Sistem Manajemen Keamanan Informasi ISO/IEC 27001 : 2005 PT. Astra Graphia Information Technology
Proyek Pemasangan CCTV Bank XYZ
References Audit area, objetives and questions Results
No. Annex Requirement Objective Audit Question Findings Major Minor
Obser-vation Compliance
1 A.5.1.1
Information security policy
document
Untuk memastikan adanya peraturan yang tertulis untuk menjaga keamanan informasi data rekaman CCTV.
Apakah kebijakan mengenai keamanan informasi pada saat melakukan monitoring rekaman cctv sudah didokumentasikan dalam suatu dokumen yang tertulis?
Terdapat Data Integrity Test untuk penyimpanan hasil Data monitoring rekaman CCTV.
Hanya Bagian EOS dan Manajer yang dapat mengakses data rekaman CCTV.
Menggunakan jaringan VPN khusus. Tetapi belum ada dokumen yang tertulis mengenai kebijakan keamanan informasi .
√
NO
2 A.5.1.2
Review of the information security policy
Karena suatu kebijakan yang sudah di tetapkan harus di tinjau dan di diskusikan apabila adanya perubahan kebijakan
Apakah pedoman tersebut di tinjau secara rutin?
Tidak ada tinjauan secara rutin, karena belum ada prosedur yang tertulis.
Mengacu pada hasil A.5.1.1.
Management commitment to
information security
Karena setiap keamanan di dalam perusahaan harus didukung dan disetuhui oleh pihak manajemen.
Apakah pihak manajemen sudah mendukung dan menyetujui tanggung jawab mengenai keamanan data rekaman CCTV?
Pihak manajemen sudah mendukung
YES
4 A.6.1.2
Information security coordination
Untuk menjaga keamanan data rekaman CCTV ini harus dilakukannya pembagian tugas dan tanggung jawab pada setiap karyawan dan memastikan setiap karyawan telah memahami tugas dan tanggung jawab yang diberikan.
a. Apakah tugas yang diberikan kepada setiap karyawan sudah menjelaskan peran dan tanggung jawabnya terhadap keamanan data rekaman CCTV
perusahaan?
b. Apakah setiap karyawan telah memahami mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman CCTV?
Tugas yang diberikan kepada karyawan sudah jelas. Karyawan juga sudah memahami tugas dan tanggung jawab. Terdapat dokumen pendukung
mengenai tugas dan tanggung jawab karyawan yaitu dokumen Rencana Penyusunan Layanan .
YES
5 A.6.1.3
Allocation of information
security responsibilitie
Authorization process for information processing
facilities
Untukmengetahui tentang otorisasi dari pengguna dalam
menggunakan fasilitas
pengolahan data rekaman CCTV apabila adanya fasilitas
pengolahan data rekaman CCTV yang baru.
Apakah jika terdapat fasilitas pengolahan data rekaman CCTV yang baru (computer, server, perangkat lunak), terdapat suatu penjelasn mengenai otorisasi
penggunaannya?
Belum ada fasilitas pengelolaan data rekaman CCTV yang baru, sehingga belum ada
penjelasan
mengenai otorisasi penggunannya.
√ YES
Confidentialit
Untuk menjaga kerahasian mengenai data
Apakah
Non-Disclosure Agreement (NDA) telah
diberlakukan terhadap
Sudah di berlakukannya NDA pada semua pihak yang terkait
9 A.6.1.6 Contact with authorities
Untukmengetahui hubungan antara otoritas terkait yang harus dipelihara
Apakah sudah
ditetapkan pihak yang berwenang didalam perusahaan yang berhubungan dengan otoritas dalam hal untuk menindaklanjuti suatu fraud/insiden keamanan data rekaman CCTV?
Sudah ada pihak yang
menindaklanjuti insiden keamanan data rekaman CCTV, yaitu Customer Service Center (helpdesk) yang memiliki Document Service Cataloge.dan juga EOS untuk insiden
di lapangan.
