● Kontrol
lingkungan:
1.Apakah kebijakan keamanan (security policy) memadai dan efektif
?
2.Jika data dipegang oleh vendor, periksa laporan ttg kebijakan
dan prosedural yg terikini dr external auditor
3.Jika sistem dibeli dari vendor, periksa kestabilan
finansial
4.Memeriksa persetujuan lisen (license agreement)
● Kontrol
keamanan fisik
5.Periksa apakah keamanan fisik perangkat keras dan penyimpanan
data memadai
6.Periksa apakah backup administrator keamanan sudah memadai
(trained,tested)
7.Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8.Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan
data memadai
● Kontrol
keamanan logikal
9.Periksa apakah password memadai dan perubahannya dilakukan
reguler
10.Apakah administrator keamanan memprint akses kontrol
setiap user
11.Memeriksa dan mendokumentasikan parameter keamanan
default
12.Menguji fungsionalitas sistem keamanan (password, suspend
userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk
tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase
dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log
memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang
lain) memadai: (VPN,
CryptoCard, SecureID, etc)
● Menguji
Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah control yang menjamin fungsionalitas sistem informasi
telah memadai
sumber dari : http://billymerkava.blogspot.com/2013/01/langkah-langkah-apa-saja-yang-perlu.html
Tidak ada komentar:
Posting Komentar