Audit Checklist
advertisement
MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO/ IEC 17799:2005 (BS ISO/ IEC 27001:2005) BS 7799-1:2005, BS 7799-2:2005 Audit Check List Author: Astriyer Jadmiko Nahumury, S.Kom Status: Final Thesis Table of contenct Security Policy ........................................................................................................................................................................................... 4 Information security policy ....................................................................................................................Error! Bookmark not defined. Organization of information security.........................................................................................................Error! Bookmark not defined. Internal Organization .............................................................................................................................Error! Bookmark not defined. External Parties ......................................................................................................................................Error! Bookmark not defined. Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 1 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Asset Management .......................................................................................................................................Error! Bookmark not defined. Responsibility for assets ........................................................................................................................Error! Bookmark not defined. Information classification ......................................................................................................................Error! Bookmark not defined. Human resources security ...........................................................................................................................Error! Bookmark not defined. Prior to employment ..............................................................................................................................Error! Bookmark not defined. During employment ...............................................................................................................................Error! Bookmark not defined. Termination or change of employment ..................................................................................................Error! Bookmark not defined. Physical and Environmental Security ........................................................................................................Error! Bookmark not defined. Secure Areas ..........................................................................................................................................Error! Bookmark not defined. Equipment Security................................................................................................................................Error! Bookmark not defined. Communications and Operations Management .......................................................................................Error! Bookmark not defined. Operational Procedures and responsibilities ..........................................................................................Error! Bookmark not defined. Third party service delivery management..............................................................................................Error! Bookmark not defined. System planning and acceptance ...........................................................................................................Error! Bookmark not defined. Protection against malicious and mobile code ...................................................................................................................................... 19 Backup .................................................................................................................................................................................................. 20 Network Security Management ............................................................................................................................................................ 20 Media handling ......................................................................................................................................Error! Bookmark not defined. Exchange of Information .......................................................................................................................Error! Bookmark not defined. Electronic Commerce Services ..............................................................................................................Error! Bookmark not defined. Monitoring ............................................................................................................................................................................................ 24 Access Control ..............................................................................................................................................Error! Bookmark not defined. Business Requirement for Access Control ........................................................................................................................................... 26 User Access Management ......................................................................................................................Error! Bookmark not defined. User Responsibilities .............................................................................................................................Error! Bookmark not defined. Network Access Control ........................................................................................................................Error! Bookmark not defined. Operating system access control ............................................................................................................Error! Bookmark not defined. Application and Information Access Control ....................................................................................................................................... 31 Mobile Computing and teleworking ..................................................................................................................................................... 32 Information systems acquisition, development and maintenance ...........................................................Error! Bookmark not defined. Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 2 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Security requirements of information systems ..................................................................................................................................... 33 Correct processing in applications .........................................................................................................Error! Bookmark not defined. Cryptographic controls.......................................................................................................................................................................... 