Information Security Management: Audit Check List

MSI-UKSW
BS ISO IEC 17799 2005 Audit Checklist
14/10/2014
Information Security Management

BS ISO/ IEC 17799:2005
(BS ISO/ IEC 27001:2005)
BS 7799-1:2005, BS 7799-2:2005
Audit Check List

Author: Astriyer Jadmiko Nahumury, S.Kom
Status: Final Thesis
Magister Sistem Informasi Universitas Kristen Satya Wacana
Page - 1
MSI-UKSW
14/10/2014
Table of contenct
Security Policy............................................................................................................................................................................................5
Information security policy......................................................................................................................................................................5
Organization of information security......................................................................................................................................................6
Internal Organization...............................................................................................................................................................................6
External Parties........................................................................................................................................................................................8
Asset Management.....................................................................................................................................................................................9
Responsibility for assets..........................................................................................................................................................................9
Information classification........................................................................................................................................................................9
Human resources security.......................................................................................................................................................................10
Prior to employment..............................................................................................................................................................................10
During employment...............................................................................................................................................................................11
Termination or change of employment..................................................................................................................................................11
Physical and Environmental Security....................................................................................................................................................12
Secure Areas..........................................................................................................................................................................................12
Equipment Security...............................................................................................................................................................................13
Communications and Operations Management...................................................................................................................................15
Operational Procedures and responsibilities..........................................................................................................................................15
Third party service delivery management.............................................................................................................................................16
System planning and acceptance...........................................................................................................................................................17
Protection against malicious and mobile code.......................................................................................................................................18
Backup...................................................................................................................................................................................................18
Network Security Management.............................................................................................................................................................19
Media handling......................................................................................................................................................................................19
Exchange of Information.......................................................................................................................................................................20
Electronic Commerce Services..............................................................................................................................................................21
Monitoring.............................................................................................................................................................................................22
Access Control..........................................................................................................................................................................................24
Business Requirement for Access Control............................................................................................................................................24
User Access Management......................................................................................................................................................................24
Page - 2
MSI-UKSW
14/10/2014
User Responsibilities.............................................................................................................................................................................25
Network Access Control........................................................................................................................................................................26
Operating system access control............................................................................................................................................................27
Application and Information Access Control........................................................................................................................................29
Mobile Computing and teleworking......................................................................................................................................................29
Information systems acquisition, development and maintenance.......................................................................................................30
Security requirements of information systems......................................................................................................................................30
Correct processing in applications.........................................................................................................................................................30
Cryptographic controls..........................................................................................................................................................................32
Security of system files..........................................................................................................................................................................33
Security in development and support processes....................................................................................................................................33
Technical Vulnerability Management....................................................................................................................................................35
Information security incident management..........................................................................................................................................35
Reporting information security events and weaknesses........................................................................................................................35
Management of information security incidents and improvements......................................................................................................36
Business Continuity Management..........................................................................................................................................................37
Information security aspects of business continuity management........................................................................................................37
Compliance...............................................................................................................................................................................................39
Compliance with legal requirements.....................................................................................................................................................39
Compliance with security policies and standards, and technical compliance.......................................................................................41
Information Systems audit considerations.............................................................................................................................................41
References.................................................................................................................................................................................................42
Page - 3
MSI-UKSW
14/10/2014
Information Security Management BS ISO IEC 17799:2005 SANS Audit Check List
Auditor Name:__________________________
Audit Date:___________________________
Korenspondensi Name : ____________________________
Information Security Management BS ISO IEC 17799:2005 Audit Check List

Reference
Audit area, objective and question
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
Security Policy
1.1
5.1
Kebijakan Keamanan Informasi

Sasaran : Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut
persyaratan bisnis dan hokum dan regulasi yang relevan.
1.1.1
1.1.2
5.1.1
5.1.2
Dokumen
Kebijakan
Keamanan
Informasi
Review
(Kajian)
Apakah ada kebijakan keamanan informasi, yang

disetujui oleh manajemen pusat, dipublikasikan dan
dikomunikasikan dengan tepat kepada semua
karyawan?
Apakah kebijakan menekankan komitmen manajemen
dan menggunakan pendekatan organisasional untuk
pengaturan keamanan informasi?
Apakah kebijakan keamanan informasi direview pada
interval yang direncanakan, dan apakah perubahan
yang signifikan terhadi untuk kepastian
Page - 4
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Kebijakan
Keamanan
Informasi
Audit Question
kelangsungannya, kehandalannya, dan keefektifannya?
Apakah kebijakan keamanan informasi dimiliki oleh
instansi? siapa yang menyetujui tanggung jawab
manajemen untuk pengembangan review dan evaluasi
kebijakan keamanan ?
Apakah terdapat prosedur review kebijakan keamanan
dan apakah mereka mencakup persyaratan untuk
review manajemen?
Apakah hasil review manajemen digunakan dalam
kebijakan ini ?
Apakah persetujuan manajemen diperoleh untuk
merevisi kebijakan
Organisasi Keamanan Informasi

2.1
6.1
Organisasi Internal
Sasaran : untuk mengelola keamanan informasi dalam organisasi
2.1.1
6.1.1
Komitmen
Manajemen
Terhadap
Keamanan
Informasi
Apakah manajemen menunjukkan dukungan yang

aktif untuk ukuran keamanan dalam organisasi ? (Hal
ini dapat dilakukan melalui arahan yang jelas,
ditunjukkan dengan komitmen, penugasan yang
eksplisit, dan pengetahuan mengenai tanggung jawab
keamanan informasi)
Page - 5
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
2.1.2
6.1.2
2.1.3
6.1.3
2.1.4
6.1.4
2.1.5
6.1.5
Koordinasi
Keamanan
Informasi
Alokasi
Tanggung
Jawab
Keamanan
Informasi
Audit Question
Apakah aktivitas keamanan informasi

dikoordinasikan dengan perwakilan dari bagian yang
berbeda pada organisasi, dengan tugas dan tanggung
jawab masing-masing ?
Apakah tanggung Jawab untuk perlindungan aset

individu, dan untuk melakukan proses keamanan
tertentu, diidentifikasi dan didefinisikan dengan
jelas?
Apakah proses otorisasi manajemen didefinisikan
Proses Otorisasi dan diimplementasikan untuk fasilitas pemrosesan

informasi terkini dalam organisasi?
Untuk Fasilitas
Proses Informasi
Perjanjian
Kerahasiaan
Apakah kebutuhan organsiasi akan Konfidealitas atau

Non Disclosure Agreement (NDA) untuk
perlindungan informasi ditetapkan dan direview
Page - 6
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
dengan teratur?
Apakah ada pemenuhan persyaratan untuk
melindungi informasi konfidensial dengan
menggunakan hal-hal yang dapat dipaksanakan
secara legal ?
2.1.6
6.1.6
2.1.7
6.1.7
2.1.8
6.1.8
2.2
6.2
Kontak Dengan
Otoritas (Pihak
Berwenang)
Kontak Dengan
Kelompok
Khusus
Review (Kajian)
Independen
Terhadap
Keamanan
Informasi
Apakah ada sebuah prosedur yang mendeskripsikan

kapan, dan siapa: otoritas yang relevan seperti
penegak hukum, departemen pemadam, dll yang
harus dihubungi dan bagaimana insiden dapat
dilaporkan?
Apakah ada dan terjadi pmeliharaan kontak dengan
Kelompok Khusus atau forum spesialis keamanan
lainnya, dan asosiasi professional?
Apakah pendekatan organisasi untuk pengaturan
keamanan informasi, dan implementasinya, direview
secara independen pada interval yang direncanakan,
atau kapan perubahan utama pada implementasi
keamanan terjadi?
Pihak Luar (External)

