Jawab pertanyaan-pertanyaan dibawah ini dengan ketentuan sebagai berikut :

Transkripsi

1 Jawab pertanyaan-pertanyaan dibawah ini dengan ketentuan sebagai berikut : 1. Pertanyaan dengan pilihan jawaban a,b,c...dst pilih salah satu yang anda anggap sesuai dengan kondisi di kantor anda 2. Pertanyaan dengan pilihan jawaban I, II, III...dst pilih beberapa jawaban yang anda anggap sesuai dengan kondisi kantor anda BUSINESS PROFILE 1. Berapa jumlah komputer dan laptop yang terhubung dengan jaringan kantor a. Kurang dari 50 b. 50 hingga 149 c. 150 hingga 299 d. 300 hingga 399 e. 400 hingga 500 f. Lebih dari Berapa jumlah server di kantor a. Tidak ada b. 1 hingga 5 c. 6 hingga 10 d. 11 hingga 25 e. Lebih dari Apakah kantor terhubung dengan internet selama 24 jam 4. Apakah pelanggan dan vendor mengakses dapat mengakses jaringan internal melalui internet 5. Apakah kantor memiliki hosting internal untuk layanan portal atau website untuk pelanggan atau rekanan 6. Apakah kantor memiliki layanan yang dapat digunakan bersama oleh karyawan, pelanggan dan rekanan dan diimplementasikan dalam segemen jaringan yang sama 7. Apakah rekanan atau pelanggan dapat terhubung langsung dengan backend jaringan internal untuk membaca, pemuktahiran fungsi lain terhadap data 8. Apakah basis data yang digunakan untuk mendukung aplikasi eksternal dengan layanan internal berada pada infrastruktur yang sama

2 9. Apakah karyawan dan vendor diijinkan untuk mengakses layanan internal dari luar kantor 10. Apakah karyawan diijinkan untuk membuat sistem server pribadi di kantor seperti web server untuk penelitian 11. Apakah data konfidensil diijinkan untuk dialih mediakan untuk pemrosesan (diluar mekanisme standard seperti pita dan media backup lain) 12. Apakah jika ada pengecualian pada sistem pengamanan akan berdampak besar pada proses bisnis kantor 13. Apakah kantor anda berbabagi ruang/gedung dengan kantor lain 14. Apakah kantor anda mengembangkan aplikasi 15. Apakah pengembang aplikasi diijinkan mengakses sumber daya internal dari luar kantor atau melakukan pengembangan jarak jauh 16. Apakah kantor anda mengembangkan aplikasi untuk pelanggan, rekanan atau kelompok tertentu 17. Apakah pengembang aplikasi diijinkan melakukan pengujian implementasi aplikasi dari luar kantor 18. Apakah staf TI bertindak sebagai pembantu (bukan pengembang, hanya membantu vendor) pada pengembangan aplikasi bisnis 19. Apakah kantor membutuhkan data yang disimpan, diolah atau didistribusikan oleh pihak ketiga 20. Apakah data pelanggan disimpan di media yang sama dengan data/sumber daya kantor 21. Apakah kantor anda bergantung pada vendor pengembang aplikasi untuk menyelenggarakan layanan bisnis

3 22. Apakah kantor anda menyelenggarakan layanan yang membutuhkan pemrosesan data atau data mining 23. Apakah pemrosesan data oleh aplikasi internal kantor dianggap penting bagi operasional kantor 24. Apakah aplikasi bisnis kantor yang dianggap penting dapat diakses melalui internet 25. Siapakah target pengguna aplikasi bagi kantor anda a. Karyawan b. Pelanggan c. Karyawan dan Pelanggan 26. Bagaimana cara mengakses aplikasi utama a. Dari dalam kantor b. Dari dalam dan luar kantor 27. Apakah vendor dan pelanggan terhubung dengan jaringan kantor melalui jaringan komputer 28. Apakah kantor anda memperoleh keuntungan dari penyimpanan dan distribusi data 29. Apakah telah terjadi pergantian teknologi secara besar-besaran dalam 6 bulan terakhir 30. Apakah kantor anda mengandalkan penerimaan data dari pihak ketiga 31. Apakah insiden pada aplikasi pelanggan atau infrastruktur (seperti listrik yang situs atau kegagalan perangkat keras atau aplikasi) berdampak pada keuntungan kantor 32. Apakah kantor anda menyimpan data penting pelanggan 33. Apakah komponen infrastruktur atau aplikasi pelanggan bergantung pada akses ke sumber daya di dalam kantor 34. Apakah komponen infrastruktur atau aplikasi pelanggan berbagi pakai dengan pelanggan lain 35. Apakah teknologi informasi penting bagi kantor anda