34 Security of system files ..........................................................................................................................Error! Bookmark not defined. Security in development and support processes ................................................................................................................................... 36 Technical Vulnerability Management....................................................................................................Error! Bookmark not defined. Information security incident management ..............................................................................................Error! Bookmark not defined. Reporting information security events and weaknesses ....................................................................................................................... 38 Management of information security incidents and improvements ...................................................................................................... 38 Business Continuity Management ..............................................................................................................Error! Bookmark not defined. Information security aspects of business continuity management .........................................................Error! Bookmark not defined. Compliance ...................................................................................................................................................Error! Bookmark not defined. Compliance with legal requirements .....................................................................................................Error! Bookmark not defined. Compliance with security policies and standards, and technical compliance .......................................Error! Bookmark not defined. Information Systems audit considerations .............................................................................................Error! Bookmark not defined. References ................................................................................................................................................................................................ 45 Information Security Management BS ISO IEC 17799:2005 SANS Audit Check List Auditor Name:__________________________ Audit Date:___________________________ Korenspondensi Name : ____________________________ Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 3 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance Security Policy 1.1 5.1 Kebijakan Keamanan Informasi Sasaran : Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hokum dan regulasi yang relevan. 1.1.1 5.1.1 Dokumen Kebijakan Keamanan Informasi 1.1.2 5.1.2 Review (Kajian) Kebijakan Keamanan Informasi Apakah ada kebijakan keamanan informasi, yang disetujui oleh manajemen pusat, dipublikasikan dan dikomunikasikan dengan tepat kepada semua karyawan? Apakah kebijakan menekankan komitmen manajemen dan menggunakan pendekatan organisasional untuk pengaturan keamanan informasi? Apakah kebijakan keamanan informasi direview pada interval yang direncanakan, dan apakah perubahan yang signifikan terhadi untuk kepastian kelangsungannya, kehandalannya, dan keefektifannya? Apakah kebijakan keamanan informasi dimiliki oleh instansi? siapa yang menyetujui tanggung jawab manajemen untuk pengembangan review dan evaluasi kebijakan keamanan ? Apakah terdapat prosedur review kebijakan keamanan dan apakah mereka mencakup persyaratan untuk review manajemen? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 4 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Apakah hasil review manajemen digunakan dalam kebijakan ini ? Apakah persetujuan manajemen diperoleh untuk merevisi kebijakan Organisasi Keamanan Informasi 2.1 6.1 Organisasi Internal Sasaran : untuk mengelola keamanan informasi dalam organisasi 2.1.1 6.1.1 Komitmen Manajemen Terhadap Keamanan Informasi 2.1.2 6.1.2 Koordinasi Keamanan Informasi Apakah manajemen menunjukkan dukungan yang aktif untuk ukuran keamanan dalam organisasi ? (Hal ini dapat dilakukan melalui arahan yang jelas, ditunjukkan dengan komitmen, penugasan yang eksplisit, dan pengetahuan mengenai tanggung jawab keamanan informasi) Apakah aktivitas keamanan informasi dikoordinasikan dengan perwakilan dari bagian yang berbeda pada organisasi, dengan tugas dan tanggung jawab masing-masing ? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 5 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 2.1.3 Audit Question Apakah tanggung Jawab untuk perlindungan aset individu, dan untuk melakukan proses keamanan tertentu, diidentifikasi dan didefinisikan dengan jelas? 6.1.3 Alokasi Tanggung Jawab Keamanan Informasi 2.1.4 6.1.4 Proses Otorisasi Untuk Fasilitas Proses Informasi 2.1.5 Apakah proses otorisasi manajemen didefinisikan dan diimplementasikan untuk fasilitas pemrosesan informasi terkini dalam organisasi? Apakah kebutuhan organsiasi akan Konfidealitas atau Non Disclosure Agreement (NDA) untuk perlindungan informasi ditetapkan dan direview dengan teratur? 6.1.5 Perjanjian Kerahasiaan Apakah ada pemenuhan persyaratan untuk melindungi informasi konfidensial dengan menggunakan hal-hal yang dapat dipaksanakan secara legal ? 2.1.6 6.1.6 Kontak Dengan Otoritas (Pihak Apakah ada sebuah prosedur yang mendeskripsikan kapan, dan siapa: otoritas yang relevan seperti penegak hukum, departemen pemadam, dll yang Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 6 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question harus dihubungi dan bagaimana insiden dapat dilaporkan? Berwenang) 2.1.7 6.1.7 Kontak Dengan Kelompok Khusus 2.1.8 6.1.8 Review (Kajian) Independen Terhadap Keamanan Informasi 2.2 Compliance Apakah ada dan terjadi pmeliharaan kontak dengan Kelompok Khusus atau forum spesialis keamanan lainnya, dan asosiasi professional? Apakah pendekatan organisasi untuk pengaturan keamanan informasi, dan implementasinya, direview secara independen pada interval yang direncanakan, atau kapan perubahan utama pada implementasi keamanan terjadi? 6.2 Pihak Luar (External) Sasaran : untuk memlihara keamanan informasi organisasi dan fasilitas pengolaan informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal 2.2.1 6.2.1 Identifikasi Resiko Terkait Dengan Pihak Eksternal Apakah resiko pada informasi organsiasi dan fasilitas pemrosesan informasi, dari sebuah proses yang melibatkan akses pihak eksternal, diidentifikasikan dan pengendalian yang sesuai dilaksanakan sebelum adanya pemberian akses? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 7 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 2.2.2 Audit Question Apakah semua persyaratan keamanan yang diidentifikasi terpenuhi sebelum memberikan akses pada konsumen mengenai aset atau informasi organisasi? 