ANALISIS RESIKO TEKNOLOGI INFORMASI
Jawab pertanyaan-pertanyaan dibawah ini dengan ketentuan sebagai berikut : 1. Pertanyaan dengan pilihan jawaban a,b,c...dst pilih salah satu yang anda anggap sesuai dengan kondisi di kantor anda 2. Pertanyaan dengan pilihan jawaban I, II, III...dst pilih beberapa jawaban yang anda anggap sesuai dengan kondisi kantor anda
BUSINESS PROFILE 1. Berapa jumlah komputer dan laptop yang terhubung dengan jaringan kantor a. Kurang dari 50 b. 50 hingga 149 c. 150 hingga 299 d. 300 hingga 399 e. 400 hingga 500 f. Lebih dari 500 2. Berapa jumlah server di kantor a. Tidak ada b. 1 hingga 5 c. 6 hingga 10 d. 11 hingga 25 e. Lebih dari 25 3. Apakah kantor terhubung dengan internet selama 24 jam a. Ya b. tidak 4. Apakah pelanggan dan vendor mengakses dapat mengakses jaringan internal melalui internet a. Ya b. tidak 5. Apakah kantor memiliki hosting internal untuk layanan portal atau website untuk pelanggan atau rekanan a. Ya b. tidak 6. Apakah kantor memiliki layanan yang dapat digunakan bersama oleh karyawan, pelanggan dan rekanan dan diimplementasikan dalam segemen jaringan yang sama a. Ya b. tidak 7. Apakah rekanan atau pelanggan dapat terhubung langsung dengan backend jaringan internal untuk membaca, pemuktahiran fungsi lain terhadap data a. Ya b. tidak 8. Apakah basis data yang digunakan untuk mendukung aplikasi eksternal dengan layanan internal berada pada infrastruktur yang sama a. Ya b. tidak System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 9. Apakah karyawan dan vendor diijinkan untuk mengakses layanan internal dari luar kantor a. Ya b. tidak 10. Apakah karyawan diijinkan untuk membuat sistem server pribadi di kantor seperti web server untuk penelitian a. Ya b. tidak 11. Apakah data konfidensil diijinkan untuk dialih mediakan untuk pemrosesan (diluar mekanisme standard seperti pita dan media backup lain) a. Ya b. tidak 12. Apakah jika ada pengecualian pada sistem pengamanan akan berdampak besar pada proses bisnis kantor a. Ya b. tidak 13. Apakah kantor anda berbabagi ruang/gedung dengan kantor lain a. Ya b. tidak 14. Apakah kantor anda mengembangkan aplikasi a. Ya b. tidak 15. Apakah pengembang aplikasi diijinkan mengakses sumber daya internal dari luar kantor atau melakukan pengembangan jarak jauh a. Ya b. tidak 16. Apakah kantor anda mengembangkan aplikasi untuk pelanggan, rekanan atau kelompok tertentu a. Ya b. tidak 17. Apakah pengembang aplikasi diijinkan melakukan pengujian implementasi aplikasi dari luar kantor a. Ya b. tidak 18. Apakah staf TI bertindak sebagai pembantu (bukan pengembang, hanya membantu vendor) pada pengembangan aplikasi bisnis a. Ya b. tidak 19. Apakah kantor membutuhkan data yang disimpan, diolah atau didistribusikan oleh pihak ketiga a. Ya b. tidak 20. Apakah data pelanggan disimpan di media yang sama dengan data/sumber daya kantor a. Ya b. tidak 21. Apakah kantor anda bergantung pada vendor pengembang aplikasi untuk menyelenggarakan layanan bisnis a. Ya b. tidak
