mengelola operasi rutin di area kontrol.
No - Deskripsi Kondisi IAM-12.6
Kriteria
(Diisi Auditor)
Kredensial akun pengguna internal perusahaan atau pelanggan (penyewa) harus dibatasi, memastikan identitas, hak, dan manajemen akses yang sesuai dan sesuai dengan kebijakan dan prosedur yang ditetapkan.
Akar Penyebab
(Diisi Auditor berdasar diskusi dengan auditee)
Tidak ada penyebab khusus memang hanya belum diterapkan saja untuk sekarang.
Rekomendasi
(Diisi oleh Auditor)
Dapat membuat multifactor authentication dengan lapisan keamanan tambahan lakukan pendekatan umum MFA ke seluruh aplikasi, VPN, desktop Windows, dan Linux. Menanamkan berbagai bentuk otentikasi pengguna modern per sumber daya di luar SMS / email satu kali kata sandi (OTP), termasuk OTP berbasis waktu, pemberitahuan push seluler dan opsi biometrik seperti sidik jari dan pengenalan wajah.
Tanggapan Auditi
(Diisi auditee)
Ada rencana yang ingin dilakukan untuk autentikasi multifaktor untuk produk yang nanti akan dijualkan oleh perusahaan hanya saja untuk implementasinya masih tentatif.
Rencana Perbaikan (Diisi Auditee) Due Date PIC
Belum dapat di terapkan karena belum adanya rencana pembuatan produk yang sangat berfokus pada IAM, mungkin kedepannya jika dibuat bisa diterapkan.
- Siauw Nam
Khong
Rencana Pencegahan (Diisi Auditee) Due Date PIC
- - -
TUJUAN AUDIT
IAM-13 Utility Programs Access
Program utilitas yang berpotensi mengesampingkan sistem, objek, jaringan, mesin virtual, dan kontrol aplikasi harus dibatasi.
LANGKAH KERJA:
Kode PERTANYAAN Rating
IAM-12.1 Apakah utilitas yang secara signifikan dapat mengelola partisi virtual (misalnya, shutdown, clone, dll) dibatasi dan dipantau secara tepat?
9
IAM-12.2 Apakah Anda memiliki kemampuan untuk mendeteksi serangan yang menargetkan infrastruktur virtual secara langsung (misalnya, shimming, Blue Pill, Hyper jumping, dll.)?
9
IAM-12.3 Apakah serangan yang menargetkan infrastruktur virtual dicegah dengan kontrol teknis? 9
Rata-Rata 9
Kesimpulan hasil analisis.
Terdapat bukti bahwa orang-orang kritis yang beroperasi di area kontrol telah dilatih/terampil dengan tepat untuk mengelola operasi rutin di area kontrol.
Page 8 of 8
Tempat Persetujuan
Pimpinan
Auditee Siauw Nam Khong Ketua Auditor Angelia Chandra
Direview oleh:
Page 1 of 4
Siauw Nam Khong CCM v3.0.1
IPY (Interoperability & Portability) IPY-01- APIs
IPY-02- Data Request IPY-03- Policy & Legal
IPY-04- Standardized Network Protocols IPY-05- Virtualization
Lokasi Ruang Lingkup Tanggal Audit
Online Google Meet IPY (Interoperability & Portability) 15 Mei 2021
Wakil Auditi Auditor Ketua
Angelia Chandra
TUJUAN AUDIT
IPY-01 APIs
Penyedia harus menggunakan API yang terbuka dan dipublikasikan untuk memastikan dukungan untuk interoperabilitas antar komponen dan untuk memfasilitasi migrasi aplikasi.
LANGKAH KERJA:
Kode PERTANYAAN Rating
IPY-01.1 Apakah Anda memublikasikan daftar semua API yang tersedia di layanan dan menunjukkan mana yang standar dan mana yang disesuaikan?
N/A
Rata-Rata N/A
Kesimpulan hasil analisis. -
TUJUAN AUDIT
IPY-02 Data Request
Semua data terstruktur dan tidak terstruktur harus tersedia bagi pelanggan dan diberikan kepada mereka berdasarkan permintaan dalam format standar industri (misalnya, .doc, .xls, .pdf, log, dan file datar).
LANGKAH KERJA:
Kode PERTANYAAN Rating
IPY-02.1 Apakah data pelanggan tidak terstruktur tersedia berdasarkan permintaan dalam format standar industri (misalnya, .doc, .xls, atau .pdf)?
10
Rata-Rata 10
Kesimpulan hasil analisis.
Terdapat bukti bahwa sistem pengelolaan area kontrol mampu mengelola kejadian kontinjensi serta aktivitas rutin.
TUJUAN AUDIT
IPY-03 Policy & Legal
Kebijakan, prosedur, dan ketentuan dan/atau persyaratan yang disepakati bersama harus ditetapkan untuk memenuhi persyaratan pelanggan (penyewa) untuk aplikasi service-to-service (API) dan interoperabilitas pemrosesan informasi, dan portabilitas untuk pengembangan aplikasi dan pertukaran informasi, penggunaan, dan ketekunan integritas.
Page 2 of 4
LANGKAH KERJA:
Kode PERTANYAAN Rating
IPY-03.1
Apakah Anda menyediakan kebijakan dan prosedur (yaitu perjanjian tingkat layanan) yang mengatur penggunaan API untuk interoperabilitas antara layanan Anda dan aplikasi pihak ketiga?
9
IPY-03.2 Apakah Anda menyediakan kebijakan dan prosedur (yaitu perjanjian tingkat layanan) yang mengatur migrasi data aplikasi ke dan dari layanan Anda?
