Audit Checklist - data.bmkg.go.id - /data.bmkg.go.id/share/Dokumen/ISO27001/ISO_17799_2005... · Web viewAudit Check List Author: Astriyer Jadmiko Nahumury, S.Kom Status: Final Thesis

MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023

Information Security Management

BS ISO/ IEC 17799:2005(BS ISO/ IEC 27001:2005)

BS 7799-1:2005, BS 7799-2:2005

Audit Check List

Author: Astriyer Jadmiko Nahumury, S.Kom

Status: Final Thesis

Magister Sistem Informasi – Universitas Kristen Satya Wacana

Page - 1


Table of contenctSecurity Policy............................................................................................................................................................................................5

Information security policy......................................................................................................................................................................5Organization of information security......................................................................................................................................................6

Internal Organization...............................................................................................................................................................................6External Parties........................................................................................................................................................................................8

Asset Management.....................................................................................................................................................................................9Responsibility for assets..........................................................................................................................................................................9Information classification........................................................................................................................................................................9

Human resources security.......................................................................................................................................................................10Prior to employment..............................................................................................................................................................................10During employment...............................................................................................................................................................................11Termination or change of employment..................................................................................................................................................11

Physical and Environmental Security....................................................................................................................................................12Secure Areas..........................................................................................................................................................................................12Equipment Security...............................................................................................................................................................................13

Communications and Operations Management...................................................................................................................................15Operational Procedures and responsibilities..........................................................................................................................................15Third party service delivery management.............................................................................................................................................16System planning and acceptance...........................................................................................................................................................17Protection against malicious and mobile code.......................................................................................................................................18Backup...................................................................................................................................................................................................18Network Security Management.............................................................................................................................................................19Media handling......................................................................................................................................................................................19Exchange of Information.......................................................................................................................................................................20Electronic Commerce Services..............................................................................................................................................................21Monitoring.............................................................................................................................................................................................22

Access Control..........................................................................................................................................................................................24Business Requirement for Access Control............................................................................................................................................24User Access Management......................................................................................................................................................................24User Responsibilities.............................................................................................................................................................................25


Page - 2


Network Access Control........................................................................................................................................................................26Operating system access control............................................................................................................................................................27Application and Information Access Control........................................................................................................................................29Mobile Computing and teleworking......................................................................................................................................................29

Information systems acquisition, development and maintenance.......................................................................................................30Security requirements of information systems......................................................................................................................................30Correct processing in applications.........................................................................................................................................................30Cryptographic controls..........................................................................................................................................................................32Security of system files..........................................................................................................................................................................33Security in development and support processes....................................................................................................................................33Technical Vulnerability Management...................................................................................................................................................35

Information security incident management..........................................................................................................................................35Reporting information security events and weaknesses........................................................................................................................35Management of information security incidents and improvements......................................................................................................36

Business Continuity Management..........................................................................................................................................................37Information security aspects of business continuity management........................................................................................................37

Compliance...............................................................................................................................................................................................39Compliance with legal requirements.....................................................................................................................................................39Compliance with security policies and standards, and technical compliance.......................................................................................41Information Systems audit considerations.............................................................................................................................................41

References.................................................................................................................................................................................................42


Page - 3


Information Security Management BS ISO IEC 17799:2005 SANS Audit Check List

Auditor Name:__________________________ Audit Date:___________________________Korenspondensi Name : ____________________________

Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results

Checklist Standard Section Audit Question Findings Compliance

Security Policy1.1 5.1

Kebijakan Keamanan InformasiSasaran : Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hokum dan regulasi yang relevan.

1.1.1 5.1.1Dokumen Kebijakan Keamanan Informasi

Apakah ada kebijakan keamanan informasi, yang disetujui oleh manajemen pusat, dipublikasikan dan dikomunikasikan dengan tepat kepada semua karyawan?

Apakah kebijakan menekankan komitmen manajemen dan menggunakan pendekatan organisasional untuk pengaturan keamanan informasi?

1.1.2 5.1.2Review (Kajian)

Apakah kebijakan keamanan informasi direview pada interval yang direncanakan, dan apakah perubahan yang signifikan terhadi untuk kepastian


Page - 4




Kebijakan Keamanan Informasi

kelangsungannya, kehandalannya, dan keefektifannya?

Apakah kebijakan keamanan informasi dimiliki oleh instansi? siapa yang menyetujui tanggung jawab manajemen untuk pengembangan review dan evaluasi kebijakan keamanan ?

Apakah terdapat prosedur review kebijakan keamanan dan apakah mereka mencakup persyaratan untuk review manajemen?

Apakah hasil review manajemen digunakan dalam kebijakan ini ?

Apakah persetujuan manajemen diperoleh untuk merevisi kebijakan

Organisasi Keamanan Informasi2.1 6.1

Organisasi InternalSasaran : untuk mengelola keamanan informasi dalam organisasi

2.1.1 6.1.1Komitmen Manajemen Terhadap Keamanan Informasi

Apakah manajemen menunjukkan dukungan yang aktif untuk ukuran keamanan dalam organisasi ? (Hal ini dapat dilakukan melalui arahan yang jelas, ditunjukkan dengan komitmen, penugasan yang eksplisit, dan pengetahuan mengenai tanggung jawab keamanan informasi)


Page - 5




2.1.2 6.1.2Koordinasi Keamanan Informasi

Apakah aktivitas keamanan informasi dikoordinasikan dengan perwakilan dari bagian yang berbeda pada organisasi, dengan tugas dan tanggung jawab masing-masing ?

2.1.3 6.1.3Alokasi Tanggung Jawab Keamanan Informasi

Apakah tanggung Jawab untuk perlindungan aset individu, dan untuk melakukan proses keamanan tertentu, diidentifikasi dan didefinisikan dengan jelas?

2.1.4 6.1.4Proses Otorisasi Untuk Fasilitas Proses Informasi

Apakah proses otorisasi manajemen didefinisikan dan diimplementasikan untuk fasilitas pemrosesan informasi terkini dalam organisasi?

2.1.5 6.1.5Perjanjian

Apakah kebutuhan organsiasi akan Konfidealitas atau Non Disclosure Agreement (NDA) untuk perlindungan informasi ditetapkan dan direview


Page - 6




Kerahasiaan dengan teratur?

Apakah ada pemenuhan persyaratan untuk melindungi informasi konfidensial dengan menggunakan hal-hal yang dapat dipaksanakan secara legal ?

2.1.6 6.1.6Kontak Dengan Otoritas (Pihak Berwenang)

Apakah ada sebuah prosedur yang mendeskripsikan kapan, dan siapa: otoritas yang relevan seperti penegak hukum, departemen pemadam, dll yang harus dihubungi dan bagaimana insiden dapat dilaporkan?

