LAMPIRAN. 1. Lampiran Wawancara 2. Lampiran Dokumentasi Wawancara 3. Lampiran Form Bimbingan 4. Lampiran Dokumen Audit 5.

(1)

74 LAMPIRAN

1. Lampiran Wawancara

2. Lampiran Dokumentasi Wawancara

3. Lampiran Form Bimbingan

4. Lampiran Dokumen Audit

5. Lampiran Turnitin

(2)

75 Angel : “Halo siang pak, jadi sesuai dengan pembicaraan sebelumnya framework

yang saya propose ke bapak adalah Cloud Controls Matrix ya pak, nah sebelumnya

saya mau jelasin tentang framework ini. Jadi framework ini sendiri CCM ini

bersebrangan sama standar ISO 27001 yang bapak tau hanya saja CCM ini fokus

untuk enviroment cloud bagian security. Framework ini sendiri memiliki total 16

domain. Saya sendri mau tau ni pak sekarang di perusahaan ada kendala apa saja

yang sedang terjadi ”

Pak Nam : “Oke, kalau untuk sekarang tidak ada masalah apa-apa di operasional

hanya saja sekarang kita lagi ada rencana untuk bangun sistem baru , angel tau kan

yang openshift itu, nah kita lagi mau buat untuk di upgrade dalam bidang IAM ,

sepertinya kita butuh ini untuk penyesuaian dengan compliance dan sebagai

pegangan dalam membuat sistem”

Angel : “Oke jadi penyesuaian dengan compliance ya pak agar sistemnya dibuat

sesuai dengan aturan yang berlaku. Oke kan total ada 16 domain ya pak, jadi

kira-kira dari 16 domain ini yang bapak setuju untuk dijadikan penelitian yang mana

pak”

Pak Nam : “Oke kamu bisa jelasin dahulu setiap domain-domainnya ”

Angel : [Jelasin domain]

Pak Nam : “Untuk domain audit perlu , IAM apalagi ya, lalu domain seperti HRS,

DCS, CCC, TVM perlu juga, BCR ga deh saya kurang perlu rasanya.IPY boleh

,AIS juga oke no issue. Kalau bisa 16 nya (ketawa)”

(3)

76 Angel : “Oke pak noted, untuk tiap domain yang tanggung jawab beda ya pak kalau

bisa bapak lihat ada yang bagian teknis, compliance, operation , itu apakah

memungkinkan saya wawancara orang-orang terkait”

Pak Nam : “Mungkin bisa saya backup ya untuk hal-hal tersebut karena

orang-orang yang seperti pak aldy bagian compliance dia sibuk banget bakal susah kamu

ngatur waktu sama dia , paling nanti kalau ada yang saya kurang tau saya akan

diskusi dengan orang yang paham saya nanti upadte ke kamu”

Angel : “Oh begitu baiklah kalau begitu pak”

Wawancara 1 (15 April 2021) 2:00 PM – Bpk. Siauw Nam Khong

Angel : “Halo siang pak nam , maaf mengganggu waktunya saya mau hari ini nanya

terkait beberapa hal. Hari ini kita akan bahas beberapa domain ya pak untuk

dilakukan asessment. Domain nya kita start dari AAC ya pak Audit Assurance.

Saya mulai nanya ya pak , di datacomm ada kesepakatan melakukan audit seperti

pembaharuan standar audit?”

Pak Nam : “Oh, Oke iya ada, jadi di datacomm itu ada 2 jenis audit internal dan

eksternal dan audit internal ini sangat ketat banget. Contoh untuk ISO 27001 untuk

data center berusaha mengikuti perkembangan terbaru , hal lainnya juga seperti ISO

9001 itu juga mengikuti yang terbaru, bisa di cek di website kami”

Angel : “Oke baik pak berati memang mengikuti ya, lalu saya mau nanya kan ada

hasil dari sertifikasi / dokumentasi itu ada dikasi ke konsumen atau eksternal ga?”

Pak Nam : “Oh, iya kalau yang kami share terkait hasil sertifikasi kami hanya

publikasi hal-hal seperti pemberitauan ke konsumen bahwa kita sudah comply

dengan standar apa sampai tanggal berapa tapi kalau hasil audit itu tidak pastinya

hanya untuk internal saja”

Angel : “Apakah ada dilakukan pentest dan hasil dokumen diberikan ke konsumen

atau tidak jika diminta ?”

Pak Nam : “Kita ada pentest, hanya saja kita ga publish atau share dokumen kita ke

eksternal hanya buat internal”

(4)

77 Angel : “Apakah datacomm memiliki kemampuan untuk menyegmentasikan atau

mengenkripsi data pelanggan secara logistik sehingga data dapat diproduksi untuk

satu penyewa saja, tanpa secara tidak sengaja mengakses penyewa data lain??”

Pak Nam : “Kita bisa bantu hanya kita belum ada pusat , dan tidak mungkin dia bisa

mengakses data pelanggan lain”

Angel : “Apakah datacomm memiliki kemampuan untuk menemukan data tertentu

jika terjadi kegagalan atau kehilangan data?”

Pak Nam : “Kita ada , tapi konsumen harus beli produk tersebut di kita contohnya

DRaaS jadi produk terpisah dan terjamin dari kita”

Angel : “Apakah datacomm ada sistem dalam mengikuti standar compliance

terbaru?”

Pak Nam : “Kita ada program audit tertentu tergantung apa dahulu mungkin bisa

diperjelas detail pertanyaannya lebih mengarah kemana”

Angel : “Selanjutnya kita ke domain HRS ya pak, Apakah ada sistem untuk

memantau pelanggaran privasi dan memberi tahu penyewa secepatnya jika

peristiwa privasi dapat memengaruhi data mereka??”

Pak Nam : “Kita ada sistem dimana misal employee sudah berhenti dan dia sudah

diterminate maka di sistem utama mereka sudah tidak bisa akses lagi untuk internal

perusahaan, dan kita ada notifikasi-notifikasi by email jika ada terjadi kasus

pelanggaran keamanan”

(5)

78 Angel : “Berdasarkan undang-undang, peraturan, etika, dan batasan kontrak

setempat, apakah semua calon pekerja, kontraktor, dan pihak ketiga yang terlibat

tunduk pada verifikasi latar belakang?”

Pak Nam : “Selalu dilakukan background check dan jika mereka masuk akan

diberikan pelatihan terlebih dahulu untuk masuk perusahaan , hal wajib untuk

dilakukan training”

Angel : “Apakah semua personel diharuskan menandatangani NDA atau Perjanjian

Kerahasiaan

sebagai

syarat

kerja

untuk

melindungi

informasi

pelanggan/penyewa?”

Pak Nam : “Itu wajib pasti kita ada untuk sign NDA”

Angel : “Apakah kebijakan dan prosedur manajemen data Anda mengatasi konflik

kepentingan penyewa dan tingkat layanan?”

Pak Nam : “Oke jadi sebelum sign quotation kita biasa ada sign terms and

agreement dengan konsumen semua aturan terkait data konsumen dan

manajemenya ada tertulis disitu dan jadinya keputusan bersama , bentar saya share

contohnya [share screen]”

Angel : “Oke baik pak terima kasih banyak, untuk hari ini mungkin itu saja terlebih

dahulu, next meet mungkin akan bahas domain lainnya, terima kasih atas waktunya

pak”

Wawancara 2 (6 Mei 2021) 2:00 PM – Bpk. Siauw Nam Khong

Angel : “Halo siang pak nam , maaf mengganggu waktunya saya mau hari ini nanya

terkait beberapa hal. Hari ini kita akan bahas beberapa domain ya pak untuk

dilakukan asessment DCS dan lainnya”

Pak Nam : “Oh, Oke baik boleh.”

Angel : “Jadi untuk DCS , Apakah Anda memelihara inventaris lengkap semua aset

penting Anda yang mencakup kepemilikan aset?”

(6)

79 diketahui?”

Pak Nam : “Itu pasti ada wajib, kalau masuk ke perusahaan harus lewat gate yang

harus punya kartu akses dari perusahaan, apalagi datacenter itu beda lagi aksesnya

ada kartu khusus baru bisa akses ke lantai 3”

Angel : “Dapatkah Anda memberikan bukti bahwa kebijakan, standar, dan prosedur

telah ditetapkan untuk memelihara lingkungan kerja yang aman dan terjamin di

kantor, ruangan, fasilitas, dan area aman??”

Pak Nam : “ Ada ,bahkan saat pelatihan itu diimplementasikan untuk seluruh

employee pahami”

Angel : “Apakah kebijakan dan prosedur ditetapkan untuk otorisasi manajemen

untuk pengembangan atau akuisisi aplikasi, sistem, database, infrastruktur, layanan,

operasi, dan fasilitas baru?”

