UJI KELAYAKAN IT & KETAHANAN SIBER

Penilaian untuk Tahun #REF! *Terisi otomatis

Tanggal Penilaian #REF! *Terisi otomatis
Nama Penyedia Jasa PT.Turnaround Asset Indonesia *Terisi otomatis

Gambaran Dasar Proses

No. JANGAN COPY PASTE, SILAHKAN PILIH DARI DROPDOWN
Pengiriman & Penerimaan Data

Pihak ketiga memberikan gambaran workflow proses aktivitas antara CIMB Niaga dengan Pihak Ketiga secara detil beserta IT
1 topology, platform, IP Address dan lain-lain

Pilih List informasi sensitive.

Informasi sensitif apa yang akan dikelola oleh Contoh rincian data sensitif dapat dilihat pada Sheet 'Informasi
2 pihak ketiga?
Sensitive.
Pilih
3 Berapa banyak informasi sensitif yang akan
dikelola oleh pihak ketiga?

Proses apa saja yang akan dilakukan oleh pihak Pilih

4 ketiga atas informasi sensitif yang diberikan
oleh Bank?
Pilih
Pengamanan apa saja atas informasi sensitif
5 yang akan dikelola oleh pihak ketiga? Apakah
ada masking / scramble?

Bagaimana metode pengiriman informasi Pilih

6 sensitif yang akan dilakukan oleh Bank kepada
pihak ketiga?
Bagaimana interval pengiriman informasi Pilih
7 sensitif yang akan dilakukan oleh Bank kepada
pihak ketiga?
CATATAN: Untuk kerjasama pihak ketiga yang melibatkan jasa cloud, Checklist Penilaian Risiko Cloud akan diperlukan dan digunakan bersama dengan Checklist Uji Kelayakan IT & Ketahanan Siber.

Third Party Security Ques

JANGAN COPY PASTE, SILAHKAN
PILIH DARI DROPDOWN

Hasil
Catatan Panduan <Untuk 'Satisfactory' dan 'Not
No. Kriteria Bukti Pendukung Applicable', lengkapi kolom G,
Untuk 'Not Satisfactory', lengkapi
kolom G, H, I, J & K>
1.0 IT Organisation, Functions, Policies & Procedures, Network/Data Flow Diagram & Data Centre
Satisfactory

Untuk menilai bahwa terdapat pemisahan fungsi yang jelas di organisasi

Penyedia Jasa Pihak Ketiga dimana tidak ada satu orang yang
Struktur organisasi terkini dan fungsi/tugas/tanggungjawab masing-masing
bertanggungjawab terhadap keseluruhan operasi yang dapat memberikan
kemampuan untuk memodifikasi, mengelak, dan menonaktifkan fitur
a. Apakah ada penggunaan sub-contractors yang dapat mengakses informasi keamanan sistem oleh orang itu sendiri. Ini mungkin termasuk kombinasi
confidential CIMB Niaga?
fungsi seperti:
1.1 Struktur Organisasi IT & Pemisahan Fungsi b. Apakah dilakukan background checks untuk staff yang menangani informasi
confidential CIMB Niaga?
(i) Pengembangan sistem dan operasi teknologi;
c. Apakah setiap staff pihak ketiga diwajibkan menandatangi dokumen NDA
(Non-Disclosure or confidentiality agreement)?
(ii) Administrasi keamanan dan administrasi sistem; dan

(iii) Operasi jaringan dan keamanan jaminan.

Satisfactory

Sertifikasi/kompetensi karyawan yang mendukung aplikasi, jaringan i) Menilai bahwa Penyedia Jasa Pihak Ketiga melatih karyawan secara
keamanan, database, dan sistem operasi. memadai atau karyawan Penyedia Jasa Pihak Ketiga kompeten/terampil
dalam mendukung layanan terkait CIMB Niaga.
a. Apakah pihak ketiga memiliki metode/program kerja untuk meningkatkan
Keterampilan, Kapabilitas, Integritas & kesadaran terhadap keamanan informasi (IT Security Awareness) oleh semua ii) Periksa bahwa Penyedia Jasa Pihak Ketiga telah menetapkan proses
1.2 Pelatihan Personil IT karyawan yang menangani data CIMB Niaga? disipliner untuk karyawan yang melanggar kebijakan IT.

b. Please provide bukti pendukung: iii) Menilai bahwa karyawan Penyedia Jasa Pihak Ketiga menyadari tanggung
- Dokumentasi program security awareness dan / atau SOP 3rd Party Terkait jawab mereka untuk memelihara kontrol akses yang efektif, terutama
Security Awareness terkait keamanan password dan peralatan pengguna.
 Satisfactory

Diagram jaringan untuk sistem utama, backup, dan recovery untuk komponen
IT terkait CIMB Niaga.

a. Mohon dapat dijelaskan bagaimana pemisahan data CIMB Niaga Niaga dari
data customer yang lain, seperti : folder terpisah, server/VM terpisah, hingga Periksa bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan arsitektur
1.3 Diagram Jaringan segmentasi jaringan. aplikasi multi-tier yang membedakan kontrol sesi, logika presentasi, validasi
- Arsitek aplikasi multi-tier b. Mohon tunjukkan proses kendali untuk mencegah data CIMB Niaga dapat
input sisi server, logika bisnis dan akses database.
diakses oleh customer yang lain, misalnya untuk masuk ke PC khusus CIMB
Niaga harus dengan akun dan password tersendiri, dsb.
c. Apakah ada menggunakan network redundancy / high availability?
d. Apabila menggunakan network provider, mohon dapat disebutkan SLA
network provider tersebut.

Satisfactory

Inventarisasi Aset IT dan penanganan termasuk perangkat keras, pernagkat

lunak, dan aplikasi yang digunakan untuk proses terkait CIMB Niaga. Validasi kontrol dan prosedur yang ditetapkan Penyedia Jasa Pihak Ketiga
Inventarisasi dan penanganan aset IT terkait untuk penanganan aset termasuk pengenalan atau pembelian, lisensi,
1.4 Agar diprovide informasi detail dari dokumen inventarisasi yang akan transfer, pemindahan, pelepasan dan penggunaan kembali aset.
CIMB Niaga dimintakan (misal: Tipe (HW/SW), Tipe OS DB, version dari OS, DB, dan
aplikasi yang digunakan untuk mensupport CIMB, termasuk tools/appliance
(jika ada)

Satisfactory

Kebijakan/Prosedur IT/Standar/SOP IT.

a. Prosedur apa saja yang dimiliki oleh pihak ketiga (yang ada pada kolom D),
seperti :
- Kebijakan/SOP IT Security Policy i) Verifikasi bahwa Penyedia Jasa Pihak Ketiga memiliki program IT yang
- Kebijakan/SOP Antivirus tertulis, formal, dan komprehensif yang mencakup standar administratif dan
- Kebijakan Pengembangan Sistem teknis, kebijakan dan prosedur untuk melindungi informasi dan aset
- Kebijakan/SOP Log dan Pemantauan informasi.
- Kebijakan/SOP Insiden Keamanan Informasi
1.5 Program dan Fungsi Teknologi Informasi - Kebijakan/SOP Kontrol Akses, ii) Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fungsi keamanan
- Kebijakan/SOP IT Continuity informasi yang bertanggung jawab atas inisiatif keamanan dalam organisasi,
- Kebijakan/SOP Operasional TI yang akan memantau secara teratur untuk memastikan kepatuhan terhadap
- Kebijakan/SOP Jaringan Komunikasi standar keamanan.

b. Apakah dari seluruh kebijakan dan prosedur tersebut, dilakukan review dan iii) Validasi bahwa terdapat dokumentasi proses dan prosedur IT.
update berkala minimal setahun sekali?

c. Apakah pihak ketiga/vendor bersedia untuk menunjukkan kepada pihak

Bank atas kebijakan dan prosedur tersebut?
 Satisfactory

i) Validasi bahwa Penyedia Jasa Pihak Ketiga secara berkala melakukan

review konfigurasi sistem dan jaringan dan memeriksa integritas data

ii) Pengunjung dikawal leh karyawan

Kebijakan & Prosedur Keamanan Fisik. iii) Catatan kegiatan pengunjung
Please diprovide juga checklist minimum requirement data center yang harus
iv) Pealatan sistem dan jaringan terkunci di dalam kabinet
ada (sebagai tempat penyimpanan server/data bank) yang harus di isi vendor,
misal:
- apakah akses masuk dilenngkapi pengamanan finger screen/access v) Permohonan persetujuan yang tepat bagi pengunjung untuk
card/pengisian log, dsb? mendapatkan akses ke data center
- UPS available (capaicty/jumlahnya berapa)
1.6 Kontrol Lingkungan di Data Center - AC (capacity/jumlahnya berapa) vi) Peralatan sistem dan jaringan terkunci di dalam lemari
- Fire extinguisher
vii) Uninterruptible power supply
- Sensor SUhu
- Detectior Api
viii) Sistem pendingin udara
- Detector Asap
- CCTV ix) Sensor suhu
- Genset, dll
x) Detektor api

xi) Detektor asap

xii) CCTV

Satisfactory
i) Periksa bahwa terdapat gangguan layanan (termasuk kinerja kapasitas)
sejak review uji kelayakan terakhir.
Proyeksi dan perencanaan kapasitas sistem di
1.7 Site Review
masa depan
ii) Validasi bahwa proyeksi dan perencanaan untuk kebutuhan kapasitas
sistem di masa depan telah dilakukan.

2.0 IT Audits (Internal / Eksternal)

Satisfactory

Laporan Audit IT (Internal / Eksternal) Terbaru. i) Verifikasi bahwa vendor melakukan audit IT berkala.
2.1 Review Audit Apakah hasil audit (internal/eksternal) dapat disampaikan kepada pihak Bank?
Jika tidak dapat mohon agar dapat disampaikan temuan yang mempengaruhi ii) Periksa pada tanggal terakhir review dilakukan dan nilai opini auditor,
catatan kaki, dan komentar manajemen yang disertakan.
penyediaan layanan atau data CIMB Niaga.

3.0 Penilaian Independen

Satisfactory
i) Efektivitas kegiatan uji penetrasi.
3.1 Penetration Test Laporan Terbaru Uji Penetrasi Aplikasi/Jaringan ii) Hosting production/test environment harus secara berkala diperiksa oleh
pihak ketiga yang independen untuk mengetahui kerentanan keamanan.

Satisfactory
Validasi bahwa vendor patuh pada persyaratan Payment Card Industry-Data
3.2 Standar Keamanan Informasi ISO27001, SOC2 type 2, PCI-DSS
Security Standard (PCI-DSS) atau standar lain yang ditetapkan.

4.0 System Protection

 Satisfactory
Validasi bahwa terdapat kontrol validasi untuk input ke dalam sistem.
4.1 Validasi Input User Access Policy Kontrol tidak dapat dilewati dengan merubah atau memanipulasi
parameter.

Satisfactory

Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fasilitas terpisah dan
4.2 Lansekap Sistem Independen Diagram Jaringan tersendiri untuk pengembangan, pengujian dan pengoperasian layanan.

Satisfactory
Periksa bahwa waktu setempat sistem milik Penyedia Jasa Pihak Ketiga
4.3 Sikronisasi Waktu Setempat Site Review harus disinkronisasi dengan server waktu pusat untuk memastikan seluruh
komputer bekerja dengan waktu yang benar.

Satisfactory

i) Menilai bahwa Penyedia Jasa Pihak Ketiga mematuhi checklist hardening

CIMB Niaga dan penandatanganan CIMB Niaga untuk sistem operasi,
aplikasi, dan database
Kepatuhan terhadap Hardening
4.4 Checklist/Infrastructure Configuration CIMB Checklist Hardening
Niaga ii) Menilai bahwa konfigurasi default perangkat keras/perangkat lunak harus
ditingkatkan sebelum implementasi (termasuk namun tidak terbatas pada
password, simple network management protocol (SNMP) community
strings, dan penghapusan akun-akun yang tidak diperlukan.

