tugas uas ksi_chek list audit2
Post on 26-Feb-2018
224 Views
Preview:
TRANSCRIPT
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
1/12
Keamanan Sistem Unformasi
Tugas UAS
Dosen Pengampu:
M. Rudyanto Arief, MT
Oleh:
DARMANTO (14.51.0619)
SEKOLAH TINGGI ILMU MANAJEMEN INFORMATIKA DAN
KOMPUTER AMIKOM YOGYAKARTA
2015
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
2/12
1.01 Apa istilah SOA untuk ISO 27001?
a) Keamanan aset
b) Pernyataan dari penilaian
c) Pernyataan dari penerapan
d) Keamanan jaminan
e) Bukan dari salah satu di atas
1.02 Apa syarat-syarat keamanan yang harus dimasukkan dalam kontrak
aoutsourcing?
a) Hak Kekayaan intelektual
b) Kerahasiaan, integritas dan ketersediaan
c) Perjanjian kontrol akses
d) Persyaratan resmi
e)
Semua yang di atas
1.03 Apa bagian dari ISO 27001 untuk mengatasi perlindungan website (halaman
rumah) keamanan
a) Komunikasi dan manajemen operasi
b) Kontrol akses
c) Pengembangan sistem dan pemeliharaan
d)
Kesesuaiane) Bukan dari salah satu di atas
1.04 Apa jenis metode penilaian risiko yang digunakan oleh suatu organisasi dalam
menerapkan ISMS?
a) Sederhana
b) Terperinci
c) Sistematis
d) Dikombinasikan
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
3/12
e) Bukan dari salah satu di atas
1.05 Yang harus dimasukan dalam pelatihan keamanan bagi karyawan
a) Kebijakan keamanan informasi
b) Insiden keamanan
c) Klasifikasi informasi dan pelabelan
d) Kerentanan keamanan, ancaman, risiko
e) Semua yang di atas
1.06 Memastikan bahwa informasi dapat diakses hanya untuk orang-orang yang
berwenang yang memiliki akses adalah :
a) Informasi istimewa
b) Hak akses karyawan
c)
Kerahasiaan
d) Kondisi informasi
e) Bukan dari salah satu di atas
1.07 Sertifikasi ISMS organisasi adalah untuk standar :
a) ISO / IEC 17799: 2005
b) ISO / IEC 27001: 2005
c)
ISO 19011: 2011d) Semua yang di atas
e) Bukan dari salah satu di atas.
1.08 Analisis risiko adalah :
a) Kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi
berkaitan dengan risiko
b) Proses pengobatan seleksi dan pelaksanaan langkah-langkah untuk
memodifikasi risiko
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
4/12
c) Keputusan untuk menerima risiko
d) Penggunaan informasi secara sistematis untuk mengidentifikasi
sumber dan untuk memperkirakan risiko
e) Bukan dari salah satu di atas
1.09 Sebuah prosedur terdokumentasi yang sesuai dengan ISO 27001 diperlukan
untuk :
a) Ulasan Manajemen
b) Tanggung jawab manajemen
c) Peningkatan ISMS
d) Tindakan perbaikan
e) Bukan dari salah satu di atas
1.10
Back-Up salinan informasi bisnis yang penting dan software harus diambil
dan diuji secara teratur disebut Back-up I nformasi dan tercakup oleh klausul
No. A.10.5
SECTION 3
Dua pertanyaan berikut memerlukan jawaban rinci yang biasanya akan mengisi
tempat yang disediakan. Apabila diperlukan, mengidentifikasi klausul (s) yang
relevan dari ISO 27001 dalam jawaban Anda. Setiap pertanyaan bernilai 10.
3.01 Gambarlah hubungan antara Model PDCA dan menerapkan ini untuk proses
persyaratan ISMS ditentukan dalam ISO 27001. Jelaskan klausul yang relevan
dari iso 27001 untuk setiap tahap PDCA.