Pak Nam : “ Kita ada namanya dokumen, MOP method of procedure, nah ini biasa

untuk internal”

Angel : “Apakah dokumentasi yang menjelaskan masalah yang diketahui dengan

produk/layanan tertentu tersedia?”

Pak Nam : “Lebih spesifik ke customernya , misal konsumen biasa pakai VM biasa

aada kedeteksi serangan IP tertentu lalu kita kasih tau notif ke mereka”

Angel : “Oke baik pak terima kasih banyak, untuk hari ini mungkin itu saja terlebih

dahulu, next meet mungkin akan bahas domain lainnya, terima kasih atas waktunya

pak”

(7)

80 Wawancara 3 (15 Mei 2021) 2:00 PM – Bpk. Siauw Nam Khong, Pak Louis,

Pak Kevin Oetomo

Angel : “Halo siang pak nam pak louis, pak kevin, maaf mengganggu waktunya

saya mau hari ini nanya terkait beberapa hal. Hari ini kita akan bahas beberapa

domain ya pak lebih teknis TVM, dll”

Angel : “Apakah Anda memiliki program anti-malware yang mendukung atau

terhubung ke penawaran layanan cloud Anda yang terinstal di semua sistem Anda?”

Pak Nam : “Ya jadi kita ada yang by default dan produk terpisah yang kita jual lagi,

contoh acronis, EDR yang lebih tingginya.”

Angel : “Apakah Anda melakukan pemindaian kerentanan lapisan aplikasi secara

teratur seperti yang ditentukan oleh praktik terbaik industri?”

Pak Nam : “Kita melakukan sesuai dengan aturan dari PCI DSS dan report setiap

bulan 1x, untuk network layer ya, kalau pentest konsumen ya mereka lakukan

sendiri.”

Angel : “Untuk hasil vulnerability scan diminta oleh konsumen dikasih atau tidak”

Pak Nam : “Tidak kita tidak ada kasih terkait hal tersebut.”

Angel : “Apakah kode seluler diotorisasi sebelum pemasangan dan penggunaannya,

dan konfigurasi kode diperiksa, untuk memastikan bahwa kode seluler yang

diotorisasi beroperasi sesuai dengan kebijakan keamanan yang ditetapkan dengan

jelas?”

Pak Nam : “Kita kasih kebebasan ke konsumen untuk hal tersebut , selama masih

sesuai dengan kode etik dan tidak merugikan datacomm sesuai dengan agreement

yang ada.”

(8)

81 Angel : “Apakah Anda membatasi, mencatat, dan memantau akses ke sistem

manajemen keamanan informasi Anda (misalnya, hypervisor, firewall, pemindai

kerentanan, sniffer jaringan, API, dll.)?”

Pak Kevin : “Yes, memang belum terintergrated jadi 1 tapi ada untuk hal ini.”

Angel : “Apakah Anda memiliki kontrol yang memastikan penghapusan akses

sistem secara tepat waktu yang tidak lagi diperlukan untuk tujuan bisnis?”

Pak Kevin : “Ini pasti , nanti kalau tidak di berhentiin , pelanggan yang sudah

berhenti masih bisa akses lagi”

Angel : “Oke baik pak terima kasih banyak, untuk hari ini mungkin itu saja terlebih

dahulu, next meet mungkin akan bahas domain lainnya, terima kasih atas waktunya

pak”

(9)

82 Lampiran Dokumentasi Wawancara

(10)

83

(11)

FORMULIR KONSULTASI SKRIPSI – FAKULTAS TEKNIK & INFORMATIKA

Dosen Pembimbing : Johan Setiawan, S.Kom., M.M., M.B.A.

Jurusan : Sistem Informasi

Semester : 8

Nama : Angelia Chandra

NIM : 00000021163

Tanggal

Konsultasi Agenda/Pokok Bahasan Saran Perbaikan

Paraf Dosen Pembimbing

2 Februari 2021 Bab 1 dan Bab 2 Latar belakang diperkuat, penulisan diperbaiki

16 Februari 2021 Bab 1 dan Bab 2 Finalisasi Bab 1 dan Bab 2

9 Maret 2021 Bab 1, Bab 2 dan Bab 3 Bab 3 diperbaiki, penambahan beberapa sub bab

16 Maret 2021 Bab 3

Kerangka teori diperbaiki disesuaikan dengan alur penelitian dan harus berdasarkan penelitian

sebelumnya

23 Maret 2021 Review Bab 3 Finalisasi bab 3

22 April 2021 Review Bab 1-3 Finalisasi bab 1-3 , mulai start bab 4

1 Mei 2021 Review Bab 4 Bab 4 sesuaikan dengan kerangka teori pada bab 3

15 Mei 2021 Review Bab 4 dan Bab 5 Masukan untuk bab 4 dan format penulisan, start buat PPT & artikel

5 Juni 2021 Review Laporan Skripsi, Artikel Jurnal dan PPT presentasi

Finalisasi Laporan Skripsi, Artikel Jurnal dan PPT presentasi

Catatan : Form ini wajib dibawa pada saat konsultasi & dilampirkan didalam skripsi (Minimal 8 kali Konsultasi)

Tangerang, 7 Juni 2021

Johan Setiawan, S.Kom., M.M., M.B.A. Dosen Pembimbing

(12)

Page 1 of 2

Siauw Nam Khong CCM v3.0.1

TVM (Threat and Vulnerability Management) TVM-01- Antivirus / Malicious Software TVM-02- Vulnerability / Patch Management TVM-03- Mobile Code

Lokasi Ruang Lingkup Tanggal Audit

Online Google Meet TVM (Threat and Vulnerability Management)

15 Mei 2021

Wakil Auditi Auditor Ketua

Louis Lukito Kevin Oetomo Angelia Chandra TUJUAN AUDIT TVM-01 Antivirus / Malicious Software

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis dan tindakan teknis yang diterapkan, untuk mencegah eksekusi malware pada perangkat titik akhir pengguna yang dimiliki atau dikelola organisasi (yaitu, workstation, laptop, dan perangkat seluler yang dikeluarkan) dan jaringan infrastruktur TI dan komponen sistem.

LANGKAH KERJA:

Kode PERTANYAAN Rating

TVM-01.1 Apakah Anda memiliki program anti-malware yang mendukung atau terhubung ke penawaran

layanan cloud Anda yang terinstal di semua sistem Anda?

8

TVM-01.2

Apakah Anda memastikan bahwa sistem deteksi ancaman keamanan menggunakan tanda tangan, daftar, atau pola perilaku diperbarui di semua komponen infrastruktur dalam kerangka waktu yang diterima industri?

8

Rata-Rata 8

Kesimpulan hasil analisis.

Terdapat bukti bahwa area kontrol dipantau dan diukur secara aktif dan tindakan dievaluasi berdasarkan bukti tersebut.

TUJUAN AUDIT

TVM-02 Vulnerability / Patch

Management

Kebijakan dan prosedur harus ditetapkan, dan proses pendukung dan langkah-langkah teknis diterapkan, untuk deteksi tepat waktu kerentanan dalam aplikasi yang dimiliki atau dikelola organisasi, jaringan infrastruktur dan komponen sistem (misalnya, penilaian kerentanan jaringan, pengujian penetrasi) untuk memastikan efisiensi keamanan yang diterapkan kontrol.

LANGKAH KERJA:

TVM-02.1 Apakah Anda melakukan pemindaian kerentanan lapisan jaringan secara teratur seperti yang

ditentukan oleh praktik terbaik industri?

9

TVM-02.2 Apakah Anda melakukan pemindaian kerentanan lapisan aplikasi secara teratur seperti yang

ditentukan oleh praktik terbaik industri?

7

TVM-02.3 Apakah Anda melakukan pemindaian kerentanan lapisan sistem operasi lokal secara teratur

seperti yang ditentukan oleh praktik terbaik industri?

(13)

Page 2 of 2

TVM-02.4 Apakah Anda akan membuat hasil pemindaian kerentanan tersedia untuk penyewa atas

permintaan mereka?

8

TVM-02.5 Apakah Anda memiliki kemampuan untuk menambal kerentanan dengan cepat di semua

perangkat komputasi, aplikasi, dan sistem Anda?

N/A

TVM-02.6 Apakah Anda akan memberikan kerangka waktu penambalan sistem berbasis risiko kepada

penyewa Anda berdasarkan permintaan?

6

Rata-Rata 8

TUJUAN AUDIT

TVM-03 Mobile Code

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis dan tindakan teknis yang diterapkan, untuk mencegah eksekusi kode seluler yang tidak sah, yang didefinisikan sebagai perangkat lunak yang ditransfer antar sistem melalui jaringan tepercaya atau tidak tepercaya dan dijalankan pada sistem lokal tanpa instalasi atau eksekusi eksplisit oleh penerima, pada perangkat titik akhir pengguna yang dimiliki atau dikelola organisasi (misalnya, workstation, laptop, dan perangkat seluler yang dikeluarkan) dan komponen jaringan dan sistem infrastruktur TI.