System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 22. Apakah kantor anda menyelenggarakan layanan yang membutuhkan pemrosesan data atau data mining a. Ya b. tidak 23. Apakah pemrosesan data oleh aplikasi internal kantor dianggap penting bagi operasional kantor a. Ya b. tidak 24. Apakah aplikasi bisnis kantor yang dianggap penting dapat diakses melalui internet a. Ya b. tidak 25. Siapakah target pengguna aplikasi bagi kantor anda a. Karyawan b. Pelanggan c. Karyawan dan Pelanggan 26. Bagaimana cara mengakses aplikasi utama a. Dari dalam kantor b. Dari dalam dan luar kantor 27. Apakah vendor dan pelanggan terhubung dengan jaringan kantor melalui jaringan komputer a. Ya b. tidak 28. Apakah kantor anda memperoleh keuntungan dari penyimpanan dan distribusi data a. Ya b. tidak 29. Apakah telah terjadi pergantian teknologi secara besar-besaran dalam 6 bulan terakhir a. Ya b. tidak 30. Apakah kantor anda mengandalkan penerimaan data dari pihak ketiga a. Ya b. tidak 31. Apakah insiden pada aplikasi pelanggan atau infrastruktur (seperti listrik yang situs atau kegagalan perangkat keras atau aplikasi) berdampak pada keuntungan kantor a. Ya b. tidak 32. Apakah kantor anda menyimpan data penting pelanggan a. Ya b. tidak 33. Apakah komponen infrastruktur atau aplikasi pelanggan bergantung pada akses ke sumber daya di dalam kantor a. Ya b. tidak 34. Apakah komponen infrastruktur atau aplikasi pelanggan berbagi pakai dengan pelanggan lain a. Ya b. tidak 35. Apakah teknologi informasi penting bagi kantor anda a. Ya b. tidak
System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 36. Apakah semua karyawan menggunakan komputer saat bekerja a. Ya b. tidak 37. Apakah perawatan atau bahkan kepemilikan infrastruktur dilakukan oleh pihak ketiga a. Ya b. tidak 38. Apakah kantor anda memiliki rencana jangkan menengah dan jangka panjang untuk investasi teknologi a. Ya b. tidak 39. Apakah kantor anda berusaha menjadi yang pertama dalam mengadopsi teknologi a. Ya b. tidak 40. Apakah teknologi yang dipilih berdasarkan perjanjian hak cipta atau kerjasama tertentu a. Ya b. tidak 41. Apakah teknologi yang dipilih dibatasi oleh pengetahuan/kemampuan staf TI a. Ya b. tidak 42. Bila kantor anda melakukan akusisi, apakah jaringan kantor akan diperluas kepada kantor baru tersebut a. Ya b. tidak 43. Apakah karyawan diijinkan mengunduh data pelanggan atau data perusahaan lain yang sensitif a. Ya b. tidak 44. Apakah akses karyawan kepada informasi dibatasi oleh perannya dalam kantor a. Ya b. tidak 45. Apakah kantor anda mengimplementasikan teknologi baru sebelum menguji keamanannya a. Ya b. Tidak 46. Apakah aku kredensial diubah menjadi akun khusus secara rutin a. Ya b. tidak 47. Apakah perubahan aku kredensial menjadi khusus dilakukan setelah mendapat persetujuan dari akun diatasnya a. Ya b. tidak 48. Kantor anda bergerak di segmen a. Layanan TI b. Keuangan c. Industri / Manufaktur d. Hukum e. Periklanan f. Perdagangan g. Lain-lain System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 49. Berapa ukuran perusahaan a. Kurang dari 10 orang b. 10 hingga 49 orang c. 50 hingga 149 orang d. 150 hingga 299 orang e. 300 hingga 399 orang f. 400 hingga 500 orang g. Lebih dari 500 orang 50. Apakah kantor anda memiliki cabang a. Ya b. tidak 51. Apakah kantor anda berfokus pada penelitian sehingga spionase dan hak cipta sangat diperhatikan a. Ya b. tidak 52. Apakah teknologi di kantor anda memiliki nilai balik yang tinggi a. Ya b. tidak 53. Apakah kantor anda lebih tertarik pada satu merek teknologi a. Ya b. tidak 54. Apakah di kantor anda apa aplikasi yang sudah tidak didukung pengembang a. Ya b. tidak 55. Apakah vendor aplikasi anda memiliki reputasi yang baik a. Ya b. Tidak
