Anda di halaman 1dari 14

Nama : Asep Jamaludin

NIM : 123161114

Initial Date
Prepared by
LOGICAL SECURTY (OPERATING SYSTEM) CHEKLIST
Reviewed by

Cheklist
Sec. Sub-sec DESCRIPTIONS Ref.
a X N/A
A SYSTEM UNDERSTANDING
A 1 Organization
Tujuan: Untuk memastikan bahwa tim audit memiliki pemahaman yang jelas
tentang penggambaran tanggung jawab untuk administrasi dan pemeliharaan
sistem.
A 1.1 Untuk menentukan siapa yang bertanggung jawab dalam pengadministrasian
dan pemeliharaan sistem. Dapatkan struktur organisasi perusahaan yang paling
terbaru, jika ada.

A 2 Hardware Platforms
Tujuan: Untuk memastikan bahwa tim audit memiliki pemahaman yang jelas
tentang subjek platform perangkat keras untuk meninjau dan untuk
memperoleh informasi yang diperlukan untuk mengidentifikasi sistem kritis di
seluruh lingkungan pengolahan
A 2.1 Dapatkan pemahaman tentang infrastruktur server di situs dan kajilah
mengenai:
• Meminta persediaan server yang lengkap. Jika persediaan tidak tersedia,
memperoleh pemahaman tentang lingkungan server melalui diskusi dengan
administrator sistem (s).
• Jika persediaan server tidak tersedia, bertemu dengan personil administrasi
sistem dan tur fasilitas untuk mengidentifikasi semua server dan
mengumpulkan informasi mengenai masing-masing server.
• Minimal, memperoleh informasi berikut untuk setiap server termasuk dalam
ruang lingkup review:
Nama server Produsen dan model Tujuan / fungsi masing-masing pemilik
server yang Kewirausahaan didukung administrator sistem Bertanggung Jawab
• Mengidentifikasi server kunci yang mendukung aplikasi bisnis.

A 2.2 Dapatkan pemahaman tentang periferal dalam lingkungan (yaitu, printer,


disk (shared disk), dll).
A 2.3 Tentukan apakah ada masalah yang diketahui dengan server di lingkungan.

A 3 Operating System
Tujuan: Untuk memastikan bahwa tim audit memiliki pemahaman yang jelas
tentang sistem operasi termasuk dalam ruang lingkup pemeriksaan.
Selanjutnya, untuk memastikan bahwa kerentanan diketahui terkait dengan
versi sistem operasi tertentu dipertimbangkan selama audit untuk memastikan
bahwa semua eksposur diidentifikasi
A 3.1 Memastikan versi (s) dari sistem operasi yang berjalan pada server
termasuk dalam ruang lingkup audit
A 3.2 Pastikan apakah versi terbaru dari sistem operasi sudah diinstal. Jika tidak,
mengevaluasilah alasan mengapa versi terbaru tidak diinstal.
A 3.3 Pastikan apakah semua perbaikan dari sistem operasi yang telah diketahui
telah dilakukan. Jika belum, evaluasilah alasan mengapa perbaikan yang
tersedia belum dilakukan.
A 3.4 Tentukan apakah ada prosedur untuk memastikan bahwa sistem
pengadministrasian personil telah diinformasikan mengenai perbaikan sistem
operasi yang tersedia secara tepat waktu.
A 3.5 Pastikan apakah keamanan perangkat lunak pihak ketiga telah berjalan lancar
di server.
A 4 Network Overview
Tujuan: Untuk memastikan bahwa tim audit memiliki pemahaman yang jelas
tentang komponen jaringan dan interface yang dapat mempengaruhi pada
keamanan logis dari server dan workstation tertentu.

A 4.1 "Dapatkan pemahaman mengenai lingkungan jaringan di situs yang sedang


dikaji.
(CATATAN: Tentukan apakah profesional audit yang bertanggung jawab
untuk keamanan jaringan memiliki dokumentasi mengenai lingkungan
jaringan sebelum memulai diskusi dengan sistem administrator).

B SECURITY MANAGMENT
B 1 Roles & Responsibilities
Tujuan: Untuk memastikan bahwa peran dan tanggung jawab untuk keamanan
manajemen telah ditetapkan dengan jelas dan tepat.
B 1.1 Tentukan siapa yang bertanggung jawab untuk memastikan bahwa dalam
pemrosesan didalam lingkungan yang ada sesuai dengan kebijakan dan standar
keamanan korporat yang berlaku.
B 1.2 Tentukan apakah sistem yang tepat dan personel keamanan administrasi
terlibat dalam menentukan kebijakan dan standar keamanan perusahaan untuk
memastikan penerapan kebijakan dan standar di seluruh lingkungan
pengolahan

B 2 Corporate Security Policies & Standards


Tujuan: Untuk memastikan bahwa kebijakan dan standar keamanan
perusahaan yang ada telah dikomunikasikan. Lebih lanjut, untuk memastikan
bahwa kebijakan dan standar yang ada berlaku di seluruh lingkungan
pemrosesan dan semua sistem telah sesuai dengan kebijakan dan standar yang
tepat.
B 2.1 Tentukan apakah kebijakan dan standar keamanan korporat yang ada berlaku
untuk
lingkungan yang sedang diperiksa.
B 2.2 Tentukan apakah personil administrasi keamanan mengetahui tentang
kebijakan kemanan dan standar yang relevan di lingkungan operasi sedang
dikaji
B 2.3 Identifikasi prosedur yang ada untuk memastikan kepatuhan perusahaan
dengan kebijakan keamanan dan standar yang relevan.

B 3 Security Awareness & Training


Tujuan: Untuk memastikan bahwa pengguna akhir menyadari kebijakan dan
standar keamanan perusahaan yang sesuai dan diberitahu tanggung jawab
masing-masing untuk memastikan lingkungan pemrosesan yang aman

B 3.1 Tentukan apakah ada proses untuk memastikan bahwa semua sistem dan
keamanan personil administrasi diberitahu tentang semua kebijakan dan
standar keamanan korporat yang relevan.
B 3.2 Tentukan apakah ada proses untuk memastikan bahwa semua karyawan baru
diberitahu kebijakan dan standar keamanan perusahaan.
B 3.3 Tentukan apakah program keamanan tersedia untuk memastikan bahwa
pengguna akhir diberitahu secara berkala tentang kebijakan dan standar
keamanan perusahaan untuk memastikan bahwa mereka sadar akan tanggung
jawab masing-masing terhadap keamanan.
B 3.4 Tentukan apakah ada proses untuk memastikan bahwa individu dengan
keamanan dan
tanggung jawab administrasi terus diinformasikan tentang kunci dari
keamanan (yaitu, CERT, CIAC, dll.) dan masalah yang terkait dengan sistem
operasi yang diinstal.