LANGKAH KERJA:

TVM-03.1

Apakah kode seluler diotorisasi sebelum pemasangan dan penggunaannya, dan konfigurasi kode diperiksa, untuk memastikan bahwa kode seluler yang diotorisasi beroperasi sesuai dengan kebijakan keamanan yang ditetapkan dengan jelas?

7

TVM-03.2 Apakah semua kode seluler yang tidak sah dicegah untuk dieksekusi? N/A

Rata-Rata 7

Terdapat bukti adanya sistem yang kuat yang mencakup semua operasi rutin di area kontrol.

Tempat Persetujuan

Pimpinan

Auditee Siauw Nam Khong Ketua Auditor Angelia Chandra

Direview oleh:

(14)

Page 1 of 2 Siauw Nam Khong CCM v3.0.1

AAC (Audit Assurance & Compliance) AAC-01- Audit Planning

AAC-02- Independent Audits

AAC-03- Information System Regulatory Mapping

Online Google Meet AAC (Audit Assurance & Compliance) 15 April 2021

Angelia Chandra

TUJUAN AUDIT

AAC-01 Audit Planning

Rencana audit harus dikembangkan dan dipelihara untuk mengatasi gangguan proses bisnis. Rencana audit harus fokus pada penyusunan keefektifan implementasi operasi keamanan. Semua aktivitas audit harus disetujui sebelum melaksanakan audit apa pun.

LANGKAH KERJA:

AAC-01.1

Apakah perusahaan ada kesepakatan untuk melakukan audit dalam jangka waktu tertentu (rencana audit) untuk menyesuaikan dengan standar terkini, dimana audit fokus untuk meninjau efektivitas dan keamanan produk cloud sendiri?

9

Rata-Rata 9

Adanya bukti dan orang-orang yang bertanggung jawab secara kritis pada rencana audit. Rencana audit cukup efektif dalam meninjau efektivitas dan keamanan produk cloud.

TUJUAN AUDIT

AAC-02 Independent Audits

Tinjauan dan penilaian independen harus dilakukan setidaknya setiap tahun untuk memastikan bahwa organisasi menangani ketidaksesuaian kebijakan, standar, prosedur, dan kewajiban kepatuhan yang ditetapkan.

LANGKAH KERJA:

AAC-02.1 Apakah perusahaan mengizinkan untuk konsumen maupun auditor eksternal untuk melihat dokumen dari ISO 270001 ?

9

AAC-02.2 Apakah perusahaan melakukan uji penetrasi jaringan layanan cloud secara teratur seperti yang ditentukan oleh panduan dan praktik terbaik industri?

9

AAC-02.3 Apakah perusahaan melakukan uji penetrasi aplikasi infrastruktur cloud Anda secara teratur seperti yang ditentukan oleh panduan dan praktik terbaik industri?

9

AAC-02.4 Apakah perusahaan mengadakan audit internal tahunan atau dalam jangka waktu tertentu secara keseluruhan sesuai dengan standar industri yang ada?

9

AAC-02.5 Apakah perusahaan mengadakan audit eksternal tahunan atau dalam jangka waktu tertentu secara keseluruhan sesuai dengan standar industri yang ada?

(15)

Page 2 of 2 AAC-02.6 Apakah hasil dari penetration test diberikan ke tenant/konsumen kalau ada permintaan dari

mereka?

9

AAC-02.7 Apakah hasil audit internal dan audit eksternal diberikan kepada konsumen atau auditor pihak ketiga?

7

AAC-02.8 Apakah Datacomm ada melakukan audit secara cross functional audit ? 8

Rata-Rata 8

Terdapat bukti bahwa tinjauan proses audit direview secara berkala untuk memastikan bahwa organisasi menangani ketidaksesuaian kebijakan, standar, prosedur, dan kewajiban kepatuhan yang ditetapkan.

TUJUAN AUDIT

AAC-03 Information System Regulatory Mapping

Organisasi harus membuat dan memelihara kerangka kerja kontrol yang mencakup persyaratan standar, peraturan, hukum, dan undang-undang yang relevan untuk kebutuhan bisnis mereka. kerangka harus ditinjau setiap tahun untuk memastikan perubahan yang dapat mempengaruhi proses bisnis.

LANGKAH KERJA:

AAC-03.1

Apakah perusahaan memiliki kemampuan untuk menyegmentasikan atau mengenkripsi data pelanggan secara logistik sehingga data dapat diproduksi untuk satu penyewa saja, tanpa secara tidak sengaja mengakses penyewa data lain?

8

AAC-03.2 Apakah perusahaan memiliki kemampuan untuk menemukan data tertentu jika terjadi kegagalan atau kehilangan data?

8

AAC-03.3 Apakah perusahaan memiliki kemampuan untuk membatasi penyimpanan data pelanggan ke negara atau lokasi geografis tertentu?

N/A

AAC-03.4

Apakah perusahaan memiliki program yang memiliki kemampuan untuk mengatasi perubahan persyaratan yang relevan, menyesuaikan program perubahan untuk perubahan persyaratan hukum, dan memastikan persyaratan peraturan yang relevan?

6

Rata-Rata 7

Ada sistem kontrol yang rutin dalam memelihara kerangka kerja kontrol yang mencakup persyaratan standar, peraturan, hukum, dan undang-undang yang relevan untuk kebutuhan bisnis mereka.

Pimpinan

Direview oleh:

(16)

Page 1 of 3 Siauw Nam Khong CCM v3.0.1

AIS (Application & Interface Security) AIS-01- Application Security

AIS-02- Customer Access Requirements AIS-03- Data Integrity

AIS-04- Data Security / Integrity

Online Google Meet AIS (Application & Interface Security) 15 Mei 2021

Louis Lukito Kevin Oetomo Angelia Chandra TUJUAN AUDIT AIS-01 Application Security

Antarmuka aplikasi dan pemrograman (API) harus dirancang, dikembangkan, disebarkan, dan diuji sesuai dengan standar industri terkemuka (misalnya, OWASP untuk aplikasi web) dan mematuhi kewajiban kepatuhan hukum, undang-undang, atau peraturan yang berlaku.

LANGKAH KERJA:

AIS-01.1

Apakah Anda menggunakan standar industri (Build Security in Maturity Model [BSIMM] benchmark, Open Group ACS Trusted Technology Provider Framework, NIST, dll.) untuk membangun keamanan bagi Sistem/Software Development Lifecycle (SDLC) Anda?

N/A

AIS-01.2 Apakah Anda menggunakan alat analisis kode sumber otomatis untuk mendeteksi cacat keamanan dalam kode sebelum produksi?

7

AIS-01.3 Apakah Anda menggunakan analisis kode sumber manual untuk mendeteksi cacat keamanan dalam kode sebelum produksi?

7

AIS-01.4 Apakah Anda memverifikasi bahwa semua pemasok perangkat lunak Anda mematuhi standar industri untuk keamanan Systems/Software Development Lifecycle (SDLC)?

7

AIS-01.5 (Hanya SaaS) Apakah Anda meninjau kerentanan keamanan aplikasi Anda dan mengatasi masalah apa pun sebelum penerapan ke produksi?

7

Rata-Rata 7

(17)

Page 2 of 3

TUJUAN AUDIT

AIS-02 Customer Access

Requirements

Sebelum memberi pelanggan akses ke data, aset, dan sistem informasi, persyaratan keamanan, kontrak, dan peraturan yang teridentifikasi untuk akses pelanggan harus ditangani.

LANGKAH KERJA:

AIS-02.1

Apakah semua persyaratan keamanan, kontrak, dan peraturan yang teridentifikasi untuk akses pelanggan ditangani dan diperbaiki secara kontraktual sebelum memberi pelanggan akses ke data, aset, dan sistem informasi?

7

AIS-02.2 Apakah semua persyaratan dan tingkat kepercayaan untuk akses pelanggan ditentukan dan didokumentasikan?

7

Rata-Rata 7

Adanya bukti sistem yang kuat dan dipenuhi dalam memberi akses pelanggan ke data. Sistem informasi, persyaratan keamanan, kontrak, dan peraturan yang teridentifikasi dengan jelas.

TUJUAN AUDIT

AIS-03 Data Integrity

Memastikan rutinitas input dan output data integritas (yaitu, rekonsiliasi dan pemeriksaan edit) harus diterapkan untuk antarmuka aplikasi dan database untuk mencegah kesalahan pemrosesan manual atau sistematis, korupsi data, atau penyalahgunaan.

LANGKAH KERJA:

AIS-03.1

Apakah rutinitas integritas input dan output data (yaitu, rekonsiliasi dan pemeriksaan edit) diimplementasikan untuk antarmuka aplikasi dan database untuk mencegah kesalahan pemrosesan manual atau sistematis atau kerusakan data?

