PERATURAN

KEPALA BADAN TENAGA NUKLIR NASIONAL NOMOR: 153/KA/VII/2010

TENTANG

PEDOMAN PERSYARATAN SISTEM MANAJEMEN KEAMANAN

(STANDAR BATAN BIDANG ADMINISTRASI, MANAJEMEN, DAN ORGANISASI)

KEPALA BADAN TENAGA NUKLIR NASIONAL,

Menimbang : a. bahwa untuk meningkatkan keamanan di Badan Tenaga Nuklir Nasional (BATAN) diperlukan suatu sistem manajemen keamanan;

b. bahwa untuk menerapkan sistem manajemen keamanan di BATAN diperlukan suatu standar manajemen keamanan;

c. bahwa berdasarkan pertimbangan sebagaimana dimaksud pada huruf a dan huruf b, perlu menetapkan Peraturan Kepala BATAN tentang Pedoman Persyaratan Sistem Manajemen Keamanan (Standar BATAN Bidang Administrasi, Manajemen, dan Organisasi);

Mengingat : 1.

2.

3.

4.

5.

6.

Undang-Undang Nomor 10 Tahun 1997 tentang Ketenaganukliran (Lembaran Negara Republik Indonesia Tahun 1997 Nomor 23, Tambahan Lembaran Negara Republik Indonesia Nomor 3676);

Peraturan Pemerintah Nomor 102 Tahun 2000 tentang Standardisasi Nasional (Lembaran Negara Tahun 2000 Nomor 200, Tambahan Lembaran Negara Nomor 4020);

Keputusan Presiden Nomor 12 Tahun 1991 tentang Penyusunan, Penerapan, dan Pengawasan Standar Nasional Indonesia;

Keputusan Presiden Nomor 103 Tahun 2001 tentang Kedudukan, Tugas, Fungsi, Kewenangan, Susunan Organisasi, dan Tata Kerja Lembaga Pemerintah Non Departemen sebagaimana telah beberapa kali diubah terakhir dengan Peraturan Presiden Nomor 64 Tahun 2005;

Keputusan Presiden Nomor 16/M Tahun 2007;

Peraturan Kepala BATAN Nomor 392/KA/XI/2005 tentang Organisasi dan

Tata Kerja BATAN;

7.

8.

9.

10.

Peraturan Kepala BATAN Nomor 393/KA/XI/2005 – 396/KA/XI/2005 tentang Organisasi dan Tata Kerja Balai di Lingkungan BATAN;

Peraturan Kepala BATAN Nomor 004/KA/I/2006 tentang Pedoman Pembentukan Peraturan/Keputusan Kepala BATAN;

Peraturan Kepala BATAN Nomor 158/KA/XI/2008 tentang Pelaksanaan Standardisasi Ketenaganukliran;

Peraturan Kepala BATAN Nomor 146/KA/VII/2010 tentang Pedoman Prioritas Program Standardisasi BATAN;

MEMUTUSKAN:

Menetapkan : PERATURAN KEPALA BADAN TENAGA NUKLIR NASIONAL TENTANG PEDOMAN PERSYARATAN SISTEM MANAJEMEN KEAMANAN (STANDAR BATAN BIDANG ADMINISTRASI, MANAJEMEN, DAN ORGANISASI)

Pasal 1

Pedoman Persyaratan Sistem Manajemen Keamanan (Standar BATAN Bidang Administrasi, Manajemen, dan Organisasi) sebagaimana tersebut dalam Lampiran, merupakan bagian yang tidak terpisahkan dari Peraturan ini.

Pasal 2

Peraturan ini mulai berlaku pada tanggal ditetapkan.

Ditetapkan di Jakarta

pada tanggal 28 Juli 2010 KEPALA BADAN TENAGA NUKLIR NASIONAL,

-ttd- HUDI HASTOWO Salinan sesuai dengan aslinya,

Kepala Biro Kerja Sama, Hukum, dan Hubungan Masyarakat,

Ferhat Aziz

LAMPIRAN PERATURAN

KEPALA BADAN TENAGA NUKLIR NASIONAL NOMOR : 153/KA/VII/2010

TANGGAL : 28 Juli 2010

PEDOMAN PERSYARATAN SISTEM MANAJEMEN KEAMANAN

(STANDAR BATAN BIDANG ADMINISTRASI, MANAJEMEN, DAN ORGANISASI)

BAB I PENDAHULUAN 1.1 Umum

Standar BATAN ini dikembangkan sebagai jawaban atas permintaan pemangku kepentingan BATAN untuk suatu standar manajemen keamanan. Sasaran akhir dari Standar ini adalah untuk meningkatkan keamanan di BATAN.

Standar ini merupakan suatu standar manajemen yang memungkinkan suatu organisasi menetapkan Sistem Manajemen Keamanan secara komprehensif. Penerapan Standar ini oleh suatu organisasi akan mengarah atau mengakibatkan pada penerapan standar-standar sistem keamanan lain dan/atau Peraturan Perundang-undangan yang sesuai dengan lingkup kegiatannya.

Standar ini mensyaratkan organisasi untuk menilai lingkungan keamanan di lingkup kerjanya dan untuk menentukan bahwa tindakan keamanan yang memadai dilakukan dan bahwa persyaratan badan pengawas dan Peraturan Perundang-undangan terkait telah dipenuhi oleh organisasi. Jika kebutuhan keamanan diidentifikasi oleh proses tersebut, organisasi sebaiknya menerapkan mekanisme dan proses untuk memenuhi kebutuhan keamanannya.

Standar ini dimaksudkan untuk diterapkan pada seluruh aspek organisasi yang disyaratkan untuk dikelola dengan cara yang aman. Pendekatan formal terhadap manajemen keamanan dapat memberi kontribusi secara langsung pada kemampuan dan kredibilitas organisasi sebagai upaya BATAN meningkatkan kepercayaan masyarakat.

Standar ini tidak dimaksudkan untuk membuat duplikasi persyaratan pemerintah dan standar yang berkenaan dengan manajemen keamanan yang organisasinya telah disertifikasi atau diverifikasi kesesuaiannya. Verifikasi dapat dilakukan oleh organisasi pihak kedua atau ketiga yang diakui.

