TUGAS 3
Audit Teknologi Sistem Informasi#
Dosen : Qomariyah
Anggota Kelompok 1:
1. Amalia Nur Syamsina (10115604)
2. Anella Prisdayanti D (17115810)
3. Shinta Larasati (16115551)
Universitas Gunadarma
Sistem Informasi
2018
BAB I
PENDAHULUAN
1.
ITAF
1.1
Sejarah dan Definisi ITAF
ITAF
didesain dan diciptakan oleh ISACA, ITAF adalah sebuah Framework Praktek
Profesional Audit / jaminan SI yang bertujuan sebagai sumber daya pendidikan
untuk para profesional yang bekerja pada bidang audit/ jaminan SI. ITAF
merupakan model referensi yang komprehensif dan baik penerapannya dikarenakan:
1.
Menetapkan
standar audit dan jaminan peran dan tanggung jawab profesional SI, pengetahuan
dan keterampilan, dan ketekunan, perilaku.
2.
Mendefinisikan
istilah dan konsep spesifik untuk jaminan SI.
3.
Memberikan
bimbingan dan alat-alat dan teknik pada perencanaan, desain, pelaksanaan dan
pelaporan SI audit dan jaminan tugas
ITAF
difokuskan pada materi ISACA dan menyediakan satu sumber dimana IS audit dan
jaminan profesional dapat mencari bimbingan, penelitian kebijakan dan prosedur,
mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif.
ITAF
2nd Edition dimasukkan dalam pedoman audit dan jaminan ISACA pada 1 November
2013, sedangkan 3rd Edition sendiri dimasukan pada 1 September 2014 yang akan
dipakai sebagai pedoman baru dan akan di index didalam framework.
1.2
Keuntungan menggunakan model ITAF
·
ITAF
lebih menitikberatkan pada proses audit, tidak seperti metode lain (COBIT,
ITIL, dsb) yang lebih memfokuskan pada tata kelola TI.
·
ITAF
didesain untuk profesional yang bergerak di bidang jasa audit atau assurance
sehingga cocok diterapkan oleh lembaga.
·
Prosedur,
metode dan istilah-istilah dalam ITAF lebih familiar, mudah dimengerti dan
diterapkan oleh auditor.
1.3
Organisasi ITAF IS audit dan jaminan
standar dibagi menjadi tiga kategori:
1.
Standar
Umum (1000 series) -Apakah prinsip-prinsip di mana profesi jaminan IS
beroperasi. Mereka berlaku untuk pelaksanaan semua tugas, dan berurusan dengan
audit IS dan jaminan profesional etika, independensi, objektivitas dan
hati-hati serta pengetahuan, kompetensi dan keterampilan.
2.
Standar
kinerja (1200 series) -Deal dengan pelaksanaan tugas, seperti perencanaan dan
pengawasan, scoping, risiko dan materialitas, mobilisasi sumber daya,
pengawasan dan tugas manajemen, audit dan bukti jaminan, dan berolahraga
profesional penghakiman dan perawatan karena
3.
Standar
Pelaporan (1400 series) -Address jenis laporan, berarti komunikasi dan
informasi yang dikomunikasikan ITAF IS pedoman audit dan jaminan menyediakan
audit IS dan jaminan profesional dengan informasi dan arah tentang audit IS
atau daerah jaminan. Sejalan dengan tiga kategori standar yang diuraikan di
atas, pedoman fokus pada berbagai pemeriksaan pendekatan, metodologi dan materi
yang terkait untuk membantu dalam perencanaan, pelaksanaan, menilai, menguji
dan melaporkan IS proses, kontrol dan terkait IS audit atau jaminan inisiatif.
Pedoman juga membantu memperjelas hubungan antara kegiatan perusahaan dan
inisiatif, dan orang-orang yang dilakukan oleh IT.
2.
ISO
17799
2.1
Sejarah
dan Definisi ISO 17799
Pada tahun 1995, Institut Standard Britania (BSI)
meluncurkan standard pertama mengenai manajemen informasi terhadap penciptaan
struktur keamanan informasi maka pada awal tahun 1990 BS 7799 di ciptakan,
yaitu: "BS 7799, Bagian Pertama: Kode Praktek untuk Manajemen Keamanan
Informasi". yang didasarkan pada Infrastruktur pokok BS 7799, ISO
(Organisasi Intemasional Standardisasi) yang memperkenalkan ISO 17799 standard
mengenai manajemen informasi pada 1 Desember, 2000. Sedangkan bagi ke sepuluh
bagian kontrol dari BS 7799/ ISO 17799 standard meliputi: kebijakan keamanan,
organisasi keamanan, penggolongan asset dan kendali, keamanan personil, phisik
dan kendali lingkungan, pengembangan dan jaringan komputer dan manajemen,
sistem akses kendali, pemeliharaan sistem, perencanaan kesinambungan bisnis,
dan pemenuhan.
