Langkah-langkah apa saja yang perlu dilakukan untuk
melakukan audit TSI? Jelaskan.
Jawab :
●Kontrol lingkungan:
Apakah kebijakan keamanan (security policy) memadai dan
efektif ?
Jika data dipegang oleh vendor, periksa laporan ttg
kebijakan dan prosedural yg terikini dr external auditor
Jika sistem dibeli dari vendor, periksa kestabilan finansial
Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
Periksa apakah keamanan fisik perangkat keras dan
penyimpanan data memadai
Periksa apakah backup administrator keamanan sudah memadai
(trained,tested)
Periksa apakah rencana kelanjutan bisnis memadai dan efektif
Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan
data memadai
● Kontrol keamanan logikal
Periksa apakah password memadai dan perubahannya dilakukan
reguler
Apakah administrator keamanan memprint akses kontrol setiap
user
Memeriksa dan mendokumentasikan parameter keamanan default
Menguji fungsionalitas sistem keamanan (password, suspend
userID, etc)
Memeriksa apakah password file / database disimpan dalam
bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
Memeriksa apakah data sensitif tersandi dalam setiap phase
dalam prosesnya
Memeriksa apakah prosedur memeriksa dan menganalisa log
memadai
Memeriksa apakah akses kontrol remote (dari tempat yang
lain) memadai: (VPN, CryptoCard, SecureID, etc)
●Menguji Kontrol Operasi
Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
Memeriksa apakah ada problem yang signifikan
Memeriksa apakah control
yang menjamin fungsionalitas sistem informasi telah memadai
Tidak ada komentar:
Posting Komentar