Ketaatan terhadap Standar ini tidak otomatis membebaskan organisasi dari kewajiban- kewajiban hukum. Bagi organisasi yang akan memenuhi sistem manajemen keamanan sesuai dengan Standar ini dapat diverifikasi melalui proses audit oleh pihak kedua atau pihak ketiga.

1.2 Elemen sistem manajemen keamanan

Elemen sistem manajemen keamanan digambarkan dalam siklus manajemen (PDCA) sebagai berikut:

Gambar 1 Elemen sistem manajemen keamanan

CATATAN Standar ini dibuat berdasarkan metodologi yang dikenal sebagai Plan-Do-Check- Act (PDCA). PDCA dapat dijelaskan sebagai berikut:

- Plan : menetapkan sasaran dan proses-proses yang diperlukan untuk mencapai target sesuai kebijakan keamanan organisasi.

- Do : menerapkan proses.

- Check : memantau dan mengukur proses terhadap kebijakan keamanan, target, sasaran, hukum, dan persyaratan lain, serta hasil laporan.

- Act : mengambil tindakan untuk meningkatkan kinerja sistem manajemen keamanan secara terus menerus.

PENINGKATAN BERKELANJUTAN

Kebijakan manajemen keamanan

Rencana keamanan:

Penilaian risiko Persyaratan hukum dan peraturan perundang-undangan Sasaran dan target keamanan Program manajemen keamanan

Penerapan dan operasi:

Tanggung jawab dan kompetensi Komunikasi Dokumentasi

Pengendalian operasional Kesiapsiagaan, tanggap darurat Tindakan pemeriksaan dan

perbaikan:

Pengukuran dan pemantauan Evaluasi sistem

Ketidaksesuaian dan tindakan perbaikan serta pencegahan Rekaman

Auditm

Ketidaksesuaian dan tindakan perbaikan &

Kaji ulang manajemen dan peningkatan berkelanjutan

BAB II

RUANG LINGKUP DAN ACUAN

2.1 Ruang lingkup

Standar ini menetapkan persyaratan Sistem Manajemen Keamanan, termasuk seluruh aspek kritis jaminan keamanan, mencakup semua kegiatan yang dilakukan oleh organisasi yang berdampak pada sistem keamanan, misalnya aspek keuangan, manajemen informasi, produksi isotop, dan bahan nuklir, pengoperasian instalasi/fasilitas nuklir, penyimpanan, dan pengangkutan bahan nuklir dan sumber radioaktif. Manajemen keamanan banyak terkait dengan aspek lain dalam kegiatan organisasi. Aspek lain tersebut harus dipertimbangkan secara langsung, bilamana aspek tersebut berpengaruh pada manajemen keamanan .

Standar ini dapat diterapkan untuk semua ukuran organisasi, dalam produksi, layanan, penyimpanan atau pengangkutan pada setiap tahapan kegiatan yang bertujuan untuk:

a) menetapkan, menerapkan, memelihara, dan meningkatkan Sistem Manajemen Keamanan;

b) menjamin kesesuaian dengan Kebijakan Manajemen Keamanan yang ditetapkan;

c) memperagakan kesesuaian penerapan Standar ini bagi pihak lain;

d) memperoleh sertifikasi Sistem Manajemen Keamanan dari BATAN;

e) meningkatkan Budaya Keamanan di lingkungan BATAN.

2.2 Acuan normatif

Tidak ada acuan normatif.

BAB III

ISTILAH DAN DEFINISI

Dalam Standar BATAN ini berlaku istilah sebagai berikut:

3.1 Fasilitas adalah instalasi, mesin, properti, bangunan, kendaraan (sarana transportasi), dan item lain dari infrastruktur atau instalasi dan sistem terkait yang memiliki fungsi atau layanan tertentu.

CATATAN Definisi ini mencakup setiap kode perangkat lunak yang kritis untuk pencapaian keamanan dan aplikasi manajemen keamanan.

3.2 Keamanan adalah ketahanan terhadap ancaman, tantangan, hambatan, dan gangguan dari tindakan yang disengaja oleh pihak yang tidak berwenang yang menyebabkan kerusakan, ketidakstabilan situasi dan keadaan.

3.3 Manajemen Keamanan adalah tindakan dan praktik yang sistematis dan terkoordinasi secara optimal yang dapat membantu organisasi mengelola risiko dan sumber ancaman serta dampak potensial terkait.

3.4 Sasaran Manajemen Keamanan adalah outcome atau capaian khusus yang disyaratkan untuk memenuhi kebijakan manajemen keamanan

3.5 Kebijakan Manajemen Keamanan adalah maksud dan arah keseluruhan dari suatu organisasi, terkait dengan keamanan dan kerangka kerja untuk pengendalian proses dan kegiatan terkait keamanan yang diperoleh dari dan konsisten dengan kebijakan organisasi dan persyaratan badan pengawas dan/atau peraturan perundang-undangan lain yang terkait

3.6 Program Manajemen Keamanan adalah cara untuk mencapai sasaran manajemen keamanan

3.7 Target Manajemen Keamanan adalah tingkatan spesifik dari kinerja yang disyaratkan untuk mencapai sasaran manajemen keamanan

3.8 Pemangku Kepentingan ( stakeholder) adalah seseorang atau entitas yang mempunyai kepentingan tertentu dalam hal kinerja, keberhasilan atau pengaruh kegiatan organisasi

CATATAN Contoh termasuk pengguna, badan pengawas, lembaga legislasi, lembaga hukum, pegawai, kontraktor, pemasok, organisasi atau asosiasi pekerja.

3.9 Manajemen Puncak adalah seseorang atau kelompok orang yang secara langsung

mengarahkan dan mengendalikan organisasi pada tingkat tertinggi

CATATAN Manajemen puncak dapat secara personil tidak terlibat langsung dalam sistem manajemen keamanan sebagaimana digambarkan dalam Standar ini; namun akuntabilitas manajemen puncak dalam rantai komando harus dinyatakan.

3.10 Peningkatan Berkelanjutan adalah proses berulang dari peningkatan sistem manajemen keamanan untuk mencapai peningkatan kinerja keamanan secara komprehensif yang konsisten dengan kebijakan keamanan organisasi.

