. 3)Penghapusan dan penggunaan kembali perangkatSetiappenghapusanperangkatpengolahinformasitermasukdidalamnya untuktujuanpenggunaankembaliharusmemperhatikanaspek-aspek Hal 28 keamananinformasi,diantaranyapenghapusaninformasi-informasi pentingatausensitiftermasukjugasoftware-softwareberlisensidan konfigurasiperangkat,denganmetodepenghapusanyangamansesuai dengan risiko kebocoran dari informasi tersebut. 4)Penggunaan media penyimpanan portabel a)Informasi yang ada pada media penyimpanan portabel (misalnya flashdisk, disket, memory card, dll) harus dihapus jika sudah tidak digunakan; b)Penggunaanmediapenyimpananportablepadaperangkatpengolahan informasipentingatausensitifharusdibatasi,misalnyahanyadiijinkan untuk tujuan tertentu sesuai dengan prosedur yang berlaku; c)Penggunaanmediapenyimpananportabeluntukmenyimpan,membawa ataumemindahkaninformasipentingatausensitifharusdikendalikan sesuaidengantingkatkerahasiaan,integritasdanketersediaandari informasitersebut,misalnyadenganenkripsi,backupataudengan perlindungan fisik khusus. Hal 29 10. Standar Pengelolaan Keamanan Operasional Layanan 10.1. Pendahuluan Operasionallayananselain harusdikelolasesuaidengantatakelolapenyelenggaraan layanan, harus dikelolajugaaspekkeamananinformasinyaagarrisikoterkaitdengan keamanan informasi pada operasional penyelenggaraan layanan dapat dikendalikan. 10.2. Pengelolaan Keamanan Operasional Layanan a.Peran 1)Koordinator Keamanan Informasi KoordinatorKeamananInformasiadalahpegawaiyangberperansebagai koordinatordalampengelolaankeamananinformasi,termasukdidalamnya keamananperangkat,keamananoperasionallayanandankeamananserver danjaringan.KoordinatorKeamananInformasimemilikitugasdantanggung jawab: a)Menyusunrancanganprosedur-prosedurkeamananinformasidan memberikanmasukankepadaKepalaLPSEdalammenyusunkebijakan keamanan informasi di lingkungan LPSE; b)Mengkoordinasikansemuapersonildalammengimplementasikan kebijakan dan prosedur-prosedur keamanan informasi; c)Memastikan efektifitas dan konsistensi penerapan kebijakan dan prosedur-prosedur keamanan informasi; d)Memberikanlaporankinerjapenerapankebijkaandanprosedur-prosedur keamanan informasi kepada Kepala LPSE. 2)Semua Personil AdalahsemuapegawaiyangberadadilingkungankerjaLPSEyangmemiliki tugasdantanggungjawabuntukmenjalankansemuakebijakandanprosedur yang terkait dengan keamanan operasional layanan. b.Kriteria Standar 1)Dokumentasi prosedur a)Prosedur operasi standar (Standard OperationalProcedure) harus tersedia padasetiap proses penyelenggaraanlayananuntukmewujudkanbirokrasi yang profesional dan menjamin konsistensi dalam proses penyelenggaraan layanan. b)Proseduroperasistandarharusdibuatdenganmemperhatikanefektifias danefisiensiprosesdenganmemperhatikanaspek-aspekkeamanan Hal 30 informasiyangmerupakanbagiantidakterpisahkandariproses penyelenggaraan layanan; c)Proseduroperasistandarharusditinjausecaraberkalasesuaidengan perubahan-perubahankondisioperasionalpenyelenggaraanlayanan, misalnyaterkaitdenganperubahanataupenambahanperangkat, penambahan personil, perpindahan ruangan kerja, dll; d)Proseduroperasistandarharustersediadandapatdenganmudah diketahuiolehpegawaiataupihakyangterkaitdenganproses penyelenggaraan layanan; e)Dalampenyelenggaraanlayanan,pegawaiharusmematuhiprosedur-prosedur yang terkait dengan operasional penyelenggaraan layanan. 