6.2.2 Penekanan Keamanan Ketika Berhubungan Dengan Pelanggan 2.2.3 6.2.3 Penekanan Keamanan Perjanjian Dengan Pihak Ketiga Apakah kesepakatan dengan pihak ketiga, meliputi pengaksesan, pemrosesan, mengkomunikasian atau pengaturan informasi organsiasi atau fasilitas pemrosesan informasi, atau pengenalan produk atau layanan pada fasilitas pemrosesan informasi, mematuhi seluruh persyaratan keamanan tertentu? Pengelolaan Aset 3.1 7.1 Tanggung Jawab Terhadap Aset Sasaran : untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi 3.1.1 7.1.1 Inventaris Aset Apakah semua aset diidentifikasikan dan inventori atau register dipelihara dengan semua aset yang penting? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 8 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings Kepemilikan Aset Apakah semua informasi dan aset yang terkait dengan fasilitas pengolahan informasi dimiliki oleh bagian dari organisasi yang ditunjuk? 3.1.2 3.1.3 7.1.2 Apakah peraturan untuk penggunaan yang dapat diterima pada informasi dan aset yang diasosiasikan dengan dasilitas pemrosesan informasi diidentifikasi, didokumentasikan dan diimplementasikan? 7.1.3 Penggunaan Aset yang Dapat Diterima 3.2 7.2 Klasifikasi Informasi Sasaran : untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat 3.2.1 Apakah informasi diklasifikasikan dalam istilah nilai, persyaratan hukum, sensitivitas dan kritikalitas pada organisasi? 7.2.1 Pedoman Klasifikasi 3.2.2 7.2.2 Pelabelan dan Penanganan Informasi Apakah bentuk prosedur tertentu didefinisikan untuk pelabelan dan penanganan informasi, sehubungan dengan skema klasifikasi yangd iadopsi oleh organisasi? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 9 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance Keamanan Sumberdaya Manusia 4.1 8.1 Sebelum diperkerjakan Sasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan fasilitas 4.1.1 8.1.1 Peran dan Tanggung Jawab Apakah peran keamanan karyawan dan tanggung jawab karyawan, kontraktor dan pengguna pihak ketiga didefinisikan dan didokumentasikan sehubungan dengan kebijakan sekuritas informasi organisasi ? Apakah peran dan tanggung jawab didefinisikan dan dikomunikasikan dengan jelas kepada calon karyawan selama proses pra-kerja ? 4.1.2 8.1.2 Penyaringan (Screening) Apakah pemeriksaan verifikasi latar belakang untuk semua calon pekerja, kontraktor, dan pengguna pihak ketiga dilakukan sesuai dengan peraturan yang relevan? Apakah pengecekan meliputi referensi karakter, konfirmasi atas kualifikasi akademik dan profesional yang diklaim dan pemeriksaan identitas independen? 4.1.3 8.1.3 Syarat dan Aturan Apakah pegawai, kontraktor dan pengguna pihak ketiga diminta untuk menandatangani syarat kerahasiaan atau perjanjian non-disclosure sebagai Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 10 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings Kepegawaian bagian dari persyaratan awal dan kondisi dari kontrak kerja? Compliance Apakah perjanjian ini mencakup tanggung jawab keamanan informasi dari organisasi dan pegawai, pengguna pihak ketiga dan kontraktor? 4.2 8.2 Selama Bekerja Sasaran : untuk memasikan bahwa semua pegawai, kontraktor dan pengguna pihak ketiga telah peduli terhadap ancaman dan masalah keamanan informasi, tanggung jawab dan pertanggung-gugatan mereka, dan disediakan perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi selama berkerja dan untuk mengurangi risiko kesalahan manusia 4.2.1 Apakah manajemen membutuhkan karyawan, kontraktor dan pengguna pihak ketiga untuk menerapkan keamanan yang sesuai dengan kebijakan yang ditetapkan dan prosedur organisasi? 8.2.1 Tanggung Jawab Manajemen 4.2.2 8.2.2 Kepedulian, Pendidikan Dan Pelatihan Keamanan Informasi 4.2.3 8.2.3 Proses Apakah semua karyawan dalam organisasi, dan jika relevan, kontraktor dan pengguna pihak ketiga, menerima pelatihan kesadaran keamanan yang tepat dan update reguler dalam kebijakan dan prosedur organisasi yang berkaitan dengan fungsi pekerjaan mereka ? Apakah ada proses pendisiplinan formal untuk karyawan yang telah melakukan pelanggaran Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 11 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings Pendisiplinan keamanan? 4.3 Compliance 8.3 Pengakhiran atau Perubahan Pekerjaan Sasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga keluar dari organisasi atau adanya perubahan pekerjaan dengan cara yang sesuai 4.3.1 Apakah tanggung jawab untuk melakukan pemutusan hubungan kerja, atau perubahan pekerjaan, didefinisikan dan ditugaskan dengan jelas? 8.3.1 Tanggung Jawab Pengakhiran Pekerjaan 4.3.2 4.3.3 Pengembalian Aset Apakah ada proses yang menjamin semua karyawan, kontraktor dan pengguna pihak ketiga menyerahkan semua aset organisasi dalam kepemilikan mereka atas pemutusan hubungan kerja mereka, kontrak atau perjanjian? Penghapusan Hak Akses Apakah hak akses dari semua karyawan, kontraktor dan pengguna pihak ketiga, pada fasilitas pengolahan informasi dan informasi akan dihapus setelah pemutusan hubungan kerja mereka, kontrak atau perjanjian, atau akan disesuaikan pada perubahan? 8.3.2 8.3.3 Keamanan Fisik dan Lingkungan Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 12 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 5.1 Keamanan Area 9.1 Audit Question Compliance Sasaran : untuk mencegah aksses fisik oleh pihak luar yang tidak berwenang, kerusakan dan interfensi terhadap lokasi dan informasi organisasi. 5.1.1 Apakah fasilitas keamanan perbatasan fisik telah dilaksanakan untuk melindungi layanan pemrosesan informasi? 9.1.1 Perimeter Keamanan Fisik 5.1.2 (Beberapa contoh fasilitas keamanan tersebut adalah kartu kendali gerbang masuk, dinding, penerimaan, meja resepsionis yang dijaga, finger print, dll) Apakah kontrol entri yang ada hanya ditujukan/dikhususkan untuk personil yang berwenang dalam berbagai bidang dalam organisasi? 9.1.2 Pengendalian Entri yang Bersifat Fisik 5.1.3 9.1.3 Mengamankan Kantor, ruangan dan fasilitas. 5.1.4 9.1.4 Perlindungan terhadap Ancaman Eksternal Dan Apakah ruangan, yang memiliki layanan pengolahan informasi, terkunci atau memiliki lemari atau brankas yang terkunci? Apakah perlindungan fisik terhadap kerusakan misalnya kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil dan bentuk lain dari bencana alam atau buatan manusia dirancang dan diterapkan? Apakah ada potensi ancaman yang berasal dari Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 13 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings Lingkungan tetangga. 5.1.5 9.1.5 Bekerja Pada Area Aman 5.1.6 9.1.6 Pengiriman Akses Publik dan Bongkar Muat 5.2 9.2 Compliance Apakah perlindungan fisik dan pedoman untuk bekerja di daerah aman dirancang dan diimplementasikan ? Apakah pengiriman, pemuatan, dan daerah lain di mana orang yang tidak berhak dapat memasuki tempat yang dikendalikan, dan fasilitas pengolahan informasi yang terisolasi, untuk menghindari akses yang tidak sah. Keamanan Peralatan Sasaran : untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan interupsi terhadap kegiatan organisasi. 5.2.1 9.2.1 Penempatan dan Perlindungan Peralatan 5.2.2 9.2.2 Sarana Pendukung Apakah peralatan dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan, dan peluang untuk akses yang tidak sah? Apakah peralatan tersebut dilindungi dari gangguan listrik dan gangguan lain yang disebabkan oleh kegagalan dalam utilitas pendukung? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 14 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Apakah peralatan pasokan listrik, seperti pakan ganda, Uninterruptible Power Supply (up), generator cadangan, dll digunakan? 5.2.3 Apakah kekuatan dan kabel telekomunikasi, yang membawa data atau mendukung layanan informasi, dilindungi dari intersepsi atau kerusakan? 9.2.3 Keamanan Kabel Apakah ada kontrol keamanan tambahan untuk mendapatkan informasi yang sensitif atau kritis. 5.2.4 9.2.4 Pemeliharaan Peralatan Apakah peralatan tersebut dengan benar dipertahankan untuk menjamin ketersediaan lanjutan dan integritas? Apakah peralatan tersebut dipertahankan, sesuai dengan interval servis pemasok yang direkomendasikan dan spesifikasinya? Apakah pemeliharaan dilakukan hanya oleh petugas yang berwenang? Apakah log dipelihara dari semua hal yang dicurigai atau aktual kesalahan dan semua tindakan pencegahan dan korektif? Apakah kontrol yang tepat diimplementasikan saat mengirim peralatan dari lokasi? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 15 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance Apakah peralatan diasuransikan dan persyaratan asuransi terpenuhi? 5.2.5 9.2.5 Keamanan Peralatan di Luar Lokasi Apakah risiko dinilai berkaitan dengan setiap penggunaan peralatan di luar lokasi organisasi, dan mitigasi kontrol dilaksanakan? Apakah penggunaan fasilitas pengolahan informasi luar organisasi telah disahkan oleh manajemen? 5.2.6 9.2.6 Penggunaan Kembali Peralatan 5.2.7 9.2.7 Pemindahan Property Apakah semua peralatan, yang berisi media penyimpanan, diperiksa untuk memastikan bahwa informasi sensitif atau perangkat lunak berlisensi secara fisik hancur, atau dijamin rusak, sebelum dibuang atau digunakan kembali? Apakah terdapat kontrol peralatan, informasi atau perangkat lunak tidak boleh dibawa keluar lokasi tanpa ijin yang berwenang? Manajemen Komunikasi Dan Operasi 6.1 10.1 Prosedur Oprasional dan Tanggung Jawab Sasaran : untuk memastikan pengoperasian fasilitas pengolahan informasi secara benar dan aman Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 16 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 6.1.1 Audit Question 10.1.1 Prosedur Operasi yang Terdokumenta si 6.1.2 10.1.4 Pemisahan Fasilitas Pengembangan , Pengujian dan Operasional 6.2 Apakah prosedur tersebut diperlakukan sebagai dokumen resmi, dan karena itu setiap perubahan yang dilakukan harus memiliki otorisasi manajemen? Apakah tugas dan lingkup tanggung jawab dipisahkan, untuk mengurangi peluang untuk modifikasi yang tidak tidak sah atau penyalahgunaan informasi, atau layanan? 10.1.3 Pemisahan Tugas 6.1.4 Apakah prosedur operasi didokumentasikan, dipelihara dan tersedia untuk semua pengguna yang membutuhkannya? Apakah semua perubahan ke fasilitas dan sistem pengolahan informasi dikendalikan? 10.1.2 Manajemen Perubahan 6.1.3 Compliance Apakah fasilitas pengembangan dan pengujian terisolasi dari fasilitas operasional? Sebagai contoh, pengembangan dan produksi software harus dijalankan pada komputer yang berbeda. Jika diperlukan, jaringan pengembangan dan produksi harus disimpan terpisah dari satu sama lain. 10.2 Manajemen Pelayanan Jasa Pihak Ketiga Sasaran : untuk menerapkan dan memelihara tingkat keamanan informasi dan pelayanan jasa yang sesuai Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 17 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question dengan perjanjian pelayanan jasa pihak ketiga. 6.2.1 10.2.1 Pelayanan Jasa 6.2.2 10.2.2 Monitoring Dan Review Pada Layanan Pihak Ketiga 6.2.3 10.2.3 Pengelolaan Perubahan Terhadap Jasa Pihak Ketiga 6.3 Apakah langkah-langkah yang diambil untuk memastikan bahwa kontrol keamanan, definisi jasa dan tingkat pengiriman, termasuk dalam perjanjian penyediaan layanan pihak ketiga, diterapkan, dioperasikan dan dipelihara oleh pihak ketiga? Apakah layanan, laporan dan catatan yang diberikan oleh pihak ketiga secara teratur dipantau dan dikaji? Apakah Audita dilakukan pada pihak ketiga atas jasa, laporan dan catatan, dengan interval reguler? Apakah perubahan pada penyediaan layanan, yang meliputi menjaga dan memperbaiki kebijakan keamanan informasi yang ada, prosedur dan pengendalian, dikelola? Apakah mempertimbangkan kritikal sistem dan proses bisnis terkait dan asesmen ulang dari resiko? 10.3 Perencanaan Dan Penerimaan Sistem Sasaran : untuk mengurangi resiko kegagalan sistem 6.3.1 10.3.1 Manajemen Kapasitas Apakah penggunaan sumber daya dipantau, disesuaikan dan dirpoyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja system Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 18 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question yang dipersyaratkan? Contoh: Pemantauan ruang hard disk, RAM dan CPU pada server kritis.. 6.3.2 Apakah kriteria penerimaan sistem ditetapkan untuk sistem informasi baru, upgrade dan versi baru? 10.3.2 Penerimaan Sistem 6.4 Apakah dilakukan pengujian sistem yang sesuai selama pengembangan dan sebelum penerimaan? 10.4 Perlindungan Terhadap Malicious Dan Mobile Code Sasaran : untuk melindungi integritas perangkat lunak (software) dan informasi 6.4.1 10.4.1 Pengendalian Terhadap Malicious Code 6.4.2 10.4.2 Pengendalian Terhadap Mobile Code Apakah pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan untuk melindungi dari malicious code dan prosedur kepedulian pengguna yang memadai telah diterapkan? Apakah kode mobile hanya diotorisasi kepada pengguna internal? Apakah konfigurasi memastikan bahwa kode mobile resmi beroperasi sesuai dengan kebijakan keamanan? Apakah pelaksanaan kode mobile yang tidak sah Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 19 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance dicegah? (Kode Mobile adalah kode software yang transfer dari satu komputer ke komputer lain dan kemudian dieksekusi secara otomatis. Code ini melakukan fungsi tertentu dengan sedikit atau tanpa campur tangan pengguna. Mobile code dikaitkan dengan sejumlah layanan middleware.) 6.5 10.5 Back-up Sasaran : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolaan informasi 6.5.1 10.5.1 Back-up Informasi Apakah back-up informasi dan perangkat lunak yang diambil dan diuji secara teratur sesuai dengan kebijakan back-up yang disetujui? Apakah semua informasi penting dan perangkat lunak dapat pulih setelah bencana atau kegagalan media? 6.6 10.6 Manajemen Keamanan Jaringan Sasaran : untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung. 6.6.1 10.6.1 Kontrol Jaringan Apakah jaringan telah dikelola dan dikendalikan secara memadai, agar terlindungi dari ancaman, dan untuk memlihara keamanan dari system dan aplikasi yang menggunakan jaringan, termasuk informasi dalam Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 20 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance transit? 6.6.2 10.6.2 Keamanan Layanan Jaringan Apakah fitur keamanan, tingkat layanan dan persyaratan manajemen, dari semua layanan jaringan, diidentifikasi dan termasuk dalam jaringan perjanjian layanan? Apakah kemampuan penyedia layanan jaringan, untuk mengelola layanan disepakati dalam cara yang aman, ditentukan dan dipantau secara teratur, dan hak untuk audit disepakati? 