4 36. Apakah semua karyawan menggunakan komputer saat bekerja 37. Apakah perawatan atau bahkan kepemilikan infrastruktur dilakukan oleh pihak ketiga 38. Apakah kantor anda memiliki rencana jangkan menengah dan jangka panjang untuk investasi teknologi 39. Apakah kantor anda berusaha menjadi yang pertama dalam mengadopsi teknologi 40. Apakah teknologi yang dipilih berdasarkan perjanjian hak cipta atau kerjasama tertentu 41. Apakah teknologi yang dipilih dibatasi oleh pengetahuan/kemampuan staf TI 42. Bila kantor anda melakukan akusisi, apakah jaringan kantor akan diperluas kepada kantor baru tersebut 43. Apakah karyawan diijinkan mengunduh data pelanggan atau data perusahaan lain yang sensitif 44. Apakah akses karyawan kepada informasi dibatasi oleh perannya dalam kantor 45. Apakah kantor anda mengimplementasikan teknologi baru sebelum menguji keamanannya 46. Apakah aku kredensial diubah menjadi akun khusus secara rutin 47. Apakah perubahan aku kredensial menjadi khusus dilakukan setelah mendapat persetujuan dari akun diatasnya 48. Kantor anda bergerak di segmen a. Layanan TI b. Keuangan c. Industri / Manufaktur d. Hukum e. Periklanan f. Perdagangan g. Lain-lain

5 49. Berapa ukuran perusahaan a. Kurang dari 10 orang b. 10 hingga 49 orang c. 50 hingga 149 orang d. 150 hingga 299 orang e. 300 hingga 399 orang f. 400 hingga 500 orang g. Lebih dari 500 orang 50. Apakah kantor anda memiliki cabang 51. Apakah kantor anda berfokus pada penelitian sehingga spionase dan hak cipta sangat diperhatikan 52. Apakah teknologi di kantor anda memiliki nilai balik yang tinggi 53. Apakah kantor anda lebih tertarik pada satu merek teknologi 54. Apakah di kantor anda apa aplikasi yang sudah tidak didukung pengembang 55. Apakah vendor aplikasi anda memiliki reputasi yang baik APLIKASI 1. Apakah perusahaan anda memiliki aplikasi bisnis? Yes 2. Apakah anda menggunakan Custom Macros untuk aplikasi Office (seperti Word, Excel atau Access)? Yes 3. Mekanisme apa saja yang memastikan ketersediaan aplikasi? a. Load Balancing b. Clustering c. Testing aplikasi secara beraturan dan Data Recovery d. Tidak ada 4. Apakah tim internal perusahaan telah mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda? 5. Apakah tim development internal perusahaan menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan?

6 6. Apakah konsultan/vendor luar mengembangkan salah satu aplikasi penting yang diterapkan di lingkungan anda? 7. Fase pengembangan apa saja yang melibatkan jasa konsultan/vendor? a. Design b. Code Development c. Testing / Quality Assurance d. Final Review 8. Apakah vendor luar menyediakan upgrade software secara teratur, security patches dan dokumentasi pada mekanisme keamanan? 9. Metodologi pengembangan keamanan software apa saja yang dipraktekkan pada perusahaan anda? a. CLASP b. Cigital-Touchpoints c. Microsoft Security Development Lifecycle d. TSP(sm) for Secure Systems Development e. Yang lain f. Tidak ada 10. Apakah perusahaan anda mengetahui kelemahan keamanan yang sekarang ini masih ada dalam aplikasi yang telah digunakan? 11. Apakah perusahaan anda mempunyai prosedur untuk mengatasi kerentanan keamanan? 12. Apakah perusahaan anda memberikan training security untuk staf bagian development & testing? 13. Berapa persenkah staf bagian development & testing di perusahaan anda yang ditraining untuk praktek pengembangan keamanan? a. 100% b. 75% c. 50% d. 25% e. 10% f Apakah perusahaan anda melakukan update tahunan atas training pengembangan security yg diberikan kepada staf development?, Rutin b. Ya, Kadang-kadang c. Tidak 15. Apakah perusahaan anda bergantung pada beberapa software sebagai bagian dari proses pengujian dan audit untuk pengembangan perangkat lunak yang aman?, untuk semua proyek b. Ya, untuk beberapa proyek c. Tidak 16. Apakah saat ini ada kontrol yang mengatur kebijakan password untuk aplikasi yang penting?