2)Klasifikasi dan hak akses informasi Untukmengendalikanaksesterhadapinformasiyangadadalamproses penyelenggaraanlayanan,setiapinformasiyangterdiridaridokumendan rekamanharusmemilikiklasifikasiyangmenjelaskanolehsiapainformasi tersebut boleh diakses dan tingkat kepentingan atau sensitifitas dari informasi tersebut.Klasifikasiinformasiharusdipahamiolehsemuapegawaiyang terlibatdalamprosespenyelenggaraanlayanan,termasukjugapelabelan informasiyangmemudahkankendaliterhadapaksesinformasitersebut. Pelabelaninformasidapatmenggunakankode-kodeyangsudahditentukan untuk setiap klasifikasi dan dipahami oleh pegawai yang terkait, misalnya: a)KodelabelLPSE-1,adalahinformasiyangtergolongklasifikasisangat rahasia, hanya boleh diakses oleh pegawai tertentu di LPSE; b)KodelabelLPSE-2,adalahinformasiyangtergolongklasifikasirahasia, boleh diakses oleh semua pegawai internal LPSE; c)KodelabelLPSE-3,adalahinformasiyangtergolonginformasipublik, boleh diakses oleh siapa saja; Atau dengan: a)KodelabelK1I2R3,adalahinformasidengantingkatketersediaan(K)= 1, integritas (I) = 2, dan kerahasiaan (R) = 3; b)KodelabelK3I2R1,adalahinformasidengantingkatketersediaan(K)= 3, integritas (I) = 2, dan kerahasiaan (R) = 1, dimana: (1)1 = Rendah (2)2 = Sedang (3)3 = Tinggi 3)Pemisahan tugas dan fasilitas a)Pemisahan tugas dan tanggung jawab dibutuhkan untuk mengurangi risiko penyalahgunaanwewenangolehseorangpersonilyangdilakukandengan Hal 31 sengaja maupun tidak. Harus diperhatikan bahwa tidak boleh ada seorang pegawaiyangdapatmengakses,memodifikasiataumenggunakanaset tanpaotorisasidanpengawasan,sebagaicontoh:Pemisahantugasdan fungsiantaraadminsystemdanadminaplikasiuntukmemastikantidak adanya konflik interest/interfensi. (1)Pemisahan tugas antara personil LPSE dengan panitia pengadaan, agar masing-masingpihakdapatbekerjasecaraprofesional,agar interferensiterhadapsistemuntukmerugikanpihaklaindapat diminimalisiratausetidaknyauntukmeng-interferensisistem membutuhkan kolusi/kerjasama lebih dari satu orang pegawai; (2)Pegawaiyangdapat meng-interferensisistemdenganwewenangyang dimilikinya,makaharusadapulatugasdantanggungjawab pengawasanterhadapsistem,dantidakbolehdiperankanoleh pegawai yang sama; b)Samahalnyadenganpemisahantugasdantanggungjawab,pemisahan fasilitasdibutuhkanuntukmengurangirisikopenyalahgunaanhakakses terhadapfasilitas.Harusdiperhatikanbahwatidakbolehadafasilitas khusus yang menjadi satu dengan fasilitas umum yang dapat menyebabkan seseorangyangtidakmemilikihakdapatmengaksesfasilitaskhusus tersebut berikut dengan semua isinya, sebagai contoh: (1)Pemisahanruanganbiddingroomyangdisediakanuntukpenyedia denganruangankerjapersonilLPSE,sehinggamembatasipenyedia yangdatang untukdapatmengaksesruangankerjapersonilLPSEyang mungkinberisibanyakinformasipentingyangtidakdiperuntukkan kepadanya; 4)Pelaksanaan pekerjaan jarak jauh (remote access) Pelaksanaanpekerjaanjarakjauh,atauaksesremotekhususnyapadasistem hanyadiijinkankepadapegawaidengantujuantertentusebagaimanayang menjaditugasdantanggungjawabnyadanpihaklainyangdiberikan wewenangsecaraformaluntuktujuantertentupula.Dalampelaksanaan pekerjaan jarak jauh, harus diperhatikan hal-hal berikut: a)Pengendalianberupaotentikasidanotorisasiterhadapasetyangakan diakses secara remote; b)Username dan password untuk hak akses yang diberikan adalah unik untuk masing-masing pihak yang diijinkan melakukan remote; c)Superusersistem dapatdigunakansetelahprosesotentikasidan otorisasi menggunakan username dan password; Hal 32 d)Dipastikanadanyapencatatan/historyperintah-perintahsystemsaat terdapat pekerjaan remote akses. e)Pengendalian enkripsi untuk pengamanan komunikasi; Hal 33 11. Standar Pengelolaan Keamanan Server dan Jaringan 11.1. Pendahuluan PengelolaanKeamananServerdanJaringanbertujuanuntukmemastikaninformasi penting atau sensitif pada perangkat pengolahan informasi utama dan pendukungnya mendapatkan perlindungan yang sesuai dari akses yang tidak berwenang baik melalui aksesfisikmaupunnonfisik,denganmenerapkankendali-kendalikeamanan informasi. 