Capability Level COBIT 5
GP 2.2.1 Menetapkan kebutuhan untuk kerja,
meliputi struktur isi dan kriteria kualitas.
Apakah perusahaan telah membuat dan menetapkan sebuah
metode yang digunakan untuk mengumpulkan,
menklasifikasikan dan menganalisis data terkait ancaman dan kerentanan dalam sistem informasi?
GP 2.2.2 Menetapkan
kebutuhan dari
dokumentasi dan kontrol dari hasil kerja. Ini harus meliputi identifikasi dari ketergantungan,
persetujuan dan
kemudahan dalam
melacak kebutuhan. Apakah perusahaan telah menyimpan data ancaman kerentanan
sistem informasi yang relevan di dalam lingkungan operasional internal dan eksternal yang berperan penting dalam pengelolaan risiko?
Apakah perusahaan telah membuat catatan rekaman terkait risiko ancaman dan kerentanan sistem informasi yang terjadi?
SKRIPSI PENYUSUNAN PANDUAN PENGELOLAAN … BAGUS PUJI …
Kriteria Item Pertanyaan Kuesioner Kriteria GP dalam COBIT 5
PA 2 .2 W ork Pro du ct M an ag eme nt
Apakah perusahaan telah melakukan pencatatan untuk setiap kejadian, masalah dan proses pengelolaan risiko ancaman dan kerentanan sistem informasi yang berdampak tehadap pencapaian manfaat TI?
GP 2.2.2 Menetapkan
kebutuhan dari
dokumentasi dan kontrol dari hasil kerja. Ini harus meliputi identifikasi dari ketergantungan,
persetujuan dan
kemudahan dalam
melacak kebutuhan. Apakah perusahaan telah melakukan proses identifikasi
penyebab dan dampak risiko ancaman dan kerentanan sistem informasi?
Apakah perusahaan telah melakukan analisis dan identifikasi secara rutin terkait isu risiko kerentanan sistem informasi baru, yang muncul untuk mendapatkan informasi tentang faktor risiko internal maupun external?
Apakah perusahaan telah melakukan pengembangan proses bisnis, jasa penunjang, aplikasi dan infrastruktur serta repositori informasi berdasarkan kesepakatan pada spesifikasi, fungsional bisnis dan persyaratan secara teknis terkait pengimplementasian
firewall?
Apakah perusahaan telah melakukan verifikasi terkait hak untuk menggunakan atau memenuhi permintaan layanan, dimana memungkinkan dilakukan perubahan pada alur proses dan standar yang telah ditetapkan?
Apakah perusahaan telah mendapatkan persetujuan keuangan dan persetujuan secara fungsional untuk permintaan perubahan manajemen jaringan?
Apakah perusahaan telah memenuhi permintaan perubahan manajemen jaringan dengan menjalankan prosedur permintaan perubahan yang ada dan bila menungkinkan menggunakan menu self-help otomatis dan model permintaan standar untuk item yang sering diminta?
Apakah perusahaan telah membuat dokumen komponen solusi terkait kemampuan firewall?
Apakah perusahaan telah membuat dokumentasi penyesuaian bisnis untuk menggunakan semua layanan, protokol, dan port yang dibuka, termasuk dokumentasi fitur keamanan yang diterapkan pada protokol yang dianggap tidak aman? (Contoh layanan protokol atau port yang tidak aman antara lain : FTP, Telnet, POP3, IMAP, SNMP v1 dan v2).
Apakah perusahaan telah mereview dan menyetujui baseline
konfigurasi router secara formal?
Apakah perusahaan telah membuat dokumentasi rencana pengujian?
Apakah dokumen perencanaan pengujian yang dibuat telah mencakup persyaratan untuk kinerja sistem, stress, usability,
pilot testing dan security testing?
Apakah perusahaan telah memastikan bahwa rencana pengujian telah mencerminkan penilaian risiko dari perubahan pada
firewall dan konfigurasi router?