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
5/12
Klausul yang Relevan dari iso 27001 untuk setiap tahap PDCA
4.1.Persyaratan umum
Organisasi harus menetapkan, menerapkan, mengoperasikan, memantau, mengkaji,
memelihara dan meningkatkan SMKI terdokumentasi dalam konteks bisnis organisasi
secara keseluruhan dan risiko yang dihadapinya. Untuk maksud Standar ini proses
yang digunakan didasarkan pada model PDCA yang ditunjukkan dalam
3.02 Auditor berencana memimpin pihak ketiga mengaudit organisasi perbankan.
Mengidentifikasi setidaknya sepuluh item audit checklist untuk
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
6/12
dipertimbangkan untuk auditing: Desain, Implementasi SMKI dan Analisis
risiko.
Jawaban
3.1 Aset
Apapun yang memiliki nilai untuk organisasi [ISO/IEC 13335-1:2004]
3.2 KetersediaanSifat/keadaan informasi yang dapat diakses dan digunakan sesuai permintaan
lembaga yang berwenang. [ISO/IEC 13335-1:2004]
3.3 Kerahasiaan
Sifat/keadaan informasi yang tidak disediakan atau dibuka untuk perorangan,
lembaga atau proses yang tidak berwenang. [ISO/IEC 13335-1:2004]
3.4 Keamanan Informasi
Penjagaan kerahasiaan, integritas dan ketersediaan informasi; sebagai tambahan,
sifat/keadaan informasi lainnya seperti keaslian, akuntabilitas, nirsangkal dan
kehandalan dapat juga dimasukkan [ISO/OEC 17799:2005]
3.6. Insiden Keamanan Informasi
Satu atau serangkaian kejadian keamanan informasi yang tidak diinginkan atau tidak
diharapkan yang mempunyai kemungkinan secara signifikan dapat mengganggu
operasi bisnis dan mengancam keamanan informasi [ISO/IEC TR 18044:2004
3.7 Sistem Manajemen Keamanan Informasi (SMKI)
Bagian dari sistem manajemen secara keseluruhan, berdasarkan pendekatan risikobisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji,
meningkatkan dan memelihara keamanan informasi
3.8 Integritas
Sifat/keadaan informasi yang melindungi keakuratan dan kelengkapan aset[ISO/IEC
13335-1:2004]
3.9. Resiko Residu
Risiko yang tersisa setelah perlakuan risiko [ISO/IEC Guide 73:2002]
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
7/12
3.11 Analisis Resiko
Pengunaan informasi secara sistematik untuk mengidentifikasi sumber dan untuk
memperkirakan risiko (ISO/IEC Guide 73:2002)
3.13 Evaluasi Resiko
Proses membandingkan risiko yang diperkirakan terhadap kriteria risiko yang
ditetapkan untuk menentukan signifikansi risiko [ISO/IEC Guide 73:2002]
3.14 Manajemen Resiko
Kegiatan yang dikoordinasikan untuk mengarahkan dan mengendalikan organisasi
terkait dengan risiko [ISO/IEC Guide 73:2002]
SECTION 4.
Tiga insiden berikut diidentifikasi selama audit pihak ketiga dari ISMS organisasi..
situasi mereka mengandung laporan yang tidak sesuai seperti yang di inginkan
(NCR). Setiap memeriksa insiden dilakukan dengan hati-hati kemudian mengambil
salah satu tindakan berikut:
a. Jika Anda berpikir ada bukti objektif yang cukup terhadap ketidaksesuaian
maka Anda harus menyelesaikan laporan ketidaksesuaian dan
mengkategorikan besar atau kecil.
b. Jika Anda tidak berpikir ada bukti objektif yang cukup untuk menaikkan
laporan ketidaksesuaian, maka Anda harus menyatakan alasan Anda di ruang
bawah laporan. Anda juga harus menyatakan auditor apa yang harus
dilakukan selanjutnya.
4.01 Insiden No. 1Selama audit pihak ketiga dari organisasi perbankan multi-situs, selama mengaudit
kantor cabang, bahwa kebijakan dan pernyataan kebijakan penerapan disetujui dan
ditandatangani oleh manajer tertinggi dari kantor pusat, perusahaan yang
menyediakan sumber daya keamanan. Petugas keamanan yang bekerja di kantor
cabang selama audit sertifikasi pihak ketiga cabang ini dipekerjakan oleh kantor
cabang lain.
