Jawab pertanyaan-pertanyaan dibawah ini dengan ketentuan sebagai

berikut :

1. Pertanyaan dengan pilihan jawaban a,b,c...dst pilih salah satu yang anda anggap sesuai dengan kondisi di kantor anda

2. Pertanyaan dengan pilihan jawaban I, II, III...dst pilih beberapa jawaban yang anda anggap sesuai dengan kondisi kantor anda

BUSINESS PROFILE

1. Berapa jumlah komputer dan laptop yang terhubung dengan jaringan kantor a. Kurang dari 50 b. 50 hingga 149 c. 150 hingga 299 d. 300 hingga 399 e. 400 hingga 500 f. Lebih dari 500

2. Berapa jumlah server di kantor a. Tidak ada

b. 1 hingga 5 c. 6 hingga 10 d. 11 hingga 25 e. Lebih dari 25

3. Apakah kantor terhubung dengan internet selama 24 jam a. Ya

b. tidak

4. Apakah pelanggan dan vendor mengakses dapat mengakses jaringan internal melalui internet a. Ya

b. tidak

5. Apakah kantor memiliki hosting internal untuk layanan portal atau website untuk pelanggan atau rekanan

a. Ya b. tidak

6. Apakah kantor memiliki layanan yang dapat digunakan bersama oleh karyawan, pelanggan dan rekanan dan diimplementasikan dalam segemen jaringan yang sama

a. Ya b. tidak

7. Apakah rekanan atau pelanggan dapat terhubung langsung dengan backend jaringan internal untuk membaca, pemuktahiran fungsi lain terhadap data

a. Ya b. tidak

8. Apakah basis data yang digunakan untuk mendukung aplikasi eksternal dengan layanan internal berada pada infrastruktur yang sama

a. Ya b. tidak

9. Apakah karyawan dan vendor diijinkan untuk mengakses layanan internal dari luar kantor a. Ya

b. tidak

10. Apakah karyawan diijinkan untuk membuat sistem server pribadi di kantor seperti web server untuk penelitian

a. Ya b. tidak

11. Apakah data konfidensil diijinkan untuk dialih mediakan untuk pemrosesan (diluar mekanisme standard seperti pita dan media backup lain)

a. Ya b. tidak

12. Apakah jika ada pengecualian pada sistem pengamanan akan berdampak besar pada proses bisnis kantor

a. Ya b. tidak

13. Apakah kantor anda berbabagi ruang/gedung dengan kantor lain a. Ya

b. tidak

14. Apakah kantor anda mengembangkan aplikasi a. Ya

b. tidak

15. Apakah pengembang aplikasi diijinkan mengakses sumber daya internal dari luar kantor atau melakukan pengembangan jarak jauh

a. Ya b. tidak

16. Apakah kantor anda mengembangkan aplikasi untuk pelanggan, rekanan atau kelompok tertentu a. Ya

b. tidak

17. Apakah pengembang aplikasi diijinkan melakukan pengujian implementasi aplikasi dari luar kantor a. Ya

b. tidak

18. Apakah staf TI bertindak sebagai pembantu (bukan pengembang, hanya membantu vendor) pada pengembangan aplikasi bisnis

