TUGAS 3
Audit Teknologi Sistem Informasi#
Dosen
:
Qomariyah
Perbandingan 3 Framework Audit TI
ITAF, ISO 17799, ISO 15408/ITSEC
Anggota Kelompok 1
Amalia Nur Syamsina (10115604)
Anella
Prisdayanti D (17115810)
Shinta Larasati (16115551)
Universitas Gunadarma
Sistem Informasi
2018
BAB I
PENDAHULUAN
1.
ITAF
1.1 Sejarah dan
Definisi ITAF
ITAF didesain dan diciptakan oleh ISACA,
ITAF adalah sebuah Framework Praktek Profesional Audit /
jaminan SI yang bertujuan sebagai sumber daya pendidikan untuk para profesional
yang bekerja pada bidang audit/ jaminan SI. ITAF merupakan model referensi yang
komprehensif dan baik penerapannya dikarenakan:
1. Menetapkan standar audit dan jaminan
peran dan tanggung jawab profesional SI ; pengetahuan dan keterampilan; dan
ketekunan, perilaku.
2. Mendefinisikan istilah dan konsep
spesifik untuk jaminan SI.
3. Memberikan bimbingan dan alat-alat
dan teknik pada perencanaan, desain, pelaksanaan dan pelaporan SI audit dan
jaminan tugas
ITAF
difokuskan pada materi ISACA dan menyediakan satu sumber dimana IS audit dan
jaminan profesional dapat mencari bimbingan, penelitian kebijakan dan prosedur,
mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif.
ITAF
2nd Edition dimasukkan dalam pedoman audit dan jaminan ISACA pada 1 November
2013, sedangkan 3rd Edition sendiri dimasukan pada 1 September 2014 yang akan
dipakai sebagai pedoman baru dan akan di index didalam framework.
1.2
Keuntungan
menggunakan model ITAF
· ITAF
lebih menitikberatkan pada proses audit, tidak seperti metode lain (COBIT,
ITIL, dsb) yang lebih memfokuskan pada tata kelola TI.
·
ITAF
didesain untuk profesional yang bergerak di bidang jasa audit atau assurance
sehingga cocok diterapkan oleh lembaga.
·
Prosedur,
metode dan istilah-istilah dalam ITAF lebih familiar, mudahdimengerti dan diterapkan oleh auditor.
1.3 Organisasi
ITAF IS audit dan jaminan standar dibagi menjadi tiga kategori:
1.
Standar
Umum (1000 series) -Apakah prinsip-prinsip di mana profesi jaminan IS
beroperasi. Mereka berlaku untuk pelaksanaan semua tugas, dan berurusan dengan
audit IS dan jaminan profesional etika, independensi, objektivitas dan
hati-hati serta pengetahuan, kompetensi dan keterampilan.
2. Standar
kinerja (1200 series) -Deal dengan pelaksanaan tugas, seperti perencanaan dan
pengawasan, scoping, risiko dan materialitas, mobilisasi sumber daya,
pengawasan dan tugas manajemen, audit dan bukti jaminan, dan berolahraga
profesional penghakiman dan perawatan karena
3. Standar
Pelaporan (1400 series) -Address jenis laporan, berarti komunikasi dan
informasi yang dikomunikasikan ITAF IS pedoman audit dan jaminan menyediakan
audit IS dan jaminan profesional dengan informasi dan arah tentang audit IS
atau daerah jaminan. Sejalan dengan tiga kategori standar yang diuraikan di
atas, pedoman fokus pada berbagai pemeriksaan pendekatan, metodologi dan materi
yang terkait untuk membantu dalam perencanaan, pelaksanaan, menilai, menguji
dan melaporkan IS proses, kontrol dan terkait IS audit atau jaminan inisiatif.
Pedoman juga membantu memperjelas hubungan antara kegiatan perusahaan dan
inisiatif, dan orang-orang yang dilakukan oleh IT.
2.
ISO
17799
2.1 Sejarah dan Definisi ISO 17799
Pada
tahun 1995, Institut Standard Britania (BSI) meluncurkan standard pertama
mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi
maka pada awal tahun 1990 BS 7799 di ciptakan, yaitu: "BS 7799, Bagian
Pertama: Kode Praktek untuk Manajemen Keamanan Informasi". yang didasarkan
pada Infrastruktur pokok BS 7799, ISO (Organisasi Intemasional Standardisasi)
yang memperkenalkan ISO 17799 standard mengenai manajemen informasi pada 1
Desember, 2000. Sedangkan bagi ke sepuluh bagian kontrol dari BS 7799/ ISO
17799 standard meliputi: kebijakan keamanan, organisasi keamanan, penggolongan
asset dan kendali, keamanan personil, phisik dan kendali lingkungan,
pengembangan dan jaringan komputer dan manajemen, sistem akses kendali,
pemeliharaan sistem, perencanaan kesinambungan bisnis, dan pemenuhan.
