Upload
doanthuy
View
230
Download
2
Embed Size (px)
Citation preview
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management
BS ISO/ IEC 17799:2005(BS ISO/ IEC 27001:2005)
BS 7799-1:2005, BS 7799-2:2005
Audit Check List
Author: Astriyer Jadmiko Nahumury, S.Kom
Status: Final Thesis
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 1
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Table of contenctSecurity Policy............................................................................................................................................................................................5
Information security policy......................................................................................................................................................................5Organization of information security......................................................................................................................................................6
Internal Organization...............................................................................................................................................................................6External Parties........................................................................................................................................................................................8
Asset Management.....................................................................................................................................................................................9Responsibility for assets..........................................................................................................................................................................9Information classification........................................................................................................................................................................9
Human resources security.......................................................................................................................................................................10Prior to employment..............................................................................................................................................................................10During employment...............................................................................................................................................................................11Termination or change of employment..................................................................................................................................................11
Physical and Environmental Security....................................................................................................................................................12Secure Areas..........................................................................................................................................................................................12Equipment Security...............................................................................................................................................................................13
Communications and Operations Management...................................................................................................................................15Operational Procedures and responsibilities..........................................................................................................................................15Third party service delivery management.............................................................................................................................................16System planning and acceptance...........................................................................................................................................................17Protection against malicious and mobile code.......................................................................................................................................18Backup...................................................................................................................................................................................................18Network Security Management.............................................................................................................................................................19Media handling......................................................................................................................................................................................19Exchange of Information.......................................................................................................................................................................20Electronic Commerce Services..............................................................................................................................................................21Monitoring.............................................................................................................................................................................................22
Access Control..........................................................................................................................................................................................24Business Requirement for Access Control............................................................................................................................................24User Access Management......................................................................................................................................................................24User Responsibilities.............................................................................................................................................................................25
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 2
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Network Access Control........................................................................................................................................................................26Operating system access control............................................................................................................................................................27Application and Information Access Control........................................................................................................................................29Mobile Computing and teleworking......................................................................................................................................................29
Information systems acquisition, development and maintenance.......................................................................................................30Security requirements of information systems......................................................................................................................................30Correct processing in applications.........................................................................................................................................................30Cryptographic controls..........................................................................................................................................................................32Security of system files..........................................................................................................................................................................33Security in development and support processes....................................................................................................................................33Technical Vulnerability Management...................................................................................................................................................35
Information security incident management..........................................................................................................................................35Reporting information security events and weaknesses........................................................................................................................35Management of information security incidents and improvements......................................................................................................36
Business Continuity Management..........................................................................................................................................................37Information security aspects of business continuity management........................................................................................................37
Compliance...............................................................................................................................................................................................39Compliance with legal requirements.....................................................................................................................................................39Compliance with security policies and standards, and technical compliance.......................................................................................41Information Systems audit considerations.............................................................................................................................................41
References.................................................................................................................................................................................................42
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 3
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 SANS Audit Check List
Auditor Name:__________________________ Audit Date:___________________________Korenspondensi Name : ____________________________
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Security Policy1.1 5.1
Kebijakan Keamanan InformasiSasaran : Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hokum dan regulasi yang relevan.
1.1.1 5.1.1Dokumen Kebijakan Keamanan Informasi
Apakah ada kebijakan keamanan informasi, yang disetujui oleh manajemen pusat, dipublikasikan dan dikomunikasikan dengan tepat kepada semua karyawan?
Apakah kebijakan menekankan komitmen manajemen dan menggunakan pendekatan organisasional untuk pengaturan keamanan informasi?
1.1.2 5.1.2Review (Kajian)
Apakah kebijakan keamanan informasi direview pada interval yang direncanakan, dan apakah perubahan yang signifikan terhadi untuk kepastian
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 4
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Kebijakan Keamanan Informasi
kelangsungannya, kehandalannya, dan keefektifannya?
Apakah kebijakan keamanan informasi dimiliki oleh instansi? siapa yang menyetujui tanggung jawab manajemen untuk pengembangan review dan evaluasi kebijakan keamanan ?
Apakah terdapat prosedur review kebijakan keamanan dan apakah mereka mencakup persyaratan untuk review manajemen?
Apakah hasil review manajemen digunakan dalam kebijakan ini ?
Apakah persetujuan manajemen diperoleh untuk merevisi kebijakan
Organisasi Keamanan Informasi2.1 6.1
Organisasi InternalSasaran : untuk mengelola keamanan informasi dalam organisasi
2.1.1 6.1.1Komitmen Manajemen Terhadap Keamanan Informasi
Apakah manajemen menunjukkan dukungan yang aktif untuk ukuran keamanan dalam organisasi ? (Hal ini dapat dilakukan melalui arahan yang jelas, ditunjukkan dengan komitmen, penugasan yang eksplisit, dan pengetahuan mengenai tanggung jawab keamanan informasi)
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 5
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
2.1.2 6.1.2Koordinasi Keamanan Informasi
Apakah aktivitas keamanan informasi dikoordinasikan dengan perwakilan dari bagian yang berbeda pada organisasi, dengan tugas dan tanggung jawab masing-masing ?
2.1.3 6.1.3Alokasi Tanggung Jawab Keamanan Informasi
Apakah tanggung Jawab untuk perlindungan aset individu, dan untuk melakukan proses keamanan tertentu, diidentifikasi dan didefinisikan dengan jelas?
2.1.4 6.1.4Proses Otorisasi Untuk Fasilitas Proses Informasi
Apakah proses otorisasi manajemen didefinisikan dan diimplementasikan untuk fasilitas pemrosesan informasi terkini dalam organisasi?
2.1.5 6.1.5Perjanjian
Apakah kebutuhan organsiasi akan Konfidealitas atau Non Disclosure Agreement (NDA) untuk perlindungan informasi ditetapkan dan direview
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 6
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Kerahasiaan dengan teratur?
Apakah ada pemenuhan persyaratan untuk melindungi informasi konfidensial dengan menggunakan hal-hal yang dapat dipaksanakan secara legal ?
2.1.6 6.1.6Kontak Dengan Otoritas (Pihak Berwenang)
Apakah ada sebuah prosedur yang mendeskripsikan kapan, dan siapa: otoritas yang relevan seperti penegak hukum, departemen pemadam, dll yang harus dihubungi dan bagaimana insiden dapat dilaporkan?
2.1.7 6.1.7Kontak Dengan Kelompok Khusus
Apakah ada dan terjadi pmeliharaan kontak dengan Kelompok Khusus atau forum spesialis keamanan lainnya, dan asosiasi professional?