2.1.7 6.1.7Kontak Dengan Kelompok Khusus

Apakah ada dan terjadi pmeliharaan kontak dengan Kelompok Khusus atau forum spesialis keamanan lainnya, dan asosiasi professional?

2.1.8 6.1.8Review (Kajian) Independen Terhadap Keamanan Informasi

Apakah pendekatan organisasi untuk pengaturan keamanan informasi, dan implementasinya, direview secara independen pada interval yang direncanakan, atau kapan perubahan utama pada implementasi keamanan terjadi?

2.2 6.2Pihak Luar (External)


Page - 7




Sasaran : untuk memlihara keamanan informasi organisasi dan fasilitas pengolaan informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal

2.2.1 6.2.1Identifikasi Resiko Terkait Dengan Pihak Eksternal

Apakah resiko pada informasi organsiasi dan fasilitas pemrosesan informasi, dari sebuah proses yang melibatkan akses pihak eksternal, diidentifikasikan dan pengendalian yang sesuai dilaksanakan sebelum adanya pemberian akses?

2.2.2 6.2.2Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan

Apakah semua persyaratan keamanan yang diidentifikasi terpenuhi sebelum memberikan akses pada konsumen mengenai aset atau informasi organisasi?

2.2.3 6.2.3Penekanan Keamanan Perjanjian Dengan Pihak Ketiga

Apakah kesepakatan dengan pihak ketiga, meliputi pengaksesan, pemrosesan, mengkomunikasian atau pengaturan informasi organsiasi atau fasilitas pemrosesan informasi, atau pengenalan produk atau layanan pada fasilitas pemrosesan informasi, mematuhi seluruh persyaratan keamanan tertentu?


Page - 8




Pengelolaan Aset3.1 7.1

Tanggung Jawab Terhadap AsetSasaran : untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi

3.1.1 7.1.1Inventaris Aset

Apakah semua aset diidentifikasikan dan inventori atau register dipelihara dengan semua aset yang penting?

3.1.2 7.1.2Kepemilikan Aset

Apakah semua informasi dan aset yang terkait dengan fasilitas pengolahan informasi dimiliki oleh bagian dari organisasi yang ditunjuk?

3.1.3 7.1.3Penggunaan Aset yang Dapat Diterima

Apakah peraturan untuk penggunaan yang dapat diterima pada informasi dan aset yang diasosiasikan dengan dasilitas pemrosesan informasi diidentifikasi, didokumentasikan dan diimplementasikan?

3.2 7.2Klasifikasi InformasiSasaran : untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat

3.2.1 7.2.1Pedoman Klasifikasi

Apakah informasi diklasifikasikan dalam istilah nilai, persyaratan hukum, sensitivitas dan kritikalitas pada organisasi?


Page - 9




3.2.2 7.2.2Pelabelan dan Penanganan Informasi

Apakah bentuk prosedur tertentu didefinisikan untuk pelabelan dan penanganan informasi, sehubungan dengan skema klasifikasi yangd iadopsi oleh organisasi?

Keamanan Sumberdaya Manusia4.1 8.1

Sebelum diperkerjakanSasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas

4.1.1 8.1.1Peran dan Tanggung Jawab

Apakah peran keamanan karyawan dan tanggung jawab karyawan, kontraktor dan pengguna pihak ketiga didefinisikan dan didokumentasikan sehubungan dengan kebijakan sekuritas informasi organisasi ?

Apakah peran dan tanggung jawab didefinisikan dan dikomunikasikan dengan jelas kepada calon karyawan selama proses pra-kerja ?

4.1.2 8.1.2Penyaringan (Screening)

Apakah pemeriksaan verifikasi latar belakang untuk semua calon pekerja, kontraktor, dan pengguna pihak ketiga dilakukan sesuai dengan peraturan yang relevan?

Apakah pengecekan meliputi referensi karakter, konfirmasi atas kualifikasi akademik dan profesional


Page - 10




yang diklaim dan pemeriksaan identitas independen?

4.1.3 8.1.3Syarat dan Aturan Kepegawaian

Apakah pegawai, kontraktor dan pengguna pihak ketiga diminta untuk menandatangani syarat kerahasiaan atau perjanjian non-disclosure sebagai bagian dari persyaratan awal dan kondisi dari kontrak kerja?

Apakah perjanjian ini mencakup tanggung jawab keamanan informasi dari organisasi dan pegawai, pengguna pihak ketiga dan kontraktor?

4.2 8.2Selama BekerjaSasaran : untuk memasikan bahwa semua pegawai, kontraktor dan pengguna pihak ketiga telah peduli terhadap ancaman dan masalah keamanan informasi, tanggung jawab dan pertanggung-gugatan mereka, dan disediakan perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi selama berkerja dan untuk mengurangi risiko kesalahan manusia

4.2.1 8.2.1Tanggung Jawab Manajemen

Apakah manajemen membutuhkan karyawan, kontraktor dan pengguna pihak ketiga untuk menerapkan keamanan yang sesuai dengan kebijakan yang ditetapkan dan prosedur organisasi?

4.2.2 8.2.2Kepedulian, Pendidikan Dan Pelatihan Keamanan

Apakah semua karyawan dalam organisasi, dan jika relevan, kontraktor dan pengguna pihak ketiga, menerima pelatihan kesadaran keamanan yang tepat dan update reguler dalam kebijakan dan prosedur organisasi yang berkaitan dengan fungsi pekerjaan


Page - 11




Informasimereka ?

4.2.3 8.2.3Proses Pendisiplinan

Apakah ada proses pendisiplinan formal untuk karyawan yang telah melakukan pelanggaran keamanan?

4.3 8.3Pengakhiran atau Perubahan PekerjaanSasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga keluar dari organisasi atau adanya perubahan pekerjaan dengan cara yang sesuai

4.3.1 8.3.1Tanggung Jawab Pengakhiran Pekerjaan

Apakah tanggung jawab untuk melakukan pemutusan hubungan kerja, atau perubahan pekerjaan, didefinisikan dan ditugaskan dengan jelas?

4.3.2 8.3.2Pengembalian Aset

Apakah ada proses yang menjamin semua karyawan, kontraktor dan pengguna pihak ketiga menyerahkan semua aset organisasi dalam kepemilikan mereka atas pemutusan hubungan kerja mereka, kontrak atau perjanjian?

4.3.3 8.3.3Penghapusan Hak Akses

Apakah hak akses dari semua karyawan, kontraktor dan pengguna pihak ketiga, pada fasilitas pengolahan informasi dan informasi akan dihapus setelah pemutusan hubungan kerja mereka, kontrak atau perjanjian, atau akan disesuaikan pada perubahan?


