TUGAS AUDIT TEKNOLOGI SISTEM INFORMASI
TUGAS !!!
1.
Jelaskan secara
singkat apa itu audit ?
2.
Jelaskan kenapa
perlu adanya Audit SI di perusahaan?
3.
Jelaskan secara
singkat tahapan Audit SI?
4.
Pada Information
Technology Service Management, Jelaskan secara singkat tentang
-
COBIT
-
ITIL
-
ISO-27001
JAWAB :
1.
Pengertian Audit SI
Ø Audit adalah Proses pengumpulan
dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang
digunakan telah dapat :
-
melindungi aset milik organisasi,
-
mampu menjaga integritas data,
-
membantu pencapaian tujuan organisasi secara efektif,
-
menggunakan sumber daya yang dimiliki secara efisien.
Ø Audit SI/TI
merupakan upaya menilai apakah proses
IT sudah dilakukan dengan baik untuk mendukung tujuan organisasi dengan melakukan pengendalian dari outcome yang dihasilkan.
2.
Pentingnya Audit
bagi Perusahaan
Audit
Sistem Informasi merupakan hal yang penting bagi sebuah organisasi untuk dapat
menghindari:
Ø Kerugian akibat kehilangan data
Ø Kerugian akibat kesalahan pemrosesan computer
Ø Pengambilan keputusan yang salah akibat informasi yang salah
Ø Kerugian karena penyalahgunaan komputer (Computer Abused)
Ø Nilai hardware, software dan personil sistem informasi
Ø Pemeliharaan kerahasiaan informasi
3.
Tahapan- tahapan Audit
SI
a.
Perencanaan (Planning)
Tahap
perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope),
objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi
dengan managemen pada organisasi yang bersangkutan dengan menganalisa visi,
misi, sasaran dan tujuan objek yang diteliti serta strategi,
kebijakan-kebijakan yang terkait dengan pengolahan investigasi.
b.
Pemeriksaan Lapangan (Field Work)
Ø Pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan
pihak-pihak yang terkait.
Ø Metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan
survey ke lokasi penelitian.
c.
Pelaporan (Reporting)
Ø Setelah proses pengumpulan data, maka akan didapat data yang akan
diproses untuk dihitung berdasarkan perhitungan maturity level.
Ø Pada tahap ini yang akan dilakukan memberikan informasi berupa
hasil-hasil dari audit.
Ø Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey
dan rekapitulasi hasil penyebaran quesioner.
d.
Tindak Lanjut (Follow Up)
Ø Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa
rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti
Ø Wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti
apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang
akan datang.
4.
Pengertian ( COBIT,
ITIL, ISO-27001 )
a.
COBIT (Control
Objectives for Information and Related Technology)
Merupakan audit sistem informasi dan dasar pengendalian yang
dibuat oleh Information
Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT merupakan
kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan
balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan
disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.
Kriteria Informasi berdasarkan COBIT
Kriteria Informasi berdasarkan COBIT
Untuk memenuhi
tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria
informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
1. Effectiveness
(Efektivitas). Informasi
yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten
dapat dipercaya, dan tepat waktu.
2. Effeciency
(Efisiensi). Penyediaan
informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis)
yang optimal.
3. Confidentially
(Kerahasiaan). Berkaitan
dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak
otorisasi/tidak berwenang.
4. Intergrity
(Integritas). Berkaitan
dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang
sesuai dengan ekspetasi dan nilai bisnis.
5. Availability
(Ketersediaan). Fokus
terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis,
baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan
pengamanan atas sumber daya yang diperlukan dan terkait.
6. Compliance
(Kepatuhan). Pemenuhan
data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana
perjanjian/kontrak untuk proses bisnis.
7. Reliability
(Handal). Fokus pada
pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan
dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.
b. ITIL (Information
Technology Infrastructure Library)
Adalah suatu rangkaian dengan konsep dan teknik pengelolaan
infrastruktur, pengembangan, serta operasi teknologi informasi (TI). ITIL
diterbitkan dalam suatu rangkaian buku yang masing-masing membahas suatu topik
pengelolaan (TI). Nama ITIL dan IT Infrastructure Library merupakan merek
dagang terdaftar dari Office of Government
Commerce (OGC) Britania Raya.
ITIL memberikan deskripsi detil tentang beberapa praktik (TI)
penting dengan daftar cek, tugas, serta prosedur yang menyeluruh yang dapat
disesuaikan dengan segala jenis organisasi (TI).