Page - 7
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
Sasaran : untuk memlihara keamanan informasi organisasi dan fasilitas pengolaan informasi yang diakses,
diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal
2.2.1
6.2.1
2.2.2
6.2.2
2.2.3
6.2.3
Identifikasi
Resiko Terkait
Dengan Pihak
Eksternal
Apakah resiko pada informasi organsiasi dan fasilitas

pemrosesan informasi, dari sebuah proses yang
melibatkan akses pihak eksternal, diidentifikasikan dan
pengendalian yang sesuai dilaksanakan sebelum
adanya pemberian akses?
Apakah semua persyaratan keamanan yang
diidentifikasi terpenuhi sebelum memberikan akses
pada konsumen mengenai aset atau informasi
organisasi?
Penekanan
Keamanan
Ketika
Berhubungan
Dengan
Pelanggan
Penekanan
Keamanan
Perjanjian
Dengan Pihak
Ketiga
Apakah kesepakatan dengan pihak ketiga, meliputi

pengaksesan, pemrosesan, mengkomunikasian atau
pengaturan informasi organsiasi atau fasilitas
pemrosesan informasi, atau pengenalan produk atau
layanan pada fasilitas pemrosesan informasi, mematuhi
seluruh persyaratan keamanan tertentu?
Page - 8
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Pengelolaan Aset
3.1
7.1
Tanggung Jawab Terhadap Aset

Sasaran : untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi
3.1.1
7.1.1
3.1.2
7.1.2
3.1.3
7.1.3
3.2
7.2
Inventaris Aset
Apakah semua aset diidentifikasikan dan inventori atau

register dipelihara dengan semua aset yang penting?
Kepemilikan
Aset
Apakah semua informasi dan aset yang terkait dengan

fasilitas pengolahan informasi dimiliki oleh bagian dari
organisasi yang ditunjuk?
Penggunaan
Aset yang
Dapat
Diterima
Apakah peraturan untuk penggunaan yang dapat

diterima pada informasi dan aset yang diasosiasikan
dengan dasilitas pemrosesan informasi diidentifikasi,
didokumentasikan dan diimplementasikan?
Klasifikasi Informasi
Sasaran : untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat
3.2.1
7.2.1
Pedoman
Klasifikasi
Apakah informasi diklasifikasikan dalam istilah nilai,

persyaratan hukum, sensitivitas dan kritikalitas pada
organisasi?
Page - 9
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
3.2.2
7.2.2
Audit Question
Pelabelan dan
Penanganan
Informasi
Compliance
Apakah bentuk prosedur tertentu didefinisikan untuk

pelabelan dan penanganan informasi, sehubungan
dengan skema klasifikasi yangd iadopsi oleh
organisasi?
Keamanan Sumberdaya Manusia

4.1
8.1
Sebelum diperkerjakan
Sasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung
jawab sesuai dengan perannya, dan untuk mengurangi resiko pencurian, kecurangan atau penyalahgunaan
fasilitas
4.1.1
8.1.1
Peran dan
Tanggung
Jawab
Apakah peran keamanan karyawan dan tanggung

jawab karyawan, kontraktor dan pengguna pihak ketiga
didefinisikan dan didokumentasikan sehubungan
dengan kebijakan sekuritas informasi organisasi ?
Apakah peran dan tanggung jawab didefinisikan dan
dikomunikasikan dengan jelas kepada calon karyawan
selama proses pra-kerja ?
4.1.2
8.1.2
Penyaringan
(Screening)
Apakah pemeriksaan verifikasi latar belakang untuk

semua calon pekerja, kontraktor, dan pengguna pihak
ketiga dilakukan sesuai dengan peraturan yang
relevan?
Apakah pengecekan meliputi referensi karakter,
konfirmasi atas kualifikasi akademik dan profesional
Page - 10
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
yang diklaim dan pemeriksaan identitas independen?
4.1.3
8.1.3
Apakah pegawai, kontraktor dan pengguna pihak

ketiga diminta untuk menandatangani syarat
kerahasiaan atau perjanjian non-disclosure sebagai
bagian dari persyaratan awal dan kondisi dari kontrak
kerja?
Syarat dan
Aturan
Kepegawaian
Apakah perjanjian ini mencakup tanggung jawab

keamanan informasi dari organisasi dan pegawai,
pengguna pihak ketiga dan kontraktor?
4.2
8.2
Selama Bekerja
Sasaran : untuk memasikan bahwa semua pegawai, kontraktor dan pengguna pihak ketiga telah peduli
terhadap ancaman dan masalah keamanan informasi, tanggung jawab dan pertanggung-gugatan mereka, dan
disediakan perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi selama berkerja
dan untuk mengurangi risiko kesalahan manusia
4.2.1
8.2.1
4.2.2
8.2.2
Apakah manajemen membutuhkan karyawan,

kontraktor dan pengguna pihak ketiga untuk
menerapkan keamanan yang sesuai dengan kebijakan
yang ditetapkan dan prosedur organisasi?
Tanggung
Jawab
Manajemen
Kepedulian,
Pendidikan
Dan Pelatihan
Keamanan
Apakah semua karyawan dalam organisasi, dan jika

relevan, kontraktor dan pengguna pihak ketiga,
menerima pelatihan kesadaran keamanan yang tepat
dan update reguler dalam kebijakan dan prosedur
organisasi yang berkaitan dengan fungsi pekerjaan
Page - 11
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
mereka ?
Informasi
4.2.3
8.2.3
4.3
8.3
Compliance
Apakah ada proses pendisiplinan formal untuk

karyawan yang telah melakukan pelanggaran
keamanan?
Proses
Pendisiplinan
Pengakhiran atau Perubahan Pekerjaan

Sasaran : untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga keluar dari organisasi atau
adanya perubahan pekerjaan dengan cara yang sesuai
4.3.1
8.3.1
4.3.2
8.3.2
4.3.3
8.3.3
Apakah tanggung jawab untuk melakukan pemutusan

hubungan kerja, atau perubahan pekerjaan,
didefinisikan dan ditugaskan dengan jelas?
Tanggung
Jawab
Pengakhiran
Pekerjaan
Pengembalian
Aset
Apakah ada proses yang menjamin semua karyawan,

kontraktor dan pengguna pihak ketiga menyerahkan
semua aset organisasi dalam kepemilikan mereka atas
pemutusan hubungan kerja mereka, kontrak atau
perjanjian?
Penghapusan
Hak Akses
Apakah hak akses dari semua karyawan, kontraktor

dan pengguna pihak ketiga, pada fasilitas pengolahan
informasi dan informasi akan dihapus setelah
pemutusan hubungan kerja mereka, kontrak atau
perjanjian, atau akan disesuaikan pada perubahan?
Page - 12
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
Keamanan Fisik dan Lingkungan

5.1
9.1
Keamanan Area
Sasaran : untuk mencegah aksses fisik oleh pihak luar yang tidak berwenang, kerusakan dan interfensi
terhadap lokasi dan informasi organisasi.
5.1.1
9.1.1
5.1.2
9.1.2
5.1.3
9.1.3
5.1.4
9.1.4
Apakah fasilitas keamanan perbatasan fisik telah

dilaksanakan untuk melindungi layanan pemrosesan
informasi?
Perimeter
Keamanan
Fisik
(Beberapa contoh fasilitas keamanan tersebut adalah

kartu kendali gerbang masuk, dinding, penerimaan,
meja resepsionis yang dijaga, finger print, dll)
Apakah kontrol entri yang ada hanya
ditujukan/dikhususkan untuk personil yang berwenang
dalam berbagai bidang dalam organisasi?
Pengendalian
Entri yang
Bersifat Fisik
Mengamankan
Kantor,
ruangan dan
fasilitas.
Perlindungan
terhadap
Apakah ruangan, yang memiliki layanan pengolahan

informasi, terkunci atau memiliki lemari atau brankas
yang terkunci?
Apakah perlindungan fisik terhadap kerusakan

misalnya kebakaran, banjir, gempa bumi, ledakan,
kerusuhan sipil dan bentuk lain dari bencana alam atau
Page - 13
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Ancaman
Eksternal Dan
Lingkungan
5.1.5
9.1.5
5.1.6
9.1.6
5.2
9.2
Bekerja Pada
Area Aman
Pengiriman
Akses Publik
dan Bongkar
Muat
Compliance
buatan manusia dirancang dan diterapkan?