9
Rata-Rata 9
Kesimpulan hasil analisis.
Terdapat bukti bahwa orang-orang kritis yang beroperasi di area kontrol telah dilatih/terampil dengan tepat untuk mengelola operasi rutin di area kontrol.
TUJUAN AUDIT
IPY-04 Standardized Network
Protocols
Penyedia harus menggunakan protokol jaringan standar yang aman (misalnya, teks tidak jelas dan terotentikasi) untuk impor dan ekspor data dan untuk mengelola layanan, dan harus menyediakan dokumen kepada konsumen (penyewa) yang merinci standar interoperabilitas dan portabilitas yang relevan yang terlibat.
LANGKAH KERJA:
Kode PERTANYAAN Rating
IPY-04.1 Dapatkah impor data, ekspor data, dan manajemen layanan dilakukan melalui protokol jaringan standar yang dapat diterima industri (misalnya, teks tidak jelas dan diautentikasi)?
9
IPY-04.2 Apakah Anda memberikan dokumentasi kepada konsumen (penyewa) yang merinci standar protokol jaringan interoperabilitas dan portabilitas yang relevan yang terlibat?
9
Rata-Rata 9
Kesimpulan hasil analisis.
Terdapat bukti bahwa orang-orang kritis yang beroperasi di area kontrol telah dilatih/terampil dengan tepat untuk mengelola operasi rutin di area kontrol.
TUJUAN AUDIT
IPY-05 Virtualization
Penyedia harus menggunakan platform virtualisasi yang diakui industri dan format virtualisasi standar (misalnya, OVF) untuk membantu memastikan interoperabilitas, dan harus mendokumentasikan perubahan khusus yang dibuat untuk setiap hypervisor yang digunakan, dan semua kait virtualisasi khusus solusi, tersedia untuk tinjauan pelanggan.
LANGKAH KERJA:
Kode PERTANYAAN Rating
IPY-05.1 Apakah Anda menggunakan platform virtualisasi yang diakui industri dan format virtualisasi standar (misalnya, OVF) untuk membantu memastikan interoperabilitas?
9
IPY-05.2
Apakah Anda telah mendokumentasikan perubahan khusus yang dibuat pada hypervisor apa pun yang digunakan, dan semua kait virtualisasi khusus solusi tersedia untuk tinjauan pelanggan?
1
Rata-Rata 5
Kesimpulan hasil analisis.
Page 3 of 4 Rekomendasi
(Diisi oleh Auditor)
Bisa dibuat dokumentasinya dan custom hypervisor dapat menggunakan Xen atau KVM based hypervisor technology. Jika ada dibuat dokumentasinya jangan di sebarluaskan cukup untuk kebutuhan internal saja.
Tanggapan Auditi (Diisi auditee)
Belum bisa memutuskan karena perlunya diskusi dengan top level management yang lain.
Rencana Perbaikan (Diisi Auditee) Due Date PIC
Akan di diskusikan dengan yang lain - Siauw Nam
Khong
Rencana Pencegahan (Diisi Auditee) Due Date PIC
- - -
Gambar 1 Asessor Grid
1 to 3 4 to 6 7 to 9 10 to 12 12 to 15
Maturity Model No formal approach Reactive Proactive Improving Optimizing Evidence/
Definition
1. Tidak ada bukti adanya sistem untuk mengelola area kontrol
4. Terdapat bukti sistem yang diterapkan untuk mencakup operasi utama di area kontrol. Jika diperlukan, sistem didokumentasikan 7. Terdapat bukti adanya sistem yang kuat yang mencakup semua operasi rutin di area kontrol. 10. Terdapat bukti bahwa sistem pengelolaan area kontrol mampu mengelola kejadian kontinjensi serta aktivitas rutin 13. Pemilik area kontrol dapat menunjukkan bahwa mereka secara aktif meninjau praktik terbaik dari industri mereka dan di seluruh organisasi mereka dan menerapkannya ke area kontrol. Managed 2. Ada beberapa bukti apakah sistem
yang terdokumentasi atau cara kerja yang diterima sudah ada
5. Ada pemilik area kontrol yang teridentifikasi dengan jelas dan memahami ruang lingkup tanggung jawab mereka.
8.Terdapat bukti bahwa area kontrol dipantau dan diukur secara aktif dan tindakan dievaluasi berdasarkan bukti tersebut. 11. Masukan dari berbagai sumber dipertimbangkan untuk memutuskan bagaimana mengelola risiko dan meningkatkan operasi di area kontrol ini.
14. Pemilik area kontrol secara aktif berbagi praktik terbaik untuk mendukung pengembangan di area lain organisasi berdasarkan pengalaman mereka di area kontrol ini. Followed/
Active
3. Ada beberapa bukti cara kerja yang diterima yang dipahami dan diikuti secara meluas.
6. Ada bukti bahwa sistem dipahami dan diikuti secara rutin.
9. Terdapat bukti bahwa orang-orang kritis yang beroperasi di area kontrol telah dilatih/terampil dengan tepat untuk mengelola operasi rutin di area kontrol.
12. Terdapat bukti bahwa masukan dari berbagai pemangku kepentingan dan sistem pemantauan dan pengukuran telah diperhitungkan saat meningkatkan operasi di area kontrol. 15. Perubahan di area kontrol dievaluasi terhadap tujuan strategis organisasi.
Page 4 of 4
Tempat Persetujuan
Pimpinan
Auditee Siauw Nam Khong Ketua Auditor Angelia Chandra
Direview oleh: