1
|
|
Komentar
|
|
a |
Pengamanan Sistem Informasi
|
|
|
1) |
Instansi Pemerintah secara berkala melaksanakan penilaian risiko secara periodik yang kompre hensif.Hal-hal yang perlu dipertimbangkan adalah sebagai berikut:
|
|
|
a) |
Penilaian risiko dilaksanakan dandidokumentasikan secara teraturdan padasaat sistem, fasilitas atau kondisi lainnya berubah.
|
|
|
b) |
Penilaian risiko tersebut sudah mempertimbangkan sensitivitas dan keandalan data. |
|
|
c) |
Penetapan risiko akhir dan persetujuan pimpinan Instansi Pemerintah didokumentasikan
|
|
|
|
|
|
|
2) |
Pimpinan Instansi Pemerintah mengembangkan rencana yang secara jelas enggambarkan program pengamanan serta kebijakan dan prosedur yang mendukungnya.
|
|
|
|
|
|
|
3) |
Pimpinan Instansi Pemerintah menetapkan organisasi untuk mengimplementasikan dan mengelola program pengamanan.
|
|
|
|
|
|
|
4) |
Pimpinan Instansi Pemerintah menetapkan uraian tanggung jawab engamanan secara jelas.
|
|
|
|
|
|
|
5) |
Instansi Pemerintah mengimplementasikan kebijakan yang efektif atas egawai yang terkait dengan program pengamanan.
|
|
|
|
|
|
|
6 |
Instansi Pemerintah memantau efektivitas program pengamanan dan melakukan perubahan program pengamanan jika diperlukan. Hal- hal yang perlu dipertimbangkan adalah sebagai berikut:
|
|
|
a) |
Pimpinan Instansi Pemerintah secara berkala menilai kelayakan kebijakan pengamanan dan kepatuhan terhadap kebijakan tersebut.
|
|
|
b) |
Tindakan korektif diterapkan dan diuji dengan segera dan efektif serta ipantau secara terus- menerus. |
|
|
|
|
|
|
b |
Pengendalian atas Akses |
|
|
1) |
Instansi Pemerintah mengklasifikasikan sumber daya sistem informasi erdasarkan kepentingan dan sensitivitasnya. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut:
|
|
|
a) |
Klasifikasi sumber daya dan kriteria terkait sudah ditetapkan dan ikomunikasikan kepada pemilik sumber daya.
|
|
|
b) |
Pemilik sumber daya memilah- milah sumber daya informasi berdasarkan klasifikasi dan kriteria yang sudah ditetapkan dengan memperhatikan penetapan dan penilaian risiko serta mendokumentasikannya.
|
|
|
2) |
Pemilik sumber daya mengidentifikasi pengguna yang berhak dan otorisasi kses ke informasi secara formal.
|
|
|
|
|
|
|
3) |
Instansi Pemerintah menetapkan pengendalian fisik dan pengendalian logik ntuk mencegah dan mendeteksi akses yang tidak diotorisasi.
|
|
|
|
|
|
|
4) |
Instansi Pemerintah memantau akses ke sistem informasi, melakukan nvestigasi atas pelanggaran, dan mengambil tindakan perbaikan dan penegakan disiplin.
|
|
|
|
|
|
|
c |
Pengendalian atas Pengembangan dan Perubahan Perangkat Lunak Aplikasi |
|
|
|
|
|
|
1) |
Fitur pemrosesan sistem informasi dan modifikasi program diotorisasi.
|
|
|
2) |
Seluruh perangkat lunak yang baru dan yang dimutakhirkan sudah diuji dan isetujui.
|
|
|
3) |
Instansi Pemerintah telah menetapkan prosedur untuk memastikan erselenggaranya pengendalian atas kepustakaan perangkat lunak (software ibraries) termasuk pemberian label, pembatasan akses, dan penggunaan kepustakaan perangkat lunak yang terpisah. |
|
|
|
|
|
|
d |
Pengendalian atas Perangkat Lunak Sistem |
|
|
|
|
|
|
1) |
Instansi Pemerintah membatasi akses ke perangkat lunak sistem berdasarkan anggung jawab pekerjaan dan otorisasi akses tersebut didokumentasikan |
|
|
2) |
Akses ke dan penggunaan perangkat lunak sistem dikendalikan dan dipantau. |
|
|
3) |
Instansi Pemerintah mengendalikan perubahan yang dilakukan terhadap perangkat lunak sistem.
