P. 1
contoh Proposal COBIT

contoh Proposal COBIT

|Views: 359|Likes:
Dipublikasikan oleh pejuangdigital

More info:

Published by: pejuangdigital on Oct 12, 2012
Hak Cipta:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

11/01/2014

pdf

text

original

PROPOSAL TEKNIS

Audit Sistem Information Technology
B A D A N U S A H A MI L I K N E G A R A MENTERI NEGARA BUMN

Februari 2005

D A FTA R I S I Pendahuluan Tujuan Audit Batasan Audit Hasil-hasul Audit Metodologi Audit Jadwal Audit Sumber Daya Pembiayaan 2 .

Berkenaan dengan proses evaluasi dan audit manajemen teknologi informasi. Berkembangnya ancaman dunia kejahatan cyber seperti ancaman jaringan internet dan pemalsuan informasi. Beberapa alasannya adalah sebagai berikut: 1. Saat ini banyak organisasi yang memiliki ketergantungan terhadap informasi elektronis dan sistem teknologi informasi. Meningkatnya investasi dalam pengelolaan dan pengembangan sistem informasi dan akan terus meningkat di masa mendatang. Keadaan ini. Bertambahnya tingkat ketergantungan organisasi terhadap informasi dan sistem yang digunakan untuk memanajemen dan mengkomunikasikan informasi tersebut. Untuk memastikan bagaimana kontribusi manajemen teknologi informasi terhadap obyektif bisnis organisasi. CobiT (Control Objectives for 3 . 2. mendorong organisasi untuk mengadaptasi berbagai perubahan dan perkembangan teknologi informasi. sebuah organisasi perlu melakukan evaluasi dan audit terhadap efektivitas teknologi informasi yang digunakan.PENDAHULUAN Salah satu faktor kesuksesan sebuah organisasi adalah efektivitas manajemen informasi dan teknologi informasi pendukungnya. sejalan dengan berkembangnya perangkat aplikasi teknologi informasi yang menjadi unsur pendukung utama bagi yang diperlukan. 3. Teknologi berpotensi merubah kondisi organisasi secara radikal dan sekaligus memberikan peluang untuk menjawab berbagai permasalahan dan mereduksi biaya operasional. Kini informasi telah menjadi salah satu aset organisasi yang bersifat dinamis. 4.

Audit Material Preparation 4 . 1.Information and related Technology) merupakan pilihan terbaik sebagai metode kerja proses evaluasi dan audit di atas. CAKUPAN AUDIT Project Execution Process – Audit Material Preparation — Audit Communication ˜ Audit ™ Audit Result Analysis š Project Close Out Dari gambar di atas. Kementrian Negara BUMN beserta jajaran BUMN dibawahnya perlu mengetahui perencanaan bagaimana kondisi implementasi teknologi informasi saat ini sehingga memudahkan untuk melakukan pengembangan teknologi informasi yang akan datang. TUJUAN AUDIT Agar dapat mengadaptasikan berbagai perubahan dan arah pengembangan teknologi informasi ke depan. terlihat ada lima tahap yang harus dilakukan untuk melakukan proses evaluasi dan audit menggunakan standar Cobit. Menjalankan audit manajemen teknologi informasi untuk mengetahui kondisi saat ini akan sangat membantu Kementrian Negara BUMN untuk memverifikasi bagaimana implementasi teknologi informasi selama ini dilakukan.