2.1.8 6.1.8Review (Kajian) Independen Terhadap Keamanan Informasi
Apakah pendekatan organisasi untuk pengaturan keamanan informasi, dan implementasinya, direview secara independen pada interval yang direncanakan, atau kapan perubahan utama pada implementasi keamanan terjadi?
2.2 6.2Pihak Luar (External)
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 7
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Sasaran : untuk memlihara keamanan informasi organisasi dan fasilitas pengolaan informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal
2.2.1 6.2.1Identifikasi Resiko Terkait Dengan Pihak Eksternal
Apakah resiko pada informasi organsiasi dan fasilitas pemrosesan informasi, dari sebuah proses yang melibatkan akses pihak eksternal, diidentifikasikan dan pengendalian yang sesuai dilaksanakan sebelum adanya pemberian akses?
2.2.2 6.2.2Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan
Apakah semua persyaratan keamanan yang diidentifikasi terpenuhi sebelum memberikan akses pada konsumen mengenai aset atau informasi organisasi?
2.2.3 6.2.3Penekanan Keamanan Perjanjian Dengan Pihak Ketiga
Apakah kesepakatan dengan pihak ketiga, meliputi pengaksesan, pemrosesan, mengkomunikasian atau pengaturan informasi organsiasi atau fasilitas pemrosesan informasi, atau pengenalan produk atau layanan pada fasilitas pemrosesan informasi, mematuhi seluruh persyaratan keamanan tertentu?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 8
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Pengelolaan Aset3.1 7.1
Tanggung Jawab Terhadap AsetSasaran : untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi
3.1.1 7.1.1Inventaris Aset
Apakah semua aset diidentifikasikan dan inventori atau register dipelihara dengan semua aset yang penting?
3.1.2 7.1.2Kepemilikan Aset
Apakah semua informasi dan aset yang terkait dengan fasilitas pengolahan informasi dimiliki oleh bagian dari organisasi yang ditunjuk?
3.1.3 7.1.3Penggunaan Aset yang Dapat Diterima
Apakah peraturan untuk penggunaan yang dapat diterima pada informasi dan aset yang diasosiasikan dengan dasilitas pemrosesan informasi diidentifikasi, didokumentasikan dan diimplementasikan?
3.2 7.2Klasifikasi InformasiSasaran : untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat
3.2.1 7.2.1Pedoman Klasifikasi
Apakah informasi diklasifikasikan dalam istilah nilai, persyaratan hukum, sensitivitas dan kritikalitas pada organisasi?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 9
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
3.2.2 7.2.2Pelabelan dan Penanganan Informasi
Apakah bentuk prosedur tertentu didefinisikan untuk pelabelan dan penanganan informasi, sehubungan dengan skema klasifikasi yangd iadopsi oleh organisasi?
Keamanan Sumberdaya Manusia4.1 8.1
Sebelum diperkerjakanSasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas
4.1.1 8.1.1Peran dan Tanggung Jawab
Apakah peran keamanan karyawan dan tanggung jawab karyawan, kontraktor dan pengguna pihak ketiga didefinisikan dan didokumentasikan sehubungan dengan kebijakan sekuritas informasi organisasi ?
Apakah peran dan tanggung jawab didefinisikan dan dikomunikasikan dengan jelas kepada calon karyawan selama proses pra-kerja ?
4.1.2 8.1.2Penyaringan (Screening)
Apakah pemeriksaan verifikasi latar belakang untuk semua calon pekerja, kontraktor, dan pengguna pihak ketiga dilakukan sesuai dengan peraturan yang relevan?
Apakah pengecekan meliputi referensi karakter, konfirmasi atas kualifikasi akademik dan profesional
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 10
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
yang diklaim dan pemeriksaan identitas independen?
4.1.3 8.1.3Syarat dan Aturan Kepegawaian
Apakah pegawai, kontraktor dan pengguna pihak ketiga diminta untuk menandatangani syarat kerahasiaan atau perjanjian non-disclosure sebagai bagian dari persyaratan awal dan kondisi dari kontrak kerja?
Apakah perjanjian ini mencakup tanggung jawab keamanan informasi dari organisasi dan pegawai, pengguna pihak ketiga dan kontraktor?
4.2 8.2Selama BekerjaSasaran : untuk memasikan bahwa semua pegawai, kontraktor dan pengguna pihak ketiga telah peduli terhadap ancaman dan masalah keamanan informasi, tanggung jawab dan pertanggung-gugatan mereka, dan disediakan perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi selama berkerja dan untuk mengurangi risiko kesalahan manusia
4.2.1 8.2.1Tanggung Jawab Manajemen
Apakah manajemen membutuhkan karyawan, kontraktor dan pengguna pihak ketiga untuk menerapkan keamanan yang sesuai dengan kebijakan yang ditetapkan dan prosedur organisasi?
4.2.2 8.2.2Kepedulian, Pendidikan Dan Pelatihan Keamanan
Apakah semua karyawan dalam organisasi, dan jika relevan, kontraktor dan pengguna pihak ketiga, menerima pelatihan kesadaran keamanan yang tepat dan update reguler dalam kebijakan dan prosedur organisasi yang berkaitan dengan fungsi pekerjaan
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 11
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Informasimereka ?
4.2.3 8.2.3Proses Pendisiplinan
Apakah ada proses pendisiplinan formal untuk karyawan yang telah melakukan pelanggaran keamanan?
4.3 8.3Pengakhiran atau Perubahan PekerjaanSasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga keluar dari organisasi atau adanya perubahan pekerjaan dengan cara yang sesuai
4.3.1 8.3.1Tanggung Jawab Pengakhiran Pekerjaan
Apakah tanggung jawab untuk melakukan pemutusan hubungan kerja, atau perubahan pekerjaan, didefinisikan dan ditugaskan dengan jelas?
4.3.2 8.3.2Pengembalian Aset
Apakah ada proses yang menjamin semua karyawan, kontraktor dan pengguna pihak ketiga menyerahkan semua aset organisasi dalam kepemilikan mereka atas pemutusan hubungan kerja mereka, kontrak atau perjanjian?
4.3.3 8.3.3Penghapusan Hak Akses
Apakah hak akses dari semua karyawan, kontraktor dan pengguna pihak ketiga, pada fasilitas pengolahan informasi dan informasi akan dihapus setelah pemutusan hubungan kerja mereka, kontrak atau perjanjian, atau akan disesuaikan pada perubahan?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 12
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Keamanan Fisik dan Lingkungan5.1 9.1 Keamanan Area
Sasaran : untuk mencegah aksses fisik oleh pihak luar yang tidak berwenang, kerusakan dan interfensi terhadap lokasi dan informasi organisasi.