3.11 Organisasi adalah satuan atau unit kerja yang mempunyai atau menyelengarakan satuan pengamanan untuk kepentingan keamanan di kawasan kerja.

3.12 Kawasan Kerja adalah satu atau beberapa satuan atau unit kerja yang berada dalam satu lokasi. Manajemen puncak kawasan kerja ditunjuk oleh kepala BATAN dan dapat merupakan salah satu unit kerja di kawasan tersebut.

3.13 Budaya Keamanan adalah gabungan dari sifat, sikap dan perilaku individu, organisasi

dan institusi yang berfungsi sebagai cara untuk mendukung dan meningkatkan

keamanan.

BAB IV

PERSYARATAN SISTEM MANAJEMEN KEAMANAN

4.1 Persyaratan Umum

Organisasi harus menetapkan, mendokumentasikan, menerapkan, memelihara, dan melakukan peningkatan berkelanjutan Sistem Manajemen Keamanan yang efektif untuk mengidentifikasi ancaman keamanan, memperkirakan risiko, dan mengendalikan serta mengurangi konsekuensinya, misalnya kredibilitas, reputasi, kesan, kepercayaan, aspek ekonomi dan aspek politik ( political blackmail ).

Organisasi harus secara berkelanjutan meningkatkan efektivitasnya sesuai dengan persyaratan BAB IV dalam Standar ini.

Organisasi harus menetapkan lingkup Sistem Manajemen Keamanan. Jika organisasi memilih untuk mensubkontrakkan suatu proses yang mempengaruhi kesesuaian dengan persyaratan ini kepada pihak lain, organisasi harus memastikan bahwa proses tersebut terkendali. Kendali dan tanggung jawab yang perlu serta tanggung jawab dari proses yang diserahkan kepada pihak lain harus diidentifikasi di dalam Sistem Manajemen Keamanan.

4.2 Kebijakan Manajemen Keamanan

Manajemen puncak organisasi harus mengesahkan Kebijakan Manajemen Keamanan keseluruhan.

Kebijakan harus:

a) konsisten dengan kebijakan lain dari organisasi;

b) menyediakan kerangka kerja yang memungkinkan ditetapkannya target, sasaran dan program manajemen keamanan yang spesifik;

c) konsisten dengan seluruh ancaman keamanan organisasi dan kerangka kerja manajemen risiko;

d) sesuai dengan ancaman pada organisasi serta sifat dan skala operasi;

e) dengan jelas menyatakan Sasaran Manajemen Keamanan secara komprehensif;

f) mencakup komitmen peningkatan berkelanjutan dari proses manajemen keamanan dan budaya keamanan;

g) mencakup komitmen untuk mematuhi ketentuan dalam peraturan perundang-undangan serta persyaratan lain yang berlaku sesuai lingkup organisasi;

h) ditetapkan oleh manajemen puncak;

i) didokumentasikan, diterapkan, dan dipelihara;

j) dikomunikasikan pada semua pegawai dan pihak ketiga yang relevan termasuk kontraktor dan pengunjung dengan tujuan agar memahami tanggung jawabnya terkait dengan keamanan;

k) tersedia untuk pemangku kepentingan jika perlu;

l) melakukan kaji ulang dalam hal perubahan pada lingkup organisasi yang dapat mempengaruhi keberlangsungan atau relevansi dari Sistem Manajemen Keamanan.

CATATAN Organisasi dapat memilih untuk memiliki Kebijakan Manajemen Keamanan yang lebih rinci untuk penggunaan internal yang menyediakan informasi dan arahan yang cukup untuk melaksanakan Sistem Manajemen Keamanan (bagian-bagiannya dapat bersifat rahasia) dan memiliki versi yang telah dirangkum (yang tidak rahasia) yang memuat sasaran umum untuk diseminasi kepada pemangku kepentingan dan pihak terkait lainnya.

4.3 Penilaian Risiko dan Perencanaan Keamanan 4.3.1 Penilaian Risiko Keamanan

Organisasi harus menetapkan dan memelihara prosedur untuk identifikasi dan penilaian yang berkelanjutan terhadap ancaman, tantangan, hambatan, gangguan keamanan, dan risiko terkait dengan manajemen keamanan serta identifikasi dan penerapan tindakan pengendalian manajemen yang diperlukan. Metode identifikasi, penilaian, pengendalian risiko, dan ancaman keamanan sebaiknya secara minimal sesuai dengan sifat dan skala operasional. Penilaian harus mempertimbangkan kemungkinan timbulnya suatu kejadian dan semua konsekuensinya harus mencakup:

a) risiko dan ancaman kegagalan fisik, seperti kegagalan fungsional, kerusakan insidental, kerusakan parah atau kerusakan akibat tindakan teroris atau kerusakan akibat tindakan kriminal;

b) risiko dan ancaman operasional, termasuk kendali keamanan, faktor manusia, dan kegiatan lain yang mempengaruhi kinerja, kondisi atau keselamatan organisasi;

c) kejadian alam (badai, banjir, dan lain-lain), yang dapat mempengaruhi tindakan keamanan dan ketidakefektifan peralatan;

d) faktor-faktor di luar kendali organisasi, seperti kegagalan penyediaan peralatan dan jasa secara eksternal;

e) risiko dan ancaman pemangku kepentingan seperti kegagalan pemenuhan persyaratan peraturan atau kerusakan reputasi atau kesan;

f) desain dan instalasi peralatan keamanan termasuk penggantian, pemeliharaan, dan lain- lain;

g) manajemen data dan informasi serta komunikasi;

h) ancaman pada kesinambungan operasional.

CATATAN Ancaman keamanan nuklir dapat berupa pencurian bahan nuklir, sumber radioaktif, dan sabotase.

Organisasi harus memastikan bahwa hasil penilaian dan efek kendali tersebut dipertimbangkan dan bila dianggap memadai, memberikan masukan terhadap:

a) sasaran dan target manajemen keamanan;

b) program manajemen keamanan;

c) penentuan persyaratan untuk desain, spesifikasi, dan instalasi;

d) identifikasi sumber daya yang cukup termasuk kualifikasi personil;

e) identifikasi keperluan pelatihan dan keahlian (lihat butir 4.4.2);

f) pengembangan kendali operasional (lihat butir 4.4.6);

g) ancaman organisasi menyeluruh dan kerangka kerja manajemen risiko.