APLIKASI 1. Apakah perusahaan anda memiliki aplikasi bisnis? Yes a. Ya b. Tidak 2. Apakah anda menggunakan Custom Macros untuk aplikasi Office (seperti Word, Excel atau Access)? Yes a. Ya b. Tidak 3. Mekanisme apa saja yang memastikan ketersediaan aplikasi? a. Load Balancing b. Clustering c. Testing aplikasi secara beraturan dan Data Recovery d. Tidak ada 4. Apakah tim internal perusahaan telah mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda? a. Ya b. Tidak 5. Apakah tim development internal perusahaan menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan? a. Ya b. Tidak System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 6. Apakah konsultan/vendor luar mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda? a. Ya b. Tidak 7. Fase pengembangan apa saja yang melibatkan jasa konsultan/vendor? a. Design b. Code Development c. Testing / Quality Assurance d. Final Review 8. Apakah vendor luar menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan? a. Ya b. Tidak 9. Metodologi pengembangan keamanan software apa saja yang dipraktekkan pada perusahaan anda? a. CLASP b. Cigital-Touchpoints c. Microsoft Security Development Lifecycle d. TSP(sm) for Secure Systems Development e. Yang lain f. Tidak ada 10. Apakah perusahaan anda mengetahui kelemahan keamanan yang sekarang ini masih ada dalam aplikasi yang telah digunakan? a. Ya b. Tidak 11. Apakah perusahaan anda mempunyai prosedur untuk mengatasi kerentanan keamanan? a. Ya b. Tidak 12. Apakah perusahaan anda memberikan training security untuk staf bagian development & testing? a. Ya b. Tidak 13. Berapa persenkah staf bagian development & testing di perusahaan anda yang ditraining untuk praktek pengembangan keamanan? a. 100% b. 75% c. 50% d. 25% e. 10% f. 0 14. Apakah perusahaan anda melakukan update tahunan atas training pengembangan security yg diberikan kepada staf development? a. Ya, Rutin b. Ya, Kadang-kadang c. Tidak 15. Apakah perusahaan anda bergantung pada beberapa software sebagai bagian dari proses pengujian dan audit untuk pengembangan perangkat lunak yang aman? a. Ya, untuk semua proyek b. Ya, untuk beberapa proyek c. Tidak 16. Apakah saat ini ada kontrol yang mengatur kebijakan password untuk aplikasi yang penting? a. Ya b. Tidak System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 17. Pilih kontrol password yang diberlakukan di seluruh aplikasi penting: a. Complex Passwords b. Password Expiration c. Account Lockout 18. Pilih metode otentikasi yang paling umum digunakan untuk aplikasi penting dari daftar di bawah ini? a. Multifactor authetication b. Tidak ada c. Simple Password d. Complex Password 19. Apakah aplikasi penting di lingkungan anda memiliki mekanisme yang membatasi akses ke data sensitif dan funsional ? a. Ya b. Tidak 20. Apakah aplikasi penting di lingkungan anda mencatat pesan-pesan di dalam log file untuk keperluan analisis dan audit? a. Ya b. Tidak 21. Pilih jenis kejadian pada saat login : a. Failed Authentication Attempts b. Successful Authentications c. Application Errors d. Access Denied To Resources e. Success Access to Resources f. Changes to Data g. Changes to User Accounts 22. Apakah data input data divalidasi oleh aplikasi yang digunakan? a. Ya b. Tidak 23. Pilih input aplikasi dari daftar di bawah ini untuk validasi yang dilakukan: a. End Users b. Client Applications c. Data Feeds 24. Apakah aplikasi utama melakukan enkripsi atas data bisnis yang sensitif dan penting pada saat diproses? a. Ya b. Tidak 25. Pilih tahapan yang berbeda dimana enkripsi digunakan : a. Transmission and Storage b. Transmission c. Storage 26. Algoritma enkripsi berikut mana sajakah yang digunakan ? i. Data Encryption Standard (DES) ii. Triple DES (3DES) iii. RC2,RC4,RC5 iv. Advance Encryption Standard (AES4 /Rijndael) v. MD5 Hash vi. SHA-1 Hash vii. Twofish viii. Blowfish ix. Algoritma pribadi perusahaan x. Tidak Tahu