5.1.1 9.1.1Perimeter Keamanan Fisik
Apakah fasilitas keamanan perbatasan fisik telah dilaksanakan untuk melindungi layanan pemrosesan informasi?
(Beberapa contoh fasilitas keamanan tersebut adalah kartu kendali gerbang masuk, dinding, penerimaan, meja resepsionis yang dijaga, finger print, dll)
5.1.2 9.1.2Pengendalian Entri yang Bersifat Fisik
Apakah kontrol entri yang ada hanya ditujukan/dikhususkan untuk personil yang berwenang dalam berbagai bidang dalam organisasi?
5.1.3 9.1.3Mengamankan Kantor, ruangan dan fasilitas.
Apakah ruangan, yang memiliki layanan pengolahan informasi, terkunci atau memiliki lemari atau brankas yang terkunci?
5.1.4 9.1.4Perlindungan terhadap
Apakah perlindungan fisik terhadap kerusakan misalnya kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil dan bentuk lain dari bencana alam atau
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 13
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Ancaman Eksternal Dan Lingkungan
buatan manusia dirancang dan diterapkan?
Apakah ada potensi ancaman yang berasal dari tetangga.
5.1.5 9.1.5Bekerja Pada Area Aman
Apakah perlindungan fisik dan pedoman untuk bekerja di daerah aman dirancang dan diimplementasikan ?
5.1.6 9.1.6Pengiriman Akses Publik dan Bongkar Muat
Apakah pengiriman, pemuatan, dan daerah lain di mana orang yang tidak berhak dapat memasuki tempat yang dikendalikan, dan fasilitas pengolahan informasi yang terisolasi, untuk menghindari akses yang tidak sah.
5.2 9.2 Keamanan PeralatanSasaran : untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan interupsi terhadap kegiatan organisasi.
5.2.1 9.2.1Penempatan dan Perlindungan Peralatan
Apakah peralatan dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan, dan peluang untuk akses yang tidak sah?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 14
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
5.2.2 9.2.2Sarana Pendukung
Apakah peralatan tersebut dilindungi dari gangguan listrik dan gangguan lain yang disebabkan oleh kegagalan dalam utilitas pendukung?
Apakah peralatan pasokan listrik, seperti pakan ganda, Uninterruptible Power Supply (up), generator cadangan, dll digunakan?
5.2.3 9.2.3Keamanan Kabel
Apakah kekuatan dan kabel telekomunikasi, yang membawa data atau mendukung layanan informasi, dilindungi dari intersepsi atau kerusakan?
Apakah ada kontrol keamanan tambahan untuk mendapatkan informasi yang sensitif atau kritis.
5.2.4 9.2.4Pemeliharaan Peralatan
Apakah peralatan tersebut dengan benar dipertahankan untuk menjamin ketersediaan lanjutan dan integritas?
Apakah peralatan tersebut dipertahankan, sesuai dengan interval servis pemasok yang direkomendasikan dan spesifikasinya?
Apakah pemeliharaan dilakukan hanya oleh petugas yang berwenang?
Apakah log dipelihara dari semua hal yang dicurigai atau aktual kesalahan dan semua tindakan pencegahan
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 15
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
dan korektif?
Apakah kontrol yang tepat diimplementasikan saat mengirim peralatan dari lokasi?
Apakah peralatan diasuransikan dan persyaratan asuransi terpenuhi?
5.2.5 9.2.5Keamanan Peralatan di Luar Lokasi
Apakah risiko dinilai berkaitan dengan setiap penggunaan peralatan di luar lokasi organisasi, dan mitigasi kontrol dilaksanakan?
Apakah penggunaan fasilitas pengolahan informasi luar organisasi telah disahkan oleh manajemen?
5.2.6 9.2.6Penggunaan Kembali Peralatan
Apakah semua peralatan, yang berisi media penyimpanan, diperiksa untuk memastikan bahwa informasi sensitif atau perangkat lunak berlisensi secara fisik hancur, atau dijamin rusak, sebelum dibuang atau digunakan kembali?
5.2.7 9.2.7Pemindahan Property
Apakah terdapat kontrol peralatan, informasi atau perangkat lunak tidak boleh dibawa keluar lokasi tanpa ijin yang berwenang?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 16
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Manajemen Komunikasi Dan Operasi6.1 10.1
Prosedur Oprasional dan Tanggung JawabSasaran : untuk memastikan pengoperasian fasilitas pengolahan informasi secara benar dan aman
6.1.1 10.1.1Prosedur Operasi yang Terdokumentasi
Apakah prosedur operasi didokumentasikan, dipelihara dan tersedia untuk semua pengguna yang membutuhkannya?
Apakah prosedur tersebut diperlakukan sebagai dokumen resmi, dan karena itu setiap perubahan yang dilakukan harus memiliki otorisasi manajemen?
6.1.2 10.1.2Manajemen Perubahan
Apakah semua perubahan ke fasilitas dan sistem pengolahan informasi dikendalikan?
6.1.3 10.1.3Pemisahan Tugas
Apakah tugas dan lingkup tanggung jawab dipisahkan, untuk mengurangi peluang untuk modifikasi yang tidak tidak sah atau penyalahgunaan informasi, atau layanan?
6.1.4 10.1.4Pemisahan Fasilitas Pengembangan, Pengujian
Apakah fasilitas pengembangan dan pengujian terisolasi dari fasilitas operasional? Sebagai contoh, pengembangan dan produksi software harus dijalankan pada komputer yang berbeda. Jika diperlukan, jaringan pengembangan dan produksi harus disimpan terpisah
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 17
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
dan Operasional
dari satu sama lain.
6.2 10.2Manajemen Pelayanan Jasa Pihak KetigaSasaran : untuk menerapkan dan memelihara tingkat keamanan informasi dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga.
6.2.1 10.2.1Pelayanan Jasa
Apakah langkah-langkah yang diambil untuk memastikan bahwa kontrol keamanan, definisi jasa dan tingkat pengiriman, termasuk dalam perjanjian penyediaan layanan pihak ketiga, diterapkan, dioperasikan dan dipelihara oleh pihak ketiga?
6.2.2 10.2.2Monitoring Dan Review Pada Layanan Pihak Ketiga
Apakah layanan, laporan dan catatan yang diberikan oleh pihak ketiga secara teratur dipantau dan dikaji?
Apakah Audita dilakukan pada pihak ketiga atas jasa, laporan dan catatan, dengan interval reguler?
6.2.3 10.2.3Pengelolaan Perubahan Terhadap Jasa Pihak Ketiga
Apakah perubahan pada penyediaan layanan, yang meliputi menjaga dan memperbaiki kebijakan keamanan informasi yang ada, prosedur dan pengendalian, dikelola?
