Manajemen Personalia dan Proses

No Panduan Kepatuhan

Apakah ada bagan organisasi Pusat Data dengan struktur

1
organisasi dan deskripsi pekerjaan.
Apakah setiap anggota staf memiliki deskripsi pekerjaan yang
2
terdokumentasi?
Apakah personel di pusat data mengetahui fungsi pekerjaan
3
mereka?
Apakah risiko yang terkait dengan proses pusat data teridentifikasi
4
dan pengendalian diterapkan?

Organisasi dan Manajemen

No Panduan Kepatuhan

Apakah ada kebijakan dan panduan pengoperasian pusat data

1
standar?
Apakah kebijakan dan panduan pengoperasian pusat data disetujui
2
oleh manajemen senior?
Apakah kebijakan operasional cukup deskriptif untuk memandu
3
pengelolaan dan pengoperasian pusat data?
Apakah operator pusat data mengetahui keberadaan panduan
4
pengguna?
Apakah ada mekanisme untuk meninjau manual pengoperasian
secara teratur untuk mencerminkan perubahan dan peningkatan
5
dalam operasi pusat data dan untuk memverifikasi bahwa praktik-
praktik terbaik telah diikuti?
Apakah buku catatan operator dipelihara untuk mencatat kejadian
6
penting dan tindakan perbaikan di pusat data?
Apakah setiap shift kerja di pusat data memiliki laporan serah
terima yang ditulis penyelesaian shift mereka pada aktivitas yang
7
dilakukan dan masalah utama untuk membantu kelancaran
pengambilalihan hingga shift berikutnya?
Apakah semua peristiwa dan proses Akhir Hari (EOD) atau Akhir
8 Bulan (EOM). untuk mencegah pelanggaran sistem, penindasan
tindakan jahat, atau layanan kegagalan dilacak?
Apakah aktivitas dan proses EOD/EOM ditinjau secara rutin untuk
9 memastikan tidak ada masalah layanan atau tindakan berbahaya
yang terlewatkan?
Apakah insiden yang dicatat selama pemrosesan EOD/EOM segera
10 diteruskan kepada orang administrasi yang relevan untuk
diselesaikan?
Pemanfaatan Kapasitas
No Panduan Kepatuhan

Apakah upaya manajemen kapasitas dan perencanaan

1
diidentifikasi dan didokumentasikan?
Apakah perangkat lunak pemantauan sumber daya diinstal untuk
2 memantau kapasitas penggunaan sumber daya di semua server
yang relevan, terutama sistem kritis dan aplikasi?

Apakah laporan penggunaan sumber daya sistem ditinjau secara

3
berkala?
Apakah waktu puncak permintaan sumber daya selama hari
4
pemrosesan sudah teridentifikasi?

Apakah manajemen TI menerima umpan balik tentang penggunaan

5 kapasitas sistem untuk merencanakan akuisisi server atau aplikasi
di masa depan sebagai bagian dari fungsi strategis mereka?

Manajemen kinerja
No Panduan Kepatuhan

Apakah sistem pengukuran dan pemantauan kinerja diidentifikasi

1
dan didokumentasikan?
Apakah layanan dan infrastruktur proses pengukuran kinerja sudah
2
tersedia?

3 Apakah pemadaman sistem direkam atau dipantau?

Apakah peringatan dan pemberitahuan diatur untuk mengikuti

ambang batas sumber daya yang disepakati sehingga system
4
memicu atau memperingatkan Operator ketika titik setel dilanggar
atau terlampaui?

Apakah waktu henti atau pemadaman sistem dipantau secara aktif

5
untuk mencegah kegagalan layanan?
Lingkungan dan Manajemen Cadangan
No Panduan Kepatuhan
Apakah kontrol yang memadai untuk memastikan akuntabilitas
dan perlindungan media cadangan yang dibuat di lokasi utama dan
1
pemindahan serta pengambilannya ke fasilitas penyimpanan di
luar lokasi sudah memadai?
Kirimkan semua kaset dengan benar ke fasilitas penyimpanan di
2
luar lokasi didokumentasikan dan disahkan sebelum dipindahkan?
Apakah metode pemindahan kaset ke fasilitas penyimpanan di luar
3
lokasi, aman dan cukup terlindungi dari pencurian atau bahaya?
Apakah kotak atau case dan proses pemindahan kaset sudah
4
diperiksa dengan aman?
Pastikan bahwa kaset dan media lain dienkripsi untuk
5 mencegahnya diakses atau dikompromikan jika terjadi pencurian
atau kehilangan.

Pastikan bahwa kode enkripsi default telah diubah dan tidak

6
digunakan untuk mengenkripsi tape drive selama pencadangan.
Apakah semua pengunjung fasilitas di luar lokasi diwajibkan untuk
menandatangani buku catatan yang menyatakan nama mereka,
7
alasan kunjungan, waktu dan tanggal, atau mencatat kehadiran
mereka?
Apakah proses pemulihan media penyimpanan (tape dan hard
drive) didokumentasikan dan dikontrol secara memadai untuk
8
memastikan bahwa kaset yang benar yang benar diambil, dan hak
yang sesuai tersedia?
media penyimpanan (kaset dan hard drive) diindeks dan diberi
9 label dengan benar untuk memudahkan penyimpanan dan
pengambilan?