a. Ya b. tidak

19. Apakah kantor membutuhkan data yang disimpan, diolah atau didistribusikan oleh pihak ketiga a. Ya

b. tidak

20. Apakah data pelanggan disimpan di media yang sama dengan data/sumber daya kantor a. Ya

b. tidak

21. Apakah kantor anda bergantung pada vendor pengembang aplikasi untuk menyelenggarakan layanan bisnis

a. Ya b. tidak

22. Apakah kantor anda menyelenggarakan layanan yang membutuhkan pemrosesan data atau data mining

a. Ya b. tidak

23. Apakah pemrosesan data oleh aplikasi internal kantor dianggap penting bagi operasional kantor a. Ya

b. tidak

24. Apakah aplikasi bisnis kantor yang dianggap penting dapat diakses melalui internet a. Ya

b. tidak

25. Siapakah target pengguna aplikasi bagi kantor anda a. Karyawan

b. Pelanggan

c. Karyawan dan Pelanggan

26. Bagaimana cara mengakses aplikasi utama a. Dari dalam kantor

b. Dari dalam dan luar kantor

27. Apakah vendor dan pelanggan terhubung dengan jaringan kantor melalui jaringan komputer a. Ya

b. tidak

28. Apakah kantor anda memperoleh keuntungan dari penyimpanan dan distribusi data a. Ya

b. tidak

29. Apakah telah terjadi pergantian teknologi secara besar-besaran dalam 6 bulan terakhir a. Ya

b. tidak

30. Apakah kantor anda mengandalkan penerimaan data dari pihak ketiga a. Ya

b. tidak

31. Apakah insiden pada aplikasi pelanggan atau infrastruktur (seperti listrik yang situs atau kegagalan perangkat keras atau aplikasi) berdampak pada keuntungan kantor

a. Ya b. tidak

32. Apakah kantor anda menyimpan data penting pelanggan a. Ya

b. tidak

33. Apakah komponen infrastruktur atau aplikasi pelanggan bergantung pada akses ke sumber daya di dalam kantor

a. Ya b. tidak

34. Apakah komponen infrastruktur atau aplikasi pelanggan berbagi pakai dengan pelanggan lain a. Ya

b. tidak

35. Apakah teknologi informasi penting bagi kantor anda a. Ya

36. Apakah semua karyawan menggunakan komputer saat bekerja a. Ya

b. tidak

37. Apakah perawatan atau bahkan kepemilikan infrastruktur dilakukan oleh pihak ketiga a. Ya

b. tidak

38. Apakah kantor anda memiliki rencana jangkan menengah dan jangka panjang untuk investasi teknologi

a. Ya b. tidak

39. Apakah kantor anda berusaha menjadi yang pertama dalam mengadopsi teknologi a. Ya

b. tidak

40. Apakah teknologi yang dipilih berdasarkan perjanjian hak cipta atau kerjasama tertentu a. Ya

b. tidak

41. Apakah teknologi yang dipilih dibatasi oleh pengetahuan/kemampuan staf TI a. Ya

b. tidak

42. Bila kantor anda melakukan akusisi, apakah jaringan kantor akan diperluas kepada kantor baru tersebut

a. Ya b. tidak

43. Apakah karyawan diijinkan mengunduh data pelanggan atau data perusahaan lain yang sensitif a. Ya

b. tidak

44. Apakah akses karyawan kepada informasi dibatasi oleh perannya dalam kantor a. Ya

b. tidak

45. Apakah kantor anda mengimplementasikan teknologi baru sebelum menguji keamanannya a. Ya

b. Tidak

46. Apakah aku kredensial diubah menjadi akun khusus secara rutin a. Ya

b. tidak

47. Apakah perubahan aku kredensial menjadi khusus dilakukan setelah mendapat persetujuan dari akun diatasnya

a. Ya b. tidak

48. Kantor anda bergerak di segmen a. Layanan TI b. Keuangan c. Industri / Manufaktur d. Hukum e. Periklanan f. Perdagangan g. Lain-lain

49. Berapa ukuran perusahaan a. Kurang dari 10 orang b. 10 hingga 49 orang c. 50 hingga 149 orang d. 150 hingga 299 orang e. 300 hingga 399 orang f. 400 hingga 500 orang g. Lebih dari 500 orang