YES
10 A.6.1.7
Contact with special interest groups
Untuk menjaga hubungan yang tepat dengan pihak terkait.
Apkah sudah ada pihak yang
bertanggung jawab untuk bergabung dalam forum
professional/asosiasi terkait dalam
memelihara keamanan informasi perusahaan?
Berdasarkan hasil audit yang sudah dilakukan, PT.
AGIT sudah mengikuti forum internal perusahaan yang hanya
melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum
Independent review of information
security
Untuk mengetahui bahwa keamanan data rekaman CCTV sudah dibahas secara independen(inter nal audit, external audit, dsb).
Apakah perusahaan sudah pernah melakukan audit terhadap keamanan data rekaman CCTV dari pihak yang independen tersebut?
PT. AGIT sudah melakukan internal audit pada
keamanan informasi data rekaman CCTV namun dilakukan oleh manajer operasional.
Internal audit tersebut dilakukan setiap 6 bulan terhubung dengan data integrity test.
√
NO
12 A.6.2.1
Identification of risks related to
external parties
Untuk mengetahui risiko yang mungkin terjadi dari akses yang akan diberikan kepada pihak luar yang terkait.
Apakah risiko yang berdampak terhadap data rekaman CCTV dan fasilitas
pengolahan data rekaman CCTV yang melibatkan pihak luar sudah
diidentifikasikan sebelumnya?
Pihak luar tidak terlibat dalam pengolahan data rekaman. Apabila terkait
kemungkinan risiko pasti ada, namun risiko itu telah dikunci di dalam
NDA.
YES
13 A.6.2.2
Addressing security when
dealing with customers
Untuk
mengidentifikasi kan syarat keamanan yang harus dilakukan sebelum memberikan akses kepada pihak lain yang terkait terhadap data rekaman CCTV atau aset organisasi.
Apakah pihak perusahaan sudah memberikan persyarat dalam pengaksesan keamanan data rekaman CCTV kepada pihak luar yang terkait?
Pihak Bank XYZ tidak memperoleh hak akses untuk mengolah data rekaman CCTV sehingga persyaratan keamanan data rekaman CCTV dilakukan oleh tim proyek CCTV dari PT. AGIT. Pihak Bank XYZ akan menerima data rekaman CCTV yang telah diolah
oleh PT. AGIT.
YES
14 A.6.2.3
Addressing security in third party agreements
Untuk mengetahui keamanan dalam pengaksesan dan pengelolan informasi mengenai data kamera CCTV dan fasilitas pengolahan informasi
Apakah aspek tanggung jawab terhadap keamanan data kamera CCTV sudah disepakati dengan pihak terkait?
Teknisi tidak ada akses kedata, tetapi pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi.
Di dalam NDA teknisi tidak tertulis mengenai tanggung jawab terhadap keamanan data, tetapi hanya implementasi dan
pemeliharaan.
√ YES
15 A.7.1.1 Inventory of assets
Karena proyek pemasangan CCTV ini menggunakan sangat banyak asset perusahaan yang harus di jaga.
Apakah sebelum melakukan
pemasangan kamera CCTV tersebut seluruh peralatan sudah disediakan?
Apakah ada kode unik pada setiap Kamera CCTV dan perangkat pendukung lainnya yang memuat detail aset tersebut? Apakah ada pemeliharaan secara rutin terhadap peralatan tersebut?
Semua peralatan sudah disediakan sebelum dilakukan pemasangan. Setiap perangkat telah diberikan kode unik dengan serial number dengan mapping ke CMDB dan sudah
dilengkapi dengan detail dari peralatan itu. Belum
dilakukan pemeliharaan secara rutin, PT.
AGIT
menggunakan preventive maintenance yang dapat mendeteksi peralatan yang akan rusak dan akan segera dicegah oleh
PT. AGIT.
