BAB 6 KESIMPULAN DAN SARAN
6.2. Saran
Untuk penelitian selanjutnya, dapat dilakukan analisis terhadap manfaat dan biaya dengan melakukan kuantifikasi terhadap dampak dari diimplementasikan atau tidak diimplementasikannya kontrol, sehingga kontrol yang dipilih merupakan kontrol yang paling memberikan manfaat terbesar dengan biaya yang terendah, tanpa tidak mengabaikan tingkat risiko apabila kontrol tidak diterapkan.
Universitas Indonesia
DAFTAR PUSTAKA
C.Alberts, A.Dorofee. (2002). Managing Information Security Risks: The OCTAVESM Approach, Addison Wesley, USA.
Al’Rayid, Yuliansyah. (2009). Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi Informasi Studi Kasus Pada PT. Rajawali Nusantara Indonesia”.
Burch, John G., Felix R. Strater. (1974). Information System: Theory and Practice. Hamilton Publishing Company.
BSI-Standard 100-1. (2008). Information Security Management System (ISMS). Davis, Gordon B. (1974). Management Information System: Conceptual Foundation, Structure, and Development, McGraw-Hill International Book Company.
ISACA. (2011). Certified Information Security Manager : Review Manual 2011. ISACA.
ISO/IEC 27001. (2005). Information Technology – Security Techniques – Information Security Management Systems – Requirements. 2005.
International Organization for Standardization. (2009). Guide 73 Risk Management – Vocabulary.
The IT Governance Institute. (2005). COBIT 4.0. USA.
Silitonga, Vinicio Vasquera. (2012). Perancangan Manajemen Risiko di PT. XYZ Menggunakan Metode NIST 800-30.
Stoneburner, Gary., Alice Gouguen & Alexis Feringa. (2012). Risk Management Guide for Information Technology System – Recomendatio of the National Institute of Standards and technology. NIST.
Syafrizal, M. (2007). ISO 17799 : Standar Sistem Manajemen Keamanan Informasi. Seminar Nasional Teknologi.
Vaughan, Emmet., Therese M Vaughan. (2008). Fundamentals of Risk and Insurance. John Wiley & Sons Ltd.
Vose, David. (2000). Risk Analysis – A Quantitative Guide. John Wiley & Sons Ltd.
Winarto, Arief Budi. (2012). Evaluasi Kinerja Manajemen Risiko Keamanan Informasi Charging System Studi Divisi PT. XYZ. 2012
70 Universitas Indonesia
L-1
LAMPIRAN 1
Bobot (%) 0 25 50 75 100
1.1 5.1 Information security policy
1.1.1 5.1.1 Information security policy
document
Apakah dokumen terkait kebijakan keamanan informasi telah
disahkan oleh manajemen, dan dipublikasikan serta dikomunikasikan
kepada seluruh karyawan dan pihak eksternal yang terkait ? 100
1.1.2 5.1.2 Review of the information
security policy
Apakah ada dilakukan peninjauan terhadap kebijakan keamanan informasi tiap rentang waktu tertentu yang telah ditetapkan atau ditinjau setiap terjadinya perubahan-perubahan yang signifikan, demi memastikan kesesuaian, kecukupan, dan efektifitas keamanan informasi yang berkelanjutan ?
100
Scoring System :
Security Policy
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Checklist Standard
Hasil Assessment
Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Nilai Pertanyaan Assessment
Area
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Bobot (%) 0 25 50 75 100 2.1 6.1 Internal organization 2.1.1 6.1.1 Management commitment to information security
Apakah manajemen secara aktif mendukung keamanan sistem melalui arahan yang jelas, menunjukan komitmen, penugasan yang jelas dan sadar akan tanggung jawabnya terhadap keamanan sistem ?
100
2.1.2 6.1.2 Information security
coordination
Apakah aktivitas keamanan informasi sudah dikoordinasikan dengan wakil-wakil dari unit lain sesuai dengan peran dan fungsi kerjanya masing-masing?
75
2.1.3 6.1.3 Allocation of information
security responsibilities
Apakah seluruh tanggung jawab terkait keamanan informasi sudah
ditetapkan dengan jelas? 75
2.1.4 6.1.4
Authorization process for information processing
facilities
Apakah proses otorisasi manajemen untuk fasilitas pengolahan informasi baru di dalam organisasi sudah ditetapkan dan diimplementasikan ?