Apakah mempertimbangkan kritikal sistem dan proses bisnis terkait dan asesmen ulang dari resiko?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 18
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
6.3 10.3Perencanaan Dan Penerimaan SistemSasaran : untuk mengurangi resiko kegagalan sistem
6.3.1 10.3.1Manajemen Kapasitas
Apakah penggunaan sumber daya dipantau, disesuaikan dan dirpoyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja system yang dipersyaratkan?
Contoh: Pemantauan ruang hard disk, RAM dan CPU pada server kritis..
6.3.2 10.3.2Penerimaan Sistem
Apakah kriteria penerimaan sistem ditetapkan untuk sistem informasi baru, upgrade dan versi baru?
Apakah dilakukan pengujian sistem yang sesuai selama pengembangan dan sebelum penerimaan?
6.4 10.4Perlindungan Terhadap Malicious Dan Mobile Code
Sasaran : untuk melindungi integritas perangkat lunak (software) dan informasi6.4.1 10.4.1
Pengendalian Terhadap Malicious Code
Apakah pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan untuk melindungi dari malicious code dan prosedur kepedulian pengguna yang memadai telah diterapkan?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 19
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
6.4.2 10.4.2Pengendalian Terhadap Mobile Code
Apakah kode mobile hanya diotorisasi kepada pengguna internal?
Apakah konfigurasi memastikan bahwa kode mobile resmi beroperasi sesuai dengan kebijakan keamanan?
Apakah pelaksanaan kode mobile yang tidak sah dicegah?(Kode Mobile adalah kode software yang transfer dari satu komputer ke komputer lain dan kemudian dieksekusi secara otomatis. Code ini melakukan fungsi tertentu dengan sedikit atau tanpa campur tangan pengguna. Mobile code dikaitkan dengan sejumlah layanan middleware.)
6.5 10.5Back-upSasaran : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolaan informasi
6.5.1 10.5.1Back-up Informasi
Apakah back-up informasi dan perangkat lunak yang diambil dan diuji secara teratur sesuai dengan kebijakan back-up yang disetujui?
Apakah semua informasi penting dan perangkat lunak dapat pulih setelah bencana atau kegagalan media?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 20
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
6.6 10.6Manajemen Keamanan Jaringan Sasaran : untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.
6.6.1 10.6.1Kontrol Jaringan
Apakah jaringan telah dikelola dan dikendalikan secara memadai, agar terlindungi dari ancaman, dan untuk memlihara keamanan dari system dan aplikasi yang menggunakan jaringan, termasuk informasi dalam transit?
6.6.2 10.6.2Keamanan Layanan Jaringan
Apakah fitur keamanan, tingkat layanan dan persyaratan manajemen, dari semua layanan jaringan, diidentifikasi dan termasuk dalam jaringan perjanjian layanan?
Apakah kemampuan penyedia layanan jaringan, untuk mengelola layanan disepakati dalam cara yang aman, ditentukan dan dipantau secara teratur, dan hak untuk audit disepakati?
6.7 10.7Penanganan MediaSasaran : untuk mencegah pengunkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah, dan gangguan kegiatan bisnis.
6.7.1 10.7.1Manajemen Media Yang
Apakah terdapat prosedur untuk pengelolaan removable media, seperti kaset, disk, kaset, kartu memori, dan laporan?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 21
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Removable (dapat dipindahkan)
Apakah semua prosedur dan tingkat otorisasi secara jelas deidefinisikan dan didokumentasikan ?
6.7.2 10.7.2Pemusnahan Media
Apakah media yang tidak diperlukan lagi dimusnahkan dengan aman, sesuai prosedur resmi atau formal?
6.7.3 10.7.3Prosedur Penanganan Informasi
Apakah terdapat prosedur untuk menangani penyimpanan informasi?
Apakah prosedur ini mengatasi isu-isu, seperti perlindungan informasi, dari pengungkapan yang tidak sah atau penyalahgunaan informasi?
6.7.4 10.7.4Keamanan Dokumentasi Sistem
Apakah dokumentasi sistem dilindungi terhadap akses yang tidak sah?
6.8 10.8 Pertukaran InformasiSasaran : untuk memelihara keamanan informasi dan software yang diperlukan dalam suatu organisasi dan dengan setiap entitas eksternal
6.8.1 10.8.1Kebijakan Dan Prosedur
Apakah terdapat kebijakan prosedu dan pengendalian secara formal telah tersedia untuk melindungi pertukaran informasi dengan menggunakan semua
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 22
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Pertukaran Informasi
jenis fasilitas komunikasi?
6.8.2 10.8.2Perjanjian Pertukaran
Apakah perjanjian ditetapkan mengenai pertukaran informasi dan perangkat lunak antara organisasi dan pihak luar?
Apakah isi keamanan perjanjian ini mencerminkan sensitivitas informasi bisnis yang terlibat?
6.8.3 10.8.3Media Fisik Dalam Transit
Apakah media yang mengandung informasi dilindungi terhadap akses yang tidak sah, penyalahgunaan atau korupsi selama transportasi yang melampaui batas fisik organisasi?
6.8.4 10.8.4Pesan Elektronik
Apakah informasi dalam bentuk pesan elektronik terlindungi dengan baik?(Pesan elektronik termasuk email, Elektronik Data Interchange, Instant Messaging)
6.8.5 10.8.5Sistem Informasi Bisnis
Apakah kebijakan serta prosedur yang dikembangkan dan ditegakkan untuk melindungi informasi terkait dengan interkoneksi sistem informasi bisnis?
6.9 10.9Layanan Commerce ElectronikSasaran : untuk memastikan keamanan layanan electronic commenrce dan keamanan penggunaannya.
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 23
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
6.9.1 10.9.1E-Commerce
Apakah informasi yang terlibat dalam perdagangan lewat elektronik melalui jaringan publik dilindungi dari aktivitas penipuan, perselisihan kontrak, dan akses yang tidak sah atau modifikasi?
Apakah Keamanan kontrol seperti penerapan pengendalian kriptografi dipertimbangkan?
6.9.2 10.9.2Transaksi Online
Apakah informasi yang terlibat dalam transaksi online dilindungi untuk mencegah transmisi yang tidak lengkap, mis-routing, perubahan pesan yang tidak sah, pengungkapan yang tidak sah, duplikasi pesan yang tidak sah atau replay?
6.9.3 10.9.3Informasi Yang Tersedia Secara Umum
Apakah integritas dari informasi publik dilindungi terhadap modifikasi yang tidak sah?