7 17. Pilih kontrol password yang diberlakukan di seluruh aplikasi penting: a. Complex Passwords b. Password Expiration c. Account Lockout 18. Pilih metode otentikasi yang paling umum digunakan untuk aplikasi penting dari daftar di bawah ini? a. Multifactor authetication ada c. Simple Password d. Complex Password 19. Apakah aplikasi penting di lingkungan anda memiliki mekanisme yang membatasi akses ke data sensitif dan funsional? 20. Apakah aplikasi penting di lingkungan anda mencatat pesan-pesan di dalam log file untuk keperluan analisis dan audit? 21. Pilih jenis kejadian pada saat login : a. Failed Authentication Attempts b. Successful Authentications c. Application Errors d. Access Denied To Resources e. Success Access to Resources f. Changes to Data g. Changes to User Accounts 22. Apakah data input data divalidasi oleh aplikasi yang digunakan? 23. Pilih input aplikasi dari daftar di bawah ini untuk validasi yang dilakukan: a. End Users b. Client Applications c. Data Feeds 24. Apakah aplikasi utama melakukan enkripsi atas data bisnis yang sensitif dan penting pada saat diproses? 25. Pilih tahapan yang berbeda dimana enkripsi digunakan : a. Transmission and Storage b. Transmission c. Storage 26. Algoritma enkripsi berikut mana sajakah yang digunakan? i. Data Encryption Standard (DES) ii. Triple DES (3DES) iii. RC2,RC4,RC5 iv. Advance Encryption Standard (AES4 /Rijndael) v. MD5 Hash vi. SHA-1 Hash vii. Twofish viii. Blowfish ix. Algoritma pribadi perusahaan x. Tidak Tahu

8 INFRASTRUKTUR 1. Apakah perusahaan anda menggunakan firewall atau kontrol akses untuk menjaga aset perusahaan? 2. Apakah perusahaan anda menggunakan kontrol ini pada setiap lokasi kantor? 3. Apakah perusahaan anda menggunakan DMZ yang memisahkan jaringan internal dan eksternal untuk pelayanan? 4. Apakah perusahaan anda memiliki layanan internet di jaringan perusahaan? 5. Apakah perusahaan anda menggunakan perangkat lunak firewall untuk melindungi server-server? 6. Apakah perusahaan anda menggunakan perangkat keras atau perangkat lunak pendeteksi gangguan untuk mengidentifikasi serangan? 7. Pilih tipe sistem pendeteksi gangguan yang digunakan? i. Network Based IDS (NIDS) ii. Host Based IDS (HIDS) 8. Apakah solusi anti virus diimplementasikan di lingkungan anda? 9. Pilih sistem yang telah menggunakan anti virus? i. Server ii. Pengelola Host (gateway, proxy, relay, dll) iii. Desktop iv. Server (Web, Basis data) 10. Apakah akses jarak jauh ke jaringan perusahaan tersedia? 11. Pilih siapa yang dapat mengakses ke jaringan perusahaan secara jarak jauh? a. Pegawai b. Kontraktor c. Vendor, pelanggan atau pihak ketiga terpercaya lain 12. Apakah teknologi VPN digunakan untuk menyediakan sambungan yang aman terhadap aset perusahaan oleh pengguna akses jarak jauh?