N/A

Rata-Rata N/A

TUJUAN AUDIT

AIS-04 Data Security/Integrity

Kebijakan dan prosedur harus ditetapkan dan dipelihara untuk mendukung keamanan data yang mencakup (kerahasiaan, integritas, dan ketersediaan) di berbagai antarmuka sistem, yurisdiksi, dan fungsi bisnis untuk mencegah pengungkapan, pergantian, atau penghancuran yang tidak tepat.

LANGKAH KERJA:

AIS-04.1 Apakah Arsitektur Keamanan Data Anda dirancang menggunakan standar industri (misalnya, CDSA, MULITSAFE, CSA Trusted Cloud Architectural Standard, FedRAMP, CAESARS)?

8

Rata-Rata 8

Adanya standar/prosedur yang diterapkan dalam memelihara dan mendukung keamanan data terkait keseluruhan antarmuka sistem

(18)

Page 3 of 3 Dosen Pembimbing Johan Setiawan, S.Kom., M.M., M.B.A

(19)

Page 1 of 3

DOKUMEN AUDIT

UNIVERSITAS MULTIMEDIA NUSANTARA

Kampus UMN, Scientia Garden, Jl. Boulevard Gading Serpong, Tangerang - Banten

Telp. (021) 5422 0808 ext 2600, Fax: (021) 5422 0800

FORM KERJA AUDIT Auditee Standar/Kriteria

CCC (Change Control & Configuration Management) CCC-01- New Development / Acquisition

CCC-02- Outsourced Development CCC-03- Quality Testing

CCC-04- Unauthorized Software Installations CCC-05- Production Changes

Online Google Meet CCC (Change Control & Configuration Management)

6 Mei 2021

Angelia Chandra

TUJUAN AUDIT

CCC-01 New Development /

Acquisition

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis dan langkah-langkah teknis yang diterapkan, untuk memastikan pengembangan dan/atau perolehan data baru, aplikasi fisik atau virtual, jaringan infrastruktur dan komponen sistem, atau fasilitas perusahaan, operasi dan/atau pusat data. telah diotorisasi sebelumnya oleh pimpinan bisnis organisasi atau peran atau fungsi bisnis lain yang dapat dipertanggungjawabkan.

LANGKAH KERJA:

CCC-01.1 Apakah kebijakan dan prosedur ditetapkan untuk otorisasi manajemen untuk pengembangan

atau akuisisi aplikasi, sistem, database, infrastruktur, layanan, operasi, dan fasilitas baru?

6

CCC-01.2 Apakah tersedia dokumentasi yang menjelaskan penginstalan, konfigurasi, dan penggunaan

produk/layanan/fitur?

7

Rata-Rata 7

TUJUAN AUDIT

CCC-02 Outsourced Development

Mitra bisnis eksternal harus mematuhi kebijakan dan prosedur yang sama untuk manajemen perubahan, rilis, dan pengujian sebagai pengembang internal dalam organisasi (misalnya, proses manajemen layanan ITIL).

LANGKAH KERJA:

CCC-02.1 Apakah Anda memiliki kontrol untuk memastikan bahwa standar kualitas terpenuhi untuk

semua pengembangan perangkat lunak?

N/A

CCC-02.2 Apakah Anda memiliki kontrol untuk mendeteksi cacat keamanan kode sumber untuk aktivitas

pengembangan perangkat lunak yang dialihdayakan?

N/A

Rata-Rata N/A

Kesimpulan hasil analisis. -

(20)

Page 2 of 3

CCC-03.1 Apakah Anda menyediakan penyewa dengan dokumentasi yang menjelaskan proses jaminan

kualitas Anda?

6

CCC-03.2 Apakah dokumentasi yang menjelaskan masalah yang diketahui dengan produk/layanan

tertentu tersedia?

6

CCC-03.3 Apakah ada kebijakan dan prosedur untuk melakukan triase dan memperbaiki bug yang

dilaporkan dan kerentanan keamanan untuk penawaran produk dan layanan?

6

CCC-03.4 Apakah ada mekanisme untuk memastikan bahwa semua elemen kode debug dan pengujian

dihapus dari versi perangkat lunak yang dirilis?

6

Rata-Rata 6

Ada bukti bahwa sistem dipahami dan diikuti secara rutin.

TUJUAN AUDIT

CCC-04 Unauthorized Software

Installations

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis dan langkah-langkah teknis yang diterapkan, untuk membatasi pemasangan perangkat lunak yang tidak sah pada perangkat titik akhir pengguna yang dimiliki atau dikelola organisasi (misalnya, workstation, laptop, dan perangkat seluler yang dikeluarkan) dan jaringan infrastruktur TI dan komponen sistem.

LANGKAH KERJA:

CCC-04.1 Apakah Anda memiliki kontrol untuk membatasi dan memantau instalasi perangkat lunak yang

tidak sah ke sistem Anda?

13

Rata-Rata 13

Pemilik area kontrol dapat menunjukkan bahwa mereka secara aktif meninjau praktik terbaik dari industri mereka dan di seluruh organisasi mereka dan menerapkannya ke area kontrol.

TUJUAN AUDIT

CCC-05 Production Changes

Kebijakan dan prosedur harus ditetapkan untuk mengelola risiko yang terkait dengan penerapan perubahan pada:

• Aplikasi yang penting bagi bisnis atau pelanggan (penyewa) (fisik dan virtual) serta desain dan konfigurasi antarmuka sistem-sistem (API).

• Jaringan infrastruktur dan komponen sistem.

Langkah-langkah teknis harus diterapkan untuk memberikan jaminan bahwa semua perubahan secara langsung sesuai dengan permintaan perubahan terdaftar, kritikal bisnis atau pelanggan (penyewa), dan/atau otorisasi oleh, pelanggan (penyewa) sesuai perjanjian (SLA) sebelum penerapan.

LANGKAH KERJA:

(21)

Page 3 of 3

CCC-05.1 Apakah Anda memberi penyewa dokumentasi yang menjelaskan prosedur manajemen

perubahan produksi Anda dan peran/hak/tanggung jawab mereka di dalamnya?

7

Rata-Rata 7

Pimpinan

Direview oleh:

(22)

Page 1 of 4

DSC (Datacenter Security) DSC-01- Asset Management DSC-02- Controlled Access Points DSC-03- Equipment Identification DSC-04- Offsite Authorization DSC-05- Offsite Equipment DSC-06- Policy

DSC-07- Secure Area Authorization DSC-08- Unauthorized Persons Entry DSC-09- User Access

Online Google Meet DSC (Datacenter Security) 6 Mei 2021

Angelia Chandra

TUJUAN AUDIT

DSC-01 Asset Management

Aset harus diklasifikasikan dalam hal kekritisan bisnis, harapan tingkat layanan, dan persyaratan kelangsungan operasional. Inventarisasi lengkap aset penting bisnis yang terletak di semua lokasi dan/atau lokasi geografis dan penggunaannya dari waktu ke waktu harus dipelihara dan diperbarui secara berkala, dan diberikan kepemilikan berdasarkan peran dan tanggung jawab yang ditentukan.

LANGKAH KERJA:

DSC-01.1 Apakah Anda memelihara inventaris lengkap semua aset penting Anda yang mencakup

kepemilikan aset?

10

DSC-01.2 Apakah Anda memelihara inventaris lengkap dari semua hubungan pemasok penting Anda? 10

Rata-Rata

Terdapat bukti bahwa sistem pengelolaan area kontrol mampu mengelola kejadian kontinjensi serta aktivitas rutin

TUJUAN AUDIT

DSC-02 Controlled Access Points

Perimeter keamanan fisik (misalnya, pagar, dinding, penghalang, penjaga, gerbang, pengawasan elektronik, mekanisme otentikasi fisik, meja resepsionis, dan patroli keamanan) harus diterapkan untuk melindungi data sensitif dan sistem informasi.

LANGKAH KERJA:

DSC-02.1

Apakah perimeter keamanan fisik (misalnya, pagar, dinding, penghalang, penjaga, gerbang, pengawasan elektronik, mekanisme otentikasi fisik, meja resepsionis, dan patroli keamanan) diterapkan?

13

Rata-Rata 13

Pemilik area kontrol dapat menunjukkan bahwa mereka secara aktif meninjau praktik terbaik dari industri mereka dan di seluruh organisasi mereka dan menerapkannya ke area kontrol.

(23)

Page 2 of 4

TUJUAN AUDIT

DSC-03 Equipment Identification

Perimeter keamanan fisik (misalnya, pagar, dinding, penghalang, penjaga, gerbang, pengawasan elektronik, mekanisme otentikasi fisik, meja resepsionis, dan patroli keamanan) harus diterapkan untuk melindungi data sensitif dan sistem informasi.