Satisfactory

Kebijakan Anti Virus.

a. Apakah nama tools antivirus yang digunakan oleh pihak ketiga?

B. Apakah setiap server, laptop/PC telah diinstall antivirus yang berlisensi
4.5 Implementasi Software Antivirus Software resmi? Validasi bahwa perangkat lunak antivirus telah diimplementasikan dan
c. Apakah ada aktivitas berkala untuk memastikan versi antivirus telah pembaruan diterapkan secara teratur.
terupdate?
d. Apakah dengan tools yang dimiliki oleh Pihak ketiga mampu untuk
mencegah serangan berikut ini : instrusion, brute force, spyware, trojan horse,
malware, DoS, DDoS, Spam, spoofing TCP?

Sistem harus memberlakukan sesi timeout dibatasi pada 15 menit atau Satisfactory
4.6 System Session Timeout Checklist Hardening
kurang.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga menjalankan secara teratur
4.7 System Configuration/Hardening Checklist Hardening review konfigurasi sistem dan pemeriksaan integritas data.

Satisfactory

i) Apakah vendor melakukan rekonsiliasi hasil cetak terhadap data file?

Berikan penjelasan singkat tentang proses tersebut.
4.8 Rekonsiliasi output file terhadap data file Prosedur & Keamanan Data
ii) Apakah vendor mengarsip gambar yang dipindai dari file
statement/output? Berikan penjelasan singkat tentang proses tersebut.

5.0 Perlindungan Jaringan

 Satisfactory

i) Periksa apakah Penyedia Jasa Pihak Ketiga menginstal firewall antara

jaringan internal dan eksternal serta antara situs yang terpisah secara
geografis untuk menyediakan kontrol akses.
5.1 Firewall Jaringan Diagram Jaringan
ii) Jika kegiatan yang dialihdayakan melibatkan sistem kritikal Bank, pastikan
layanan jaringan untuk sistem kritikal dapat diandalkan dan tidak memiliki
titik kegagalan tunggal/single point of failure (SPOF) untuk melindungi
sistem kritikal terhadap potensi kesalahan jaringan dan ancaman siber.

Satisfactory

Pemasangan perangkat deteksi-pencegahan Verifikasi bahwa Penyedia Jasa Pihak Ketiga menginstal perangkat deteksi-
5.2 intrusi Kebijakan IDS/IPS pencegahan intrusi (termasuk peralatan keamanan denial-of-service
security jika sesuai)

Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan Wi-Fi,
verifikasi bahwa metode enkripsi jaringan Wi-Fi diamankan dengan
5.3 Metode enkripsi jaringan Wi-Fi yang digunakan Kebijakan Wi-Fi memadai.
Lihat Item 5.4

Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan
Implementasi Multi-Factor Authentication Wi-FI/VPN melalui segmen/domain jaringan yang sama atau berbeda dan
5.4 Kebijakan Multi Factor nilai risiko dalam menggunakan jaringan Wi-Fi tersebut terutama jika
(MFA)
memungkinkan pengguna untuk mengakses data sensitif di server/peralatan
IT.

Satisfactory
Verifikasi bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan "One-
5.5 Kontrol Akses Jarak Jauh (msial: VPN, Wi-Fi) Kebijakan Keamanan IT Time-Password" (OTP) untuk VPN/Wi-Fi.

Satisfactory

Seluruh port, protokol, dan layanan jaringan yang digunakan oleh aplikasi
5.6 Dokumentasi port dan protokol jaringan Daftar Port dan Protokol Jaringan diidentifikasi dan didokumentasikan. Seluruh layanan yang tidak diperlukan
harus dinonaktifkan.Protocol yang digunakan aman dan ter-encrypt.

Satisfactory

i) Validasi bahwa Penyedia Jasa Pihak Ketiga secara teratur melakukan

review konfigurasi jaringan dan pemeriksaan integritas data.

5.7 Konfigurasi Jaringan Checklist Hardening ii) Perangkat jaringan dikonfigurasikan secara aman sesuai dengan fungsinya
dalam zona keamanan/pengendalian (yaitu jaringan publik/tidak
terpercaya, jaringan semi-pribadi, DMZ) dan perimeter. xiv) Kebijakan
komprehensif yang menguraikan persyaratan pengguna jarak jauh tersedia
dan dikomunikasikan kepada karyawan.

Satisfactory
Pastikan perangkat jaringan yang memadai dan relevan disimpan untuk
5.8 Log Perangkat Jaringan Checklist Log Firewall
keperluan investigasi dan forensik setidaknya selama tiga tahun.
 Satisfactory
Untuk kode aplikasi yang disediakan oleh pihak ketiga, prosedur telah
5.9 Kode Aplikasi Berbahaya Kebijakan Anti Virus/IPS tersedia untuk memastikan bahwa kode tersebut bebas dari kode
berbahaya.

6.0 Manajemen Perubahan IT

Satisfactory
Verifikasi bahwa seluruh peribahan terhadap sistm dan fasilitas Penyedia
6.1 Proses Manajemen Perubahan Kebijakan & Prosedur Manajemen Perubahan IT Jasa Pihak Ketiga harus melalui proses otorisasi manajemen dan melalui
proses manajemen perubahan yang tepat.

Satisfactory
Seluruh data produksi sensitif yang digunakan dalam lingkungan
6.2 Manajemen Data Produksi Kebijakan Manajemen Perubahan pengembangan dan pengujian harus didokumentasikan, disamarkan, dan
disetujui oleh pemilik data, pemilik sistem dan diotorisasi oleh D-1 IT.

7.0 Manajemen Data & Pembersihan/Penghapusan/Penghancuran

Satisfactory

i) Validasi jenis data yang akan diproses dan disimpan oleh vendor.
Pengelolaan Data, Keamanan Data, Enkripsi Data, Diagram Jaringan, User
Access Matrix & Site Review. ii) Periksa lokasi data center jika ada.
a. Apakah staff pihak ketiga dapat mengakses sistem yang berisi data CIMB
iii) Verifikasi bahwa data nasabah CIMB diklasifikasikan sebagai
Niaga Niaga menggunakan device pribadi? bila diperbolehkan, pengamanan
data apa yang diterapkan? "Confidential" oleh skema klasifikasi data Penyedia Jasa Pihak Ketiga.
7.1 Pemeliharaan Data (Perlindungan Data CIMB b. Apakah komputer/PC/Laptop/Device yang digunakan karyawan telah
Niaga) iv) Periksa apakah Penyedia Jasa Pihak Ketiga telah memisahkan data CIMB
dilakukan setting konfigurasi keamanan seperti:
Niaga dari data klien lain.
- proteksi password, USB / removable media, email keluar,
- personal firewall di masing-masing laptop/PC karyawan, v) Tentukan apakah ada personil yang ditunjuk yang telah ditugaskan
- screen saver dengan password apabila iddle untuk waktu tertentu, menangani data CIMB Niaga.
- installasi antivirus
- dsb

Satisfactory

i) Verifikasi bahwa kebijakan retensi dan penyimpanan catatan telah dibuat

dan ditaati untuk dokumen, media komputer (kaset, disket, dll), data
input/output dan dokumentasi sistem.

Media/perangkat penyimpanan removable 1) Kebijakan/prosedur removable media atau Kebijakan Keamanan IT ii) Verifikasi bahwa kebijakan penghancuran dan pembuangan catatan telah
dibuat dan ditaati untuk media komputer (kaset, disket, dll), data
7.2 media (misal: kaset, disket, USB, NAS, harddisk, 2) Kebijakan Distribusi Data melalui removable media/perangkat
dll.) penyimpanan input/output dan dokumentasi sistem.

iii) Verifikasi bahwa distribusi internal atau eksternal Penyedia Jasa Pihak
Ketiga dari segala jenis media dikontrol secara ketat. Contohnya media
dienkripsi dan dikirim melalui kurir yang aman atau metode pengiriman
lainnya yang dapat dilacak secara akurat.
 Satisfactory

Kebijakan Backup Data.

a. Apakah terdapat testing Backup? i) Validasi bahwa backup data statement nasbah CIMB Niaga oleh Penyedia
b. Apakah media penyimpanan data backup yang digunakan, misalnya Jasa Pihak Ketiga terenkripsi
Prosedur backup data (jika backup data eksternal hardisk, server, USB, dsb.
7.3 diperlukan) c. Apakah media backup tersebut memiliki pengelolaan keamanan yang ii) Verifikasi bahwa salinan backup sistem dan data Penyedia Jasa Pihak
memadai, seperti ruang penyimpnan akses media backup, pihak yang ditunjuk Ketiga telah diambil dan disimpan di luar lokasi dengan jarak yang memadai
untuk mengelola media backup tersebut, dsb. dari lokasi produksi dan untuk jangka waktu yang memadai.
d. Berapa lama Retensi data sensitif yang disimpan oleh Pihak ketiga
tersebut?

Satisfactory
Verifikasi bahwa seluruh media Penyedia Jasa Pihak Ketiga yang berisi data
7.4 Keamanan Data (Statis dan Dalam Transit) Data Security/ Data Encryption statement nasabah harus diamankan secara fisik saat dalam perjalanan dan
saat dalam keadaan tidak bergerak.

Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki kontrol keamanan untuk
7.5 Keamanan Penyalinan Data Kebijakan & Prosedur Keamanan Penyalinan Data mencegah penyalinan data melalui port USB, jaringan, CD/DVD Writer,
eMail, akses internet, dll.

Satisfactory

i) Data CIMB Niaga harus dimusnahkan berdasarkan durasi yang disepakati

antara CIMB Niaga & Penyedia Jasa, tidak terbatas dalam bentuk hardcopy
maupun softcopy, contoh: data yang dikirimkan melalui email, data yang
disimpan pada PC / server di lokasi vendor, data pada staging server/SFTP,
Kebijakan & Prosedur Pemusnahan Data. dan lainnya.

Identifikasi data CIMB di pihak ketiga disimpan dimana saja (data rest), ie: di ii) Verifikasi bahwa prosedur Penyedia Jasa Pihak Ketiga telah ditetapkan
server FTP, di server database, di archive email, di server aplikasi, di aplikasi, untuk semua jenis media (misal kertas, microfiche, kaset dan disket
7.6 Pemusnahan/Pembersihan/Penghancuran di USB, harddisk, Shared Folder pihak ketiga? Pastikan penghapusan secara komputer).
Data berkala sudah dilakukan di semua titik data
iii) Pemusnahan laporan yang tidak diinginkan (dengan data nasabah CIMB
Tambahan bukti pendukung: Niaga). Review proses bagaimana laporan yang tidak diinginkan dengan
-diagram flow proses pengiriman / pengolahan data bank di pihak ketiga data nasabah CIMB Niaga dimusnahkan. Laporan yang diinginkan harus
-berita acara pemusnahan data dimusnahkan/dihancurkan tepat waktu.

iv) Setiap kali pelaksanaan pemusnahan / pembersihan / penghancuran

data wajib dilengkapi dengan Berita Acara yang ditandatangani oleh seluruh
pihak-pihak yang terkait.

8.0 ログ管理
 Satisfactory

i) Periksa bahwa sistem yang berisi data CIMB Niaga dapat memberikan
audit trail kegiatan pengguna dan tugas administratif (hak istimewa) dan file
audit tahan terhadap gangguan/tamper resistant.

ii) Inisialiasi log audit.

iii) Log audit harus direview secara berkala.

1) Kebijakan Log dan Pemantauan
8.1 Kapabilitas Audit Log/Trail
2) Log Monitoring Checklist/SIEM iv) Pastikan fungsi log audit diaktifkan.

v) Verifikasi bahwa untuk audit trail, cap tanggal dan waktu pada seluruh
event yang dapat diaudit disinkronisasi menggunaan tanggal dan jam sistem.

vi) Validasi bahwa sistem yang berisi data CIMB Niaga harus didesain untuk
menangkap, memelihara dan mencegah tampering atau perubahan catatan
yang tidak sah.