C SECURITY ADMINISTRATION
C 1 Roles & Responsibilities
Tujuan: Untuk memastikan bahwa peran dan tanggung jawab untuk
administrasi keamanan telah ditetapkan dengan jelas dan tepat.
C 1.1 Tentukan apakah peran dan tanggung jawab Administrator Keamanan telah
didefinisikan secara formal dan didokumentasikan.

C 1.2 Tentukan apakah individu dengan tanggung jawab administrasi keamanan


berdedikasi untuk administrasi keamanan secara full time? Jika administrasi
keamanan adalah tanggung jawab paruh waktu, tentukan apakah individu
dengan tanggung jawab administrasi keamanan memiliki tanggung jawab lain
yang tidak sesuai dengan fungsi administrasi keamanan.

C 2 Staffing
Tujuan: Untuk memastikan bahwa proses yang tepat ada untuk memastikan
bahwa individu dengan tanggung jawab administrasi keamanan memenuhi
syarat untuk menyelesaikan tugas administrasi keamanan yang ditentukan.

C 2.1 Evaluasi proses perekrutan untuk sistem personil administrasi dan keamanan.
Secara khusus, tentukan apakah:
ada deskripsi pekerjaan tertulis untuk administrator sistem dan keamanan,
suatu proses diterapkan untuk memastikan bahwa calon karyawan memiliki
kualifikasi yang sesuai, dan keterampilan karyawan prospektif dinilai secara
memadai sebelum bekerja.
C 2.2 Tentukan apakah personil dalam administrasi keamanan telah dilatih secara
memadai untuk mendukung teknologi yang menjadi tanggung jawab mereka.

C 2.3 Pastikan apakah sistem pencadangan dan personel administrasi keamanan


telah diidentifikasi untuk memberikan dukungan sistem jika administrator
utama tidak tersedia.
C 2.4 Tentukan apakah vendor / kontraktor memiliki tanggung jawab administrasi
keamanan

C 3 Security Administration Procedures


Tujuan: Untuk memastikan bahwa tanggung jawab dan kegiatan administrasi
keamanan telah didefinisikan dan didokumentasikan secara memadai untuk
mendukung fungsi keamanan administrasi dan untuk memastikan bahwa
dokumentasi yang sesuai telah tersedia untuk memfasilitasi proses pelatihan
untuk administrator baru.
C 3.1 Tentukan apakah prosedur terdokumentasi ada untuk mendukung administrasi
keamanan berfungsi dan untuk memfasilitasi proses pelatihan bagi karyawan
baru.
C 3.2 Jika prosedur terdokumentasi ada, pastikan apakah dokumentasi sudah
diperbarui.
C 3.3 Jika prosedur terdokumentasi ada, evaluasi dokumentasi dan tentukan
apakah dokumentasi memadai untuk memberikan panduan dalam hal personil
keamanan administrasi primer menjadi tidak tersedia.
C 3.4 Mengevaluasi penggunaan perangkat pihak ketiga untuk menyelesaikan
kegiatan administrasi keamanan.
C 3.5 Tentukan apakah proses otomatis yang dikembangkan (misalnya, skrip)
digunakan untuk menyelesaikan aktivitas administrasi keamanan. Memastikan
bahwa:
File skrip aman. Dokumentasi telah disiapkan untuk mendukung proses. ini

D SYSTEM CONFIGURATION
D 1 Servers
Tujuan: Untuk memastikan bahwa ada kontrol yang memadai atas instalasi
dan konfigurasi server perangkat keras.
D 1.1 Tentukan apakah kebijakan dan standar formal ada untuk instalasi dan
konfigurasi server perangkat keras.
D 1.2 Tentukan apakah prosedur terdokumentasi / terdaftar, periksa apakah ada
untuk mendukung proses instalasi server
D 1.3 Tentukan apakah ada proses untuk memastikan bahwa instalasi server berada
sesuai dengan kebijakan dan standar yang berlaku.
D 2 Operating System Configuration - Policies & Standards
Tujuan: Untuk memastikan bahwa instalasi dan peningkatan sistem operasi
dikonfigurasi sesuai dengan kebijakan dan standar keamanan dan konfigurasi
yang tepat.
D 2.1 Tentukan apakah kebijakan dan standar formal ada untuk konfigurasi sistem
operasi yang sedang ditinjau.
D 2.2 Jika kebijakan dan standar ada, identifikasi kebijakan dan standar mana yang
berlaku untuk lingkungan yang sedang ditinjau.
D 2.3 Tentukan apakah ada prosedur untuk memastikan kepatuhan dengan kebijakan
dan standar yang berlaku selama proses konfigurasi untuk instalasi dan
peningkatan sistem operasi.

D 3 Operating System Configuration - Configuration Process Tujuan:


