L1
WorkFlow Table PT. Astra Graphia Information Technology Prosedur Pemasangan CCTV Actor Manajer Proyek
Komputer Manajer Proyek
Komputer Manajer Proyek Komputer Manajer Proyek Teknisi
Teknisi
Komputer Teknisi
Komputer Teknisi
Activity Membuat Surat Tugas 1. Menerima Dokumen Order 2. Memilih folder Surat Tugas 3. Memilih draft Surat Tugas 4. Menampilkan window Surat Tugas 5. Menginput Nomor Surat Tugas 6. Menginput Lampiran 7. Menginput Kota 8. Menginput Tanggal 9. Menginput Keterangan 10. Menginput Nama Manajer Proyek 11. Memilih tombol Save 12. Menyimpan Surat Tugas 13. Memilih tombol Print 14. Mencetak Surat Tugas 15. Memberikan Surat Tugas ke Teknisi Melakukan Survei Lokasi 16. Menerima Surat Tugas 17. Melakukan survei ke lokasi Melakukan Instalasi Perangkat CCTV 18. Menerima perangkat 19. Memasang kamera CCTV dan switch / router 20. Memasang kabel dari kamera CCTV ke switch/router 21. Memilih Configuration CCTV 22. Memilih Menu System 23. Menampilkan window System 24. Pada group box System Time, ubah Time Zone menjadi : a. GMT +07:00 (WIB) b. GMT +08:00 (WITA) c. GMT +09:00 (WIT) 25. Memilih tombol Save 26. Memilih Synchronize with computer time, untuk memastikan waktu di kamera sudah sesuai dengan waktu lokasi setempat 27. Memilih tombol Save kembali 28. Memilih Menu SNMP 29. Menampilkan group box SNMP 30. Memilih centang pada Enable SNMPv1, SNMPv2c 31. Menginput Read / Write community : dengan BANK L2
Komputer Teknisi Komputer Teknisi
Komputer Teknisi
Komputer Teknisi
Komputer Teknisi Komputer Teknisi
Komputer Teknisi Komputer Teknisi Komputer Teknisi
Teknisi dan Bagian OMC Teknisi Manajer Proyek
Komputer
XYZ 32. Memilih Menu Network 33. Menampilkan group box Network Type 34. Memilih Used fixed IP address 35. Menampilkan detail Used fixed IP address 36. Menginput IP Address dengan detail IP Address yang didapat dari Admin 37. Memilih tombol Save 38. Memilih Menu Video 39. Menampilkan group box Video Settings 40. Menginput pengaturan (Untuk Stream 1-4) : a. MP4 b. Frame Size : 320x200 c. Maximum frame rate : 8 fps d. Intra frame period : 1 S e. Video Quality : pastikan diklik Constant bit rate : 64kbps 41. Memilih Menu Camera Tempering Detection 42. Menampilkan group box Camera Tempering Detection 43. Memilih centang camera tempering detection 44. Memilih tombol Save 45. Memilih Menu Recording 46. Menampilkan group box Recording Settings 47. Melakukan SD Test 48. Memilih tombol Add 49. Menampilkan window Recording 50. Menginput Recording Name 51. Memilih centang untuk Schedule pada group box Trigger 52. Memilih centang untuk semua hari pada group box Recording Schedule 53. Memilih SD pada combo box Destination 54. Memilih Menu Local Storage 55. Menampilkan window Local Storage 56. Memilih SD Card Status 57. Menampilkan detail SD Card Status 58. Memilih tombol Format 59. Memilih SD Card Control 60. Menampilkan detail SD Card Status 61. Memilih centang pada Enable cycling storage 62. Memilih tombol Save Melakukan Koordinasi Jaringan dan Register Kamera ke NVR 63. Memeriksa jaringan 64. Melakukan uji coba pada kamera Membuat Berita Acara Instalasi 65. Memilih folder BA Instalasi CCTV 66. Memilih draft BA Instalasi CCTV 67. Memilih tombol Print 68. Mencetak BAI L3
Manajer Proyek
Komputer Manajer Proyek Komputer Manajer Proyek Komputer Manajer Proyek
Komputer Manajer Proyek Komputer Manajer Proyek
Bagian OMC Komputer Bagian OMC
Komputer Bagian OMC
Bagian Helpdesk Komputer Bagian Helpdesk
Teknisi
Manajer Proyek
69. Memberikan BAI ke Teknisi 70. Menerima BAI yang telah diisi oleh Teknisi 71. Memilih tombol Scan 72. Menampilkan hasil scan BAI 73. Memilih tombol Save 74. Menyimpan BAI Membuat Berita Acara Siap Operasi 75. Memilih folder BA Siap Operasi 76. Memilih draft BA Siap Operasi 77. Menampilkan window BA Siap Operasi 78. Menginput Kode BASO 79. Menginput Tanggal 80. Menginput Keterangan BASO berdasarkan BAI 81. Memilih tombol Save 82. Menyimpan BASO 83. Memilih tombol Print 84. Mencetak BASO 85. Memberikan BASO ke Pelanggan 86. Memberikan salinan BASO ke Manajer Operasional Melakukan Pemantauan Operasional Kamera CCTV 87. Memilih menu Login 88. Menampilkan window Login 89. Menginput User ID 90. Menginput Password 91. Memilih tombol Login 92. Menampilkan window Monitoring CCTV 93. Memantau rekaman kamera CCTV 94. Memantau sistem Helpdesk 95. Jika ada gangguan, maka akan menghubungi Bagian Helpdesk 96. Memilih menu Logout Memeriksa Sistem Helpdesk 97. Menerima pengaduan gangguan 98. Memilih Menu sistem Helpdesk 99. Menampilkan sistem Helpdesk 100. Memeriksa gangguan pada sistem Helpdesk 101. Menghubungi Teknisi Melakukan Pemeriksaan dan Analisa Pada Perangkat CCTV 102. Memeriksa gangguan 103. Jika perangkat yang rusak tidak dapat diperbaiki, maka harus melakukan pergantian perangkat 104. Memasang kembali kamera / switch 105. Melakukan konfirmasi ke Bagian OMC dan Helpdesk 106. Mengembalikan perangkat ke gudang Membuat Berita Acara Kunjungan Teknisi 107. Memilih folder BAKT 108. Memilih draft BAKT 109. Memilih tombol Print L4
Komputer Manajer Proyek
Komputer Manajer Proyek Komputer Bagian Helpdesk
Komputer Bagian Helpdesk
Komputer Bagian Helpdesk Manajer Operasional
Komputer Manajer Operasional
Komputer Manajer Operasional Komputer Manajer Operasional Teknisi
Manajer Operasional
Komputer Manajer Operasional
110. Mencetak BAKT 111. Memberikan BAKT ke Teknisi 112. Menerima BAKT yang telah diisi oleh Teknisi 113. Memilih tombol Scan 114. Menampilkan hasil scan BAKT 115. Memilih tombol Save 116. Menyimpan BAKT Mengolah Data Rekaman 117. Menerima data rekaman dari Bagian OMC 118. Memilih folder Rekaman 119. Memilih file excel Data Rekaman 120. Menampilkan Data Rekaman 121. Menggabungkan data rekaman Helpdesk dan Bagian OMC 122. Memilih tombol Save 123. Menyimpan Data Rekaman 124. Memberikan Data Rekaman ke Manajer Operasional Membuat Laporan Bulanan Operasional Proyek 125. Menerima Data Rekaman dari Bagian Helpdesk 126. Memilih folder Monthly Report CCTV 127. Memilih draft Monthly Report CCTV 128. Menampilkan window Monthly Report CCTV 129. Menginput Kode LBOP 130. Menginput Tanggal 131. Menginput Nomor Proyek 132. Menginput Keterangan Proyek 133. Menginput Periode LBOP 134. Menginput Versi Dokumen 135. Menginput Isi LBOP 136. Menginput Nama Manajer Operasional 137. Menginput Nama Pelanggan 138. Memilih tombol Save 139. Menyimpan LBOP 140. Memilih tombol Print 141. Mencetak LBOP 142. Memberikan LBOP ke Pelanggan Melakukan Penarikan Perangkat CCTV 143. Meng-uninstal perangkat 144. Memutus jaringan pada kabel 145. Mencabut kamera CCTV dan switch / router 146. Mencabut switch/router Membuat Berita Acara Dismantling 147. Memilih folder BA Dismantling CCTV 148. Memilih draft BA Dismantling CCTV 149. Memilih tombol Print 150. Mencetak BAD 151. Memberikan BAD ke Teknisi 152. Menerima BAD yang telah diisi oleh Teknisi L5
Komputer Manajer Operasional Komputer Manajer Operasional Komputer Manajer Operasional
153. 154. 155. 156. 157. 158. 159.
Memilih tombol Scan Menampilkan hasil scan BAD Memilih tombol Save Menyimpan BAD Memilih tombol Print Mencetak BAD Memberikan BAD ke Pelanggan
L6
Detailed Activity Diagram
L7
L8
L9
L10
L11
L12
L13
L14
Detailed Activity Diagram PT. Astra Graphia Information Technology Melakukan Pemeriksaan dan Analisa Pada Perangkat CCTV Teknisi
Komputer
102. Memeriksa gangguan pada Perangkat CCTV [Ganti perangkat]
No Yes
103. Melakukan penggantian Perangkat CCTV
104. Memasang kembali Kamera/Switch
105. Melakukan konfirmasi Ke Bagian OMC dan Helpdesk
Ms_Perangkat
[Kembalikan barang] No
Yes
106. Mengembalikan Perangkat Ke Gudang
Ms_Perangkat
L15
L16
L17
L18
L19
Detailed Activity Diagram PT. Astra Graphia Information Technology Membuat Berita Acara Dismantling Manajer Operasioanl
Komputer
147. Memilih folder BAD CCTV
148. Memilih draft BAD CCTV Tr_BAD 149. Memilih tombol Print
150. Mencetak BAD
151. Memberikan BAD Ke Teknisi
{BAD}
152. Menerima BAD yang telah diisi oleh Teknisi
153. Memilih tombol Scan
154. Menampilkan hasil Scan BAD
155. Memilih tombol Save
156. Menyimpan BAD
157. Memilih tombol Print
Tr_BAD
158. Mencetak BAD
159. Memberikan BAD Ke Pelanggan
{BAD}
L20
Entity Relationship Diagram
L21
Navigation Diagram
(Lanjutan window)
Pilih ‘Camera Tempering Detection’ (Lanjutan window)
Klik tombol ‘Save’ dan pilih ‘SNMP’ Centang ‘ Enable camera tempering detection’ , klik tombol ‘Save’ dan pilih ‘Recording’
Centang ‘Enable SNMPv1, SNMPv2c dan pilih ‘Network’
Klik tombol ‘Save’ dan Pilih ‘Video’
Klik tombol ‘Add’ Klik ‘Use fixed IP Address’
Klik tombol ‘Save’ dan Pilih ‘Local storage’
Klik pada ‘SD card status’
Klik Tombol ‘Format’ Dan klik pada ‘SD card Control’
Klik tombol ‘Save’ dan kamera aktif
L22
References No.
1
2
3
Annex
A.5.1.1
A.5.1.2
A.6.1.1
AUDIT CHECKLIST Sistem Manajemen Keamanan Informasi ISO/IEC 27001 : 2005 PT. Astra Graphia Information Technology Proyek Pemasangan CCTV Bank XYZ Audit area, objetives and questions Requirement
Information security policy document
A.6.1.2
5
A.6.1.3
Allocation of information security responsibilitie s
6
A.8.1.1
Roles and responsibilitie s
7
8
A.6.1.4
A.6.1.5
Untuk memastikan adanya peraturan yang tertulis untuk menjaga keamanan informasi data rekaman CCTV.
Karena suatu kebijakan yang sudah di tetapkan Review of the harus di tinjau information dan di diskusikan security policy apabila adanya perubahan kebijakan Karena setiap keamanan di Management dalam perusahaan commitment to harus didukung information dan disetuhui security oleh pihak manajemen. Information security coordination
4
Objective
Untuk menjaga keamanan data rekaman CCTV ini harus dilakukannya pembagian tugas dan tanggung jawab pada setiap karyawan dan memastikan setiap karyawan telah memahami tugas dan tanggung jawab yang diberikan.
Results
Audit Question
Findings
Major
Apakah kebijakan mengenai keamanan informasi pada saat melakukan monitoring rekaman cctv sudah didokumentasikan dalam suatu dokumen yang tertulis?
Terdapat Data Integrity Test untuk penyimpanan hasil Data monitoring rekaman CCTV. Hanya Bagian EOS dan Manajer yang dapat mengakses data rekaman CCTV. Menggunakan jaringan VPN khusus. Tetapi belum ada dokumen yang tertulis mengenai kebijakan keamanan informasi .
√
Apakah pedoman tersebut di tinjau secara rutin?
Tidak ada tinjauan secara rutin, karena belum ada prosedur yang tertulis. Mengacu pada hasil A.5.1.1.
Apakah pihak manajemen sudah mendukung dan menyetujui tanggung jawab mengenai keamanan data rekaman CCTV? a. Apakah tugas yang diberikan kepada setiap karyawan sudah menjelaskan peran dan tanggung jawabnya terhadap keamanan data rekaman CCTV perusahaan? b. Apakah setiap karyawan telah memahami mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman CCTV?
Observation
√
NO
YES
Tugas yang diberikan kepada karyawan sudah jelas. Karyawan juga sudah memahami tugas dan tanggung jawab. Terdapat dokumen pendukung mengenai tugas dan tanggung jawab karyawan yaitu dokumen Rencana Penyusunan Layanan .
Authorization process for information processing facilities
Apakah jika terdapat fasilitas pengolahan data rekaman CCTV yang baru (computer, server, perangkat lunak), terdapat suatu penjelasn mengenai otorisasi penggunaannya?
Belum ada fasilitas pengelolaan data rekaman CCTV yang baru, sehingga belum ada penjelasan mengenai otorisasi penggunannya.
Confidentialit y agreements
Untuk menjaga kerahasian mengenai data rekaman CCTV, agar kerahasiaannya lebih terjamin.
Apakah NonDisclosure Agreement (NDA) telah diberlakukan terhadap semua pihak yang menangani proyek pemasangan CCTV pada Bank XYZ?
Sudah di berlakukannya NDA pada semua pihak yang terkait pada proyek CCTV ini. Dokumen NDA di bagian operasional.
