Jawab pertanyaan-pertanyaan dibawah ini dengan ketentuan sebagai
berikut :
1. Pertanyaan dengan pilihan jawaban a,b,c...dst pilih salah satu yang anda anggap sesuai dengan kondisi di kantor anda
2. Pertanyaan dengan pilihan jawaban I, II, III...dst pilih beberapa jawaban yang anda anggap sesuai dengan kondisi kantor anda
BUSINESS PROFILE
1. Berapa jumlah komputer dan laptop yang terhubung dengan jaringan kantor a. Kurang dari 50 b. 50 hingga 149 c. 150 hingga 299 d. 300 hingga 399 e. 400 hingga 500 f. Lebih dari 500
2. Berapa jumlah server di kantor a. Tidak ada
b. 1 hingga 5 c. 6 hingga 10 d. 11 hingga 25 e. Lebih dari 25
3. Apakah kantor terhubung dengan internet selama 24 jam a. Ya
b. tidak
4. Apakah pelanggan dan vendor mengakses dapat mengakses jaringan internal melalui internet a. Ya
b. tidak
5. Apakah kantor memiliki hosting internal untuk layanan portal atau website untuk pelanggan atau rekanan
a. Ya b. tidak
6. Apakah kantor memiliki layanan yang dapat digunakan bersama oleh karyawan, pelanggan dan rekanan dan diimplementasikan dalam segemen jaringan yang sama
a. Ya b. tidak
7. Apakah rekanan atau pelanggan dapat terhubung langsung dengan backend jaringan internal untuk membaca, pemuktahiran fungsi lain terhadap data
a. Ya b. tidak
8. Apakah basis data yang digunakan untuk mendukung aplikasi eksternal dengan layanan internal berada pada infrastruktur yang sama
a. Ya b. tidak
9. Apakah karyawan dan vendor diijinkan untuk mengakses layanan internal dari luar kantor a. Ya
b. tidak
10. Apakah karyawan diijinkan untuk membuat sistem server pribadi di kantor seperti web server untuk penelitian
a. Ya b. tidak
11. Apakah data konfidensil diijinkan untuk dialih mediakan untuk pemrosesan (diluar mekanisme standard seperti pita dan media backup lain)
a. Ya b. tidak
12. Apakah jika ada pengecualian pada sistem pengamanan akan berdampak besar pada proses bisnis kantor
a. Ya b. tidak
13. Apakah kantor anda berbabagi ruang/gedung dengan kantor lain a. Ya
b. tidak
14. Apakah kantor anda mengembangkan aplikasi a. Ya
b. tidak
15. Apakah pengembang aplikasi diijinkan mengakses sumber daya internal dari luar kantor atau melakukan pengembangan jarak jauh
a. Ya b. tidak
16. Apakah kantor anda mengembangkan aplikasi untuk pelanggan, rekanan atau kelompok tertentu a. Ya
b. tidak
17. Apakah pengembang aplikasi diijinkan melakukan pengujian implementasi aplikasi dari luar kantor a. Ya
b. tidak
18. Apakah staf TI bertindak sebagai pembantu (bukan pengembang, hanya membantu vendor) pada pengembangan aplikasi bisnis
a. Ya b. tidak
19. Apakah kantor membutuhkan data yang disimpan, diolah atau didistribusikan oleh pihak ketiga a. Ya
b. tidak
20. Apakah data pelanggan disimpan di media yang sama dengan data/sumber daya kantor a. Ya
b. tidak
21. Apakah kantor anda bergantung pada vendor pengembang aplikasi untuk menyelenggarakan layanan bisnis
a. Ya b. tidak
22. Apakah kantor anda menyelenggarakan layanan yang membutuhkan pemrosesan data atau data mining
