Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 4 4.1 4.2 4.3 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Context of the organization Understanding the Organization and Its Context The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system. Understanding the Needs and Expectations of Interested Parties The organization shall determine: a) interested parties that are relevant to the information security management system; and b) the requirements of these interested parties relevant to information security. Determining the Scope of the ISMS The organization shall determine the boundaries and applicability of the information security management system to establish its scope. When determining this scope, the organization shall consider: a) the external and internal issues referred to in 4.1; b) the requirements referred to in 4.2; and c) interfaces and dependencies between activities performed by the organization, and those that are d) performed by other organizations. The scope shall be available as documented information. Apakah terdapat isu baik internal atau eksternal terkait dengan pelaksanaan pekerjaan dan keamanan informasi? Apakah isu-isu internal dan eksternal tersebut telah diidentifikasi & didokumentasikan? Periksa apakah terdapat dokumen Konteks Organisasi dan Ruang Lingkup. Status: ... Bukti: ... Apakah terdapat pihak-pihak lain yg terkait dengan proses / layanan yg ada di organisasi? Jika ada, apakah pihak terkait tersebut telah diidentifikasi? Apakah kebutuhan organisasi terhadap pihak-pihak terkait tersebut? Apakah yg menjadi ekspektasi dari pihak terkait terhadap organisasi? Apakah telah didokumentasikan? Periksa apakah terdapat dokumen Konteks Organisasi dan Ruang Lingkup. Status: ... Apakah telah ditetapkan lingkup penerapan untuk Sistem Manajemen Keamanan Informasi (SMKI) di organisasi? Cakupan ruang lingkup penerapan? Apa saja yang menjadi pertimbangan dalam menetapkan ruang lingkup penerapan? Bagaimana bentuk dokumentasi & pengesahan? Periksa apakah terdapat dokumen Konteks Organisasi dan Ruang Lingkup. Status: ... Bukti: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 4.4 5 5.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Determining the Scope of the ISMS The organization shall establish, implement, maintain Apakah telah terdapat pernyataan formal bahwa and continually improve an information security organisasi menerapkan Sistem Manajemen management system, in accordance with the Keamanan Informasi (SMKI)? requirements of this International Standard. Bentuk dokumentasi & pengesahan? Periksa apakah terdapat dokumen Konteks Organisasi dan Ruang Lingkup. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Leadership Leadership and Commitment The organization shall establish, implement, maintain and continually improve an information security. Top management shall demonstrate leadership and commitment with respect to the information security management system by: a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization; b) ensuring the integration of the information security management system requirements into the organization’s processes; c) ensuring that the resources needed for the information security management system are available; d) communicating the importance of effective information security management and of conforming to e) the information security management system requirements; f) ensuring that the information security management system achieves its intended outcome(s); g) directing and supporting persons to contribute to the effectiveness of the information security management system; h) promoting continual improvement; and i) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility. Apakah Top Management telah memberikan arahan serta menunjukkan komitmennya dalam hal penerapan SMKI? Apakah telah dikomunikasikan kepada pada pegawai? Dalam bentuk apakah? Apakah penerapan SMKI telah diintegrasikan atau diterapkan dalam proses bisnis di organisasi? Apakah kebutuhan sumber daya terkait SMKI telah dapat dipenuhi oleh Top Management? Dalam bentuk apakah? Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 5.2 5.3 PRASYARAT STANDAR ISO 27001:2013 Policy Top management shall establish an information security policy that: a) is appropriate to the purpose of the organization; b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives; c) includes a commitment to satisfy applicable requirements related to information security; and d) includes a commitment to continual improvement of the information security management system. The information security policy shall: e) be available as documented information; f) be communicated within the organization; and g) be available to interested parties, as appropriate. Organization Roles and Responsibility Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated. Top management shall assign the responsibility and authority for: a) ensuring that the information security management system conforms to the requirements of this International Standard; and b) reporting on the performance of the information security management system to top management. PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Apakah kebijakan keamanan informasi telah ditetapkan dan telah selaras dengan arah proses dan strategi organisasi? Apakah kebijakan keamanan informasi telah dikomunikasikan kepada pegawai dan pihak-pihak terkait/relevan? Bagaimana bentuk komunikasinya? Apakah Kebijakan Keamanan Informasi tersebut telah didokumentasikan secara formal? Apakah dokumen kebijakan keamanan informasi tersedia bagi dan dapat diakses oleh pegawai dan pihak terkait/relevan? Bagaimana caranya? Status: ... Apakah telah ditetapkan peran tertentu/khusus berikut dengan uraian tugas dan tanggung jawab yang terkait dengan penerapan SMKI? Apakah telah didokumentasikan secara formal dan disahkan? Status: ... Bukti: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 6 6.1 6.1.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Planning Actions To Address Risk and Opportunities General When planning for the information security Apakah telah dilaksanakan proses identifikasi dan management system, the organization shall consider pengelolaan risiko di organisasi? the issues referred to in 4.1 and the requirements Apakah telah dilakukan identifikasi risiko terkait referred to in 4.2 and determine the risks and dengan isu-isu internal dan eksternal yang telah opportunities that need to be addressed to: diidentifikasi sebelumnya? a) ensure the information security management system can achieve its intended outcome(s); b) prevent, or reduce, undesired effects; and c) achieve continual improvement. d) The organization shall plan: e) actions to address these risks and opportunities; and f) how to: 1) integrate and implement the actions into its information security management system processes; and 2) evaluate the effectiveness of these actions. Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 6.1.2 PRASYARAT STANDAR ISO 27001:2013 Information Security Risk Assessment The organization shall define and apply an information security risk assessment process that: a) establishes and maintains information security risk criteria that include: 1) the risk acceptance criteria; and 2) criteria for performing information security risk assessments; b) ensures that repeated information security risk assessments produce consistent, valid and comparable results; c) identifies the information security risks: 1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and 2) identify the risk owners; d) analyses the information security risks: 1) assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize; 2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and 3) determine the levels of risk; e) evaluates the information security risks: f) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and g) prioritize the analysed risks for risk treatment. The organization shall retain documented information about the information security risk assessment process. PANDUAN / PERTANYAAN Apakah telah ditetapkan pedoman / prosedur untuk melakukan pengelolaan risiko? Bagaimana metode untuk melakukan pengelolaan risiko? Apa saja kriteria / skala nilai dalam melakukan penilaian risiko? Apa saja kriteria penerimaan risiko (risk acceptance)? Apakah telah dilakukan identifikasi risk owner? Bagaimana ketentuan mengenai penetapan prioritas penanganan risiko? Bagaimana langkah penanganan terkait dengan prioritasnya? * cek prasyarat standar KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL PRASYARAT STANDAR ISO 27001:2013 6.1.3 Information Security Risk Treatment The organization shall define and apply an information security risk treatment process to: a) select appropriate information security risk treatment options, taking account of the risk assessment results; b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen; c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted; d) produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A; e) formulate an information security risk treatment plan; and f) obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks. The organization shall retain documented information about the information security risk treatment process. PANDUAN / PERTANYAAN Apakah telah ditetapkan rencana penanganan risiko (risk treatment plan/RTP) untuk setiap risiko yang dinyatakan harus dimitigasi? Apakah telah dilakukan proses persetujuan (approval) oleh Risk Owner untuk setiap RTP yang ditetapkan? Bagaimana prosesnya? Apakah untuk masing-masing RTP telah ditetapkan target waktu serta penanggung jawab untuk pelaksanaan rencana penanganan yang telah ditetapkan? Periksa dokumen RTP untuk memastikan kesesuaian dengan prasyarat standar ISO 27001:2013. Apakah telah dilakukan penetapan Statement of Applicability (SoA)? Apakah SoA telah memuat uraian deskripsi justifikasi untuk masing-masing kontrol Annex A baik untuk yang diimplementasikan ataupun tidak? Kontrol mana sajakah yang dinyatakan tidak diimplementasikan dan mengapa alasannya? * cek prasyarat standar KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 6.2 7 7.