Compliance
NO
Pihak manajemen sudah mendukung
Untukmengetahui tentang otorisasi dari pengguna dalam menggunakan fasilitas pengolahan data rekaman CCTV apabila adanya fasilitas pengolahan data rekaman CCTV yang baru.
L23
Minor
YES
YES
YES
√
YES
YES
9
10
11
12
13
A.6.1.6
A.6.1.7
A.6.1.8
A.6.2.1
A.6.2.2
Contact with authorities
Apakah sudah ditetapkan pihak yang berwenang didalam Untukmengetahui perusahaan yang hubungan antara berhubungan dengan otoritas terkait otoritas dalam hal yang harus untuk menindaklanjuti dipelihara suatu fraud/insiden keamanan data rekaman CCTV?
Contact with special interest groups
Untuk menjaga hubungan yang tepat dengan pihak terkait.
Apkah sudah ada pihak yang bertanggung jawab untuk bergabung dalam forum professional/asosiasi terkait dalam memelihara keamanan informasi perusahaan?
Independent review of information security
Untuk mengetahui bahwa keamanan data rekaman CCTV sudah dibahas secara independen(inter nal audit, external audit, dsb).
Apakah perusahaan sudah pernah melakukan audit terhadap keamanan data rekaman CCTV dari pihak yang independen tersebut?
Identification of risks related to external parties
Untuk mengetahui risiko yang mungkin terjadi dari akses yang akan diberikan kepada pihak luar yang terkait.
Apakah risiko yang berdampak terhadap data rekaman CCTV dan fasilitas pengolahan data rekaman CCTV yang melibatkan pihak luar sudah diidentifikasikan sebelumnya?
Addressing security when dealing with customers
Untuk mengidentifikasi kan syarat keamanan yang harus dilakukan sebelum memberikan akses kepada pihak lain yang terkait terhadap data rekaman CCTV atau aset organisasi.
Apakah pihak perusahaan sudah memberikan persyarat dalam pengaksesan keamanan data rekaman CCTV kepada pihak luar yang terkait?
L24
Sudah ada pihak yang menindaklanjuti insiden keamanan data rekaman CCTV, yaitu Customer Service Center (helpdesk) yang memiliki Document Service Cataloge.dan juga EOS untuk insiden di lapangan. Berdasarkan hasil audit yang sudah dilakukan, PT. AGIT sudah mengikuti forum internal perusahaan yang hanya melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum professional/asosias i secara internasional. PT. AGIT sudah melakukan internal audit pada keamanan informasi data rekaman CCTV namun dilakukan oleh manajer operasional. Internal audit tersebut dilakukan setiap 6 bulan terhubung dengan data integrity test. Pihak luar tidak terlibat dalam pengolahan data rekaman. Apabila terkait kemungkinan risiko pasti ada, namun risiko itu telah dikunci di dalam NDA. Pihak Bank XYZ tidak memperoleh hak akses untuk mengolah data rekaman CCTV sehingga persyaratan keamanan data rekaman CCTV dilakukan oleh tim proyek CCTV dari PT. AGIT. Pihak Bank XYZ akan menerima data rekaman CCTV yang telah diolah oleh PT. AGIT.
YES
YES
√
NO
YES
YES
14
15
16
17
18
A.6.2.3
A.7.1.1
A.7.1.2
A.7.1.3
A.7.2.1
Untuk mengetahui keamanan dalam pengaksesan dan pengelolan informasi mengenai data kamera CCTV dan fasilitas pengolahan informasi
Apakah aspek tanggung jawab terhadap keamanan data kamera CCTV sudah disepakati dengan pihak terkait?
Inventory of assets
Karena proyek pemasangan CCTV ini menggunakan sangat banyak asset perusahaan yang harus di jaga.
Apakah sebelum melakukan pemasangan kamera CCTV tersebut seluruh peralatan sudah disediakan? Apakah ada kode unik pada setiap Kamera CCTV dan perangkat pendukung lainnya yang memuat detail aset tersebut? Apakah ada pemeliharaan secara rutin terhadap peralatan tersebut?
Ownership of assets
Karena data rekaman CCTV yang dihasilkan perusahaan harus di pertanggungjawa bkan oleh satu bagian khusus dalam organisasi, agar kerahasiaan, integritas dan ketersediaan informasi tersebut dapat terjaga.
Addressing security in third party agreements
Teknisi tidak ada akses kedata, tetapi pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi. Di dalam NDA teknisi tidak tertulis mengenai tanggung jawab terhadap keamanan data, tetapi hanya implementasi dan pemeliharaan. Semua peralatan sudah disediakan sebelum dilakukan pemasangan. Setiap perangkat telah diberikan kode unik dengan serial number dengan mapping ke CMDB dan sudah dilengkapi dengan detail dari peralatan itu. Belum dilakukan pemeliharaan secara rutin, PT. AGIT menggunakan preventive maintenance yang dapat mendeteksi peralatan yang akan rusak dan akan segera dicegah oleh PT. AGIT.
√
YES
YES
Apakah setiap aset yang ada sudah ditetapkan penanggungjawabnya ?
Penanggungjawabn ya adalah Manajer operasional bertanggungjawab pada CMDB dan manager konfigurasi bertanggungjawab untuk keseluruhan dari CMDB.
YES
Acceptable use of assets
Karena suatu aset perusahaan harus dijaga dengan memberikan peraturan penggunaan teknologi informasi tersebut.
Apakah peraturan mengenai penggunaan aset teknologi informasi di dalam perusahaan sudah ditetapkan oleh penggunanya?
Sudah terdapat pada dokumen role and responsibility yg merupakan bagian dari dokumen rencana penyusunan layanan serta SOP untuk panduan cara penggunaannya.
YES
Classification guidelines
Karena setiap data rekaman CCTV yang ada di dalam perusahaan harus dilindungi kerahasiaannya dan harus diklasifikasi.
Apakah data rekaman CCTV sudah diklasifikasi? (berdasarkan kerahasiaan informasi, sensitivitas informasi, dsb).
Tidak ada tingkat kerahasiaan untuk setiap data rekaman CCTV , semua dinyatakan sama untuk sensitivitasnya.
Non Applicable
L25
19
20
21
22
23
24
A.7.2.2
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
Information labelling and handling
Karena setiap data rekaman CCTV harus ditangani sesuai dengan klasifikasi yang sudah dilakukan sebelumnya.
Screening
Untuk memastikan bahwa setiap calon karyawan diberikan tugas dan tanggung jawab sesuai dengan keahlian dan bidangnya
Terms and conditions of employment
Untuk memastikan bahwa setiap calon karyawan telah menyetujui dan menandatangani syarat serta kondisi kontrak kerja mereka
Management responsibilitie s
Untuk memastikan bahwa manajemen telah mewajibkan karyawan untuk mematuhi kebijakan dan prosedur keamanan informasi pada proyek CCTV
Apakah sudah terdapat kebijakan yang mengatur karyawan untuk memelihara keamanan data rekaman CCTV pada proyek CCTV yang dijalankan?
Information security awareness, education and training
Untuk memastikan bahwa perusahaan dan pihak manajemen telah memberikan pengetahuan mengenai keamanan informasi, pendidikan dan pelatihan sesuai dengan kebijakan perusahaan.
Tidak ada kebijakan mengenai keamanan data Apakah sudah ada rekaman CCTV. kesadaran terhadap Operating Manager keamanan informasi memberikan dalam berbagai bentuk pengetahuan didalam perusahaan? mengenai (training, poster,ekeamanan terhadap Learning, presentasi, data rekaman dsb) CCTV kepada karyawan pada saat project meeting saja.
Disciplinary process
Untuk memberikan sanksi kepada setiap karyawan agar karyawan dapat menjaga keamanan informasi dan menaati proses disiplin di dalam perusahaan.
Tidak adanya tingkat kerahasiaan untuk setiap data rekaman CCTV , maka penanganan data rekaman CCTV tidak dibedakan. Sudah dilakukannya penyaringan terhadap calon Apakah telah karyawan. dilakukan penyaringan Ada 3 tahap terhadap setiap calon penyaringan calon karyawan yang akan karyawan, yaitu tes direkrut oleh tertulis, interview perusahaan? oleh user (Operating Manager), dan interview oleh Human Resource. Terdapat perjanjian ikatan kerja karyawan berupa dokumen NDA Apakah terdapat suatu (Non-Disclosure perjanjian ikatan kerja Agreement). terhadap calon Karyawan baru karyawan? (contoh : akan NDA (Non-Disclosure menandatangani Agreement) ) NDA setelah melewati 3 tahap penyaringan calon karyawan. Apakah Penanganan informasi data rekaman CCTV sudah ditetapkan sesuai dengan klasifikasi informasinya?
Apakah pelanggaran terhadap keamanan informasi sudah diberitahukan kepada karyawan dan juga sudah ditetapkan sanksi-sanksinya?
L26
Belum ada kebijakan dan prosedur dalam mengatur setiap karyawan untuk memelihara keamanan data rekaman CCTV yang buat oleh pihak manajemen PT. Astra Graphia Information Technology.
HRD telah melakukan sosisalisasi kepada karyawan mengenai sanksi-sanksi pelanggaran pada saat penandatanganan NDA. Sanksi yaitu SP 1, SP 2 dan SP 3 (pemecatan) yang sudah tertulis di HRD.
Non Applicable
YES
YES
√
YES
√
NO
YES
25
26
27
A.8.3.1
A.8.3.2
A.8.3.3
Termination responsibilitie s
Untuk memastikan bahwa terdapat prosedur yang jelas untuk menangani pemutusan atau perubahan hubungan kerja.
Return of assets
Untuk menjaga aset-aset perusahaan yang harus dikembalikan setelah kontrak atau kesepakatan sudah habis jangka waktunya.
Removal of access rights
Untuk memastikan bahwa karyawan yang sudah tidak terkait dengan perusahaan tidak dapat mengakses informasi dan fasilitas pengolahan informasi perusahaan.
Terdapat prosedur pemutusan atau perubahan hubungan kerja Operating Manager akan mengajukan Form Perubahan Status Kerja kepada HRD terkait dengan karyawan yang ingin melakukan Apakah tanggung pemutusan jawab terhadap hubungan kerja. prosedur pemutusan HRD akan atau perubahan memberikan Form hubungan kerja sudah Exit Clearance jelas dan (FEC) kepada terdokumentasi? karyawan yang ingin melakukan pemutusan hubungan kerja dan karyawan akan mengisi form tersebut, kemudian mengembalikan form tersebut kepada HRD untuk ditindak lanjuti. Sudah ada pendataan mengenai aset-aset yang digunakan oleh setiap karyawan . CAR (Company Asset Request) merupakan database yang Apakah ada dibuat oleh Tim “checklist” terhadap Aset yang memuat aset-aset perusahaan tentang aset-aset yang harus di perusahaan yang kembalikan oleh digunakan oleh karyawan sesuai setiap karyawan. dengan kontrak atau Apabila terjadi kesepakatan pada saat pemutusan pemutusan hubungan hubungan kerja, kerja? (kamera CCTV, HRD akan switch/router, cable, memberikan FEC dsb) yang telah diisi oleh karyawan kepada Tim Aset untuk disesuaikan dengan database CAR sehingga dapat dilakukan pembaharuan data pada database CAR.
Apakah prosedur penghapusan hak akses karyawan sudah diberlakukan ketika suatu karyawan sudah tidak bekerja lagi atau masa kontrak kerja sudah jatuh tempo?
L27
Sudah ada prosedur mengenai penghapusan hak akses Prosedur penghapusan hak akses tertera pada FEC yang diberikan HRD kepada karyawan yang akan melakukan pemutusan hubungan kerja.
YES
YES
YES
28
29
30
31
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
Untuk melindungi areaarea yang memiliki akses ke data rekaman CCTV.
Apakah perlindungan secara fisik (ruangan, pintu, dsb) sudah diterapkan pada areaarea yang digunakan untuk pengolahan data rekaman CCTV?
Sudah ada perlindungan fisik pada area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV. Ruang pemantauan dan penyimpanan dibuat terpisah. Pada setiap pintu telah terpasang alat proximity access cards, terdapat kamera CCTV, terdapat alat-alat perlindungan. bencana (i.e fire extinguisher, fire alarm, dsb.), rakrak server yang dapat dikunci, satpam, dan security organic untuk ruang data center.
YES
Physical entry controls
Untuk memastikan keamanan areaarea yang memiliki akses ke data rekaman dengan menerapkan pengendalian akses pada setiap pegawai yang bertugas.
Sudah melakukan pengendalian akses masuk ke ruang Apakah terdapat alat pemantauan CCTV untuk pengendalian dan penyimpanan akses (i.e. finger print, data rekaman card tapping) pada CCTV. area-area yang Pada setiap pintu memiliki akses ke data telah terpasang alat rekaman CCTV proximity access sehingga hanya dapat card dan terdapat diakses oleh pegawai kamera CCTV. yang memiliki Setiap kartu sudah wewenang? di setting sesuai dengan kebutuhan dalam mengakses ruangan.
YES
Securing offices, rooms and facilities
Untuk memastikan keamanan ruang dan fasilitas pegawai dari berbagai gangguan.
Apakah ruang dan fasilitas para pegawai sudah terlindungi secara fisik dari customer/tamu?
Sudah ada perlindungan terhadap keamanan area kerja para karyawan. Perlindungan fisik yang diterapkan sudah disebutkan pada A.9.1.1.
YES
Untuk memastikan ketersediaan dan keandalan peralatan perlindungan bencana memenuhi kebutuhan akan keamanan.
Sudah dilakukan perlindungan terhadap bencana Apakah ketersediaan alam yang mungkin peralatan terjadi. perlindungan bencana Terdapat alat-alat (i.e. fire alarm, fire perlindungan extinguisher, smoke bencana alam (i.e detector, hydran) fire extinguisher, sudah memenuhi fire alarm, smoke kebutuhan keamanan detector, hydran) pada area-area yang pada area-area memiliki akses ke data operasional rekaman CCTV? pemantauan CCTV dan penyimpanan data rekaman CCTV.
YES
Physical security perimeter
Protecting against external and environmental threats
L28
32
33
34
35
36
A.9.1.5
A.9.1.6
A.9.2.1
A.9.2.2
A.9.2.3
Sudah ada pelatihan perlindungan secara mandiri yang diberikan kepada setiap karyawan. Setiap 3 bulan sekali, pihak gedung memberikan simulasi bencana alam kepada seluruh penghuni gedung.
