Audit Checklist - data.bmkg.go.id - /data.bmkg.go.id/share/Dokumen/ISO27001/ISO_17799_2005... · Web

  • View
    213

  • Download
    1

Embed Size (px)

Text of Audit Checklist - data.bmkg.go.id - /data.bmkg.go.id/share/Dokumen/ISO27001/ISO_17799_2005... ·...

Audit Checklist

MSI-UKSW

BS ISO IEC 17799 2005 Audit Checklist

5/06/2013

Information Security Management

BS ISO/ IEC 17799:2005

(BS ISO/ IEC 27001:2005)

BS 7799-1:2005, BS 7799-2:2005

Audit Check List

Author: Astriyer Jadmiko Nahumury, S.Kom

Status: Final Thesis

Table of contenct

5Security Policy

5Information security policy

6Organization of information security

6Internal Organization

8External Parties

9Asset Management

9Responsibility for assets

9Information classification

10Human resources security

10Prior to employment

11During employment

11Termination or change of employment

12Physical and Environmental Security

12Secure Areas

13Equipment Security

15Communications and Operations Management

15Operational Procedures and responsibilities

16Third party service delivery management

17System planning and acceptance

18Protection against malicious and mobile code

18Backup

19Network Security Management

19Media handling

20Exchange of Information

21Electronic Commerce Services

22Monitoring

24Access Control

24Business Requirement for Access Control

24User Access Management

25User Responsibilities

26Network Access Control

27Operating system access control

29Application and Information Access Control

29Mobile Computing and teleworking

30Information systems acquisition, development and maintenance

30Security requirements of information systems

30Correct processing in applications

32Cryptographic controls

33Security of system files

33Security in development and support processes

35Technical Vulnerability Management

35Information security incident management

35Reporting information security events and weaknesses

36Management of information security incidents and improvements

37Business Continuity Management

37Information security aspects of business continuity management

39Compliance

39Compliance with legal requirements

41Compliance with security policies and standards, and technical compliance

41Information Systems audit considerations

42References

Information Security Management BS ISO IEC 17799:2005 SANS Audit Check List

Auditor Name:__________________________

Audit Date:___________________________

Korenspondensi Name : ____________________________

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Reference

Audit area, objective and question

Results

Checklist

Standard

Section

Audit Question

Findings

Compliance

Security Policy

1.1

5.1

Kebijakan Keamanan Informasi

Sasaran : Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hokum dan regulasi yang relevan.

1.1.1

5.1.1

Dokumen Kebijakan Keamanan Informasi

Apakah ada kebijakan keamanan informasi, yang disetujui oleh manajemen pusat, dipublikasikan dan dikomunikasikan dengan tepat kepada semua karyawan?

Apakah kebijakan menekankan komitmen manajemen dan menggunakan pendekatan organisasional untuk pengaturan keamanan informasi?

1.1.2

5.1.2

Review (Kajian) Kebijakan Keamanan Informasi

Apakah kebijakan keamanan informasi direview pada interval yang direncanakan, dan apakah perubahan yang signifikan terhadi untuk kepastian kelangsungannya, kehandalannya, dan keefektifannya?

Apakah kebijakan keamanan informasi dimiliki oleh instansi? siapa yang menyetujui tanggung jawab manajemen untuk pengembangan review dan evaluasi kebijakan keamanan ?

Apakah terdapat prosedur review kebijakan keamanan dan apakah mereka mencakup persyaratan untuk review manajemen?

Apakah hasil review manajemen digunakan dalam kebijakan ini ?

Apakah persetujuan manajemen diperoleh untuk merevisi kebijakan

Organisasi Keamanan Informasi

2.1

6.1

Organisasi Internal

Sasaran : untuk mengelola keamanan informasi dalam organisasi

2.1.1

6.1.1

Komitmen Manajemen Terhadap Keamanan Informasi

Apakah manajemen menunjukkan dukungan yang aktif untuk ukuran keamanan dalam organisasi ? (Hal ini dapat dilakukan melalui arahan yang jelas, ditunjukkan dengan komitmen, penugasan yang eksplisit, dan pengetahuan mengenai tanggung jawab keamanan informasi)

2.1.2

6.1.2

Koordinasi Keamanan Informasi

Apakah aktivitas keamanan informasi dikoordinasikan dengan perwakilan dari bagian yang berbeda pada organisasi, dengan tugas dan tanggung jawab masing-masing ?

2.1.3

6.1.3

Alokasi Tanggung Jawab Keamanan Informasi

Apakah tanggung Jawab untuk perlindungan aset individu, dan untuk melakukan proses keamanan tertentu, diidentifikasi dan didefinisikan dengan jelas?