Apakah ada potensi ancaman yang berasal dari
tetangga.
Apakah perlindungan fisik dan pedoman untuk bekerja
di daerah aman dirancang dan diimplementasikan ?
Apakah pengiriman, pemuatan, dan daerah lain di
mana orang yang tidak berhak dapat memasuki tempat
yang dikendalikan, dan fasilitas pengolahan informasi
yang terisolasi, untuk menghindari akses yang tidak
sah.
Keamanan Peralatan
Sasaran : untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan interupsi terhadap
kegiatan organisasi.
5.2.1
9.2.1
Penempatan
dan
Perlindungan
Peralatan
Apakah peralatan dilindungi untuk mengurangi risiko

dari ancaman dan bahaya lingkungan, dan peluang
untuk akses yang tidak sah?
Page - 14
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Audit Question
Findings
Sarana
Pendukung
Apakah peralatan tersebut dilindungi dari gangguan

listrik dan gangguan lain yang disebabkan oleh
kegagalan dalam utilitas pendukung?
5.2.2
9.2.2
Apakah peralatan pasokan listrik, seperti pakan ganda,

Uninterruptible Power Supply (up), generator
cadangan, dll digunakan?
5.2.3
9.2.3
Keamanan
Kabel
Apakah kekuatan dan kabel telekomunikasi, yang

membawa data atau mendukung layanan informasi,
dilindungi dari intersepsi atau kerusakan?
Apakah ada kontrol keamanan tambahan untuk
mendapatkan informasi yang sensitif atau kritis.
5.2.4
9.2.4
Pemeliharaan
Peralatan
Apakah peralatan tersebut dengan benar dipertahankan

untuk menjamin ketersediaan lanjutan dan integritas?
Apakah peralatan tersebut dipertahankan, sesuai
dengan interval servis pemasok yang
direkomendasikan dan spesifikasinya?
Apakah pemeliharaan dilakukan hanya oleh petugas
yang berwenang?
Apakah log dipelihara dari semua hal yang dicurigai
atau aktual kesalahan dan semua tindakan pencegahan
Page - 15
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
dan korektif?
Apakah kontrol yang tepat diimplementasikan saat
mengirim peralatan dari lokasi?
Apakah peralatan diasuransikan dan persyaratan
asuransi terpenuhi?
5.2.5
9.2.5
Keamanan
Peralatan di
Luar Lokasi
Apakah risiko dinilai berkaitan dengan setiap

penggunaan peralatan di luar lokasi organisasi, dan
mitigasi kontrol dilaksanakan?
Apakah penggunaan fasilitas pengolahan informasi
luar organisasi telah disahkan oleh manajemen?
5.2.6
9.2.6
5.2.7
9.2.7
Penggunaan
Kembali
Peralatan
Pemindahan
Property
Apakah semua peralatan, yang berisi media

penyimpanan, diperiksa untuk memastikan bahwa
informasi sensitif atau perangkat lunak berlisensi
secara fisik hancur, atau dijamin rusak, sebelum
dibuang atau digunakan kembali?
Apakah terdapat kontrol peralatan, informasi atau
perangkat lunak tidak boleh dibawa keluar lokasi tanpa
ijin yang berwenang?
Page - 16
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
Manajemen Komunikasi Dan Operasi

6.1
10.1
Prosedur Oprasional dan Tanggung Jawab

Sasaran : untuk memastikan pengoperasian fasilitas pengolahan informasi secara benar dan aman
6.1.1
10.1.1
6.1.2
10.1.2
6.1.3
10.1.3
6.1.4
10.1.4
Prosedur
Operasi yang
Terdokumenta
si
Apakah prosedur operasi didokumentasikan, dipelihara

dan tersedia untuk semua pengguna yang
membutuhkannya?
Apakah prosedur tersebut diperlakukan sebagai
dokumen resmi, dan karena itu setiap perubahan yang
dilakukan harus memiliki otorisasi manajemen?
Apakah semua perubahan ke fasilitas dan sistem
pengolahan informasi dikendalikan?
Manajemen
Perubahan
Pemisahan
Tugas
Apakah tugas dan lingkup tanggung jawab dipisahkan,

untuk mengurangi peluang untuk modifikasi yang tidak
tidak sah atau penyalahgunaan informasi, atau
layanan?
Pemisahan
Fasilitas
Pengembangan
Apakah fasilitas pengembangan dan pengujian

terisolasi dari fasilitas operasional? Sebagai contoh,
pengembangan dan produksi software harus dijalankan
pada komputer yang berbeda. Jika diperlukan, jaringan
pengembangan dan produksi harus disimpan terpisah
Page - 17
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
dari satu sama lain.
, Pengujian
dan
Operasional
6.2
10.2
Compliance
Manajemen Pelayanan Jasa Pihak Ketiga

Sasaran : untuk menerapkan dan memelihara tingkat keamanan informasi dan pelayanan jasa yang sesuai
dengan perjanjian pelayanan jasa pihak ketiga.
6.2.1
10.2.1
Apakah langkah-langkah yang diambil untuk
Pelayanan Jasa memastikan bahwa kontrol keamanan, definisi jasa dan

tingkat pengiriman, termasuk dalam perjanjian
penyediaan layanan pihak ketiga, diterapkan,
dioperasikan dan dipelihara oleh pihak ketiga?
6.2.2
6.2.3
10.2.2
10.2.3
Monitoring
Dan Review
Pada Layanan
Pihak Ketiga
Pengelolaan
Perubahan
Terhadap Jasa
Pihak Ketiga
Apakah layanan, laporan dan catatan yang diberikan

oleh pihak ketiga secara teratur dipantau dan dikaji?
Apakah Audita dilakukan pada pihak ketiga atas jasa,
laporan dan catatan, dengan interval reguler?
Apakah perubahan pada penyediaan layanan, yang
meliputi menjaga dan memperbaiki kebijakan
keamanan informasi yang ada, prosedur dan
pengendalian, dikelola?
Apakah mempertimbangkan kritikal sistem dan proses
bisnis terkait dan asesmen ulang dari resiko?
Page - 18
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
6.3
10.3
Audit Question
Perencanaan Dan Penerimaan Sistem

Sasaran : untuk mengurangi resiko kegagalan sistem
6.3.1
10.3.1
Manajemen
Kapasitas
Apakah penggunaan sumber daya dipantau,

disesuaikan dan dirpoyeksikan untuk pemenuhan
kapasitas mendatang, guna memastikan kinerja system
yang dipersyaratkan?
Contoh: Pemantauan ruang hard disk, RAM dan CPU
pada server kritis..
6.3.2
6.4
10.3.2
10.4
Penerimaan
Sistem
Apakah kriteria penerimaan sistem ditetapkan untuk

sistem informasi baru, upgrade dan versi baru?
Apakah dilakukan pengujian sistem yang sesuai selama
pengembangan dan sebelum penerimaan?
Perlindungan Terhadap Malicious Dan Mobile Code

Sasaran : untuk melindungi integritas perangkat lunak (software) dan informasi
6.4.1
10.4.1
Pengendalian
Terhadap
Apakah pengendalian yang bersifat pendeteksian,

pencegahan dan pemulihan untuk melindungi dari
malicious code dan prosedur kepedulian pengguna
Page - 19
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Malicious Code
6.4.2
10.4.2
Pengendalian
Terhadap
Mobile Code
Compliance
yang memadai telah diterapkan?