6.10 10.10Monitoring (Pemantauan)Sasaran : untuk mendeteksi kegiatan pengolahan informasi yang tidak sah
6.10.1 10.10.1Log Audit
Apakah log audit merekam kegiatan pengguna, pengecualian, dan kejadian keamanan informasi dihasilakn dan disimpan selama periode yang disetujui untuk membantu dalam penyelidikan masa depan dan pemantauan kontrol akses?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 24
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Apakah Langkah perlindungan privasi yang tepat dipertimbangkan dalam Audit log pemeliharaan.
6.10.2 10.10.2Pemantauan Penggunaan Sistem
Apakah prosedur dikembangkan dan ditetapkan untuk memantau penggunaan sistem untuk fasilitas pengolahan informasi?
Apakah hasil kegiatan pemantauan ditinjau secara berkala?
Apakah tingkat pengawasan diperlukan untuk fasilitas pengolahan informasi individu ditentukan oleh penilaian risiko?
6.10.3 10.10.3Perlindungan Pada Informasi Log
Apakah fasilitas logging dan informasi log dilindungi terhadap gangguan dan akses yang tidak sah?
6.10.4 10.10.4Log Administrator Dan Operator
Apakah ada administrator sistem dan kegiatan sistem operator login?
Apakah kegiatan login ditinjau secara teratur?
6.10.5 10.10.5Log atas kesalahan yang terjadi (fault
Apakah kesalahan login dicatat dalam log, dianalisis dan diambil tindakan yang sesuai?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 25
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Logging)6.10.6 10.10.6
Sinkronisasi Penunjuk Waktu
Apakah penunjuk waktu dari seluruh sistem pengolahan informasi relevan dalam organisai atau domain keamanan telah disinkronisasikan dengan sumber penunjuk waktu akurat yang disepakati?
(Pengaturan benar jam komputer penting untuk memastikan keakuratan audit log)
Pengendalian Akses7.1 11.1
Persyaratan Bisnis Untuk Pengendalian Akses Sasaran : untuk mengendalikan akses keoada informasi
7.1.1 11.1.1Kebijakan Kontrol Akses
Apakah kebijakan kontrol akses dikembangkan dan ditinjau didasarkan pada bisnis dan persyaratan keamanan?
Apakah logis dan kontrol akses fisik dipertimbangkan dalam kebijakan?
7.2 11.2Manajemen Akses UserSasaran : untuk memastikan akses oleh pengguna yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi
7.2.1 11.2.1Registrasi User
Apakah ada prosedur pendaftaran dan pembatalan pendaftaran pengguna secara formal untuk pemberian
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 26
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
dan pencabutanakses terhadap seluruh layanan dan sistem informasi.
7.2.2 11.2.2Manajemen Hak Khusus
Apakah alokasi dan penggunaan dari setiap hak istimewa dalam perangkat sistem informasi dibatasi dan dikendalikan ? (Keistimewaan dialokasikan pada kebutuhan untuk menggunakan dasar, hak dialokasikan hanya setelah proses otorisasi formal)
7.2.3 11.2.3 Manajemen Password Pengguna
Apakah alokasi dan realokasi password telah dikendalikan dengan proses manajemen formal?
Apakah pengguna diminta untuk menandatangani pernyataan untuk menjaga password rahasia?
7.2.4 11.2.4Review Terhadap Hak Akses User
Apakah terdapat proses untuk meninjau hak akses pengguna secara berkala? Contoh: hak istimewa khusus ditinjau setiap 3 bulan, hak istimewa yang normal setiap 6 bulan
7.3 11.3Tanggung Jawab PenggunaSasaran : untuk mencegah akses pengguna yang tidak sah dan gangguan atau pencurian atas informasi dan fasilitas pengolahan informasi.
7.3.1 11.3.1Penggunaan Password
Apakah terdapat praktik keamanan untuk memandu pengguna dalam memilih dan memelihara password yang aman?
7.3.2 11.3.2Peralatan yang
Apakah peralatan yang ditinggalkan oleh penggunanya
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 27
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
ditinggalkan oleh penggunanya (unattended)
telah dipastikan terlindungi dengan tepat?
Contoh: Logoff saat sesi selesai atau mengatur auto log off, mengakhiri sesi ketika selesai dll,
7.3.3 11.3.3Kebijakan Clear Desk dan Clear Screen
Apakah organisasi telah mengadopsi kebijakan clear desk berkaitan dengan kertas dan media penyimpanan removable?
Apakah organisasi telah mengadopsi kebijakan clear screen berkaitan dengan fasilitas pengolahan informasi?
7.4 11.4Kontrol Akses JaringanSasaran : untuk mencegah akses yang tidak sah ke dalam jaringan
7.4.1 11.4.1Kebijakan Penggunaan Layanan Jaringan
Apakah pengguna telah diberikan akses terhadap layanan yang telah diberikan kewenangan penggunaanya secara spesifik?
7.4.2 11.4.2Otentikasi User Untuk Koneksi
Apakah telah digunakan metode otentikasi yang tepat untuk mengendalikan akses oleh pengguna remote?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 28
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Eksternal 7.4.3 11.4.3
Identifikasi Peralatan Dalam Jaringan
Apakah identifikasi peralatan otomatis dipertimbagkan sebagai cara untuk mengotentikasi koneksi dari lokasi dan peralatan khusus?
7.4.4 11.4.4Perlindungan terhadap Remote diagnostic dan configuration port
Apakah akses fisik dan logical untuk port diagnostik dikendalikan dengan aman yaitu, dilindungi oleh mekanisme keamanan?
7.4.5 11.4.5Segrasi Dalam Jaringan
Apakah kelompok layanan informasi, pengguna dan sistem informasi dipisahkan pada jaringan?
Apakah jaringan (di mana mitra bisnis harus dan / atau pihak ketiga membutuhkan akses ke sistem informasi) dipisahkan menggunakan mekanisme keamanan perimeter seperti firewall?
Apakah pertimbangan dibuat untuk pemisahan jaringan nirkabel dari jaringan internal dan swasta?
7.4.6 11.4.6Kontrol
Apakah untuk jaringan yang digunakan bersama, khususnya perluasan jaringan yang melewati batas
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 29
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Koneksi Jaringan
perusahaan, kapabilitas pengguna untuk terhubung dengan jaringan telah dibatasi, sejalan dengan kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis?
7.4.7 11.4.7Pengendalian Routing Jaringan
Apakah pengendalian routing telah diterapkan ke dalam jaringan untuk memastikan bahwa koneksi computer dan aliran informasi tidak melanggar kebijakan pengendalian akases dari aplikasi bisnis?
