WorkFlow Table. PT. Astra Graphia Information Technology. Prosedur Pemasangan CCTV. 4. Menampilkan window Surat Tugas Manajer Proyek

(1)

(2)

WorkFlow Table

PT. Astra Graphia Information Technology Prosedur Pemasangan CCTV

Actor Activity

Membuat Surat Tugas

Manajer Proyek 1. Menerima Dokumen Order 2. Memilih folder Surat Tugas 3. Memilih draft Surat Tugas

Komputer 4. Menampilkan window Surat Tugas Manajer Proyek 5. Menginput Nomor Surat Tugas

6. Menginput Lampiran 7. Menginput Kota 8. Menginput Tanggal 9. Menginput Keterangan

10. Menginput Nama Manajer Proyek 11. Memilih tombol Save

Komputer 12. Menyimpan Surat Tugas

Manajer Proyek 13. Memilih tombol Print

Komputer 14. Mencetak Surat Tugas

Manajer Proyek 15. Memberikan Surat Tugas ke Teknisi Melakukan Survei Lokasi

Teknisi 16. Menerima Surat Tugas

17. Melakukan survei ke lokasi Melakukan Instalasi Perangkat CCTV

Teknisi 18. Menerima perangkat

19. Memasang kamera CCTV dan switch / router

20. Memasang kabel dari kamera CCTV ke switch/router 21. Memilih Configuration CCTV

22. Memilih Menu System

Komputer 23. Menampilkan window System

Teknisi 24. Pada group box System Time, ubah Time Zone menjadi : a. GMT +07:00 (WIB)

b. GMT +08:00 (WITA) c. GMT +09:00 (WIT) 25. Memilih tombol Save

26. Memilih Synchronize with computer time, untuk

memastikan waktu di kamera sudah sesuai dengan waktu lokasi setempat

27. Memilih tombol Save kembali 28. Memilih Menu SNMP

Komputer 29. Menampilkan group box SNMP

Teknisi 30. Memilih centang pada Enable SNMPv1, SNMPv2c

(3)

XYZ

32. Memilih Menu Network

Komputer 33. Menampilkan group box Network Type Teknisi 34. Memilih Used fixed IP address

Komputer 35. Menampilkan detail Used fixed IP address

Teknisi 36. Menginput IP Address dengan detail IP Address yang didapat dari Admin

37. Memilih tombol Save 38. Memilih Menu Video

Komputer 39. Menampilkan group box Video Settings Teknisi 40. Menginput pengaturan (Untuk Stream 1-4) :

a. MP4

b. Frame Size : 320x200 c. Maximum frame rate : 8 fps d. Intra frame period : 1 S

e. Video Quality : pastikan diklik Constant bit rate : 64kbps

41. Memilih Menu Camera Tempering Detection

Komputer 42. Menampilkan group box Camera Tempering Detection Teknisi 43. Memilih centang camera tempering detection

44. Memilih tombol Save 45. Memilih Menu Recording

Komputer 46. Menampilkan group box Recording Settings

Teknisi 47. Melakukan SD Test

48. Memilih tombol Add

Komputer 49. Menampilkan window Recording

Teknisi 50. Menginput Recording Name

51. Memilih centang untuk Schedule pada group box Trigger 52. Memilih centang untuk semua hari pada group box

Recording Schedule

53. Memilih SD pada combo box Destination 54. Memilih Menu Local Storage

Komputer 55. Menampilkan window Local Storage

Teknisi 56. Memilih SD Card Status

Komputer 57. Menampilkan detail SD Card Status

Teknisi 58. Memilih tombol Format

59. Memilih SD Card Control

Komputer 60. Menampilkan detail SD Card Status

Teknisi 61. Memilih centang pada Enable cycling storage 62. Memilih tombol Save

Melakukan Koordinasi Jaringan dan Register Kamera ke NVR

Teknisi dan Bagian OMC 63. Memeriksa jaringan

Teknisi 64. Melakukan uji coba pada kamera

(4)

Manajer Proyek 69. Memberikan BAI ke Teknisi

70. Menerima BAI yang telah diisi oleh Teknisi 71. Memilih tombol Scan

Komputer 72. Menampilkan hasil scan BAI Manajer Proyek 73. Memilih tombol Save

Komputer 74. Menyimpan BAI

Membuat Berita Acara Siap Operasi Manajer Proyek 75. Memilih folder BA Siap Operasi

76. Memilih draft BA Siap Operasi

Komputer 77. Menampilkan window BA Siap Operasi Manajer Proyek 78. Menginput Kode BASO

79. Menginput Tanggal

80. Menginput Keterangan BASO berdasarkan BAI 81. Memilih tombol Save

Komputer 82. Menyimpan BASO

Manajer Proyek 83. Memilih tombol Print

Komputer 84. Mencetak BASO

Manajer Proyek 85. Memberikan BASO ke Pelanggan

86. Memberikan salinan BASO ke Manajer Operasional Melakukan Pemantauan Operasional Kamera CCTV

Bagian OMC 87. Memilih menu Login

Komputer 88. Menampilkan window Login

Bagian OMC 89. Menginput User ID

90. Menginput Password 91. Memilih tombol Login

Komputer 92. Menampilkan window Monitoring CCTV Bagian OMC 93. Memantau rekaman kamera CCTV

94. Memantau sistem Helpdesk

95. Jika ada gangguan, maka akan menghubungi Bagian Helpdesk

96. Memilih menu Logout Memeriksa Sistem Helpdesk

Bagian Helpdesk 97. Menerima pengaduan gangguan 98. Memilih Menu sistem Helpdesk

Komputer 99. Menampilkan sistem Helpdesk

Bagian Helpdesk 100. Memeriksa gangguan pada sistem Helpdesk 101. Menghubungi Teknisi

Melakukan Pemeriksaan dan Analisa Pada Perangkat CCTV

Teknisi 102. Memeriksa gangguan

103. Jika perangkat yang rusak tidak dapat diperbaiki, maka harus melakukan pergantian perangkat

104. Memasang kembali kamera / switch

105. Melakukan konfirmasi ke Bagian OMC dan Helpdesk 106. Mengembalikan perangkat ke gudang

Membuat Berita Acara Kunjungan Teknisi Manajer Proyek 107. Memilih folder BAKT

108. Memilih draft BAKT 109. Memilih tombol Print

(5)

Komputer 110. Mencetak BAKT

Manajer Proyek 111. Memberikan BAKT ke Teknisi

112. Menerima BAKT yang telah diisi oleh Teknisi 113. Memilih tombol Scan

Komputer 114. Menampilkan hasil scan BAKT Manajer Proyek 115. Memilih tombol Save

Komputer 116. Menyimpan BAKT

Mengolah Data Rekaman

Bagian Helpdesk 117. Menerima data rekaman dari Bagian OMC 118. Memilih folder Rekaman

119. Memilih file excel Data Rekaman

Komputer 120. Menampilkan Data Rekaman

Bagian Helpdesk 121. Menggabungkan data rekaman Helpdesk dan Bagian OMC

122. Memilih tombol Save

Komputer 123. Menyimpan Data Rekaman

Bagian Helpdesk 124. Memberikan Data Rekaman ke Manajer Operasional Membuat Laporan Bulanan Operasional Proyek

Manajer Operasional 125. Menerima Data Rekaman dari Bagian Helpdesk 126. Memilih folder Monthly Report CCTV

127. Memilih draft Monthly Report CCTV

Komputer 128. Menampilkan window Monthly Report CCTV Manajer Operasional 129. Menginput Kode LBOP

130. Menginput Tanggal 131. Menginput Nomor Proyek 132. Menginput Keterangan Proyek 133. Menginput Periode LBOP 134. Menginput Versi Dokumen 135. Menginput Isi LBOP

136. Menginput Nama Manajer Operasional 137. Menginput Nama Pelanggan

138. Memilih tombol Save

Komputer 139. Menyimpan LBOP

Manajer Operasional 140. Memilih tombol Print

Komputer 141. Mencetak LBOP

Manajer Operasional 142. Memberikan LBOP ke Pelanggan Melakukan Penarikan Perangkat CCTV