a. Ya b. tidak
23. Apakah pemrosesan data oleh aplikasi internal kantor dianggap penting bagi operasional kantor a. Ya
b. tidak
24. Apakah aplikasi bisnis kantor yang dianggap penting dapat diakses melalui internet a. Ya
b. tidak
25. Siapakah target pengguna aplikasi bagi kantor anda a. Karyawan
b. Pelanggan
c. Karyawan dan Pelanggan
26. Bagaimana cara mengakses aplikasi utama a. Dari dalam kantor
b. Dari dalam dan luar kantor
27. Apakah vendor dan pelanggan terhubung dengan jaringan kantor melalui jaringan komputer a. Ya
b. tidak
28. Apakah kantor anda memperoleh keuntungan dari penyimpanan dan distribusi data a. Ya
b. tidak
29. Apakah telah terjadi pergantian teknologi secara besar-besaran dalam 6 bulan terakhir a. Ya
b. tidak
30. Apakah kantor anda mengandalkan penerimaan data dari pihak ketiga a. Ya
b. tidak
31. Apakah insiden pada aplikasi pelanggan atau infrastruktur (seperti listrik yang situs atau kegagalan perangkat keras atau aplikasi) berdampak pada keuntungan kantor
a. Ya b. tidak
32. Apakah kantor anda menyimpan data penting pelanggan a. Ya
b. tidak
33. Apakah komponen infrastruktur atau aplikasi pelanggan bergantung pada akses ke sumber daya di dalam kantor
a. Ya b. tidak
34. Apakah komponen infrastruktur atau aplikasi pelanggan berbagi pakai dengan pelanggan lain a. Ya
b. tidak
35. Apakah teknologi informasi penting bagi kantor anda a. Ya
36. Apakah semua karyawan menggunakan komputer saat bekerja a. Ya
b. tidak
37. Apakah perawatan atau bahkan kepemilikan infrastruktur dilakukan oleh pihak ketiga a. Ya
b. tidak
38. Apakah kantor anda memiliki rencana jangkan menengah dan jangka panjang untuk investasi teknologi
a. Ya b. tidak
39. Apakah kantor anda berusaha menjadi yang pertama dalam mengadopsi teknologi a. Ya
b. tidak
40. Apakah teknologi yang dipilih berdasarkan perjanjian hak cipta atau kerjasama tertentu a. Ya
b. tidak
41. Apakah teknologi yang dipilih dibatasi oleh pengetahuan/kemampuan staf TI a. Ya
b. tidak
42. Bila kantor anda melakukan akusisi, apakah jaringan kantor akan diperluas kepada kantor baru tersebut
a. Ya b. tidak
43. Apakah karyawan diijinkan mengunduh data pelanggan atau data perusahaan lain yang sensitif a. Ya
b. tidak
44. Apakah akses karyawan kepada informasi dibatasi oleh perannya dalam kantor a. Ya
b. tidak
45. Apakah kantor anda mengimplementasikan teknologi baru sebelum menguji keamanannya a. Ya
b. Tidak
46. Apakah aku kredensial diubah menjadi akun khusus secara rutin a. Ya
b. tidak
47. Apakah perubahan aku kredensial menjadi khusus dilakukan setelah mendapat persetujuan dari akun diatasnya
a. Ya b. tidak
48. Kantor anda bergerak di segmen a. Layanan TI b. Keuangan c. Industri / Manufaktur d. Hukum e. Periklanan f. Perdagangan g. Lain-lain
49. Berapa ukuran perusahaan a. Kurang dari 10 orang b. 10 hingga 49 orang c. 50 hingga 149 orang d. 150 hingga 299 orang e. 300 hingga 399 orang f. 400 hingga 500 orang g. Lebih dari 500 orang