7.5 11.5Pengoperasian Control Akses SistemSasaran : untuk mencegah akses tidak sah ke dalam sistem operasi
7.5.1 11.5.1Keamanan Prosedur Log On yang aman
Apakah akses ke sistem operasi dikendalikan oleh prosedur log-on yang aman?
7.5.2 11.5.2Identifikasi Dan Otentikasi User
Apakah identifikasi unik (user ID) disediakan untuk setiap pengguna seperti operator, administrator sistem dan semua staf lainnya termasuk teknisi?
Apakah teknik otentikasi yang sesuai dipilih untuk memperkuat identitas yang diklaim pengguna?
Apakah account pengguna generik disediakan hanya dalam keadaan luar biasa di mana ada manfaat bisnis yang jelas. Kontrol tambahan mungkin diperlukan untuk menjaga akuntabilitas?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 30
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
7.5.3 11.5.3Sistem Manajemen Password
Apakah terdapat sistem manajemen password yang memaksa berbagai kontrol sandi seperti: sandi individual untuk akuntabilitas, menegakkan perubahan password, menyimpan password dalam bentuk terenkripsi, tidak menampilkan password di layar dll?
7.5.4 11.5.4Penggunaan Utilitas Sistem
Apakahterdapat program utilitas yang mungkin mampu mengesampingkan sistem dan aplikasi kontrol yang dibatasi dan dikontrol dengan ketat?
7.5.5 11.5.5Session Time-Out
Apakah sesi yang tidak aktif dalam jangka waktu tertentu telah mati?
(Sebuah bentuk terbatas timeout dapat disediakan untuk beberapa sistem, yang membersihkan layar dan mencegah akses yang tidak sah tetapi tidak menutup sesi aplikasi atau jaringan.
7.5.6 11.5.6Pembatasan Waktu Koneksi
Apakah terdapat pembatasan waktu koneksi untuk aplikasi yang berisiko tinggi?
7.6 11.6Aplikasi Dan Kontrol Akses Informasi Sasaran : untuk mencegah akses yang tidak sah terhadap informasi pada sistem aplikasi
7.6.1 11.6.1Pembatasan Akses
Apakah akses ke informasi dan fungsi sistem aplikasi oleh pengguna dan personel pendukung dibatasi sesuai dengan kebijakan yang ditetapkan kontrol akses?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 31
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Informasi7.6.2 11.6.2
Isolasi Sistem yang Sensitif
Apakah sistem yang sensitif disediakan dengan dedicated (terisolasi) lingkungan komputasi seperti berjalan pada komputer, sumber daya yang berdedikasi hanya berbagi dengan sistem aplikasi terpercaya, dll?
7.7 11.7Mobile Computing And Teleworking(Kerja Jarak Jauh)Sasaran : untuk memastikan keamanan informasi ketika menggunakan fasilitas mobile computing dan kerja jarak jauh
7.7.1 11.7.1Mobile Computing dan Komunikasi
Apakah kebijakan formal di tempat, dan langkah-langkah keamanan yang sesuai diadopsi untuk melindungi terhadap risiko menggunakan komputasi mobile dan fasilitas komunikasi?
Beberapa contoh komputasi Mobile dan fasilitas komunikasi meliputi: notebook, palmtop, laptop, smartCard, ponsel.
Apakah risiko seperti bekerja di lingkungan yang tidak dilindungi diperhitungkan oleh kebijakan komputasi Mobile?
7.7.2 11.7.2Teleworking
Apakah kebijakan, rencana dan prosedur operasional dikembangkan dan diimplementasikan untuk kegiatan teleworking?
Apakah kegiatan teleworking diotorisasi dan
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 32
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
dikendalikan oleh manajemen dan apakah hal itu menjamin bahwa pengaturan yang sesuai di tempat untuk cara kerja?
Akusisi, Pengembangan dan Pemeliharaan Sistem Informasi8.1 12.1
Persyratan Keamanan System Informasi Sasaran : untuk memastikan bahwa keamanan merupakan bagian yang utuh dari sistem informasi
8.1.1 12.1.1Analisis Dan Spesifikasi Persyaratan Keamanan
Apakah persyaratan keamanan untuk sistem informasi baru dan peningkatan sistem informasi yang ada menentukan persyaratan untuk kontrol keamanan?
Apakah persyaratan keamanan dan kontrol diidentifikasi mencerminkan nilai bisnis dari aset informasi yang terlibat dan konsekuensi dari kegagalan Keamanan?
Apakah persyaratan sistem untuk keamanan informasi dan proses untuk implementasi keamanan terintegrasi dalam tahap awal proyek sistem informasi.
8.2 12.2Pengolahan yang Benar Dalam PalikasiSasaran : untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi
8.2.1 12.2.1Validasi Data
Apakah input data ke sistem aplikasi divalidasi untuk
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 33
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Inputmemastikan bahwa itu adalah benar dan tepat.
Apakah kontrol seperti: Berbagai jenis inputan untuk memeriksa pesan kesalahan, Prosedur untuk merespons kesalahan validasi, mendefinisikan tanggung jawab semua personel yang terlibat dalam proses masukan data dll, dipertimbangkan?
8.2.2 12.2.2Pengendalian pengolahan Internal
Apakah pengecekan validasi dimasukkan ke dalam aplikasi untuk mendeteksi kerusakan informasi melalui kesalahan pengolahan atau tindakan yang disengaja?
Apakah desain dan implementasi aplikasi memastikan bahwa risiko dari kegagalan pengolahan menyebabkan hilangnya integritas dapat diminimalkan?
8.2.3 12.2.3Integritas Pesan
Apakah persyaratan untuk menjamin dan melindungi integritas pesan dalam aplikasi diidentifikasi, dan kontrol yang tepat diidentifikasi dan diterapkan?
Apakah penilaian resiko keamanan dilakukan untuk menentukan apakah integritas pesan diperlukan, dan untuk mengidentifikasi metode yang paling tepat pelaksanaan?
8.2.4 12.2.4Validasi Output Data
Apakah output data sistem aplikasi divalidasi untuk memastikan bahwa pengolahan informasi yang disimpan adalah benar dan sesuai dengan keadaan?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 34
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
8.3 12.3Control Cryptographic Sasaran : untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi
8.3.1 12.3.1Kebijakan tentang penggunaan pengendalian kriptografi
Apakah organisasi memiliki kebijakan tentang penggunaan kontrol kriptografi untuk perlindungan informasi?
Apakah kebijakan tersebut berhasil diterapkan?
Apakah kebijakan kriptografi mempertimbangkan pendekatan manajemen terhadap penggunaan kontrol kriptografi, hasil penilaian risiko untuk mengidentifikasi tingkat yang diperlukan perlindungan, metode manajemen kunci dan berbagai standar untuk implementasi yang efektif?