Teknisi 143. Meng-uninstal perangkat

144. Memutus jaringan pada kabel

145. Mencabut kamera CCTV dan switch / router 146. Mencabut switch/router

Membuat Berita Acara Dismantling

Manajer Operasional 147. Memilih folder BA Dismantling CCTV 148. Memilih draft BA Dismantling CCTV

(6)

153. Memilih tombol Scan

Komputer 154. Menampilkan hasil scan BAD Manajer Operasional 155. Memilih tombol Save

Komputer 156. Menyimpan BAD

Manajer Operasional 157. Memilih tombol Print

Komputer 158. Mencetak BAD

Manajer Operasional 159. Memberikan BAD ke Pelanggan

(7)

Detailed Activity Diagram

(8)

(9)

(10)

(11)

(12)

(13)

(14)

(15)

Komputer Teknisi

Detailed Activity Diagram PT. Astra Graphia Information Technology Melakukan Pemeriksaan dan Analisa Pada Perangkat CCTV

102. Memeriksa gangguan pada Perangkat CCTV

103. Melakukan penggantian Perangkat CCTV

[Ganti perangkat]

No

Yes

105. Melakukan konfirmasi Ke Bagian OMC dan Helpdesk

106. Mengembalikan Perangkat Ke Gudang

104. Memasang kembali Kamera/Switch

[Kembalikan barang]

Yes

No

Ms_Perangkat

(16)

(17)

(18)

(19)

(20)

Komputer Manajer Operasioanl

Detailed Activity Diagram PT. Astra Graphia Information Technology

Membuat Berita Acara Dismantling

148. Memilih draft BAD CCTV

149. Memilih tombol Print

Tr_BAD 147. Memilih folder BAD CCTV

150. Mencetak BAD

{BAD}

151. Memberikan BAD Ke Teknisi

153. Memilih tombol Scan 152. Menerima BAD yang telah

diisi oleh Teknisi

154. Menampilkan hasil Scan BAD

156. Menyimpan BAD 155. Memilih tombol Save

Tr_BAD 157. Memilih tombol Print

159. Memberikan BAD Ke Pelanggan

158. Mencetak BAD

{BAD}

(21)

Entity Relationship Diagram

(22)

Navigation Diagram

Klik tombol ‘Save’ dan pilih ‘SNMP’

Centang ‘Enable SNMPv1, SNMPv2c

dan pilih ‘Network’

Klik ‘Use fixed IP Address’

Klik tombol ‘Save’ dan Pilih ‘Video’

Pilih ‘Camera Tempering Detection’

Centang ‘ Enable camera tempering detection’ , klik tombol ‘Save’ dan

pilih ‘Recording’

Klik tombol ‘Add’

(Lanjutan window)

Klik tombol ‘Save’ dan Pilih ‘Local storage’

Klik pada ‘SD card status’

Klik Tombol ‘Format’

Dan klik pada ‘SD card Control’

Klik tombol ‘Save’ dan kamera aktif

(23)

AUDIT CHECKLIST

Sistem Manajemen Keamanan Informasi ISO/IEC 27001 : 2005 PT. Astra Graphia Information Technology

Proyek Pemasangan CCTV Bank XYZ

References Audit area, objetives and questions Results

No. Annex Requirement Objective Audit Question Findings Major Minor Obser-

vation Compliance

1 A.5.1.1

Information security policy

document

Untuk memastikan adanya peraturan yang tertulis untuk menjaga keamanan informasi data rekaman CCTV.

Apakah kebijakan mengenai keamanan informasi pada saat melakukan monitoring rekaman cctv sudah didokumentasikan dalam suatu dokumen yang tertulis?

Terdapat Data Integrity Test untuk penyimpanan hasil Data monitoring rekaman CCTV.

Hanya Bagian EOS dan Manajer yang dapat mengakses data rekaman CCTV.

Menggunakan jaringan VPN khusus. Tetapi belum ada dokumen yang tertulis mengenai kebijakan keamanan informasi .

√

NO

2 A.5.1.2

Review of the information security policy

Karena suatu kebijakan yang sudah di tetapkan harus di tinjau dan di diskusikan apabila adanya perubahan kebijakan

Apakah pedoman tersebut di tinjau secara rutin?

Tidak ada tinjauan secara rutin, karena belum ada prosedur yang tertulis.

Mengacu pada hasil A.5.1.1.

√

NO

3 A.6.1.1

Management commitment to

information security

Karena setiap keamanan di dalam perusahaan harus didukung dan disetuhui oleh pihak manajemen.

Apakah pihak manajemen sudah mendukung dan menyetujui tanggung jawab mengenai keamanan data rekaman CCTV?

Pihak manajemen sudah mendukung

YES

4 A.6.1.2

Information security coordination

Untuk menjaga keamanan data rekaman CCTV ini harus dilakukannya pembagian tugas dan tanggung jawab pada setiap karyawan dan memastikan setiap karyawan telah memahami tugas dan tanggung jawab yang diberikan.

a. Apakah tugas yang diberikan kepada setiap karyawan sudah menjelaskan peran dan tanggung jawabnya terhadap keamanan data rekaman CCTV

perusahaan?

b. Apakah setiap karyawan telah memahami mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman CCTV?

Tugas yang diberikan kepada karyawan sudah jelas. Karyawan juga sudah memahami tugas dan tanggung jawab. Terdapat dokumen pendukung

mengenai tugas dan tanggung jawab karyawan yaitu dokumen Rencana Penyusunan Layanan .

YES

5 A.6.1.3

Allocation of information

security responsibilitie

s

YES

6 A.8.1.1

Roles and responsibilitie

s

YES

7 A.6.1.4

Authorization process for information processing

facilities

Untukmengetahui tentang otorisasi dari pengguna dalam

menggunakan fasilitas

pengolahan data rekaman CCTV apabila adanya fasilitas

pengolahan data rekaman CCTV yang baru.

Apakah jika terdapat fasilitas pengolahan data rekaman CCTV yang baru (computer, server, perangkat lunak), terdapat suatu penjelasn mengenai otorisasi

penggunaannya?

Belum ada fasilitas pengelolaan data rekaman CCTV yang baru, sehingga belum ada

penjelasan

mengenai otorisasi penggunannya.

√ YES

Confidentialit

Untuk menjaga kerahasian mengenai data

Apakah Non-

Disclosure Agreement (NDA) telah

diberlakukan terhadap

Sudah di berlakukannya NDA pada semua pihak yang terkait

(24)

9 A.6.1.6 Contact with authorities

Untukmengetahui hubungan antara otoritas terkait yang harus dipelihara

Apakah sudah

ditetapkan pihak yang berwenang didalam perusahaan yang berhubungan dengan otoritas dalam hal untuk menindaklanjuti suatu fraud/insiden keamanan data rekaman CCTV?

Sudah ada pihak yang

menindaklanjuti insiden keamanan data rekaman CCTV, yaitu Customer Service Center (helpdesk) yang memiliki Document Service Cataloge.dan juga EOS untuk insiden

di lapangan.

YES

10 A.6.1.7

Contact with special interest groups

Untuk menjaga hubungan yang tepat dengan pihak terkait.

Apkah sudah ada pihak yang

bertanggung jawab untuk bergabung dalam forum

professional/asosiasi terkait dalam

memelihara keamanan informasi perusahaan?

Berdasarkan hasil audit yang sudah dilakukan, PT.

AGIT sudah mengikuti forum internal perusahaan yang hanya

melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum

professional/asosias i secara

internasional.

YES

11 A.6.1.8

Independent review of information

security

Untuk mengetahui bahwa keamanan data rekaman CCTV sudah dibahas secara independen(inter nal audit, external audit, dsb).

Apakah perusahaan sudah pernah melakukan audit terhadap keamanan data rekaman CCTV dari pihak yang independen tersebut?