Untuk memastikan bahwa ada kontrol yang memadai atas konfigurasi instalasi
dan peningkatan sistem operasi.
D 3.1 Pastikan bahwa proses instalasi / upgrade sistem operasi sesuai dengan
pedoman manajemen Perusahaan dalam perubahan sistem. Tidak ada
pengujian lebih lanjut dari kontrol atas pemeliharaan perangkat lunak sistem
diperlukan karena kontrol ini ditujukan dalam program audit manajemen
perubahan.
D 3.2 Tentukan apakah prosedur terdokumentasi / terdaftar periksa apakah ada
parameter untuk mendukung sistem keamanan konfigurasi selama proses
instalasi / upgrade sistem operasi.
D 3.3 Tentukan apakah gambaran dari standar konfigurasi sistem operasi
dipertahankan untuk
memastikan semua konsistensi dalam upaya konfigurasi sistem operasi.
D 3.4 Tentukan apakah semua sistem operasi keamanan konfigurasi sudah tepat serta
ditinjau dan disetujui secara memadai oleh manajemen yang tepat sebelum
diperkenalkan ke lingkungan produksi.
D 3.5 Tentukan apakah catatan yang memadai dipertahankan untuk
mendokumentasikan semua modifikasi dan perbaikan untuk keamanan sistem
operasi.
D 3.6 Pastikan bahwa prosedur dalam sistem operasi konfigurasi mencakup langkah-
langkah untuk memastikan kepatuhan dengan semua kebijakan dan standar
perusahaan yang relevan.
D 3.7 Pastikan bahwa catatan yang sesuai dipelihara untuk mendokumentasikan
semua penyimpangan dari kebijakan dan standar perusahaan yang relevan.
D 3.8 Tentukan apakah kebijakan dan standar sistem operasi konfigurasi
mengharuskan hal :
a. Semua standar kata sandi yang disediakan vendor untuk akun sistem yang
telah ditetapkan akan segera diubah setelah pemasangan atau pemutakhiran,
b. semua sistem akun yang disediakan vendor yang tidak dibutuhkan
dinonaktifkan atau dihapus, dan
c. semua kata sandi untuk sistem akun istimewa ditetapkan ke personel
administrasi sistem / keamanan yang sesuai.

Operating System Configuration - System Security Parameters

Tujuan: Untuk memastikan bahwa parameter keamanan sistem operasi yang


D 4
ada dikonfigurasi untuk mengamankan pengaturan dan sesuai dengan praktik
terbaik serta kebijakan dan standar perusahaan yang relevan.

D 4.1 Tinjau kebijakan dan standar perusahaan yang relevan untuk sistem operasi
yang sedang dikaji. Sesuaikan program audit ini untuk memastikan bahwa
prosedur audit dirancang untuk memastikan bahwa pengaturan konfigurasi
sistem operasi sesuai dengan kebijakan dan standar tersebut.

D 4.2 Evaluasi praktik terbaik yang ada untuk farameter dari konfigurasi keamanan
sistem operasi. Sesuaikan program audit ini untuk memastikan praktik terbaik
yang berlaku dipertimbangkan dalam pendekatan audit.
D 4.3 Evaluasi pengaturan konfigurasi sistem operasi saat ini untuk memastikan
bahwa pengaturan sesuai dengan kebijakan dan standar perusahaan yang
relevan dan sesuai dengan praktik terbaik.
D 4.3.1 Pastikan bahwa penggunaaan semua kata sandi default untuk akun sistem yang
telah ditetapkan telah diubah.
D 4.3.2 Tentukan apakah konfigurasi untuk profil akun sistem yang telah ditetapkan
telah diubah dari pengaturan vendor. Jika ya, tentukan mengapa dan evaluasi
pengaruh perubahan pada keamanan sistem.
D 4.3.3 Tentukan apakah konfigurasi untuk profil grup yang telah ditetapkan telah
diubah dari pengaturan vendor. Jika ya, tentukan mengapa dan evaluasi
pengaruh perubahan pada keamanan sistem.
D 4.3.4 Pastikan bahwa semua akun tamu telah dinonaktifkan atau dihapus dari
sistem.
D 4.3.5 Pastikan bahwa kata sandi yang ditetapkan untuk akun super-user hanya
diketahui oleh personel sistem administrasi / keamanan yang tepat.
D 4.3.6 Pastikan bahwa semua layanan sistem yang ditetapkan telah disetujui dan
masuk sesuai dengan kebijakan dan standar konfigurasi yang relevan.
D 4.3.7 Pastikan bahwa semua layanan sistem dikonfigurasi ke port sistem yang
sesuai.
D 4.3.8 Pastikan bahwa ada proses untuk mencegah sistem operasi melakukan boot
dengan pengaturan konfigurasi yang tidak sah.

D 5 System Utilities
Tujuan: Untuk memastikan bahwa ada kontrol yang memadai atas penggunaan
utilitas sistem yang sensitif.
D 5.1 Evaluasi prosedur di tempat untuk membatasi akses ke utilitas sistem yang
kuat dan sensitif.
D 5.2 Identifikasi utilitas yang diinstal yang memiliki kemampuan untuk memintas
keamanan tingkat sistem.
D 5.3 Tentukan apakah ada skrip, prosedur perintah, atau aplikasi yang telah
dikembangkan yang memiliki kemampuan untuk memintas keamanan sistem.

D 5.4 Identifikasi akun dan grup dengan akses ke utilitas sistem. Pastikan bahwa
jumlah pengguna dengan akses ke utilitas ini wajar dan sesuai berdasarkan
fungsi pekerjaan pengguna.

D 6 Security System Configuration - Policies & Standards


Tujuan: Untuk memastikan bahwa instalasi dan peningkatan sistem keamanan
pihak ketiga dikonfigurasi sesuai dengan kebijakan dan standar keamanan dan
konfigurasi yang tepat.
D 6.1 Tentukan apakah kebijakan dan standar formal ada untuk konfigurasi sistem
keamanan pihak ketiga yang sedang ditinjau.
D 6.2 Jika kebijakan dan standar ada, identifikasi kebijakan dan standar mana yang
berlaku untuk lingkungan yang sedang ditinjau.
D 6.3 Tentukan apakah ada prosedur untuk memastikan kepatuhan dengan kebijakan
dan standar yang berlaku di seluruh proses konfigurasi untuk instalasi dan
peningkatan sistem keamanan.

