tugas uas ksi_chek list audit2

7/25/2019 Tugas Uas Ksi_chek List Audit2

1/12

Keamanan Sistem Unformasi

Tugas UAS

Dosen Pengampu:

M. Rudyanto Arief, MT

Oleh:

DARMANTO (14.51.0619)

SEKOLAH TINGGI ILMU MANAJEMEN INFORMATIKA DAN

KOMPUTER AMIKOM YOGYAKARTA

2015


2/12

1.01 Apa istilah SOA untuk ISO 27001?

a) Keamanan aset

b) Pernyataan dari penilaian

c) Pernyataan dari penerapan

d) Keamanan jaminan

e) Bukan dari salah satu di atas

1.02 Apa syarat-syarat keamanan yang harus dimasukkan dalam kontrak

aoutsourcing?

a) Hak Kekayaan intelektual

b) Kerahasiaan, integritas dan ketersediaan

c) Perjanjian kontrol akses

d) Persyaratan resmi

e)

Semua yang di atas

1.03 Apa bagian dari ISO 27001 untuk mengatasi perlindungan website (halaman

rumah) keamanan

a) Komunikasi dan manajemen operasi

b) Kontrol akses

c) Pengembangan sistem dan pemeliharaan

d)

Kesesuaiane) Bukan dari salah satu di atas

1.04 Apa jenis metode penilaian risiko yang digunakan oleh suatu organisasi dalam

menerapkan ISMS?

a) Sederhana

b) Terperinci

c) Sistematis

d) Dikombinasikan


3/12


1.05 Yang harus dimasukan dalam pelatihan keamanan bagi karyawan

a) Kebijakan keamanan informasi

b) Insiden keamanan

c) Klasifikasi informasi dan pelabelan

d) Kerentanan keamanan, ancaman, risiko

e) Semua yang di atas

1.06 Memastikan bahwa informasi dapat diakses hanya untuk orang-orang yang

berwenang yang memiliki akses adalah :

a) Informasi istimewa

b) Hak akses karyawan

c)

Kerahasiaan

d) Kondisi informasi


1.07 Sertifikasi ISMS organisasi adalah untuk standar :

a) ISO / IEC 17799: 2005

b) ISO / IEC 27001: 2005

c)

ISO 19011: 2011d) Semua yang di atas

e) Bukan dari salah satu di atas.

1.08 Analisis risiko adalah :

a) Kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi

berkaitan dengan risiko

b) Proses pengobatan seleksi dan pelaksanaan langkah-langkah untuk

memodifikasi risiko


4/12

c) Keputusan untuk menerima risiko

d) Penggunaan informasi secara sistematis untuk mengidentifikasi

sumber dan untuk memperkirakan risiko


1.09 Sebuah prosedur terdokumentasi yang sesuai dengan ISO 27001 diperlukan

untuk :

a) Ulasan Manajemen

b) Tanggung jawab manajemen

c) Peningkatan ISMS

d) Tindakan perbaikan


1.10

Back-Up salinan informasi bisnis yang penting dan software harus diambil

dan diuji secara teratur disebut Back-up I nformasi dan tercakup oleh klausul

No. A.10.5

SECTION 3

Dua pertanyaan berikut memerlukan jawaban rinci yang biasanya akan mengisi

tempat yang disediakan. Apabila diperlukan, mengidentifikasi klausul (s) yang

relevan dari ISO 27001 dalam jawaban Anda. Setiap pertanyaan bernilai 10.

3.01 Gambarlah hubungan antara Model PDCA dan menerapkan ini untuk proses

persyaratan ISMS ditentukan dalam ISO 27001. Jelaskan klausul yang relevan

dari iso 27001 untuk setiap tahap PDCA.


5/12

Klausul yang Relevan dari iso 27001 untuk setiap tahap PDCA

4.1.Persyaratan umum

Organisasi harus menetapkan, menerapkan, mengoperasikan, memantau, mengkaji,

memelihara dan meningkatkan SMKI terdokumentasi dalam konteks bisnis organisasi

secara keseluruhan dan risiko yang dihadapinya. Untuk maksud Standar ini proses

yang digunakan didasarkan pada model PDCA yang ditunjukkan dalam

3.02 Auditor berencana memimpin pihak ketiga mengaudit organisasi perbankan.

Mengidentifikasi setidaknya sepuluh item audit checklist untuk


6/12

dipertimbangkan untuk auditing: Desain, Implementasi SMKI dan Analisis

risiko.