Project Close Out Fase akhir dari pekerjaan dimana tim konsultan melakukan penulisan laporan secara komprehensif terhadap hasil audit dan hasil analisa. siapa saja yang terlibat (orang). Audit Communication Pada awal pekerjaan berjalan. Tujuan dari komunikasi ini adalah memberikan dilakukan. Setelah laporan diterima. Audit Execution Fase ini adalah inti dari pekerjaan dimana tim konsultan melakukan proses audit menggunakan kerangka Cobit sebagai panduan.Langlah awal yang akan dilakukan oleh tim konsultan adalah mempersiapkan berbagai sumberdaya dan material yang dibutuhkan selama proses audit dilakukan. dan kapan proses-proses tersebut dijalankan (penjadwalan). tim konsultan melakukan komunikasi secara intensif tentang bagaimana pelaksanaan proses audit dijalankan. bagaimana audit dijalankan (proses). Beberap isu yang akan dikomunikasikan adalah mencakup mengapa proses audit teknologi informasi dilakukan (tujuan). tim konsultan melakukan presentasi laporan. tim konsultan melakukan proses analisa data yang telah diperoleh selama audit dan membuat laporan hasil audit tentang kondisi teknologi informasi saat ini dan rekomendasi apa saja yang harus dilakukan untuk melakukan perbaikan. Setelah laporan akhir selesai dibuat. 2. Audit Result Analysis Setelah proses audit dijalankan. 5. 3. 4. pekerjaan dinyatakan selesai. kesiapan kepada organisasi sebelum audit dijalankan dan mencegah adanya resistensi selama proses audit 5 .

4.6.3. 1.2. 3.4. 3. 2.6.1.1. 15 kontrol obyektif yang dimaksud adalah sebagai berikut: 1. 2.5.4. kami merekomendasikan audit TI yang mencakup 4 domain dan 15 kontrol obyektif seperti yang terdapat pada Cobit Audit Guideline.1. IT as Part of the Organization’s Long. 3. Manage projects . 3. 3.3. organisasi dan sistem teknologi informasinya masih dalam tahap awal pengembangan.7.2. 3.2.5. 1.and Short-Range Plan IT Long-Range Plan IT Long-Range Planning Approach and Structure IT Long-Range Plan Changes Short-Range Planning for the IT Function Business Risk Assessment Risk Assessment Approach Risk Identification Risk Measurement Risk Action Plan Risk Acceptance Safeguard Selection Risk Assessment Commitment Project Management Framework User Department Participation in Project Initiation Project Team Membership and Responsibilities Project Definition Project Approval Project Phase Approval 6 2.8. 2. 2.Area Audit TI Mengingat bahwa Badan Kementrian Negara BUMN merupakan organisasi besar yang salah satu tugasnya untuk meningkatkan kinerja organisasi dan memberikan informasi kepada pihak-pihak terkait. 1.5. 1. 2. Assess risk 3.3. 2. Define a strategic IT plan 1. 2. 2.

4.5.13.8. 4. Transaction Authorization 7 .6. Project Master Plan System Quality Assurance Plan Planning of Assurance Methods 3. Training Plan 3.10.13. 3. Manage changes 4.3.9.7.1.4. Counterparty Trust 5. Test Plan 3.12.5. Formal Project Risk Management 3.2. Authentication and Access Security of Online Access to Data User Account Management Management Review of User Accounts User Control of User Accounts Security Surveillance Data Classification Central Identification and Access Rights Management 5. 5. 4.4.11.14.1.8. 5.12. Change Request Initiation and Control Impact Assessment Control of Changes Emergency Changes Documentation and Procedures Authorized Maintenance Software Release Policy Distribution of Software Manage Security Measures Identification. Post-Implementation Review Plan 4. 4. 4.3. 5.10. Reaccreditations 5. Violation and Security Activity Reports 5. 4. 5. Ensure system security 5. Incident Handling 5.7. 5. 5. 5.8.6.7. 4. 5. 5.11.9.2. 3.3.

8.20. Non-Repudiation 5.9.19. Output Handling and Retention 6. Cryptographic Key Management 5. Media Library Management Responsibilities 6. 6.13.21.16. 6. 6. Security Provision for Output Reports 6.11.18. Output Balancing and Reconciliation 6. Protection of Security Functions 5.2.5.6. Protection of Disposed Sensitive Information 6.1. Back-up and Restoration 8 . Data Processing Error Handling 6.14.12.4.19.15.20.22. Protection of Sensitive Information During Transmission and Transport 6. Retention Periods and Storage Terms 6.18. Trusted Path 5. 6. Manage data 6.5. 6.10.3. Data Preparation Procedures Source Document Authorization Procedures Source Document Data Collection Source Document Error Handling Source Document Retention Accuracy. Media Library Management System 6. Malicious Software Prevention.16. Output Distribution 6.7. 6. Detection and Correction 5.17.15. Firewall Architectures and Connections with Public Networks Protection of Electronic Value 6. Output Review and Error Handling 6. Storage Management 6.17. 6. Completeness and Authorization Checks Data Input Error Handling Data Processing Integrity Data Processing Validation and Editing 6. 6.