Organisasi harus mendokumentasikan dan menjaga informasi mutakhir.

Metodologi organisasi untuk identifikasi ancaman dan risiko serta penilaian harus:

a) didefinisikan menurut lingkup, sifat, dan waktunya untuk memastikan metodologi tersebut proaktif dan tidak reaktif;

b) mencakup koleksi informasi terkait dengan risiko dan ancaman keamanan ;

c) menyediakan klasifikasi resiko dan ancaman serta identifikasi mana yang harus dihindari, dieliminasi atau dikendalikan;

d) menyediakan pemantauan tindakan untuk memastikan efektifitas dan ketepatan waktu implementasinya (lihat butir 4.5.1).

4.3.2 Persyaratan Peraturan Perundang-undangan dan Persyaratan Keamanan lainnya

Organisasi harus menetapkan, menerapkan dan memelihara prosedur untuk;

a) mengidentifikasi dan mengakses persyaratan peraturan perundang-undangan dan persyaratan lain yang diikuti oleh organisasi terkait risiko dan ancaman keamanannya, dan b) menentukan bagaimana penerapan persyaratan tersebut terhadap risiko dan ancaman

keamanannya.

Organisasi harus memelihara informasi agar tetap mutakhir. Organisasi harus

mengkomunikasikan informasi yang relevan mengenai persyaratan peraturan perundang-

undangan dan persyaratan lainnya kepada pegawai dan pihak ketiga yang relevan termasuk

kontraktor.

4.3.3 Sasaran Manajemen Keamanan

Organisasi harus menetapkan, menerapkan dan memelihara sasaran manajemen keamanan yang terdokumentasi sesuai fungsi dan tingkat yang relevan dalam organisasi. Sasaran harus diperoleh dari dan konsisten dengan kebijakan. Ketika menetapkan dan meninjau ulang sasaran, suatu organisasi harus mempertimbangkan:

1) persyaratan peraturan perundang-undangan dan persyaratan keamanan lainnya;

2) risiko dan ancaman terkait keamanan;

3) opsi teknologi dan opsi lain;

4) persyaratan keuangan, operasional, dan bisnis;

5) pandangan dari pemangku kepentingan terkait.

Sasaran manajemen keamanan harus:

a) konsisten dengan komitmen organisasi untuk peningkatan berkelanjutan;

b) terukur (jika dapat diterapkan);

c) dikomunikasikan kepada semua pegawai dan pihak ketiga yang relevan, termasuk kontraktor, dengan tujuan mereka akan sadar pada kewajiban individualnya;

d) dikaji ulang secara berkala untuk memastikan bahwa tujuan tetap relevan dan konsisten dengan kebijakan manajemen keamanan. Jika perlu, sasaran manajemen keamanan harus diamandemen.

4.3.4 Target Manajemen Keamanan

Organisasi harus menetapkan, menerapkan dan memelihara Target Manajemen Keamanan yang terdokumentasi sesuai dengan kebutuhan organisasi. Target harus diperoleh dari dan konsisten dengan Sasaran Manajemen Keamanan.

Target ini harus:

a) terperinci pada tingkatan yang sesuai;

b) spesifik, terukur, terjangkau, relevan, dan berbasis waktu (apabila dapat diterapkan);

c) dikomunikasikan pada semua pagawai dan pihak ketiga yang relevan termasuk kontraktor dengan tujuan mereka menjadi sadar akan kewajiban individualnya;

d) dikaji ulang secara berkala untuk memastikan bahwa target tetap relevan dan konsisten dengan Sasaran Manajemen Keamanan. Jika perlu target harus diamandemen.

4.3.5 Program Manajemen Keamanan

Organisasi harus menetapkan, menerapkan dan memelihara Program Manajemen Keamanan

untuk mencapai target dan sasaran.

Program harus dioptimalkan kemudian diprioritaskan dan organisasi harus menyediakan penerapan yang efisien dan ekonomis dari program ini.

Program harus mencakup dokumentasi yang menjelaskan:

a) tanggung jawab dan otoritas yang ditunjuk untuk mencapai Target dan Sasaran Manajemen Keamanan;

b) metode dan jangka waktu untuk mencapai Target dan Sasaran Manajemen Keamanan; dan c) pelaksanaan Budaya Keamanan secara berkelanjutan.

Program Manajemen Keamanan harus dikaji ulang secara berkala untuk memastikan bahwa program tetap konsisten dan efektif dengan target dan sasaran. Jika diperlukan program harus diamandemen.

4.4 Penerapan dan Operasi

4.4.1 Struktur, Otoritas, dan Tanggung jawab Manajemen Keamanan

Organisasi harus menetapkan dan memelihara struktur organisasi mengenai peran, tanggung jawab, dan kewenangan, yang konsisten dengan capaian Kebijakan, Target, Sasaran, dan Program Manajemen Keamanan.

Peran, tanggung jawab, dan kewenangan harus didefinisikan, didokumentasikan dan dikomunikasikan kepada setiap individu yang bertanggung jawab untuk penerapan dan pemeliharaan.

Manajemen Puncak harus menyediakan bukti komitmennya terhadap pengembangan dan penerapan (proses) Sistem Manajemen Keamanan dan meningkatkan efektivitasnya secara berkelanjutan dengan:

a) menetapkan wakil Manajemen Puncak yang harus bertanggung jawab pada seluruh kegiatan desain, penerapan, pemeliharaan, dokumentasi, dan perbaikan sistem manajemen keamanan organisasi tersebut;

b) mengidentifikasi, memantau persyaratan, dan harapan pemangku kepentingan organisasi, mengambil tindakan tepat waktu dan yang sesuai untuk mengelola harapan tersebut;

c) memastikan ketersediaan sumber daya yang memadai;

d) mempertimbangkan pengaruh yang kurang baik dari Kebijakan Manajemen Keamanan, Target, Sasaran, Program, dan aspek organisasi lainnya;

e) memastikan setiap Program Keamanan yang diperoleh dari bagian lain organisasi yang melengkapi Sistem Manajemen Keamanan;

f) mengkomunikasikan kepada organisasi mengenai pentingnya pemenuhan persyaratan manajemen keamanan agar sesuai dengan kebijakan;

g) memastikan bahwa ancaman dan risiko terkait dengan keamanan dievaluasi dan tercakup

dalam penilaian risiko dan ancaman organisasi, sebagaimana mestinya;

h) memastikan kelangsungan Target, Sasaran, dan Program Manajemen Keamanan.