Page - 12




Keamanan Fisik dan Lingkungan5.1 9.1 Keamanan Area

Sasaran : untuk mencegah aksses fisik oleh pihak luar yang tidak berwenang, kerusakan dan interfensi terhadap lokasi dan informasi organisasi.

5.1.1 9.1.1Perimeter Keamanan Fisik

Apakah fasilitas keamanan perbatasan fisik telah dilaksanakan untuk melindungi layanan pemrosesan informasi?

(Beberapa contoh fasilitas keamanan tersebut adalah kartu kendali gerbang masuk, dinding, penerimaan, meja resepsionis yang dijaga, finger print, dll)

5.1.2 9.1.2Pengendalian Entri yang Bersifat Fisik

Apakah kontrol entri yang ada hanya ditujukan/dikhususkan untuk personil yang berwenang dalam berbagai bidang dalam organisasi?

5.1.3 9.1.3Mengamankan Kantor, ruangan dan fasilitas.

Apakah ruangan, yang memiliki layanan pengolahan informasi, terkunci atau memiliki lemari atau brankas yang terkunci?

5.1.4 9.1.4Perlindungan terhadap

Apakah perlindungan fisik terhadap kerusakan misalnya kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil dan bentuk lain dari bencana alam atau


Page - 13




Ancaman Eksternal Dan Lingkungan

buatan manusia dirancang dan diterapkan?

Apakah ada potensi ancaman yang berasal dari tetangga.

5.1.5 9.1.5Bekerja Pada Area Aman

Apakah perlindungan fisik dan pedoman untuk bekerja di daerah aman dirancang dan diimplementasikan ?

5.1.6 9.1.6Pengiriman Akses Publik dan Bongkar Muat

Apakah pengiriman, pemuatan, dan daerah lain di mana orang yang tidak berhak dapat memasuki tempat yang dikendalikan, dan fasilitas pengolahan informasi yang terisolasi, untuk menghindari akses yang tidak sah.

5.2 9.2 Keamanan PeralatanSasaran : untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan interupsi terhadap kegiatan organisasi.

5.2.1 9.2.1Penempatan dan Perlindungan Peralatan

Apakah peralatan dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan, dan peluang untuk akses yang tidak sah?


Page - 14




5.2.2 9.2.2Sarana Pendukung

Apakah peralatan tersebut dilindungi dari gangguan listrik dan gangguan lain yang disebabkan oleh kegagalan dalam utilitas pendukung?

Apakah peralatan pasokan listrik, seperti pakan ganda, Uninterruptible Power Supply (up), generator cadangan, dll digunakan?

5.2.3 9.2.3Keamanan Kabel

Apakah kekuatan dan kabel telekomunikasi, yang membawa data atau mendukung layanan informasi, dilindungi dari intersepsi atau kerusakan?

Apakah ada kontrol keamanan tambahan untuk mendapatkan informasi yang sensitif atau kritis.

5.2.4 9.2.4Pemeliharaan Peralatan

Apakah peralatan tersebut dengan benar dipertahankan untuk menjamin ketersediaan lanjutan dan integritas?

Apakah peralatan tersebut dipertahankan, sesuai dengan interval servis pemasok yang direkomendasikan dan spesifikasinya?

Apakah pemeliharaan dilakukan hanya oleh petugas yang berwenang?

Apakah log dipelihara dari semua hal yang dicurigai atau aktual kesalahan dan semua tindakan pencegahan


Page - 15




dan korektif?

Apakah kontrol yang tepat diimplementasikan saat mengirim peralatan dari lokasi?

Apakah peralatan diasuransikan dan persyaratan asuransi terpenuhi?

5.2.5 9.2.5Keamanan Peralatan di Luar Lokasi

Apakah risiko dinilai berkaitan dengan setiap penggunaan peralatan di luar lokasi organisasi, dan mitigasi kontrol dilaksanakan?

Apakah penggunaan fasilitas pengolahan informasi luar organisasi telah disahkan oleh manajemen?

5.2.6 9.2.6Penggunaan Kembali Peralatan

Apakah semua peralatan, yang berisi media penyimpanan, diperiksa untuk memastikan bahwa informasi sensitif atau perangkat lunak berlisensi secara fisik hancur, atau dijamin rusak, sebelum dibuang atau digunakan kembali?

5.2.7 9.2.7Pemindahan Property

Apakah terdapat kontrol peralatan, informasi atau perangkat lunak tidak boleh dibawa keluar lokasi tanpa ijin yang berwenang?


Page - 16




Manajemen Komunikasi Dan Operasi6.1 10.1

Prosedur Oprasional dan Tanggung JawabSasaran : untuk memastikan pengoperasian fasilitas pengolahan informasi secara benar dan aman

6.1.1 10.1.1Prosedur Operasi yang Terdokumentasi

Apakah prosedur operasi didokumentasikan, dipelihara dan tersedia untuk semua pengguna yang membutuhkannya?

Apakah prosedur tersebut diperlakukan sebagai dokumen resmi, dan karena itu setiap perubahan yang dilakukan harus memiliki otorisasi manajemen?

6.1.2 10.1.2Manajemen Perubahan

Apakah semua perubahan ke fasilitas dan sistem pengolahan informasi dikendalikan?

6.1.3 10.1.3Pemisahan Tugas

Apakah tugas dan lingkup tanggung jawab dipisahkan, untuk mengurangi peluang untuk modifikasi yang tidak tidak sah atau penyalahgunaan informasi, atau layanan?

6.1.4 10.1.4Pemisahan Fasilitas Pengembangan, Pengujian

Apakah fasilitas pengembangan dan pengujian terisolasi dari fasilitas operasional? Sebagai contoh, pengembangan dan produksi software harus dijalankan pada komputer yang berbeda. Jika diperlukan, jaringan pengembangan dan produksi harus disimpan terpisah


Page - 17




dan Operasional

dari satu sama lain.

6.2 10.2Manajemen Pelayanan Jasa Pihak KetigaSasaran : untuk menerapkan dan memelihara tingkat keamanan informasi dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga.

6.2.1 10.2.1Pelayanan Jasa

Apakah langkah-langkah yang diambil untuk memastikan bahwa kontrol keamanan, definisi jasa dan tingkat pengiriman, termasuk dalam perjanjian penyediaan layanan pihak ketiga, diterapkan, dioperasikan dan dipelihara oleh pihak ketiga?

6.2.2 10.2.2Monitoring Dan Review Pada Layanan Pihak Ketiga

Apakah layanan, laporan dan catatan yang diberikan oleh pihak ketiga secara teratur dipantau dan dikaji?

Apakah Audita dilakukan pada pihak ketiga atas jasa, laporan dan catatan, dengan interval reguler?