9 13. Apakah VPN dapat membatasi semua sambungan ke jaringan tertentu sampai client melewati semua pemeriksaan keamanan? 14. Apakah multi autentikasi diperlukan untuk pengguna akses jarak jauh? 15. Apakah jaringan memiliki lebih dari satu segmen? 16. Apakah segmentasi jaringan yang digunakan untuk memisahkan customer eksternal dan layanan extranet dari aset perusahaan? 17. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan fungsi yang sama atau layanan yang diberikan? 18. Apakah perusahaan anda mengelompokan host kedalam segmen jaringan berdasarkan penyedia layanan yang diperlukan oleh pengguna untuk terhubung? 19. Apakah sudah dibuatkan rencana dan dokumentasi untuk mengatur alokasi alamat dari TCP/IP untuk sistem sesuai dengan segmen yang dibutuhkan? 20. Apakah koneksi wireless ke jaringan tersedia? 21. Manakah dari kontrol keamanan yang digunakan untuk mengatur sambungan ke jaringan wireless? i. Changing the default/preset network name (also known as Service Set Identifier, or SSID) on the access point ii. Menonaktifkan SSID boardcast iii. Mengaktifkan Wired Equivalent Privacy (WEP) iv. Mengaktifkan Wi-Fi Protected Access (WPA) v. Pembatasan hardware atau alamat fisik (biasa dikenal Media Access Control, or MAC) vi. Koneksi nirkabel dilakukan diluar firewall atau diluar segmen jaringan kabel 22. Apakah saat ini sudah ada kontrol untuk mengatur kebijakan password pada berbagai jenis account? 23. Pilih account yang saat ini ada untuk mengontrol kebijakan password? i. Administrator ii. User iii. Remote Access 24. Indikasikan pilihan autentikasi yang digunakan oleh akses administratif untuk mengelola perangkat dan host?

10 a. Otentikasi multifaktor Ada c. Password sederhana d. Password Kompleks 25. Indikasikan pilihan autentikasi yang digunakan untuk jaringan internal dan akses host oleh pengguna internal? a. Otentikasi multifaktor Ada c. Password sederhana d. Password Kompleks 26. Indikasikan pilihan autentikasi yang digunakan untuk akses jarak jauh oleh pengguna? a. Otentikasi multifaktor Ada c. Password sederhana d. Password Kompleks 27. Apakah penguncian account diaktifkan untuk memblokir akses terhadap account yang dalam sejumlah waktu gagal untuk melakukan login? 28. Apakah perusahaan anda memiliki proses peninjauan administrasi yang tidak aktif, penggunaan internal, vendor, dan pengguna akses jarak jauh? 29. Apakah perusahaan anda mengkonfigurasi sistem secara sendiri atau dilakukan oleh penjual perangkat keras? a. Dibangun oleh Pegawa b. Dibangun oleh penjual perangkat keras 30. Manakah dari berikut ini dibangun berdasarkan dari sebuah image atau sebuah konfigurasi yang secara formal didokumentasikan? i. Workstations dan Laptop ii. Server iii. Tidak ada 31. Apakah konfigurasi ini termasuk prosedur hardening? 32. Manakah dari berikut ini solusi yang telah terpasang pada tempat kerja karyawan dan laptop? a. Personal firewall software b. Spyware detection dan removal software c. Disk encryption software d. Remote control / management software e. Password-protected screen saver f. Modem 33. Apakah perusahaan anda memiliki prosedur formal untuk respon insiden?

11 34. Apakah perusahaan anda memiliki kebijakan dan prosedur untuk melaporkan masalah keamanan atau insiden? 35. Apakah kontrol keamanan fisik sudah dipasang untuk melindungi aset perusahaan? 36. Manakah dari kontrol keamanan berikut ini yang digunakan? i. Sistem alarm untuk mendeteksi penyusupan ii. Peralatan jaringan (switches, cabling, Internet connection) diamankan di ruangan terrkunci dan akses terbatas iii. Peralatan jaringan terkunci di lemari/rak iv. Server terkunci didalam ruangan dengan akses terbatas v. Server terkunci di lemari/rak vi. Workstation diamankan dengan rantai/teralis vii. Laptop diamankan dengan rantai viii. Dokumen fisik rahasia disimpan dilemari terkunci 37. Manakah dari akses kontrol keamanan fisik yang digunakan? i. ID pegawai dan tamu ii. Pengawalan terhadap tamu iii. Pencatatan data tamu iv. Kendali pintu masuk PEOPLE 1. Apakah memiliki seseorang atau sekelompok orang yang bertanggung jawab dalam segi keamanan perusahaan? 2. Apakah individu dan kelompok tersebut memiliki keahlian dalam bidang keamanan? 3. Apakah individu atau kelompok tersebut terlibat dalam mendefinisikan kebutuhan keamaanan terhadap teknologi yang baru dan teknologi yang sudah ada? 4. Pada tahapan manakah dari siklus teknologi yang melibatkan individu atau sekelompok orang yang bertanggung jawab dalam hal keamanan? i. Perencanaan dan Desain ii. Implementasi iii. Testing iv. Penerapan 5. Apakah peranan dan tanggung jawab ditetapkan dengan baik untuk setiap individu yang terlibat dalam keamanan informasi?