4.4.2 Kompetensi, Pelatihan, dan Kepedulian

Organisasi harus memastikan bahwa personil yang bertanggung jawab untuk desain, operasi, dan manajemen peralatan keamanan dan proses dikualifikasi secara tepat dalam hal

pendidikan, pelatihan dan/atau pengalaman. Organisasi harus menetapkan dan memelihara prosedur agar personil yang bekerja untuk organisasi atau atas nama organisasi menyadari:

a) pentingnya pemenuhan kebijakan dan prosedur manajemen keamanan dan persyaratan Sistem Manajemen Keamanan;

b) peran dan tanggung jawab personil dalam mencapai pemenuhan kebijakan dan prosedur manajemen keamanan serta dengan persyaratan Sistem Manajemen Keamanan, termasuk persyaratan kesiapsiagaan dan tanggap darurat;

c) konsekuensi potensial terhadap keamanan organisasi apabila keluar dari prosedur operasional yang telah ditetapkan.

Rekaman kompetensi dan pelatihan harus dipelihara

4.4.3 Komunikasi

Organisasi harus mempunyai prosedur untuk memastikan bahwa informasi manajemen keamanan yang relevan dikomunikasikan kepada dan dari pegawai terkait, kontraktor, dan pemangku kepentingan lainnya.

Oleh karena sifat sensitif dari informasi tertentu terkait keamanan, maka pertimbangan sebaiknya diberikan kepada sensitifitas informasi sebelum disebarluaskan.

4.4.4 Dokumentasi

Organisasi harus menetapkan dan memelihara suatu sistem dokumentasi manajemen keamanan yang mencakup, tetapi tidak terbatas pada, hal berikut:

a) Kebijakan, Target, dan Sasaran Keamanan,

b) uraian mengenai ruang lingkup Sistem Manajemen Keamanan;

c) uraian mengenai elemen utama sistem manajemen keamanan, interaksi, dan acuannya terhadap dokumen terkait;

d) dokumen, termasuk rekaman, yang disyaratkan dalam Standar ini; dan

e) hal yang ditentukan oleh Organisasi untuk memastikan perencanaan, operasi, dan kendali proses yang efektif terkait dengan risiko dan ancaman keamanan yang signifikan.

Organisasi harus menentukan sensitifitas keamanan informasi dan harus bertindak untuk

mencegah akses oleh pihak yang tidak berwenang.

4.4.5 Pengendalian Dokumen dan Data

Organisasi harus menetapkan dan memelihara prosedur untuk mengendalikan semua dokumen, data, dan informasi yang disyaratkan BAB IV dalam Standar ini untuk memastikan bahwa:

a) dokumen, data, dan informasi dapat ditempatkan dan diakses hanya oleh personil yang berwenang;

b) dokumen, data, dan informasi secara berkala dikaji ulang, jika perlu direvisi dan disahkan oleh personil yang berwenang;

c) versi mutakhir dari dokumen, data, dan informasi yang relevan tersedia pada semua lokasi operasi penting untuk pelaksanaan Sistem Manajemen Keamanan yang efektif;

d) dokumen, data, dan informasi yang kadaluarsa segera dimusnahkan untuk mencegah penyalahgunaan;

e) dokumen, data, dan informasi yang disimpan untuk kepentingan hukum atau pelestarian pengetahuan atau keduanya diidentifikasi secara tepat;

f) dokumen, data, dan informasi tersebut aman dan apabila dalam bentuk elektronik di- back up secara memadai dan dapat diperoleh kembali.

4.4.6 Pengendalian Operasional

Organisasi harus mengidentifikasi operasi dan kegiatan yang diperlukan untuk memperoleh:

a) Kebijakan Manajemen Keamanannya;

b) pengendalian kegiatan mitigasi risiko dari ancaman dan gangguan yang teridentifikasi signifikan;

c) pemenuhan terhadap persyaratan Peraturan Perundang-undangan dan persyaratan keamanan lainnya;

d) Sasaran Manajemen Keamanan;

e) pelaksanaan Program Manajemen Keamanan;

f) tingkat keamanan secara komprehensif yang disyaratkan;

Organisasi harus menjamin bahwa operasi dan terlaksananya kegiatan pada kondisi yang ditetapkan dengan cara:

a) menetapkan, menerapkan, dan memelihara prosedur terdokumentasi untuk mengendalikan situasi kegagalan pencapaian operasi dan kegiatan yang dijabarkan dalam butir 4.4.6 a) sampai dengan butir 4.4.6 f) akibat ketidakberadaan prosedur terdokumentasi;

b) mengevaluasi setiap ancaman yang disebabkan oleh setiap kegiatan dan menerapkan kendali untuk memitigasi pengaruh ancaman terhadap organisasi dan operator lainnya;

c) menetapkan dan memelihara persyaratan barang atau jasa yang berdampak pada

keamanan dan mengkomunikasikan kepada pemasok dan kontraktor.

Prosedur tersebut harus mencakup kendali untuk desain, instalasi, operasi, pembaruan kembali, dan modifikasi item yang terkait dengan keamanan dari peralatan, instrumentasi, dan lain-lain yang sesuai. Jika rencana yang ada direvisi atau merupakan rencana baru, yang dapat berdampak pada operasi dan kegiatan manajemen keamanan, maka organisasi harus mempertimbangkan ancaman dan risiko keamanan yang terkait sebelum diterapkan. Rencana baru atau revisi yang dipertimbangkan harus meliputi:

a) struktur, peran atau tanggung jawab organisasi yang direvisi;

b) Kebijakan, Target, Sasaran, dan Program Manajemen Keamanan yang direvisi;

c) proses dan prosedur yang direvisi;

d) pengenalan infrastruktur, peralatan atau teknologi keamanan baru, yang dapat mencakup perangkat keras dan/atau perangkat lunak;

e) pengenalan para pemasok, kontraktor atau personil baru.