6.7 10.7 Penanganan Media Sasaran : untuk mencegah pengunkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah, dan gangguan kegiatan bisnis. 6.7.1 10.7.1 Manajemen Media Yang Removable (dapat dipindahkan) 6.7.2 10.7.2 Pemusnahan Media Apakah terdapat prosedur untuk pengelolaan removable media, seperti kaset, disk, kaset, kartu memori, dan laporan? Apakah semua prosedur dan tingkat otorisasi secara jelas deidefinisikan dan didokumentasikan ? Apakah media yang tidak diperlukan lagi dimusnahkan dengan aman, sesuai prosedur resmi atau formal? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 21 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 6.7.3 Audit Question Apakah terdapat prosedur untuk menangani penyimpanan informasi? 10.7.3 Prosedur Penanganan Informasi 6.7.4 Apakah prosedur ini mengatasi isu-isu, seperti perlindungan informasi, dari pengungkapan yang tidak sah atau penyalahgunaan informasi? Apakah dokumentasi sistem dilindungi terhadap akses yang tidak sah? 10.7.4 Keamanan Dokumentasi Sistem 6.8 10.8 Compliance Pertukaran Informasi Sasaran : untuk memelihara keamanan informasi dan software yang diperlukan dalam suatu organisasi dan dengan setiap entitas eksternal 6.8.1 10.8.1 Kebijakan Dan Prosedur Pertukaran Informasi 6.8.2 10.8.2 Perjanjian Pertukaran Apakah terdapat kebijakan prosedu dan pengendalian secara formal telah tersedia untuk melindungi pertukaran informasi dengan menggunakan semua jenis fasilitas komunikasi? Apakah perjanjian ditetapkan mengenai pertukaran informasi dan perangkat lunak antara organisasi dan pihak luar? Apakah isi keamanan perjanjian ini mencerminkan sensitivitas informasi bisnis yang terlibat? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 22 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings Media Fisik Dalam Transit Apakah media yang mengandung informasi dilindungi terhadap akses yang tidak sah, penyalahgunaan atau korupsi selama transportasi yang melampaui batas fisik organisasi? Pesan Elektronik Apakah informasi dalam bentuk pesan elektronik terlindungi dengan baik? (Pesan elektronik termasuk email, Elektronik Data Interchange, Instant Messaging) 6.8.3 6.8.4 6.8.5 10.8.3 10.8.4 10.8.5 Sistem Informasi Bisnis 6.9 Compliance Apakah kebijakan serta prosedur yang dikembangkan dan ditegakkan untuk melindungi informasi terkait dengan interkoneksi sistem informasi bisnis? 10.9 Layanan Commerce Electronik Sasaran : untuk memastikan keamanan layanan electronic commenrce dan keamanan penggunaannya. 6.9.1 10.9.1 E-Commerce Apakah informasi yang terlibat dalam perdagangan lewat elektronik melalui jaringan publik dilindungi dari aktivitas penipuan, perselisihan kontrak, dan akses yang tidak sah atau modifikasi? Apakah Keamanan kontrol seperti penerapan pengendalian kriptografi dipertimbangkan? 6.9.2 10.9.2 Transaksi Online Apakah informasi yang terlibat dalam transaksi online dilindungi untuk mencegah transmisi yang tidak lengkap, mis-routing, perubahan pesan yang tidak sah, Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 23 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question pengungkapan yang tidak sah, duplikasi pesan yang tidak sah atau replay? 6.9.3 10.9.3 Informasi Yang Tersedia Secara Umum 6.10 Apakah integritas dari informasi publik dilindungi terhadap modifikasi yang tidak sah? 10.10 Monitoring (Pemantauan) Sasaran : untuk mendeteksi kegiatan pengolahan informasi yang tidak sah 6.10.1 10.10.1 Log Audit Apakah log audit merekam kegiatan pengguna, pengecualian, dan kejadian keamanan informasi dihasilakn dan disimpan selama periode yang disetujui untuk membantu dalam penyelidikan masa depan dan pemantauan kontrol akses? Apakah Langkah perlindungan privasi yang tepat dipertimbangkan dalam Audit log pemeliharaan. 6.10.2 10.10.2 Pemantauan Penggunaan Sistem Apakah prosedur dikembangkan dan ditetapkan untuk memantau penggunaan sistem untuk fasilitas pengolahan informasi? Apakah hasil kegiatan pemantauan ditinjau secara berkala? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 24 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Apakah tingkat pengawasan diperlukan untuk fasilitas pengolahan informasi individu ditentukan oleh penilaian risiko? 6.10.3 Apakah fasilitas logging dan informasi log dilindungi 10.10.3 terhadap gangguan dan akses yang tidak sah? Perlindungan Pada Informasi Log 6.10.4 10.10.4 Log Administrator Dan Operator 6.10.5 10.10.5 Log atas kesalahan yang terjadi (fault Logging) 6.10.6 10.10.6 Sinkronisasi Penunjuk Waktu Apakah ada administrator sistem dan kegiatan sistem operator login? Apakah kegiatan login ditinjau secara teratur? Apakah kesalahan login dicatat dalam log, dianalisis dan diambil tindakan yang sesuai? Apakah penunjuk waktu dari seluruh sistem pengolahan informasi relevan dalam organisai atau domain keamanan telah disinkronisasikan dengan sumber penunjuk waktu akurat yang disepakati? (Pengaturan benar jam komputer penting untuk memastikan keakuratan audit log) Pengendalian Akses Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 25 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 7.1 Audit Question Compliance 11.1 Persyaratan Bisnis Untuk Pengendalian Akses Sasaran : untuk mengendalikan akses keoada informasi 7.1.1 11.1.1 Kebijakan Kontrol Akses Apakah kebijakan kontrol akses dikembangkan dan ditinjau didasarkan pada bisnis dan persyaratan keamanan? Apakah logis dan kontrol akses fisik dipertimbangkan dalam kebijakan? 7.2 11.2 Manajemen Akses User Sasaran : untuk memastikan akses oleh pengguna yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi 7.2.1 7.2.2 7.2.3 Registrasi User Apakah ada prosedur pendaftaran dan pembatalan pendaftaran pengguna secara formal untuk pemberian dan pencabutanakses terhadap seluruh layanan dan sistem informasi. Manajemen Hak Khusus Apakah alokasi dan penggunaan dari setiap hak istimewa dalam perangkat sistem informasi dibatasi dan dikendalikan ? (Keistimewaan dialokasikan pada kebutuhan untuk menggunakan dasar, hak dialokasikan hanya setelah proses otorisasi formal) 11.2.1 11.2.2 11.2.3 Manajemen Password Apakah alokasi dan realokasi password telah dikendalikan dengan proses manajemen formal? Apakah pengguna diminta untuk menandatangani Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 26 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings Pengguna pernyataan untuk menjaga password rahasia? 7.2.4 11.2.4 Review Terhadap Hak Akses User 7.3 Compliance Apakah terdapat proses untuk meninjau hak akses pengguna secara berkala? Contoh: hak istimewa khusus ditinjau setiap 3 bulan, hak istimewa yang normal setiap 6 bulan 11.3 Tanggung Jawab Pengguna Sasaran : untuk mencegah akses pengguna yang tidak sah dan gangguan atau pencurian atas informasi dan fasilitas pengolahan informasi. 