YES
Working in secure areas
Untuk memastikan bahwa setiap pegawai dapat secara mandiri melindungi diri dari risiko dan ancaman dalam area kerja.
Public access delivery and loading areas
Apakah area-area Untuk yang memiliki akses meminimalisir ke data rekaman risiko (i.e. akses CCTV sudah ilegal) yang dapat terlindungi dengan terjadi pada areaalat pengendalian area yang harus akses (i.e. finger print, terjaga card tapping) yang keamanannya. memadai?
Sudah ada perlindungan secara fisik pada area-area proses operasional proyek CCTV. Mengacu pada A.9.1.1 yang telah menyebutkan perlindungan yang sudah diterapkan.
YES
Apakah peralatan yang digunakan untuk pengolahan data rekaman CCTV (i.e. komputer/server) sudah diletakkan dengan benar dan aman sehingga mengurangi terjadinya risiko?
Sudah menempatkan peralatan yang digunakan dalam proses operasional proyek CCTV secara aman. Penempatan server pada rak-rak yang tersedia dengan mempertimbangkan kapasistas dan jarak dari setiap server.
YES
Apakah dilakukan otorisasi untuk setiap pegawai yang akan mengakses area-area yang memiliki akses ke data rekaman CCTV?
Perlindungan terhadap peralatan sudah diterapkan. Adanya database CAR dan dokumen Rencana Penyusunan layanan yang memuat keterangan peran dan tanggung jawab serta SOP untuk penggunaan aset IT.
YES
Apakah penempatan kabel-kabel yang digunakan untuk CCTV sudah tertata dengan baik?
Penempatan kabel sudah ditentukan dengan baik. Kabel-kabel pada server diletakkan pada jalur yang sudah dibuat. Kabel-kabel pada ruang monitoring ditata menggunakan cable duct.
YES
Equipment sitting and protection
Supporting utilities
Cabling security
Untuk memastikan tata letak dari peralatan untuk pengolahan data rekaman CCTV sudah benar dan aman.
Untuk menghindari terjadinya risiko dan ancaman pada operasional CCTV.
Untuk melindungi kabel-kabel yang digunakan pada CCTV sehingga terlindungi keamanannya dan terhindar dari risiko.
Apakah pedoman tertulis untuk perlindungan secara fisik (i.e. cara menggunakan fire extinguisher) pada area kerja sudah diterapkan?
L29
37
38
39
40
41
A.9.2.4
A.9.2.5
A.9.2.6
A.9.2.7
A.10.1.1
Equipment Maintenance
Untuk memastikan ketersediaan dan keutuhan perangkat CCTV yang digunakan secara berkelanjutan.
Apakah pemeliharaan perangkat CCTV dilakukan secara rutin dan terdokumentasi dengan baik?
a. Pemeliharaan dilakukan dengan incidental yaitu hanya pada saat gangguan atau kerusakan terjadi. b. Dokumentasi dilakukan secara otomatis, tetapi pada gangguan atau kerusakan berulang di dokumentasi secara manual
Securing of equipment offpremises
Untuk memastikan keamanan peralatan yang berada di luar area kerja sehingga kualitasnya tetap baik untuk digunakan.
Apakah terdapat prosedur keamanan yang dirancang untuk peralatan yang berada di luar area kerja?
Tidak ada peralatan yang digunakan diluar area kerja terkait dengan keberadaan data rekaman CCTV.
Untuk memastikan perangkat CCTV yang akan diganti sudah tidak menyimpan data rekaman CCTV sehingga tidak dapat di akses oleh pihak lain.
Apakah penggantian perangkat CCTV yang rusak telah dilakukan secara aman dengan memastikan bahwa data yang tersimpan di dalamnya tidak dapat diakses oleh pihak lain?
Removal of property
Untuk memastikan bahwa setiap perangkat CCTV yang akan diganti sudah memiliki persetujuan untuk diganti dan dipindahkan ke gudang.
Apakah petugas yang melakukan penggantian perangkat CCTV yang rusak membawa surat tugas atau bukti yang menjelaskan bahwa petugas tersebut mendapatkan wewenang untuk melakukan penggantian perangkat CCTV?
Documented Operating procedures
Untuk memastikan kegiatan operasional CCTV terdokumentasi dengan baik sehingga hasil dokumentasi dapat digunakan untuk pengambilan keputusan oleh Opearating Manager.
Apakah setiap pengolahan data rekaman CCTV terdokumentasi dengan baik sehingga hasilnya dapat dikomunikasikan kepada pihak yang membutuhkan (i.e. manager, customer)?
Secure disposal or reuse of equipment
L30
Sudah ada pengamanan terhadap data rekaman CCTV pada perangkat CCTV. Melakukan penyimpanan dan back-up data rekaman CCTV. Merubah format data rekaman ke format khusus H264. Ya, Teknisi harus membawa surat tugas untuk melakukan penarikan atau penggantian perangkat CCTV. Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) ketika penarikan atau penggantian perangkat CCTV telah selesai dilakukan.
Ya, proses operasional terdokumentasi dengan baik. Hasil rekaman CCTV di simpan pada NVR server. Hasil rekaman CCTV dienkripsi ke dalam format khusus H264.
YES
Non Applicable
YES
YES
YES
42
43
44
45
46
47
A.10.1.2
A.10.1.3
A.10.1.4
A.10.2.1
A.10.2.2
A.10.2.3
Untuk mengendalikan setiap perubahan manajemen yang terjadi agar tidak keluar dari jalur yang telah ditentukan.
Apakah perubahan terhadap fasilitas dan sistem pada CCTV telah dilakukan sesuai dengan prosedur yang ada?
Terdapat prosedur Change Request untuk menangani perubahan manajemen yang terjadi.
YES
Segregation of duties
Untuk meminimalkan risiko penyalahgunaan wewenang oleh pegawai dalam memenuhi kepentingan pribadi.
Apakah pembagian tugas dan tanggung jawab sudah dijelaskan dengan baik kepada setiap pegawai sehingga tidak terjadi penyalahgunaan wewenang ke aset perusahaan yang terkait dengan CCTV?
Terdapat dokumen Rencana Penyusunan Layanan yang berisi Deskripsi Tanggungjawab dan Wewewang Tim Penyusunan Layanan. Dokumen tersebut memisahan tugas masingmasing karyawan dengan jelas dan sudah ditetapkan pada proyek CCTV.
YES
Separation of development, test and operational facilities
Untuk meminimalkan risiko pekerjaan dengan memisahkan setiap kegiatan proses yang akan dilakukan.
Apakah dalam melakukan pengembangan, pengujian, dan operasional CCTV terdapat pemisahan lingkungan dari masing-masing kegiatan tersebut?
Sudah terdapat pemisahan lingkungan pada pengembangan, pengujian, dan operasional fasilitas proyek CCTV.
YES
Service delivery
Untuk memastikan bahwa pihak ketiga telah memberikan pelayanan terhadap pemeliharaan dan perbaikan kendala cctv dengan baik dan sesuai dengan kesepakatan yang dibuat
Apakah layanan terhadap pemeliharaan dan perbaikan cctv yang dilakukan oleh Teknisi telah sesuai dengan kesepakatan yang dibuat?
Sudah ada dokumen Scope of Work yang menjelaskan lingkup kerja dari masing-masing divisi dalam proyek CCTV.
YES
Change Management
Monitoring and review of third party services
Untuk memastikan bahwa layanan yang diberikan oleh pihak ketiga telah diawasi dan dibahas secara teratur
Managing changes to third party services
Untuk memastikan bahwa setiap mekanisme perubahan yang dilakukan oleh pihak ketiga telah berdasarkan pada ketentuan yang disepakati
Sudah dilakukan peninjauan terhadap layanan dari pihak Apakah telah ketiga. dilakukan peninjauan Terdapat review terhadap layanan yang meeting yang diberikan oleh teknisi dilakukan setiap 3 bedasarkan laporan bulan. bulanan? Terdapat incidental meeting apabila terjadi insiden . Apakah terdapat Ya, sudah ada ketentuan yang ketentuan apabila mengharuskan teknisi terjadi perubahan untuk melaporkan yang dilakukan segala mekanisme oleh teknisi. perubahan kepada Teknisi manajemen menghubungi operasional ? (i.e. bagian OMC, perubahan layanan membuat tiket ke dari teknisi, perubahan sistem Helpdesk, organisasi teknisi, dan mengisi perubahan kebijakan, laporan pada dsb.) BAKT.
L31
YES
YES
48
49
50
51
52
A.10.3.1
A.10.3.2
A.10.4.1
A.10.4.2
A.10.5.1
Capacity Management
Untuk memastikan performa dari infrastruktur pengolahan data rekaman CCTV yang digunakan.
System acceptance
Untuk memastikan perencanaan penerimaan sistem baru telah dirancang dan diterapkan dengan baik sehingga tidak menggannggu operasional CCTV.
Apakah kapasitas dari infrastruktur pengolahan data rekaman CCTV (i.e. server, network, perangkat lunak, dsb) telah direncanakan?
Sudah ada pengelolaan mengenai kapasitas infrastruktur yang dibutuhkan dalam proyek CCTV. Terdapat Capacity Planning yang dilakukan sebelum proyek dimulai. Terdapat Capacity Monitoring yang dilakukan pada saat proyek berjalan.
YES
Apakah mekanisme penerimaan sistem baru pada proyek operasional CCTV telah direncanakan?
Belum ada perencanaan mengenai mekanisme penerimaan sistem yang baru karena OS yang digunakan masih baru dan telah sesuai tujuan.
YES
Ya, sudah ada perlindungan terhadap kode berbahaya. Pendeteksian dan pencegahan menggunakan anti virus. Metode penghapusan dan pemulihan tergantung pada kode berbahaya yang dihadapi.
YES
Tidak ada kontrol atau aturan yang memuat tentang penggunaan mobile code. Pengiriman video hasil rekaman CCTV dilakukan dengan menggunakan media Flash Disk sebagai perantaranya.
Non Applicable
Ya, sudah dilakukannya backup data rekaman CCTV. Dilakukan back-up data rekaman pada NVR setiap 6 bulan sekali. Data rekaman yang tersimpan pada NVR akan dipindahkan ke NAS untuk perpanjangan waktu penyimpanan selama 1-2 bulan. d. Pada bulan ke-8 akan dilakukan penghapusan data rekaman CCTV
YES
Apakah telah dilakukan pendeteksian, pencegahan dan Untuk pemulihan terhadap memastikan aplikasi operasional Controls bahwa terdapat cctv (Sistem against perlindungan Helpdesk, Monitoring malicious terhadap CCTV) terhadap code malicious code malicous code? telah (contoh dengan diimplementasikn mengklik sesuatu dapat menyebabkan kerusakan pada aplikasi) Apakah telah Untuk dilakukan memastikan pengendalian/aturan bahwa terkait penggunaan pengendalian mobile code pada saat terhadap kode user ingin mengakses Controls yang dapat data rekaman dan against mobile ditransmisikan dokumenoperasional code telah disahkan cctv? (i.e. untuk melindungi pengendalian terhadap perangkat lunak active-X & Javadan data hasil Script pada internet rekaman cctv browser, Ms.Office Macro, dsb.)?
Information backup
Untuk memastikan bahwa back-up data rekaman dilakukan sesuai dengan kebijakan sehingga integritas dan ketersediaan data rekaman CCTV serta perangkat CCTV tetap terjaga.
Apakah back-up data rekaman CCTV yang dilakukan telah sesuai dengan kebijakan yang disepakati dan akan melalui proses pengujian untuk memastikan keakuratan dan keandalan data rekaman sebagai hasil dari operasional CCTV?
L32
53
54
55
56
A.10.6.1
A.10.6.2
A.10.7.1
A.10.7.2
Untuk melindungi pengelolaan data rekaman CCTV yang menggunakan jaringan (i.e. pertukaran informasi rekaman CCTV) dari risiko. Untuk mengidentifikasi keamanan jaringan yang digunakan sehingga mengetahui seberapa aman jaringan tersebut untuk operasional CCTV.
Apakah pada jaringan yang digunakan sudah dilakukan perlindungan yang baik?
Sudah ada perlindungan terhadap jaringan. Proyek CCTV menggunakan jaringan VPN IP untuk menjaga kemanan data pada saat dilakukan transmisi data.
YES
Apakah kebijakan keamanan jaringan terkait dengan operasional CCTV telah diterapkan dengan baik sehingga memenuhi kebutuhan keamanan terhadap jaringan?
Kebijakan keamanan jaringan hanya dimiliki oleh penyedia layanan jaringan
Non Applicable
Management of removable media
Untuk memastikan prosedur penggantian perangkat CCTV telah dilaksanakan dengan benar.
Apakah terdapat prosedur untuk penggunaan media penyimpanan yang dapat berpindah tempat? (ie : usb, disket, hardware external)
Tidak ada prosedur secara tertulis mengenai media penyimpanan yang dapat berpindah tempat. Namun media penyimpanan tersebut telah digunakan di dalam operasional proyek CCTV.
Disposal of Media
Untuk memastikan sudah tidak ada data yang tersimpan dalam perangkat CCTV yang akan diganti sehingga pihak lain tidak dapat mengakses data tersebut.
Apakah petugas selalu memeriksa keadaan perangkat CCTV yang rusak (memastikan data yang tersimpan pada perangkat tersebut sudah tidak dapat di akses) terlebih dahulu sebelum dilakukannya penggantian perangkat CCTV yang baru?
Ya, sudah ada pemeriksaaan yang dilakukan pada saat melakukan penarikan atau penggantian perangkat CCTV. Annex ini mengacu pada A.9.2.6.
Information handling procedures
Untuk melindungi penyingkapan atau penggunaan ilegal atas data rekaman CCTV.
Network Controls
Security of network services
57
A.10.7.3
58
Untuk Security of melindungi A.10.7.4 system dokumentasi documentation sistem dari akses ilegal.
59
A.10.8.1
Information exchange policies and procedures
Untuk melindungi pertukaran informasi dari gangguangangguan yang merugikan.
Apakah terdapat prosedur untuk pengolahan data rekaman CCTV?
Apakah sudah ada tools untuk menangani dokumentasi terhadap sistem?
Apakah terdapat ketentuan untuk melakukan pertukaran informasi terkait proyek pemasangan CCTV melalui segala jenis media komunikasi?