Sistem Pengendalian dan Pemantauan Lingkungan

No Panduan Kepatuhan

Apakah operator pusat data dan personel lain di lokasi telah

1
terlatih tentang cara merespons jika terjadi kebakaran?
Apakah operator pusat data cukup terlatih untuk melakukan
2 berbagai keadaan darurat atau pelanggaran keamanan yang
terjadi?
Apakah personil lain di dalam fasilitas cukup tanggap terhadap apa
3
yang harus dilakukan ketika keadaan darurat kebakaran terjadi?
 Apakah hanya orang-orang yang berwenang yang ditugaskan ke
4 area kritis fasilitas dan dilengkapi secara memadai dengan alat-alat
penting untuk berkoordinasi kegiatan evakuasi darurat?
Apakah latihan kebakaran sering dilakukan untuk menciptakan
5 kesadaran yang diperlukan oleh semua karyawan untuk merespons
keadaan darurat atau insiden kebakaran secara memadai?
Apakah peralatan kebakaran dan kontrol darurat lainnya yang
6 dipasang sudah memadai dipelihara dan diuji untuk merespons
setiap pintu keluar kebakaran?
Apakah kotak penarik alarm kebakaran dan sakelar daya darurat
7
terlihat, ditandai, dan tidak terhalang?
Apakah ada instruksi kebakaran yang jelas dan memadai di semua
8
lokasi di dalam dan di sekitar pusat data?
Apakah nomor telepon darurat untuk petugas pemadam
9 kebakaran ditempatkan dengan jelas di sekitar fasilitas untuk
memudahkan akses dan penggunaan jika terjadi kebakaran?
Apakah detektor asap dan panas diuji secara berkala untuk
10 menentukan kondisi operasi dan kemampuannya untuk
mendeteksi keberadaan api atau asap saat dibutuhkan?
Apakah detektor asap ditempatkan secara strategis di bawah lantai
11 yang ditinggikan dan di di langit-langit pusat data agar mudah
mendeteksi asap atau kebakaran?
Apakah ada cukup kotak tarik alarm kebakaran di dalam dan di
12
sekitar pusat data?
Apakah operator diberi tanggung jawab individu jika terjadi
13
kebakaran?
Apakah operator dilatih tentang pemadaman kebakaran secara
14
berkala?

15 Seberapa sering latihan kebakaran diadakan?

Apakah alat pemadam kebakaran FM200 dipasang di pusat data

16
untuk pemadaman kebakaran?

Apakah APAR FM200 dipelihara dan diservis sesuai dengan siklus

17
servisnya?
Apakah peralatan pemadam kebakaran diuji secara berkala untuk
18 menentukan operasionalnya dan kemampuannya untuk
merespons bencana dalam keadaan darurat?
Apakah ada bahan yang mudah terbakar di dalam dan di sekitar
19
area pusat data?
Pastikan kontrol yang memadai mencegah banjir dan bencana
20
lainnya mempengaruhi pusat data.
 21 Apakah pusat data dibangun di lantai yang ditinggikan?

Apakah bahan yang digunakan untuk lantai yang ditinggikan atau

22 lantai pusat data tidak mudah terbakar atau tidak kondusif untuk
penyebaran api?
Apakah ada saluran air atau pipa yang mengalir melalui atau di
23
dekat pusat data untuk mencegah banjir?
Apakah ada sistem pemantauan dan kontrol lingkungan (EMCS)
24 yang terpasang di pusat data untuk memastikan bahwa suhu dan
tingkat kelembapan dikelola dan dipantau?
Apakah sistem pemantauan dan kontrol lingkungan pusat data
25
(EMCS) diuji secara berkala?
Apakah konfigurasi EMCS memadai untuk memastikan bahwa
pemicu atau peringatan dikirim ke individu yang tepat ketika suhu
26 dan kelembaban kondisi di dalam pusat data turun atau naik di
atas batas yang dapat diterima atau ambang batas yang dapat
diterima?
Apakah sistem kabel dan pengkabelan utama di dalam dan di
27
sekitar pusat data diterapkan untuk mencegah kerusakan fisik?
Periksa untuk memastikan kabel daya listrik dan kabel di sekitar
28 pusat data pusat data tertata dengan baik di dalam penutup untuk
mencegahkerusakan fisik.

29 Apakah pusat data memiliki sistem pendingin yang berlebihan?

30 Apakah ada sistem UPS untuk mencadangkan listrik pusat data?

Berapa kapasitas cadangan Sistem UPS dan kapan terakhir kali

31
terakhir kali diuji?
Periksa semua kabel sinyal dan data pada server dan perangkat
32 jaringan untuk memastikan kabel tersebut tidak mengalami
gangguan atau tersentuh.