7.3.1 Apakah terdapat praktik keamanan untuk memandu pengguna dalam memilih dan memelihara password yang aman? 11.3.1 Penggunaan Password 7.3.2 11.3.2 Peralatan yang ditinggalkan oleh penggunanya (unattended) 7.3.3 11.3.3 Apakah peralatan yang ditinggalkan oleh penggunanya telah dipastikan terlindungi dengan tepat? Contoh: Logoff saat sesi selesai atau mengatur auto log off, mengakhiri sesi ketika selesai dll, Apakah organisasi telah mengadopsi kebijakan clear desk berkaitan dengan kertas dan media penyimpanan Kebijakan Clear Desk dan removable? Apakah organisasi telah mengadopsi kebijakan clear Clear Screen screen berkaitan dengan fasilitas pengolahan Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 27 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question informasi? 7.4 11.4 Kontrol Akses Jaringan Sasaran : untuk mencegah akses yang tidak sah ke dalam jaringan 7.4.1 11.4.1 Kebijakan Penggunaan Layanan Jaringan 7.4.2 11.4.2 Otentikasi User Untuk Koneksi Eksternal 7.4.3 11.4.3 Identifikasi Peralatan Dalam Jaringan 7.4.4 11.4.4 Perlindungan terhadap Remote Apakah pengguna telah diberikan akses terhadap layanan yang telah diberikan kewenangan penggunaanya secara spesifik? Apakah telah digunakan metode otentikasi yang tepat untuk mengendalikan akses oleh pengguna remote? Apakah identifikasi peralatan otomatis dipertimbagkan sebagai cara untuk mengotentikasi koneksi dari lokasi dan peralatan khusus? Apakah akses fisik dan logical untuk port diagnostik dikendalikan dengan aman yaitu, dilindungi oleh mekanisme keamanan? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 28 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question diagnostic dan configuration port 7.4.5 11.4.5 Segrasi Dalam Jaringan Apakah kelompok layanan informasi, pengguna dan sistem informasi dipisahkan pada jaringan? Apakah jaringan (di mana mitra bisnis harus dan / atau pihak ketiga membutuhkan akses ke sistem informasi) dipisahkan menggunakan mekanisme keamanan perimeter seperti firewall? Apakah pertimbangan dibuat untuk pemisahan jaringan nirkabel dari jaringan internal dan swasta? 7.4.6 11.4.6 Kontrol Koneksi Jaringan 7.4.7 11.4.7 Pengendalian Routing Jaringan Apakah untuk jaringan yang digunakan bersama, khususnya perluasan jaringan yang melewati batas perusahaan, kapabilitas pengguna untuk terhubung dengan jaringan telah dibatasi, sejalan dengan kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis? Apakah pengendalian routing telah diterapkan ke dalam jaringan untuk memastikan bahwa koneksi computer dan aliran informasi tidak melanggar kebijakan pengendalian akases dari aplikasi bisnis? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 29 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 7.5 Audit Question 11.5 Pengoperasian Control Akses Sistem 7.5.1 11.5.1 Sasaran : untuk mencegah akses tidak sah ke dalam sistem operasi Apakah akses ke sistem operasi dikendalikan oleh Keamanan prosedur log-on yang aman? Prosedur Log On yang aman 7.5.2 11.5.2 Identifikasi Dan Otentikasi User Apakah identifikasi unik (user ID) disediakan untuk setiap pengguna seperti operator, administrator sistem dan semua staf lainnya termasuk teknisi? Apakah teknik otentikasi yang sesuai dipilih untuk memperkuat identitas yang diklaim pengguna? Apakah account pengguna generik disediakan hanya dalam keadaan luar biasa di mana ada manfaat bisnis yang jelas. Kontrol tambahan mungkin diperlukan untuk menjaga akuntabilitas? 7.5.3 Apakah terdapat sistem manajemen password yang memaksa berbagai kontrol sandi seperti: sandi individual untuk akuntabilitas, menegakkan perubahan password, menyimpan password dalam bentuk terenkripsi, tidak menampilkan password di layar dll? 11.5.3 Sistem Manajemen Password 7.5.4 11.5.4 Penggunaan Utilitas Sistem Apakahterdapat program utilitas yang mungkin mampu mengesampingkan sistem dan aplikasi kontrol yang dibatasi dan dikontrol dengan ketat? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 30 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 7.5.5 11.5.5 Session TimeOut 7.5.6 11.5.6 Pembatasan Waktu Koneksi 7.6 Audit Question Apakah sesi yang tidak aktif dalam jangka waktu tertentu telah mati? (Sebuah bentuk terbatas timeout dapat disediakan untuk beberapa sistem, yang membersihkan layar dan mencegah akses yang tidak sah tetapi tidak menutup sesi aplikasi atau jaringan. Apakah terdapat pembatasan waktu koneksi untuk aplikasi yang berisiko tinggi? 11.6 Aplikasi Dan Kontrol Akses Informasi Sasaran : untuk mencegah akses yang tidak sah terhadap informasi pada sistem aplikasi 7.6.1 11.6.1 Pembatasan Akses Informasi 7.6.2 11.6.2 Isolasi Sistem yang Sensitif Apakah akses ke informasi dan fungsi sistem aplikasi oleh pengguna dan personel pendukung dibatasi sesuai dengan kebijakan yang ditetapkan kontrol akses? Apakah sistem yang sensitif disediakan dengan dedicated (terisolasi) lingkungan komputasi seperti berjalan pada komputer, sumber daya yang berdedikasi hanya berbagi dengan sistem aplikasi terpercaya, dll? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 31 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 7.7 Audit Question Compliance 11.7 Mobile Computing And Teleworking(Kerja Jarak Jauh) Sasaran : untuk memastikan keamanan informasi ketika menggunakan fasilitas mobile computing dan kerja jarak jauh 7.7.1 11.7.1 Mobile Computing dan Komunikasi Apakah kebijakan formal di tempat, dan langkahlangkah keamanan yang sesuai diadopsi untuk melindungi terhadap risiko menggunakan komputasi mobile dan fasilitas komunikasi? Beberapa contoh komputasi Mobile dan fasilitas komunikasi meliputi: notebook, palmtop, laptop, smartCard, ponsel. Apakah risiko seperti bekerja di lingkungan yang tidak dilindungi diperhitungkan oleh kebijakan komputasi Mobile? 7.7.2 11.7.2 Teleworking Apakah kebijakan, rencana dan prosedur operasional dikembangkan dan diimplementasikan untuk kegiatan teleworking? Apakah kegiatan teleworking diotorisasi dan dikendalikan oleh manajemen dan apakah hal itu menjamin bahwa pengaturan yang sesuai di tempat untuk cara kerja? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 32 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance Akusisi, Pengembangan dan Pemeliharaan Sistem Informasi 8.1 12.1 Persyratan Keamanan System Informasi Sasaran : untuk memastikan bahwa keamanan merupakan bagian yang utuh dari sistem informasi 8.1.1 12.1.1 Analisis Dan Spesifikasi Persyaratan Keamanan Apakah persyaratan keamanan untuk sistem informasi baru dan peningkatan sistem informasi yang ada menentukan persyaratan untuk kontrol keamanan? Apakah persyaratan keamanan dan kontrol diidentifikasi mencerminkan nilai bisnis dari aset informasi yang terlibat dan konsekuensi dari kegagalan Keamanan? Apakah persyaratan sistem untuk keamanan informasi dan proses untuk implementasi keamanan terintegrasi dalam tahap awal proyek sistem informasi. 8.2 12.2 Pengolahan yang Benar Dalam Palikasi Sasaran : untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi 8.2.1 12.2.1 Validasi Data Input Apakah input data ke sistem aplikasi divalidasi untuk memastikan bahwa itu adalah benar dan tepat. Apakah kontrol seperti: Berbagai jenis inputan untuk memeriksa pesan kesalahan, Prosedur untuk merespons Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 33 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance kesalahan validasi, mendefinisikan tanggung jawab semua personel yang terlibat dalam proses masukan data dll, dipertimbangkan? 