YES
16 A.7.1.2 Ownership of assets
Karena data rekaman CCTV yang dihasilkan perusahaan harus di
pertanggungjawa bkan oleh satu bagian khusus dalam organisasi, agar kerahasiaan, integritas dan ketersediaan informasi tersebut dapat terjaga.
Apakah setiap aset yang ada sudah ditetapkan
penanggungjawabnya
?
Penanggungjawabn ya adalah Manajer operasional bertanggungjawab pada CMDB dan manager
konfigurasi bertanggungjawab untuk keseluruhan dari CMDB.
YES
17 A.7.1.3 Acceptable use of assets
Karena suatu aset perusahaan harus dijaga dengan memberikan peraturan penggunaan teknologi informasi tersebut.
Apakah peraturan mengenai penggunaan aset teknologi
informasi di dalam perusahaan sudah ditetapkan oleh penggunanya?
Sudah terdapat pada dokumen role and responsibility yg merupakan bagian dari dokumen rencana penyusunan layanan serta SOP untuk panduan cara
penggunaannya.
YES
18 A.7.2.1 Classification guidelines
Karena setiap data rekaman CCTV yang ada di dalam
perusahaan harus dilindungi
Apakah data rekaman CCTV sudah
diklasifikasi?
(berdasarkan
kerahasiaan informasi,
Tidak ada tingkat kerahasiaan untuk setiap data rekaman CCTV , semua dinyatakan sama
Non Applicable
19 A.7.2.2
Information labelling and
handling
Karena setiap data rekaman CCTV harus ditangani sesuai dengan
klasifikasi yang sudah dilakukan sebelumnya.
Apakah Penanganan informasi data
rekaman CCTV sudah ditetapkan sesuai dengan klasifikasi informasinya?
Tidak adanya tingkat kerahasiaan untuk setiap data rekaman CCTV , maka penanganan data rekaman CCTV tidak
dibedakan.
Non Applicable
20 A.8.1.2 Screening
Untuk memastikan bahwa setiap calon karyawan diberikan tugas dan tanggung jawab sesuai dengan keahlian dan bidangnya
Apakah telah
dilakukan penyaringan terhadap setiap calon karyawan yang akan direkrut oleh
perusahaan?
Sudah dilakukannya penyaringan terhadap calon karyawan.
Ada 3 tahap penyaringan calon karyawan, yaitu tes tertulis, interview oleh user
(Operating Manager), dan interview oleh
Human Resource.
YES
21 A.8.1.3
Terms and conditions of
employment
Untuk memastikan bahwa setiap calon karyawan telah menyetujui dan
menandatangani syarat serta kondisi kontrak kerja mereka
Apakah terdapat suatu perjanjian ikatan kerja terhadap calon
karyawan? (contoh : NDA (Non-Disclosure Agreement) )
Terdapat perjanjian ikatan kerja
karyawan berupa dokumen NDA (Non-Disclosure Agreement).
Karyawan baru akan
menandatangani NDA setelah melewati 3 tahap penyaringan calon karyawan.
YES
22 A.8.2.1
Management responsibilitie
s
Untuk memastikan bahwa
manajemen telah mewajibkan karyawan untuk mematuhi kebijakan dan prosedur keamanan informasi pada proyek CCTV
Apakah sudah terdapat kebijakan yang mengatur karyawan untuk memelihara keamanan data rekaman CCTV pada proyek CCTV yang dijalankan?
Belum ada kebijakan dan prosedur dalam mengatur setiap karyawan untuk memelihara keamanan data rekaman CCTV yang buat oleh pihak manajemen PT. Astra Graphia Information
Technology.
√
YES
23 A.8.2.2
Information security awareness, education and
training
Untuk memastikan bahwa
perusahaan dan pihak manajemen telah
memberikan pengetahuan mengenai keamanan informasi, pendidikan dan pelatihan sesuai dengan kebijakan perusahaan.
Apakah sudah ada kesadaran terhadap keamanan informasi dalam berbagai bentuk didalam perusahaan?
