information security management · bs iso iec 17799 2005 audit checklist 22/03/2019 magister sistem...

MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/03/2019

Magister Sistem Informasi – Universitas Kristen Satya Wacana

Page - 1

Information Security Management

BS ISO/ IEC 17799:2005 (BS ISO/ IEC 27001:2005)

BS 7799-1:2005, BS 7799-2:2005

Audit Check List

Author: Astriyer Jadmiko Nahumury, S.Kom

Status: Final Thesis



Page - 2

Table of contenct Security Policy ........................................................................................................................................................................................... 4

Information security policy .................................................................................................................... Error! Bookmark not defined. Organization of information security......................................................................................................... Error! Bookmark not defined.

Internal Organization ............................................................................................................................. Error! Bookmark not defined. External Parties ...................................................................................................................................... Error! Bookmark not defined.

Asset Management ....................................................................................................................................... Error! Bookmark not defined. Responsibility for assets ........................................................................................................................ Error! Bookmark not defined. Information classification ...................................................................................................................... Error! Bookmark not defined.

Human resources security ........................................................................................................................... Error! Bookmark not defined. Prior to employment .............................................................................................................................. Error! Bookmark not defined. During employment ............................................................................................................................... Error! Bookmark not defined. Termination or change of employment .................................................................................................. Error! Bookmark not defined.

Physical and Environmental Security ........................................................................................................ Error! Bookmark not defined. Secure Areas .......................................................................................................................................... Error! Bookmark not defined. Equipment Security ................................................................................................................................ Error! Bookmark not defined.

Communications and Operations Management ....................................................................................... Error! Bookmark not defined. Operational Procedures and responsibilities .......................................................................................... Error! Bookmark not defined. Third party service delivery management .............................................................................................. Error! Bookmark not defined. System planning and acceptance ........................................................................................................... Error! Bookmark not defined. Protection against malicious and mobile code ...................................................................................................................................... 19 Backup .................................................................................................................................................................................................. 20 Network Security Management ............................................................................................................................................................ 21 Media handling ...................................................................................................................................... Error! Bookmark not defined. Exchange of Information ....................................................................................................................... Error! Bookmark not defined. Electronic Commerce Services .............................................................................................................. Error! Bookmark not defined. Monitoring ............................................................................................................................................................................................ 24

Access Control .............................................................................................................................................. Error! Bookmark not defined. Business Requirement for Access Control ........................................................................................................................................... 26 User Access Management ...................................................................................................................... Error! Bookmark not defined.



Page - 3

User Responsibilities ............................................................................................................................. Error! Bookmark not defined. Network Access Control ........................................................................................................................ Error! Bookmark not defined. Operating system access control ............................................................................................................ Error! Bookmark not defined. Application and Information Access Control ....................................................................................................................................... 31 Mobile Computing and teleworking ..................................................................................................................................................... 32

Information systems acquisition, development and maintenance ........................................................... Error! Bookmark not defined. Security requirements of information systems ..................................................................................................................................... 33 Correct processing in applications ......................................................................................................... Error! Bookmark not defined. Cryptographic controls.......................................................................................................................................................................... 34 Security of system files .......................................................................................................................... Error! Bookmark not defined. Security in development and support processes ................................................................................................................................... 36 Technical Vulnerability Management .................................................................................................... Error! Bookmark not defined.

Information security incident management .............................................................................................. Error! Bookmark not defined. Reporting information security events and weaknesses ....................................................................................................................... 38 Management of information security incidents and improvements ...................................................................................................... 39

Business Continuity Management .............................................................................................................. Error! Bookmark not defined. Information security aspects of business continuity management ......................................................... Error! Bookmark not defined.

Compliance ................................................................................................................................................... Error! Bookmark not defined. Compliance with legal requirements ..................................................................................................... Error! Bookmark not defined. Compliance with security policies and standards, and technical compliance ....................................... Error! Bookmark not defined. Information Systems audit considerations ............................................................................................. Error! Bookmark not defined.

References ................................................................................................................................................................................................ 45



Page - 4

Information Security Management BS ISO IEC 17799:2005 SANS Audit Check List

Auditor Name:__________________________ Audit Date:___________________________ Korenspondensi Name : ____________________________

Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results

Checklist Standard Section Audit Question Findings Compliance

Security Policy 1.1 5.1

Kebijakan Keamanan Informasi Sasaran : Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hukum dan regulasi yang relevan.

1.1.1 5.1.1 Dokumen Kebijakan Keamanan Informasi

Apakah ada kebijakan keamanan informasi, yang disetujui oleh manajemen pusat, dipublikasikan dan dikomunikasikan dengan tepat kepada semua karyawan?

Apakah kebijakan menekankan komitmen manajemen dan menggunakan pendekatan organisasional untuk pengaturan keamanan informasi?

1.1.2 5.1.2 Review (Kajian)

Apakah kebijakan keamanan informasi direview pada interval yang direncanakan, dan apakah perubahan yang signifikan terhadi untuk kepastian



Page - 5



Kebijakan Keamanan Informasi

kelangsungannya, kehandalannya, dan keefektifannya?

Apakah kebijakan keamanan informasi dimiliki oleh instansi? siapa yang menyetujui tanggung jawab manajemen untuk pengembangan review dan evaluasi kebijakan keamanan ?

Apakah terdapat prosedur review kebijakan keamanan dan apakah mereka mencakup persyaratan untuk review manajemen?

Apakah hasil review manajemen digunakan dalam kebijakan ini ?

Apakah persetujuan manajemen diperoleh untuk merevisi kebijakan

Organisasi Keamanan Informasi 2.1 6.1

Organisasi Internal Sasaran : untuk mengelola keamanan informasi dalam organisasi

2.1.1 6.1.1 Komitmen Manajemen Terhadap Keamanan Informasi

Apakah manajemen menunjukkan dukungan yang aktif untuk ukuran keamanan dalam organisasi ? (Hal ini dapat dilakukan melalui arahan yang jelas, ditunjukkan dengan komitmen, penugasan yang eksplisit, dan pengetahuan mengenai tanggung jawab keamanan informasi)



Page - 6



2.1.2 6.1.2 Koordinasi Keamanan Informasi

Apakah aktivitas keamanan informasi dikoordinasikan dengan perwakilan dari bagian yang berbeda pada organisasi, dengan tugas dan tanggung jawab masing-masing ?

2.1.3 6.1.3 Alokasi Tanggung Jawab Keamanan Informasi

Apakah tanggung Jawab untuk perlindungan aset individu, dan untuk melakukan proses keamanan tertentu, diidentifikasi dan didefinisikan dengan jelas?

2.1.4 6.1.4 Proses Otorisasi Untuk Fasilitas Proses Informasi

Apakah proses otorisasi manajemen didefinisikan dan diimplementasikan untuk fasilitas pemrosesan informasi terkini dalam organisasi?