8.2 Review Kegiatan Pengguna
Pemeliharaan dan peningkatan logs untuk
8.3
perangkat keras dan/atau perangkat lunak
Kebijakan Log dan Pemantauan
Kebijakan Log dan Pemantauan
Satisfactory
Validasi bahwa masuk ke dalam kegiatan pengguna/tugas hak istimewa
administratif Penyedia Jasa Pihak Ketiga harus dibuat, dipantau, dan di-
review tepat waktu.
Satisfactory
Periksa apakah pemeliharaan da upgrade logs disimpan untuk perangkat
keras dan/atau perangkat lunak.

Satisfactory

i) Log akses sistem disimpan dengan cara yang aman dengan akses terbatas
dan dilindungi dari perubahan atau penghapusan
8.4 Keamanan dan pemeliharaan log akses sistem Kebijakan Log dan Pemantauan
ii) Log akses sistem dipelihara dalam untuk jangka waktu yang sesuai (baik
online maupun diarsipkan)

Satisfactory
Pastikan bahwa setiap pengapusan file/folder pada tingkat OS harus
8.5 System-Level Objects Kebijakan Log dan Pemantauan
dimonitor dan kegiatan tersebut direkam dalam log sistem.

9.0 Patch 管理
Satisfactory

9.1 Patch アプリ Patch 管理 最新 Patch 安全性・重要起動システが実施されているかを検証

Satisfactory

9.2 Patch 安全性・重要起動システム Patch 管理 最新 Patch 安全性・重要起動システの妥当性を確認

10.0 IT Security 管理・監視

 Satisfactory

i) 詳細な出来事を管理し、検出できること

ii) 不足なところは何でも報告すること

iii) 画面にある第3社業者のネットワークアクティビティを定期的に見
出来事監視
ログ方針及び管理、ログ管理リスト (OS, アプリ & ネットワークも含め 直して（マニュアル・自動ツール）検証すること
10.1 - ネットワークアクティビティの管理
)
- 安全事件管理
iv) 権限を持っていない社員のアクティビティ・不審なアクティビテ
ィ・社内詐欺・安全違反等で、第3社業者の安全事件を管理すること

v) 多動性ないアクセスの試用に対して、調査し検出できること

Satisfactory
危険コード拡大を予防する為の第３社業者の管理があることを検証す
10.2 危険侵入予防 Anti Virus & IDS/IPS 方針
ること。適正値やリストがある。

Satisfactory

10.3 警報仕組み IT / IT Security 方針 担当者に伝えるIT 安全事件の警報仕組みがあるか確認

11.0 事件管理
Satisfactory

i) CIMB Niagaへの安全事件のエスカレーションプロセス

ii) 第３社業者が事件に対する反応及び対応を決定するか記録を残す
か確認
11.1 事件検出・反応対応 情報安全事件方針
iii) CallTreeといった事件反応要件を含み、第３社業者のファシリティ
ー処理の指示書を確認する。間違い対応方法、再起動・回復システム
、特別な出力対応等を確認する。

Satisfactory
Periksa apakah vendor menguji rencana respons yang ditentukan sebelumnya
11.2 反応計画 情報安全事件方針 terkait dengan insiden keamanan?

Satisfactory
i) Periksa apakah prosedur pengelolaan ancaman Penyedia Jasa Pihak Ketiga
telah diterapkan.
11.3 脅威対応手続き 情報安全事件方針
ii) Metode potensi kerentanan teknis diperoleh, dievaluasi, dan ditanggapi.

12.0 Logical Access Control

12.1 Kebijakan Kontrol Akses Kebijakan Kontrol Akses Apakah vendor memiliki kebijakan kontrol akses? Satisfactory
 Satisfactory

i) Apakah ada proses pengelolaan akses di Penyedia Jasa Pihak Ketiga?

Misal pendaftaran, pembuatan, penghentian, otorisasi, pemeliharaan dan
proses reset password.

ii) Akses keamanan yaitu sistem bawaan dan/atau tambahan apapun untuk
mengelola password harus memastikan penggunaan password yang kuat dan
berkualitas. Pastikan kekuatan password sesuai dengan kebijakan regulator
& internal IT/persyaratan standar.

12.2 Proses Pengelolaan Akses Kebijakan Kontrol Akses iii) Menilai apakah hak akses terikat waktu yang membatasi akses ke periode
tertentu telah ditetapkan.

iv) Periksa apakah user access matrix yang menguraikan hak akses, peran,
atau kewenangan pemberi otorisasi dan pemberi persetujuan, telah dibuat.

v) Periksa apakah akses diberikan secara tepat kepada personil Penyedia Jasa
Pihak Ketiga termasuk akun/ID yang memiliki hak istimewa.

vi) Tentukan ID usang yang masih dipertahankan dalam sistem.

Satisfactory

i) Otentikasi pengguna dan administrator internal untuk akses sistem.

12.3 Otorisasi Akses Sistem Access Control Matrix (ACM)
ii) Apa jenis metode otentikasi yang didukung? Review kecukupan metode
otentikasi.

Satisfactory
Access Control Matrix (ACM).

Apabila terdapat aplikasi pihak ketiga yang digunakan untuk mengolah data Menilai apakah setiap pengguna diberikan akun individu, dimana akan
12.4 Otentikasi Akun Pengguna
bank / menjalankan proses terkait bank secara ekslusif, maka agar dimintakan digunakan untuk otentikasi ke aplikasi.
bukti pendukung tambahan:
- list user ID yang terdaftar di aplikasi tersebut

Satisfactory

12.5 Larangan Berbagi ID Access Control Matrix (ACM) Batasi dan kendalikan pembagian user ID dan password.

Satisfactory
Access Control Matrix (ACM).
Alokasi hak istimewa harus dibatasi, dikontrol dan akses diberikan
12.6 Alokasi dan penggunaan hak akses istimewa
Tambahan bukti pendukung: berdasarkan tanggung jawab pekerjaan dan dasar kebutuhan untuk memiliki.
- Kebijakan/SOP terkait Pengelolaan Privileged User ID / User Administrator
 Satisfactory
Pengelompokan atau profil pengguna dalam suatu sistem harus sesuai
12.7 Profil Pengguna Access Control Matrix (ACM)
dengan tugas dan tanggung jawab pekerjaan.
Satisfactory
i) Hanya karyawan ditunjuk yang memiliki akses ke layanan dan OS
Akses karyawan yang ditunjuk ke layanan aplikasi.
12.8 Access Control Matrix (ACM)
aplikasi dan OS
ii) Akses ke layanan dan OS aplikasi.

Satisfactory
Pemisahan tugas pengguna terhadap Pemisahan tugas harus dibedakan dengan jelas antara mereka yang
12.9 Access Control Matrix (ACM)
pengelolaan akses menggunakan aplikasi dan mereka yang mengelola akses.

Satisfactory

i) Terdapat proses untuk mengajukan dan menyetujui koneksi jarak jauh ke

server dan desktop

Akses Jarak Jauh. ii) Akses jarak jauh dikontrol menggunakan kontrol otentikasi
12.10 Akses Jarak Jauh
Tambahan bukti pendukung: iii) Akun pengguna akses jarak jauh direview pada frekuensi yang sesuai
- SOP /Ketentuan pihak ketiga mengenai remite access
iv) Kerahasiaan informasi sensitif dijamin selama konektivitas jarak jauh
menggunakan teknologi yang sesuai seperti enkripsi, teknologi VPN client,
dll.

Satisfactory

Kontrol keamanan untuk peralatan dan informasi yang digunakan di mobile

computer (smartphone, blackberries, dll) telah ditetapkan termasuk:
penggunaan peralatan yang diizinkan dan keamanan peralatan tersebut (misal
12.11 Kontrol untuk komputer seluler Kebijakan End User
PIN, data terenkripsi, sertifikat digital, dll), keamanan dan backup informasi
diambil atau dilakukan di luar kantor, dan menggunakan peralatan
perlindungan virus.

Satisfactory

i) Akun dan password hak istimewa harus disimpan dan dikendalikan dengan
tepat.
12.12 Pengaturan akun istimewa Kebijakan Akses Kontrol
ii) Persetujuan formal harus diperoleh sebelum menggunakan akun dengan
hak istimewa. Seluruh tindakan yang diambil oleh setiap individu dengan
akar atau administratif hak istimewa perlu dipantau dan direview.

Satisfactory
User ID sementara, umum, tamu, atau anonim terbatas penggunaannya dan
12.13 Pengguna Anonim Kebijakan Akses Kontrol
dikontrol dengan ketat.
Satisfactory
Terdapat prosedur untuk mengubah hak akses pengguna ketika pengguna
12.14 Proses perubahan dan pencabutan akses Kebijakan Akses Kontrol berubah peran dalam organisasi dan mencabut hak ketika pengguna
meninggalkan organisasi.

Pemisahan logis layanan aplikasi untuk klien Periksa apakah layanan aplikasi untuk nasabah yang berbeda dipisahkan Satisfactory
12.15 Diagram Jaringan
yang berbeda secara logis.
13.0 Kontrol Akses Fisik
 Satisfactory

Kebijakan Keamanan Fisik.

a. Apakah terdapat server yang berisi data CIMB Niaga yang ditempatkan
diluar Data Center? Jika ada bagaimana pengamanannya, seperti :
- Apakah terdapat akses kontrol untuk mencegah sembarang orang masuk
(restricted area)?
13.1 Lokasi Konsol Sistem - Apakah terdapat satpam 24*7? Konsol sistem terletak di area yang aman dan terkendali.
B. Bagaimana pengamanan ruang kerja staff yang mengelola dan mengakses
data CIMB niaga, seperti :
- Apakah ada dedicated area untuk mengakses data CIMB Niaga?
- Apakah area tersebut dilengkapi dengan CCTV untuk monitoring area
tersebut?
- Apakah staff diwajibkan menggunakan kartu identitas karyawan?

Satisfactory

i) Pastikan kamera CCTV terpasang di lokasi strategis di kantor-kantor

Penyedia Jasa Pihak Ketiga untuk memudahkan review ketika dibutuhkan.
Putar ulang beberapa gambar untuk mengkonfirmasi apakah sudah diambil
dengan benar.

ii) Periksa apakh akses fisik melalui kartu akses/kunci fisik dikelola dan dan
13.2 CCTV dan Kartu Akses Kebijakan Keamanan Fisik/Kebijakan CCTV
diberikan dengan tepat berdasarkan kebutuhan. Pengecekan sampel log kartu
akses untuk menentukan kecukupan.

iii) Periksa apakah pengunjung selalu didampingi oleh personil Penyedia

Jasa Pihak Ketiga di kantor Penyedia Jasa Pihak Ketiga. Daftar pengunjung
harus dikelola di area yang aman untuk tujuan pelacakan.

14.0 Enkripsi
Satisfactory
Menilai bahwa kunci perangkat keras, kunci perangkat lunak, token dan
14.1 Infrastructure key encryption Kebijakan Enkripsi Data password Penyedia Jasa Pihak Ketiga yang digunakan untuk enkripsi data
harus diamankan.
Satisfactory
PIN, password dan data sensitif nasabah lainnya harus dienkripsi saat dalam
14.2 Enkripsi Data Sensitif Kebijakan Enkripsi
perjalanan dan saat dalam keadaan tidak bergerak.

Satisfactory
Metode aman untuk interface, pertukaran dan sinkronisasi antara aplikasi
14.3 Secure Interfacing Method Keamanan Data dan aplikasi/perangkat lain hanya boleh dilakukan melalui koneksi
terenkripsi misalnya HTTPS untuk berbasis web, SFTP, dll.

15.0 IT Disaster Recovery & Transmisi Data

Satisfactory
Disaster Recovery Plan. i) Verifikasi bahwa pengelolaan operasional di lokasi utama Penyedia Jasa
Pihak Ketiga sama dengan di lokasi alternatif Penyedia Jasa Pihak Ketiga
Pengelolaan operasi di situs utama dan situs
15.1 tambahan bukti pendukung:
alternatif
- dokumentasi Testing DR (khusus aplikasi/ proses yang terkait dengan CIMB ii) Verifikasi bahwa prosedur recovery data Penyedia Jasa Pihak Ketiga telah
- jika ada) dibuat dan didokumentasikan.