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Information Security Objectives and Planning to Achieve Them The organization shall establish information security Apakah telah ditetapkan perencanaan mengenai objectives at relevant functions and levels. Sasaran SMKI (ISMS Objectives)? The information security objectives shall: Berdasarkan standar, perencanaan Sasaran SMKI a) be consistent with the information security policy; harus memuat setidaknya: b) be measurable (if practicable); - deskripsi sasaran c) take into account applicable information security - pemetaan terhadap risiko yang telah requirements, and results from risk assessment diidentifikasi; and risk treatment; - tindakan/langkah apa yang akan dilakukan; d) be communicated; and - terget pencapaian; e) be updated as appropriate. - kebutuhan sumber daya; - penanggung jawab / pelaksana; The organization shall retain documented - target waktu; information on the information security objectives. - langkah evaluasi. When planning how to achieve its information Periksa apakah perihal-perihal tersebut telah security objectives, the organization shall determine: tercakup pada dokumen Sasaran SMKI organisasi? f) what will be done; Apakah Sasaran SMKI telah didokumentasikan g) what resources will be required; secara formal? h) who will be responsible; Apakah telah dilakukan pengukuran terhadap i) when it will be completed; and Sasaran SMKI? j) j) how the results will be evaluated. Bagaimana pencapaiannya? KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Support Resources The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system. Bagaimana cara organisasi mengalokasikan sumber daya yang dibutuhkan terkait penerapan SMKI? Apakah telah didokumentasikan secara formal? Dalam bentuk? Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL PRASYARAT STANDAR ISO 27001:2013 7.2 Competence The organization shall: a) determine the necessary competence of person(s) doing work under its control that affects its information security performance; b) ensure that these persons are competent on the basis of appropriate education, training, or experience; c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and d) retain appropriate documented information as evidence of competence. 7.3 PANDUAN / PERTANYAAN KONDISI TERKINI Apakah terdapat kriteria kompetensi personil terkait dengan pelaksanaan pekerjaan dan penerapan SMKI? Apa saja kriteria kompetensi tersebut? Periksa Matriks Kompetensi. Apakah telah dilakukan penilaian terhadap kompetensi personil? Periksa hasil penilaian. Dari hasil penilaian kompetensi tersebut, apakah telah ditetapkan rencana tindak lanjutnya? Dalam bentuk apakah? Jika berbentuk Rencana Pelatihan, bagaimana bentuk Rencana Pelatihan tersebut? Bagaimana pelaksaanaannya? Periksa Rencana Pelatihan. Apakah telah dilaksanakan evaluasi terhadap hasil dari pelaksanaan pelatihan? Bagaimana hasil evaluasinya? Apakah penilaian kompetensi berikut rencana tindak lanjut terkait telah didokumentasikan secara formal? Awareness Persons doing work under the organization’s control Apakah telah dilakukan Sosialisasi dan/atau shall be aware of: Awareness terkait dengan Keamanan Informasi a) the information security policy; serta Kebijakan / Pedoman / Prosedur yang b) their contribution to the effectiveness of the terkait? information security management system, Bagaimana metode pelaksanaannya? Media including the benefits of improved information apakah yang digunakan? Apa saja yang menjadi security performance; and materinya? Kapan dilaksanakan? c) c) the implications of not conforming with the Periksa Dokumentasi mengenai pelaksanaan information security management system Sosialisasi dan/atau Awareness Keamanan requirements Informasi. STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 7.4 7.5 7.5.1 7.5.2 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Communications The organization shall determine the need for internal and external communications relevant to the information security management system including: a) on what to communicate; b) when to communicate; c) with whom to communicate; d) who shall communicate; and e) the processes by which communication shall be effected. Documented Information General The organization’s information security management system shall include: a) documented information required by this International Standard; and b) b) documented information determined by the organization as being necessary for the effectiveness of the information security management system. Creating and Updating When creating and updating documented information the organization shall ensure appropriate: a) identification and description (e.g. a title, date, author, or reference number); b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and c) c) review and approval for suitability and adequacy. KONDISI TERKINI STATUS & BUKTI PENUNJANG Apakah penerapan SMKI beserta dokumentasi terkait telah dikomunikasikan kepada pihak-pihak terkait yang relevan? Bagaimana metode komunikasinya? Berdasarkan standar, dokumentasi proses komunikasi harus memuat setidaknya: - topik yang dikomunikasikan; - periode / frekuensi komunikasi; - tujuan / target audiens; - penanggung jawab pelaksana komunikasi; - media komunikasi. Periksa apakah terdapat dokumen Tabel Komunikasi yang memuat konten sesuai dengan ketentuan standar ISO 27001:2013. Status: ... Apakah telah terdapat pedoman / prosedur mengenai pengelolaan informasi / dokumentasi di organisasi? Periksa konten pedoman / prosedur tersebut. Status: ... Periksa mengenai proses terkait dokumentasi sebagai berikut: - identifikasi & deskripsi dokumen; - format & media; - pengesahan & review; apakah dilakukan konsisten sesuai ketentuan? Periksa konsistensi proses penomoran dokumen. Periksa konsistensi proses versioning dokumen. Status: ... Bukti: ... Bukti: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL PRASYARAT STANDAR ISO 27001:2013 7.5.3 Control of Documented Information Documented information required by the information security management system and by this International Standard shall be controlled to ensure: a) it is available and suitable for use, where and when it is needed; and b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity). For the control of documented information, the organization shall address the following activities, as applicable: c) distribution, access, retrieval and use; d) storage and preservation, including the preservation of legibility; e) control of changes (e.g. version control); and f) retention and disposition. PANDUAN / PERTANYAAN Apakah telah terdapat pedoman / prosedur mengenai penanganan informasi / dokumen? Bagaimana cara penyimpanan dokumen? Bagaimana langkah pengamanan terhadap lokasi dan/atau media penyimpanan dokumen? Bagaimana proses / langkah untuk dapat mengakses informasi / dokumen? Bagaimana ketentuan mengenai masa retensi dokumen? Langkah apa yang dilakukan jika terdapat dokumen yang telah mencapai masa retensi? Bagaimana cara untuk melakukan kontrol terhadap perubahan dokumen? Bagaimana proses distribusi dan/atau pemberian akses terhadap dokumen kepada pihak yang membutuhkan? Periksa lokasi penyimpanan dokumen terkait dengan langkah pengamanannya. Periksa apakah dokumen dapat diakses dengan mudah ketika dibutuhkan oleh pihak yang memiliki wewenang, dengan cara sesuai dengan ketentuan yang berlaku. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 8 8.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Operations Operational Planning and Control The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1. The organization shall also implement plans to achieve information security objectives determined in 6.2. Apakah telah ditetapkan perencanaan untuk pencapaian Sasaran SMKI yang telah ditetapkan pada Klausul 6.2? Bagaimana status pelaksanaan perencanaan tersebut? Periksa kembali dokumen Sasaran SMKI. Status: ... Bukti: ... The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned. The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary. 8.2 8.3 The organization shall ensure that outsourced processes are determined and controlled. Information Security Risk assessment The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a). Apakah proses pengelolaan dan penilaian risiko telah dilaksanakan secara berkala sesuai proses dan ketentuan yang telah ditetapkan pada klausul 6.1.2? Apakah seluruh proses tersebut telah The organization shall retain documented didokumentasikan? information of the results of the information security Periksa kembali dokumentasi terkait pengelolaan risk assessments dan penilaian risiko antara lain Risk Register dan hasil Risk Assessment. Information Security Risk treatment The organization shall implement the information Apakah rencana penanganan risiko telah security risk treatment plan. ditetapkan untuk risiko-risiko dengan status harus dimitigasi? The organization shall retain documented Bagaiman status masing-masing RTP? information of the results of the information security Periksa kembali dokumen Risk Treatment Plan risk treatment. (RTP). Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 9 9.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Performance Evaluation Monitoring, Measurement, Analysis and Evaluation The organization shall evaluate the information security performance and the effectiveness of the information security management system. The organization shall determine: a) what needs to be monitored and measured, including information security processes and controls; b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results; NOTE The methods selected should produce comparable and reproducible results to be considered valid. c) when the monitoring and measuring shall be performed; d) who shall monitor and measure; e) when the results from monitoring and measurement shall be analysed and evaluated; and f) who shall analyse and evaluate these results. The organization shall retain appropriate documented information as evidence of the monitoring and measurement results. Apakah telah dilakukan pengukuran terhadap efektivitas pelaksanaan penerapan SMKI? Bagaimana metode pengukurannya? Bagaimana hasil pengukurannya? Bagaimana rencana tindak lanjut atas hasil pengukurannya? Periksa dokumen Pengukuran Sasaran SMKI. Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 9.2 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Internal Audit The organization shall conduct internal audits at Apakah telah dilaksanakan proses Audit Internal? planned intervals to provide information on whether Periksa mengenai kualifikasi Tim Auditor Internal, the information security management system: apakah telah memperoleh pelatihan yang sesuai disertai dengan buktinya. a) conforms to Periksa dokumentasi mengenai: 1) the organization’s own requirements for its - Audit Program information security management system; and - Audit Plan 2) the requirements of this International - Audit Checklist Standard; - Laporan Temuan Audit b) is effectively implemented and maintained. Periksa status rencana tindak lanjut dari hasil Audit Internal. The organization shall: c) plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits; d) define the audit criteria and scope for each audit; e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process; f) ensure that the results of the audits are reported to relevant management; and g) retain documented information as evidence of the audit programme(s) and the audit results. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 9.3 PRASYARAT STANDAR ISO 27001:2013 Management Review Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness. The management review shall include consideration of: a) the status of actions from previous management reviews; b) changes in external and internal issues that are relevant to the information security management system; c) feedback on the information security performance, including trends in: 1) nonconformities and corrective actions; 2) monitoring and measurement results; 3) audit results; and 4) fulfilment of information security objectives; d) feedback from interested parties; e) results of risk assessment and status of risk treatment plan; and f) opportunities for continual improvement. The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system. The organization shall retain documented information as evidence of the results of management reviews. PANDUAN / PERTANYAAN Apakah telah dilakukan proses Tinjauan Manajemen? Kapan dilakukan? Siapa saja yang hadir? Periksa dokumentasi terkait pelaksanaan Tinjauan Manajemen. Periksa Risalah Rapat Tinjauan Manajemen dan kesesuaian kerangka pembahasannya dengan ketentuan pada standar, yaitu memuat setidaknya: status dari Tinjauan Manajemen sebelumnya; perubahan isu internal dan eksternal yg relevan dengan penerapan SMKI di organisasi; masukan (feedback) terkait kinerja (performance) penerapan SMKI yg meliputi: - ketidaksesuaian & tindakan koreksi; - hasil monitoring & pengukuran; - hasil audit; - pencapaian sasaran SMKI; masukan (feedback) dari pihak terkait/relevan; hasil risk assessment dan status RTP; peluang untuk peningkatan berkelanjutan; kesimpulan dari tinjauan manajemen yang memuat keputusan terkait peluang peningkatan berkelanjutan serta perubahan-perubahan yang diperlukan terkait penerapan SMKI. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 KLAUSUL 10 10.1 10.2 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Improvement Non conformity and Corrective Actions When a nonconformity occurs, the organization shall: a) react to the nonconformity, and as applicable: 1) take action to control and correct it; and 2) deal with the consequences; b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by: 1) reviewing the nonconformity; 2) determining the causes of the nonconformity; and 3) determining if similar nonconformities exist, or could potentially occur; c) implement any action needed; d) review the effectiveness of any corrective action taken; and e) make changes to the information security management system, if necessary. Corrective actions shall be appropriate to the effects of the nonconformities encountered. The organization shall retain documented information as evidence of: f) the nature of the nonconformities and any subsequent actions taken, and g) the results of any corrective action. Continual Improvement The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system. Bagaimana pedoman / prosedur terkait pengelolaan ketidaksesuaian serta rencana tindakan koreksi ? Bagaimana proses penanganan ketidaksesuaian yang berjalan di organisasi mulai dari proses pelaporan, penanganan, dan review atas penanganan? Periksa dokumentasi mengenai pelaporan ketidaksesuaian. Periksa proses dan dokumentasi mengenai penanganan atas laporan ketidaksesuaian. Apakah telah dilakukan review atas efektivitas tindakan koreksi yang telah dilakukan? Apakah organisasi telah melakukan perencanaan terkait peningkatan penerapan SMKI? Bagaimana bentuk perencanaannya? Apakah didokumentasikan secara formal? Periksa apakah terdapat Rencana Peningkatan SMKI? Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.5 A.5.1 A.5.1.1 A.5.1.2 A.6 A.6.1 A.6.1.1 A.6.1.2 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Security Policy Management Direction for Information Security Policies for information security A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties Apakah organisasi telah memiliki Kebijakan terkait Keamanan Informasi? Bagaimana bentuk / apakah nama kebijakan tersebut? Apakah kebijakan telah ditetapkan / disahkan secara formal? Apakah kebijakan telah dipublikasikan / dikomunikasikan kepada seluruh pegawai dan pihak terkait yang relevan? Review of the Policies for Information Security The policies for information securit y shall be Bagaimana ketentuan mengenai peninjauan reviewed at planned intervals or if significant changes (review) Kebijakan Keamanan Informasi tersebut? occur to ensure their continuing suitabilit y, adequacy Apakah telah dilakukan review secara berkala? and effectiveness Status: ... Bukti: ... Status: ... Bukti: ... Organization of Information Security Internal Organization Information Security Roles and Responsibility All information security responsibilities shall be defined and allocated Apakah telah didefinisikan dan ditetapkan mengenai alokasi tugas dan tanggung jawab terkait penerapan SMKI di organisasi? Periksa apakah terdapat dokumentasi formal terkait pendefinisian dan penetapan alokasi tugas dan tanggung jawab terkait penerapan SMKI. Periksa apakah terdapat surat penunjukan formal untuk Tim Implementasi SMKI Segregation of Duties Conflicting duties and areas of responsibility shall be Periksa dan pastikan apakah alokasi tugas dan segregated to reduce opportunities for unauthorized tanggung jawab tersebut sudah cukup memadai or unintentional modification or misuse of the untuk menghindari konflik kepentingan (conflict of organization’s asset interest), contoh: posisi / tugas pelaksana, pemeriksa, dan pengambil keputusan tidak dialokasikan kepada personil yang sama. Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.6.1.3 A.6.1.4 A.6.1.5 A.6.2 A.6.2.1 PRASYARAT STANDAR ISO 27001:2013 Contact with Authorities Appropriate contacts with relevant authorities shall be maintained Contact with Special Interest Groups Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained Information Security in Project Management Information security shall be addressed in project management, regardless of the type of the project. Mobile Devices and Teleworking Mobile Device Policy A policy and supporting security measures shall be adopted to manage the risks introduced by using mobile devices PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Apakah organisasi telah memiliki koordinasi dan daftar kontak dari pihak-pihak berwenang yang relevan seperti Kepolisian terdekat, Rumah Sakit, PLN? Periksa apakah terdapat dokumentasi Daftar Nomor Telepon Penting dan bagimana informasi tersebut dipasang dan/atau diinformasikan kepada seluruh pegawai. Status: ... Apakah organisasi telah memiliki kontak / koordinasi / keikutsertaan aktif dalam aosiasi profesional, grup dan/atau forum komunikasi terkait dengan topik keamanan informasi? Periksa bukti keikutsertaan serta relevansi grup / forum yang diikuti dengan keamanan informasi. Status: ... Bukti: ... Bukti: ... Bagaimana organisasi menerapkan ketentuan atau persyaratan terkait keamanan informasi dalam pengelolaan proyek di lingkungan organisasi? Periksa bukti penerapan SMKI dalam pengelolaan proyek antara lain dengan: - memeriksa apakah dalam kontrak dengan pihak ketiga telah mencantumkan klausul/pasal mengenai keamanan informasi; - memeriksa apakah pihak ketiga yang bekerja sama dengan organisasi telah menandatangani NDA. Status: ... Apakah organisasi memiliki kebijakan / pedoman mengenai penggunaan perangkat mobile (smartphone, tablet, notebook) dalam pelaksanaan pekerjaan? Bagaimana peraturan organisasi mengenai penggunaan perangkat mobile tersebut? Periksa implementasi dari peraturan terkait penggunaan perangkat mobile di organisasi. Status: ... Bukti: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.6.2.2 PRASYARAT STANDAR ISO 27001:2013 Teleworking A policy and supporting security measures shall be implemented to protect information accessed, processed or stored at teleworking sites PANDUAN / PERTANYAAN Apakah organisasi memiliki kebijakan / pedoman terkait teleworking? Bagaimana implementasinya di organisasi? KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... A.7 A.7.1 A.7.1.1 A.7.1.2 A.7.2 A.7.2.1 Human Resource Security Prior to Employment Screening Background verification checks on all candidates for employment shall be carried out in accordance with relevant laws, regulations and ethics and shall be proportional to the business requirements, the classification of the information to be accessed and the perceived risks Terms and conditions of employment The contractual agreements with employees and contractors shall state their and the organization’s responsibilities for information security During Employment Management Responsibilities Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization Bagaimana proses seleksi / screening untuk penerimaan pegawai yang berlaku di organisasi? Apakah telah dilakukan proses pengecekan latar belakang dari calon pegawai? Periksa bukti pelaksanaan screening pegawai. Status: ... Bukti: ... Apakah kontrak / perjanjian baik dengan pegawai ataupun pihak ketiga telah memuat ketentuan mengenai tugas dan tanggung jawab dari masingmasing pihak terkait dengan keamanan informasi? Periksa bukti implementasinya dengan memeriksa beberapa perjanjian pegawai dan pihak ketiga, apakah telah memuat klausul / pasal mengenai tugas dan tanggung jawab terkait keamanan informasi. Status: ... Apakah pihak manajemen telah memberikan arahan kepada seluruh pegawai dan pihak ketiga untuk mengikuti ketentuan dan menerapkan keamanan informasi sesuai dengan kebijakan dan pedoman SMKI yang berlaku di organisasi? Bagaimana bentuk arahan tersebut? Media yang digunakan? Kapan dilakukan? Status: ... Bukti: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.7.2.2 A.7.2.3 A.7.3 A.7.3.