(training, poster,e-Learning, presentasi, dsb)
Tidak ada
kebijakan mengenai keamanan data rekaman CCTV.
Operating Manager memberikan pengetahuan mengenai
keamanan terhadap data rekaman CCTV kepada karyawan pada saat project meeting saja.
√
NO
24 A.8.2.3 Disciplinary process
Untuk memberikan sanksi kepada setiap karyawan agar karyawan dapat menjaga keamanan informasi dan menaati proses disiplin di dalam perusahaan.
Apakah pelanggaran terhadap keamanan informasi sudah diberitahukan kepada karyawan dan juga sudah ditetapkan sanksi-sanksinya?
HRD telah melakukan
sosisalisasi kepada karyawan mengenai sanksi-sanksi pelanggaran pada saat
penandatanganan NDA. Sanksi yaitu SP 1, SP 2 dan SP 3 (pemecatan) yang sudah tertulis di
HRD.
YES
25 A.8.3.1
Termination responsibilitie
s
Untuk memastikan bahwa terdapat prosedur yang jelas untuk menangani pemutusan atau perubahan hubungan kerja.
Apakah tanggung jawab terhadap prosedur pemutusan atau perubahan hubungan kerja sudah jelas dan
terdokumentasi?
Terdapat prosedur pemutusan atau perubahan hubungan kerja Operating Manager akan mengajukan Form Perubahan Status Kerja kepada HRD terkait dengan karyawan yang ingin melakukan pemutusan hubungan kerja.
HRD akan
memberikan Form Exit Clearance (FEC) kepada karyawan yang ingin melakukan pemutusan
hubungan kerja dan karyawan akan mengisi form tersebut, kemudian mengembalikan form tersebut kepada HRD untuk
ditindak lanjuti.
YES
26 A.8.3.2 Return of assets
Untuk menjaga aset-aset
perusahaan yang harus
dikembalikan setelah kontrak atau kesepakatan sudah habis jangka waktunya.
Apakah ada
“checklist” terhadap aset-aset perusahaan yang harus di kembalikan oleh karyawan sesuai dengan kontrak atau kesepakatan pada saat pemutusan hubungan kerja? (kamera CCTV, switch/router, cable, dsb)
Sudah ada pendataan
mengenai aset-aset yang digunakan oleh setiap karyawan . CAR (Company Asset Request) merupakan database yang dibuat oleh Tim Aset yang memuat tentang aset-aset perusahaan yang digunakan oleh setiap karyawan.
Apabila terjadi pemutusan hubungan kerja, HRD akan memberikan FEC yang telah diisi oleh karyawan kepada Tim Aset untuk disesuaikan dengan database CAR sehingga dapat dilakukan
pembaharuan data pada database
CAR.
YES
27 A.8.3.3 Removal of access rights
Untuk memastikan bahwa karyawan yang sudah tidak terkait dengan perusahaan tidak dapat mengakses informasi dan fasilitas pengolahan informasi perusahaan.
Apakah prosedur penghapusan hak akses karyawan sudah diberlakukan ketika suatu karyawan sudah tidak bekerja lagi atau masa kontrak kerja sudah jatuh tempo?
Sudah ada prosedur mengenai
penghapusan hak akses
Prosedur
penghapusan hak akses tertera pada FEC yang diberikan HRD kepada karyawan yang akan melakukan pemutusan hubungan kerja.
YES
28 A.9.1.1
Physical security perimeter
Untuk
melindungi area-area yang memiliki akses ke data rekaman CCTV.
Apakah perlindungan secara fisik (ruangan, pintu, dsb) sudah diterapkan pada area-area yang digunakan untuk pengolahan data rekaman CCTV?
Sudah ada
perlindungan fisik pada area-area operasional
pemantauan CCTV dan penyimpanan data rekaman CCTV.
Ruang pemantauan dan penyimpanan dibuat terpisah.