Kontrol Akses Fisik

No Panduan Kepatuhan

Apakah ada perangkat kontrol akses biometrik atau kartu pintar

1
untuk membatasi akses ke pusat data?
Apakah ada proses untuk memberikan akses kepada pengguna ke
2
pusat data?
Apakah semua personel yang masuk ke pusat data masuk dari titik
3 masuk yang dikendalikan oleh perangkat kontrol akses biometrik
atau kartu pintar yang yang dipantau oleh Manajer Pusat Data?
 Apakah ada prosedur untuk meninjau log aktivitas biometrik atau
4
kartu pintar?

5 Apakah tinjauan log dilakukan oleh orang yang berwenang?

Apakah perangkat biometrik atau kartu pintar membatasi akses

6
berdasarkan kredensial akses unik individu?
Apakah perangkat biometrik atau kartu pintar membatasi akses ke
7 pintu yang ditentukan untuk pengguna atau pada waktu tertentu
dalam sehari?
Apakah metode akses biometrik atau kartu pintar sulit ditiru atau
8
dikompromi?
Apakah ada proses untuk menonaktifkan akses perangkat
9 biometrik atau kartu pintar pengguna yang meninggalkan
organisasi?
Apakah perangkat akses seperti biometrik atau kartu pintar secara
10 otomatis menghasilkan alarm senyap atau bersuara ketika
mencoba mengakses tanpa izin?
Apakah perangkat biometrik atau kartu pintar secara otomatis
11 merekam dan melaporkan
akses pusat data yang berhasil dan upaya yang gagal?
Apakah proses administrasi kartu pintar yang dikontrol dengan
12 cermat atau penerbitan, akuntansi, dan pemulihan kartu
biometrik?
Apakah catatan akses perangkat biometrik atau kartu pintar
13
disimpan selama jangka waktu yang wajar?
Apakah log dicadangkan ke media eksternal untuk disimpan untuk
14
tujuan penelitian untuk tujuan penelitian sesuai kebutuhan.
Apakah ada kamera video yang dipantau oleh petugas keamanan
15
di titik-titik strategis strategis di pusat data?
Apakah pengawasan video direkam untuk kemungkinan
16
pemeriksaan di masa mendatang?
Apakah ada sistem alarm yang terhubung ke titik masuk yang tidak
17
aktif ke pusat data?
Apakah karyawan dan pengunjung diwajibkan mengenakan kartu
18
identitas berfoto?
Apakah semua pengunjung harus menandatangani buku harian
pengunjung yang mencantumkan nama mereka, perusahaan
19
diwakili, alasan kunjungan, dan orang yang akan ditemui sebelum
mengakses pusat data?
Apakah pengunjung perlu memberikan metode untuk
20
mengautentikasi sebelum mendapatkan akses?
Apakah pengunjung harus mengenakan kartu identitas dengan
21
warna yang berbeda dari karyawan lencana untuk memudahkan
 identifikasi?

22 Apakah pengunjung/tamu dikawal di dalam lokasi?

Apakah personil dengan kontrak layanan khusus, seperti petugas

23
kebersihan, dipantau selama pelaksanaan tugas mereka?

Inventory Management
No Panduan Kepatuhan

1 Apakah inventaris aset di pusat data selalu diperbarui?

2 Apakah inventaris aset di pusat data ditinjau ulang?

3 Apakah semua aset di pusat data diberi label yang memadai?

Apakah vendor memiliki informasi kontak untuk sistem yang

4
relevan di pusat data dalam keadaan darurat?

Manajemen Insiden
No Panduan Kepatuhan

1 Apakah Pusat Data memiliki kebijakan Manajemen Insiden?

2 Metodologi apa yang digunakan untuk Manajemen Insiden?

Apakah peran dan proses manajemen telah dikembangkan untuk

3 menjamin bahwa kejadian keamanan informasi ditangani dengan
cepat, efektif, dan teratur?
Apakah peran dan tanggung jawab telah ditetapkan untuk
4
manajemen insiden?

5 Apakah insiden didokumentasikan dan dilaporkan?

Apakah analisis akar masalah dilakukan untuk mencegah terjadinya

6
insiden?

7 Apakah ada rencana darurat?

Pemulihan Bencana dan Manajemen Kesinambungan Bisnis

No Panduan Kepatuhan

1 Apakah ada rencana pemulihan bencana?

Apakah semua proses didokumentasikan dalam hal Pemulihan

2
Bencana?
Apakah kebijakan Pemulihan Bencana menentukan peran dan
3 tanggung jawab untuk perencanaan, pengujian, manajemen
pengawasan, dan akuntabilitas?

4 Seberapa sering situs Pemulihan Bencana diuji?

Apakah laporan uji pemulihan bencana disetujui oleh administrator

5
yang terkait?