50. Apakah kantor anda memiliki cabang a. Ya

b. tidak

51. Apakah kantor anda berfokus pada penelitian sehingga spionase dan hak cipta sangat diperhatikan a. Ya

b. tidak

52. Apakah teknologi di kantor anda memiliki nilai balik yang tinggi a. Ya

b. tidak

53. Apakah kantor anda lebih tertarik pada satu merek teknologi a. Ya

b. tidak

54. Apakah di kantor anda apa aplikasi yang sudah tidak didukung pengembang a. Ya

b. tidak

55. Apakah vendor aplikasi anda memiliki reputasi yang baik a. Ya

b. Tidak

APLIKASI

1. Apakah perusahaan anda memiliki aplikasi bisnis? Yes a. Ya

b. Tidak

2. Apakah anda menggunakan Custom Macros untuk aplikasi Office (seperti Word, Excel atau Access)? Yes

a. Ya b. Tidak

3. Mekanisme apa saja yang memastikan ketersediaan aplikasi? a. Load Balancing

b. Clustering

c. Testing aplikasi secara beraturan dan Data Recovery d. Tidak ada

4. Apakah tim internal perusahaan telah mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda?

a. Ya b. Tidak

5. Apakah tim development internal perusahaan menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan?

a. Ya b. Tidak

6. Apakah konsultan/vendor luar mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda?

a. Ya b. Tidak

7. Fase pengembangan apa saja yang melibatkan jasa konsultan/vendor? a. Design

b. Code Development

c. Testing / Quality Assurance d. Final Review

8. Apakah vendor luar menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan?

a. Ya b. Tidak

9. Metodologi pengembangan keamanan software apa saja yang dipraktekkan pada perusahaan anda?

a. CLASP

b. Cigital-Touchpoints

c. Microsoft Security Development Lifecycle d. TSP(sm) for Secure Systems Development e. Yang lain

f. Tidak ada

10. Apakah perusahaan anda mengetahui kelemahan keamanan yang sekarang ini masih ada dalam aplikasi yang telah digunakan?

a. Ya b. Tidak

11. Apakah perusahaan anda mempunyai prosedur untuk mengatasi kerentanan keamanan? a. Ya

b. Tidak

12. Apakah perusahaan anda memberikan training security untuk staf bagian development & testing? a. Ya

b. Tidak

13. Berapa persenkah staf bagian development & testing di perusahaan anda yang ditraining untuk praktek pengembangan keamanan?

a. 100% b. 75% c. 50% d. 25% e. 10% f. 0

14. Apakah perusahaan anda melakukan update tahunan atas training pengembangan security yg diberikan kepada staf development?

a. Ya, Rutin

b. Ya, Kadang-kadang c. Tidak

15. Apakah perusahaan anda bergantung pada beberapa software sebagai bagian dari proses pengujian dan audit untuk pengembangan perangkat lunak yang aman?

a. Ya, untuk semua proyek b. Ya, untuk beberapa proyek c. Tidak

16. Apakah saat ini ada kontrol yang mengatur kebijakan password untuk aplikasi yang penting? a. Ya

17. Pilih kontrol password yang diberlakukan di seluruh aplikasi penting: a. Complex Passwords

b. Password Expiration c. Account Lockout

18. Pilih metode otentikasi yang paling umum digunakan untuk aplikasi penting dari daftar di bawah ini?

a. Multifactor authetication b. Tidak ada

c. Simple Password d. Complex Password

19. Apakah aplikasi penting di lingkungan anda memiliki mekanisme yang membatasi akses ke data sensitif dan funsional ?

a. Ya b. Tidak

20. Apakah aplikasi penting di lingkungan anda mencatat pesan-pesan di dalam log file untuk keperluan analisis dan audit?

a. Ya b. Tidak

21. Pilih jenis kejadian pada saat login : a. Failed Authentication Attempts b. Successful Authentications c. Application Errors

d. Access Denied To Resources e. Success Access to Resources f. Changes to Data

g. Changes to User Accounts

22. Apakah data input data divalidasi oleh aplikasi yang digunakan? a. Ya

b. Tidak

23. Pilih input aplikasi dari daftar di bawah ini untuk validasi yang dilakukan: a. End Users

b. Client Applications c. Data Feeds

24. Apakah aplikasi utama melakukan enkripsi atas data bisnis yang sensitif dan penting pada saat diproses?

a. Ya b. Tidak

25. Pilih tahapan yang berbeda dimana enkripsi digunakan : a. Transmission and Storage

b. Transmission c. Storage

26. Algoritma enkripsi berikut mana sajakah yang digunakan ? i. Data Encryption Standard (DES)

ii. Triple DES (3DES) iii. RC2,RC4,RC5

iv. Advance Encryption Standard (AES4 /Rijndael) v. MD5 Hash

vi. SHA-1 Hash vii. Twofish viii. Blowfish

ix. Algoritma pribadi perusahaan x. Tidak Tahu

INFRASTRUKTUR

1. Apakah perusahaan anda menggunakan firewall atau kontrol akses untuk menjaga aset perusahaan?

a. Ya b. Tidak

2. Apakah perusahaan anda menggunakan kontrol ini pada setiap lokasi kantor? a. Ya

b. Tidak

3. Apakah perusahaan anda menggunakan DMZ yang memisahkan jaringan internal dan eksternal untuk pelayanan?

a. Ya b. Tidak

4. Apakah perusahaan anda memiliki layanan internet di jaringan perusahaan? a. Ya

b. Tidak

5. Apakah perusahaan anda menggunakan perangkat lunak firewall untuk melindungi server-server? a. Ya

b. Tidak

6. Apakah perusahaan anda menggunakan perangkat keras atau perangkat lunak pendeteksi gangguan untuk mengidentifikasi serangan?