12 6. Apakah melakukan penilaian keamanan terhadap lingkungan melalui pihak ketiga yang independen? 7. Seberapa sering penilaian/evaluasi penilaian keamanan (pada nomor 6) dilakukan? a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun d. Tiap 2 tahun atau kurang 8. Pilihan bidang analisis yang terlibat didalam penilaian penilaian keamanan (pada nomor 6) i. Infrastruktur ii. Aplikasi iii. Kebijakan / Aturan iv. Audit 9. Apakah melakukan penilaian keamanan lingkungan secara internal? 10. Seberapa sering penilaian/evaluasi keamanan lingkungan (pada nomor 9) dilakukan? a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun d. Tiap 2 tahun atau kurang 11. Pilihan bidang analisis yang terlibat didalam penilaian keamanan lingkungan (pada nomor 9) i. Infrastruktur ii. Aplikasi iii. Kebijakan / Aturan iv. Audit 12. Apakah dilakukan pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja? 13. Pilihlah pilihan mana yang paling tepat untuk pemeriksaan terhadap latar belakang sebagai salah satu proses penyeleksiaan pekerja a. Pemeriksaan latar belakang untuk seluruh calon pegawai b. Pemeriksaan latar belakang untuk calon pegawai di posisi kritis / sensitif 14. Apakah mempunyai prosedur yang formal apabila karyawan ingin keluar dari perusahaan? 15. Pilihlah pilihan mana yang merupakan kebijakan formal apabila seorang karyawan ingin keluar (berhenti bekerja) a. Hostile Exits b. Friendly Exits 16. Apakah perusahaan memiliki sebuah kebijkasaan dalam mengatur hubungan pihak ketiga? 17. Apakah ada "awarness program"?

13 18. Berapa persen karyawan telah berpartisipasi dalam "awarness program"? a. Kurang dari 25% b. 25% - 49% c. 50% - 75% d. Lebih dari 75% 19. Topik "awarness" mana yang telah masuk kedalam pelatihan? i. Company security policies and controls ii. Reporting suspicious activity iii. Privacy iv. security, including spam and attachment handling v. Internet security, including web surfing and downloads vi. Computer security, including use of personal firewalls and encryption 20. Seberapa seringkah pelatihan ini ditawarkan terhadap karyawan? a. Tiap 3 bulan b. Tiap 6 bulan c. Tiap 1 tahun d. Tiap 2 tahun atau kurang 21. Apakah pelatihan yang ditawarkan kepada karyawan sesuai dengan peranannya? 22. Pilihan pelatihan apa saja yang dilakukan sesuai dengan peranan masing-masing karyawan? i. Operations Security ii. Infrastructure Security iii. Application Security iv. Incident Readiness and Response OPERATIONS 1. Bagaimana pengelolaan lingkungan TI? a. Pengelolaan dilakukan kantor b. Pengelolaan dilakukan pihak luar 2. Apakah kantor anda menggunakan manajemen hosts yang secara khusus menjamin keamanan pengelolaan sistem dan peralatan? 3. Sistem apa saja yang menggunakan manajemen hosts secara khusus! i. Sistem/peralatan jaringan ii. Server 4. Apakah login untuk kegiatan normal/operasional dan kegiatan administratif/management dilakukan secara terpisah? 5. Apakah user diijinkan untuk mengakses komputer / laptop mereka sebagai administrator? 6. Apakah firewall diuji secara rutin untuk menjamin kinerjanya?