Apakah perusahaan dalam merencanakan pengujian firewall
telah mencakup persyaratan untuk kinerja sistem, stress,
usability, pilot testing dan security testing yang mempertimbangkan pada penilaian risiko kegagalan sistem dan kesalahan implementasi saat dilakukannya perubahan pada
SKRIPSI PENYUSUNAN PANDUAN PENGELOLAAN … BAGUS PUJI …
Kriteria Item Pertanyaan Kuesioner Kriteria GP dalam COBIT5
PA 2 .2 W ork Pro du ct M an ag eme nt
Apakah perusahaan telah melakukan pengujian untuk semua kebutuhan fungsional dan teknis?
GP 2.2.2 Menetapkan
kebutuhan dari
dokumentasi dan kontrol dari hasil kerja. Ini harus meliputi identifikasi dari ketergantungan,
persetujuan dan
kemudahan dalam
melacak kebutuhan. Apakah rencana pengujian yang direncanakan telah memenuhi
kebutuhan potensial untuk akreditasi hasil proses pengujian secara internal maupun eksternal (seperti memenuhi peraturan keuangan)?
Apakah perusahaan telah memastikan bahwa semua rencana pengujian koneksi jaringan, perubahan pada firewall dan konfigurasi router telah diuji dan disetujui oleh para
stakeholder, termasuk busines process owner dan stakeholder
TI, yang sesuai? (Contoh stakeholder tersebut adalah manajer pengembangan aplikasi, manajer proyek dan pengguna akhir proses bisnis).
Ambil sebuah sample koneksi jaringan untuk memverifikasi bahwa pengujian, persetujuan koneksi jaringan serta perubahan
firewall dan konfigurasi router telah disetujui dan diuji. Apakah topologi jaringan yang ada telah mendokumentasikan semua koneksi ke server, termasuk jaringan nirkabel?
Apakah topologi jaringan selalu up to date?
Apakah data flow diagram telah menggambarkan topologi jaringan yang menunjukkan data pengguna dapat diakses dari seluruh sistem dan jaringan?
Apakah data flow diagram saat ini selalu up to date dan terus di perbaharui jika terjadi perubahan pada lingkungan?
Apakah topologi jaringan saat ini telah sesuai dengan standar konfigurasi firewall yang telah ditetapkan?
Apakah perusahaan telah menetapkan sebuah proses untuk menyetujui penerimaan dengan menandatangani secara formal oleh business process owner, pihak ketiga yang terkait dan
stakeholder TI sebelumpenerapan firewall dilakukan?
Apakah unsur – unsur fallback dan rollback dari rencana pengujian telah dipenuhi?
Apakah business process owner, service manager dan
stakeholder TI dalam organisasi secara formal dan tepat telah menyetujui setiap perubahan koneksi jaringan, firewall dan konfigurasi router yang diminta?
Apakah perusahaan telah melakukan pencatatan log jaringan berdasarkan identifikasi risiko dan kinerja firewall?
Apakah perusahaan telah mendefinisikan dan menerapkan aturan untuk mengidentifikasi dan mencatat event log, sehingga
event log tidak dipenuhi dengan informasi yang tidak perlu? Apakah perusahaan telah melakukan pemantauan terkait kinerja pemeliharaan event log sehingga event log dapat bertahan untuk jangka waktu yang lama dan juga dapat membantu penyelidikan di masa depan?
Apakah perusahaan telah membuat catatan insiden pada waktu yang tepat terkait infrastruktur firewall pada saat hasil
monitoring terdapat penyimpangan dari standar yang telah ditentukan?
SKRIPSI PENYUSUNAN PANDUAN PENGELOLAAN … BAGUS PUJI …
Kriteria Item Pertanyaan Kuesioner Kriteria GP dalam COBIT5
PA 2 .2 W ork Pro du ct M an ag eme nt
Apakah event log terkait keamanan dilaporkan oleh alat pemantauan infrastruktur keamanan?