Apakah kode mobile hanya diotorisasi kepada
pengguna internal?
Apakah konfigurasi memastikan bahwa kode mobile
resmi beroperasi sesuai dengan kebijakan keamanan?
Apakah pelaksanaan kode mobile yang tidak sah
dicegah?
(Kode Mobile adalah kode software yang transfer dari
satu komputer ke komputer lain dan kemudian
dieksekusi secara otomatis. Code ini melakukan fungsi
tertentu dengan sedikit atau tanpa campur tangan
pengguna. Mobile code dikaitkan dengan sejumlah
layanan middleware.)
6.5
10.5
Back-up
Sasaran : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolaan informasi
6.5.1
10.5.1
Back-up
Informasi
Apakah back-up informasi dan perangkat lunak yang

diambil dan diuji secara teratur sesuai dengan
kebijakan back-up yang disetujui?
Apakah semua informasi penting dan perangkat lunak
Page - 20
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
dapat pulih setelah bencana atau kegagalan media?
6.6
10.6
Manajemen Keamanan Jaringan

Sasaran : untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur
pendukung.
6.6.1
10.6.1
6.6.2
10.6.2
Kontrol
Jaringan
Keamanan
Layanan
Jaringan
Apakah jaringan telah dikelola dan dikendalikan secara

memadai, agar terlindungi dari ancaman, dan untuk
memlihara keamanan dari system dan aplikasi yang
menggunakan jaringan, termasuk informasi dalam
transit?
Apakah fitur keamanan, tingkat layanan dan
persyaratan manajemen, dari semua layanan jaringan,
diidentifikasi dan termasuk dalam jaringan perjanjian
layanan?
Apakah kemampuan penyedia layanan jaringan, untuk
mengelola layanan disepakati dalam cara yang aman,
ditentukan dan dipantau secara teratur, dan hak untuk
audit disepakati?
6.7
10.7
Penanganan Media
Sasaran : untuk mencegah pengunkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah, dan
gangguan kegiatan bisnis.
Page - 21
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
6.7.1
10.7.1
6.7.2
10.7.2
6.7.3
10.7.3
6.7.4
10.7.4
6.8
10.8
Manajemen
Media Yang
Removable
(dapat
dipindahkan)
Pemusnahan
Media
Prosedur
Penanganan
Informasi
Keamanan
Dokumentasi
Sistem
Audit Question
Compliance
Apakah terdapat prosedur untuk pengelolaan

removable media, seperti kaset, disk, kaset, kartu
memori, dan laporan?
Apakah semua prosedur dan tingkat otorisasi secara
jelas deidefinisikan dan didokumentasikan ?
Apakah media yang tidak diperlukan lagi dimusnahkan

dengan aman, sesuai prosedur resmi atau formal?
Apakah terdapat prosedur untuk menangani
penyimpanan informasi?
Apakah prosedur ini mengatasi isu-isu, seperti
perlindungan informasi, dari pengungkapan yang tidak
sah atau penyalahgunaan informasi?
Apakah dokumentasi sistem dilindungi terhadap akses
yang tidak sah?
Pertukaran Informasi
Sasaran : untuk memelihara keamanan informasi dan software yang diperlukan dalam suatu organisasi dan
dengan setiap entitas eksternal
Page - 22
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
6.8.1
10.8.1
6.8.2
10.8.2
Audit Question
Apakah terdapat kebijakan prosedu dan pengendalian
Kebijakan Dan secara formal telah tersedia untuk melindungi

pertukaran informasi dengan menggunakan semua
Prosedur
jenis fasilitas komunikasi?
Pertukaran
Informasi
Apakah perjanjian ditetapkan mengenai pertukaran

informasi dan perangkat lunak antara organisasi dan
pihak luar?
Perjanjian
Pertukaran
Apakah isi keamanan perjanjian ini mencerminkan

sensitivitas informasi bisnis yang terlibat?
6.8.3
10.8.3
6.8.4
10.8.4
6.8.5
10.8.5
6.9
10.9
Media Fisik
Dalam Transit
Apakah media yang mengandung informasi dilindungi

terhadap akses yang tidak sah, penyalahgunaan atau
korupsi selama transportasi yang melampaui batas fisik
organisasi?
Pesan
Elektronik
Apakah informasi dalam bentuk pesan elektronik

terlindungi dengan baik?
(Pesan elektronik termasuk email, Elektronik Data
Interchange, Instant Messaging)
Sistem
Informasi
Bisnis
Apakah kebijakan serta prosedur yang dikembangkan

dan ditegakkan untuk melindungi informasi terkait
dengan interkoneksi sistem informasi bisnis?
Layanan Commerce Electronik

Page - 23
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
Sasaran : untuk memastikan keamanan layanan electronic commenrce dan keamanan penggunaannya.
6.9.1
10.9.1
Apakah informasi yang terlibat dalam perdagangan

lewat elektronik melalui jaringan publik dilindungi dari
aktivitas penipuan, perselisihan kontrak, dan akses
yang tidak sah atau modifikasi?
E-Commerce
Apakah Keamanan kontrol seperti penerapan

pengendalian kriptografi dipertimbangkan?
6.9.2
10.9.2
6.9.3
10.9.3
6.10
10.10
6.10.1
10.10.1
Apakah informasi yang terlibat dalam transaksi online

dilindungi untuk mencegah transmisi yang tidak
lengkap, mis-routing, perubahan pesan yang tidak sah,
pengungkapan yang tidak sah, duplikasi pesan yang
tidak sah atau replay?
Transaksi
Online
Informasi Yang
Tersedia
Secara Umum
Apakah integritas dari informasi publik dilindungi

terhadap modifikasi yang tidak sah?
Monitoring (Pemantauan)
Sasaran : untuk mendeteksi kegiatan pengolahan informasi yang tidak sah
Log Audit
Apakah log audit merekam kegiatan pengguna,

pengecualian, dan kejadian keamanan informasi
Page - 24
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
dihasilakn dan disimpan selama periode yang disetujui
untuk membantu dalam penyelidikan masa depan dan
pemantauan kontrol akses?
Apakah Langkah perlindungan privasi yang tepat
dipertimbangkan dalam Audit log pemeliharaan.
6.10.2
10.10.2
Apakah prosedur dikembangkan dan ditetapkan untuk

memantau penggunaan sistem untuk fasilitas
pengolahan informasi?
Pemantauan
Penggunaan
Sistem
Apakah hasil kegiatan pemantauan ditinjau secara

berkala?
Apakah tingkat pengawasan diperlukan untuk fasilitas
pengolahan informasi individu ditentukan oleh
penilaian risiko?
6.10.3
10.10.3
6.10.4
10.10.4
Perlindungan
Pada Informasi
Log
Log
Administrator
Dan Operator
Apakah fasilitas logging dan informasi log dilindungi

terhadap gangguan dan akses yang tidak sah?
Apakah ada administrator sistem dan kegiatan sistem

operator login?
Apakah kegiatan login ditinjau secara teratur?
Page - 25
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
6.10.5
10.10.5
6.10.6
10.10.6
Audit Question
Apakah kesalahan login dicatat dalam log, dianalisis
dan diambil tindakan yang sesuai?