8.2.2 12.2.2 Pengendalian pengolahan Internal 8.2.3 12.2.3 Integritas Pesan Apakah pengecekan validasi dimasukkan ke dalam aplikasi untuk mendeteksi kerusakan informasi melalui kesalahan pengolahan atau tindakan yang disengaja? Apakah desain dan implementasi aplikasi memastikan bahwa risiko dari kegagalan pengolahan menyebabkan hilangnya integritas dapat diminimalkan? Apakah persyaratan untuk menjamin dan melindungi integritas pesan dalam aplikasi diidentifikasi, dan kontrol yang tepat diidentifikasi dan diterapkan? Apakah penilaian resiko keamanan dilakukan untuk menentukan apakah integritas pesan diperlukan, dan untuk mengidentifikasi metode yang paling tepat pelaksanaan? 8.2.4 12.2.4 Validasi Output Data 8.3 Apakah output data sistem aplikasi divalidasi untuk memastikan bahwa pengolahan informasi yang disimpan adalah benar dan sesuai dengan keadaan? 12.3 Control Cryptographic Sasaran : untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi 8.3.1 12.3.1 Kebijakan Apakah organisasi memiliki kebijakan tentang penggunaan kontrol kriptografi untuk perlindungan Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 34 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings tentang penggunaan pengendalian kriptografi informasi? 8.3.2 12.3.2 Manajemen Kunci Apakah kebijakan tersebut berhasil diterapkan? Apakah kebijakan kriptografi mempertimbangkan pendekatan manajemen terhadap penggunaan kontrol kriptografi, hasil penilaian risiko untuk mengidentifikasi tingkat yang diperlukan perlindungan, metode manajemen kunci dan berbagai standar untuk implementasi yang efektif? Apakah manajemen kunci ada untuk mendukung penggunaan organisasi teknik kriptografi? Apakah kunci kriptografi dilindungi terhadap modifikasi, kehilangan, dan kerusakan? Apakah kunci rahasia dan kunci privat dilindungi terhadap pengungkapan yang tidak sah? Apakah sistem manajemen kunci didasarkan pada kesepakatan mengenai standar, prosedur dan metode yang aman? 8.4 12.4 Keamanan File Sistem Sasaran : untuk memastikan keamanan sistem file 8.4.1 12.4.1 Pengendalian perangkat Apakah ada prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional? (Hal ini untuk meminimalkan risiko korupsi sistem Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 35 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings lunak yang operasional operasional.) 8.4.2 Apakah data pengujian sistem dilindungi dan dikendalikan? 12.4.2 Perlindungan Data Uji Sistem 8.4.3 Apakah penggunaan informasi pribadi atau informasi sensitif untuk pengujian basis data operasional dihindari? 12.4.3 Pengendalian akses terhadap kode sumber program 8.5 Apakah kontrol ketat ada untuk membatasi akses ke perpustakaan sumber program? (Hal ini untuk menghindari potensi yang tidak sah, perubahan yang tidak disengaja.) 12.5 Keamanan Dalam Proses Pengembangan dan Pendukung Sasaran : untuk memelihara keamanan software sistem aplikasi dan informasi 8.5.1 Apakah ada prosedur kontrol yang ketat di tempat selama pelaksanaan perubahan pada sistem informasi? (Hal ini untuk meminimalkan kerusakan sistem informasi.) 12.5.1 Prosedur pengendalian perubahan 8.5.2 12.5.2 Review Teknis Pada Aplikasi Apakah ada tinjauan dan pengujian apabila sistem diubah untuk memastikan tidak ada dampak yang merugikan terhadap organisasi atau keamanan? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 36 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Setelah Perubahan Sistem Operasi 8.5.3 Apakah modifikasi paket perangkat lunak tidak 12.5.3 disarankan dan / atau terbatas pada perubahan yang Pembatasan diperlukan? Atas Perubahan Apakah semua perubahan dikontrol secara ketat? Terhadap Paket Software 8.5.4 12.5.4 Kebocoran Informasi 8.5.5 Apakah ada pencegahan terhadap peluang kebocoran informasi? Apakah pengembangan perangkat lunak outsourcing 12.5.5 Pengembangan diawasi dan dipantau oleh organisasi? Software Yang Apakah poin seperti: pengaturan Perizinan, pengaturan escrow, persyaratan kontrak untuk jaminan kualitas, Outsource pengujian sebelum instalasi untuk mendeteksi kode Trojan dll, diterapkan? 8.6 12.6 Manajemen Kerawanan Teknis 8.6.1 Apakah informasi tepat waktu mengenai kerentanan 12.6.1 Kontrol Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 37 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings Kerawanan Teknis teknis dari sistem informasi yang digunakan diperoleh? Compliance Apakah paparan organisasi untuk kerentanan tersebut dievaluasi dan langkah yang tepat diambil untuk mengurangi risiko yang terkait? Manajemen Insiden Keamanan Informasi 9.1 13.1 Pelaporan Kejadian Dam Kelemahan Keamanan Informasi Sasaran : untuk memastikan kejadian dan kelemahan informasi terkait dengan sistem informasi dikumunikasikan sedemikan rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu 9.1.1 9.1.2 9.2 Pelaporan Kejadian Keamanan Informasi Apakah kejadian keamanan informasi dilaporkan melalui saluran manajemen yang tepat secepat mungkin? Apakah keamanan acara pelaporan prosedur, respon Insiden informasi formal dan prosedur eskalasi dikembangkan dan diimplementasikan? Pelaporan Kelemahan Keamanan Apakah terdapat prosedur yang menjamin semua sistem informasi karyawan dan layanan yang diperlukan untuk mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau dicurigai dalam sistem atau layanan? 13.1.1 13.1.2 13.2 Manajemen Insiden Keamanan Informasi dan Perbaikan Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 38 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance sasaran : untuk memastikan pendekatan yang konsisten dan efektif diterapkan untuk manajemen insiden keamanan informasi 9.2.1 Apakah tanggung jawab manajemen dan prosedur telah dibentuk untuk memastikan respon cepat, efektif dan teratur terhadap insiden keamanan informasi? Apakah terdapat pemantauan sistem, peringatan, dan kerentanan yang digunakan untuk mendeteksi insiden keamanan informasi? 13.2.1 Tanggung Jawab Dan Prosedur 9.2.2 13.2.2 Pemberlajaran Dari Insiden Keamanan Informasi 9.2.3 13.2.3 Pengumpulan Bukti Apakah ada mekanisme untuk mengidentifikasi dan menghitung jenis, volume dan biaya insiden keamanan informasi? Apakah informasi yang diperoleh dari evaluasi insiden keamanan informasi masa lalu digunakan untuk mengidentifikasi insiden dampak berulang atau tinggi? Apakah tindak lanjut terhadap orang atau organisasi setelah insiden keamanan informasi melibatkan tindakan hukum (baik perdata atau pidana)? Apakah bukti yang berkaitan dengan insiden itu dikumpulkan, disimpan dan disajikan agar sesuai dengan aturan untuk bukti yang ditetapkan dalam yurisdiksi yang relevan ? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 39 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance Manajemen Keberlanjutan Bisnis 10.1 14.1 Aspek Keamanan Informasi Pada Manajemen Keberlanjutan Bisnis Sasaran : untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dan efek kegagalan utama sistem innformasi atau bencana dan untuk memastikan keberlanjutan secara tepat waktu. 