11.2. Pengelolaan Keamanan Server dan Jaringan a.Peran 1)Koordinator Keamanan Informasi KoordinatorKeamananInformasiadalahpegawaiyangberperansebagai koordinatordalampengelolaankeamananinformasi,termasukdidalamnya keamananperangkat,keamananoperasionallayanandankeamananserver danjaringan.KoordinatorKeamananInformasimemilikitugasdantanggung jawab: a)Menyusunrancanganprosedur-prosedurkeamananinformasidan memberikanmasukankepadaKepalaLPSEdalammenyusunkebijakan keamanan informasi di lingkungan LPSE; b)Mengkoordinasikansemuapersonildalammengimplementasikan kebijakan dan prosedur-prosedur keamanan informasi; c)Memastikan efektifitas dan konsistensi penerapan kebijakan dan prosedur-prosedur keamanan informasi; d)Memberikanlaporankinerjapenerapankebijkaandanprosedur-prosedur keamanan informasi kepada Kepala LPSE. 2)Administrator Sistem AdministratorSistemadalahpegawaiyangberperansebagaiadministrator ataupengelolaserverdanjaringandalampenyelenggaraanlayanan.Dalam pengelolaankeamananserverdanjaringan,AdministratorSistemmemiliki tugas dan tanggung jawab: a)Memastikan kendali-kendali keamanan informasi pada server dan jaringan sudah berjalan dengan baik, efektif dan efisien; b)Memastikan kendali-kendali keamanan informasi pada server dan jaringan selaludisesuaikanataudiperbaharuimengikutitrenkeamananinformasi terkini; Hal 34 3)Semua Personil AdalahsemuapegawaiyangberadadilingkungankerjaLPSEyangmemiliki tugasdantanggungjawabuntukmenjalankansemuakebijakandanprosedur yang terkait dengan keamanan server dan jaringan. b.Kriteria Standar 1)Pengendalian Akses Server dan Jaringan a)Aksesterhadapserverdanjaringanharusdikendalikansesuaidengan tingkat kepentingan, termasuk pemisahan server atau jaringan yang hanya diaksesolehinternaldanyang diaksesdarieksternal,misalnyapenerapan segmentasi jaringan internal dan jaringan publik; b)Akseslayanan(service)yangdiberikanolehserverdanjaringanharus dibuatseminimalmungkin,sesuaidengankebutuhanpengguna.Halini untukmenghindariancaman-ancamanyangmungkinditimbulkandari service yang tidak digunakan, diantaranya dengan: (1)Mematikan/non-aktifkan service yang tidak digunakan; (2)Menerapkandindingapi(firewall)yangdilengkapidengandaftar pengendalian akses (access control list), yang merupakan suatu bentuk implementasi teknis dari pengendalian akses; c)Aksesterhadapserverdanjaringanjugaharusdilindungidarigangguan-gangguaneksternaldenganmenerapkanantivirusatau pendeteksi/pencegahgangguan(IntrusionDetectionSystem/Intrusion Prevention System). 2)Backup Backupsangatberperanpentingdalampengelolaanintegritasdan ketersediaaninformasi.Backupmerupakansalahsatubentukpengendalian keamananinformasiyangharusditerapkandenganmemperhatikanhal-hal berikut: a)Backupharusdilakukansesuaidengankebijakanbackupdanprosesnya harus dilakukan sesuai dengan prosedur. Kebijakan backup berisi informasi diantaranya: (1)Lingkupbackupdandefinisitingkatankebutuhanbackup(levelof backup) terhadap informasi yang akan di-backup; (2)Pemilihanmetodebackup(fullbackup,differentialbackupatau incrementalbackup)danrentangwaktuataufrekuensibackupharus memenuhikebutuhanoperasionallayanan,keamananinformasidan tingkat kepentingannya terhadap kelangsungan layanan; Hal 35 b)Lokasipenyimpananmediabackupyangamandantidakberadadilokasi yangsamadenganlokasipengolahandatayangdi-backup,haliniuntuk menghindarikemungkinankerusakanfisikdarilokasipengolahandata sepertidampakdaribencanaalam,kebakaranataubanjir,yang menyebabkan tidak tercapainya tujuan dari backup; c)Prosedurrestoredandatabackupharusdiujicobasecaraberkalauntuk memastikan integritas dan ketersediaannya sewaktu-waktu dibutuhkan; 3)Pengawasan/Monitoring Sistem Sistem harusterusdimonitoring,alatbantumonitoringsepertilogatauevent managementharusterusaktif,sehinggaaktifitaspemrosesaninformasiyang tidaksahdapatdideteksi.Terkaitdengankeamananserverdanjaringan, monitoring sistem sekurang-kurangnya meliputi: a)Log audit (1)Audit log telah disediakan oleh aplikasi SPSE; (2)Audit log merekam aktifitas user, tanggal dan waktu aktifitas, alamat IP yangdigunakandancatatan-catatanteknisaplikasitermasukaktifitas terkait keamanan informasi dan catatan error aplikasi. Hal 36 12. Standar Pengelolaan Kelangsungan Layanan 12.1. Pendahuluan Kelangsunganlayananharusdirencanakandenganmengidentifikasikondisi-kondisi yangdapatmenyebabkanterhentinyalayanan.Pengelolaankelangsunganlayanan dapat dilakukan secara parsial terhadapkomponen-komponen layanan tertentu yang diharuskanmemilikitingkatketersediaantinggiatauterhadapkeseluruhandari layanan.Pengelolaankelangsunganlayananjugamerupakansalahsatucarauntuk memenuhiperjanjiantingkatlayanandenganpenggunayangterkaitdenganunsur ketersediaan layanan. 