a. Ya b. Tidak

7. Pilih tipe sistem pendeteksi gangguan yang digunakan? i. Network Based IDS (NIDS)

ii. Host Based IDS (HIDS)

8. Apakah solusi anti virus diimplementasikan di lingkungan anda? a. Ya

b. Tidak

9. Pilih sistem yang telah menggunakan anti virus? i. Server E-Mail

ii. Pengelola Host (gateway, proxy, relay, dll) iii. Desktop

iv. Server (Web, Basis data)

10. Apakah akses jarak jauh ke jaringan perusahaan tersedia? a. Ya

b. Tidak

11. Pilih siapa yang dapat mengakses ke jaringan perusahaan secara jarak jauh? a. Pegawai

b. Kontraktor

c. Vendor, pelanggan atau pihak ketiga terpercaya lain

12. Apakah teknologi VPN digunakan untuk menyediakan sambungan yang aman terhadap aset perusahaan oleh pengguna akses jarak jauh?

a. Ya b. Tidak

13. Apakah VPN dapat membatasi semua sambungan ke jaringan tertentu sampai client melewati semua pemeriksaan keamanan?

a. Ya b. Tidak

14. Apakah multi autentikasi diperlukan untuk pengguna akses jarak jauh? a. Ya

b. Tidak

15. Apakah jaringan memiliki lebih dari satu segmen? a. Ya

b. Tidak

16. Apakah segmentasi jaringan yang digunakan untuk memisahkan customer eksternal dan layanan extranet dari aset perusahaan?

a. Ya b. Tidak

17. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan fungsi yang sama atau layanan yang diberikan?

a. Ya b. Tidak

18. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan penyedia layanan yang diperlukan oleh pengguna untuk terhubung?

a. Ya b. Tidak

19. Apakah sudah dibuatkan rencana dan dokumentasi untuk mengatur alokasi alamat dari TCP/IP untuk sistem sesuai dengan segmen yang dibutuhkan?

a. Ya b. Tidak

20. Apakah koneksi wireless ke jaringan tersedia? a. Ya

b. Tidak

21. Manakah dari kontrol keamanan yang digunakan untuk mengatur sambungan ke jaringan wireless? i. Changing the default/preset network name (also known as Service Set Identifier, or SSID)

on the access point

ii. Menonaktifkan SSID boardcast

iii. Mengaktifkan Wired Equivalent Privacy (WEP) iv. Mengaktifkan Wi-Fi Protected Access (WPA)

v. Pembatasan hardware atau alamat fisik (biasa dikenal Media Access Control, or MAC) vi. Koneksi nirkabel dilakukan diluar firewall atau diluar segmen jaringan kabel

22. Apakah saat ini sudah ada kontrol untuk mengatur kebijakan password pada berbagai jenis account?

a. Ya b. Tidak

23. Pilih account yang saat ini ada untuk mengontrol kebijakan password? i. Administrator

ii. User

iii. Remote Access

24. Indikasikan pilihan autentikasi yang digunakan oleh akses administratif untuk mengelola perangkat dan host?

a. Otentikasi multifaktor b. Tidak Ada

c. Password sederhana d. Password Kompleks

25. Indikasikan pilihan autentikasi yang digunakan untuk jaringan internal dan akses host oleh pengguna internal?

a. Otentikasi multifaktor b. Tidak Ada

c. Password sederhana d. Password Kompleks

26. Indikasikan pilihan autentikasi yang digunakan untuk akses jarak jauh oleh pengguna? a. Otentikasi multifaktor

b. Tidak Ada

c. Password sederhana d. Password Kompleks

27. Apakah penguncian account diaktifkan untuk memblokir akses terhadap account yang dalam sejumlah waktu gagal untuk melakukan login?