2.1.5 6.1.5 Perjanjian

Apakah kebutuhan organsiasi akan Konfidealitas atau Non Disclosure Agreement (NDA) untuk perlindungan informasi ditetapkan dan direview



Page - 7



Kerahasiaan dengan teratur?

Apakah ada pemenuhan persyaratan untuk melindungi informasi konfidensial dengan menggunakan hal-hal yang dapat dipaksanakan secara legal ?

2.1.6 6.1.6 Kontak Dengan Otoritas (Pihak Berwenang)

Apakah ada sebuah prosedur yang mendeskripsikan kapan, dan siapa: otoritas yang relevan seperti penegak hukum, departemen pemadam, dll yang harus dihubungi dan bagaimana insiden dapat dilaporkan?

2.1.7 6.1.7 Kontak Dengan Kelompok Khusus

Apakah ada dan terjadi pmeliharaan kontak dengan Kelompok Khusus atau forum spesialis keamanan lainnya, dan asosiasi professional?

2.1.8 6.1.8 Review (Kajian) Independen Terhadap Keamanan Informasi

Apakah pendekatan organisasi untuk pengaturan keamanan informasi, dan implementasinya, direview secara independen pada interval yang direncanakan, atau kapan perubahan utama pada implementasi keamanan terjadi?

2.2 6.2 Pihak Luar (External)



Page - 8



Sasaran : untuk memlihara keamanan informasi organisasi dan fasilitas pengolaan informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal

2.2.1 6.2.1 Identifikasi Resiko Terkait Dengan Pihak Eksternal

Apakah resiko pada informasi organsiasi dan fasilitas pemrosesan informasi, dari sebuah proses yang melibatkan akses pihak eksternal, diidentifikasikan dan pengendalian yang sesuai dilaksanakan sebelum adanya pemberian akses?

2.2.2 6.2.2 Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan

Apakah semua persyaratan keamanan yang diidentifikasi terpenuhi sebelum memberikan akses pada konsumen mengenai aset atau informasi organisasi?

2.2.3 6.2.3 Penekanan Keamanan Perjanjian Dengan Pihak Ketiga

Apakah kesepakatan dengan pihak ketiga, meliputi pengaksesan, pemrosesan, mengkomunikasian atau pengaturan informasi organsiasi atau fasilitas pemrosesan informasi, atau pengenalan produk atau layanan pada fasilitas pemrosesan informasi, mematuhi seluruh persyaratan keamanan tertentu?



Page - 9



Pengelolaan Aset 3.1 7.1

Tanggung Jawab Terhadap Aset Sasaran : untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi

3.1.1 7.1.1 Inventaris Aset

Apakah semua aset diidentifikasikan dan inventori atau register dipelihara dengan semua aset yang penting?

3.1.2 7.1.2 Kepemilikan Aset

Apakah semua informasi dan aset yang terkait dengan fasilitas pengolahan informasi dimiliki oleh bagian dari organisasi yang ditunjuk?

3.1.3 7.1.3 Penggunaan Aset yang Dapat Diterima

Apakah peraturan untuk penggunaan yang dapat diterima pada informasi dan aset yang diasosiasikan dengan dasilitas pemrosesan informasi diidentifikasi, didokumentasikan dan diimplementasikan?

3.2 7.2 Klasifikasi Informasi Sasaran : untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat

3.2.1 7.2.1 Pedoman Klasifikasi

Apakah informasi diklasifikasikan dalam istilah nilai, persyaratan hukum, sensitivitas dan kritikalitas pada organisasi?



Page - 10



3.2.2 7.2.2 Pelabelan dan Penanganan Informasi

Apakah bentuk prosedur tertentu didefinisikan untuk pelabelan dan penanganan informasi, sehubungan dengan skema klasifikasi yangd iadopsi oleh organisasi?

Keamanan Sumberdaya Manusia 4.1 8.1

Sebelum diperkerjakan Sasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas

4.1.1 8.1.1 Peran dan Tanggung Jawab

Apakah peran keamanan karyawan dan tanggung jawab karyawan, kontraktor dan pengguna pihak ketiga didefinisikan dan didokumentasikan sehubungan dengan kebijakan sekuritas informasi organisasi ?

Apakah peran dan tanggung jawab didefinisikan dan dikomunikasikan dengan jelas kepada calon karyawan selama proses pra-kerja ?

4.1.2 8.1.2 Penyaringan (Screening)

Apakah pemeriksaan verifikasi latar belakang untuk semua calon pekerja, kontraktor, dan pengguna pihak ketiga dilakukan sesuai dengan peraturan yang relevan?

Apakah pengecekan meliputi referensi karakter, konfirmasi atas kualifikasi akademik dan profesional



Page - 11



yang diklaim dan pemeriksaan identitas independen?

4.1.3 8.1.3 Syarat dan Aturan Kepegawaian

Apakah pegawai, kontraktor dan pengguna pihak ketiga diminta untuk menandatangani syarat kerahasiaan atau perjanjian non-disclosure sebagai bagian dari persyaratan awal dan kondisi dari kontrak kerja?

Apakah perjanjian ini mencakup tanggung jawab keamanan informasi dari organisasi dan pegawai, pengguna pihak ketiga dan kontraktor?

4.2 8.2 Selama Bekerja Sasaran : untuk memasikan bahwa semua pegawai, kontraktor dan pengguna pihak ketiga telah peduli terhadap ancaman dan masalah keamanan informasi, tanggung jawab dan pertanggung-gugatan mereka, dan disediakan perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi selama berkerja dan untuk mengurangi risiko kesalahan manusia

4.2.1 8.2.1 Tanggung Jawab Manajemen

Apakah manajemen membutuhkan karyawan, kontraktor dan pengguna pihak ketiga untuk menerapkan keamanan yang sesuai dengan kebijakan yang ditetapkan dan prosedur organisasi?

4.2.2 8.2.2 Kepedulian, Pendidikan Dan Pelatihan Keamanan

Apakah semua karyawan dalam organisasi, dan jika relevan, kontraktor dan pengguna pihak ketiga, menerima pelatihan kesadaran keamanan yang tepat dan update reguler dalam kebijakan dan prosedur organisasi yang berkaitan dengan fungsi pekerjaan



Page - 12



Informasi mereka ?

4.2.3 8.2.3 Proses Pendisiplinan

Apakah ada proses pendisiplinan formal untuk karyawan yang telah melakukan pelanggaran keamanan?

4.3 8.3 Pengakhiran atau Perubahan Pekerjaan Sasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga keluar dari organisasi atau adanya perubahan pekerjaan dengan cara yang sesuai

4.3.1 8.3.1 Tanggung Jawab Pengakhiran Pekerjaan

Apakah tanggung jawab untuk melakukan pemutusan hubungan kerja, atau perubahan pekerjaan, didefinisikan dan ditugaskan dengan jelas?