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Information Security Awareness, Education and Training All employees of the organization and, where Apakah seluruh pegawai telah diberikan sosialisasi relevant, contractors shall receive appropriate dan awareness terkait dengan keamanan informasi awareness education and training and regular serta kebijakan dan prosedur SMKI yang berlaku di updates in organizational policies and procedures, as organisasi? relevant for their job function Bagaimana bentuk sosialisasi dan awareness tersebut? Media yang digunakan? Kapan dilakukan? Apakah pihak ketiga yang bekerja di lingkungan organisasi juga diberikan sosialisasi dan awareness? Bagaimana bentuknya? Media yang digunakan? Kapan dilakukan? Bagaimana cara untuk menyampaikan kepada seluruh pegawai jika terdapat perubahan terkait kebijakan dan prosedur SMKI di organisasi? Disciplinary Process There shall be a formal and communicated Apakah terdapat ketentuan pemberian sanksi disciplinary process in place to take action against terkait dengan pelanggaran dalam hal keamanan employees who have committed an information informasi? security breach. Bagaimana proses dan bentuk sanksi yang diberikan? Termination or Change of Employment Termination or Change of Employment Responsibilities Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, communicated to the employee or contractor and enforced Bagaimana proses yang berjalan / prosedur yang berlaku saat ini di organisasi jika terdapat pegawai yang berhenti/mutasi dan/atau pihak ketiga yang telah habis masa kerjanya? Bagaimana ketentuan di organisasi mengenai pemberhentian/mutasi pegawai dan/atau pihak ketiga yang habis masa kerjanya terkait dengan keamanan informasi serta kebijakan dan prosedur SMKI yang berlaku di organisasi? Apakah perjanjian mengenai kerahasiaan serta terkait dengan keamanan informasi tetap berlaku dan mengikat meskipun pegawai telah berhenti/mutasi dan/atau pihak ketiga telah habis masa kerjanya? KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.8 A.8.1 A.8.1.1 A.8.1.2 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Asset Management Responsibility for Assets Inventory of Assets Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained Ownership of Assets Assets maintained in the inventory shall be owned. Bagaimana proses dan sistem inventarisasi aset di organisasi? Periksa apakah inventarisasi aset telah mencakup seluruh informasi serta fasilitas pemroses dan penyimpan informasi yang ada di organisasi. Pencatatan inventori aset setidaknya meliputi: - nama aset; - nomor seri / ID Aset - spesifikasi aset (merk/tipe) - pemilik aset - pengguna / penanggung jawab aset saat ini - lokasi aset - kondisi aset (aktif/dlm perbaikan/rusak-nonaktif) Status: ... Periksa apakah telah dilakukan identifikasi dan pencatatan kepemilikan aset dan pengguna aset pada saat ini di sistem / catatan inventarisasi aset. Status: ... Bukti: ... Bukti: ... A.8.1.3 Acceptable Use of Assets Rules for the acceptable use of information and of assets associated with information and information processing facilities shall be identified, documented and implemented. Bagaimana ketentuan di organisasi mengenai tata cara penggunaan aset informasi dan fasilitas pemroses/penyimpan informasi baik oleh pegawai ataupun pihak ketiga yang diberikan wewenang? Apa saja yang diperbolehkan dan tidak diperbolehkan terkait dengan penggunaan aset? Apakah telah didokumentasikan secara formal? Periksa implementasi dari ketentuan tersebut. Periksa dokumentasi dari pelaksanaan implementasi. Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.8.1.4 A.8.2 A.8.2.1 A.8.2.2 A.8.2.3 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Return of Assets All employees and external party users shall return all Bagaimana ketentuan dan proses di organisasi of the organizational assets in their possession upon terkait dengan pengembalian aset jika terdapat termination of their employment, contract or pegawai yang berhenti/mutasi dan/atau pihak agreement. ketiga yang habis masa kerjanya? Apakah telah didokumentasikan secara formal? Periksa dokumentasi terkait pelaksanaan pengembalian aset. Information Classification Classification of Information Information shall be classified in terms of legal Bagaimana ketentuan mengenai klasifikasi requirements, value, criticality and sensitivity to informasi di organisasi? unauthorised disclosure or modification. Apakah telah didokumentasikan secara formal? Periksa apakah informasi milik organisasi telah diklasifikasikan sesuai dengan ketentuan, dengan cara: - cek Daftar Aset Informasi; - cek klasifikasi yang tercantum; Labelling of Information An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization. KONDISI TERKINI Bagaimana ketentuan di organisasi mengenai penanganan aset informasi? Bagaimana tata cara penggunaan dan penyimpanannya? Apakah telah didokumentasikan secara formal? Periksa tata cara dan lokasi/media penyimpanan informasi khususnya informasi dengan klasifikasi Rahasia dan lebih tinggi. Status: ... Bukti: ... Status: ... Bukti: ... Bagaimana ketentuan di organisasi mengenai pelabelan klasifikasi pada informasi? Apakah telah didokumentasikan secara formal? Periksa implementasi dari ketentuan tersebut, apakah sesuai ketentuan dan konsisten? cek beberapa dokumen informasi secara acak untuk melihat apakah dokumen telah berikan label sesuai dengan klasifikasinya dan ketentuan tata cara pemberian label. Handling of Assets Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization. STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.8.3 A.8.3.1 A.8.3.2 A.8.3.3 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Media Handling Management of Removable Media Procedures shall be implemented for the Bagaimana ketentuan di organisasi mengenai management of removable media in accordance with penggunaan removable media di organisasi? the classification scheme adopted by the Periksa implementasi dari ketentuan tersebut. organization. Disposal of Media Media shall be disposed of securely when no longer required, using formal procedures. Physical Media Transfer Media containing information shall be protected against unauthorized access, misuse or corruption during transportation. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Bagaimana proses pemusnahan media penyimpan informasi yang saat ini dilakukan di organisasi? Bagaimana ketentuan serta pedoman / prosedur yang berlaku di organisasi mengenai pemusnahan media penyimpan informasi? Apakah proses pemusnahan media penyimpan informasi telah didokumentasikan? Periksa dokumentasi terkait pemusnahan media penyimpan informasi. Periksa apakah proses pemusnahan media yang dilakukan telah efektif sehingga tidak lagi dimungkinkan untuk melakukan pemulihan informasi dari media tersebut. Status: ... Apakah terdapat proses pengiriman informasi keluar organisasi melalui media fisik? Seperti melalui surat, removable media? Jika Ya, apakah terdapat kebijakan / pedoman terkait pengiriman informasi melalui media fisik? Bagaimana proses / kontrol pengamanan terhadap informasi yang dikirimkan? Periksa apakah kontrol pengamanan yang dilakukan dapat dinilai efektif sehingga informasi yang dikirimkan melalui media fisik tersebut dapat terlindungi dari risiko akses tidak terotorisasi, kerusakan, atau kehilangan baik sebagaian ataupun seluruh informasi. Status: ... Bukti: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.9 A.9.1 A.9.1.1 A.9.1.2 A.9.2 A.9.2.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Acccess Control Business Requirement for Access Control Access Control Policy An access control policy shall be established, documented and reviewed based on business and information security requirements. Access to Networks and Network Services Users shall only be provided with access to the net work and network services that they have been specifically authorized to use. Apakah organisasi memiliki kebijakan / pedoman mengenai pengaturan akses ke informasi dan sistem informasi milik organisasi? Apakah telah dilakukan review berkala terhadap kebijakan / pedoman tsb? Setiap berapa lama? Bagaimana proses yang dijalankan organisasi untuk pemberian akses kepada pengguna (user) ke jaringan dan ke layanan jaringan? Apakah seluruh user yang ada diberikan hak akses yang sama ke jaringan? Ataukah terdapat pengelompokan user? Pastikan bahwa pengguna (user) memiliki akses ke jaringan sesuai dengan hak otoritas yang telah ditetapkan. * (cek prasyarat standar) User Access Management User Registration and De-registration A formal user registration and de-registration process Bagaimana proses yang dijalankan organisasi untuk shall be implemented to enable assignment of access pembuatan user baru dan penghapusan user yang rights. ada? Bagaimana proses dokumentasinya? Periksa Pedoman / prosedur yang terkait serta pastikan bahwa proses telah sesuai dengan ketentuan yang ada dan seluruh proses telah didokumentasikan. Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN User Access Provisioning A formal user access provisioning process shall be Bagaimana proses yang dijalankan organisasi untuk implemented to assign or revoke access rights for all pemberian akses baru kepada pengguna serta user types to all systems and services. pencabutan hak akses dari pengguna? Bagaimana proses dokumentasinya? Periksa Pedoman / prosedur yang terkait serta pastikan bahwa proses telah sesuai dengan ketentuan yang ada dan seluruh proses telah didokumentasikan. Management of Privileged Access Rights The allocation and use of privileged access rights shall Bagaimana proses yang dijalankan organisasi untuk be restricted and controlled. mengatur pemberian hak akses khusus (privilleged access right) ? Bagaimana proses dokumentasinya? Periksa Pedoman / prosedur yang terkait serta pastikan bahwa proses telah sesuai dengan ketentuan yang ada dan seluruh proses telah didokumentasikan. Management of Secret Authentication Information of Users The allocation of secret authentication information Bagaimana proses yang dijalankan organisasi untuk shall be controlled through a formal management penanganan informasi otentikasi rahasia milik process. pengguna, seperti: user id & password, kartu akses? Bagaimana proses dokumentasinya? Periksa Pedoman / prosedur yang terkait serta pastikan bahwa proses telah sesuai dengan ketentuan yang ada dan seluruh proses telah didokumentasikan Review of User Access Rights Asset owners shall review users access rights at Apakah telah dilakukan review hak akses secara regular intervals. berkala? Bagaimana proses dokumentasinya? Periksa Pedoman / prosedur yang terkait serta pastikan bahwa proses telah sesuai dengan ketentuan yang ada dan seluruh proses telah didokumentasikan. * (cek prasyarat standar) KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.9.2.6 A.9.3 A.9.3.1 A.9.4 A.9.4.1 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI Removal or Adjustment of Access Rights The access rights of all employees and external party Bagaimana proses yang dijalankan organisasi jika users to information and information processing terdapat pegawai yang berhenti/mutasi dan/atau facilities shall be removed upon termination of their pihak ketiga yang telah habis masa kontraknya, employment, contract or agreement, or adjusted terkait dengan hak akses mereka ke informasi serta upon change. sistem dan fasilitas pemroses/penyimpan informasi? Bagaimana