a. Ya b. Tidak

28. Apakah perusahaan anda memiliki proses peninjauan administrasi yang tidak aktif, penggunaan internal, vendor, dan pengguna akses jarak jauh?

a. Ya b. Tidak

29. Apakah perusahaan anda mengkonfigurasi sistem secara sendiri atau dilakukan oleh penjual perangkat keras?

a. Dibangun oleh Pegawa

b. Dibangun oleh penjual perangkat keras

30. Manakah dari berikut ini dibangun berdasarkan dari sebuah image atau sebuah konfigurasi yang secara formal didokumentasikan?

i. Workstations dan Laptop ii. Server

iii. Tidak ada

31. Apakah konfigurasi ini termasuk prosedur hardening? a. Ya

b. Tidak

32. Manakah dari berikut ini solusi yang telah terpasang pada tempat kerja karyawan dan laptop? a. Personal firewall software

b. Spyware detection dan removal software c. Disk encryption software

d. Remote control / management software e. Password-protected screen saver f. Modem

33. Apakah perusahaan anda memiliki prosedur formal untuk respon insiden? a. Ya

34. Apakah perusahaan anda memiliki kebijakan dan prosedur untuk melaporkan masalah keamanan atau insiden?

a. Ya b. Tidak

35. Apakah kontrol keamanan fisik sudah dipasang untuk melindungi aset perusahaan? a. Ya

b. Tidak

36. Manakah dari kontrol keamanan berikut ini yang digunakan? i. Sistem alarm untuk mendeteksi penyusupan

ii. Peralatan jaringan (switches, cabling, Internet connection) diamankan di ruangan terrkunci dan akses terbatas

iii. Peralatan jaringan terkunci di lemari/rak

iv. Server terkunci didalam ruangan dengan akses terbatas v. Server terkunci di lemari/rak

vi. Workstation diamankan dengan rantai/teralis vii. Laptop diamankan dengan rantai

viii.Dokumen fisik rahasia disimpan dilemari terkunci 37. Manakah dari akses kontrol keamanan fisik yang digunakan?

i. ID pegawai dan tamu ii. Pengawalan terhadap tamu iii. Pencatatan data tamu iv. Kendali pintu masuk

PEOPLE

1. Apakah memiliki seseorang atau sekelompok orang yang bertanggung jawab dalam segi keamanan perusahaan?

a. Ya b. Tidak

2. Apakah individu dan kelompok tersebut memiliki keahlian dalam bidang keamanan? a. Ya

b. Tidak

3. Apakah individu atau kelompok tersebut terlibat dalam mendefinisikan kebutuhan keamaanan terhadap teknologi yang baru dan teknologi yang sudah ada?

a. Ya b. Tidak

4. Pada tahapan manakah dari siklus teknologi yang melibatkan individu atau sekelompok orang yang bertanggung jawab dalam hal keamanan ?

i. Perencanaan dan Desain ii. Implementasi

iii. Testing iv. Penerapan

5. Apakah peranan dan tanggung jawab ditetapkan dengan baik untuk setiap individu yang terlibat dalam keamanan informasi ?