4.3.2 8.3.2 Pengembalian Aset

Apakah ada proses yang menjamin semua karyawan, kontraktor dan pengguna pihak ketiga menyerahkan semua aset organisasi dalam kepemilikan mereka atas pemutusan hubungan kerja mereka, kontrak atau perjanjian?

4.3.3 8.3.3 Penghapusan Hak Akses

Apakah hak akses dari semua karyawan, kontraktor dan pengguna pihak ketiga, pada fasilitas pengolahan informasi dan informasi akan dihapus setelah pemutusan hubungan kerja mereka, kontrak atau perjanjian, atau akan disesuaikan pada perubahan?



Page - 13



Keamanan Fisik dan Lingkungan

5.1 9.1 Keamanan Area Sasaran : untuk mencegah aksses fisik oleh pihak luar yang tidak berwenang, kerusakan dan interfensi terhadap lokasi dan informasi organisasi.

5.1.1 9.1.1 Perimeter Keamanan Fisik

Apakah fasilitas keamanan perbatasan fisik telah dilaksanakan untuk melindungi layanan pemrosesan informasi?

(Beberapa contoh fasilitas keamanan tersebut adalah kartu kendali gerbang masuk, dinding, penerimaan, meja resepsionis yang dijaga, finger print, dll)

5.1.2 9.1.2 Pengendalian Entri yang Bersifat Fisik

Apakah kontrol entri yang ada hanya ditujukan/dikhususkan untuk personil yang berwenang dalam berbagai bidang dalam organisasi?

5.1.3 9.1.3 Mengamankan Kantor, ruangan dan fasilitas.

Apakah ruangan, yang memiliki layanan pengolahan informasi, terkunci atau memiliki lemari atau brankas yang terkunci?

5.1.4 9.1.4 Perlindungan terhadap

Apakah perlindungan fisik terhadap kerusakan misalnya kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil dan bentuk lain dari bencana alam atau



Page - 14



Ancaman Eksternal Dan Lingkungan

buatan manusia dirancang dan diterapkan?

Apakah ada potensi ancaman yang berasal dari tetangga.

5.1.5 9.1.5 Bekerja Pada Area Aman

Apakah perlindungan fisik dan pedoman untuk bekerja di daerah aman dirancang dan diimplementasikan ?

5.1.6 9.1.6 Pengiriman Akses Publik dan Bongkar Muat

Apakah pengiriman, pemuatan, dan daerah lain di mana orang yang tidak berhak dapat memasuki tempat yang dikendalikan, dan fasilitas pengolahan informasi yang terisolasi, untuk menghindari akses yang tidak sah.

5.2 9.2 Keamanan Peralatan Sasaran : untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan interupsi terhadap kegiatan organisasi.

5.2.1 9.2.1 Penempatan dan Perlindungan Peralatan

Apakah peralatan dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan, dan peluang untuk akses yang tidak sah?



Page - 15



5.2.2 9.2.2 Sarana Pendukung

Apakah peralatan tersebut dilindungi dari gangguan listrik dan gangguan lain yang disebabkan oleh kegagalan dalam utilitas pendukung?

Apakah peralatan pasokan listrik, seperti pakan ganda, Uninterruptible Power Supply (up), generator cadangan, dll digunakan?

5.2.3 9.2.3 Keamanan Kabel

Apakah kekuatan dan kabel telekomunikasi, yang membawa data atau mendukung layanan informasi, dilindungi dari intersepsi atau kerusakan?

Apakah ada kontrol keamanan tambahan untuk mendapatkan informasi yang sensitif atau kritis.

5.2.4 9.2.4 Pemeliharaan Peralatan

Apakah peralatan tersebut dengan benar dipertahankan untuk menjamin ketersediaan lanjutan dan integritas?

Apakah peralatan tersebut dipertahankan, sesuai dengan interval servis pemasok yang direkomendasikan dan spesifikasinya?

Apakah pemeliharaan dilakukan hanya oleh petugas yang berwenang?

Apakah log dipelihara dari semua hal yang dicurigai atau aktual kesalahan dan semua tindakan pencegahan



Page - 16



dan korektif?

Apakah kontrol yang tepat diimplementasikan saat mengirim peralatan dari lokasi?

Apakah peralatan diasuransikan dan persyaratan asuransi terpenuhi?

5.2.5 9.2.5 Keamanan Peralatan di Luar Lokasi

Apakah risiko dinilai berkaitan dengan setiap penggunaan peralatan di luar lokasi organisasi, dan mitigasi kontrol dilaksanakan?

Apakah penggunaan fasilitas pengolahan informasi luar organisasi telah disahkan oleh manajemen?

5.2.6 9.2.6 Penggunaan Kembali Peralatan

Apakah semua peralatan, yang berisi media penyimpanan, diperiksa untuk memastikan bahwa informasi sensitif atau perangkat lunak berlisensi secara fisik hancur, atau dijamin rusak, sebelum dibuang atau digunakan kembali?

5.2.7 9.2.7 Pemindahan Property

Apakah terdapat kontrol peralatan, informasi atau perangkat lunak tidak boleh dibawa keluar lokasi tanpa ijin yang berwenang?



Page - 17



Manajemen Komunikasi Dan Operasi 6.1 10.1

Prosedur Oprasional dan Tanggung Jawab Sasaran : untuk memastikan pengoperasian fasilitas pengolahan informasi secara benar dan aman

6.1.1 10.1.1 Prosedur Operasi yang Terdokumentasi

Apakah prosedur operasi didokumentasikan, dipelihara dan tersedia untuk semua pengguna yang membutuhkannya?

Apakah prosedur tersebut diperlakukan sebagai dokumen resmi, dan karena itu setiap perubahan yang dilakukan harus memiliki otorisasi manajemen?

6.1.2 10.1.2 Manajemen Perubahan

Apakah semua perubahan ke fasilitas dan sistem pengolahan informasi dikendalikan?

6.1.3 10.1.3 Pemisahan Tugas

Apakah tugas dan lingkup tanggung jawab dipisahkan, untuk mengurangi peluang untuk modifikasi yang tidak tidak sah atau penyalahgunaan informasi, atau layanan?

6.1.4 10.1.4 Pemisahan Fasilitas Pengembangan, Pengujian

Apakah fasilitas pengembangan dan pengujian terisolasi dari fasilitas operasional? Sebagai contoh, pengembangan dan produksi software harus dijalankan pada komputer yang berbeda. Jika diperlukan, jaringan pengembangan dan produksi harus disimpan terpisah



Page - 18



dan Operasional

dari satu sama lain.

6.2 10.2 Manajemen Pelayanan Jasa Pihak Ketiga Sasaran : untuk menerapkan dan memelihara tingkat keamanan informasi dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga.