16.0 Application Development Process/Methodology (SDLC)

 Satisfactory

Pertimbangkan area berikut jika berlaku dan catat setiap perbedaan:

i) Proses/metodologi pengembangan aplikasi yang terdokumentasi formal

(SDLC) telah tersedia. Pastikan kebijakan/praktik terkait direview secara
berkala.

ii) Pastikan pengujian yang relevan (seperti integration testing, UAT dan
SDLC. application security testing) dijalankan sebelum deployment dengan prosedur
otorisasi yang tepat.
Apakah ada penggunaan data production untuk proses testing?
iii) Tentukan apakah setiap perubahan source code tunduk pada review
Serta, untuk point iii, agar dijelaskan lebih detail untuk review source code source code yang memadai.
Proses/Metodologi Pengembangan Aplikasi
16.1 yang bagaimana yang harus dipatuhi oleh pihak ketiga.
(SDLC)
iv) Pastikan Penyedia Jasa Pihak Ketiga secara fisik telah memisahkan
Tambahan panduan: lingkungan produksi dari lingkungan pengembangan dan lingkungan
- pastikan untuk setiap pengembangan / perubahan / pengembangan sistem pengujian untuk sistem kritikal. Untuk lingkungan cloud, pastikan
yang terkait dengan bank, terdapat prosedur penyampaian informasi / lingkungan-lingkungan tersebut tidak berjalan di host virtual yang sama.
permintaan approval kepada bank
v) Periksa apakah Penyedia Jasa Pihak Ketiga memiliki contingency/fallback
plan jika terjadi implementasi perubahan material yang tidak berhasil untuk
meminimalisir gangguan bisnis.

vi) Untuk menonaktifkan sistem kritikal, periksa apakah

contingency/fallback plan telah dibuat jika terjadi penonaktifan sistem yang
tidak berhasil.
kan IT & Ketahanan Siber.

rity Questionnaire

Justifikasi hasil termasuk Nama

Target Tanggal Penutupan
dokumen pendukung & rincian Implikasi Rencana Tindakan Status
(dd/Month/yyyy)
temuan untuk hasil 'Not Satisfactory'
Ya Pilih

kami tidak memiliki sertifikasi untuk Pilih

keamanan,database dan sistem operasi. Tapi
kami melakukan arahan terhadap karyawan
agar dapat meminimalisir kejahatan cyber.
kami memisahkan data dengan folder Pilih
terpisah pada server. Dan memberikan hak
akses pada setip foldernya sehingga tidak
semua karyawan dapat membukanya.

untuk karyawan collection,kami Pilih

menggunakan Laptop HP 245 G7, RAM 4GB,
SSD 250,core i5 dan ryzen 3. OS windows 10
home single edition. Z
z

- IT Security Policy (kami menggunakan Pilih

fortigate untuk menerapkan IT Security
Jaringan)
- Antivirus (untuk ini kami menggunakan
Kaspersky)
- Pengembangan Sistem (setiap ada
pengmabangan system, kami harus
mendapatkan persetujuan dari beberapa
pihak terutama BOD member)
- Log dan Pemantauan (aktivitas karyawan
pada penggunaan PC/Laptop kami pantau
dengan tools tambahan)
- Kontrol Akses (setiap pengguna pc dan
system dibatasi dengan akses terbatas
terutama untuk agent collection)
- IT Continuity
- Operasional TI
2 UPS Pilih
Fire extinguisher sudah tersedia dari pihak
gedung beserta detector api dan asap.
Kami juga memiliki CCTV yang dipasang di
beberapa lokasi terutam pada server dan
agent collection.

i) Tidak ada ii) Ya Pilih

tidak ada temuan dalam audit baru-baru ini. Pilih

Ya Pilih

Ya, kami akan mematuhai dan mengikuti Pilih

standard yang di tetapkan.
dalam system yang kami gunakan, user di Pilih
control engan hak akses login. jadi login level
system tidak akan sama satu sama lain.
Dibedakan berdasarka tingkat karyawan.

untuk server system, kami memiliki 2 server Pilih

AWS, 1 server utama dan 1 lagi server test.
Ketika ada pengmbangan kami akan
melakukannya dalam server test terlebih
dahulu sebelu menaikannya ke server utama.

Ya Pilih

Ya Pilih

a. Kaspersky internet security. b. Pilih

Ya, ter-install antivirus license resmi. c. Ya.
Pengecekan berkala, setiap bulan. d. Ya,
mampu mencegah.

System Kami, timeout 10 menit. Pilih

ya Pilih

i) Ya, nama nasabah, nomor kontrak, produk, Pilih

VA, cicilan atai pelunasan(pelunasan
dibawah pokok harus ada form pengajuan
keringanan)
ii) Ya, scan, rename(pencocokan ulang data
dengan assignment list. dan input nama
serta nomor kontrak per area.
i) Ya, IPSec, SSL VPN, dan AWS Pilih
ii) Ya, bisa di andalkan.
Semua sudah di validasi dengan baik.

Ya, kami menggunakan AWS. Sehingga Pilih

untuk keamanan, kami dapat Mencegah,
Mendeteksi,Merespon, dan Remediasi.

Ya, wifi hanya untuk back office. Keaman Pilih

dengan WPA/WPA2-Personal

alur routing kami hanya dengan jaringan Pilih

LAN, jadi jaringan wifi tidak bisa membuka
data dalam server yang di sharing.

2FA Pilih

Ya Pilih

i) ya, sudah diterapkan secara berkala. Ii) Pilih

Ya, konfigurasi sudah aman.

Ya Pilih
Ya Pilih

kami sudah menerapkan SOP terkait hal ini. Pilih

Ya Pilih

a. Tidak Pilih
b.ya
- proteksi Password, USB/Removable media,
email keluar, personal firewall,screen saver
password, dan antivirus

sudah diterapkan sesuai dengan SOP Pilih

perusahaan
a. ya b. Pilih
hardisk, server, dan USB c. ya
d. setiap
hari backup data dan jika kapasitas sudah di
rasa penuh, maka backup yang terdahulu
akan dihapus.

ya, sudah aman dengan mobilerack Pilih

ya, sudah di block Pilih

i) ya, dengan mesin penghancur kertas dan Pilih

penghapusan data degital. Ii) ya,
data di simpan dalam server database dan
shared folder. Iii) ya.
Iv) ya
1) log dan pemantauan sudah kami terapkan Pilih
dengan SOP perusahan yang sudah
ditetapkan.
2) Log minitoring juga sudah sesuai
dengan SOP perusahan.

Ya Pilih

Ya Pilih

Ya Pilih

Ya Pilih

定期的に確認して、使用されているシス Pilih
テムのPatch 最新版が発行したら必ず更
新する

定期的に確認して、使用されているシス Pilih
テムのPatch 最新版が発行したら必ず更
新する
 Pilih

はい Pilih

Antivirusで毎週自動的にスキャンす Pilih
る。PCがONすると自動的に実行される
。

server di backup secara berkala setiap Pilih

harinya, ketika ada insiden maka kami akan
segera menyelesaikannya dan
mendokumentasikan insiden tersebut.

setiap ada penambahan dalam system, kami Pilih

selalu mengujinya terlebih dahulu sebelum
diterbitkan pada system utama.

Pilih

Pilih
kami pastikan untuk pembuatan password Pilih
sesuai kebijakan perusahaan, dimana
password tersebut harus kuat dan
berkualitas. l
kami
sudah membuat user akses matrix sesuai
kebijakan. dengan akses ride write, ecrypt
dan protech password. dan user tersebut
tidak semua karyawan dapat masuk.

setiap pengguna dibuatkan user dengan akses Pilih

terbatas. Untuk
system operasi kami menggunakan password
untuk protech akun administrator.

ya, setiap pengguna kami berikan user Pilih

individu unyuk mengakses vpn.

untuk user vpn kami gunakan otentikasi Pilih

dengan OTP, dan otp tersebut hanya dapat
diberikan oleh/dari IT. Sehingga pengguna
tidak akan bisa sembarangan memberikan ID
karena sudah kami data sebelumnya.

user administrator hanya dapat di buka oleh Pilih

IT team
Ya Pilih

Ya Pilih

Ya, sudah di terapkan Pilih

untuk akses server kami menggunakan vpn Pilih

agar karyawan dapat bekerja dari rumah.
Vpn tersebut kami setting dengan 2FA untuk
keamanan yg lebih baik.

Pilih

i) Ya, sudah di amankan ii) Pilih

Ya, sebelum hak istimewa di buka, tindakan
sperti persetujuan sudah dilakukan.

Guest,sudah di tetapkan dan di kontrol Pilih

dengan baik.

Ya, sudah ada SOP nya Pilih

Ya Pilih
a. tidak, data selalu diletakan dalam data Pilih
center kami. B. area
dilengkapi dengan CCTV dan wajib
menggunakan kartu identitas karyawan.
Satpam gedung
24*7

i) Ya Pilih
ii) Ya
iii) Ya

Ya Pilih

Ya Pilih

Ya, SFTP Pilih

Ya Pilih
setiap kali ada pengembangan system, kami Pilih
selalu melakukannya dalam server test. Jika
sudah baik hasilnya, maka kami terapkan
pada system production atau system utama.
UJI KELAYAKAN IT & KETAHANAN SIBER

Penilaian untuk Tahun #REF! *Terisi otomatis

Tanggal Penilaian #REF! *Terisi otomatis
Nama Penyedia Jasa PT.Turnaround Asset Indonesia *Terisi otomatis

Gambaran Dasar Proses

No. JANGAN COPY PASTE, SILAHKAN PILIH DARI DROPDOWN
Pengiriman & Penerimaan Data

Pihak ketiga memberikan gambaran workflow proses aktivitas antara CIMB Niaga dengan Pihak Ketiga secara detil beserta IT
1 topology, platform, IP Address dan lain-lain

Pilih List informasi sensitive.

Informasi sensitif apa yang akan dikelola oleh Contoh rincian data sensitif dapat dilihat pada Sheet 'Informasi
2 pihak ketiga?
Sensitive.
Pilih
3 Berapa banyak informasi sensitif yang akan
dikelola oleh pihak ketiga?

Proses apa saja yang akan dilakukan oleh pihak Pilih

4 ketiga atas informasi sensitif yang diberikan
oleh Bank?
Pilih
Pengamanan apa saja atas informasi sensitif
5 yang akan dikelola oleh pihak ketiga? Apakah
ada masking / scramble?

Bagaimana metode pengiriman informasi Pilih

6 sensitif yang akan dilakukan oleh Bank kepada
pihak ketiga?
Bagaimana interval pengiriman informasi Pilih
7 sensitif yang akan dilakukan oleh Bank kepada
pihak ketiga?
CATATAN: Untuk kerjasama pihak ketiga yang melibatkan jasa cloud, Checklist Penilaian Risiko Cloud akan diperlukan dan digunakan bersama dengan Checklist Uji Kelayakan IT & Ketahanan Siber.

Third Party Security Ques

JANGAN COPY PASTE, SILAHKAN
PILIH DARI DROPDOWN

Hasil
Catatan Panduan <Untuk 'Satisfactory' dan 'Not
No. Kriteria Bukti Pendukung Applicable', lengkapi kolom G,
Untuk 'Not Satisfactory', lengkapi
kolom G, H, I, J & K>
1.0 IT Organisation, Functions, Policies & Procedures, Network/Data Flow Diagram & Data Centre
Satisfactory

Untuk menilai bahwa terdapat pemisahan fungsi yang jelas di organisasi

Penyedia Jasa Pihak Ketiga dimana tidak ada satu orang yang
Struktur organisasi terkini dan fungsi/tugas/tanggungjawab masing-masing
bertanggungjawab terhadap keseluruhan operasi yang dapat memberikan
kemampuan untuk memodifikasi, mengelak, dan menonaktifkan fitur
a. Apakah ada penggunaan sub-contractors yang dapat mengakses informasi keamanan sistem oleh orang itu sendiri. Ini mungkin termasuk kombinasi
confidential CIMB Niaga?
fungsi seperti:
1.1 Struktur Organisasi IT & Pemisahan Fungsi b. Apakah dilakukan background checks untuk staff yang menangani informasi
confidential CIMB Niaga?
(i) Pengembangan sistem dan operasi teknologi;
c. Apakah setiap staff pihak ketiga diwajibkan menandatangi dokumen NDA
(Non-Disclosure or confidentiality agreement)?
(ii) Administrasi keamanan dan administrasi sistem; dan

(iii) Operasi jaringan dan keamanan jaminan.