ISO 17799 merupakan suatu
struktur dan rekomendasi pedoman yang diakui secara internasional untuk
keamanan informasi. ISO 17799 juga
dapat dikatakan proses evaluasi,
implementasi, pemeliharaan dan pengaturan keamanan informasi yang singkat serta
proses keamanannya dapat diusahakan atau di implementasikan bagi
perusahaan agar memperoleh manfaat keamanan yang diinginkan. ISO 17799 merupakan proses yang seimbang
antara fisik, keamanan secara teknikal dan prosedur, serta keamanan pribadi.
2.2 Keuntungan menggunakan model ITAF
Keuntungan utama dari
BS7799/ISO17799 berhubungan dengan kepercayaan publik. Sama seperti ISO 9000
yang mencerminkan jaminan kualitas.
·
Standar
ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan.
·
Manajemen
kebijakan terpusat dan prosedur.
·
Menjamin
layanan informasi yang tepat guna.
·
Mengurangi
biaya manajemen,
·
Dokumentasi
yang lengkap atas segala perubahan/revisi.
·
Suatu
metoda untuk menentukan target dan mengusulkan peningkatan.
·
Basis
untuk standard keamanan informasi internal perusahaan
Suatu organisasi yang menerapkan ISO 17799 akan
mempunyai suatu alat untuk mengukur, mengatur dan mengendalikan informasi yang penting bagi operasional
sistem mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan
pelanggan, efisiensi dan efektifitas.
2.3
Isi dari ISO-17799
Isi ISO 17799, meliputi :
·
10 control clauses (10 pasal pengamatan)
·
36 control objectives (36 objek/sasaran pengamanan)
·
127 controls securiy (127 pengawasan keamanan)
3. ISO 15408 / ITSEC
3.1 Sejarah dan Definisi ISO 15480 / ITSEC
Standar Internasional ISO 15408-1
disiapkan oleh Komite Teknis Bersama ISO / IEC JTC 1,
Teknologi informasi, bekerja sama dengan Organisasi
Sponsor Proyek Kriteria Umum. Teks identik ISO / IEC 15408-1 diterbitkan oleh
Organisasi Sponsor Proyek Kriteria Umum sebagai Kriteria Umum untuk Evaluasi
Keamanan Teknologi Informasi.
ISO / IEC 15408-1: 2009 menetapkan
konsep dan prinsip umum evaluasi keamanan TI dan menetapkan model umum evaluasi
yang diberikan oleh berbagai bagian ISO / IEC 15408 yang secara keseluruhan
dimaksudkan untuk digunakan sebagai dasar untuk evaluasi keamanan dan sifat
produk IT. Kerangka
kerja ini menyediakan model Perlindungan Profil (PPs) - dokumen yang
mengidentifikasi persyaratan keamanan untuk berbagai perangkat keamanan
tertentu - untuk membantu pengguna komputer menentukan persyaratan keamanan
mereka memungkinkan pengecer komputer untuk menerapkan atribut keamanan yang
sesuai dan memadai. Atribut-atribut ini kemudian dapat secara resmi diuji dan
dievaluasi untuk memvalidasi kepatuhan dengan semua persyaratan yang berlaku.
3.2 Keuntungan
menggunakan model ISO 15480 / ITSEC
· Mempertimbangkan faktor-faktor
evaluasi sebagaimana fungsi dan aspek kepastian kebenaran dan efektivitas
· Fungsi mengacu menegakkan fungsi
target keamanan
· Kebenaran menilai tingkat di mana
fungsi keamanan yang dapat atau tidak dapat ditegakkan
· Efektivitas melibatkan penilaian
kesesuaian target fungsi evaluasi, pengikatan fungsi, konsekuensi dari
kerentanan diketahui dan kemudahan penggunaan
3.3 Kebijakan ISO 15480 / ITSEC
Dengan
mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen resiko atau kepatuhan terhadap
tolak ukur maupun tidak , suatu kebijakan keamanan harus di terapkan untuk mengarahkan keseluruhan program. Perusahan
dapat menerapkan kebijakan keamanan
dengan mengikuti pendekatan yang bertahap:
·
Fase
1- Ini siasi proyek.