Formulation of Alternative Courses of Action 10.29. 9. Back-up Storage 6.26.2. Determine the technological direction 9. 8.25. Collecting Monitoring Data Assessing Performance Assessing Customer Satisfaction Management Reporting Technological Infrastructure Planning Monitor Future Trends and Regulations Technological Infrastructure Contingency Hardware and Software Acquisition Plans Technology Standards Annual IT Operating Budget Cost and Benefit Monitoring Cost and Benefit Justification 8. Definition of Information Requirements 10.1.4. Third-Party Service Requirements 10.4. Electronic Transaction Integrity 6.5.3.2.6.24. 9. Technological Feasibility Study 10. Economic Feasibility Study 9 .23. Back-up Jobs 6. 7.1. Continued Integrity of Stored Data 7. 8.2. 9.1.27.6.3.1. Protection of Sensitive Messages 6. 7.4. Authentication and Integrity 6.3. 8.2. 8. 8.28. Identify solutions 10. Monitor the processes 7. Archiving 6. 7.3. Formulation of Acquisition Strategy 10. Manage the IT investment 10.5.

11.4. 11. Design Methods 11.15.7.10.8.13.9. 12. Program Specifications 11. 10.17. 11. Audit Trails Design Ergonomics Selection of System Software Procurement Control Software Product Acquisition Third-Party Software Maintenance Contract Application Programming Acceptance of Facilities Acceptance of Technology Acquire and maintain applications and software 11. 11.17. 10.1.16. Input Requirements Definition and Documentation 11. 10.14. Cost-Effective Security Controls 10.9.2. Processing Requirements Definition and Documentation Output Requirements Definition and Documentation Controllability Availability as a Key Design Factor IT Integrity Provisions in Application Program Software Application Software Testing User Reference and Support Materials Reassessment of System Design Install and accredit systems 10 .3.6.18. 11.13. 10. Major Changes to Existing Systems 11.11.5.12. 11.11.8. 10. Definition of Interfaces 11.15. 10. 11. Design Approval 11.10. Source Data Collection Design 11. Information Architecture 10.12.16. Risk Analysis Report 10. User-Machine Interface 11.14. File Requirements Definition and Documentation 11. 10.7. 10.10. 11.

12.4. 12. Security Testing and Accreditation Operational Test Promotion to Production Evaluation of Meeting User Requirements Management’s Post-Implementation Review Define service levels 13.2. Ensure continuous service 14. 12.8. IT Continuity Plan Training 14.10.7. Testing Strategies and Plans 12.7.6. Service Level Agreement Framework 13.2.4. Aspects of Service Level Agreements 13.6. Service Improvement Program 14. Parallel/Pilot Testing Criteria and Performance 12.2.3.11. IT Continuity Plan Strategy and Philosophy 14. 12. System Conversion 12.6.14.13. 12.7. Performance Procedures 13. IT Continuity Plan Contents 14. Testing the IT Continuity Plan 14.5.3. Review of Service Level Agreements and Contracts 13.9.5.12. Final Acceptance Test 12.1. Data Conversion 12.3. Minimizing IT Continuity Requirements 14. Testing of Changes 12.1. IT Continuity Framework 14. Maintaining the IT Continuity Plan 14. Chargeable Items 13. Implementation Plan 12.5. Training 12.8.4.1. IT Continuity Plan Distribution 11 . 13. Monitoring and Reporting 13. Application Software Performance Sizing 12.