8.3.2 12.3.2Manajemen Kunci
Apakah manajemen kunci ada untuk mendukung penggunaan organisasi teknik kriptografi?
Apakah kunci kriptografi dilindungi terhadap modifikasi, kehilangan, dan kerusakan?
Apakah kunci rahasia dan kunci privat dilindungi terhadap pengungkapan yang tidak sah?
Apakah sistem manajemen kunci didasarkan pada kesepakatan mengenai standar, prosedur dan metode yang aman?
8.4 12.4Keamanan File Sistem
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 35
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Sasaran : untuk memastikan keamanan sistem file8.4.1 12.4.1
Pengendalian perangkat lunak yang operasional
Apakah ada prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional? (Hal ini untuk meminimalkan risiko korupsi sistem operasional.)
8.4.2 12.4.2Perlindungan Data Uji Sistem
Apakah data pengujian sistem dilindungi dan dikendalikan?
Apakah penggunaan informasi pribadi atau informasi sensitif untuk pengujian basis data operasional dihindari?
8.4.3 12.4.3Pengendalian akses terhadap kode sumber program
Apakah kontrol ketat ada untuk membatasi akses ke perpustakaan sumber program?
(Hal ini untuk menghindari potensi yang tidak sah, perubahan yang tidak disengaja.)
8.5 12.5Keamanan Dalam Proses Pengembangan dan PendukungSasaran : untuk memelihara keamanan software sistem aplikasi dan informasi
8.5.1 12.5.1Prosedur
Apakah ada prosedur kontrol yang ketat di tempat selama pelaksanaan perubahan pada sistem informasi? (Hal ini untuk meminimalkan kerusakan sistem
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 36
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
pengendalian perubahan
informasi.)
8.5.2 12.5.2Review Teknis Pada Aplikasi Setelah Perubahan Sistem Operasi
Apakah ada tinjauan dan pengujian apabila sistem diubah untuk memastikan tidak ada dampak yang merugikan terhadap organisasi atau keamanan?
8.5.3 12.5.3Pembatasan Atas Perubahan Terhadap Paket Software
Apakah modifikasi paket perangkat lunak tidak disarankan dan / atau terbatas pada perubahan yang diperlukan?
Apakah semua perubahan dikontrol secara ketat?
8.5.4 12.5.4Kebocoran Informasi
Apakah ada pencegahan terhadap peluang kebocoran informasi?
8.5.5 12.5.5Pengembangan Software Yang Outsource
Apakah pengembangan perangkat lunak outsourcing diawasi dan dipantau oleh organisasi?Apakah poin seperti: pengaturan Perizinan, pengaturan escrow, persyaratan kontrak untuk jaminan kualitas,
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 37
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
pengujian sebelum instalasi untuk mendeteksi kode Trojan dll, diterapkan?
8.6 12.6Manajemen Kerawanan Teknis
8.6.1 12.6.1Kontrol Kerawanan Teknis
Apakah informasi tepat waktu mengenai kerentanan teknis dari sistem informasi yang digunakan diperoleh?
Apakah paparan organisasi untuk kerentanan tersebut dievaluasi dan langkah yang tepat diambil untuk mengurangi risiko yang terkait?
Manajemen Insiden Keamanan Informasi9.1 13.1
Pelaporan Kejadian Dam Kelemahan Keamanan Informasi Sasaran : untuk memastikan kejadian dan kelemahan informasi terkait dengan sistem informasi dikumunikasikan sedemikan rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu
9.1.1 13.1.1Pelaporan Kejadian Keamanan Informasi
Apakah kejadian keamanan informasi dilaporkan melalui saluran manajemen yang tepat secepat mungkin?Apakah keamanan acara pelaporan prosedur, respon Insiden informasi formal dan prosedur eskalasi dikembangkan dan diimplementasikan?
9.1.2 13.1.2Pelaporan
Apakah terdapat prosedur yang menjamin semua sistem informasi karyawan dan layanan yang
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 38
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Kelemahan Keamanan
diperlukan untuk mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau dicurigai dalam sistem atau layanan?
9.2 13.2 Manajemen Insiden Keamanan Informasi dan Perbaikan
sasaran : untuk memastikan pendekatan yang konsisten dan efektif diterapkan untuk manajemen insiden keamanan informasi
9.2.1 13.2.1Tanggung Jawab Dan Prosedur
Apakah tanggung jawab manajemen dan prosedur telah dibentuk untuk memastikan respon cepat, efektif dan teratur terhadap insiden keamanan informasi?Apakah terdapat pemantauan sistem, peringatan, dan kerentanan yang digunakan untuk mendeteksi insiden keamanan informasi?
9.2.2 13.2.2Pemberlajaran Dari Insiden Keamanan Informasi
Apakah ada mekanisme untuk mengidentifikasi dan menghitung jenis, volume dan biaya insiden keamanan informasi?
Apakah informasi yang diperoleh dari evaluasi insiden keamanan informasi masa lalu digunakan untuk mengidentifikasi insiden dampak berulang atau tinggi?
9.2.3 13.2.3Pengumpulan Bukti
Apakah tindak lanjut terhadap orang atau organisasi setelah insiden keamanan informasi melibatkan tindakan hukum (baik perdata atau pidana)?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 39
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
Apakah bukti yang berkaitan dengan insiden itu dikumpulkan, disimpan dan disajikan agar sesuai dengan aturan untuk bukti yang ditetapkan dalam yurisdiksi yang relevan ?
Manajemen Keberlanjutan Bisnis10.1 14.1
Aspek Keamanan Informasi Pada Manajemen Keberlanjutan BisnisSasaran : untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dan efek kegagalan utama sistem innformasi atau bencana dan untuk memastikan keberlanjutan secara tepat waktu.
10.1.1 14.1.1Memasukan keamanan informasi dalam proses manajemen keberlanjutan bisnis
Apakah ada proses yang dikelola yang membahas persyaratan keamanan informasi untuk mengembangkan dan mempertahankan kelangsungan bisnis di seluruh organisasi?
Apakah proses ini memahami risiko organisasi menghadapi, mengidentifikasi aset bisnis penting, mengidentifikasi dampak insiden, mempertimbangkan pelaksanaan kontrol pencegahan tambahan dan mendokumentasikan kelangsungan rencana bisnis menangani persyaratan keamanan?
10.1.2 14.1.2Keberlanjutan bisnis dan
Apakah peristiwa yang menyebabkan gangguan terhadap proses bisnis diidentifikasi bersama dengan probabilitas dan dampak dari gangguan tersebut dan
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 40
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
asesmen resikokonsekuensi mereka untuk keamanan informasi?