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
8/12
4.02 Insiden nomor 2
Selama audit pihak ketiga dari pusat pengolahan data, pemeriksaan catatan pelatihan
keamanan informasi mengidentifikasi berbagai pelatihan telah selesai, namun tidak
ada bukti spesisifik bahwa pelatihan program keamanan informasi telah selesai.
Manajer pusat pengolahan menjelaskan bahwa pelatihan formal ditangguhkan sampai
tahun depan karena pelatihan kesulitan sumber daya keuangan. Serangkaian pelatihan
keamanan informasi telah diselenggarakan melalui internet dan ISMS telah
didiskusikan dengan semua pribadi.
4.03 Insiden nomor 3
Selama audit pihak ketiga dari organisasi jasa keuangan, auditor mengidentifikasi
bukti seorang karyawan yang telah sengaja melanggar kebijakan keamanan organisasi
mengenai informasi yang diberikan kepada klien. Kemudian dilaporkan kepada
manajer keamanan dan insiden keamanan dicatat. Manajer keamanan telah
mengeluarkan email kepada seluruh karyawan kembali menyatakan kebijakan
keamanan dan prosedur yang akan dikaji dan akan di terbitkan kembali. Tidak
terjadinya lanjut telah tercatat sejak isu email tetapi prosedur belum ditinjau atau
diterbitkan kembali.
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
9/12
: DO-MR-18
: --
: 18 Jan 2016
TANGGAL : AUDITO
HALAMAN : s/d PARAF
S M m O
: DO-MR-19
: --
: 18 Januari 2016
Nomor PTPP DITERBITKAN OLEH DITERBITKAN UNTUK
RENCANA TINDAKAN PERBAIKAN / PENCEGAHAN Tanggal :
1 Tindakan Perbaikan : Membuat permintaan Sumber Daya keamanan kepada Di Buat Oleh
perusahaan yang telah ditunjuk oleh kantor pusat
2 Tindakan Pencegahan : Target Penyelesaian
Pelaksana
REALISASI & HASIL TINDAKAN Tanggal :
Dibuat Oleh :
Tanggal : Hasil : cEfektif cTidak Efektif Tanggal :
Diverifikasi Oleh Disetujui Oleh :
Keterangan
Petugas yang bekerja di kantor cabang di pekerjakan oleh kantor cabang lain. Bukan dari
perusahaan yang di tunjuk kantor pusat
Disetujui oleh
Kategori (khusus temuan audit) : 5.2.1 cMajor cMinor cRekomendasi
ANALISA PENYEBAB
Tanggal
001/KSI/UAS/
SI/16cMr cDARMANTO c
JENIS KETIDAKSESUAIAN / POTENSI KETIDAKSESUAIAN Dilaporkan oleh
003/KSI/UAS/SI/16
* Keterangan : M = Major m = minor O = Observasi
PERMINTAAN TINDAKAN
PERBAIKAN & PENCEGAHAN
No. Dok.
Revisi
Tanggal
002/KSI/UAS/SI/16
4.03Kebijakan keamanan
informasi4.3.1
Pelanggaran kebijakan keamanan
informasi oleh karyawan mengenai
informasi yang diberikan kepada client
001/KSI/UAS/SI/16
4.02Pemeriksaan catatan
pelatihan keamanan
informasi
5.2.2Tidak ada bukti spesisifik bahwa
pelatihan program keamanan informasi
telah selesai
4.01Penyedia sumber daya
keamanan5.2.1
Petugas yang bekerja di kantor cabang
bukan dari perusahaan yang di tunjuk
kantor pusat tetapi di pekerjakan oleh
kantor cabang lain.
BAGIAN : KEAMANAN :
NO ITEM PEMERIKSAAN Ref. Dokumen HASIL / TEMUANKATEGORI
No. PTPP
CHECK LIST AUDITNo. Dok.