6.2.1 10.2.1 Pelayanan Jasa

Apakah langkah-langkah yang diambil untuk memastikan bahwa kontrol keamanan, definisi jasa dan tingkat pengiriman, termasuk dalam perjanjian penyediaan layanan pihak ketiga, diterapkan, dioperasikan dan dipelihara oleh pihak ketiga?

6.2.2 10.2.2 Monitoring Dan Review Pada Layanan Pihak Ketiga

Apakah layanan, laporan dan catatan yang diberikan oleh pihak ketiga secara teratur dipantau dan dikaji?

Apakah Audita dilakukan pada pihak ketiga atas jasa, laporan dan catatan, dengan interval reguler?

6.2.3 10.2.3 Pengelolaan Perubahan Terhadap Jasa Pihak Ketiga

Apakah perubahan pada penyediaan layanan, yang meliputi menjaga dan memperbaiki kebijakan keamanan informasi yang ada, prosedur dan pengendalian, dikelola?

Apakah mempertimbangkan kritikal sistem dan proses bisnis terkait dan asesmen ulang dari resiko?



Page - 19



6.3 10.3 Perencanaan Dan Penerimaan Sistem Sasaran : untuk mengurangi resiko kegagalan sistem

6.3.1 10.3.1 Manajemen Kapasitas

Apakah penggunaan sumber daya dipantau, disesuaikan dan dirpoyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja system yang dipersyaratkan?

Contoh: Pemantauan ruang hard disk, RAM dan CPU pada server kritis..

6.3.2 10.3.2 Penerimaan Sistem

Apakah kriteria penerimaan sistem ditetapkan untuk sistem informasi baru, upgrade dan versi baru?

Apakah dilakukan pengujian sistem yang sesuai selama pengembangan dan sebelum penerimaan?

6.4 10.4 Perlindungan Terhadap Malicious Dan Mobile Code

Sasaran : untuk melindungi integritas perangkat lunak (software) dan informasi 6.4.1 10.4.1

Pengendalian Terhadap Malicious Code

Apakah pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan untuk melindungi dari malicious code dan prosedur kepedulian pengguna yang memadai telah diterapkan?



Page - 20



6.4.2 10.4.2 Pengendalian Terhadap Mobile Code

Apakah kode mobile hanya diotorisasi kepada pengguna internal?

Apakah konfigurasi memastikan bahwa kode mobile resmi beroperasi sesuai dengan kebijakan keamanan?

Apakah pelaksanaan kode mobile yang tidak sah dicegah? (Kode Mobile adalah kode software yang transfer dari satu komputer ke komputer lain dan kemudian dieksekusi secara otomatis. Code ini melakukan fungsi tertentu dengan sedikit atau tanpa campur tangan pengguna. Mobile code dikaitkan dengan sejumlah layanan middleware.)

6.5 10.5 Back-up Sasaran : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolaan informasi

6.5.1 10.5.1 Back-up Informasi

Apakah back-up informasi dan perangkat lunak yang diambil dan diuji secara teratur sesuai dengan kebijakan back-up yang disetujui?

Apakah semua informasi penting dan perangkat lunak dapat pulih setelah bencana atau kegagalan media?



Page - 21



6.6 10.6 Manajemen Keamanan Jaringan Sasaran : untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.

6.6.1 10.6.1 Kontrol Jaringan

Apakah jaringan telah dikelola dan dikendalikan secara memadai, agar terlindungi dari ancaman, dan untuk memlihara keamanan dari system dan aplikasi yang menggunakan jaringan, termasuk informasi dalam transit?

6.6.2 10.6.2 Keamanan Layanan Jaringan

Apakah fitur keamanan, tingkat layanan dan persyaratan manajemen, dari semua layanan jaringan, diidentifikasi dan termasuk dalam jaringan perjanjian layanan?

Apakah kemampuan penyedia layanan jaringan, untuk mengelola layanan disepakati dalam cara yang aman, ditentukan dan dipantau secara teratur, dan hak untuk audit disepakati?

6.7 10.7 Penanganan Media Sasaran : untuk mencegah pengunkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah, dan gangguan kegiatan bisnis.

6.7.1 10.7.1 Manajemen

Apakah terdapat prosedur untuk pengelolaan removable media, seperti kaset, disk, kaset, kartu memori, dan laporan?



Page - 22



Media Yang Removable (dapat dipindahkan)

Apakah semua prosedur dan tingkat otorisasi secara jelas deidefinisikan dan didokumentasikan ?

6.7.2 10.7.2 Pemusnahan Media

Apakah media yang tidak diperlukan lagi dimusnahkan dengan aman, sesuai prosedur resmi atau formal?

6.7.3 10.7.3 Prosedur Penanganan Informasi

Apakah terdapat prosedur untuk menangani penyimpanan informasi?

Apakah prosedur ini mengatasi isu-isu, seperti perlindungan informasi, dari pengungkapan yang tidak sah atau penyalahgunaan informasi?

6.7.4 10.7.4 Keamanan Dokumentasi Sistem

Apakah dokumentasi sistem dilindungi terhadap akses yang tidak sah?

6.8 10.8 Pertukaran Informasi Sasaran : untuk memelihara keamanan informasi dan software yang diperlukan dalam suatu organisasi dan dengan setiap entitas eksternal

6.8.1 10.8.1 Kebijakan Dan

Apakah terdapat kebijakan prosedu dan pengendalian secara formal telah tersedia untuk melindungi pertukaran informasi dengan menggunakan semua



Page - 23



Prosedur Pertukaran Informasi

jenis fasilitas komunikasi?

6.8.2 10.8.2 Perjanjian Pertukaran

Apakah perjanjian ditetapkan mengenai pertukaran informasi dan perangkat lunak antara organisasi dan pihak luar?

Apakah isi keamanan perjanjian ini mencerminkan sensitivitas informasi bisnis yang terlibat?

6.8.3 10.8.3 Media Fisik Dalam Transit

Apakah media yang mengandung informasi dilindungi terhadap akses yang tidak sah, penyalahgunaan atau korupsi selama transportasi yang melampaui batas fisik organisasi?

6.8.4 10.8.4 Pesan Elektronik

Apakah informasi dalam bentuk pesan elektronik terlindungi dengan baik? (Pesan elektronik termasuk email, Elektronik Data Interchange, Instant Messaging)

6.8.5 10.8.5 Sistem Informasi Bisnis

Apakah kebijakan serta prosedur yang dikembangkan dan ditegakkan untuk melindungi informasi terkait dengan interkoneksi sistem informasi bisnis?

6.9 10.9 Layanan Commerce Electronik Sasaran : untuk memastikan keamanan layanan electronic commenrce dan keamanan penggunaannya.



Page - 24



6.9.1 10.9.1 E-Commerce

Apakah informasi yang terlibat dalam perdagangan lewat elektronik melalui jaringan publik dilindungi dari aktivitas penipuan, perselisihan kontrak, dan akses yang tidak sah atau modifikasi?