PT. AGIT sudah melakukan internal audit pada

keamanan informasi data rekaman CCTV namun dilakukan oleh manajer operasional.

Internal audit tersebut dilakukan setiap 6 bulan terhubung dengan data integrity test.

√

NO

12 A.6.2.1

Identification of risks related to

external parties

Untuk mengetahui risiko yang mungkin terjadi dari akses yang akan diberikan kepada pihak luar yang terkait.

Apakah risiko yang berdampak terhadap data rekaman CCTV dan fasilitas

pengolahan data rekaman CCTV yang melibatkan pihak luar sudah

diidentifikasikan sebelumnya?

Pihak luar tidak terlibat dalam pengolahan data rekaman. Apabila terkait

kemungkinan risiko pasti ada, namun risiko itu telah dikunci di dalam

NDA.

YES

13 A.6.2.2

Addressing security when

dealing with customers

Untuk

mengidentifikasi kan syarat keamanan yang harus dilakukan sebelum memberikan akses kepada pihak lain yang terkait terhadap data rekaman CCTV atau aset organisasi.

Apakah pihak perusahaan sudah memberikan persyarat dalam pengaksesan keamanan data rekaman CCTV kepada pihak luar yang terkait?

Pihak Bank XYZ tidak memperoleh hak akses untuk mengolah data rekaman CCTV sehingga persyaratan keamanan data rekaman CCTV dilakukan oleh tim proyek CCTV dari PT. AGIT. Pihak Bank XYZ akan menerima data rekaman CCTV yang telah diolah

oleh PT. AGIT.

YES

(25)

14 A.6.2.3

Addressing security in third party agreements

Untuk mengetahui keamanan dalam pengaksesan dan pengelolan informasi mengenai data kamera CCTV dan fasilitas pengolahan informasi

Apakah aspek tanggung jawab terhadap keamanan data kamera CCTV sudah disepakati dengan pihak terkait?

Teknisi tidak ada akses kedata, tetapi pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi.

Di dalam NDA teknisi tidak tertulis mengenai tanggung jawab terhadap keamanan data, tetapi hanya implementasi dan

pemeliharaan.

√ YES

15 A.7.1.1 Inventory of assets

Karena proyek pemasangan CCTV ini menggunakan sangat banyak asset perusahaan yang harus di jaga.

Apakah sebelum melakukan

pemasangan kamera CCTV tersebut seluruh peralatan sudah disediakan?

Apakah ada kode unik pada setiap Kamera CCTV dan perangkat pendukung lainnya yang memuat detail aset tersebut? Apakah ada pemeliharaan secara rutin terhadap peralatan tersebut?

Semua peralatan sudah disediakan sebelum dilakukan pemasangan. Setiap perangkat telah diberikan kode unik dengan serial number dengan mapping ke CMDB dan sudah

dilengkapi dengan detail dari peralatan itu. Belum

dilakukan pemeliharaan secara rutin, PT.

AGIT

menggunakan preventive maintenance yang dapat mendeteksi peralatan yang akan rusak dan akan segera dicegah oleh

PT. AGIT.

YES

16 A.7.1.2 Ownership of assets

Karena data rekaman CCTV yang dihasilkan perusahaan harus di

pertanggungjawa bkan oleh satu bagian khusus dalam organisasi, agar kerahasiaan, integritas dan ketersediaan informasi tersebut dapat terjaga.

Apakah setiap aset yang ada sudah ditetapkan

penanggungjawabnya

?

Penanggungjawabn ya adalah Manajer operasional bertanggungjawab pada CMDB dan manager

konfigurasi bertanggungjawab untuk keseluruhan dari CMDB.

YES

17 A.7.1.3 Acceptable use of assets

Karena suatu aset perusahaan harus dijaga dengan memberikan peraturan penggunaan teknologi informasi tersebut.

Apakah peraturan mengenai penggunaan aset teknologi

informasi di dalam perusahaan sudah ditetapkan oleh penggunanya?

Sudah terdapat pada dokumen role and responsibility yg merupakan bagian dari dokumen rencana penyusunan layanan serta SOP untuk panduan cara

penggunaannya.

YES

18 A.7.2.1 Classification guidelines

Karena setiap data rekaman CCTV yang ada di dalam

perusahaan harus dilindungi

Apakah data rekaman CCTV sudah

diklasifikasi?

(berdasarkan

kerahasiaan informasi,

Tidak ada tingkat kerahasiaan untuk setiap data rekaman CCTV , semua dinyatakan sama

Non Applicable

(26)

19 A.7.2.2

Information labelling and

handling

Karena setiap data rekaman CCTV harus ditangani sesuai dengan

klasifikasi yang sudah dilakukan sebelumnya.

Apakah Penanganan informasi data

rekaman CCTV sudah ditetapkan sesuai dengan klasifikasi informasinya?

Tidak adanya tingkat kerahasiaan untuk setiap data rekaman CCTV , maka penanganan data rekaman CCTV tidak

dibedakan.

20 A.8.1.2 Screening

Untuk memastikan bahwa setiap calon karyawan diberikan tugas dan tanggung jawab sesuai dengan keahlian dan bidangnya

Apakah telah

dilakukan penyaringan terhadap setiap calon karyawan yang akan direkrut oleh

perusahaan?

Sudah dilakukannya penyaringan terhadap calon karyawan.

Ada 3 tahap penyaringan calon karyawan, yaitu tes tertulis, interview oleh user

(Operating Manager), dan interview oleh

Human Resource.

YES

21 A.8.1.3

Terms and conditions of

employment

Untuk memastikan bahwa setiap calon karyawan telah menyetujui dan

menandatangani syarat serta kondisi kontrak kerja mereka

Apakah terdapat suatu perjanjian ikatan kerja terhadap calon

karyawan? (contoh : NDA (Non-Disclosure Agreement) )

Terdapat perjanjian ikatan kerja

karyawan berupa dokumen NDA (Non-Disclosure Agreement).

Karyawan baru akan

menandatangani NDA setelah melewati 3 tahap penyaringan calon karyawan.

YES

22 A.8.2.1

Management responsibilitie

s

Untuk memastikan bahwa

manajemen telah mewajibkan karyawan untuk mematuhi kebijakan dan prosedur keamanan informasi pada proyek CCTV

Apakah sudah terdapat kebijakan yang mengatur karyawan untuk memelihara keamanan data rekaman CCTV pada proyek CCTV yang dijalankan?

Belum ada kebijakan dan prosedur dalam mengatur setiap karyawan untuk memelihara keamanan data rekaman CCTV yang buat oleh pihak manajemen PT. Astra Graphia Information

Technology.

√

YES

23 A.8.2.2

Information security awareness, education and

training

Untuk memastikan bahwa

perusahaan dan pihak manajemen telah

memberikan pengetahuan mengenai keamanan informasi, pendidikan dan pelatihan sesuai dengan kebijakan perusahaan.

Apakah sudah ada kesadaran terhadap keamanan informasi dalam berbagai bentuk didalam perusahaan?

(training, poster,e- Learning, presentasi, dsb)

Tidak ada

kebijakan mengenai keamanan data rekaman CCTV.

Operating Manager memberikan pengetahuan mengenai

keamanan terhadap data rekaman CCTV kepada karyawan pada saat project meeting saja.

√

NO

24 A.8.2.3 Disciplinary process

Untuk memberikan sanksi kepada setiap karyawan agar karyawan dapat menjaga keamanan informasi dan menaati proses disiplin di dalam perusahaan.

Apakah pelanggaran terhadap keamanan informasi sudah diberitahukan kepada karyawan dan juga sudah ditetapkan sanksi-sanksinya?

HRD telah melakukan

sosisalisasi kepada karyawan mengenai sanksi-sanksi pelanggaran pada saat

penandatanganan NDA. Sanksi yaitu SP 1, SP 2 dan SP 3 (pemecatan) yang sudah tertulis di

HRD.