D 7 Security System Configuration - Configuration Process


Tujuan: Untuk memastikan bahwa ada kontrol yang memadai di atas
konfigurasi instalasi dan peningkatan sistem keamanan pihak ketiga.
D 7.1 Pastikan bahwa proses penginstalan / peningkatan sistem keamanan tunduk
pada pedoman manajemen perubahan perusahaan. Tidak ada pengujian lebih
lanjut atas kontrol atas pemeliharaan perangkat sistem diperlukan karena
kontrol ini ditujukan dalam program audit manajemen perubahan.
D 7.2 Tentukan apakah prosedur terdokumentasi / daftar periksa ada untuk
mendukung konfigurasi parameter sistem keamanan selama proses instalasi /
pemutakhiran.
D 7.3 Tentukan apakah gambar konfigurasi standar dipertahankan untuk memastikan
konsistensi dari semua upaya konfigurasi untuk sistem keamanan yang sedang
ditinjau.
D 7.4 Tentukan apakah semua konfigurasi sistem keamanan diberi wewenang yang
tepat serta ditinjau dan disetujui secara memadai oleh manajemen yang tepat
sebelum diperkenalkan ke dalam lingkungan produksi.
D 7.5 Tentukan apakah catatan yang memadai dipertahankan untuk
mendokumentasikan semua modifikasi dan perbaikan untuk sistem keamanan
pihak ketiga.
D 7.6 Pastikan bahwa prosedur konfigurasi mencakup langkah-langkah untuk
memastikan kepatuhan terhadap semua kebijakan dan standar perusahaan yang
relevan.
D 7.7 Pastikan bahwa catatan yang sesuai dipelihara untuk mendokumentasikan
semua penyimpangan dari kebijakan dan standar perusahaan yang relevan.
D 7.8 Tentukan apakah kebijakan dan standar konfigurasi sistem keamanan
mengharuskan:
a) Semua kata sandi standar yang disediakan vendor untuk akun sistem yang
telah ditetapkan akan segera diubah setelah pemasangan atau pemutakhiran,
b) Semua akun sistem yang disediakan vendor yang tidak dibutuhkan
dinonaktifkan atau dihapus, dan
c) Semua kata sandi untuk akun sistem istimewa ditetapkan ke personel
administrasi sistem / keamanan yang sesuai.

D 8 Security System Configuration - System Security Parameters Tujuan:


Untuk memastikan bahwa parameter yang ada untuk sistem keamanan pihak
ketiga dikonfigurasi untuk mengamankan pengaturan dan sesuai dengan
praktik terbaik serta kebijakan dan standar perusahaan yang relevan.

D 8.1 Tinjau kebijakan dan standar perusahaan yang relevan untuk sistem keamanan
yang sedang ditinjau. Sesuaikan program audit ini untuk memastikan bahwa
prosedur audit dirancang untuk memastikan bahwa pengaturan konfigurasi
sistem keamanan pihak ketiga telah sesuai dengan kebijakan dan standar
tersebut.
D 8.2 Evaluasi praktik terbaik yang ada untuk keamanan sistem logis. Pelacak audit
ini program untuk memastikan bahwa praktik terbaik yang berlaku
dipertimbangkan dalam pendekatan audit.
D 8.3 Mengevaluasi pengaturan konfigurasi sistem keamanan pihak ketiga saat ini
untuk memastikan bahwa pengaturannya sesuai dengan kebijakan dan standar
perusahaan yang relevan dan sesuai dengan praktik terbaik.

D 8.3.1 Pastikan bahwa semua kata sandi default untuk akun yang telah ditetapkan
telah diubah.
D 8.3.2 Pastikan bahwa kepemilikan semua akun yang telah ditentukan
didokumentasikan.
D 8.3.3 Tentukan apakah konfigurasi untuk profil akun sistem yang telah ditetapkan
telah diubah dari pengaturan vendor. Jika demikian, tentukan mengapa dan
evaluasi pengaruh perubahan pada keamanan sistem.

D 8.3.4 Tentukan apakah konfigurasi untuk profil grup yang telah ditetapkan telah
diubah dari pengaturan vendor. Jika demikian, tentukan mengapa dan evaluasi
pengaruh perubahan pada keamanan sistem.
D 8.3.5 Pastikan bahwa kata sandi yang ditetapkan untuk akun pengguna super
dikenal oleh personel administrasi sistem / keamanan yang tepat saja.
D 8.3.6 Pastikan bahwa semua layanan sistem yang ditetapkan telah disetujui dan
sesuai dengan kebijakan dan standar konfigurasi yang relevan.
D 8.3.7 Pastikan bahwa semua layanan sistem dikonfigurasi dengan tepat.
D 8.3.8 Pastikan bahwa ada proses untuk mencegah sistem agar tidak di-boot / IPLed
dengan pengaturan konfigurasi sistem keamanan yang tidak sah.

E ACCESS CONTROLS
E 1 Account Management
Tujuan: Untuk memastikan bahwa kontrol yang sesuai sudah ada selama
proses manajemen akun tingkat sistem.
E 1.1 Bertemulah dengan personil administrasi keamanan untuk mendapatkan
pemahaman tentang proses manajemen akun. Pertimbangkan:
a) Apakah administrator sistem / keamanan mengetahui kebijakan dan standar
perusahaan yang terkait dengan manajemen akun pengguna?
b) Sudahkah prosedur manajemen akun formal dikembangkan?
c) Apakah prosedur formal sudah ada selama pembuatan akun pengguna baru?

d) Apakah prosedur formal sudah ada selama modifikasi akun yang ada?
e) Apakah ada prosedur formal untuk memastikan bahwa akun tingkat sistem
dinonaktifkan dan / atau dihapus segera untuk karyawan yang diberhentikan?

f) Apakah prosedur formal berlaku untuk memastikan bahwa hak akses


pengguna ditinjau dan dimodifikasi secara tepat untuk karyawan yang
ditransfer?
g) Apakah alat otomatis pihak ketiga digunakan?
h) Apakah skrip yang dikembangkan di rumah digunakan?
i) Apakah semua akun tingkat sistem baru diotorisasi oleh manajemen yang
sesuai sebelum pembuatan?
j) Apakah dokumentasi yang sesuai dipertahankan untuk mendukung otorisasi
semua akun level sistem?
k) Apakah template akun pengguna yang digunakan untuk mengatur akun baru
atau melakukan keamanan / administrator sistem mengatur setiap akun dari
awal?
l) Apakah semua ID tingkat sistem mengikuti konvensi penamaan yang
konsisten?
m) Apakah semua ID akun unik?
n) Apakah departemen Sumber Daya Manusia memberikan personel
administrasi keamanan dengan laporan berkala tentang karyawan yang
diberhentikan dan ditransfer?
o) Apakah tinjauan berkala hak akses pengguna diselesaikan oleh manajemen
yang tepat untuk memastikan bahwa hak akses tetap sepadan dengan tanggung
jawab pekerjaan pengguna?
p) Sudahkah sistem dikonfigurasikan untuk menonaktifkan akun secara
otomatis yang tidak aktif selama periode waktu yang berlebihan (misalnya, 90
hari)?
E 1.2 Jika tersedia, tinjau prosedur terdokumentasi di tempat untuk mendukung
aktivitas manajemen akun pengguna.
E 1.3 Mintalah daftar semua akun sistem dari sistem / keamanan yang bertanggung
jawab administrator.
E 1.3.1 Tinjau daftar akun sistem dan tentukan apakah semua ID mengikuti konvensi
penamaan yang konsisten dan patuh dengan standar yang ada.
E 1.3.2 Tentukan apakah ada akun yang sudah tidak aktif selama lebih dari 90 hari
dan belum dinonaktifkan.
E 1.4 Mintalah laporan yang merangkum semua penghentian yang telah terjadi
dengan tiga bulan terakhir. Verifikasi bahwa akun untuk semua karyawan yang
diberhentikan telah dinonaktifkan atau dihapus dari sistem.
E 1.5 Tentukan pilihan sampel akun dari daftar akun yang diminta dalam langkah
E 1.3 dan tinjau berikut ini:
a) Apakah semua ID akun unik dan sesuai dengan konvensi penamaan yang
ada?
b) Apakah dokumentasi yang sesuai tersedia untuk mendukung otorisasi setiap
akun dan persetujuan dari semua hak akses dan hak istimewa yang diberikan
untuk setiap akun?
c) Apakah tersedia dokumentasi yang mendukung tinjauan berkala hak akses
pengguna?