Jawaban

3.1 Aset

Apapun yang memiliki nilai untuk organisasi [ISO/IEC 13335-1:2004]

3.2 KetersediaanSifat/keadaan informasi yang dapat diakses dan digunakan sesuai permintaan

lembaga yang berwenang. [ISO/IEC 13335-1:2004]

3.3 Kerahasiaan

Sifat/keadaan informasi yang tidak disediakan atau dibuka untuk perorangan,

lembaga atau proses yang tidak berwenang. [ISO/IEC 13335-1:2004]

3.4 Keamanan Informasi

Penjagaan kerahasiaan, integritas dan ketersediaan informasi; sebagai tambahan,

sifat/keadaan informasi lainnya seperti keaslian, akuntabilitas, nirsangkal dan

kehandalan dapat juga dimasukkan [ISO/OEC 17799:2005]

3.6. Insiden Keamanan Informasi

Satu atau serangkaian kejadian keamanan informasi yang tidak diinginkan atau tidak

diharapkan yang mempunyai kemungkinan secara signifikan dapat mengganggu

operasi bisnis dan mengancam keamanan informasi [ISO/IEC TR 18044:2004

3.7 Sistem Manajemen Keamanan Informasi (SMKI)

Bagian dari sistem manajemen secara keseluruhan, berdasarkan pendekatan risikobisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji,

meningkatkan dan memelihara keamanan informasi

3.8 Integritas

Sifat/keadaan informasi yang melindungi keakuratan dan kelengkapan aset[ISO/IEC

13335-1:2004]

3.9. Resiko Residu

Risiko yang tersisa setelah perlakuan risiko [ISO/IEC Guide 73:2002]


7/12

3.11 Analisis Resiko

Pengunaan informasi secara sistematik untuk mengidentifikasi sumber dan untuk

memperkirakan risiko (ISO/IEC Guide 73:2002)

3.13 Evaluasi Resiko

Proses membandingkan risiko yang diperkirakan terhadap kriteria risiko yang

ditetapkan untuk menentukan signifikansi risiko [ISO/IEC Guide 73:2002]

3.14 Manajemen Resiko

Kegiatan yang dikoordinasikan untuk mengarahkan dan mengendalikan organisasi

terkait dengan risiko [ISO/IEC Guide 73:2002]

SECTION 4.

Tiga insiden berikut diidentifikasi selama audit pihak ketiga dari ISMS organisasi..

situasi mereka mengandung laporan yang tidak sesuai seperti yang di inginkan

(NCR). Setiap memeriksa insiden dilakukan dengan hati-hati kemudian mengambil

salah satu tindakan berikut:

a. Jika Anda berpikir ada bukti objektif yang cukup terhadap ketidaksesuaian

maka Anda harus menyelesaikan laporan ketidaksesuaian dan

mengkategorikan besar atau kecil.

b. Jika Anda tidak berpikir ada bukti objektif yang cukup untuk menaikkan

laporan ketidaksesuaian, maka Anda harus menyatakan alasan Anda di ruang

bawah laporan. Anda juga harus menyatakan auditor apa yang harus

dilakukan selanjutnya.

4.01 Insiden No. 1Selama audit pihak ketiga dari organisasi perbankan multi-situs, selama mengaudit

kantor cabang, bahwa kebijakan dan pernyataan kebijakan penerapan disetujui dan

ditandatangani oleh manajer tertinggi dari kantor pusat, perusahaan yang

menyediakan sumber daya keamanan. Petugas keamanan yang bekerja di kantor

cabang selama audit sertifikasi pihak ketiga cabang ini dipekerjakan oleh kantor

cabang lain.


8/12

4.02 Insiden nomor 2

Selama audit pihak ketiga dari pusat pengolahan data, pemeriksaan catatan pelatihan

keamanan informasi mengidentifikasi berbagai pelatihan telah selesai, namun tidak

ada bukti spesisifik bahwa pelatihan program keamanan informasi telah selesai.

Manajer pusat pengolahan menjelaskan bahwa pelatihan formal ditangguhkan sampai

tahun depan karena pelatihan kesulitan sumber daya keuangan. Serangkaian pelatihan

keamanan informasi telah diselenggarakan melalui internet dan ISMS telah

didiskusikan dengan semua pribadi.

4.03 Insiden nomor 3

Selama audit pihak ketiga dari organisasi jasa keuangan, auditor mengidentifikasi

bukti seorang karyawan yang telah sengaja melanggar kebijakan keamanan organisasi

mengenai informasi yang diberikan kepada klien. Kemudian dilaporkan kepada

manajer keamanan dan insiden keamanan dicatat. Manajer keamanan telah

mengeluarkan email kepada seluruh karyawan kembali menyatakan kebijakan

keamanan dan prosedur yang akan dikaji dan akan di terbitkan kembali. Tidak

terjadinya lanjut telah tercatat sejak isu email tetapi prosedur belum ditinjau atau

diterbitkan kembali.