Apakah Keamanan kontrol seperti penerapan pengendalian kriptografi dipertimbangkan?

6.9.2 10.9.2 Transaksi Online

Apakah informasi yang terlibat dalam transaksi online dilindungi untuk mencegah transmisi yang tidak lengkap, mis-routing, perubahan pesan yang tidak sah, pengungkapan yang tidak sah, duplikasi pesan yang tidak sah atau replay?

6.9.3 10.9.3 Informasi Yang Tersedia Secara Umum

Apakah integritas dari informasi publik dilindungi terhadap modifikasi yang tidak sah?

6.10 10.10 Monitoring (Pemantauan) Sasaran : untuk mendeteksi kegiatan pengolahan informasi yang tidak sah

6.10.1 10.10.1 Log Audit

Apakah log audit merekam kegiatan pengguna, pengecualian, dan kejadian keamanan informasi dihasilakn dan disimpan selama periode yang disetujui untuk membantu dalam penyelidikan masa depan dan pemantauan kontrol akses?



Page - 25



Apakah Langkah perlindungan privasi yang tepat dipertimbangkan dalam Audit log pemeliharaan.

6.10.2 10.10.2 Pemantauan Penggunaan Sistem

Apakah prosedur dikembangkan dan ditetapkan untuk memantau penggunaan sistem untuk fasilitas pengolahan informasi?

Apakah hasil kegiatan pemantauan ditinjau secara berkala?

Apakah tingkat pengawasan diperlukan untuk fasilitas pengolahan informasi individu ditentukan oleh penilaian risiko?

6.10.3 10.10.3 Perlindungan Pada Informasi Log

Apakah fasilitas logging dan informasi log dilindungi terhadap gangguan dan akses yang tidak sah?

6.10.4 10.10.4 Log Administrator Dan Operator

Apakah ada administrator sistem dan kegiatan sistem operator login?

Apakah kegiatan login ditinjau secara teratur?

6.10.5 10.10.5 Log atas kesalahan yang terjadi (fault

Apakah kesalahan login dicatat dalam log, dianalisis dan diambil tindakan yang sesuai?



Page - 26



Logging) 6.10.6 10.10.6

Sinkronisasi Penunjuk Waktu

Apakah penunjuk waktu dari seluruh sistem pengolahan informasi relevan dalam organisai atau domain keamanan telah disinkronisasikan dengan sumber penunjuk waktu akurat yang disepakati?

(Pengaturan benar jam komputer penting untuk memastikan keakuratan audit log)

Pengendalian Akses

7.1 11.1 Persyaratan Bisnis Untuk Pengendalian Akses Sasaran : untuk mengendalikan akses keoada informasi

7.1.1 11.1.1 Kebijakan Kontrol Akses

Apakah kebijakan kontrol akses dikembangkan dan ditinjau didasarkan pada bisnis dan persyaratan keamanan?

Apakah logis dan kontrol akses fisik dipertimbangkan dalam kebijakan?

7.2 11.2 Manajemen Akses User Sasaran : untuk memastikan akses oleh pengguna yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi

7.2.1 11.2.1 Registrasi User

Apakah ada prosedur pendaftaran dan pembatalan pendaftaran pengguna secara formal untuk pemberian dan pencabutanakses terhadap seluruh layanan dan



Page - 27



sistem informasi.

7.2.2 11.2.2 Manajemen Hak Khusus

Apakah alokasi dan penggunaan dari setiap hak istimewa dalam perangkat sistem informasi dibatasi dan dikendalikan ? (Keistimewaan dialokasikan pada kebutuhan untuk menggunakan dasar, hak dialokasikan hanya setelah proses otorisasi formal)

7.2.3 11.2.3 Manajemen Password Pengguna

Apakah alokasi dan realokasi password telah dikendalikan dengan proses manajemen formal?

Apakah pengguna diminta untuk menandatangani pernyataan untuk menjaga password rahasia?

7.2.4 11.2.4 Review Terhadap Hak Akses User

Apakah terdapat proses untuk meninjau hak akses pengguna secara berkala? Contoh: hak istimewa khusus ditinjau setiap 3 bulan, hak istimewa yang normal setiap 6 bulan

7.3 11.3 Tanggung Jawab Pengguna Sasaran : untuk mencegah akses pengguna yang tidak sah dan gangguan atau pencurian atas informasi dan fasilitas pengolahan informasi.

7.3.1 11.3.1 Penggunaan Password

Apakah terdapat praktik keamanan untuk memandu pengguna dalam memilih dan memelihara password yang aman?

7.3.2 11.3.2 Peralatan yang

Apakah peralatan yang ditinggalkan oleh penggunanya telah dipastikan terlindungi dengan tepat?



Page - 28



ditinggalkan oleh penggunanya (unattended)

Contoh: Logoff saat sesi selesai atau mengatur auto log off, mengakhiri sesi ketika selesai dll,

7.3.3 11.3.3 Kebijakan Clear Desk dan Clear Screen

Apakah organisasi telah mengadopsi kebijakan clear desk berkaitan dengan kertas dan media penyimpanan removable?

Apakah organisasi telah mengadopsi kebijakan clear screen berkaitan dengan fasilitas pengolahan informasi?

7.4 11.4 Kontrol Akses Jaringan Sasaran : untuk mencegah akses yang tidak sah ke dalam jaringan

7.4.1 11.4.1 Kebijakan Penggunaan Layanan Jaringan

Apakah pengguna telah diberikan akses terhadap layanan yang telah diberikan kewenangan penggunaanya secara spesifik?

7.4.2 11.4.2 Otentikasi User Untuk Koneksi Eksternal

Apakah telah digunakan metode otentikasi yang tepat untuk mengendalikan akses oleh pengguna remote?



Page - 29



7.4.3 11.4.3 Identifikasi Peralatan Dalam Jaringan

Apakah identifikasi peralatan otomatis dipertimbagkan sebagai cara untuk mengotentikasi koneksi dari lokasi dan peralatan khusus?

7.4.4 11.4.4 Perlindungan terhadap Remote diagnostic dan configuration port

Apakah akses fisik dan logical untuk port diagnostik dikendalikan dengan aman yaitu, dilindungi oleh mekanisme keamanan?

7.4.5 11.4.5 Segrasi Dalam Jaringan

Apakah kelompok layanan informasi, pengguna dan sistem informasi dipisahkan pada jaringan?

Apakah jaringan (di mana mitra bisnis harus dan / atau pihak ketiga membutuhkan akses ke sistem informasi) dipisahkan menggunakan mekanisme keamanan perimeter seperti firewall?

Apakah pertimbangan dibuat untuk pemisahan jaringan nirkabel dari jaringan internal dan swasta?