ISO 17799 merupakan suatu struktur dan rekomendasi pedoman yang diakui
secara internasional untuk keamanan informasi. ISO 17799 juga dapat dikatakan proses evaluasi, implementasi, pemeliharaan dan pengaturan keamanan
informasi yang singkat serta proses keamanannya dapat diusahakan atau di
implementasikan bagi perusahaan agar memperoleh manfaat keamanan yang
diinginkan. ISO 17799 merupakan proses
yang seimbang antara fisik, keamanan secara teknikal dan prosedur, serta
keamanan pribadi.
2.2
Keuntungan
meggunakan model ISO 17799
Keuntungan utama
dari BS7799/ISO17799 berhubungan dengan kepercayaan publik. Sama seperti ISO
9000 yang mencerminkan jaminan kualitas.
·
Standar
ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan.
·
Manajemen
kebijakan terpusat dan prosedur.
·
Menjamin
layanan informasi yang tepat guna.
·
Mengurangi
biaya manajemen,
·
Dokumentasi
yang lengkap atas segala perubahan/revisi.
·
Suatu
metoda untuk menentukan target dan mengusulkan peningkatan.
·
Basis
untuk standard keamanan informasi internal perusahaan
Suatu organisasi yang menerapkan ISO 17799 akan mempunyai
suatu alat untuk mengukur, mengatur dan mengendalikan informasi yang penting bagi operasional
sistem mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan
pelanggan, efisiensi dan efektifitas.
2.3
Isi dari ISO-17799
Isi ISO 17799, meliputi :
·
10 control clauses (10 pasal
pengamatan)
·
36 control objectives (36 objek/sasaran
pengamanan)
·
127 controls securiy (127 pengawasan
keamanan)
3.
ISO 15408 / ITSEC
3.1
Sejarah dan Definisi ISO 15480 /
ITSEC
Standar Internasional ISO 15408-1
disiapkan oleh Komite Teknis Bersama ISO / IEC JTC 1,
Teknologi informasi, bekerja sama dengan
Organisasi Sponsor Proyek Kriteria Umum. Teks identik ISO / IEC 15408-1
diterbitkan oleh Organisasi Sponsor Proyek Kriteria Umum sebagai Kriteria Umum
untuk Evaluasi Keamanan Teknologi Informasi.
ISO / IEC 15408-1: 2009 menetapkan
konsep dan prinsip umum evaluasi keamanan TI dan menetapkan model umum evaluasi
yang diberikan oleh berbagai bagian ISO / IEC 15408 yang secara keseluruhan
dimaksudkan untuk digunakan sebagai dasar untuk evaluasi keamanan dan sifat
produk IT.
Kerangka kerja ini menyediakan model
Perlindungan Profil (PPs) - dokumen yang mengidentifikasi persyaratan keamanan
untuk berbagai perangkat keamanan tertentu - untuk membantu pengguna komputer
menentukan persyaratan keamanan mereka memungkinkan pengecer komputer untuk menerapkan
atribut keamanan yang sesuai dan memadai. Atribut-atribut ini kemudian dapat
secara resmi diuji dan dievaluasi untuk memvalidasi kepatuhan dengan semua
persyaratan yang berlaku.
3.1
Keuntungan menggunakan model ISO
15480 / ITSEC
·
Mempertimbangkan
faktor-faktor evaluasi sebagaimana fungsi dan aspek kepastian kebenaran dan
efektivitas
·
Fungsi
mengacu menegakkan fungsi target keamanan
·
Kebenaran
menilai tingkat di mana fungsi keamanan yang dapat atau tidak dapat ditegakkan
·
Efektivitas
melibatkan penilaian kesesuaian target fungsi evaluasi, pengikatan fungsi,
konsekuensi dari kerentanan diketahui dan kemudahan penggunaan
3.2
Kebijakan
ISO 15480/ITSEC
Dengan mengabaikan bahwa apakah perusahaan
mengikuti strategi manajemen resiko atau
kepatuhan terhadap tolak ukur maupun tidak , suatu kebijakan keamanan harus di
terapkan untuk mengarahkan keseluruhan
program. Perusahan dapat menerapkan
kebijakan keamanan dengan mengikuti pendekatan yang bertahap:
·
Fase
1- Ini siasi proyek.