E 2 Password Management
Tujuan: Untuk memastikan bahwa sistem telah dikonfigurasi untuk
memfasilitasi penggunaan kata sandi yang aman untuk mencegah akses tidak
sah ke aplikasi penting, data dan sumber daya sistem.
E 2.1 Bertemulah dengan personil administrasi keamanan untuk mendapatkan
pemahaman tentang kontrol manajemen kata sandi. Pertimbangkan:
a) Apakah personil administrasi keamanan / sistem sadar akan kebijakan dan
standar yang relevan di tempat atas konfigurasi kontrol manajemen kata sandi?
b) Sudahkah sistem dikonfigurasi untuk mengautentikasi semua pengguna
melalui valid ID dan kata sandi?
c) Apakah kata sandi awal yang unik ditetapkan untuk semua akun baru
setelah pembuatan?
d) Apakah kata sandi awal yang ditetapkan untuk semua akun baru ditetapkan
sebagai pra-kedaluwarsa, yang mengharuskan pengguna untuk mengubah kata
sandi pada saat masuk awal?
e) Sudahkah sistem dikonfigurasikan untuk memberlakukan pembatasan
sintaks dan penggunaan kata sandi?
f) Apakah kamus kata sandi digunakan?
g) Apakah kata sandi dikodekan keras dalam skrip, file batch, atau aplikasi?

2.2 Minta laporan yang sesuai dari keamanan administrator / sistem konfigurasi
yang ditampilkan oleh manajemen terhadap kata sandi saat ini dan
memastikan hal-hal berikut:
a) Konfigurasi saat ini sesuai dengan kebijakan dan standar perusahaan yang
relevan.
b) Pembatasan yang tepat berlaku di atas sintaks kata sandi sebagaimana
diharuskan oleh kebijakan dan standar perusahaan yang relevan:
c) Panjang kata sandi minimum (misalnya, 6 karakter pengguna akhir; 8
karakter personel sistem dan akun istimewa).
d) Pembatasan pada sintaks kata sandi (yaitu, membatasi pengulangan
karakter, membatasi karakter khusus, dll.).
e) Masa aktif kata sandi (misalnya, 30 hari untuk akun istimewa; 60 hari untuk
akun pengguna akhir).
f) Batasan pada kemampuan untuk menggunakan kembali kata sandi (yaitu,
riwayat kata sandi dipertahankan).
g) Kontrol yang sesuai diterapkan untuk membatasi jumlah upaya akses tidak
sah yang diizinkan sebelum akun dikunci atau dinonaktifkan (mis., 3 upaya
tidak sah yang diizinkan sebelum sistem mengambil tindakan menghindar).

E 3 User Profile Configurations


Tujuan: Untuk memastikan bahwa kontrol yang memadai ada di atas
konfigurasi profil pengguna untuk memastikan bahwa hak akses pengguna
sepadan dengan tanggung jawab pekerjaan pengguna.
E 3.1 Bertemu dengan personil administrasi keamanan untuk mendapatkan
pemahaman tentang mengontrol konfigurasi profil pengguna. Pertimbangkan:
a) Apakah standar sudah ada di atas konfigurasi profil pengguna?
b) Apakah hak istimewa dan hak akses diberikan ke akun pengguna individu
atau apakah mereka diberikan kepada grup dan kemudian dialokasikan kepada
pengguna dengan menetapkan pengguna ke grup itu?
c) Apakah mempunyai akses standar yang ditetapkan oleh fungsi atau layanan
pekerjaan (produk)?
d) Bagaimana profil pengguna dibuat?
e) Apakah templat profil pengguna digunakan untuk membuat profil pengguna
baru?
f) Apakah profil yang ada disalin dan dimodifikasi untuk membuat profil
baru?
g) Apakah semua profil pengguna baru dibuat dari awal?
h) Apakah profil pengguna dikonfigurasikan untuk memastikan bahwa
pengguna dibatasi untuk aplikasi dan menu yang sesuai?
i) Apakah pengguna dibatasi untuk mengakses baris perintah sistem operasi di
lingkungan produksi?
j) Apakah pembatasan waktu digunakan pada penggunaan akun?
k) Apakah pembatasan stasiun ditempatkan pada penggunaan akun?
E 3.2 Pilih contoh akun dari daftar akun sistem yang diminta pada langkah E 1.3

E 3.2.1 Tinjaulah konfigurasi dari profil pengguna saat ini untuk masing-masing akun
termasuk dalam sampel:
a) Pastikan bahwa profil pengguna dikonfigurasi dengan aman dan mematuhi
kebijakan dan standar perusahaan yang berlaku.
b) Pastikan bahwa hak akses dan hak istimewa yang ditetapkan untuk setiap
pengguna sepadan dengan tanggung jawab pekerjaan pengguna.
c) Jika skrip login digunakan, pastikan skrip masuk dijamin dengan benar.
d) Pastikan bahwa direktori home untuk setiap akun dirujuk dengan benar dan
aman.
e) Pastikan bahwa akun belum tidak aktif untuk jangka waktu yang tidak wajar
(mis., Lebih dari 90 hari).