50. Apakah kantor anda memiliki cabang a. Ya
b. tidak
51. Apakah kantor anda berfokus pada penelitian sehingga spionase dan hak cipta sangat diperhatikan a. Ya
b. tidak
52. Apakah teknologi di kantor anda memiliki nilai balik yang tinggi a. Ya
b. tidak
53. Apakah kantor anda lebih tertarik pada satu merek teknologi a. Ya
b. tidak
54. Apakah di kantor anda apa aplikasi yang sudah tidak didukung pengembang a. Ya
b. tidak
55. Apakah vendor aplikasi anda memiliki reputasi yang baik a. Ya
b. Tidak
APLIKASI
1. Apakah perusahaan anda memiliki aplikasi bisnis? Yes a. Ya
b. Tidak
2. Apakah anda menggunakan Custom Macros untuk aplikasi Office (seperti Word, Excel atau Access)? Yes
a. Ya b. Tidak
3. Mekanisme apa saja yang memastikan ketersediaan aplikasi? a. Load Balancing
b. Clustering
c. Testing aplikasi secara beraturan dan Data Recovery d. Tidak ada
4. Apakah tim internal perusahaan telah mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda?
a. Ya b. Tidak
5. Apakah tim development internal perusahaan menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan?
a. Ya b. Tidak
6. Apakah konsultan/vendor luar mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda?
a. Ya b. Tidak
7. Fase pengembangan apa saja yang melibatkan jasa konsultan/vendor? a. Design
b. Code Development
c. Testing / Quality Assurance d. Final Review
8. Apakah vendor luar menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan?
a. Ya b. Tidak
9. Metodologi pengembangan keamanan software apa saja yang dipraktekkan pada perusahaan anda?
a. CLASP
b. Cigital-Touchpoints
c. Microsoft Security Development Lifecycle d. TSP(sm) for Secure Systems Development e. Yang lain
f. Tidak ada
10. Apakah perusahaan anda mengetahui kelemahan keamanan yang sekarang ini masih ada dalam aplikasi yang telah digunakan?
a. Ya b. Tidak
11. Apakah perusahaan anda mempunyai prosedur untuk mengatasi kerentanan keamanan? a. Ya
b. Tidak
12. Apakah perusahaan anda memberikan training security untuk staf bagian development & testing? a. Ya
b. Tidak
13. Berapa persenkah staf bagian development & testing di perusahaan anda yang ditraining untuk praktek pengembangan keamanan?
a. 100% b. 75% c. 50% d. 25% e. 10% f. 0
14. Apakah perusahaan anda melakukan update tahunan atas training pengembangan security yg diberikan kepada staf development?
a. Ya, Rutin
b. Ya, Kadang-kadang c. Tidak
15. Apakah perusahaan anda bergantung pada beberapa software sebagai bagian dari proses pengujian dan audit untuk pengembangan perangkat lunak yang aman?
a. Ya, untuk semua proyek b. Ya, untuk beberapa proyek c. Tidak
16. Apakah saat ini ada kontrol yang mengatur kebijakan password untuk aplikasi yang penting? a. Ya
17. Pilih kontrol password yang diberlakukan di seluruh aplikasi penting: a. Complex Passwords
b. Password Expiration c. Account Lockout
18. Pilih metode otentikasi yang paling umum digunakan untuk aplikasi penting dari daftar di bawah ini?
a. Multifactor authetication b. Tidak ada
c. Simple Password d. Complex Password
19. Apakah aplikasi penting di lingkungan anda memiliki mekanisme yang membatasi akses ke data sensitif dan funsional ?
a. Ya b. Tidak
20. Apakah aplikasi penting di lingkungan anda mencatat pesan-pesan di dalam log file untuk keperluan analisis dan audit?
a. Ya b. Tidak
21. Pilih jenis kejadian pada saat login : a. Failed Authentication Attempts b. Successful Authentications c. Application Errors
d. Access Denied To Resources e. Success Access to Resources f. Changes to Data
g. Changes to User Accounts
22. Apakah data input data divalidasi oleh aplikasi yang digunakan? a. Ya
b. Tidak
23. Pilih input aplikasi dari daftar di bawah ini untuk validasi yang dilakukan: a. End Users
b. Client Applications c. Data Feeds
24. Apakah aplikasi utama melakukan enkripsi atas data bisnis yang sensitif dan penting pada saat diproses?
a. Ya b. Tidak
25. Pilih tahapan yang berbeda dimana enkripsi digunakan : a. Transmission and Storage
b. Transmission c. Storage
26. Algoritma enkripsi berikut mana sajakah yang digunakan ? i. Data Encryption Standard (DES)
ii. Triple DES (3DES) iii. RC2,RC4,RC5
iv. Advance Encryption Standard (AES4 /Rijndael) v. MD5 Hash
vi. SHA-1 Hash vii. Twofish viii. Blowfish
ix. Algoritma pribadi perusahaan x. Tidak Tahu
INFRASTRUKTUR
1. Apakah perusahaan anda menggunakan firewall atau kontrol akses untuk menjaga aset perusahaan?
a. Ya b. Tidak
2. Apakah perusahaan anda menggunakan kontrol ini pada setiap lokasi kantor? a. Ya
b. Tidak
3. Apakah perusahaan anda menggunakan DMZ yang memisahkan jaringan internal dan eksternal untuk pelayanan?
a. Ya b. Tidak
4. Apakah perusahaan anda memiliki layanan internet di jaringan perusahaan? a. Ya
b. Tidak
5. Apakah perusahaan anda menggunakan perangkat lunak firewall untuk melindungi server-server? a. Ya
b. Tidak
6. Apakah perusahaan anda menggunakan perangkat keras atau perangkat lunak pendeteksi gangguan untuk mengidentifikasi serangan?