6.2.3 10.2.3Pengelolaan Perubahan Terhadap Jasa Pihak Ketiga

Apakah perubahan pada penyediaan layanan, yang meliputi menjaga dan memperbaiki kebijakan keamanan informasi yang ada, prosedur dan pengendalian, dikelola?

Apakah mempertimbangkan kritikal sistem dan proses bisnis terkait dan asesmen ulang dari resiko?


Page - 18




6.3 10.3Perencanaan Dan Penerimaan SistemSasaran : untuk mengurangi resiko kegagalan sistem

6.3.1 10.3.1Manajemen Kapasitas

Apakah penggunaan sumber daya dipantau, disesuaikan dan dirpoyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja system yang dipersyaratkan?

Contoh: Pemantauan ruang hard disk, RAM dan CPU pada server kritis..

6.3.2 10.3.2Penerimaan Sistem

Apakah kriteria penerimaan sistem ditetapkan untuk sistem informasi baru, upgrade dan versi baru?

Apakah dilakukan pengujian sistem yang sesuai selama pengembangan dan sebelum penerimaan?

6.4 10.4Perlindungan Terhadap Malicious Dan Mobile Code

Sasaran : untuk melindungi integritas perangkat lunak (software) dan informasi6.4.1 10.4.1

Pengendalian Terhadap Malicious Code

Apakah pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan untuk melindungi dari malicious code dan prosedur kepedulian pengguna yang memadai telah diterapkan?


Page - 19




6.4.2 10.4.2Pengendalian Terhadap Mobile Code

Apakah kode mobile hanya diotorisasi kepada pengguna internal?

Apakah konfigurasi memastikan bahwa kode mobile resmi beroperasi sesuai dengan kebijakan keamanan?

Apakah pelaksanaan kode mobile yang tidak sah dicegah?(Kode Mobile adalah kode software yang transfer dari satu komputer ke komputer lain dan kemudian dieksekusi secara otomatis. Code ini melakukan fungsi tertentu dengan sedikit atau tanpa campur tangan pengguna. Mobile code dikaitkan dengan sejumlah layanan middleware.)

6.5 10.5Back-upSasaran : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolaan informasi

6.5.1 10.5.1Back-up Informasi

Apakah back-up informasi dan perangkat lunak yang diambil dan diuji secara teratur sesuai dengan kebijakan back-up yang disetujui?

Apakah semua informasi penting dan perangkat lunak dapat pulih setelah bencana atau kegagalan media?


Page - 20




6.6 10.6Manajemen Keamanan Jaringan Sasaran : untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.

6.6.1 10.6.1Kontrol Jaringan

Apakah jaringan telah dikelola dan dikendalikan secara memadai, agar terlindungi dari ancaman, dan untuk memlihara keamanan dari system dan aplikasi yang menggunakan jaringan, termasuk informasi dalam transit?

6.6.2 10.6.2Keamanan Layanan Jaringan

Apakah fitur keamanan, tingkat layanan dan persyaratan manajemen, dari semua layanan jaringan, diidentifikasi dan termasuk dalam jaringan perjanjian layanan?

Apakah kemampuan penyedia layanan jaringan, untuk mengelola layanan disepakati dalam cara yang aman, ditentukan dan dipantau secara teratur, dan hak untuk audit disepakati?

6.7 10.7Penanganan MediaSasaran : untuk mencegah pengunkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah, dan gangguan kegiatan bisnis.

6.7.1 10.7.1Manajemen Media Yang

Apakah terdapat prosedur untuk pengelolaan removable media, seperti kaset, disk, kaset, kartu memori, dan laporan?


Page - 21




Removable (dapat dipindahkan)

Apakah semua prosedur dan tingkat otorisasi secara jelas deidefinisikan dan didokumentasikan ?

6.7.2 10.7.2Pemusnahan Media

Apakah media yang tidak diperlukan lagi dimusnahkan dengan aman, sesuai prosedur resmi atau formal?

6.7.3 10.7.3Prosedur Penanganan Informasi

Apakah terdapat prosedur untuk menangani penyimpanan informasi?

Apakah prosedur ini mengatasi isu-isu, seperti perlindungan informasi, dari pengungkapan yang tidak sah atau penyalahgunaan informasi?

6.7.4 10.7.4Keamanan Dokumentasi Sistem

Apakah dokumentasi sistem dilindungi terhadap akses yang tidak sah?

6.8 10.8 Pertukaran InformasiSasaran : untuk memelihara keamanan informasi dan software yang diperlukan dalam suatu organisasi dan dengan setiap entitas eksternal

6.8.1 10.8.1Kebijakan Dan Prosedur

Apakah terdapat kebijakan prosedu dan pengendalian secara formal telah tersedia untuk melindungi pertukaran informasi dengan menggunakan semua


Page - 22




Pertukaran Informasi

jenis fasilitas komunikasi?

6.8.2 10.8.2Perjanjian Pertukaran

Apakah perjanjian ditetapkan mengenai pertukaran informasi dan perangkat lunak antara organisasi dan pihak luar?

Apakah isi keamanan perjanjian ini mencerminkan sensitivitas informasi bisnis yang terlibat?

6.8.3 10.8.3Media Fisik Dalam Transit

Apakah media yang mengandung informasi dilindungi terhadap akses yang tidak sah, penyalahgunaan atau korupsi selama transportasi yang melampaui batas fisik organisasi?

6.8.4 10.8.4Pesan Elektronik

Apakah informasi dalam bentuk pesan elektronik terlindungi dengan baik?(Pesan elektronik termasuk email, Elektronik Data Interchange, Instant Messaging)

6.8.5 10.8.5Sistem Informasi Bisnis

Apakah kebijakan serta prosedur yang dikembangkan dan ditegakkan untuk melindungi informasi terkait dengan interkoneksi sistem informasi bisnis?

6.9 10.9Layanan Commerce ElectronikSasaran : untuk memastikan keamanan layanan electronic commenrce dan keamanan penggunaannya.


Page - 23




6.9.1 10.9.1E-Commerce

Apakah informasi yang terlibat dalam perdagangan lewat elektronik melalui jaringan publik dilindungi dari aktivitas penipuan, perselisihan kontrak, dan akses yang tidak sah atau modifikasi?

Apakah Keamanan kontrol seperti penerapan pengendalian kriptografi dipertimbangkan?

6.9.2 10.9.2Transaksi Online

Apakah informasi yang terlibat dalam transaksi online dilindungi untuk mencegah transmisi yang tidak lengkap, mis-routing, perubahan pesan yang tidak sah, pengungkapan yang tidak sah, duplikasi pesan yang tidak sah atau replay?