50
2.1.5 6.1.5 Confidentiality agreements
Apakah persyaratan untuk kerahasiaan atau Non-Disclosure
Agreement (NDE) yang mencerminkan kebutuhan organisasi untuk perlindungan informasi sudah diidentifikasi dan dikaji secara berkala ?
75
Apakah komunikasi dengan pihak yang terkait dengan keamanan
Organization of information security
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan
Keterangan
Checklist Standard
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Nilai
Area Pertanyaan Assessment
Checklist Standard Area Pertanyaan Assessment Nilai
2.1.7 6.1.7 Contact with special interest
groups
Apakah komunikasi dengan special interest group atau forum security
specialist dan asosiasi profesi dikelola dengan baik ? NA
2.1.8 6.1.8 Independent review of
information security
Apakah pendekatan organisasi untuk mengelola keamanan informasi / keamanan sistem dan implementasinya (kontrol, kebijakan, proses, dan prosedur) sudah ditinjau secara independen pada interval waktu tertentu atau pada saat terjadi perubahan signifikan terhadap implementasi keamanan sistem ?
50
2.2 6.2 External parties
2.2.1 6.2.1 Identification of risks related
to external parties
Apakah resiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihak-pihak eksternal sudah diidentifikasi dan sudah diterapkan kontrol-kontrol yang sesuai sebelum memberikan akses kepada pihak eksternal ?
50
2.2.2 6.2.2 Addressing security when
dealing with customers
Apakah seluruh persyaratan keamanan yang diidentifikasi sudah
ditekankan sebelum memberikan akses kepada pelanggan / user ? 100
2.2.3 6.2.3 Addressing security in third
party agreements
Apakah perjanjian dengan pihak ketiga meliputi pengaksesan,
pengolahan, pengkomunikasian atau pengelolaan informasi organisasi atau fasilitas pengolahan informasi, atau penambahan produk atau jasa ke dalam fasilitas pengolahan informasi sudah mencakup seluruh persyaratan keamanan yang relevan ?
Bobot (%) 0 25 50 75 100
3.1 7.1 Responsibility for assets
3.1.1 7.1.1 Inventory of assets Apakah seluruh aset sudah diidentifikasi dengan jelas dan inventaris
dari seluruh aset penting sudah dicatat dan dipelihara ? 50
3.1.2 7.1.2 Ownership of assets
Apakah manajemen secara resmi sudah menunjuk suatu unit atau bagian organisasi untuk mengontrol produksi, pengembangan,
pemeliharaan, penggunaan, dan keamanan seluruh informasi dan aset terkait fasilitas pengolahan informasi?
75
3.1.3 7.1.3 Acceptable use of assets
Apakah peraturan penggunaan informasi dan aset terkait dengan fasilitas pengolahan informasi sudah diidentifikasi, didokumentasikan dan diimplementasikan ?
75
3.2 7.2 Information classification
Apakah informasi sudah diklasifikasi sesuai dengan nilai, persyaratan
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Standard Area Pertanyaan Assessment Nilai
Checklist
Asset management
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Standard Area Pertanyaan Assessment Nilai Checklist
3.2.2 7.2.2 Information labelling and
handling
Apakah prosedur-prosedur untuk pelabelan dan penanganan informasi sudah dikembangkan dan diimplementasikan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi ?
Bobot (%) 0 25 50 75 100 4.1 8.1 Prior to employment
4.1.1 8.1.1 Roles and responsibilities
Apakah peran dan tanggung jawab dari pegawai, kontraktor dan user dari pihak ketiga terhadap keamanan sudah ditetapkan dan
didokumentasikan sesuai dengan kebijakan keamanan informasi sistem ?
100
4.1.2 8.1.2 Screening
Apakah ada dilakukan verifikasi profil seluruh calon pegawai, kontraktor, dan pengguna dari pihak ketiga berdasarkan hukum dan undang-undang serta etika yang berlaku dan proporsional terhadap persyaratan bisnis, klasifikasi informasi yang diakses dan risiko yang ada ?