10.1.3 14.1.3Pengembangan dan Penerapan rencana Keberlanjutan Termasuk Keamanan Informasi
Apakah rencana dikembangkan untuk mempertahankan dan memulihkan operasi bisnis, menjamin ketersediaan informasi dalam tingkat yang diperlukan dalam kerangka waktu yang diperlukan menyusul gangguan atau kegagalan untuk proses bisnis?Apakah rencana menganggap identifikasi dan kesepakatan tanggung jawab, identifikasi kerugian diterima, pelaksanaan pemulihan dan prosedur restorasi, dokumentasi prosedur dan pengujian berkala?
10.1.4 14.1.4Kerangka Kerja Perencanaan Keberlanjutan Bisnis
Apakah ada kerangka tunggal rencana kesinambungan bisnis?
Apakah kerangka ini dipertahankan untuk memastikan bahwa semua rencana yang konsisten dan mengidentifikasi prioritas untuk pengujian dan pemeliharaan?
10.1.5 14.1.5Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan
Apakah rencana kelanjutan bisnis diuji secara teratur untuk memastikan bahwa mereka yang up to date dan efektif?
Apakah kelangsungan tes rencana bisnis memastikan bahwa semua anggota tim pemulihan dan staf lain yang relevan menyadari rencana dan tanggung jawab
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 41
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
bisnis mereka untuk kelangsungan bisnis dan keamanan informasi dan mengetahui peran mereka ketika rencana ditimbulkan?
Kesesuaian11.1 15.1
Kesesuaian Dengan Persayaratan HukumSasaran : untuk mencegah pelanggaran terhadap undang-undang, peraturan perundang-undangan aatau kewajiban kontrak dan setiap persayaratan keamanan.
11.1.1 15.1.1Identifikasi peraturan hokum yang berlaku
Apakah semua hukum, peraturan, persyaratan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan secara eksplisit didefinisikan dan didokumentasikan untuk setiap sistem informasi dan organisasi?
Apakah kontrol tertentu dan tanggung jawab masing-masing untuk memenuhi persyaratan ini didefinisikan dan didokumentasikan?
11.1.2 15.1.2Hak Kekayaan Intelektual (HAKI)
Apakah ada prosedur untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan dan kontrak pada penggunaan bahan dalam hal yang mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik?
Apakah prosedur dilaksanakan dengan baik?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 42
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
11.1.3 15.1.3Perlindungan rekaman Organisasi
Apakah catatan penting dari organisasi ini dilindungi dari kerugian kerusakan dan pemalsuan, sesuai dengan undang-undang, peraturan, kontrak dan persyaratan bisnis?
Apakah pertimbangan diberikan untuk kemungkinan kerusakan media yang digunakan untuk penyimpanan catatan?
Apakah sistem penyimpanan data yang dipilih sehingga data yang diperlukan dapat diambil dalam jangka waktu yang dapat diterima dan formatnya, tergantung pada persyaratan yang harus dipenuhi?
11.1.4 15.1.4Perlindungan Data dan Rahasia Informasi Pribadi
Apakah perlindungan data dan privasi dijamin sesuai undang-undang, peraturan, dan jika berlaku sesuai klausul kontrak?
11.1.5 15.1.5Pencegahan penyalahgunaan fasilitas pengolahan informasi
Apakah penggunaan fasilitas pengolahan informasi untuk setiap non-bisnis atau tidak sah tujuan, tanpa persetujuan manajemen diperlakukan sebagai penyalahgunaan fasilitas?
Apakah log-on pesan peringatan disajikan pada layar komputer sebelum log-on. Apakah pengguna harus mengakui peringatan dan bereaksi dengan tepat untuk pesan pada layar untuk melanjutkan dengan proses log-
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 43
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
on?
Apakah nasihat hukum diambil sebelum menerapkan prosedur pemantauan apapun?
11.1.6 15.1.6Regulasi Pengendalian kriptografi
Apakah kontrol kriptografi yang digunakan sesuai dengan semua perjanjian yang relevan, hukum, dan peraturan?
11.2 15.2Pemenuhan Terhadap Kebijakan Keamanan dan Standar, dan Pemenuhan TeknisSasaran : untuk memastikan pemenuhan sistem terhadap kebijakan dan standard keamanan organisasi
11.2.1 15.2.1Pemenuhan terhadap kebijakan keamanan dan standar
Apakah manajer memastikan bahwa semua prosedur keamanan di dalam wilayah tanggung jawab mereka dilakukan dengan benar untuk mencapai sesuai dengan kebijakan keamanan dan standard?
Apakah manajer secara teratur meninjau kepatuhan fasilitas pengolahan informasi dalam bidang tanggung jawab untuk mematuhi kebijakan keamanan yang sesuai dan prosedur?
11.2.2 15.2.2Pengecekan pemenuhan teknis
Apakah sistem informasi secara teratur diperiksa untuk memenuhi standar implementasi keamanan?
Apakah pengawasan kelengkapan teknis dilakukan oleh, atau di bawah pengawasan, kompeten, personil yang berwenang?
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 44
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
Information Security Management BS ISO IEC 17799:2005 Audit Check ListReference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
11.3 15.3Pertimbangan Audit Sistem InformasiSasaran : untuk memaksimalkan keefektifan dari dan untuk meminimalkan interferensi kepada/dari proses audit sistem informasi
11.3.1 15.3.1Pengendalian audit sistem informasi
Apakah persyaratan audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional telah hati-hati direncanakan dan setuju untuk meminimalkan risiko gangguan proses bisnis?
Apakah persyaratan audit, ruang lingkup yang disepakati dengan manajemen yang tepat?
11.3.2 15.3.2Perlindungan terhadap alat audit informasi
Apakah akses ke perangkat audit sistem informasi seperti perangkat lunak atau file data yang dilindungi untuk mencegah penyalahgunaan yang mungkin atau kompromi?
Apakah perangkat audit sistem informasi dipisahkan dari pengembangan dan sistem operasional, kecuali diberikan tingkat perlindungan yang sesuai tambahan?
References 1. BS ISO/IEC 17799:2005 (BS 7799-1:2005) Information technology. Security techniques. Code of practice for information
security management2. Draft BS 7799-2:2005 (ISO/IEC FDIS 27001:2005) Information technology. Security techniques. Information security
management systems. Requirements
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 45
MSI-UKSWBS ISO IEC 17799 2005 Audit Checklist 14/05/2023
3. Information technology – Security techniques – Information security management systems – Requirement. BS ISO/ IEC 27001:2005 BS 7799-2:2005.
Magister Sistem Informasi – Universitas Kristen Satya Wacana
Page - 46