proses dokumentasinya? Periksa Pedoman / prosedur yang terkait serta pastikan bahwa proses telah sesuai dengan ketentuan yang ada dan seluruh proses telah didokumentasikan. * (cek prasyarat standar) User Responsibilities Use of Secret Authentication Information Users shall be required to follow the organization’s practices in the use of secret authentication information. System and Application Access Control Information Access Restriction Access to information and application system functions shall be restricted in accordance with the access control policy. Periksa apakah password pengguna (user) telah sesuai dengan ketentuan yang telah ditetapkan organisasi, dengan cara antara lain: - meminta personil untuk melakukan login ke komputer atau notebooknya kemudian perhatikan sekilas pada jumlah digit dan jenis karakter yang diketikkan; - apakah jumlah digit pada kolom password di layar sesuai dengan ketentuan jumlah minimal digit password?. Bagaimana cara organisasi untuk mengatur pembatasan akses ke informasi dan sistem informasi? Periksa kebijakan / pedoman mengenai pengaturan akses (access control) kemudian periksa kesesuaian pelaksanaan implementasinya. * (cek prasyarat standar) STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.9.4.2 A.9.4.3 A.9.4.4 PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Secure Log-on Procedure Where required by the access control policy, access to Periksa apakah sistem informasi di organisasi telah systems and applications shall be controlled by a menerapkan secure log-on. secure log-on procedure. Contoh: - Akses ke sietem selalu menggunakan password (pengguna tidak dapat langsung mengakses sistem tanpa memasukkan password), - password tidak ditampilkan atau tidak terdapatnya petunjuk terkait password. Password Management System Password management systems shall be interactive Periksa apakah sistem informasi telah and shall ensure quality passwords. mengakomodasi pengelolaan password yang interaktif dan dapat menjamin kualitas password, contoh: - sistem secara otomatis mampu mendeteksi & menolak registrasi password jika tdk sesuai dgn ketentuan; - sistem secara otomatis mampu mendeteksi & menolak resgistrasi password jika memuat sejumlah karakter dengan urutan yang sama dengan username; - sistem secara otomatis akan meminta user mengganti passwordnya setiap periode waktu tertentu. Use of Privileged Utility Programs The use of utility programs that might be capable of Bagaimana proses kontrol yang diterapkan overriding system and application controls shall be organisasi terkait penggunaan aplikasi atau tools restricted and tightly controlled. yang memiliki kemampuan untuk "overriding" sistem dan kontrol yang ada? Bagaimana dokumentasi terkait proses tersebut? KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX A.9.4.5 A.10 PRASYARAT STANDAR ISO 27001:2013 Access Control to Program Source Code Access to program source code shall be restricted. KONDISI TERKINI STATUS & BUKTI PENUNJANG Bagaimana cara organisasi mengatur akses terhadap media penyimpanan source code program? Bagaimana proses / prosedur yang harus ditempuh untuk dapat memperoleh akses ke source code program? Bagaimana dokumentasi terkait prosesnya? Siapa saja yang memiliki wewenang untuk dapat mengakses penyimpanan source code program? Bagaimana proses review akses terhadap source code program? Status: ... Apakah telah ditetapkan kebijakan / pedoman terkait Kriptografi? Periksa dokumennya serta ketentuan yang tercakup didalamnya. Status: ... Bukti: ... Cryptography A.10.1 Cryptographic Controls A.10.1.1 Policy on the Use of Cryptographic Controls A policy on the use of cryptographic controls for protection of information shall be developed and implemented. A.10.1.2 Key Management A policy on the use, protection and lifetime of cryptographic keys shall be developed and implemented through their whole lifecycle. A.11 PANDUAN / PERTANYAAN Bukti: ... Periksa dokumentasi dan penerapannya mengenai kebijakan penggunaan, proteksi / pengamanan, dan jangka waktu pemakaian untuk kunci kriptografi. Status: ... Bagaimana pendefinisian kelompok area / wilayah di lingkungan organisasi? Contoh: area / wilayah dibagi menjadi 3 kategori: publik, terbatas (restricted), tertutup (secured). Bagaimana ketentuan akses untuk masing-masing area / wilayah yang telah ditentukan? Status: ... Bukti: ... Physical and Environmental Security A.11.1 Secure Areas A.11.1.1 Physical Security Perimeter Security perimeters shall be defined and used to protect areas that contain either sensitive or critical information and information processing facilities. Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN A.11.1.2 Physical Entry Control Secure areas shall be protected by appropriate entry Bagaimana cara organisasi melakukan controls to ensure that only authorized personnel are pengamanan akses fisik ke area tertutup (secured allowed access. area)? Contoh area tertutup antara lain: Data Center. Jenis / metode / perangkat pembatasan akses apa yang digunakan? Cek dokumentasi terkait proses dan prosedur pengamanan akses fisik ke area tertutup. A.11.1.3 Securing Offices, Rooms, and Facilities Physical security for offices, rooms and facilities shall Bagaimana cara organisasi melakukan be designed and applied. pengamanan fisik lingkungan ruangan dan area kerja, serta fasilitas yang terkait baik yang termasuk dalam area terbatas (restricted) ataupun tertutup (secured)? Jenis / metode / perangkat kontrol pengamanan apa yang digunakan? Apa saja kententuan untuk dapat memasuki atau memperoleh akses fisik area lingkungan ruangan dan area kerja, serta fasilitas yang terkait? termasuk ke area terbatas (restricted) serta tertutup (secured) Bagaimana dokumentasi terkait proses kontrol pengamanan yang dilakukan? Jika terdapat formulir tertentu yang harus diisi untuk memperoleh akses, periksa dokumentasinya dan kesesuaiannya dengan ketentuan yang berlaku pada pedoman / prosedur. Apakah terdapat pemantauan menggunakan CCTV? Jika digunakan CCTTV, periksa: - apakah CCTV berfungsi dengan baik; - apakah area pantau dapat menjangkau seluruh area kerja atau data center; - bagaimana penyimpanan dan masa retensi records/rekaman kemudian bandingkan dengan ketentuan masa retensi pada pedoman / prosedur. Periksa secara acak beberapa records/rekaman pemantauan CCTV, antara lain rekaman pada waktu jam kerja dan diluar jam kerja. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 A.11.1.4 Protecting Against External and Environmental Threats Physical protection against natural disasters, malicious attack or accidents shall be designed and applied. A.11.1.5 Working in Secure Areas Procedures for working in secure areas shall be designed and applied. PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG Bagaimana proses kontrol pengamanan yang dilakukan untuk mengantisipasi kejadian akibat gangguan eksternal dan lingkungan seperti misalnya: kebakaran, hama, kondisi suhu dan kelembaban? Periksa apakah terdapat proses pemantauan rutin terhadap kondisi didalam area tertutup (secured area) Contoh area tertutup antara lain: Data Center. Apakah hasil pemantauan rutin tersebut ddidokumentasikan? Cek dokumentasinya. Apakah dilakukan review terhadap hasil pemantauan rutin tersebut? Bagaimana tindak lanjut atas review yang dilakukan? Status: ... Bagaimana ketentuan yang berlaku di organisasi jika akan melakukan pekerjaan di dalam area tertutup (secured area)? Contoh area tertutup antara lain: Data Center Proses dan prosedur apakah yang harus ditempuh jika terdapat kebutuhan untuk melakukan pekerjaan di dalam area tertutup (secured area)? Periksa dokumentasi terkait proses dan prosedur terkait , antara lain: - jika terdapat formulir yang harus diisi, pastikan kelengkapan dan kesesuaian dalam pengisian formulir tersebut; - apakah terdapat log visitor ke secured area; - pastikan pada log visitor telah tercantum informasi setidak-tidaknya: nama visitor, no. Kontak, waktu masuk, waktu keluar, tanda tangan persetujuan & nama personil pendamping visitor baik saat masuk ataupun keluar. Status: ... Bukti: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN A.11.1.6 Delivery and Loading Areas Access points such as delivery and loading areas and Bagaimana proses kontrol yang diterapkan untuk other points where unauthorized persons could enter pengamanan akses masuk melalui area delivery the premises shall be controlled and, if possible, atau loading? isolated from information processing facilities to Jenis / metode / perangkat kontrol pengamanan avoid unauthorized access. apa yang digunakan? Periksa dokumentasi yang terkait. A.11.2 Equipment A.11.2.1 Equipment Siting and Protection Equipment shall be sited and protected to reduce the Periksa apakah perangkat kerja telah diletakkan / risks from environmental threats and hazards, and diposisikan secara aman untuk mengurangi risiko opportunities for unauthorized access. gangguan dan ancaman lingkungan serta akses tidak terotorisasi. Contoh peletakan perangkat yang kurang aman: - notebook diletakkan di meja dekat jendela yang terbuka / tidak dikunci dengan area kerja berada di lantai dasar; - perangkat elektronik disimpan dibawah jalur pipa saluran air. A.11.2.2 Supporting Utilities Equipment shall be protected from power failures and Bagaimana proses kontrol perlindungan perangkat other disruptions caused by failures in supporting yang dilakukan untuk mengantisipasi gangguan utilities. akibat kegagalan sumber daya listrik dan gangguan lainnya yang diakibatkan kegagalan fungsi pada perangkat pendukung. Jika mengunakan UPS, periksa riwayat pemeliharaan UPS untuk memastikan bahwa UPS berfungsi ketika dibutuhkan. Cek riwayat pemeliharaan perangkat pendukung lainnya yang digunakan, misal PAC. Apakah terdapat backup perangkat untuk setiap perangkat pendukung yang ada? KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN A.11.2.3 Cabling Security Power and telecommunications cabling carrying data Periksa jalur perkabelan di lingkungan area kerja or supporting information services shall be protected baik di restricted area maupun di secured area. from interception, interference or damage. Pastikan jalur perkabelan baik kabel data ataupun kabel daya diletakkan pada posisi yang aman. Jika cakupan audit adalah Data Center: - pastikan duct untuk jalur kabel data berbeda dengan jalur kabel daya/power supply; - kabel diberi identifikasi atau label, dikelompokkan, dan diikat berdasarkan karakteristik tertentu, misalnya berdasarkan segmen tertentu; - pastikan jalur perkabelan tidak menggangu posisi pintu rak penyimpanan sehingga pintu rak dapat ditutup dengan rapi dan terkunci; - pastikan posisi kabel tidak berdekatan dengan perangkat kipas/fan dari rak penyimpanan untuk mengurangi risiko kerusakan akibat terkena fan. A.11.2.4 Equipment Maintenance Equipment shall be correctly maintained to ensure its Bagaimana proses pemeliharaan perangkat kerja continued availability and integrity. yang saat ini telah dilakukan? Periksa dokumentasi pelaksanaan pemeliharaan perangkat. Bagaimana proses yang dilakukan jika terdapat perangkat yang rusak? Periksa dokumentasi pelaksanaan perbaikan perangkat yang rusak. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 A.11.2.5 Removal of Assets Equipment, information or software shall not be taken off-site without prior authorization. PANDUAN / PERTANYAAN Bagaimana proses dan ketentuan yang berlaku untuk perangkat kerja akan dipindahtangankan, misalnya: - perangkat kerja diserahkan dari pengelola aset kepada pegawai baru; - perangkat kerja diserahkan kepada distributor untuk dilakukan perbaikan. apakah terdapat pedoman / prosedur untuk proses-proses tersebut? Jika terdapat proses perpindahtanganan dan/atau pemusnahan aset, periksa apakah: - informasi telah di-backup jika diperlukan; - Informasi serta lisensi pada aset telah dihapuskan terlebih dahulu sebelum dipindahtangankan; - apakah proses telah didokumentasikan; - periksa dokumentasi yang terkait seperti: Serah Terima Aset, Log Perbaikan Aset, Berita Acara Pemusnahan Aset. A.11.2.6 Security of Equipment and Assets Off-Premises Security shall be applied to off-site assets taking into Bagaimana kontrol pengamanan yang dilakukan account the different risks of working outside the untuk aset yang sedang dibawa keluar area kerja organization’s premises. atau diletakkan diluar area kerja (off-site). misalnya: - pengamanan notebook saat dibawa keluar kantor dalam rangka perjalanan dinas; - pengamanan notebook saat digunakan bekerja di area publik (jika diperbolehkan); - pengamanan perangkat kerja di lokasi alternatif untuk BCP. Apakah terdapat pedoman / prosedur terkait kontrol pengamanan tersebut? KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN A.11.2.7 Secure Disposal or Reuse of Equipment All items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed sof t ware has been removed or securely overwrit ten prior to disposal or re-use. Bagaimana proses pemusnahan aset yang dllakukan di organisasi? Pada saat akan dilakukan pemusnahan aset atau penggunaan kembali aset, periksa apakah informasi sensitif telah dihapus dan lisensi juga telah dihapuskan atau dicabut terlebih dahulu? Apakah proses pemusnahan aset tersebut didokumentasikan? Periksa dokumentasinya. A.11.2.8 Unattended User Equipment Users shall ensure that unattended equipment has appropriate protection. KONDISI TERKINI Bagaimana langkah atau kontrol pengamanan yang dilakukan untuk perangkat kerja dan informasi didalamnya ketika personil akan meninggalkan meja kerja? Apakah terdapat pedoman / prosedur mengenai ketentuan tersebut? A.11.2.9 Clear Desk and Clear Screen Policy A clear desk policy for papers and removable storage Periksa implementasi mengenai ketentuan Clear media and a clear screen policy for information Screen dan Clear Desk, antara lain: processing facilities shall be adopted. - periksa apakah terdapat dokumen sensitif / rahasia tersimpan di atas meja tanpa pengamanan; - periksa apakah terdapat media penyimpanan informasi seperti usb flashdisk, tersimpan di atas meja tanpa pengamanan / penjagaan. A.12 STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Operations Security A.12.1 Operational Procedures and Responsibilities A.12.1.1 Documented Operation Procedure Operating procedures shall be documented and made Apakah telah terdapat dokumentasi formal terkait available to all users who need them. proses bisnis di organisasi serta proses-proses dalam penerapan SMKI? Periksa mengenai ketersediaan akses ke dokumen tersebut bagi pihak yang membutuhkan serta bagaimana proses untuk dapat memperolehnya. A.12.1.2 Change Management Changes to the organization, business processes, Bagaimana proses yang dijalankan organisasi untuk information processing facilities and systems that pengelolaan perubahan (change management) affect information security shall be controlled. terhadap organisasi, fasilitas pemroses informasi, dan sistem informasi? Status: ... Bukti: ... Status: ... Bukti: Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Apakah telah terdapat pedoman / prosedur yang terkait dengan proses pengelolaan perubahan? Periksa mengenai konten dan ketentuan dalam pedoman / prosedur tersebut. Apakah setiap proses yang dilaksanakan terkait perubahan telah memperoleh persetujuan dari pihak terkait yang berwenang dan didokumentasikan? Periksa dokumentasinya. A.12.1.3 Capacity Management The use of resources shall be monitored, tuned and Periksa apakah telah dilakukan Perencanaan projections made of future capacity requirements to Kapasitas Sistem TI (Capacity Planning) yang ensure the required system performance. memuat status kondisi saat ini serta proyeksi kebutuhan yang akan datang sampai dengan periode tertentu. Periksa apakah telah dilakukan pemantauan terhadap kapasitas TI (Capacity Monitoting) secara berkala untuk dibandingkan dengan Perencanaan Kapasitas Sistem TI yang telah ditetapkan sebelumnya. Bagaimana hasil analisa dari perbandingan tersebut? A.12.1.4 Separation Of Development, Testing, and Operational Environment Development, testing, and operational environments Periksa apakah telah dilakukan pemisahan antara shall be separated to reduce the risks of unauthorized lingkungan pengembangan, lingkungan pengujian, access or changes to the operational environment. dan lingkungan operasional/produksi. Periksa apakah pemisahan telah dilakukan secara memadai. A.12.2 Protection from Malware A.12.2.1 Control Against Malware Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness. Bagaimana proses kontrol yang diterapkan organisasi untuk pengamanan terhadap risiko dan ancaman malware? Jika menggunakan software Anti Virus, periksa mengenai: - jenis anti virus yang digunakan; - apakah dilakukan update secara berkala; - apakah dilakukan pengaturan scan otomatis jika terdapat removable media yang terdeteksi; KONDISI TERKINI STATUS & BUKTI PENUNJANG ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG - apakah dilakukan pengaturan full-scan otomatis secara berkala. A.12.3 Backup A.12.3.1 Information Backup Backup copies of information, software and system images shall be taken and tested regularly in accordance with an agreed backup policy. Apakah organisasi telah memiliki perencanaan untuk melakukan backup informasi? Periksa dokumentasi terkait perencanaan tersebut, antara lain mengenai: - informasi yang harus dibackup; - metode backup; - prosedur melakukan backup; - frekuensi backup; - lokasi/media penyimpanan backup; Apakah telah dilakukan backup secara berkala sesuai perencanaan? Periksa implementasi dan bukti/dokumentasinya. Apakah telah dilakukan uji restore secara berkala sesuai perencanaan? Periksa implementasi dan bukti/dokumentasinya. Jika terjadi kegagalan backup atau uji restore, langkah apa yang dilakukan? Periksa langkah / rencana tindak lanjut jika terjadi kegagalan backup dan/atau restore. A.12.4 Logging and Monitoring A.12.4.1 Event Logging Event logs recording user activities, exceptions, faults Bagaimana organisasi melaksanakan proses: and information security events shall be produced, - pencatatan event log; kept and regularly reviewed. - penyimpanan event log; - peninjauan (review) event log secara berkala; event log dalam hal ini meliputi: - user activities; - exceptions; - faults; - information security events. * cek prasyarat standar. Periksa implementasi dan bukti/dokumentasinya. A.12.4.2 Protection of Log Information Logging facilities and log information shall be Bagaimana organisasi melakukan kontrol terhadap protected against tampering and unauthorized pengamanan fasilitas dan informasi event log? Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 access. PANDUAN / PERTANYAAN Siapakah yang berwenang memiliki akses ke fasilitas logging dan informasi log? Periksa implementasi dan bukti/dokumentasinya. A.12.4.3 Administrator and Operator Log System administrator and system operator activities Bagaimana organisasi melaksanakan proses: shall be logged and the logs protected and regularly - pencatatan; reviewed. - penyimpanan; dan - peninjauan secara berkala; untuk aktivitas Administrator Sistem dan Operator Sistem? Periksa implementasi dan bukti/dokumentasinya. A.12.4.4 Clock Synchonization The clocks of all relevant information processing Bagaimana organisasi melakukan proses systems within an organization or security domain sinkronisasi waktu untuk perangkat-perangkat shall be synchronised to a single reference time yang digunakan? source. Mengacu kemanakah sinkronisasi waktu tersebut? Periksa mengenai: - pengaturan acuan sinkronisasi waktu; - pengaturan waktu di perangkat server/sistem operasi, sistem informasi/aplikasi, peangkat komputer/notebook, penunjuk waktu lainnya yang relevan seperti jam di Data Center; apakah seluruhnya telah sesuai dengan pengaturan sinkronisasi? A.12.5 Control of Operational Software A.12.5.1 Installation of Software on Operational Systems Procedures shall be implemented to control the Bagaimana ketentuan di organisasi mengenai installation of software on operational system. instalasi software di perangkat kerja yang digunakan? Apakah ketentuan tersebut telah didokumentasikan dan dilakukan pengesahan? Bagaimana jika diperlukan software yang tidak termasuk pada daftar yang diperbolehkan? Periksa dokumentasi yg terkait. Periksa jika terdapat instalasi software baru di lingkungan operasional, apakah telah mengikuti proses dan ketentuan yang berlaku di organiasi terkait manajemen perubahan. KONDISI TERKINI STATUS & BUKTI PENUNJANG Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN A.12.6 Technical Vulnerability Management A.12.6.1 Management of Technical Vulnerabilities Information about technical vulnerabilities of Periksa apakah telah dilakukan: information systems being used shall be obtained in a - Vulnerability Assessment (VA); timely fashion, the organization’s exposure to such - Penetration Test; vulnerabilities evaluated and appropriate measures secara berkala? taken to address the associated risk. Periksa bukti / dokumentasinya. Periksa apakah dilakukan evaluasi dan review atas hasil pelaksanaan Vulnerability Assessment (VA) dan Penetration Test tersebut? A.12.6.2 Restrictions on Software Installation Rules governing the installation of software by users Bagaimana kontrol pengamanan yang dilakukan shall be established and implemented. untuk membatasi instalasi software secara langsung oleh pengguna? Periksa implementasinya. A.12.7 