Untuk mewujudkan penggunaan yang efisien pengguna ketika pengguna berpindah ke berbagai area berbeda dalam system terkait. Para pengguna seharusnya diminta untuk mengubah kata sandi secara teratur; 90 hari mungkin batasan waktu yang paling umum. Kebijakan tersebut harus melarang adanya berbagi kata sandi baik secara sadar maupun tidak sengaja. Selain itu TI seharusnya diminta untuk menghapus kata sandi setelah seseorang karywan telah berhenti bekerja, dan terutama jika karywan tersebut kecewa oleh perusahaan.
Tujuan Audit
- Pastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai dan efektif untuk mengendalikan akses ke system informasi.
Prosedur Audit
- Memverifikasi bahwa semua pengguna diharuskan memiliki kata sandi
- Memverifikasi bahwa semua pengguna diberikan arahan dalam penggunaan kata sandi mereka dan peran penting pengendalian kata sandi
- Tentukan apakah telah ada prosedur untuk mengidentifikasi berbagai kata sandi yang gampang lemah. Proses ini dapat melibatkan penggunaan peranti lunak untuk memindai file kata sandi secara teratur
- Nilai kecukupan standar kata sandi seperti dalam hal panjangnya dan interval kadaluwarsanya
- Tinjau kembali prosedur dan kebijakan penguncian akun. Kebijakan system informasi memungkinkan administrator system menetapkan tindakan yang akan dilakukan setelah ada beberapa usaha yang gagal untuk log on. Auditor harus menentukan berapa banyak usaha log on yang dibiarkan terjadi sebelum akun tersebut dikunci. Durasi penguncian juga perlu dilihat. Proses ini dapat berkisar dari penguncian beberapa menit atau permanen yang akan membutuhkan aktivasi akun kembali.
0 komentar:
Posting Komentar