System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI
INFRASTRUKTUR 1. Apakah perusahaan anda menggunakan firewall atau kontrol akses untuk menjaga aset perusahaan? a. Ya b. Tidak 2. Apakah perusahaan anda menggunakan kontrol ini pada setiap lokasi kantor? a. Ya b. Tidak 3. Apakah perusahaan anda menggunakan DMZ yang memisahkan jaringan internal dan eksternal untuk pelayanan? a. Ya b. Tidak 4. Apakah perusahaan anda memiliki layanan internet di jaringan perusahaan? a. Ya b. Tidak 5. Apakah perusahaan anda menggunakan perangkat lunak firewall untuk melindungi server-server? a. Ya b. Tidak 6. Apakah perusahaan anda menggunakan perangkat keras atau perangkat lunak pendeteksi gangguan untuk mengidentifikasi serangan? a. Ya b. Tidak 7. Pilih tipe sistem pendeteksi gangguan yang digunakan? i. Network Based IDS (NIDS) ii. Host Based IDS (HIDS) 8. Apakah solusi anti virus diimplementasikan di lingkungan anda? a. Ya b. Tidak 9. Pilih sistem yang telah menggunakan anti virus? i. Server E-Mail ii. Pengelola Host (gateway, proxy, relay, dll) iii. Desktop iv. Server (Web, Basis data) 10. Apakah akses jarak jauh ke jaringan perusahaan tersedia? a. Ya b. Tidak 11. Pilih siapa yang dapat mengakses ke jaringan perusahaan secara jarak jauh? a. Pegawai b. Kontraktor c. Vendor, pelanggan atau pihak ketiga terpercaya lain 12. Apakah teknologi VPN digunakan untuk menyediakan sambungan yang aman terhadap aset perusahaan oleh pengguna akses jarak jauh? a. Ya b. Tidak
System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 13. Apakah VPN dapat membatasi semua sambungan ke jaringan tertentu sampai client melewati semua pemeriksaan keamanan? a. Ya b. Tidak 14. Apakah multi autentikasi diperlukan untuk pengguna akses jarak jauh? a. Ya b. Tidak 15. Apakah jaringan memiliki lebih dari satu segmen? a. Ya b. Tidak 16. Apakah segmentasi jaringan yang digunakan untuk memisahkan customer eksternal dan layanan extranet dari aset perusahaan? a. Ya b. Tidak 17. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan fungsi yang sama atau layanan yang diberikan? a. Ya b. Tidak 18. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan penyedia layanan yang diperlukan oleh pengguna untuk terhubung? a. Ya b. Tidak 19. Apakah sudah dibuatkan rencana dan dokumentasi untuk mengatur alokasi alamat dari TCP/IP untuk sistem sesuai dengan segmen yang dibutuhkan? a. Ya b. Tidak 20. Apakah koneksi wireless ke jaringan tersedia? a. Ya b. Tidak 21. Manakah dari kontrol keamanan yang digunakan untuk mengatur sambungan ke jaringan wireless? i. Changing the default/preset network name (also known as Service Set Identifier, or SSID) on the access point ii. Menonaktifkan SSID boardcast iii. Mengaktifkan Wired Equivalent Privacy (WEP) iv. Mengaktifkan Wi-Fi Protected Access (WPA) v. Pembatasan hardware atau alamat fisik (biasa dikenal Media Access Control, or MAC) vi. Koneksi nirkabel dilakukan diluar firewall atau diluar segmen jaringan kabel 22. Apakah saat ini sudah ada kontrol untuk mengatur kebijakan password pada berbagai jenis account? a. Ya b. Tidak 23. Pilih account yang saat ini ada untuk mengontrol kebijakan password? i. Administrator ii. User iii. Remote Access 24. Indikasikan pilihan autentikasi yang digunakan oleh akses administratif untuk mengelola perangkat dan host? System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI
25.
26.
27.
28.
29.
30.
31.
32.
