BAZNAS-CSIRT
Panduan 2024-12-15

Checklist: Audit Keamanan Sistem Informasi untuk Unit Kerja

Checklist: Audit Keamanan Sistem Informasi untuk Unit Kerja

Pendahuluan

Audit keamanan sistem informasi adalah proses sistematis untuk mengevaluasi dan meningkatkan postur keamanan unit kerja. Checklist ini dirancang untuk membantu unit kerja melakukan self-assessment dan mengidentifikasi area yang perlu diperbaiki.

Cara Menggunakan Checklist

  1. Review setiap item dan tandai status (Ya/Tidak/N/A)
  2. Untuk item dengan status "Tidak", buat rencana perbaikan
  3. Prioritaskan perbaikan berdasarkan risiko
  4. Dokumentasikan hasil dan tindak lanjut
  5. Review ulang secara berkala (minimal quarterly)

A. Keamanan Akses dan Autentikasi

Password Management

  • [ ] Semua akun menggunakan password yang memenuhi standar kompleksitas
  • [ ] Password diubah secara berkala (maksimal 90 hari)
  • [ ] Tidak ada shared accounts untuk akses individual
  • [ ] Default passwords sudah diganti pada semua sistem

Multi-Factor Authentication

  • [ ] MFA diaktifkan untuk akses ke sistem kritis
  • [ ] MFA diaktifkan untuk remote access (VPN, email)
  • [ ] Backup codes MFA disimpan dengan aman

Access Control

  • [ ] Akses diberikan berdasarkan prinsip least privilege
  • [ ] Review hak akses dilakukan secara berkala
  • [ ] Akses karyawan yang keluar sudah dinonaktifkan
  • [ ] Segregation of duties diterapkan untuk fungsi kritis

B. Keamanan Endpoint

Antivirus/Anti-malware

  • [ ] Antivirus terinstall di semua endpoint
  • [ ] Definisi virus ter-update (tidak lebih dari 24 jam)
  • [ ] Real-time protection diaktifkan
  • [ ] Full scan dijadwalkan secara berkala

Patch Management

  • [ ] Sistem operasi ter-update ke versi terbaru
  • [ ] Aplikasi ter-update ke versi terbaru
  • [ ] Auto-update diaktifkan jika memungkinkan
  • [ ] Critical patches diterapkan dalam 7 hari

Encryption

  • [ ] Full disk encryption diaktifkan di laptop
  • [ ] Removable media dienkripsi
  • [ ] Data sensitif dienkripsi saat transit

C. Keamanan Jaringan

Firewall

  • [ ] Firewall diaktifkan di semua endpoint
  • [ ] Rules firewall direview secara berkala
  • [ ] Unnecessary ports diblokir

Wi-Fi Security

  • [ ] Wi-Fi menggunakan WPA3 atau WPA2
  • [ ] SSID tidak menyebutkan nama organisasi
  • [ ] Guest network terpisah dari corporate network
  • [ ] Default credentials router sudah diganti

Remote Access

  • [ ] VPN digunakan untuk akses remote
  • [ ] Split tunneling dinonaktifkan
  • [ ] Akses remote di-log dan dimonitor

D. Keamanan Data

Backup

  • [ ] Backup dilakukan secara regular (minimal daily)
  • [ ] Backup disimpan di lokasi terpisah (offsite)
  • [ ] Test restore dilakukan minimal quarterly
  • [ ] Backup dienkripsi

Data Classification

  • [ ] Data diklasifikasi berdasarkan sensitivitas
  • [ ] Handling procedures sesuai klasifikasi
  • [ ] Labeling diterapkan untuk dokumen sensitif

Data Disposal

  • [ ] Prosedur penghapusan data aman diterapkan
  • [ ] Hard drive di-wipe sebelum disposal
  • [ ] Dokumen fisik di-shred

E. Keamanan Email

Email Security

  • [ ] Spam filter diaktifkan
  • [ ] Attachment scanning diaktifkan
  • [ ] Suspicious email forwarding rules direview
  • [ ] External email warning banner diaktifkan

Email Usage

  • [ ] Informasi sensitif tidak dikirim via email tanpa enkripsi
  • [ ] Email forwarding ke personal account dilarang
  • [ ] Auto-forwarding direview secara berkala

F. Awareness dan Training

Security Training

  • [ ] Security awareness training dilakukan annually
  • [ ] Phishing simulation dilakukan secara berkala
  • [ ] New hire security orientation dilakukan

Policy Awareness

  • [ ] Karyawan memahami acceptable use policy
  • [ ] Karyawan tahu cara melaporkan insiden
  • [ ] Karyawan menandatangani security agreement

G. Incident Response

Preparation

  • [ ] Kontak BAZNAS-CSIRT diketahui
  • [ ] Prosedur pelaporan insiden dipahami
  • [ ] Incident response plan tersedia

Detection

  • [ ] Logging diaktifkan di sistem kritis
  • [ ] Anomali dapat terdeteksi
  • [ ] Alert mechanism berfungsi

H. Physical Security

Access Control

  • [ ] Area server/network equipment terkunci
  • [ ] Visitor access di-log
  • [ ] Clean desk policy diterapkan

Device Security

  • [ ] Laptop dikunci saat tidak digunakan
  • [ ] Kabel lock tersedia untuk laptop
  • [ ] USB ports dibatasi jika perlu

Scoring Guide

Excellent (90-100%)

Posisi keamanan sangat baik. Maintain current practices dan continue improvement.

Good (70-89%)

Posisi keamanan baik dengan beberapa area improvement. Prioritaskan items yang belum terpenuhi.

Needs Improvement (50-69%)

Terdapat gap signifikan. Buat action plan dan timeline untuk remediation.

Critical (<50%)

Posisi keamanan perlu perhatian segera. Hubungi BAZNAS-CSIRT untuk bantuan.

Tindak Lanjut

  1. Dokumentasikan hasil audit
  2. Buat prioritized remediation plan
  3. Assign responsibility dan timeline
  4. Track progress secara berkala
  5. Re-audit setelah remediation

Bantuan

Untuk konsultasi atau bantuan dalam melakukan audit keamanan, hubungi:

BAZNAS-CSIRT - Email: csirt@baznas.go.id - Telepon: (+62) 21-22897983

Tags: audit checklist compliance assessment
Kembali ke Daftar Artikel
Bagikan:

Artikel Terkait

Butuh Bantuan atau Ingin Melaporkan Insiden?

Hubungi BAZNAS-CSIRT untuk konsultasi keamanan siber.

csirt@baznas.go.id