Pada setiap pintu telah terpasang alat proximity access cards, terdapat kamera CCTV, terdapat alat-alat perlindungan.
bencana (i.e fire extinguisher, fire alarm, dsb.), rak-rak server yang dapat dikunci, satpam, dan security organic untuk ruang data
center.
YES
29 A.9.1.2 Physical entry controls
Untuk memastikan keamanan area-area yang memiliki akses ke data rekaman dengan
menerapkan pengendalian akses pada setiap pegawai yang bertugas.
Apakah terdapat alat untuk pengendalian akses (i.e. finger print, card tapping) pada area-area yang
memiliki akses ke data rekaman CCTV sehingga hanya dapat diakses oleh pegawai yang memiliki wewenang?
Sudah melakukan pengendalian akses masuk ke ruang pemantauan CCTV dan penyimpanan data rekaman CCTV.
Pada setiap pintu telah terpasang alat proximity access card dan terdapat kamera CCTV.
Setiap kartu sudah di setting sesuai dengan kebutuhan dalam mengakses ruangan.
YES
30 A.9.1.3
Securing offices, rooms
and facilities
Untuk memastikan keamanan ruang dan fasilitas pegawai dari berbagai gangguan.
Apakah ruang dan fasilitas para pegawai sudah terlindungi secara fisik dari customer/tamu?
Sudah ada perlindungan terhadap keamanan area kerja para karyawan.
Perlindungan fisik yang diterapkan sudah disebutkan
pada A.9.1.1.
YES
31 A.9.1.4
Protecting against external and environmental
threats
Untuk memastikan ketersediaan dan keandalan peralatan perlindungan bencana memenuhi kebutuhan akan keamanan.
Apakah ketersediaan peralatan
perlindungan bencana (i.e. fire alarm, fire extinguisher, smoke detector, hydran) sudah memenuhi kebutuhan keamanan pada area-area yang memiliki akses ke data rekaman CCTV?
Sudah dilakukan perlindungan terhadap bencana alam yang mungkin terjadi.
Terdapat alat-alat perlindungan bencana alam (i.e fire extinguisher, fire alarm, smoke detector, hydran) pada area-area operasional
pemantauan CCTV dan penyimpanan data rekaman
CCTV.
YES
32 A.9.1.5 Working in secure areas
Untuk memastikan bahwa setiap pegawai dapat secara mandiri melindungi diri dari risiko dan ancaman dalam area kerja.
Apakah pedoman tertulis untuk perlindungan secara fisik (i.e. cara menggunakan fire extinguisher) pada area kerja sudah diterapkan?
Sudah ada pelatihan perlindungan secara mandiri yang diberikan kepada setiap karyawan.
Setiap 3 bulan sekali, pihak gedung memberikan simulasi bencana alam kepada seluruh penghuni
gedung.
YES
33 A.9.1.6
Public access delivery and loading areas
Untuk
meminimalisir risiko (i.e. akses ilegal) yang dapat terjadi pada area-area yang harus terjaga
keamanannya.
Apakah area-area yang memiliki akses ke data rekaman CCTV sudah terlindungi dengan alat pengendalian akses (i.e. finger print, card tapping) yang memadai?
Sudah ada
perlindungan secara fisik pada area-area proses operasional proyek CCTV.
Mengacu pada A.9.1.1 yang telah menyebutkan perlindungan yang sudah diterapkan.
YES
34 A.9.2.1
Equipment sitting and protection
Untuk
memastikan tata letak dari peralatan untuk pengolahan data rekaman CCTV sudah benar dan aman.
Apakah peralatan yang digunakan untuk pengolahan data rekaman CCTV (i.e.
komputer/server) sudah diletakkan dengan benar dan aman sehingga mengurangi terjadinya risiko?
Sudah
menempatkan peralatan yang digunakan dalam proses operasional proyek CCTV secara aman.
Penempatan server pada rak-rak yang tersedia dengan mempertimbangkan kapasistas dan jarak dari setiap server.