Information System Audit Considerations A.12.7.1 Information System Audit Control Audit requirements and activities involving verification of operational systems shall be carefully planned and agreed to minimise disruptions to business processes. A.13 Jika dilakukan audit dan/atau aktivias lain terkait verifikasi terhadap sistem informasi, apakah telah dilakukan perencanaan yang memadai? Periksa impelementasi dan bukti / dokumentasinya. Contoh: Ketika akan dilakukan Penetration Test, apakah: - telah disusun perencanaan dan penjadwalanya secara rinci; - ijin akses ke sistem (jika diperlukan) telah memperoleh otorisasi dari yang berwenang; sehingga pengujian yang dilakukan tidak akan menggangu proses bisnis KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Communications Security A.13.1 Network Security Management A.13.1.1 Network Controls Networks shall be managed and controlled to protect Bagaimana kontrol pengelolaan dan pengamanan information in systems and applications. jaringan yang dilakukan organisasi? Periksa implementasinya. Status: ... Bukti: Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG ... A.13.1.2 Security of Network Services Security mechanisms, service levels and management Bagaimana kontrol pengelolaan dan pengamanan requirements of all network services shall be terhadap layanan pada jaringan yang dilakukan identified and included in network services oleh organisasi? agreements, whether these services are provided in- Apakah mekanisme pengamanan, prasyarat house or outsourced. pengelolaan dan tingkat layanan, telah diidentifikasi dan tercantum pada deskripsi dan/atau perjanjian layanan jaringan? Periksa implementasinya. A.13.1.3 Segregation in Networks Groups of information services, users and information Bagaimana pengaturan pengelompokan systems shall be segregated on networks. (segregation) jaringan yang dilakukan organisasi? Periksa implementasinya. Status: ... Bukti: ... Status: ... Bukti: ... A.13.2 Information Transfer A.13.2.1 Information Transfer Policy and Procedures Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities. Bagaimana proses dan kontrol pengamanan untuk distribusi / perpindahan informasi (information transfer) yang dilakukan oleh organaisasi? Apakah terdapat pedoman / prosedur yang terkait? Periksa implementasi dan bukti/dokumentasinya. Status: ... A.13.2.2 Agreements on Information Transfer Agreements shall address the secure transfer of business information between the organization and external parties. Bagaimana organisasi menerapkan kesepakatan / perjanjian terkait transfer / pemberian / pengiriman informasi milik organisasi dengan pihak eksternal? Hal ini mencakup antara lain perjanjian kerahasiaan atau kesepakatan metode untuk pertukaran informasi. Status: ... A.13.2.3 Electronic Messaging Information involved in electronic messaging shall be Bagaimana kontrol yang diterapkan organisasi appropriately protected. untuk pengamanan pengiriman / pertukaran informasi melalui media surat elekronik / email? Periksa implementasinya. Bukti: ... Bukti: ... Status: ... Bukti: Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI STATUS & BUKTI PENUNJANG ... A.13.2.4 Confidentiality or Non Disclosure Agreements Requirements for confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified, regularly reviewed and documented. Periksa apakah telah terdapat perjanjian kerahasiaan (non disclosure agreement/NDA) baik untuk internal pegawai ataupun pihak ketiga / eksternal System Acquisition, Development, and Maintenance A.14.1 Security Requirements of Information Systems A.14.1.1 Information Security Requirements Analysis and Specification The information security related requirements shall Periksa apakah persyaratan terkait keamanan be included in the requirements for new information informasi telah tercakup dalam software systems or enhancements to existing information requirement specification (SRS) ketika organisasi systems. akan melakukan pengembanga aplikasi baik untuk aplikasi baru ataupun peningkatan dari aplikasi yang telah ada. Periksa implementasi dan dokumentasinya. A.14.1.2 Securing Application Services on Public Networks Information involved in application services passing Bagaimana kontrol yang diterapkan organisasi over public networks shall be protected from untuk pengamanan layanan aplikasi yang tersedia fraudulent activity, contract dispute and atau dapat diakses melalui jaringan internet publik unauthorized disclosure and modification. agar terlindungi dari fraudulent activity, contract dispute, unauthorized disclosure, dan modification? Periksa implementasinya. A.14.1.3 Protecting Application Services Transactions Information involved in application service Bagaimana kontrol yang diterapkan organisasi transactions shall be protected to prevent incomplete untuk pengamanan transaksi pada layanan aplikasi transmission, mis-routing, unauthorized message untuk mencegah terjadinya incomplete alteration, unauthorized disclosure, unauthorized transmission, mis-routing, unauthorized message message duplication or replay. alteration, unauthorized disclosure, unauthorized message duplication or replay? Periksa implementasinya. A.14.2 Security In Development and Support Processes A.14.2.1 Secure Development Policy Rules for the development of software and systems Bagaimana pedoman / prosedur yang organisasi Status: ... Bukti: ... A.14 Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 shall be established and applied to developments within the organization. PANDUAN / PERTANYAAN terapkan untuk melakukan pengembangan aplikasi? Periksa implementasinya. A.14.2.2 System Change Control Procedure Changes to systems within the development lifecycle Bagaimana organisasi mengelola perubahan yang shall be controlled by the use of formal change terjadi ketika proses pengembangan aplikasi control procedures. sedang berjalan? Periksa apakah perubahan-perubahan yang dilakukan telah mengikuti ketentuan pengelolaan perubahan (change management) yang berlaku di organisasi. A.14.2.3 Technical Review of Applications after Operating Platform Changes When operating platforms are changed, business Ketika terdapat perubahan pada platform sistem critical applications shall be reviewed and tested to operasi, langkah apa yang dilakukan organisasi? ensure there is no adverse impact on organizational Periksa apakah dilakukan review terhadap aplikasi operations or security. kritikal untuk memastikan tidak terdapat dampak terhadap operasional organisasi serta keamanan informasi. A.14.2.4 Restrictions on Changes to Software Packages Modifications to software packages shall be Bagaimana kontrol yang diterapkan organisasi discouraged, limited to necessary changes and all untuk pengamanan pembatasan perubahan changes shall be strictly controlled. terhadap software packages? * cek prasyarat standar A.14.2.5 Secure System Engineering Principles Principles for engineering secure systems shall be Apa saja yang menjadi prinsip teknis yang established, documented, maintained and applied to diterapkan atau menjadi acuan organisasi untuk any information system implementation efforts. dapat membangun/mengembangkan sistem/aplikasi yang aman? Apa pedoman yang dijadikan acuan untuk dapat membangun / mengembangankan sistem/aplikasi yang aman (engineering secure system). Periksa dokumentasinya. A.14.2.6 Secure Development Environment Organizations shall establish and appropriately Bagaimana kontrol yang diterapkan organisasi KONDISI TERKINI STATUS & BUKTI PENUNJANG ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI protect secure development environments for system untuk pengamanan lingkungan pengembangan development and integration efforts that cover the yang mencakup infrastruktur, proses, dan personil? entire system development lifecycle. Periksa implementasinya. A.14.2.7 Outsourced Development The organization shall supervise and monitor the activity of outsourced system development. A.14.2.8 System Security Testing Testing of security functionality shall be carried out during development. A.14.2.9 System Acceptances Testing Acceptance testing programs and related criteria shall be established for new information systems, upgrades and new versions. A.14.3 Test Data A.14.3.1 Protection of Test Data Test data shall be selected carefully, protected and controlled. A.15 STATUS & BUKTI PENUNJANG ... Bukti: ... Bagaimana kontrol yang diterapkan organisasi untuk pengamanan proses pengembangan yang dilakukan oleh pihak ketiga (outsourced development)? Periksa implementasinya. Bagaimana proses pengujian fungsi keamanan yang dilakukan organisasi ketika melaksanakan pengembangan sistem/aplikasi? Periksa implementasi dan dokumentasinya. Apa saja yang menjadi acuan untuk menyusun kriteria penerimaan dalam hal pengujian fungsionalitas dan keamanan sistem sebelum sistem dapat secara formal diterima dan digunakan? Periksa bukti pelaksanaan UAT. Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Bagaimana kontrol yang dilakukan organisasi untuk pengelolaan dan pengamanan test data? Periksa tata cara akses, penggunaan, pengamanan, dan dokumentasi yang terkait. Status: ... Bukti: ... Supplier Relationship A.15.1 Information Security in Supplier Relationship A.15.1.1 Information Security Policy for Supplier Relationship Information security requirements for mitigating the Bagaimana kebijakan / pedoman / prosedur yang Status: Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented. PANDUAN / PERTANYAAN ada saat ini di organisasi terkait dengan pengelolaan supplier / vendor?. Periksa dokumentasinya. A.15.1.2 Addressing Security within Supplier Agreements All relevant information security requirements shall Periksa apakah klausul atau pasal terkait keamanan be established and agreed with each supplier that informasi telah tercantum pada seluruh perjanjian may access, process, store, communicate, or provide dengan pihak ketiga / penyedia (supplier). IT infrastructure components for, the organization’s Periksa apakah klausul atau pasal tersebut telah information. dapat mengakomodasi kebutuhan organisasi dan meminimasi risiko keamanan informasi. A.15.1.3 Information and Communication Technology Supply Chain Agreements with suppliers shall include requirements Periksa juga apakah terdapat klausul atau pasal to address the information security risks associated terkait keamanan informasi yang juga mengikat with information and communications technology kepada pihak-pihak lain yang terkait dengan services and product supply chain. penyedia (supplier) yang masih termasuk dalam supply chain seperti misalnya sub-kontraktor dari penyedia (supplier). Periksa apakah klausul atau pasal tersebut telah dapat