4.4.7 Kesiapsiagaan, Tanggap darurat, dan Pemulihan keamanan

Organisasi harus menetapkan, menerapkan, dan memelihara rencana dan prosedur yang sesuai untuk mengidentifikasi potensi dan tanggap serta pemulihan terhadap insiden keamanan, situasi darurat, dan untuk mencegah serta mengurangi kemungkinan akibat yang terkait.

Rencana dan prosedur harus mencakup informasi tentang penyediaan dan pemeliharaan semua peralatan, fasilitas atau jasa yang dibutuhkan selama atau setelah insiden atau situasi darurat.

Organisasi harus mengkaji ulang secara berkala efektifitas rencana dan prosedur kesiapsiagaan, tanggap darurat, dan pemulihan keamanan khususnya setelah kecelakaan atau situasi kedaruratan yang disebabkan oleh pelanggaran, penyusupan, dan ancaman keamanan.

4.5 Tindakan Pemeriksaan dan Perbaikan

4.5.1 Pengukuran dan Pemantauan kinerja keamanan

Organisasi harus menetapkan dan memelihara prosedur untuk memantau dan mengukur kinerja Sistem Manajemen Keamanan, serta mengukur kinerja keamanan. Organisasi harus mempertimbangkan ancaman dan risiko yang terkait dengan keamanan, termasuk mekanisme penurunan potensial dan akibatnya, ketika menentukan frekuensi dalam mengukur dan memantau parameter kinerja kunci. Prosedur harus menyediakan:

a) pengukuran kuantitatif dan kualitatif, yang sesuai dengan kebutuhan organisasi;

b) pemantauan yang mencakup kebijakan, target, dan Sasaran Manajemen Keamanan organisasi terpenuhi;

c) ukuran kinerja yang proaktif yang memantau kesesuaian dengan program manajemen keamanan, kriteria kendali operasional, dan Peraturan Perundang-undangan dan persyaratan pengaturan keamanan lain;

d) tindakan kinerja yang reaktif untuk memantau penurunan, kegagalan, kecelakaan,

ketidaksesuaian (termasuk kejadian nyaris celaka dan tanda bahaya palsu) terkait dengan

keamanan dan bukti historis lain dari kinerja Sistem Manajemen Keamanan yang tidak memadai;

e) perekaman data dan hasil pemantauan serta pengukuran yang mencukupi untuk mendukung analisis tindakan perbaikan dan pencegahan. Jika diperlukan peralatan pemantauan untuk kinerja dan/atau pengukuran dan pemantauan, organisasi harus mensyaratkan penetapan dan pemeliharaan prosedur untuk kalibrasi dan pemeliharaan peralatan. Rekaman kegiatan kalibrasi dan pemeliharaan serta hasilnya harus disimpan dalam waktu yang cukup untuk pemenuhan Peraturan Perundang-undangan dan kebijakan organisasi.

4.5.2 Evaluasi Sistem

Organisasi harus mengevaluasi rencana, prosedur, dan kemampuan manajemen keamanan melalui kaji ulang secara berkala, pengujian, laporan pasca insiden, dan pembelajaran evaluasi kinerja dan pelatihan. Perubahan signifikan dalam faktor-faktor ini harus tercermin dalam prosedur.

Organisasi harus mengevaluasi secara berkala kesesuaian dengan Peraturan Perundang- undangan yang relevan, serta kesesuaian dengan kebijakan dan sasarannya.

Organisisi harus memelihara rekaman hasil evaluasi berkala.

4.5.3 Kegagalan, Insiden, Ketidaksesuaian, dan Tindakan perbaikan serta pencegahan yang terkait dengan keamanan

Organisasi harus menetapkan, menerapkan, dan memelihara prosedur untuk menentukan tanggung jawab dan kewenangan untuk:

a) mengevaluasi dan menginisiasi tindakan pencegahan untuk mengidentifikasi kegagalan potensial keamanan agar kegagalan tersebut dapat dicegah;

b) penyelidikan awal yang terkait dengan keamanan:

1) kegagalan termasuk nyaris celaka dan tanda bahaya palsu;

2) situasi kecelakaan dan kedaruratan;

3) ketidaksesuaian;

c) pengambilan tindakan untuk memitigasi setiap konsekuensi yang timbul dari kegagalan, kecelakaan atau ketidaksesuaian;

d) inisiasi dan penyelesaian tindakan perbaikan;

e) konfirmasi efektivitas tindakan perbaikan yang diambil.

Prosedur tersebut harus mensyaratkan bahwa semua tindakan perbaikan dan pencegahan

yang diusulkan dikaji ulang melalui proses penilaian ancaman dan risiko keamanan sebelum

penerapan kecuali jika penerapan harus sesegera mungkin, untuk mencegah dampaknya pada

lingkungan atau keamanan masyarakat.

Setiap tindakan pencegahan atau tindakan perbaikan yang diambil untuk menghilangkan penyebab ketidaksesuaian potensial dan aktual harus sesuai dengan besarnya permasalahan dan setara dengan ancaman dan risiko terkait dengan manajemen keamanan yang akan dihadapi. Organisasi harus menerapkan dan merekam setiap perubahan hasil tindakan pencegahan dan tindakan perbaikan dalam prosedur terdokumentasi dan harus mencakup pelatihan yang disyaratkan bila perlu.

4.5.4 Pengendalian rekaman

Organisasi harus menetapkan dan memelihara rekaman yang diperlukan untuk menunjukkan kesesuaian dengan persyaratan Sistem Manajemen Keamanan dan hasil-hasil yang dicapai.

Organisasi harus menetapkan, menerapkan, dan memelihara suatu prosedur untuk identifikasi, penyimpanan, perlindungan, mudah lacak, masa simpan, dan pemusnahan rekaman.

Rekaman harus tetap dapat terbaca, tertelusur, dan teridentifikasi.

Dokumentasi elektronik dan digital sebaiknya tahan lama, di- back up secara aman, dan hanya dapat diakses oleh personil yang berwenang.