YES

(27)

25 A.8.3.1

Termination responsibilitie

s

Untuk memastikan bahwa terdapat prosedur yang jelas untuk menangani pemutusan atau perubahan hubungan kerja.

Apakah tanggung jawab terhadap prosedur pemutusan atau perubahan hubungan kerja sudah jelas dan

terdokumentasi?

Terdapat prosedur pemutusan atau perubahan hubungan kerja Operating Manager akan mengajukan Form Perubahan Status Kerja kepada HRD terkait dengan karyawan yang ingin melakukan pemutusan hubungan kerja.

HRD akan

memberikan Form Exit Clearance (FEC) kepada karyawan yang ingin melakukan pemutusan

hubungan kerja dan karyawan akan mengisi form tersebut, kemudian mengembalikan form tersebut kepada HRD untuk

ditindak lanjuti.

YES

26 A.8.3.2 Return of assets

Untuk menjaga aset-aset

perusahaan yang harus

dikembalikan setelah kontrak atau kesepakatan sudah habis jangka waktunya.

Apakah ada

“checklist” terhadap aset-aset perusahaan yang harus di kembalikan oleh karyawan sesuai dengan kontrak atau kesepakatan pada saat pemutusan hubungan kerja? (kamera CCTV, switch/router, cable, dsb)

Sudah ada pendataan

mengenai aset-aset yang digunakan oleh setiap karyawan . CAR (Company Asset Request) merupakan database yang dibuat oleh Tim Aset yang memuat tentang aset-aset perusahaan yang digunakan oleh setiap karyawan.

Apabila terjadi pemutusan hubungan kerja, HRD akan memberikan FEC yang telah diisi oleh karyawan kepada Tim Aset untuk disesuaikan dengan database CAR sehingga dapat dilakukan

pembaharuan data pada database

CAR.

YES

27 A.8.3.3 Removal of access rights

Untuk memastikan bahwa karyawan yang sudah tidak terkait dengan perusahaan tidak dapat mengakses informasi dan fasilitas pengolahan informasi perusahaan.

Apakah prosedur penghapusan hak akses karyawan sudah diberlakukan ketika suatu karyawan sudah tidak bekerja lagi atau masa kontrak kerja sudah jatuh tempo?

Sudah ada prosedur mengenai

penghapusan hak akses

Prosedur

penghapusan hak akses tertera pada FEC yang diberikan HRD kepada karyawan yang akan melakukan pemutusan hubungan kerja.

YES

(28)

28 A.9.1.1

Physical security perimeter

Untuk

melindungi area- area yang memiliki akses ke data rekaman CCTV.

Apakah perlindungan secara fisik (ruangan, pintu, dsb) sudah diterapkan pada area- area yang digunakan untuk pengolahan data rekaman CCTV?

Sudah ada

perlindungan fisik pada area-area operasional

pemantauan CCTV dan penyimpanan data rekaman CCTV.

Ruang pemantauan dan penyimpanan dibuat terpisah.

Pada setiap pintu telah terpasang alat proximity access cards, terdapat kamera CCTV, terdapat alat-alat perlindungan.

bencana (i.e fire extinguisher, fire alarm, dsb.), rak- rak server yang dapat dikunci, satpam, dan security organic untuk ruang data

center.

YES

29 A.9.1.2 Physical entry controls

Untuk memastikan keamanan area- area yang memiliki akses ke data rekaman dengan

menerapkan pengendalian akses pada setiap pegawai yang bertugas.

Apakah terdapat alat untuk pengendalian akses (i.e. finger print, card tapping) pada area-area yang

memiliki akses ke data rekaman CCTV sehingga hanya dapat diakses oleh pegawai yang memiliki wewenang?

Sudah melakukan pengendalian akses masuk ke ruang pemantauan CCTV dan penyimpanan data rekaman CCTV.

Pada setiap pintu telah terpasang alat proximity access card dan terdapat kamera CCTV.

Setiap kartu sudah di setting sesuai dengan kebutuhan dalam mengakses ruangan.

YES

30 A.9.1.3

Securing offices, rooms

and facilities

Untuk memastikan keamanan ruang dan fasilitas pegawai dari berbagai gangguan.

Apakah ruang dan fasilitas para pegawai sudah terlindungi secara fisik dari customer/tamu?

Sudah ada perlindungan terhadap keamanan area kerja para karyawan.

Perlindungan fisik yang diterapkan sudah disebutkan

pada A.9.1.1.

YES

31 A.9.1.4

Protecting against external and environmental

threats

Untuk memastikan ketersediaan dan keandalan peralatan perlindungan bencana memenuhi kebutuhan akan keamanan.

Apakah ketersediaan peralatan

perlindungan bencana (i.e. fire alarm, fire extinguisher, smoke detector, hydran) sudah memenuhi kebutuhan keamanan pada area-area yang memiliki akses ke data rekaman CCTV?

Sudah dilakukan perlindungan terhadap bencana alam yang mungkin terjadi.

Terdapat alat-alat perlindungan bencana alam (i.e fire extinguisher, fire alarm, smoke detector, hydran) pada area-area operasional

pemantauan CCTV dan penyimpanan data rekaman

CCTV.

YES

(29)

32 A.9.1.5 Working in secure areas

Untuk memastikan bahwa setiap pegawai dapat secara mandiri melindungi diri dari risiko dan ancaman dalam area kerja.

Apakah pedoman tertulis untuk perlindungan secara fisik (i.e. cara menggunakan fire extinguisher) pada area kerja sudah diterapkan?

Sudah ada pelatihan perlindungan secara mandiri yang diberikan kepada setiap karyawan.

Setiap 3 bulan sekali, pihak gedung memberikan simulasi bencana alam kepada seluruh penghuni

gedung.

YES

33 A.9.1.6

Public access delivery and loading areas

Untuk

meminimalisir risiko (i.e. akses ilegal) yang dapat terjadi pada area- area yang harus terjaga

keamanannya.

Apakah area-area yang memiliki akses ke data rekaman CCTV sudah terlindungi dengan alat pengendalian akses (i.e. finger print, card tapping) yang memadai?

Sudah ada

perlindungan secara fisik pada area-area proses operasional proyek CCTV.

Mengacu pada A.9.1.1 yang telah menyebutkan perlindungan yang sudah diterapkan.

YES

34 A.9.2.1

Equipment sitting and protection

Untuk

memastikan tata letak dari peralatan untuk pengolahan data rekaman CCTV sudah benar dan aman.

Apakah peralatan yang digunakan untuk pengolahan data rekaman CCTV (i.e.

komputer/server) sudah diletakkan dengan benar dan aman sehingga mengurangi terjadinya risiko?

Sudah

menempatkan peralatan yang digunakan dalam proses operasional proyek CCTV secara aman.

Penempatan server pada rak-rak yang tersedia dengan mempertimbangkan kapasistas dan jarak dari setiap server.

YES

35 A.9.2.2 Supporting utilities

Untuk menghindari terjadinya risiko dan ancaman pada operasional CCTV.

Apakah dilakukan otorisasi untuk setiap pegawai yang akan mengakses area-area yang memiliki akses ke data rekaman CCTV?

Perlindungan terhadap peralatan sudah diterapkan.

Adanya database CAR dan dokumen Rencana

Penyusunan layanan yang memuat keterangan peran dan tanggung jawab serta SOP untuk penggunaan aset IT.

YES

36 A.9.2.3 Cabling security

Untuk melindungi kabel-kabel yang digunakan pada CCTV sehingga terlindungi keamanannya dan terhindar dari risiko.

Apakah penempatan kabel-kabel yang digunakan untuk CCTV sudah tertata dengan baik?

Penempatan kabel sudah ditentukan dengan baik.

Kabel-kabel pada server diletakkan pada jalur yang sudah dibuat.

Kabel-kabel pada ruang monitoring ditata

menggunakan cable duct.

YES

(30)

37 A.9.2.4 Equipment Maintenance

Untuk memastikan ketersediaan dan keutuhan

perangkat CCTV yang digunakan secara

berkelanjutan.