Walaupun dikembangkan sejak dasawarsa 1980-an, penggunaan ITIL
baru meluas pada pertengahan 1990-an dengan spesifikasi versi keduanya (ITIL
v2) yang paling dikenal dengan dua set bukunya yang berhubungan dengan ITSM (IT
Service Management), yaitu Service Delivery (Antar Layanan) dan Service Support
(Dukungan Layanan).
Pada awalnya ITIL adalah serangkaian lebih dari 40 buku pedoman
tentang pengelolaan layanan IT yang terdiri dari 26 modul. Perpustakaan besar
pertama ini juga dikenal sebagai ITIL 1.0. Antara 2000 dan 2004 disebabkan oleh
peningkatan pelayanan yang berkesinambungan dan adaptasi terhadap situasi saat
ini dalam lingkungan (TI) modern ITIL 1.0 di rilis besar dan digabungkan
menjadi delapan inti manual: ITIL 2.0. Pada awal musim panas 2007 ITIL 3.0
diterbitkan. Ini didirikan struktur yang sama sekali baru. Ini terdiri dari
tiga bidang utama:
·
ITIL Core Publikasi
·
ITIL Pelengkap Bimbingan
·
ITIL Web Support Services
c.
ISO-27001
ISO 27001
ini merupakan standar keamanan untuk informasi yang disampaikan melalui media
elektronik. ISO yang berlaku pada saat artikel ini ditulis adalah ISO
27001:2013 atau ISO/IEC 27001:2013. ISO 27001:2013 ini menggantikan ISO
27001:2005. Pada ISO 27001 ini akan diuraikan mengenai spesifikasi dari
information security managemen system atau ISMS. Perusahaan atau organisasi
yang memenuhi standar ini akan mendapatkan sertfifikasi setelah menyelesaikan
proses audit secara resmi.
Penerapan
ISO 27001 dan pemberian sertifikat bervariasi dari suatu situasi ke situasi
yang lain. Secara umum kebutuhan penerapan iso 27001 ada dua yaitu
1. Efisiensi
dan efektifitas internal perusahaan
Dengan menerapkan ISO 27001 ini diharapkan perusahaan dapat menerapkan
standar internasional yang sudah dilakukan melalui riset yang ketat. Perusahaan
tidak perlu melakukan riset hal-hal apa yang perlu diterapkan mengenai ISO
27001, tinggal mengikuti dan menyesuaikan apa yang diuraikan oleh ISO 27001.
2. Mendapatkan
sertifikat
Bagi perusahaan yang memberikan layanan data center selain untuk efisiensi
dan efektifitas layanan data center, penerapan ISO 27001 merupakan sarana
yang baik berkaitan pemasaran layanan perusahaan.
Bagi perusahaan yang berkecimpung di aplikasi dan menyewakan aplikasinya
mungkin perlu memahami ISO 27001 sebagai pegangan dalam menjawab
pertanyaan-pertanyaan yang disampaikan calon pelanggan kita berkaitan dengan
keamanan dan ketersediaan aplikasi yang kita sewakan. Kita juga dapat memilih
provider cloud yang memenuhi standar ini. Tentu saja jika kita telah serius
menyewakan aplikasi kita dan menunjukkan bahwa layanan kita handal kita harus
menguasai ISO 27001 dan memastikan infrastruktur kita memenuhi standar ISO
27001.
ISO 27001 ini dikembangkan oleh team ISO/IEC yang bergabung dengan
komite teknik JTC 1. JTC 1 sendiri merupakan lingkungan dalam
pengembangan-pengembangan untuk standarisasi ICT (Information and Communication
Technology) baik untuk bisnis maupun untuk konsumen.
Daftar Pustaka
https://www.iso.org/isoiec-27001-information-security.html
https://www.iso.org/standard/54534.html .
https://en.wikipedia.org/wiki/ISO/IEC_27001:2013 .
https://www.itgovernance.co.uk/implementing_iso27001 .
https://www.iso.org/isoiec-jtc-1.html .
https://www.iso.org/standard/54534.html .
https://en.wikipedia.org/wiki/ISO/IEC_27001:2013 .
https://www.itgovernance.co.uk/implementing_iso27001 .
https://www.iso.org/isoiec-jtc-1.html .
Komentar
Posting Komentar