Revisi
Tanggal
AUDITE : : DARMANTO
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
10/12
: DO-MR-19
: --
: 18 Januari 2016
Nomor PTPP DITERBITKAN OLEH DITERBITKAN UNTUK
RENCANA TINDAKAN PERBAIKAN / PENCEGAHAN Tanggal :
1 Tindakan Perbaikan : Di Buat Oleh
2 Tindakan Pencegahan : Target Penyelesaian
Pelaksana
REALISASI & HASIL TINDAKAN Tanggal :
Dibuat Oleh :
Tanggal : Hasil : cEfektif cTidak Efektif Tanggal :
Diverifikasi Oleh Disetujui Oleh :
Keterangan
PERMINTAAN TINDAKAN
PERBAIKAN & PENCEGAHAN
No. Dok.Revisi
Tanggal
Tanggal
ANALISA PENYEBAB :
Karena kesulitan sumber daya keuangan sehingga pelatihan formal ditangguhkan sampai tahun depan.
002/KSI/UAS/
SI/16cMr cDARMANTO c
JENIS KETIDAKSESUAIAN / POTENSI KETIDAKSESUAIAN Dilaporkan oleh
Mempekerjakan personel yang kompeten untuk memenuhi
kebutuhan tersebut.
Tidak ada bukti spesifik bahwa pelatihan program keamanan informasi telah selesai
Disetujui oleh
Kategori (khusus temuan audit) : 5.2.2 cMajor cMinor cRekomendasi
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
11/12
: DO-MR-19
: --
: 18 Januari 2016
Nomor PTPP DITERBITKAN OLEH DITERBITKAN UNTUK
Disetujui oleh
Kategori (khusus temuan audit) : 4.3.1 cMajor cMinor cRekomendasi
ANA Karena kesulitan sumber
daya keuangan sehingga
pelatihan formal
ditangguhkan sampai
tahun depan.
RENCANA TINDAKAN PERBAIKAN / PENCEGAHAN Tanggal :
1 Tindakan Perbaikan : Mengkaji Di Buat Oleh
2 Tindakan Pencegahan : Target Penyelesaian
Pelaksana
REALISASI & HASIL TINDAKAN Tanggal :Dibuat Oleh :
Tanggal : Hasil : cEfektif cTidak Efektif Tanggal :
Diverifikasi Oleh Disetujui Oleh :
Keterangan
PERMINTAAN TINDAKANPERBAIKAN & PENCEGAHAN
No. Dok.
Revisi
Tanggal
Tanggal
002/KSI/UAS/
SI/16cMr cDARMANTO c
JENIS KETIDAKSESUAIAN / POTENSI KETIDAKSESUAIAN Dilaporkan oleh
Pelanggaran kebijakan keamanan informasi oleh karyawan mengenai informasi yang diberikan
kepada client
-
7/25/2019 Tugas Uas Ksi_chek List Audit2
12/12
N
o.Dok.
:DO-MR-20
R
evisi
:--
Tanggal
:18Januari2016
Tanggal
HASIL
CATATAN:
Dibuatoleh
Diperiksaoleh
001/KSI/UAS/SI/16
002/KSI/UAS/SI/16
003/KSI/UAS/SI/16
egiatan:
eriode
:
STATUSPTPP
VERIFIKASI
STATUS
KETERANGAN
Observasi
Minor
Mayor
HRD
HRD
HRD
NO.PTPP
KETIDAKSESUAIAN
KA
TEGORI
RENCANATINDAKAN
PIC
Target
P
etugasyangbekerjadikantor
c
abangdipekerjakanolehkantor
c
abanglain.Bukandariperusahaan
y
angditunjukkantorpusat
Membuatpermintaan
SumberDayakeamanan
kepadaperusahaanyang
telahditunjukolehkantor
pusat
T
idakadabuktispesifikbahwa
p
elatihanprogramkeamanan
informasitelahselesai
Memperkerjakaanpersonel
yangkompetenyangsesuai
dengankompetensiyang
dibutuhkan
P
elanggarankebijakankeamanan
informasiolehkaryawanmengenai
informasiyangdiberikankepada
c
lient
Mengkajiulangdan
menerbitkankembali
kebijakanSMKI
top related