6.9.3 10.9.3Informasi Yang Tersedia Secara Umum

Apakah integritas dari informasi publik dilindungi terhadap modifikasi yang tidak sah?

6.10 10.10Monitoring (Pemantauan)Sasaran : untuk mendeteksi kegiatan pengolahan informasi yang tidak sah

6.10.1 10.10.1Log Audit

Apakah log audit merekam kegiatan pengguna, pengecualian, dan kejadian keamanan informasi dihasilakn dan disimpan selama periode yang disetujui untuk membantu dalam penyelidikan masa depan dan pemantauan kontrol akses?


Page - 24




Apakah Langkah perlindungan privasi yang tepat dipertimbangkan dalam Audit log pemeliharaan.

6.10.2 10.10.2Pemantauan Penggunaan Sistem

Apakah prosedur dikembangkan dan ditetapkan untuk memantau penggunaan sistem untuk fasilitas pengolahan informasi?

Apakah hasil kegiatan pemantauan ditinjau secara berkala?

Apakah tingkat pengawasan diperlukan untuk fasilitas pengolahan informasi individu ditentukan oleh penilaian risiko?

6.10.3 10.10.3Perlindungan Pada Informasi Log

Apakah fasilitas logging dan informasi log dilindungi terhadap gangguan dan akses yang tidak sah?

6.10.4 10.10.4Log Administrator Dan Operator

Apakah ada administrator sistem dan kegiatan sistem operator login?

Apakah kegiatan login ditinjau secara teratur?

6.10.5 10.10.5Log atas kesalahan yang terjadi (fault

Apakah kesalahan login dicatat dalam log, dianalisis dan diambil tindakan yang sesuai?


Page - 25




Logging)6.10.6 10.10.6

Sinkronisasi Penunjuk Waktu

Apakah penunjuk waktu dari seluruh sistem pengolahan informasi relevan dalam organisai atau domain keamanan telah disinkronisasikan dengan sumber penunjuk waktu akurat yang disepakati?

(Pengaturan benar jam komputer penting untuk memastikan keakuratan audit log)

Pengendalian Akses7.1 11.1

Persyaratan Bisnis Untuk Pengendalian Akses Sasaran : untuk mengendalikan akses keoada informasi

7.1.1 11.1.1Kebijakan Kontrol Akses

Apakah kebijakan kontrol akses dikembangkan dan ditinjau didasarkan pada bisnis dan persyaratan keamanan?

Apakah logis dan kontrol akses fisik dipertimbangkan dalam kebijakan?

7.2 11.2Manajemen Akses UserSasaran : untuk memastikan akses oleh pengguna yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi

7.2.1 11.2.1Registrasi User

Apakah ada prosedur pendaftaran dan pembatalan pendaftaran pengguna secara formal untuk pemberian


Page - 26




dan pencabutanakses terhadap seluruh layanan dan sistem informasi.

7.2.2 11.2.2Manajemen Hak Khusus

Apakah alokasi dan penggunaan dari setiap hak istimewa dalam perangkat sistem informasi dibatasi dan dikendalikan ? (Keistimewaan dialokasikan pada kebutuhan untuk menggunakan dasar, hak dialokasikan hanya setelah proses otorisasi formal)

7.2.3 11.2.3 Manajemen Password Pengguna

Apakah alokasi dan realokasi password telah dikendalikan dengan proses manajemen formal?

Apakah pengguna diminta untuk menandatangani pernyataan untuk menjaga password rahasia?

7.2.4 11.2.4Review Terhadap Hak Akses User

Apakah terdapat proses untuk meninjau hak akses pengguna secara berkala? Contoh: hak istimewa khusus ditinjau setiap 3 bulan, hak istimewa yang normal setiap 6 bulan

7.3 11.3Tanggung Jawab PenggunaSasaran : untuk mencegah akses pengguna yang tidak sah dan gangguan atau pencurian atas informasi dan fasilitas pengolahan informasi.

7.3.1 11.3.1Penggunaan Password

Apakah terdapat praktik keamanan untuk memandu pengguna dalam memilih dan memelihara password yang aman?

7.3.2 11.3.2Peralatan yang

Apakah peralatan yang ditinggalkan oleh penggunanya


Page - 27




ditinggalkan oleh penggunanya (unattended)

telah dipastikan terlindungi dengan tepat?

Contoh: Logoff saat sesi selesai atau mengatur auto log off, mengakhiri sesi ketika selesai dll,

7.3.3 11.3.3Kebijakan Clear Desk dan Clear Screen

Apakah organisasi telah mengadopsi kebijakan clear desk berkaitan dengan kertas dan media penyimpanan removable?

Apakah organisasi telah mengadopsi kebijakan clear screen berkaitan dengan fasilitas pengolahan informasi?

7.4 11.4Kontrol Akses JaringanSasaran : untuk mencegah akses yang tidak sah ke dalam jaringan

7.4.1 11.4.1Kebijakan Penggunaan Layanan Jaringan

Apakah pengguna telah diberikan akses terhadap layanan yang telah diberikan kewenangan penggunaanya secara spesifik?

7.4.2 11.4.2Otentikasi User Untuk Koneksi

Apakah telah digunakan metode otentikasi yang tepat untuk mengendalikan akses oleh pengguna remote?


Page - 28




Eksternal 7.4.3 11.4.3

Identifikasi Peralatan Dalam Jaringan

Apakah identifikasi peralatan otomatis dipertimbagkan sebagai cara untuk mengotentikasi koneksi dari lokasi dan peralatan khusus?

7.4.4 11.4.4Perlindungan terhadap Remote diagnostic dan configuration port

Apakah akses fisik dan logical untuk port diagnostik dikendalikan dengan aman yaitu, dilindungi oleh mekanisme keamanan?

7.4.5 11.4.5Segrasi Dalam Jaringan

Apakah kelompok layanan informasi, pengguna dan sistem informasi dipisahkan pada jaringan?

Apakah jaringan (di mana mitra bisnis harus dan / atau pihak ketiga membutuhkan akses ke sistem informasi) dipisahkan menggunakan mekanisme keamanan perimeter seperti firewall?

Apakah pertimbangan dibuat untuk pemisahan jaringan nirkabel dari jaringan internal dan swasta?

7.4.6 11.4.6Kontrol

Apakah untuk jaringan yang digunakan bersama, khususnya perluasan jaringan yang melewati batas


Page - 29




Koneksi Jaringan

perusahaan, kapabilitas pengguna untuk terhubung dengan jaringan telah dibatasi, sejalan dengan kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis?

7.4.7 11.4.7Pengendalian Routing Jaringan

Apakah pengendalian routing telah diterapkan ke dalam jaringan untuk memastikan bahwa koneksi computer dan aliran informasi tidak melanggar kebijakan pengendalian akases dari aplikasi bisnis?