·
Fase
2- Penyusunan kebijakan
·
Fase
3- Konsultasi dan persetujuan
·
Fase
4- Kesadaran dan edukasi
·
Fase
5-Penyebarluasan kebijakan
BAB II
TEORI
PERBANDINGAN
ITAF VS ISO 17799 VS ISO
15408 / ITSEC
Area
|
ITAF
|
ISO
17799
|
ISO
15408
|
Fungsi
|
Framework Praktek Profesional Audit
|
Standard
mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi
|
Standart untuk persyaratan keamanan fungsional yang
disajikan dalam Profil Perlindungan (Protection Profile/PP) atau Sasaran
Keamanan (Security Target/ST).
|
Area
|
·
3 Standart
·
4 Pedoman
|
·
10 control clauses (10 pasal pengamatan)
·
36 control objectives (36 objek/sasaran
pengamanan)
·
127 controls securiy (127 pengawasan keamanan)
|
·
5 Fase Kebijakan
· 6 Batasan
|
Penerbit
|
ISACA
|
Institut
Standard Britania (BSI)
|
Organisasi Sponsor Proyek Kriteria
Umum
|
Pelaksanaan
|
mencari bimbingan, kebijakan dan prosedur penelitian,
mendapatkan program audit dan jaminan, dan mengembangkan laporan yang
efektif.
|
memberikan secara komprehensif alat pengendalian berisikan
praktek terbaik dalam keamanan informasi.
|
Mempertimbangkan
faktor-faktor evaluasi sebagaimana fungsi dan aspek kepastian kebenaran dan
efektivitas
|
Konsultan
|
Perusahaan
konsultan IT
|
Perusahaan
konsultan IT, Perusahaan Keamanan
|
Perusahaan
konsultan IT, Perusahaan Keamanan
|
BAB III
PEMBAHASAN STUDI KASUS
3.1 Studi Kasus
Fakultas Teknologi Informasi (FTI) Universitas
Kristen Satya Wacana (UKSW) memiliki sejumlah laboratorium komputer sebagai
fasilitas pembelajaran dan akses informasi untuk menunjang perkuliahan dan
pengembangan diri mahasiswa. Laboratorium
memiliki informasi-informasi penting yang perlu untuk dilindungi seperti
informasi akademik berupa data pengajar baik dosen maupun asisten dosen, materi
kuliah,dan lain-lain. Selain itu, FTI UKSW juga memiliki sistem informasi dan
fasilitas yang terhubung dalam jaringan lokal maupun internet yang digunakan
secara luas bagi mahasiswa dan dosen serta staf FTI UKSW untuk menunjang proses
penyelenggaraan akademik dan administrasi. Akan tetapi dalam penerapannya
sering ditemui keluhan-keluhan mengenai keamanan informasi yang ada. Oleh
karena itu, perlu dilakukan upaya untuk mengidentifikasi penyebab dan mencari
solusi agar dapat menyelesaikan masalah yang terjadi di FTI UKSW.
3.2 Hasil Analisis
Solusi yang dapat dilakukan adalah audit
terhadap keamanan informasi untuk mengidentifikasi kekurangan dan memeriksa
efektifitas dari kebijakan, pedoman, dan prosedur yang ada sehingga dapat
mengidentifikasi dan memahami kelemahan yang
ada. Pada hasil analisis digunakan 3 control clauses pada ISO 17799 yang
digunakan sebagai indikator perhitungan self
assessment yaitu :
1.
communication and operations management, kontrol ini digunakan untuk
menyediakan perlindungan terhadap infrastruktur sistem informasi melalui
perawatan dan pemeriksaan berkala.
2.
Access Control, kontrol ini digunakan untuk
mengendalikan atau membatasi akses pengguna terhadap informasi-informasi yang
telah diatur kewenangannya.
3.
System Development and Maintenance, sistem
aplikasi untuk divalidasi oleh operator sehingga dapat memastikan bahwa data
yang dimasukkan benar dan sesuai. Karena input
data dilakukan secara manual oleh operator maka tidak terdapat pesan
otentikasi pada aplikasi serta proses validasi output pada sistem. Validasi data output pada sistem dilakukan secara manual dengan cara memperbandingkan
output dengan data awal.
Data untuk melakukan perhitungan self
assesment didapat dari 9 responden. Hasil yang diperoleh dari penelitian ini
adalah keamanan informasi FTI UKSW berdasarkan ISO/IEC 17799:2005 memiliki
rata-rata score sebesar 45 yaitu di
posisi Marginal.
Sumber :
repository.uksw.edu/handle/123456789/3927
