Professional Documents
Culture Documents
IT PROFILE
AS OF DECEMBER 31, 2017
Guidance:
Please fill in available colom for information IT Profile that used by Dwidaya Group.
Auditor:
please update if any
Operating System
No Aplication Name changes of anyHardware
additional
*)
**)
Database ***)
application or software.
Please choose one of the following options. If others, please fill the additional information.
*) Hardware **) Operating System
- Mainframe/Midrange - Linux
- Network Server - MVS
- Standalone PC - OS/400
- Network PC - Unix
- Other : _______ - VMS
- Windows
***) Database - Other : __________
- Oracle
- SQL Server
- DB2
- Pervasive
- Access
- Sybase
- Other : ______________
Used to Proses
Guidance:
Related to software that used by the Company (Refer IT Profile), Please fill control that related to IT Profile in coloumn
A/NA (A: If control was applicable for IT Profile and NA: if control not applicable for IT Profile) and Explanation (please
give explanation for each control).
A : Applicable
NA : Not Applicable
Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Access rights of users and IT personnel are documented and approved by appropriate members of
management
2 User and group profiles used to control the level of access to data
3 Computers are configured to prevent the by passing of approved user profiles and menu restrictions
4 Updates to user profiles and menus on the system restricted to IT security personnel
5 User id and password required to logon
6 User ids required to be unique
7 System requires passwords to be changed periodically
8 Minimum lengths established for passwords
9 Passwords hidden during system logon
10 Passwords are encrypted
11 Users required to keep passwords confidential
12 Dictionaries prevent use of common words as passwords
13 System security enforces use of complex passwords
14 System locks out users after a reasonable number of unauthorized entry attempts
Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Remote access restricted to persons who need it
2 Users are identified and authenticated before remote access is granted
3 Hardware devices used for remote authentication
4 Digital certificates used for remote authentication
5 Number of access points limited
6 Transmitted information is protected (VPN, https)
7 Properly configured firewalls are used at all external access points
8 Intrusion detection system used
9 Periodic intrusion testing
10 Network zones protect data
11 Anti-virus software protects servers and work stations
Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 User and IT personnel access rights are periodically reviewed and approved by management
2 Unauthorized access attempts are logged, investigated and follow-up actions documented
Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Policies and procedures for database maintenance, including emergency changes, are documented, approved,
and communicated
2 Personnel responsible for program upgrades and patches are properly supervised
3 The person or group responsible for program maintenance is appropriately positioned in the IT organization
4 Duties of program maintenance personnel do not include performing financial reporting processes or controls
Please fill with Y/N/ or N/A for applied control below and if the answer Y, please give detail explanation
1 Access to application configuration parameters and data restricted to authorized personnel
2 Use of data altering utilities is denied or strictly defined, monitored, and documented
Kebijakan keamanan diterima dan didokumentasikan secara periodik oleh semua karyawan Y
Kebijakan keamanan diterima dan didokumentasikan untuk karyawan baru. Y
Tanggung jawab personal untuk keamanan administrasi sesuai dengan skill and pengalaman ( orang
yang bertanggung jawab atas keamanan memiliki pengalaman) Y
Tanggung jawab personal untuk administrasi keamanan sistem disupervisi dengan tepat Y
Software yang digunakan untuk memfasilitasi penegakan aturan akses dan akses ke monitor tersedia
secara komersil Y
Hak mengakses dari user dan personil IT didokumentasikan dan disetujui oleh anggota manajemen
dengan tepat Y
User dan profil group digunakan untuk mengontrol level dalam mengakses data Y
Komputer diatur untuk pencegahan dengan persetujuan profil user dan pembatasan menu yang bisa
diakses Y
Mengupdate untuk profil user dan menu pada sistem yang terbatas untuk personil IT Y
User id dan password memerlukan untuk login Y
User id dibuat dengan unik Y
Sistem memerlukan password diganti secara periodik Y
Ada atau tidak jumlah minimal panjang password Y
Password tersembunyi selama login Y
Password dirahasiakan atau tidak Y
User diharuskan untuk menjaga password dengan rahasia Y
Pencegahan penggunaan kata-kata yang biasa digunakan dalam password N
Keamanan sistem harus menggunakan password yang kompleks Y
Sistem user akan ter logout setelah jumlah user yang tidak ter-authorized masuk dalam percobaan
T
Pengendalian akses yang terbatas untuk orang yang membutuhkan akses tersebut Y
User diidentifikasi sebelum mengakses data Y
Perangkat hardware digunakan dalam pengendalian otentikasi T
Sertifikat digital digunakan untuk pengendalian otentikasi T
Jumlah akses poin dibatasi Y
Informasi yang tertransmisi dilindungi Y
Pembentukan firewall digunakan pada semua akses poin eksternal Y
Penggunaan sistem untuk mendeteksi gangguan Y
Pengecekan gangguan sistem secara periodik Y
Zona jaringan pelindung data N/A
Software anti virus melindungi server dan work station Y
Hak akses dari user dan personil IT secara periodik direview dan disetujui oleh manajemen Y
percobaan akses yang tidak sah akan dibukukan, diinvestigasi, dan aksi tindak lanjut akan
didokumentasikan N/A
Tanggung jawab individu dalam mengupgrade program dan patch disupervisi dengan baik Y
orang atau grup yang bertanggung jawab dalam memaintain program diposisikan dalam divisi IT
dengan tepat Y
Kewajiban personil yang memaintain program tidak termasuk dalam pengendalian dan proses
pelaporan keuangan Y
Akses ke aplikasi pembentukan parameter dan data terbatas untuk personil yang disetujui Y
Penggunaan data yang mengubah semua keperluan akan ditolak, termonitor, dan didokumentasikan
N/A
Permintaan untuk mengupgrade patch aplikasi diinisiasi dan disetujui oleh personil IT dan user
manajemen dengan tepat Y
Explanation
dibawah devisi IT
tidak termasuk
tidak termasuk
update
harus terdisi dari hurup besar dan kecil disertai angka dan special charakter
hanya devisi IT
terdokumentasi
semua komputer
Semua akses