WorkFlow Table. PT. Astra Graphia Information Technology. Prosedur Pemasangan CCTV. 4. Menampilkan window Surat Tugas Manajer Proyek

Transkripsi

1 L1

2 WorkFlow Table PT. Astra Graphia Information Technology Prosedur Pemasangan CCTV Actor Activity Membuat Surat Tugas Manajer Proyek 1. Menerima Dokumen Order 2. Memilih folder Surat Tugas 3. Memilih draft Surat Tugas Komputer 4. Menampilkan window Surat Tugas Manajer Proyek 5. Menginput Nomor Surat Tugas 6. Menginput Lampiran 7. Menginput Kota 8. Menginput Tanggal 9. Menginput Keterangan 10. Menginput Nama Manajer Proyek 11. Memilih tombol Save Komputer 12. Menyimpan Surat Tugas Manajer Proyek 13. Memilih tombol Print Komputer 14. Mencetak Surat Tugas Manajer Proyek 15. Memberikan Surat Tugas ke Teknisi Melakukan Survei Lokasi Teknisi 16. Menerima Surat Tugas 17. Melakukan survei ke lokasi Melakukan Instalasi Perangkat CCTV Teknisi 18. Menerima perangkat 19. Memasang kamera CCTV dan switch / router 20. Memasang kabel dari kamera CCTV ke switch/router 21. Memilih Configuration CCTV 22. Memilih Menu System Komputer 23. Menampilkan window System Teknisi 24. Pada group box System Time, ubah Time Zone menjadi : a. GMT +07:00 (WIB) b. GMT +08:00 (WITA) c. GMT +09:00 (WIT) 25. Memilih tombol Save 26. Memilih Synchronize with computer time, untuk waktu di kamera sudah sesuai dengan waktu lokasi setempat 27. Memilih tombol Save kembali 28. Memilih Menu SNMP Komputer 29. Menampilkan group box SNMP Teknisi 30. Memilih centang pada Enable SNMPv1, SNMPv2c 31. Menginput Read / Write community : dengan BANK L2

3 XYZ 32. Memilih Menu Network Komputer 33. Menampilkan group box Network Type Teknisi 34. Memilih Used fixed IP address Komputer 35. Menampilkan detail Used fixed IP address Teknisi 36. Menginput IP Address dengan detail IP Address yang didapat dari Admin 37. Memilih tombol Save 38. Memilih Menu Video Komputer 39. Menampilkan group box Video Settings Teknisi 40. Menginput pengaturan ( Stream 1-4) : a. MP4 b. Frame Size : 320x200 c. Maximum frame rate : 8 fps d. Intra frame period : 1 S e. Video Quality : pastikan diklik Constant bit rate : 64kbps 41. Memilih Menu Camera Tempering Detection Komputer 42. Menampilkan group box Camera Tempering Detection Teknisi 43. Memilih centang camera tempering detection 44. Memilih tombol Save 45. Memilih Menu Recording Komputer 46. Menampilkan group box Recording Settings Teknisi 47. Melakukan SD Test 48. Memilih tombol Add Komputer 49. Menampilkan window Recording Teknisi 50. Menginput Recording Name 51. Memilih centang untuk Schedule pada group box Trigger 52. Memilih centang untuk semua hari pada group box Recording Schedule 53. Memilih SD pada combo box Destination 54. Memilih Menu Local Storage Komputer 55. Menampilkan window Local Storage Teknisi 56. Memilih SD Card Status Komputer 57. Menampilkan detail SD Card Status Teknisi 58. Memilih tombol Format 59. Memilih SD Card Control Komputer 60. Menampilkan detail SD Card Status Teknisi 61. Memilih centang pada Enable cycling storage 62. Memilih tombol Save Melakukan Koordinasi Jaringan dan Register Kamera ke NVR Teknisi dan Bagian OMC 63. Memeriksa jaringan Teknisi 64. Melakukan uji coba pada kamera Membuat Berita Acara Instalasi Manajer Proyek 65. Memilih folder BA Instalasi CCTV 66. Memilih draft BA Instalasi CCTV 67. Memilih tombol Print Komputer 68. Mencetak BAI L3

4 Manajer Proyek Komputer Manajer Proyek Komputer Manajer Proyek Komputer Manajer Proyek Komputer Manajer Proyek Komputer Manajer Proyek Bagian OMC Komputer Bagian OMC Komputer Bagian OMC Bagian Helpdesk Komputer Bagian Helpdesk Teknisi Manajer Proyek 69. Memberikan BAI ke Teknisi 70. Menerima BAI yang telah diisi oleh Teknisi 71. Memilih tombol Scan 72. Menampilkan hasil scan BAI 73. Memilih tombol Save 74. Menyimpan BAI Membuat Berita Acara Siap Operasi 75. Memilih folder BA Siap Operasi 76. Memilih draft BA Siap Operasi 77. Menampilkan window BA Siap Operasi 78. Menginput Kode BASO 79. Menginput Tanggal 80. Menginput Keterangan BASO berdasarkan BAI 81. Memilih tombol Save 82. Menyimpan BASO 83. Memilih tombol Print 84. Mencetak BASO 85. Memberikan BASO ke Pelanggan 86. Memberikan salinan BASO ke Manajer Operasional Melakukan Pemantauan Operasional Kamera CCTV 87. Memilih menu Login 88. Menampilkan window Login 89. Menginput User ID 90. Menginput Password 91. Memilih tombol Login 92. Menampilkan window Monitoring CCTV 93. Memantau rekaman kamera CCTV 94. Memantau sistem Helpdesk 95. Jika ada gangguan, maka akan menghubungi Bagian Helpdesk 96. Memilih menu Logout Memeriksa Sistem Helpdesk 97. Menerima pengaduan gangguan 98. Memilih Menu sistem Helpdesk 99. Menampilkan sistem Helpdesk 100. Memeriksa gangguan pada sistem Helpdesk 101. Menghubungi Teknisi Melakukan Pemeriksaan dan Analisa Pada Perangkat CCTV 102. Memeriksa gangguan 103. Jika perangkat yang rusak tidak dapat diperbaiki, maka harus melakukan pergantian perangkat 104. Memasang kembali kamera / switch 105. Melakukan konfirmasi ke Bagian OMC dan Helpdesk 106. Mengembalikan perangkat ke gudang Membuat Berita Acara Kunjungan Teknisi 107. Memilih folder BAKT 108. Memilih draft BAKT 109. Memilih tombol Print L4

5 Komputer Manajer Proyek Komputer Manajer Proyek Komputer Bagian Helpdesk Komputer Bagian Helpdesk Komputer Bagian Helpdesk Manajer Operasional Komputer Manajer Operasional Komputer Manajer Operasional Komputer Manajer Operasional Teknisi Manajer Operasional Komputer Manajer Operasional 110. Mencetak BAKT 111. Memberikan BAKT ke Teknisi 112. Menerima BAKT yang telah diisi oleh Teknisi 113. Memilih tombol Scan 114. Menampilkan hasil scan BAKT 115. Memilih tombol Save 116. Menyimpan BAKT Mengolah Data Rekaman 117. Menerima data rekaman dari Bagian OMC 118. Memilih folder Rekaman 119. Memilih file excel Data Rekaman 120. Menampilkan Data Rekaman 121. Menggabungkan data rekaman Helpdesk dan Bagian OMC 122. Memilih tombol Save 123. Menyimpan Data Rekaman 124. Memberikan Data Rekaman ke Manajer Operasional Membuat Laporan Bulanan Operasional Proyek 125. Menerima Data Rekaman dari Bagian Helpdesk 126. Memilih folder Monthly Report CCTV 127. Memilih draft Monthly Report CCTV 128. Menampilkan window Monthly Report CCTV 129. Menginput Kode LBOP 130. Menginput Tanggal 131. Menginput Nomor Proyek 132. Menginput Keterangan Proyek 133. Menginput Periode LBOP 134. Menginput Versi Dokumen 135. Menginput Isi LBOP 136. Menginput Nama Manajer Operasional 137. Menginput Nama Pelanggan 138. Memilih tombol Save 139. Menyimpan LBOP 140. Memilih tombol Print 141. Mencetak LBOP 142. Memberikan LBOP ke Pelanggan Melakukan Penarikan Perangkat CCTV 143. Meng-uninstal perangkat 144. Memutus jaringan pada kabel 145. Mencabut kamera CCTV dan switch / router 146. Mencabut switch/router Membuat Berita Acara Dismantling 147. Memilih folder BA Dismantling CCTV 148. Memilih draft BA Dismantling CCTV 149. Memilih tombol Print 150. Mencetak BAD 151. Memberikan BAD ke Teknisi 152. Menerima BAD yang telah diisi oleh Teknisi L5

6 Komputer Manajer Operasional Komputer Manajer Operasional Komputer Manajer Operasional 153. Memilih tombol Scan 154. Menampilkan hasil scan BAD 155. Memilih tombol Save 156. Menyimpan BAD 157. Memilih tombol Print 158. Mencetak BAD 159. Memberikan BAD ke Pelanggan L6

7 Detailed Activity Diagram L7

8 L8

9 L9

10 L10

11 L11

12 L12

13 L13

14 L14

15 Detailed Activity Diagram PT. Astra Graphia Information Technology Melakukan Pemeriksaan dan Analisa Pada Perangkat CCTV Teknisi Komputer 102. Memeriksa gangguan pada Perangkat CCTV [Ganti perangkat] No Yes 103. Melakukan penggantian Perangkat CCTV 104. Memasang kembali Kamera/Switch 105. Melakukan konfirmasi Ke Bagian OMC dan Helpdesk [Kembalikan barang] Ms_Perangkat No Yes 106. Mengembalikan Perangkat Ke Gudang Ms_Perangkat L15

16 L16

17 L17

18 L18

19 L19

20 Detailed Activity Diagram PT. Astra Graphia Information Technology Membuat Berita Acara Dismantling Manajer Operasioanl Komputer 147. Memilih folder BAD CCTV 148. Memilih draft BAD CCTV Tr_BAD 149. Memilih tombol Print 150. Mencetak BAD 151. Memberikan BAD Ke Teknisi {BAD} 152. Menerima BAD yang telah diisi oleh Teknisi 153. Memilih tombol Scan 154. Menampilkan hasil Scan BAD 155. Memilih tombol Save 156. Menyimpan BAD 157. Memilih tombol Print Tr_BAD 158. Mencetak BAD 159. Memberikan BAD Ke Pelanggan {BAD} L20

21 Entity Relationship Diagram L21

22 Navigation Diagram (Lanjutan window) Pilih Camera Tempering Detection (Lanjutan window) Klik tombol Save dan pilih SNMP Centang Enable camera tempering detection, klik tombol Save dan pilih Recording Centang Enable SNMPv1, SNMPv2c dan pilih Network Klik tombol Save dan Pilih Video Klik tombol Add Klik Use fixed IP Address Klik pada SD card status Klik tombol Save dan Pilih Local storage Klik Tombol Format Dan klik pada SD card Control Klik tombol Save dan kamera aktif L22

23 AUDIT CHECKLIST Sistem Manajemen Keamanan Informasi ISO/IEC : 2005 PT. Astra Graphia Information Technology Proyek Pemasangan CCTV Bank XYZ References Audit area, objetives and questions Results No. Annex Requirement Objective Audit Question Findings Major Minor 1 A A A A A A A A Information security policy document Review of the information security policy Management commitment to information security Information security coordination Allocation of information security responsibilitie s Roles and responsibilitie s Authorization process for information processing facilities Confidentialit y agreements adanya peraturan yang tertulis untuk menjaga keamanan informasi data rekaman CCTV. Karena suatu kebijakan yang sudah di tetapkan harus di tinjau dan di diskusikan apabila adanya perubahan kebijakan Karena setiap keamanan di dalam perusahaan harus didukung dan disetuhui oleh pihak manajemen. menjaga keamanan data rekaman CCTV ini harus dilakukannya pembagian tugas dan tanggung jawab pada setiap karyawan dan setiap karyawan telah memahami tugas dan tanggung jawab yang diberikan. mengetahui tentang otorisasi dari pengguna dalam menggunakan fasilitas pengolahan data rekaman CCTV apabila adanya fasilitas pengolahan data rekaman CCTV yang baru. menjaga kerahasian mengenai data rekaman CCTV, agar kerahasiaannya lebih terjamin. Apakah kebijakan mengenai keamanan informasi pada saat melakukan monitoring rekaman cctv sudah didokumentasikan dalam suatu dokumen yang tertulis? Apakah pedoman tersebut di tinjau secara rutin? Apakah pihak manajemen sudah mendukung dan menyetujui tanggung jawab mengenai keamanan data rekaman CCTV? a. Apakah tugas yang diberikan kepada setiap karyawan sudah menjelaskan peran dan tanggung jawabnya terhadap keamanan data rekaman CCTV perusahaan? b. Apakah setiap karyawan telah memahami mengenai tugas dan tanggung jawabnya terhadap keamanan data rekaman CCTV? Apakah jika terdapat fasilitas pengolahan data rekaman CCTV yang baru (computer, server, perangkat lunak), terdapat suatu penjelasn mengenai otorisasi penggunaannya? Apakah Non- Disclosure Agreement (NDA) telah diberlakukan terhadap semua pihak yang menangani proyek pemasangan CCTV pada Bank XYZ? L23 Terdapat Data Integrity Test untuk penyimpanan hasil Data monitoring rekaman CCTV. Hanya Bagian EOS dan Manajer yang dapat mengakses data rekaman CCTV. Menggunakan jaringan VPN khusus. Tetapi belum ada dokumen yang tertulis mengenai kebijakan keamanan informasi. Tidak ada tinjauan secara rutin, karena belum ada prosedur yang tertulis. Mengacu pada hasil A Pihak manajemen sudah mendukung Tugas yang diberikan kepada karyawan sudah jelas. Karyawan juga sudah memahami tugas dan tanggung jawab. Terdapat dokumen pendukung mengenai tugas dan tanggung jawab karyawan yaitu dokumen Rencana Penyusunan Layanan. Belum ada fasilitas pengelolaan data rekaman CCTV yang baru, sehingga belum ada penjelasan mengenai otorisasi penggunannya. Sudah di berlakukannya NDA pada semua pihak yang terkait pada proyek CCTV ini. Dokumen NDA di bagian operasional. Observation Compliance NO NO