a. Ya b. Tidak
7. Pilih tipe sistem pendeteksi gangguan yang digunakan? i. Network Based IDS (NIDS)
ii. Host Based IDS (HIDS)
8. Apakah solusi anti virus diimplementasikan di lingkungan anda? a. Ya
b. Tidak
9. Pilih sistem yang telah menggunakan anti virus? i. Server E-Mail
ii. Pengelola Host (gateway, proxy, relay, dll) iii. Desktop
iv. Server (Web, Basis data)
10. Apakah akses jarak jauh ke jaringan perusahaan tersedia? a. Ya
b. Tidak
11. Pilih siapa yang dapat mengakses ke jaringan perusahaan secara jarak jauh? a. Pegawai
b. Kontraktor
c. Vendor, pelanggan atau pihak ketiga terpercaya lain
12. Apakah teknologi VPN digunakan untuk menyediakan sambungan yang aman terhadap aset perusahaan oleh pengguna akses jarak jauh?
a. Ya b. Tidak
13. Apakah VPN dapat membatasi semua sambungan ke jaringan tertentu sampai client melewati semua pemeriksaan keamanan?
a. Ya b. Tidak
14. Apakah multi autentikasi diperlukan untuk pengguna akses jarak jauh? a. Ya
b. Tidak
15. Apakah jaringan memiliki lebih dari satu segmen? a. Ya
b. Tidak
16. Apakah segmentasi jaringan yang digunakan untuk memisahkan customer eksternal dan layanan extranet dari aset perusahaan?
a. Ya b. Tidak
17. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan fungsi yang sama atau layanan yang diberikan?
a. Ya b. Tidak
18. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan penyedia layanan yang diperlukan oleh pengguna untuk terhubung?
a. Ya b. Tidak
19. Apakah sudah dibuatkan rencana dan dokumentasi untuk mengatur alokasi alamat dari TCP/IP untuk sistem sesuai dengan segmen yang dibutuhkan?
a. Ya b. Tidak
20. Apakah koneksi wireless ke jaringan tersedia? a. Ya
b. Tidak
21. Manakah dari kontrol keamanan yang digunakan untuk mengatur sambungan ke jaringan wireless? i. Changing the default/preset network name (also known as Service Set Identifier, or SSID)
on the access point
ii. Menonaktifkan SSID boardcast
iii. Mengaktifkan Wired Equivalent Privacy (WEP) iv. Mengaktifkan Wi-Fi Protected Access (WPA)
v. Pembatasan hardware atau alamat fisik (biasa dikenal Media Access Control, or MAC) vi. Koneksi nirkabel dilakukan diluar firewall atau diluar segmen jaringan kabel
22. Apakah saat ini sudah ada kontrol untuk mengatur kebijakan password pada berbagai jenis account?
a. Ya b. Tidak
23. Pilih account yang saat ini ada untuk mengontrol kebijakan password? i. Administrator
ii. User
iii. Remote Access
24. Indikasikan pilihan autentikasi yang digunakan oleh akses administratif untuk mengelola perangkat dan host?
a. Otentikasi multifaktor b. Tidak Ada
c. Password sederhana d. Password Kompleks
25. Indikasikan pilihan autentikasi yang digunakan untuk jaringan internal dan akses host oleh pengguna internal?
a. Otentikasi multifaktor b. Tidak Ada
c. Password sederhana d. Password Kompleks
26. Indikasikan pilihan autentikasi yang digunakan untuk akses jarak jauh oleh pengguna? a. Otentikasi multifaktor
b. Tidak Ada
c. Password sederhana d. Password Kompleks
27. Apakah penguncian account diaktifkan untuk memblokir akses terhadap account yang dalam sejumlah waktu gagal untuk melakukan login?