33.
a. Otentikasi multifaktor b. Tidak Ada c. Password sederhana d. Password Kompleks Indikasikan pilihan autentikasi yang digunakan untuk jaringan internal dan akses host oleh pengguna internal? a. Otentikasi multifaktor b. Tidak Ada c. Password sederhana d. Password Kompleks Indikasikan pilihan autentikasi yang digunakan untuk akses jarak jauh oleh pengguna? a. Otentikasi multifaktor b. Tidak Ada c. Password sederhana d. Password Kompleks Apakah penguncian account diaktifkan untuk memblokir akses terhadap account yang dalam sejumlah waktu gagal untuk melakukan login? a. Ya b. Tidak Apakah perusahaan anda memiliki proses peninjauan administrasi yang tidak aktif, penggunaan internal, vendor, dan pengguna akses jarak jauh? a. Ya b. Tidak Apakah perusahaan anda mengkonfigurasi sistem secara sendiri atau dilakukan oleh penjual perangkat keras? a. Dibangun oleh Pegawa b. Dibangun oleh penjual perangkat keras Manakah dari berikut ini dibangun berdasarkan dari sebuah image atau sebuah konfigurasi yang secara formal didokumentasikan? i. Workstations dan Laptop ii. Server iii. Tidak ada Apakah konfigurasi ini termasuk prosedur hardening? a. Ya b. Tidak Manakah dari berikut ini solusi yang telah terpasang pada tempat kerja karyawan dan laptop? a. Personal firewall software b. Spyware detection dan removal software c. Disk encryption software d. Remote control / management software e. Password-protected screen saver f. Modem Apakah perusahaan anda memiliki prosedur formal untuk respon insiden? a. Ya b. Tidak
System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 34. Apakah perusahaan anda memiliki kebijakan dan prosedur untuk melaporkan masalah keamanan atau insiden? a. Ya b. Tidak 35. Apakah kontrol keamanan fisik sudah dipasang untuk melindungi aset perusahaan? a. Ya b. Tidak 36. Manakah dari kontrol keamanan berikut ini yang digunakan? i. Sistem alarm untuk mendeteksi penyusupan ii. Peralatan jaringan (switches, cabling, Internet connection) diamankan di ruangan terrkunci dan akses terbatas iii. Peralatan jaringan terkunci di lemari/rak iv. Server terkunci didalam ruangan dengan akses terbatas v. Server terkunci di lemari/rak vi. Workstation diamankan dengan rantai/teralis vii. Laptop diamankan dengan rantai viii. Dokumen fisik rahasia disimpan dilemari terkunci 37. Manakah dari akses kontrol keamanan fisik yang digunakan? i. ID pegawai dan tamu ii. Pengawalan terhadap tamu iii. Pencatatan data tamu iv. Kendali pintu masuk
PEOPLE 1. Apakah memiliki seseorang atau sekelompok orang yang bertanggung jawab dalam segi keamanan perusahaan? a. Ya b. Tidak 2. Apakah individu dan kelompok tersebut memiliki keahlian dalam bidang keamanan? a. Ya b. Tidak 3. Apakah individu atau kelompok tersebut terlibat dalam mendefinisikan kebutuhan keamaanan terhadap teknologi yang baru dan teknologi yang sudah ada? a. Ya b. Tidak 4. Pada tahapan manakah dari siklus teknologi yang melibatkan individu atau sekelompok orang yang bertanggung jawab dalam hal keamanan ? i. Perencanaan dan Desain ii. Implementasi iii. Testing iv. Penerapan 5. Apakah peranan dan tanggung jawab ditetapkan dengan baik untuk setiap individu yang terlibat dalam keamanan informasi ? a. Ya b. Tidak
System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 6. Apakah melakukan penilaian keamanan terhadap lingkungan melalui pihak ketiga yang independen ? a. Ya b. Tidak 7. Seberapa sering penilaian/evaluasi penilaian keamanan (pada nomor 6) dilakukan ? a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun d. Tiap 2 tahun atau kurang 8. Pilihan bidang analisis yang terlibat didalam penilaian penilaian keamanan (pada nomor 6) i. Infrastruktur ii. Aplikasi iii. Kebijakan / Aturan iv. Audit 9. Apakah melakukan penilaian keamanan lingkungan secara internal? a. Ya b. Tidak 10. Seberapa sering penilaian/evaluasi keamanan lingkungan (pada nomor 9) dilakukan ? a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun d. Tiap 2 tahun atau kurang 11. Pilihan bidang analisis yang terlibat didalam penilaian keamanan lingkungan (pada nomor 9) i. Infrastruktur ii. Aplikasi iii. Kebijakan / Aturan iv. Audit 12. Apakah dilakukan pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja ? a. Ya b. Tidak 13. Pilihlah pilihan mana yang paling tepat untuk pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja a. Pemeriksaan latar belakang untuk seluruh calon pegawai b. Pemeriksaan latar belakang untuk calon pegawai di posisi kritis / sensitif 14. Apakah mempunyai prosedur yang formal apabila karyawan ingin keluar dari perusahaan ? a. Ya b. Tidak 15. Pilihlah pilihan mana yang merupakan kebijakan formal apabila seorang karyawan ingin keluar (berhenti bekerja) a. Hostile Exits b. Friendly Exits 16. Apakah perusahaan memiliki sebuah kebijkasaan dalam mengatur hubungan pihak ketiga ? a. Ya b. Tidak 17. Apakah ada "awarness program" ? a. Ya System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 18.