LANGKAH KERJA:

DSC-03.1 Apakah identifikasi peralatan otomatis digunakan sebagai metode untuk memvalidasi

integritas otentikasi koneksi berdasarkan lokasi peralatan yang diketahui?

6

Rata-Rata 6

Ada bukti bahwa sistem dipahami dan diikuti secara rutin

TUJUAN AUDIT

DSC-04 Offsite Authorization

Otorisasi harus diperoleh sebelum relokasi atau transfer perangkat keras, perangkat lunak, atau data ke lokasi di luar lokasi.

LANGKAH KERJA:

DSC-04.1

Apakah Anda menyediakan penyewa dengan dokumentasi yang menjelaskan skenario di mana data dapat dipindahkan dari satu lokasi fisik ke lokasi lain (misalnya, pencadangan di luar lokasi, kegagalan kontinuitas bisnis, replikasi)?

8

Rata-Rata 8

TUJUAN AUDIT

DSC-05 Offsite Equipment

Kebijakan dan prosedur harus ditetapkan untuk pembuangan peralatan yang aman (berdasarkan jenis aset) yang digunakan di luar lokasi organisasi. Ini harus mencakup solusi penghapusan atau proses penghancuran yang membuat pemulihan informasi menjadi tidak mungkin. Penghapusan harus terdiri dari penulisan lengkap drive untuk memastikan bahwa drive yang dihapus dilepaskan ke inventaris untuk digunakan kembali dan disebarkan atau disimpan dengan aman hingga dapat dimusnahkan.

LANGKAH KERJA:

DSC-05.1 Dapatkah Anda memberikan bukti kepada penyewa yang mendokumentasikan kebijakan dan

prosedur Anda yang mengatur manajemen aset dan penggunaan kembali peralatan?

6

Rata-Rata 6

TUJUAN AUDIT

DSC-06 Policy

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis yang diterapkan, untuk menjaga lingkungan kerja yang aman dan terjamin di kantor, ruangan, fasilitas, dan area aman yang menyimpan informasi sensitif.

(24)

Page 3 of 4

Rata-Rata

TUJUAN AUDIT

DSC-07 Secure Area Authorization

Masuk dan keluar ke area aman harus dibatasi dan dipantau oleh mekanisme kontrol akses fisik untuk memastikan bahwa hanya personel yang berwenang yang diizinkan mengakses.

LANGKAH KERJA:

DSC-07.1

Apakah Anda mengizinkan penyewa untuk menentukan lokasi geografis Anda yang mana data mereka diizinkan untuk masuk/keluar (untuk mengatasi pertimbangan yurisdiksi hukum berdasarkan tempat data disimpan vs. diakses)?

N/A

Rata-Rata N/A

Kesimpulan hasil analisis. -

TUJUAN AUDIT

DSC-08

Unauthorized Persons Entry

Titik masuk dan keluar seperti area layanan dan titik lain di mana personel yang tidak berwenang dapat memasuki lokasi harus dipantau, dikendalikan dan, jika mungkin, diisolasi dari fasilitas penyimpanan dan pemrosesan data untuk mencegah kerusakan, kompromi, dan kehilangan data yang tidak sah.

LANGKAH KERJA:

DSC-08.1

Apakah titik masuk dan keluar, seperti area layanan dan titik lain di mana personel yang tidak berwenang dapat memasuki lokasi, dipantau, dikendalikan, dan diisolasi dari penyimpanan dan proses data?

10

Rata-Rata 10

TUJUAN AUDIT

DSC-09 User Access

Akses fisik ke aset dan fungsi informasi oleh pengguna dan personel pendukung harus dibatasi..

LANGKAH KERJA:

DSC-09.1 Apakah Anda membatasi akses fisik ke aset dan fungsi informasi oleh pengguna dan personel

pendukung?

10

(25)

Page 4 of 4 Kesimpulan hasil analisis.

Pimpinan

Direview oleh:

(26)

Page 1 of 6

HRS (Human Resource) HRS-01- Asset Returns

HRS-02- Background Screening HRS-03- Employment Agreements HRS-04- Employment Termination HRS-05- Portable / Mobile Devices HRS-06- Non-Disclosure Agreements HRS-07- Roles / Responsibilities HRS-08- Acceptable Use HRS-09- Training / Awareness HRS-10- User Responsibility HRS-11- Workspace

Online Google Meet HRS (Human Resource) 15 April 2021

Angelia Chandra

TUJUAN AUDIT

HRS-01 Asset Returns

Setelah penghentian personel tenaga kerja dan / atau berakhirnya hubungan bisnis eksternal, semua aset yang dimiliki secara organisasi harus dikembalikan dalam jangka waktu yang ditetapkan.

LANGKAH KERJA:

HRS-01.1 Apakah ada sistem untuk memantau pelanggaran privasi dan memberi tahu penyewa secepatnya jika peristiwa privasi dapat memengaruhi data mereka?

10

HRS-01.2 Apakah Kebijakan Privasi Anda selaras dengan standar industri? 8

Rata-Rata 9

Adanya bukti dan orang -orang yang bertanggung jawab terkait semua aset yang dimiliki secara organisasi harus dikembalikan dalam jangka waktu yang ditetapkan ketika berakhirnya hubungan bisnis atau kerja baik internal maupun eksternal

TUJUAN AUDIT

HRS-02 Background Screening

Sesuai dengan undang-undang, peraturan, etika, dan batasan kontrak setempat, semua calon karyawan, kontraktor, dan pihak ketiga harus menjalani verifikasi latar belakang yang proporsional dengan klasifikasi data yang akan diakses, persyaratan bisnis, dan risiko yang dapat diterima.

LANGKAH KERJA:

HRS-02.1 Berdasarkan undang-undang, peraturan, etika, dan batasan kontrak setempat, apakah semua calon pekerja, kontraktor, dan pihak ketiga yang terlibat tunduk pada verifikasi latar belakang?

10

Rata-Rata 10

(27)

Page 2 of 6 Adanya bukti dan sistem diikuti dan dikelola secara rutin, yang dimaksud disini proses verifikasi latar belakang dilakukan secara rutin oleh personil yang bertanggung jawab setiap proses perekrutan ataupun pelaksanaan kerja sama wajib untuk dilakukan verifikasi latar belakang.

TUJUAN AUDIT

HRS-03 Employment Agreements

Perjanjian kerja harus mencantumkan ketentuan dan / persyaratan untuk mematuhi kebijakan tata kelola dan keamanan informasi yang telah ditetapkan dan harus ditandatangani oleh personel tenaga kerja yang baru dipekerjakan atau yang bergabung (misalnya, karyawan penuh atau waktu atau staf kontingen) memberikan tenaga kerja kepada pengguna akses ke fasilitas, sumber daya, dan aset perusahaan.

LANGKAH KERJA:

HRS-03.1 Apakah Anda secara khusus melatih karyawan Anda mengenai peran khusus mereka dan kontrol keamanan informasi yang harus mereka penuhi?

13

HRS-03.2 Apakah Anda mendokumentasikan pengakuan karyawan atas pelatihan yang telah mereka selesaikan?

13

HRS-03.3 Apakah semua personel diharuskan menandatangani NDA atau Perjanjian Kerahasiaan sebagai syarat kerja untuk melindungi informasi pelanggan/penyewa?

13

HRS-03.4 Apakah penyelesaian program pelatihan yang berhasil dan tepat waktu dianggap sebagai prasyarat untuk memperoleh dan memelihara akses ke sistem yang sensitif?

8

HRS-03.5 Apakah personel dilatih dan diberikan program kesadaran setidaknya setahun sekali? 10

Rata-Rata 11

Pada domain ini keseluruhan aktivitas terpenuhi dengan baik dimana sudah dilaksanakan dan dilakukan improvisasi seiring dengan masukan yang ada. Seluruh personil yang masuk ke dalam perusahaan wajib mempelajari dan mematuhi aturan yang berlaku di perusahaan.

TUJUAN AUDIT

HRS-04 Employment Termination

Peran dan tanggung jawab untuk melakukan pemutusan hubungan kerja atau perubahan prosedur kerja harus ditetapkan, didokumentasikan, dan dikomunikasikan.

LANGKAH KERJA:

HRS-04.1 Apakah ada kebijakan, prosedur, dan pedoman yang terdokumentasi untuk mengatur perubahan dalam pekerjaan dan/atau pemutusan hubungan kerja?

7

HRS-04.2 Apakah prosedur dan pedoman di atas memperhitungkan pencabutan akses dan pengembalian aset secara tepat waktu?

6

Rata-Rata 7

Adanya sistem yang kuat dan diikuti oleh perusahaan dalam proses pemberhentian karyawan.