4.5.5 Audit

Organisasi harus menetapkan, menerapkan, dan memelihara suatu program audit manajemen keamanan dan harus menjamin audit Sistem Manajemen Keamanan tersebut dilaksanakan pada tingkat rentang waktu yang direncanakan, dengan tujuan:

a) menentukan kesesuaian Sistem Manajemen Keamanan:

1) dengan aturan yang direncanakan untuk manajemen keamanan termasuk persyaratan dari keseluruhan BAB IV dari Standar ini;

2) telah diterapkan dan dipelihara dengan baik;

3) efektif dalam memenuhi Kebijakan dan Tujuan Manajemen Keamanan organisasi;

b) mengkaji ulang hasil audit sebelumnya dan tindakan yang diambil untuk memperbaiki ketidaksesuaian;

c) menyediakan informasi tentang hasil audit kepada manajemen;

d) memverifikasi bahwa peralatan keamanan dan personil pada tempat yang sesuai.

Program audit, termasuk setiap jadwal, harus didasarkan pada hasil penilaian ancaman dan risiko kegiatan organisasi dan hasil dari audit sebelumnya. Prosedur audit harus meliputi lingkup, frekuensi, metodologi, dan kompetensi, termasuk tanggung jawab dan persyaratan untuk melaksanakan audit dan pelaporan hasil. Audit harus dilaksanakan oleh personil independen terhadap pihak yang bertanggung jawab langsung pada kegiatan yang sedang diperiksa.

CATATAN Istilah "personil independen" tidak harus berarti personil di luar organisasi.

4.6 Kaji ulang Manajemen dan Peningkatan berkelanjutan

Manajemen Puncak harus mengkaji ulang Sistem Manajemen Keamanan organisasi, pada jangka waktu yang direncanakan, untuk memastikan kesesuaian, kecukupan, dan efektivitasnya yang berkelanjutan. Kaji ulang harus termasuk penilaian peluang untuk perbaikan dan kebutuhan akan perubahan-perubahan Sistem Manajemen Keamanan, termasuk Kebijakan Keamanan dan Tujuan Keamanan dan ancaman serta risiko. Rekaman kaji ulang manajemen harus dipelihara. Masukan kaji ulang manajemen harus mencakup:

a) hasil audit dan evaluasi pemenuhan Peraturan Perundang-undangan dan persyaratan lain yang diikuti organisasi tersebut;

b) komunikasi dari pihak luar yang berkepentingan, termasuk keluhan;

c) kinerja keamanan organisasi;

d) tingkat sasaran dan target yang telah dipenuhi;

e) status tindakan perbaikan dan pencegahan;

f) tindakan lanjutan dari kaji ulang manajemen sebelumnya;

g) keadaan yang berubah, termasuk pengembangan dalam hal Peraturan Perundang-undangan dan persyaratan lain yang terkait dengan aspek keamanan, dan

h) rekomendasi untuk perbaikan.

Hasil kaji ulang manajemen harus menyertakan setiap keputusan dan tindakan terkait

perubahan-perubahan yang mungkin pada Kebijakan, Target, Sasaran Keamanan, dan elemen

lain dari Sistem Manajemen Keamanan, yang konsisten dengan komitmen peningkatan

berkelanjutan.

Lampiran Pedoman Persyaratan Sistem Manajemen Keamanan (Standar BATAN Bidang Administrasi, Manajemen, dan Organisasi)

Hubungan antara SB 009-SNI ISO 28000:2010, SB 008-SNI-19-14001:2009 dan SB 77.0001.80:2005

SB 009-SNI ISO 28000:2010 SB 008-SNI-19-14001:2009 SB 77.0001.80:2005 Persyaratan sistem

manajemen keamanan (hanya judul)

4 Persyaratan sistem manajemen lingkungan (hanya judul)

4 Persyaratan sistem manajemen mutu (hanya judul)

4

Persyaratan umum 4.1 Persyaratan umum 4.1 Persyaratan umum 4.1 Kebijakan manajemen

keamanan

4.2 Kebijakan lingkungan 4.2 Komitmen manajemen 5.1 Kebijakan mutu 5.3 Perbaikan

berkesinambungan 8.5.1 Penilaian risiko dan

perencanaan keamanan (hanya judul)

4.3 Perencanaan (hanya judul)

4.3 Perencanaan (hanya judul)

5.4

Penilaian risiko keamanan

4.3.1 Aspek lingkungan 4.3.1 Fokus pada pelanggan 5.2 Penetapan persyaratan

yang berkaitan dengan produk

7.2.1

Tinjauan persyaratan yang berkaitan dengan produk

7.2.2

Persyaratan hukum, peraturan perundang- undangan, dan persyaratan keamanan lainnya

4.3.2 Persyaratan legal dan persyaratan lainnya

4.3.2 Fokus pada pelanggan 5.2 Penetapan persyaratan

yang berkaitan dengan produk

7.2.1

Sasaran manajemen keamanan

4.3.3 Tujuan, sasaran dan program

4.3.3 Sasaran mutu 5.4.1 Perencanaan sistem

manajemen mutu 5.4.2 Perbaikan

berkesinambungan 8.5.1 Target manajemen

keamanan

4.3.4 Tujuan, sasaran dan program

4.3.3 Sasaran mutu 5.4.1 Perencanaan sistem

manajemen mutu

5.4.2 Perbaikan

berkesinambungan 8.5.1

SB 009-SNI ISO 28000:2010 SB 008-SNI-19-14001:2009 SB 77.0001.80:2005 Program manajemen

keamanan

4.3.5 Tujuan, sasaran dan program

4.3.3 Sasaran mutu 5.4.1 Perencanaan sistem

manajemen mutu 5.4.2 Perbaikan

berkesinambungan 8.5.1 Penerapan dan operasi

(hanya judul)