9/12

: DO-MR-18

: --

: 18 Jan 2016

TANGGAL : AUDITO

HALAMAN : s/d PARAF

S M m O

: DO-MR-19

: --

: 18 Januari 2016

Nomor PTPP DITERBITKAN OLEH DITERBITKAN UNTUK

RENCANA TINDAKAN PERBAIKAN / PENCEGAHAN Tanggal :

1 Tindakan Perbaikan : Membuat permintaan Sumber Daya keamanan kepada Di Buat Oleh

perusahaan yang telah ditunjuk oleh kantor pusat

2 Tindakan Pencegahan : Target Penyelesaian

Pelaksana

REALISASI & HASIL TINDAKAN Tanggal :

Dibuat Oleh :

Tanggal : Hasil : cEfektif cTidak Efektif Tanggal :

Diverifikasi Oleh Disetujui Oleh :

Keterangan

Petugas yang bekerja di kantor cabang di pekerjakan oleh kantor cabang lain. Bukan dari

perusahaan yang di tunjuk kantor pusat

Disetujui oleh

Kategori (khusus temuan audit) : 5.2.1 cMajor cMinor cRekomendasi

ANALISA PENYEBAB

Tanggal

001/KSI/UAS/

SI/16cMr cDARMANTO c

JENIS KETIDAKSESUAIAN / POTENSI KETIDAKSESUAIAN Dilaporkan oleh

003/KSI/UAS/SI/16

* Keterangan : M = Major m = minor O = Observasi

PERMINTAAN TINDAKAN

PERBAIKAN & PENCEGAHAN

No. Dok.

Revisi

Tanggal

002/KSI/UAS/SI/16

4.03Kebijakan keamanan

informasi4.3.1

Pelanggaran kebijakan keamanan

informasi oleh karyawan mengenai

informasi yang diberikan kepada client

001/KSI/UAS/SI/16

4.02Pemeriksaan catatan

pelatihan keamanan

informasi

5.2.2Tidak ada bukti spesisifik bahwa

pelatihan program keamanan informasi

telah selesai

4.01Penyedia sumber daya

keamanan5.2.1

Petugas yang bekerja di kantor cabang

bukan dari perusahaan yang di tunjuk

kantor pusat tetapi di pekerjakan oleh

kantor cabang lain.

BAGIAN : KEAMANAN :

NO ITEM PEMERIKSAAN Ref. Dokumen HASIL / TEMUANKATEGORI

No. PTPP

CHECK LIST AUDITNo. Dok.

Revisi

Tanggal

AUDITE : : DARMANTO


10/12

: DO-MR-19

: --

: 18 Januari 2016



1 Tindakan Perbaikan : Di Buat Oleh


Pelaksana

REALISASI & HASIL TINDAKAN Tanggal :

Dibuat Oleh :



Keterangan

PERMINTAAN TINDAKAN

PERBAIKAN & PENCEGAHAN

No. Dok.Revisi

Tanggal

Tanggal

ANALISA PENYEBAB :

Karena kesulitan sumber daya keuangan sehingga pelatihan formal ditangguhkan sampai tahun depan.

002/KSI/UAS/



Mempekerjakan personel yang kompeten untuk memenuhi

kebutuhan tersebut.

Tidak ada bukti spesifik bahwa pelatihan program keamanan informasi telah selesai

Disetujui oleh



11/12

: DO-MR-19

: --

: 18 Januari 2016


Disetujui oleh


ANA Karena kesulitan sumber

daya keuangan sehingga

pelatihan formal

ditangguhkan sampai

tahun depan.


1 Tindakan Perbaikan : Mengkaji Di Buat Oleh


Pelaksana

REALISASI & HASIL TINDAKAN Tanggal :Dibuat Oleh :



Keterangan

PERMINTAAN TINDAKANPERBAIKAN & PENCEGAHAN

No. Dok.

Revisi

Tanggal

Tanggal

002/KSI/UAS/



Pelanggaran kebijakan keamanan informasi oleh karyawan mengenai informasi yang diberikan

kepada client


12/12

N

o.Dok.

:DO-MR-20

R

evisi

:--

Tanggal

:18Januari2016

Tanggal

HASIL

CATATAN:

Dibuatoleh

Diperiksaoleh

001/KSI/UAS/SI/16

002/KSI/UAS/SI/16

003/KSI/UAS/SI/16

egiatan:

eriode

:

STATUSPTPP

VERIFIKASI

STATUS

KETERANGAN

Observasi

Minor

Mayor

HRD

HRD

HRD

NO.PTPP

KETIDAKSESUAIAN

KA

TEGORI

RENCANATINDAKAN

PIC

Target

P

etugasyangbekerjadikantor

c

abangdipekerjakanolehkantor

c

abanglain.Bukandariperusahaan

y

angditunjukkantorpusat

Membuatpermintaan

SumberDayakeamanan

kepadaperusahaanyang

telahditunjukolehkantor

pusat

T

idakadabuktispesifikbahwa

p

elatihanprogramkeamanan

informasitelahselesai

Memperkerjakaanpersonel

yangkompetenyangsesuai

dengankompetensiyang

dibutuhkan

P

elanggarankebijakankeamanan

informasiolehkaryawanmengenai

informasiyangdiberikankepada

c

lient

Mengkajiulangdan

menerbitkankembali

kebijakanSMKI

tugas uas ksi_chek list audit2

Documents