7.5 11.5Pengoperasian Control Akses SistemSasaran : untuk mencegah akses tidak sah ke dalam sistem operasi

7.5.1 11.5.1Keamanan Prosedur Log On yang aman

Apakah akses ke sistem operasi dikendalikan oleh prosedur log-on yang aman?

7.5.2 11.5.2Identifikasi Dan Otentikasi User

Apakah identifikasi unik (user ID) disediakan untuk setiap pengguna seperti operator, administrator sistem dan semua staf lainnya termasuk teknisi?

Apakah teknik otentikasi yang sesuai dipilih untuk memperkuat identitas yang diklaim pengguna?

Apakah account pengguna generik disediakan hanya dalam keadaan luar biasa di mana ada manfaat bisnis yang jelas. Kontrol tambahan mungkin diperlukan untuk menjaga akuntabilitas?


Page - 30




7.5.3 11.5.3Sistem Manajemen Password

Apakah terdapat sistem manajemen password yang memaksa berbagai kontrol sandi seperti: sandi individual untuk akuntabilitas, menegakkan perubahan password, menyimpan password dalam bentuk terenkripsi, tidak menampilkan password di layar dll?

7.5.4 11.5.4Penggunaan Utilitas Sistem

Apakahterdapat program utilitas yang mungkin mampu mengesampingkan sistem dan aplikasi kontrol yang dibatasi dan dikontrol dengan ketat?

7.5.5 11.5.5Session Time-Out

Apakah sesi yang tidak aktif dalam jangka waktu tertentu telah mati?

(Sebuah bentuk terbatas timeout dapat disediakan untuk beberapa sistem, yang membersihkan layar dan mencegah akses yang tidak sah tetapi tidak menutup sesi aplikasi atau jaringan.

7.5.6 11.5.6Pembatasan Waktu Koneksi

Apakah terdapat pembatasan waktu koneksi untuk aplikasi yang berisiko tinggi?

7.6 11.6Aplikasi Dan Kontrol Akses Informasi Sasaran : untuk mencegah akses yang tidak sah terhadap informasi pada sistem aplikasi

7.6.1 11.6.1Pembatasan Akses

Apakah akses ke informasi dan fungsi sistem aplikasi oleh pengguna dan personel pendukung dibatasi sesuai dengan kebijakan yang ditetapkan kontrol akses?


Page - 31




Informasi7.6.2 11.6.2

Isolasi Sistem yang Sensitif

Apakah sistem yang sensitif disediakan dengan dedicated (terisolasi) lingkungan komputasi seperti berjalan pada komputer, sumber daya yang berdedikasi hanya berbagi dengan sistem aplikasi terpercaya, dll?

7.7 11.7Mobile Computing And Teleworking(Kerja Jarak Jauh)Sasaran : untuk memastikan keamanan informasi ketika menggunakan fasilitas mobile computing dan kerja jarak jauh

7.7.1 11.7.1Mobile Computing dan Komunikasi

Apakah kebijakan formal di tempat, dan langkah-langkah keamanan yang sesuai diadopsi untuk melindungi terhadap risiko menggunakan komputasi mobile dan fasilitas komunikasi?

Beberapa contoh komputasi Mobile dan fasilitas komunikasi meliputi: notebook, palmtop, laptop, smartCard, ponsel.

Apakah risiko seperti bekerja di lingkungan yang tidak dilindungi diperhitungkan oleh kebijakan komputasi Mobile?

7.7.2 11.7.2Teleworking

Apakah kebijakan, rencana dan prosedur operasional dikembangkan dan diimplementasikan untuk kegiatan teleworking?

Apakah kegiatan teleworking diotorisasi dan


Page - 32




dikendalikan oleh manajemen dan apakah hal itu menjamin bahwa pengaturan yang sesuai di tempat untuk cara kerja?

Akusisi, Pengembangan dan Pemeliharaan Sistem Informasi8.1 12.1

Persyratan Keamanan System Informasi Sasaran : untuk memastikan bahwa keamanan merupakan bagian yang utuh dari sistem informasi

8.1.1 12.1.1Analisis Dan Spesifikasi Persyaratan Keamanan

Apakah persyaratan keamanan untuk sistem informasi baru dan peningkatan sistem informasi yang ada menentukan persyaratan untuk kontrol keamanan?

Apakah persyaratan keamanan dan kontrol diidentifikasi mencerminkan nilai bisnis dari aset informasi yang terlibat dan konsekuensi dari kegagalan Keamanan?

Apakah persyaratan sistem untuk keamanan informasi dan proses untuk implementasi keamanan terintegrasi dalam tahap awal proyek sistem informasi.

8.2 12.2Pengolahan yang Benar Dalam PalikasiSasaran : untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi

8.2.1 12.2.1Validasi Data

Apakah input data ke sistem aplikasi divalidasi untuk


Page - 33




Inputmemastikan bahwa itu adalah benar dan tepat.

Apakah kontrol seperti: Berbagai jenis inputan untuk memeriksa pesan kesalahan, Prosedur untuk merespons kesalahan validasi, mendefinisikan tanggung jawab semua personel yang terlibat dalam proses masukan data dll, dipertimbangkan?

8.2.2 12.2.2Pengendalian pengolahan Internal

Apakah pengecekan validasi dimasukkan ke dalam aplikasi untuk mendeteksi kerusakan informasi melalui kesalahan pengolahan atau tindakan yang disengaja?

Apakah desain dan implementasi aplikasi memastikan bahwa risiko dari kegagalan pengolahan menyebabkan hilangnya integritas dapat diminimalkan?

8.2.3 12.2.3Integritas Pesan

Apakah persyaratan untuk menjamin dan melindungi integritas pesan dalam aplikasi diidentifikasi, dan kontrol yang tepat diidentifikasi dan diterapkan?

Apakah penilaian resiko keamanan dilakukan untuk menentukan apakah integritas pesan diperlukan, dan untuk mengidentifikasi metode yang paling tepat pelaksanaan?

8.2.4 12.2.4Validasi Output Data

Apakah output data sistem aplikasi divalidasi untuk memastikan bahwa pengolahan informasi yang disimpan adalah benar dan sesuai dengan keadaan?


Page - 34




8.3 12.3Control Cryptographic Sasaran : untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi

8.3.1 12.3.1Kebijakan tentang penggunaan pengendalian kriptografi

Apakah organisasi memiliki kebijakan tentang penggunaan kontrol kriptografi untuk perlindungan informasi?

Apakah kebijakan tersebut berhasil diterapkan?

Apakah kebijakan kriptografi mempertimbangkan pendekatan manajemen terhadap penggunaan kontrol kriptografi, hasil penilaian risiko untuk mengidentifikasi tingkat yang diperlukan perlindungan, metode manajemen kunci dan berbagai standar untuk implementasi yang efektif?

