Skip to content

Siklus hidup pengembangan aman (secure SDLC) hingga rilis

Informasi Dokumen

Atribut Keterangan
Kode Dokumen DTSI-SOP-DEV-01
Kode LPM
Revisi 1.0
Tanggal Efektif — (ditetapkan saat persetujuan Kepala DTSI)
Pemilik Dokumen Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa
Pemilik Proses Kepala Departemen Teknologi dan Sistem Informasi (DTSI)
Kelas Wajib
Status DRAFT — siap peninjauan pimpinan

1. Tujuan

Memastikan setiap perangkat lunak yang dikembangkan atau dimodifikasi DTSI (internal atau bersama mitra) melalui analisis risiko, desain aman, pengujian, dan rilis terkendali—selaras ISO/IEC 12207 (proses siklus hidup) dan praktik keamanan ISO/IEC 27002 serta kualitas ISO/IEC 25010 (indikatif).

2. Ruang lingkup

Aplikasi web/mobile/backend, skrip integrasi, dan modul yang mempengaruhi data civitas atau layanan kampus. Low-code dan konfigurasi paket mengikuti prinsip yang sama sesuai tingkat risiko.

3. Dokumen terkait

Dokumen Relasi
DTSI-SOP-DEV-04 Repositori, review, build
DTSI-SOP-DEV-02 QA, regresi, UAT
DTSI-SOP-DEV-03 API & pertukaran data
DTSI-SOP-OPS-02 RFC & rilis produksi
DTSI-SOP-OPS-09 Pelepasan rilis
DTSI-SOP-SUP-02 Mitra pengembangan
DTSI-SOP-CPL-02 Data pribadi
DTSI-SOP-AST-02 Klasifikasi data
DTSI-SOP-INC-01 Kerentanan eksploitasi

4. Fase SDLC (ringkas)

Fase Keluaran wajib
Permintaan / intake Ruang lingkup, sponsor, klasifikasi data, perkiraan risiko
Desain Model ancaman ringkas, kontrol autentikasi/otorisasi, logging audit
Implementasi Branch terkendali, tidak ada rahasia di kode (DTSI-SOP-DEV-04)
Verifikasi Pengujian sesuai DTSI-SOP-DEV-02; scan dependensi untuk risiko tinggi
Rilis RFC + DTSI-SOP-OPS-09
Operasi Pemantauan, patch, pensiunan fitur

5. Peran dan tanggung jawab

Peran Tanggung jawab
Kepala DTSI Menyetujui pengecualian SDLC untuk perbaikan darurat (dengan rekaman).
Product owner / manajer proyek Ruang lingkup, prioritas, UAT bisnis.
Tech lead Desain teknis, threat model ringkas, gate kualitas.
Developer / QA Kode, tes otomatis/manual, bukti regresi.

6. Prosedur — gate keamanan

  1. Sebelum coding: tentukan klasifikasi data (DTSI-SOP-AST-02); jika data pribadi, lengkapi asesmen DTSI-SOP-CPL-02.
  2. Desain: dokumentasikan alur autentikasi, penyimpanan kredensial, dan titik API keluar/masuk.
  3. Dependensi: gunakan repositori paket internal/lockfile; tinjau lisensi (DTSI-SOP-AST-03).
  4. Kerentanan: temuan SAST/DAST atau pentest remediasi sebelum produksi kecuali pengecualian tercatat.
  5. Rilis darurat (hotfix): minimal peer review satu orang + RFC disederhanakan sesuai DTSI-SOP-OPS-02.

Diagram ringkas

flowchart LR
  i[Intake] --> d[Desain_aman]
  d --> c[Code_review]
  c --> t[Test_QA]
  t --> r[RFC_rilis]
  r --> o[Operasi]

7. Rujukan ISO (indikatif)

  • ISO/IEC 12207 — proses siklus hidup perangkat lunak.
  • ISO/IEC 27002 — pengembangan aman, manajemen kerentanan teknis.
  • ISO/IEC 25010 — kualitas produk (acuan pengujian).

8. Rekaman wajib

  • Charter atau tiket epik, dokumen desain/threat ringkas, hasil uji, RFC, catatan pengecualian.

9. Indikator kinerja

Indikator Target
Rilis produksi tanpa RFC bila wajib menurut kebijakan perubahan 0
Kerentanan kritis terbuka > [Diisi] hari tanpa rencana 0

10. Tinjauan dokumen

Minimal tahunan atau setelah insiden supply-chain / kerentanan mayor.


Register SOP: Daftar SOP Operasional