4.4 Penerapan dan operasi (hanya judul)

4.4 Realisasi produk (hanya

judul) 7

Struktur, otoritas dan tanggung jawab manajemen keamanan

4.4.1 Sumber daya, peran, tanggung jawab dan wewenang

4.4.1 Komitmen manajemen 5.1 Tanggung jawab dan

wewenang

5.5.1 Wakil manajemen 5.5.2 Penyediaan sumber

daya 6.1

Prasarana 6.3

Kompetensi, pelatihan dan kepedulian

4.4.2 Kompetensi, pelatihan dan kesadaran

4.4.2 (sumber daya manusia)

umum 6.2.1

Kompetensi, kesadaran

dan pelatihan 6.2.2 Komunikasi 4.4.3 Komunikasi 4.4.3 Komunikasi internal 5.5.3 Komunikasi pelanggan 7.2.3 Dokumentasi 4.4.4 Dokumentasi 4.4.4 (Persyaratan

dokumentasi ) umum

4.2.1 Pengendalian dokumen

dan data

4.4.5 Pengendalian dokumen

4.4.5 Pengendalian dokumen

4.2.3 Pengendalian operasional 4.4.6 Pengendalian operasi 4.4.6 Perencanaan realisasi

produk 7.1

Penetapan persyaratan yang berkaitan dengan produk

7.2.1

Tinjauan persyaratan yang berkaitan dengan produk

7.2.2

Perencanaan desain dan pengembangan

7.3.1 Masukan desain dan

pengembangan 7.3.2 Keluaran desain dan

pengembangan

7.3.3

SB 009-SNI ISO 28000:2010 SB 008-SNI-19-14001:2009 SB 77.0001.80:2005 Tinjauan desain dan pengembangan

7.3.4 Verifikasi desain dan

pengembangan

7.3.5 Validasi desain dan

pengembangan

7.3.6 Pengendalian

perubahan desain dan pengembangan

7.3.7

Proses pembelian 7.4.1 Informasi pembelian 7.4.2 Verifikasi produk yang

dibeli

7.4.3 Pengendalian produksi

dan penyediaan jasa

7.5.1 Validasi proses produksi

dan penyediaan jasa

7.5.2 Preservasi produk 7.5.5 Kesiapsiagaan, tanggap

darurat, dan pemulihan keamanan

4.4.7 Kesiapsiagaan dan tanggap darurat

4.4.7 Pengendalian produk yang tidak sesuai

8.3

Tindakan pemeriksaan dan perbaikan (hanya judul)

4.5 Pemeriksaan (hanya judul)

4.5 Pengukuran, analisis dan perbaikan (hanya judul)

8

Pengukuran dan pemantauan kinerja keamanan

4.5.1 Pemantauan dan pengukuran

4.5.1 Pengendalian sarana pemantauan dan pengukuran (hanya judul)

7.6

Umum (pengukuran, analisis dan

peningkatan)

8.1

Pemantauan dan pengukuran proses

8.2.3 Pemantauan dan

pengukuran produk

8.2.4 Analisis data 8.4 Evaluasi sistem 4.5.2 Evaluasi kepatuhan 4.5.2 Pemantauan dan

pengukuran proses 8.2.3 Pemantauan dan

pengukuran produk 8.2.4

SB 009-SNI ISO 28000:2010 SB 008-SNI-19-14001:2009 SB 77.0001.80:2005 Kegagalan, insiden,

ketidaksesuaian dan tindakan perbaikan serta pencegahan yang terkait dengan keamanan

4.5.3 Ketidaksesuaian, tindakan perbaikan dan tindakan pencegahan,

4.5.3 Pengendalian produk

yang tidak sesuai 8.3 Analisis data 8.4 Tindakan korektif 8.5.2 Tindakan pencegahan 8.5.3 Pengendalian rekaman 4.5.4 Pengendalian

rekaman

4.5.4 Pengendalian rekaman

4.2.4 Audit 4.5.5 Audit internal 4.5.5 Audit internal 8.2.2 Kaji ulang manajemen

dan peningkatan berkelanjutan

4.6 Kaji ulang manajemen 4.6 Komitmen manajemen Tinjauan manajemen (hanya Judul)

5.1 5.6

Umum 5.6.1

Masukan untuk tinjauan

manajemen 5.6.2

Keluaran dari tinjauan

manajemen 5.6.3

Perbaikan

berkesinambungan 8.5.1

BIBLIOGRAFI

1. ISO 28000:2007, Security Management Systems for the Supply Chain 2. SNI ISO 28000:2009, Sistem Manajemen Keamanan Pada Rantai Pasokan

3. IAEA-Information Circular/225/Rev.5 , The Physical Protection of Nuclear Material and Facilities

4. IAEA -Code of Conduct on Safety and Security of Radioactive Source 5. IAEA-Nuclear Security Series Nomor 7, Nuclear Security Culture

6. IAEA-Nuclear Security Series Nomor 8, Preventive and Protective Measure Against Insider Threats

7. IAEA-Nuclear Security Series Nomor 9, Security in the Transport of Radioactive Material 8. IAEA-Nuclear Security Series Nomor 10, Development, Use and Maintenance of the Design

Basis Threat

9. IAEA-Nuclear Security Series Nomor 11, Security of Radioactive Source 10. ISO 9001:2000, Quality Management Systems — Requirements

11. ISO 14001:2004, Environmental Management Systems — Specification with Guidance for use

12. ISO 19011:2002, Guidelines for Quality and/or Environmental Management Systems Auditing

13. ISO/PAS 20858:2004, Ships and Marine Technology -- Maritime Port Facility Security Assessments and Security Plan Development

14. ISO/PAS 28004:2006, Security Management Systems for the Supply Chain - Guidelines for the Implementation of ISO/PAS 28000

15. Peraturan Pemerintah Nomor 33 tahun 2007 tentang Keselamatan Radiasi Pengion dan Keamanan Sumber Radioaktif

16. Peraturan Kepala Kepolisian Negara Republik Indonesia Nomor 24 tahun 2007 tentang Sistem Manajemen Pengamanan Organisasi, Perusahaan dan/atau Instansi/Lembaga Pemerintah

17. Peraturan Kepala BAPETEN Nomor 7 tahun 2007 tentang Keamanan Sumber Radioaktif 18. Peraturan Kepala BAPETEN Nomor 1 tahun 2009 tentang Ketentuan Proteksi Fisik Instalasi

dan Bahan Nuklir

19. Surat Keputusan Kepolisian Negara Republik Indonesia No.POL:SKEP/738/X/2005 tentang Pedoman Sistem Pengamanan Objek Vital Nasional

20. Peraturan Kepala BATAN Nomor 158/KA/XI/2008 tentang Pelaksanaan Standardisasi Ketenaganukliran

KEPALA BADAN TENAGA NUKLIR NASIONAL, -ttd-

HUDI HASTOWO Salinan sesuai dengan aslinya,

Kepala Biro Kerja Sama, Hukum, dan Hubungan Masyarakat,

Ferhat Aziz