Satisfactory

Sertifikasi/kompetensi karyawan yang mendukung aplikasi, jaringan i) Menilai bahwa Penyedia Jasa Pihak Ketiga melatih karyawan secara
keamanan, database, dan sistem operasi. memadai atau karyawan Penyedia Jasa Pihak Ketiga kompeten/terampil
dalam mendukung layanan terkait CIMB Niaga.
a. Apakah pihak ketiga memiliki metode/program kerja untuk meningkatkan
Keterampilan, Kapabilitas, Integritas & kesadaran terhadap keamanan informasi (IT Security Awareness) oleh semua ii) Periksa bahwa Penyedia Jasa Pihak Ketiga telah menetapkan proses
1.2 Pelatihan Personil IT karyawan yang menangani data CIMB Niaga? disipliner untuk karyawan yang melanggar kebijakan IT.

b. Please provide bukti pendukung: iii) Menilai bahwa karyawan Penyedia Jasa Pihak Ketiga menyadari tanggung
- Dokumentasi program security awareness dan / atau SOP 3rd Party Terkait jawab mereka untuk memelihara kontrol akses yang efektif, terutama
Security Awareness terkait keamanan password dan peralatan pengguna.
 Satisfactory

Diagram jaringan untuk sistem utama, backup, dan recovery untuk komponen
IT terkait CIMB Niaga.

a. Mohon dapat dijelaskan bagaimana pemisahan data CIMB Niaga Niaga dari
data customer yang lain, seperti : folder terpisah, server/VM terpisah, hingga Periksa bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan arsitektur
1.3 Diagram Jaringan segmentasi jaringan. aplikasi multi-tier yang membedakan kontrol sesi, logika presentasi, validasi
- Arsitek aplikasi multi-tier b. Mohon tunjukkan proses kendali untuk mencegah data CIMB Niaga dapat
input sisi server, logika bisnis dan akses database.
diakses oleh customer yang lain, misalnya untuk masuk ke PC khusus CIMB
Niaga harus dengan akun dan password tersendiri, dsb.
c. Apakah ada menggunakan network redundancy / high availability?
d. Apabila menggunakan network provider, mohon dapat disebutkan SLA
network provider tersebut.

Satisfactory

Inventarisasi Aset IT dan penanganan termasuk perangkat keras, pernagkat

lunak, dan aplikasi yang digunakan untuk proses terkait CIMB Niaga. Validasi kontrol dan prosedur yang ditetapkan Penyedia Jasa Pihak Ketiga
Inventarisasi dan penanganan aset IT terkait untuk penanganan aset termasuk pengenalan atau pembelian, lisensi,
1.4 Agar diprovide informasi detail dari dokumen inventarisasi yang akan transfer, pemindahan, pelepasan dan penggunaan kembali aset.
CIMB Niaga dimintakan (misal: Tipe (HW/SW), Tipe OS DB, version dari OS, DB, dan
aplikasi yang digunakan untuk mensupport CIMB, termasuk tools/appliance
(jika ada)

Satisfactory

Kebijakan/Prosedur IT/Standar/SOP IT.

a. Prosedur apa saja yang dimiliki oleh pihak ketiga (yang ada pada kolom D),
seperti :
- Kebijakan/SOP IT Security Policy i) Verifikasi bahwa Penyedia Jasa Pihak Ketiga memiliki program IT yang
- Kebijakan/SOP Antivirus tertulis, formal, dan komprehensif yang mencakup standar administratif dan
- Kebijakan Pengembangan Sistem teknis, kebijakan dan prosedur untuk melindungi informasi dan aset
- Kebijakan/SOP Log dan Pemantauan informasi.
- Kebijakan/SOP Insiden Keamanan Informasi
1.5 Program dan Fungsi Teknologi Informasi - Kebijakan/SOP Kontrol Akses, ii) Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fungsi keamanan
- Kebijakan/SOP IT Continuity informasi yang bertanggung jawab atas inisiatif keamanan dalam organisasi,
- Kebijakan/SOP Operasional TI yang akan memantau secara teratur untuk memastikan kepatuhan terhadap
- Kebijakan/SOP Jaringan Komunikasi standar keamanan.

b. Apakah dari seluruh kebijakan dan prosedur tersebut, dilakukan review dan iii) Validasi bahwa terdapat dokumentasi proses dan prosedur IT.
update berkala minimal setahun sekali?

c. Apakah pihak ketiga/vendor bersedia untuk menunjukkan kepada pihak

Bank atas kebijakan dan prosedur tersebut?
 Satisfactory

i) Validasi bahwa Penyedia Jasa Pihak Ketiga secara berkala melakukan

review konfigurasi sistem dan jaringan dan memeriksa integritas data

ii) Pengunjung dikawal leh karyawan

Kebijakan & Prosedur Keamanan Fisik. iii) Catatan kegiatan pengunjung
Please diprovide juga checklist minimum requirement data center yang harus
iv) Pealatan sistem dan jaringan terkunci di dalam kabinet
ada (sebagai tempat penyimpanan server/data bank) yang harus di isi vendor,
misal:
- apakah akses masuk dilenngkapi pengamanan finger screen/access v) Permohonan persetujuan yang tepat bagi pengunjung untuk
card/pengisian log, dsb? mendapatkan akses ke data center
- UPS available (capaicty/jumlahnya berapa)
1.6 Kontrol Lingkungan di Data Center - AC (capacity/jumlahnya berapa) vi) Peralatan sistem dan jaringan terkunci di dalam lemari
- Fire extinguisher
vii) Uninterruptible power supply
- Sensor SUhu
- Detectior Api
viii) Sistem pendingin udara
- Detector Asap
- CCTV ix) Sensor suhu
- Genset, dll
x) Detektor api

xi) Detektor asap

xii) CCTV

Satisfactory
i) Periksa bahwa terdapat gangguan layanan (termasuk kinerja kapasitas)
sejak review uji kelayakan terakhir.
Proyeksi dan perencanaan kapasitas sistem di
1.7 Site Review
masa depan
ii) Validasi bahwa proyeksi dan perencanaan untuk kebutuhan kapasitas
sistem di masa depan telah dilakukan.

2.0 IT Audits (Internal / Eksternal)

Satisfactory

Laporan Audit IT (Internal / Eksternal) Terbaru. i) Verifikasi bahwa vendor melakukan audit IT berkala.
2.1 Review Audit Apakah hasil audit (internal/eksternal) dapat disampaikan kepada pihak Bank?
Jika tidak dapat mohon agar dapat disampaikan temuan yang mempengaruhi ii) Periksa pada tanggal terakhir review dilakukan dan nilai opini auditor,
catatan kaki, dan komentar manajemen yang disertakan.
penyediaan layanan atau data CIMB Niaga.

3.0 Penilaian Independen

Satisfactory
i) Efektivitas kegiatan uji penetrasi.
3.1 Penetration Test Laporan Terbaru Uji Penetrasi Aplikasi/Jaringan ii) Hosting production/test environment harus secara berkala diperiksa oleh
pihak ketiga yang independen untuk mengetahui kerentanan keamanan.

Satisfactory
Validasi bahwa vendor patuh pada persyaratan Payment Card Industry-Data
3.2 Standar Keamanan Informasi ISO27001, SOC2 type 2, PCI-DSS
Security Standard (PCI-DSS) atau standar lain yang ditetapkan.

4.0 System Protection

 Satisfactory
Validasi bahwa terdapat kontrol validasi untuk input ke dalam sistem.
4.1 Validasi Input User Access Policy Kontrol tidak dapat dilewati dengan merubah atau memanipulasi
parameter.

Satisfactory

Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki fasilitas terpisah dan
4.2 Lansekap Sistem Independen Diagram Jaringan tersendiri untuk pengembangan, pengujian dan pengoperasian layanan.

Satisfactory
Periksa bahwa waktu setempat sistem milik Penyedia Jasa Pihak Ketiga
4.3 Sikronisasi Waktu Setempat Site Review harus disinkronisasi dengan server waktu pusat untuk memastikan seluruh
komputer bekerja dengan waktu yang benar.

Satisfactory

i) Menilai bahwa Penyedia Jasa Pihak Ketiga mematuhi checklist hardening

CIMB Niaga dan penandatanganan CIMB Niaga untuk sistem operasi,
aplikasi, dan database
Kepatuhan terhadap Hardening
4.4 Checklist/Infrastructure Configuration CIMB Checklist Hardening
Niaga ii) Menilai bahwa konfigurasi default perangkat keras/perangkat lunak harus
ditingkatkan sebelum implementasi (termasuk namun tidak terbatas pada
password, simple network management protocol (SNMP) community
strings, dan penghapusan akun-akun yang tidak diperlukan.

Satisfactory

Kebijakan Anti Virus.

a. Apakah nama tools antivirus yang digunakan oleh pihak ketiga?

B. Apakah setiap server, laptop/PC telah diinstall antivirus yang berlisensi
4.5 Implementasi Software Antivirus Software resmi? Validasi bahwa perangkat lunak antivirus telah diimplementasikan dan
c. Apakah ada aktivitas berkala untuk memastikan versi antivirus telah pembaruan diterapkan secara teratur.
terupdate?
d. Apakah dengan tools yang dimiliki oleh Pihak ketiga mampu untuk
mencegah serangan berikut ini : instrusion, brute force, spyware, trojan horse,
malware, DoS, DDoS, Spam, spoofing TCP?

Sistem harus memberlakukan sesi timeout dibatasi pada 15 menit atau Satisfactory
4.6 System Session Timeout Checklist Hardening
kurang.
Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga menjalankan secara teratur
4.7 System Configuration/Hardening Checklist Hardening review konfigurasi sistem dan pemeriksaan integritas data.

Satisfactory

i) Apakah vendor melakukan rekonsiliasi hasil cetak terhadap data file?

Berikan penjelasan singkat tentang proses tersebut.
4.8 Rekonsiliasi output file terhadap data file Prosedur & Keamanan Data
ii) Apakah vendor mengarsip gambar yang dipindai dari file
statement/output? Berikan penjelasan singkat tentang proses tersebut.

5.0 Perlindungan Jaringan

 Satisfactory

i) Periksa apakah Penyedia Jasa Pihak Ketiga menginstal firewall antara

jaringan internal dan eksternal serta antara situs yang terpisah secara
geografis untuk menyediakan kontrol akses.
5.1 Firewall Jaringan Diagram Jaringan
ii) Jika kegiatan yang dialihdayakan melibatkan sistem kritikal Bank, pastikan
layanan jaringan untuk sistem kritikal dapat diandalkan dan tidak memiliki
titik kegagalan tunggal/single point of failure (SPOF) untuk melindungi
sistem kritikal terhadap potensi kesalahan jaringan dan ancaman siber.

Satisfactory

Pemasangan perangkat deteksi-pencegahan Verifikasi bahwa Penyedia Jasa Pihak Ketiga menginstal perangkat deteksi-
5.2 intrusi Kebijakan IDS/IPS pencegahan intrusi (termasuk peralatan keamanan denial-of-service
security jika sesuai)

Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan Wi-Fi,
verifikasi bahwa metode enkripsi jaringan Wi-Fi diamankan dengan
5.3 Metode enkripsi jaringan Wi-Fi yang digunakan Kebijakan Wi-Fi memadai.
Lihat Item 5.4

Satisfactory
Periksa apakah Penyedia Jasa Pihak Ketiga menggunakan jaringan
Implementasi Multi-Factor Authentication Wi-FI/VPN melalui segmen/domain jaringan yang sama atau berbeda dan
5.4 Kebijakan Multi Factor nilai risiko dalam menggunakan jaringan Wi-Fi tersebut terutama jika
(MFA)
memungkinkan pengguna untuk mengakses data sensitif di server/peralatan
IT.