E 4 Group Profile Configurations


Tujuan: Untuk memastikan bahwa kontrol yang memadai ada di atas
konfigurasi profil grup untuk memastikan bahwa hak akses untuk pengguna
yang ditetapkan ke profil grup sepadan dengan tanggung jawab pekerjaan
pengguna.
E 4.1 Bertemu dengan personil administrasi keamanan untuk mendapatkan
pemahaman tentang bagaiamana mengontrol konfigurasi profil grup.
Pertimbangkan:
a) Apakah standar sudah ada di atas konfigurasi profil grup?
b) Apakah akses grup standar telah ditetapkan oleh fungsi pekerjaan atau
layanan (produk)?
c) Bagaimana profil grup dibentuk?
d) Apakah profil grup yang disediakan vendor default digunakan?
e) Apakah profil grup dikonfigurasi untuk memastikan bahwa pengguna
dibatasi untuk aplikasi dan menu yang sesuai?
f) Apakah hak akses yang ditetapkan untuk profil grup ditinjau dan disetujui
oleh manajemen yang tepat?

E 4.2 Mintalah laporan dari administrator mengenai keamanan / sistem yang


mencantumkan semua profil grup yang ada di sistem.
E 4.2.1 Pilih sample profil grup untuk ditinjau.
E 4.2.2 Tinjau konfigurasi terkini dari setiap profil grup yang termasuk dalam sampel:
a) Dapatkan pemahaman tentang tujuan dari setiap profil grup.
b) Pastikan bahwa profil grup dikonfigurasikan dengan aman dan patuhi
kebijakan dan standar perusahaan yang berlaku.
c) Tinjau hak akses dan hak istimewa yang disediakan oleh profil grup
dan memastikan bahwa hak akses dan hak istimewa adalah wajar berdasarkan
tujuan dari profil (yaitu, apakah ada masalah mengenai pemisahan fungsi, dll.).
d) Pastikan bahwa akun pengguna yang ditetapkan untuk setiap profil grup
sesuai? Apakah hak akses dan hak istimewa yang diberikan kepada pengguna
oleh profil grup sepadan dengan tanggung jawab pekerjaan masing-masing
pengguna?

E 5 Privileged Accounts
Tujuan: Untuk memastikan bahwa kontrol yang memadai sudah ada di atas
otorisasi, kepemilikan, dan penggunaan akun pengguna super sensitif.
E 5.1 Bertemulah dengan personil administrasi keamanan untuk mendapatkan
pemahaman tentang kontrol atas tingkatan sistem istimewa. Pertimbangkan:
a) Apakah ada standar di atas penugasan dan penggunaan akun istimewa?
b) Apakah ID pengguna super telah ditetapkan untuk menyediakan staf
dukungan teknis dengan sarana untuk mengatasi masalah platform darurat
segera?
c) Apakah jumlah pengguna dengan akses istimewa dibatasi dengan tepat?
d) Apakah kata sandi untuk akun pengguna super (yaitu, root - UNIX;
Administrator
- NT; dll.) unik untuk setiap server?
e) Apakah administrator login langsung ke akun pengguna super (yaitu, root -
UNIX; Administrator - NT; dll.) Atau administrator yang menetapkan hak
istimewa yang diperlukan untuk menyelesaikan tugas administrasi sistem dan
keamanan menggunakan akun unik mereka sendiri?
f) Apakah administrator login ke akun unik mereka dengan hak administratif
hanya bila diperlukan untuk melakukan tindakan yang membutuhkan hak
tersebut. Di lain waktu, apakah administrator masuk dengan akun unik yang
telah diberikan hak yang lebih sedikit?
g) Apakah hak akses pengguna istimewa yang ditinjau secara berkala oleh
manajemen pengguna (misalnya, tinjauan kuartalan minimum)?

E 5.2 Mintalah laporan dari sistem / administrator keamanan yang mencantumkan


semua akun istimewa yang ada di sistem.
E 5.2.1 Tinjau laporan akun istimewa :
a) Apakah jumlah akun istimewa masuk akal berdasarkan ukuran lingkungan?
b) Apakah hak istimewa yang ditetapkan untuk akun ini sesuai?
c) Apakah ada dokumentasi untuk mendukung otorisasi setiap akun dan
persetujuan dari semua hak istimewa yang ditetapkan untuk setiap akun?
d) Apakah ada kontrol yang sesuai di atas penggunaan akun istimewa yang
telah disediakan oleh vendor (yaitu, Administrator - NT; root - UNIX)?
Apakah penggunaan akun-akun ini dipantau dengan tepat?
e) Apakah ada ID akun generik untuk salah satu akun istimewa? Jika
demikian, tentukan bagaimana manajemen memastikan akuntabilitas atas
penggunaan akun generik ini.
f) Pastikan bahwa semua akun istimewa aktif dan tidak terkait dengan
karyawan yang diberhentikan.

E 5.3 Minta laporan dari administrator sistem / keamanan yang mencantumkan


semua grup istimewa dan akun yang ditetapkan untuk grup itu.

E 5.3.1 Tinjau laporan grup istimewa:


a) Evaluasilah tujuan dari setiap kelompok istimewa.
b) Berdasarkan tujuan masing-masing kelompok, tentukan apakah jumlah
akun yang ditetapkan untuk setiap kelompok tampak masuk akal.
c) Apakah dokumentasi ada untuk mendukung otorisasi dari setiap akun yang
ditugaskan untuk setiap kelompok istimewa?
d) Pastikan bahwa semua akun yang ditetapkan untuk setiap grup istimewa
aktif dan tidak terkait dengan karyawan yang diberhentikan.

E 6 Special User Accounts


Tujuan: Untuk memastikan bahwa kontrol yang tepat ada di atas otorisasi,
kepemilikan, dan penggunaan akun pengguna khusus yang unik.
E 6.1 Bertemulah dengan personil administrasi keamanan untuk mendapatkan
pemahaman tentang kontrol atas akun pengguna khusus:
a) Apakah ada standar di atas penugasan dan penggunaan akun pengguna
khusus?
b) Apakah pembatasan ditempatkan pada akun yang diberikan kepada
kontraktor dan pekerja sementara (yaitu, pembatasan waktu, dll.)?
c) Apakah akun pengembang khusus diberikan kepada pengembang untuk
mendiagnosis masalah aplikasi di lingkungan produksi? Apakah akses ke
lingkungan produksi hanya bisa dibaca?
d) Apakah ID darurat dibuat untuk melakukan pemeliharaan sistem darurat?