·
Fase
2- Penyusunan kebijakan
·
Fase
3- Konsultasi dan persetujuan
·
Fase
4- Kesadaran dan edukasi
·
Fase
5-Penyebarluasan kebijakan
BAB II
TEORI PERBANDINGAN
ITAF VS ISO 17799 VS ISO
15408 / ITSEC
Area
|
ITAF
|
ISO 17799
|
ISO 15408
|
Fungsi
|
Framework Praktek profesional
Audit
|
Standard mengenai manajemen
informasi terhadap penciptaan struktur keamanan informasi
|
Standard untuk persyaratan
keamanan fungsional yang disajikan dalam profil perlindungan (protection
profile/pp) atau sasarab keamanan (security)
|
Area
|
·
3
standard
·
4
pedoman
|
·
10
control clauses (10 pasal pegamatan)
·
36
contol objectives (36 objek/sasaran pengamanan)
·
127
controls security ( 127 pengawasan keamanan)
|
·
5
fase kebijakan
·
6
batasan
|
Penerbit
|
ISACA
|
Institut Standard Britania (BSI)
|
Organisasi Sponsor Proyek Kriteria
Umum
|
Pelaksanaan
|
Mencari bimbingan, kebijakan da
prosedur penelitian, mendapatkan prgram audit dan jaminan dan mengembangkan
laporan yang efektif.
|
Memberikan secara komprehensif
alat pengendalian berisikan praktek terbaik dalam keamanan informasi.
|
Mempertimbangkan faktor-faktor
evaluasi sebagaimana fungsi dan aspek kepastian kebenaradan efektivitas
|
Konsultan
|
Perusahaan Konsutan IT
|
Perusahaan konsultan IT,
perusahaan keamanan
|
Perusahaan konsultan IT,
perusahaan keamanan
|
BAB III
PEMBAHASAN STUDI KASUS
3.2
Studi
Kasus
Fakultas Teknologi Informasi (FTI) Universitas
Kristen Satya Wacana (UKSW) memiliki sejumlah laboratorium komputer sebagai
fasilitas pembelajaran dan akses informasi untuk menunjang perkuliahan dan
pengembangan diri mahasiswa.
Laboratorium memiliki informasi-informasi penting yang perlu untuk dilindungi
seperti informasi akademik berupa data pengajar baik dosen maupun asisten
dosen, materi kuliah,dan lain-lain. Selain itu, FTI UKSW juga memiliki sistem
informasi dan fasilitas yang terhubung dalam jaringan lokal maupun internet
yang digunakan secara luas bagi mahasiswa dan dosen serta staf FTI UKSW untuk
menunjang proses penyelenggaraan akademik dan administrasi. Akan tetapi dalam
penerapannya sering ditemui keluhan-keluhan mengenai keamanan informasi yang ada.
Oleh karena itu, perlu dilakukan upaya untuk mengidentifikasi penyebab dan
mencari solusi agar dapat menyelesaikan masalah yang terjadi di FTI UKSW.
3.2 Hasil Analisis
Solusi yang dapat dilakukan adalah
audit terhadap keamanan informasi untuk mengidentifikasi kekurangan dan
memeriksa efektifitas dari kebijakan, pedoman, dan prosedur yang ada sehingga
dapat mengidentifikasi dan memahami kelemahan yang ada. Pada hasil analisis digunakan 3 control clauses pada ISO
17799 yang digunakan sebagai indikator perhitungan self assessment yaitu :
1.
communication and operations management, kontrol ini digunakan untuk
menyediakan perlindungan terhadap infrastruktur sistem informasi melalui
perawatan dan pemeriksaan berkala.
2.
Access
Control, kontrol ini digunakan untuk
mengendalikan atau membatasi akses pengguna terhadap informasi-informasi yang
telah diatur kewenangannya.
3.
System
Development and Maintenance, sistem aplikasi untuk
divalidasi oleh operator sehingga dapat memastikan bahwa data yang dimasukkan
benar dan sesuai. Karena input data
dilakukan secara manual oleh operator maka tidak terdapat pesan otentikasi pada
aplikasi serta proses validasi output pada
sistem. Validasi data output pada
sistem dilakukan secara manual dengan cara memperbandingkan output dengan data awal.
Sumber :