19.
20.
21.
22.
b. Tidak Berapa persen karyawan telah berpartisipasi dalam "awarness program" ? a. Kurang dari 25% b. 25% - 49% c. 50% - 75% d. Lebih dari 75% Topik "awarness" mana yang telah masuk kedalam pelatihan ? i. Company security policies and controls ii. Reporting suspicious activity iii. Privacy iv. E-mail security, including spam and attachment handling v. Internet security, including web surfing and downloads vi. Computer security, including use of personal firewalls and encryption Seberapa seringkah pelatihan ini ditawarkan terhadap karyawan ? a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun d. Tiap 2 tahun atau kurang Apakah pelatihan yang ditawarkan kepada karyawan sesuai dengan peranannya ? a. Ya b. Tidak Pilihan pelatihan apa saja yang dilakukan sesuai dengan peranan masing-masing karyawan ? i. Operations Security ii. Infrastructure Security iii. Application Security iv. Incident Readiness and Response
OPERATIONS 1. Bagaimana pengelolaan lingkungan TI ? a. Pengelolaan dilakukan kantor b. Pengelolaan dilakukan pihak luar 2. Apakah kantor anda menggunakan manajemen hosts yang secara khusus menjamin keamanan pengelolaan sistem dan peralatan ? a. Ya b. Tidak 3. Sistem apa saja yang menggunakan manajemen hosts secara khusus ! i. Sistem/peralatan jaringan ii. Server 4. Apakah login untuk kegiatan normal/operasional dan kegiatan administratif/management dilakukan secara terpisah ? a. Ya b. Tidak 5. Apakah user diijinkan untuk mengakses komputer / laptop mereka sebagai administrator ? a. Ya b. Tidak 6. Apakah firewall diuji secara rutin untuk menjamin kinerjanya ? System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
a. Ya b. Tidak Apakah kantor anda memiliki Rencana Pemulihan Bencana (Disaster Recovery Plan) dan Rencana Pemulihan Pelaksanaan Bisnis (Business Resumption Plan) ? a. Ya b. Tidak Apakah kedua rencana (di nomor 7) diuji secara rutin ? a. Ya b. Tidak Apakah ada model untuk menguji titik kritis pada setiap level komponen lingkungan TI ? a. Ya b. Tidak Apakah ada kebijakan/aturan pengelolaan komputer dan peralatan pendukungnya ? a. Ya b. Tidak Apakah ada kebijakan/aturan pengamanan informasi untuk pengelolaan pengamanan operasional kantor ? a. Ya b. Tidak Siapa saja yang terlibat dalam pembuatan kebijakan/aturan ? a. Hanya bagian Teknologi Informasi b. Hanya bagian Bisnis c. Bagian Teknologi Informasi dan Bisnis Apakah ada pengujian terhadap kebijakan/aturan ? a. Ya b. Tidak Apakah ada kebijakan pengelolaan akun user ? a. Ya b. Tidak Bagaimana kebijakan pengelolaan akun user dilakukan ? i. Akun pribadi (satu orang satu akun) ii. Akun khusus (super admin/root) dan akun umum (administrator) untuk administrator iii. Mengandalkan kekuatan password iv. Menonaktifkan akun saat pegawai keluar Apakah ada proses terdokumentasi untuk membangun sebuah host ? (untuk jenis host yang bagaimana proses dokumentasi itu dilakukan) i. Peralatan infrastruktur ii. Server iii. Workstation dan laptop iv. Tidak Ada Apakah ada panduan terdokumentasi untuk pengaturan protokol dan layanan yang diperbolehkan di jaringan kantor ? (Pilih opsi yang berlaku) a. Panduan ada dan terdokumentasi dengan baik b. Panduan ada tapi tidak terdokumentasi c. Tidak ada panduan Apakah ada proses formal yang terdokumentasi dengan baik untuk penghapusan data baik secara elektronik maupun fisik (kertas) ? System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