L33
Tidak ada prosedur secara tertulis yang memuat tentang pengolahan data rekaman CCTV namun secara teknis sudah dilakukan. Sudah ada tools yang mendokumentasi sistem pada proyek CCTV. Terdapat Event Viewer pada server. Terdapat Firmware pada kamera. Tidak ada kebijakan ataupun prosedur yang menyatakan tentang pertukaran infornasi pada proyek CCTV. Pertukaran informasi yang dilakukan berdasarkan kesepakatan oleh kedua belah pihak.
√
NO
YES
√
NO
YES
√
YES
60
61
62
63
64
65
A.10.8.2
A.10.8.3
A.10.8.4
A.10.8.5
A.10.9.1
A.10.9.2
Exchange Agreements
Physical media in transit
Electronic messaging
Business Information systems
Electronic commerce
On-line transactions
Untuk memberikan kenyamanan bagi kedua belah pihak dalam melakukan pertukaran informasi.
Apakah sudah ada perjanjian pertukaran informasi yang telah disepakati terkait dengan proyek pemasangan CCTV?
Ya, sudah ada kesepakatan yang dibuat terkait dengan pertukaran informasi yang dilakukan oleh perusahaan dengan pihak Bank XYZ. Kesepakatan terdapat di dalam kontrak yang telah disetujui oleh kedua belah pihak. Flash Disk yang digunakan untuk pengiriman data rekaman CCTV belum terlindungi dengan aman karena memungkinkan terjadinya akses ilegal, penyalahgunaan dan perubahan pada data rekaman CCTV. Tidak ada kesepakatan untuk melakukan pertukaran informasi data rekaman CCTV melalui e-mail atau instant messenger karena data rekaman CCTV terlalu besar untuk dikirimkan melalui e-mail atau instant messenger.
YES
Untuk melindungi informasi dalam media komunikasi dari akses ilegal penyalahgunaan informasi.
Apakah media yang digunakan untuk melakukan pertukaran informasi telah terjamin dari akses ilegal, penyalahgunaan atau perubahan selama perjalanan di luar batas fisik proyek?
Untuk memastikan keutuhan dan keakuratan informasi tetap terjaga dan terhindar dari risiko.
Apakah pertukaran informasi melalui pesan elektronik (i.e. e-mail, instant messanger ) memiliki suatu ketentuan (i.e. merubah bentuk file menjadi pdf sebelum di distribusikan via email/messanger) yang dapat menjamin keamanan terhadap informasi tersebut?
Untuk menjaga integritas dan keakuratan informasi selama pertukaran informasi berlangsung.
Apakah sudah ditentukan mekanisme proteksi terhadap keamanan informasi apabila melakukan pertukaran informasi kepada pihak luar melalui suatu business information system (i.e. portal informasi, dsb.)?
Tidak ada prosedur ataupun kebijakan mengenai perlindungan keamanan data rekaman CCTV pada saat dilakukannya pertukaran data. Hanya berdasarkan kesepakatan saja.
Apakah e-commerce diterapkan dalam proyek pemasangan CCTV?
Tidak menerapkan e-commerce pada proyek CCTV yang dijalankan.
Non Applicable
Apakah terdapat transaksi online yang dilakukan terkait proyek pemasangan CCTV?
Tidak ada transaksi online yang dilakukan pada prpyek CCTV. Mengacu pada A.10.9.1.
Non Applicable
Untuk melindungi informasi dalam e-commerce dari risiko (i.e. pencurian informasi, perubahan informasi ilegal, dsb.) Untuk melindungi informasi dalam transaksi online dari risiko (i.e. salah kirim, perubahan informasi ilegal, dsb.)
L34
√
NO
Non Applicable
√
NO
66
67
68
69
70
71
A.10.9.3
A.10.10. 1
A.10.10. 2
A.10.10. 3
A.10.10. 4
A.10.10. 5
Apakah informasi yang dipublikasikan secara umum telah diproteksi sehingga keamanan informasi tetap terjaga dari pihak yang ingin melakukan penyalahgunaan informasi tersebut?
Tidak mempublikasikan data rekaman secara umum. Annex ini mengacu pada A.10.9.1.
Non Applicable
Apakah terdapat ketentuan terhadap pembukuan audit terkait operasional CCTV sehingga hasilnya berguna dan dapat digunakan kembali sewaktuwaktu oleh pihak yang membutuhkan?
Ya, sudah ada pembukuan audit yang dilakukan terkait dengan hasil temuan audit ISO 20000. Hasil temuan audit disimpan oleh Business Planning and Quality Management dan dilaporkan kepada Direktur.
YES
Untuk menetapkan sistem informasi yang digunakan pada operasional CCTV ditinjau dan dimonitor secara rutin.
Apakah penggunaan sistem informasi terkait operasional CCTV dimonitor dan ditinjau secara rutin serta terdokumentasi dengan baik?
Sudah dilakukannya penijauan terhadap sistem yang digunakan pada proyek CCTV. Menggunakan NMS (Network Monitoring System) untuk meninjau sistem pada kegiatan operasional pemantauan CCTV.
YES
Untuk melindungi fasilitas dan informasi pembukuan dari risiko.
Apakah semua kegiatan pembukuan yang dilakukan telah di back-up dan didokumentasi dengan baik sehingga terhindar dari risiko (i.e. penghapusan data pembukuan, pencurian data pembukuan)?
Dokumentasi terhadap hasil termuan audit disimpan oleh bagian Business Planning and Quality Management yang di luar ruang lingkup operasional CCTV.
Non Applicable
Administrator and operator log
Untuk memastikan bahwa seluruh kegiatan operasional cctv telah tercatat pada sistem secara otomatis
Apakah kegiatan pada sistem administator dan sistem operator pada operasional cctv telah dicatat di dalam sistem secara otomatis? (contoh terdapat log atau history tentang kegiatan yang dilakukan oleh user)
Sudah ada pencatatan kegiatan sistem administaor dan sistem operator. Dapat dilihat Log yang mencatat segala kegiatan yang dilakukan pada Event Viewer.
YES
Fault logging
Untuk memudahkan penentuan sikap/tindakan dalam menghadapi kesalahankesalahan yang timbul selama proyek pemasangan CCTV dijalankan.
Apakah semua kesalahan yang terjadi selama operasional CCTV berlangsung tercatat dalam pembukuan?
Ya, semua kesalahan akan tercatat di Log yang ada pada Event Viewer.
YES
Publicly available information
Audit Logging
Monitoring system use
Protection of log information
Untuk mencegah terjadinya akses ilegal pada informasi yang dipublikasikan secara umum.
Untuk memastikan audit yang dilakukan terkait operasional CCTV tercatat dalam pembukuan audit.
L35
72
73
74
75
76
77
78
A.10.10. 6
A.11.1.1
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.3.1
Clock Synchronizati on
Untuk menyelaraskan waktu pada semua kegiatan, sistem, perangkat, dsb. pada satu sumber waktu yang disepakati.
Apakah waktu pada semua sistem informasi yang digunakan untuk operasional CCTV telah disinkronisasi dengan sumber waktu yang akurat?
Sudah ada penyelarasan waktu pada sistem yang digunakan untuk proses operasional proyek CCTV. Menggunakan NTP (Network Time Protocol). PT. AGIT tidak memiliki kebijakan untuk mengendalikan akses pada operasional CCTV, namun pengendalian akses telah dijalankan secara teknis di dalam proyek pemasangan CCTV. Tidak ada prosedur dan administrasi secara formal yang terkait dengan registrasi untuk mengakses sistem informasi pemantauan CCTV tersebut karena tidak ada pihak luar yang diberikan akses ke sistem informasi CCTV namun hanya internal proyek CCTV saja.
YES
Untuk mengetahui kebijakan pengendalian akses di dalam proyek pemasangan CCTV.
Apakah pengendalian akses pada proyek pemasangan CCTV telah ditetapkan dan diimplementasikan?
Untuk memastikan adanya prosedur registrasi dan deregistrasi serta untuk mencegah akses ilegal yang dapat merugikan perusahaan.
Apakah terdapat prosedur dan regristrasi pengguna secara formal untuk mengakses sistem informasi CCTV?
Privilege management
Untuk mengetahui hak istimewa dari setiap karyawan di perusahaan.
Apakah telah dilakukannya manajemen hak istimewa untuk setiap karyawan atau pengguna sistem informasi di dalam organisasi?
Pemberian hak istimewa tidak berlaku dalam proyek pemasangan CCTV.
Non Applicable
User password management
Untuk mengalokasikan kata sandi setiap pengguna sistem informasi dan harus melalui proses manajemen formal.
Apakah terdapat ketentuan terhadap penggunaan kata sandi?
Penggunaan kata sandi sudah dilakukan dan sudah terdapat kriterianya (8 digit, huruf A-a, angka, dan tanda baca).
YES
Review of user access rights
Untuk mengetahui apakah hak akses tersebut digunakan secara bertanggung jawab dan benar.
Apakah hak akses pengguna tersebut dilakukan review secara rutin?
Tidak adanya review secara rutin terhadap hak akses.
Password use
Untuk mengetahui kata sandi yang digunakan aman dan sudah sesuai dengan ketentuan kriteria penggunaan kata sandi tersebut
Apakah penggunaan kata sandi yang digunakan karyawan atau pengguna dipantau?
sudah terdapat sistem yang memantau kesesuaian kata sandi terhadap kriteria yang sudah ada.
Access control policy
User registration
L36
√
NO
√
NO
√
YES
YES
79
80
81
82
83
84
85
86
A.11.3.2
A.11.3.3
A.11.4.1
A.11.4.2
A.11.4.3
A.11.4.4
A.11.4.5
A.11.4.6
Unattended user equipment
Clear desk and clear screen policy
Untuk menjaga aset, aplikasi, dan sistem informasi yang berisi semua data rekaman CCTV.
Untuk memastikan bahwa clear screen dan desk policy telah ditetapkan pada kegiatan operasional cctv
Untuk mencegah akses karyawan atau pengguna Policy on use yang ilegal of network terhadap layanan services jaringan yang berada di perusahaan. Untuk mengetahui User hubungan authentication eksternal for external terhadap jaringan connections yang ada diperusahaan. Untuk mengetahui apakah Equipment equipment identification identification in networks sudah sesuai dengan jaringannya. Untuk melindungi Remote kamera CCTV, diagnostic and switch/router dan configuration pusat dari port monitoring hasil protection data rekaman CCTV.
Apakah telah dilakukannya pencegahan agar karyawan atau pengguna yang tidak dapat berhak mengakses ke sistem informasi tertentu?
Apakah telah ditetapkan kebijakan dan diimplementasikan mengenai clear screen dan desk policy? (contoh : desktop harus tersusun dengan rapi dan meja kerja harus bersih dari dokumen-dokumen) Apakah sudah ditentukannya kebijakan yang mengatur mengenai untuk siapa penggunaan layanan jaringan dan untuk keperluan apa saja? Apakah sudah dilakukan otentikasi terhadap hubungan eksternal terhadap jaringan perusahaan?
Apakah equipment identification dalam jaringan sudah ditentukan dan sudah sesuai? Apakah telah dilakukannya pengendalian terhadap port atau jaringan yang dapat menghubungkan kamera CCTV dengan pusat monitoring?
Segregation in networks
Agar seluruh aktivitas yang dilakukan di dalam sebuah jaringan dapat dipidahkan dapat dilihat jelas pembagiannya
Apakah telah dilakukannya pembagian jaringan?
Network connection control
Untuk membatasi penggunaan terhadap koneksi ke dalam jaringan perusahaan.
Apakah telah dilakukannya pengendalian terhadap pengendalian koneksi jaringan
L37
PT. AGIT sudah melakukan pencegahan dengan cara pengamanan fisik (ruangan yang terpisah, harus tapping dan memasukkan kata sandi karyawan pada saat ingin memasuki ruangan tertentu) dan juga pemakaian jaringan V-LAN yang dapat menjaga kerahasiaan sistem informasi PT. AGIT tersebut.
YES
PT. AGIT belum menggunakan kebijakan dan pengimplementasia n mengenai clear screen dan desk policy.
√
NO
Tidak terdapat kebijakan mengenai penggunaan layanan jaringan walaupun layanan jaringan hanya untuk internal organisasi saja.
√
NO
Hubungan ekternal dan jaringan perusahaan sudah terotentikasi dengan jaringan VPN IP. Equipment identification tidak termasuk dengan ruang lingkup operasional CCTV, ruang lingkup ini untuk penyedia layanan jaringan. Pengendalian terhadap port atau jaringan yang dapat menghubungkan kamera CCTV dengan pusat monitoring sudah ada. PT. AGIT telah melakukan pembagian jaringan yang akan digunakan pada setiap karyawan, walaupun terdapat pada satu switch tetapi beda V-LAN. PT. AGIT sudah melakukan pengendalian terhadap koneksi jaringan menggunakan manageable switch (layer 3).
YES
Non Applicable
YES
YES
YES
87
88
89
90
91
92
93
A.11.4.7
A.11.5.1
A.11.5.2
A.11.5.3
A.11.5.4
A.11.5.5
A.11.5.6
Network routing control
Secure log-on procedures
Untuk mengetahui arus koneksi dengan informasi komputer terhadap kamera CCTV dan monitoring tidak melanggar kebijakan pengendalian pengaksesan pada aplikasi. Untuk mencegah akses ilegal terhadap OS yang sedang digunakan dalam fasilitas pengolahan data rekaman CCTV di dalam proyek pemasangan CCTV.
Apakah pengendalian terhadap pengiriman jaringan telah dilakukan?(penggunaa n network router)
Pengendalian terhadap penggunaan router tersebut bukan ruang lingkup dari operasional tetapi ruang lingkup dari penyedia layanan jaringan.
Apakah secure log on procedure telah diterapkan untuk masuk ke OS di dalam proyek pemasangan CCTV?
Prosedur secure log-on telah diterapkan untuk masuk ke OS di dalam fasilitas pengolahan data rekaman CCTV, namun prosedur tersebut tidak tertulis. Dalam mengakses OS server dan aplikasi setiap karyawan atau pengguna tidak memiliki ID masing-masing, karena hanya satu orang yang bisa mengakses yaitu sistem spesialis. Sudah terdapat sistem yang memantau kesesuaian kata sandi terhadap kriteria yang sudah ada. Annex ini mengacu pada A.11.3.1
Non Applicable
√
YES
User identification and authentication
Untuk menjaga dan mengidentifikasi karyawan atau pengguna dalam pengaksesan yang akan dilakukan dalam perusahaan.
Apakah dalam mengakses OS setiap karyawan atau pengguna telah memiliki ID masingmasing?