12.2. Pengelolaan Kelangsungan Layanan a.Peran 1)Koordinator Kelangsungan Layanan KoordinatorKelangsunganLayananadalahpersonilyangberperansebagai koordinatordalampengelolaankelangsunganlayanan.Koordinator Kelangsungan Layanan memiliki tugas dan tanggung jawab: a)BerkoordinasidenganKepalaLPSEterkaitdenganpenentuanlingkup pengelolaankelangsunganlayanandankomponen-komponenlayanan yang diharuskan memiliki tingkat ketersediaan tinggi; b)Memastikan rencana kelangsunganlayanandapat diterapkan dengancara mengujicobaatausimulasisaatterjadinyakondisiyangdapat menghentikan penyelenggaraan layanan; c)Memastikanrencanakelangsunganlayanandapatditerapkandengan tingkatefektifitasdanefisiensiyangbaik,sesuaidengantingkatrisiko ketidaktersediaan layanan; d)Memberikankepastian/ketetapankepadaTimKelangsunganLayanandan semuaunitdalampenyelenggaraanlayanan,saatterjadinyakondisiyang dapatmenyebabkanterhentinyalayananatauberakhirnyakondisi tersebut; e)Mengkoordinirsemuaaktifitaspengelolaankelangsunganlayananpada saat terjadinya kondisi yang dapat menyebabkan terhentinya layanan. f)Mengumumkan dan menutup kondisi darurat 2)Tim Kelangsungan Layanan TimKelangsunganLayananadalahtimyangmenjalankanproseduruntuk menjaminkelangsunganlayanansaatterjadinyakondisiyangdapat menyebabkan terhentinya layanan. Tim Kelangsungan Layanan memiliki tugas dan tanggung jawab: Hal 37 a)Melakukanidentifikasiterhadapkondisi-kondisiyangdapatmenyebabkan terhentinyalayanandanmengevaluasihasilidentifikasitersebutsecara berkalauntukmelihatkemungkinanadanyaperubahanatau penambahan kondisi yang dapat menyebabkan terhentinya layanan; b)Menyusunrencanakelangsunganlayanansesuaidenganlingkup pengelolaan kelangsungan layanan; c)MengkoordinasikandenganKoordinatorKelangsunganLayanansaat menemukankemungkinanterjadinyakondisiyangdapatmenyebabkan terhentinya layanan; d)Menjalankanprosedurkelangsunganlayananuntukmenjamintetap tersedianyalayanansaatterjadikondisiyangdapatmenyebabkan terhentinyalayananhinggakembalinyapenyelenggaraanlayananke kondisi normal. b.Kriteria Standar 1)Identifikasi Kondisi Yang Dapat Menyebabkan Terhentinya Layanan a)Kondisi yang dapat menyebabkan terhentinya layanan berisi kemungkinan-kemungkinanterjadinyasuatukejadianataukondisiyangdapat menyebabkanterhentinyalayanan.Kondisitersebutdapatberupakondisi naturalsepertibencanaalamgempabumi,banjirbandangataukondisi lainnya seperti aksi teror, demo, wabah penyakit, dll; b)Kondisiyangdapatmenyebabkanterhentinyalayananharusdievaluasi untukmelihatkemungkinanadanyaperubahanataupenambahankondisi yang dapat menyebabkan terhentinya layanan. Hal ini bisa diakibatkan dari beberapahal,misalnyaperubahanataupenambahanaset,penggantian Pendukung Layanan (pemasok), perpindahan lokasi, dll; c)Identifikasikondisiyangdapatmenyebabkanterhentinyalayanan sebaiknyadilengkapidenganinstruksikerjasingkat,berisitindakan-tindakanyangharusdilakukanolehsemuaunitdalampenyelenggaraan layanan. 2)Perencanaan Kelangsungan Layanan Perencanaankelangsunganlayanan,sekurang-kurangnyamenjelaskan tentang: a)Tim Kelangsungan Layanan (1)Tim Kelangsungan Layanan sebaiknya terdiri dari perwakilan setiap unit yangterlibatdalampenyelenggaraanlayanan,khususnyaunityang terkaitlangsungdengankomponenlayananyangdiharuskanmemiliki tingkat ketersediaan tinggi; Hal 38 (2)Tim Kelangsungan Layanan sekurang-kurangnya terdiri dari perwakilan unitteknisdannonteknis(administrasi)dalampenyelenggaraan layanan; b)DaftarkontaksemuaanggotaTimKelangsunganLayanan.Prosedur Kelangsungan Layanan (1)Prosedur Lelangsungan Layanan adalah prosedur yang harus dijalankan