24 9 A A A A A Contact with authorities Contact with special interest groups Independent review of information security Identification of risks related to external parties Addressing security when dealing with customers mengetahui hubungan antara otoritas terkait yang harus dipelihara menjaga hubungan yang tepat dengan pihak terkait. mengetahui bahwa keamanan data rekaman CCTV sudah dibahas secara independen(inter nal audit, external audit, dsb). mengetahui risiko yang mungkin terjadi dari akses yang akan diberikan kepada pihak luar yang terkait. mengidentifikasi kan syarat keamanan yang harus dilakukan sebelum memberikan akses kepada pihak lain yang terkait terhadap data rekaman CCTV atau aset organisasi. Apakah sudah ditetapkan pihak yang berwenang didalam perusahaan yang berhubungan dengan otoritas dalam hal untuk menindaklanjuti suatu fraud/insiden keamanan data rekaman CCTV? Apkah sudah ada pihak yang bertanggung jawab untuk bergabung dalam forum professional/asosiasi terkait dalam memelihara keamanan informasi perusahaan? Apakah perusahaan sudah pernah melakukan audit terhadap keamanan data rekaman CCTV dari pihak yang independen tersebut? Apakah risiko yang berdampak terhadap data rekaman CCTV dan fasilitas pengolahan data rekaman CCTV yang melibatkan pihak luar sudah diidentifikasikan sebelumnya? Apakah pihak perusahaan sudah memberikan persyarat dalam pengaksesan keamanan data rekaman CCTV kepada pihak luar yang terkait? Sudah ada pihak yang menindaklanjuti insiden keamanan data rekaman CCTV, yaitu Customer Service Center (helpdesk) yang memiliki Document Service Cataloge.dan juga EOS untuk insiden di lapangan. Berdasarkan hasil audit yang sudah dilakukan, PT. AGIT sudah mengikuti forum internal perusahaan yang hanya melakukan sharing saja, tetapi pihak PT. AGIT belum pernah ada yang bergabung untuk forum professional/asosias i secara internasional. PT. AGIT sudah melakukan internal audit pada keamanan informasi data rekaman CCTV namun dilakukan oleh manajer operasional. Internal audit tersebut dilakukan setiap 6 bulan terhubung dengan data integrity test. Pihak luar tidak terlibat dalam pengolahan data rekaman. Apabila terkait kemungkinan risiko pasti ada, namun risiko itu telah dikunci di dalam NDA. Pihak Bank XYZ tidak memperoleh hak akses untuk mengolah data rekaman CCTV sehingga persyaratan keamanan data rekaman CCTV dilakukan oleh tim proyek CCTV dari PT. AGIT. Pihak Bank XYZ akan menerima data rekaman CCTV yang telah diolah oleh PT. AGIT. NO L24

25 14 A A A A A Addressing security in third party agreements Inventory of assets Ownership of assets Acceptable use of assets Classification guidelines mengetahui keamanan dalam pengaksesan dan pengelolan informasi mengenai data kamera CCTV dan fasilitas pengolahan informasi Karena proyek pemasangan CCTV ini menggunakan sangat banyak asset perusahaan yang harus di jaga. Karena data rekaman CCTV yang dihasilkan perusahaan harus di pertanggungjawa bkan oleh satu bagian khusus dalam organisasi, agar kerahasiaan, integritas dan ketersediaan informasi tersebut dapat terjaga. Karena suatu aset perusahaan harus dijaga dengan memberikan peraturan penggunaan teknologi informasi tersebut. Karena setiap data rekaman CCTV yang ada di dalam perusahaan harus dilindungi kerahasiaannya dan harus diklasifikasi. Apakah aspek tanggung jawab terhadap keamanan data kamera CCTV sudah disepakati dengan pihak terkait? Apakah sebelum melakukan pemasangan kamera CCTV tersebut seluruh peralatan sudah disediakan? Apakah ada kode unik pada setiap Kamera CCTV dan perangkat pendukung lainnya yang memuat detail aset tersebut? Apakah ada pemeliharaan secara rutin terhadap peralatan tersebut? Apakah setiap aset yang ada sudah ditetapkan penanggungjawabnya? Apakah peraturan mengenai penggunaan aset teknologi informasi di dalam perusahaan sudah ditetapkan oleh penggunanya? Apakah data rekaman CCTV sudah diklasifikasi? (berdasarkan kerahasiaan informasi, sensitivitas informasi, dsb). Teknisi tidak ada akses kedata, tetapi pada saat link mati dan teknisi harus datang mengambil SD card maka kemungkinan pengambilan data tersebut bisa terjadi. Di dalam NDA teknisi tidak tertulis mengenai tanggung jawab terhadap keamanan data, tetapi hanya implementasi dan pemeliharaan. Semua peralatan sudah disediakan sebelum dilakukan pemasangan. Setiap perangkat telah diberikan kode unik dengan serial number dengan mapping ke CMDB dan sudah dilengkapi dengan detail dari peralatan itu. Belum dilakukan pemeliharaan secara rutin, PT. AGIT menggunakan preventive maintenance yang dapat mendeteksi peralatan yang akan rusak dan akan segera dicegah oleh PT. AGIT. Penanggungjawabn ya adalah Manajer operasional bertanggungjawab pada CMDB dan manager konfigurasi bertanggungjawab untuk keseluruhan dari CMDB. Sudah terdapat pada dokumen role and responsibility yg merupakan bagian dari dokumen rencana penyusunan layanan serta SOP untuk panduan cara penggunaannya. Tidak ada tingkat kerahasiaan untuk setiap data rekaman CCTV, semua dinyatakan sama untuk sensitivitasnya. Non Applicable L25

26 19 A Information labelling and handling 20 A Screening 21 A Terms and conditions of employment Karena setiap data rekaman CCTV harus ditangani sesuai dengan klasifikasi yang sudah dilakukan sebelumnya. bahwa setiap calon karyawan diberikan tugas dan tanggung jawab sesuai dengan keahlian dan bidangnya bahwa setiap calon karyawan telah menyetujui dan menandatangani syarat serta kondisi kontrak kerja mereka Apakah Penanganan informasi data rekaman CCTV sudah ditetapkan sesuai dengan klasifikasi informasinya? Apakah telah dilakukan penyaringan terhadap setiap calon karyawan yang akan direkrut oleh perusahaan? Apakah terdapat suatu perjanjian ikatan kerja terhadap calon karyawan? (contoh : NDA (Non-Disclosure Agreement) ) Tidak adanya tingkat kerahasiaan untuk setiap data rekaman CCTV, maka penanganan data rekaman CCTV tidak dibedakan. Sudah dilakukannya penyaringan terhadap calon karyawan. Ada 3 tahap penyaringan calon karyawan, yaitu tes tertulis, interview oleh user (Operating Manager), dan interview oleh Human Resource. Terdapat perjanjian ikatan kerja karyawan berupa dokumen NDA (Non-Disclosure Agreement). Karyawan baru akan menandatangani NDA setelah melewati 3 tahap penyaringan calon karyawan. Non Applicable 22 A A A Management responsibilitie s Information security awareness, education and training Disciplinary process bahwa manajemen telah mewajibkan karyawan untuk mematuhi kebijakan dan prosedur keamanan informasi pada proyek CCTV bahwa perusahaan dan pihak manajemen telah memberikan pengetahuan mengenai keamanan informasi, pendidikan dan pelatihan sesuai dengan kebijakan perusahaan. memberikan sanksi kepada setiap karyawan agar karyawan dapat menjaga keamanan informasi dan menaati proses disiplin di dalam perusahaan. Apakah sudah terdapat kebijakan yang mengatur karyawan untuk memelihara keamanan data rekaman CCTV pada proyek CCTV yang dijalankan? Apakah sudah ada kesadaran terhadap keamanan informasi dalam berbagai bentuk didalam perusahaan? (training, poster,e- Learning, presentasi, dsb) Apakah pelanggaran terhadap keamanan informasi sudah diberitahukan kepada karyawan dan juga sudah ditetapkan sanksi-sanksinya? Belum ada kebijakan dan prosedur dalam mengatur setiap karyawan untuk memelihara keamanan data rekaman CCTV yang buat oleh pihak manajemen PT. Astra Graphia Information Technology. Tidak ada kebijakan mengenai keamanan data rekaman CCTV. Operating Manager memberikan pengetahuan mengenai keamanan terhadap data rekaman CCTV kepada karyawan pada saat project meeting saja. HRD telah melakukan sosisalisasi kepada karyawan mengenai sanksi-sanksi pelanggaran pada saat penandatanganan NDA. Sanksi yaitu SP 1, SP 2 dan SP 3 (pemecatan) yang sudah tertulis di HRD. NO L26

27 25 A A Termination responsibilitie s Return of assets bahwa terdapat prosedur yang jelas untuk menangani pemutusan atau perubahan hubungan kerja. menjaga aset-aset perusahaan yang harus dikembalikan setelah kontrak atau kesepakatan sudah habis jangka waktunya. Apakah tanggung jawab terhadap prosedur pemutusan atau perubahan hubungan kerja sudah jelas dan terdokumentasi? Apakah ada checklist terhadap aset-aset perusahaan yang harus di kembalikan oleh karyawan sesuai dengan kontrak atau kesepakatan pada saat pemutusan hubungan kerja? (kamera CCTV, switch/router, cable, dsb) Terdapat prosedur pemutusan atau perubahan hubungan kerja Operating Manager akan mengajukan Form Perubahan Status Kerja kepada HRD terkait dengan karyawan yang ingin melakukan pemutusan hubungan kerja. HRD akan memberikan Form Exit Clearance (FEC) kepada karyawan yang ingin melakukan pemutusan hubungan kerja dan karyawan akan mengisi form tersebut, kemudian mengembalikan form tersebut kepada HRD untuk ditindak lanjuti. Sudah ada pendataan mengenai aset-aset yang digunakan oleh setiap karyawan. CAR (Company Asset Request) merupakan database yang dibuat oleh Tim Aset yang memuat tentang aset-aset perusahaan yang digunakan oleh setiap karyawan. Apabila terjadi pemutusan hubungan kerja, HRD akan memberikan FEC yang telah diisi oleh karyawan kepada Tim Aset untuk disesuaikan dengan database CAR sehingga dapat dilakukan pembaharuan data pada database CAR. 27 A Removal of access rights bahwa karyawan yang sudah tidak terkait dengan perusahaan tidak dapat mengakses informasi dan fasilitas pengolahan informasi perusahaan. Apakah prosedur penghapusan hak akses karyawan sudah diberlakukan ketika suatu karyawan sudah tidak bekerja lagi atau masa kontrak kerja sudah jatuh tempo? Sudah ada prosedur mengenai penghapusan hak akses Prosedur penghapusan hak akses tertera pada FEC yang diberikan HRD kepada karyawan yang akan melakukan pemutusan hubungan kerja. L27

28 28 A Physical security perimeter melindungi areaarea yang memiliki akses ke data rekaman CCTV. Apakah perlindungan secara fisik (ruangan, pintu, dsb) sudah diterapkan pada areaarea yang digunakan untuk pengolahan data rekaman CCTV? Sudah ada perlindungan fisik pada area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV. Ruang pemantauan dan penyimpanan dibuat terpisah. Pada setiap pintu telah terpasang alat proximity access cards, terdapat kamera CCTV, terdapat alat-alat perlindungan. bencana (i.e fire extinguisher, fire alarm, dsb.), rakrak server yang dapat dikunci, satpam, dan security organic untuk ruang data center. 29 A Physical entry controls keamanan areaarea yang memiliki akses ke data rekaman dengan menerapkan pengendalian akses pada setiap pegawai yang bertugas. Apakah terdapat alat untuk pengendalian akses (i.e. finger print, card tapping) pada area-area yang memiliki akses ke data rekaman CCTV sehingga hanya dapat diakses oleh pegawai yang memiliki wewenang? Sudah melakukan pengendalian akses masuk ke ruang pemantauan CCTV dan penyimpanan data rekaman CCTV. Pada setiap pintu telah terpasang alat proximity access card dan terdapat kamera CCTV. Setiap kartu sudah di setting sesuai dengan kebutuhan dalam mengakses ruangan. 30 A Securing offices, rooms and facilities keamanan ruang dan fasilitas pegawai dari berbagai gangguan. Apakah ruang dan fasilitas para pegawai sudah terlindungi secara fisik dari customer/tamu? Sudah ada perlindungan terhadap keamanan area kerja para karyawan. Perlindungan fisik yang diterapkan sudah disebutkan pada A A Protecting against external and environmental threats ketersediaan dan keandalan peralatan perlindungan bencana memenuhi kebutuhan akan keamanan. Apakah ketersediaan peralatan perlindungan bencana (i.e. fire alarm, fire extinguisher, smoke detector, hydran) sudah memenuhi kebutuhan keamanan pada area-area yang memiliki akses ke data rekaman CCTV? Sudah dilakukan perlindungan terhadap bencana alam yang mungkin terjadi. Terdapat alat-alat perlindungan bencana alam (i.e fire extinguisher, fire alarm, smoke detector, hydran) pada area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV. L28