a. Ya b. Tidak

6. Apakah melakukan penilaian keamanan terhadap lingkungan melalui pihak ketiga yang independen ?

a. Ya b. Tidak

7. Seberapa sering penilaian/evaluasi penilaian keamanan (pada nomor 6) dilakukan ? a. Tiap 3 bulan

b. Tiap 6 bulan c. Tiap 1 tahun

d. Tiap 2 tahun atau kurang

8. Pilihan bidang analisis yang terlibat didalam penilaian penilaian keamanan (pada nomor 6) i. Infrastruktur

ii. Aplikasi

iii. Kebijakan / Aturan iv. Audit

9. Apakah melakukan penilaian keamanan lingkungan secara internal? a. Ya

b. Tidak

10. Seberapa sering penilaian/evaluasi keamanan lingkungan (pada nomor 9) dilakukan ? a. Tiap 3 bulan

b. Tiap 6 bulan c. Tiap 1 tahun

d. Tiap 2 tahun atau kurang

11. Pilihan bidang analisis yang terlibat didalam penilaian keamanan lingkungan (pada nomor 9) i. Infrastruktur

ii. Aplikasi

iii. Kebijakan / Aturan iv. Audit

12. Apakah dilakukan pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja ?

a. Ya b. Tidak

13. Pilihlah pilihan mana yang paling tepat untuk pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja

a. Pemeriksaan latar belakang untuk seluruh calon pegawai

b. Pemeriksaan latar belakang untuk calon pegawai di posisi kritis / sensitif

14. Apakah mempunyai prosedur yang formal apabila karyawan ingin keluar dari perusahaan ? a. Ya

b. Tidak

15. Pilihlah pilihan mana yang merupakan kebijakan formal apabila seorang karyawan ingin keluar (berhenti bekerja)

a. Hostile Exits b. Friendly Exits

16. Apakah perusahaan memiliki sebuah kebijkasaan dalam mengatur hubungan pihak ketiga ? a. Ya

b. Tidak

17. Apakah ada "awarness program" ? a. Ya

b. Tidak

18. Berapa persen karyawan telah berpartisipasi dalam "awarness program" ? a. Kurang dari 25%

b. 25% - 49% c. 50% - 75% d. Lebih dari 75%

19. Topik "awarness" mana yang telah masuk kedalam pelatihan ? i. Company security policies and controls

ii. Reporting suspicious activity iii. Privacy

iv. E-mail security, including spam and attachment handling v. Internet security, including web surfing and downloads

vi. Computer security, including use of personal firewalls and encryption 20. Seberapa seringkah pelatihan ini ditawarkan terhadap karyawan ?

a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun

d. Tiap 2 tahun atau kurang

21. Apakah pelatihan yang ditawarkan kepada karyawan sesuai dengan peranannya ? a. Ya

b. Tidak

22. Pilihan pelatihan apa saja yang dilakukan sesuai dengan peranan masing-masing karyawan ? i. Operations Security

ii. Infrastructure Security iii. Application Security

iv. Incident Readiness and Response

OPERATIONS

1. Bagaimana pengelolaan lingkungan TI ? a. Pengelolaan dilakukan kantor b. Pengelolaan dilakukan pihak luar

2. Apakah kantor anda menggunakan manajemen hosts yang secara khusus menjamin keamanan pengelolaan sistem dan peralatan ?

a. Ya b. Tidak

3. Sistem apa saja yang menggunakan manajemen hosts secara khusus ! i. Sistem/peralatan jaringan

ii. Server

4. Apakah login untuk kegiatan normal/operasional dan kegiatan administratif/management dilakukan secara terpisah ?

a. Ya b. Tidak

5. Apakah user diijinkan untuk mengakses komputer / laptop mereka sebagai administrator ? a. Ya

b. Tidak

a. Ya b. Tidak

7. Apakah kantor anda memiliki Rencana Pemulihan Bencana (Disaster Recovery Plan) dan Rencana Pemulihan Pelaksanaan Bisnis (Business Resumption Plan) ?

a. Ya b. Tidak

8. Apakah kedua rencana (di nomor 7) diuji secara rutin ? a. Ya

b. Tidak

9. Apakah ada model untuk menguji titik kritis pada setiap level komponen lingkungan TI ? a. Ya

b. Tidak

10. Apakah ada kebijakan/aturan pengelolaan komputer dan peralatan pendukungnya ? a. Ya

b. Tidak

11. Apakah ada kebijakan/aturan pengamanan informasi untuk pengelolaan pengamanan operasional kantor ?

a. Ya b. Tidak

12. Siapa saja yang terlibat dalam pembuatan kebijakan/aturan ? a. Hanya bagian Teknologi Informasi

b. Hanya bagian Bisnis

c. Bagian Teknologi Informasi dan Bisnis 13. Apakah ada pengujian terhadap kebijakan/aturan ?

a. Ya b. Tidak

14. Apakah ada kebijakan pengelolaan akun user ? a. Ya

b. Tidak

15. Bagaimana kebijakan pengelolaan akun user dilakukan ? i. Akun pribadi (satu orang satu akun)

ii. Akun khusus (super admin/root) dan akun umum (administrator) untuk administrator iii. Mengandalkan kekuatan password

iv. Menonaktifkan akun saat pegawai keluar

16. Apakah ada proses terdokumentasi untuk membangun sebuah host ? (untuk jenis host yang bagaimana proses dokumentasi itu dilakukan)

i. Peralatan infrastruktur ii. Server

iii. Workstation dan laptop iv. Tidak Ada

17. Apakah ada panduan terdokumentasi untuk pengaturan protokol dan layanan yang diperbolehkan di jaringan kantor ? (Pilih opsi yang berlaku)

a. Panduan ada dan terdokumentasi dengan baik b. Panduan ada tapi tidak terdokumentasi c. Tidak ada panduan