saatterjadinyakondisiyangdapatmenyebabkanterhentinyalayanan, dengantujuanagarlayananataukomponenlayanantertentudapat tetapterusberlangsung.Prosedurkelangsunganlayanansekurang-kurangnya memuat: (a)Kriteriastandaridentifikasistatusterakhirpenyelenggaraanlayanan atau status kerusakan saat terjadinya kondisi yang dapat menyebabkan terhentinya layanan; (b)Kriteriastandarpenanganankondisiyangmenyebabkanterhentinya layananyangberisilangkahatautindakanyangdiambiluntuk menjaminlayananataukomponenlayanantertentudapattetapterus berlangsung; (c)Kriteriastandarpengembalianpenyelenggaraanlayanansetelah kondisi yang menyebabkan terhentinya layanan berakhir. 3)Evaluasi Rencana Kelangsungan Layanan a)Rencanakelangsunganlayananharusdievaluasisecaraberkala,baiksaat terjadikondisiyangdapatmenyebabkanterhentinyalayananmaupun tidak,untukmelihatkemungkinandibutuhkannyaperubahanrencana kelangsungan layanan; b)Rencanakelangsunganlayananharusdiujicobadenganmensimulasikan saatterjadinyakondisiyangdapatmenghentikanpenyelenggaraan layanan,untukmemastikanrencanakelangsunganlayanandapat diterapkandenganefektifdanefisiensesuaidengantingkatrisiko ketidaktersediaan layanan. Hal 39 13. Standar Pengelolaan Anggaran Layanan 13.1. Pendahuluan Pengelolaananggaranlayananbertitikberatpadakonsistensipengelolaananggaran yangsekurang-kurangnyaterdiridariprosespengidentifikasiankebutuhan pembiayaandanpemantauanpenggunaananggaran.Pengelolaanggaranlayanan berperansebagaimediayangmenjembataniprosespengelolaananggaranorganisasi dengankebutuhanpenyelenggaraanlayanan.Padaumumnyapengelolaananggaran organisasimenggunakanpendekatanberbasisproyek(projectbase),sementara penyelenggaraanlayananmungkinlebihbanyakmemilikikebutuhanyangbersifat operasional. 13.2. Pengelolaan Anggaran a.Peran 1)PengelolaKeuangan PengelolaKeuangandapatdiperankanolehdapatdiperankanolehSekretaris LPSEyangberkoordinasidenganKepalaLPSEdanunit-unitlaindalam pengelolaananggaranuntukmengidentifikasikebutuhanpenyelenggaraan layananhinggamemantaupenggunaananggaran.PengelolaKeuangan memiliki tugas dan tanggung jawab: a)BerkoordinasidenganPengelolaPendukungLayanandanunit-unitlain untukmengidentifikasikebutuhanpembiayaanmasing-masingunitdalam penyelenggaraan layanan; b)MemberikanlaporankepadaKepalaLPSEatas hasilidentifikasikebutuhan pembiayaan dalam penyelenggaraan layanan; c)BerkoordinasidenganPengelolaPendukungLayanandanunit-unitlain dalampenggunaananggaranuntukpenyelenggaraanlayanan,sehingga penggunaan anggaran dapat dipantau. b.Kriteria Standar 1)Identifikasi Kebutuhan Pembiayaan a)Kebutuhanpembiayaanpenyelenggaraanlayananharusdiidentifikasi sekurang-kurangnyasekalidalamsetahununtukmempersiapkan kebutuhan pembiayaan pada tahun anggaran yang akan datang; b)Identifikasikebutuhanpembiayaanharusmencakupkebutuhan pembiayaan semua unit dalam penyelenggaraan layanan; c)Identifikasipembiayaanmencakuppenyesuaian-penyesuaiankebutuhan pembiayaan layanan dengan struktur anggaran yang berlaku di organisasi; Hal 40 d)Dalammengidentifikasikebutuhanpembiayaan,PengelolaKeuangan dapatberkoordinasidenganPengelolaPendukungLayananuntuk menjalankan tugas sesuai dengan fungsinya masing-masing; 2)Pemantauan Penggunaan Anggaran Penggunaananggaranharusselaludipantauuntukmemastikan kecukupananggaranpenyelenggaraanlayananhinggaakhirtahun anggaran; a)Pemantauanpenggunaananggarandilakukansecarakonsistensesuai denganproseduryangberlaku.Prosedurdapatdibuatuntukmelibatkan PengelolaKeuangandalamsetiapaktivitaspenggunaanataupencairan anggaran; b)Pemantauanpenggunaananggarandilaporkansecaraberkalakepada Kepala LPSE. Hal 41 14. Standar Pengelolaan Pendukung Layanan 14.1. Pendahuluan PenyelenggaraanlayanantidakterlepasdaridukunganPendukungLayanan (pemasok/supplier),untukituperlumengelolaPendukungLayananuntukmenjamin penyelenggaraanlayanandapatberjalandenganbaik,efektif,efisiendanmampu memenuhi perjanjian tingkat layanan. 