GP 2.2.2 Menetapkan
kebutuhan dari
dokumentasi dan kontrol dari hasil kerja. Ini harus meliputi identifikasi dari ketergantungan,
persetujuan dan
kemudahan dalam
melacak kebutuhan. Apakah secara teratur perusahaan telah meninjau event log
untuk insiden potensial?
Apakah perusahaan telah melakukan identifikasi terkait tingkat informasi yang akan dicatat berdasarkan pertimbangan risiko agar dapat bertahan untuk jangka waktu yang lama dan juga dapat membantu penyelidikan di masa depan?
Apakah perusahaan telah melakukan tinjauan manajemen secara rutin terkait akun dan pengalokasian hak akses berdasarkan dengan apa yang dibutuhkan untuk melakukan aktivitas pekerjaan manajemen jaringan dan berdasarkan pada peran kerja yang telah ditentukan?
Apakah perusahaan telah melakukan tinjauan secara periodik terhadap ketentuan akses kontrol untuk memastikan bahwa semua hak akses valid dan selaras dengan peran staff yang telah dialokasikan?
Apakah perusahaan telah melacak permintaan perubahan jaringan, desain jaringan, kinerja firewall dan kualitas tinjauan
firewall?
GP 2.2.3 Identifikasi,
dokumentasi, dan
kontrol hasil kerja. Hasil kerja adalah subjek dari kontrol perubahan,
begitu juga dengan
perubahan versi dan
managemen konfigurasi. Apakah perusahaan telah memastikan partisipasi aktif dari
semua stakeholder yang terkena dampak dari
pengimplementasian firewall?
Apakah perusahaan telah memperbarui rincian konfigurasi untuk perubahan yang telah disetujui pada configuration item? Apakah perusahaan telah melakukan identifikasi terhadap perubahan terbaru, yang dilakukan pada firewall dan konfigurasi router, kemudian membandingkan dengan catatan perubahan?
Sebelum memasangkan firewall pada jaringan, apakah permintaan perubahan koneksi jaringan, firewall dan konfigurasi router dilakukan menggunakan permintaan perubahan secara resmi kepada pemilik proses bisnis dan TI? Apakah semua permintaan perubahan yang diminta telah dikelompokkan (seperti proses bisnis, infrastruktur, sistem operasi, jaringan, sistem aplikasi dan software yang dibeli) dan dikaitkan dengan configuration item yang terpengaruh? Apakah semua perubahan yang diminta telah berdasarkan atas kebutuhan bisnis, kebutuhan teknis, kebutuhan sumber daya yang diperlukan, aspek legalitas dan peraturan yang berlaku telah diprioritaskan?
Apakah perusahaan telah membuat kontrak untuk seluruh perubahan yang diminta?
Apakah perusahaan telah mempertimbangkan dampak penyedia layanan terhadap proses change management?
Apakah perusahaan telah mempertimbangkan proses integrasi
change management perusahaan dengan proses change management penyedia layanan dengan dampaknya terhadap ketentuan yang terdapat dalam kontrak dan SLA?
Apakah perusahaan telah mempertahankan hak akses pengguna sesuai dengan fungsi bisnis dan persyaratan proses manajemen jaringan?
SKRIPSI PENYUSUNAN PANDUAN PENGELOLAAN … BAGUS PUJI …
Kriteria Item Pertanyaan Kuesioner Kriteria GP dalam COBIT5
PA 2 .2 W ork Pro du ct M an ag eme nt
Apakah perusahaan teleh menetapkan kebijakan bahwa hanya pihak yang memiliki otorisasi saja yang dapat mengakses informasi perusahaan dan jaringan perusahaan?
GP 2.2.3 Identifikasi,
dokumentasi, dan
kontrol hasil kerja. Hasil kerja adalah subjek dari kontrol perubahan,
begitu juga dengan
perubahan versi dan
managemen konfigurasi. Apakah perusahaan melakukan proses audit selama konfigurasi
dan integrasi firewall berlangsung?
GP 2.2.4 Ulas kembali