8.3.2 12.3.2Manajemen Kunci

Apakah manajemen kunci ada untuk mendukung penggunaan organisasi teknik kriptografi?

Apakah kunci kriptografi dilindungi terhadap modifikasi, kehilangan, dan kerusakan?

Apakah kunci rahasia dan kunci privat dilindungi terhadap pengungkapan yang tidak sah?

Apakah sistem manajemen kunci didasarkan pada kesepakatan mengenai standar, prosedur dan metode yang aman?

8.4 12.4Keamanan File Sistem


Page - 35




Sasaran : untuk memastikan keamanan sistem file8.4.1 12.4.1

Pengendalian perangkat lunak yang operasional

Apakah ada prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional? (Hal ini untuk meminimalkan risiko korupsi sistem operasional.)

8.4.2 12.4.2Perlindungan Data Uji Sistem

Apakah data pengujian sistem dilindungi dan dikendalikan?

Apakah penggunaan informasi pribadi atau informasi sensitif untuk pengujian basis data operasional dihindari?

8.4.3 12.4.3Pengendalian akses terhadap kode sumber program

Apakah kontrol ketat ada untuk membatasi akses ke perpustakaan sumber program?

(Hal ini untuk menghindari potensi yang tidak sah, perubahan yang tidak disengaja.)

8.5 12.5Keamanan Dalam Proses Pengembangan dan PendukungSasaran : untuk memelihara keamanan software sistem aplikasi dan informasi

8.5.1 12.5.1Prosedur

Apakah ada prosedur kontrol yang ketat di tempat selama pelaksanaan perubahan pada sistem informasi? (Hal ini untuk meminimalkan kerusakan sistem


Page - 36




pengendalian perubahan

informasi.)

8.5.2 12.5.2Review Teknis Pada Aplikasi Setelah Perubahan Sistem Operasi

Apakah ada tinjauan dan pengujian apabila sistem diubah untuk memastikan tidak ada dampak yang merugikan terhadap organisasi atau keamanan?

8.5.3 12.5.3Pembatasan Atas Perubahan Terhadap Paket Software

Apakah modifikasi paket perangkat lunak tidak disarankan dan / atau terbatas pada perubahan yang diperlukan?

Apakah semua perubahan dikontrol secara ketat?

8.5.4 12.5.4Kebocoran Informasi

Apakah ada pencegahan terhadap peluang kebocoran informasi?

8.5.5 12.5.5Pengembangan Software Yang Outsource

Apakah pengembangan perangkat lunak outsourcing diawasi dan dipantau oleh organisasi?Apakah poin seperti: pengaturan Perizinan, pengaturan escrow, persyaratan kontrak untuk jaminan kualitas,


Page - 37




pengujian sebelum instalasi untuk mendeteksi kode Trojan dll, diterapkan?

8.6 12.6Manajemen Kerawanan Teknis

8.6.1 12.6.1Kontrol Kerawanan Teknis

Apakah informasi tepat waktu mengenai kerentanan teknis dari sistem informasi yang digunakan diperoleh?

Apakah paparan organisasi untuk kerentanan tersebut dievaluasi dan langkah yang tepat diambil untuk mengurangi risiko yang terkait?

Manajemen Insiden Keamanan Informasi9.1 13.1

Pelaporan Kejadian Dam Kelemahan Keamanan Informasi Sasaran : untuk memastikan kejadian dan kelemahan informasi terkait dengan sistem informasi dikumunikasikan sedemikan rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu

9.1.1 13.1.1Pelaporan Kejadian Keamanan Informasi

Apakah kejadian keamanan informasi dilaporkan melalui saluran manajemen yang tepat secepat mungkin?Apakah keamanan acara pelaporan prosedur, respon Insiden informasi formal dan prosedur eskalasi dikembangkan dan diimplementasikan?

9.1.2 13.1.2Pelaporan

Apakah terdapat prosedur yang menjamin semua sistem informasi karyawan dan layanan yang


Page - 38




Kelemahan Keamanan

diperlukan untuk mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau dicurigai dalam sistem atau layanan?

9.2 13.2 Manajemen Insiden Keamanan Informasi dan Perbaikan

sasaran : untuk memastikan pendekatan yang konsisten dan efektif diterapkan untuk manajemen insiden keamanan informasi

9.2.1 13.2.1Tanggung Jawab Dan Prosedur

Apakah tanggung jawab manajemen dan prosedur telah dibentuk untuk memastikan respon cepat, efektif dan teratur terhadap insiden keamanan informasi?Apakah terdapat pemantauan sistem, peringatan, dan kerentanan yang digunakan untuk mendeteksi insiden keamanan informasi?

9.2.2 13.2.2Pemberlajaran Dari Insiden Keamanan Informasi

Apakah ada mekanisme untuk mengidentifikasi dan menghitung jenis, volume dan biaya insiden keamanan informasi?

Apakah informasi yang diperoleh dari evaluasi insiden keamanan informasi masa lalu digunakan untuk mengidentifikasi insiden dampak berulang atau tinggi?

9.2.3 13.2.3Pengumpulan Bukti

Apakah tindak lanjut terhadap orang atau organisasi setelah insiden keamanan informasi melibatkan tindakan hukum (baik perdata atau pidana)?


Page - 39




Apakah bukti yang berkaitan dengan insiden itu dikumpulkan, disimpan dan disajikan agar sesuai dengan aturan untuk bukti yang ditetapkan dalam yurisdiksi yang relevan ?

Manajemen Keberlanjutan Bisnis10.1 14.1

Aspek Keamanan Informasi Pada Manajemen Keberlanjutan BisnisSasaran : untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dan efek kegagalan utama sistem innformasi atau bencana dan untuk memastikan keberlanjutan secara tepat waktu.

10.1.1 14.1.1Memasukan keamanan informasi dalam proses manajemen keberlanjutan bisnis

Apakah ada proses yang dikelola yang membahas persyaratan keamanan informasi untuk mengembangkan dan mempertahankan kelangsungan bisnis di seluruh organisasi?

Apakah proses ini memahami risiko organisasi menghadapi, mengidentifikasi aset bisnis penting, mengidentifikasi dampak insiden, mempertimbangkan pelaksanaan kontrol pencegahan tambahan dan mendokumentasikan kelangsungan rencana bisnis menangani persyaratan keamanan?

10.1.2 14.1.2Keberlanjutan bisnis dan

Apakah peristiwa yang menyebabkan gangguan terhadap proses bisnis diidentifikasi bersama dengan probabilitas dan dampak dari gangguan tersebut dan


Page - 40




asesmen resikokonsekuensi mereka untuk keamanan informasi?