14.2. Pengelolaan Pendukung Layanan a.Peran 1)Pengelola Pendukung Layanan PengelolaPendukungLayanandapatdiperankanolehsatuorangataulebih pegawaiyangberkoordinasidenganunit-unitlaindalampenyelenggaraan layananuntukmengidentifikasikebutuhanpenyelenggaraanlayananhingga memantau kinerja Pendukung Layanan dapat diperankan oleh Sekretaris LPSE. PengelolaPendukungLayananmemilikitugasdantanggungjawabuntuk mengkoordinasikanhal-halberikutdenganunit-unitlaindalam penyelenggaraan layanan: a)Identifikasikebutuhanmasing-masingunitdalampenyelenggaraan layanan; b)Memastikandukunganpembiayaanatauketersediaananggaranuntuk pemenuhankebutuhanataumencarialternatiflainjika memungkinkan; c)Mendetailkankebutuhanmasing-masingunitdalambentukkerangka acuankerjayangakandigunakanolehPendukungLayanansebagai acuanmemberikandukungandalampenyelenggaraanlayanan, termasuk didalamnya rancangan perjanjian tingkat layanan; d)MemastikanperjanjiantingkatlayanandenganPendukungLayananterpenuhi dan sesuai dengan kebutuhan penyelenggaraan layanan. c.Kriteria Standar 1)Pendeskripsian Kebutuhan Kebutuhan dalam penyelenggaraan layanan oleh LPSE harus diidentifikasi dan dideskripsikan dengan jelas, yang diantaranya memuat: a)Latarbelakangkebutuhanyangberisihal-halyangmenyebabkan timbulnyakebutuhandukungandariPendukungLayanan,misalnya kebutuhanpasokanjaringaninternettambahanyangmunculkarena komitmenLPSEdalammemberikanlayanansistempengadaansecara elektronik (SPSE) yang dapat diakses 99.9% dalam setahun; Hal 42 b)Penjelasantentangkebutuhandanpilihanataualternatifpemenuhan kebutuhan,termasukkonsekuensi-konsekuensiyangditimbulkan, misalnyakebutuhanpasokanjaringaninternettambahanuntuk memenuhi komitmen agar SPSE dapat diakses 99.9% pertahun, apakah harusmengadakanjaringaninternetbaruataumemungkinkanuntuk meningkatkanperjanjiantingkatlayanandenganPendukungLayanan jaringaninternetyangsebelumnya,dengankonsekuensiberupabiaya yangditimbulkanterhadapkeduapilihantersebutbesertadengan kualitas yang diharapkan; c)Jikamemungkinkanidentifikasikebutuhandapatdibuatdengan tingkatan-tingkatan prioritas atau kepentingannya. 2)Pengelolaan Pendukung Layanan PengelolaanPendukungLayananbertujuanuntukmemastikan penyelenggaraanlayanandapatberjalandenganbaik,efektif,efisiendan mampu memenuhi perjanjian tingkat layanan, untuk itu dibutuhkan beberapa hal berikut: a)Daftar Pendukung Layanan BerisiringkasandariPendukungLayananyangmemberikandukungan untuk penyelenggaraan layanan, diantaranya: 1.Informasi kontak BerisiinformasinamaPendukungLayanan,alamat,nomortelepon, email,PICataukontakpersonyangdapatdihubungisewaktu-waktu dibutuhkan,2.Dukungan yang diberikan Berisideskripsidukunganyangdiberikan,ringkasankontrak,seperti nilaikontrak,lingkuppekerjaandanmasaaktifkontrak,ringkasan target-targetyangadapadaperjanjiantingkatlayanandaninformasi mengenaiunitatauPICinternalyangmendapatkandukungandari Pendukung Layanan tersebut. b)Pemantauan Kinerja Pendukung Layanan KinerjadariPendukungLayananharusdipantaukesesuaiannyadengan kontrakdanperjanjiantingkatlayanan,untukituharusditentukan sebelumnyamengenaitatacaradankriteria-kriteriayangakandigunakan untuk penilaian. Hal 43 15. Standar Pengelolaan Hubungan dengan Pengguna Layanan15.1. Pendahuluan Pengelolaan hubungan dengan pengguna layanan diterapkan dengan mengumpulkan informasidaripenggunaterkaitdengankebutuhanataupermintaanpeningkatan layanan(requestforimprovement).Pengelolaanhubunganbisnisbertujuanuntuk memahamidanmendefinisikankebutuhanpenggunasehinggapeningkatanlayanan yang diberikan mampu memenuhi kebutuhan tersebut. 