Log atas
kesalahan yang
terjadi (fault
Logging)
Apakah penunjuk waktu dari seluruh sistem

pengolahan informasi relevan dalam organisai atau
domain keamanan telah disinkronisasikan dengan
sumber penunjuk waktu akurat yang disepakati?
Sinkronisasi
Penunjuk
Waktu
(Pengaturan benar jam komputer penting untuk

memastikan keakuratan audit log)
Pengendalian Akses
7.1
11.1
Persyaratan Bisnis Untuk Pengendalian Akses

Sasaran : untuk mengendalikan akses keoada informasi
7.1.1
11.1.1
Kebijakan
Kontrol Akses
Apakah kebijakan kontrol akses dikembangkan dan

ditinjau didasarkan pada bisnis dan persyaratan
keamanan?
Apakah logis dan kontrol akses fisik dipertimbangkan
dalam kebijakan?
Page - 26
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
7.2
11.2
Audit Question
Compliance
Manajemen Akses User

Sasaran : untuk memastikan akses oleh pengguna yang sah dan untuk mencegah pihak yang tidak sah pada
sistem informasi
7.2.1
11.2.1
Apakah ada prosedur pendaftaran dan pembatalan
Registrasi User pendaftaran pengguna secara formal untuk pemberian

dan pencabutanakses terhadap seluruh layanan dan
sistem informasi.
7.2.2
11.2.2
7.2.3
11.2.3
7.2.4
11.2.4
Apakah alokasi dan penggunaan dari setiap hak

istimewa dalam perangkat sistem informasi dibatasi
dan dikendalikan ? (Keistimewaan dialokasikan pada
kebutuhan untuk menggunakan dasar, hak dialokasikan
hanya setelah proses otorisasi formal)
Manajemen
Hak Khusus
Apakah alokasi dan realokasi password telah

dikendalikan dengan proses manajemen formal?
Manajemen
Password
Pengguna
Apakah pengguna diminta untuk menandatangani

pernyataan untuk menjaga password rahasia?
Review
Terhadap Hak
Akses User
Apakah terdapat proses untuk meninjau hak akses

pengguna secara berkala? Contoh: hak istimewa
khusus ditinjau setiap 3 bulan, hak istimewa yang
normal setiap 6 bulan
Page - 27
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
7.3
11.3
Audit Question
Compliance
Tanggung Jawab Pengguna

Sasaran : untuk mencegah akses pengguna yang tidak sah dan gangguan atau pencurian atas informasi dan
fasilitas pengolahan informasi.
7.3.1
11.3.1
7.3.2
11.3.2
7.3.3
11.3.3
Apakah terdapat praktik keamanan untuk memandu

pengguna dalam memilih dan memelihara password
yang aman?
Penggunaan
Password
Peralatan yang
ditinggalkan
oleh
penggunanya
(unattended)
Apakah peralatan yang ditinggalkan oleh penggunanya

telah dipastikan terlindungi dengan tepat?
Contoh: Logoff saat sesi selesai atau mengatur auto log
off, mengakhiri sesi ketika selesai dll,
Apakah organisasi telah mengadopsi kebijakan clear
desk berkaitan dengan kertas dan media penyimpanan

Kebijakan
Clear Desk dan removable?
Clear Screen
Apakah organisasi telah mengadopsi kebijakan clear
screen berkaitan dengan fasilitas pengolahan
informasi?
7.4
11.4
Kontrol Akses Jaringan

Sasaran : untuk mencegah akses yang tidak sah ke dalam jaringan
Page - 28
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
7.4.1
11.4.1
7.4.2
11.4.2
7.4.3
11.4.3
7.4.4
11.4.4
Audit Question
Apakah pengguna telah diberikan akses terhadap
layanan yang telah diberikan kewenangan
penggunaanya secara spesifik?
Kebijakan
Penggunaan
Layanan
Jaringan
Apakah telah digunakan metode otentikasi yang tepat

untuk mengendalikan akses oleh pengguna remote?
Otentikasi
User Untuk
Koneksi
Eksternal
Apakah identifikasi peralatan otomatis dipertimbagkan

sebagai cara untuk mengotentikasi koneksi dari lokasi
dan peralatan khusus?
Identifikasi
Peralatan
Dalam
Jaringan
Perlindungan
terhadap
Remote
diagnostic dan
configuration
port
Apakah akses fisik dan logical untuk port diagnostik

dikendalikan dengan aman yaitu, dilindungi oleh
mekanisme keamanan?
Page - 29
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
7.4.5
11.4.5
Audit Question
Segrasi Dalam
Jaringan
Apakah kelompok layanan informasi, pengguna dan

sistem informasi dipisahkan pada jaringan?
Apakah jaringan (di mana mitra bisnis harus dan / atau
pihak ketiga membutuhkan akses ke sistem informasi)
dipisahkan menggunakan mekanisme keamanan
perimeter seperti firewall?
Apakah pertimbangan dibuat untuk pemisahan jaringan
nirkabel dari jaringan internal dan swasta?
7.4.6
11.4.6
7.4.7
11.4.7
7.5
11.5
7.5.1
11.5.1
Kontrol
Koneksi
Jaringan
Pengendalian
Routing
Jaringan
Apakah untuk jaringan yang digunakan bersama,

khususnya perluasan jaringan yang melewati batas
perusahaan, kapabilitas pengguna untuk terhubung
dengan jaringan telah dibatasi, sejalan dengan
kebijakan pengendalian akses dan persyaratan dalam
aplikasi bisnis?
Apakah pengendalian routing telah diterapkan ke
dalam jaringan untuk memastikan bahwa koneksi
computer dan aliran informasi tidak melanggar
kebijakan pengendalian akases dari aplikasi bisnis?
Pengoperasian Control Akses Sistem

Sasaran : untuk mencegah akses tidak sah ke dalam sistem operasi
Apakah akses ke sistem operasi dikendalikan oleh
Keamanan
prosedur log-on yang aman?
Prosedur Log
Page - 30
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
On yang aman
7.5.2
11.5.2
Identifikasi
Dan Otentikasi
User
Apakah identifikasi unik (user ID) disediakan untuk

setiap pengguna seperti operator, administrator sistem
dan semua staf lainnya termasuk teknisi?
Apakah teknik otentikasi yang sesuai dipilih untuk
memperkuat identitas yang diklaim pengguna?
Apakah account pengguna generik disediakan hanya
dalam keadaan luar biasa di mana ada manfaat bisnis
yang jelas. Kontrol tambahan mungkin diperlukan
untuk menjaga akuntabilitas?
7.5.3
11.5.3
7.5.4
11.5.4
7.5.5
11.5.5
Apakah terdapat sistem manajemen password yang

memaksa berbagai kontrol sandi seperti: sandi
individual untuk akuntabilitas, menegakkan perubahan
password, menyimpan password dalam bentuk
terenkripsi, tidak menampilkan password di layar dll?
Sistem
Manajemen
Password
Penggunaan
Utilitas Sistem
Session TimeOut
Apakahterdapat program utilitas yang mungkin

mampu mengesampingkan sistem dan aplikasi kontrol
yang dibatasi dan dikontrol dengan ketat?
Apakah sesi yang tidak aktif dalam jangka waktu
tertentu telah mati?
(Sebuah bentuk terbatas timeout dapat disediakan
untuk beberapa sistem, yang membersihkan layar dan
mencegah akses yang tidak sah tetapi tidak menutup
Page - 31
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
sesi aplikasi atau jaringan.
7.5.6
11.5.6
7.6
11.6
Apakah terdapat pembatasan waktu koneksi untuk
aplikasi yang berisiko tinggi?