10.1.3 14.1.3Pengembangan dan Penerapan rencana Keberlanjutan Termasuk Keamanan Informasi

Apakah rencana dikembangkan untuk mempertahankan dan memulihkan operasi bisnis, menjamin ketersediaan informasi dalam tingkat yang diperlukan dalam kerangka waktu yang diperlukan menyusul gangguan atau kegagalan untuk proses bisnis?Apakah rencana menganggap identifikasi dan kesepakatan tanggung jawab, identifikasi kerugian diterima, pelaksanaan pemulihan dan prosedur restorasi, dokumentasi prosedur dan pengujian berkala?

10.1.4 14.1.4Kerangka Kerja Perencanaan Keberlanjutan Bisnis

Apakah ada kerangka tunggal rencana kesinambungan bisnis?

Apakah kerangka ini dipertahankan untuk memastikan bahwa semua rencana yang konsisten dan mengidentifikasi prioritas untuk pengujian dan pemeliharaan?

10.1.5 14.1.5Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan

Apakah rencana kelanjutan bisnis diuji secara teratur untuk memastikan bahwa mereka yang up to date dan efektif?

Apakah kelangsungan tes rencana bisnis memastikan bahwa semua anggota tim pemulihan dan staf lain yang relevan menyadari rencana dan tanggung jawab


Page - 41




bisnis mereka untuk kelangsungan bisnis dan keamanan informasi dan mengetahui peran mereka ketika rencana ditimbulkan?

Kesesuaian11.1 15.1

Kesesuaian Dengan Persayaratan HukumSasaran : untuk mencegah pelanggaran terhadap undang-undang, peraturan perundang-undangan aatau kewajiban kontrak dan setiap persayaratan keamanan.

11.1.1 15.1.1Identifikasi peraturan hokum yang berlaku

Apakah semua hukum, peraturan, persyaratan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan secara eksplisit didefinisikan dan didokumentasikan untuk setiap sistem informasi dan organisasi?

Apakah kontrol tertentu dan tanggung jawab masing-masing untuk memenuhi persyaratan ini didefinisikan dan didokumentasikan?

11.1.2 15.1.2Hak Kekayaan Intelektual (HAKI)

Apakah ada prosedur untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan dan kontrak pada penggunaan bahan dalam hal yang mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik?

Apakah prosedur dilaksanakan dengan baik?


Page - 42




11.1.3 15.1.3Perlindungan rekaman Organisasi

Apakah catatan penting dari organisasi ini dilindungi dari kerugian kerusakan dan pemalsuan, sesuai dengan undang-undang, peraturan, kontrak dan persyaratan bisnis?

Apakah pertimbangan diberikan untuk kemungkinan kerusakan media yang digunakan untuk penyimpanan catatan?

Apakah sistem penyimpanan data yang dipilih sehingga data yang diperlukan dapat diambil dalam jangka waktu yang dapat diterima dan formatnya, tergantung pada persyaratan yang harus dipenuhi?

11.1.4 15.1.4Perlindungan Data dan Rahasia Informasi Pribadi

Apakah perlindungan data dan privasi dijamin sesuai undang-undang, peraturan, dan jika berlaku sesuai klausul kontrak?

11.1.5 15.1.5Pencegahan penyalahgunaan fasilitas pengolahan informasi

Apakah penggunaan fasilitas pengolahan informasi untuk setiap non-bisnis atau tidak sah tujuan, tanpa persetujuan manajemen diperlakukan sebagai penyalahgunaan fasilitas?

Apakah log-on pesan peringatan disajikan pada layar komputer sebelum log-on. Apakah pengguna harus mengakui peringatan dan bereaksi dengan tepat untuk pesan pada layar untuk melanjutkan dengan proses log-


Page - 43




on?

Apakah nasihat hukum diambil sebelum menerapkan prosedur pemantauan apapun?

11.1.6 15.1.6Regulasi Pengendalian kriptografi

Apakah kontrol kriptografi yang digunakan sesuai dengan semua perjanjian yang relevan, hukum, dan peraturan?

11.2 15.2Pemenuhan Terhadap Kebijakan Keamanan dan Standar, dan Pemenuhan TeknisSasaran : untuk memastikan pemenuhan sistem terhadap kebijakan dan standard keamanan organisasi

11.2.1 15.2.1Pemenuhan terhadap kebijakan keamanan dan standar

Apakah manajer memastikan bahwa semua prosedur keamanan di dalam wilayah tanggung jawab mereka dilakukan dengan benar untuk mencapai sesuai dengan kebijakan keamanan dan standard?

Apakah manajer secara teratur meninjau kepatuhan fasilitas pengolahan informasi dalam bidang tanggung jawab untuk mematuhi kebijakan keamanan yang sesuai dan prosedur?

11.2.2 15.2.2Pengecekan pemenuhan teknis

Apakah sistem informasi secara teratur diperiksa untuk memenuhi standar implementasi keamanan?

Apakah pengawasan kelengkapan teknis dilakukan oleh, atau di bawah pengawasan, kompeten, personil yang berwenang?


Page - 44




11.3 15.3Pertimbangan Audit Sistem InformasiSasaran : untuk memaksimalkan keefektifan dari dan untuk meminimalkan interferensi kepada/dari proses audit sistem informasi

11.3.1 15.3.1Pengendalian audit sistem informasi

Apakah persyaratan audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional telah hati-hati direncanakan dan setuju untuk meminimalkan risiko gangguan proses bisnis?

Apakah persyaratan audit, ruang lingkup yang disepakati dengan manajemen yang tepat?

11.3.2 15.3.2Perlindungan terhadap alat audit informasi

Apakah akses ke perangkat audit sistem informasi seperti perangkat lunak atau file data yang dilindungi untuk mencegah penyalahgunaan yang mungkin atau kompromi?

Apakah perangkat audit sistem informasi dipisahkan dari pengembangan dan sistem operasional, kecuali diberikan tingkat perlindungan yang sesuai tambahan?

References 1. BS ISO/IEC 17799:2005 (BS 7799-1:2005) Information technology. Security techniques. Code of practice for information

security management2. Draft BS 7799-2:2005 (ISO/IEC FDIS 27001:2005) Information technology. Security techniques. Information security

management systems. Requirements


Page - 45


3. Information technology – Security techniques – Information security management systems – Requirement. BS ISO/ IEC 27001:2005 BS 7799-2:2005.


Page - 46

Documents

Audit Checklist - data.bmkg.go.id - /data.bmkg.go.id/share/Dokumen/ISO27001/ISO_17799_2005... · Web viewAudit Check List Author: Astriyer Jadmiko Nahumury, S.Kom Status: Final Thesis