14 7. Apakah kantor anda memiliki Rencana Pemulihan Bencana (Disaster Recovery Plan) dan Rencana Pemulihan Pelaksanaan Bisnis (Business Resumption Plan)? 8. Apakah kedua rencana (di nomor 7) diuji secara rutin? 9. Apakah ada model untuk menguji titik kritis pada setiap level komponen lingkungan TI? 10. Apakah ada kebijakan/aturan pengelolaan komputer dan peralatan pendukungnya? 11. Apakah ada kebijakan/aturan pengamanan informasi untuk pengelolaan pengamanan operasional kantor? 12. Siapa saja yang terlibat dalam pembuatan kebijakan/aturan? a. Hanya bagian Teknologi Informasi b. Hanya bagian Bisnis c. Bagian Teknologi Informasi dan Bisnis 13. Apakah ada pengujian terhadap kebijakan/aturan? 14. Apakah ada kebijakan pengelolaan akun user? 15. Bagaimana kebijakan pengelolaan akun user dilakukan? i. Akun pribadi (satu orang satu akun) ii. Akun khusus (super admin/root) dan akun umum (administrator) untuk administrator iii. Mengandalkan kekuatan password iv. Menonaktifkan akun saat pegawai keluar 16. Apakah ada proses terdokumentasi untuk membangun sebuah host? (untuk jenis host yang bagaimana proses dokumentasi itu dilakukan) i. Peralatan infrastruktur ii. Server iii. Workstation dan laptop iv. Tidak Ada 17. Apakah ada panduan terdokumentasi untuk pengaturan protokol dan layanan yang diperbolehkan di jaringan kantor? (Pilih opsi yang berlaku) a. Panduan ada dan terdokumentasi dengan baik b. Panduan ada tapi tidak terdokumentasi c. Tidak ada panduan 18. Apakah ada proses formal yang terdokumentasi dengan baik untuk penghapusan data baik secara elektronik maupun fisik (kertas)?

15 19. Apakah ada skema klasifikasi data yang berhubungan dengan standard pengamanan? 20. Apakah ada ada manajemen proses dan perubahan konfigurasi? 21. Apakah ada dokumentasi konfigurasi untuk referensi? 22. Apakah perubahan konfigurasi diuji terlebih dahulu sebelum digunakan pada sistemoperasional? 23. Apakah kepatuhan konfigurasi di monitor secara terpusat? 24. Apakah ada kebijakan/aturan pembaharuan atau tambalan (patch)? 25. Pilih komponen pembaharuan atau tambalan yang ada? a. Sistem Operasi b. Aplikasi c. Sistem Operasi dan Aplikasi 26. Apakah tambalan diuji sebelum diimplementasikan? 27. Apa yang digunakan untuk mengelola dan mengimplementasikan tambalan? i. Windows Automatic Update ii. Windows Update Website iii. Windows Server Update Services (WSUS) iv. System Management Server (SMS) v. Pengelolaan tambalan jenis lain vi. System Center Configuration Manager (SCCM) 28. Dimana otomatisasi manajemen tambalan digunakan? i. Workstation dan laptop ii. Server 29. Apakah ada kebijakan pemeriksaan sertifikasi digital untuk mengelola pembaharuan produk (software)? i. Antivirus ii. Intrusion Detection System iii. Tidak Ada 30. Apakah ada Logical Diagrams dan dokumentasi konfigurasi pendukung yang akurat untuk infrastruktur jaringan dan hosts? c. Ada tapi sudah kuno

16 31. Apakah ada Application Architecture Digram dan Data Flow Diagram yang akurat untuk aplikasi penting? 32. Untuk aplikasi apa diagram diatas (nomor 31) ada? a. Hanya untuk aplikasi dari luar b. Hanya untuk aplikasi yang dikembangkan di dalam c. Untuk semua aplikasi 33. Apakah dimungkinkan merekam aktivitas di host dan perangkat keras? 34. Apakah ada langkah-langkah pengamanan terhadap informasi rekam jejak (log)? i. Sistem operasi dan aplikasi dirancang untuk tidak menghapus sistem lama ii. Rekam jejak disimpan berdasarkan prioritas untuk menjamin ketersediaan penyimpanan iii. Akses terhadap rekam jejak terbatas untuk administrator iv. Seluruh rekam jejak di dalam sistem disimpan pada satu server 35. Apakah ada tinjauan terhadap rekam jejak (log)? 36. Seberapa sering rekam jejak (log) ditinjau? a. Harian b. Mingguan c. Bulanan d. Jika Diperlukan e. Tidak Tahu 37. Apakah data penting dan sensitif di backup secara rutin? 38. Apakah ada kebijakan dan prosedur penanganan media backup? 39. Kebijakan dan prosedur penanganan media backup apa yang ada? i. Penyimpanan backup diluar lokasi utama (Offsite storage) ii. Penyimpanan disimpan di lemari tahan api iii. Pembatasan akses ke fisik media penyimpanan iv. Rotasi dan perawatan media backup 40. Apakah ada kebijakan untuk pengujian prosedur backup dan restore? dan apakah kebijakan ini terdokumentasi?