Apakah pemeliharaan perangkat CCTV dilakukan secara rutin dan terdokumentasi dengan baik?

a. Pemeliharaan dilakukan dengan incidental yaitu hanya pada saat gangguan atau kerusakan terjadi.

b. Dokumentasi dilakukan secara otomatis, tetapi pada gangguan atau kerusakan berulang di dokumentasi secara manual

YES

38 A.9.2.5

Securing of equipment off-

premises

Untuk memastikan keamanan peralatan yang berada di luar area kerja sehingga

kualitasnya tetap baik untuk digunakan.

Apakah terdapat prosedur keamanan yang dirancang untuk peralatan yang berada di luar area kerja?

Tidak ada peralatan yang digunakan diluar area kerja terkait dengan keberadaan data rekaman CCTV.

39 A.9.2.6

Secure disposal or re-

use of equipment

Untuk memastikan perangkat CCTV yang akan diganti sudah tidak menyimpan data rekaman CCTV sehingga tidak dapat di akses oleh pihak lain.

Apakah penggantian perangkat CCTV yang rusak telah dilakukan secara aman dengan memastikan bahwa data yang tersimpan di dalamnya tidak dapat diakses oleh pihak lain?

Sudah ada pengamanan terhadap data rekaman CCTV pada perangkat CCTV.

Melakukan penyimpanan dan back-up data rekaman CCTV.

Merubah format data rekaman ke format khusus

H264.

YES

40 A.9.2.7 Removal of property

Untuk memastikan bahwa setiap perangkat CCTV yang akan diganti sudah memiliki persetujuan untuk diganti dan dipindahkan ke gudang.

Apakah petugas yang melakukan

penggantian perangkat CCTV yang rusak membawa surat tugas atau bukti yang menjelaskan bahwa petugas tersebut mendapatkan wewenang untuk melakukan

penggantian perangkat CCTV?

Ya, Teknisi harus membawa surat tugas untuk melakukan penarikan atau penggantian perangkat CCTV.

Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) ketika penarikan atau penggantian perangkat CCTV telah selesai

dilakukan.

YES

41 A.10.1.1

Documented Operating procedures

Untuk memastikan kegiatan operasional CCTV

terdokumentasi dengan baik sehingga hasil dokumentasi dapat digunakan untuk

pengambilan keputusan oleh Opearating Manager.

Apakah setiap pengolahan data rekaman CCTV terdokumentasi dengan baik sehingga hasilnya dapat dikomunikasikan kepada pihak yang membutuhkan (i.e.

manager, customer)?

Ya, proses operasional terdokumentasi dengan baik.

Hasil rekaman CCTV di simpan pada NVR server.

Hasil rekaman CCTV dienkripsi ke dalam format khusus H264.

YES

(31)

42 A.10.1.2 Change Management

Untuk

mengendalikan setiap perubahan manajemen yang terjadi agar tidak keluar dari jalur yang telah ditentukan.

Apakah perubahan terhadap fasilitas dan sistem pada CCTV telah dilakukan sesuai dengan prosedur yang ada?

Terdapat prosedur Change Request untuk menangani perubahan manajemen yang terjadi.

YES

43 A.10.1.3 Segregation of duties

Untuk

meminimalkan risiko

penyalahgunaan wewenang oleh pegawai dalam memenuhi kepentingan pribadi.

Apakah pembagian tugas dan tanggung jawab sudah dijelaskan dengan baik kepada setiap pegawai sehingga tidak terjadi penyalahgunaan wewenang ke aset perusahaan yang terkait dengan CCTV?

Terdapat dokumen Rencana

Penyusunan Layanan yang berisi Deskripsi Tanggungjawab dan Wewewang Tim Penyusunan Layanan. Dokumen tersebut memisahan tugas masing- masing karyawan dengan jelas dan sudah ditetapkan

pada proyek CCTV.

YES

44 A.10.1.4

Separation of development,

test and operational

facilities

Untuk

meminimalkan risiko pekerjaan dengan

memisahkan setiap kegiatan proses yang akan dilakukan.

Apakah dalam melakukan pengembangan, pengujian, dan operasional CCTV terdapat pemisahan lingkungan dari masing-masing kegiatan tersebut?

Sudah terdapat pemisahan lingkungan pada pengembangan, pengujian, dan operasional fasilitas proyek CCTV.

YES

45 A.10.2.1 Service delivery

Untuk memastikan bahwa pihak ketiga telah memberikan pelayanan terhadap

pemeliharaan dan perbaikan

kendala cctv dengan baik dan sesuai dengan kesepakatan yang dibuat

Apakah layanan terhadap pemeliharaan dan perbaikan cctv yang dilakukan oleh Teknisi telah sesuai dengan kesepakatan yang dibuat?

Sudah ada

dokumen Scope of Work yang menjelaskan lingkup kerja dari masing-masing divisi dalam proyek CCTV.

YES

46 A.10.2.2

Monitoring and review of

third party services

Untuk memastikan bahwa layanan yang diberikan oleh pihak ketiga telah diawasi dan dibahas secara teratur

Apakah telah

dilakukan peninjauan terhadap layanan yang diberikan oleh teknisi bedasarkan laporan bulanan?

Sudah dilakukan peninjauan terhadap layanan dari pihak ketiga.

Terdapat review meeting yang dilakukan setiap 3 bulan.

Terdapat incidental meeting apabila

terjadi insiden .

YES

47 A.10.2.3

Managing changes to third party services

Untuk memastikan bahwa setiap mekanisme perubahan yang dilakukan oleh pihak ketiga telah berdasarkan pada ketentuan yang disepakati

Apakah terdapat ketentuan yang mengharuskan teknisi untuk melaporkan segala mekanisme perubahan kepada manajemen operasional ? (i.e.

perubahan layanan dari teknisi, perubahan organisasi teknisi, perubahan kebijakan, dsb.)

Ya, sudah ada ketentuan apabila terjadi perubahan yang dilakukan oleh teknisi.

Teknisi menghubungi bagian OMC, membuat tiket ke sistem Helpdesk, dan mengisi laporan pada

BAKT.

YES

(32)

48 A.10.3.1 Capacity Management

Untuk memastikan performa dari infrastruktur pengolahan data rekaman CCTV yang digunakan.

Apakah kapasitas dari infrastruktur

pengolahan data rekaman CCTV (i.e.

server, network, perangkat lunak, dsb) telah direncanakan?

Sudah ada pengelolaan mengenai kapasitas infrastruktur yang dibutuhkan dalam proyek CCTV.

Terdapat Capacity Planning yang dilakukan sebelum proyek dimulai.

Terdapat Capacity Monitoring yang dilakukan pada saat

proyek berjalan.

YES

49 A.10.3.2 System acceptance

Untuk memastikan perencanaan penerimaan sistem baru telah dirancang dan diterapkan dengan baik sehingga tidak menggannggu operasional CCTV.

Apakah mekanisme penerimaan sistem baru pada proyek operasional CCTV telah direncanakan?

Belum ada perencanaan mengenai mekanisme penerimaan sistem yang baru karena OS yang digunakan masih baru dan telah sesuai tujuan.

YES

50 A.10.4.1

Controls against malicious

code

Untuk memastikan bahwa terdapat perlindungan terhadap malicious code telah

diimplementasikn

Apakah telah dilakukan pendeteksian, pencegahan dan pemulihan terhadap aplikasi operasional cctv (Sistem

Helpdesk, Monitoring CCTV) terhadap malicous code?

(contoh dengan mengklik sesuatu dapat menyebabkan kerusakan pada aplikasi)

Ya, sudah ada perlindungan terhadap kode berbahaya.

Pendeteksian dan pencegahan menggunakan anti virus.

Metode

penghapusan dan pemulihan tergantung pada kode berbahaya yang dihadapi.