29 32 A Working in secure areas bahwa setiap pegawai dapat secara mandiri melindungi diri dari risiko dan ancaman dalam area kerja. Apakah pedoman tertulis untuk perlindungan secara fisik (i.e. cara menggunakan fire extinguisher) pada area kerja sudah diterapkan? Sudah ada pelatihan perlindungan secara mandiri yang diberikan kepada setiap karyawan. Setiap 3 bulan sekali, pihak gedung memberikan simulasi bencana alam kepada seluruh penghuni gedung. 33 A Public access delivery and loading areas meminimalisir risiko (i.e. akses ilegal) yang dapat terjadi pada areaarea yang harus terjaga keamanannya. Apakah area-area yang memiliki akses ke data rekaman CCTV sudah terlindungi dengan alat pengendalian akses (i.e. finger print, card tapping) yang memadai? Sudah ada perlindungan secara fisik pada area-area proses operasional proyek CCTV. Mengacu pada A yang telah menyebutkan perlindungan yang sudah diterapkan. 34 A Equipment sitting and protection tata letak dari peralatan untuk pengolahan data rekaman CCTV sudah benar dan aman. Apakah peralatan yang digunakan untuk pengolahan data rekaman CCTV (i.e. komputer/server) sudah diletakkan dengan benar dan aman sehingga mengurangi terjadinya risiko? Sudah menempatkan peralatan yang digunakan dalam proses operasional proyek CCTV secara aman. Penempatan server pada rak-rak yang tersedia dengan mempertimbangkan kapasistas dan jarak dari setiap server. 35 A Supporting utilities menghindari terjadinya risiko dan ancaman pada operasional CCTV. Apakah dilakukan otorisasi untuk setiap pegawai yang akan mengakses area-area yang memiliki akses ke data rekaman CCTV? Perlindungan terhadap peralatan sudah diterapkan. Adanya database CAR dan dokumen Rencana Penyusunan layanan yang memuat keterangan peran dan tanggung jawab serta SOP untuk penggunaan aset IT. 36 A Cabling security melindungi kabel-kabel yang digunakan pada CCTV sehingga terlindungi keamanannya dan terhindar dari risiko. Apakah penempatan kabel-kabel yang digunakan untuk CCTV sudah tertata dengan baik? Penempatan kabel sudah ditentukan dengan baik. Kabel-kabel pada server diletakkan pada jalur yang sudah dibuat. Kabel-kabel pada ruang monitoring ditata menggunakan cable duct. L29

30 37 A Equipment Maintenance ketersediaan dan keutuhan perangkat CCTV yang digunakan secara berkelanjutan. Apakah pemeliharaan perangkat CCTV dilakukan secara rutin dan terdokumentasi dengan baik? a. Pemeliharaan dilakukan dengan incidental yaitu hanya pada saat gangguan atau kerusakan terjadi. b. Dokumentasi dilakukan secara otomatis, tetapi pada gangguan atau kerusakan berulang di dokumentasi secara manual 38 A A A A Securing of equipment offpremises Secure disposal or reuse of equipment Removal of property Documented Operating procedures keamanan peralatan yang berada di luar area kerja sehingga kualitasnya tetap baik untuk digunakan. perangkat CCTV yang akan diganti sudah tidak menyimpan data rekaman CCTV sehingga tidak dapat di akses oleh pihak lain. bahwa setiap perangkat CCTV yang akan diganti sudah memiliki persetujuan untuk diganti dan dipindahkan ke gudang. kegiatan operasional CCTV terdokumentasi dengan baik sehingga hasil dokumentasi dapat digunakan untuk pengambilan keputusan oleh Opearating Manager. Apakah terdapat prosedur keamanan yang dirancang untuk peralatan yang berada di luar area kerja? Apakah penggantian perangkat CCTV yang rusak telah dilakukan secara aman dengan bahwa data yang tersimpan di dalamnya tidak dapat diakses oleh pihak lain? Apakah petugas yang melakukan penggantian perangkat CCTV yang rusak membawa surat tugas atau bukti yang menjelaskan bahwa petugas tersebut mendapatkan wewenang untuk melakukan penggantian perangkat CCTV? Apakah setiap pengolahan data rekaman CCTV terdokumentasi dengan baik sehingga hasilnya dapat dikomunikasikan kepada pihak yang membutuhkan (i.e. manager, customer)? Tidak ada peralatan yang digunakan diluar area kerja terkait dengan keberadaan data rekaman CCTV. Sudah ada pengamanan terhadap data rekaman CCTV pada perangkat CCTV. Melakukan penyimpanan dan back-up data rekaman CCTV. Merubah format data rekaman ke format khusus H264. Ya, Teknisi harus membawa surat tugas untuk melakukan penarikan atau penggantian perangkat CCTV. Kemudian Teknisi akan mengisi BAKT (Berita Acara Kunjungan Teknisi) ketika penarikan atau penggantian perangkat CCTV telah selesai dilakukan. Ya, proses operasional terdokumentasi dengan baik. Hasil rekaman CCTV di simpan pada NVR server. Hasil rekaman CCTV dienkripsi ke dalam format khusus H264. Non Applicable L30

31 42 A Change Management mengendalikan setiap perubahan manajemen yang terjadi agar tidak keluar dari jalur yang telah ditentukan. Apakah perubahan terhadap fasilitas dan sistem pada CCTV telah dilakukan sesuai dengan prosedur yang ada? Terdapat prosedur Change Request untuk menangani perubahan manajemen yang terjadi. 43 A A A A A Segregation of duties Separation of development, test and operational facilities Service delivery Monitoring and review of third party services Managing changes to third party services meminimalkan risiko penyalahgunaan wewenang oleh pegawai dalam memenuhi kepentingan pribadi. meminimalkan risiko pekerjaan dengan memisahkan setiap kegiatan proses yang akan dilakukan. bahwa pihak ketiga telah memberikan pelayanan terhadap pemeliharaan dan perbaikan kendala cctv dengan baik dan sesuai dengan kesepakatan yang dibuat bahwa layanan yang diberikan oleh pihak ketiga telah diawasi dan dibahas secara teratur bahwa setiap mekanisme perubahan yang dilakukan oleh pihak ketiga telah berdasarkan pada ketentuan yang disepakati Apakah pembagian tugas dan tanggung jawab sudah dijelaskan dengan baik kepada setiap pegawai sehingga tidak terjadi penyalahgunaan wewenang ke aset perusahaan yang terkait dengan CCTV? Apakah dalam melakukan pengembangan, pengujian, dan operasional CCTV terdapat pemisahan lingkungan dari masing-masing kegiatan tersebut? Apakah layanan terhadap pemeliharaan dan perbaikan cctv yang dilakukan oleh Teknisi telah sesuai dengan kesepakatan yang dibuat? Apakah telah dilakukan peninjauan terhadap layanan yang diberikan oleh teknisi bedasarkan laporan bulanan? Apakah terdapat ketentuan yang mengharuskan teknisi untuk melaporkan segala mekanisme perubahan kepada manajemen operasional? (i.e. perubahan layanan dari teknisi, perubahan organisasi teknisi, perubahan kebijakan, dsb.) Terdapat dokumen Rencana Penyusunan Layanan yang berisi Deskripsi Tanggungjawab dan Wewewang Tim Penyusunan Layanan. Dokumen tersebut memisahan tugas masingmasing karyawan dengan jelas dan sudah ditetapkan pada proyek CCTV. Sudah terdapat pemisahan lingkungan pada pengembangan, pengujian, dan operasional fasilitas proyek CCTV. Sudah ada dokumen Scope of Work yang menjelaskan lingkup kerja dari masing-masing divisi dalam proyek CCTV. Sudah dilakukan peninjauan terhadap layanan dari pihak ketiga. Terdapat review meeting yang dilakukan setiap 3 bulan. Terdapat incidental meeting apabila terjadi insiden. Ya, sudah ada ketentuan apabila terjadi perubahan yang dilakukan oleh teknisi. Teknisi menghubungi bagian OMC, membuat tiket ke sistem Helpdesk, dan mengisi laporan pada BAKT. L31

32 48 A Capacity Management performa dari infrastruktur pengolahan data rekaman CCTV yang digunakan. Apakah kapasitas dari infrastruktur pengolahan data rekaman CCTV (i.e. server, network, perangkat lunak, dsb) telah direncanakan? Sudah ada pengelolaan mengenai kapasitas infrastruktur yang dibutuhkan dalam proyek CCTV. Terdapat Capacity Planning yang dilakukan sebelum proyek dimulai. Terdapat Capacity Monitoring yang dilakukan pada saat proyek berjalan. 49 A A A System acceptance Controls against malicious code Controls against mobile code perencanaan penerimaan sistem baru telah dirancang dan diterapkan dengan baik sehingga tidak menggannggu operasional CCTV. bahwa terdapat perlindungan terhadap malicious code telah diimplementasikn bahwa pengendalian terhadap kode yang dapat ditransmisikan telah disahkan untuk melindungi perangkat lunak dan data hasil rekaman cctv Apakah mekanisme penerimaan sistem baru pada proyek operasional CCTV telah direncanakan? Apakah telah dilakukan pendeteksian, pencegahan dan pemulihan terhadap aplikasi operasional cctv (Sistem Helpdesk, Monitoring CCTV) terhadap malicous code? (contoh dengan mengklik sesuatu dapat menyebabkan kerusakan pada aplikasi) Apakah telah dilakukan pengendalian/aturan terkait penggunaan mobile code pada saat user ingin mengakses data rekaman dan dokumenoperasional cctv? (i.e. pengendalian terhadap active-x & Java- Script pada internet browser, Ms.Office Macro, dsb.)? Belum ada perencanaan mengenai mekanisme penerimaan sistem yang baru karena OS yang digunakan masih baru dan telah sesuai tujuan. Ya, sudah ada perlindungan terhadap kode berbahaya. Pendeteksian dan pencegahan menggunakan anti virus. Metode penghapusan dan pemulihan tergantung pada kode berbahaya yang dihadapi. Tidak ada kontrol atau aturan yang memuat tentang penggunaan mobile code. Pengiriman video hasil rekaman CCTV dilakukan dengan menggunakan media Flash Disk sebagai perantaranya. Non Applicable 52 A Information backup bahwa back-up data rekaman dilakukan sesuai dengan kebijakan sehingga integritas dan ketersediaan data rekaman CCTV serta perangkat CCTV tetap terjaga. Apakah back-up data rekaman CCTV yang dilakukan telah sesuai dengan kebijakan yang disepakati dan akan melalui proses pengujian untuk keakuratan dan keandalan data rekaman sebagai hasil dari operasional CCTV? Ya, sudah dilakukannya backup data rekaman CCTV. Dilakukan back-up data rekaman pada NVR setiap 6 bulan sekali. Data rekaman yang tersimpan pada NVR akan dipindahkan ke NAS untuk perpanjangan waktu penyimpanan selama 1-2 bulan. d. Pada bulan ke-8 akan dilakukan penghapusan data rekaman CCTV L32

33 53 A A Network Controls Security of network services melindungi pengelolaan data rekaman CCTV yang menggunakan jaringan (i.e. pertukaran informasi rekaman CCTV) dari risiko. mengidentifikasi keamanan jaringan yang digunakan sehingga mengetahui seberapa aman jaringan tersebut untuk operasional CCTV. Apakah pada jaringan yang digunakan sudah dilakukan perlindungan yang baik? Apakah kebijakan keamanan jaringan terkait dengan operasional CCTV telah diterapkan dengan baik sehingga memenuhi kebutuhan keamanan terhadap jaringan? Sudah ada perlindungan terhadap jaringan. Proyek CCTV menggunakan jaringan VPN IP untuk menjaga kemanan data pada saat dilakukan transmisi data. Kebijakan keamanan jaringan hanya dimiliki oleh penyedia layanan jaringan Non Applicable 55 A Management of removable media prosedur penggantian perangkat CCTV telah dilaksanakan dengan benar. Apakah terdapat prosedur untuk penggunaan media penyimpanan yang dapat berpindah tempat? (ie : usb, disket, hardware external) Tidak ada prosedur secara tertulis mengenai media penyimpanan yang dapat berpindah tempat. Namun media penyimpanan tersebut telah digunakan di dalam operasional proyek CCTV. NO 56 A A A Disposal of Media Information handling procedures Security of system documentation sudah tidak ada data yang tersimpan dalam perangkat CCTV yang akan diganti sehingga pihak lain tidak dapat mengakses data tersebut. melindungi penyingkapan atau penggunaan ilegal atas data rekaman CCTV. melindungi dokumentasi sistem dari akses ilegal. Apakah petugas selalu memeriksa keadaan perangkat CCTV yang rusak ( data yang tersimpan pada perangkat tersebut sudah tidak dapat di akses) terlebih dahulu sebelum dilakukannya penggantian perangkat CCTV yang baru? Apakah terdapat prosedur untuk pengolahan data rekaman CCTV? Apakah sudah ada tools untuk menangani dokumentasi terhadap sistem? Ya, sudah ada pemeriksaaan yang dilakukan pada saat melakukan penarikan atau penggantian perangkat CCTV. Annex ini mengacu pada A Tidak ada prosedur secara tertulis yang memuat tentang pengolahan data rekaman CCTV namun secara teknis sudah dilakukan. Sudah ada tools yang mendokumentasi sistem pada proyek CCTV. Terdapat Event Viewer pada server. Terdapat Firmware pada kamera. NO 59 A Information exchange policies and procedures melindungi pertukaran informasi dari gangguangangguan yang merugikan. Apakah terdapat ketentuan untuk melakukan pertukaran informasi terkait proyek pemasangan CCTV melalui segala jenis media komunikasi? Tidak ada kebijakan ataupun prosedur yang menyatakan tentang pertukaran infornasi pada proyek CCTV. Pertukaran informasi yang dilakukan berdasarkan kesepakatan oleh kedua belah pihak. L33