75
4.1.3 8.1.3 Terms and conditions of
employment
Sebagai bagian dari kontrak, apakah karyawan, pegawai dan
kontraktor menandatangani terms and conditions dalam kontrak kerja mereka, dimana di dalamnya menyebutkan tanggung jawab mereka terhadap keamanan informasi ?
75
4.2 8.2 During employment
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Human resources security
Checklist Standard Area Pertanyaan Assessment Nilai
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Checklist Standard Area Pertanyaan Assessment Nilai
4.2.1 8.2.1 Management responsibilities
Apakah manajemen sudah mensyaratkan pegawai, kontraktor dan user dari pihak ketiga untuk menerapkan keamanan sesuai kebijakan dan prosedur organisasi yang ditetapkan ?
75
4.2.2 8.2.2
Information security awareness, education and
training
Apakah seluruh pegawai dan, jika relevan, kontraktor dan user dari pihak ketiga, sudah menerima pelatihan kepedulian dan informasi terkini secara reguler terkait kebijakan dan prosedur, sesuai dengan fungsi kerjanya?
50
4.2.3 8.2.3 Disciplinary process
Apakah ada proses pendisiplinan yang resmi untuk pegawai yang
melakukan pelanggaran keamanan ? NA
4.3 8.3
4.3.1 8.3.1 Termination responsibilities Apakah tanggung jawab untuk melaksanakan pengakhiran atau
perubahan pekerjaan sudah ditetapkan dengan jelas? 75
4.3.2 8.3.2 Return of assets
Apakah seluruh pegawai, kontraktor dan user dari pihak ketiga harus mengembalikan semua aset organisasi yang digunakannya apabila
kontrak atau perjanjian dengan mereka berakhir ? 100
4.3.3 8.3.3 Removal of access rights
Apakah hak akses seluruh pegawai, kontraktor dan user dari pihak ketiga terhadap informasi dan fasilitas pengolahan informasi ditarik atau dihapus ketika pekerjaan, kontrak atau perjanjian berakhir ?
75
Bobot (%) 0 25 50 75 100 5.1 9.1 Secure areas
5.1.1 9.1.1 Physical security perimeter
Apakah terdapat perlindungan secara fisik terhadap area yang
mengandung informasi dan fasilitas pengolahan informasi (contohnya dinding, card controlled door, atau petugas keamanan)
75
5.1.2 9.1.2 Physical entry controls
Apakah area yang menyimpan informasi sudah dilindungi oleh entry control untuk memastikan bahwa hanya pihak yang berwenang yang dapat memasuki area tersebut
75
5.1.3 9.1.3 Securing offices, rooms and
facilities
Apakah sistem keamanan fisik untuk kantor, ruangan, dan fasilitas
lainnya sudah dirancang dan diterapkan ? 75
5.1.4 9.1.4 Protecting against external
and environmental threats
Apakah perlindungan fisik terhadap kerusakan akibat dari kebakaran, banjir, gempa bumi, ledakan, kerusuhan dan bentuk lain dari bencana
alam atau bencana buatan manusia sudah dirancang dan diterapkan? 100
5.1.5 9.1.5 Working in secure areas Apakah perlindungan fisik dan pedoman kerja dalam area yang aman
sudah dirancang dan diterapkan? 75
Area
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Pertanyaan Assessment Physical and environmental security
Checklist Standard Nilai
Scoring System :
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Area Pertanyaan Assessment
Checklist Standard Nilai
5.2.1 9.2.1 Equipment siting and
protection
Apakah peralatan/perangkat sudah ditempatkan atau dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang untuk akses oleh pihak yang tidak berwenang?
75
Apakah peralatan/perangkat sudah dilindungi dari kegagalan catu daya
dan gangguan lain yang disebabkan oleh kegagalan sarana pendukung? 100
Apakah cadangan power supply sudah dipergunakan (misal : beda
catuan gardu listrik, auto backup generator, UPS) ? 100
5.2.3 9.2.3 Cabling security
Apakah kabel power dan kabel telekomunikasi yang membawa data atau informasi pendukung sudah dilindungi dari intersepsi atau kerusakan ?
