- Apakah kebijakan keamanan (security policy) memadai dan efektif ?
- Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
- Jika sistem dibeli dari vendor, periksa kestabilan finansial
- Memeriksa persetujuan lisen (license agreement)
Kontrol keamanan fisik
- Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
- Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
- Periksa apakah rencana kelanjutan bisnis memadai dan efektif
- Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol keamanan logikal
- Periksa apakah password memadai dan perubahannya dilakukan reguler
- Apakah administrator keamanan memprint akses kontrol setiap user
- Memeriksa dan mendokumentasikan parameter keamanan default
- Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
- Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
- Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
- Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
- Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN,
- CryptoCard, SecureID, etc)
Menguji Kontrol Operasi
- Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
- Memeriksa apakah ada problem yang signifikan
- Memeriksa apakah control yang menjamin fungsionalitas sistem informasi telah memadai
Tidak ada komentar:
Posting Komentar