a. Ya b. Tidak
28. Apakah perusahaan anda memiliki proses peninjauan administrasi yang tidak aktif, penggunaan internal, vendor, dan pengguna akses jarak jauh?
a. Ya b. Tidak
29. Apakah perusahaan anda mengkonfigurasi sistem secara sendiri atau dilakukan oleh penjual perangkat keras?
a. Dibangun oleh Pegawa
b. Dibangun oleh penjual perangkat keras
30. Manakah dari berikut ini dibangun berdasarkan dari sebuah image atau sebuah konfigurasi yang secara formal didokumentasikan?
i. Workstations dan Laptop ii. Server
iii. Tidak ada
31. Apakah konfigurasi ini termasuk prosedur hardening? a. Ya
b. Tidak
32. Manakah dari berikut ini solusi yang telah terpasang pada tempat kerja karyawan dan laptop? a. Personal firewall software
b. Spyware detection dan removal software c. Disk encryption software
d. Remote control / management software e. Password-protected screen saver f. Modem
33. Apakah perusahaan anda memiliki prosedur formal untuk respon insiden? a. Ya
34. Apakah perusahaan anda memiliki kebijakan dan prosedur untuk melaporkan masalah keamanan atau insiden?
a. Ya b. Tidak
35. Apakah kontrol keamanan fisik sudah dipasang untuk melindungi aset perusahaan? a. Ya
b. Tidak
36. Manakah dari kontrol keamanan berikut ini yang digunakan? i. Sistem alarm untuk mendeteksi penyusupan
ii. Peralatan jaringan (switches, cabling, Internet connection) diamankan di ruangan terrkunci dan akses terbatas
iii. Peralatan jaringan terkunci di lemari/rak
iv. Server terkunci didalam ruangan dengan akses terbatas v. Server terkunci di lemari/rak
vi. Workstation diamankan dengan rantai/teralis vii. Laptop diamankan dengan rantai
viii.Dokumen fisik rahasia disimpan dilemari terkunci 37. Manakah dari akses kontrol keamanan fisik yang digunakan?
i. ID pegawai dan tamu ii. Pengawalan terhadap tamu iii. Pencatatan data tamu iv. Kendali pintu masuk
PEOPLE
1. Apakah memiliki seseorang atau sekelompok orang yang bertanggung jawab dalam segi keamanan perusahaan?
a. Ya b. Tidak
2. Apakah individu dan kelompok tersebut memiliki keahlian dalam bidang keamanan? a. Ya
b. Tidak
3. Apakah individu atau kelompok tersebut terlibat dalam mendefinisikan kebutuhan keamaanan terhadap teknologi yang baru dan teknologi yang sudah ada?
a. Ya b. Tidak
4. Pada tahapan manakah dari siklus teknologi yang melibatkan individu atau sekelompok orang yang bertanggung jawab dalam hal keamanan ?
i. Perencanaan dan Desain ii. Implementasi
iii. Testing iv. Penerapan
5. Apakah peranan dan tanggung jawab ditetapkan dengan baik untuk setiap individu yang terlibat dalam keamanan informasi ?