YES
35 A.9.2.2 Supporting utilities
Untuk menghindari terjadinya risiko dan ancaman pada operasional CCTV.
Apakah dilakukan otorisasi untuk setiap pegawai yang akan mengakses area-area yang memiliki akses ke data rekaman CCTV?
Perlindungan terhadap peralatan sudah diterapkan.
Adanya database CAR dan dokumen Rencana
Penyusunan layanan yang memuat keterangan peran dan tanggung jawab serta SOP untuk penggunaan aset IT.
YES
36 A.9.2.3 Cabling security
Untuk melindungi kabel-kabel yang digunakan pada CCTV sehingga terlindungi keamanannya dan terhindar dari risiko.
Apakah penempatan kabel-kabel yang digunakan untuk CCTV sudah tertata dengan baik?
Penempatan kabel sudah ditentukan dengan baik.
Kabel-kabel pada server diletakkan pada jalur yang sudah dibuat.
Kabel-kabel pada ruang monitoring ditata
menggunakan cable duct.
YES
37 A.9.2.4 Equipment Maintenance
Untuk memastikan ketersediaan dan keutuhan
perangkat CCTV yang digunakan secara
berkelanjutan.
Apakah pemeliharaan perangkat CCTV dilakukan secara rutin dan terdokumentasi dengan baik?
a. Pemeliharaan dilakukan dengan incidental yaitu hanya pada saat gangguan atau kerusakan terjadi.
b. Dokumentasi dilakukan secara otomatis, tetapi pada gangguan atau kerusakan berulang di dokumentasi secara manual
YES
38 A.9.2.5
Securing of equipment
off-premises
Untuk memastikan keamanan peralatan yang berada di luar area kerja sehingga
kualitasnya tetap baik untuk digunakan.
Apakah terdapat prosedur keamanan yang dirancang untuk peralatan yang berada di luar area kerja?
Tidak ada peralatan yang digunakan diluar area kerja terkait dengan keberadaan data rekaman CCTV.
Non Applicable
39 A.9.2.6
Secure disposal or
re-use of equipment
Untuk memastikan perangkat CCTV yang akan diganti sudah tidak menyimpan data rekaman CCTV sehingga tidak dapat di akses oleh pihak lain.
Apakah penggantian perangkat CCTV yang rusak telah dilakukan secara aman dengan memastikan bahwa data yang tersimpan di dalamnya tidak dapat diakses oleh pihak lain?
Sudah ada pengamanan terhadap data rekaman CCTV pada perangkat CCTV.
Melakukan penyimpanan dan back-up data rekaman CCTV.
Merubah format data rekaman ke format khusus
H264.
YES
40 A.9.2.7 Removal of property
Untuk memastikan bahwa setiap perangkat CCTV yang akan diganti sudah memiliki persetujuan untuk diganti dan dipindahkan ke gudang.
Apakah petugas yang melakukan
penggantian perangkat CCTV yang rusak membawa surat tugas atau bukti yang menjelaskan bahwa petugas tersebut mendapatkan wewenang untuk melakukan
penggantian perangkat CCTV?
Ya, Teknisi harus membawa surat tugas untuk melakukan penarikan atau penggantian perangkat CCTV.
Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) ketika penarikan atau penggantian perangkat CCTV telah selesai
dilakukan.
YES
41 A.10.1.1
Documented Operating procedures
Untuk memastikan kegiatan operasional CCTV
terdokumentasi dengan baik sehingga hasil dokumentasi dapat digunakan untuk
pengambilan keputusan oleh Opearating Manager.
Apakah setiap pengolahan data rekaman CCTV terdokumentasi dengan baik sehingga hasilnya dapat dikomunikasikan kepada pihak yang membutuhkan (i.e.
manager, customer)?
Ya, proses operasional terdokumentasi dengan baik.
Hasil rekaman CCTV di simpan pada NVR server.
Hasil rekaman CCTV dienkripsi ke dalam format khusus H264.