15.2. Pengelolaan Hubungan Pengguna Layanan a.Personil 1)Pengelola Hubungan Pengguna Layanan PengelolaHubunganPenggunaLayananadalahpersonilLPSEyang menjalankanaktifitaspengelolaanhubunganantarapelaksanaoperasional LPSE, dengan pengguna layanan LPSE.Tugas dari personil pengelola hubungan pengguna layanan diantaranya: a)Menjalankansurveykepuasanpenggunauntukmendapatkanmasukan (feedback) dari pengguna terkait dengan layanan yang diberikan; b)Melakukanevaluasihasilsurveykepuasanpenggunadanmelaporkannya kepada Kepala LPSE. b.Kriteria Standar 1)Survey Kepuasan Pengguna Surveykepuasanpenggunadilakukansecaraberkaladenganmenyebarkan lembar kuisioner kepada penggunadengan memperhatikan hal-hal berikut: a)Mediapenyampaiankuisioneryangdigunakan,hendaknyamenggunakan beberapamediayangberbeda,agarmampumenangkapmasukandari penggunadengansebanyak-banyaknya,misalnyaemail,smsatauberupa lembaranketikapenggunadatanglangsungkelokasipenyelenggaraan layanan; b)Mediayangdigunakanuntukmenerimakembalikuisioneryangsudah dilengkapi oleh pengguna harus diinformasikan dengan jelas, misalnya jika menggunakanemail,memberikanketerangankemanakuisioneryang sudah diisi harus dikirimkan kembali; 2)Evaluasi Survey Kepuasan Pengguna Evaluasi terhadap survey kepuasan pelanggan dilakukan secara berkala dalam kurunwaktu1(satu)bulansekalidandibuatkanlaporanrekapitulasinyaper triwulan. Hal 44 a)Hasilsurveykepuasanpenggunaharusdievaluasiuntukdapatmemahami danmendefinisikankebutuhanpenggunasehinggapeningkatanlayanan yang dilakukan mampu memenuhi kebutuhan tersebut; b)Hasilevaluasisurveykepuasanpenggunayangtelahdilakukanoleh personilpengelolahubunganpengguna(misalnya:Sekertaris LPSE/KoordinatorLPSE)dilengkapidenganusulanpeningkatanlayanan kemudian diserahkan kepada Kepala LPSE. Hal 45 16. Standar Pengelolaan Kepatuhan 16.1. Pendahuluan Setiap komponen penyelenggaraan layanan harus patuh terhadap hukum, peraturan, kebijakandanstandar.Kepatuhanterhadaphukumdanperaturanadalahhalyang utama,kebijakandanstandarbisasajatidakditerapkanketikabertentangandengan hukum atau peraturan yang berlaku. 16.2. Pengelolaan Kepatuhan a.Peran 1)Kepala LPSE Dalampengelolaankepatuhan,KepalaLPSEsebagaipemiliklayanan bertanggung jawab untuk: a)Mengidentifikasihukumatauperaturanyangterkaitdengan penyelenggaraan layanan; b)Memastikanpenyelenggaraanlayanantelahmematuhihukumdan peraturan yang berlaku; c)Memastikankebijakandanstandardalampenyelenggaraanlayanan dipatuhidanditerapkanolehsemuaunitdalampenyelenggaraan layanan. b.Kriteria Standar 1)Kepatuhan Hukum dan Peraturan a)HukumdanperaturanyangberlakudiIndonesiaharusdiidentifikasi keterkaitannya dengan penyelenggaraan layanan, diantaranya: (1)Keterkaitanpenggunaansoftwaredalampenyelenggaraanlayanan dengan Undang-Undang tentang Hak Cipta; (2)KeterkaitanpemberianinformasikepadapublikdenganUndang-Undang tentang Keterbukaan Informasi Publik; (3)Keterkaitanpenyelenggaraanlayananteknologiinformasidengan Undang-UndangtentangInformasidanTransaksiElektronikdan PeraturanPemerintahtentangPenyelengaraanSistemdan Transaksi Elektronik; (4)Keterkaitanpenyelenggaraanlayananpengadaansecaraelekrtonik (e-Procurement)denganPeraturanPresidententangPengadaan Barang/Jasa Pemerintah beserta perubahan-perubahannya; b)Penyelenggaraanlayananharusmematuhihukumdanperaturanyang berlaku di Indonesia; Hal 46 2)Kepatuhan Kebijakan Layanan dan Standar LPSE a)Kebijakan layanan harus dipatuhi untuk meningkatkan kualitas layanan dan proses penyelenggaraan layanan, diantaranya: (1)Kebijakan umum; (2)Kebijakan layanan; (3)Kebijakan keamanan informasi. b)Standar LPSE harus diterapkan sesuai dengan Standar dan Kriteriayang ditetapkanpenerapannyaolehKepalaLPSE.PenerapanStandarLPSE dapat dengan bertahap sesuai dengan siklus penerapan standar; Hal 47 17. Standar Penilaian Internal 17.1. Pendahuluan PenilaianinternaladalahprosespenilaianyangdilakukansendiriolehLPSE,untuk menilai sejauh mana kesesuaian dan efektifitas penerapan Standar LPSE di lingkungan kerjaLPSE.Penilaianinternaljugasebagaialatuntukmeningkatkanpenerapan standardenganmengambiltindakan-tindakanperbaikanatasapayangdinilaimasih kurang terhadap kriteria standar. 