18. Apakah ada proses formal yang terdokumentasi dengan baik untuk penghapusan data baik secara elektronik maupun fisik (kertas) ?

a. Ya b. Tidak

19. Apakah ada skema klasifikasi data yang berhubungan dengan standard pengamanan ? a. Ya

b. Tidak

20. Apakah ada ada manajemen proses dan perubahan konfigurasi ? a. Ya

b. Tidak

21. Apakah ada dokumentasi konfigurasi untuk referensi ? a. Ya

b. Tidak

22. Apakah perubahan konfigurasi diuji terlebih dahulu sebelum digunakan pada sistemoperasional ? a. Ya

b. Tidak

23. Apakah kepatuhan konfigurasi di monitor secara terpusat ? a. Ya

b. Tidak

24. Apakah ada kebijakan/aturan pembaharuan atau tambalan (patch) ? a. Ya

b. Tidak

25. Pilih komponen pembaharuan atau tambalan yang ada ? a. Sistem Operasi

b. Aplikasi

c. Sistem Operasi dan Aplikasi

26. Apakah tambalan diuji sebelum diimplementasikan ? a. Ya

b. Tidak

27. Apa yang digunakan untuk mengelola dan mengimplementasikan tambalan ? i. Windows Automatic Update

ii. Windows Update Website

iii. Windows Server Update Services (WSUS) iv. System Management Server (SMS) v. Pengelolaan tambalan jenis lain

vi. System Center Configuration Manager (SCCM) 28. Dimana otomatisasi manajemen tambalan digunakan ?

i. Workstation dan laptop ii. Server

29. Apakah ada kebijakan pemeriksaan sertifikasi digital untuk mengelola pembaharuan produk (software) ?

i. Antivirus

ii. Intrusion Detection System iii. Tidak Ada

30. Apakah ada Logical Diagrams dan dokumentasi konfigurasi pendukung yang akurat untuk infrastruktur jaringan dan hosts ?

a. Ya b. Tidak

31. Apakah ada Application Architecture Digram dan Data Flow Diagram yang akurat untuk aplikasi penting ?

a. Ya b. Tidak

32. Untuk aplikasi apa diagram diatas (nomor 31) ada ? a. Hanya untuk aplikasi dari luar

b. Hanya untuk aplikasi yang dikembangkan di dalam c. Untuk semua aplikasi

33. Apakah dimungkinkan merekam aktivitas di host dan perangkat keras ? a. Ya

b. Tidak

34. Apakah ada langkah-langkah pengamanan terhadap informasi rekam jejak (log) ? i. Sistem operasi dan aplikasi dirancang untuk tidak menghapus sistem lama

ii. Rekam jejak disimpan berdasarkan prioritas untuk menjamin ketersediaan penyimpanan iii. Akses terhadap rekam jejak terbatas untuk administrator

iv. Seluruh rekam jejak di dalam sistem disimpan pada satu server 35. Apakah ada tinjauan terhadap rekam jejak (log) ?

a. Ya b. Tidak

36. Seberapa sering rekam jejak (log) ditinjau ? a. Harian

b. Mingguan c. Bulanan d. Jika Diperlukan e. Tidak Tahu

37. Apakah data penting dan sensitif di backup secara rutin ? a. Ya

b. Tidak

38. Apakah ada kebijakan dan prosedur penanganan media backup ? a. Ya

b. Tidak

39. Kebijakan dan prosedur penanganan media backup apa yang ada ? i. Penyimpanan backup diluar lokasi utama (Offsite storage) ii. Penyimpanan disimpan di lemari tahan api

iii. Pembatasan akses ke fisik media penyimpanan iv. Rotasi dan perawatan media backup

40. Apakah ada kebijakan untuk pengujian prosedur backup dan restore ? dan apakah kebijakan ini terdokumentasi ?

a. Ya b. Tidak