Password management system
Untuk memberikan ketentuan terhadap penggunaan kata sandi agar lebih berkualitas.
Apakah sudah ada ketentuan mengenai kualitas kata sandi yang sudah diatur oleh sistem manajemen untuk melakukan pengaksesan terhadap OS?
Use of system utilities
Untuk mengetahui sejauh mana utilitas sistem di dalam OS dalam mencegah akses yang ilegal.
Apakah penggunaan program/tool yang dapat menghapus filefile sistem terhadap aplikasi dapat dikendalikan?
Sudah terdapat aplikasi NAS yang dapat dikendalikan untuk penghapusan data-data rekaman CCTV
YES
Session timeout
Untuk memastikan bahwa session time-out pada aplikasi operasional cctv telah ditetapkan untuk mencegah akses ilegal terhadap sistem operasi cctv
Apakah session timeout pada aplikasi operasional cctv telah ditetapkan?
Session-time out pada aplikasi operasional CCTV yang digunakan dalam pemantauan CCTV telah diterapkan yaitu selama 5 menit dan kemudian karyawan harus log in ulang. Terkecuali untuk monitoring CCTV.
YES
Limitation of connection time
Untuk mempersempit waktu dalam melakukan koneksi, agar mencegah risiko yang mungkin saja dapat terjadi.
Apakah dalam melakukan koneksi terhadap OS terdapat pembatasan waktu aksesnya?
Tidak ada batas waktu pengaksesan pada aplikasi pemantauan CCTV karena aplikasi yang digunakan tidak memerlukan remote(layanan internet).
Non Applicable
L38
√
YES
YES
94
95
96
97
98
99
100
A.11.6.1
A.11.6.2
A.11.7.1
A.11.7.2
A.12.1.1
A.12.2.1
A.12.2.2
Information access restriction
Untuk mencegah akses ilegal terhadap informasi pada sistem aplikasi perusahaan.
Sensitive system isolation
Karena setiap sistem sensitif dan harus memiliki lingkungan yang terisolasi, agar sistem dapat terlindung oleh pengaksesan yang tidak sah
Mobile computing and communicatio ns
Untuk menglindungi informasi perusahaan dari risiko penggunaan terhadap fasilitas komunikasi.
Teleworking
Security requirements analysis and specification
Untuk memastikan penggunaan teleworking dalam melakukan pekerjaan dan melindunginya terhadap risiko yang mungkin terjadi. Untuk menentukan kualitas dari penggunaan sistem infromasi yang baru dan agar sesuai dengan tujuan proyek pemasangan cctv
Apakah telah dilakukannya pembatasan/proteksi terhadap pengaksesan informasi perusahaan/ data rekaman CCTV yang sudah sesuai dengan kebijakan pengendalian akses?
PT. AGIT telah melakukan pembatasan/proteks i terhadap pengaksesan data rekaman CCTV. Tetapi tidak ada kebijakan pengendalian akses secara tertulis.
Apakah terdapat suatu sistem yang harus dilakukannya isolasi?
PT. AGIT sudah melakukan isolasi terhadap sistem yang digunakan yaitu dengan menggunakan VLAN yang tidak terkoneksi dengan jaringan lainnya.
Apakah ada kebijakan yang ditetapkan untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan?
PT. AGIT tidak ada kebijakan formal yang ditetapkan untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan maupun proyek pemasangan CCTV.
Non Applicable
Apakah sudah ditentukannya kebijakan dan prosedur mengenai teleworking?
PT. AGIT tidak menentukan kebijakan dan prosedur mengenai teleworking.
Non Applicable
Apakah sudah terdapat mengenai persyaratan keamanan dalam penggunaan aplikasi atau pengadaan infrastruktur TI yang baru di dalam operasional pemantauan cctv?
Persyaratan keamanan mengenai data rekaman CCTV sudah dijalankan secara teknis di lingkungan kerja.
Input data validation
Untuk memastikan pengaturan kamera cctv telah benar dan tepat pada saat instalasi.
Apakah terdapat proses pengaturan awal pada saat melakukan instalasi kamera cctv dan jaringan?
Control of internal processing
Untuk memeriksa validasi data masukkan telah benar dan tepat dan mendeteksi segala bentuk perubahan informasi
Apakah terdapat proses yang memeriksa validitas data masukkan pada saat melakukan instalasi kamera cctv dan jaringan?
L39
Terdapat dokumen CCTV Configuration Design Checklist untuk melakukan instalasi kamera CCTV. Instalasi jaringan di luar ruang lingkup proyek karena dilakukan oleh pihak penyedia layanan jaringan. setiap data rekaman yang ada sudah dilengkapi dengan Time Stamp untuk memastikan bahwa data yang ada sesuai dengan waktu rekaman
√
YES
YES
YES
YES
YES
101
102
103
104
105
106
107
A.12.2.3
A.12.2.4
A.12.3.1
A.12.3.2
A.12.4.1
A.12.4.2
A.12.4.3
Message integrity
Output data validation
Policy on use of cryptographic controls
Key Management
Untuk menjamin keakuratan dan perlindungan message integrity di dalam aplikasi operasional pemantauan cctv
Untuk memastikan hasil rekaman telah sesuai dengan detail rekaman
Untuk memastikan bahwa terdapat kebijakan yang mengatur perlindungan informasi data rekaman telah dikembangkan dan diimplementasika n di dalam proyek CCTV Untuk memastikan bahwa dukungan manajemen telah ditetapkan untuk melindungi kerahasiaan, keaslian atau keutuhan data rekaman cctv dengan cara kriptografi
Control of operational software
Untuk memastikan telah terdapat prosedur untuk keamanan dokumen sistem
Protection of system test data
Untuk memastikan pengujian data telah dikendalikan dan dilindungi keamanannya
Access control to program source code
Untuk memastikan bahwa akses data rekaman telah dibatasi
Apakah ada suatu proses yang dilakukan untuk memastikan bahwa integritas data ada NVR
Dilakukan random samping test untuk memastikan bahwa seluruh data yang tersimpan di NVR dapat dipertanggung jawab kan di dalam laporan bulanan
YES
Apakah terdapat proses pemeriksaan atau pengujian pada hasil rekaman untuk menjamin validitasnya pada saat proses operasional proyek cctv dan mencegah modifikasi data?
Tidak ada proses yang dapat memastikan keakuratan data, namun karena technologi streaming maka data yang dikirimkan adalah data real time yang sama dengan kondisi di lapangan (sudut pandang kamera)
YES
Apakah telah terdapat kebijakan tentang penggunaan kriptografi dalam operasional pemantauan CCTV yang telah diimplementasikan?
Belum terdapat kebijakan secara tertulis dalam penggunaan kriptografi namun penggunaan kriptografi telah dilaksanakan secara teknis
Apakah terdapat dukungan dari manajemen terhadap penggunaan teknik kriptografi pada operasional pemantauan cctv?
Penggunaan kriptografi telah mendapat dukungan dari manajamen perusahaan
Apakah prosedur pemasangan perangkat lunak (seperti CCTV monitoring E300 VMX System, NVR, Network Monitoring System OP Manager, NTP ) telah tersimpan dengan aman dan terstruktur untuk mencegah modifikasi yang tidak dikehendaki? Apakah pengujian rekaman cctv telah dilakukan dengan aman untuk memastikan tidak adanya tindakan ilegal yang dirahasiakan di dalamnya? Apakah telah dilakukan pembatasan akses kepada karyawan maupun pihak Bank XYZ terhadap kode hasil rekaman? L40
Belum terdapat prosedur secara tertulis dalam menginstalasi perangkat lunak yang digunakan pada proyek CCTV namun instalasi perangkat lunak telah dilakukan secara teknis
√
NO
YES
√
NO
Pengujian rekaman CCTV dilakukan setiap 6 bulan sekali pada lokasi tertentu yang dilakukan secara acak
YES
Pembatasan akses pada data rekaman CCTV telah dilakukan, hanya Bagian OMC yang dapat mengakses langsung data rekaman CCTV.
YES
108
109
110
111
112
A.12.5.1
A.12.5.2
A.12.5.3
A.12.5.4
A.12.5.5
Change Control Procedure
Technical review of applications after operating system changes
Restrictions on changes to software packages
Untuk memastikan bahwa terdapat prosedur yang mengatur jika terjadi perubahan pada sistem, aplikasi dan perangkat lunak operasional pemantauan cctv agar keamanan perangkat lunak dan informasi dapat terpelihara dengan baik
Untuk memastikan bahwa tidak ada dampak yang merugikan di dalam sistem operasional dan keamanan data hasil rekaman cctv jika terjadi perubahan pada OS (Operating System) yang digunakan
Untuk memastikan bahwa perubahan pada perangkat lunak package dibatasi dan setiap perubahan harus sepenuhnya diuji dan didokumentasika n, sehingga dapat diterapkan kembali jika diperlukan untuk upgrade perangkat lunak
Apakah sudah terdapat prosedur khusus untuk mengontrol jika terjadi perubahan pada sistem, aplikasi dan perangkat lunak operasional pemantauan cctv?
Terdapat prosedur khusus yaitu dokumen Change Request yang diterbitkan oleh PT. AGIT untuk mengatur setiap perubahan manajemen yang terjadi baik di dalam proyek maupun di luar proyek.
Apakah pernah atau telah dilakukan perubahan terhadap OS (Operating System) pada operasional pemantauan cctv? (contoh : upgrade OS dari Wondows XP ke Windows 7)
Proyek CCTV belum pernah melakukan perubahan atau pembaharuan pada OS (Operating System) karena proyek merupakan proyek jangka menengah sehingga belum pernah dilakukan tinjauan pada aplikasi setelah perubahan OS. OS yang digunakan saat ini adalah Windows XP.
Apakah sering terjadi perubahan atau pembaharuan pada perangkat lunak yang digunakan pada operasional pemantauan cctv? Berapa lama biasanya dilakukan pembaharuan pada perangkat lunak yang digunakan?
Perubahan pada perangkat lunak akan menjalani proses UAT (User Acceptance Test) setelah fase implementasi perangkat lunak tersebut. Perubahan perangkat lunak dilakukan jika diperlukan sesuai kebutuhan dan tujuan proyek CCTV.
Information leakage
Untuk memastikan bahwa peluang terhadap kebocoran data hasil rekaman harus dicegah
Bagaimana cara untuk mencegah kecurangan atau kebocoran data hasil rekaman pada sistem operasional pemantauan cctv?
Outsourced software development
Untuk membatasi pengembangan perangkat lunak yang digunakan dari luar organisasi
Apakah telah dilakukan kontrol pada pengembangan perangkat lunak yang dilakukan oleh pihak luar?
L41
Pencegahan terhadap kebocoran informasi dilakukan dengan pengamanan aset dan fasilitas secara fisik, penggunaan Virtual LAN dan VPN IP, jaringan komunikasi yang tidak terhubung dengan internet dan penggunaan NDA sebagai kontrak kerja untuk setiap karyawan. Belum terdapat ketentuan yang membatasi pengembangan perangkat lunak yang dilakukan oleh pihak luar (NDA, kontrak, perjanjian) karena selama ini pengembangan perangkat lunak dilakukan langsung
YES
√
NO
YES
YES
√
NO
oleh pihak principal perangkat (GPD, Vivotek)
113
A.12.6.1
Control of technical vulnerabilities
Untuk memastikan bahwa risiko dan gangguan yang terkait dengan OS, network dan aplikasi operasional pemantauan cctv dapat diatasi dengan tepat waktu dan dapat dievaluasi dengan jelas
Apakah telah rutin dilakukan pengujian atau penilaian terhadap kerentanan pada OS, jaringan dan aplikasi operasional pemantauan cctv?
Untuk memastikan bahwa pelaporan Reporting setiap peristiwa information keamanan security events informasi dapat dilakukan secepat mungkin
Apakah telah ditetapkan lajur manajemen yang tepat untuk penyampaian pelaporan dan penanganan security event? (contoh : terdapat virus yang menyebar di dalam sistem pemantauan cctv yang ditemukan oeh bagian OMC dan memerlukan penanganan oleh bagian IT)
114
A.15.2.2
Information systems audit control
115
A.15.3.1
Technical compliance checking
116
117
118
A.13.1.1
A.13.1.2
Non Applicable
Reporting security weaknesses
Apakah telah ditetapkan ketentuan Untuk untuk pelaporan dan memastikan penanganan security bahwa kelemahan weakness yang harus keamanan dapat dilakukan oleh Bagian segera OMC dan Helpdesk? dikomunikasikan (contoh : terjadi error dan ditangani pada sistem Helpdesk dengan tepat yaitu tidak mencatat waktu terjadinya gangguan pada pemantauan cctv)
Untuk Responsibilitie memastikan s and bahwa insiden procedures of akan A.13.2.1 information mendapatkan security respon yang incident cepat, efektif dan tertib
Apakah telah ditetapkan prosedur untuk penanganan security incident dengan efektif terkait operasional pemantauan cctv? (contoh : virus yang mengganggu, laptop hilang, kamera cctv yang rusak, dsb)?
L42
Belum dilakukan pengujian atau penilaian terhadap kerentanan pada OS, jaringan dan aplikasi yang mungkin terjadi karena belum terdapat pengetahuan yang memadai mengenai pengujian tersebut.
Terdapat jalur manajemen yang tepat untuk penyampaian laporan dan penanganan gangguan. Pelaporan gangguan maksimal dilakukan 5 menit setelah kejadian terjadi yaitu berdasarkan KPI yang dimiliki oleh Bagian OMC Terdapat ketentuan secara teknis untuk pelaporan dan penanganan terhadap gangguan pada sistem Helpdesk. Bagian Helpdesk akan segera melaporkan melalui telepon, email atau BBM terhadap error yang terjadi pada sistem Helpdesk. Telah terdapat prosedur AG World untuk penanganan gangguan yang telah ditetapkan dengan efektif oleh setiap karyawan jika terjadi gangguan.