10.1.1 14.1.1 Memasukan keamanan informasi dalam proses manajemen keberlanjutan bisnis 10.1.2 14.1.2 Keberlanjutan bisnis dan asesmen resiko 10.1.3 14.1.3 Pengembangan dan Penerapan Apakah ada proses yang dikelola yang membahas persyaratan keamanan informasi untuk mengembangkan dan mempertahankan kelangsungan bisnis di seluruh organisasi? Apakah proses ini memahami risiko organisasi menghadapi, mengidentifikasi aset bisnis penting, mengidentifikasi dampak insiden, mempertimbangkan pelaksanaan kontrol pencegahan tambahan dan mendokumentasikan kelangsungan rencana bisnis menangani persyaratan keamanan? Apakah peristiwa yang menyebabkan gangguan terhadap proses bisnis diidentifikasi bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensi mereka untuk keamanan informasi? Apakah rencana dikembangkan untuk mempertahankan dan memulihkan operasi bisnis, menjamin ketersediaan informasi dalam tingkat yang Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 40 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Audit Question Findings rencana Keberlanjutan Termasuk Keamanan Informasi diperlukan dalam kerangka waktu yang diperlukan menyusul gangguan atau kegagalan untuk proses bisnis? Apakah rencana menganggap identifikasi dan kesepakatan tanggung jawab, identifikasi kerugian diterima, pelaksanaan pemulihan dan prosedur restorasi, dokumentasi prosedur dan pengujian berkala? 10.1.4 14.1.4 Kerangka Kerja Perencanaan Keberlanjutan Bisnis 10.1.5 14.1.5 Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan bisnis Apakah ada kerangka tunggal rencana kesinambungan bisnis? Apakah kerangka ini dipertahankan untuk memastikan bahwa semua rencana yang konsisten dan mengidentifikasi prioritas untuk pengujian dan pemeliharaan? Apakah rencana kelanjutan bisnis diuji secara teratur untuk memastikan bahwa mereka yang up to date dan efektif? Apakah kelangsungan tes rencana bisnis memastikan bahwa semua anggota tim pemulihan dan staf lain yang relevan menyadari rencana dan tanggung jawab mereka untuk kelangsungan bisnis dan keamanan informasi dan mengetahui peran mereka ketika rencana ditimbulkan? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 41 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Compliance Kesesuaian 11.1 15.1 Kesesuaian Dengan Persayaratan Hukum Sasaran : untuk mencegah pelanggaran terhadap undang-undang, peraturan perundang-undangan aatau kewajiban kontrak dan setiap persayaratan keamanan. 11.1.1 Apakah semua hukum, peraturan, persyaratan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan secara eksplisit didefinisikan dan didokumentasikan untuk setiap sistem informasi dan organisasi? 15.1.1 Identifikasi peraturan hokum yang berlaku 11.1.2 Apakah kontrol tertentu dan tanggung jawab masingmasing untuk memenuhi persyaratan ini didefinisikan dan didokumentasikan? 15.1.2 Hak Kekayaan Intelektual (HAKI) Apakah ada prosedur untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan dan kontrak pada penggunaan bahan dalam hal yang mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik? Apakah prosedur dilaksanakan dengan baik? 11.1.3 15.1.3 Perlindungan rekaman Organisasi Apakah catatan penting dari organisasi ini dilindungi dari kerugian kerusakan dan pemalsuan, sesuai dengan undang-undang, peraturan, kontrak dan persyaratan bisnis? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 42 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings Audit Question Apakah pertimbangan diberikan untuk kemungkinan kerusakan media yang digunakan untuk penyimpanan catatan? Apakah sistem penyimpanan data yang dipilih sehingga data yang diperlukan dapat diambil dalam jangka waktu yang dapat diterima dan formatnya, tergantung pada persyaratan yang harus dipenuhi? 11.1.4 Apakah perlindungan data dan privasi dijamin sesuai undang-undang, peraturan, dan jika berlaku sesuai klausul kontrak? 15.1.4 Perlindungan Data dan Rahasia Informasi Pribadi 11.1.5 15.1.5 Pencegahan penyalahgunaa n fasilitas pengolahan informasi Apakah penggunaan fasilitas pengolahan informasi untuk setiap non-bisnis atau tidak sah tujuan, tanpa persetujuan manajemen diperlakukan sebagai penyalahgunaan fasilitas? Apakah log-on pesan peringatan disajikan pada layar komputer sebelum log-on. Apakah pengguna harus mengakui peringatan dan bereaksi dengan tepat untuk pesan pada layar untuk melanjutkan dengan proses logon? Apakah nasihat hukum diambil sebelum menerapkan prosedur pemantauan apapun? Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 43 Compliance MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 11.1.6 Audit Question Apakah kontrol kriptografi yang digunakan sesuai dengan semua perjanjian yang relevan, hukum, dan peraturan? 15.1.6 Regulasi Pengendalian kriptografi 11.2 Compliance 15.2 Pemenuhan Terhadap Kebijakan Keamanan dan Standar, dan Pemenuhan Teknis Sasaran : untuk memastikan pemenuhan sistem terhadap kebijakan dan standard keamanan organisasi 11.2.1 15.2.1 Pemenuhan terhadap kebijakan keamanan dan standar 11.2.2 15.2.2 Pengecekan pemenuhan teknis 11.3 Apakah manajer memastikan bahwa semua prosedur keamanan di dalam wilayah tanggung jawab mereka dilakukan dengan benar untuk mencapai sesuai dengan kebijakan keamanan dan standard? Apakah manajer secara teratur meninjau kepatuhan fasilitas pengolahan informasi dalam bidang tanggung jawab untuk mematuhi kebijakan keamanan yang sesuai dan prosedur? Apakah sistem informasi secara teratur diperiksa untuk memenuhi standar implementasi keamanan? Apakah pengawasan kelengkapan teknis dilakukan oleh, atau di bawah pengawasan, kompeten, personil yang berwenang? 15.3 Pertimbangan Audit Sistem Informasi Sasaran : untuk memaksimalkan keefektifan dari dan untuk meminimalkan interferensi kepada/dari proses audit sistem informasi Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 44 MSI-UKSW BS ISO IEC 17799 2005 Audit Checklist 22/07/2017 Information Security Management BS ISO IEC 17799:2005 Audit Check List Reference Audit area, objective and question Results Checklist Standard Section Findings 11.3.1 15.3.1 Pengendalian audit sistem informasi Audit Question Compliance Apakah persyaratan audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional telah hati-hati direncanakan dan setuju untuk meminimalkan risiko gangguan proses bisnis? Apakah persyaratan audit, ruang lingkup yang disepakati dengan manajemen yang tepat? 11.3.2 15.3.2 Apakah akses ke perangkat audit sistem informasi seperti perangkat lunak atau file data yang dilindungi Perlindungan untuk mencegah penyalahgunaan yang mungkin atau terhadap alat audit informasi kompromi? Apakah perangkat audit sistem informasi dipisahkan dari pengembangan dan sistem operasional, kecuali diberikan tingkat perlindungan yang sesuai tambahan? References 1. BS ISO/IEC 17799:2005 (BS 7799-1:2005) Information technology. Security techniques. Code of practice for information security management 2. Draft BS 7799-2:2005 (ISO/IEC FDIS 27001:2005) Information technology. Security techniques. Information security management systems. Requirements 3. Information technology – Security techniques – Information security management systems – Requirement. BS ISO/ IEC 27001:2005 BS 7799-2:2005. Magister Sistem Informasi – Universitas Kristen Satya Wacana Page - 45