a. Ya b. Tidak
6. Apakah melakukan penilaian keamanan terhadap lingkungan melalui pihak ketiga yang independen ?
a. Ya b. Tidak
7. Seberapa sering penilaian/evaluasi penilaian keamanan (pada nomor 6) dilakukan ? a. Tiap 3 bulan
b. Tiap 6 bulan c. Tiap 1 tahun
d. Tiap 2 tahun atau kurang
8. Pilihan bidang analisis yang terlibat didalam penilaian penilaian keamanan (pada nomor 6) i. Infrastruktur
ii. Aplikasi
iii. Kebijakan / Aturan iv. Audit
9. Apakah melakukan penilaian keamanan lingkungan secara internal? a. Ya
b. Tidak
10. Seberapa sering penilaian/evaluasi keamanan lingkungan (pada nomor 9) dilakukan ? a. Tiap 3 bulan
b. Tiap 6 bulan c. Tiap 1 tahun
d. Tiap 2 tahun atau kurang
11. Pilihan bidang analisis yang terlibat didalam penilaian keamanan lingkungan (pada nomor 9) i. Infrastruktur
ii. Aplikasi
iii. Kebijakan / Aturan iv. Audit
12. Apakah dilakukan pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja ?
a. Ya b. Tidak
13. Pilihlah pilihan mana yang paling tepat untuk pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja
a. Pemeriksaan latar belakang untuk seluruh calon pegawai
b. Pemeriksaan latar belakang untuk calon pegawai di posisi kritis / sensitif
14. Apakah mempunyai prosedur yang formal apabila karyawan ingin keluar dari perusahaan ? a. Ya
b. Tidak
15. Pilihlah pilihan mana yang merupakan kebijakan formal apabila seorang karyawan ingin keluar (berhenti bekerja)
a. Hostile Exits b. Friendly Exits
16. Apakah perusahaan memiliki sebuah kebijkasaan dalam mengatur hubungan pihak ketiga ? a. Ya
b. Tidak
17. Apakah ada "awarness program" ? a. Ya
b. Tidak
18. Berapa persen karyawan telah berpartisipasi dalam "awarness program" ? a. Kurang dari 25%
b. 25% - 49% c. 50% - 75% d. Lebih dari 75%
19. Topik "awarness" mana yang telah masuk kedalam pelatihan ? i. Company security policies and controls
ii. Reporting suspicious activity iii. Privacy
iv. E-mail security, including spam and attachment handling v. Internet security, including web surfing and downloads
vi. Computer security, including use of personal firewalls and encryption 20. Seberapa seringkah pelatihan ini ditawarkan terhadap karyawan ?
a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun
d. Tiap 2 tahun atau kurang
21. Apakah pelatihan yang ditawarkan kepada karyawan sesuai dengan peranannya ? a. Ya
b. Tidak
22. Pilihan pelatihan apa saja yang dilakukan sesuai dengan peranan masing-masing karyawan ? i. Operations Security
ii. Infrastructure Security iii. Application Security
iv. Incident Readiness and Response
OPERATIONS
1. Bagaimana pengelolaan lingkungan TI ? a. Pengelolaan dilakukan kantor b. Pengelolaan dilakukan pihak luar
2. Apakah kantor anda menggunakan manajemen hosts yang secara khusus menjamin keamanan pengelolaan sistem dan peralatan ?
a. Ya b. Tidak
3. Sistem apa saja yang menggunakan manajemen hosts secara khusus ! i. Sistem/peralatan jaringan
ii. Server
4. Apakah login untuk kegiatan normal/operasional dan kegiatan administratif/management dilakukan secara terpisah ?
a. Ya b. Tidak
5. Apakah user diijinkan untuk mengakses komputer / laptop mereka sebagai administrator ? a. Ya
b. Tidak
a. Ya b. Tidak
7. Apakah kantor anda memiliki Rencana Pemulihan Bencana (Disaster Recovery Plan) dan Rencana Pemulihan Pelaksanaan Bisnis (Business Resumption Plan) ?
a. Ya b. Tidak
8. Apakah kedua rencana (di nomor 7) diuji secara rutin ? a. Ya
b. Tidak
9. Apakah ada model untuk menguji titik kritis pada setiap level komponen lingkungan TI ? a. Ya
b. Tidak
10. Apakah ada kebijakan/aturan pengelolaan komputer dan peralatan pendukungnya ? a. Ya
b. Tidak
11. Apakah ada kebijakan/aturan pengamanan informasi untuk pengelolaan pengamanan operasional kantor ?
a. Ya b. Tidak
12. Siapa saja yang terlibat dalam pembuatan kebijakan/aturan ? a. Hanya bagian Teknologi Informasi
b. Hanya bagian Bisnis
c. Bagian Teknologi Informasi dan Bisnis 13. Apakah ada pengujian terhadap kebijakan/aturan ?
a. Ya b. Tidak
14. Apakah ada kebijakan pengelolaan akun user ? a. Ya
b. Tidak
15. Bagaimana kebijakan pengelolaan akun user dilakukan ? i. Akun pribadi (satu orang satu akun)
ii. Akun khusus (super admin/root) dan akun umum (administrator) untuk administrator iii. Mengandalkan kekuatan password
iv. Menonaktifkan akun saat pegawai keluar
16. Apakah ada proses terdokumentasi untuk membangun sebuah host ? (untuk jenis host yang bagaimana proses dokumentasi itu dilakukan)
i. Peralatan infrastruktur ii. Server
iii. Workstation dan laptop iv. Tidak Ada
17. Apakah ada panduan terdokumentasi untuk pengaturan protokol dan layanan yang diperbolehkan di jaringan kantor ? (Pilih opsi yang berlaku)
a. Panduan ada dan terdokumentasi dengan baik b. Panduan ada tapi tidak terdokumentasi c. Tidak ada panduan
18. Apakah ada proses formal yang terdokumentasi dengan baik untuk penghapusan data baik secara elektronik maupun fisik (kertas) ?