Non Applicable
Non Applicable
YES
YES
YES
119
120
121
122
123
124
A.13.2.2
Learning from information security incidents
A.13.2.3
Collection of evidence for information security incident
A.14.1.1
Including information security in the business continuity management process
A.14.1.2
A.14.1.3
A.14.1.4
Evaluasi secara rutin dilakukan dengan pembuatan LBOP (Laporan Bulanan Untuk Operasional mendeskripsikan Apakah telah Proyek) oleh bahwa dampak dilakukan evaluasi Manajer apa saja yang secara rutin terhadap Operasional. disebabkan oleh security incident yang Manajer Opersional insiden yang dihadapi terkait mengadakan rapat terjadi (jenis dengan operasional bulanan bersama gangguan, biaya, pemantauan cctv? pihak Bank XYZ waktu) dan menghasilkan MOM (Minutes of Meeting). Rekaman MOM telah diperlihatkan. Pengumpulan barang bukti dari Untuk Apakah terdapat setiap kejadian memastikan pengumpulan barang yang terjadi pada bahwa terdapat bukti termasuk sistem akan tercatat barang bukti penyediaan data untuk di dalam Log yang yang jelas pada keperluan investigasi ada pada Menu setiap insiden dari pihak yang Event Viewer di yang terjadi pada berwenang, terkait Windows dan operasional tindak lanjut dari System Log yang pemantauan cctv security incident? ada pada perangkat kamera. Terdapat dokumen SCP (Service Continuity Plan) Untuk a. Apakah BCP telah yang diharapkan memastikan ditetapkan? (Contoh dapat ditetapkan bahwa BCP dapat BCM framework) dan dikembangkan terus b. Apakah pernyataan secara dikembangkan keamanan terkait berkelanjutan untuk dan dipelihara operasional melindungi terkait dengan pemantauan cctv keamanan data proyek sudah diakomodasikan rekaman CCTV dan pemasangan cctv di dalam BCP? segala informasi terkait proyek CCTV
YES
YES
a. Apakah risiko dapat didefinisikan di dalam BCP yang telah ditetapkan pada proyek pemasangan cctv? b. Apakah risiko-risiko sudah termasuk di dalam risk matrix?
Dokumen SCP mencakup risiko apa saja yang mungkin muncul selama proyek CCTV dan sudah didefinisikan di dalam risk matrix proyek CCTV
YES
YES
YES
Business continuity and risk assessement
Untuk mengetahui risiko apa saja yang muncul yang didefinisikan di dalam BCP
Developing and implementing continuity plans including information security
Untuk memastikan bahwa rencana pada BCP harus dikembangkan dan diimplementasika n untuk memelihara atau memulihkan operasi dan memastikan ketersediaan informasi
a. Apakah sudah ada BCP yang disahkan? b. Apakah BCP yang ditetapkan mencakup area keamanan pada data hasil rekaman cctv?
Dokumen SCP sudah di sah kan berdasarkan ISO 20000 dimana semua dokumen sudah diberi nomor dan ditandatangani oleh pejabat PT.AGIT. Dokumen SCP sudah diimplementasikan pada bulan Mei 2013 pada proyek CCTV.
Untuk memastikan bahwa framework BCP telah terpelihara dengan baik dan bersifat konsisten
Apakah framework pada BCP sudah mencantumkan kebutuhan keamanan pada data hasil rekaman cctv dan mengidentifikasi prioritas pengujian dan pemeliharaan?
SCP framework telah bersifat konsisten dan terpelihara dengan baik dengan memprioritaskan keamanan data rekaman CCTV.
Business continuity planning framework
YES
L43
125
126
127
128
129
130
A.14.1.5
A.15.1.1
A.15.1.2
A.15.1.3
A.15.1.4
A.15.1.5
Apakah telah dilakukan pengujian dan evaluasi pada BCP yang ada sesuai dengan mekanisme yang ditetapkan dalam BCM Framework terkait dengan proyek pemasangan cctv?
SCP untuk proyek CCTV dibuat pada bulan Mei 2013 dan baru akan dilakukan pengujiannya pada bulan Januari 2014 .
Apakah dilakukan identifikasi terhadap peraturan/persyaratan lainnya yang terkait keamanan data hasil rekaman cctv dan hak cipta yang melindungi data tersebut?
Tidak diperlukan hukum UU Hak Cipta yang melindungi data rekaman CCTV karena setelah 8 bulan penyimpanan rekaman CCTV di NAS maka rekaman CCTV akan dihapus.
Non Applicable
Apakah terdapat prosedur perusahaan yang mewajibkan bahwa perangkat lunak yang dipergunakan adalah perangkat lunak yang legal?
Terdapat dokumen IT Security and Compliance yang menyatakan bahwa seluruh perangkat kerja maupun sistem yang diimplementasikan di dalam proyek harus menggunakan perangkat lunak yang didapat secara legal.
YES
Apakah ada metode yang dilakukan untuk memastikah bahwa data hasil rekaman cctv telah dilindungi dari kehilangan, pengrusakan dan pemalsuan, berkenaan dengan undangundang, peraturan, dan syarat bisnis?
Data rekaman CCTV telah disimpan di Data Center. Data Center tersebut telah dilindungi baik secara fisik maupun secara sistem.
YES
Untuk memastikan perlindungan data dan privasi sebagaimana yang diharuskan dalam undangundang dan peraturan
Apakah customer privacy policy sudah ditetapkan sesuai dengan proyek yang dijalankan?
Customer Privacy Policy telah dilakukan dengan adanya NDA yang telah disetujui oleh pihak Bank XYZ, pihak penyedia layanan jaringan dan pihak proyek CCTV PT. AGIT.
YES
Untuk memastikan bahwa penggunaan fasilitas operasional pemantauan cctv sesuai dengan peraturan yang berlaku
Apakah telah dilakukan pembatasan untuk mengakses fasilitas operasional pemantauan cctv untuk mencegah penyalahgunaan fasilitas operasional pemantuan CCTV? ( contoh : akses ke ruangan monitoring, akses ke ruangan helpdesk, ke ruangan server)
Sudah melakukan pencegahan penyalahgunaan fasilitas pengolahan informasi dengan pembatasan akses ke ruangan khusus
YES
Testing maintaining and reassessing business continuity plans
Untuk memastikan bahwa BCP telah berjalan dengan efektif
Identification of applicable legislation
Untuk memastikan bahwa data hasil rekaman cctv terlindungi oleh UU Hak Cipta dan sesuai dengan hukum yang berlaku
Intellectual property rights (IPR)
Protection of organizational records
Data protection and privacy of personal information
Prevention of misuse of information processing facilities
Untuk memastikan terdapat prosedur yang harus diimplementasika n bahwa telah dipenuhinya peraturan dan syarat kontrak pada penggunaan produk perangkat lunak yang dimiliki perusahaan Untuk memastikan bahwa insiden / gangguan pada data hasil rekaman cctv telah dilindungi dari kehilangan, pengrusakan dan pemalsuan, berkenaan dengan undangundang, peraturan, dan syarat bisnis.
L44
√
YES
131
132
133
A.15.1.6
A.15.2.1
A.15.3.2
Regulation of cryptographic controls
Compliance with security policies and standards
Protection of information system audit tools
Untuk memastikan bahwa penggunaan kriptografi pada data rekaman cctv telah sesuai dengan peraturan perusahaan Untuk memastikan bahwa Manajer Operasional bertanggung jawab terhadap seluruh prosedur keamanan sistem informasi dan dilaksanakan dengan benar untuk mencapai pemenuhan kebijakan dan standar keamanan. Untuk memastikan bahwa akses terhadap peralatan audit harus dicegah dari segala kemungkinan penyalahgunaan dan bahaya
Apakah penggunaan kriptografi pada data rekaman cctv telah sesuai dengen peraturan perusahaan?
Penggunaan kriptografi pada data rekaman CCTV telah sesuai dengan peraturan perusahaan dan didukung oleh manajemen perusahaan
Apakah terdapat kebijakan atau standar untuk mengatur keamanan sistem informasi dan telah dilaksanakan benar?
Belum terdapat prosedur secara tertulis mengenai kemananan sistem informasi, namun perlindungan terhadap keamanan sistem informasi telah dilaksanakan secara teknis.
Apakah telah dilakukan perlindungan terhadap peralatan audit pada proyek cctv?
Peralatan yang digunakan untuk mengaudit seperti proyek CCTV seperti laptop dan desktop telah disimpan di secara aman di ruang terkunci dan aksesnya dikendalikan
TOTAL
YES
√
YES
11
L45
NO
10
5
YES = 96 NO = 17 NA = 20
Penilaian Risiko Terhadap Klasifikasi Ancaman Berdasarkan Sumber Ancaman Pada Proses Implementasi dan Operasional Sistem Manajemen Keamanan Informasi ISO/IEC 27001 : 2005 PT. Astra Graphia Information Technology Proyek Pemasangan CCTV Bank XYZ Probability Impact Applicable 1 = Low 1 = Low Risk No. Threat Mapping Annex Control Selected Yes / No 2= Level 2 = Medium Medium 3 = High
3 = High
1
Natural Threat Tanah longsor
No
NA
2
Tsunami
No
NA
3
Angin topan
Yes
1
1
Low
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
4
Angin kencang (70 + mph)
Yes
2
1
Medium
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
5
Badai tropis
Yes
1
2
Medium
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
6
Banjir pasang
No
7
Banjir musiman
Yes
1
1
Low
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
8
Banjir lokal
Yes
1
1
Low
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
9
Badai pasir
No
10
Aktivitas gunung merapi
Yes
1
2
Medium
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
11
Yes
2
3
High
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
Yes
1
3
Medium
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
13
Gempa bumi (2-4 skala Richter) Gempa bumi (5 skala Richter atau lebih) Petir
Yes
3
1
Medium
A.9.1.1, A.9.1.3, A.9.1.4, A.14.1.3
14
Wabah penyakit
No
12
NA
NA
NA
Human Threat Tindakan Disengaja 15
Pencurian data
Yes
1
3
Medium
A.5.1.1, A.7.1.2, A.7.1.3, A.8.2.3, A.9.2.6, A.10.7.1, A.10.7.3, A.10.8.3, A.10.8.5, A.11.1.1, A.11.2.1, A.11.3.3, A.11.4.1, A.12.3.1, A.15.2.1
16
Pencurian perangkat
Yes
1
3
Medium
A.5.1.1, A.7.1.2, A.7.1.3, A.8.2.3, A.9.2.6, A.10.7.1, A.11.1.1, A.15.2.1
17
Penyadapan sistem jaringan
Yes
1
3
Medium
18
Penggandaan data
Yes
2
2
High
19
Perusakan sistem operasional
Yes
3
3
High
20
No Yes
22
Perubahan / modifikasi data Sabotase terhadap perangkat, karyawan dan aktivitas Bom
23
Ancaman bom
Yes
2
1
Medium
24
Pembakaran area kerja
Yes
3
3
High
A.9.1.4, A.11.1.1
25
Penyanderaan karyawan
Yes
1
1
Low
A.11.1.1
26
Perusakan area kerja
Yes
1
3
Medium
27
Perselisihan antar karyawan
Yes
2
2
High
A.8.2.3
28
Kerusuhan / kekacauan sipil
Yes
2
3
High
29
Penyebaran data secara ilegal
Yes
2
3
High
Yes
3
3
High
Yes
1
2
Medium
Yes
2
3
High
A.8.2.3, A.9.1.4 A.5.1.1, A.8.2.3, A.10.7.1, A.10.8.5, A.11.1.1, A.11.2.1, A.11.3.3, A.11.4.1, A.12.3.1, A.15.2.1 A.5.1.1, A.8.2.3, A.11.2.1, A.12.4.1, A.12.5.5, A.15.2.1 A.8.2.3, A.8.3.2, A.11.1.1, A.15.2.1 A.8.2.3, A.5.1.1, A.6.1.8, A.8.3.3, A.10.8.5, A.11.1.1, A.11.2.1, A.11.3.3, A.11.4.1, A.12.4.1, A.15.2.1
21
31
Penginstalan perangkat lunak secara ilegal Penjualan perangkat secara ilegal
32
Penyalahgunaan hak akses
30
A.5.1.1, A.11.4.1, A.15.2.1 A.5.1.1, A.10.7.1, A.8.2.3, A.10.7.3, A.10.8.3, A.10.8.5, A.11.1.1, A.11.2.1, A.11.3.3, A.11.4.1, A.12.3.1, A.15.2.1 A.5.1.1, A.8.2.3, A.10.8.5, A.11.1.1, A.11.2.1, A.12.5.5, A.15.2.1
NA 2
3
No
High
A.5.1.1, A.7.1.2, A.10.8.3, A.11.1.1, A.15.2.1
NA
L46
A.9.1.4
A.9.1.4, A.11.1.1
Tindakan Tidak Disengaja 33
Kesalahan input data
Yes
1
3
Medium
34
Kesalahan penghapusan data
Yes
2
3
High
35
Kesalahan pergantian perangkat
Yes
1
3
Medium
36
Kelalaian peninjauan rekaman CCTV Kelalaian menghilangkan kunci ruangan
Yes
3
2
High
A.5.1.1, A.15.2.1
Yes
2
2
High
A.5.1.1, A.7.1.2, A.7.1.3
37
A.5.1.1, A.8.2.2., A.10.7.3, A.15.2.1 A.5.1.1, A.8.2.2, A.7.1.2, A.7.1.3, A.10.7.3, A.11.3.3, A.15.2.1, A.5.1.1, A.8.2.2., A.15.2.1
38
Kelalaian menghilangkan data
Yes
1
3
Medium
A.5.1.1, A.7.1.2, A.7.1.3, A.9.2.6, A.10.7.1, A.10.7.3, A.10.8.3, A.11.3.3, A.15.2.1
39
Kelalaian menghilangkan perangkat
Yes
1
3
Medium
A.5.1.1, A.7.1.2, A.7.1.3, A.9.2.6, A.10.7.1, A.10.7.3, A.10.8.3
40
Keterlambatan penanggulangan masalah
Yes
2
3
High
41
Kesalahan mengubah format data
Yes
2
3
High
42
Kegagalan Sistem
Yes
3
3
High
43
Serangan Virus komputer
Yes
2
3
High
A.5.1.1, A.5.1.2, A.13.1.1, A.13.1.2, A.13.2.1, A.14.1.1, A.14.1.2, A.14.1.3, A.14.1.5 A.5.1.1, A.8.2.2, A.10.7.3, A.12.3.1 A.5.1.1, A.5.1.2, A.10.8.5, A.12.5.2, A.13.1.1, A.13.1.2, A.13.2.1, A.14.1.1, A.14.1.2, A.14.1.3, A.14.1.5, A.15.2.1 A.5.1.1, A.10.7.1, A.10.7.3, A.10.8.3, A.10.8.5, A.11.3.3, A.11.4.1, A.12.4.1, A.15.2.1
Environmental Threat 44
Pemadaman Listrik
Yes
3
1
Medium
45
Kelebihan Voltase Listrik
Yes
1
1
Low
A.9.2.1, A.9.2.3
46
Kekurangan Voltase Listrik
Yes
1
1
Low
A.9.2.1, A.9.2.3
47
Kebocoran Air
Yes
2
3
High
A.9.2.1, A.9.2.3
Yes
2
2
High
A.9.2.1, A.9.2.3, A.9.2.4
Yes
2
1
Medium
A.9.2.1, A.9.2.3, A.9.2.4
Yes
2
1
Medium
A.9.2.1, A.9.2.3, A.9.2.4
Yes
2
1
Medium
A.9.2.1, A.9.2.3, A.9.2.4
48 49 50 51 52 53
Binatang Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Rayap : mengerat, sarang, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai
No Yes
A.14.1.1, A.14.1.2, A.14.1.3
NA 2
1
Medium High = 19 Medium = 20
TOTAL
Low = 6 NA = 8
L47
A.9.2.1, A.9.2.3, A.9.2.4
Avalibility Plan CCTV System Availability
Document No Number of Page
13
Issue Date Revision Code
Document’s Owner
Reviewed by
Approved by
Agung Sukmono
Edhy Hutagalung
Edhy Hutagalung
DOCUMENT INFORMATION Master Location
:
File Name
:
Distribution
CHANGE HISTORY Version No.