YES

51 A.10.4.2

Controls against mobile

code

Untuk memastikan bahwa pengendalian terhadap kode yang dapat ditransmisikan telah disahkan untuk melindungi perangkat lunak dan data hasil rekaman cctv

Apakah telah dilakukan

pengendalian/aturan terkait penggunaan mobile code pada saat user ingin mengakses data rekaman dan dokumenoperasional cctv? (i.e.

pengendalian terhadap active-X & Java- Script pada internet browser, Ms.Office Macro, dsb.)?

Tidak ada kontrol atau aturan yang memuat tentang penggunaan mobile code.

Pengiriman video hasil rekaman CCTV dilakukan dengan

menggunakan media Flash Disk sebagai

perantaranya.

52 A.10.5.1 Information backup

Untuk memastikan bahwa back-up data rekaman dilakukan sesuai dengan kebijakan sehingga

integritas dan ketersediaan data rekaman CCTV serta perangkat CCTV tetap terjaga.

Apakah back-up data rekaman CCTV yang dilakukan telah sesuai dengan kebijakan yang disepakati dan akan melalui proses pengujian untuk memastikan keakuratan dan keandalan data rekaman sebagai hasil dari operasional CCTV?

Ya, sudah

dilakukannya back- up data rekaman CCTV.

Dilakukan back-up data rekaman pada NVR setiap 6 bulan sekali.

Data rekaman yang tersimpan pada NVR akan dipindahkan ke NAS untuk

perpanjangan waktu penyimpanan selama 1-2 bulan.

d. Pada bulan ke-8 akan dilakukan penghapusan data rekaman CCTV

YES

(33)

53 A.10.6.1 Network Controls

Untuk melindungi pengelolaan data rekaman CCTV yang

menggunakan jaringan (i.e.

pertukaran informasi rekaman CCTV) dari risiko.

Apakah pada jaringan yang digunakan sudah dilakukan

perlindungan yang baik?

Sudah ada perlindungan terhadap jaringan.

Proyek CCTV menggunakan jaringan VPN IP untuk menjaga kemanan data pada saat dilakukan transmisi data.

YES

54 A.10.6.2

Security of network services

Untuk

mengidentifikasi keamanan jaringan yang digunakan sehingga mengetahui seberapa aman jaringan tersebut untuk operasional CCTV.

Apakah kebijakan keamanan jaringan terkait dengan operasional CCTV telah diterapkan dengan baik sehingga memenuhi kebutuhan keamanan terhadap jaringan?

Kebijakan

keamanan jaringan hanya dimiliki oleh penyedia layanan jaringan

55 A.10.7.1

Management of removable

media

Untuk memastikan prosedur penggantian perangkat CCTV telah

dilaksanakan dengan benar.

Apakah terdapat prosedur untuk penggunaan media penyimpanan yang dapat berpindah tempat? (ie : usb, disket, hardware external)

Tidak ada prosedur secara tertulis mengenai media penyimpanan yang dapat berpindah tempat. Namun media penyimpanan tersebut telah digunakan di dalam operasional proyek CCTV.

√

NO

56 A.10.7.2 Disposal of Media

Untuk memastikan sudah tidak ada data yang tersimpan dalam perangkat CCTV yang akan diganti sehingga pihak lain tidak dapat mengakses data tersebut.

Apakah petugas selalu memeriksa keadaan perangkat CCTV yang rusak (memastikan data yang tersimpan pada perangkat tersebut sudah tidak dapat di akses) terlebih dahulu sebelum dilakukannya penggantian perangkat CCTV yang baru?

Ya, sudah ada pemeriksaaan yang dilakukan pada saat melakukan

penarikan atau penggantian perangkat CCTV.

Annex ini mengacu pada A.9.2.6.

YES

57 A.10.7.3

Information handling procedures

Untuk melindungi penyingkapan atau penggunaan ilegal atas data rekaman CCTV.

Apakah terdapat prosedur untuk pengolahan data rekaman CCTV?

Tidak ada prosedur secara tertulis yang memuat tentang pengolahan data rekaman CCTV namun secara teknis sudah dilakukan.

√

NO

58 A.10.7.4

Security of system documentation

Untuk melindungi dokumentasi sistem dari akses ilegal.

Apakah sudah ada tools untuk menangani dokumentasi terhadap sistem?

Sudah ada tools yang

mendokumentasi sistem pada proyek CCTV.

Terdapat Event Viewer pada server.

Terdapat Firmware

pada kamera.

YES

59 A.10.8.1

Information exchange policies and

procedures

Untuk melindungi pertukaran informasi dari gangguan- gangguan yang merugikan.

Apakah terdapat ketentuan untuk melakukan pertukaran informasi terkait proyek pemasangan CCTV melalui segala jenis media

Tidak ada

kebijakan ataupun prosedur yang menyatakan tentang pertukaran infornasi pada proyek CCTV.

Pertukaran informasi yang dilakukan

√ YES

(34)

60 A.10.8.2 Exchange Agreements

Untuk memberikan kenyamanan bagi kedua belah pihak dalam melakukan pertukaran informasi.

Apakah sudah ada perjanjian pertukaran informasi yang telah disepakati terkait dengan proyek pemasangan CCTV?

Ya, sudah ada kesepakatan yang dibuat terkait dengan pertukaran informasi yang dilakukan oleh perusahaan dengan pihak Bank XYZ.

Kesepakatan terdapat di dalam kontrak yang telah disetujui oleh kedua belah pihak.

YES

61 A.10.8.3

Physical media in transit

Untuk melindungi informasi dalam media

komunikasi dari akses ilegal penyalahgunaan informasi.

Apakah media yang digunakan untuk melakukan pertukaran informasi telah terjamin dari akses ilegal,

penyalahgunaan atau perubahan selama perjalanan di luar batas fisik proyek?

Flash Disk yang digunakan untuk pengiriman data rekaman CCTV belum terlindungi dengan aman karena

memungkinkan terjadinya akses ilegal,

penyalahgunaan dan perubahan pada data rekaman CCTV.

√

NO

62 A.10.8.4 Electronic messaging

Untuk memastikan keutuhan dan keakuratan informasi tetap terjaga dan terhindar dari risiko.

Apakah pertukaran informasi melalui pesan elektronik (i.e.

e-mail, instant messanger ) memiliki suatu ketentuan (i.e.

merubah bentuk file menjadi pdf sebelum di distribusikan via e- mail/messanger) yang dapat menjamin keamanan terhadap informasi tersebut?

Tidak ada

kesepakatan untuk melakukan pertukaran informasi data rekaman CCTV melalui e-mail atau instant messenger karena data rekaman CCTV terlalu besar untuk dikirimkan melalui e-mail atau instant

messenger.

63 A.10.8.5

Business Information

systems

Untuk menjaga integritas dan keakuratan informasi selama pertukaran informasi berlangsung.

Apakah sudah

ditentukan mekanisme proteksi terhadap keamanan informasi apabila melakukan pertukaran informasi kepada pihak luar melalui suatu business information system (i.e. portal informasi, dsb.)?

Tidak ada prosedur ataupun kebijakan mengenai

perlindungan keamanan data rekaman CCTV pada saat dilakukannya pertukaran data.

Hanya berdasarkan kesepakatan saja.

√

NO

64 A.10.9.1 Electronic commerce

Untuk melindungi informasi dalam e-commerce dari risiko (i.e.

pencurian informasi, perubahan informasi ilegal, dsb.)

Apakah e-commerce diterapkan dalam proyek pemasangan CCTV?

Tidak menerapkan e-commerce pada proyek CCTV yang dijalankan.

65 A.10.9.2 On-line transactions

Untuk melindungi informasi dalam transaksi online dari risiko (i.e.

salah kirim, perubahan informasi ilegal, dsb.)

Apakah terdapat transaksi online yang dilakukan terkait proyek pemasangan CCTV?

Tidak ada transaksi online yang

dilakukan pada prpyek CCTV.

Mengacu pada A.10.9.1.

(35)

66 A.10.9.3

Publicly available information

Untuk mencegah terjadinya akses ilegal pada informasi yang dipublikasikan secara umum.