mengakomodasi kebutuhan organisasi dan meminimasi risiko keamanan informasi. A.15.2 Supplier Service Delivery Management A.15.2.1 Monitoring and Review of Supplier Services Organizations shall regularly monitor, review and Bagaimana cara organisasi melakukan proses audit supplier service deliver. monitoring dan review terhadap penyedia (supplier)? Periksa apakah monitoring dan review dilakukan secara berkala dan didokumentasikan. A.15.2.2 Managing Changes to Supplier Services Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks. A.16 Information Security Incident Management Bagaimana organisasi mengelola perubahan yang terjadi yang terkait dengan layanan dari penyedia (supplier)? Pastikan bahwa perubahan-perubahan terkait dengan layanan dari penyedia (supplier) telah terkelola dan terdokumentasi. KONDISI TERKINI STATUS & BUKTI PENUNJANG ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN Management of Information Security Incidents and Improvements A.16.1.1 Responsibilities and Procedures Management responsibilities and procedures shall be Bagaimana pedoman / prosedur yang ada di established to ensure a quick, effective and orderly organisasi mengenai pengelolaan insiden response to information security incident. keamanan informasi? Periksa ketentuan yang tercantum pada pedoman / prosedur. Apakah telah terdapat penunjukan bagaian atau personil untuk menangani pengelolaan insiden keamanan informasi? Periksa implementasi dan dokumentasinya. A.16.1.2 Reporting Informations Security Events. Information security events shall be reported through Bagaimana proses pelaporan ketidaksesuaian atau appropriate management channels as quickly as event terkait dengan keamanan informasi yang possible. saat ini berjalan di organisasi? Bagaimana proses penanganan atas pelaporan tersebut? Periksa dokumentasi pelaporan dan penanganan ketidaksesuaian / event, atau insiden keamanan informasi. A.16.1.3 Reporting Informations Security Weaknesses Employees and contractors using the organization’s Bagaimana proses pelaporan potensi kelemahan information systems and services shall be required to terkait dengan keamanan informasi (information note and report any observed or suspected secuirty weakness) yang saat ini berjalan di information security weaknesses in systems or organisasi? services. Bagaimana proses penanganan atas pelaporan tersebut? Periksa dokumentasi pelaporan potensi kelemahan keamanan informasi. A.16.1.4 Assessment of and Decision on Information Security Events Information security events shall be assessed and it Bagaimana organisasi melakukan proses analisa shall be decided if they are to be classified as terhadap pelaporan ketidaksesuaian serta event information security incidents. keamanan informasi? Dalam kondisi apakah atau berdasarkan ketentuan apakah, suatu ketidaksesuaian atau event kemananan informasi dinyatakan sebagai insiden? A.16.1.5 Response to Information Security Incidents KONDISI TERKINI STATUS & BUKTI PENUNJANG A.16.1 Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 Information security incidents shall be responded to in accordance with the documented procedures. PANDUAN / PERTANYAAN KONDISI TERKINI Bagaimana proses pengelolaan penanganan insiden keamanan informasi yang telah dilaporkan? Periksa apakah laporan insiden telah ditindaklanjuti? Bagaimana status tindak lanjut serta rencana tindakan koreksi atas insiden yang dilaporkan? Apakah penanganan insiden dapat diselesaikan sesuai dengan target waktu yang ditetapkan? A.16.1.6 Learning from Information Security Incidents Knowledge gained from analysing and resolving Bagaimana cara organisasi untuk dapat mengambil information security incidents shall be used to reduce pembelajaran dari hasil analisa serta perolehan the likelihood or impact of future incidents. solusi atas suatu insiden? Periksa apakah terdapat knowledge management system (KMS) atau sistem yang sejenis? A.16.1.7 Collection of Evidence The organization shall define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence. Bagaimana cara organisasi untuk melakukan identifikasi, pengumpulan, perolehan, dan penyimpanan informasi yang dapat digunakan sebagai bukti terkait dengan pengelolaan pelaporan dan penanganan insiden keamanan informasi? Information Security Aspects of Business Continuity Management A.17.1 Information Security Continuity A.17.1.1 Planning Information Security Continuity Information security continuity shall be embedded in Bagaimana pedoman / prosedur terkait dengan the organization’s business continuity management manajemen keberlangsungan bisnis yang ada di systems. organisasi? Periksa apakah telah terdapat pedoman / prosedur terkait BCM. STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Status: ... Bukti: ... A.17 A.17.1.2 Implementing Informations Security Continuity The organization should establish, document, Bagaimana bentuk perencanaan keberlangsungan implement and maintain processes, procedures and bisnis serta implementasinya di organisasi? controls to ensure the required level of continuity for Periksa apakah telah tedapat dokumen Business information security during an adverse situation. Impact Analysis (BIA), Risk Analysis (RA) dan Business Continuity Plan (BCP). Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN A.17.1.3 Verify, Review and Evaluate Informations Security Continuity The organization shall verify the established and Bagaimana organisasi melakukan verifikasi, implemented information security continuity controls evaluasi, serta review atas pedoman / prosedur at regular intervals in order to ensure that they are serta rencana keberlangsungan bisnis yang telah valid and effective during adverse situation. disusun? Periksa : - apakah telah dilakukan Pengujian / Simulasi BCP; - laporan pelaksanaan simulasi BCP; - rev iew atas pelaksanaan simulasi BCP; - tindak lanjut atas review pelaksanaan simulasi BCP, jika ada; Periksa seluruh dokumentasi yang terkait. A.17.2 Redundancies A.17.2.1 Availability of Information Processing Facilities Information processing facilities shall be implemented Bagaimana cara organisasi mempersiapkan with redundancy sufficient to meet availability dukungan fasilitas pemroses dan penyimpan requirements. informasi alternatif sebagai cadangan (backup / redundancy) dari fasilitas pemroses dan penyimpan informasi utama? Periksa: - apakah terdapat lokasi kerja alternatif; - apakah terdapat perangkat kerja cadangan; - bagaimana pengelolaan & pengamanan lokasi kerja alternatif & perangkat cadangan? Jika fasilitas pemroses dan penyimpan informasi adalah berupa DRC, periksa: - Jenis perangkat di DRC, apakah setara dengan yang ada di Data Center; - metode backup ke DRC (real-time, periodik); - jenis DRC (Hot, Warm, Cold); - apakah pernah dilakukan pengujian fasilitas di DRC; - pengamanan perangkat di DRC A.18 A.18.1 Complience Compliance With Legal and Contractual Requirements A.18.1.1 Identification of Applicable Legislation and Contractual Requirements KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN KONDISI TERKINI All relevant legislative statutory, regulatory, Bagaimana organisasi melakukan identifikasi contractual requirements and the organization’s peraturan dan perundang-undangan yang terkait approach to meet these requirements shall be dengan proses bisnis organisasi serta keamanan explicitly identified, documented and kept up to date informasi? for each information system and the organization. Periksa dokumentasinya. Umumnya, bentuk dokumentasinya adalah Daftar Perundang-undangan berikut dengan uraian persyaratan yang harus dipenuhi oleh organisasi. A.18.1.2 Intellectual Property Rights Appropriate procedures shall be implemented to Bagaimana proses yang dijalankan serta kontrol ensure compliance with legislative, regulatory and yang diterapkan organisasi untuk memastikan contractual requirements related to intellectual kepatuhan terkait hak atas kekayaan intelektual? property rights and use of proprietary software Periksa implementasinya. products. A.18.1.3 Protection of Records Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release, in accordance with legislatory, regulatory, contractual and business requirements. A.18.1.4 Privacy and Protection of Personally Identifiable Information Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable. A.18.1.5 Regulation of Cryptographic Controls Cryptographic controls shall be used in compliance with all relevant agreements, legislation and regulations. STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Status: ... Bukti: ... Bagaimana kontrol yang diterapkan organisasi untuk pengamanan catatan/rekaman (records) agar terlindungi dari risiko hilang, rusak, falsification, unauthorized access, dan unauthorized release, sesuai dengan peraturan dan perundang-undangan yang berlaku? Periksa implementasinya. Status: ... Bagaimana kontrol yang diterapkan organisasi untuk pengamanan data / informasi pribadi? Pastikan adanya proses pengamanan data / informasi pribadi sesuai dengan peraturan dan perundang-undangan yang berlaku. Status: ... Pastikan penggunaan kriptografi di organisasi telah memenuhi ketentuan peraturan dan perundangundangan yang berlaku. Bukti: ... Bukti: ... Status: ... Bukti: ... A.18.2 Information Security Reviews Panduan Assessment / Audit ISO 27001:2013 ANNEX PRASYARAT STANDAR ISO 27001:2013 PANDUAN / PERTANYAAN A.18.2.1 Independent Review of Information Security The organization’s approach to managing information security and its implementation (i.e. control objectives, controls, policies, processes and procedures for information security) shall be reviewed independently at planned intervals or when significant changes occur. A.18.2.2 Compliance with Security Policies and Standard Managers shall regularly review the compliance of information processing and procedures within their area of responsibility with the appropriate securit y policies, standards and any other security requirements. A.18.2.3 Technical Compliance Review Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards. Bagaimana perencanaan organisasi untuk melakukan audit SMKI oleh pihak eksternal? Periksa implementasi dan bukti/dokumentasinya. KONDISI TERKINI STATUS & BUKTI PENUNJANG Status: ... Bukti: ... Bagaimana proses yang dijalankan serta kontrol yang diterapkan organisasi untuk memastikan kepatuhan terhadap kebijakan, pedoman, serta peraturan dan perundang-undangan yang berlaku? Periksa implementasinya. Status: ... Bagaimana organisasi melakukan review berkala terhadap sistem informasi untuk memastikan kesesuaian dan pemenuhan terhadap persyaratan kebijakan dan pedoman keamanan informasi? Periksa implementasi dan dokumentasinya. Status: ... Bukti: ... Bukti: ...