Date
Details of Changes included in Update
Author(s)
Authors name
L48
AVAILABILITY PLAN
PURPOSE: A Plan to ensure that existing and future Availability Requirements for IT Services can be provided cost effectively.
GOAL: To improve the overall availability of IT services and infrastructure components, to ensure that existing and future business availability requirements can be met.
SCOPE: As agreed, but as a minimum should include existing key IT services, new and planned services in development. (CCTV’s System Availability, Video Record Availability, Operation Monitoring Center)
(Guidelines) The Availability Plan should be updated on a regular (Monthly) basis and aligned to Capacity and Financial plans.
EXECUTIVE SUMMARY: (Guidelines) The Executive or Management Summary should contain a one or two page overview of the most important aspect of the overall plan. This Plan Is to make sure all service is beeing manage to acive the avalibility target. Every service is to plan to gradualy and schedule cek for preventive any possible down time.
L49
PERFORMANCE: (Guidelines) Document actual levels of availability versus agreed levels of availability for key IT services. Availability measurements should always be business- and customer-focused and report availability as experienced by the business and users.
Service Summary Service
Outage
Impact
Description
1 Hour
Video Loss / Event(s) were not recorded / monitored during outage
Service that ensures all events within the designated area are monitored and recorded by the CCTV Monitoring System
Requested video during a specific time frame needed as a comparison / evidence of an event(s)
Service that ensures all events within the designated area are monitored and recorded by the CCTV Monitoring System and stored within the system at most for 6 months of time period
CCTV system performances and availabilities are not being monitored as accordance
Service that monitored all CCTV System (performances, capabilities, capacity and availabilities) to ensure that the system perform support to all project services
(Data Center) CCTV System Availability
3 Hours (In Town) 6 Hours
Target
Projected Availability
24x7
99,0%
6 Months
99,0%
(Outside state of province) 1 Hour (Data Center) CCTV Video Recording Data Availability
3 Hours (In Town) 6 Hours (Outside state of province) 1 Hour
Operation Monitoring Center (OMC) CCTV System
Component Summary
L50
8x5 (onsite) 24x7 (remote )
99,0%
Outage
Impact
Description
Target
Projected Availability
1 Hour
Server will go down and all service impacted will go down also
Network Video Recorder; store all recording output from camera. Supported by Fail-Over Redundancy system
24x7
99,0%
CMS
1 Hour
Recording activity will not be able to be monitored
Control Management System, managing all camera video console into one console
24x7
99,0%
VMX
1 Hour
Monitor will not be able to show current video
Video Management System
24x7
99,0%
1 Hour
Data will not be able to be accessed
Network Attached Storage, store all > 4 months data before confirmed to be wipe out after aging to 6 months of time period
24x7
99,0%
Switch
1 Hour
All CCTV System will not be able to communicate / respond (network) to each other
Connecting all CCTV network
24x7
99,0%
PC
1 Hour
No Impact
Personal Computer, supporting operation on OMC
24x7
99,0%
Monitor
1 Hour
No Impact
To monitor the CCTV Camera Dashboard
24x7
99,0%
Rack
1 Hour
All system within the rack will be shut down
To store all CCTV Servers and Storage system
24x7
99,0%
UPS
1 Hour
All system will be shut down if an electrical outage occurred with no UPS support
Uninterruptable Power Supply
24x7
99,0%
CCTV Camera
3/6 Hours
No events / activity will be recorded during the outage
Surveillance and monitoring camera
24x7
99,0%
3/6 Hours
No events / activity will be recorded during the outage due to no electrical supply
Power over Ethernet to supply electricity to the camera
24x7
99,0%
Service
NVR
NAS
POE Injector
L51
POE Switch
MicroS D
3/6 Hours
No events / activity will be recorded during the outage due to no electrical supply
Power over Ethernet to supply electricity to the camera
24x7
99,0%
3/6 Hours
If an Network Outage occurred then no recording will be saved to storage system (video loss)
External storage system to backup NVR if there are an Network Outage
24x7
99,0%
System will not be able to be monitored
Network Monitoring System, monitors all CCTV system for availability, capacity and performance
24x7
99,0%
NMS 1 Hour
ACHIEVEMENTS / PERFORMANCE IMPROVEMENTS: (Guidelines) Document those activities being progressed to address shortfalls in availability for existing IT services. Where investment decisions are required, options with associated costs and benefits should be included.
Summary
Service(s) NVR Monitoring
NAS Monitoring
Video Monitoring
Planed Downtime
Activity
Description
Benefit
Cost
No Downtime Needed
Daily Routine
Check all NVR for used channels, storage (used and free space)
To ensure NVR will have enough space available for camera registration and video record storage
N/A
No Downtime Needed
Daily Routine
Check all NAS storage (used and free space)
To ensure NAS will have enough space available for camera record storage
N/A
No Downtime Needed
Daily Routine
Check all video To ensure all video availability. All will be available missing / video loss upon request. due to system’s outage will be reported to customer
N/A
(via CMS)
(via NMS)
(via CMS)
L52
Network Monitoring
No Downtime Needed
Daily Routine (via NMS)
Monitoring all network / bandwidth usage within the system’s backhaul
To ensure network will always available for data transfers
N/A
OPTIONS FOR IMPROVEMENT: (Guidelines) This section should contain details of changing availability requirements for existing IT services. The plan should document the options available to meet these changed requirements. Where investment decisions are required, the associated costs of each option should be included. Details of the availability requirements for forthcoming new IT services. The plan should document the options available to meet these new requirements. Where investment decisions are required, the associated costs of each option should be included.
Summary Service
Planed Dwontime
Activity
Description
Benefit
Cost
Operation Monitoring Center (OMC) CCTV System
No Downtime Needed
NMS Advanced Configuration – Storage Monitoring
Configure NMS to be able to monitor data / storage usage in the NMS system
More centralized monitoring and reporting method. NMS will offer alarms for near / meet storage capacity threshold level
N/A
L53
IMPROVEMENT SCHEDULE (Guidelines) A forward-looking schedule for the planned SFA assignments. Regular reviews of SFA assignments should be completed to ensure that the availability of technology is being proactively improved in conjunction with the SIP.
Summary Date
Area/System
Description
Achievements
Status
Quarterly
CCTV Video Recording Data Availability – NAS and NVR
Deletion of video recording data that already aged over 6 months of time
Set up more free space available for new video recording data
Planned
TECHNOLOGICAL OPPORTUNITIES: (Guidelines) The technology futures section provides an indication of the potential benefits and exploitation opportunities that exist for planned technology upgrades. Anticipated availability benefits should be detailed, where possible based on business-focused measures, in conjunction with Capacity Management. The effort required to realize these benefits where possible should also be quantified.
Summary Date
Description
Area/System
L54
Potential Benefit
Resource requirement
Glossary of terms
Availability Key indicator of the service provided. It should be defined in the Service Level Agreement Impact A measure of the effect of an Incident, Problem or Change on Business Processes. Impact is often based on how Service Levels will be affected. Impact and Urgency are used to assign Priority. Maintainability The ability of the IT group to maintain the IT infrastructure in operational state and available according to the agreed service levels PSO
Projected Service Outage
Reliability Reliability of the service is made up out of the reliability of Service Components and the resilience of the IT infrastructure. Resilience stress.
The ability of individual components to absorb or be flexible in times of
Security
Confidentiality, Integrity and Availability (CIA) of Data or a Service.
Service A business defined deliverable supported by one or more I.T. Systems, which enables the business to deliver its objectives Serviceability The ability of a Third-Party Supplier to meet the terms of its Contract. This Contract will include agreed levels of Reliability, Maintainability or Availability for a Configuration Item. Vital Business Function supported by the IT service.
The business critical element of the business process that is
Acronyms
AMIS
Availability Management Information System
BIA
Business Impact Analysis
CFIA Component Failure Impact Analysis MTBF Mean Time Between Failures - mean time between the recovery from one incident and the occurrence of the next incident. MTBSI Mean Time Between System Incidents - mean time between the occurrence of two consecutive incidents. The MTBSI = MTTR + MTBF. MTRS Mean Time to Recover System -average time between the occurrence of a fault and service recovery (or the downtime). SFA An Activity that identifies underlying causes of one or more IT Service interruptions. SFA identifies opportunities to improve the IT Service Provider’s Processes and tools, and 55
not just the IT Infrastructure. SFA is a time-constrained, project-like activity, rather than an ongoing process of analysis. SPOF Single Point of Failure - Any Configuration Item that can cause an Incident when it fails, and for which a Countermeasure has not been implemented. A SPOF may be a person, or a step in a Process or Activity, as well as a Component of the IT Infrastructure.
L56
General Guidance for Availability Management and using the Availability Plan
During the initial production of the Availability Plan, it is recommended that liaison with all functional, technical and process areas is undertaken.
The Availability Plan should cover a period of one to two years, with a more detailed view and information for the first six months.
The plan should be reviewed regularly, with minor revisions every quarter and major revisions every half year. Where the technology is only subject to a low level of change, this may be extended as appropriate.
It is recommended that the Availability Plan is considered complementary to the Capacity Plan and Financial Plan, and that publication is aligned with the capacity and business budgeting cycle.
If a demand is foreseen for high levels of availability that cannot be met due to the constraints of the existing IT infrastructure or budget, then exception reports may be required for the attention of both senior IT and business management.
In order to facilitate the production of the Availability Plan, Availability Management may wish to consider having its own database repository. The AMIS can be utilized to record and store selected data and information required to support key activities such as report generation, statistical analysis and availability forecasting and planning.
The AMIS should be the main repository for the recording of IT availability metrics, measurements, targets and documents, including the Availability Plan, availability measurements, achievement reports, SFA assignment reports, design criteria, action plans and testing schedules.
L57
RENCANA PENYUSUNAN LAYANAN CCTV
Issue Date
3 Mei 2013
Revision Code
0
Author:
Approval:
Agung Sukmono
Bob Mardanus
L58
TABLE OF CONTENT A. EXECUTIVE SUMMARY ....................................................................... 49 B. TUJUAN .................................................................................................... 50 C. REFERENSI ............................................................................................. 50 D. DESKRIPSI
TANGGUNG
JAWAB
DAN
WEWENANG
TIM
PENYUSUNAN/REVISI LAYANAN ...................................................... 50 E. TAHAPAN AKTIFITAS YANG AKAN DILAKUKAN BESERTA PERIODA WAKTUNYA DAN HASIL (OUTCOME)-NYA .................. 52 F. RENCANA KOMUNIKASI DENGAN PIHAK-PIHAK TERKAIT ..... 53 G. IDENTIFIKASI SUMBER DAYA YANG DIBUTUHKAN SELAMA PROSES PENYUSUNAN/REVISI........................................................... 57 H. KAJIAN RISIKO TERKAIT REALISASI LAYANAN ......................... 58 I.
ANALISIS KEBERGANTUNGAN DENGAN LAYANAN LAIN ......... 60
J.
DESKRIPSI PENGUJIAN DAN ACCEPTANCE CRITERIA YANG AKAN DILAKUKAN ............................................................................... 61
K. DESKRIPSI
KELUARAN
(OUTCOME)
DARI
KEGIATAN
PENYUSUNAN/REVISI LAYANAN ...................................................... 61
L48
A. Executive Summary Dokumen ini menjelaskan perencanaan terkait dengan penyusunan layanan Ketersediaan Layanan Sistem CCTV. Layanan Ketersediaan Layanan Sistem CCTV ini sendiri murupakan layanan yang menjamin ketersediaan system dan hasil rekaman CCTV sebagai media pendukung suatu sistem keamanan yang terpadu. Penyusunan layanan ini didasarkan pada kebutuhan akan suatu layanan yang dapat memberikan metoda pengawasan terhadap suatu unit bisnis. Layanan ini ditujukan untuk sektor usaha yang memiliki unit unit bisnis yang terpisah dan membutuhkan suatu metode agar dapat tetap terpantau dengan terpadu. Secara umum, penyusunan layanan Ketersediaan Layanan Sistem CCTV ini membutuhkan waktu selama 3 tahun (36 bulan) sejak layanan kamera CCTV tersebut dinyatakan siap operasional oleh pelanggan. Pada dokumen ini akan dideskripsikan secara terinci tentang hal-hal yang akan dilakukan serta dibutuhkan selama tahap proses penyusunan layanan yang meliputi: •
Tujuan
•
Referensi
•
Deskripsi
Tanggung
Jawab
dan
Wewenang
Tim
Penyusunan/Revisi Layanan •
Tahapan Aktifitas yang Akan Dilakukan beserta Perioda Waktunya dan Hasil (Outcome)-nya
•
Rencana Komunikasi dengan Pihak-Pihak Terkait
•
Identifikasi Sumber Daya yang Dibutuhkan Selama Proses Penyusunan/Revisi
•
Kajian Risiko Terkait Realisasi Layanan
•
Analisis Kebergantungan Dengan Layanan Lain
•
Deskripsi Pengujian dan Acceptance Criteria yang Akan Dilakukan
•
Deskripsi Keluaran (Outcome) dari Kegiatan Penyusunan/Revisi Layanan
L49
B. Tujuan Tujuan dari penyusunan dokumen ini adalah untuk mendesripsikan secara terinci mengenai rencana penyusunan layanan Ketersediaan Layanan Sistem CCTV sehingga : •
Layanan tersebut dapat diluncurkan tepat pada waktunya.