TUJUAN AUDIT

HRS-05

Portable / Mobile Devices

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis dan langkah-langkah teknis yang diterapkan, untuk mengelola risiko bisnis yang terkait dengan mengizinkan akses perangkat seluler ke sumber daya perusahaan dan mungkin memerlukan penerapan kontrol kompensasi jaminan yang lebih tinggi serta kebijakan dan prosedur penggunaan yang dapat

(28)

Page 3 of 6 HRS-05.1 (misalnya, laptop, ponsel, dan asisten digital pribadi (PDA)), yang umumnya berisiko lebih

tinggi daripada non- perangkat portabel (misalnya, komputer desktop di fasilitas organisasi penyedia)?

Rata-Rata 10

Khusus untuk karyawan data center ada pembatasan strict terkait hal ini , namun untuk yang tidak berhubungan langsung hanyak akan dibatasi melalui dari firewall perusahaan atau ada proses-proses yang harus dilalui .

TUJUAN AUDIT

HRS-06

Non-Disclosure Agreements

Persyaratan untuk perjanjian kerahasiaan atau kerahasiaan yang mencerminkan kebutuhan organisasi untuk perlindungan data dan rincian operasional harus diidentifikasi, didokumentasikan, dan ditinjau pada interval yang direncanakan.

LANGKAH KERJA:

HRS-06.1

Apakah persyaratan untuk perjanjian non-pengungkapan atau kerahasiaan yang mencerminkan kebutuhan organisasi untuk perlindungan data dan rincian operasional diidentifikasi, didokumentasikan, dan ditinjau pada interval yang direncanakan?

10

Rata-Rata 10

Adanya bukti sistem ini diterapkan dan mampu mengelola kejadian kontinjensi serta aktivitas rutin.

TUJUAN AUDIT

HRS-07 Roles / Responsibilities

Peran dan tanggung jawab kontraktor, karyawan, dan pengguna pihak ketiga harus didokumentasikan karena terkait dengan aset dan keamanan informasi.

LANGKAH KERJA:

HRS-06.1 Apakah Anda memberi penyewa dokumen definisi peran yang menjelaskan tanggung jawab administratif Anda versus tanggung jawab penyewa?

8

Rata-Rata 8

TUJUAN AUDIT

HRS-08 Acceptable Use

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis dan langkah-langkah teknis yang diterapkan, untuk menentukan kelonggaran dan kondisi untuk mengizinkan penggunaan perangkat titik akhir pengguna yang dimiliki atau dikelola organisasi (misalnya, workstation, laptop, dan perangkat seluler yang dikeluarkan) dan infrastruktur TI komponen jaringan dan sistem. Selain itu, menetapkan kelonggaran dan ketentuan untuk mengizinkan

(29)

Page 4 of 6 penggunaan perangkat seluler pribadi dan aplikasi terkait dengan akses ke sumber daya perusahaan (yaitu, BYOD) harus dipertimbangkan dan digabungkan sebagaimana mestinya.

LANGKAH KERJA:

HRS-08.1

Apakah Anda memiliki kebijakan dan prosedur untuk menentukan kelonggaran dan ketentuan untuk mengizinkan penggunaan perangkat titik akhir pengguna yang dimiliki atau dikelola organisasi dan komponen jaringan dan sistem infrastruktur TI ?

3

HRS-08.2 Apakah Anda mendefinisikan kelonggaran dan ketentuan untuk perangkat BYOD dan aplikasinya untuk mengakses sumber daya perusahaan?

2

Rata-Rata 3

Ada beberapa bukti apakah sistem yang terdokumentasi atau cara kerja yang diterima sudah ada

No - Deskripsi Kondisi HRS-08.1, HRS-08.2 Kriteria

(Diisi Auditor)

Prosedur harus ditetapkan, dan mendukung proses bisnis dan langkah-langkah teknis yang diterapkan, untuk menentukan kelonggaran dan kondisi untuk mengizinkan penggunaan perangkat titik akhir pengguna yang dimiliki atau dikelola organisasi (misalnya, workstation, laptop, dan perangkat seluler yang dikeluarkan) dan infrastruktur TI komponen jaringan dan sistem. Selain itu, menetapkan kelonggaran dan ketentuan untuk mengizinkan penggunaan perangkat seluler pribadi dan aplikasi terkait dengan akses ke sumber daya perusahaan (yaitu, BYOD) harus dipertimbangkan dan digabungkan sebagaimana mestinya.

Akar Penyebab (Diisi Auditor berdasar diskusi dengan auditee)

Sebenarnya sudah ada untuk term and agreement ketika laptop luar memasuki jaringan perusahaan hanya kurang begitu dimanage/ ditekankan dan juga untuk penggunaan kabel LAN dalam mengakses jaringan perusahaan belum ada prosedur tertentu dalam hal ini. Untuk lebih detail alas an perlunya diskusi langsung dengan Tim HR.

Rekomendasi (Diisi oleh Auditor)

Perusahaan dapat menerapkan sistem seperti persyaratan dalam penanggulangan data dan klasifikasi data yang mengandung spesifikasi terkait : data encryption, content in transit, access, retention, physical controls, mobile devices. Dengan hal ini pegawai wajib menandatangani kontrak kerja dengan tanggung jawab terhadap keseluruhan standar perusahaan dan keamanan informasi.

Tanggapan Auditi (Diisi auditee)

Harus dikomunikasikan terlebih dahulu kepada tim HR dan compliance terkait hal ini

Rencana Perbaikan (Diisi Auditee) Due Date PIC

-

Rencana Pencegahan (Diisi Auditee) Due Date PIC

Harus dikomunikasikan terlebih dahulu kepada tim HR dan compliance terkait hal ini - Siauw Nam Khong

TUJUAN AUDIT

HRS-09 Training / Awareness

Program pelatihan kesadaran keamanan harus ditetapkan untuk semua kontraktor, pengguna pihak ketiga, dan karyawan organisasi dan diberi mandat bila perlu. Semua individu dengan akses ke data organisasi harus menerima pelatihan kesadaran yang sesuai dan pembaruan rutin dalam prosedur, proses, dan kebijakan organisasi yang berkaitan dengan fungsi profesional mereka relatif terhadap organisasi.

LANGKAH KERJA:

(30)

Page 5 of 6

Rata-Rata 8

TUJUAN AUDIT

HRS-10 User Responsibility

Semua personel harus disadarkan akan peran dan tanggung jawab mereka untuk:

• Menjaga kesadaran dan kepatuhan terhadap kebijakan dan prosedur yang ditetapkan serta kewajiban kepatuhan hukum, undang-undang, atau peraturan yang berlaku.

• Menjaga lingkungan kerja yang aman dan terjamin

LANGKAH KERJA:

HRS-10.1

Apakah pengguna disadarkan akan tanggung jawab mereka untuk menjaga kesadaran dan kepatuhan terhadap kebijakan keamanan yang dipublikasikan, prosedur, standar, dan persyaratan peraturan yang berlaku?

6

HRS-10.2 Apakah pengguna disadarkan akan tanggung jawab mereka untuk menjaga lingkungan kerja yang aman dan terlindungi?

5

HRS-10.3 Apakah pengguna disadarkan akan tanggung jawab mereka untuk meninggalkan peralatan tanpa pengawasan dengan cara yang aman?

5

Rata-Rata 5

Ada pemilik area kontrol yang teridentifikasi dengan jelas dan memahami ruang lingkup tanggung jawab mereka.

TUJUAN AUDIT

HRS-11 Workspace

Kebijakan dan prosedur harus ditetapkan untuk mensyaratkan bahwa ruang kerja tanpa pengawasan tidak memiliki dokumen sensitif yang terlihat secara terbuka (misalnya, pada desktop) dan sesi komputasi pengguna telah dinonaktifkan setelah periode tidak aktif yang ditetapkan.

LANGKAH KERJA:

HRS-11.1 Apakah kebijakan dan prosedur manajemen data Anda mengatasi konflik kepentingan penyewa dan tingkat layanan?

7

HRS-11.2 Apakah kebijakan dan prosedur manajemen data Anda mencakup audit kerusakan atau fungsi integritas perangkat lunak untuk akses tidak sah ke data penyewa?

N/A

HRS-11.3

Apakah infrastruktur manajemen mesin virtual menyertakan audit kerusakan atau fungsi integritas perangkat lunak untuk mendeteksi perubahan pada pembuatan/konfigurasi mesin virtual?

N/A

Rata-Rata 7

(31)

Page 6 of 6 Terdapat bukti adanya sistem yang kuat yang mencakup semua operasi rutin di area kontrol.