34 60 A Exchange Agreements memberikan kenyamanan bagi kedua belah pihak dalam melakukan pertukaran informasi. Apakah sudah ada perjanjian pertukaran informasi yang telah disepakati terkait dengan proyek pemasangan CCTV? Ya, sudah ada kesepakatan yang dibuat terkait dengan pertukaran informasi yang dilakukan oleh perusahaan dengan pihak Bank XYZ. Kesepakatan terdapat di dalam kontrak yang telah disetujui oleh kedua belah pihak. 61 A A Physical media in transit Electronic messaging melindungi informasi dalam media komunikasi dari akses ilegal penyalahgunaan informasi. keutuhan dan keakuratan informasi tetap terjaga dan terhindar dari risiko. Apakah media yang digunakan untuk melakukan pertukaran informasi telah terjamin dari akses ilegal, penyalahgunaan atau perubahan selama perjalanan di luar batas fisik proyek? Apakah pertukaran informasi melalui pesan elektronik (i.e. , instant messanger ) memiliki suatu ketentuan (i.e. merubah bentuk file menjadi pdf sebelum di distribusikan via e- mail/messanger) yang dapat menjamin keamanan terhadap informasi tersebut? Flash Disk yang digunakan untuk pengiriman data rekaman CCTV belum terlindungi dengan aman karena memungkinkan terjadinya akses ilegal, penyalahgunaan dan perubahan pada data rekaman CCTV. Tidak ada kesepakatan untuk melakukan pertukaran informasi data rekaman CCTV melalui atau instant messenger karena data rekaman CCTV terlalu besar untuk dikirimkan melalui atau instant messenger. NO Non Applicable 63 A Business Information systems menjaga integritas dan keakuratan informasi selama pertukaran informasi berlangsung. Apakah sudah ditentukan mekanisme proteksi terhadap keamanan informasi apabila melakukan pertukaran informasi kepada pihak luar melalui suatu business information system (i.e. portal informasi, dsb.)? Tidak ada prosedur ataupun kebijakan mengenai perlindungan keamanan data rekaman CCTV pada saat dilakukannya pertukaran data. Hanya berdasarkan kesepakatan saja. NO 64 A A Electronic commerce On-line transactions melindungi informasi dalam e-commerce dari risiko (i.e. pencurian informasi, perubahan informasi ilegal, dsb.) melindungi informasi dalam transaksi online dari risiko (i.e. salah kirim, perubahan informasi ilegal, dsb.) Apakah e-commerce diterapkan dalam proyek pemasangan CCTV? Apakah terdapat transaksi online yang dilakukan terkait proyek pemasangan CCTV? Tidak menerapkan e-commerce pada proyek CCTV yang dijalankan. Tidak ada transaksi online yang dilakukan pada prpyek CCTV. Mengacu pada A Non Applicable Non Applicable L34

35 66 A A Publicly available information Audit Logging mencegah terjadinya akses ilegal pada informasi yang dipublikasikan secara umum. audit yang dilakukan terkait operasional CCTV tercatat dalam pembukuan audit. Apakah informasi yang dipublikasikan secara umum telah diproteksi sehingga keamanan informasi tetap terjaga dari pihak yang ingin melakukan penyalahgunaan informasi tersebut? Apakah terdapat ketentuan terhadap pembukuan audit terkait operasional CCTV sehingga hasilnya berguna dan dapat digunakan kembali sewaktuwaktu oleh pihak yang membutuhkan? Tidak mempublikasikan data rekaman secara umum. Annex ini mengacu pada A Ya, sudah ada pembukuan audit yang dilakukan terkait dengan hasil temuan audit ISO Hasil temuan audit disimpan oleh Business Planning and Quality Management dan dilaporkan kepada Direktur. Non Applicable 68 A Monitoring system use menetapkan sistem informasi yang digunakan pada operasional CCTV ditinjau dan dimonitor secara rutin. Apakah penggunaan sistem informasi terkait operasional CCTV dimonitor dan ditinjau secara rutin serta terdokumentasi dengan baik? Sudah dilakukannya penijauan terhadap sistem yang digunakan pada proyek CCTV. Menggunakan NMS (Network Monitoring System) untuk meninjau sistem pada kegiatan operasional pemantauan CCTV. 69 A Protection of log information melindungi fasilitas dan informasi pembukuan dari risiko. Apakah semua kegiatan pembukuan yang dilakukan telah di back-up dan didokumentasi dengan baik sehingga terhindar dari risiko (i.e. penghapusan data pembukuan, pencurian data pembukuan)? Dokumentasi terhadap hasil termuan audit disimpan oleh bagian Business Planning and Quality Management yang di luar ruang lingkup operasional CCTV. Non Applicable 70 A Administrator and operator log bahwa seluruh kegiatan operasional cctv telah tercatat pada sistem secara otomatis Apakah kegiatan pada sistem administator dan sistem operator pada operasional cctv telah dicatat di dalam sistem secara otomatis? (contoh terdapat log atau history tentang kegiatan yang dilakukan oleh user) Sudah ada pencatatan kegiatan sistem administaor dan sistem operator. Dapat dilihat Log yang mencatat segala kegiatan yang dilakukan pada Event Viewer. 71 A Fault logging memudahkan penentuan sikap/tindakan dalam menghadapi kesalahankesalahan yang timbul selama proyek pemasangan CCTV dijalankan. Apakah semua kesalahan yang terjadi selama operasional CCTV berlangsung tercatat dalam pembukuan? Ya, semua kesalahan akan tercatat di Log yang ada pada Event Viewer. L35

36 72 A A A A A Clock Synchronizati on Access control policy User registration Privilege management User password management menyelaraskan waktu pada semua kegiatan, sistem, perangkat, dsb. pada satu sumber waktu yang disepakati. mengetahui kebijakan pengendalian akses di dalam proyek pemasangan CCTV. adanya prosedur registrasi dan deregistrasi serta untuk mencegah akses ilegal yang dapat merugikan perusahaan. mengetahui hak istimewa dari setiap karyawan di perusahaan. mengalokasikan kata sandi setiap pengguna sistem informasi dan harus melalui proses manajemen formal. Apakah waktu pada semua sistem informasi yang digunakan untuk operasional CCTV telah disinkronisasi dengan sumber waktu yang akurat? Apakah pengendalian akses pada proyek pemasangan CCTV telah ditetapkan dan diimplementasikan? Apakah terdapat prosedur dan regristrasi pengguna secara formal untuk mengakses sistem informasi CCTV? Apakah telah dilakukannya manajemen hak istimewa untuk setiap karyawan atau pengguna sistem informasi di dalam organisasi? Apakah terdapat ketentuan terhadap penggunaan kata sandi? Sudah ada penyelarasan waktu pada sistem yang digunakan untuk proses operasional proyek CCTV. Menggunakan NTP (Network Time Protocol). PT. AGIT tidak memiliki kebijakan untuk mengendalikan akses pada operasional CCTV, namun pengendalian akses telah dijalankan secara teknis di dalam proyek pemasangan CCTV. Tidak ada prosedur dan administrasi secara formal yang terkait dengan registrasi untuk mengakses sistem informasi pemantauan CCTV tersebut karena tidak ada pihak luar yang diberikan akses ke sistem informasi CCTV namun hanya internal proyek CCTV saja. Pemberian hak istimewa tidak berlaku dalam proyek pemasangan CCTV. Penggunaan kata sandi sudah dilakukan dan sudah terdapat kriterianya (8 digit, huruf A-a, angka, dan tanda baca). NO NO Non Applicable 77 A Review of user access rights mengetahui apakah hak akses tersebut digunakan secara bertanggung jawab dan benar. Apakah hak akses pengguna tersebut dilakukan review secara rutin? Tidak adanya review secara rutin terhadap hak akses. 78 A Password use mengetahui kata sandi yang digunakan aman dan sudah sesuai dengan ketentuan kriteria penggunaan kata sandi tersebut Apakah penggunaan kata sandi yang digunakan karyawan atau pengguna dipantau? sudah terdapat sistem yang memantau kesesuaian kata sandi terhadap kriteria yang sudah ada. L36

37 79 A A A A A A A A Unattended user equipment Clear desk and clear screen policy Policy on use of network services User authentication for external connections Equipment identification in networks Remote diagnostic and configuration port protection Segregation in networks Network connection control menjaga aset, aplikasi, dan sistem informasi yang berisi semua data rekaman CCTV. bahwa clear screen dan desk policy telah ditetapkan pada kegiatan operasional cctv mencegah akses karyawan atau pengguna yang ilegal terhadap layanan jaringan yang berada di perusahaan. mengetahui hubungan eksternal terhadap jaringan yang ada diperusahaan. mengetahui apakah equipment identification sudah sesuai dengan jaringannya. melindungi kamera CCTV, switch/router dan pusat dari monitoring hasil data rekaman CCTV. Agar seluruh aktivitas yang dilakukan di dalam sebuah jaringan dapat dipidahkan dapat dilihat jelas pembagiannya membatasi penggunaan terhadap koneksi ke dalam jaringan perusahaan. Apakah telah dilakukannya pencegahan agar karyawan atau pengguna yang tidak dapat berhak mengakses ke sistem informasi tertentu? Apakah telah ditetapkan kebijakan dan diimplementasikan mengenai clear screen dan desk policy? (contoh : desktop harus tersusun dengan rapi dan meja kerja harus bersih dari dokumen-dokumen) Apakah sudah ditentukannya kebijakan yang mengatur mengenai untuk siapa penggunaan layanan jaringan dan untuk keperluan apa saja? Apakah sudah dilakukan otentikasi terhadap hubungan eksternal terhadap jaringan perusahaan? Apakah equipment identification dalam jaringan sudah ditentukan dan sudah sesuai? Apakah telah dilakukannya pengendalian terhadap port atau jaringan yang dapat menghubungkan kamera CCTV dengan pusat monitoring? Apakah telah dilakukannya pembagian jaringan? Apakah telah dilakukannya pengendalian terhadap pengendalian koneksi jaringan PT. AGIT sudah melakukan pencegahan dengan cara pengamanan fisik (ruangan yang terpisah, harus tapping dan memasukkan kata sandi karyawan pada saat ingin memasuki ruangan tertentu) dan juga pemakaian jaringan V-LAN yang dapat menjaga kerahasiaan sistem informasi PT. AGIT tersebut. PT. AGIT belum menggunakan kebijakan dan pengimplementasia n mengenai clear screen dan desk policy. Tidak terdapat kebijakan mengenai penggunaan layanan jaringan walaupun layanan jaringan hanya untuk internal organisasi saja. Hubungan ekternal dan jaringan perusahaan sudah terotentikasi dengan jaringan VPN IP. Equipment identification tidak termasuk dengan ruang lingkup operasional CCTV, ruang lingkup ini untuk penyedia layanan jaringan. Pengendalian terhadap port atau jaringan yang dapat menghubungkan kamera CCTV dengan pusat monitoring sudah ada. PT. AGIT telah melakukan pembagian jaringan yang akan digunakan pada setiap karyawan, walaupun terdapat pada satu switch tetapi beda V-LAN. PT. AGIT sudah melakukan pengendalian terhadap koneksi jaringan menggunakan manageable switch (layer 3). NO NO Non Applicable L37

38 87 A A A A Network routing control Secure log-on procedures User identification and authentication Password management system mengetahui arus koneksi dengan informasi komputer terhadap kamera CCTV dan monitoring tidak melanggar kebijakan pengendalian pengaksesan pada aplikasi. mencegah akses ilegal terhadap OS yang sedang digunakan dalam fasilitas pengolahan data rekaman CCTV di dalam proyek pemasangan CCTV. menjaga dan mengidentifikasi karyawan atau pengguna dalam pengaksesan yang akan dilakukan dalam perusahaan. memberikan ketentuan terhadap penggunaan kata sandi agar lebih berkualitas. Apakah pengendalian terhadap pengiriman jaringan telah dilakukan?(penggunaa n network router) Apakah secure log on procedure telah diterapkan untuk masuk ke OS di dalam proyek pemasangan CCTV? Apakah dalam mengakses OS setiap karyawan atau pengguna telah memiliki ID masingmasing? Apakah sudah ada ketentuan mengenai kualitas kata sandi yang sudah diatur oleh sistem manajemen untuk melakukan pengaksesan terhadap OS? Pengendalian terhadap penggunaan router tersebut bukan ruang lingkup dari operasional tetapi ruang lingkup dari penyedia layanan jaringan. Prosedur secure log-on telah diterapkan untuk masuk ke OS di dalam fasilitas pengolahan data rekaman CCTV, namun prosedur tersebut tidak tertulis. Dalam mengakses OS server dan aplikasi setiap karyawan atau pengguna tidak memiliki ID masing-masing, karena hanya satu orang yang bisa mengakses yaitu sistem spesialis. Sudah terdapat sistem yang memantau kesesuaian kata sandi terhadap kriteria yang sudah ada. Annex ini mengacu pada A Non Applicable 91 A Use of system utilities mengetahui sejauh mana utilitas sistem di dalam OS dalam mencegah akses yang ilegal. Apakah penggunaan program/tool yang dapat menghapus filefile sistem terhadap aplikasi dapat dikendalikan? Sudah terdapat aplikasi NAS yang dapat dikendalikan untuk penghapusan data-data rekaman CCTV 92 A Session timeout bahwa session time-out pada aplikasi operasional cctv telah ditetapkan untuk mencegah akses ilegal terhadap sistem operasi cctv Apakah session timeout pada aplikasi operasional cctv telah ditetapkan? Session-time out pada aplikasi operasional CCTV yang digunakan dalam pemantauan CCTV telah diterapkan yaitu selama 5 menit dan kemudian karyawan harus log in ulang. Terkecuali untuk monitoring CCTV. 93 A Limitation of connection time mempersempit waktu dalam melakukan koneksi, agar mencegah risiko yang mungkin saja dapat terjadi. Apakah dalam melakukan koneksi terhadap OS terdapat pembatasan waktu aksesnya? Tidak ada batas waktu pengaksesan pada aplikasi pemantauan CCTV karena aplikasi yang digunakan tidak memerlukan remote(layanan internet). Non Applicable L38

39 94 A Information access restriction mencegah akses ilegal terhadap informasi pada sistem aplikasi perusahaan. Apakah telah dilakukannya pembatasan/proteksi terhadap pengaksesan informasi perusahaan/ data rekaman CCTV yang sudah sesuai dengan kebijakan pengendalian akses? PT. AGIT telah melakukan pembatasan/proteks i terhadap pengaksesan data rekaman CCTV. Tetapi tidak ada kebijakan pengendalian akses secara tertulis. 95 A A Sensitive system isolation Mobile computing and communicatio ns 97 A Teleworking 98 A A A Security requirements analysis and specification Input data validation Control of internal processing Karena setiap sistem sensitif dan harus memiliki lingkungan yang terisolasi, agar sistem dapat terlindung oleh pengaksesan yang tidak sah menglindungi informasi perusahaan dari risiko penggunaan terhadap fasilitas komunikasi. penggunaan teleworking dalam melakukan pekerjaan dan melindunginya terhadap risiko yang mungkin terjadi. menentukan kualitas dari penggunaan sistem infromasi yang baru dan agar sesuai dengan tujuan proyek pemasangan cctv pengaturan kamera cctv telah benar dan tepat pada saat instalasi. memeriksa validasi data masukkan telah benar dan tepat dan mendeteksi segala bentuk perubahan informasi Apakah terdapat suatu sistem yang harus dilakukannya isolasi? Apakah ada kebijakan yang ditetapkan untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan? Apakah sudah ditentukannya kebijakan dan prosedur mengenai teleworking? Apakah sudah terdapat mengenai persyaratan keamanan dalam penggunaan aplikasi atau pengadaan infrastruktur TI yang baru di dalam operasional pemantauan cctv? Apakah terdapat proses pengaturan awal pada saat melakukan instalasi kamera cctv dan jaringan? Apakah terdapat proses yang memeriksa validitas data masukkan pada saat melakukan instalasi kamera cctv dan jaringan? PT. AGIT sudah melakukan isolasi terhadap sistem yang digunakan yaitu dengan menggunakan V- LAN yang tidak terkoneksi dengan jaringan lainnya. PT. AGIT tidak ada kebijakan formal yang ditetapkan untuk melakukan pekerjaan dengan melakukan fasilitas komunikasi di luar perusahaan maupun proyek pemasangan CCTV. PT. AGIT tidak menentukan kebijakan dan prosedur mengenai teleworking. Persyaratan keamanan mengenai data rekaman CCTV sudah dijalankan secara teknis di lingkungan kerja. Terdapat dokumen CCTV Configuration Design Checklist untuk melakukan instalasi kamera CCTV. Instalasi jaringan di luar ruang lingkup proyek karena dilakukan oleh pihak penyedia layanan jaringan. setiap data rekaman yang ada sudah dilengkapi dengan Time Stamp untuk bahwa data yang ada sesuai dengan waktu rekaman Non Applicable Non Applicable L39

40 101 A Message integrity menjamin keakuratan dan perlindungan message integrity di dalam aplikasi operasional pemantauan cctv Apakah ada suatu proses yang dilakukan untuk bahwa integritas data ada NVR Dilakukan random samping test untuk bahwa seluruh data yang tersimpan di NVR dapat dipertanggung jawab kan di dalam laporan bulanan 102 A A A A A A Output data validation Policy on use of cryptographic controls Key Management Control of operational software Protection of system test data Access control to program source code hasil rekaman telah sesuai dengan detail rekaman bahwa terdapat kebijakan yang mengatur perlindungan informasi data rekaman telah dikembangkan dan diimplementasika n di dalam proyek CCTV bahwa dukungan manajemen telah ditetapkan untuk melindungi kerahasiaan, keaslian atau keutuhan data rekaman cctv dengan cara kriptografi telah terdapat prosedur untuk keamanan dokumen sistem pengujian data telah dikendalikan dan dilindungi keamanannya bahwa akses data rekaman telah dibatasi Apakah terdapat proses pemeriksaan atau pengujian pada hasil rekaman untuk menjamin validitasnya pada saat proses operasional proyek cctv dan mencegah modifikasi data? Apakah telah terdapat kebijakan tentang penggunaan kriptografi dalam operasional pemantauan CCTV yang telah diimplementasikan? Apakah terdapat dukungan dari manajemen terhadap penggunaan teknik kriptografi pada operasional pemantauan cctv? Apakah prosedur pemasangan perangkat lunak (seperti CCTV monitoring E300 VMX System, NVR, Network Monitoring System OP Manager, NTP ) telah tersimpan dengan aman dan terstruktur untuk mencegah modifikasi yang tidak dikehendaki? Apakah pengujian rekaman cctv telah dilakukan dengan aman untuk tidak adanya tindakan ilegal yang dirahasiakan di dalamnya? Apakah telah dilakukan pembatasan akses kepada karyawan maupun pihak Bank XYZ terhadap kode hasil rekaman? L40 Tidak ada proses yang dapat keakuratan data, namun karena technologi streaming maka data yang dikirimkan adalah data real time yang sama dengan kondisi di lapangan (sudut pandang kamera) Belum terdapat kebijakan secara tertulis dalam penggunaan kriptografi namun penggunaan kriptografi telah dilaksanakan secara teknis Penggunaan kriptografi telah mendapat dukungan dari manajamen perusahaan Belum terdapat prosedur secara tertulis dalam menginstalasi perangkat lunak yang digunakan pada proyek CCTV namun instalasi perangkat lunak telah dilakukan secara teknis Pengujian rekaman CCTV dilakukan setiap 6 bulan sekali pada lokasi tertentu yang dilakukan secara acak Pembatasan akses pada data rekaman CCTV telah dilakukan, hanya Bagian OMC yang dapat mengakses langsung data rekaman CCTV. NO NO

41 108 A A A A A Change Control Procedure Technical review of applications after operating system changes Restrictions on changes to software packages Information leakage Outsourced software development bahwa terdapat prosedur yang mengatur jika terjadi perubahan pada sistem, aplikasi dan perangkat lunak operasional pemantauan cctv agar keamanan perangkat lunak dan informasi dapat terpelihara dengan baik bahwa tidak ada dampak yang merugikan di dalam sistem operasional dan keamanan data hasil rekaman cctv jika terjadi perubahan pada OS (Operating System) yang digunakan bahwa perubahan pada perangkat lunak package dibatasi dan setiap perubahan harus sepenuhnya diuji dan didokumentasika n, sehingga dapat diterapkan kembali jika diperlukan untuk upgrade perangkat lunak bahwa peluang terhadap kebocoran data hasil rekaman harus dicegah membatasi pengembangan perangkat lunak yang digunakan dari luar organisasi Apakah sudah terdapat prosedur khusus untuk mengontrol jika terjadi perubahan pada sistem, aplikasi dan perangkat lunak operasional pemantauan cctv? Apakah pernah atau telah dilakukan perubahan terhadap OS (Operating System) pada operasional pemantauan cctv? (contoh : upgrade OS dari Wondows XP ke Windows 7) Apakah sering terjadi perubahan atau pembaharuan pada perangkat lunak yang digunakan pada operasional pemantauan cctv? Berapa lama biasanya dilakukan pembaharuan pada perangkat lunak yang digunakan? Bagaimana cara untuk mencegah kecurangan atau kebocoran data hasil rekaman pada sistem operasional pemantauan cctv? Apakah telah dilakukan kontrol pada pengembangan perangkat lunak yang dilakukan oleh pihak luar? Terdapat prosedur khusus yaitu dokumen Change Request yang diterbitkan oleh PT. AGIT untuk mengatur setiap perubahan manajemen yang terjadi baik di dalam proyek maupun di luar proyek. Proyek CCTV belum pernah melakukan perubahan atau pembaharuan pada OS (Operating System) karena proyek merupakan proyek jangka menengah sehingga belum pernah dilakukan tinjauan pada aplikasi setelah perubahan OS. OS yang digunakan saat ini adalah Windows XP. Perubahan pada perangkat lunak akan menjalani proses UAT (User Acceptance Test) setelah fase implementasi perangkat lunak tersebut. Perubahan perangkat lunak dilakukan jika diperlukan sesuai kebutuhan dan tujuan proyek CCTV. Pencegahan terhadap kebocoran informasi dilakukan dengan pengamanan aset dan fasilitas secara fisik, penggunaan Virtual LAN dan VPN IP, jaringan komunikasi yang tidak terhubung dengan internet dan penggunaan NDA sebagai kontrak kerja untuk setiap karyawan. Belum terdapat ketentuan yang membatasi pengembangan perangkat lunak yang dilakukan oleh pihak luar (NDA, kontrak, perjanjian) karena selama ini pengembangan perangkat lunak dilakukan langsung NO NO L41

42 oleh pihak principal perangkat (GPD, Vivotek) 113 A A A Control of technical vulnerabilities Information systems audit control Technical compliance checking bahwa risiko dan gangguan yang terkait dengan OS, network dan aplikasi operasional pemantauan cctv dapat diatasi dengan tepat waktu dan dapat dievaluasi dengan jelas Apakah telah rutin dilakukan pengujian atau penilaian terhadap kerentanan pada OS, jaringan dan aplikasi operasional pemantauan cctv? Belum dilakukan pengujian atau penilaian terhadap kerentanan pada OS, jaringan dan aplikasi yang mungkin terjadi karena belum terdapat pengetahuan yang memadai mengenai pengujian tersebut. Non Applicable Non Applicable Non Applicable 116 A A A Reporting information security events Reporting security weaknesses Responsibilitie s and procedures of information security incident bahwa pelaporan setiap peristiwa keamanan informasi dapat dilakukan secepat mungkin bahwa kelemahan keamanan dapat segera dikomunikasikan dan ditangani dengan tepat waktu bahwa insiden akan mendapatkan respon yang cepat, efektif dan tertib Apakah telah ditetapkan lajur manajemen yang tepat untuk penyampaian pelaporan dan penanganan security event? (contoh : terdapat virus yang menyebar di dalam sistem pemantauan cctv yang ditemukan oeh bagian OMC dan memerlukan penanganan oleh bagian IT) Apakah telah ditetapkan ketentuan untuk pelaporan dan penanganan security weakness yang harus dilakukan oleh Bagian OMC dan Helpdesk? (contoh : terjadi error pada sistem Helpdesk yaitu tidak mencatat terjadinya gangguan pada pemantauan cctv) Apakah telah ditetapkan prosedur untuk penanganan security incident dengan efektif terkait operasional pemantauan cctv? (contoh : virus yang mengganggu, laptop hilang, kamera cctv yang rusak, dsb)? Terdapat jalur manajemen yang tepat untuk penyampaian laporan dan penanganan gangguan. Pelaporan gangguan maksimal dilakukan 5 menit setelah kejadian terjadi yaitu berdasarkan KPI yang dimiliki oleh Bagian OMC Terdapat ketentuan secara teknis untuk pelaporan dan penanganan terhadap gangguan pada sistem Helpdesk. Bagian Helpdesk akan segera melaporkan melalui telepon, atau BBM terhadap error yang terjadi pada sistem Helpdesk. Telah terdapat prosedur AG World untuk penanganan gangguan yang telah ditetapkan dengan efektif oleh setiap karyawan jika terjadi gangguan. L42

43 119 A A A Learning from information security incidents Collection of evidence for information security incident Including information security in the business continuity management process mendeskripsikan bahwa dampak apa saja yang disebabkan oleh insiden yang terjadi (jenis gangguan, biaya, waktu) bahwa terdapat barang bukti yang jelas pada setiap insiden yang terjadi pada operasional pemantauan cctv bahwa BCP dapat terus dikembangkan dan dipelihara terkait dengan proyek pemasangan cctv Apakah telah dilakukan evaluasi secara rutin terhadap security incident yang dihadapi terkait dengan operasional pemantauan cctv? Apakah terdapat pengumpulan barang bukti termasuk penyediaan data untuk keperluan investigasi dari pihak yang berwenang, terkait tindak lanjut dari security incident? a. Apakah BCP telah ditetapkan? (Contoh BCM framework) b. Apakah pernyataan keamanan terkait operasional pemantauan cctv sudah diakomodasikan di dalam BCP? Evaluasi secara rutin dilakukan dengan pembuatan LBOP (Laporan Bulanan Operasional Proyek) oleh Manajer Operasional. Manajer Opersional mengadakan rapat bulanan bersama pihak Bank XYZ dan menghasilkan MOM (Minutes of Meeting). Rekaman MOM telah diperlihatkan. Pengumpulan barang bukti dari setiap kejadian yang terjadi pada sistem akan tercatat di dalam Log yang ada pada Menu Event Viewer di Windows dan System Log yang ada pada perangkat kamera. Terdapat dokumen SCP (Service Continuity Plan) yang diharapkan dapat ditetapkan dan dikembangkan secara berkelanjutan untuk melindungi keamanan data rekaman CCTV dan segala informasi terkait proyek CCTV 122 A Business continuity and risk assessement mengetahui risiko apa saja yang muncul yang didefinisikan di dalam BCP a. Apakah risiko dapat didefinisikan di dalam BCP yang telah ditetapkan pada proyek pemasangan cctv? b. Apakah risiko-risiko sudah termasuk di dalam risk matrix? Dokumen SCP mencakup risiko apa saja yang mungkin muncul selama proyek CCTV dan sudah didefinisikan di dalam risk matrix proyek CCTV 123 A A Developing and implementing continuity plans including information security Business continuity planning framework bahwa rencana pada BCP harus dikembangkan dan diimplementasika n untuk memelihara atau memulihkan operasi dan ketersediaan informasi bahwa framework BCP telah terpelihara dengan baik dan bersifat konsisten a. Apakah sudah ada BCP yang disahkan? b. Apakah BCP yang ditetapkan mencakup area keamanan pada data hasil rekaman cctv? Apakah framework pada BCP sudah mencantumkan kebutuhan keamanan pada data hasil rekaman cctv dan mengidentifikasi prioritas pengujian dan pemeliharaan? Dokumen SCP sudah di sah kan berdasarkan ISO dimana semua dokumen sudah diberi nomor dan ditandatangani oleh pejabat PT.AGIT. Dokumen SCP sudah diimplementasikan pada bulan Mei 2013 pada proyek CCTV. SCP framework telah bersifat konsisten dan terpelihara dengan baik dengan memprioritaskan keamanan data rekaman CCTV. L43

44 125 A Testing maintaining and reassessing business continuity plans bahwa BCP telah berjalan dengan efektif Apakah telah dilakukan pengujian dan evaluasi pada BCP yang ada sesuai dengan mekanisme yang ditetapkan dalam BCM Framework terkait dengan proyek pemasangan cctv? SCP untuk proyek CCTV dibuat pada bulan Mei 2013 dan baru akan dilakukan pengujiannya pada bulan Januari A Identification of applicable legislation bahwa data hasil rekaman cctv terlindungi oleh UU Hak Cipta dan sesuai dengan hukum yang berlaku Apakah dilakukan identifikasi terhadap peraturan/persyaratan lainnya yang terkait keamanan data hasil rekaman cctv dan hak cipta yang melindungi data tersebut? Tidak diperlukan hukum UU Hak Cipta yang melindungi data rekaman CCTV karena setelah 8 bulan penyimpanan rekaman CCTV di NAS maka rekaman CCTV akan dihapus. Non Applicable 127 A Intellectual property rights (IPR) terdapat prosedur yang harus diimplementasika n bahwa telah dipenuhinya peraturan dan syarat kontrak pada penggunaan produk perangkat lunak yang dimiliki perusahaan bahwa insiden / gangguan pada data hasil rekaman cctv telah dilindungi dari kehilangan, pengrusakan dan pemalsuan, berkenaan dengan undangundang, peraturan, dan syarat bisnis. Apakah terdapat prosedur perusahaan yang mewajibkan bahwa perangkat lunak yang dipergunakan adalah perangkat lunak yang legal? Terdapat dokumen IT Security and Compliance yang menyatakan bahwa seluruh perangkat kerja maupun sistem yang diimplementasikan di dalam proyek harus menggunakan perangkat lunak yang didapat secara legal. 128 A A A Protection of organizational records Data protection and privacy of personal information Prevention of misuse of information processing facilities perlindungan data dan privasi sebagaimana yang diharuskan dalam undangundang dan peraturan bahwa penggunaan fasilitas operasional pemantauan cctv sesuai dengan peraturan yang berlaku Apakah ada metode yang dilakukan untuk memastikah bahwa data hasil rekaman cctv telah dilindungi dari kehilangan, pengrusakan dan pemalsuan, berkenaan dengan undangundang, peraturan, dan syarat bisnis? Apakah customer privacy policy sudah ditetapkan sesuai dengan proyek yang dijalankan? Apakah telah dilakukan pembatasan untuk mengakses fasilitas operasional pemantauan cctv untuk mencegah penyalahgunaan fasilitas operasional pemantuan CCTV? ( contoh : akses ke ruangan monitoring, akses ke ruangan helpdesk, ke ruangan server) Data rekaman CCTV telah disimpan di Data Center. Data Center tersebut telah dilindungi baik secara fisik maupun secara sistem. Customer Privacy Policy telah dilakukan dengan adanya NDA yang telah disetujui oleh pihak Bank XYZ, pihak penyedia layanan jaringan dan pihak proyek CCTV PT. AGIT. Sudah melakukan pencegahan penyalahgunaan fasilitas pengolahan informasi dengan pembatasan akses ke ruangan khusus L44

45 131 A A Regulation of cryptographic controls Compliance with security policies and standards bahwa penggunaan kriptografi pada data rekaman cctv telah sesuai dengan peraturan perusahaan bahwa Manajer Operasional bertanggung jawab terhadap seluruh prosedur keamanan sistem informasi dan dilaksanakan dengan benar untuk mencapai pemenuhan kebijakan dan standar keamanan. Apakah penggunaan kriptografi pada data rekaman cctv telah sesuai dengen peraturan perusahaan? Apakah terdapat kebijakan atau standar untuk mengatur keamanan sistem informasi dan telah dilaksanakan benar? Penggunaan kriptografi pada data rekaman CCTV telah sesuai dengan peraturan perusahaan dan didukung oleh manajemen perusahaan Belum terdapat prosedur secara tertulis mengenai kemananan sistem informasi, namun perlindungan terhadap keamanan sistem informasi telah dilaksanakan secara teknis. NO 133 A Protection of information system audit tools bahwa akses terhadap peralatan audit harus dicegah dari segala kemungkinan penyalahgunaan dan bahaya Apakah telah dilakukan perlindungan terhadap peralatan audit pada proyek cctv? Peralatan yang digunakan untuk mengaudit seperti proyek CCTV seperti laptop dan desktop telah disimpan di secara aman di ruang terkunci dan aksesnya dikendalikan TOTAL = 96 NO = 17 NA = 20 L45

46 Penilaian Risiko Terhadap Klasifikasi Ancaman Berdasarkan Sumber Ancaman Pada Proses Implementasi dan Operasional No. Threat Sistem Manajemen Keamanan Informasi ISO/IEC : 2005 PT. Astra Graphia Information Technology Proyek Pemasangan CCTV Bank XYZ Probability Impact Applicable Yes / No 1 = Low 1 = Low 2 = 2 = Medium Medium 3 = High 3 = High L46 Risk Level Natural Threat 1 Tanah longsor No NA 2 Tsunami No NA Mapping Annex Control Selected 3 Angin topan Yes 1 1 Low A.9.1.1, A.9.1.3, A.9.1.4, A Angin kencang (70 + mph) Yes 2 1 Medium A.9.1.1, A.9.1.3, A.9.1.4, A Badai tropis Yes 1 2 Medium A.9.1.1, A.9.1.3, A.9.1.4, A Banjir pasang No NA 7 Banjir musiman Yes 1 1 Low A.9.1.1, A.9.1.3, A.9.1.4, A Banjir lokal Yes 1 1 Low A.9.1.1, A.9.1.3, A.9.1.4, A Badai pasir No NA 10 Aktivitas gunung merapi Yes 1 2 Medium A.9.1.1, A.9.1.3, A.9.1.4, A Gempa bumi (2-4 skala Richter) Yes 2 3 High A.9.1.1, A.9.1.3, A.9.1.4, A Gempa bumi (5 skala Richter atau lebih) Yes 1 3 Medium A.9.1.1, A.9.1.3, A.9.1.4, A Petir Yes 3 1 Medium A.9.1.1, A.9.1.3, A.9.1.4, A Wabah penyakit No NA Human Threat Tindakan Disengaja 15 Pencurian data Yes 1 3 Medium 16 Pencurian perangkat Yes 1 3 Medium A.5.1.1, A.7.1.2, A.7.1.3, A.8.2.3, A.9.2.6, A , A , A , A , A , A , A , A , A , A A.5.1.1, A.7.1.2, A.7.1.3, A.8.2.3, A.9.2.6, A , A , A Penyadapan sistem jaringan Yes 1 3 Medium A.5.1.1, A , A Penggandaan data Yes 2 2 High A.5.1.1, A , A.8.2.3, A , A , A , A , A , A , A , A , A Perusakan sistem operasional Yes 3 3 High A.5.1.1, A.8.2.3, A , A , A , A , A Perubahan / modifikasi data No NA 21 Sabotase terhadap perangkat, karyawan dan aktivitas Yes 2 3 High A.5.1.1, A.7.1.2, A , A , A Bom No NA 23 Ancaman bom Yes 2 1 Medium A Pembakaran area kerja Yes 3 3 High A.9.1.4, A Penyanderaan karyawan Yes 1 1 Low A Perusakan area kerja Yes 1 3 Medium A.9.1.4, A Perselisihan antar karyawan Yes 2 2 High A Kerusuhan / kekacauan sipil Yes 2 3 High A.8.2.3, A Penyebaran data secara ilegal Yes 2 3 High A.5.1.1, A.8.2.3, A , A , A , A , A , A , A , A Penginstalan perangkat lunak secara A.5.1.1, A.8.2.3, A , A , A , Yes 3 3 High ilegal A Penjualan perangkat secara ilegal Yes 1 2 Medium A.8.2.3, A.8.3.2, A , A Penyalahgunaan hak akses Yes 2 3 High A.8.2.3, A.5.1.1, A.6.1.8, A.8.3.3, A , A , A , A , A , A , A

47 Tindakan Tidak Disengaja 33 Kesalahan input data Yes 1 3 Medium A.5.1.1, A , A , A Kesalahan penghapusan data Yes 2 3 High A.5.1.1, A.8.2.2, A.7.1.2, A.7.1.3, A , A , A , 35 Kesalahan pergantian perangkat Yes 1 3 Medium A.5.1.1, A , A Kelalaian peninjauan rekaman CCTV Yes 3 2 High A.5.1.1, A Kelalaian menghilangkan kunci ruangan Yes 2 2 High A.5.1.1, A.7.1.2, A Kelalaian menghilangkan data Yes 1 3 Medium 39 Kelalaian menghilangkan perangkat Yes 1 3 Medium 40 Keterlambatan penanggulangan masalah Yes 2 3 High A.5.1.1, A.7.1.2, A.7.1.3, A.9.2.6, A , A , A , A , A A.5.1.1, A.7.1.2, A.7.1.3, A.9.2.6, A , A , A A.5.1.1, A.5.1.2, A , A , A , A , A , A , A Kesalahan mengubah format data Yes 2 3 High A.5.1.1, A.8.2.2, A , A Kegagalan Sistem Yes 3 3 High A.5.1.1, A.5.1.2, A , A , A , A , A , A , A , A , A , A Serangan Virus komputer Yes 2 3 High Environmental Threat A.5.1.1, A , A , A , A , A , A , A , A Pemadaman Listrik Yes 3 1 Medium A , A , A Kelebihan Voltase Listrik Yes 1 1 Low A.9.2.1, A Kekurangan Voltase Listrik Yes 1 1 Low A.9.2.1, A Kebocoran Air Yes 2 3 High A.9.2.1, A Binatang 48 Tikus : mengerat, sarang, urine, kotoran, bangkai Yes 2 2 High A.9.2.1, A.9.2.3, A Cicak : telur, urine, kotoran, bangkai Yes 2 1 Medium A.9.2.1, A.9.2.3, A Kecoa : mengerat, telur, urine, kotoran, bangkai Yes 2 1 Medium A.9.2.1, A.9.2.3, A Laba-laba : sarang, telur, urine, kotoran, bangkai Yes 2 1 Medium A.9.2.1, A.9.2.3, A Rayap : mengerat, sarang, urine, kotoran, bangkai No NA 53 Semut : sarang, urine, kotoran, bangkai Yes 2 1 Medium A.9.2.1, A.9.2.3, A High = 19 TOTAL Medium = 20 Low = 6 NA = 8 L47

48 Avalibility Plan CCTV System Availability Document No Number of Page 13 Issue Date Revision Code Document s Owner Reviewed by Approved by Agung Sukmono Edhy Hutagalung Edhy Hutagalung DOCUMENT INFORMATION Master Location : File Name : Distribution CHANGE HISTORY Version No. Date Details of Changes included in Update Author(s) Authors name L48

49 AVAILABILITY PLAN PURPOSE: A Plan to ensure that existing and future Availability Requirements for IT Services can be provided cost effectively. GOAL: To improve the overall availability of IT services and infrastructure components, to ensure that existing and future business availability requirements can be met. SCOPE: As agreed, but as a minimum should include existing key IT services, new and planned services in development. (CCTV s System Availability, Video Record Availability, Operation Monitoring Center) (Guidelines) The Availability Plan should be updated on a regular (Monthly) basis and aligned to Capacity and Financial plans. EXECUTIVE SUMMARY: (Guidelines) The Executive or Management Summary should contain a one or two page overview of the most important aspect of the overall plan. This Plan Is to make sure all service is beeing manage to acive the avalibility target. Every service is to plan to gradualy and schedule cek for preventive any possible down time. L49

50 PERFORMANCE: (Guidelines) Document actual levels of availability versus agreed levels of availability for key IT services. Availability measurements should always be business- and customer-focused and report availability as experienced by the business and users. Service Summary Service Outage Impact Description Target CCTV System Availability CCTV Video Recording Data Availability Operation Monitoring Center (OMC) CCTV System 1 Hour (Data Center) 3 Hours (In Town) 6 Hours (Outside state of province) 1 Hour (Data Center) 3 Hours (In Town) 6 Hours (Outside state of province) Video Loss / Event(s) were not recorded / monitored during outage Requested video during a specific time frame needed as a comparison / evidence of an event(s) 1 Hour CCTV system performances and availabilities are not being monitored as accordance Service that ensures all events within the designated area are monitored and recorded by the CCTV Monitoring System Service that ensures all events within the designated area are monitored and recorded by the CCTV Monitoring System and stored within the system at most for 6 months of time period Service that monitored all CCTV System (performances, capabilities, capacity and availabilities) to ensure that the system perform support to all project services Projected Availability 24x7 99,0% 6 Months 8x5 (onsite) 24x7 (remote ) 99,0% 99,0% Component Summary L50

51 Service Outage Impact Description Target NVR 1 Hour Server will go down and all service impacted will go down also Network Video Recorder; store all recording output from camera. Supported by Fail-Over Redundancy system Projected Availability 24x7 99,0% CMS VMX NAS Switch 1 Hour 1 Hour 1 Hour 1 Hour Recording activity will not be able to be monitored Monitor will not be able to show current video Data will not be able to be accessed All CCTV System will not be able to communicate / respond (network) to each other PC 1 Hour No Impact Monitor 1 Hour No Impact Rack UPS CCTV Camera POE Injector 1 Hour 1 Hour 3 / 6 Hours 3 / 6 Hours All system within the rack will be shut down All system will be shut down if an electrical outage occurred with no UPS support No events / activity will be recorded during the outage No events / activity will be recorded during the outage due to no electrical supply Control Management System, managing all camera video console into one console Video Management System Network Attached Storage, store all > 4 months data before confirmed to be wipe out after aging to 6 months of time period Connecting all CCTV network Personal Computer, supporting operation on OMC To monitor the CCTV Camera Dashboard To store all CCTV Servers and Storage system Uninterruptable Power Supply Surveillance and monitoring camera Power over Ethernet to supply electricity to the camera 24x7 99,0% 24x7 99,0% 24x7 99,0% 24x7 99,0% 24x7 99,0% 24x7 99,0% 24x7 99,0% 24x7 99,0% 24x7 99,0% 24x7 99,0% L51

52 POE Switch 3 / 6 Hours No events / activity will be recorded during the outage due to no electrical supply Power over Ethernet to supply electricity to the camera 24x7 99,0% MicroS D 3 / 6 Hours If an Network Outage occurred then no recording will be saved to storage system (video loss) External storage system to backup NVR if there are an Network Outage 24x7 99,0% NMS 1 Hour System will not be able to be monitored Network Monitoring System, monitors all CCTV system for availability, capacity and performance 24x7 99,0% ACHIEVEMENTS / PERFORMANCE IMPROVEMENTS: (Guidelines) Document those activities being progressed to address shortfalls in availability for existing IT services. Where investment decisions are required, options with associated costs and benefits should be included. Summary Service(s) Planed Downtime Activity Description Benefit Cost NVR Monitoring No Downtime Needed Daily Routine (via CMS) Check all NVR for used channels, storage (used and free space) To ensure NVR will have enough space available for camera registration and video record storage N/A NAS Monitoring No Downtime Needed Daily Routine (via NMS) Check all NAS storage (used and free space) To ensure NAS will have enough space available for camera record storage N/A Video Monitoring No Downtime Needed Daily Routine (via CMS) Check all video availability. All missing / video loss due to system s outage will be reported to customer To ensure all video will be available upon request. N/A L52

53 Network Monitoring No Downtime Needed Daily Routine (via NMS) Monitoring all network / bandwidth usage within the system s backhaul To ensure network will always available for data transfers N/A OPTIONS FOR IMPROVEMENT: (Guidelines) This section should contain details of changing availability requirements for existing IT services. The plan should document the options available to meet these changed requirements. Where investment decisions are required, the associated costs of each option should be included. Details of the availability requirements for forthcoming new IT services. The plan should document the options available to meet these new requirements. Where investment decisions are required, the associated costs of each option should be included. Summary Service Operation Monitoring Center (OMC) CCTV System Planed Dwontime No Downtime Needed Activity Description Benefit Cost NMS Advanced Configuration Storage Monitoring Configure NMS to be able to monitor data / storage usage in the NMS system More centralized monitoring and reporting method. NMS will offer alarms for near / meet storage capacity threshold level N/A L53

54 IMPROVEMENT SCHEDULE (Guidelines) A forward-looking schedule for the planned SFA assignments. Regular reviews of SFA assignments should be completed to ensure that the availability of technology is being proactively improved in conjunction with the SIP. Summary Date Area/System Description Achievements Status Quarterly CCTV Video Recording Data Availability NAS and NVR Deletion of video recording data that already aged over 6 months of time Set up more free space available for new video recording data Planned TECHNOLOGICAL OPPORTUNITIES: (Guidelines) The technology futures section provides an indication of the potential benefits and exploitation opportunities that exist for planned technology upgrades. Anticipated availability benefits should be detailed, where possible based on business-focused measures, in conjunction with Capacity Management. The effort required to realize these benefits where possible should also be quantified. Summary Date Description Area/System Potential Benefit Resource requirement L54

55 Glossary of terms Availability Key indicator of the service provided. It should be defined in the Service Level Agreement Impact A measure of the effect of an Incident, Problem or Change on Business Processes. Impact is often based on how Service Levels will be affected. Impact and Urgency are used to assign Priority. Maintainability The ability of the IT group to maintain the IT infrastructure in operational state and available according to the agreed service levels PSO Projected Service Outage Reliability Reliability of the service is made up out of the reliability of Service Components and the resilience of the IT infrastructure. Resilience stress. Security The ability of individual components to absorb or be flexible in times of Confidentiality, Integrity and Availability (CIA) of Data or a Service. Service A business defined deliverable supported by one or more I.T. Systems, which enables the business to deliver its objectives Serviceability The ability of a Third-Party Supplier to meet the terms of its Contract. This Contract will include agreed levels of Reliability, Maintainability or Availability for a Configuration Item. Vital Business Function supported by the IT service. The business critical element of the business process that is Acronyms AMIS BIA Availability Management Information System Business Impact Analysis CFIA Component Failure Impact Analysis MTBF Mean Time Between Failures - mean time between the recovery from one incident and the occurrence of the next incident. MTBSI Mean Time Between System Incidents - mean time between the occurrence of two consecutive incidents. The MTBSI = MTTR + MTBF. MTRS Mean Time to Recover System -average time between the occurrence of a fault and service recovery (or the downtime). SFA An Activity that identifies underlying causes of one or more IT Service interruptions. SFA identifies opportunities to improve the IT Service Provider s Processes and tools, and 55

56 not just the IT Infrastructure. SFA is a time-constrained, project-like activity, rather than an ongoing process of analysis. SPOF Single Point of Failure - Any Configuration Item that can cause an Incident when it fails, and for which a Countermeasure has not been implemented. A SPOF may be a person, or a step in a Process or Activity, as well as a Component of the IT Infrastructure. L56

57 General Guidance for Availability Management and using the Availability Plan During the initial production of the Availability Plan, it is recommended that liaison with all functional, technical and process areas is undertaken. The Availability Plan should cover a period of one to two years, with a more detailed view and information for the first six months. The plan should be reviewed regularly, with minor revisions every quarter and major revisions every half year. Where the technology is only subject to a low level of change, this may be extended as appropriate. It is recommended that the Availability Plan is considered complementary to the Capacity Plan and Financial Plan, and that publication is aligned with the capacity and business budgeting cycle. If a demand is foreseen for high levels of availability that cannot be met due to the constraints of the existing IT infrastructure or budget, then exception reports may be required for the attention of both senior IT and business management. In order to facilitate the production of the Availability Plan, Availability Management may wish to consider having its own database repository. The AMIS can be utilized to record and store selected data and information required to support key activities such as report generation, statistical analysis and availability forecasting and planning. The AMIS should be the main repository for the recording of IT availability metrics, measurements, targets and documents, including the Availability Plan, availability measurements, achievement reports, SFA assignment reports, design criteria, action plans and testing schedules. L57

58 RENCANA PENYUSUNAN LAYANAN CCTV Issue Date 3 Mei 2013 Revision Code 0 Author: Approval: Agung Sukmono Bob Mardanus L58

59 TABLE OF CONTENT A. EXECUTIVE SUMMARY B. TUJUAN C. REFERENSI D. DESKRIPSI TANGGUNG JAWAB DAN WEWENANG TIM PENYUSUNAN/REVISI LAYANAN E. TAHAPAN AKTIFITAS YANG AKAN DILAKUKAN BESERTA PERIODA WAKTUNYA DAN HASIL (OUTCOME)-NYA F. RENCANA KOMUNIKASI DENGAN PIHAK-PIHAK TERKAIT G. IDENTIFIKASI SUMBER DAYA YANG DIBUTUHKAN SELAMA PROSES PENYUSUNAN/REVISI H. KAJIAN RISIKO TERKAIT REALISASI LAYANAN I. ANALISIS KEBERGANTUNGAN DENGAN LAYANAN LAIN J. DESKRIPSI PENGUJIAN DAN ACCEPTANCE CRITERIA YANG AKAN DILAKUKAN K. DESKRIPSI KELUARAN (OUTCOME) DARI KEGIATAN PENYUSUNAN/REVISI LAYANAN L48

60 A. Executive Summary Dokumen ini menjelaskan perencanaan terkait dengan penyusunan layanan Ketersediaan Layanan Sistem CCTV. Layanan Ketersediaan Layanan Sistem CCTV ini sendiri murupakan layanan yang menjamin ketersediaan system dan hasil rekaman CCTV sebagai media pendukung suatu sistem keamanan yang terpadu. Penyusunan layanan ini didasarkan pada kebutuhan akan suatu layanan yang dapat memberikan metoda pengawasan terhadap suatu unit bisnis. Layanan ini ditujukan untuk sektor usaha yang memiliki unit unit bisnis yang terpisah dan membutuhkan suatu metode agar dapat tetap terpantau dengan terpadu. Secara umum, penyusunan layanan Ketersediaan Layanan Sistem CCTV ini membutuhkan waktu selama 3 tahun (36 bulan) sejak layanan kamera CCTV tersebut dinyatakan siap operasional oleh pelanggan. Pada dokumen ini akan dideskripsikan secara terinci tentang hal-hal yang akan dilakukan serta dibutuhkan selama tahap proses penyusunan layanan yang meliputi: Tujuan Referensi Deskripsi Tanggung Jawab dan Wewenang Tim Penyusunan/Revisi Layanan Tahapan Aktifitas yang Akan Dilakukan beserta Perioda Waktunya dan Hasil (Outcome)-nya Rencana Komunikasi dengan Pihak-Pihak Terkait Identifikasi Sumber Daya yang Dibutuhkan Selama Proses Penyusunan/Revisi Kajian Risiko Terkait Realisasi Layanan Analisis Kebergantungan Dengan Layanan Lain Deskripsi Pengujian dan Acceptance Criteria yang Akan Dilakukan Deskripsi Keluaran (Outcome) dari Kegiatan Penyusunan/Revisi Layanan L49

61 B. Tujuan Tujuan dari penyusunan dokumen ini adalah untuk mendesripsikan secara terinci mengenai rencana penyusunan layanan Ketersediaan Layanan Sistem CCTV sehingga : Layanan tersebut dapat diluncurkan tepat pada waktunya. Dihasilkannya rancangan (desain) layanan yang baik, sehingga memberikan jaminan terhadap terpenuhinya persyaratan/harapan pelanggan tanpa menimbulkan kesulitan/hambatan yang berarti dalam proses penyediaan layanan oleh service owner. Segala sumber daya yang dibutuhkan untuk penyusunan/revisi layanan tersedia. Segala risiko yang mungkin terjadi sebagai konsekuensi dari pemenuhan layanan baru/revisi layanan telah dilakukan mitigasi yang sesuai. C. Referensi - SPK No: 0549/LG.280/PIN.00.00/2012 D. Deskripsi Tanggung Jawab dan Wewenang Tim Penyusunan/Revisi Layanan Berikut ini adalah struktur organisasi Tim Penyusunan/Revisi Layanan: L50

62 Berikut ini adalah deskripsi Tanggung Jawab dan Wewenang Tim Penyusunan/Revisi Layanan: No. Posisi Tanggung Jawab Wewenang 1 Komite Pengawas AGIT Project Manager Operation Manager Project Admin Implementasi Server Implementasi Kamera Memastikan bahwa proyek berjalan dengan baik dan benar. Bertanggung jawab terhadap proses implementasi system agar berjalan sesuai dengan rencana. Bertanggung jawab terhadap proses pelaksanaan, perawatan dan juga ketersediaan system sesuai dengan peruntukan awal Bertanggung jawab dalam memberikan dukungan administrasi internal terkait kebutuhan project. Bertanggung jawab atas instalasi server dan perangkat pendukung (jaringan) serta proses integrasi antara kamera dan server. Bertanggung jawab atas instalasi kamera dan Menyetujui, mensahkan, memutuskan segala keputusan terkait project Mengawasi jalannya implementasi dan juga kelancaran sistem Mengawasi jalannya operasional, melakukan manajemen perangkat cadangan, melakukan manajemen tenaga tehnisi Memberikan bantuan dalam penagihan dan routing dokumen terkait project Melakukan instalasi dan juga konfigurasi di sisi server Melakukan instalasi dan juga konfigurasi di sisi L51

63 perangkat pendukung kamera (jaringan) serta proses integrasi antara kamera dan server. OMC CCTV Bertanggung jawab atas Melakukan monitoring Agent pengawasan dan juga operasional CCTV, pelaporan terhadap segala Malakukan manajemen gangguan yang terjadi gangguan system pada proses perekaman kamera CCTV. EoS Server Perawatan Kamera Bertanggung jawab atas pengawasan dan juga pelaporan terhadap segala gangguan yang terjadi pada server yang berdampak terhadap proses perekaman kamera CCTV. Bertanggung jawab atas penyelesaian / penanganan gangguan di lokasi kamera sampai kembali ke kondisi normal. Melakukan monitoring operasional Server CCTV, Melakukan perbaikan terkait server CCTV Melakukan instalasi dan juga perbaikan kamera CCTV E. Tahapan Aktifitas yang Akan Dilakukan beserta Periode Waktunya dan Hasil (Outcome)-nya Berikut ini adalah tahapan aktifitas yang akan dilakukan dalam penyusunan/perubahan layanan Ketersediaan Layanan Sistem CCTV beserta periode waktunya: L52

64 No. Tahapan Aktifitas Hasil (Outcome) PIC Periode 1 Proses Desain Proposal Business 1 bulan Infrastruktur & Consultant, Sistem Business Development, Project Manager & Operation Manager 2 Pelaksanaan Bukti hasil desain Business 1 Bulan Proof of Infrastruktur & Consultant, Concept (PoC) Sistem Business Development & Project Manager 3 Pilot Project Pelaksanaan implementasi batch 1 Project Manager 1 Bulan 4. Fase Pelaksanaan Project Manager 12 Bulan Implementasi implementasi batch 2 dan seterusnya 5. Fase Perawatan Perawatan system yang sudah terimplmentasi Operation Manager 36 Bulan F. Rencana Komunikasi dengan Pihak-Pihak Terkait Berikut ini adalah rencana komunikasi dengan pihak-pihak terkait (perwakilan pelanggan, vendor, manajemen, dsb.) terkait dengan penyusunan/revisi layanan: L53

65 No. Nama & Posisi Topik yang Akan PIC Waktu Pihak Terkait Dibicarakan (Tentatif) Ervia Devi (Acc Diskusi perencanaa Ervia Devi Januari Mgr sinergi antara (Acc Mgr 2012 PENYEDIA PENYEDIA PENYEDIA LAYANAN LAYANAN LAYANAN JARINGAN) JARINGAN XXX JARINGAN) Abdullah (Project Mgr PENYEDIA LAYANAN AGIT dalam project Pengadaan Layanan CCTV bagi BANK XYZ Anthony Kayat (Acc Mgr XXX) JARINGAN) Ronny Fauzan (Business Consultant AGIT) Al Krisnadi Ruchiatan (Business Consultant AGIT) Anthony Kayat (Acc Mgr XXX) Rosihan (Service Delivery Mgr XXX) Ervia Devi (Acc Diskusi perencanaan Abdullah Januari Mgr instalasi jaringan (Project Mgr 2012 PENYEDIA PENYEDIA PENYEDIA LAYANAN LAYANAN LAYANAN L54

66 JARINGAN) Abdullah (Project Mgr PENYEDIA LAYANAN JARINGAN) JARINGAN dan instalasi Server dan Kamera CCTV JARINGAN) Alexander Suhandi (Project Manager AGIT) Ronny Fauzan (Business Consultant AGIT) Al Anton Budiman (Project Manager XXX) Alexander Suhandi (Project Manager AGIT) Agung Sukmono (Operation Manager AGIT) M. Iqbal (Product Delivery Engineer Printcom) Anton Budiman (Project Manager XXX) Ervia Devi (Acc Review performa Ronny Al Januari Mgr layanan dan juga Fauzan 2012 PENYEDIA kelangsungan (Business LAYANAN perawatan perangkat Consultant JARINGAN) dalam menjamin AGIT) ketersediaan rekaman L55

67 Abdullah (Project Mgr PENYEDIA LAYANAN JARINGAN) Sosro HK (C4 Mgr PENYEDIA LAYANAN JARINGAN) CCTV Alexander Suhandi (Project Manager AGIT) Agung Sukmono (Operation Manager AGIT) Ronny Fauzan (Business Consultant AGIT) Al Alexander Suhandi (Project Manager AGIT) Agung Sukmono (Operation Manager AGIT) M. Iqbal (Product Delivery Engineer Printcom) Anton Budiman (Project Manager XXX) L56

68 G. Identifikasi Sumber Daya yang Dibutuhkan Selama Proses Penyusunan/Revisi Dalam hal penyusunan layanan Ketersediaan Layanan Sistem CCTV, maka dibutuhkan sumber daya sebagai berikut: Jenis Daya SDM Sumber Deskripsi Kebutuhan Posisi-posisi yang akan terlibat: Data Dokumen Teknis - Dept. Head ESM Operation: Bob M Muis - Dept. Head EIM Delivery: Binsarto H Marbun - Operation Manager: Agung Sukmono - Project Manager: Alexander Suhandi - Admin Support ESM: Yuni Widiastuti - Admin Support EIM: Nevy Christianti Vendor: - Printcom Implementasi Server: M. Iqbal - Printcom Perawatan Server: Nizar Rachman - IT Service Center (Instalasi & Perawatan Kamera) Nama Informasi/data/dokumen yang akan digunakan: SOP : Prosedur Incident/Problem P PSK : 0549/LG.280/PIN.00.00/2012 Nama aplikasi/tool yang akan digunakan: Vivotek FD8134 Hewlett Packard (HP) Procurve PoE Switch (8&16 ports) L57

69 Keuangan Juniper Switch IX T-4G GVD NVR M640-C064 GVD NVR M GVD CMS - E300-CW02 GVD D300-CW02 Thecus NAS N1600 Deskripsi Kebutuhan Biaya, yang mencakup direct cost, indirect cost, unabsorbed cost yang dikasifikasikan dalam biaya modal dan biaya operasional Cost: o Biaya Modal = USD ,10 o Biaya Operasional = USD ,51 H. Kajian Risiko Terkait Realisasi Layanan Kajian risiko mencakup identifikasi risiko, analisis risiko serta penentuan rencana mitigasi bila hasil analisis risiko didapat risiko yang tidak dapat diterima. Berikut adalah hasil identifikasi risiko terkait penyediaan layanan Ketersediaan Layanan Sistem CCTV ini: No Proses/ Jenis Aset Ancaman Kelemahan Risiko Aktifitas yang yang yang Penyediaan Digunakan Mungkin Memungkinan Layanan Terjadi pada Terjadinya Aset Terkait Ancaman 1 Ketersediaan Kamera Perangkat Gangguan Perangkat CCTV, POE gagal bekerja listrik, CCTV Switch / Poe dengan baik Gangguan Injector, jaringan VPN L58

70 NVR, Switch IP, Gangguan pada internal perangkat 2 Ketersediaan Kamera Ketersediaan Gangguan Perangkat CCTV, POE hasil rekaman listrik, Kamera CCTV Switch / Poe tidak ada Gangguan Injector, jaringan VPN NVR, Switch, IP, Gangguan MicroSD pada internal Card perangkat 3 Ketersediaan CMS, VMX, Perangkat Gangguan layanan OMC Engineer on gagal bekerja jaringan, CCTV Site (EoS) dengan baik, Gangguan pada ketersediaan internal personil perangkat Berikut adalah hasil analisis risiko terkait penyediaan layanan Ketersediaan Layanan Sistem CCTV ini: No Peristiwa Dampak Kontrol Indeks Indeks Indeks Diterima Risiko Risiko yang Atas yang Sudah Seve- Likeli- de- /tidak Mungkin Terjadinya Diterapkan rity hood tect- diterima Terjadi Peristiwa ability Risiko 1) NVR 64 Kamera Masangkan YA mengalami yang Fail-Over kerusakan terdaftar di NVR server sehingga NVR tidak yang dapat tidak dapat dapat mengambil menerima mengirimkan alih apabila hasil data rekaman ada NVR rekaman dari L59

71 kamera yang rusak 2) Jalur Modem atau Adanya Ya komunikasi jalur telepfon memori rusak terputsu eksternal sehingga MicroSD kamera tidak Card yang dapat dapat mengirimkan menyimpan data rekaman rekaman selama komunikasi terputus 1, 2, 3 : Low Medium High Berikut adalah hasil rencana mitigasi terkait penyediaan layanan Ketersediaan Layanan Sistem CCTV ini khusus untuk risiko-risiko yang tidak dapat diterima: No Risiko Rencana Mitigasi PIC Mitigasi Keterangan n/a I. Analisis Kebergantungan Dengan Layanan Lain Dalam realisasi layanan ini akan bergatung kepada layanan-layanan lain, dengan analisis sebagai berikut No. Aktifitas Bergantung Kepada Deskripsi Kebergantungan Penyediaan Layanan Layanan 1 Layanan ketersediaan Layanan jaringan VPN IP PT. PENYEDIA Setiap kamera terhubung dengan modem yang L60

72 pengiriman rekaman dari kamera ke server LAYANAN JARINGAN Indonesia terhubung langsung dengan jaringan VPN IP PT. PENYEDIA LAYANAN JARINGAN guna mengirimkan hasil rekaman ke server NVR. J. Deskripsi Pengujian dan Acceptance Criteria yang Akan Dilakukan Berikut adalah jenis-jenis pengujian dan acceptance criteria yang akan dilakukan: No. Aspek yang Metoda Acceptance Criteria Jumlah Diuji Pengujian Sampel Pengujian 1 Kualitas Kualitas gambar Transaksi yang 1500 rekaman kamera CCTV 36 bulan Kualitas jangkauan gambar terekam dapat mengenali individu (pelaku) dan juga rekaman kamera transaksi yang dilakukan Pengujian di atas dilakukan melalui simulasi penyediaan layanan dan dituangkan dalam Dokumen UAT. K. Deskripsi Keluaran (Outcome) dari Kegiatan Penyusunan/Revisi Layanan Berikut adalah deskripsi Keluaran (Outcome) dari kegiatan penyusunan/revisi layanan ini adalah: Desain (Rancangan) Layanan L61

73 Draft Desripsi Layanan pada Katalog Layanan Divisi ICT Draft Service Level Agreement (SLA) Persyaratan SLA bagi Vendor yang terkait dengan penyediaan layanan ini. Helpdesk Service Desk System L62

74 Hardware NVR Manager L63

75 Hasil Rekaman Kamera CCTV Pada Bank dan ATM XYZ L64

76 Operation Manager System L65

77 L66

78 L67

79 L68

80 L69

81 L70

82 L71

83 L72

84 Surat Tugas Teknisi L73

85 L74

86 L75

87 L76

88 L77

89 L78

90 L79

91 L80

92 L81

93 L82

94 L83

95 L84

96 L85

97 L86

98 L87

99 L88

100 L89