|
|
|
|
|
|
|
e |
Pemisahan Tugas
|
|
|
1) |
Tugas yang tidak dapat digabungkan sudah diidentifikasi dan kebijakan ntuk memisahkan tugas tersebut sudah ditetapkan.
|
|
|
2) |
Pengendalian atas akses sudah ditetapkan untuk pelaksanaan pemisahan tugas. |
|
|
3) |
Instansi Pemerintah melakukan pengendalian atas kegiatan pegawai melalui penggunaan prosedur, supervisi, dan reviu. |
|
|
|
|
|
|
f |
Kontinuitas pelayanan |
|
|
1) |
Instansi Pemerintah melakukan penilaian, pemberian prioritas, dan pengidentifikasian sumber daya pendukung atas kegiatan komputerisasi yang ritis dan sensitif. |
|
|
2) |
Instansi Pemerintah sudah mengambil langkah-langkah pencegahan dan inimalisasi potensi kerusakan dan terhentinya operasi komputer antara lain melalui penggunaan prosedur backup data dan program, penyimpanan back-up data di tempat lain, pengendalian atas lingkungan, pelatihan staf, serta engelolaan dan pemeliharaan perangkat keras |
|
|
3) |
Pimpinan Instansi Pemerintah sudah mengembangkan dan mendokumentasikan rencana komprehensif untuk mengatasi kejadian tidak erduga (contingency plan), misalnya langkah pengamanan apabila terjadi bencana alam, sabotase, dan terorisme.
|
|
|
4) |
Instansi Pemerintah secara berkala menguji rencana untuk mengatasi kejadian tidak terduga dan melakukan penyesuaian jika diperlukan. |
|
|
|
|
|
|
2 |
Pengendalian Aplikasi
|
|
|
a |
Pengendalian Otorisasi |
|
|
1) |
Instansi Pemerintah mengendalikan dokumen sumber. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: |
|
|
a) |
Akses ke dokumen sumber yang masih kosong dibatasi.
|
|
|
b) |
Dokumen sumber diberikan nomor urut tercetak (prenumbered). |
|
|
|
|
|
|
2) |
Atas dokumen sumber dilakukan pengesahan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut:
|
|
|
a) |
Dokumen sumber yang penting memerlukan tanda tangan otorisasi. |
|
|
b) |
Untuk sistem aplikasi batch, harus digunakan lembar kendali batch yang menyediakan informasi seperti tanggal, nomor kendali, jumlah dokumen, dan jumlah kendali (control totals) dari field kunci. |
|
|
c) |
Reviu independen terhadap data dilakukan sebelum data dientri ke dalam sistem aplikasi. |
|
|
|
|
|
|
3) |
Akses ke terminal entri data dibatasi |
|
|
4) |
File induk dan laporan khusus digunakan untuk memastikan bahwa seluruh ata yang diproses telah diotorisasi.
|
|
|
b |
Pengendalian Kelengkapan |
|
|
1) |
Transaksi yang dientri dan diproses ke dalam komputer adalah seluruh transaksi yang telah diotorisasi. |
|
|
2) |
Rekonsiliasi data dilaksanakan untuk memverifikasi kelengkapan data |
|
|
|
|
|
|
c |
Pengendalian Akurasi |
|
|
1) |
Desain entri data digunakan untuk mendukung akurasi data. |
|
|
2) |
Validasi data dan editing dilaksanakan untuk mengidentifikasi data yang salah. |
|
|
3) |
Data yang salah dengan segera dicatat, dilaporkan, diinvestigasi, dan diperbaiki.
|
|
|
4) |
Laporan keluaran direviu untuk mempertahankan akurasi dan validitas data. |
|
|
|
|
|
|
d |
Pengendalian terhadap Keandalan Pemrosesan dan File Data |
|
|
1) |
Terdapat prosedur untuk memastikan bahwa hanya program dan file data versi terkini yang digunakan selama pemrosesan. |
|
|
2) |
Terdapat program yang memiliki prosedur untuk memverifikasi bahwa versi file komputer yang sesuai yang digunakan selama pemrosesan. |
|
|
3) |
Terdapat program yang memiliki prosedur untuk mengecek internal file header labels sebelum pemrosesan.
|
|
|
4) |
Terdapat aplikasi yang mencegah perubahan file secara bersamaan. |
|