Satisfactory
Verifikasi bahwa Penyedia Jasa Pihak Ketiga mengimplementasikan "One-
5.5 Kontrol Akses Jarak Jauh (msial: VPN, Wi-Fi) Kebijakan Keamanan IT Time-Password" (OTP) untuk VPN/Wi-Fi.

Satisfactory

Seluruh port, protokol, dan layanan jaringan yang digunakan oleh aplikasi
5.6 Dokumentasi port dan protokol jaringan Daftar Port dan Protokol Jaringan diidentifikasi dan didokumentasikan. Seluruh layanan yang tidak diperlukan
harus dinonaktifkan.Protocol yang digunakan aman dan ter-encrypt.

Satisfactory

i) Validasi bahwa Penyedia Jasa Pihak Ketiga secara teratur melakukan

review konfigurasi jaringan dan pemeriksaan integritas data.

5.7 Konfigurasi Jaringan Checklist Hardening ii) Perangkat jaringan dikonfigurasikan secara aman sesuai dengan fungsinya
dalam zona keamanan/pengendalian (yaitu jaringan publik/tidak
terpercaya, jaringan semi-pribadi, DMZ) dan perimeter. xiv) Kebijakan
komprehensif yang menguraikan persyaratan pengguna jarak jauh tersedia
dan dikomunikasikan kepada karyawan.

Satisfactory
Pastikan perangkat jaringan yang memadai dan relevan disimpan untuk
5.8 Log Perangkat Jaringan Checklist Log Firewall
keperluan investigasi dan forensik setidaknya selama tiga tahun.
 Satisfactory
Untuk kode aplikasi yang disediakan oleh pihak ketiga, prosedur telah
5.9 Kode Aplikasi Berbahaya Kebijakan Anti Virus/IPS tersedia untuk memastikan bahwa kode tersebut bebas dari kode
berbahaya.

6.0 Manajemen Perubahan IT

Satisfactory
Verifikasi bahwa seluruh peribahan terhadap sistm dan fasilitas Penyedia
6.1 Proses Manajemen Perubahan Kebijakan & Prosedur Manajemen Perubahan IT Jasa Pihak Ketiga harus melalui proses otorisasi manajemen dan melalui
proses manajemen perubahan yang tepat.

Satisfactory
Seluruh data produksi sensitif yang digunakan dalam lingkungan
6.2 Manajemen Data Produksi Kebijakan Manajemen Perubahan pengembangan dan pengujian harus didokumentasikan, disamarkan, dan
disetujui oleh pemilik data, pemilik sistem dan diotorisasi oleh D-1 IT.

7.0 Manajemen Data & Pembersihan/Penghapusan/Penghancuran

Satisfactory

i) Validasi jenis data yang akan diproses dan disimpan oleh vendor.
Pengelolaan Data, Keamanan Data, Enkripsi Data, Diagram Jaringan, User
Access Matrix & Site Review. ii) Periksa lokasi data center jika ada.
a. Apakah staff pihak ketiga dapat mengakses sistem yang berisi data CIMB
iii) Verifikasi bahwa data nasabah CIMB diklasifikasikan sebagai
Niaga Niaga menggunakan device pribadi? bila diperbolehkan, pengamanan
data apa yang diterapkan? "Confidential" oleh skema klasifikasi data Penyedia Jasa Pihak Ketiga.
7.1 Pemeliharaan Data (Perlindungan Data CIMB b. Apakah komputer/PC/Laptop/Device yang digunakan karyawan telah
Niaga) iv) Periksa apakah Penyedia Jasa Pihak Ketiga telah memisahkan data CIMB
dilakukan setting konfigurasi keamanan seperti:
Niaga dari data klien lain.
- proteksi password, USB / removable media, email keluar,
- personal firewall di masing-masing laptop/PC karyawan, v) Tentukan apakah ada personil yang ditunjuk yang telah ditugaskan
- screen saver dengan password apabila iddle untuk waktu tertentu, menangani data CIMB Niaga.
- installasi antivirus
- dsb

Satisfactory

i) Verifikasi bahwa kebijakan retensi dan penyimpanan catatan telah dibuat

dan ditaati untuk dokumen, media komputer (kaset, disket, dll), data
input/output dan dokumentasi sistem.

Media/perangkat penyimpanan removable 1) Kebijakan/prosedur removable media atau Kebijakan Keamanan IT ii) Verifikasi bahwa kebijakan penghancuran dan pembuangan catatan telah
dibuat dan ditaati untuk media komputer (kaset, disket, dll), data
7.2 media (misal: kaset, disket, USB, NAS, harddisk, 2) Kebijakan Distribusi Data melalui removable media/perangkat
dll.) penyimpanan input/output dan dokumentasi sistem.

iii) Verifikasi bahwa distribusi internal atau eksternal Penyedia Jasa Pihak
Ketiga dari segala jenis media dikontrol secara ketat. Contohnya media
dienkripsi dan dikirim melalui kurir yang aman atau metode pengiriman
lainnya yang dapat dilacak secara akurat.
 Satisfactory

Kebijakan Backup Data.

a. Apakah terdapat testing Backup? i) Validasi bahwa backup data statement nasbah CIMB Niaga oleh Penyedia
b. Apakah media penyimpanan data backup yang digunakan, misalnya Jasa Pihak Ketiga terenkripsi
Prosedur backup data (jika backup data eksternal hardisk, server, USB, dsb.
7.3 diperlukan) c. Apakah media backup tersebut memiliki pengelolaan keamanan yang ii) Verifikasi bahwa salinan backup sistem dan data Penyedia Jasa Pihak
memadai, seperti ruang penyimpnan akses media backup, pihak yang ditunjuk Ketiga telah diambil dan disimpan di luar lokasi dengan jarak yang memadai
untuk mengelola media backup tersebut, dsb. dari lokasi produksi dan untuk jangka waktu yang memadai.
d. Berapa lama Retensi data sensitif yang disimpan oleh Pihak ketiga
tersebut?

Satisfactory
Verifikasi bahwa seluruh media Penyedia Jasa Pihak Ketiga yang berisi data
7.4 Keamanan Data (Statis dan Dalam Transit) Data Security/ Data Encryption statement nasabah harus diamankan secara fisik saat dalam perjalanan dan
saat dalam keadaan tidak bergerak.

Satisfactory
Validasi bahwa Penyedia Jasa Pihak Ketiga memiliki kontrol keamanan untuk
7.5 Keamanan Penyalinan Data Kebijakan & Prosedur Keamanan Penyalinan Data mencegah penyalinan data melalui port USB, jaringan, CD/DVD Writer,
eMail, akses internet, dll.

Satisfactory

i) Data CIMB Niaga harus dimusnahkan berdasarkan durasi yang disepakati

antara CIMB Niaga & Penyedia Jasa, tidak terbatas dalam bentuk hardcopy
maupun softcopy, contoh: data yang dikirimkan melalui email, data yang
disimpan pada PC / server di lokasi vendor, data pada staging server/SFTP,
Kebijakan & Prosedur Pemusnahan Data. dan lainnya.

Identifikasi data CIMB di pihak ketiga disimpan dimana saja (data rest), ie: di ii) Verifikasi bahwa prosedur Penyedia Jasa Pihak Ketiga telah ditetapkan
server FTP, di server database, di archive email, di server aplikasi, di aplikasi, untuk semua jenis media (misal kertas, microfiche, kaset dan disket
7.6 Pemusnahan/Pembersihan/Penghancuran di USB, harddisk, Shared Folder pihak ketiga? Pastikan penghapusan secara komputer).
Data berkala sudah dilakukan di semua titik data
iii) Pemusnahan laporan yang tidak diinginkan (dengan data nasabah CIMB
Tambahan bukti pendukung: Niaga). Review proses bagaimana laporan yang tidak diinginkan dengan
-diagram flow proses pengiriman / pengolahan data bank di pihak ketiga data nasabah CIMB Niaga dimusnahkan. Laporan yang diinginkan harus
-berita acara pemusnahan data dimusnahkan/dihancurkan tepat waktu.

iv) Setiap kali pelaksanaan pemusnahan / pembersihan / penghancuran

data wajib dilengkapi dengan Berita Acara yang ditandatangani oleh seluruh
pihak-pihak yang terkait.

8.0 Manajemen Log

 Satisfactory

i) Periksa bahwa sistem yang berisi data CIMB Niaga dapat memberikan
audit trail kegiatan pengguna dan tugas administratif (hak istimewa) dan file
audit tahan terhadap gangguan/tamper resistant.

ii) Inisialiasi log audit.

iii) Log audit harus direview secara berkala.

8.1 Kapabilitas Audit Log/Trail 1) Kebijakan Log dan Pemantauan iv) Pastikan fungsi log audit diaktifkan.
2) Log Monitoring Checklist/SIEM
v) Verifikasi bahwa untuk audit trail, cap tanggal dan waktu pada seluruh
event yang dapat diaudit disinkronisasi menggunaan tanggal dan jam
sistem.

vi) Validasi bahwa sistem yang berisi data CIMB Niaga harus didesain untuk
menangkap, memelihara dan mencegah tampering atau perubahan catatan
yang tidak sah.

Validasi bahwa masuk ke dalam kegiatan pengguna/tugas hak istimewa Satisfactory

8.2 Review Kegiatan Pengguna
Pemeliharaan dan peningkatan logs untuk
8.3
perangkat keras dan/atau perangkat lunak
Kebijakan Log dan Pemantauan
Kebijakan Log dan Pemantauan
administratif Penyedia Jasa Pihak Ketiga harus dibuat, dipantau, dan di-
review tepat waktu.
Satisfactory
Periksa apakah pemeliharaan da upgrade logs disimpan untuk perangkat
keras dan/atau perangkat lunak.

Satisfactory
i) Log akses sistem disimpan dengan cara yang aman dengan akses terbatas
dan dilindungi dari perubahan atau penghapusan
8.4 Keamanan dan pemeliharaan log akses sistem Kebijakan Log dan Pemantauan
ii) Log akses sistem dipelihara dalam untuk jangka waktu yang sesuai (baik
online maupun diarsipkan)
Satisfactory
Pastikan bahwa setiap pengapusan file/folder pada tingkat OS harus
8.5 System-Level Objects Kebijakan Log dan Pemantauan
dimonitor dan kegiatan tersebut direkam dalam log sistem.

9.0 Manajemen Patch

Satisfactory
9.1 Patch Aplikasi Manajemen Patch Verifikasi bahwa patch aplikasi kritikal dan keamanan sistem telah
diterapkan dan up-to-date.

Validasi bahwa patch sistem operasi dan keamanan kritikal telah diterapkan Satisfactory
9.2 Patch keamanan/sistem operasi kritikal Manajemen Patch dan up-to-date.
10.0 IT Security Monitoring / Surveillance
 Satisfactory

i) Kejadian spesifik harus dipantau dan ditangkap.

ii) Melaporkan kekurangan apapun.

Pemantauan Kejadian
10.1 - Pematauan Aktivitas Jaringan
- Pemantauan Insiden Keamanan
Kebijakan Log and Monitoring, & Log Monitoring checklist (Include OS,
Application & Network)
iii) Verifikasi bahwa aktivitas jaringan Penyedia Jasa Pihak Ketiga dimonitor
(secara manual dan/atau menggunakan alat otomatis) melalui review log
secara berkala.
iv) Verifikasi bahwa insiden keamanan Penyedia Jasa Pihak Ketiga dipantau
termasuk pelanggaran keamanan, fraud internal. aktivitas karyawan yang
tidak terotorisasi/tidak dapat diterima dan aktivitas mencurigakan lainnya.

v) Deteksi dan investigasi upaya-upaya akses logis yang tidak valid.