2.1.4

6.1.4

Proses Otorisasi Untuk Fasilitas Proses Informasi

Apakah proses otorisasi manajemen didefinisikan dan diimplementasikan untuk fasilitas pemrosesan informasi terkini dalam organisasi?

2.1.5

6.1.5

Perjanjian Kerahasiaan

Apakah kebutuhan organsiasi akan Konfidealitas atau Non Disclosure Agreement (NDA) untuk perlindungan informasi ditetapkan dan direview dengan teratur?

Apakah ada pemenuhan persyaratan untuk melindungi informasi konfidensial dengan menggunakan hal-hal yang dapat dipaksanakan secara legal ?

2.1.6

6.1.6

Kontak Dengan Otoritas (Pihak Berwenang)

Apakah ada sebuah prosedur yang mendeskripsikan kapan, dan siapa: otoritas yang relevan seperti penegak hukum, departemen pemadam, dll yang harus dihubungi dan bagaimana insiden dapat dilaporkan?

2.1.7

6.1.7

Kontak Dengan Kelompok Khusus

Apakah ada dan terjadi pmeliharaan kontak dengan Kelompok Khusus atau forum spesialis keamanan lainnya, dan asosiasi professional?

2.1.8

6.1.8

Review (Kajian) Independen Terhadap Keamanan Informasi

Apakah pendekatan organisasi untuk pengaturan keamanan informasi, dan implementasinya, direview secara independen pada interval yang direncanakan, atau kapan perubahan utama pada implementasi keamanan terjadi?

2.2

6.2

Pihak Luar (External)

Sasaran : untuk memlihara keamanan informasi organisasi dan fasilitas pengolaan informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal

2.2.1

6.2.1

Identifikasi Resiko Terkait Dengan Pihak Eksternal

Apakah resiko pada informasi organsiasi dan fasilitas pemrosesan informasi, dari sebuah proses yang melibatkan akses pihak eksternal, diidentifikasikan dan pengendalian yang sesuai dilaksanakan sebelum adanya pemberian akses?

2.2.2

6.2.2

Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan

Apakah semua persyaratan keamanan yang diidentifikasi terpenuhi sebelum memberikan akses pada konsumen mengenai aset atau informasi organisasi?

2.2.3

6.2.3

Penekanan Keamanan Perjanjian Dengan Pihak Ketiga

Apakah kesepakatan dengan pihak ketiga, meliputi pengaksesan, pemrosesan, mengkomunikasian atau pengaturan informasi organsiasi atau fasilitas pemrosesan informasi, atau pengenalan produk atau layanan pada fasilitas pemrosesan informasi, mematuhi seluruh persyaratan keamanan tertentu?

Pengelolaan Aset

3.1

7.1

Tanggung Jawab Terhadap Aset

Sasaran : untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi

3.1.1

7.1.1

Inventaris Aset

Apakah semua aset diidentifikasikan dan inventori atau register dipelihara dengan semua aset yang penting?

3.1.2

7.1.2

Kepemilikan Aset

Apakah semua informasi dan aset yang terkait dengan fasilitas pengolahan informasi dimiliki oleh bagian dari organisasi yang ditunjuk?

3.1.3

7.1.3

Penggunaan Aset yang Dapat Diterima

Apakah peraturan untuk penggunaan yang dapat diterima pada informasi dan aset yang diasosiasikan dengan dasilitas pemrosesan informasi diidentifikasi, didokumentasikan dan diimplementasikan?

3.2

7.2

Klasifikasi Informasi

Sasaran : untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat

3.2.1

7.2.1

Pedoman Klasifikasi

Apakah informasi diklasifikasikan dalam istilah nilai, persyaratan hukum, sensitivitas dan kritikalitas pada organisasi?

3.2.2

7.2.2

Pelabelan dan Penanganan Informasi

Apakah bentuk prosedur tertentu didefinisikan untuk pelabelan dan penanganan informasi, sehubungan dengan skema klasifikasi yangd iadopsi oleh organisasi?

Keamanan Sumberdaya Manusia

4.1

8.1

Sebelum diperkerjakan

Sasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas

4.1.1

8.1.1

Peran dan Tanggung Jawab

Apakah peran keamanan karyawan dan tanggung jawab karyawan, kontraktor dan pengguna pihak ketiga didefinisikan dan didokumentasikan sehubungan dengan kebijakan sekuritas informasi organisasi ?

Apakah peran dan tanggung jawab didefin

Recommended

View more >