Pimpinan

Direview oleh:

(32)

Page 1 of 8

IAM (Identity & Access Management) IAM-01- Audit Tools Access

IAM-02- User Access Policy

IAM-03- Diagnostic / Configuration Ports Access IAM-04- Policies and Procedures

IAM-05- Segregation of Duties

IAM-06- Source Code Access Restriction IAM-07- Third Party Access

IAM-08- User Access Restriction / Authorization IAM-09- User Access Authorization

IAM-10- User Access Reviews IAM-11- User Access Revocation IAM-12- User ID Credentials IAM-13- Utility Programs Access

Online Google Meet IAM (Identity & Access Management) 15 Mei 2021

Angelia Chandra

TUJUAN AUDIT

IAM-01 Audit Tools Access

Akses ke, dan penggunaan, alat audit yang berinteraksi dengan sistem informasi organisasi harus disegmentasikan dan dibatasi dengan tepat untuk mencegah kompromi dan penyalahgunaan data log.

LANGKAH KERJA:

IAM-01.1

Apakah Anda membatasi, mencatat, dan memantau akses ke sistem manajemen keamanan informasi Anda (misalnya, hypervisor, firewall, pemindai kerentanan, sniffer jaringan, API, dll.)?

9

IAM-01.2 Apakah Anda memantau dan mencatat akses istimewa (misalnya, tingkat administrator) ke

sistem manajemen keamanan informasi?

9

Rata-Rata 9

Terdapat bukti bahwa orang-orang kritis yang beroperasi di area kontrol telah dilatih/terampil dengan tepat untuk mengelola operasi rutin di area kontrol.

(33)

Page 2 of 8

TUJUAN AUDIT

IAM-02 User Access Policy

Kebijakan dan prosedur harus ditetapkan, dan mendukung proses bisnis dan langkah-langkah teknis yang diterapkan, untuk memastikan pengembangan dan/atau perolehan data baru, aplikasi fisik atau virtual, jaringan infrastruktur dan komponen sistem, atau fasilitas perusahaan, operasi dan/atau pusat data. telah diotorisasi sebelumnya oleh pimpinan bisnis organisasi atau peran atau fungsi bisnis lain yang dapat dipertanggungjawabkan.

LANGKAH KERJA:

IAM-02.1 Apakah Anda memiliki kontrol yang memastikan penghapusan akses sistem secara tepat waktu

yang tidak lagi diperlukan untuk tujuan bisnis?

9

IAM-02.2 Apakah Anda menyediakan metrik untuk melacak kecepatan Anda dapat menghapus akses

sistem yang tidak lagi diperlukan untuk tujuan bisnis?

9

Rata-Rata 9

TUJUAN AUDIT

IAM-03 Diagnostic / Configuration

Ports Access

Akses pengguna ke port diagnostik dan konfigurasi harus dibatasi untuk individu dan aplikasi yang berwenang.

LANGKAH KERJA:

IAM-03.1 Apakah Anda menggunakan jaringan aman khusus untuk menyediakan akses manajemen ke

infrastruktur layanan cloud Anda?

12

Rata-Rata 12

Terdapat bukti bahwa masukan dari berbagai pemangku kepentingan dan sistem pemantauan dan pengukuran telah diperhitungkan saat meningkatkan operasi di area kontrol.

TUJUAN AUDIT

IAM-04 Policies and Procedures

Kebijakan dan prosedur harus ditetapkan untuk menyimpan dan mengelola informasi identitas tentang setiap orang yang mengakses infrastruktur TI dan untuk menentukan tingkat akses mereka. Kebijakan juga harus dikembangkan untuk mengontrol akses ke sumber daya jaringan berdasarkan identitas pengguna.

LANGKAH KERJA:

IAM-04.1 Apakah Anda mengelola dan menyimpan identitas semua personel yang memiliki akses ke

infrastruktur TI, termasuk tingkat aksesnya?

9

IAM-04.2 Apakah Anda mengelola dan menyimpan identitas pengguna semua personel yang memiliki

akses jaringan, termasuk tingkat aksesnya?

9

Rata-Rata 9

(34)

Page 3 of 8

IAM-05.1 Apakah Anda memberikan dokumentasi kepada penyewa tentang cara Anda mempertahankan

pemisahan tugas dalam penawaran layanan cloud Anda?

1

Rata-Rata 1

Tidak ada bukti adanya sistem untuk mengelola area kontrol.

No - Deskripsi Kondisi IAM-05.1

Kriteria

(Diisi Auditor)

Kebijakan dan prosedur akses pengguna harus ditetapkan, dan mendukung proses bisnis dan langkah-langkah teknis yang diterapkan, untuk membatasi akses pengguna sesuai dengan pemisahan tugas yang ditentukan untuk mengatasi risiko bisnis yang terkait dengan konflik kepentingan peran pengguna.

Akar Penyebab

(Diisi Auditor berdasar diskusi dengan auditee)

Tidak ada penyebab khusus memang hanya belum diterapkan saja.

Rekomendasi

(Diisi oleh Auditor)

Dapat dibuat dokumentasi yang bisa diakses secara umum terkait best practice dalam identity & access management.

Tanggapan Auditi

(Diisi auditee)

Belum ada rencana kearah situ , mungkin kedepannya jika sudah ada menjual produk yang khusus IAM bisa diterapkan.

Belum dapat di terapkan karena belum adanya rencana pembuatan produk yang sangat berfokus pada IAM, mungkin kedepannya jika dibuat bisa diterapkan.

- Siauw Nam

Khong

- - -

TUJUAN AUDIT

IAM-06 Source Code Access

Restriction

Akses ke aplikasi, program, atau kode sumber objek yang dikembangkan sendiri oleh organisasi, atau bentuk kekayaan intelektual (IP) lainnya, dan penggunaan perangkat lunak berpemilik harus dibatasi dengan tepat mengikuti aturan hak istimewa paling rendah berdasarkan fungsi pekerjaan sesuai akses pengguna yang ditetapkan kebijakan dan prosedur.

LANGKAH KERJA:

IAM-06.1 Apakah ada kontrol untuk mencegah akses tidak sah ke aplikasi, program, atau kode sumber

objek Anda, dan memastikannya dibatasi hanya untuk personel yang berwenang?

9

IAM-06.2 Apakah ada kontrol untuk mencegah akses tidak sah ke aplikasi penyewa, program, atau kode

sumber objek, dan memastikannya dibatasi hanya untuk personel yang berwenang?

9

Rata-Rata 9

(35)

Page 4 of 8

TUJUAN AUDIT

IAM-07 Third Party Access

Identifikasi, penilaian, dan prioritas risiko yang ditimbulkan oleh proses bisnis yang memerlukan akses pihak ketiga ke sistem informasi dan data organisasi harus diikuti dengan aplikasi sumber daya yang terkoordinasi untuk meminimalkan, memantau, dan mengukur kemungkinan dan dampak dari akses yang tidak sah atau tidak tepat. Kontrol kompensasi yang berasal dari analisis risiko harus diterapkan sebelum menyediakan akses.

LANGKAH KERJA:

IAM-07.1 Apakah Anda menyediakan kemampuan pemulihan bencana multi-kegagalan? N/A

IAM-07.2 Apakah Anda memantau kesinambungan layanan dengan penyedia hulu jika terjadi kegagalan

penyedia?

N/A

IAM-07.3 Apakah Anda memiliki lebih dari satu penyedia untuk setiap layanan yang Anda andalkan? N/A

IAM-07.4 Apakah Anda menyediakan akses ke redundansi operasional dan ringkasan kontinuitas,

termasuk layanan yang Anda andalkan?

N/A

IAM-07.5 Apakah Anda memberi penyewa kemampuan untuk menyatakan bencana? N/A

IAM-07.6 Apakah Anda menyediakan opsi failover yang dipicu penyewa? N/A

IAM-07.7 Apakah Anda membagikan rencana kesinambungan dan redundansi bisnis Anda dengan

penyewa Anda?

N/A

Rata-Rata N/A

Kesimpulan hasil analisis. Tidak ada Third Party

TUJUAN AUDIT

IAM-08 User Access Restriction /

Authorization

Kebijakan dan prosedur ditetapkan untuk penyimpanan dan akses identitas yang diizinkan yang digunakan untuk otentikasi guna memastikan identitas hanya dapat diakses berdasarkan aturan dengan hak istimewa paling rendah dan batasan replikasi hanya untuk pengguna yang secara eksplisit didefinisikan sebagai kebutuhan bisnis.

LANGKAH KERJA:

IAM-08.1 Apakah Anda mendokumentasikan bagaimana Anda memberikan dan menyetujui akses ke

data penyewa?

9

IAM-08.2 Apakah Anda memantau kesinambungan layanan dengan penyedia hulu jika terjadi kegagalan

penyedia?