Satisfactory
Verifikasi bahwa kontrol sudah ada untuk Penyedia Jasa Pihak Ketiga untuk
10.2 Pencegahan Intrusi Berbahaya Kebijakan Anti Virus & IDS/IPS mencegah pengenalan atau penyebaran kode berbahaya. Dapatkan daftar
dan nilai kesesuaiannya.
Satisfactory
Periksa apakah ada mekanisme peringatan yang digunakan untuk
10.3 Mekanisme Peringatan Kebijakan IT / IT Security memberitahu individu yang ditunjuk tentang kejadian keamanan IT.

11.0 Pengelolaan Insiden

Satisfactory

i) Proses eskalasi insiden keamanan informasi ke CIMB Niaga.

ii) Konfirmasi apakah Penyedia Jasa Pihak Ketiga telah menetapkan dan
mendokumentasikan respons dan penanganan insiden?
11.1 Deteksi Insiden dan Penanganan Respons Kebijakan Insiden Keamanan Informasi iii) Validasi bahwa instruksi operasi Penyedia Jasa Pihak Ketiga untuk
pengelolaan fasilitas pemrosesa termasuk persyaratan respons insiden
seperti eskalasi melalui call tree, metode untuk menangani kesalahan,
menghasilkan dan menangani output khusus serta me-restart dan me-
recover sistem.

Satisfactory
Periksa apakah vendor menguji rencana respons yang ditentukan
11.2 Rencana Respon Kebijakan Insiden Keamanan Informasi
sebelumnya terkait dengan insiden keamanan?

Satisfactory
i) Periksa apakah prosedur pengelolaan ancaman Penyedia Jasa Pihak Ketiga
11.3 Prosedur Pengelolaan Ancaman Kebijakan Insiden Keamanan Informasi telah diterapkan.

ii) Metode potensi kerentanan teknis diperoleh, dievaluasi, dan ditanggapi.

12.0 Logical Access Control

12.1 Kebijakan Kontrol Akses Kebijakan Kontrol Akses Apakah vendor memiliki kebijakan kontrol akses? Satisfactory
 Satisfactory

i) Apakah ada proses pengelolaan akses di Penyedia Jasa Pihak Ketiga? Misal
pendaftaran, pembuatan, penghentian, otorisasi, pemeliharaan dan proses
reset password.

ii) Akses keamanan yaitu sistem bawaan dan/atau tambahan apapun untuk
mengelola password harus memastikan penggunaan password yang kuat
dan berkualitas. Pastikan kekuatan password sesuai dengan kebijakan
regulator & internal IT/persyaratan standar.

12.2 Proses Pengelolaan Akses Kebijakan Kontrol Akses iii) Menilai apakah hak akses terikat waktu yang membatasi akses ke
periode tertentu telah ditetapkan.

iv) Periksa apakah user access matrix yang menguraikan hak akses, peran,
atau kewenangan pemberi otorisasi dan pemberi persetujuan, telah dibuat.

v) Periksa apakah akses diberikan secara tepat kepada personil Penyedia

Jasa Pihak Ketiga termasuk akun/ID yang memiliki hak istimewa.

vi) Tentukan ID usang yang masih dipertahankan dalam sistem.

Satisfactory
i) Otentikasi pengguna dan administrator internal untuk akses sistem.
12.3 Otorisasi Akses Sistem Access Control Matrix (ACM) ii) Apa jenis metode otentikasi yang didukung? Review kecukupan metode
otentikasi.

Satisfactory
Access Control Matrix (ACM).

Apabila terdapat aplikasi pihak ketiga yang digunakan untuk mengolah data Menilai apakah setiap pengguna diberikan akun individu, dimana akan
12.4 Otentikasi Akun Pengguna
bank / menjalankan proses terkait bank secara ekslusif, maka agar dimintakan digunakan untuk otentikasi ke aplikasi.
bukti pendukung tambahan:
- list user ID yang terdaftar di aplikasi tersebut

Satisfactory

12.5 Larangan Berbagi ID Access Control Matrix (ACM) Batasi dan kendalikan pembagian user ID dan password.

Satisfactory
Access Control Matrix (ACM). Alokasi hak istimewa harus dibatasi, dikontrol dan akses diberikan
12.6 Alokasi dan penggunaan hak akses istimewa berdasarkan tanggung jawab pekerjaan dan dasar kebutuhan untuk
Tambahan bukti pendukung:
memiliki.
- Kebijakan/SOP terkait Pengelolaan Privileged User ID / User Administrator

Satisfactory
12.7 Profil Pengguna Access Control Matrix (ACM) Pengelompokan atau profil pengguna dalam suatu sistem harus sesuai
dengan tugas dan tanggung jawab pekerjaan.
 Satisfactory
i) Hanya karyawan ditunjuk yang memiliki akses ke layanan dan OS aplikasi.
12.8 Akses karyawan yang ditunjuk ke layanan Access Control Matrix (ACM)
aplikasi dan OS
ii) Akses ke layanan dan OS aplikasi.

Satisfactory
12.9 Pemisahan tugas pengguna terhadap Access Control Matrix (ACM) Pemisahan tugas harus dibedakan dengan jelas antara mereka yang
pengelolaan akses menggunakan aplikasi dan mereka yang mengelola akses.

Satisfactory

i) Terdapat proses untuk mengajukan dan menyetujui koneksi jarak jauh ke

server dan desktop

Akses Jarak Jauh. ii) Akses jarak jauh dikontrol menggunakan kontrol otentikasi
12.10 Akses Jarak Jauh
Tambahan bukti pendukung: iii) Akun pengguna akses jarak jauh direview pada frekuensi yang sesuai
- SOP /Ketentuan pihak ketiga mengenai remite access
iv) Kerahasiaan informasi sensitif dijamin selama konektivitas jarak jauh
menggunakan teknologi yang sesuai seperti enkripsi, teknologi VPN client,
dll.

Satisfactory

Kontrol keamanan untuk peralatan dan informasi yang digunakan di mobile

computer (smartphone, blackberries, dll) telah ditetapkan termasuk:
12.11 Kontrol untuk komputer seluler Kebijakan End User penggunaan peralatan yang diizinkan dan keamanan peralatan tersebut
(misal PIN, data terenkripsi, sertifikat digital, dll), keamanan dan backup
informasi diambil atau dilakukan di luar kantor, dan menggunakan peralatan
perlindungan virus.

Satisfactory
i) Akun dan password hak istimewa harus disimpan dan dikendalikan
dengan tepat.
12.12 Pengaturan akun istimewa Kebijakan Akses Kontrol ii) Persetujuan formal harus diperoleh sebelum menggunakan akun dengan
hak istimewa. Seluruh tindakan yang diambil oleh setiap individu dengan
akar atau administratif hak istimewa perlu dipantau dan direview.

User ID sementara, umum, tamu, atau anonim terbatas penggunaannya dan Satisfactory
12.13 Pengguna Anonim Kebijakan Akses Kontrol dikontrol dengan ketat.
Satisfactory
Terdapat prosedur untuk mengubah hak akses pengguna ketika pengguna
12.14 Proses perubahan dan pencabutan akses Kebijakan Akses Kontrol berubah peran dalam organisasi dan mencabut hak ketika pengguna
meninggalkan organisasi.

Pemisahan logis layanan aplikasi untuk klien Periksa apakah layanan aplikasi untuk nasabah yang berbeda dipisahkan Satisfactory
12.15 Diagram Jaringan
yang berbeda secara logis.
13.0 Kontrol Akses Fisik
 Satisfactory

Kebijakan Keamanan Fisik.

a. Apakah terdapat server yang berisi data CIMB Niaga yang ditempatkan
diluar Data Center? Jika ada bagaimana pengamanannya, seperti :
- Apakah terdapat akses kontrol untuk mencegah sembarang orang masuk
(restricted area)?
13.1 Lokasi Konsol Sistem - Apakah terdapat satpam 24*7? Konsol sistem terletak di area yang aman dan terkendali.
B. Bagaimana pengamanan ruang kerja staff yang mengelola dan mengakses
data CIMB niaga, seperti :
- Apakah ada dedicated area untuk mengakses data CIMB Niaga?
- Apakah area tersebut dilengkapi dengan CCTV untuk monitoring area
tersebut?
- Apakah staff diwajibkan menggunakan kartu identitas karyawan?

Satisfactory

i) Pastikan kamera CCTV terpasang di lokasi strategis di kantor-kantor

Penyedia Jasa Pihak Ketiga untuk memudahkan review ketika dibutuhkan.
Putar ulang beberapa gambar untuk mengkonfirmasi apakah sudah diambil
dengan benar.

13.2 CCTV dan Kartu Akses Kebijakan Keamanan Fisik/Kebijakan CCTV ii) Periksa apakh akses fisik melalui kartu akses/kunci fisik dikelola dan dan
diberikan dengan tepat berdasarkan kebutuhan. Pengecekan sampel log
kartu akses untuk menentukan kecukupan.

iii) Periksa apakah pengunjung selalu didampingi oleh personil Penyedia Jasa
Pihak Ketiga di kantor Penyedia Jasa Pihak Ketiga. Daftar pengunjung harus
dikelola di area yang aman untuk tujuan pelacakan.

14.0 Enkripsi
Menilai bahwa kunci perangkat keras, kunci perangkat lunak, token dan Satisfactory
14.1 Infrastructure key encryption Kebijakan Enkripsi Data password Penyedia Jasa Pihak Ketiga yang digunakan untuk enkripsi data
harus diamankan.
Satisfactory
14.2 Enkripsi Data Sensitif Kebijakan Enkripsi PIN, password dan data sensitif nasabah lainnya harus dienkripsi saat dalam
perjalanan dan saat dalam keadaan tidak bergerak.

Satisfactory
Metode aman untuk interface, pertukaran dan sinkronisasi antara aplikasi
14.3 Secure Interfacing Method Keamanan Data dan aplikasi/perangkat lain hanya boleh dilakukan melalui koneksi
terenkripsi misalnya HTTPS untuk berbasis web, SFTP, dll.

15.0 IT Disaster Recovery & Transmisi Data

Satisfactory

Disaster Recovery Plan. i) Verifikasi bahwa pengelolaan operasional di lokasi utama Penyedia Jasa
Pihak Ketiga sama dengan di lokasi alternatif Penyedia Jasa Pihak Ketiga
Pengelolaan operasi di situs utama dan situs
15.1 alternatif tambahan bukti pendukung:
- dokumentasi Testing DR (khusus aplikasi/ proses yang terkait dengan CIMB - ii) Verifikasi bahwa prosedur recovery data Penyedia Jasa Pihak Ketiga telah
jika ada) dibuat dan didokumentasikan.