a. Ya b. Tidak Apakah ada skema klasifikasi data yang berhubungan dengan standard pengamanan ? a. Ya b. Tidak Apakah ada ada manajemen proses dan perubahan konfigurasi ? a. Ya b. Tidak Apakah ada dokumentasi konfigurasi untuk referensi ? a. Ya b. Tidak Apakah perubahan konfigurasi diuji terlebih dahulu sebelum digunakan pada sistemoperasional ? a. Ya b. Tidak Apakah kepatuhan konfigurasi di monitor secara terpusat ? a. Ya b. Tidak Apakah ada kebijakan/aturan pembaharuan atau tambalan (patch) ? a. Ya b. Tidak Pilih komponen pembaharuan atau tambalan yang ada ? a. Sistem Operasi b. Aplikasi c. Sistem Operasi dan Aplikasi Apakah tambalan diuji sebelum diimplementasikan ? a. Ya b. Tidak Apa yang digunakan untuk mengelola dan mengimplementasikan tambalan ? i. Windows Automatic Update ii. Windows Update Website iii. Windows Server Update Services (WSUS) iv. System Management Server (SMS) v. Pengelolaan tambalan jenis lain vi. System Center Configuration Manager (SCCM) Dimana otomatisasi manajemen tambalan digunakan ? i. Workstation dan laptop ii. Server Apakah ada kebijakan pemeriksaan sertifikasi digital untuk mengelola pembaharuan produk (software) ? i. Antivirus ii. Intrusion Detection System iii. Tidak Ada Apakah ada Logical Diagrams dan dokumentasi konfigurasi pendukung yang akurat untuk infrastruktur jaringan dan hosts ? a. Ya b. Tidak c. Ada tapi sudah kuno System Security FIK Universitas Pembangunan Nasional "Veteran"
ANALISIS RESIKO TEKNOLOGI INFORMASI 31. Apakah ada Application Architecture Digram dan Data Flow Diagram yang akurat untuk aplikasi penting ? a. Ya b. Tidak 32. Untuk aplikasi apa diagram diatas (nomor 31) ada ? a. Hanya untuk aplikasi dari luar b. Hanya untuk aplikasi yang dikembangkan di dalam c. Untuk semua aplikasi 33. Apakah dimungkinkan merekam aktivitas di host dan perangkat keras ? a. Ya b. Tidak 34. Apakah ada langkah-langkah pengamanan terhadap informasi rekam jejak (log) ? i. Sistem operasi dan aplikasi dirancang untuk tidak menghapus sistem lama ii. Rekam jejak disimpan berdasarkan prioritas untuk menjamin ketersediaan penyimpanan iii. Akses terhadap rekam jejak terbatas untuk administrator iv. Seluruh rekam jejak di dalam sistem disimpan pada satu server 35. Apakah ada tinjauan terhadap rekam jejak (log) ? a. Ya b. Tidak 36. Seberapa sering rekam jejak (log) ditinjau ? a. Harian b. Mingguan c. Bulanan d. Jika Diperlukan e. Tidak Tahu 37. Apakah data penting dan sensitif di backup secara rutin ? a. Ya b. Tidak 38. Apakah ada kebijakan dan prosedur penanganan media backup ? a. Ya b. Tidak 39. Kebijakan dan prosedur penanganan media backup apa yang ada ? i. Penyimpanan backup diluar lokasi utama (Offsite storage) ii. Penyimpanan disimpan di lemari tahan api iii. Pembatasan akses ke fisik media penyimpanan iv. Rotasi dan perawatan media backup 40. Apakah ada kebijakan untuk pengujian prosedur backup dan restore ? dan apakah kebijakan ini terdokumentasi ? a. Ya b. Tidak
System Security FIK Universitas Pembangunan Nasional "Veteran"