Apakah informasi yang dipublikasikan secara umum telah diproteksi sehingga keamanan informasi tetap terjaga dari pihak yang ingin melakukan penyalahgunaan informasi tersebut?

Tidak

mempublikasikan data rekaman secara umum.

Annex ini mengacu pada A.10.9.1.

67 A.10.10.

1 Audit Logging

Untuk

memastikan audit yang dilakukan terkait

operasional CCTV tercatat dalam

pembukuan audit.

Apakah terdapat ketentuan terhadap pembukuan audit terkait operasional CCTV sehingga hasilnya berguna dan dapat digunakan kembali sewaktu- waktu oleh pihak yang membutuhkan?

Ya, sudah ada pembukuan audit yang dilakukan terkait dengan hasil temuan audit ISO 20000.

Hasil temuan audit disimpan oleh Business Planning and Quality Management dan dilaporkan kepada

Direktur.

YES

68 A.10.10.

2

Monitoring system use

Untuk menetapkan sistem informasi yang digunakan pada operasional CCTV ditinjau dan dimonitor secara rutin.

Apakah penggunaan sistem informasi terkait operasional CCTV dimonitor dan ditinjau secara rutin serta terdokumentasi dengan baik?

Sudah dilakukannya penijauan terhadap sistem yang digunakan pada proyek CCTV.

Menggunakan NMS (Network Monitoring System) untuk meninjau sistem pada kegiatan operasional

pemantauan CCTV.

YES

69 A.10.10.

3

Protection of log information

Untuk melindungi fasilitas dan informasi pembukuan dari risiko.

Apakah semua kegiatan pembukuan yang dilakukan telah di back-up dan

didokumentasi dengan baik sehingga

terhindar dari risiko (i.e. penghapusan data pembukuan, pencurian data pembukuan)?

Dokumentasi terhadap hasil termuan audit disimpan oleh bagian Business Planning and Quality

Management yang di luar ruang lingkup operasional

CCTV.

70 A.10.10.

4

Administrator and operator

log

Untuk memastikan bahwa seluruh kegiatan

operasional cctv telah tercatat pada sistem secara otomatis

Apakah kegiatan pada sistem administator dan sistem operator pada operasional cctv telah dicatat di dalam sistem secara

otomatis? (contoh terdapat log atau history tentang kegiatan yang dilakukan oleh user)

Sudah ada

pencatatan kegiatan sistem administaor dan sistem operator.

Dapat dilihat Log yang mencatat segala kegiatan yang dilakukan pada Event Viewer.

YES

71 A.10.10.

5 Fault logging

Untuk memudahkan penentuan sikap/tindakan dalam

menghadapi kesalahan- kesalahan yang timbul selama proyek pemasangan CCTV dijalankan.

Apakah semua kesalahan yang terjadi selama operasional CCTV berlangsung tercatat dalam pembukuan?

Ya, semua kesalahan akan tercatat di Log yang ada pada Event Viewer.

YES

(36)

72 A.10.10.

6

Clock Synchronizati

on

Untuk

menyelaraskan waktu pada semua kegiatan, sistem,

perangkat, dsb.

pada satu sumber waktu yang disepakati.

Apakah waktu pada semua sistem informasi yang digunakan untuk operasional CCTV telah disinkronisasi dengan sumber waktu yang akurat?

Sudah ada

penyelarasan waktu pada sistem yang digunakan untuk proses operasional proyek CCTV.

Menggunakan NTP (Network Time

Protocol).

YES

73 A.11.1.1 Access control policy

Untuk mengetahui kebijakan pengendalian akses di dalam proyek

pemasangan CCTV.

Apakah pengendalian akses pada proyek pemasangan CCTV telah ditetapkan dan diimplementasikan?

PT. AGIT tidak memiliki kebijakan untuk

mengendalikan akses pada

operasional CCTV, namun

pengendalian akses telah dijalankan secara teknis di dalam proyek pemasangan CCTV.

√

NO

74 A.11.2.1 User registration

Untuk memastikan adanya prosedur registrasi dan deregistrasi serta untuk mencegah akses ilegal yang dapat merugikan perusahaan.

Apakah terdapat prosedur dan regristrasi pengguna secara formal untuk mengakses sistem informasi CCTV?

Tidak ada prosedur dan administrasi secara formal yang terkait dengan registrasi untuk mengakses sistem informasi

pemantauan CCTV tersebut karena tidak ada pihak luar yang diberikan akses ke sistem informasi CCTV namun hanya internal proyek

CCTV saja.

√

NO

75 A.11.2.2 Privilege management

Untuk

mengetahui hak istimewa dari setiap karyawan di perusahaan.

Apakah telah dilakukannya manajemen hak istimewa untuk setiap karyawan atau pengguna sistem informasi di dalam organisasi?

Pemberian hak istimewa tidak berlaku dalam proyek pemasangan CCTV.

76 A.11.2.3

User password management

Untuk

mengalokasikan kata sandi setiap pengguna sistem informasi dan harus melalui proses manajemen formal.

Apakah terdapat ketentuan terhadap penggunaan kata sandi?

Penggunaan kata sandi sudah dilakukan dan sudah terdapat kriterianya (8 digit, huruf A-a, angka, dan tanda baca).

YES

77 A.11.2.4 Review of user access rights

Untuk mengetahui apakah hak akses tersebut

digunakan secara bertanggung jawab dan benar.

Apakah hak akses pengguna tersebut dilakukan review secara rutin?

Tidak adanya review secara rutin terhadap hak akses.

√ YES

78 A.11.3.1 Password use

Untuk

mengetahui kata sandi yang digunakan aman dan sudah sesuai dengan ketentuan kriteria

penggunaan kata sandi tersebut

Apakah penggunaan kata sandi yang digunakan karyawan atau pengguna dipantau?

sudah terdapat sistem yang memantau kesesuaian kata sandi terhadap kriteria yang sudah ada.

YES

(37)

79 A.11.3.2

Unattended user equipment

Untuk menjaga aset, aplikasi, dan sistem informasi yang berisi semua data rekaman CCTV.

Apakah telah dilakukannya pencegahan agar karyawan atau pengguna yang tidak dapat berhak

mengakses ke sistem informasi tertentu?

PT. AGIT sudah melakukan

pencegahan dengan cara pengamanan fisik (ruangan yang terpisah, harus tapping dan memasukkan kata sandi karyawan pada saat ingin memasuki ruangan tertentu) dan juga pemakaian jaringan V-LAN yang dapat menjaga

kerahasiaan sistem informasi PT.

AGIT tersebut.

YES

80 A.11.3.3

Clear desk and clear screen policy

Untuk memastikan bahwa clear screen dan desk policy telah ditetapkan pada kegiatan

operasional cctv

Apakah telah ditetapkan kebijakan dan

diimplementasikan mengenai clear screen dan desk policy?

(contoh : desktop harus tersusun dengan rapi dan meja kerja harus bersih dari dokumen-dokumen)

PT. AGIT belum menggunakan kebijakan dan pengimplementasia n mengenai clear screen dan desk policy.

√

NO

81 A.11.4.1

Policy on use of network

services

Untuk mencegah akses karyawan atau pengguna yang ilegal terhadap layanan jaringan yang berada di perusahaan.

Apakah sudah ditentukannya kebijakan yang mengatur mengenai untuk siapa

penggunaan layanan jaringan dan untuk keperluan apa saja?

Tidak terdapat kebijakan mengenai penggunaan

layanan jaringan walaupun layanan jaringan hanya untuk internal organisasi saja.

√

NO

82 A.11.4.2

User authentication

for external connections

Untuk mengetahui hubungan eksternal

terhadap jaringan yang ada

diperusahaan.

Apakah sudah dilakukan otentikasi terhadap hubungan eksternal terhadap jaringan perusahaan?

Hubungan ekternal dan jaringan perusahaan sudah terotentikasi dengan jaringan VPN IP.