100
Apakah pemeliharaan peralatan/perangkat dilakukan secara tepat
untuk memastikan ketersediaan dan integritas layanan ? 75
Apakah pemeliharaan peralatan/perangkat dilakukan sesuai spesifikasi
dan interval yang direkomendasikan supplier ? 75
Apakah pemeliharaan peralatan/perangkat dilakukan oleh personil
yang layak ? 100
Apakah dilakukan pemeliharaan terhadap log system (suspected atau
actual faults) sebagai bagian dari tindakan preventif dan korektif ? 75
Apakah kendali yang tepat sudah diterapkan pada saat pengiriman peralatan atau bagian dari peralatan? Apakah peralatan sudah dilindungi oleh asuransi atau jaminan dari supplier yang memadai ?
75 Equipment maintenance
5.2.4 9.2.4
9.2.2 Supporting utilities
Area Pertanyaan Assessment
Checklist Standard Nilai
5.2.5 9.2.5 Security of equipment
off-premises
Apakah sistem keamanan sudah diterapkan pada peralatan di luar lokasi organisasi dengan mempertimbangkan risiko yang berbeda pada saat bekerja di luar lokasi organisasi?
50
5.2.6 9.2.6 Secure disposal or re-use of
equipment
Apakah seluruh item dari perangkat yang memuat media penyimpanan sudah diperiksa untuk memastikan bahwa setiap data sensitif dan perangkat lunak berlisensi telah dihapus atau ditimpa (overwritten) secara aman sebelum dibuang ?
75
5.2.7 9.2.7 Removal of property
Apakah terdapat suatu aturan untuk perangkat, informasi atau
perangkat lunak yang dibawa keluar lokasi organisasi tanpa melalui ijin yang berwenang?
Bobot (%) 0 25 50 75 100 6.1 10.1
Apakah prosedur operasional sudah didokumentasikan, dikelola, dan
tersedia untuk seluruh user yang membutuhkannya ? 100
Apakah dokumen prosedur tersebut sudah diformalkan sebagai dokumen prosedur operasi resmi dan mendapat otorisasi dari pejabat yang berwenang ?
75
6.1.2 10.1.2 Change management Apakah perubahan terhadap fasilitas dan sistem pengolahan informasi
sudah dikontrol ? 50
6.1.3 10.1.3 Segregation of duties
Apakah tugas dan lingkup tanggung jawab sudah dipisahkan untuk mengurangi peluang bagi modifikasi yang tidak sengaja atau tidak sah atau penyalahgunaan terhadap aset organisasi?
75
6.1.4 10.1.4 Separation of development,
test and operational facilities
Apakah fasilitas pengembangan, pengujian dan operasional sudah dipisahkan untuk mengurangi risiko akses atau perubahan yang tidak sah terhadap sistem operasional ?
50
Checklist Pertanyaan Assessment Nilai
Documented operating procedures
Operational procedures and responsibilities Scoring System :
6.1.1 10.1.1
Communications and operations management
Keterangan
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
Checklist Standard Area Pertanyaan Assessment Nilai
6.2.1 10.2.1 Service delivery
Apakah sudah dipastikan bahwa kontrol terhadap keamanan, definisi dan level layanan yang dicakup dalam perjanjian dengan pihak ketiga/mitra telah dijalankan, dioperasikan, dan dikelola oleh pihak ketiga/mitra tersebut ?
75
6.2.2 10.2.2 Monitoring and review of
third party services
Apakah layanan dan laporan yang diberikan oleh pihak ketiga/mitra
sudah dimonitor dan dikaji secara berkala? 100
6.2.3 10.2.3 Managing changes to third
party services
Apakah perubahan terhadap ketentuan layanan, termasuk
pemeliharaan dan peningkatan kebijakan prosedur dan pengendalian keamanan informasi yang ada, sudah dikelola dengan baik?
75
6.3 10.3
6.3.1 10.3.1 Capacity management
Apakah penggunaan sumber daya sudah dimonitor, disesuaikan dan dilakukan proyeksi kebutuhan kapasitas untuk memastikan
performansi sistem ? Contoh : Monitoring space hard disk, RAM dan CPU pada server
50
6.3.2 10.3.2 System acceptance
Apakah acceptance criteria untuk sistem informasi baru, upgrade, dan versi baru sudah ditentukan dan sudah dilakukan pengujian sistem yang sesuai selama masa pengembangan dan sebelum diputuskan untuk diterima ?