7.4.6 11.4.6 Kontrol Koneksi

Apakah untuk jaringan yang digunakan bersama, khususnya perluasan jaringan yang melewati batas perusahaan, kapabilitas pengguna untuk terhubung dengan jaringan telah dibatasi, sejalan dengan



Page - 30



Jaringan kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis?

7.4.7 11.4.7 Pengendalian Routing Jaringan

Apakah pengendalian routing telah diterapkan ke dalam jaringan untuk memastikan bahwa koneksi computer dan aliran informasi tidak melanggar kebijakan pengendalian akases dari aplikasi bisnis?

7.5 11.5 Pengoperasian Control Akses Sistem Sasaran : untuk mencegah akses tidak sah ke dalam sistem operasi

7.5.1 11.5.1 Keamanan Prosedur Log On yang aman

Apakah akses ke sistem operasi dikendalikan oleh prosedur log-on yang aman?

7.5.2 11.5.2 Identifikasi Dan Otentikasi User

Apakah identifikasi unik (user ID) disediakan untuk setiap pengguna seperti operator, administrator sistem dan semua staf lainnya termasuk teknisi?

Apakah teknik otentikasi yang sesuai dipilih untuk memperkuat identitas yang diklaim pengguna?

Apakah account pengguna generik disediakan hanya dalam keadaan luar biasa di mana ada manfaat bisnis yang jelas. Kontrol tambahan mungkin diperlukan untuk menjaga akuntabilitas?



Page - 31



7.5.3 11.5.3 Sistem Manajemen Password

Apakah terdapat sistem manajemen password yang memaksa berbagai kontrol sandi seperti: sandi individual untuk akuntabilitas, menegakkan perubahan password, menyimpan password dalam bentuk terenkripsi, tidak menampilkan password di layar dll?

7.5.4 11.5.4 Penggunaan Utilitas Sistem

Apakahterdapat program utilitas yang mungkin mampu mengesampingkan sistem dan aplikasi kontrol yang dibatasi dan dikontrol dengan ketat?

7.5.5 11.5.5 Session Time-Out

Apakah sesi yang tidak aktif dalam jangka waktu tertentu telah mati?

(Sebuah bentuk terbatas timeout dapat disediakan untuk beberapa sistem, yang membersihkan layar dan mencegah akses yang tidak sah tetapi tidak menutup sesi aplikasi atau jaringan.

7.5.6 11.5.6 Pembatasan Waktu Koneksi

Apakah terdapat pembatasan waktu koneksi untuk aplikasi yang berisiko tinggi?

7.6 11.6 Aplikasi Dan Kontrol Akses Informasi Sasaran : untuk mencegah akses yang tidak sah terhadap informasi pada sistem aplikasi

7.6.1 11.6.1 Pembatasan Akses

Apakah akses ke informasi dan fungsi sistem aplikasi oleh pengguna dan personel pendukung dibatasi sesuai dengan kebijakan yang ditetapkan kontrol akses?



Page - 32



Informasi 7.6.2 11.6.2

Isolasi Sistem yang Sensitif

Apakah sistem yang sensitif disediakan dengan dedicated (terisolasi) lingkungan komputasi seperti berjalan pada komputer, sumber daya yang berdedikasi hanya berbagi dengan sistem aplikasi terpercaya, dll?

7.7 11.7 Mobile Computing And Teleworking(Kerja Jarak Jauh) Sasaran : untuk memastikan keamanan informasi ketika menggunakan fasilitas mobile computing dan kerja jarak jauh

7.7.1 11.7.1 Mobile Computing dan Komunikasi

Apakah kebijakan formal di tempat, dan langkah-langkah keamanan yang sesuai diadopsi untuk melindungi terhadap risiko menggunakan komputasi mobile dan fasilitas komunikasi?

Beberapa contoh komputasi Mobile dan fasilitas komunikasi meliputi: notebook, palmtop, laptop, smartCard, ponsel.

Apakah risiko seperti bekerja di lingkungan yang tidak dilindungi diperhitungkan oleh kebijakan komputasi Mobile?

7.7.2 11.7.2 Teleworking

Apakah kebijakan, rencana dan prosedur operasional dikembangkan dan diimplementasikan untuk kegiatan teleworking?

Apakah kegiatan teleworking diotorisasi dan dikendalikan oleh manajemen dan apakah hal itu



Page - 33



menjamin bahwa pengaturan yang sesuai di tempat untuk cara kerja?

Akusisi, Pengembangan dan Pemeliharaan Sistem Informasi 8.1 12.1

Persyratan Keamanan System Informasi Sasaran : untuk memastikan bahwa keamanan merupakan bagian yang utuh dari sistem informasi

8.1.1 12.1.1 Analisis Dan Spesifikasi Persyaratan Keamanan

Apakah persyaratan keamanan untuk sistem informasi baru dan peningkatan sistem informasi yang ada menentukan persyaratan untuk kontrol keamanan?

Apakah persyaratan keamanan dan kontrol diidentifikasi mencerminkan nilai bisnis dari aset informasi yang terlibat dan konsekuensi dari kegagalan Keamanan?

Apakah persyaratan sistem untuk keamanan informasi dan proses untuk implementasi keamanan terintegrasi dalam tahap awal proyek sistem informasi.

8.2 12.2 Pengolahan yang Benar Dalam Palikasi Sasaran : untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi

8.2.1 12.2.1 Validasi Data

Apakah input data ke sistem aplikasi divalidasi untuk memastikan bahwa itu adalah benar dan tepat.



Page - 34



Input Apakah kontrol seperti: Berbagai jenis inputan untuk memeriksa pesan kesalahan, Prosedur untuk merespons kesalahan validasi, mendefinisikan tanggung jawab semua personel yang terlibat dalam proses masukan data dll, dipertimbangkan?

8.2.2 12.2.2 Pengendalian pengolahan Internal

Apakah pengecekan validasi dimasukkan ke dalam aplikasi untuk mendeteksi kerusakan informasi melalui kesalahan pengolahan atau tindakan yang disengaja?

Apakah desain dan implementasi aplikasi memastikan bahwa risiko dari kegagalan pengolahan menyebabkan hilangnya integritas dapat diminimalkan?

8.2.3 12.2.3 Integritas Pesan

Apakah persyaratan untuk menjamin dan melindungi integritas pesan dalam aplikasi diidentifikasi, dan kontrol yang tepat diidentifikasi dan diterapkan?

Apakah penilaian resiko keamanan dilakukan untuk menentukan apakah integritas pesan diperlukan, dan untuk mengidentifikasi metode yang paling tepat pelaksanaan?

8.2.4 12.2.4 Validasi Output Data

Apakah output data sistem aplikasi divalidasi untuk memastikan bahwa pengolahan informasi yang disimpan adalah benar dan sesuai dengan keadaan?