YES

83 A.11.4.3

Equipment identification

in networks

Untuk mengetahui apakah equipment identification sudah sesuai dengan jaringannya.

Apakah equipment identification dalam jaringan sudah ditentukan dan sudah sesuai?

Equipment

identification tidak termasuk dengan ruang lingkup operasional CCTV, ruang lingkup ini untuk penyedia

layanan jaringan.

84 A.11.4.4

Remote diagnostic and

configuration port protection

Untuk melindungi kamera CCTV, switch/router dan pusat dari monitoring hasil data rekaman CCTV.

Apakah telah dilakukannya

pengendalian terhadap port atau jaringan yang dapat menghubungkan kamera CCTV dengan pusat monitoring?

Pengendalian terhadap port atau jaringan yang dapat menghubungkan kamera CCTV dengan pusat monitoring sudah

ada.

YES

85 A.11.4.5 Segregation in networks

Agar seluruh aktivitas yang dilakukan di dalam sebuah jaringan dapat dipidahkan dapat dilihat jelas pembagiannya

Apakah telah dilakukannya pembagian jaringan?

PT. AGIT telah melakukan

pembagian jaringan yang akan

digunakan pada setiap karyawan, walaupun terdapat pada satu switch

tetapi beda V-LAN.

YES

86 A.11.4.6

Network connection

Untuk membatasi penggunaan terhadap koneksi

Apakah telah dilakukannya

pengendalian terhadap

PT. AGIT sudah melakukan pengendalian terhadap koneksi

YES

(38)

87 A.11.4.7

Network routing control

Untuk

mengetahui arus koneksi dengan informasi komputer terhadap kamera CCTV dan monitoring tidak melanggar kebijakan pengendalian pengaksesan pada aplikasi.

Apakah pengendalian terhadap pengiriman jaringan telah

dilakukan?(penggunaa n network router)

Pengendalian terhadap

penggunaan router tersebut bukan ruang lingkup dari operasional tetapi ruang lingkup dari penyedia layanan jaringan.

88 A.11.5.1 Secure log-on procedures

Untuk mencegah akses ilegal terhadap OS yang sedang

digunakan dalam fasilitas

pengolahan data rekaman CCTV di dalam proyek pemasangan CCTV.

Apakah secure log on procedure telah diterapkan untuk masuk ke OS di dalam proyek pemasangan CCTV?

Prosedur secure log-on telah diterapkan untuk masuk ke OS di dalam fasilitas pengolahan data rekaman CCTV, namun prosedur tersebut tidak tertulis.

√

YES

89 A.11.5.2

User identification

and authentication

Untuk menjaga dan

mengidentifikasi karyawan atau pengguna dalam pengaksesan yang akan dilakukan dalam perusahaan.

Apakah dalam mengakses OS setiap karyawan atau pengguna telah memiliki ID masing- masing?

Dalam mengakses OS server dan aplikasi setiap karyawan atau pengguna tidak memiliki ID masing-masing, karena hanya satu orang yang bisa mengakses yaitu

sistem spesialis.

√ YES

90 A.11.5.3

Password management

system

Untuk memberikan ketentuan terhadap

penggunaan kata sandi agar lebih berkualitas.

Apakah sudah ada ketentuan mengenai kualitas kata sandi yang sudah diatur oleh sistem manajemen untuk melakukan pengaksesan terhadap OS?

Sudah terdapat sistem yang memantau kesesuaian kata sandi terhadap kriteria yang sudah ada. Annex ini mengacu pada

A.11.3.1

YES

91 A.11.5.4 Use of system utilities

Untuk mengetahui sejauh mana utilitas sistem di dalam OS dalam mencegah akses yang ilegal.

Apakah penggunaan program/tool yang dapat menghapus file- file sistem terhadap aplikasi dapat dikendalikan?

Sudah terdapat aplikasi NAS yang dapat dikendalikan untuk penghapusan data-data rekaman CCTV

YES

92 A.11.5.5 Session time- out

Untuk memastikan bahwa session time-out pada aplikasi

operasional cctv telah ditetapkan untuk mencegah akses ilegal terhadap sistem operasi cctv

Apakah session time- out pada aplikasi operasional cctv telah ditetapkan?

Session-time out pada aplikasi operasional CCTV yang digunakan dalam pemantauan CCTV telah diterapkan yaitu selama 5 menit dan kemudian karyawan harus log in ulang.

Terkecuali untuk

monitoring CCTV.

YES

93 A.11.5.6

Limitation of connection

time

Untuk

mempersempit waktu dalam melakukan koneksi, agar mencegah risiko yang mungkin saja dapat terjadi.

Apakah dalam melakukan koneksi terhadap OS terdapat pembatasan waktu aksesnya?

Tidak ada batas waktu pengaksesan pada aplikasi pemantauan CCTV karena aplikasi yang digunakan tidak memerlukan remote(layanan internet).

(39)

94 A.11.6.1

Information access restriction

Untuk mencegah akses ilegal terhadap informasi pada sistem aplikasi perusahaan.

Apakah telah dilakukannya pembatasan/proteksi terhadap pengaksesan informasi perusahaan/

data rekaman CCTV yang sudah sesuai dengan kebijakan pengendalian akses?

PT. AGIT telah melakukan

pembatasan/proteks i terhadap

pengaksesan data rekaman CCTV.

Tetapi tidak ada kebijakan

pengendalian akses secara tertulis.

√

YES

95 A.11.6.2

Sensitive system isolation

Karena setiap sistem sensitif dan harus memiliki lingkungan yang terisolasi, agar sistem dapat terlindung oleh pengaksesan yang tidak sah

Apakah terdapat suatu sistem yang harus dilakukannya isolasi?

PT. AGIT sudah melakukan isolasi terhadap sistem yang digunakan yaitu dengan menggunakan V- LAN yang tidak terkoneksi dengan jaringan lainnya.

YES

96 A.11.7.1

Mobile computing

and communicatio

ns

Untuk

menglindungi informasi perusahaan dari risiko

penggunaan terhadap fasilitas komunikasi.

Apakah ada kebijakan yang ditetapkan untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan?

PT. AGIT tidak ada kebijakan formal yang ditetapkan untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan maupun proyek pemasangan

CCTV.

97 A.11.7.2 Teleworking

Untuk memastikan penggunaan teleworking dalam melakukan pekerjaan dan melindunginya terhadap risiko yang mungkin terjadi.

Apakah sudah ditentukannya kebijakan dan prosedur mengenai teleworking?

PT. AGIT tidak menentukan kebijakan dan prosedur mengenai teleworking.

98 A.12.1.1

Security requirements

analysis and specification

Untuk menentukan kualitas dari penggunaan sistem infromasi yang baru dan agar sesuai dengan tujuan proyek

pemasangan cctv

Apakah sudah terdapat mengenai persyaratan keamanan dalam penggunaan aplikasi atau pengadaan

infrastruktur TI yang baru di dalam operasional pemantauan cctv?

Persyaratan keamanan mengenai data rekaman CCTV sudah dijalankan secara teknis di lingkungan kerja.

YES

99 A.12.2.1 Input data validation

Untuk memastikan pengaturan kamera cctv telah benar dan tepat pada saat instalasi.

Apakah terdapat proses pengaturan awal pada saat melakukan instalasi kamera cctv dan jaringan?

Terdapat dokumen CCTV

Configuration Design Checklist untuk melakukan instalasi kamera CCTV. Instalasi jaringan di luar ruang lingkup proyek karena dilakukan oleh pihak penyedia

layanan jaringan.

YES

100 A.12.2.2

Control of internal processing

Untuk memeriksa validasi data masukkan telah benar dan tepat dan mendeteksi segala bentuk perubahan informasi

Apakah terdapat proses yang

memeriksa validitas data masukkan pada saat melakukan instalasi kamera cctv dan jaringan?

setiap data rekaman yang ada sudah dilengkapi dengan Time Stamp untuk memastikan bahwa data yang ada sesuai dengan

waktu rekaman

YES