Pembatasan
Waktu Koneksi
Aplikasi Dan Kontrol Akses Informasi

Sasaran : untuk mencegah akses yang tidak sah terhadap informasi pada sistem aplikasi
7.6.1
11.6.1
7.6.2
11.6.2
7.7
11.7
Pembatasan
Akses
Informasi
Isolasi Sistem
yang Sensitif
Apakah akses ke informasi dan fungsi sistem aplikasi

oleh pengguna dan personel pendukung dibatasi sesuai
dengan kebijakan yang ditetapkan kontrol akses?
Apakah sistem yang sensitif disediakan dengan
dedicated (terisolasi) lingkungan komputasi seperti
berjalan pada komputer, sumber daya yang berdedikasi
hanya berbagi dengan sistem aplikasi terpercaya, dll?
Mobile Computing And Teleworking(Kerja Jarak Jauh)

Sasaran : untuk memastikan keamanan informasi ketika menggunakan fasilitas mobile computing dan kerja
jarak jauh
7.7.1
11.7.1
Mobile
Computing
dan
Apakah kebijakan formal di tempat, dan langkahlangkah keamanan yang sesuai diadopsi untuk
melindungi terhadap risiko menggunakan komputasi
mobile dan fasilitas komunikasi?
Page - 32
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Audit Question
Findings
Komunikasi
Beberapa contoh komputasi Mobile dan fasilitas

komunikasi meliputi: notebook, palmtop, laptop,
smartCard, ponsel.
Compliance
Apakah risiko seperti bekerja di lingkungan yang tidak

dilindungi diperhitungkan oleh kebijakan komputasi
Mobile?
7.7.2
11.7.2
Teleworking
Apakah kebijakan, rencana dan prosedur operasional

dikembangkan dan diimplementasikan untuk kegiatan
teleworking?
Apakah kegiatan teleworking diotorisasi dan
dikendalikan oleh manajemen dan apakah hal itu
menjamin bahwa pengaturan yang sesuai di tempat
untuk cara kerja?
Akusisi, Pengembangan dan Pemeliharaan Sistem Informasi

8.1
12.1
Persyratan Keamanan System Informasi

Sasaran : untuk memastikan bahwa keamanan merupakan bagian yang utuh dari sistem informasi
8.1.1
12.1.1
Analisis Dan
Spesifikasi
Persyaratan
Keamanan
Apakah persyaratan keamanan untuk sistem informasi

baru dan peningkatan sistem informasi yang ada
menentukan persyaratan untuk kontrol keamanan?
Apakah persyaratan keamanan dan kontrol
diidentifikasi mencerminkan nilai bisnis dari aset
informasi yang terlibat dan konsekuensi dari kegagalan
Page - 33
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
Keamanan?
Apakah persyaratan sistem untuk keamanan informasi
dan proses untuk implementasi keamanan terintegrasi
dalam tahap awal proyek sistem informasi.
8.2
12.2
Pengolahan yang Benar Dalam Palikasi

Sasaran : untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi
dalam aplikasi
8.2.1
12.2.1
Validasi Data
Input
Apakah input data ke sistem aplikasi divalidasi untuk

memastikan bahwa itu adalah benar dan tepat.
Apakah kontrol seperti: Berbagai jenis inputan untuk
memeriksa pesan kesalahan, Prosedur untuk merespons
kesalahan validasi, mendefinisikan tanggung jawab
semua personel yang terlibat dalam proses masukan
data dll, dipertimbangkan?
8.2.2
8.2.3
12.2.2
12.2.3
Pengendalian
pengolahan
Internal
Integritas
Apakah pengecekan validasi dimasukkan ke dalam

aplikasi untuk mendeteksi kerusakan informasi melalui
kesalahan pengolahan atau tindakan yang disengaja?
Apakah desain dan implementasi aplikasi memastikan
bahwa risiko dari kegagalan pengolahan menyebabkan
hilangnya integritas dapat diminimalkan?
Apakah persyaratan untuk menjamin dan melindungi
integritas pesan dalam aplikasi diidentifikasi, dan
Page - 34
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Pesan
8.2.4
12.2.4
8.3
12.3
Validasi
Output Data
Audit Question
Compliance
kontrol yang tepat diidentifikasi dan diterapkan?

Apakah penilaian resiko keamanan dilakukan untuk
menentukan apakah integritas pesan diperlukan, dan
untuk mengidentifikasi metode yang paling tepat
pelaksanaan?
Apakah output data sistem aplikasi divalidasi untuk
memastikan bahwa pengolahan informasi yang
disimpan adalah benar dan sesuai dengan keadaan?
Control Cryptographic
Sasaran : untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi
8.3.1
8.3.2
12.3.1
12.3.2
Kebijakan
tentang
penggunaan
pengendalian
kriptografi
Manajemen
Kunci
Apakah organisasi memiliki kebijakan tentang

penggunaan kontrol kriptografi untuk perlindungan
informasi?
Apakah kebijakan tersebut berhasil diterapkan?
Apakah kebijakan kriptografi mempertimbangkan
pendekatan manajemen terhadap penggunaan kontrol
kriptografi, hasil penilaian risiko untuk
mengidentifikasi tingkat yang diperlukan perlindungan,
metode manajemen kunci dan berbagai standar untuk
implementasi yang efektif?
Apakah manajemen kunci ada untuk mendukung
penggunaan organisasi teknik kriptografi?
Apakah kunci kriptografi dilindungi terhadap
Page - 35
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
modifikasi, kehilangan, dan kerusakan?
Apakah kunci rahasia dan kunci privat dilindungi
terhadap pengungkapan yang tidak sah?
Apakah sistem manajemen kunci didasarkan pada
kesepakatan mengenai standar, prosedur dan metode
yang aman?
8.4
12.4
Keamanan File Sistem

Sasaran : untuk memastikan keamanan sistem file
8.4.1
12.4.1
8.4.2
12.4.2
8.4.3
12.4.3
Apakah ada prosedur untuk mengendalikan instalasi

perangkat lunak pada sistem operasional? (Hal ini
untuk meminimalkan risiko korupsi sistem
operasional.)
Pengendalian
perangkat
lunak yang
operasional
Apakah data pengujian sistem dilindungi dan

dikendalikan?
Perlindungan
Data Uji
Sistem
Apakah penggunaan informasi pribadi atau informasi

sensitif untuk pengujian basis data operasional
dihindari?
Pengendalian
akses terhadap
kode sumber
Apakah kontrol ketat ada untuk membatasi akses ke

perpustakaan sumber program?
(Hal ini untuk menghindari potensi yang tidak sah,
perubahan yang tidak disengaja.)
Page - 36
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
program
8.5
12.5
Keamanan Dalam Proses Pengembangan dan Pendukung

Sasaran : untuk memelihara keamanan software sistem aplikasi dan informasi
8.5.1
12.5.1
8.5.2
12.5.2
8.5.3
12.5.3
Apakah ada prosedur kontrol yang ketat di tempat

selama pelaksanaan perubahan pada sistem informasi?
(Hal ini untuk meminimalkan kerusakan sistem
informasi.)
Prosedur
pengendalian
perubahan
Review Teknis
Pada Aplikasi
Setelah
Perubahan
Sistem Operasi
Apakah ada tinjauan dan pengujian apabila sistem

diubah untuk memastikan tidak ada dampak yang
merugikan terhadap organisasi atau keamanan?
Apakah modifikasi paket perangkat lunak tidak

disarankan dan / atau terbatas pada perubahan yang
diperlukan?
Pembatasan
Atas
Perubahan
Apakah semua perubahan dikontrol secara ketat?
Terhadap
Paket Software
Page - 37
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
8.5.4
12.5.4
8.5.5
12.5.5
8.6
12.6
8.6.1
12.6.1
Audit Question
Compliance
Apakah ada pencegahan terhadap peluang kebocoran

informasi?
Kebocoran
Informasi
Pengembangan
Software Yang
Outsource
Apakah pengembangan perangkat lunak outsourcing

diawasi dan dipantau oleh organisasi?
Apakah poin seperti: pengaturan Perizinan, pengaturan
escrow, persyaratan kontrak untuk jaminan kualitas,
pengujian sebelum instalasi untuk mendeteksi kode
Trojan dll, diterapkan?
Manajemen Kerawanan Teknis

Kontrol
Kerawanan
Teknis
Apakah informasi tepat waktu mengenai kerentanan

teknis dari sistem informasi yang digunakan diperoleh?
Apakah paparan organisasi untuk kerentanan tersebut
dievaluasi dan langkah yang tepat diambil untuk
mengurangi risiko yang terkait?
Manajemen Insiden Keamanan Informasi

9.1
13.1
Pelaporan Kejadian Dam Kelemahan Keamanan Informasi

Sasaran : untuk memastikan kejadian dan kelemahan informasi terkait dengan sistem informasi
dikumunikasikan sedemikan rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu
Page - 38
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Audit Question
Findings
Pelaporan
Kejadian
Keamanan
Informasi
Apakah kejadian keamanan informasi dilaporkan

melalui saluran manajemen yang tepat secepat
mungkin?
Apakah keamanan acara pelaporan prosedur, respon
Insiden informasi formal dan prosedur eskalasi
dikembangkan dan diimplementasikan?
Pelaporan
Kelemahan
Keamanan
Apakah terdapat prosedur yang menjamin semua

sistem informasi karyawan dan layanan yang
diperlukan untuk mencatat dan melaporkan setiap
kelemahan keamanan yang diamati atau dicurigai
dalam sistem atau layanan?
9.1.1
13.1.1
9.1.2
13.1.2
9.2
13.2
Compliance
Manajemen Insiden Keamanan Informasi dan Perbaikan

sasaran : untuk memastikan pendekatan yang konsisten dan efektif diterapkan untuk manajemen insiden
keamanan informasi
9.2.1
13.2.1
9.2.2
13.2.2
Apakah tanggung jawab manajemen dan prosedur telah

dibentuk untuk memastikan respon cepat, efektif dan
teratur terhadap insiden keamanan informasi?
Apakah terdapat pemantauan sistem, peringatan, dan
kerentanan yang digunakan untuk mendeteksi insiden
keamanan informasi?
Tanggung
Jawab Dan
Prosedur
Pemberlajaran
Dari Insiden
Apakah ada mekanisme untuk mengidentifikasi dan

menghitung jenis, volume dan biaya insiden keamanan
informasi?
Page - 39
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Audit Question
Findings
Keamanan
Informasi
Apakah informasi yang diperoleh dari evaluasi insiden

keamanan informasi masa lalu digunakan untuk
mengidentifikasi insiden dampak berulang atau tinggi?
9.2.3
13.2.3
Pengumpulan
Bukti
Compliance
Apakah tindak lanjut terhadap orang atau organisasi

setelah insiden keamanan informasi melibatkan
tindakan hukum (baik perdata atau pidana)?
Apakah bukti yang berkaitan dengan insiden itu
dikumpulkan, disimpan dan disajikan agar sesuai
dengan aturan untuk bukti yang ditetapkan dalam
yurisdiksi yang relevan ?
Manajemen Keberlanjutan Bisnis

10.1
14.1
Aspek Keamanan Informasi Pada Manajemen Keberlanjutan Bisnis

Sasaran : untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dan efek
kegagalan utama sistem innformasi atau bencana dan untuk memastikan keberlanjutan secara tepat waktu.
10.1.1
14.1.1
Memasukan
keamanan
informasi
dalam proses
manajemen
Apakah ada proses yang dikelola yang membahas

persyaratan keamanan informasi untuk
mengembangkan dan mempertahankan kelangsungan
bisnis di seluruh organisasi?
Apakah proses ini memahami risiko organisasi
Page - 40
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Audit Question
Findings
keberlanjutan
bisnis
menghadapi, mengidentifikasi aset bisnis penting,

mengidentifikasi dampak insiden, mempertimbangkan
pelaksanaan kontrol pencegahan tambahan dan
mendokumentasikan kelangsungan rencana bisnis
menangani persyaratan keamanan?
10.1.2
14.1.2
10.1.3
14.1.3
10.1.4
14.1.4
Keberlanjutan
bisnis dan
asesmen resiko
Pengembangan
dan Penerapan
rencana
Keberlanjutan
Termasuk
Keamanan
Informasi
Kerangka
Kerja
Perencanaan
Keberlanjutan
Apakah peristiwa yang menyebabkan gangguan

terhadap proses bisnis diidentifikasi bersama dengan
probabilitas dan dampak dari gangguan tersebut dan
konsekuensi mereka untuk keamanan informasi?
Apakah rencana dikembangkan untuk
mempertahankan dan memulihkan operasi bisnis,
menjamin ketersediaan informasi dalam tingkat yang
diperlukan dalam kerangka waktu yang diperlukan
menyusul gangguan atau kegagalan untuk proses
bisnis?
Apakah rencana menganggap identifikasi dan
kesepakatan tanggung jawab, identifikasi kerugian
diterima, pelaksanaan pemulihan dan prosedur
restorasi, dokumentasi prosedur dan pengujian
berkala?
Apakah ada kerangka tunggal rencana kesinambungan
bisnis?
Apakah kerangka ini dipertahankan untuk memastikan
bahwa semua rencana yang konsisten dan
mengidentifikasi prioritas untuk pengujian dan
Page - 41
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
pemeliharaan?
Bisnis
10.1.5
14.1.5
Compliance
Pengujian,
pemeliharaan
dan asesmen
ulang rencana
keberlanjutan
bisnis
Apakah rencana kelanjutan bisnis diuji secara teratur

untuk memastikan bahwa mereka yang up to date dan
efektif?
Apakah kelangsungan tes rencana bisnis memastikan
bahwa semua anggota tim pemulihan dan staf lain yang
relevan menyadari rencana dan tanggung jawab
mereka untuk kelangsungan bisnis dan keamanan
informasi dan mengetahui peran mereka ketika rencana
ditimbulkan?
Kesesuaian
11.1
15.1
Kesesuaian Dengan Persayaratan Hukum