a. Ya b. Tidak
19. Apakah ada skema klasifikasi data yang berhubungan dengan standard pengamanan ? a. Ya
b. Tidak
20. Apakah ada ada manajemen proses dan perubahan konfigurasi ? a. Ya
b. Tidak
21. Apakah ada dokumentasi konfigurasi untuk referensi ? a. Ya
b. Tidak
22. Apakah perubahan konfigurasi diuji terlebih dahulu sebelum digunakan pada sistemoperasional ? a. Ya
b. Tidak
23. Apakah kepatuhan konfigurasi di monitor secara terpusat ? a. Ya
b. Tidak
24. Apakah ada kebijakan/aturan pembaharuan atau tambalan (patch) ? a. Ya
b. Tidak
25. Pilih komponen pembaharuan atau tambalan yang ada ? a. Sistem Operasi
b. Aplikasi
c. Sistem Operasi dan Aplikasi
26. Apakah tambalan diuji sebelum diimplementasikan ? a. Ya
b. Tidak
27. Apa yang digunakan untuk mengelola dan mengimplementasikan tambalan ? i. Windows Automatic Update
ii. Windows Update Website
iii. Windows Server Update Services (WSUS) iv. System Management Server (SMS) v. Pengelolaan tambalan jenis lain
vi. System Center Configuration Manager (SCCM) 28. Dimana otomatisasi manajemen tambalan digunakan ?
i. Workstation dan laptop ii. Server
29. Apakah ada kebijakan pemeriksaan sertifikasi digital untuk mengelola pembaharuan produk (software) ?
i. Antivirus
ii. Intrusion Detection System iii. Tidak Ada
30. Apakah ada Logical Diagrams dan dokumentasi konfigurasi pendukung yang akurat untuk infrastruktur jaringan dan hosts ?
a. Ya b. Tidak
31. Apakah ada Application Architecture Digram dan Data Flow Diagram yang akurat untuk aplikasi penting ?
a. Ya b. Tidak
32. Untuk aplikasi apa diagram diatas (nomor 31) ada ? a. Hanya untuk aplikasi dari luar
b. Hanya untuk aplikasi yang dikembangkan di dalam c. Untuk semua aplikasi
33. Apakah dimungkinkan merekam aktivitas di host dan perangkat keras ? a. Ya
b. Tidak
34. Apakah ada langkah-langkah pengamanan terhadap informasi rekam jejak (log) ? i. Sistem operasi dan aplikasi dirancang untuk tidak menghapus sistem lama
ii. Rekam jejak disimpan berdasarkan prioritas untuk menjamin ketersediaan penyimpanan iii. Akses terhadap rekam jejak terbatas untuk administrator
iv. Seluruh rekam jejak di dalam sistem disimpan pada satu server 35. Apakah ada tinjauan terhadap rekam jejak (log) ?
a. Ya b. Tidak
36. Seberapa sering rekam jejak (log) ditinjau ? a. Harian
b. Mingguan c. Bulanan d. Jika Diperlukan e. Tidak Tahu
37. Apakah data penting dan sensitif di backup secara rutin ? a. Ya
b. Tidak
38. Apakah ada kebijakan dan prosedur penanganan media backup ? a. Ya
b. Tidak
39. Kebijakan dan prosedur penanganan media backup apa yang ada ? i. Penyimpanan backup diluar lokasi utama (Offsite storage) ii. Penyimpanan disimpan di lemari tahan api
iii. Pembatasan akses ke fisik media penyimpanan iv. Rotasi dan perawatan media backup
40. Apakah ada kebijakan untuk pengujian prosedur backup dan restore ? dan apakah kebijakan ini terdokumentasi ?
a. Ya b. Tidak