Standar Audit Sistem Informasi

TUGAS INDIVIDU
ISO 27001:2013
Audit adalah memperoleh bukti dan mengevaluasi secara objektif untuk menentukan kriteria audit dengan melakukan sebuah proses yang sistematis dan terdokumendasi. Didalam sebuah organisasi atau perusahaan perlu dilakukan audit untuk mengetahui kekurangan atau kelemahan yang ada sehinggan dapat menyusun, dan melaksanakan rencana perbakan dari problem yang ada. Penerapan beberapa metode audit dapat mengoptimalkan sebuah proses audit dan hasil yang didapat. Audit dapat dilakukan dengan berberapa metode seperti melalui kuesioner, wawancara, pemeriksaan dokumen atau contoh(sampling), dan menganalisis data.  ISO 27001 adalah Standar Manajemen Keamanan Informasi (SMKI) yang biasa dikenal sebagai rumpun standar ISO 27000. Penggunaan ISO 27000 dapat digunakan atau diterapkan oleh berbagai jenis organisasi, baik perusahaan maupun Lembaga nirlaba. ISO 27001 terdiri dari beberapa standar seperti ISO 27000, ISO 27001, ISO 27002, ISO 27003, sampai ISO 27016. ISO 27001 digunakan untuk fokus pada melindungi kerahasiaan, integritas, informasi sebuah perusahaan, serta menerapkan, menganalis, memelihara, dan mengdokumentasikan sistem manajemen keamanan informasi dalam bisnis organisasi. Penggunaan ISO 27001 dapat mengurangi resiko kerugian dan gangguan yang mempengaruhi bisnis.
          Salah satu framework audit IT yang saya gunakan apabila sebagai auditor IT adalah ISO 27001:2013. ISO 27001:2013 merupakan revisi dari standari ISO 27001:2005. ISO 27001:2013 adalah framework information system yang terstruktur dan fokus pada tujuan pada penilaian resiko sebuah organisi, selanjutnya memberikan fokus yang lebih pada komunikasi. Struktur penulisan ISO 27001:2013 mengikuti Annex SL. Annex SL merupakan pedoman yang digunakan untuk menghasilkan standar ISO. Penggunaan Annex SL memudahkan sebuah organisasi untuk menerapkan sistem manajemen tunggal untuk memenuhi persyaratan pada dua atau lebih standar sistem manajemen.
Beberapa struktur ISO 27001:2013 sebagai berikut :
0.     Introduction
1.     Scope
2.     Normative reference
3.     Terms and definition
4.     Context of the organization
5.     Leadership
6.     Planning
7.     Support
8.     Operation
9.     Performance evaluation
10. Improvement

          Salah satu pemetaan area dan tujuan control ISO 27001 memberikan support dan arahan manajemen terhadap keamanan informasi sesuai dengan kebutuhan bisnis, kebijakan atau peraturan hukum dan regulasi yang berlaku. Selain itu juga mengidentikasi asset organisasi dan menentukan tanggung jawab perlindungan yang tepat serta memastikan bahwa asset informasi menerima perlindungan sesuai dengan tangkat kepentingan nya bagi organisasi.
Read more...

TUGAS SOFTSKILL 4

STANDAR AUDIT SISTEM INFORMASI
Sertikasi IT (Oracle)
Kelompok 8
Link Makalah Tugas 4 -Oracle Certification Program-


Jawaban dan Pertanyaan Tugas 3

1. Sebutkan domain tentang keamanan pada framework COBIT 4.1 dan ITIL v3?
Jawab:
1.   DS (Deliver and Support)
1.1 DS 5 (Ensure Systems Security)
Memenuhi persyaratan bisnis untuk menjaga kerahasiaan, integritas, dan ketersediaan informasi serta infrastruktur pemrosesan yang selaras dengan kebutuhan bisnis dan meminimalkan dampak kerentanan keamanan.

Aktivitas
Beberapa aktivitas dari DS5 (Ensure Systems Security), antara lain:
· DS5-O1 Merencana keamanan yang dikembangkan dan disetujui.
· DS5-O2 Mengelola standardisasi identitas dan otorisasi pengguna.
· DS5-O3 Memantau dan menguji keamanan.
· DS5-O4 Menggunakan teknik untuk memastikan bahwa jaringan dan informasi aman.

2. Design Service
2.1 Information Security Management
Information Security Management mengandung standar, management, procedure dan aturan yang mendukung Information Security Management Policies. Menggunakan hubungan untuk keseluruhan framework untuk mengatur sekuritas akan membantu 4P (People, Product, Process, dan Partner) yang terdiri dari untuk kebutuhan untuk sekuritas dan kontrol. (Malone, Tim, Menken, 2010, p.107)
Aktivitas
Beberapa aktivitas dari Information Security Management, antara lain:
· Mengembangkan dan mengatur Informasi Security Policy
· Mengkomunikasikan, Implementasi, dan Enforcement dari keseluruhan sekuritas
· Memperkirakan dan mengelompokkan aset-aset informasi
· Melakukan implementasi dan melanjutkan security control
· Memantau dan mengatur seluruh insiden keamanan
· Analisis dan melaporkan dan mengurangi jumlah dan efek dari cabang sekuritas dan insiden
· Menjadwalkan dan melakukan eksekusi dari sekuritas, audit, dan penyusupan tes

2. Jelaskan alasan memilih ISO 27001 sebagai pembanding antara framework COBIT4.1 dan ITIL v3?
Jawab:

Karena ISO 27001 merupakan Standar Internasional yang berfokus pada perlindungan keamanan informasi dan data, sehingga ISO 27001 menjadi landasan dalam domain aktifitas IT Security Management(ISM) yang terdapat pada framework ITIL v3.
Maka untuk mencapai keberhasilan atau tujuan, sebuah organisasi perlu menentukan administrasi dan management seperti strategi, rencana atau pun konsep yang efektif dalam melaksanakan setiap kegiatan. Untuk menjaga kerahasiaan, dan integritas suatu informasi perlu adanya keamanan dalam hal pengelolaan informasi. Oleh karena itu, sebuah organisasi perlu menggunakan kombinasi 3 framework(COBIT 4.1, ITIL v3, ISO 27001) untuk mencapai tujuan dari organisasi tersebut.



 
Read more...