9

Rata-Rata 9

TUJUAN AUDIT

IAM-09 User Access Authorization

Penyediaan akses pengguna (misalnya, karyawan, kontraktor, pelanggan (penyewa), mitra bisnis dan/atau hubungan pemasok) ke data dan aplikasi yang dimiliki atau dikelola organisasi (fisik dan virtual), sistem infrastruktur, dan komponen jaringan harus disahkan oleh organisasi manajemen sebelum akses diberikan dan dibatasi secara tepat sesuai dengan kebijakan dan prosedur yang ditetapkan. Atas permintaan, penyedia harus menginformasikan pelanggan (penyewa) tentang akses pengguna ini, terutama jika data pelanggan (penyewa) digunakan

(36)

Page 5 of 8 sebelum akses mereka ke data dan aplikasi, infrastruktur yang dimiliki atau dikelola (fisik dan

virtual) sistem, dan komponen jaringan?

IAM-09.2

Apakah Anda memberikan akses pengguna berdasarkan permintaan (misalnya, karyawan, kontraktor, pelanggan (penyewa), mitra bisnis dan/atau pemasok) ke data dan aplikasi, sistem infrastruktur, dan komponen jaringan yang dimiliki atau dikelola (fisik dan virtual)?

9

Rata-Rata 9

TUJUAN AUDIT

IAM-10 User Access Reviews

Akses pengguna harus diotorisasi dan divalidasi ulang untuk kesesuaian hak, pada interval yang direncanakan, oleh kepemimpinan bisnis organisasi atau peran atau fungsi bisnis lain yang bertanggung jawab yang didukung oleh bukti untuk menunjukkan bahwa organisasi mematuhi aturan hak istimewa paling rendah berdasarkan fungsi pekerjaan. Untuk pelanggaran akses yang teridentifikasi, perbaikan harus mengikuti kebijakan dan prosedur akses pengguna yang ditetapkan.

LANGKAH KERJA:

IAM-10.1 Apakah Anda memerlukan setidaknya sertifikasi hak tahunan untuk semua pengguna dan

administrator sistem (tidak termasuk pengguna yang dikelola oleh penyewa Anda)?

7

IAM-10.2 Jika pengguna ditemukan memiliki hak yang tidak pantas, apakah semua tindakan remediasi

dan sertifikasi dicatat?

7

IAM-10.3 Apakah Anda akan membagikan remediasi hak pengguna dan laporan sertifikasi dengan

penyewa Anda, jika akses yang tidak sesuai mungkin telah diizinkan ke data penyewa?

6

Rata-Rata 7

TUJUAN AUDIT

IAM-11 User Access Revocation

De-provisioning (pencabutan atau modifikasi) akses pengguna ke data dan aplikasi yang dimiliki atau dikelola secara organisasi (fisik dan virtual), sistem infrastruktur, dan komponen jaringan, harus diterapkan sesuai kebijakan dan prosedur yang ditetapkan dan berdasarkan perubahan status pengguna (misalnya, pemutusan hubungan kerja atau hubungan bisnis lainnya, perubahan pekerjaan, atau transfer). Atas permintaan, penyedia harus menginformasikan pelanggan (penyewa) tentang perubahan ini, terutama jika data pelanggan (penyewa) digunakan sebagai bagian dari layanan dan/atau pelanggan (penyewa) memiliki tanggung jawab bersama atas pelaksanaan kontrol.

LANGKAH KERJA:

(37)

Page 6 of 8

IAM-11.1

Apakah deprovisioning, pencabutan, atau modifikasi akses pengguna secara tepat waktu ke sistem organisasi, aset informasi, dan data diterapkan pada setiap perubahan status karyawan, kontraktor, pelanggan, mitra bisnis, atau pihak ketiga yang terlibat?

9

IAM-11.2 Apakah ada perubahan status akses pengguna yang dimaksudkan untuk mencakup pemutusan

hubungan kerja, kontrak atau perjanjian, perubahan pekerjaan atau transfer dalam organisasi?

9

Rata-Rata 9

TUJUAN AUDIT

IAM-12 User ID Credentials

Kredensial akun pengguna internal perusahaan atau pelanggan (penyewa) harus dibatasi sebagai berikut, memastikan identitas, hak, dan manajemen akses yang sesuai dan sesuai dengan kebijakan dan prosedur yang ditetapkan:

• Verifikasi kepercayaan identitas dan aplikasi layanan-ke-layanan (API) dan interoperabilitas pemrosesan informasi (misalnya, SSO dan Federasi)

• Manajemen siklus hidup kredensial akun dari instantiasi hingga pencabutan

• Kredensial akun dan/atau minimalisasi atau penggunaan kembali penyimpanan identitas bila memungkinkan

• Kepatuhan terhadap otentikasi, otorisasi, dan kepatuhan yang dapat diterima industri dan/atau sesuai peraturan aturan akuntansi (AAA) (misalnya, rahasia autentikasi yang kuat/multifaktor, dapat kedaluwarsa, tidak dibagikan)

LANGKAH KERJA:

IAM-12.1 Apakah Anda mendukung penggunaan, atau integrasi dengan, solusi Sistem Masuk Tunggal

(SSO) berbasis pelanggan yang ada ke layanan Anda?

7

IAM-12.2 Apakah Anda menggunakan standar terbuka untuk mendelegasikan kemampuan autentikasi

kepada penyewa Anda?

7

IAM-12.3 Apakah Anda mendukung standar federasi identitas (misalnya, SAML, SPML,

WS-Federation, dll.) sebagai sarana untuk mengautentikasi/mengotorisasi pengguna?

7

IAM-12.4 Apakah Anda memiliki kemampuan Poin Penegakan Kebijakan (misalnya, XACML) untuk

menegakkan hukum dan kebijakan regional pada akses pengguna?

7

IAM-12.5 Apakah Anda memiliki sistem manajemen identitas (mengaktifkan klasifikasi data untuk

penyewa) untuk mengaktifkan hak berbasis peran dan berbasis konteks untuk data?

7

IAM-12.6 Apakah Anda menyediakan penyewa dengan opsi otentikasi yang kuat (multifaktor) (misalnya,

sertifikat digital, token, biometrik, dll.) untuk akses pengguna?

1

IAM-12.7 Apakah Anda mengizinkan penyewa untuk menggunakan layanan jaminan identitas pihak

ketiga?

1

IAM-12.8

Apakah Anda mendukung penegakan kebijakan sandi (misalnya, panjang minimum, usia, riwayat, kompleksitas) dan penguncian akun (misalnya, ambang penguncian, durasi penguncian)?

9

IAM-12.9 Apakah Anda mengizinkan penyewa/pelanggan untuk menentukan kata sandi dan kebijakan

penguncian akun untuk akun mereka?

(38)

Page 7 of 8 Terdapat bukti bahwa orang-orang kritis yang beroperasi di area kontrol telah dilatih/terampil dengan tepat untuk mengelola operasi rutin di area kontrol.

No - Deskripsi Kondisi IAM-12.6

Kriteria

(Diisi Auditor)

Kredensial akun pengguna internal perusahaan atau pelanggan (penyewa) harus dibatasi, memastikan identitas, hak, dan manajemen akses yang sesuai dan sesuai dengan kebijakan dan prosedur yang ditetapkan.

Akar Penyebab

(Diisi Auditor berdasar diskusi dengan auditee)

Tidak ada penyebab khusus memang hanya belum diterapkan saja untuk sekarang.

Rekomendasi

(Diisi oleh Auditor)

Dapat membuat multifactor authentication dengan lapisan keamanan tambahan lakukan pendekatan umum MFA ke seluruh aplikasi, VPN, desktop Windows, dan Linux. Menanamkan berbagai bentuk otentikasi pengguna modern per sumber daya di luar SMS / email satu kali kata sandi (OTP), termasuk OTP berbasis waktu, pemberitahuan push seluler dan opsi biometrik seperti sidik jari dan pengenalan wajah.

Tanggapan Auditi

(Diisi auditee)

Ada rencana yang ingin dilakukan untuk autentikasi multifaktor untuk produk yang nanti akan dijualkan oleh perusahaan hanya saja untuk implementasinya masih tentatif.

Belum dapat di terapkan karena belum adanya rencana pembuatan produk yang sangat berfokus pada IAM, mungkin kedepannya jika dibuat bisa diterapkan.

- Siauw Nam

Khong

- - -

TUJUAN AUDIT

IAM-13 Utility Programs Access

Program utilitas yang berpotensi mengesampingkan sistem, objek, jaringan, mesin virtual, dan kontrol aplikasi harus dibatasi.

LANGKAH KERJA:

IAM-12.1 Apakah utilitas yang secara signifikan dapat mengelola partisi virtual (misalnya, shutdown,

clone, dll) dibatasi dan dipantau secara tepat?

9

IAM-12.2 Apakah Anda memiliki kemampuan untuk mendeteksi serangan yang menargetkan

infrastruktur virtual secara langsung (misalnya, shimming, Blue Pill, Hyper jumping, dll.)?

9

IAM-12.3 Apakah serangan yang menargetkan infrastruktur virtual dicegah dengan kontrol teknis? 9

Rata-Rata 9

(39)

Page 8 of 8

Pimpinan

Direview oleh: