DWIDAYA GROUP

IT PROFILE
AS OF DECEMBER 31, 2017

Guidance:
Please fill in available colom for information IT Profile that used by Dwidaya Group.

Auditor:
please update if any
Operating System
No Aplication Name changes of anyHardware
additional
*)
**)
Database ***)
application or software.

Rhapsody Windows Server 2008Sql Server

1 Main frame/Midrage
2 Datacom Stanalone PC Windows 7
3 Onity Network PC Windows 7
4 Workstation Network PC Windows 7

Please choose one of the following options. If others, please fill the additional information.
*) Hardware **) Operating System
- Mainframe/Midrange - Linux
- Network Server - MVS
- Standalone PC - OS/400
- Network PC - Unix
- Other : _______ - VMS
- Windows
***) Database - Other : __________
- Oracle
- SQL Server
- DB2
- Pervasive
- Access
- Sybase
- Other : ______________
 Used to Proses

PMS System (Rhapsody)

PABX Billing Interface
Keycard Master
Warkstation all office.
PDWIDAYA GROUP
INFORMATION & TECHNOLOGY
AS OF DECEMBER 31, 2017

Guidance:
Related to software that used by the Company (Refer IT Profile), Please fill control that related to IT Profile in coloumn
A/NA (A: If control was applicable for IT Profile and NA: if control not applicable for IT Profile) and Explanation (please
give explanation for each control).

A : Applicable
NA : Not Applicable

INFORMATION & TECHNOLOGY : SECURITY ADMINISTRATION

Establish effective security environment

Please fill with Y/N/ or N/A for applied control below and if the answer Y, please provide detail explanation
1 Policies and procedures for the administration of security are documented, approved and communicated

2 Security policies are acknowledged and documented periodically by all employees

3 Security policies are acknowledged and documented by new employees upon hire
4 Personnel responsible for the administration of security have appropriate skills and experience

5 Personnel responsible for the administration of security are properly supervised

6 Commercially available software tools are used to facilitate the enforcement of access rules and to monitor
access
7 Position of security administration function within the organization promotes objectivity
8 Duties of security personnel do not include performing financial reporting processes or controls
9 Duties of security personnel do not include programming or IT management
10 Management periodically assesses IT security vulnerability

Manage internal user access

Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Access rights of users and IT personnel are documented and approved by appropriate members of
management
2 User and group profiles used to control the level of access to data
3 Computers are configured to prevent the by passing of approved user profiles and menu restrictions

4 Updates to user profiles and menus on the system restricted to IT security personnel
5 User id and password required to logon
6 User ids required to be unique
7 System requires passwords to be changed periodically
8 Minimum lengths established for passwords
9 Passwords hidden during system logon
10 Passwords are encrypted
11 Users required to keep passwords confidential
12 Dictionaries prevent use of common words as passwords
13 System security enforces use of complex passwords
14 System locks out users after a reasonable number of unauthorized entry attempts

15 Hardware devices used for authentication

 16 Digital certificates used for authentication
17 System automatically logs off users after a period of inactivity
18 Access rights of terminated employees are disabled on a timely basis
19 The security administration function is automatically notified by human resources of employee terminations and
work status changes that impact access rights
20 The number of people with administrator rights is limited appropriately
21 Access to and use of data altering utilities are restricted, logged, and approved
Manage remote and third-party access

Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Remote access restricted to persons who need it
2 Users are identified and authenticated before remote access is granted
3 Hardware devices used for remote authentication
4 Digital certificates used for remote authentication
5 Number of access points limited
6 Transmitted information is protected (VPN, https)
7 Properly configured firewalls are used at all external access points
8 Intrusion detection system used
9 Periodic intrusion testing
10 Network zones protect data
11 Anti-virus software protects servers and work stations

Monitor access to IT systems

Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 User and IT personnel access rights are periodically reviewed and approved by management
2 Unauthorized access attempts are logged, investigated and follow-up actions documented

INFORMATION & TECHNOLOGY : PROGRAM MAINTENANCE

Establish effective maintenance environment

Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Policies and procedures for database maintenance, including emergency changes, are documented, approved,
and communicated
2 Personnel responsible for program upgrades and patches are properly supervised
3 The person or group responsible for program maintenance is appropriately positioned in the IT organization

4 Duties of program maintenance personnel do not include performing financial reporting processes or controls

Design, develop and configure program upgrades and patches

Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Access to application configuration parameters and data restricted to authorized personnel
2 Use of data altering utilities is denied or strictly defined, monitored, and documented

3 Access to databases is limited to administrators having no conflicting responsibilities

4 Vendor package patches and updates on application functions and controls are evaluated prior to
implementation
5 Requests to upgrade or patch applications are initiated and approved by appropriate members of IT and user
management
Indonesian Version

Applicable/ Not Applicable

Kebijakan dan prosedur untuk administrasi keamanan didokumentasikan, disetujui dan

dikomunikasikan Y

Kebijakan keamanan diterima dan didokumentasikan secara periodik oleh semua karyawan Y
Kebijakan keamanan diterima dan didokumentasikan untuk karyawan baru. Y
Tanggung jawab personal untuk keamanan administrasi sesuai dengan skill and pengalaman ( orang
yang bertanggung jawab atas keamanan memiliki pengalaman) Y