YES
42 A.10.1.2 Change Management
Untuk
mengendalikan setiap perubahan manajemen yang terjadi agar tidak keluar dari jalur yang telah ditentukan.
Apakah perubahan terhadap fasilitas dan sistem pada CCTV telah dilakukan sesuai dengan prosedur yang ada?
Terdapat prosedur Change Request untuk menangani perubahan manajemen yang terjadi.
YES
43 A.10.1.3 Segregation of duties
Untuk
meminimalkan risiko
penyalahgunaan wewenang oleh pegawai dalam memenuhi kepentingan pribadi.
Apakah pembagian tugas dan tanggung jawab sudah dijelaskan dengan baik kepada setiap pegawai sehingga tidak terjadi penyalahgunaan wewenang ke aset perusahaan yang terkait dengan CCTV?
Terdapat dokumen Rencana
Penyusunan Layanan yang berisi Deskripsi Tanggungjawab dan Wewewang Tim Penyusunan Layanan. Dokumen tersebut memisahan tugas masing-masing karyawan dengan jelas dan sudah ditetapkan
pada proyek CCTV.
YES
44 A.10.1.4
Separation of development,
test and operational
facilities
Untuk
meminimalkan risiko pekerjaan dengan
memisahkan setiap kegiatan proses yang akan dilakukan.
Apakah dalam melakukan pengembangan, pengujian, dan operasional CCTV terdapat pemisahan lingkungan dari masing-masing kegiatan tersebut?
Sudah terdapat pemisahan lingkungan pada pengembangan, pengujian, dan operasional fasilitas proyek CCTV.
YES
45 A.10.2.1 Service delivery
Untuk memastikan bahwa pihak ketiga telah memberikan pelayanan terhadap
pemeliharaan dan perbaikan
kendala cctv dengan baik dan sesuai dengan kesepakatan yang dibuat
Apakah layanan terhadap pemeliharaan dan perbaikan cctv yang dilakukan oleh Teknisi telah sesuai dengan kesepakatan yang dibuat?
Sudah ada
dokumen Scope of Work yang menjelaskan lingkup kerja dari masing-masing divisi dalam proyek CCTV.
YES
46 A.10.2.2
Monitoring and review of
third party services
Untuk memastikan bahwa layanan yang diberikan oleh pihak ketiga telah diawasi dan dibahas secara teratur
Apakah telah
dilakukan peninjauan terhadap layanan yang diberikan oleh teknisi bedasarkan laporan bulanan?
Sudah dilakukan peninjauan terhadap layanan dari pihak ketiga.
Terdapat review meeting yang dilakukan setiap 3 bulan.
Terdapat incidental meeting apabila
terjadi insiden .
YES
47 A.10.2.3
Managing changes to third party services
Untuk memastikan bahwa setiap mekanisme perubahan yang dilakukan oleh pihak ketiga telah berdasarkan pada ketentuan yang disepakati
Apakah terdapat ketentuan yang mengharuskan teknisi untuk melaporkan segala mekanisme perubahan kepada manajemen operasional ? (i.e.
perubahan layanan dari teknisi, perubahan organisasi teknisi, perubahan kebijakan, dsb.)
Ya, sudah ada ketentuan apabila terjadi perubahan yang dilakukan oleh teknisi.
Teknisi menghubungi bagian OMC, membuat tiket ke sistem Helpdesk, dan mengisi laporan pada
BAKT.
YES
48 A.10.3.1 Capacity Management
Untuk memastikan performa dari infrastruktur pengolahan data rekaman CCTV yang digunakan.
Apakah kapasitas dari infrastruktur
pengolahan data rekaman CCTV (i.e.
server, network, perangkat lunak, dsb) telah direncanakan?
Sudah ada pengelolaan mengenai kapasitas infrastruktur yang dibutuhkan dalam proyek CCTV.
Terdapat Capacity Planning yang dilakukan sebelum proyek dimulai.
Terdapat Capacity Planning yang dilakukan sebelum proyek dimulai.