8.3 12.3 Control Cryptographic



Page - 35



Sasaran : untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi 8.3.1 12.3.1

Kebijakan tentang penggunaan pengendalian kriptografi

Apakah organisasi memiliki kebijakan tentang penggunaan kontrol kriptografi untuk perlindungan informasi?

Apakah kebijakan tersebut berhasil diterapkan?

Apakah kebijakan kriptografi mempertimbangkan pendekatan manajemen terhadap penggunaan kontrol kriptografi, hasil penilaian risiko untuk mengidentifikasi tingkat yang diperlukan perlindungan, metode manajemen kunci dan berbagai standar untuk implementasi yang efektif?

8.3.2 12.3.2 Manajemen Kunci

Apakah manajemen kunci ada untuk mendukung penggunaan organisasi teknik kriptografi?

Apakah kunci kriptografi dilindungi terhadap modifikasi, kehilangan, dan kerusakan?

Apakah kunci rahasia dan kunci privat dilindungi terhadap pengungkapan yang tidak sah?

Apakah sistem manajemen kunci didasarkan pada kesepakatan mengenai standar, prosedur dan metode yang aman?

8.4 12.4 Keamanan File Sistem Sasaran : untuk memastikan keamanan sistem file



Page - 36



8.4.1 12.4.1 Pengendalian perangkat lunak yang operasional

Apakah ada prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional? (Hal ini untuk meminimalkan risiko korupsi sistem operasional.)

8.4.2 12.4.2 Perlindungan Data Uji Sistem

Apakah data pengujian sistem dilindungi dan dikendalikan?

Apakah penggunaan informasi pribadi atau informasi sensitif untuk pengujian basis data operasional dihindari?

8.4.3 12.4.3 Pengendalian akses terhadap kode sumber program

Apakah kontrol ketat ada untuk membatasi akses ke perpustakaan sumber program?

(Hal ini untuk menghindari potensi yang tidak sah, perubahan yang tidak disengaja.)

8.5 12.5 Keamanan Dalam Proses Pengembangan dan Pendukung Sasaran : untuk memelihara keamanan software sistem aplikasi dan informasi

8.5.1 12.5.1 Prosedur pengendalian perubahan

Apakah ada prosedur kontrol yang ketat di tempat selama pelaksanaan perubahan pada sistem informasi? (Hal ini untuk meminimalkan kerusakan sistem informasi.)



Page - 37



8.5.2 12.5.2 Review Teknis Pada Aplikasi Setelah Perubahan Sistem Operasi

Apakah ada tinjauan dan pengujian apabila sistem diubah untuk memastikan tidak ada dampak yang merugikan terhadap organisasi atau keamanan?

8.5.3 12.5.3 Pembatasan Atas Perubahan Terhadap Paket Software

Apakah modifikasi paket perangkat lunak tidak disarankan dan / atau terbatas pada perubahan yang diperlukan?

Apakah semua perubahan dikontrol secara ketat?

8.5.4 12.5.4 Kebocoran Informasi

Apakah ada pencegahan terhadap peluang kebocoran informasi?

8.5.5 12.5.5 Pengembangan Software Yang Outsource

Apakah pengembangan perangkat lunak outsourcing diawasi dan dipantau oleh organisasi? Apakah poin seperti: pengaturan Perizinan, pengaturan escrow, persyaratan kontrak untuk jaminan kualitas, pengujian sebelum instalasi untuk mendeteksi kode Trojan dll, diterapkan?



Page - 38



8.6 12.6 Manajemen Kerawanan Teknis

8.6.1 12.6.1 Kontrol Kerawanan Teknis

Apakah informasi tepat waktu mengenai kerentanan teknis dari sistem informasi yang digunakan diperoleh?

Apakah paparan organisasi untuk kerentanan tersebut dievaluasi dan langkah yang tepat diambil untuk mengurangi risiko yang terkait?

Manajemen Insiden Keamanan Informasi 9.1 13.1

Pelaporan Kejadian Dam Kelemahan Keamanan Informasi Sasaran : untuk memastikan kejadian dan kelemahan informasi terkait dengan sistem informasi dikumunikasikan sedemikan rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu

9.1.1 13.1.1 Pelaporan Kejadian Keamanan Informasi

Apakah kejadian keamanan informasi dilaporkan melalui saluran manajemen yang tepat secepat mungkin? Apakah keamanan acara pelaporan prosedur, respon Insiden informasi formal dan prosedur eskalasi dikembangkan dan diimplementasikan?

9.1.2 13.1.2 Pelaporan Kelemahan

Apakah terdapat prosedur yang menjamin semua sistem informasi karyawan dan layanan yang diperlukan untuk mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau dicurigai



Page - 39



Keamanan dalam sistem atau layanan?

9.2 13.2 Manajemen Insiden Keamanan Informasi dan Perbaikan

sasaran : untuk memastikan pendekatan yang konsisten dan efektif diterapkan untuk manajemen insiden keamanan informasi

9.2.1 13.2.1 Tanggung Jawab Dan Prosedur

Apakah tanggung jawab manajemen dan prosedur telah dibentuk untuk memastikan respon cepat, efektif dan teratur terhadap insiden keamanan informasi? Apakah terdapat pemantauan sistem, peringatan, dan kerentanan yang digunakan untuk mendeteksi insiden keamanan informasi?

9.2.2 13.2.2 Pemberlajaran Dari Insiden Keamanan Informasi

Apakah ada mekanisme untuk mengidentifikasi dan menghitung jenis, volume dan biaya insiden keamanan informasi?

Apakah informasi yang diperoleh dari evaluasi insiden keamanan informasi masa lalu digunakan untuk mengidentifikasi insiden dampak berulang atau tinggi?

9.2.3 13.2.3 Pengumpulan Bukti

Apakah tindak lanjut terhadap orang atau organisasi setelah insiden keamanan informasi melibatkan tindakan hukum (baik perdata atau pidana)?

Apakah bukti yang berkaitan dengan insiden itu



Page - 40



dikumpulkan, disimpan dan disajikan agar sesuai dengan aturan untuk bukti yang ditetapkan dalam yurisdiksi yang relevan ?

Manajemen Keberlanjutan Bisnis 10.1 14.1

Aspek Keamanan Informasi Pada Manajemen Keberlanjutan Bisnis Sasaran : untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dan efek kegagalan utama sistem innformasi atau bencana dan untuk memastikan keberlanjutan secara tepat waktu.

10.1.1 14.1.1 Memasukan keamanan informasi dalam proses manajemen keberlanjutan bisnis

Apakah ada proses yang dikelola yang membahas persyaratan keamanan informasi untuk mengembangkan dan mempertahankan kelangsungan bisnis di seluruh organisasi?

Apakah proses ini memahami risiko organisasi menghadapi, mengidentifikasi aset bisnis penting, mengidentifikasi dampak insiden, mempertimbangkan pelaksanaan kontrol pencegahan tambahan dan mendokumentasikan kelangsungan rencana bisnis menangani persyaratan keamanan?