E 6.2 Evaluasi kontrol yang ada selama pembentukan dan penggunaan akun
pengguna khusus.

E 7 Logon / Logoff Processes


Tujuan: Untuk memastikan bahwa kontrol yang tepat ada di atas proses masuk
dan keluar.
E 7.1 Tentukan apakah sistem telah dikonfigurasi untuk mengunci akun setelah
ditentukan
jumlah upaya masuk yang tidak valid (mis., 3 upaya tidak sah yang diizinkan
sebelum sistem mengambil tindakan mengelak)?
E 7.2 Tentukan apakah spanduk sistem ditampilkan pada sistem selama proses
masuk untuk memberikan peringatan terhadap akses yang tidak sah.
E 7.3 Pastikan bahwa informasi spesifik Organisasi tidak disertakan dalam tampilan
spanduk sistem.
E 7.4 Tentukan apakah nama pengguna dan / atau kata sandi dikodekan ulang dalam
skrip logon atau prosedur perintah.
E 7.5 Tentukan apakah sistem telah dikonfigurasi untuk secara otomatis logoff atau
mengunci terminal / workstation setelah periode tidak aktif tertentu (misalnya,
lebih dari 15 menit tidak aktif)?
E 7.6 Tentukan apakah sistem telah dikonfigurasi untuk membatasi login bersamaan
ke satu akun.
E 7.7 Tentukan apakah konsol sistem telah diamankan dengan benar untuk
mencegah akses yang tidak sah?

E 8 Generic / Shared Accounts


Tujuan: Untuk memastikan bahwa penggunaan akun umum dan bersama
dibatasi dan dibenarkan oleh kebutuhan bisnis dan untuk memastikan bahwa
kontrol yang tepat ada di atas penggunaan akun-akun ini.
E 8.1 Bertemulah dengan personil administrasi keamanan untuk mendapatkan
pemahaman tentang kontrol atas akun umum / bersama:
a) Apakah akun umum / bersama digunakan (mis., OPERATOR, dll.)? Jika ya,
atas dasar apa?
b) Apakah administrator sistem / keamanan mengetahui standar yang berlaku
atas penugasan dan penggunaan akun-akun ini?
E 8.2 Tinjau daftar akun yang diperoleh pada langkah E 1.3 dan identifikasi semua
akun generik dan akun yang tampaknya merupakan akun yang dibagikan.

E 8.3 Jika akun umum atau bersama diidentifikasi, diskusikan akun ini dengan
manajemen yang sesuai untuk menentukan apakah penggunaan akun ini wajar
dan berdasarkan persyaratan bisnis.
E 8.4 Tentukan apa kebijakan dan standar terkait akun umum / bersama.

E 9 Remote Access
Tujuan: Untuk memastikan bahwa terdapat kontrol yang tepat untuk
mengontrol akses ke jaringan internal dan sistem dari sistem jarak jauh.
E 9.1 Bertemulah dengan personel administrasi keamanan / sistem untuk
mendapatkan pemahaman tentang kontrol atas akses ke sistem organisasi
melalui modem dan bentuk akses jarak jauh lainnya.
a) Apakah administrator sistem / keamanan mengetahui standar terkait akses
jarak jauh?
b) Apakah perangkat otentikasi digunakan untuk mengontrol akses jarak jauh?
c) Apakah nomor telepon modem dijaga kerahasiaannya?
E 10 System Boot Process
Tujuan: Untuk memastikan bahwa terdapat kontrol yang tepat untuk
memastikan bahwa hanya pengaturan keamanan dan layanan sistem yang sah
yang dimulai selama proses boot sistem / IPL.
E 10.1 Bertemu dengan personel administrasi keamanan / sistem untuk mendapatkan
pemahaman tentang kontrol yang ada di atas sistem boot / IPL.

E 10.2 Pastikan bahwa prosedur perintah boot telah diamankan dengan benar.

F FILE & DIRECTORY PROTECTION


F 1 System Directories & Files
Tujuan: Untuk memastikan bahwa keamanan tingkat sistem telah
dikonfigurasi untuk melindungi direktori dan file sistem secara benar.
F 1.1 Bertemulah dengan personel administrasi keamanan / sistem untuk
mendapatkan pemahaman kontrol atas direktori dan file sistem.
a) Apakah administrator sistem / keamanan mengetahui standar yang relevan
mengenai konfigurasi keamanan terhadap direktori dan file sistem?
b) Apakah prosedur di atas konfigurasi keamanan untuk direktori dan file
sistem?
c) Bagaimana hak akses untuk direktori dan file sistem ditentukan dan
ditetapkan?
d) Siapa yang menyetujui hak akses untuk direktori dan file sistem?

F 1.2 Tentukan apakah kebijakan dan standar perusahaan ada terkait dengan
konfigurasi keamanan terhadap direktori dan file sistem untuk platform operasi
yang sedang ditinjau.
F 1.3 Meminta laporan dari personel keamanan / sistem administrasi yang merinci
pengaturan keamanan saat ini untuk direktori dan file sistem kritis.

F 1.3.1 Tentukan akun dan grup mana yang telah diberi akses ke direktori dan file
sistem.
F 1.3.2 Evaluasi kelayakan hak akses yang ditetapkan untuk akun dan grup yang
diidentifikasi.
F 1.3.3 Tentukan apakah akses universal (yaitu, dunia, semua orang) telah diberikan
ke salah satu direktori atau file sistem.
F 1.4 Tentukan apakah file sistem yang sesuai telah dienkripsi (yaitu, file kata sandi).
F 1.5 Tentukan apakah ada skrip, prosedur perintah, atau aplikasi yang telah
dikembangkan yang memiliki kemampuan untuk mengubah direktori atau
keamanan file.