Skala kematangan TI / IT Maturity Level (skala 0 – 5).14.5.2. Analisa kematangan TI terkait dengan Critical Success Factor. Problem Tracking and Audit Trail 15. Analisa resiko tingkat kematangan teknologi informasi. Key Goal Indicator dan Key Performance Indicator untuk setiap domain. 14. Emergency Processing Priorities HASIL-HASIL AUDIT Hasil utama dari proses audit teknologi informasi adalah berupa laporan yang terdiri atas: 1.13.10. METODOLOGI AUDIT Cobit menyediakan metode dan prosedur untuk melakukan proses audit dalam bentuk Cobit Framework.3.1. Problem Management System 15.4. User Department Alternative Processing Back-up Procedures 14.11. Berdasarkan framework yang 12 . 14. 3. Problem Escalation 15. yang dilengkapi dengan laporan detail untuk setiap domain.12. 14.9. Emergency and Temporary Access Authorizations 15. 15. 2. Critical IT Resources Back-up Site and Hardware Off-site Back-up Storage Wrap-up Procedures Manage problems and incidents 15.

konsultan juga akan melakukan pertemuan dan wawancara dengan pihak-pihak terkait seperti manajemen. 2. Audit akan didasarkan berdasarkan fakta-fakta yang ada. yang ditemukan. Delivery & Support (DS) dan Monitoring (M). 3. pengguna dan personel TI lainnya. Final presentation on analysis: . teknologi. Material assessment. Detail dari penjadwalan adalah sebagai berikut: 1. Confirmation & refinement: 4. JADWAL AUDIT Proses audit akan memakan waktu berkisat 45 sampai dengan 50 hari (tidak termasuk hari libur dan hari minggu). Analysis: TOTAL: 5. Assessment: 25 days 9 days 5 days 1 day 50 workdays 13 3. Berdasarkan melakukan Selama proses fakta-fakta analisa audit. Audit preparation & socialization: 10 days 2. sistem aplikasi. Assessment dilakukan terhadap berbagai sumberdaya TI seperti manusia. fasilitas dan data.telah tersedia. metodologi yang digunakan untuk melakukan audit adalah sebagai berikut: 1. Materi assessment terdiri atas 4 domain: Planning & Organization (PO). dan tim konsultan dari tingkat tim efektivitas efisiensi manajemen teknologi informasi. Acquisition & Implementation (AI). termasuk dalam hal ini adalah daftar pertanyaan berdasarkan standar dan struktur Cobit.

Tim konsultan meminta waktu 10 hari cadangan untuk mengantisipasi adanya potensi permsalahan teknis yang mungkin muncul selama proses analisa. kami akan menyediakan tim yang kompeten dalam hal Manajemen Teknologi Informasi. MKom Andhie L Adam. Bertugas untuk mengeksekusi dan menjamin bahwa proses dan prosedur audit dilakukan dengan cara standar. ST. Tugas dari Consultant/Auditor adalah mempesiapkan materi detail. eksekusi dan operasi audit dengan pihak-pihak terkait. ST Yehezql. Ir. Sampai pada fase akhir. ST Rofiq Yuliardi. proses audit sampai dengan laporan final. ST. SKom     14 . Assignment Main responsibility Tentative proposed names Lead Consultant/ Partner Memimpin tim audit untuk semua aspek konsolidasi internal dan persiapan. Munawar Ahmad Consultant/ Auditor  Dedy Syafwan. SUMBERDAYA Dari sisi tim konsultan. MT Dudy Rudianto. Consultant/Auditor Dr. Cobit Framework dan Analis Bisnis Proses.

ST  -----.o  o ------- 15 . Bertugas untuk melakukan dokumentasi terhadap keseluruhan proses audit. kami mengharapkan: Tempat yang representatif untuk digunakan oleh tim konsultan ( 3 orang) selama proses audit dan observasi. Samsudin BT.   Personel yang terkait dengan proses wawancara. Personnel In-Charge yang bertugas untuk memandu tim konsultan dalam melakukan proses audit sistem/teknologi/data dari organisasi bersangkutan.melakukan konsolidasi hasil keseluruhan dan analisa Audit Documenter data yang ada. Dari sisi client.

You're Reading a Free Preview

Mengunduh
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->