•
Dihasilkannya rancangan (desain) layanan yang baik, sehingga memberikan jaminan terhadap terpenuhinya persyaratan/harapan pelanggan tanpa menimbulkan kesulitan/hambatan yang berarti dalam proses penyediaan layanan oleh service owner.
•
Segala sumber daya yang dibutuhkan untuk penyusunan/revisi layanan tersedia.
•
Segala risiko yang mungkin terjadi sebagai konsekuensi dari pemenuhan layanan baru/revisi layanan telah dilakukan mitigasi yang sesuai.
C. Referensi -
SPK No: 0549/LG.280/PIN.00.00/2012
D. Deskripsi Tanggung Jawab dan Wewenang Tim Penyusunan/Revisi Layanan Berikut ini adalah struktur organisasi Tim Penyusunan/Revisi Layanan:
L50
Berikut ini adalah deskripsi Tanggung Jawab dan Wewenang Tim Penyusunan/Revisi Layanan:
No.
Posisi
Tanggung Jawab
Wewenang
1
Komite
Memastikan
Pengawas
proyek berjalan dengan memutuskan
AGIT
baik dan benar.
Project
Bertanggung
jawab Mengawasi
Manager
terhadap
proses implementasi dan juga
bahwa Menyetujui, mensahkan, segala
keputusan terkait project jalannya
implementasi system agar kelancaran sistem berjalan
sesuai
dengan
rencana. Operation
Bertanggung
jawab Mengawasi
Manager
terhadap
proses operasional, melakukan
pelaksanaan, dan
juga
system
perawatan manajemen ketersediaan cadangan,
sesuai
dengan manajemen
peruntukan awal Project Admin
perangkat melakukan tenaga
tehnisi
Bertanggung jawab dalam Memberikan memberikan
jalannya
dukungan dalam
administrasi
bantuan
penagihan
dan
internal routing dokumen terkait
terkait kebutuhan project.
project
Implementasi
Bertanggung jawab atas Melakukan instalasi dan
Server
instalasi
server
perangkat
dan juga konfigurasi di sisi
pendukung server
(jaringan)
serta
proses
integrasi antara kamera dan server. Implementasi
Bertanggung jawab atas Melakukan instalasi dan
Kamera
instalasi
kamera
L51
dan juga konfigurasi di sisi
perangkat
pendukung kamera
(jaringan)
serta
proses
integrasi antara kamera dan server. OMC
CCTV Bertanggung jawab atas Melakukan
monitoring
juga operasional
CCTV,
pelaporan terhadap segala Malakukan
manajemen
Agent
pengawasan
gangguan
dan
terjadi gangguan system
yang
pada proses perekaman kamera CCTV. EoS Server
Bertanggung jawab atas Melakukan
monitoring
juga operasional
Server
pengawasan
dan
pelaporan terhadap segala CCTV, gangguan pada
terjadi perbaikan terkait server
yang server
berdampak
Melakukan
yang CCTV terhadap
proses perekaman kamera CCTV. Perawatan
Bertanggung jawab atas Melakukan instalasi dan
Kamera
penyelesaian
/ juga perbaikan kamera
penanganan gangguan di CCTV lokasi kembali
kamera ke
sampai kondisi
normal.
E. Tahapan Aktifitas yang Akan Dilakukan beserta Periode Waktunya dan Hasil (Outcome)-nya Berikut ini adalah
tahapan
aktifitas
yang
akan
dilakukan
dalam
penyusunan/perubahan layanan Ketersediaan Layanan Sistem CCTV beserta periode waktunya:
L52
No. Tahapan
Hasil (Outcome)
PIC
Periode
Business
1 bulan
Aktifitas 1
Proses
Desain Proposal
Infrastruktur
&
Consultant,
Sistem
Business Development, Project Manager & Operation Manager
2
Pelaksanaan Proof
Bukti hasil desain Business of Infrastruktur
Concept (PoC)
1 Bulan
& Consultant,
Sistem
Business Development
&
Project Manager 3
Pilot Project
Pelaksanaan
Project Manager
1 Bulan
Project Manager
12 Bulan
implementasi batch 1 4.
Fase
Pelaksanaan
Implementasi
implementasi batch
2
dan
seterusnya 5.
Fase Perawatan
Perawatan system Operation Manager yang
36 Bulan
sudah
terimplmentasi
F. Rencana Komunikasi dengan Pihak-Pihak Terkait Berikut ini adalah rencana komunikasi dengan pihak-pihak terkait (perwakilan
pelanggan,
vendor,
penyusunan/revisi layanan:
L53
manajemen,
dsb.)
terkait
dengan
No.
Nama & Posisi Topik Pihak Terkait
yang
Akan PIC
Waktu
Dibicarakan
Ervia Devi (Acc Diskusi
(Tentatif)
perencanaa Ervia
Devi Januari
Mgr
sinergi
antara (Acc
PENYEDIA
PENYEDIA
PENYEDIA
LAYANAN
LAYANAN
LAYANAN
JARINGAN)
JARINGAN – XXX – JARINGAN) AGIT dalam project
Abdullah (Project
Mgr
Pengadaan
Layanan
CCTV bagi BANK
PENYEDIA
Mgr 2012
Anthony Kayat
(Acc
Mgr XXX)
XYZ
LAYANAN JARINGAN) Ronny
Al
Fauzan (Business Consultant AGIT) Krisnadi Ruchiatan (Business Consultant AGIT) Anthony
Kayat
(Acc Mgr XXX) Rosihan (Service Delivery
Mgr
XXX) Ervia Devi (Acc Diskusi
perencanaan Abdullah
Mgr
instalasi
PENYEDIA
PENYEDIA
PENYEDIA
LAYANAN
LAYANAN
LAYANAN
L54
Januari
jaringan (Project Mgr 2012
JARINGAN)
JARINGAN
dan JARINGAN)
instalasi Server dan
Abdullah (Project
Mgr
Kamera CCTV
Alexander Suhandi
PENYEDIA
(Project
LAYANAN
Manager
JARINGAN)
AGIT)
Ronny
Al
Anton
Fauzan
Budiman
(Business
(Project
Consultant
Manager
AGIT)
XXX)
Alexander Suhandi (Project Manager AGIT) Agung Sukmono (Operation Manager AGIT) M.
Iqbal
(Product Delivery Engineer Printcom) Anton Budiman (Project Manager XXX) Ervia Devi (Acc Review
performa Ronny
Mgr
layanan
dan
juga Fauzan
PENYEDIA
kelangsungan
LAYANAN
perawatan
perangkat Consultant
JARINGAN)
dalam
menjamin AGIT)
ketersediaan rekaman L55
(Business
Al Januari 2012
Abdullah
CCTV
(Project
Alexander
Mgr
Suhandi
PENYEDIA
(Project
LAYANAN
Manager
JARINGAN)
AGIT)
Sosro HK (C4
Agung
Mgr
Sukmono
PENYEDIA
(Operation
LAYANAN
Manager
JARINGAN)
AGIT)
Ronny
Al
Fauzan (Business Consultant AGIT) Alexander Suhandi (Project Manager AGIT) Agung Sukmono (Operation Manager AGIT) M.
Iqbal
(Product Delivery Engineer Printcom) Anton Budiman (Project Manager XXX)
L56
G. Identifikasi
Sumber
Daya
yang
Dibutuhkan
Selama
Proses
Penyusunan/Revisi Dalam hal penyusunan layanan Ketersediaan Layanan Sistem CCTV, maka dibutuhkan sumber daya sebagai berikut:
Jenis
Sumber Deskripsi Kebutuhan
Daya SDM
Posisi-posisi yang akan terlibat: -
Dept. Head ESM Operation: Bob M Muis Dept.
-
Head
EIM
Delivery: Binsarto H Marbun Operation Manager:
Agung Sukmono -
Project
Manager:
Admin
Support
Alexander Suhandi ESM: Yuni Widiastuti Admin Support EIM:
Nevy Christianti
Data Dokumen
Teknis
•
Vendor:
-
Printcom Implementasi Server: M. Iqbal
-
Printcom Perawatan Server: Nizar Rachman
-
IT Service Center (Instalasi & Perawatan Kamera)
Nama Informasi/data/dokumen yang akan digunakan: •
SOP : Prosedur Incident/Problem P-12-0172
•
PSK : 0549/LG.280/PIN.00.00/2012
Nama aplikasi/tool yang akan digunakan: •
Vivotek FD8134
•
Hewlett Packard (HP) Procurve PoE Switch (8&16 ports)
L57
Keuangan
•
Juniper Switch IX-2200-24T-4G
•
GVD NVR M640-C064
•
GVD NVR M940-0000
•
GVD CMS - E300-CW02
•
GVD D300-CW02
•
Thecus NAS N1600
Deskripsi Kebutuhan Biaya, yang mencakup direct cost, indirect cost, unabsorbed cost yang dikasifikasikan dalam biaya modal dan biaya operasional •
Cost: o Biaya Modal = USD 2.363.575,10 o Biaya Operasional = USD 455.358,51
H. Kajian Risiko Terkait Realisasi Layanan Kajian risiko mencakup identifikasi risiko, analisis risiko serta penentuan rencana mitigasi bila hasil analisis risiko didapat risiko yang tidak dapat diterima. Berikut adalah hasil identifikasi risiko terkait penyediaan layanan Ketersediaan Layanan Sistem CCTV ini:
No
Proses/
Risiko Aktifitas Penyediaan
Jenis
Aset Ancaman
yang
yang
yang
Digunakan
Mungkin
Memungkinan
Layanan
1
Kelemahan
Terjadi pada Terjadinya Aset Terkait
Ancaman
Perangkat
Gangguan
Ketersediaan
Kamera
Perangkat
CCTV, POE gagal bekerja listrik,
CCTV
Switch / Poe dengan baik
Gangguan
Injector,
jaringan
L58
VPN
NVR, Switch
IP,
Gangguan
pada
internal
perangkat 2
3
Ketersediaan
Kamera
Perangkat
CCTV, POE hasil rekaman listrik,
Kamera CCTV
Switch / Poe tidak ada
Gangguan
Injector,
jaringan
NVR, Switch,
IP,
MicroSD
pada
Card
perangkat
CMS, VMX, Perangkat
Gangguan
Ketersediaan layanan
OMC Engineer
CCTV
Ketersediaan
Gangguan
VPN
Gangguan internal
on gagal bekerja jaringan,
Site (EoS)
dengan
baik, Gangguan pada
ketersediaan
internal
personil
perangkat
Berikut adalah hasil analisis risiko terkait penyediaan layanan Ketersediaan Layanan Sistem CCTV ini:
No
Peristiwa
Dampak
Risiko
Risiko yang Atas Mungkin
Terjadinya
Terjadi
Peristiwa
Indeks
Indeks
Diterima
yang Sudah Seve-
Likeli-
de-
/tidak
Diterapkan
hood
tect-
diterima
Kontrol
Indeks
rity
ability
Risiko 1)
Kamera Masangkan
NVR
64
mengalami
yang
kerusakan
terdaftar
sehingga
NVR
tidak
Fail-Over di NVR server tidak yang
dapat dapat
dapat
mengambil
menerima
mengirimkan
alih apabila
hasil
data rekaman
ada
rekaman dari L59
NVR
3
1
3
YA
kamera 2)
yang rusak
Jalur
Modem atau Adanya
komunikasi
jalur telepfon memori
rusak
terputsu
2
3
3
Ya
eksternal
sehingga
MicroSD
kamera tidak
Card
dapat
dapat
mengirimkan
menyimpan
data rekaman
rekaman
yang
selama komunikasi terputus
1, 2, 3 : Low Medium High Berikut
adalah
hasil
rencana
mitigasi
terkait
penyediaan
layanan
Ketersediaan Layanan Sistem CCTV ini khusus untuk risiko-risiko yang tidak dapat diterima: No
Rencana Mitigasi
PIC Mitigasi
Keterangan
Risiko n/a
I. Analisis Kebergantungan Dengan Layanan Lain Dalam realisasi layanan ini akan bergatung kepada layanan-layanan lain, dengan analisis sebagai berikut
No.
Aktifitas
Bergantung
Penyediaan
Layanan
Kepada Deskripsi Kebergantungan
Layanan 1
Layanan
Layanan jaringan VPN Setiap
ketersediaan
IP
PT.
PENYEDIA dengan
L60
kamera modem
terhubung yang
pengiriman
LAYANAN
terhubung langsung dengan
dari JARINGAN Indonesia
rekaman
kamera ke server
jaringan
VPN
IP
PT.
PENYEDIA
LAYANAN
JARINGAN
guna
mengirimkan hasil rekaman ke server NVR.
J. Deskripsi Pengujian dan Acceptance Criteria yang Akan Dilakukan Berikut adalah jenis-jenis pengujian dan acceptance criteria yang akan dilakukan:
No.
Aspek
Acceptance Criteria
yang Metoda
Diuji
Pengujian
Jumlah Sampel Pengujian
1
Kualitas rekaman kamera CCTV
Kualitas gambar Kualitas jangkauan gambar
36 bulan
Transaksi
yang 1500
terekam
dapat rekaman
mengenali (pelaku) transaksi
individu kamera dan
juga yang
dilakukan
Pengujian di atas dilakukan melalui simulasi penyediaan layanan dan dituangkan dalam Dokumen UAT.
K. Deskripsi Keluaran (Outcome) dari Kegiatan Penyusunan/Revisi Layanan Berikut adalah deskripsi Keluaran (Outcome) dari kegiatan penyusunan/revisi layanan ini adalah: •
Desain (Rancangan) Layanan
L61
•
Draft Desripsi Layanan pada Katalog Layanan Divisi ICT
•
Draft Service Level Agreement (SLA)
•
Persyaratan SLA bagi Vendor yang terkait dengan penyediaan layanan ini.
Helpdesk Service Desk System
L62
Hardware NVR Manager
L63
Hasil Rekaman Kamera CCTV Pada Bank dan ATM XYZ
L64
Operation Manager System
L65
L66
L67
L68
L69
L70
L71
L72
Surat Tugas Teknisi
L73
L74
L75
L76
L77
L78
L79
L80
L81
L82
L83
L84
L85
L86
L87
L88
L89
L90
L91
L92
L93