10.1.2 14.1.2 Keberlanjutan bisnis dan asesmen resiko

Apakah peristiwa yang menyebabkan gangguan terhadap proses bisnis diidentifikasi bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensi mereka untuk keamanan informasi?



Page - 41



10.1.3 14.1.3 Pengembangan dan Penerapan rencana Keberlanjutan Termasuk Keamanan Informasi

Apakah rencana dikembangkan untuk mempertahankan dan memulihkan operasi bisnis, menjamin ketersediaan informasi dalam tingkat yang diperlukan dalam kerangka waktu yang diperlukan menyusul gangguan atau kegagalan untuk proses bisnis? Apakah rencana menganggap identifikasi dan kesepakatan tanggung jawab, identifikasi kerugian diterima, pelaksanaan pemulihan dan prosedur restorasi, dokumentasi prosedur dan pengujian berkala?

10.1.4 14.1.4 Kerangka Kerja Perencanaan Keberlanjutan Bisnis

Apakah ada kerangka tunggal rencana kesinambungan bisnis?

Apakah kerangka ini dipertahankan untuk memastikan bahwa semua rencana yang konsisten dan mengidentifikasi prioritas untuk pengujian dan pemeliharaan?

10.1.5 14.1.5 Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan bisnis

Apakah rencana kelanjutan bisnis diuji secara teratur untuk memastikan bahwa mereka yang up to date dan efektif?

Apakah kelangsungan tes rencana bisnis memastikan bahwa semua anggota tim pemulihan dan staf lain yang relevan menyadari rencana dan tanggung jawab mereka untuk kelangsungan bisnis dan keamanan informasi dan mengetahui peran mereka ketika rencana



Page - 42



ditimbulkan?

Kesesuaian 11.1 15.1

Kesesuaian Dengan Persayaratan Hukum Sasaran : untuk mencegah pelanggaran terhadap undang-undang, peraturan perundang-undangan aatau kewajiban kontrak dan setiap persayaratan keamanan.

11.1.1 15.1.1 Identifikasi peraturan hukum yang berlaku

Apakah semua hukum, peraturan, persyaratan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan secara eksplisit didefinisikan dan didokumentasikan untuk setiap sistem informasi dan organisasi?

Apakah kontrol tertentu dan tanggung jawab masing-masing untuk memenuhi persyaratan ini didefinisikan dan didokumentasikan?

11.1.2 15.1.2 Hak Kekayaan Intelektual (HAKI)

Apakah ada prosedur untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan dan kontrak pada penggunaan bahan dalam hal yang mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik?

Apakah prosedur dilaksanakan dengan baik?

11.1.3 15.1.3 Perlindungan

Apakah catatan penting dari organisasi ini dilindungi dari kerugian kerusakan dan pemalsuan, sesuai dengan undang-undang, peraturan, kontrak dan persyaratan



Page - 43



rekaman Organisasi

bisnis?

Apakah pertimbangan diberikan untuk kemungkinan kerusakan media yang digunakan untuk penyimpanan catatan?

Apakah sistem penyimpanan data yang dipilih sehingga data yang diperlukan dapat diambil dalam jangka waktu yang dapat diterima dan formatnya, tergantung pada persyaratan yang harus dipenuhi?

11.1.4 15.1.4 Perlindungan Data dan Rahasia Informasi Pribadi

Apakah perlindungan data dan privasi dijamin sesuai undang-undang, peraturan, dan jika berlaku sesuai klausul kontrak?

11.1.5 15.1.5 Pencegahan penyalahgunaan fasilitas pengolahan informasi

Apakah penggunaan fasilitas pengolahan informasi untuk setiap non-bisnis atau tidak sah tujuan, tanpa persetujuan manajemen diperlakukan sebagai penyalahgunaan fasilitas?

Apakah log-on pesan peringatan disajikan pada layar komputer sebelum log-on. Apakah pengguna harus mengakui peringatan dan bereaksi dengan tepat untuk pesan pada layar untuk melanjutkan dengan proses log-on?

Apakah nasihat hukum diambil sebelum menerapkan



Page - 44



prosedur pemantauan apapun?

11.1.6 15.1.6 Regulasi Pengendalian kriptografi

Apakah kontrol kriptografi yang digunakan sesuai dengan semua perjanjian yang relevan, hukum, dan peraturan?

11.2 15.2 Pemenuhan Terhadap Kebijakan Keamanan dan Standar, dan Pemenuhan Teknis Sasaran : untuk memastikan pemenuhan sistem terhadap kebijakan dan standard keamanan organisasi

11.2.1 15.2.1 Pemenuhan terhadap kebijakan keamanan dan standar

Apakah manajer memastikan bahwa semua prosedur keamanan di dalam wilayah tanggung jawab mereka dilakukan dengan benar untuk mencapai sesuai dengan kebijakan keamanan dan standard?

Apakah manajer secara teratur meninjau kepatuhan fasilitas pengolahan informasi dalam bidang tanggung jawab untuk mematuhi kebijakan keamanan yang sesuai dan prosedur?

11.2.2 15.2.2 Pengecekan pemenuhan teknis

Apakah sistem informasi secara teratur diperiksa untuk memenuhi standar implementasi keamanan?

Apakah pengawasan kelengkapan teknis dilakukan oleh, atau di bawah pengawasan, kompeten, personil yang berwenang?

11.3 15.3 Pertimbangan Audit Sistem Informasi



Page - 45



Sasaran : untuk memaksimalkan keefektifan dari dan untuk meminimalkan interferensi kepada/dari proses audit sistem informasi

11.3.1 15.3.1 Pengendalian audit sistem informasi

Apakah persyaratan audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional telah hati-hati direncanakan dan setuju untuk meminimalkan risiko gangguan proses bisnis?

Apakah persyaratan audit, ruang lingkup yang disepakati dengan manajemen yang tepat?

11.3.2 15.3.2 Perlindungan terhadap alat audit informasi

Apakah akses ke perangkat audit sistem informasi seperti perangkat lunak atau file data yang dilindungi untuk mencegah penyalahgunaan yang mungkin atau kompromi?

Apakah perangkat audit sistem informasi dipisahkan dari pengembangan dan sistem operasional, kecuali diberikan tingkat perlindungan yang sesuai tambahan?

References 1. BS ISO/IEC 17799:2005 (BS 7799-1:2005) Information technology. Security techniques. Code of practice for information

security management 2. Draft BS 7799-2:2005 (ISO/IEC FDIS 27001:2005) Information technology. Security techniques. Information security

management systems. Requirements 3. Information technology – Security techniques – Information security management systems – Requirement. BS ISO/ IEC

27001:2005 BS 7799-2:2005.

information security management · bs iso iec 17799 2005 audit checklist 22/03/2019 magister sistem...

Documents