F 2 Application Directories & Files


Tujuan: Untuk memastikan bahwa keamanan tingkat sistem telah
dikonfigurasi untuk melindungi direktori dan file aplikasi secara tepat.
F 2.1 Bertemulah dengan personel administrasi keamanan / sistem untuk
mendapatkan pemahaman dari kontrol di tempat di atas direktori dan file
aplikasi.
a) Apakah administrator sistem / keamanan mengetahui standar yang relevan
mengenai konfigurasi keamanan terhadap direktori dan file aplikasi?
b) Apakah ada prosedur di atas konfigurasi keamanan untuk direktori dan file
aplikasi?
c) Bagaimana hak akses untuk direktori dan file aplikasi ditentukan dan
ditetapkan?
d) Siapa yang menyetujui hak akses untuk direktori dan file aplikasi?

F 2.2 Tentukan apakah kebijakan dan standar perusahaan ada terkait dengan
konfigurasi keamanan terhadap direktori dan file aplikasi.
F 2.3 Minta laporan dari personel keamanan / sistem administrasi yang merinci
pengaturan keamanan saat ini untuk direktori aplikasi dan file penting.

F 2.3.1 Tentukan akun dan grup mana yang telah diberi akses ke direktori dan file
aplikasi.
F 2.3.2 Evaluasi kelayakan hak akses yang ditetapkan untuk akun dan grup yang
diidentifikasi.
F 2.3.3 Tentukan apakah akses universal (yaitu, dunia, semua orang) telah diberikan
ke salah satu direktori aplikasi atau file.

F 3 Production Data Directories & Files


Tujuan: Untuk memastikan bahwa keamanan tingkat sistem telah
dikonfigurasi untuk melindungi direktori dan file data produksi secara benar.

F 3.1 Bertemulah dengan petugas keamanan / sistem administrasi untuk


mendapatkan pemahaman dari kontrol atas direktori dan file data produksi.
a) Apakah administrator sistem / keamanan mengetahui standar yang relevan
mengenai konfigurasi keamanan atas direktori dan file data produksi?
b) Apakah prosedur di atas konfigurasi keamanan untuk direktori dan file data
produksi?
c) Bagaimana hak akses untuk direktori dan file data produksi ditentukan dan
ditetapkan?
d) Siapa yang menyetujui hak akses untuk direktori dan file aplikasi?

F 3.2 Tentukan apakah kebijakan dan standar perusahaan ada terkait dengan
konfigurasi keamanan terhadap direktori dan file data produksi.
F 3.3 Minta laporan dari personel keamanan / sistem administrasi yang merincikan
pengaturan keamanan saat ini untuk direktori dan file data produksi yang
penting.
F 3.3.1 Tentukan akun dan grup mana yang telah diberi akses ke direktori dan file data
produksi.
F 3.3.2 Evaluasi kelayakan hak akses yang ditetapkan untuk akun dan grup yang
diidentifikasi.
F 3.3.3 Tentukan apakah akses universal (yaitu, dunia, semua orang) telah diberikan
ke salah satu direktori atau file data produksi.

G REPORTING & AUDITING


G 1 Logging
Tujuan: Untuk memastikan bahwa peristiwa keamanan yang sesuai dicatat
untuk memberikan personel administrasi keamanan dengan kemampuan untuk
memantau keamanan sistem secara tepat.
G 1.1 Tentukan apakah personil administrasi keamanan / sistem menyadari standar
perusahaan yang ada untuk konfigurasi fasilitas log audit sistem.
G 1.2 Mengevaluasi konfigurasi dari fasilitas log audit sistem:
a) Apakah peristiwa yang tepat dicatat?
b) Upaya masuk gagal
c) Gagal mencoba akses file dan objek
d) Akun dan penambahan profil grup, perubahan dan penghapusan
e) Perubahan konfigurasi keamanan sistem
f) Sistem shutdown dan restart
g) Operasi istimewa (privileged)
h) Penggunaan utilitas yang sensitif
i) Akses ke file data penting
j) Apakah entri audit ditulis ke file / basis data log yang sesuai?
k) Apakah fasilitas audit sistem dikonfigurasi untuk memulai secara otomatis
selama proses boot / IPL?
l)Apakah konfigurasi saat ini sesuai dengan kebijakan dan standar yang
relevan?

G 1.3 Tentukan apakah file log audit dijamin dengan benar.


G 1.4 Tentukan apakah file log audit dicadangkan secara teratur.
G 1.5 Tentukan apakah file log audit diarsipkan secara berkala.

G 2 Reporting
Tujuan: Untuk memastikan bahwa laporan yang sesuai dibuat untuk meringkas
data yang tercatat dalam log audit sehingga peristiwa keamanan dapat
dimonitor secara tepat waktu.
G 2 Tentukan apakah personil administrasi keamanan / sistem sadar akan standar
perusahaan terkait pelaporan keamanan.
G 2.1 Mengevaluasi proses dan prosedur pelaporan keamanan yang sedang running:
a) Apakah kemanan laporan dibuat secara rutin?
b) Apakah filter digunakan untuk memilih data dari file log audit untuk
menghasilkan laporan keamanan yang bermakna dan berguna?
c) Apakah fasilitas pelaporan otomatis aktif:
d) Peringatan diposting ke konsol sistem
e) Halaman otomatis untuk kejadian keamanan tertentu
f) Pesan email otomatis yang dibuat untuk kejadian keamanan tertentu
g) Apakah proses dan prosedur pelaporan keamanan saat ini sesuai dengan
kebijakan dan standar yang relevan?

G 3 Monitoring
Tujuan: Untuk memastikan bahwa proses dan prosedur yang tepat ada untuk
memantau laporan keamanan untuk mendeteksi pelanggaran keamanan dan
perubahan tidak sah terhadap konfigurasi keamanan sistem secara tepat waktu.

G 3.1 Tentukan apakah personil administrasi keamanan / sistem sadar akan standar
perusahaan terkait dengan tinjauan log audit keamanan.
G 3.2 Evaluasi prosedur pemantauan:
a) Apakah keamanan laporan yang dihasilkan ditinjau secara berkala oleh
keamanan yang sesuai / sistem personil administrasi.
b) Apakah prosesnya otomatis untuk memantau peristiwa keamanan?
c) Apakah ada prosedur untuk menganalisis tren dalam peristiwa keamanan?
d) Apakah proses dan prosedur pemantauan saat ini sesuai dengan kebijakan
dan standar yang relevan?