Sasaran : untuk mencegah pelanggaran terhadap undang-undang, peraturan perundang-undangan aatau
kewajiban kontrak dan setiap persayaratan keamanan.
11.1.1
15.1.1
Identifikasi
peraturan
hokum yang
berlaku
Apakah semua hukum, peraturan, persyaratan kontrak

yang relevan dan pendekatan organisasi untuk
memenuhi persyaratan secara eksplisit didefinisikan
dan didokumentasikan untuk setiap sistem informasi
dan organisasi?
Apakah kontrol tertentu dan tanggung jawab masingmasing untuk memenuhi persyaratan ini didefinisikan
Page - 42
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
dan didokumentasikan?
11.1.2
15.1.2
Hak Kekayaan
Intelektual
(HAKI)
Apakah ada prosedur untuk memastikan kepatuhan

dengan persyaratan legislatif, peraturan dan kontrak
pada penggunaan bahan dalam hal yang mungkin ada
hak kekayaan intelektual dan penggunaan produk
perangkat lunak berpemilik?
Apakah prosedur dilaksanakan dengan baik?
11.1.3
15.1.3
Perlindungan
rekaman
Organisasi
Apakah catatan penting dari organisasi ini dilindungi

dari kerugian kerusakan dan pemalsuan, sesuai dengan
undang-undang, peraturan, kontrak dan persyaratan
bisnis?
Apakah pertimbangan diberikan untuk kemungkinan
kerusakan media yang digunakan untuk penyimpanan
catatan?
Apakah sistem penyimpanan data yang dipilih
sehingga data yang diperlukan dapat diambil dalam
jangka waktu yang dapat diterima dan formatnya,
tergantung pada persyaratan yang harus dipenuhi?
11.1.4
15.1.4
Perlindungan
Data dan
Rahasia
Informasi
Pribadi
Apakah perlindungan data dan privasi dijamin sesuai

undang-undang, peraturan, dan jika berlaku sesuai
klausul kontrak?
Page - 43
Compliance
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
11.1.5
15.1.5
Audit Question
Pencegahan
penyalahgunaa
n fasilitas
pengolahan
informasi
Compliance
Apakah penggunaan fasilitas pengolahan informasi

untuk setiap non-bisnis atau tidak sah tujuan, tanpa
persetujuan manajemen diperlakukan sebagai
penyalahgunaan fasilitas?
Apakah log-on pesan peringatan disajikan pada layar
komputer sebelum log-on. Apakah pengguna harus
mengakui peringatan dan bereaksi dengan tepat untuk
pesan pada layar untuk melanjutkan dengan proses logon?
Apakah nasihat hukum diambil sebelum menerapkan
prosedur pemantauan apapun?
11.1.6
15.1.6
11.2
15.2
Apakah kontrol kriptografi yang digunakan sesuai

dengan semua perjanjian yang relevan, hukum, dan
peraturan?
Regulasi
Pengendalian
kriptografi
Pemenuhan Terhadap Kebijakan Keamanan dan Standar, dan Pemenuhan Teknis

Sasaran : untuk memastikan pemenuhan sistem terhadap kebijakan dan standard keamanan organisasi
11.2.1
15.2.1
Pemenuhan
terhadap
kebijakan
keamanan dan
standar
Apakah manajer memastikan bahwa semua prosedur

keamanan di dalam wilayah tanggung jawab mereka
dilakukan dengan benar untuk mencapai sesuai dengan
kebijakan keamanan dan standard?
Apakah manajer secara teratur meninjau kepatuhan
fasilitas pengolahan informasi dalam bidang tanggung
Page - 44
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
jawab untuk mematuhi kebijakan keamanan yang

sesuai dan prosedur?
11.2.2
11.3
15.2.2
15.3
Pengecekan
pemenuhan
teknis
Apakah sistem informasi secara teratur diperiksa untuk

memenuhi standar implementasi keamanan?
Apakah pengawasan kelengkapan teknis dilakukan
oleh, atau di bawah pengawasan, kompeten, personil
yang berwenang?
Pertimbangan Audit Sistem Informasi

Sasaran : untuk memaksimalkan keefektifan dari dan untuk meminimalkan interferensi kepada/dari proses
audit sistem informasi
11.3.1
15.3.1
Pengendalian
audit sistem
informasi
Apakah persyaratan audit dan kegiatan yang

melibatkan pemeriksaan pada sistem operasional telah
hati-hati direncanakan dan setuju untuk meminimalkan
risiko gangguan proses bisnis?
Apakah persyaratan audit, ruang lingkup yang
disepakati dengan manajemen yang tepat?
11.3.2
15.3.2
Apakah akses ke perangkat audit sistem informasi
seperti perangkat lunak atau file data yang dilindungi

Perlindungan
untuk mencegah penyalahgunaan yang mungkin atau
terhadap alat
audit informasi kompromi?
Apakah perangkat audit sistem informasi dipisahkan
dari pengembangan dan sistem operasional, kecuali
Page - 45
MSI-UKSW
14/10/2014

Reference
Results
Checklist Standard
Section
Findings
Audit Question
Compliance
diberikan tingkat perlindungan yang sesuai tambahan?
References
1. BS ISO/IEC 17799:2005 (BS 7799-1:2005) Information technology. Security techniques. Code of practice for information
security management
2. Draft BS 7799-2:2005 (ISO/IEC FDIS 27001:2005) Information technology. Security techniques. Information security
management systems. Requirements
3. Information technology Security techniques Information security management systems Requirement. BS ISO/ IEC
27001:2005 BS 7799-2:2005.
Page - 46

Information Security Management: Audit Check List

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Information Security Management: Audit Check List

Enviado por

Direitos autorais:

Formatos disponíveis

MSI-UKSW

BS ISO IEC 17799 2005 Audit Checklist

Information Security Management

Audit Check List

Magister Sistem Informasi Universitas Kristen Satya Wacana

Magister Sistem Informasi Universitas Kristen Satya Wacana

Korenspondensi Name : ____________________________

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Kebijakan Keamanan Informasi

Apakah ada kebijakan keamanan informasi, yang

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Organisasi Keamanan Informasi

Apakah manajemen menunjukkan dukungan yang

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Apakah aktivitas keamanan informasi

Apakah tanggung Jawab untuk perlindungan aset

Apakah proses otorisasi manajemen didefinisikan

Proses Otorisasi dan diimplementasikan untuk fasilitas pemrosesan

Apakah kebutuhan organsiasi akan Konfidealitas atau

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Apakah ada sebuah prosedur yang mendeskripsikan

Pihak Luar (External)

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Apakah resiko pada informasi organsiasi dan fasilitas

Apakah kesepakatan dengan pihak ketiga, meliputi

Magister Sistem Informasi Universitas Kristen Satya Wacana

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Tanggung Jawab Terhadap Aset

Apakah semua aset diidentifikasikan dan inventori atau

Apakah semua informasi dan aset yang terkait dengan

Apakah peraturan untuk penggunaan yang dapat

Apakah informasi diklasifikasikan dalam istilah nilai,

Magister Sistem Informasi Universitas Kristen Satya Wacana

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Apakah bentuk prosedur tertentu didefinisikan untuk

Keamanan Sumberdaya Manusia

Apakah peran keamanan karyawan dan tanggung

Apakah pemeriksaan verifikasi latar belakang untuk

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

yang diklaim dan pemeriksaan identitas independen?

Apakah pegawai, kontraktor dan pengguna pihak

Apakah perjanjian ini mencakup tanggung jawab

Apakah manajemen membutuhkan karyawan,

Apakah semua karyawan dalam organisasi, dan jika

Magister Sistem Informasi Universitas Kristen Satya Wacana

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question

Apakah ada proses pendisiplinan formal untuk

Pengakhiran atau Perubahan Pekerjaan

Apakah tanggung jawab untuk melakukan pemutusan

Apakah ada proses yang menjamin semua karyawan,

Apakah hak akses dari semua karyawan, kontraktor

Information Security Management BS ISO IEC 17799:2005 Audit Check List

Audit area, objective and question