Tanggung jawab personal untuk administrasi keamanan sistem disupervisi dengan tepat Y
Software yang digunakan untuk memfasilitasi penegakan aturan akses dan akses ke monitor tersedia
secara komersil Y

Posisi fungsi administrasi keamanan dalam organisasi menunjukkan keobyektifan Y

kewajiban keamanan individu tidak termasuk dalam proses pelaporan keuangan atau control Y
Kewajiban keamanan individu tidak termasuk dalam programming atau pengelolaan sistem IT Y
Pengelolaan secara periodik untuk kerentanan keamanan IT Y

Hak mengakses dari user dan personil IT didokumentasikan dan disetujui oleh anggota manajemen
dengan tepat Y

User dan profil group digunakan untuk mengontrol level dalam mengakses data Y
Komputer diatur untuk pencegahan dengan persetujuan profil user dan pembatasan menu yang bisa
diakses Y

Mengupdate untuk profil user dan menu pada sistem yang terbatas untuk personil IT Y
User id dan password memerlukan untuk login Y
User id dibuat dengan unik Y
Sistem memerlukan password diganti secara periodik Y
Ada atau tidak jumlah minimal panjang password Y
Password tersembunyi selama login Y
Password dirahasiakan atau tidak Y
User diharuskan untuk menjaga password dengan rahasia Y
Pencegahan penggunaan kata-kata yang biasa digunakan dalam password N
Keamanan sistem harus menggunakan password yang kompleks Y
Sistem user akan ter logout setelah jumlah user yang tidak ter-authorized masuk dalam percobaan
T

Perangkat hardware digunakan untuk pembuktian keaslian Y

Sertifikat digital digunakan untuk pembuktian keaslian Y
Sistem secara otomatis log off setelah periode tidak aktif T
Penghentian hak akses bagi karyawan yang sudah berhenti bekerja berdasarkan waktu Y
Fungsi administrasi keamanan sistem secara otomastis tercatat apabila ada penghentian atau
perubahan status kerja karyawan dalam hak untuk mengakses Y

Jumlah orang yang ditunjuk sebagai administrator terbatas Y

Akses dalam penggunaan data yang mengubah keperluan dibatasi, dibukukan dan, disetujui Y

Pengendalian akses yang terbatas untuk orang yang membutuhkan akses tersebut Y
User diidentifikasi sebelum mengakses data Y
Perangkat hardware digunakan dalam pengendalian otentikasi T
Sertifikat digital digunakan untuk pengendalian otentikasi T
Jumlah akses poin dibatasi Y
Informasi yang tertransmisi dilindungi Y
Pembentukan firewall digunakan pada semua akses poin eksternal Y
Penggunaan sistem untuk mendeteksi gangguan Y
Pengecekan gangguan sistem secara periodik Y
Zona jaringan pelindung data N/A
Software anti virus melindungi server dan work station Y

Hak akses dari user dan personil IT secara periodik direview dan disetujui oleh manajemen Y
percobaan akses yang tidak sah akan dibukukan, diinvestigasi, dan aksi tindak lanjut akan
didokumentasikan N/A

Kebijakan dan prosedur untuk memaintain database,termasuk perubahan darurat,didokumentasikan,

disetujui, dan dikomunikasikan. Y

Tanggung jawab individu dalam mengupgrade program dan patch disupervisi dengan baik Y
orang atau grup yang bertanggung jawab dalam memaintain program diposisikan dalam divisi IT
dengan tepat Y

Kewajiban personil yang memaintain program tidak termasuk dalam pengendalian dan proses
pelaporan keuangan Y

Akses ke aplikasi pembentukan parameter dan data terbatas untuk personil yang disetujui Y
Penggunaan data yang mengubah semua keperluan akan ditolak, termonitor, dan didokumentasikan
N/A

Akses ke database terbatas untuk administrator yang tidak memiliki kepentingan Y

Patch untuk vendor package dan update pada fungsi aplikasi dan control dievaluasi
Y

Permintaan untuk mengupgrade patch aplikasi diinisiasi dan disetujui oleh personil IT dan user
manajemen dengan tepat Y
 Explanation

setiap karyawan membuat form request utuk akses komputer.

setiap terjadi perubahan hak akses wajib mengisi form request.

karyawan baru wajib mengisi form request untuk akses komputer

dibawah devisi IT
tidak termasuk
tidak termasuk
update

disetujui oleh masing-masing atasan

masing-masing user disesuaikan levelnya

masing-masing komputer dibatasi hak akses

Hanya dilakukan oleh IT

masing-masing user memiliki username dan password untuk menggunakan sistem
tidak bisa sama
setiap sebulan sekali
minimal 6 charakter
password tersembunyi
dirahasiakan oleh masing-masing user
tentu

harus terdisi dari hurup besar dan kecil disertai angka dan special charakter

Hanya beberapa komputer (OEM License)

OLP License

saat resign menandatangani form remove akses.

saat terjadi perubahan disertai menandatangani form request akses.

hanya devisi IT
terdokumentasi

hanya diberikan ketika dibutuhkan

melalui komunikasi email atau phone

firewall aktif di setiap komputer

hanya dilakukan untuk memperbaiki
sesuai contract

semua komputer

Semua akses

dilindungi oleh hak akses dan password.

evaluasi sebelum update

dievaluasi sebelum melakukan patching