16.0 Application Development Process/Methodology (SDLC)

 Satisfactory

Pertimbangkan area berikut jika berlaku dan catat setiap perbedaan:

i) Proses/metodologi pengembangan aplikasi yang terdokumentasi formal

(SDLC) telah tersedia. Pastikan kebijakan/praktik terkait direview secara
berkala.

ii) Pastikan pengujian yang relevan (seperti integration testing, UAT dan
SDLC. application security testing) dijalankan sebelum deployment dengan
prosedur otorisasi yang tepat.
Apakah ada penggunaan data production untuk proses testing?
iii) Tentukan apakah setiap perubahan source code tunduk pada review
Serta, untuk point iii, agar dijelaskan lebih detail untuk review source code source code yang memadai.
Proses/Metodologi Pengembangan Aplikasi
16.1 (SDLC) yang bagaimana yang harus dipatuhi oleh pihak ketiga.
iv) Pastikan Penyedia Jasa Pihak Ketiga secara fisik telah memisahkan
Tambahan panduan: lingkungan produksi dari lingkungan pengembangan dan lingkungan
- pastikan untuk setiap pengembangan / perubahan / pengembangan sistem pengujian untuk sistem kritikal. Untuk lingkungan cloud, pastikan
yang terkait dengan bank, terdapat prosedur penyampaian informasi / lingkungan-lingkungan tersebut tidak berjalan di host virtual yang sama.
permintaan approval kepada bank
v) Periksa apakah Penyedia Jasa Pihak Ketiga memiliki contingency/fallback
plan jika terjadi implementasi perubahan material yang tidak berhasil untuk
meminimalisir gangguan bisnis.

vi) Untuk menonaktifkan sistem kritikal, periksa apakah

contingency/fallback plan telah dibuat jika terjadi penonaktifan sistem yang
tidak berhasil.
kan IT & Ketahanan Siber.

rity Questionnaire

Justifikasi hasil termasuk Nama

Target Tanggal Penutupan
dokumen pendukung & rincian Implikasi Rencana Tindakan Status
(dd/Month/yyyy)
temuan untuk hasil 'Not Satisfactory'
Ya Pilih

kami tidak memiliki sertifikasi untuk Pilih

keamanan,database dan sistem operasi. Tapi
kami melakukan arahan terhadap karyawan
agar dapat meminimalisir kejahatan cyber.
kami memisahkan data dengan folder Pilih
terpisah pada server. Dan memberikan hak
akses pada setip foldernya sehingga tidak
semua karyawan dapat membukanya.

untuk karyawan collection,kami Pilih

menggunakan Laptop HP 245 G7, RAM 4GB,
SSD 250,core i5 dan ryzen 3. OS windows 10
home single edition. Z
z

- IT Security Policy (kami menggunakan Pilih

fortigate untuk menerapkan IT Security
Jaringan)
- Antivirus (untuk ini kami menggunakan
Kaspersky)
- Pengembangan Sistem (setiap ada
pengmabangan system, kami harus
mendapatkan persetujuan dari beberapa
pihak terutama BOD member)
- Log dan Pemantauan (aktivitas karyawan
pada penggunaan PC/Laptop kami pantau
dengan tools tambahan)
- Kontrol Akses (setiap pengguna pc dan
system dibatasi dengan akses terbatas
terutama untuk agent collection)
- IT Continuity
- Operasional TI
2 UPS Pilih
Fire extinguisher sudah tersedia dari pihak
gedung beserta detector api dan asap.
Kami juga memiliki CCTV yang dipasang di
beberapa lokasi terutam pada server dan
agent collection.

i) Tidak ada ii) Ya Pilih

tidak ada temuan dalam audit baru-baru ini. Pilih

Ya Pilih

Ya, kami akan mematuhai dan mengikuti Pilih

standard yang di tetapkan.
dalam system yang kami gunakan, user di Pilih
control engan hak akses login. jadi login level
system tidak akan sama satu sama lain.
Dibedakan berdasarka tingkat karyawan.

untuk server system, kami memiliki 2 server Pilih

AWS, 1 server utama dan 1 lagi server test.
Ketika ada pengmbangan kami akan
melakukannya dalam server test terlebih
dahulu sebelu menaikannya ke server utama.

Ya Pilih

Ya Pilih

a. Kaspersky internet security. b. Pilih

Ya, ter-install antivirus license resmi. c. Ya.
Pengecekan berkala, setiap bulan. d. Ya,
mampu mencegah.

System Kami, timeout 10 menit. Pilih

ya Pilih

i) Ya, nama nasabah, nomor kontrak, produk, Pilih

VA, cicilan atai pelunasan(pelunasan
dibawah pokok harus ada form pengajuan
keringanan)
ii) Ya, scan, rename(pencocokan ulang data
dengan assignment list. dan input nama
serta nomor kontrak per area.
i) Ya, IPSec, SSL VPN, dan AWS Pilih
ii) Ya, bisa di andalkan.
Semua sudah di validasi dengan baik.

Ya, kami menggunakan AWS. Sehingga Pilih

untuk keamanan, kami dapat Mencegah,
Mendeteksi,Merespon, dan Remediasi.

Ya, wifi hanya untuk back office. Keaman Pilih

dengan WPA/WPA2-Personal

alur routing kami hanya dengan jaringan Pilih

LAN, jadi jaringan wifi tidak bisa membuka
data dalam server yang di sharing.

2FA Pilih

Ya Pilih

i) ya, sudah diterapkan secara berkala. Ii) Pilih

Ya, konfigurasi sudah aman.

Ya Pilih
Ya Pilih

kami sudah menerapkan SOP terkait hal ini. Pilih

Ya Pilih

a. Tidak Pilih
b.ya
- proteksi Password, USB/Removable media,
email keluar, personal firewall,screen saver
password, dan antivirus

sudah diterapkan sesuai dengan SOP Pilih

perusahaan
a. ya b. Pilih
hardisk, server, dan USB c. ya
d. setiap
hari backup data dan jika kapasitas sudah di
rasa penuh, maka backup yang terdahulu
akan dihapus.

ya, sudah aman dengan mobilerack Pilih

ya, sudah di block Pilih

i) ya, dengan mesin penghancur kertas dan Pilih

penghapusan data degital. Ii) ya,
data di simpan dalam server database dan
shared folder. Iii) ya.
Iv) ya
1) log dan pemantauan sudah kami terapkan Pilih
dengan SOP perusahan yang sudah
ditetapkan.
2) Log minitoring juga sudah sesuai dengan
SOP perusahan.

Ya Pilih

Ya Pilih

Ya Pilih

Ya Pilih

secara berkala kami cek dan kami lakukan Pilih

update jika ada patch terbaru dari system
yang kami gunakan.

secara berkala kami cek dan kami lakukan Pilih

update jika ada patch terbaru dari system
yang kami gunakan.
 Pilih

Ya Pilih

dengan anti virus kami melakukan Pilih

pemindaian secara otomatis setiap
minggunya. Dan untuk running sudah
otomatis ketika PC di hidupkan.

server di backup secara berkala setiap Pilih

harinya, ketika ada insiden maka kami akan
segera menyelesaikannya dan
mendokumentasikan insiden tersebut.

setiap ada penambahan dalam system, kami Pilih

selalu mengujinya terlebih dahulu sebelum
diterbitkan pada system utama.

Pilih

Pilih
kami pastikan untuk pembuatan password Pilih
sesuai kebijakan perusahaan, dimana
password tersebut harus kuat dan
berkualitas. l
kami sudah
membuat user akses matrix sesuai kebijakan.
dengan akses ride write, ecrypt dan protech
password. dan user tersebut tidak semua
karyawan dapat masuk.

setiap pengguna dibuatkan user dengan Pilih

akses terbatas.
Untuk system operasi kami menggunakan
password untuk protech akun administrator.

ya, setiap pengguna kami berikan user Pilih

individu unyuk mengakses vpn.

untuk user vpn kami gunakan otentikasi Pilih

dengan OTP, dan otp tersebut hanya dapat
diberikan oleh/dari IT. Sehingga pengguna
tidak akan bisa sembarangan memberikan
ID karena sudah kami data sebelumnya.

user administrator hanya dapat di buka oleh Pilih

IT team

Ya Pilih
Ya Pilih

Ya, sudah di terapkan Pilih

untuk akses server kami menggunakan vpn Pilih

agar karyawan dapat bekerja dari rumah.
Vpn tersebut kami setting dengan 2FA untuk
keamanan yg lebih baik.

Pilih

i) Ya, sudah di amankan ii) Pilih

Ya, sebelum hak istimewa di buka, tindakan
sperti persetujuan sudah dilakukan.

Guest,sudah di tetapkan dan di kontrol Pilih

dengan baik.
Ya, sudah ada SOP nya Pilih

Ya Pilih
a. tidak, data selalu diletakan dalam data Pilih
center kami. B. area
dilengkapi dengan CCTV dan wajib
menggunakan kartu identitas karyawan.
Satpam gedung
24*7

i) Ya ii) Ya Pilih
iii) Ya

Ya Pilih

Ya Pilih

Ya, SFTP Pilih

Ya Pilih
setiap kali ada pengembangan system, kami Pilih
selalu melakukannya dalam server test. Jika
sudah baik hasilnya, maka kami terapkan
pada system production atau system utama.
workflow:
pemindahan data
- Transfer data via ftp (server ftp bisa dari kami juga bisa dari pihak CIMB)
1.
- Transfer data via email jika di mungkinkan
- ip address : 103.138.46.35
Upload data
2. - setelah data di pindahkan ke server kami, selanjutnya data tersebut akan kami upload
kedalam system.
Collect
3.
- Agent kami, akan langsung melakukan collect setelah data masuk ke dalam system
 folder terpisah dan Akses terbatas pada sharing folder dalam server.

1.3

Hardware yang di gunakan

1.4

Antivirus

IT Security Policy
 Alur Permintaan Pengembangan System

1.5

Log dan pemantauan

SOP TI
 Pintu Ruang Server

Rak Server 1

1.6

Rak Server 2
 User Access Policy

4.1

Lansekap Sistem Independen

4.2

Sikronisasi Waktu Setempat

4.3
4.3
 System Session Timeout

4.6

Diagram jaringan

5.1

Kebijakan IDS/IPS (diterapkan melalui AWS)

5.2
 One-Time-Password" (OTP) untuk VPN

5.5

Daftar Port dan Protokol Jaringan

5.6

Konfigurasi Jaringan

5.7
 Kebijakan Anti Virus/IPS

5.8

Kebijakan & Prosedur Manajemen Perubahan IT

5.9

Pengelolaan Data, Keamanan Data, Enkripsi Data, Diagram Jaringan, User

Access Matrix & Site Review.
- Keamanan data (Removable Blokir)

7.1 &
7.2
7.1 &
7.2
User acces matrix

screen saver dengan password apabila iddle untuk waktu tertentu

media backup usb

Backup Server

7.3
 Keamanan Data
data fisik tersimpan aman dalam mobile rack dan tidak semua orang bisa
masuk. Pintu ruang juga sudah di lengkapi dengan kunci akses.

7.4

Keamanan Penyalinan Data

setiap removable sudah di blokir, dan perlu ijin dan persetujuan untuk dapat
membukanya

7.5

Pemusnahan/Pembersihan/Penghancuran Data
Mesin penghancur

7.6
 7.6

Kapabilitas Audit Log/Trail

Log Minitoring

8.1

8.2-8.5 Kebijakan Log dan Pemantauan

semua log dan pemantauan sudah di atur dan ditetapkan dalam SOP
perusahan. Pemeliharaan perangkat keras dan lunak (hardware&Software)
sudah terjaga dan tersimpan dengan aman.
IT Security Monitoring / Surveillance
Monitoring agent

10.1
Pemantauan Aktivitas Jaringan
 Pencegahan Intrusi Berbahaya

10.2

Kebijakan Keamanan Fisik

CCTV

13.0
Bagian dari sensor suhu
1.6 detector api

Kepatuhan terhadap Hardening

4.4 Checklist/Infrastructure Configuration
CIMB Niaga

Seluruh data produksi sensitif yang

digunakan dalam lingkungan
6.2 pengembangan dan pengujian harus
didokumentasikan, disamarkan, dan
disetujui oleh pemilik data, pemilik sistem
dan diotorisasi oleh D-1 IT.
No A. Data personal Nasabah No B. Data Finasial Nasabah No
1 No KTP/SIM/Paspor/KK 1 User ID Nasabah 1
2 No NPWP Personal/Korporat 2 No Rekening 2
3 Nama 3 No CIF
4 Alamat 4 Nilai Transaksi Payroll Karyawan CN
5 No telepon/Handphone
6 email Address
7 Nama Ibu Kandung
8 Tanggal Bulan Tahun Lahir/Umur
9 Susunan Direksi & Komisaris
10 Susunan Pemegang Saham
C. Data Pemegang Kartu No D. Data Karakteristik Personal No
Primary Account Number (PAN) 1 Data Biometrik 1
Nama Pemegang Kartu (Cardholder Name) 2 Signature (Tanda Tangan)
E. Otentikasi Personal
Confidential Authentication Data (mis: Password, PIN, Paycode, dll)