75
6.4 10.4
6.4.1 10.4.1 Controls against malicious
code
Apakah kontrol terkait deteksi, pencegahan, dan recovery untuk perlindungan terhadap malicious code dan prosedur user awareness yang sesuai sudah dijalankan ?
75
Protection against malicious and mobile code System planning and acceptance
Checklist Standard Area Pertanyaan Assessment Nilai
6.4.2 10.4.2 Controls against mobile
code
Apakah apabila penggunaan mobile code diijinkan, konfigurasi tersebut sudah memastikan bahwa mobile code yang sah beroperasi sesuai dengan kebijakan keamanan yang ditetapkan secara jelas, dan penggunaan mobile code yang tidak sah harus dicegah?
50
6.5 10.5
6.5.1 10.5.1 Information back-up Apakah backup copy dari informasi dan perangkat lunak sudah diambil
dan diuji secara berkala sesuai dengan backup policy yang disetujui ? 75
6.6 10.6
Apakah jaringan sudah dikelola dan dikontrol dengan baik agar
terlindung dari threat (ancaman) ? 100
Apakah keamanan terhadap sistem dan aplikasi yang menggunakan jaringan sudah dikelola dan dikontrol dengan baik, termasuk informasi yang lewat didalamnya ?
100
6.6.2 10.6.2 Security of network services
Apakah fitur security, service level dan persyaratan manajemen untuk semua layanan sudah diidentifikasi dan dimasukan kedalam seluruh network service agreement, baik layanan tersebut disediakan secara in-house maupun outsource ?
75
6.7 10.7
6.7.1 10.7.1 Management of removable
media
Apakah sudah tersedia prosedur untuk manajemen removable media,
contohnya tape, disk, memory card, dll ? 75
6.7.2 10.7.2 Disposal of media Apakah media secara aman dimusnahkan menggunakan prosedur
formal apabila tidak lagi diperlukan ? 50
Information handling Apakah prosedur untuk penanganan dan penyimpanan informasi
6.6.1 10.6.1 Network controls
Media handling
Network security management Back-up
Checklist Standard Area Pertanyaan Assessment Nilai
6.7.4 10.7.4 Security of system
documentation
Apakah dokumentasi sistem sudah dilindungi terhadap akses yang
tidak berhak? 75
6.8 10.8
6.8.3 10.8.3 Physical media in transit
Apakah media yang memuat informasi sudah dilindungi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama transportasi diluar batasan fisik organisasi?
75
6.8.4 10.8.4 Electronic messaging Apakah informasi dalam bentuk pesan elektronik sudah dilindungi
dengan benar? 100
6.8.5 10.8.5 Business information systems
Apakah kebijakan dan prosedur sudah dikembangkan dan diterapkan untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis?
75
6.9 10.9
6.9.1 10.9.1 Electronic commerce
Apakah informasi yang termasuk dalam layanan electronic commerce yang melalui jaringan publik sudah dilindungi dari tindak kecurangan, perselisihan kontrak dan disclosure serta modifikasi yang tidak sah?
NA
6.9.2 10.9.2 On-line transactions
Apakah informasi yang termasuk dalam transaksi online sudah dilindungi untuk mencegah transmisi yang tidak lengkap, kesalahan routing, perubahan pesan, disclosure, duplikasi atau pengulangan pesan yang tidak sah?
NA
Apakah integritas informasi yang tersedia pada sistem yang digunakan
6.8.1 10.8.1 Information exchange
policies and procedures
Exchange of information
75
0 Apakah ada kebijakan, prosedur, dan kontrol untuk melindungi
pertukaran informasi melalui penggunaan semua jenis media komunikasi ?
Apakah ada perjanjian tertulis antara organisasi dengan pihak luar terkait pertukaran informasi ?
Electronic commerce services
Checklist Standard Area Pertanyaan Assessment Nilai
6.10 10.10
6.10.1 10.10.1 Audit logging
Apakah log audit yang merekam kegiatan user, pengecualian dan security events telah dibuat dan disimpan untuk periode waktu yang telah untuk membantu dalam investigasi di masa yang akan datang dan memantau access control ?