17.2. Penilaian Internal a.Peran 1)Penilai Penilaidiperankanolehduaorangataulebihpegawaidilingkunganinternal LPSE,agardimungkinkantidakadapenilaiyangmenilaipekerjaannyasendiri. Penilaimelakukanpenilaianterhadapsetiapunitatauprosesdalam penyelenggaraanlayananyangterkaitdenganStandarLPSE.Penilaimemiliki tugas dan tanggung jawab: a)Membuat program penilaian internal Standar LPSE dengan berkoordinasi dengan Kepala LPSE dan unit-unit dalam penyelenggaraan layanan; b)Mempersiapkan proses penilaian sesuai dengan program penilaian; c)Mengadakan rapat penilaian jika dibutuhkan; d)Memberikanusulan/permintaantindakanperbaikandanmemantau statustindaklanjutperbaikanjikadalampenilaianditemukan ketidaksesuaian; e)Membuatlaporanhasilpenilaiandanmenyimpansemuadokumen-dokumen yang terkait dengan penilaian. b.Kriteria Standar 1)Siklus Penerapan Standar Standar LPSE diterapkan dengan aktifitasperencanaan (plan), penerapan (do), penilaian (check) dan perbaikan (act) yang merupakan sebuah siklus atau yang biasa dikenal dengan siklus PDCA (Plan Do Check Act). PlanAct DoCheck Hal 48 a)Planatauperencanaanadalahaktifitasdimanaditetapkannyatujuan, target dan persiapan-persiapan penerapan standar; b)Do atau penerapan adalah aktifitas penerapan standar; c)Checkataupenilaianadalahaktifitaspemantauandanevaluasi penerapan standar; d)Actatauperbaikanadalahaktifitasperbaikanpenerapanstandarjika dalampenilaianditemukanketidaksesuaianatau kemungkinan/kesempatan untuk melakukan perbaikan. Dalam hal ini, penilaian internal merupakan bagian dari aktifitasCheck dalam siklus penerapan standar (PDCA); 2)Program Penilaian Penilaianinternalsebagaisalahsatuaktifitasdalamsikluspenerapanstandar harus dilaksanakan dengan terprogram. Program penilaian dapat dibuat dalam periode tertentu, misalnya tahunan, yang berisi diantaranya: a)Daftar periksa umum, yang menjelaskan Standar LPSE yang akan dinilai besertadengankriteriayangakandiperiksa,misalnyaStandar Pengelolaan Permasalahan, Gangguan dan Permintaan Layanan dengan pemeriksaanpadaprosespencatatanpermasalahan,gangguandan permintaan layanan dan proses evaluasi dan pelaporan; b)Jadwalpenilaian,yangberisirencanakapanpenilaianakandilakukan. PenilaianinternalStandarLPSEdilakukansekurang-kurangnyasekali dalam setahun; 3)Penilaian Penilaianadalahprosesdimanapenilaimelakukanpenilaianterhadapsetiap unit atau proses dalam penyelenggaraan layanan yang terkait dengan Standar LPSE.Dalamsetiappenilaianpenilaiharusmempersiapkandan memperhatikan hal-hal berikut: a)Daftar Periksa 1)Daftarperiksaberisidetildaridaftarperiksaumumyangadapada program penilaian; 2)Daftar periksa dapat berupa pertanyaan-pertanyaan yang memiliki nilai ataubobottertentusehinggadapatdievaluasiuntukmenilai kesesuaian dan efektifitas penerapan standar; b)Bukti-bukti penilaian/Evidence Dalampenilaian,penilaijugaharusmemastikankebenaranproses penerapanstandardenganmelihatbukti-buktiataurekamanhasilproses penerapanstandar,misalnyaStandarPengelolaanPermasalahan, Hal 49 GangguandanPermintaanLayanan,jikapencatatanpermasalahan, gangguandanpermintaanlayanansudahdilakukan,makapenilaiharus memastikan kesesuaian dari catatan tersebut terhadap kriteria standar; c)Tindakan Perbaikan 1)Terkaitdenganketidaksesuaianyangditemukandalampenilaian, penilaiharusmengajukanpermintaantindakanperbaikankepadaunit yang menjalankan proses penerapan standar; 2)Permintaantidakanperbaikanjugadapatdiajukanolehpenilaijika penilaimenemukankemungkinan/kesempatanuntukmelakukan perbaikan; 3)Penilai juga harus memastikan permintaan tindakan perbaikan tersebut ditindaklanjuti dengan cara memantau status tindakan perbaikan; d)Pelaporan Penilaimembuatlaporanterkaitprosespenilaiandanmenyerahkannya kepada Kepala LPSE, laporan yang dibuat berisi diantaranya: 1)Catatanhasilpenilaianataudaftarperiksayangsudahdilengkapidan dievaluasi,sehinggasudahdapatterlihattingkatkesesuaiandan efektifitas dari penerapan standar yang dinilai; 2)Statustindaklanjut tindakanperbaikan jikadalampenilaianditemukan ketidaksesuaianataukemungkinan/kesempatanuntukmelakukan perbaikan.