75
6.10.2 10.10.2 Monitoring system use Apakah prosedur untuk pemantauan penggunaan fasilitas pengolahan
informasi sudah ditetapkan dan dijalankan? 75
6.10.3 10.10.3 Protection of log information Apakah fasilitas pencatatan log dan informasi log sudah dilindungi dari
ganguan dan akses tidak sah? 50
6.10.4 10.10.4 Administrator and operator
log
Apakah aktivitas-aktivitas dari administrator dan operator sistem
sudah dicatat dalam log ? 75
6.10.5 10.10.5 Fault logging Apakah fault yang terjadi sudah dicatat dalam log, kemudian dianalisa,
dan diambil langkah-langkah yang sesuai ? 75
6.10.6 10.10.6 Clock synchronization
Apakah penunjuk waktu dari seluruh sistem pengolahan informasi dalam organisasi atau domain keamanan sudah disinkronisasikan dengan sumber penunjuk waktu yang akurat dan telah disepakati. Misalnya time server harus disinkronisasikan untuk akurasi audit dan log
100
Bobot (%) 0 25 50 75 100 7.1 11.1
7.1.1 11.1.1 Access control policy
Apakah kebijakan terkait pengendalian akses sudah ditetapkan, didokumentasikan, dan ditinjau berdasarkan tuntutan bisnis dan keamanan terhadap akses ?
75
7.2 11.2
7.2.1 11.2.1 User registration
Apakah terdapat prosedur pendaftaran dan penghapusan user secara formal untuk pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi?
75
7.2.2 11.2.2 Privilege management Apakah alokasi dan penggunaan hak akses khusus sudah dibatasi dan
dikendalikan? 100
7.2.3 11.2.3 User password management Apakah alokasi password sudah dikendalikan melaui proses
manajemen yang formal ? 100
7.2.4 11.2.4 Review of user access rights Apakah secara formal manajemen melakukan tinjauan secara berkala
terhadap hak akses user? 75
7.3 11.3
7.3.1 11.3.1 Password use
Apakah user sudah diminta untuk mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password?
Scoring System :
Access Control
Keterangan
Prosedur belum ada dan belum ada kontrol yang dilaksanakan
Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur
Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur
100
Area Pertanyaan Assessment
User responsibilities
Business requirement for access control
User access management Standard
Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur
Referensi ISO 27001 Area Assessment, Tujuan dan Pertanyaan Hasil Assessment
Area Pertanyaan Assessment Standard
Checklist Nilai
7.3.2 11.3.2 Unattended user equipment
Apakah peralatan yang ditinggal oleh penggunanya (unattended) sudah dipastikan terlindungi dengan tepat? Misal : Logoff saat
meninggalkan komputer, menutup sesi setelah menggunakan aplikasi, dll.
75
Apakah kebijakan clear desk terhadap kertas dan media penyimpanan
yang dapat dipindahkan sudah ditetapkan? 50
Apakah kebijakan clear screen untuk fasilitas pengolahan informasi
sudah ditetapkan? 50
7.4 11.4
7.4.1 11.4.1 Policy on use of network
services
Apakah user hanya diberikan akses terhadap layanan sesuai
kewenangan yang secara spesifik telah diberikan? 100
7.4.2 11.4.2 User authentication for
external connections
Apakah ada digunakan metode otentikasi yang tepat untuk
mengontrol akses oleh remote user ? 100
7.4.3 11.4.3 Equipment identification in
networks
Apakah identifikasi perangkat secara otomatis sudah dipertimbangkan sebagai cara untuk melakukan otentikasi koneksi dan peralatan yang spesifik ?
75
7.4.4 11.4.4 Remote diagnostic and
configuration port protection
Apakah akses secara fisik dan logik untuk mendiagnosa dan
mengkonfigurasi port sudah dikontrol dengan baik ? 100
7.4.5 11.4.5 Segregation in network
Apakah pengelompokan terhadap layanan informasi, pengguna dan
sistem informasi di dalam jaringan sudah disegregasikan? 75
7.4.6 11.4.6 Network connection control
Untuk jaringan yang digunakan bersama, terutama jaringan yang diperluas sampai keluar dari jangkauan organisasi, apakah kemampuan